准则
NetEye 防火墙资格证书
防火墙的体系结构
> 主流防火墙技术：
状态检测包过滤技术 应用代理技术
> 目前市场上主流产品的形态：
集成了状态检测包过滤和应用代理的混合型产品
混合型产品的样子
应用级代 理 状态检测 包过滤
缺点： • 规则并行 • 有IP、端口 • 性能
NetEye防火墙内核处理模式
采用NAP协议入侵检测产品完美集成工作
生产部
工程部
警告!
记录进攻, 发送消息, 市场终部止连接
DMZ E-Mail File Transfer HTTP
中继
路由
Internet
邮件等多种方式 通知管商理务伙员伴
人事部
Intranet
外部攻击
企业网络
重新配置 防火墙以便 阻断攻击者
中止连接
> 对网络中的数据流进行分析，解码。查找网络问题
乌鲁木齐
> 在全国建有8个研发中心，在32个 ▲ 城市设有分支机构，形成分布式 的研发、销售、服务体系
> 现有正式员工5000多人，大学以 上学历占93%，软件开发人员2500 多人
> 2001年5月更名为东软股份
哈尔滨▲
总部
长春
▲ 服务机构
▲
沈阳
▲
北京 ▲
▲大连
▲天津
太原 ▲
济南 ▲ ▲ 青岛
西安 ▲ ▲郑州
> 先后获得辽宁省和国家级优秀新 产品证书
> 2001年5月发布3.0版本
> 2002年3月发布3.1版本
> 2003年2月发布3.2版本
NetEye防火墙符合的国家标准
> 通过公安部第三研究所检测，NetEye防火墙符合三个最新的国家标准：
GB/T 18019-1999：包过滤防火墙安全技术要求 GB/T 18020-1999：应用级防火墙安全技术要求 GB/T18366-2001的标准：信息技术、安全技术，信息技术安全性评估
NetEye防火墙—应用级过滤
H.323应用
ORACLE访问
BEA TUXEDO
用户定制应用
流过滤平台
WWW访问控制---对内网用户的访问限制
生产部 工程部 市场部
DMZ E-Mail File Transfer HTTP
中继
路由
Internet
访问非法的国外站点 反动 色情 聊天危害企
业正常网络通讯。
• 实时监控当前网络的连接状态 • 设置连接延迟、中断连接 • 网络数据的采集和分析
NetEye 防火墙的显著优势
东软NETEYE防火墙
苏州工业园区云睿网络科技有限公司
2010-05
©2004 Neteye. All rights reserved. Confidential – Do Not Copy or Distribute
东软股份资质
> 公司概述 > 质量管理 > 信息安全领域发展历程
公司概述
> 原名：东大阿尔派软件股份有限 公司公司，创建于1991年，96年 成为首家上市的软件公司
Internet
Firewall+VPN
• NetEye VPN 同时集成了防火墙和VPN的功能 • 具有NetEye防火墙先进的体系结构和可靠的安全性 • 可防御各种攻击，保护了VPN自身的安全性 • 具有与防火墙一致的身份验证机制 • 具有VPN产品数据传输的完整性和机密性
管理功能特性
> 管理功能 全GUI图形界面 按角色分权管理模式 > 管理员、安全员、审计员 集中的远程管理能力 快速配置备份和恢复能力 支持SNMP管理(V1,V2,V3)
成都
▲ ▲重庆
合肥 武汉 ▲
▲
▲
南京 ▲上海
▲杭州
长沙 ▲南昌
▲贵阳 ▲
福州 ▲
▲昆明 南宁 ▲
广州 ▲
▲ 深圳
中国软件产业质量体系的领导者
1998年1月，中国第一家同时通过软件开发与系 统集成ISO9001质量体系认证
2000年9月，率先通过CMM Level 2 2000年10月，中国第一家通过ISO9001 2000版
定制安全系统 安全咨询与服务
NetEye NetEye NetEye U- 安全 安全 FireWall IDS VPN CA 快递 数据库
NetEye Platform
PKI Infrastructure
DataBase
NetEye Platform
操作系统内核中的安全平台
增强的OS内核
入侵识别与 响应
VPN Firewall
InInteternrneet t
需要在防火墙上开通VPN流量的 通道
VPN Firewall
