Secospace USG9100 系列产品 技术建议书V101015.docx
《Secospace USG9100 系列产品 技术建议书V101015.docx》由会员分享,可在线阅读,更多相关《Secospace USG9100 系列产品 技术建议书V101015.docx(19页珍藏版)》请在冰点文库上搜索。
SecospaceUSG9100系列产品技术建议书V101015
SecospaceUSG9100技术建议书
华赛技术有限公司
版权所有XX
目录
1概述3
1.1网络安全3
1.2网络安全管理3
2×××网络分析4
2.1×××网络现状4
2.2×××网络安全问题与分析4
2.3×××网络安全需求4
3×××网安全解决方案5
3.1大型IDC中心或城域网安全解决方案5
3.2大型企业网络总部安全防护6
3.3×××网络安全设备选择6
4USG9100防火墙7
4.1高性能处理7
4.2多安全区域8
4.3多种功能模式8
4.3.1工作模式8
4.3.2集成路由功能9
4.4增强的报文过滤9
4.4.1更快捷的ACL查找9
4.4.2黑名单过滤恶意主机9
4.5多种NAT应用9
4.5.1地址转换10
4.5.2内部服务器10
4.5.3多种NATALG10
4.6强大的攻击防范能力11
4.6.1防范多种DoS攻击11
4.6.2防范扫描窥探攻击11
4.6.3防范其它攻击12
4.7电信级高可靠性12
4.8认证12
4.8.1多种认证方式12
4.9安全保障的VPN应用12
4.10增强的日志管理13
4.10.1日志服务器13
4.10.2两种日志输出方式13
4.10.3多种日志信息14
4.11丰富灵活的维护管理14
丰富的维护管理手段14
基于SNMP的终端系统管理15
4.12符合多项测试和认证要求15
4.13USG9100规格16
4.14USG9100整机性能指标18
1概述
Internet的普及为社会的发展带来了巨大的推动力,但同时也产生了大量的网络安全问题,越来越受到金融、教育、电力、交通等机构以及众多企业的重视。
网络安全问题主要包括两个层面:
网络本身的安全问题和网络安全管理问题。
1.1网络安全
Internet网络的开放性,使得其非常容易遭受攻击。
随着攻击工具越来越容易获取,网络攻击的技术门槛越来越低,使得基于网络层的攻击变得多种多样并且层出不穷。
目前网络中主要的攻击包括:
Synflood、UDPFlood、ICMPFlood、IPSpoofing、Land攻击、Smurf攻击、Fraggle攻击、Winnuke攻击、PingofDeath、TearDrop、地址扫描攻击、端口扫描攻击、IPOption攻击、IP分片报文控制、TCP标记合法性检查、超大ICMP报文控制、ICMP重定向报文控制、ICMP不可达报文控制、Tracert报文控制等等。
网络层攻击的大体上可分为三个种类:
带宽攻击、主机或者网络核心设备攻击以及扫描类攻击。
带宽攻击主要是攻击者通过发送大量的攻击数据包侵占网络带宽,致使网络拥塞,导致正常业务受到影响;主机或者网络核心设备攻击主要是攻击者通过特定攻击工具并针对主机或者网络核心设备的某个应用和漏洞进行攻击,致使被攻击设备资源耗尽或者宕机,从而使其无法处理正常业务数据;扫描类攻击主要是攻击者在入侵之前通过IP地址或者端口扫描获取网络中存活主机的信息,从而为下一步入侵做准备。
1.2网络安全管理
网络安全安全管理包括用户对自身网络资源进行有效的设备部署、网络安全区域划分、资源保护等级划分等安全规划管理,使得在网络安全运行的基础上。
同时也包括用户制定的相关信息安全的规章制度。
网络安全管理就是通过两者的互相辅助,从而提高用户网络的管理水平,更好的保证网络安全和业务正常运作。
2×××网络分析
2.1×××网络现状
[此部分主要包括两个部分:
1、现有网络拓扑图,新建网络,则需要提供目标网络________________________________________的网络拓扑图,用来进行安全方案的分析。
2.×××网络承载的业务,主要是流量要流经防火墙处理的业务]
[给出现网的业务流分析图,使得客户对现有网络安全问题理解的更加清晰]
2.2×××网络安全问题与分析
[此部分主要包括以下几个部分(主要根据与客户的沟通以及我们自己的分析给出):
1.×××网络出口安全隐患:
DoS攻击,端口扫描
2.×××网络业务安全隐患:
需要对不同安全区域的业务进行过滤,丰富管理手段
3.×××网络接入问题:
