安胜高保障防火墙V10白皮书.docx
《安胜高保障防火墙V10白皮书.docx》由会员分享,可在线阅读,更多相关《安胜高保障防火墙V10白皮书.docx(11页珍藏版)》请在冰点文库上搜索。
安胜高保障防火墙V10白皮书
安胜高保障防火墙V1.0白皮书
VPN版本
ERCISTHigh-AssuranceFirewallWhitePaper
VPNVersion
北京中科安胜信息技术有限公司
2003年10月
目录
一、序言二
二、安胜高保障防火墙V1.0概述三
三、安胜高保障防火墙V1.0标准配置性能参数三
标配型号三
系统软件组成三
标准配置防火墙硬件设备指标四
标准配置防火墙性能指标五
执行标准五
三、安胜高保障防火墙V1.0技术特色五
1、安全的底座——安胜安全操作系统五
2、高稳定性和高可靠性——完全硬件化设计六
3、高运行效率——状态检测技术和先进规则匹配算法六
4、方便的使用模式——灵活的认证技术六
5、人性化管理人机界面——中文界面和多种管理模式六
6、准确、及时的报警功能——防火墙本机系统和网络报警六
7、详细完备的记录——提供详细完备的审计记录七
8、安全可靠的VPN模块——可以动态加载或卸载七
四、防火墙功能详细说明七
1、包过滤状态检测工作方式七
2、灵活的规则匹配方式七
3、透明防火墙八
4、VPN功能八
6、详细的应用层过滤八
7、MAC地址过滤和绑定八
9、审计记录查询九
四、VPN解决方案九
一、序言
随着电子商务的出现,越来越多的企业把自己的私有网与Internet相连接。
许多使用Web服务或者更先进技术的人们不禁要问,我们的网络为什么会有这么多的安全漏洞?
我们应先了解Internet的发展历史。
Internet的支持协议TCP/IP【1-1;1-5】最早出现在1979年,当时它的主要设计目的是为通过网关连接的网络提供可靠的服务。
在那个时期,由于网络的规模较小,在网络上的人们相认识,安全不是大家最关心的问题。
但是Internet发展到了今天,当时构造这些网络的技术仍旧使用,而这些技术包含了许多不安全的部分。
由于大量的攻击被报告出来,所以安全问题成为私有网络的主要关注对象之一,也是电子商务发展的制约因素。
怎样才能提供安全的网络服务呢?
一般的,网络管理者制订安全策略,考虑安全需求,制定哪些连接可以通过私有网络而到达Internet。
到目前为止,实现这些功能的最基本的安全设备便是防火墙。
下面我们首先看看防火墙的定义。
防火墙是用来在安全私有网络(可信任网络)和外部不可信任网络之间安全连接的一个设备或一组设备,作为私有网络和外部网络之间连接的单点存在。
旧有防火墙存在的缺点:
包过滤防火墙
由于包过滤是发生在IP层,只是根据IP头的内容来对IP包处理,只能利用部分基本信息来进行处理,使得安全处理所依靠的信息过于简单;包过滤是一个无状态的概念,不能根据通讯的上下文或应用的上下文来进行过滤;同时难于配置,监视和审计,具有极弱的包信息处理能力。
应用代理防火墙
应用代理发生在应用层,它最大的优点是有状态的,它能够利用扩展信息中的由应用程序产生的信息和由部分由通讯上下文产生的状态,具有部分的信息处理能力。
但是其弱点是显而易见的:
受限的连接:
由于不是每一个服务都需要一个代理,所以其具有不易扩展性
技术限制:
不能提供UDP/RPC这样的服务的代理功能
性能低下:
由于所有的实现都发生在应用层,所以相对性能较低。
同时,它将操作系统和应用层的bug暴露出来。
已有的防火墙解决方案的弱点:
已有的防火墙类型都是早期的网络安全需求的基础之上产生的,它考虑的主要对象是单个的子网,而现在,企业广泛的使用Intranet技术,企业整个网络的安全需求与策略是统一管理,所以只依靠包过滤路由器或者堡垒主机来解决安全问题已经是不可能,它应当和策略管理,授权,认证,用户管理等等结合起来。
而防火墙是安全最集中的控制点,但是它必须受其他应用的支持。
总而言之,已有的防火墙系统是一个静态的网络攻击防御,同时由于其对新协议和新服务的支持不能动态的扩展,所以很难提供个性化的服务,由于防火墙的最大的市场亮点在于对电子商务的全方位支持。
而已有的防火墙不能做到这一点。
二、安胜高保障防火墙V1.0概述
安胜高保障防火墙V1.0采用基于安胜安全操作系统,采用状态检测技术,提供流量流速控制,能够完成负载均衡功能。
安胜高保障防火墙V1.0继承中国科学院信息安全技术工程研究中心多年来在信息安全领域的研究成果,特别是在防火墙领域,将防火墙的最新技术科研成果应用于应用,并经过详细认真的测试。
