天网防火墙技术白皮书
生活随笔
收集整理的這篇文章主要介紹了
天网防火墙技术白皮书
小編覺得挺不錯的,現在分享給大家,幫大家做個參考.
<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />
?
1.??? 產品簡述... V 2.??? 天網防毒墻系列... VI 3.??? 天網防毒墻的主要功能... VII 3.1.???????? 功能簡述... VII 3.1.1.????? 應用層的安全防范體系... VII 3.1.2.????? 客戶端的安全防范體系... VII 3.2.???????? 應用層的安全防范體系... VII 3.2.1.????? 集中控制... VII 3.2.2.????? 自動升級... VIII 3.2.3.????? 底層保護... VIII 3.2.4.????? 少占用資源... VIII 3.2.5.????? 內存修復... VIII 3.2.6.????? 客戶端軟件特色... IX 3.2.7.????? 內嵌多個應用... IX 3.2.8.????? 更好的IT管理... IX 3.2.9.????? 更好的補丁管理... X 4.??? 防毒墻參數... XI 4.1.???????? 防毒墻參數表... XI 天網防火墻系列產品簡介... 15 天網防火墻簡介... 15 技術特征... 16 主要特性與性能... 19 基本系統功能... 19 4.1.1.????? 一體化硬件設計... 19 4.1.2.????? 自行開發的高性能系統內核SNOS. 20 4.1.3.????? 支持各類標準網絡服務和協議... 20 4.1.4.????? 支持DMZ區可增加管理區域... 21 4.1.5.????? 基于狀態檢測的包過濾... 21 4.1.6.????? 完善的訪問控制... 21 4.1.7.????? 包過濾功能的透明網橋... 22 4.1.8.????? TCP標志位檢測... 22 4.1.9.????? 網絡接口可綁定多個IP地址... 22 4.1.10.??? IP地址與MAC地址綁定... 22 4.1.11.??? 系統操作記錄... 23 4.1.12.??? 支持巨量并發連接數和NAT連接數... 23 4.1.13.??? 增強型加密中文WEB管理界面... 23 4.1.14.??? 支持非標準標志位... 23 安全應用控制功能... 24 4.1.15.??? 管理大量IP的能力... 24 4.1.16.??? 對大量數據包的***防御... 25 4.1.17.??? 抵御各種DoS***... 25 4.1.18.??? 有效過濾大量IP的防火墻機制... 26 4.1.19.??? 域名信息緩存... 26 4.1.20.??? ×××數據安全傳輸... 27 網絡行為管理功能... 27 4.1.21.??? 實時系統監控系統和網絡狀態... 27 4.1.22.??? 網絡數據記錄... 28 4.1.23.??? 第七層協議智能分析技術... 28 4.1.24.??? 基于單個IP或者IP組為對象的網絡管理功能... 29 4.1.25.??? 動態帶寬調節功能... 29 4.1.26.??? 最低帶寬保證功能... 30 4.1.27.??? 根據端口的連接數限制功能... 30 4.1.28.??? 防止惡意占用帶寬... 30 4.1.29.??? 關鍵字內容過濾... 31 4.1.30.??? 支持URL攔截... 31 4.1.31.??? 管理內部網聊天工具... 32 4.1.32.??? 精確到單個主機和連接信息記錄功能... 32天網防火墻系列產品簡介
天網防火墻簡介
Internet 技術帶領信息科技進入新的時代,企事業單位都紛紛建立與互聯網相連的Intranet,使用戶可以通過網絡查詢信息。然而,這時企事業單位的Intranet安全性也受到了嚴峻考驗:網絡上的不法分子不斷的尋找網絡上的漏洞,企圖潛入內部網絡,一旦Intranet被攻破,一些機密的資料可能會被盜、網絡可能會被破壞,給網絡所屬單位帶來難以預測的損害。天網防火墻系統就是針對以上情況開發、研制的,本系統可以為企事業單位網絡提供完善的網絡安全保障,抵御來自外部網絡的***、防止不法分子的***。 天網防火墻是一套采用軟硬一體化的設計,具有高安全性和高性能網絡安全系統,同時提供強大的訪問控制、身份認證、網絡地址轉換(Network Address Translation)、信息過濾、虛擬專網(×××)、DoS防御、流量控制、虛擬防火墻等功能的防火墻系統。天網防火墻是國人自己根據國內用戶習慣自主開發的防火墻,在管理界面上創新的使用了WEB管理界面,用戶通過直觀、易用的界面管理強大、復雜的系統功能;天網防火墻不僅在界面全中文化,而且還提供了符合中國國情的全文過濾系統;天網防火墻追蹤最新***技術,研究出同類產品中獨有的防御拒絕服務***技術(DoS***)。 天網防火墻考慮到各種用戶的需求,把防火墻分為:基本型、企業級、電信級三個類別。其中,天網防火墻的旗艦級防火墻,是一個千兆級別的網絡安全系統,它面向需要進行大量數據處理與交換的應用環境,包括有:電子商務站點、電信骨干交換網絡以及校園骨干交換網絡等。天網千兆防火墻集合了基本防火墻系統和虛擬專網安全功能,并且通過千兆網絡接口來對進出防火墻的數據進行處理。利用優化的內核把硬件的高效數據交換能力和系統并行處理能力進行有效的結合,實現了高性能、高處理能力和高安全性的防火墻系統,完全能滿足各種寬帶網絡應用服務的數據處理要求,并且能適應更多高要求的應用環境。 <?xml:namespace prefix = v ns = "urn:schemas-microsoft-com:vml" /><?xml:namespace prefix = w ns = "urn:schemas-microsoft-com:office:word" />技術特征