设备提供丰富的VPN接入功能,实现安全访问控制。
4.×××网络地址转换问题:
专业的NAT设备,具有良好的性能以及灵活的策略NAT功能,以及丰富的NATALG功能。
5.×××网络NAT事后追踪:
由于NAT隐藏了内部的网络结构,使得内部访问外网出现社会安全事件时,事后追踪措施变得极为重要。
提供专用的日志服务器,二进制的NAT日志存储、查询为事后追踪提供重要的技术手段。
2.3×××网络安全需求
[新增统一安全网关,用以满足×××网络以下需求(根据××网络安全问题与分析给出需求):
1.防范网络攻击:
在网络出口和不同的安全区域之间启用网络攻击防范,防止外网网络攻击和部门之间网络攻击蔓延。
2.安全区域划分:
将不同业务划分为不同的安全区域。
3.……]
3×××网安全解决方案
3.1大型IDC中心或城域网安全解决方案
防火墙USG9100串连在大型IDC出口,防火墙主要承担以下功能:
1.启用防火墙攻击防范以及访问控制,抵御外来的各种攻击。
2.根据需要启用地址转换功能,满足出口公网不足的需要。
3.根据需要开启虚拟防火墙功能,通过不同的虚拟防火墙与不同用户或应用对应,将不同的服务器群用虚拟防火墙隔离。
4.启用VPN的功能,允许移动用户通过拨号的方式接入不同的VPN,访问不同VPN里的业务或者设备。
5.两台防火墙采用双机热备,可以采用主备热备方式或主主热备方式。
3.2大型企业网络总部安全防护
防火墙USG9100放置在总部出口,主要承担以下功能:
1.启用防火墙攻击防范以及访问控制,抵御外来的各种攻击。
2.根据需要启用地址转换功能,满足出口公网不足的需要。
3.根据需要开启虚拟防火墙功能,通过不同的虚拟防火墙与各大客户对应,将不同的服务器群
用VPN隔离开。
4.启用VPN的功能,允许出差移动用户通过拨号的方式接入不同的VPN,访问不同VPN里的业务或者设备。
5.两台防火墙采用双机热备,可以采用主备热备方式或主主热备方式.。
3.3×××网络安全设备选择
[根据具体的情况选择USG9110或USG9120]
汇总以上业务、以及安全防范的需求,总结出对防火墙的功能和性能要求,并据此推荐相应的设备。
4USG9100防火墙
ATCA架构配合以多核处理技术,结合我司自主知识产权的VRP软件平台共同构成我司高端万兆防火墙USG9100。
USG9100是我司推出的高端万兆统一安全网关,具有大容量、高性能、高可靠性的特点,可部署于大型企业、机构网络出口、大型IDC(InternetDataCenter)出口等网络位置。
USG9100不仅支持基本安全特性和DDoS(DistributedDenialofService)攻击防范功能,同时还支持多种VPN功能,包括IPSec(IPSecurity)VPN、L2TP(Layer2TunnelingProtocol)VPN和GRE(GenericRoutingEncapsulation)VPN。
此外,USG9100统一安全网关还支持新一代Internet密钥交换协议IKEv2(InternetKeyExchangeversion2)以及扩展认证协议EAP(ExtensibleAuthenticationProtocol),提供业界领先的IKEv2VPN网关功能,可为无线接入领域提供安全防护,为移动用户提供完善的安全保证。
在组网应用方面,USG9100作为高性能安全设备提供全面的攻击防范能力,提供全方位的、灵活的网络解决方案,有效提高了网络的安全级别。
USG9100的软硬件特性符合国际标准,保证了与其它厂家产品在各个层面上的互通,可最大限度地保护用户的已有投资。
4.1高性能处理
USG9100系列包括USG9110和USG9120两种型号。
硬件方面采用业界领先的ATCA架构的USG9100与业界传统的安全网关相比,在增强扩展灵活性的同时提供强大的处理性能。
USG9100每个业务板的吞吐量为10G,每秒新建连接数为25万,最大并发连接数为400万,在吞吐量、每秒新建连接数、最大并发连接数这三个性能指标上处于行业最高水平。
在整机方面,USG9100足以满足高端用户对高性能的需求:
USG9110的最大吞吐量可以达到40G、每秒新建连接数可以达到100万、最大并发连接数可以达到1600万。
USG9120的最大吞吐量可以达到120G、每秒新建连接数可以达到300万、最大并发连接数可以达到4800万。
USG9110/USG9120的每个业务板支持4万IPSec并发隧道数,整机最高支持16/48万。
4.2多安全区域
