网神SecGate 3600防火墙技术白皮书V9121.docx

网神SecGate 3600防火墙技术白皮书V9121.docx

《网神SecGate 3600防火墙技术白皮书V9121.docx》由会员分享，可在线阅读，更多相关《网神SecGate 3600防火墙技术白皮书V9121.docx（13页珍藏版）》请在冰点文库上搜索。

网神SecGate3600防火墙技术白皮书V9121

技术白皮书

网神SecGate3600防火墙

本文档解释权归网神信息技术（北京）股份有限公司安全网关中心产品部所有有

网神信息技术（北京）股份有限公司

●版权声明

Copyright©2006-2013网神信息技术（北京）股份有限公司（“网神”）版权所有，XX。

未经网神书面同意，任何人、任何组织不得以任何方式擅自拷贝、发行、传播或引用本文档的任何内容。

●文档信息

文档名称

网神SecGate3600防火墙技术白皮书

扩散范围

销售/售前/客服/渠道商/用户

文档版本号

V9.7.1

作者

胡优

日期

2014/7/21

初审人

赵文波

复审人

●版本变更记录

时间

版本

说明

作者

1产品概述

网神SecGate3600防火墙（简称:

“网神防火墙）是基于完全自主研发、经受市场检验的成熟稳定SecOS操作系统,并且在专业防火墙、VPN、IPS、IDS、防毒墙的多年产品经验积累基础上精心研发的,专门为政府、军队分支机构、教育、大型企业的分支机构，中小型企业的互联网出口打造的集防火墙、防病毒、抗攻击、VPN、内容过滤、行为管理、IPS、带宽管理、用户认证等多项安全技术于一身的主动防御综合防火墙系统。

网神防火墙可灵活部署在政府、教育、军队、大中小型企业及其分支机构的网络边界，为用户同时提供多种、多层次安全防御，保护用户网络免受病毒、蠕虫、木马、垃圾邮件以及未知的攻击等混合威胁的侵害，同时为用户节省了购买多个设备的高昂费用，可简便地统一管理各种安全模块及相关日志、报告，大大降低了设备的部署、管理和维护成本。

2产品功能说明

2.1自适应的网络接入模式

网神防火墙支持透明、路由、交换、混合接入模式。

当工作在透明模式时，网神防火墙类似于一个网桥，不需要用户对网络的拓扑做出任何调整；当工作在路由模式时，网神防火墙类似于一个路由器，可以提供策略路由等功能；网神防火墙还可以工作在自适应的混合模式下，即不同端口有的在同一网段上（透明），有的在不同网段上（路由），这样更方便用户在各种网络环境的接入。

组播目前支持PIM-SM协议，PIM-SM是协议无关多播传送稀疏模式（ProtocolIndependentMulticast-SparseMode）的缩写。

它是一种适合于在稀疏环境下使用的多播协议。

由于稀疏区域的组成员很少，不能采用密集区域的简单的周期性扩散、剪枝的方法进行多播传输（否则网络的资源不足以应付其开销）。

多播协议不依赖于任何特定的单播协议（如RIP、OSPF等），而是直接利用单播路由表（FIB）作为多播路由信息的基础。

动态路由支持，目前我们支持动态路由协议RIP、OSPF和BGP，使网神防火墙能够适应更多复杂的网络应用。

2.2完善的状态包过滤

网神防火墙可以根据数据包的源地址、目标地址、协议类型、源端口、目标端口、用户以及网络接口等对数据包进行访问控制，而且能够记录通过网神防火墙的连接状态，直接对分组里的数据进行处理；具有完备的状态检测表追踪连接会话状态，并且结合前后分组里的关系进行综合判断决定是否允许该数据包通过，通过连接状态进行更迅速更安全的过滤。

