sangfor 对接启明星辰防火墙
引:IPsec 报文原理
这次说说IPsec另外两种场景,一种是做外网网关部署环境,一种是旁挂模式部署环境,一般防火墙直接挂在外网然后使用IPsec属于外网网关部署环境,如果VPN设备旁挂于核心或者防火墙之后非公网地址为单臂模式环境。
拓扑图:参旁挂模式拓扑。
针对单臂环境
注:启明防火墙为旁挂模式部署
一、引:启明星辰防火墙映射VPN需要的UDP 500与4500
6.4 配置步骤
(1)配置网络连通性
保证防火墙外网接口到互联网能够连通,内网接口到服务器能够连通。(2)定义 IP 地址对象、开放端口对象
在【防火墙】--【地址】--【地址】定义内网服务器地址。
在【防火墙】--【服务】--【基本服务】定义开放的端口号
注:源端口低和高一般不需要填写,除非是客户端限定了访问源端口
(3)配置端口映射规则
在【防火墙】--【策略】--【NAT策略】--选择端口映射
公开地址:需要映射的外网口地址(必须为物理接口或者别名设备地址)
拨号用户选择拨号获取到的公网地址即可
内部地址:在地址列表里定义的服务器地址
对外服务:需要对外开放的端口,此处选择vpn端口
注:系统预定义大量常用端口,可以直接使用
对内服务:内网服务器需要开放的端口,此处选择vpn端口500、4500
隐藏内部地址:可选。如果取消选中,既能通过公开地址和端口访问内部服务器,也可以直接访问服务器;如果选中,只能通过公开地址和端口访问内部服务器如果需要内网用户通过访问公网地址来实现访问内网服务器,则需要将源地址转换为选择为防火墙内网接口地址。
(4)配置安全规则
源地址选择any,目的地址选择为vpn,服务选择为vpn端口。
二、设置启明星辰配置
(1)配置启明星辰VPN 接口地址
进入【网络管理】-【网络接口】-【物理设备】,设置eth1和eth2为内外网口地址。
(2)配置防火墙IPsec基本属性
(2)配置启明星辰VPN IPSEC---VPN规则
进入【VPN】-【IPSec】-【VPN规则】-添加,设置本地保护子网为192.168.83.0/24,对端保护子网为192.168.82.0/24。
设置本地保护子网为192.168.83.0/24,对端保护子网为192.168.82.0/24。
(3)配置启明星辰VPN的IKE配置
进入【VPN】-【IPSec】-【IKE配置】-添加
这里的预共享密钥和协商模式必须与sangfor设置相同。如果选择野蛮模式,务必设置ID。(4)配置启明星辰VPN的网关隧道配置
进入【VPN】-【IPSec】-【网关隧道配置】-添加
这里选择外网口为VPN接口,完美向前保密必须和Sangfor设置相同。缺省策略尽量选择允许,如果选择包过滤需要单独到防火墙策略页面加安全策略(保护网段双向放通)。(5)隧道监控—启动隧道
三、设置深信服配置
选择外网接口为IPsec线路模式。红色区域勾选。
登入深信服防火墙配置VPN
1、选择第三方对接,选择新建第一阶段配置
点击高级配置,设置ike密钥。
ISAKMP存活时间必须一致。
ISAKMP算法只需要和启明星辰4种算法其中一种保持一致即可。DPD要么都开要么都不开。
启明参考:
点击确认保存。
2、选择第二阶段配置
入站为对端IPsec的子网网端,出站为本地内网网端。设置入站策略
点击确认保存
设置出站策略
SA生存时间参考
注:如果对端设备开启了启用密钥完美向前保密(PFS),本段也必须要开。否则报错为:
点击确认保存。
3、设置IPsec加密算法(其他设备在第二阶段加密)
4、配置安全策略(放行),放行vpn到LAN,与LAN到VPN.
注意:深信服与其他友商不一样的地方是不需要配置IPsec的感兴趣流,在LAN口直接转发到VPN虚拟接口,不会转发到公网的出接口,所以不需要配置,只需要配置第二阶段的出入向配置。
查看VPN状态
查看路由表:不要在意细节0.0
测试:使用namp进行对天融信内网扫描,发现大量存活主机,ping测试访问正常,远程桌面正常。(未截图)
注意:单臂模式总部的核心交换机需要将访问对端的路由下一跳指向VPN设备。因为VPN对接后本地自动生成ipsec隧道的路由。
图例:
正对外网网关场景
提示:本场景不需要考虑端口映射与静态路由即可。不过多说明。
附:NAT端口映射内网用户想要用公网地址访问的双向NAT问题随笔
下一代防火墙和传统防火墙的区别
下一代防火墙和传统防火墙的区别: 传统防火墙:无法防御应用层攻击 NGAF:解决运行在网络传统防火墙对应用层协议识别、控制及防护的不足! 功能优势: 1、应用层攻击防护能力(漏洞防护、web攻击防护、病毒木马蠕虫) 2、双向内容检测的优势(具备网页防篡改、信息防泄漏) 3、8元组ACL与应用流控的优势 4、能实现模块间智能联动 下一代防火墙和IPS(入侵防御模块)区别: IPS:应用安全防护体系不完善,对WEB攻击防护效果不佳;NGAF:解决保护系统层面的入侵防御系统,和对应用层攻击防护不足,及应用层攻击漏判误判的问题! 功能优势: 1、Web攻击防护,尤其是各类逃逸攻击(注入逃逸、编码逃逸)的防护
下一代防火墙和WAF(Web应用防火墙): WAF:处理性能不足,缺乏底层漏洞攻击特征库,无法对WEB业务进行整体安全防护 NGAF:解决定位于防护Web攻击的Web应用防火墙 功能优势: 1、三大特征库保护网站安全:漏洞2800+、web攻击2000+、敏感信息(OWASP综合4星) 2、敏感信息防泄漏功能,业内热点,业界独家 3、自动建模技术,自动生成策略。 下一代防火墙和UTM(统一权威管理): UTM:多功能开启性能差,各模块缺乏联动 NGAF:解决面向中小型企业一体化的UTM统一威胁管理系统,解决多功能模块开启后性能下降以及应用层防护能力不足的问题。 功能优势: 1、六大特征库更完整安全:(漏洞2800+、应用2000+、病毒库10万、web攻击2000+、URL+恶意网址10万、敏感信息) 2、Web攻击模块(web攻击防护、敏感信息、防篡改、应
启明星辰-企业网络安全解决方案