??| ? | ? |
| 網絡功能 | 支持ADSL、CABLE、MODEM、DDN、MSTP、以太口等接入 |
| 支持多種網絡通信協議和應用協議,包括TCP/IP、ICMP、UPnP、DNS、SNMP、UDP、H.323、PPPOE、DHCP、IPSEC、PPTP、L2TP、NAT、RIP、ARP、ARAP、DECnet、NETBEUI、AppleTalk、BOOTP、VOD、OSPF、BGP4、IPX、VLAN、Spanning tree、MPLS等 | |
| 支持網口自動啟用和關閉,支持網口模式的設定 | |
| 網口支持綁定多IP地址、支持IP地址池方式 | |
| 支持基于源/目的地址/目的端口/接口的策略路由 | |
| 支持靜態路由、RIP/BGP/OSPF等動態路由協議 | |
| 最多支持12個互聯網接口 | |
| 支持多線路負載均衡,通過連接數狀況把流量分配到不同的互聯網線路 | |
| 支持路由權重設置。根據帶寬大小分配流量 | |
| 支持南北通功能,實現同時接入電信及網通網絡 | |
| 支持備份線路功能,支持線路存活情況檢測,可以根據主線路存活情況自動切換到備份線路上 | |
| DHCP server/ DHCP relay/ DHCP client | |
| 支持路由模式、網橋模式和網橋路由混用模式 | |
| 支持服務負載均衡 | |
| 安全功能 | 采用專用硬件平臺與專用的安全操作系統SNOS |
| 智能狀態包過濾檢測技術 | |
| 支持TCP/IP、UDP、ICMP等協議訪問控制 | |
| 支持多DMZ區,可按需求增加安全區域 | |
| 雙向網絡地址轉換(NAT),支持動態地址轉換和靜態地址轉換。 支持多對一、一對多和一對一等多種方式地址轉換 | |
| 可提供基于芯片的SYN Flood、UDP Flood、ICMP Flood、MAC Flood等DOS、DDOS的***防御 | |
| 可自動防范Tear Drop、Smurf、Land Attack、WinNuck、圣誕樹等幾十種網絡***和掃描窺探,達到線速檢測過濾 | |
| TCP標志位檢測技術 | |
| ARP***防御網關,有效防止局域網內部ARP***導致的網絡中斷 | |
| 支持對 QQ/MSN/SKYPE/雅虎通等即時通訊軟件過濾 | |
| 支持對Bittorrent/ eDonkey/eMule等P2P應用過濾 | |
| 支持基于流的URL過濾、關鍵字過濾及文件名過濾 | |
| 應用層動態協議分析技術,支持協議: 常用協議:HTTP/POP3/SMTP/IMAP/NNTP/SSL/TLS/SSH/FTP/SNMP/DNS/TELNET/DHCP/VNC/? PCANYWHERE/RDP /RADMIN/BGP/ NETBIOS /TFTP/SOCKS 5/SMB 視頻協議:H.323/RSTP/HTTP-RSTP/MMS/ SIP P2P應用:Bittorrent/ eDonkey/eMule/迅雷 IM應用:QQ/MSN/SKYPE/雅虎通/AIM 游戲應用:Counterstrike /Doom 3/Half-Life 2/Quake / World of Warcraft /XBox Live | |
| 基于PPTP用戶的訪問控制 | |
| 端口鏡像功能 | |
| 支持對802.1q VLAN協議的過濾及支持VLAN trunk 協議 | |
| IP地址與MAC地址綁定 | |
| 網絡黑洞功能,阻擋非法的網絡探測及*** | |
| DoS防御網關,防御各種類型的DoS***,保護服務器及網絡 | |
| 當前網口流量監控,***自動防御及報警 | |
| 支持SYN-DI防洪堤模塊,抗拒高強度的DDoS*** | |
| 支持radius、口令、證書、LDAP、TACACS/TACACS+等多種認證方式 | |
| 內嵌***檢測及防御模塊,針對病毒及網絡***進行防御 | |
| 虛擬防火墻,支持數據中心應用、電信信息商廈應用 | |
| 支持與IDS、防毒系統等多種網絡安全產品聯動 | |
| 流量控制功能 | 通過權限組形式控制每個IP地址的上行/下行帶寬,上行/下行包數,并發連接數,Qos最大隊列數 |
| 精細劃分每個IP地址特定端口范圍內的TCP/UDP連接數 | |
| 支持長時間下載限制功能 | |
| 支持動態帶寬調節功能,根據在線主機數量、總連接數、時間自動調節每個IP地址擁有的帶寬 | |
| 支持最小保證帶寬功能 | |
| V P N | IPSEC ×××及IKE,硬件加速××× |
| PPTP/L2TP ××× | |
| 天匙虛擬專網,帶寬消耗和CPU資源損耗最少的×××連接方式之一 | |
| 全面支持MPLS ××× 連接方式 | |
