网络卫士防火墙系统NGFW4000系列产品说明天融信TOPSEC® 北京市海淀区上地东路1号华控大厦 100085电话:+8610-82776666传真:+8610-82776677服务热线:+8610-8008105119版权声明 本手册的所有内容,其版权属于北京天融信公司(以下简称天融信)所有,未经天融信许可,任何人不得仿制、拷贝、转译或任意引用。
本手册没有任何形式的担保、立场倾向或其他暗示。
若因本手册或其所提到的任何信息引起的直接或间接的资料流失、利益损失,天融信及其员工恕不承担任何责任。
本手册所提到的产品规格及资讯仅供参考,有关内容可能会随时更新,天融信恕不承担另行通知之义务。
版权所有不得翻印© 1995-2006天融信公司商标声明 本手册中所谈及的产品名称仅做识别之用,而这些名称可能属于其他公司的注册商标或是版权,其他提到的商标,均属各该商标注册人所有,恕不逐一列明。
TopSEC®天融信信息反馈NGFW 4000系列产品说明目录1产品概述 (2)2产品特点 (2)3产品功能 (8)4运行环境 (13)5产品规格 (14)6典型应用 (15)6.1典型应用一:在企业、政府纵向网络中的应用 (15)6.2典型应用二:在企业、政府内部局域网络中的应用 (16)6.3典型应用四:在大型网络中的应用 (17)6.4典型应用五:防火墙作为负载均衡器 (17)6.5典型应用六:防火墙接口备份 (18)1产品概述十几年来,天融信专注于信息安全,第一家开发出自主防火墙系统,第一家提出TOPSEC联动技术体系。
网络卫士防火墙历经了包过滤、应用代理、核检测等技术阶段,目前已进入以自主安全操作系统TOS(Topsec Operating System)为基础,以完全内容检测为标志的技术阶段,集成了防火墙、VPN、带宽管理、防病毒、入侵防御、内容过滤等多种安全功能。
网络卫士防火墙系列在政府、银行、电力、军工、电信、税务、教育、能源、交通等行业中广泛应用,全国20,000多网络和业务在其保护下平稳运行。
天融信基于多年的技术积累和用户信赖,连续多年蝉联国内第一防火墙品牌。
网络卫士防火系列市场占有量巨大,它保护的网络遍布在祖国大江南北,并已走出国门在一些全球性的业务网络上成功实施,为广大用户的信息安全建设立下了汗马功劳。
NGFW4000系列属于网络卫士系列防火墙的中高端产品,特别适用于网络结构复杂、应用丰富、高带宽、大流量的大中型企业骨干级网络环境。
2产品特点z自主安全操作系统平台采用自主知识产权的安全操作系统 — TOS(Topsec Operating System),TOS拥有优秀的模块化设计架构,有效保障了防火墙、VPN、防病毒、内容过滤、抗攻击、流量整形等模块的优异性能,其良好的扩展性为未来迅速扩展更多特性提供了无限可能。
TOS具有具有高安全性、高可靠性、高实时性、高扩展性及多体系结构平台适应性的特点。
z CleanVPN服务企业对VPN应用越来越普及,但是当企业员工或合作伙伴通过各种VPN远程访问企业网络时,病毒、蠕虫、木马、恶意代码等有害数据有可能通过VPN隧道从远程PC或网络传递进来,这种威胁的传播方式极具隐蔽性,很难防范。
同时具备防火墙、VPN、防病毒和内容过滤等功能,并且各功能相互融合,能够对VPN 数据进行检查,拦截病毒、蠕虫、木马、恶意代码等有害数据,彻底保证了VPN通信的安全,为用户提供放心的CleanVPN服务。
z完全内容检测CCI内容检测技术发展至今,大致经历了三个阶段,从早期的状态检测(Status Inspection)到后来的深度包检测(Deep Packet Inspection),现在已经发展到了最新的完全内容检测(CCI,Complete Content Inspection)。
状态检测只检查数据包的包头,深度包检测可对数据包内容进行检查,而CCI则可实时将网络层数据还原为完整的应用层对象(如文件、网页、邮件等),并对这些完整内容进行全面检查,实现彻底的内容防护。
在MAC层提供基于MAC地址的过滤控制能力,同时支持对各种二层协议的过滤功能;在网络层和传输层提供基于状态检测的分组过滤,可以根据网络地址、网络协议以及TCP 、UDP 端口进行过滤,并进行完整的协议状态分析;在应用层通过深度内容检测机制,可以对高层应用协议命令、访问路径、内容、访问的文件资源、关键字、移动代码等实现内容安全控制;同时还直接支持丰富的第三方认证,提供用户级的认证和授权控制。
网络卫士系列防火墙的多级过滤形成了立体的、全面的访问控制机制,实现了全方位的安全控制。
z独特的安全策略体系采用面向资源的防火墙策略体系。
通过建立独立的防火区域,以及中央管理接口、管理端口协议、节点对象、子网对象的应用,可以实现层次分明而又立体化的策略机制,制定灵活安全的通信策略和访问策略,策略配置简单,且易于维护,可以方便地定义各种粒度的安全规则。
z超强的防御功能高级的Intelligent Guard技术提供了强大的入侵防护功能,能抵御常见的各种攻击,包括Syn Flood、Smurf、Targa3、Syn Attack、ICMP flood、Ping of death、Ping Sweep、Land attack、Tear drop attack、IP address sweep option、Filter IP source route option、Syn fragments、No flags in TCP、ICMP碎片、大包ICMP攻击、不明协议攻击、IP欺骗、IP security options、IP source route、IP record route 、IP bad options、IP碎片、端口扫描等几十种攻击,网络卫士系列防火墙不但有内置的攻击检测能力,还可以和IDS产品 实现联动。