启明星辰网络安全解决方案 启明星辰公司自1996年成立以来,已经开发了黑客防范与反攻击产品线、采用国际著名厂商芬兰F-Secure公司杀毒技术形成的网络病毒防杀产品线、以网站安全扫描与个人主机保护为代表的网络安全管理产品线,以及几大产品线之间互动的网络资源管理平台,成为具有自主知识产权、覆盖防病毒和反黑客两大领域的高科技含量的网络安全产品研发与生产基地。启明星辰公司产品均获得了《计算机信息系统安全专用产品销售许可证》,《国家信息安全产品测评认证证书》和《军用信息安全产品认证证书》,在政府、银行、证券、电信和军队等领域得到了广泛的使用。 网络安全产品链 相关方案包括: 天阗(tian)黑客入侵检测系统 天镜网络漏洞扫描系统 天蘅(heng)安防网络防病毒系统
Webkeeper网站监测与修复系统 安星主机保护系统 天燕智能网络信息分析实录仪 C-SAS客户化安全保障服务 天阗(tian)黑客入侵检测系 (阗:在中国古代有"和田美玉"之意,坚固圆润,异彩流光,可以补天。) 一般认为,计算机网络系统的安全威胁主要来自黑客攻击、计算机病毒和拒绝服务攻击3个方面。目前,人们也开始重视来自网络内部的安全威胁。 黑客攻击早在主机终端时代就已经出现,而随着Internet的发展。现代黑客则从以系统为主的攻击转变到以网络为主的攻击,新的手法包括:通过网络监听获取网上用户的帐号和密码;监听密钥分配过程、攻击密钥管理服务器,得到密钥或认证码,从而取得合法资格;利用Unix操作系统提供的守护进程的缺省帐户进行攻击,如Telnet Daemon,FTP Daemon,RPC Daemon等;利用Finger等命令收集信息,提高自己的攻击能力;利用Sendmail,采用debug,wizard,pipe等进行攻击;利用FTP,采用匿名用户访问进行攻击;利用NFS进行攻击;通过隐蔽通道进行非法活动;突破防火墙等等。目前,已知的黑客攻击手段已多达500余种。 入侵检测系统 防火墙与IDS
话说下一代防火墙(NGFW)的“三个”
话说下一代防火墙(NGFW)的“三个” 下一代防火墙"NGFW"一个从产生到日渐成熟仍旧拥有一定热度的词汇,相较于传统的防火墙,NGFW的安全性能有了很大的提升,体现了极强的可视性、融合性、智能化。本文来和大家 说说下一代防火墙的"三个"。 下一代防火墙"NGFW",一个从产生到日渐成熟仍旧拥有一定热度的词汇,相较于传统的防火墙,NGFW的安 全性能有了很大的提升,体现了极强的可视性、融合性、智能化。本文来和大家说说下一代防火墙的"三个"。 下一代防火墙发展的三个拐点 事物的更新迭代是必然的,就像是一个朝代的兴起与衰落,而防火墙性能的提升自然也不会例外,于是下 一代防火墙应景而生。同很多新生事物一样,它也需要慢慢的发展而后变得成熟。下面我们一起看看它的 经历。 拐点一:下一代防火墙的萌动发展 随着国外用户对应用的增多、攻击复杂,传统的防火墙已经不能满足人们的需求。于是美国的PaloAlto公司率先发布了下一代防火墙的产品,并凭借仅有的一条产品线在国外市场获得众多用户的青睐。2009年,著名的分析机构Gartner年发布的一份名为《Defining the Next-Generation Firewall》的文章重新定义 了防火墙,它集成了深度包检测入侵测试、应用识别与精细控制。这个定义一经发布便受到了国外一些安 全厂商的热捧,认为传统防火墙十多年缓慢的发展确实越来越不匹配其网络边界第一道防线的称号。 拐点二:下一代防火墙热潮汹涌 随着国外防火墙的升级发展,国内厂商也纷纷发布自己的下一代防火墙以顺应网络安全产品变革的趋势, 一股下一代防火墙的热潮被掀起。这其中比较知名的厂商有:梭子鱼、深信服、锐捷、天融信、东软等, 各家产品有着各自不同的特点。总的来说,下一代防火墙相比传统的防火墙功能更加的全面,性能更是强劲。 拐点三:下一代防火墙日渐成熟 热潮过后,厂商不断的反思对下一代防火墙进行改进升级。从2011年国内的下一代防火墙开始发展至今,这近两年的时间过后,下一代防火墙越来越成熟,越来越被人们认可接受。很多的用户使用下一代防火墙
启明星辰泰合信息安全运营中心介绍
启明星辰泰合信息安全运营中心介绍(108万) 启明星辰TSOC采用成熟的浏览器/服务器/数据库架构,由“五个中心、五个功能模块”组成。 五个中心为漏洞评估中心、网络管理中心、事件/流量监控中心、安全预警与风险管理中心以及响应管理中心。 五个功能模块为资产管理、策略配置管理、自身系统维护管理、用户管理、安全知识管理。 启明星辰TSOC综合在一个平台上实现了信息采集、分析处理、风险评估、综合展示、响应管理、流程规范等网络安全管理需具备的所有功能。 主要功能如下: 1. 资产管理 管理网络综合安全运行管理系统所管辖的设备和系统对象。它将TSOC其所辖IP设备资产信息登记入库,并可与现有资产管理软件实现信息双向交互,可自动发现管理域里的新增资产,并按照ISO13335标准对资产的CIA属性(保密性、可用性、完整性)进行评估。 2. 事件管理 事件管理处理事件收集、事件整合和事件可视化三方面工作。 事件管理功能首先要完成对事件的采集与处理。它通过代理(Agent)和事件采集器的部署,在所管理的骨干网络、不同的承载业务网及其相关支撑网络和系统上的不同安全信息采集点(防病毒控制台、入侵检测系统控制台、漏洞扫描管理控制台、身份认证服务器和防火墙等)获取事件日志信息,并通过安全通讯方式上传到安全运营中心中的安全管理服务器进行处理。 在事件收集的过程中,事件管理功能还将完成事件的整合工作,包括聚并、过滤、范式化,从而实现了全网的安全事件的高效集中处理。事件管理功能本身支持大多数被管理设备的日志采集,对于一些尚未支持的设备,可通过通用代理技术(UA)支持,确保事件的广泛采集。 在事件统一采集与整合的基础上,泰合安全运营中心提供多种形式的事件分析与展示,将事件可视化,包括实时事件列表、统计图表、事件仪表盘等。此外,还能够基于各种条件进行事件的关联分析、查询、备份、维护,并生成报表。 3. 综合分析、风险评估和预警 综合分析是泰合安全运营中心的核心模块,其接收来自安全事件监控中心的事件,依据资产管理和脆弱性管理中心的脆弱性评估结果进行综合的事件协同关联分析,并基于资产(CIA属性)进行综合风险评估分析,形成统一的5级风险级别,并按照风险优先级针对各个业务区域和具体事件产生预警,参照安全知识库的信息,并依据安全策略管理平台的策略驱动响应管理中心进行响应处理。将预警传递到指定的安全管理人员,使安全管理人员掌握网络的最新安全风险动态,并为调整安全策略适应网络安全的动态变化提供依据。通过风险管理可以掌握组织的整体以及局部的风险状况,根据不同级别的风险状况,各级安全管理机构及时采取降低的风险的防范措施,从而将风险降低到组织可以接受的范围内。 预警模块中心从资产管理模块得到资产的基本信息,从脆弱性管理模块获取资产的脆弱性信息,从安全事