| 支持標準IPSEC及國密算法 | |
| 支持預共享密鑰和數字證書 | |
| 支持與防火墻、×××網關及×××軟件客戶端進行×××互聯 | |
| 管理功能 | 支持基于對象、時間、IP、端口的管理 |
| 提供命令行、WEB圖形化及基于SSH的登錄管理 | |
| 支持本地管理、遠程管理及防火墻集中管理器 | |
| 設置可信主機對防火墻管理 | |
| 多層登錄權限控制 | |
| 支持snmp網管功能,可與openview集成查看防火墻狀態 | |
| 實時系統監控,觀察系統的運行狀態及網絡連接狀況 | |
| 實時報警,支持撥打電話和Email等多種方式報警 | |
| 系統操作記錄,記錄系統管理員的所有操作情況 | |
| 網絡數據日志記錄及當前日志記錄,日志自動導出分析 | |
| 支持syslog及snos日志格式,可轉換為其他設備及網管工具分析 | |
| 支持各功能系統配置保存、恢復、下載及上傳 | |
| 支持遠程系統升級及執照管理 | |
| 提供網絡測試功能 | |
| 高可用性 | 支持防火墻的主-主、主-備、1:N冗余等不同備份和負荷分擔機制 |
| 支持發生系統、線路故障時自動切換 | |
| 可靠性及擴展性 | 支持NPU、IA、PPC、X86等多種芯片架構,保證系統可用性 |
| 雙引擎處理:業務處理核心為可編程ASIC芯片,管理核心為X86高性能CPU | |
| 支持可編程ASIC芯片和軟件的升級和維護 | |
| 當前運行狀態顯示及健康通告 | |
| 提供雙機熱備份服務,在瞬間自動切換不正常工作的防火墻系統 | |
| 支持電源冗余及熱插拔模塊擴展 | |
| 可擴展各種軟硬件模塊,如擴展防病毒、內容過濾、×××加速卡、專用***檢測卡 |
?
技術指標: ü???????? 終端控制接口:RS-232,DTE, 9600-8-N-1 ü???????? 標準1U機箱硬件設計482W×255D×45Hmm,凈重:<?xml:namespace prefix = st1 ns = "urn:schemas-microsoft-com:office:smarttags" />3.5KG ü???????? 工作溫度:0~50℃(32~122℉);存放溫度:-10~+70℃(14~158℉);相對濕度:5 ~95%@40℃(不凝露) ü???????? 安全標準:IEC60 950,EN 60 950,UL1950 ü???????? 電磁兼容性EMC:EN55022&EN55024,FCC CFR 47 Part 15 (B級) , ICES-003(B級) ,CISPR 22(B級),AS/NZS 3548(B級) ,VCCI(B級) ü???????? 電源系統:200V~240V, 4Amps(max), 300W(max) ü???????? MTBF≥100000小時主要特性與性能
天網防火墻在設計上采用軟硬件一體化的結構,通過把軟件與硬件緊密、無縫、深層的結合起來,形成一種高效的網絡處理能力,和其他基于傳統的軟件防火墻比較,具有更加高效、安全和實時化。 天網防火墻系統是一套全面、創新、高安全性、高性能和自主知識產權的網絡安全系統。它可以讓系統管理者根據自己的喜好、任務和網絡環境來自由的設定安全規則(Security Rules),并通過這些安全規則來把守企業、電信網絡的安全。同時它還可以提供強大的訪問控制、網絡行為管理、網絡地址轉換(Network Address Translation)、信息過濾、虛擬專網(×××)、流量控制和虛擬網橋等功能,使用戶完全可以在安全的防火墻基礎上使用安全的服務,為用戶減少其他網絡設備的投入。天網防火墻采用了WEB管理界面,通過直觀、易用的界面管理強大、復雜的系統,同時采取了128位的高強度加密數據流形式,避免一切可竊聽、冒充行為的發生,另外由于采取了高性能的網絡核心進行訪問控制,可以最大程度上的保護防火墻自身的安全,與其他同類產品相比防火墻自身顯得更加安全。天網防火墻系統,是自主知識產權的開發的防火墻系統,完全采用符合中國人習慣的人性化的設計,在設計的時候不僅在界面采取完全中文化,而且在功能設計上還提供了符合中國國情的全文過濾系統,充分滿足國人的使用習慣。基本系統功能
1.1.1.??????? 一體化硬件設計
天網防火墻系統采取軟件與硬件的緊密無縫、深層的結合,充分發揮軟件的易擴充、易升級和易設置的特點,同時又通過專用的硬件保證防火墻的最大限度內的高效率、高吞吐量、高安全性和穩定性。 天網防火墻系統在內部采取了專用的操作系統保證防火墻在功能上可以最大程度上的滿足用戶的需要,而且對于一些特殊用戶的需求可以在最短的時間內通過修改系統來實現,與其他純硬件防火墻相比較具有升級方便、升級快速、升級費用低廉(免費升級)和功能強大等特點。為了保證防火墻在數據量非常大的情況下的高性能與高吞吐量,天網防火墻又采取了工程專用硬件進行了硬件化設計,使得能夠保證軟件和硬件的緊密結合,充分發揮硬件的每一分資源,保證防火墻自身不存在“瓶頸”問題的出現,從而提高防火墻的整體性能,天網防火墻從最早的一體化硬件設計思想提出到實現已經經歷了重重考驗,在技術上是成熟的,與同類的純軟件防火墻相比具備無可比擬的高效、高吞吐等優勢。總的來說,天網防火墻充分發揮了軟件和硬件自身的優勢,充分做到互補、互優,最大程度上提高防火墻的整體性能,因而避免了對被保護網絡所帶來的影響。?
