防火墙系统(NSG系列)技术白皮书
能士精品防火墙技术白皮书(41)
能士精品防火墙技术白皮书NESEC110-H SeriesNESEC110-M SeriesNESEC110-L SeriesVersion4.2有“能士”就有安全!四川川大能士信息安全有限公司SCU-NESEC INFOSEC CO., LTD.公司信息四川川大能士信息安全有限公司SCU-NESEC INFOSEC CO., LTD.成都市一环路南一段24号四川大学科技创新中心201邮编:610065电话:(86-028)66712184 66711475传真:(86-028)85403488网址: E-mail:cd@北京能士信息安全技术有限公司BEIJING NESEC INFOSEC TECHNOLOGY CO., LTD.北京市北三环西路43号当代青云大厦1504室邮编:100086电话:(86-010)88356851传真:(86-010)62135979转8032E-mail:bj@深圳市能士信息安全有限公司SHENZHEN NESEC INFOSEC CO., LTD.深圳市福田区八卦路众鑫大厦2209-2210邮编:518209电话:(86-0755)25887808 25884162传真:(86-0755)25884172E-mail:sz@服务与支持若您需要更详细的服务与技术支持,或有相关问题需要咨询解答,请按以下方式联系我们。
电话:(86-028)66712045 66712047传真:(86-028)85403488E-mail:support@版本说明本技术白皮书中所涉及到的相关说明、技术指标、硬件参数等内容随着产品硬件、软件的不断升级可能会发生改变,对此,能士公司保留修改的权利。
能士公司将不定期对本技术白皮书的内容进行更新,相关更新情况恕不另行通知,详情请向能士公司咨询。
能士千兆防火墙相关介绍、指标、参数请参见《能士千兆防火墙技术白皮书》。
版权声明本技术白皮书版权归四川川大能士信息安全有限公司所有,未经能士公司书面许可,任何单位或个人不得改变(包括删除、修改、增加等操作)本技术白皮书中的内容,否则,能士公司将追究相应责任。
新华三集团联合IDC发布下一代防火墙技术白皮书
’ ’
一
A
坷 j 新 Fra biblioteki t l nd t t s t r y I n n o v a t i o m
新 华 三 集 团联 合 I DC 发 布 下 一 代 防 火 墙 技 术 白皮 书
…
醇涸 国 _
H, 新 # i
趋 势 l I ) ( 、 人 为, F ・ 代 防 火墙 其仃 f 个主 特 点 : “ 坩能
丧l , J ,发 网络 、 安 全 的虚拟 化 , 以应 川 为中心 . 打造 橄 简 、 随需 J 变 、
个 = 址 n 、 J I I ; 架构 的第 l J q 人乡 n 成部 分 ,作 一 个 坝 的越 平 滑演 进 的 I T新去 『 l 架 构 来越 被 f f 场 匝 的技 术发 展方 向 ,需 要 虹J J l 1 々业 、更7 J 『 1 1 圳 没施 会的发 全 J 不被刺 化 单 独将 安 令作 为 ・ 个子 . 牌 ,足 0 KJ l : 姒蒯 ,i f : F I " 简单、 信" f 连 一 以来 ・ 持 的 l f 场 定位 安 伞 、哇 ! 有 价 值 足深
【 国 内 市 皤 第 一 时 豁
下 代 防 火 艟 霉 晦 她 J
: 1 … _ r 下 在 州 代 举 防 f 火 化 的 没 、 汁 I t J ‘ 思 路 化 / 、 f J 、 拟 化 、 协 旧 ” 这 新 华 i 下 ・ 代 防 火 墙 .