启明星辰产品安全项目解决方案
安全解决方案的使命就是在先进的理念与方法论的指导下,综合运用安全技术、产品、工具,提供客户化的服务,全面系统地解决客户面临的安全问题。 1.理念与方法论 理念与方法论主要关注如何将各种安全要素有效地配合来满足安全需求。一个解决方案中最核心的部分是解决方案所基于的理念与方法论,它好比解决方案的神经中枢。尤其是对那些看起来相似的安全需求,基于不同的理念与方法论会得到大相径庭的安全解决方案。 良好安全理念和方法论力图挖掘和把握信息安全的本质规律,以便为客户提供可行的,易实施的安全解决方案。 2.需求获取 客户的安全需求是整个解决方案的起源和持续的推动力。没有对客户本身、客户的行业、客户的业务、客户系统的安全需求做详细和准确的分析之前,不可能得到切合实际的解决方案。
在需求分析过程中,会采用多种需求分析方法。比如,BDH方法,就是从业务、分布、层次等三个方向进行分解,同时考虑业务分解后的各要素之间的内在联系,力求完整而准确地获取客户的安全需求。 3.安全措施 安全措施是解决方案中具体的方法、技术、服务和产品等的集合,但又不是简单的堆砌。一个解决方案除了要有正确的安全理念和方法作为基础,全面、清晰地把握客户安全需求之外,还要对可用的各种安全措施(产品与服务)的特点有准确的了解和把握,深刻理解各种措施之间的内在联系,取长补短,充分发挥服务和产品的特性,最终提供有效的实施方案。 4.安全实现 安全实现是解决方案的最后一步。所谓“行百里者半九十”,优秀的安全解决方案必须通过完美地实现才能真正生效,满足客户的安全需求。 在努力完善理念和方法论的同时,要注重安全实现与执行。从项目管理、质量保障等方面全面加强。 二、解决方案指导思路 三观安全包括:微观安全、宏观安全和中观安全。
Cisco Firepower 下一代防火墙
数据表 Cisco Firepower 下一代防火墙 Cisco Firepower? 下一代防火墙 (NGFW) 是业内首款具有统一管理功能的完全集成、专注于威胁防御的下一代防火墙。它包括应用可视性与可控性 (AVC)、可选的 Firepower 下一代 IPS (NGIPS)、思科?高级恶意软件防护 (AMP) 和 URL 过滤。在攻击前、攻击中和攻击后,Cisco Firepower NGFW 均可提供高级威胁防护。 性能亮点 表 1 概述 Cisco Firepower NGFW 4100 系列和 9300 设备的性能亮点。 表 1. 性能亮点 1 Cisco Firepower 4150 计划于 2016 年上半年发布;具体技术参数将于日后发布 2 数据包平均大小为 1024 字节的 HTTP 会话 Cisco Firepower 4100 系列: 带 40-GbE 接口的业内首款 1RU NGFW Cisco Firepower 9300: 随需求增长可扩展的超高性能 NGFW
平台支持 Cisco Firepower 4100 系列和 Firepower 9300 NGFW 设备使用 Cisco Firepower 威胁防御软件映像。这些设备还可以支持思科自适应安全设备 (ASA) 软件映像。Cisco Firepower 管理中心(原来的 FireSIGHT)提供 Cisco Firepower NGFW 以及 Cisco Firepower NGIPS 和思科 AMP 的统一管理。此外,优选 Cisco Firepower 设备上还提供直接源自思科的 Radware DefensePro 分布式拒绝服务 (DDoS) 缓解功能。 Cisco Firepower 4100 系列设备 Cisco Firepower 4100 系列包括四个专注于威胁防御的 NGFW 安全平台。其最大吞吐量从 20 Gbps 到 60 Gbps 以上,可应对从互联网边缘到数据中心等各种使用案例。它们可提供卓越的威胁防御能力以及更快的响应速度,同时占用空间却更小。 Cisco Firepower 9300 设备 Cisco Firepower 9300 是可扩展(超过 1 Tbps)运营商级模块化平台,专为要求低(少于 5 微秒分流)延迟和超大吞吐量的运营商、高性能计算中心、数据中心、园区、高频交易环境等打造。Cisco Firepower 9300 通过 RESTful API 实现分流、可编程的安全服务协调和管理。此外,它还可用于兼容 NEBS 的配置中。 性能规范和功能亮点 表 2 概述 Cisco Firepower NGFW 4100 系列和 9300 设备在运行 Cisco Firepower 威胁防御映像时的功能。 表 2.通过 Firepower 威胁防御映像实现的性能规范和功能亮点
启明星辰 waf参数