1.1.2.??????? 自行開發的高性能系統內核SNOS
天網防火墻是自主知識產權開發的軟硬件一體化防火墻,由于要與硬件結合,所以天網防火墻采用了專用的天網操作系統(SNOS)。天網操作系統是專門為防火墻而設計的,從最底層已經考慮到了防火墻的安全性,可以從設計開始就保證防火墻的絕對安全,這與其他的同類產品相比具有無比優勢的安全底層,保證防火墻在任何***下都安然無事。同時天網操作系統的設計之初,就是為防火墻量身定做的,完全考慮了網絡的特點,去掉了其他操作系統不必要的各種系統接口,使得操作系統能夠提供高效快速的反應。最大程度上的與硬件結合,可以保證對×××量的網絡進行高速全面性檢測。1.1.3.??????? 支持各類標準網絡服務和協議
天網防火墻是從設計上就是為網絡而設計的,由此天網防火墻充分考慮了用戶的需要,在天網防火墻內部的NAT系統同時支持九十多種通信協議(包括IGMP、ICMP、TCP、UDP等)和七百多種TCP/UDP服務,其中主要部分包括: 常用服務: HTTP、FTP、SMTP、NNTP、TELNET、ECHO、FINGER、SYSTAT、DYATIME、DNS、TFTP、GOPHER、POP3、RTELNET、RLOGIN、CISCO-SYS、SNMP、IRC、IMAP4、UUCP等; 數據庫服務: Oracle SQL*NET、SQL-NET、ODBC、SQLSRV、SQLSERV等; 多媒體流: Progressive Networks RealAudio、Xing Technologies Streamworks、 White Pines CuSeeMe、Vocal Tec Internet Phone、VDOnet VDOLive、 Microsoft NetShow、Vxtreme Web Theater 2 等。支持H.323及SIP應用,包括Intel Internet Video Phone、Microsoft Netmeeting 等; 特殊服務: NetBios、RPC; Microsoft Network 可以通過本防火墻系統進行通信。同時支持Remote Procedure Call。使用Windows、Windows NT的網絡系統也可以采用本系統作為保護企業數據的防火墻。 支持TRACERT及TRACEROUTE命令,包括Visualroute等; 天網防火墻支持多種網絡服務可以滿足用戶平時的各種的需要,使用戶在使用天網防火墻的時候感受不到防火墻的存在。?
1.1.4.??????? 支持DMZ區可增加管理區域
采用DMZ 停火區的方式能夠有效的保護用戶對外發布信息的服務器,如web服務器、郵件服務器和DNS服務器 等等。天網防火墻提供的DMZ 配置能夠隱藏服務器的真實地址,在保證對外提供正常服務的同時保護服務器不受非法***。停火區的服務器與局域網分開放置,這樣能夠禁止外部對內部網絡其他系統的訪問,從而減小外來***的可能性。1.1.5.??????? 基于狀態檢測的包過濾
包過濾技術,是防火墻中最主要的安全技術,它是通過防火墻對進出網絡的數據流進行控制和操作,系統管理員可以設定一系列的規則,來指定那些地址,那些類型的數據包可以通過。 天網防火墻在此基礎上采用了最為先進的狀態包過濾的技術,不但能夠根據數據包的源地址、目標地址、協議類型、源端口、目標端口以及網絡接口等數據包進行控制,而且能夠記錄通過防火墻的連接狀態,通過連接狀態進行更迅速更安全的過濾。?
1.1.6.??????? 完善的訪問控制
天網防火墻靈活的安全規則設置,可以使得管理員根據網絡環境的需要從以下幾個方面來設定安全規則: ◆ 數據包的源、目的地址 ◆ 協議類型 ◆ 數據包的源、目的端口 ◆???? 數據包通過的網絡接口 ◆???? 時間管理 系統提供了大量的常見服務類型供管理員配置選用。通過與應用層代理的結合,能夠形成多層次的訪問控制。?