斤 应 刈 “ 互联 + ” 时代 的新 J 安 全 b 战 .给 、 l l , 新 r r 拟 化 、叮 化 、 技 术 同和『 J 】 I 、 { 务链 等 方l 进 仃令面 的 新 , 、 l 努提 供 令 发 障 存符 类 复杂I ' l , ' J I 、 川环 境 F, 能构缱l 1 . 啦 的 网络 防御 体 系 ,
深信服防火墙NGAF方案白皮书
深信服下一代防火墙NGAF方案白皮书目录一、企业级网络安全建设需要什么 (4)1.传统割裂的各种安全产品? (4)2.“雇佣兵”式的安全服务? (5)3.企业级的网络安全到底需要什么? (5)二、深信服下一代防火墙的定位 (6)1.适用于国内环境的下一代防火墙 (6)2.我们不仅交付产品,还为您持续输送安全能力 (7)三、深信服下一代防火墙为企业安全赋能 (7)1.看懂安全现状和风险 (7)1.1业务安全状况可视 (7)1.2威胁危害效果可视 (8)1.3安全事件实时通报 (9)2.持续对抗新型威胁 (10)2.1产品快速迭代应对已知威胁 (10)2.2完整的APT攻击检测链 (11)2.3云检测平台应对未知威胁 (12)3.简化安全运营 (13)3.1任务化的风险管理 (13)3.2全网安全统一管控 (14)3.3威胁情报预警与处置 (15)3.4风险评估与策略联动 (15)3.5智能联动封锁机制 (16)四、高效稳定的底层架构设计 (16)1.分离平面设计 (16)2.多核并行处理 (17)3.单次解析架构 (17)4.跳跃式扫描技术 (18)5.Sangfor Regex正则引擎 (18)6.产品性能评测报告 (19)五、深信服下一代防火墙品牌优势 (19)1.市场引领者 (19)2.专业权威的认可 (20)3.专业安全攻防团队 (21)4.产品可靠稳定 (21)六、典型场景和案例 (22)典型应用场景 (22)典型应用案例 (23)七、部分客户列表 (25)近年来,越来越多的网络安全事件告诉我们,安全风险比以往更加难以察觉。
随着网络安全形势逐渐恶化,网络攻击愈加频繁,用户对自己的网络安全建设是否合规、完善并没有把握。
该如何加强安全建设?安全建设的核心问题是什么?采用何种安全防护手段更为合适?安全建设该如何体现价值?这些问题已成为困扰用户安全建设的关键问题。
一、企业级网络安全建设需要什么传统组合方案问题多1.传统割裂的各种安全产品?传统产品组合方案缺陷一:不同的安全设备看到的是不同的攻击类型,信息是割裂的,难以对安全日志进行统一分析;安全设备在有攻击时才能发现问题,在没有攻击的情况下,就无法看到业务漏洞,但这并不代表业务漏洞不存在;即使发现了攻击,也无法判断业务系统是否真正存在安全漏洞,还是无法指导用户进行安全建设。
防火墙技术白皮书
深信服下一代防火墙NGAF技术白皮书深信服科技有限公司二零一三年四月目录一、概述 (4)二、为什么需要下一代防火墙 (4)2.1 网络发展的趋势使防火墙以及传统方案失效 (4)2.2 现有方案缺陷分析 (5)2.2.1 单一的应用层设备是否能满足? (5)2.2.2 “串糖葫芦式的组合方案” (5)2.2.3 UTM统一威胁管理 (5)三、下一代防火墙标准 (6)3.1 Gartner定义下一代防火墙 (6)3.2 适合国内用户的下一代防火墙标准 (7)四、深信服下一代应用防火墙—NGAF (8)4.1 产品设计理念 (8)4.2 产品功能特色 (9)4.2.1更精细的应用层安全控制 (9)4.2.2全面的应用安全防护能力 (12)4.2.3独特的双向内容检测技术 (17)4.2.4涵盖传统安全功能 (18)4.2.5智能的网络安全防御体系 (19)4.2.6更高效的应用层处理能力 (20)4.3 产品优势技术【】 (20)4.3.1深度内容解析 (20)4.3.2双向内容检测 (20)4.3.3分离平面设计 (21)4.3.4单次解析架构 (22)4.3.5多核并行处理 (23)4.3.6智能联动技术 (23)五、解决方案与部属 (24)5.1 基于业务场景的安全建设方案选择 (24)5.1.1互联网出口-内网终端上网 (24)5.1.2互联网出口-服务器对外发布 (24)5.1.3广域网边界安全隔离 (25)5.1.4数据中心 (25)5.2 部署方式 (26)5.2.1路由部署 (26)5.2.2透明部署 (26)5.2.3虚拟网线部署 (26)5.2.4旁路部署 (26)5.2.5混合部署 (26)5.2.6链路聚合 (26)六、关于深信服 (26)一、概述防火墙自诞生以来,在网络安全防御系统中就建立了不可替代的地位。
作为边界网络安全的第一道关卡防火墙经历了包过滤技术、代理技术和状态监视技术的技术革命,通过ACL 访问控制策略、NAT地址转换策略以及抗网络攻击策略有效的阻断了一切未被明确允许的包通过,保护了网络的安全。