安全区域是一个或多个接口的组合,不同安全区域具有互不相同的安全级别。
USG9100支持多个安全区域,即除了支持本地区域(Local)、受信区域(Trust)、非受信区域(Untrust)、DMZ(DemilitarizedZone)区域四种预定义的安全区域外,还支持多个用户自定义安全区域。
通常:
●Trust域用来连接用户要保护的内部网络
●Untrust域连接外部网络
●DMZ域连接用户向外部提供服务的网络
●Local域用来保护USG9100防火墙自身
任何访问设备自身的报文(如Telnet到设备)都被看作是从入接口所连接区域访问Local域的跨域访问,从而有效保护防火墙自己。
当数据在两个不同的安全区域之间流动的时候,就会激活防火墙的安全规则检查功能。
通过在安全区域之间设置不同的安全防范策略,可以灵活有效地监控进出该区域的信息流。
4.3多种功能模式
4.3.1工作模式
USG9100支持多种功能模式,丰富了组网应用:
●路由模式:
USG9100各接口具有确定的IP(InternetProtocol)地址,内部网络和外部网络的设备都清楚到该USG9100的路由,这种方式适合网络初建时,IP地址统一规划有助于全网络管理。
●透明模式:
USG9100各接口不配置IP地址,以透明方式嵌入到内部网络和外部网络之间,内部和外部网络的设备都察觉不到该USG9100的存在。
这种方式无需重新规划网络中的IP地址和路由,同时可以使USG9100免受外界入侵。
●混合模式:
USG9100既存在工作在路由模式的接口(接口具有IP地址),又存在工作在透明模式的接口(接口无IP地址)。
4.3.2集成路由功能
USG9100在提供丰富安全特性的同时,集成了部分路由能力,如静态路由及RIP(RoutingInformationProtocol)、OSPF(OpenShortestPathFirst)、BGP(BorderGatewayProtocol)及IS-IS(IntermediateSystemtoIntermediateSystem)动态路由,同时还支持路由策略、路由迭代,从而使得USG9100的组网应用更加灵活。
4.4增强的报文过滤
4.4.1更快捷的ACL查找
USG9100基于TCAM技术进行ACL查找,在进行数万条ACL规则的查找时对防火墙处理性能影响不大,从而确保了ACL查找的高速度,提高了系统整体性能。
4.4.2黑名单过滤恶意主机
USG9100将某些可疑报文的源IP地址记录在黑名单列表中,系统通过丢弃黑名单用户的所有报文,从而有效避免某些恶意主机的攻击行为,这项功能就为用户群体广泛的服务商或企事业机构提供了安全保证。
USG9100提供如下几种黑名单列表维护方式:
●手工添加黑名单记录,实现主动防御
●与攻击防范结合自动添加黑名单记录,起到智能保护
●系统根据ICMP(InternetControlMessageProtocol)、TCP(TransmissionControlProtocol)/UDP(UserDatagramProtocol)过滤情况维护黑名单列表
4.5多种NAT应用
地址转换NAT功能主要用于将私有网络地址转换为公有网络(Internet)地址,同时也可以提供“内部服务器”功能。
4.5.1地址转换
地址转换技术引入地址池的概念,在转换时,USG9100从地址池中根据特定规则选择一个IP地址作为转换后的源地址,完成地址转换。
这个选择的过程对用户来讲是透明的。
地址转换包括两种形式:
●支持一对一的纯IP地址转换
●支持基于地址池的IP地址转换
●支持根据不同地址实施不同策略的地址转换
●支持结合地址和端口(TCP/UDP协议的端口信息)进行PAT转换(PortAddressTranslation)
●支持根据ACL规则进行地址转换
●支持端口级地址转换
4.5.2内部服务器
内部服务器是一种“反向”的地址转换,通过配置参数,使得某些私有地址的内部主机可以被外部网络访问。
内部网络的服务器是一台配置了私有地址的机器,可以通过NAT为这台主机映射一个合法的公网IP地址;或通过PAT为主机提供一个公网IP地址和端口,当外部用户访问该合法地址时,NAT或PAT网关(即USG9100)就将该访问请求送到了内部服务器,这样就为外部网络提供了“内部服务器”。
4.5.3多种NATALG
NAT采用“注册”方式支持多种NATALG(ApplicationLevelGateway),包括:
●l支持FTP(FileTransferProtocol)协议的NATALG。