1.1.7.??????? 包過濾功能的透明網橋
天網防火墻能夠以透明網橋模式工作。它工作于透明橋結構之上,實現于數據鏈路層,因此無需IP 地址;無IP 的防火墻則沒有任何被***的目標,保證了防火墻自身的絕對安全,進而也保證了內部網絡的安全。同時透明防火墻還有一個優點是在安裝防火墻時,可以直接放置在網絡中,而無須改動用戶原有的網絡拓撲 。而且,相對于一般橋接器的橋接功能,天網防火墻在進行橋接功能的同時,還能實現包過濾功能,可以對通過防火墻的數據包進行安全檢測,并且根據一定的安全策略對某些數據包進行攔截,從而保證在完成橋接功能的同時,維護網絡的安全性。1.1.8.??????? TCP標志位檢測
在大多數的防火墻里,都缺少對連接是從哪方主動發起進行判斷的選項,這將導致一個潛在的安全隱患是***者可能可以從一個外部主機的某個常用服務端口連入內部主機的高端口。例如,如果允許內部主機訪問外部主機的telnet服務,這個方向連接的所有包應該是必須包含ACK位的,也就是說,不是主動發起的連接。但通常的防火墻的包過濾功能里并沒有檢查ACK位的設置,因此,***者就可以從外部主機的源23端口發起連接到內部主機的高端口(>1023)。天網防火墻系統通過在安全規則上的設置對數據包的SYN/ACK等標志位進行合法性檢測和判斷,防止不法***者利用常用服務的低端口與內部主機的高端口的連接,從而***內部主機,與其它同類產品相比天網防火墻的TCP標志位檢查是最嚴格的,也是最安全的,從而最大的程度上保障用戶的網絡安全。?
1.1.9.??????? 網絡接口可綁定多個IP地址
天網防火墻為保障用戶未來網絡的擴大與升級,采取了一個接口處可以綁定多個IP地址,即相當于一個接口可以變成多個接口,連接多個網絡。一個接口上綁定多個IP地址能夠盡量的發揮防火墻的作用,使內部網的網絡都連接到防火墻上,從而內部網都處于防火墻的保護狀態下。1.1.10.?? IP地址與MAC地址綁定
在內部網絡的應用中,經常會遇到內部網絡用戶擅自修改IP地址,以獲取一個合法IP地址來進行相應的網絡應用,這樣會使內部網絡在地址資源的分配和使用上出現混亂,大大影響內部網絡的正常運行,而且在網絡事故發生以后,也加大了地址追尋的難度。天網防火墻所具有的MAC地址綁定功能可以很好的解決這個問題。當網絡用戶被分配或自行設定一個IP地址以后,防火墻系統就能接收到相應的地址廣播,在防火墻系統上列出相應的IP地址與MAC地址,并可以選擇是否把這個IP地址與相應的MAC地址綁定,這樣可限定IP地址只能在一臺指定的工作站上使用,大大方便了網絡的IP地址管理。1.1.11.?? 系統操作記錄
網絡安全最大的問題并不是技術上的問題,而是因為人的問題。雖然天網防火墻在自身上花了許多工夫來保持防火墻自身在惡意***的***下的安全,但是在很多時候由于管理員的疏忽,沒有修改掉防火墻的默認密碼或者設置了簡單的密碼而被惡意***者猜解出來,這樣會嚴重的威脅到網絡的安全性,由此天網防火墻設置了系統操作記錄,清晰的記錄管理員身份用戶登陸防火墻的一舉一動,為事后追查提供完備的依據。由于系統操作記錄記錄了管理員身份用戶的一舉一動,所以系統操作記錄是不可刪除的,即便超級用戶也沒有權限進行刪除操作,從根本上保證系統操作記錄的安全性。?
1.1.12.?? 支持巨量并發連接數和NAT連接數
天網防火墻為防火墻專門設計的操作系統,軟件與硬件的一體化設計,使得天網防火墻在整體與其他同類型的防火墻比較起來具有更高的效率,更好的性能,所以天網防火墻在正常情況下,能夠支持巨量的并發連接數,尤其天網千兆防火墻在硬件上進行了專門的優化,最多可支持的并發連接數目達到300萬條,足夠滿足電信級的應用需求。?
1.1.13.?? 增強型加密中文WEB管理界面
天網防火墻是國人自主知識產權的防火墻,它是完全根據國人的使用習慣而設計的管理界面,采取了三種管理方式,其中最為常用的WEB管理界面具有直觀易用等特點,為了防止用戶設置的數據遭監聽,防火墻采取128位加密數據傳輸,并采用防止密碼猜解和通過各類脆弱性測試,保證防火墻的絕對安全。在防火墻管理上考慮到升級的需求,用戶可以通過WEB管理頁面直接上載升級數據包,即可完成防火墻系統升級服務,操作非常的方便。?
?
1.1.14.?? 支持非標準標志位
天網防火墻充分研究網絡中的各個應用程序的數據包,針對一些郵件服務器在使用esmtp驗證的時候發送一些特殊結構的數據包,天網防火墻也做了特殊的技術處理,能夠很好支持此類非標準的esmtp數據包,保證用戶的正常使用。?