这不但提高了安全性,而且保证了高性能。
z强大的应用代理模块具有透明应用代理功能,支持FTP、HTTP、TELNET、PING、SSH、FTP—DATA、SMTP、WINS、TACACS、DNS、TFTP、POP3、RTELNET、SQLSERV、NNTP、IMAP、SNMP、NETBIOS、DNS、IPSEC—ISAKMP、RLOGIN、DHCP、RTSP、MS-SQL-(S、M、R)、RADIUS-1645、PPTP、SQLNET —1521、SQLNET—1525、H.323、MSN、CVSSERVER、MS-THEATER、MYSQL、QQ、SECURID(TCP、UDP)PCANYWHERE、IGMP、GRE、PPPOE、IPV6等协议,可以实现文件级过滤。
z丰富的AAA功能,支持会话认证网络卫士系列防火墙支持对网络用户提供丰富的安全身份认证,如一次性口令(OTP)、S/KEY、RADIUS 、TACACS、LDAP、secuid 、域认证及数字证书等常用的安全认证方法,也可以使用专用的认证客户端软件进行认证。
基于用户的安全策略更灵活、更广泛地实现了用户鉴别和用户授权的控制,并提供了丰富的安全日志来记录用户的安全事件。
网络卫士系列防火墙支持会话认证功能,即当开始一个新会话时,需要先通过认证才能建立会话。
这个功能可大大提高应用访问的安全性,实现更细粒度的访问控制。
z强大的地址转换能力网络卫士系列防火墙拥有强大的地址转换能力。
网络卫士系列防火墙同时支持正向、反向地址转换,能为用户提供完整的地址转换解决方案。
正向地址转换用于使用私有IP地址的内部网用户通过防火墙访问公众网中的地址时对源地址进行转换。
网络卫士系列防火墙支持依据源或目的地址指定转换地址的静态NAT 方式和从地址缓冲池中随机选取转换地址的动态NAT方式,可以满足绝大多数网络环境的需求。
对公众网来说,访问全部是来自于防火墙转换后的地址,并不认为是来自内部网的某个地址,这样能够有效的隐藏内部网络的拓扑结构等信息。
同时内部网用户共享使用这些转换地址,自身使用私有IP 地址就可以正常访问公众网,有效的解决了公有IP地址不足的问题。
内部网用户对公众网提供访问服务(如Web 、FTP 服务等)的服务器如果是私有IP 地址,或者想隐藏服务器的真实IP 地址,都可以使用网络卫士系列防火墙的反向地址转换来对目的地址进行转换。
公众网访问防火墙的反向转换地址,由内部网使用保留IP 地址的服务器提供服务,同样既可以解决公有IP 地址不足的问题,又能有效地隐藏内部服务器信息,对服务器进行保护。
网络卫士系列防火墙提供端口映射和IP 映射两种反向地址转换方式,端口映射安全性更高、更节省公有IP 地址,IP 映射则更为灵活方便。
z卓越的网络及应用环境适应能力支持众多网络通信协议和应用协议,如VLAN、ADSL、PPP、ISL、802.1Q、Spanning tree、IPSEC、H.323、MMS、RTSP、ORACLE SQL*NET、PPOE、MS RPC等协议,适用网络的范围更加广泛,保证了用户的网络应用。
同时,方便用户实施对VOIP、视频会议、VOD点播及数据库等应用的使用和控制。
z丰富的接入方式适应各种Ethernet的接入,支持ISL、Dot1q、MPLS等封装格式,支持Trunk即主干链路工作方式,能够同交换机的Trunk接口对接,并且能够实现VLAN间通过防火墙进行路由,满足了当今各种业务的建设需要,保证了防火墙无障碍地接入各种网络环境,最大限度地满足了用户的各种需求。
提供对ADSL等多种宽带接入方式的支持,支持ADSL的按需拨号、自动地址转换等实用功能,保证安全、便捷地通过ADSL接入Internet。
z智能的负载均衡和高可用性¾服务器负载均衡网络卫士系列防火墙可以支持一个服务器阵列,这个阵列经过防火墙对外表现为单台的机器,防火墙将外部来的访问在这些服务器之间进行均衡。
¾高可用性提供了双机备份功能,即在同一个网络节点使用两个配置相同的防火墙。
正常情况下一个处于工作状态,为主防火墙,另一个处于备份状态,为从防火墙。
当主防火墙发生意外宕机、网络故障、硬件故障等情况时,主从防火墙自动切换工作状态,从防火墙自动代替主防火墙正常工作,从而保证了网络的正常使用,网络卫士系列防火墙的双机热备功能使用自主专利的智能状态传送协议(ISTP),ISTP能高效进行系统之间的状态同步,实现了TCP协议握手级别的状态同步和热备。
当主防火墙发生故障时,这台防火墙上的正在建立或已经建立的连接不需要重新建立就可以透明地迁移到另一台防火墙上,网络使用者不会觉察到网络链路切换的发生。
¾流量均衡网络卫士系列防火墙支持完整生成树(Spanning-Tree)协议,可以在交换网络环境中支持PVST和CST等工作模式,在接入交换网络环境时可以通过生成树协议的计算,使不同的VLAN使用不同的物理链路,将流量由不同的物理链路进行分担,从而进行流量均衡,该功能和ISTP协议结合使用还可以在使用高可用性的同时实现流量均衡。