●l支持ICMP(InternetControlMessageProtocol)协议的NATALG。
●l支持RTSP(Real-TimeStreamingProtocol)协议的NATALG。
●l支持腾讯公司提供的QQ聊天会话的NATALG。
●l支持Microsoft公司提供的MSNmessenger聊天会话的NATALG。
通过“注册”方式支持特殊协议,使软件有良好的扩充性,无需更改软件构架,很容易支持新的协议。
4.6强大的攻击防范能力
随着Internet的广泛应用,网络攻击手段越来越高明,并且越加隐蔽。
按照攻击采用的方式,网络攻击大致可以分为:
DoS(DenialofService)攻击、扫描窥探攻击、其它攻击。
USG9100提供强大的攻击防范机制,对设备进行安全保护,防止非法报文对内部网络造成危害。
4.6.1防范多种DoS攻击
通常,DoS攻击使用大量数据包(或某些畸形报文)来攻击系统,使系统无法正常响应合法用户的请求,或者导致主机挂起从而不能提供正常的工作。
DoS攻击和其他类型的攻击有显著的区别,即攻击者并不是去寻找进入内部网络的入口,而是使得合法的用户不能正常访问资源,即对正常用户拒绝服务。
USG9100可以有效地检测出这些类攻击报文,通过丢弃这些报文等处理措施避免攻击行为,同时将这些攻击行为记录在日志中。
目前,USG9100可以防范多种DoS攻击,主要包括:
SYNFlood攻击、ICMPFlood、UDPFlood攻击、Land攻击、Smurf攻击、Fraggle攻击、WinNuke攻击、ICMP重定向或不可达报文等。
某些DoS攻击是采用畸形报文,即通过向目标系统发送有缺陷的IP报文,使得目标系统在处理这样的IP包时会出现崩溃,给目标系统带来损失。
USG9100可以快捷地检测出这类畸形报文,防范攻击行为。
这类畸形报文攻击包括:
TCP报文标志位(如ACK、SYN、FIN等)不合法、PingofDeath攻击、TearDrop攻击等。
4.6.2防范扫描窥探攻击
扫描窥探攻击是利用ping扫射来标识网络上存活着的系统,从而准确的定位潜在的目标;利用TCP和UDP端口扫描,就能检测出操作系统监听的潜在服务。
攻击者通过扫描窥探能大致了解目标系统提供的服务种类和潜在的安全漏洞,为进一步侵入系统做好准备。
USG9100通过比较分析,可以灵活高效地检测出这类扫描窥探报文,从而预先避免后续的攻击行为。
这些扫描窥探攻击包括:
地址扫描、端口扫描、IP源站选路选项、IP路由记录选项、利用tracert工具窥探网络结构等。
4.6.3防范其它攻击
USG9100除了可以有效防范多种DoS攻击和扫描窥探外,还可以有效防范IPSpoofing攻击,确保系统访问权的安全。
4.7电信级高可靠性
USG9100全部采用专门设计的硬件系统,支持温度监控、风扇自动调节转速,可适应恶劣环境应用。
同时,USG9100按照电信级产品的要求设计,关键部件热插拔,满足网络对设备的高可靠性的要求。
4.8认证
4.8.1多种认证方式
USG9100提供了认证、授权和计费的一致性框架,对网络访问安全进行了集中管理。
USG9100提供本地认证、标准RADIUS(RemoteAuthenticationDial-InUserService)认证、RADIUS+认证、HWTACACS(HuaweiTerminalAccessControllerAccessControlSystem)认证。
提供明文、MD5(Message-DigestAlgorithm5)鉴权等手段,支持本地用户管理,可验证用户身份的合法性并为合法用户进行授权,防止非法用户进行访问。
4.9安全保障的VPN应用
USG9100可以通过软件或硬件加密卡提供IPSec(IPSecurity)安全机制,为通讯双方提供访问控制、无连接完整性、数据来源认证、反重放、加密以及对数据流分类加密等服务。
通过AH(AuthenticationHeader)和ESP(EncapsulatingSecurityPayload)这两个安全协议来实现对IP数据报或上层协议的保护,支持传输和隧道两种封装模式。
USG9100不仅支持IPSecVPN(VirtualPrivateNetwork)应用,为用户提供高可靠的安全传输通道,而且还能结合L2TP(Layer2TunnelingProtocol)和GRE(GenericRoutingEncapsulation)构建多种VPN应用:
●L2TPVPN
●GREVPN
●IPSECVPN
●L2TPoverIPSecVPN