安全應用控制功能
隨著網絡技術的發展,各種應用技術的發展和成熟,網絡的規模不斷增大,網絡內部的主機數量不斷增加。當前的網絡存在著這么幾個問題,首先是海量并發連接的處理能力,實現數據包的快速轉發,路由器成了網絡的瓶頸;第二,用戶帶寬的無序競爭日益激烈,關鍵業務無法優先處理,造成工作效率不高;第三,BT軟件的濫用使惡意競爭帶寬更白熱化,極大地破壞了網絡的有序應用;第四,病毒爆發,海量病毒數據包沖斥整個網絡,使得整個網絡處于崩潰狀態。 那么,如何解決上面這四個問題,讓企業享受信息技術發展成果,成了信息化工作的重中之重。為此,廣東天訊電信科技有限公司利用自身防火墻技術領域的優勢,在傳統的天網防火墻基礎上,開發出了功能更強大,管理更方便,更貼近客戶需求的安全應用控制功能。1.1.15.?? 管理大量IP的能力
天網防火墻系列產品定位就是給千臺以上的主機進行局域網絡管理。普通的路由和防火墻只能在這種網絡環境下提供簡單的NAT和簡單的過濾。如果在這種網絡環境下再進行Qos或者復雜防火墻過濾,系統就會很容易崩潰。 天網防火墻均選用強勁性能處理器,強大的運算能力保障了系統可以承載數千臺主機的每秒數以萬計的數據包的通過和處理。 為了適應面向IP對象,和大量主機的信息管理,天網防火墻重新構造了整個網絡包處理體系,使之能夠管理如此大量的主機信息,而性能又不會因為大量運算而下降,原有網絡OS全部根據大容量和大運算量的要求進行重寫。硬件和軟件性能的大幅度提高,確保了SNS能在大規模網絡環境運算中游刃有余。1.1.16.?? 對大量數據包的***防御
天網防火墻的組功能中最大上下行包數的限制功能,主要是針對網絡里病毒感染或者***的惡意***行為制定的。病毒或者***通過發送大量數據包到網關或者網絡出口,使路由器或者防火墻忙于處理大量毫無意義的數據包,同時這些無意義的數據包又占據掉有限的帶寬資源。使正常的通信根本不能得到帶寬資源。 在正常的通信情況下,每臺主機每秒鐘發出的數據包的數量都不會超過一定的數值。當然這個數字會隨著帶寬增加而增加,但是這個數值一般只是幾百。但是當主機感染病毒發作或者***軟件***時,這個數值就會達到上萬。這時,就可以判斷這個主機的訪問不正常,屬于惡意***。 天網防火墻的***防御也是根據這種原理設計的。設定單臺主機的上行包數量的上限,通常是幾百就可以了。當主機每秒發出包數超過這個閥值,剩下的數據包就會被丟棄。使這些***數據包不能占據帶寬資源。也避免路由器處理大量無意義的數據包而崩潰。1.1.17.?? 抵御各種DoS***
天網防火墻跟蹤最新***技術,最早開發出針對網絡上比較流行的DoS***的防御網關,它所采取國際首創的技術,能夠從最根本上防止 DoS的***行為!天網防火墻采用經過優化的TCP連接監控方式來保護防火墻內的脆弱機器。這種算法的特點是在處理TCP連接請求的時候,在確定連接請求是否合法以前,用戶端與服務端是隔斷的。這就令到DoS***者在發動***的時候并不能直接連接到防火墻內部的機器,所以***者所發出的所有DoS***包只能到達防火墻,從而保護了防火墻內部的機器不受到DoS***。而且,天網防火墻通過高效的算法(64K位的Hash)提供了超過300萬以上的同時連接數的容量,為數據傳輸的高效和可靠提供了強有力的保障。 ?????????????????????????1.1.18.?? 有效過濾大量IP的防火墻機制
天網防火墻除了支持象傳統防火墻的規則條目設置,同時也支持以IP或者端口群組的模式進行過濾規則設置。假設我們要過濾1萬個×××、反動網站。在傳統防火墻設置里,我們可能要寫下1萬個條過濾網站的規則。1萬條可是一個驚人的數字,如果每個數據包都要經過這1萬條過濾規則的校驗,你的路由器估計處理不了多少個數據包。 天網防火墻特有的IP群組功能,可以把大量IP編輯到一個群組,如果你要過濾這個群組的IP,只需要設置一條防火墻規則,這條規則聲明訪問這個群組的IP包丟棄即可。當然,這條規則也還是要在這個群組的上萬IP中檢索,但是天網防火墻特有檢索算法可以數量級的提高檢索速度,這是傳統的順序檢索所不能比的。群組的IP經過預先的索引,不會因為IP數量增加,檢索時間就增長。因此,過濾數量越多IP,就越能體現天網防火墻的速度優勢。1.1.19.?? 域名信息緩存
天網防火墻可以監控并記錄網絡內所有的DNS查詢,并緩存域名和IP記錄。這樣,管理人員察看用戶連接情況時,看到的就不是毫無意義的IP地址,而是具體的域名。這樣就可以更清晰的察看用戶的上網情況。1.1.20.?? ×××數據安全傳輸
虛擬專網(×××)技術是指在公共網絡中建立專用網絡,數據通過安全的“加密管道”在公共網絡中傳播。企業只需要租用本地的數據專線,連接上本地的公眾信息網,各地的機構就可以互相傳遞信息;同時,企業還可以利用公眾信息網的撥號接入設備,讓自己的用戶撥號到公眾信息網上,就可以連接進入企業網中。使用×××有節省成本、提供遠程訪問、擴展性強、便于管理和實現全面控制等好處。 天網防火墻同時提供安全可靠的基于IPSEC ×××服務和提供移動用戶撥號的PPTP/L2TP ×××服務。 天網防火墻還提供天匙×××服務,是天網防火墻研發的一種專用×××服務,具有高度的安全性以及比IPSEC更快速的傳輸速度,可以有效地提高×××數據的工作效率。 天匙×××服務器提供不同網絡之間的×××互連。天匙的×××連接是基于UDP或者TCP 的隧道(tunnel)進行通信,子網的數據加密后通過tunnel進行傳輸。子網之間由一方發起請求建立tunnel,然后子網的通信就可以透明的在兩個網絡間進行。由于使用Tunnel的方式,可以透過作地址轉換的防火墻,實現防火墻后面的子網互聯。網絡行為管理功能
1.1.21.?? 實時系統監控系統和網絡狀態
天網防火墻從設計的時候始終站在用戶的角度去考慮,盡量簡化用戶的操作,盡量的給用戶直觀、可試化的報告。天網防火墻在正常工作狀態下,用戶可以通過管理端清楚的查看到防火墻當前的系統資源、運行狀態以及正在進行的各個連接的連接狀態,包括當前活動的URL地址信息,使得用戶可以清楚的了解到各個用戶對網絡的使用情況,并從中發現可疑的問題,做到早期發現問題,早期處理。?