技术参数及要求 #1)提供标准机架式W AF硬件设备而非软件W AF;专业性WEB应用防火墙设备,而非NGAF、NGFW、UTM设备;吞吐率≥1000M,最大HTTP吞吐量≥500M,设备最大HTTP 并发连接数≥200万; 2)提供1个10/100M管理接口、1个10/100/1000M HA口,4个10/100/1000M以太网网口、4个SFP接口。端口总数应支持≥10个,提供≥2 路BYPASS; 3)支持NAT环境下的用户识别能力,能够针对基于HTTP/HTTPS协议的蠕虫攻击、木马后门、间谍软件、灰色软件、网络钓鱼等行为进行检测与防护。 4)支持HTTPS应用防护能力、支持SQL注入攻击的检测与防御能力,专利级别防护能力、支持XSS攻击的检测与防御能力,专利级别防护能力; 5)支持HTTP协议详细字段分析能力同时支持自学习功能; 6)支持爬虫检测检测与防御能力、应具备CGI扫描检测与防御能力、应具备漏洞扫描检测与防御能力; 7)内置Web应用防护事件库,并提供定期升级,能够针对最新及热点Web攻击事件进行快速响应、 8)支持SYN Flood/UDP Flood/ICMP Flood攻击检测与防御能力; 9)支持XML DoS检测与防御能力、支持HTTP Flood(CC攻击)检测与防御能力; 10)支持CSRF攻击检测与防御能力,CSRF支持自学习功能、支持WebShell检测与防御能力; 11)支持基于URL的应用层访问控制功能、支持针对HTTP的请求头信息进行合规性检查、支持针对指定的URL页面,对HTTP请求信息中的方法以及参数长度等信息进行检测、支持Web服务器操作系统指纹信息返回保护、支持Web服务器信息返回保护、支持HTTP错误页面信息返回保护; 12)支持银行卡信息返回保护; 13)支持身份证信息返回保护支持Web表单关键字过滤功能; 14)支持针对重点URL的网页防篡改功能,同时不会对Web服务器及Web应用系统造成额外影响; 15)支持基于URL的流量控制功能、应支持获取Web安全事件的原始攻击信息、支持针对Web应用连接状况和流量信息的实时监控; 16)具备多设备拓扑显示功能,可以在界面上以图形化的方式显示当前的部署拓扑; 17)提供冗余电源; 18)提供Web应用防护事件库5年定期与应急升级。 品目4:核心交换机 1、数量:2台 2、技术参数及要求 #1)交换容量≥2.4T;12311包发率≥720Mpps;业务槽位≥3; 2)支持全分布式转发;支持无源背板;提供风扇冗余,提供风扇模块分区管理,支持风扇自动调速;提供双电源冗余; 3)支持标准SFP, XFP, SFP+模块(支持标准SFP, XFP);GE-T模块≥2,可支持扩展万兆接口,提供≥24千兆电口。 4)支持路由表≥128K;支持静态路由;ARP≥16K;支持RIP V1、V2, OSPF, IS-IS,BGP;支持IP FRR支持路由协议多实例;支持GR for OSPF/IS-IS/BGP;支持策略路由;所有实际配置板卡支持MPLS分布式处理,全线速转发;支持MPLS TE;支持L3 VPN; 5)支持ACL≥32K;支持SP, WRR,DWRR,SP+WRR, SP+DWRR调度方式;支持双向
下一代防火墙设计方案V2
惠尔顿下一代防火墙 (NGWF) 设计方案 深圳市惠尔顿信息技术有限公司 2016年5月1日
目录 一、方案背景 (2) 二、网络安全现状 (2) 三、惠尔顿下一代防火墙(NGWF)介绍及优势 (7) 四、惠尔顿NGWF功能简介 (10) 五、部署模式及网络拓扑 (14) 六、项目报价 (15) 七、售后服务 (16)
一、方案背景 无锡某部队响应国家公安部82号令号召,加强部队网络安全建设。针对目前网络存在的涉密、泄密、木马、病毒等进行预防。 二、网络安全现状 近几年来,计算机和网络攻击的复杂性不断上升,使用传统的防火墙和入侵检测系统(IDS)越来越难以检测和阻挡。随着每一次成功的攻击,黑客会很快的学会哪种攻击方向是最成功的。漏洞的发现和黑客利用漏洞之间的时间差也变得越来越短,使得IT和安全人员得不到充分的时间去测试漏洞和更新系统。随着病毒、蠕虫、木马、后门和混合威胁的泛滥,内容层和网络层的安全威胁正变得司空见惯。复杂的蠕虫和邮件病毒诸如Slammer、Blaster、Sasser、Sober、MyDoom等在过去几年经常成为头条新闻,它们也向我们展示了这类攻击会如何快速的传播——通常在几个小时之内就能席卷全世界。 许多黑客正监视着软件提供商的补丁公告,并对补丁进行简单的逆向工程,由此来发现漏洞。下图举例说明了一个已知漏洞及相应补丁的公布到该漏洞被利用之间的天数。需要注意的是,对于最近的一些攻击,这一时间已经大大缩短了。 IT和安全人员不仅需要担心已知安全威胁,他们还不得不集中精力来防止各种被称之为“零小时”(zero-hour)或“零日”(zero-day)的新的未知的威胁。为了对抗这种新的威胁,安全技术也在不断进化,包括深度包检测防火墙、应用网关防火墙、内容过滤、反垃圾邮件、SSL VPN、基于网络的防病毒和入侵防御系统(IPS)等新技术不断被应用。但是黑客的动机正在从引起他人注意向着获取经济利益转移,我们可以看到一些更加狡猾的攻击方式正被不断开发出来,以绕过传统的安全设备,而社会工程(social engineering)陷阱也成为新型攻击的一大重点。
下一代防火墙,安全防护三步走
下一代防火墙,安全防护三步走 下一代防火墙区别于传统防火墙的核心特色之一是对应用的识别、控制和安全性保障。这种显著区别源自于Web2.0与Web1.0这两个不同网络时代下的模式变迁。传统的Web1.0网络以服务请求与服务提供为主要特征,服务提供方提供的服务形态、遵循的协议都比较固定和专一,随着社会化网络Web2.0时代的到来,各种服务协议、形态已不再一尘不变,代之以复用、变种、行为差异为主要特征的各种应用的使用和共享。本文即针对下一代防火墙的这一主要特征,从基于应用的识别、控制、扫描的三步走中,阐述新时代网络环境下的防护重点和安全变迁,旨在帮助读者对下一代防火墙新的核心防护理念做一个较为全面的梳理和归纳。面对应用层威胁,传统防火墙遭遇“阿喀琉斯之踵” 1.新的应用带来全新的应用层威胁 Web2.0应用虽然可以显著增强协作能力,提高生产效率,但同时也不可避免地带来了新的安全威胁。 1)恶意软件入侵 WEB应用中社交网络的普及给恶意软件的入侵带来了巨大的便利,例如灰色软件或链接到恶意站点的链接。用户的一条评价、一篇帖子、或者一次照片上传都可能包含殃及用户或甚至整个网络的恶意代码。例如,如果用户在下载驱动程序的过程中点击了含有恶意站点的链接,就很有可能在不知情的情况下下载了恶意软件。 2)网络带宽消耗对于部分应用来说,广泛的使用会导致网络带宽的过渡消耗。例如优酷视频可以导致网络拥塞并阻碍关键业务使用和交付。