高可靠的企业级防火墙
中 科网威凭借在网络信息安全领域多年的技术积累,深刻的认识到可靠性设计对于一个网络安全的重要性。网威防火墙从硬件到软件,从每个部件到整体构架都进行了 深入的分析和考虑,在设计的每个环节都融入了可靠性的设计理念,使得网威防火墙成为真正安全可靠的企业级设备,从根本上保证用户网络的安全可靠性。
高可靠的硬件平台
网威防火墙的硬件平台采用高集成度的专用芯片,内嵌通信处理单元和高速VPN加密处理单元,具有千兆级的通信处理能力和高速互连接口,保证防火墙可以24小时不间断工作,精益求精的硬件平台设计使得网威防火墙有了一个稳定运行的基石。
网威防火墙具备端口BYPASS功能,能够保障防火墙在意外掉电、异常复位等发生时,上下行数据流不受影响,使在高可用的网络中不会出现网络中断现象。
高可靠的软件平台
网 威防火墙以中科网威自主研发的NPOS(NetPower Operation System)安全操作系统为平台,支持从链路层到应用层的多层过滤和防护功能。通过网威防火墙的智能数据报分组过滤功能,可以实现对网络流量的IP地 址、MAC地址、端口、协议、时间的过滤和控制。
另外,NPOS支持将数据包直接从网络层还原成应用层数据,并对应用层数据的内容进行检 测。检测内容包括:URL、站点内容、Java脚本和程序、P2P流量、IM通信内容、传输的文件、邮件主题和内容以及附件、病毒、木马、间谍软件等等。 通过这种细粒度的检查,可以有效杜绝网络中的各种非正常流量对网络资源的占用和破坏,从而最大限度的保障网络的正常稳定运行。
广泛的网络适应性
网威防火墙产品支持路由、网桥、混合等多种工作模式和RIP、OSPF等动态路由协议,配合冗余电源和双机热备功能,可以用于多种复杂网络环境下的高可靠边界防护。
多种工作模式
通常防火墙主要有两种工作模式:网桥模式和路由模式。为了适应某些特殊应用环境的部署要求,又出现了混合工作模式的概念。大多数防火墙都只能工作在一种模式下,而且需要预先在界面上设定,配置灵活性较差。当防火墙接口数比较多时,配置会变得极为复杂。
网威防火墙采用全新的技术消除了原来复杂的工作模式概念,带来了极大的部署和配置的灵活性。将交换和路由结合成为一个有机的整体,并在第三层实现了数据包的高速转发。
多协议支持
网 威防火墙能够支持广泛的网络通信协议和应用协议,包括VLAN、RIP、802.1Q、SPT、IPSEC、H.323等,能够满足网络上视频会议、 Netmeeting、VOD点播和宽带IP电话等多媒体数据流传输的要求。使其适用网络的范围更加广泛,保证用户的网络应用。
强大的攻击防御能力和丰富的DOS防御手段
网威防火墙产品根据数据报文的特征,以及Dos攻击的不同手段,可以针对ICMP Flood、SYN Flood、UDP Flood、CC攻击、DNS攻击等各种Dos攻击手段进行防御。同时,可以主动识别出数十种常见的攻击种类,很多种Dos攻击行为造成的后果就是不能提 供正常服务,网威防火墙可以主动发现并隔断这些非法攻击,消除了内部网络遭受攻击的可能。通过对各种攻击的防御手段,利用网威防火墙可以组建一个安全的防 御体系,保障网络免受Dos攻击的侵害。
针对不同的攻击特点,网威防火墙采用了一些不同的防御技术,这样保证网威防火墙在抵御Dos攻击的时候更有针对性,使得整个网威防火墙的抵御特性更加完整。
网威防火墙不但在攻击手段上面进行了详细考虑,同时也在使用方式和网络适应性方面做了周全的考虑,攻击防范既可以针对一台特定的主机也可以针对一个安全区域的所有主机进行保护。
ARP攻击防御
在 设备的接口下挂着一些计算机,有些用户会恶意的伪造其它设备的IP地址发ARP报文,网关设备因为无法识别这些ARP报文的真伪,可能会根据这些报文更新 ARP表,导致接口上的ARP表里,IP和MAC地址正确的对应关系被修改,这会导致部分计算机不能上网。只有当ARP表老化或者这些计算机重新启动后, 才能恢复上网。只要ARP FLOOD攻击在不断进行,就会有大量用户被攻击下线,这也是比较常见的DoS攻击方式。
网威防火墙针对IP和 MAC地址解析映射关系,通过对地址解析请求报文进行确认,以保证IP和MAC地址映射关系正确性。在运行地址解析协议的设备接收到地址解析协议请求报文 之后,根据该请求报文中所携带的请求者的IP地址再次构造地址解析协议请求报文,向广播网络内发送,请求原有请求报文中请求者的硬件地址。如果收到了对这 个请求的地址解析协议应答报文,则可以确认这个地址映射关系的真实性;如果在一定时间之内没有收到对这个请求的地址解析协议应答报文,则认为原来收到的地 址解析协议请求报文为错误的或伪冒的报文,根据这个报文产生的地址映射关系是错误的,不能作为数据报文在物理网络上转发的依据。通过对ARP解析的精确识 别,保证了在二层网络中ARP表项的安全。
扫描攻击防范
扫描窥探攻击是利用ping扫描来标识网络上存活着的系统,从而准确的定位潜在的目标;利用TCP和UCP端口扫描,就能检测出操作系统监听的潜在服务。攻击者通过扫描窥探能大致了解目标系统提供的服务种类和潜在的安全漏洞,为进一步侵入系统做好准备。