1.1.22.?? 網絡數據記錄
網絡管理員在管理網絡的時候通常要檢查網絡的流量,網絡數據記錄模塊是專門為方便網絡管理員而設計的,能夠非常直觀的看到流經防火墻的數據類型、流量和連接數,方便管理員及時的發現問題。1.1.23.?? 第七層協議智能分析技術
傳統的流量識別技術都是以端口做為識別手段,比如QQ是用4000和8000,以前的作法是在防火墻上直接將對應的端口進行關閉,達到封堵流量的目的。但是,隨著動態端口技術在網絡應用開發中的推廣和采用,利用端口進行流量控制的年代已經一去不復了。 天網團隊利用自身的安全技術優勢,廣泛采集和分析各種七層應用流量數據包,經過無數次數據提取和比較,終于建立一套七層協議流量的分析模型。根據此模型,確立了業界最為先進的第七層協議智能分析技術。第七層協議分析技術是以協議數據包的特征碼為識別標志,不論該協議流量利用什么端口進行傳輸,都可以準確無誤地標識出來。 目前,天網防火墻的動態七層協議分析功能已經可以分析出一百多種常用和流行的協議,比如QQ、MSN、ICQ、SKYPE、BT、迅雷、KUGOO、電驢、電騾、TELNET、FTP、SSL、TFTP、POP3、SMTP、H.323、VoIP、CS、魔獸、魔獸世界……更多的協議正在添加中…… 利用動態七層協議智能分析技術,可以有效地對網絡流量進行識別,并對垃圾流量進行清洗,保證網絡關鍵業務的暢通無阻和優先處理。?
1.1.24. 基于單個IP或者IP組為對象的網絡管理功能
傳統的路由器和防火墻的管理都是基于規則列表的形式進行設置。如果要對局域網內的不同的IP定義不同防火墻規則或者QOS規則,將會形成龐大規則列表,系統對數據包進行處理時將要搜索這個龐大的列表,這種方式設置麻煩,處理的效率低下。 天網防火墻的網絡管理功能是基于IP進行設置和管理的。你可以為局域網的IP定義不同管理組里,在組里面,你可以定義這些IP的網絡行為,比如最大上下行帶寬,每秒通過的包數,最大連接數等,還可以定制這個IP組的防火墻過濾規則,約束這些IP地上網行為。局域網內的每個IP都屬于這些權限組的其中之一。一個IP屬于某權限組后,系統將按照權限組的定義管理這個IP的網絡行為。系統同時以IP為單位對流量信息和連接信息進行記錄。 天網防火墻的每個組可以管理以下信息: 1.? 最大上行帶寬; 2.? 最大下行帶寬; 3.? 每秒最多上行包數; 4.? 每秒最大下行包數; 5.? 最大并發連接數; 6.? 針對IP的防火墻過濾規則組; 天網防火墻是面向單個IP為對象的路由和防火墻管理體系,這是傳統路由和防火墻所沒有的功能。1.1.25.?? 動態帶寬調節功能
天網防火墻支持動態帶寬調節功能,除了在權限組里設置的帶寬值外,每個用戶的帶寬可以根據一些外部的條件進行自動調整。可以根據三種條件進行帶寬的自動調整: 1.? 時間,包括工作日和每天的時間段; 2.? 在線主機數量; 3.? 網絡總連接數。 可以為每個權限組定制一系列的帶寬調節規則,系統會根據規則的次序,自動找到當前條件匹配的規則,重新定制當前的上下行帶寬數值,實現帶寬的自動調節。1.1.26.?? 最低帶寬保證功能
由于現實應用需求的不斷增長,很多客戶要求在限制管理各臺PC最大帶寬的情況下,還要求可以保證最低帶寬。 天網防火墻利用優先的帶寬分配算法,可以對有限的帶寬進行科學合理的靈活分配,同時做到按協議類型、服務類型和IP網段等條件,保證用戶的最低帶寬使用,保護關鍵業務的開展。1.1.27.?? 根據端口的連接數限制功能??