支持复杂动态协议的状态包过滤，通过对协议内容的实时分析，动态开放所需的端口，传输结束后实时关闭端口，确保内网安全。

2.3全面的NAT地址转换

支持动态地址转换，支持地址池，即一对一，一对多，多对多；

支持静态地址转换；

支持端口转换，支持动态服务的映射，允许用户内部服务对外开放；

支持反向IP映射，允许用户内部IP主机对外开放；

支持双向地址转换（一般应用于两边权限对等网络中），即源地址和目的地址的同时转换；

支持基于策略（基于协议、目的地址）的地址转换。

2.4全面灵活的连接限制

网神防火墙提供了两种限制连接动作：

限制新建、限制并发。

连接限制可以保护服务器或服务器上提供的某项服务，限制对服务器过于频繁的访问。

在规定的时间内，如果访问服务器超过了所限制的次数，则会对连接实行阻断，在阻断时间段内，拒绝其对服务器的新的连接，也可以应用此功能对使用BT/电驴等连接数目过大严重影响网络流量的用户加以限制。

2.5病毒过滤

网神防火墙采用先进的病毒过滤引擎，有效保护用户的网络安全。

网神防火墙可以实现对计算机病毒、蠕虫、木马等的查杀。

目前能够扫描出400万多种病毒，支持包括zip、gzip、rar、tar等多种压缩格式文件病毒检测；同时可以针对HTTP、FTP、SMTP、POP3等协议进行防护。

网神防火墙集成的服务云安全技术是下一代内容安全防护技术，它与病毒代码比对技术同时为用户提供安全保护，但在防护的效果上云安全技术表现得更动态、更主动和更节省系统资源。

2.6邮件过滤

网神防火墙支持对SMTP、POP3邮件过滤，并且允许用户自己定义邮件地址、域名、关键字、附件、邮件主题等条件进行过滤，支持同时RBL实时黑名单查询功能。

另外还可以和实时黑白名单RBL服务器进行联动，最大限度的减小垃圾邮件的威胁。

2.7VPN功能

网神防火墙可以利用Internet为用户提供具有保密性、安全性、低成本、配置简单的VPN服务。

网神防火墙支持IPSEC、PPTP、L2TP和SSLVPN等多种连接方式。

并且IPSECVPN可以支持NAT穿越、星形连接、动态接入等多种方式。

强大的路由IPSecVPN功能,IPSecVPN功能不再局限于策略VPN，也支持路由模式的VPN。

基于路由的VPN和基于策略的VPN有完全一样的机制，并且继承了配置、实施、运行、故障恢复、监测和计费的机制和工具。

区别在于一个是基于路由表进行转发，一个是基于策略进行转发。

虽然SSL协议主要用于保护Web应用系统，但是网神SSLVPN也能够支持多种基于TCP/UDP的Client/Server结构的应用软件。

管理员只需通过简单的管理接口，即可在服务器上定义需要支持的应用或配置服务器使用的端口。

网神SSLVPN支持多种使用动态端口的应用协议，例如：

FTP、TFTP、Oracle、SQLServer等。

这些特性使得网神VPN能够最大程度地满足客户的应用需求，真正做到了应用与安全之间的平衡。

2.8强大的抗攻击能力

完全自主开发的SecOS安全协议栈，支持对常见攻击的检测和阻断，并可以实现针对ICMP、UDP、TCP的Flood攻击提交频度检查与阈值分析，如针对ICMPFlood完成过滤类型与代码、频度、包长检查，针对UDPFlood完成频度、包长检查，针对Synfloood完成频度检查。