NXG防火墙系列产品 技术白皮书
NXG 防火墙系列产品 技术白皮书三 星 计 算 机 安 全 公 司三星计算机安全公司目录一、概述 ................................................................ 4 二、体系结构 .......................................................... 5 三、产品的主要特性 ................................................. 61、NXG 系列固有的独创性分类算法(Classification Algorithm).......................................................................... 72、专有的 VPN 硬件加密加速卡保证最高的性能 .................... 9 3、以数据包为单位的 Load-Balancing ............................. 9 4、通信终端设备(Modem)的故障恢复............................... 10 5、NXG 系列防火墙、VPN 的 HA/LB 功能架构 ....................... 101) NXG 系列防火墙 HA 功能的技术特点 ................................ 116、支持 OSPF 动态路由协议 ......................................... 12 7、支持 DNS 分离 ..................................................... 12 8.产品的其它功能及特点.......................................... 121) 数据包状态检测过滤............................................... 12 2) 完备的入侵检测和防御功能 ........................................ 15 3) 支持动态 IP ....................................................... 17 4) 支持 DHCP Server ................................................. 17 5) 支持 ADSL 接入.................................................... 17 6) 支持 H.323 协议 .................................................. 17 7) 内容过滤 .......................................................... 17 8) 支持 VLAN ......................................................... 18 9) 提供流量控制服务 ................................................. 18 10) 策略时间表...................................................... 18 11) IP 地址和 MAC 地址绑定 ......................................... 18 12) 支持与防病毒网关联动 .......................................... 192三星计算机安全公司13) 14) 15) 16) 17) 18) 19) 20) 21) 22) 23)NAT 地址转换 ................................................... 19 反向地址映射 ................................................... 19 多重区域保护 ................................................... 19 VPN 功能 ........................................................ 20 多种接入模式 ................................................... 