该防火墙能够达到企业级应用要求,在安全性、稳定性和使用便利性达到完美的组合。
同时安胜高保障防火墙V1.0获得国家权威机关的测试和认可。
公安部销售许可证XKC33180
国家信息安全测评认证中心检测CNITSEC2003TYP183
军用信息安全产品认证证书军密认字第0121号
国家科技部重点推广产品项目编号:
99030226A证书编号:
2728
三、安胜高保障防火墙V1.0标准配置性能参数
标配型号
安胜高保障防火墙HA-100V
系统软件组成
1.安胜安全操作系统
SecLinux安胜安全操作系统
2.防火墙包过滤模块
a)IP地址过滤
b)TCP端口过滤
c)UDP端口过滤
d)ICMP类型过滤
3.防火墙VPN模块
a)IPSEC基本配置文件管理
b)IPSEC安全关联管理
c)IPSEC数字证书管理
4.防火墙MAC地址绑定模块
a)绑定与防火墙通讯的MAC地址
b)绑定IP地址与MAC地址
5.防火墙认证模块
a)对使用防火墙的用户进行认证
b)对防火墙的管理人员进行认证
6.防火墙管理模块
a)串口命令行管理模块
b)远程加密Web界面管理,使用https进行加密数据传输
7.审计模块
a)远程审计管理模块
b)防火墙审计服务模块
8.攻击报警模块
a)防火墙自身系统安全报警模块
b)网络攻击报警模块
标准配置防火墙硬件设备指标
HA-100防火墙是为符合电信通讯标准设计的19”上架式1U(43mm)高超薄机型。
(可根据用户需求设计)机箱内前后装有冷却过滤风扇,可以承受工业现场的冲击、振动、粉尘以及高温。
结构特点:
钢结构
驱动器容易:
支持1个3.5英吋驱动器
冷却系统:
3个4cm风扇
前端指示器:
HDDLED电源状态LED
前端端口:
3/4个10/100M自适应LAN口,1个RS232口
CPU:
大于500MHz
内存:
大于128M
尺寸:
425mm(长)×216mm(宽)×43mm(高)
颜色:
黑色
操作环境:
温度0℃~50℃5%~95%40℃无凝露
存储环境:
温度-40℃~70℃,湿度0%~95%
电源规格:
220V50Hz150WATX电源
电磁兼容性:
国家标准ClassA以上
标准配置防火墙性能指标
MTBF:
40000小时
设计策略数量许可值:
5,000条
设计性能策略数量:
1,000条
并发连接数150,000个
加密隧道数3,000个
执行标准
GB/T18019-1999包过滤防火墙安全技术要求
GB/T18020-1999应用级防火墙安全技术要求
三、安胜高保障防火墙V1.0技术特色
1、安全的底座——安胜安全操作系统
安胜高保障防火墙采用中科安胜公司自主研发、经过国家权威部分认可的安全操作系统,达到国家操作系统标准三级全部要求,部分达到四级标准。
较之一般的防火墙底座,安胜防火墙能够提供更多安全保障。
针对安胜防火墙,在保留安胜安全操作系统安全特性的前提下,还对操作系统进行了裁剪,使得防火墙在安胜安全操作系统中达到最优的性能。
细粒度存取控制——采用列表存取控制技术和强制存取控制技术。
强制存取控制定义了粒度更为细的存取控制关系——用户与所执行的操作以及访问对象之间的存取关系,比如可以定义一个用户只读某一URI指定的资源。
HA-100V为安胜高保障防火墙的VPN版本。
2、高稳定性和高可靠性——完全硬件化设计
由于采用完全硬件化设计,没有机械元件,采用DOM模块,没有硬盘故障问题,系统的可靠性更高。
3、高运行效率——状态检测技术和先进规则匹配算法
状态检测技术——对所有的经过的IP包的各协议层进行分析,对于TCP包进行状态机建立和监视,对UDP包建立虚拟的连接,对其建立方向的概念,同时对ICMP包进行分析,决定其与已有的TCP或UDP连接之间的关系。
对应用层,分析其语义。
规则匹配算法——本系统采用二维的PATRIE算法,该算法是NET/3中的分类算法PATRIE由一维向二维的扩展,该算法优于一般的顺序查找算法。
4、方便的使用模式——灵活的认证技术
采用体制与协议分离、认证模块与其他模块分离的思路,认证结果通过相关协议与防火墙其他部分通讯,所以,可以容易地集成所有的认证技术。
安胜高保障防火墙V1.0支持S/Key认证。
VPN用户基于X.509证书认证。
5、人性化管理人机界面——中文界面和多种管理模式
远程和本地管理相结合。
使得管理方便同时兼顾紧急情况处理。
采用中文化界面,方便使用。
清晰的目录结构,人性化程序设计,充分考虑用户的使用,方便用户对防火墙规则进行管理。