还有对于文件共享类应用,由于存在大量的文件之间的频繁交换,也可能会最终导致网络陷入瘫痪。 3)机密资料外泄某些应用(如即时通信,P2P下载等)可提供向外传输文件附件的功能,如果对外传输的这些文件存在敏感、机密的信息,那么将给企业带来无形和有形资产的损失,并且也会带来潜在的民事和刑事责任。 2.传统防火墙的“阿喀琉斯之踵” 由于传统的防火墙的基本原理是根据IP地址/端口号或协议标识符识别和分类网络流量,并执行相关的策略。对于WEB2.0应用来说,传统防火墙看到的所有基于浏览器的应用程序的流量是完全一样的,因而无法区分各种应用程序,更无法实施策略来区分哪些是不当的、不需要的或不适当的程序,或者允许这些应用程序。如果通过这些端口屏蔽相关的流量或者协议,会导致阻止所有基于web的流量,其中包括合法商业用途的内容和服务。另外传统防火墙也检测不到基于隧道的应用,以及加密后的数据包,甚至不能屏蔽使用非标准端口号的非法应用。下一代防火墙之“三步走” 下一代防火墙的核心理念其实是在企业网络边界建立以应用为核心的网络安全策略,通过智能化识别、精细化控制、一体化扫描等逐层递进方式实现用户/应用行为的可视,可控、合规和安全,从而保障网络应用被安全高效的使用。第一步:智能化识别通过智能化应用、用户识别技术可将网络中简单的IP地址/端口号信息转换为更容易识别且更加智能化的用户身份信息和应用程序信息,为下一代防火墙后续的基于应用的策略控制和安全扫描提供的识别基础。例如:对于同样一条数据信息,传统防火墙看到的是:某源IP通过某端口访问了某目的IP;下一代防火墙看到:某单位张三通过QQ给远在美国的李四传输了一个PDF文件。第二步:精细化控制下一代防火墙可以根据风险级别、应用类型是否消耗带宽等多种方式对应用进行分类,并且通过应用访问控制,应用带宽管理或者应用安全扫描等不同的策略对应用分别进行细粒度的控制。相对于传统防火墙,下一代防火墙可以区分同一个应用的合法行为和非法行为,并且对非法行为进行阻断。如:下一代防火墙可以允许使用QQ的前提下,禁止QQ的文件传输动作,从而一定程度上避免单位员工由于传输QQ文件造成的内部信息泄漏。第三步:一体化扫描在完成智能化识别和精细化控制以后,对允许使用且存在高安全风险的网络应用,下一代防火墙可以进行漏洞、病毒、URL和内容等不同层次深度扫描,如果发现该应用中存在安全风险或攻击行为可以做进一步的阻断等动作。下一代防火墙在引擎设计上采用了单次解析架构,这种引擎架构可以保证引擎系统在数据流流入时,一次性地完成
下一代防火墙解决方案讲解
下一代防火墙解决方案
目录 1 网络现状 (3) 2 解决方案 (9) 2.1 网络设备部署图 (9) 2.2 部署说明 (9) 2.3 解决方案详述 (9) 2.3.1 流量管理 (10) 2.3.2 应用控制 (12) 2.3.3 网络安全 (12) 3 报价 (25)
1 网络现状 随着网络技术的快速发展,现在我们对网络安全的关注越来越重视。近几年来,计算机和网络攻击的复杂性不断上升,使用传统的防火墙和入侵检测系统(IDS)越来越难以检测和阻挡。漏洞的发现和黑客利用漏洞之间的时间差也变得越来越短,使得IT和安全人员得不到充分的时间去测试漏洞和更新系统。随着病毒、蠕虫、木马、后门和混合威胁的泛滥,内容层和网络层的安全威胁正变得司空见惯。复杂的蠕虫和邮件病毒诸如Slammer、Blaster、Sasser、Sober、MyDoom 等在过去几年经常成为头条新闻,它们也向我们展示了这类攻击会如何快速的传播——通常在几个小时之内就能席卷全世界。 许多黑客正监视着软件提供商的补丁公告,并对补丁进行简单的逆向工程,由此来发现漏洞。下图举例说明了一个已知漏洞及相应补丁的公布到该漏洞被利用之间的天数。需要注意的是,对于最近的一些攻击,这一时间已经大大缩短了。 IT和安全人员不仅需要担心已知安全威胁,他们还不得不集中精力来防止各种被称之为“零小时”(zero-hour)或“零日”(zero-day)的新的未知的威胁。为了对抗这种新的威胁,安全技术也在不断进化,包括深度包检测防火墙、应用网关防火墙、内容过滤、反垃圾邮件、SSL VPN、基于网络的防病毒和入侵防御系统(IPS)等新技术不断被应用。但是黑客的动机正在从引起他人注意向着获取经济利益转移,我们可以看到一些更加狡猾的攻击方式正被不断开发出来,以绕过传统的安全设备,而社会工程(social engineering)陷阱也成为新型
Paloalto下一代防火墙运维手册
Paloalto防火墙运维手册 目录 1.下一代防火墙产品简介................................. 错误!未定义书签。 2.查看会话 ............................................ 错误!未定义书签。. 查看会话汇总........................................错误!未定义书签。. 查看session ID .....................................错误!未定义书签。. 条件选择查看会话....................................错误!未定义书签。. 查看当前并发会话数..................................错误!未定义书签。. 会话过多处理方法....................................错误!未定义书签。 3.清除会话 ............................................ 错误!未定义书签。 4.抓包和过滤 .......................................... 错误!未定义书签。 5.CPU和内存查看....................................... 错误!未定义书签。. 管理平台CPU和内存查看..............................错误!未定义书签。. 数据平台CPU和内存查看..............................