20 丰富的日志审计 ................................................. 20 分级管理 ........................................................ 21 基于对象名称过滤 ............................................... 21 预定义服务...................................................... 21 集中远程管理 ................................................... 21 支持 SNMP 协议 .................................................. 223三星计算机安全公司一、概述目前市场上存在着各种各样的网络安全工具, 而技术最成熟、 最早产品化的就是防火墙, 由于防火墙技术的针对性很强,它已成为实现 Internet 网络安全的最重要的保障之一。
NSAE全系列产品技术白皮书标准版V1.3
信安世纪应用安全网关NSAE全系列产品技术白皮书信安世纪科技有限公司INFOSEC TECHNOLOGIES CO.,LTD二零零八年知识产权声明本白皮书中的内容是信安世纪公司NSAE应用安全网关产品技术说明书。
本材料的相关权利归信安世纪公司所有。
白皮书中的任何部分未经本公司许可,不得转印、影印或复印及传播。
© 2007 信安世纪科技有限公司All rights reserved.NSAE应用安全网关产品技术白皮书信安世纪科技有限公司北京市西城区南礼士路二条甲1号月坛理想大厦6层电话:(86-10) 6802 5518传真:(86-10) 6802 5519邮编:100045网址:电子信箱:support@目录前言 (1)第1章产品概述 (1)1.1公司介绍 (1)1.2产品体系介绍 (3)1.3产品背景 (4)第2章产品简介 (6)2.1产品型号 (6)2.2产品应用 (9)第3章产品功能 (10)3.1功能特性 (10)3.1.1应用加速(SSL加速) (10)3.1.2服务器负载均衡(SLB) (13)3.1.3链路负载均衡(LLB) (18)3.1.4全局服务负载分担(GSLB) (21)3.1.5其他功能 (25)3.2部署方式 (29)3.3产品优势 (30)第4章技术特性 (33)4.1产品特性 (33)4.2硬件特性 (35)4.3性能特性 (36)第5章总结 (37)前言当前,无论在政府网、金融网、企业网、校园网还是在广域网如Internet上,业务量的发展都超出了过去最乐观的估计,用户大量的信息请求,不断更新的应用需求以及对业务不间断的持续访问,成为应用服务商解决互联网服务,获得用户认可的关键因素,即使按照当时最优条件配置建设的网络,面对不间断、快速的用户增长,服务器也会无法承担。
原有链路也会因为用户量的不断增大导致用户访问速度过慢,链路拥塞,网络故障频繁,尤其是各个网络的核心部分,其数据流量和计算强度之大,使得单一设备根本无法承担,而如何在完成同样功能的多个链路及网络设备之间实现合理的业务量分配,使之不至于出现一台设备过忙、而别的设备却未充分发挥处理能力的情况,就成为信息提供商及应用服务商必须克服的问题,负载均衡机制也因此应运而生。
网神SecGate 3600安全网关NSG系列UTM技术白皮书[V6.12.2]
![网神SecGate 3600安全网关NSG系列UTM技术白皮书[V6.12.2]](https://img.taocdn.com/s3/m/ca52992e376baf1ffc4fadb1.png)
技术白皮书网神SecGate 3600 NSG系列下一代安全网关(UTM)目录1产品概述 (3)2产品功能说明 (3)2.1自适应的网络接入模式 (3)2.2完善的状态包过滤 (4)2.3全面的NAT地址转换 (5)2.43G与Wi-Fi (5)2.5病毒过滤 (5)2.6反垃圾邮件 (6)2.7VPN功能 (7)2.8强大的抗攻击能力 (7)2.9应用程序控制 (7)2.10Web过滤 (8)2.11身份验证 (9)2.12即时通讯(IM) (9)2.13入侵防御IPS (9)2.14双机热备和高可用性HA (10)2.15智能分析报表 (10)2.16全面的系统监控 (11)2.17丰富安全的管理方式与灵活的权限设置 (11)2.18完善的系统升级与双系统保障 (11)2.19系统配置的导入导出 (12)3产品技术优势 (12)3.1领先的SecOSII安全协议栈 (12)3.2深度的网络行为关联分析 (13)3.3高效准确的网络杀毒、反垃圾邮件 (13)3.4主动的IPS攻击防护 (13)3.5灵活的网络拓扑自适应性 (14)4典型应用 (14)4.1拓扑一:网络出口综合安全防范 (14)4.2拓扑二:透明接入保护核心服务器 (15)4.3拓扑三、混合部署模式 (16)1产品概述网神SecGate 3600 NSG系列下一代安全网关(UTM)(简称:“网神NSG系列UTM产品”)是基于完全自主研发、经受市场检验的成熟稳定SecOSII操作系统, 并且在专业防火墙、VPN、IPS、IDS、防毒墙的多年产品经验积累基础上精心研发的, 专门为政府、军队分支机构、教育、大型企业的分支机构,中小型企业的互联网出口打造的集防火墙、身份认证、防病毒、抗DDoS攻击、VPN、内容过滤、反垃圾邮件、IPS、带宽管理等多项安全技术于一身并且内置完善的智能报表分析的主动防御综合UTM系统。
网神NSG系列UTM产品可灵活部署在政府、教育、军队、大中小型企业及其分支机构的网络边界,为用户同时提供多种、多层次安全防御,保护用户网络免受病毒、蠕虫、木马、垃圾邮件以及未知的攻击等混合威胁的侵害,同时为用户节省了购买多个设备的高昂费用,可简便地统一管理各种安全模块及相关日志、报告,大大降低了设备的部署、管理和维护成本。
深信服防火墙NGAF方案白皮书
深信服下一代防火墙NGAF方案白皮书目录一、企业级网络安全建设需要什么 (4)1.传统割裂的各种安全产品? (4)2.“雇佣兵”式的安全服务? (5)3.企业级的网络安全到底需要什么? (5)二、深信服下一代防火墙的定位 (6)1.适用于国内环境的下一代防火墙 (6)2.我们不仅交付产品,还为您持续输送安全能力 (7)三、深信服下一代防火墙为企业安全赋能 (7)1.看懂安全现状和风险 (7)1.1业务安全状况可视 (7)1.2威胁危害效果可视 (8)1.3安全事件实时通报 (9)2.持续对抗新型威胁 (10)2.1产品快速迭代应对已知威胁 (10)2.2完整的APT攻击检测链 (11)2.3云检测平台应对未知威胁 (12)3.简化安全运营 (13)3.1任务化的风险管理 (13)3.2全网安全统一管控 (14)3.3威胁情报预警与处置 (15)3.4风险评估与策略联动 (15)3.5智能联动封锁机制 (16)四、高效稳定的底层架构设计 (16)1.分离平面设计 (16)2.多核并行处理 (17)3.单次解析架构 (17)4.跳跃式扫描技术 (18)5.Sangfor Regex正则引擎 (18)6.产品性能评测报告 (19)五、深信服下一代防火墙品牌优势 (19)1.市场引领者 (19)2.专业权威的认可 (20)3.专业安全攻防团队 (21)4.产品可靠稳定 (21)六、典型场景和案例 (22)典型应用场景 (22)典型应用案例 (23)七、部分客户列表 (25)近年来,越来越多的网络安全事件告诉我们,安全风险比以往更加难以察觉。
随着网络安全形势逐渐恶化,网络攻击愈加频繁,用户对自己的网络安全建设是否合规、完善并没有把握。
该如何加强安全建设?安全建设的核心问题是什么?采用何种安全防护手段更为合适?安全建设该如何体现价值?这些问题已成为困扰用户安全建设的关键问题。
一、企业级网络安全建设需要什么传统组合方案问题多1.传统割裂的各种安全产品?传统产品组合方案缺陷一:不同的安全设备看到的是不同的攻击类型,信息是割裂的,难以对安全日志进行统一分析;安全设备在有攻击时才能发现问题,在没有攻击的情况下,就无法看到业务漏洞,但这并不代表业务漏洞不存在;即使发现了攻击,也无法判断业务系统是否真正存在安全漏洞,还是无法指导用户进行安全建设。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
目录1产品概述 (1)2产品特色 (2)2.1灵活的管理接口 (2)2.2管理员权限分权分立 (2)2.3安全隔离的虚拟系统 (3)2.3.1一机多用,节省投资 (3)2.3.2灵活配置,方便管理 (3)2.3.3业务隔离,互不影响 (3)2.4全面的IPv6Ready能力 (4)2.4.1IPv4/IPv6双栈 (4)2.4.2跨栈隧道方案 (5)2.5多层次可靠性保证,整机可靠性高 (7)2.5.1硬件可靠性 (7)2.5.2整机可靠性 (10)2.5.3系统可靠性 (16)2.5.4链路可靠性 (16)2.6智能DNS解析 (22)2.7地理位置识别(国内+国际) (22)2.8全面、智能的路由功能 (22)2.8.1全面的路由功能 (22)2.8.2精确的多出口ISP路由智能选路 (22)2.8.3对称路由保证来回路径一致 (23)2.8.4高适应性的路由负载均衡算法 (23)2.9一体化的安全策略 (23)2.10全面的SSL解密防护 (23)2.10.1SSL解密防护 (23)2.10.2SSL入站检查 (24)2.11丰富的VPN隧道类型 (24)2.12强大的动态QoS功能 (24)2.13持续关注重点应用/URL (24)2.14深度安全检测及DLP,保护网络安全 (25)2.14.1概述 (25)2.14.2全面的应用层攻击防护能力 (25)2.14.3先进的多维动态特征异常检测引擎 (26)2.14.4灵活的自定义漏洞/间谍软件特征功能 (26)2.14.5多维度的DLP数据防泄漏 (26)2.14.6强大的威胁情报渗透 (27)2.15多系统联动防护,构建立体式防护体系 (27)2.15.1防火墙和终端系统联动 (28)2.15.2防火墙和天眼系统联动 (29)2.15.3防火墙和NGSOC系统联动 (29)2.15.4防火墙和天御云系统联动 (30)2.15.5防火墙和ITS系统联动 (30)2.16应用及流量可视化,网络行为无所遁形 (32)2.16.1概述 (32)2.16.2大容量、多维度日志 (33)2.16.3多样化的日志检索方式 (33)2.16.4全方位风险信息展示及分析 (33)2.16.5强大的内容审计策略 (34)2.17自动化应急响应功能 (34)3技术优势 (35)3.1采用第四代SecOS系统 (35)3.2整体框架采用AMP+并行处理架构 (35)3.3优化的AMP+架构突破传统SMP架构瓶颈 (36)3.4更优化的网口数据收发处理 (38)3.5单引擎一次性数据处理技术 (39)3.6多级冗余架构提高防火墙可靠性 (39)3.7云端协同扩展精确定位威胁 (40)3.8基于NDR安全体系的未知威胁闭环防御 (40)4应用场景 (42)4.1企业互联网边界安全应用场景 (42)4.1.1典型场景 (42)4.1.2痛点和优势 (43)4.2行业专网网络安全应用场景 (44)4.2.1典型场景 (44)4.2.2痛点和优势 (45)4.3数据中心出口安全应用场景 (46)4.3.1典型场景 (46)4.3.2痛点和优势 (46)4.4多分支企业组网安全应用场景 (48)4.4.1典型场景 (48)4.4.2痛点和优势 (49)1产品概述随着信息化的飞速发展,网络形势正发生着日新月异的演变,层出不穷的新型威胁冲击着现有的安全防护体系。
传统的安全设备存在以下问题:1.以本地规则库为核心,无法有效检测已知威胁。
2.没有数据智能,无法感知未知威胁。
3.没有联动智能,无法对网络进行协同防御。
面对诸如0-day、APT及未知威胁等越来越多样化和层次化的攻击,逐渐变得力不从心。
归根结底,传统的安全和产品体系还在用单机的、私有的思路来解决网络的、公有的已知威胁。
而面对未知的安全威胁,我们不能再孤军作战,而必须是协同共享。
360网神防火墙系统(以下简称为:防火墙)是奇安信集团自主创新的新一代防火墙安全系统,基于NDR(基于网络的检测与响应)安全体系,在高性能和先进架构的支撑下,集成了防火墙、VPN、应用与身份识别、防病毒、入侵防御、虚拟系统、行为管理、应用层内容安全防护、威胁情报等综合安全防御功能,并支持与天眼、奇安信安装助手、NGSOC、天御云等多系统进行协同防御。
在扩展了协同防御能力的基础上,在防火墙上以分析中心、数据中心、处置中心三大中心为核心,实现了对威胁的分析、定位、处置一体化过程。
是专门为政府、军队、金融、教育、运营商、企业的网络出口打造的基于协同防御体系的新一代安全防御系统。
2产品特色2.1灵活的管理接口防火墙支持通过业务接口或MGT管理接口进行设备管理,适用于不同的用户环境。
管理方式特点业务接口进行设备管理无需搭建额外的、专用的管理网络,减少了网络复杂度和额外的网络维护开支。
支持配置业务接口下的管理方式(HTTP、HTTPS、Ping、SSH、SNMP)和可信管理主机,最大程度上减少管理风险。
MGT管理接口进行设备管理用户的管理平面与业务平面分离,在业务数据量较大的情况下,也不会影响对防火墙的正常管理。
独立的管理接口可以严格限制管理防火墙的终端,保证防火墙的管理安全。
2.2管理员权限分权分立防火墙支持基于管理员的角色的分权分立管理员帐号机制,根据用户的操作场景需求:●系统预定义了超级管理员、配置管理员、账户管理员、审计管理员、RESTful API管理员和OpenC2联动管理员。
实现配置管理、安全管理、审计管理、RESTful API和联动功能分离的同时,也保证了管理员权限的隔离。
●防火墙支持自定义管理员角色,每种角色可以细粒度地指定系统功能模块的读写权限,方便用户管理系统。
2.3安全隔离的虚拟系统防火墙支持虚拟系统功能,将防火墙虚拟成多个相互隔离并独立运行的虚拟防火墙,每一个虚拟系统都可以为用户提供定制化的安全防护功能,并可配备独立的管理员账号。