针对最常见的SynFlood攻击，设置了SYNproxy以保护内部网络和网神防火墙本身免受此类的拒绝服务攻击，提供高安全性和高可用性。

支持对以下攻击的检测：

●TCP端口扫描

●UDP端口扫描

●Synflood攻击

●ICMPflood攻击

●UDPflood攻击

●Pingofdeath攻击

●Pingsweep攻击

●IPspoofing

●Land攻击

●Teardrop攻击

●CC攻击

●WinNuke攻击

●Synfragments攻击

●SynandFinbitset攻击

●NoflagsinTCP攻击

●FINwithnoACK攻击

●IPrecordroute

●IPsecurityoptions

●IPstream

2.9Web过滤

网神防火墙支持对网页中的java、javascrip、activeX等小程序的过滤；

支持URL过滤，并支持黑/白名单过滤策略。

支持关键字导入。

可对允许访问的URL和禁止访问的URL进行日志记录。

2.10用户认证

网神防火墙提供应用层用户认证系统，突破认证的服务种类限制，为包过滤、双向NAT、代理等访问控制提供用户认证功能；

支持对本地认证用户组选择认证协议、分配使用流量、分配使用时间，支持对本地认证用户组的帐号有效期、密码修改最长间隔、周期性自动重置等条件进行限制；

提供与第三方标准的WINDOWSAD域/Radius/Tacacs+/LDAP/SecurID服务器联动的用户认证；

支持认证策略管理、免认证策略管理；支持第三方用户/用户组，支持批量导入第三方用户UID；

2.11与IDS联动

网神防火墙支持与目前市场上主流的IDS产品进行联动。

当IDS联动产品发现入侵攻击行为时，会通知网神防火墙。

如果网神防火墙相应网口启用了IDS自动阻断功能，则网神防火墙会按IDS通知的阻断方式、阻断时间和入侵主机的相关信息，对入侵主机进行阻断。

网神防火墙阻断方式包括：

●对“源IP地址”阻断；

●对“源IP地址、目的IP地址、目的端口、协议”阻断；

●对“源IP地址、目的IP地址、协议、方向（单向、双向、反向）”阻断；

●网神防火墙阻断协议包括：

TCP/UDP/ICMP和所有协议（any）。

2.12入侵防御IPS

网神防火墙采用最新的监测引擎，高效快速分析算法。

具备基于协议异常、会话状态识别和七层应用行为的攻击识别功能，内置超过1,500条的IPS特征库，该特征库可以实现每周至少更新一次，用户还可以自定义入侵攻击和应用软件的特征；支持对VLAN、MPLS、ARP、TCP、UDP、RPC、WCCP、GRE、IPV6、SMTP等各种协议的分析；支持对病毒、蠕虫、木马、间谍软件、广告软件、可疑代码、端口扫描、非法连接等多种攻击的防护。

可以：

阻止蠕虫扩散，防范基于漏洞的攻击，阻止木马传播。

同时提供在线定时升级功能，提供最新的入侵特征。

2.13双机热备和高可用性HA

为了保证网络的高可用性与高可靠性，网神防火墙提供了双机热备份功能，当一台网神防火墙发生意外宕机、网络故障、硬件故障等情况时，另一台网神防火墙自动切换到工作状态，从而保证了网络的正常使用。

切换过程不需要人为操作和其他系统的参与，当发生切换时网神防火墙上的连接可以透明地、完整地迁移到另一台网神防火墙上，用户不会觉察到。

2.14全面的系统监控

网神防火墙提供全面的系统状态监控，可以让管理员清楚地了解网络中接口流量统计、最大连接数量的IP等信息，并且能够及时发现被网络蠕虫病毒感染的主机，配合连接限制，进行实时阻断。

2.15丰富、安全的管理方式

网神防火墙提供Web管理方式（通过网口）、CLI命令行管理方式（通过串口），同时还支持远程拨号（PPP）管理方式。

上述三种管理方式是一直打开的。

另外，网神防火墙还提供通过SSH登录对网神防火墙以命令行方式进行远程管理的功能，此管理方式管理员有权进行添加和删除。

2.16分级权限的安全管理

网神防火墙提供分级安全管理机制，系统分为超级管理员、配置管理员、策略管理员、审计管理员四个等级。

通过管理员身份认证（电子钥匙认证或证书认证）、管理主机限制、网神防火墙管理IP限制、网神防火墙管理方式定义（Web管理/命令行管理/SSH方式）、配置信息加密（支持SSL协议和SSH协议），提供方便且安全的配置管理。