错误!未定义书签。. 全局利用率查看......................................错误!未定义书签。 6.Debug和Less调试.................................... 错误!未定义书签。. 管理平台Debug/Less .................................错误!未定义书签。. 数据平台Debug/Less .................................错误!未定义书签。. 其他Debug/Less .....................................错误!未定义书签。 7.硬件异常查看及处理 .................................. 错误!未定义书签。. 电源状态查看........................................错误!未定义书签。. 风扇状态查看........................................错误!未定义书签。. 设备温度查看........................................错误!未定义书签。 8.日志查看 ............................................ 错误!未定义书签。. 告警日志查看........................................错误!未定义书签。. 配置日志查看........................................错误!未定义书签。. 其他日志查看........................................错误!未定义书签。 9.双机热备异常处理 .................................... 错误!未定义书签。 10.内网用户丢包排除方法................................. 错误!未定义书签。. 联通测试..........................................错误!未定义书签。. 会话查询..........................................错误!未定义书签。. 接口丢包查询......................................错误!未定义书签。. 抓包分析..........................................错误!未定义书签。 11.VPN故障处理......................................... 错误!未定义书签。 12.版本升级 ............................................ 错误!未定义书签。. Software升级.....................................错误!未定义书签。. Dynamic升级......................................错误!未定义书签。
下一代防火墙
下一代防火墙 作者:来源:发布时间:2011-01-07 防火墙必须演进,才能够更主动地阻止新威胁(例如僵尸网络和定位攻击)。随着攻击变得越来越复杂,企业必须更新网络防火墙和入侵防御能力来保护业务系统。 不断变化的业务流程、企业部署的技术,以及威胁,正推动对网络安全性的新需求。不断增长的带宽需求和新应用架构(如Web 2.0),正在改变协议的使用方式和数据的传输方式。安全威胁将焦点集中在诱使用户安装可逃避安全设备及软件检测的有针对性的恶意执行程序上。在这种环境中,简单地强制要求在标准端口上使用合适的协议和阻止对未打补丁的服务器的探测,不再有足够的价值。为了应对这些挑战,防火墙必须演进为被著名市场研究公司Gartner称之为“下一代防火墙(Next Generation Firewall,简称NGFW)”的产品。如果防火墙厂商不进行这些改变的话,企业将要求通过降价来降低防火墙的成本并寻求其他安全解决方案来应对新的威胁环境。 一、什么是NGFW? 对于使用僵尸网络传播方式的威胁,第一代防火墙基本上是看不到的。随着面向服务的架构和Web 2.0使用的增加,更多的通信通过更少的端口(如HTTP和HTTPS)和使用更少的协议传输,这意味着基于端口/协议的政策已经变得不太合适和不太有效。深度包检测入侵防御系统(IPS)的确是检查针对没有打补丁的操作系统和软件的已知攻击方法,但不能有效地识别和阻止应用程序的滥用,更不要说应用程序中的特殊性了。 Gartner将网络防火墙定义为在不同信任级别的网络之间实时执行网络安全政策的联机控制。Gartner使用“下一代防火墙”这个术语来说明防火墙在应对业务流程使用IT的方式和威胁试图入侵业务系统的方式发生变化时应采取的必要的演进。 NGFW至少具有以下属性: 1.支持联机“bump-in-the-wire”配置,不中断网络运行。 2.发挥网络传输流检查和网络安全政策执行平台的作用,至少具有以下特性:(1)标准的第一代防火墙能力:包过滤、网络地址转换(NAT)、状态性协议检测、VPN等等。(2)集成的而非仅仅共处一个位置的网络入侵检测:支持面向安全漏洞的特征码和面向威胁的特征码。IPS与防火墙的互动效果应当大于这两部分效果的总和。例如提供防火墙规则来阻止某个地址不断向IPS 加载恶意传输流。这个例子说明,在NGFW中,应该由防火墙建立关联,而不是操作人员去跨控制台部署解决方案。集成具有高质量的IPS引擎和特征码,是NGFW的一个主要特征。(3)应用意识和全栈可见性:识别应用和在应用层上执行独立于端口和协议,而不是根据纯端口、纯协议和纯服务的网络安全政策。例子包括允许使用Skype,但关闭Skype中的文件共享或始终阻止G oToMyPC。(4)额外的防火墙智能:防火墙收集外来信息来做出更好的阻止决定或建立优化的阻止规则库。例子包括利用目录集成将阻止行为与用户身份绑在一起,或建立地址的黑白名单。 3.