Internet
VPN流量的安全性得不到保证
不同种类的 VPN/Firewall 结构
Firewall VPN
Internet
VPN 设备容易被攻击 例如： denial of service （DOS）
行高级别的安全防护。
正常用户邮件不受限制
生产部
工程部
DMZ E-Mail File Transfer HTTP
中继
路由
SMTP邮件控制
Internet
垃圾邮件制造者
市场部
Intranet
在防火墙中可以限制本地邮 件服务器允许接受的邮件域 ，对不属于规则范围的地址
直接阻断！
FTP访问控制实现更细的访问粒度
外部DNS服务器
公网环境
返回服务器对外NAT地址 为202.106.0.22
内部服务器地址：10.0.0.1 域名：
DMZ服务区
模块化升级
> Unicode缺陷
2001年5月份发布警告及基于HTTP过滤模块的保护规则
> SQL Slammer
发现攻击样本后当天发布安全警告 1天后提供IDS升级包 2天后提供防火墙保护策略
管理员可以正常从内部网络访问服务器
生产部 工程部
DMZ E-Mail File Transfer HTTP
中继
路由
Internet
市场部
Intranet
在防火墙中进行设置不允许 管理员帐号从外部网络登陆
访问服务器。
双向NAT
正向NAT
192.168.1.0/24
INTERNAL
202.94.1.1
> 监控功能 实时在线监控和分析工具 查看、分析连接表 设置连接延迟、中断连接 网络数据采集和分析工具
其它功能特性
> 容灾冗余设计
双机热备切换时间少于1秒钟 提供策略同步工具
> QoS管理
流量帐户管理、实时精确的流量控制 基于IP和用户组的流量编组 周期性和预存式流量管理 基于优先级的带宽控制
Intranet
在防火墙中可以对企业内部 用户访问WWW页面内容进 行访问规则限制，支持关键 字，实现阻断保护企业内部
网络。
WWW访问控制---对DMZ服务器的检查保护措施
生产部 工程部 市场部
DMZ E-Mail File Transfer HTTP
中继
路由
Internet
Intranet
在防火墙中可以对企业内部 DMZ区域的WWW服务器进
Router
DMZ
•Email •Ftp •HTTP
告警!
来自外部 Internet 的攻击
入侵特征库
财务部
内置入侵检测系统
来自内部 的攻击
市场部
研发部
攻击次数 20
比率(%)
源地址
目的地址
13.07
192.168.32. 70
192.168.32.12
攻击方法
IDS127-TELNEToginIncorrect
核心技术—流过滤
> 以包过滤的外部形态实现对应用层信息流的过滤
> 提供覆盖应用层和网络层的完整的访问控制
> 流过滤的突出特点： 融合了状态检测包过滤和应用代理安全保护能力 具有包过滤防火墙的透明性：容易部署、对应用透明 可以实现应用防护特性的迅速升级以抵御新出现的攻击手段
> 专为防火墙实现的TCP协议栈： 抛弃了Socket接口，轻量、高效、极低的内存占用，支持大规模并 发访问 极强的抗攻击能力 抵御各种TCP层的扫描
> 骨干封装能力
－ 对VLAN Trunk的支持
> 视频多播、NetMeeting等
> 防止DoS攻击
> 双向DNS解析
> 与NetEye IDS联动
> 与防病毒产品联动
> 硬件特性
多处理器平台 冗余电源 可扩展网口
> 千兆产品
> 军队内部专用版本
盾—JUN1专用防火墙
权威组织的高度评价
NetEye 防火墙的显著优势
1999
2000
2001 > 防火墙3.1、NetEye灵巧网关、 NetEyeVPN移动客户端
> 发布NetEy FW 3.0、NetEye IDS NetEye VPN
> 发布NetEye FW 2.0
1996 > 年发布第一个防火墙产品
> 进开始进入信息安全领域
网络安全研发队伍
> 100余人的研发队伍 10%前瞻性研究 58%产品开发 25%测试队伍 7%售前售后技术支持
认证（挪威船级社） 2001年6月，中国第一家通过
CMM Level 3 2002年12月，中国第一家通过 CMM Level 5
强大的系统集成能力