网威防火墙通过比较分析,可以灵活高效地检测出这类扫描窥探报文,从而预先避免后续的攻击行为。这些扫描窥探包括:地址扫描、端口扫描、IP源站选路选项、IP路由记录选项、利用Traceroute工具窥探网络结构等。
全面的VPN功能
虚拟专用网(VPN) 指的是在公用网络(如Internet)中建立专用的数据通信网络的技术。VPN提供了通过互联网在远程计算机间实现安全通信的方法。
网 威防火墙既可以利用因特网IP通道为用户提供具有保密性、安全性、低成本、配置简单等特性的VPN服务,也可以为移动的用户提供一个安全访问公司内部资源 的途径,用户可以从外部虚拟拨号,从而进入公司内部网络。网威防火墙提供对IPSec和SSL VPN等连接方式的完整支持。
SSLVPN 指采用SSL协议来实现远程接入的一种新型VPN技术。SSL协议是传输层安全协议,SSL协议位于TCP/IP协议与各种应用层协议之间,为数据通讯提 供安全支持,提供服务器认证、客户认证数据完整性和数据保密性。对于内、外部应用来说,使用SSL可保证信息的真实性、完整性和保密性。SSL广泛应用于 Web浏览器与服务器之间的身份认证和加密数据传输。网威防火墙SSL VPN使用通用网络协议使它成为IPsec等协议的理想替代,尤其是在ISP过滤某些特定VPN协议的情况下。
网威防火墙的SSL VPN支持NAT透明穿越、星型部署、Client-to-Gateway 动态拨号用户、Gateway-to-Gateway网关至网关等多种方式灵活部署,极大地拓展网威防火墙的应用范围,网威防火墙特有的网桥模式下的 SSL VPN部署使其更具有极佳的灵活性。网威防火墙可以同时支持SSL VPN对等体、SSL VPN客户端、IPsec VPN客户端、IPsec VPN对等体同时连接,适应多种复杂环境,互为补充,灵活部署,为用户的选择提供了极大的空间。
网威防火墙SSL VPN所有的通信都基于一个单一的IP端口。SSL VPN连接能通过代理服务器连接,也能够在NAT的环境中良好地工作,克服了IPsec VPN、PPTP VPN、L2TP VPN存在的不足。
可以说,网威防火墙的SSL VPN从根本上解决了企业的远程访问问题,为企业用户提供易于布署、操作简单、使用方便的远端安全访问服务,可为企业的分支机构、远程/移动办公、业务合作伙伴和客户快速提供对内网资源的安全远程访问和资源的接入服务。
完善的NAT地址转换功能
网威防火墙具备完善的地址转换(NAT)功能,采用双向网络地址转换(双向NAT)技术,能够实现动态NAT、静态NAT,能够实现一对一、多对一、多对多的地址映射。
正 向地址转换用于使用保留IP地址的内部网用户通过防火墙访问公众网中的地址时对源地址进行转换。网威防火墙支持依据源或目的地址指定转换地址的静态NAT 方式和从地址缓冲池中随机选取转换地址的动态NAT方式,可以满足绝大多数网络环境的需求。对公众网来说,访问全部是来自于防火墙转换后的地址,并不认为 是来自内部网的某个地址,能够有效的隐藏内部网络的拓扑结构等信息。同时内部网用户共享使用这些转换地址,自身使用保留IP地址就可以正常访问公众网,有 效的解决了全局IP地址不足的问题。
内部网用户对公众网提供访问服务(如Web、FTP服务等)的服务器如果是保留IP地址,或者想隐藏服 务器的真实IP地址,都可以使用网威防火墙的地址映射来对目的地址进行转换。公众网访问防火墙的反向转换地址,由内部网使用保留IP地址的服务器提供服 务,同样既可以解决全局IP地址不足的问题,又能有效的隐藏内部服务器信息,对服务器进行保护。网威防火墙提供端口映射和IP映射两种反向地址转换方式, 端口映射安全性更高、更节省全局IP地址,IP映射则更为灵活方便。
高可用性
为了保证网络的高可用性,网威防火墙在网络中使用两台配置相同的防火墙来实现双机热备功能,其中一台作为主防火墙,处于正常的工作状态;另一台作为备份机。当防火墙出现故障时,备份机会及时切换到工作状态,接管防火墙的工作,从而达到保证网络可靠性的目的。
网 威防火墙的双机热备采用了独特的设计方式,防火墙和备份机通过网络以一定的时间间隔和协议方式进行探测和响应,防火墙出现异常时备份机能够及时发现,对防 火墙进行接管。这样在防火墙监测的接口及线路出现故障时,备份机能够马上接管故障防火墙,用户的服务不会受到任何影响,充分保障了网络的稳定性。
灵活的权限管理
目前网络应用的发展步伐很快,企事业的网络规模不断增大,网络管理的任务也越来越复杂,简化管理任务的一个办法是对管理任务进行分割,对管理用户进行角色分工,按角色的不同分配不同的管理任务。对不同角色或权限的管理员来说,所见的防火墙系统是不一样的。
网威防火墙提供了用户管理员、授权管理员、系统管理员和日志审计员四个权限角色。在具有不同权限角色的管理中可以对不同管理用户详细分配可以读写的功能模块,使得管理用户权限做到精细的划分,提高网威防火墙管理的安全性。