6、准确、及时的报警功能——防火墙本机系统和网络报警
安胜HA-100防火墙提供基于防火墙主机的系统报警和网络报警,由于安胜HA-100防火墙采用了SecLinux安胜安全操作系统,可以对防火墙本机基于操作系统的攻击进行报警;另外针对一些一般的网络攻击,防火墙也提供相应的报警。
报警方式多种多样,可以实时查询,也可以通过E-Mail,以最快的方式通知网络管理员。
7、详细完备的记录——提供详细完备的审计记录
防火墙提供详细完备的审计记录,从网络活动记录到网络流量记录,并针对系统出现的异常活动进行实时报警。
为防火墙管理员提供方便的审计记录备份接口,方便对防火墙的审计记录进行管理和查询。
8、安全可靠的VPN模块——可以动态加载或卸载
防火墙中的VPN模块可以根据用户的要求随时加载或卸载,可以向用户要求提供软件和硬件加密算法,使用硬件加密卡替换软件加密模块,能够有效地提高加/解密速度。
内置数据加密算法所采用的是本单位自行设计的QC-1密码算法,其特点是:
安全性高,可以抗击现有的所有密码攻击算法;速度快,尽可能地选择适合计算机操作的运算,满足应用的要求;灵活性强,适应不同的应用环境。
QC-1算法已经通过国家密码管理委员会的审批标准。
四、防火墙功能详细说明
1、包过滤状态检测工作方式
状态检测:
对所有的经过的IP包的各协议层进行分析,对于TCP包进行状态机建立和监视,对UDP包建立虚拟的连接,对其建立方向的概念,同时对ICMP包进行分析,决定其与已有的TCP或UDP连接之间的关系。
对应用层,分析其语义。
提供TCP、UDP和ICMP三种协议的详细过滤。
过滤检查数据包的源地址和目的地址。
2、灵活的规则匹配方式
安胜高保障防火墙V1.0充分考虑用户的需求,在规则的匹配方式上给用户两种选择。
既可以使用基于二维的PATRIE算法的匹配方式也可以使用传统的顺序匹配方式。
针对不同的规则需求,防火墙总可以提供最优的规则策略,保证系统的安全和效率达到最优化。
3、透明防火墙
使用包过滤方式而不是代理方式,通过灵活的地址转换功能,使得用户能够在保证安全的前提下,方便的使用网络。
较传统代理服务更加透明。
4、VPN功能
●提供灵活的数据AH认证、ESP加密,可根据客户需求设置AH或ESP或AH+ESP;
●加密密钥可根据客户需要按月、天或小时为单位定时更新,保证加密密钥的安全可靠;
●支持普通子网和安全子网的分割,提供明/密结合的数据传输;既满足客户数据安全传输的需要,也可满足客户上Internet等公共网络的需要;
●隧道角色主、从自动协商,方便客户灵活地建立隧道;
●支持安全子网的网段分割,不同的安全子网,可建立不同的安全隧道;
●支持保留IP之间的VPN加密隧道;
●支持扩展拨号接口(外接MODEN或内置MODEM),适用于动态IP网络;
●支持周边地址转换设备;
●防业务流攻击;
●支持WEB方式和串口方式管理;
6、详细的应用层过滤
安胜高保障防火墙可以针对HTTP协议进行内容过滤、FTP协议进行指令控制。
可以HTTP协议进行Java、JavaScript和ActiveX进行控制,用户可以对这三项内容设置不同的安全策略。
可以有效的防止来自这三种脚本产生的攻击。
对于目前流行的一些脚本攻击有着明显的效果。
针对FTP协议,我们对get、put等常用的FTP指令进行了策略控制,对用户使用内部的FTP服务器的权限进行了管理和控制。
有效地防止外部用户对内部FTP服务器攻击事件的发生。
7、MAC地址过滤和绑定
安胜高保障防火墙提供MAC地址过滤功能,所以MAC地址绑定方式可以让防火墙只针对机器的MAC地址进行绑定,配置哪台机器可以访问防火墙,而不管该网卡MAC具体配置什么IP地址。
区别于一般防火墙的IP地址和MAC地址绑定,安胜高保障防火墙的MAC地址绑定更加灵活,方便。
用户只需一次对防火墙进行配置,以后即使网络有所改变,也无需再次配置。
同时安胜高保障防火墙V1.0也提供IP地址和MAC地址一对一的绑定功能。
9、审计记录查询
远程查看防火墙审计记录,客户可以根据需要进行审计项目的配置,决定审计文件大小的数量级。
同时可以减少不必要的审计信息,提高系统的工作效率。
在远程客户端可以针对时间、命令、进程号和用户名等项目进行分类查询。
四、VPN解决方案
☐总部和分支机构均采用安胜高保障防火墙VPN版
☐移动用户可以同时和总部、分支机构间建立两个VPN加密隧道。
☐总部和分支机构之间建立VPN加密隧道。
☐总部和分支机构能够正常访问Internet
升级会员 