支持新信息馈送和新技术集成的升级路径来应对未来的威胁。 举个例子,NGFW可以阻止细粒度的网络安全政策违规或发出报警。如使用Web邮件、匿名服务器、对等网络技术或PC远程控制,只简单地根据目的IP地址来阻止对提供这些服务的已知源地址的访问是不够的。政策的颗粒度要求仅阻止某些类型的应用与目的IP地址的通信,而允许其他类型的应用与这些目的IP地址通信。转向器使确定的黑名单不可能实现,这意味着有许多NGFW可以识别和阻止不受欢迎的应用,即使这些应用被设计为逃避检查或用SSL加密。应用识别的一个额外好处是带宽控制。因为,消除了不受欢迎的对等网络传输流可以大大减少带宽的使用。 二、什么不是NGFW? 现在有一些与NGFW相近,但不相同的基于网络的安全产品领域: 1.中小企业多功能防火墙或UTM设备:这类设备是提供多种安全功能的单一设备。尽管它们总是包含第一代防火墙和IPS功能,但它们不提供应用意识功能,而且不是集成的、单引擎产
什么是下一代防火墙
什么是下一代防火墙? 有人说,下一代防火墙是个噱头;有人说,下一代防火墙是加强版UTM;还有人说,下一代防火墙是传统防火墙整合入侵防御IPS的产物。这些说法都暴露出一个共同的问题,那就是没有真的了解什么是下一代防火墙。 下一代防火墙应根据用户需求定义 如果传统防火墙拥有了“支持联动的集成化IPS”、“应用管控与可视化”以及“智能化联动”相关特性就是下一代防火墙吗?显然不是。在“云计算”、“WEB2.0”及“移动互联”等一系列新应用技术日新月异的今天,仅仅单纯从功能,或者是性能方面,改善传统防火墙技术缺陷,补充传统防火墙不足的角度去定义下一代防火墙产品显得过于片面。下一代防火墙也并不是简单的功能堆砌和性能叠加,下一代防火墙应该站上更高的山峰,以全局的视角,从解决用户网络面临的实际问题出发来定义才更为妥当。而且可以肯定的是,在未来,下一代防火墙还会有“下一代”,那将是性能更强,功能更加贴合网络环境与用户需求的产品,“下一代”也将会无穷尽也。所以我们不该把目光放到一个名字上,而是真正去关心一下,下一代防火墙所能解决的问题。 那么什么防火墙才可以真正称为下一代防火墙呢?我们可以从用户网络环境变化和需求的角度出发,用实实在在的六大特质来诠释,即:基于用户防护、面向应用安全、高效转发平台、多层级冗余架构、全方位可视化、安全技术融合。这六大特质,显然靠噱头、靠加强UTM、靠整合IPS是得不来的。可以说,只有具备这六大特质,才让下一代防火墙产品更加“有血有肉”,真实而生动了起来,才是从底层核心到架构平台再到操作系统全面塑造的全新产品,才可以让用户更加真实的了解下一代防火墙所要解决的是哪些问题。所以,我们说下一代防火墙就好比是武林中身怀绝技的高手,表面看似平常,实则内力浑厚。
下一代防火墙的介绍
看了Gartner关于下一代防火墙的定义,以及今年以来PaloAlto防火墙以“下一代防火墙”为旗帜口号的声势,Adreaman不禁对PaloAlto的防火墙设备充满了好奇心,它到底创新在哪些方面,将对防火墙产品的发展产生哪些影响,要回答这些问题,就不得不对PaloAlto防火墙的真正工作细节做深入的学习和理解。因此,我在网络上搜寻了一番,找到一篇较为深入介绍PaloAlto防火墙的文章,译为中文,期望能帮助我们加深对下一代防火墙的理解。 PaloAlto下一代防火墙 近来,在防火墙市场上有一些新动向,这就是所谓的”下一代防火墙”。 多年来,我们有若干独立的产品来分别提供IPS、AV、防垃圾邮件、URL过滤以及一般网络策略控制的功能。以这些功能为卖点已经诞生了一系列的安全管理设备产品。UTM设备试图将这些安全功能归并在一台设备中,但是,当所有这些功能都同时打开时,UTM设备的性能往往会出现严重的问题。最近一段时间,还有一个新的问题也在慢慢浮现。那就是应用往往不再依赖于特定端口而存在。下一代防火墙需要解决这两个问题。 端口代表什么? 一个端口号码仅仅是服务器上一条服务连接的标识。一个服务器上可以有几千个这样的服务端口,0-1023这些端口我们称之为“知名端口”,通常提供一些常见的服务,例如我们熟知的80端口往往提供HTTP服务,我们的Internet世界的数据流量大多承载在80端口。但是现今有很多应用服务也在使用80端口(或者一些其他”知名端口”),因为大多数防火墙都对80端口直接放行,这些应用可以顺畅地通过防火墙。一个典型的例子就是常见的BT 应用以及聊天应用,他们都以80端口作为数据通道。 我们该如何应对? PaloAlto防火墙不是一台UTM。Gartner称之为”下一代防火墙”。虽然它也像一台单独的IPS、反垃圾邮件、UTL过滤多功能设备一应运转,但是他们有两点主要的不同。 第一,所有这些功能特性可以同时打开而不影响设备的处理性能。它充分利用多线程技术和多核处理器性能同时对穿过防火墙的数据做各种检验处理和过滤操作。而传统的UTM 设备先检查URL,再检查AV,,这样依次下去,这样,当各个特性都打开时,传统UTM的性能自然就会大幅下降。 第二点是PaloAlto防火墙与传统防火墙最显著的不同,PaloAlto防火墙首先基于应用签名过滤流量,而不是像传统防火墙那样仅仅基于端口号。也就是说,80端口和http流量不是直接相关的。任意端口上的web流量,无论它是聊天软件流量、文件传输流量或者bt 及语音流量,都可以得到相应检查。端口号码并不是关键。
启明星辰入侵检测设备配置
启明星辰入侵检测设备配置说明 天阗NT600-TC-BRP 第1章设备概述与工作流程介绍 1.1设备概述 入侵检测设备是一个典型的"窥探设备"。它不跨接多个物理网段(通常只有一个监听端口),无须转发任何流量,而只需要在网络上被动的、无声息的收集它所关心的报文即可。对收集来的报文,入侵检测设备提取相应的流量统计特征值,并利用内置的入侵知识库,与这些流量特征进行智能分析比较匹配。根据预设的阀值,匹配耦合度较高的报文流量将被认为是进攻,入侵检测系统将根据相应的配置进行报警或进行有限度的反击。不同于防火墙,IDS入侵检测设备是一个监听设备,没有跨接在任何链路上,无须网络流量流经它便可以工作。因此,对IDS的部署,唯一的要求是:IDS应当挂接在所有所关注流量都必须流经的链路上。 典型拓扑: 1.2 IDS工作流程介绍 入侵检测系统的工作流程大致分为以下几个步骤: 1.信息收集入侵检测的第一步是信息收集,内容包括网络流量的内容、用户连接活动的状态和行为。 2.信号分析对上述收集到的信息,一般通过三种技术手段进行分析:模式匹配,统计分析和完整性分析。其中前两种方法用于实时的入侵检测,而完整性分析则用