采用三权分立设计，满足合规性要求。

超级管理员只能增加其他管理员账号，配置管理员只能进行设备的配置管理，日志管理员只能查看其他管理员操作的日志。

通过三权分立的设计，网神防火墙完全等级保护的合规性的要求。

2.17完善的系统升级

随着技术的飞速发展和安全需求的不断延伸，网神防火墙会适时地进行软件版本升级。

网神防火墙的软件升级直接通过管理界面进行，用户只需选择新的升级软件包并重启网神防火墙即可方便地完成软件升级。

2.18系统配置的导入导出

网神防火墙的导入导出功能便于管理员对整个网神防火墙的配置进行备份，在需要的时候，可以离线调整后，重新导入网神防火墙即可即时生效。

导出的配置信息可以保存在管理主机上做备份，导出的文件格式可以选择加密或不加密。

3产品技术优势

3.1领先的SecOS安全协议栈

完全自主知识产权的SecOS实现网神防火墙的控制层和数据转发层分离，全模块化设计，实现独立的安全协议栈，消除了因操作系统漏洞带来的安全性问题，以及操作系统升级、维护对网神防火墙功能的影响。

同时也减少了因为硬件平台的更换带来的重复开发问题。

由于采用先进的设计理念，使该SecOS具有更高的安全性、开放性、扩展性和可移植性。

3.2深度的网络行为关联分析

采用独立的安全协议栈，可以自由处理通过协议栈的网络数据。

同时基于网络行为检测的多流关联分析技术，支持对网络数据的病毒过滤，并能对P2P和即时通讯软件进行控制、支持URL库、支持Web内容过滤，支持FTP内容过滤，为细粒度的网络安全管理提供了有利的技术保障。

3.3高效准确的网络杀毒、反垃圾邮件

基于SecOS自主研发的专业杀毒引擎，可以实现对计算机病毒、蠕虫、木马等病毒的查杀。

目前能够扫描出400万多种病毒，支持包括zip、gzip、rar、arp等多种压缩格式文件病毒检测，它支持病毒库的自动更新以提供最新病毒的防御。

同时支持对SMTP、POP3等协议的垃圾邮件检测能力。

它提供了丰富的自定义检测规则项目，可对邮件大小、邮件附件大小、邮件内容、邮件主题、收/发邮件地址过滤，另外还可和实时黑白名单进行联动，避免遭受垃圾邮件的烦恼。

3.4主动的IPS攻击防护

内置多种规则库，可以分别针对HTTP、FTP、SMTP、POP3、DNS等协议进行防护，发现攻击或者入侵后会自动阻断并记录日志；并且可以有效的抵御各种常见的DOS/DDOS攻击，能够保证关键服务器的正常应用，可以外联IDS设备一起使用，更加有效的保护网络。

3.5灵活的网络拓扑自适应性

适应于各种复杂网络拓扑，包括透明桥接、路由以及桥和路由完全自适应识别模式。

支持VLAN和VLANTRUNK处理；支持多网络出口的链路聚合和策略路由；支持生成树和每VLAN生成树协议（STP/PVST+）和虚拟路由冗余协议（VRRP），提供全面可靠的二层链路备份和三层路由备份。

4典型应用

4.1拓扑一：

网络出口综合安全防范

网神防火墙能够很方便地对内网办公区、DMZ区和互联网进行访问控制，在对内网办公区访问互联网和DMZ区服务器进行管理的同时，对试图进入到内网和DMZ区的病毒、蠕虫、攻击进行实时防护，有效保障内部网络安全。

图4.1网神防火墙典型应用拓扑图一

4.2拓扑二：

透明接入保护核心服务器

网神防火墙能够很方便的透明接入到核心交换机和服务器群之间，特别适合于在用户网络已经建成、后又计划增加安全设备的情况下。

网神防火墙提供的防病毒功能，能够避免核心服务器遭受病毒和蠕虫侵害；网神防火墙提供的入侵防护功能，能够实时保护服务器免受攻击和入侵；网神防火墙提供的邮件过滤功能，能够有效的防止垃圾邮件泛滥和信息泄露，保护邮件服务器的可用性。

图4.2网神防火墙典型应用拓扑图二

4.3拓扑三、混合部署模式

网神防火墙还可以部署成复杂的混合模式，在该模式下，可以针对服务器区采取防攻击保护，对内部办公区采取防病毒防护，这两种不同的模式，可以应用在一台网神防火墙网关上。

图5.3网神防火墙典型应用拓扑图三