●GREoverIPSecVPN
利用USG9100构建IntranetVPN,通过公用网络互连企业各个分支机构,作为传统专线网络或其它企业网的扩展及替代形式;构建AccessVPN,为SOHO(SmallOffice/HomeOffice)等小型用户搭建通过PSTN(PublicSwitchedTelephoneNetwork)/ISDN(IntegratedServicesDigitalNetwork)网络访问公司总部资源的安全通路;构建ExtranetVPN将企业网络延伸至合作伙伴与客户处,使不同企业间通过公网进行安全、私有的通讯。
4.10增强的日志管理
4.10.1日志服务器
为了集中性地接收并存储USG9100、IDS等网络安全设备的日志,公司推出了专门的日志服务器,为用户提供便捷的日志浏览和查询功能,并对日志进行分析。
日志服务器软件按照功能分为前台管理、后台进程两部分。
前台管理提供数据库配置、日志相关配置、日志分类查询等操作;后台进程包括日志收集进程、监听进程两种。
日志服务器软件可以自定义接收日志类型,提供日志存储、多种日志查询和导出、日志备份。
4.10.2两种日志输出方式
USG9100不仅能通过文本方式输出SYSLOG日志;而且还针对流经设备的数据流量大和日志信息丰富等特点,创建基于流状态的信息表,并通过二进制方式输出高速流日志。
和SYSLOG日志相比,二进制高速流日志更适合传输日志信息量大的应用,要求较高的网络传输速度。
4.10.3多种日志信息
USG9100提供完整、统一的日志信息描述,日志类型包括:
●攻击防范日志
当发生大量攻击时,USG9100利用队列机制对设备支持的攻击防范特性提供日志告警信息,通过SYSLOG方式输出告警,告警信息包括攻击来源(源地址)和攻击种类等。
●黑名单日志
USG9100对于在检测中发现的非法用户,自动将该用户的源IP地址加入到黑名单中,并产生一条黑名单日志,该日志记录主机地址、加入原因等信息。
●多种统计信息
−记录流统计信息,了解设备运行状况。
这些流统计信息包括:
总的连接数目、当前连接及半连接数目及丢弃报文数目。
−记录各种攻击报文的数目,了解攻击事件的发生情况。
4.11丰富灵活的维护管理
丰富的维护管理手段
USG9100可以通过如下方式进行本地或远程维护:
●支持通过Console口进行本地配置和维护。
●支持通过Telnet方式实现本地或远程配置和维护。
●支持SSH(SecureShell)维护管理方式,实现在不能保证安全的网络上提供安全信息保障和强大认证功能,以避免受到IP地址欺诈、明文密码截取等等攻击。
基于SNMP的终端系统管理
USG9100支持SNMP(SimpleNetworkManagementProtocol)(V1/V2c/V3)协议和Client/Server体系结构,接受NMS(NetworkManagementSystem)网管的管理。
4.12符合多项测试和认证要求
USG防火墙按照中国、欧洲、澳洲等国家和地区的国际标准和国家标准设计,满足UL(UnderwriterLaboratoriesInc.)、CE、FCC标准和FCC-Part15、VCCI、安规等硬件认证及入网需求。
4.13USG9100规格
USG9100功能特性列表,如下表所示:
属性
说明
安全和攻击防范
包过滤
支持基本ACL、高级ACL。
支持时间段ACL。
支持黑名单。
NAT
地址转换(NAT和PAT)。
提供内部服务器。
支持NAT服务器、端口级NAT服务器。
支持多种NATALG,包括FTP、ICMP、RTSP、MSN、QQ等。
防范攻击
防范多种DoS攻击:
SYNFlood、ICMPFlood、UDPFlood、WinNuke、ICMP重定向和不可达报文、Land、Smurf和Fraggle等。
防范扫描窥探:
包括地址扫描、端口扫描、IP源站选路选项、IP路由记录选项、ICMP探测报文。
防范其它攻击:
如IPSpoofing等。
认证
支持AAA、RADIUS、HWTACACS协议
支持基于域的管理
支持本地用户管理
网络互连
链路层协议
支持Ethernet
支持VLAN
支持PPP
支持HDLC
IP服务
支持ARP地址解析。
路由协议
支持静态路由。
支持RIP、OSPF、BGP、IS-IS动态路由。
支持策略路由。
支持路由迭代。
VPN
支持AH、ESP认证协议,支持传输和隧道模式封装。
支持IKE、IKEv2密钥交换协议。
支持L2TPVPN。
支持
升级会员 