于事后分析。 具体的技术形式如下所述: 1).模式匹配,模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较,从而发现违背安全策略的行为。 2).统计分析,分析方法首先给信息对象(如用户、连接、文件、目录和设备等)创建一个统计描述,统计正常使用时的一些测量属性(如访问次数、操作失败次数和延时等)。测量属性的平均值将被用来与网络、系统的行为进行比较,任何观察值在正常偏差之外时,就认为有入侵发生。 3).完整性分析,完整性分析主要关注某个文件或对象是否被更改,包括文件和目录的内容及属性,它在发现被更改的、被特络伊化的应用程序方面特别有效。完整性分析利用强有力的加密机制,称为消息摘要函数(例如MD5),能识别及其微小的变化。 第2章启明星辰入侵检测设备的安装介绍 2.1产品外观 从左到右分别是:管理口,USB口,1-5业务口 2.2安装与配置步骤 产品安装与部署步骤包括:控制中心安装和引擎安装部署。控制中心需要安装在一台PC上,即需要为IDS入侵检测设备配置一台专门的工作站。这里提到的引擎就
sangfor 对接启明星辰防火墙
引:IPsec 报文原理 这次说说IPsec另外两种场景,一种是做外网网关部署环境,一种是旁挂模式部署环境,一般防火墙直接挂在外网然后使用IPsec属于外网网关部署环境,如果VPN设备旁挂于核心或者防火墙之后非公网地址为单臂模式环境。 拓扑图:参旁挂模式拓扑。
针对单臂环境 注:启明防火墙为旁挂模式部署 一、引:启明星辰防火墙映射VPN需要的UDP 500与4500 6.4 配置步骤 (1)配置网络连通性 保证防火墙外网接口到互联网能够连通,内网接口到服务器能够连通。(2)定义 IP 地址对象、开放端口对象 在【防火墙】--【地址】--【地址】定义内网服务器地址。 在【防火墙】--【服务】--【基本服务】定义开放的端口号
注:源端口低和高一般不需要填写,除非是客户端限定了访问源端口 (3)配置端口映射规则 在【防火墙】--【策略】--【NAT策略】--选择端口映射 公开地址:需要映射的外网口地址(必须为物理接口或者别名设备地址) 拨号用户选择拨号获取到的公网地址即可 内部地址:在地址列表里定义的服务器地址 对外服务:需要对外开放的端口,此处选择vpn端口 注:系统预定义大量常用端口,可以直接使用 对内服务:内网服务器需要开放的端口,此处选择vpn端口500、4500 隐藏内部地址:可选。如果取消选中,既能通过公开地址和端口访问内部服务器,也可以直接访问服务器;如果选中,只能通过公开地址和端口访问内部服务器如果需要内网用户通过访问公网地址来实现访问内网服务器,则需要将源地址转换为选择为防火墙内网接口地址。 (4)配置安全规则
源地址选择any,目的地址选择为vpn,服务选择为vpn端口。 二、设置启明星辰配置 (1)配置启明星辰VPN 接口地址 进入【网络管理】-【网络接口】-【物理设备】,设置eth1和eth2为内外网口地址。 (2)配置防火墙IPsec基本属性 (2)配置启明星辰VPN IPSEC---VPN规则 进入【VPN】-【IPSec】-【VPN规则】-添加,设置本地保护子网为192.168.83.0/24,对端保护子网为192.168.82.0/24。
安全启明星辰产品解决方案完整版
安全启明星辰产品解决 方案 HUA system office room 【HUA16H-TTMS2A-HUAS8Q8-HUAH1688】
安全解决方案的使命就是在先进的理念与方法论的指导下,综合运用安全技术、产品、工具,提供客户化的服务,全面系统地解决客户面临的安全问题。 1.理念与方法论 理念与方法论主要关注如何将各种安全要素有效地配合来满足安全需求。一个解决方案中最核心的部分是解决方案所基于的理念与方法论,它好比解决方案的神经中枢。尤其是对那些看起来相似的安全需求,基于不同的理念与方法论会得到大相径庭的安全解决方案。 良好安全理念和方法论力图挖掘和把握信息安全的本质规律,以便为客户提供可行的,易实施的安全解决方案。 2.需求获取 客户的安全需求是整个解决方案的起源和持续的推动力。没有对客户本身、客户的行业、客户的业务、客户系统的安全需求做详细和准确的分析之前,不可能得到切合实际的解决方案。 在需求分析过程中,会采用多种需求分析方法。比如,BDH方法,就是从业务、分布、层次等三个方向进行分解,同时考虑业务分解后的各要素之间的内在联系,力求完整而准确地获取客户的安全需求。 3.安全措施
安全措施是解决方案中具体的方法、技术、服务和产品等的集合,但又不是简单的堆砌。一个解决方案除了要有正确的安全理念和方法作为基础,全面、清晰地把握客户安全需求之外,还要对可用的各种安全措施(产品与服务)的特点有准确的了解和把握,深刻理解各种措施之间的内在联系,取长补短,充分发挥服务和产品的特性,最终提供有效的实施方案。 4.安全实现 安全实现是解决方案的最后一步。所谓“行百里者半九十”,优秀的安全解决方案必须通过完美地实现才能真正生效,满足客户的安全需求。 在努力完善理念和方法论的同时,要注重安全实现与执行。从项目管理、质量保障等方面全面加强。 二、解决方案指导思路 三观安全包括:微观安全、宏观安全和中观安全。 三观安全的一个典型模型就是上图的执行模型。上面的执行模型分为底层的实现层,体现为安全部件,即安全产品和规范化的安全服务;中间的运营层,体现为对于安全产品的集成管理和各种安全任务的流程管理;顶层的决策层,包括决策支持、残余风险确认,以及顶尖上的“使命”。 任何安全系统、安全项目、安全工作都要在三个层次体现和实现:都要上传到决策层,以确保决策层的支持和指导,并且能够保证对于机构真正使命的支撑和达成;都要下达到