權限組里面可以設定每臺主機的總連接數,但是緊緊根據總連接數去限制一些多連接服務,可能會有矯枉過正的問題,因為,也存在很多多連接的應用,比如 瀏覽網頁,這樣,如果總連接數定的太小,就會影響這些應用的正常運行。如果總連接數過多,就不能限制象BT這樣的多連接應用。 因此,特別定制了根據端口范圍的連接限制功能,可以根據端口范圍設定在該范圍內的總連接數目,比如 BT使用的都是1024以上的端口,我們可以設定1024以上端口的連接數到一個很小的數值,這樣BT的很多連接都不能建立。同時又能保證80這樣的服務的連接正常通過。就能有效的抑制BT這樣占用帶寬應用。1.1.28.?? 防止惡意占用帶寬
除了病毒和******以外,惡意的帶寬占用行為,主要是指使用一些大流量的網絡應用(如FTP、BT、視頻、實時點播等)。在一個大型局域網里面,沒有帶寬管理,結果是可想而知的。本來有限的帶寬資源平均分配后,每個用戶所能得到的就有限,某些家伙使用大流量的應用之后,其它用戶所能得到的帶寬就更少。大流量的應用占用帶寬之后,直接影響別的應用的質量,通常是實時性要求比較高的網絡應用,如網絡游戲等交互式應用。在網吧,或者小區網絡環境下,幾個使用BT下載的家伙就可以使這個網絡的游戲玩家出現卡機,掉線的現象。BT是網絡管理員最為討厭的軟件之一,它不僅占據帶寬,而且它是多連接的應用,一臺主機的BT下載打開后,會發起成百上千的連接,太多得連接會占用路由器的處理器和內存資源,降低路由器的性能。 天網防火墻的帶寬管理功能可以對數千臺主機的帶寬進行管理,防止它們超過限制數值。同時,帶寬管理可以依據時間段設置,可以在繁忙時段降低帶寬限制值,在空閑時段提高限制值,以此提高帶寬的利用率。 同時,為了限制BT這些多連接應用,天網防火墻實現了大多數路由器和防火墻沒有實現的功能。限制單個IP地址的連接數。通過設定較小的許可并發連接數,可以有效的抑制多連接應用的運行。?
1.1.29.??? 關鍵字內容過濾
網絡的膨脹,讓很多不應該進入網絡里面的東西到處充斥在網絡之中,網絡管理員要想把這些東西和內部網絡隔離開來,實在是一件非常麻煩的事情。天網防火墻的內容過濾為專門解決這個問題而設計的,它工作在應用層能夠監視每一個連接的內容,發現與設置的關鍵字匹配,就可以馬上向兩邊發送reset,從而斷開兩邊的連接,保證用戶不能訪問到包含不合適的內容。1.1.30.?? 支持URL攔截
在日常網絡管理中,管理員經常需要控制內部網絡對某些站點的訪問,如防止某些用戶訪問某些×××站點等等,或者僅允許部分用戶訪問某些站點,這個時候就需要有嚴格的管理工具來實現,而且由于防火墻是工作在網絡層,而這些訪問信息包含在應用層,所以必須在防火墻上增加一些功能模塊來實現。 天網防火墻提供支持中文URL級的過濾,它可以做到控制,屏蔽用戶通過其他代理服務器訪問web站點。系統可以根據黑名單對用戶訪問的URL進行攔截或放行的處理。 同時,天網防火墻還可能針對不同的后綴名文件類型進行下載控制。1.1.31.?? 管理內部網聊天工具
天網防火墻群組過濾功能特別適合過濾一些聊天工具。現實常用的聊天網站,QQ、MSN、POPO等,都是一個龐大的服務器機群。擁有數百臺服務器主機。而且這些聊天服務最可惡的是會使用TCP 80端口接受訪問,使通過端口過濾的方法不能實現,傳統的防火墻過濾數百個IP又是極其麻煩的事情。 有了群組過濾功能,這些事情就很簡單了,我們就直接定義MSN、QQ這些IP組,然后直接過濾這些組就可以了。而且的防火墻規則可以設定生效時間。因此,你可以通過設定規則,使員工上班不能聊天,下班時間又放開。這樣就不會讓員工抱怨限制過多。1.1.32.??? 精確到單個主機和連接信息記錄功能
天網防火墻擁有強大的主機信息記錄功能。系統內部會為所有管理的主機都分配流量信息記錄結構,因此可以統計出局域網內所有主機的流量信息。系統也是依據這些信息對每臺機器的上下行包數,上下行帶寬進行控制。系統對每臺主機的信息記錄精確到它的每個連接。系統記錄的信息包括: 1.? 每臺主機的上下行流量和速率; 2.? 每臺主機的上下行包數和包速率; 3.? 每臺主機的TCP和UDP連接數目; 4.? 每臺主機的每個連接的目的地址,端口,域名(網絡查詢過的域名會進行緩存); 5.? 每個連接的上下行流量和速率; 6.? 每個連接的上下行包數和包速率; 7.? 每個連接的起止時間; 8.? 每個連接的狀態。 可以設定數據采樣的時間間隔,系統將當時這個局域網流量信息采樣,并記錄到硬盤。這樣,管理人員就可以查找數天前的網絡狀況,在網絡故障后,管理員可以察看歷史紀錄,判定是什么主機占用了資源。對于企業用戶,可以察看員工的所有上網記錄。?
?
?
?
轉載于:https://blog.51cto.com/kingzoo/50433
總結
以上是生活随笔為你收集整理的天网防火墙技术白皮书的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 手动修改美化7zip图标 - 附替换文件
- 下一篇: lisp成套电气设计_关于成套设计转电气