在用户网络不断扩展时,通过虚拟系统功能不仅能有效降低用户网络的复杂度,还能提高网络的灵活性。
当这些相互隔离并独立运行的虚拟防火墙系统需要通讯时,可以通过防火墙提供的虚拟接口实现,而不需要通过物理链路将它们进行连接。
2.3.1一机多用,节省投资在传统防火墙部署方案中,业务服务器与防火墙基本上是1:1配比。
因此,当业务增加时,用户需要购置新的防火墙。
然而当业务减少时,对应的防火墙就闲置下来,导致投资浪费。
虚拟防火墙技术以其灵活可扩展的特性帮助用户保护投资,用户可以随时根据业务增减相应的虚拟防火墙。
2.3.2灵活配置,方便管理虚拟防火墙技术允许数据中心根据客户的性能需求,量身定做不同性能指标的虚拟防火墙。
例如,可以向某些客户出租10M吞吐量的虚拟防火墙,而向另一些客户出租100M吞吐量的虚拟防火墙。
2.3.3业务隔离,互不影响业务类型多种多样,需要使用的防火墙安全策略也不同。
例如,DNS服务器需要进行DNS Query Flood攻击防护,而HTTP服务器则需要进行HTTPGet Flood攻击防护。
虚拟防火墙的划分能够实现不同业务的专属防护策略配置。
同时,CPU资源虚拟化可隔离虚拟防火墙之间的故障和性能瓶颈,当单个虚拟防火墙受到攻击或资源耗尽时,其它虚拟防火墙不会受到影响,极大地提升了各业务的综合可用性。
图2-1虚拟防火墙部署组网2.4全面的IPv6Ready能力2.4.1IPv4/IPv6双栈防火墙支持完整的双栈协议,支持IPv6下的多种功能,包括网络功能和安全功能,从用户的角度看,其就像支持两个并发的网络。
功能指标项功能描述IPv6接口支持接口IPv6地址配置支持使用IPv6地址进行设备管理支持IPv6手动及自动的IP/MAC探测及绑定IPv6路由支持IPv6下静态路由、策略路由、动态路由(RIPng、OSPFv3、BGP4+)支持IPv6邻居的动态管理和静态配置支持NAT64和DNS64IPv6认证管理支持IPv6的本地认证支持IPv6Web认证IPv6日志管理支持IPv6的SYSLOG、SNMP功能指标项功能描述IPv6VPN支持IPv6跨栈隧道技术(6to4、ISATAP、手工隧道)IPv6安全功能基于IPv6的漏洞防护、防间谍软件、URL过滤、反病毒、内容过滤、文件过滤、邮件过滤、行为管控等安全功能支持配置基于IPv6的安全策略、SSL解密策略支持基于IPv6的会话限制及会话统计支持基于IPv6的数据中心和分析中心得益于完全自主研发的AMP+架构与第四代SecOS操作系统的支撑,防火墙系统在IPv6性能上媲美IPv4性能。
2.4.2跨栈隧道方案防火墙支持多种跨栈隧道解决方案,方便用户在IPv6演进过程中的跨栈报文传输需求。
主要包括:●6in4跨栈隧道方案●GRE跨栈隧道方案●NAT64/DNS64方案6in4跨栈隧道方案防火墙支持6in4跨栈隧道。
允许IPv6主机穿越IPv4网络访问到另一台IPv6主机或者IPv6服务。
防火墙支持三种6in4隧道,分别为手工隧道、ISATAP、6to4隧道。
图2-2手工隧道典型应用场景举例GRE跨栈隧道方案GRE(Generic Routing Encapsulation,通用路由封装协议)提供了将一种协议的报文封装在另一种协议报文中的机制,使IPv6报文能够通过隧道封装,在IPv4网络传输。
GRE隧道可以将IPv6报文作为净荷,在外部增加GRE报文头和IPv4报文头后,在IPv4网络中传输。
图2-3GRE跨栈隧道典型应用场景NAT64/DNS64方案在IPv6演进过程中,网络侧的IPv6Ready程度较高,但是业务侧IPv6化还不乐观,有很大一部分资源仍然采用的是IPv4的地址。
NAT64技术就是为了解决IPv6终端访问IPv4资源时,地址从IPv6地址向IPv4转换的问题。
如图2-4所示。
在防火墙上应用NAT64功能后,IPv6用户访问Internet时的不同情况为:●如果目的IP地址为IPv6地址,则防火墙直接将报文转发到对应的IPv6网络中。
●如果目的IP地址为IPv4地址,则防火墙将报文中的IPv6地址转换为IPv4地址,再转发到对应的IPv4网络中。
图2-4NA T64应用组网示意图2.5多层次可靠性保证,整机可靠性高2.5.1硬件可靠性双冗余电源防火墙具备冗余电源并支持电源模块的热插拔。
●当系统同时使用两个电源模块时,两个电源模块共同进行负载分担。
●当其中一个电源模块损坏或被拔出电源线时,另一个模块可以完全承担系统的负载,保证系统正确、稳定运行。
●电源模块支持热插拔,用户可以在开机时,直接更换损坏的电源模块。
带外管理带外管理是指利用专门搭建的管理网络完成设备管理,使得防火墙上管理数据和业务数据分离。