天融信-NGFWARES白皮书

合集下载

产品说明&技术白皮书-天融信入侵防御系统产品说明

天融信网络入侵防御TopIDP系列产品说明天融信TOPSEC®北京市海淀区上地东路1号华控大厦100085电话：(86)10-82776666传真：(86)10-82776677服务热线：400-610-5119800-810-5119Http: //天融信网络入侵防御系统TopIDP系列产品说明1前言 (2)2网络入侵防御系概况 (2)2.1入侵防御系统与防火墙 (3)2.2入侵防御系统与IDS (3)3天融信网络入侵防御系统TOPIDP (3)3.1产品概述 (3)3.2T OP IDP体系架构 (4)3.3T OP IDP主要功能 (5)3.4天融信网络入侵防御系统T OP IDP特点 (6)3.4.1领先的多核SmartAMP并行处理架构 (6)3.4.2强大的攻击检测能力 (6)3.4.3精准的应用协议识别能力 (7)3.4.4实用的网络病毒检测功能 (8)3.4.5智能的上网行为监控和管理 (8)3.4.6立体的Web安全防护 (8)3.4.7先进的无线攻击防御能力 (9)3.4.8精确的QOS流量控制能力 (9)3.4.9灵活的自定义规则能力 (9)3.4.10丰富的网络部署方式 (9)3.4.11高可靠的业务保障能力 (10)3.4.12可视化的实时报表功能 (10)4天融信网络入侵防御系统TOPIDP部署方案 (11)4.1.1典型部署 (11)4.1.2内网部署 (12)4.1.3IDP.VS.IDS混合部署 (13)4.1.4WIPS旁路部署 (14)5结论 (15)1前言随着计算机网络与信息化技术的高速发展，越来越多的企业、政府构建了自己的互联网络信息化系统，互联网络已成为人们生活中必不可缺的工具，在网络带来高效和快捷的同时，网络安全形势也从早期的随意性攻击，逐步走向了以政治或经济利益为主的攻击；攻击的手段从早期简单的扫描、暴力破解逐步过渡到通过缓冲区溢出、蠕虫病毒、木马后门、间谍软件、SQL注入、DOS/DDoS等各种混合手段攻击；攻击的层面也从网络层，传输层转换到高级别的网络应用层面；而很多黑客攻击行为也由单个个体转变到有组织的群体攻击行为上，其攻击行为有明显的政治或经济诉求目的，给政府、企业的网络信息业务系统安全造成极大隐患。

NGFW管理手册

手册中涉及的其他公司的注册商标或是版权属各商标注册人所有，恕不逐一列明。

TOPSEC® 天融信公司信息反馈目录1病毒防御 (1)1.1查看病毒信息 (1)1.2配置病毒过滤策略 (3)1.2.1HTTP病毒过滤策略 (3)1.2.2FTP病毒过滤策略 (7)1.2.3SMTP病毒过滤策略 (9)1.2.4POP3病毒过滤策略 (11)1.2.5IMAP病毒过滤策略 (13)1.3配置反病毒引擎参数 (15)1.4许可证更新 (16)1.5病毒库更新 (17)1.5.1在线升级 (17)1.5.2离线升级 (18)1病毒防御当前网络病毒泛滥，病毒一旦进入网络内部，就会很快地在网络环境中传播，造成整个网络的阻塞，甚至瘫痪。

网络病毒已被公认为网络安全的最主要威胁之一。

为了解决这一问题，天融信公司在原有网络安全产品的基础上增加了反病毒功能，能够对使用HTTP、FTP传输的文件以及对使用SMTP、POP3和IMAP协议传送的邮件正文、附件进行病毒检查过滤，并可根据文件扩展名选择过滤或者不过滤的附件类型等。

本文档主要介绍反病毒功能，包括的内容有：z查看病毒信息：主要介绍如何查看和统计病毒扫描的情况，以方便用户优化病毒过滤策略，进一步增强网络安全性。

z配置反病毒引擎过滤策略：主要介绍如何设置病毒过滤策略。

目前，该反病毒引擎主要支持HTTP过滤、FTP过滤、SMTP过滤、POP3过滤和IMAP过滤。

天融信安全运维服务-白皮书

目录1服务产生背景 (2)2服务概述 (3)3服务方式 (3)3.1驻场值守方式 (3)3.2定期巡检方式 (3)3.3远程值守方式 (3)3.4应急响应方式 (3)4服务内容 (4)4.1健康检查服务 (4)4.2安全事件审计服务 (4)4.3网络行为审计服务 (4)4.4运维监控与分析服务 (5)4.5敏感问题预警与告警服务 (5)4.6终端安全监控与策略优化服务 (6)4.7等级保护合规性运维服务 (6)4.8应急响应服务 (6)4.9安全通告、漏洞分析服务 (7)4.10知识库维护服务 (7)4.11服务器优化服务 (7)4.12数据库维护服务 (8)4.13功能性定制服务 (8)4.13.1报表定制服务 (8)4.13.2关联分析规则定制开发 (8)4.13.3设备解析定制服务 (9)4.13.4工单流程定制服务 (9)4.14产品升级服务 (9)4.15保修及延保服务 (9)5服务价值 (11)6天融信优势 (11)1 服务产生背景国际著名咨询调查机构Gartner集团的调查发现，在经常出现的问题中，源自技术或产品(包括硬件、软件、网络、电力失常及天灾等)方面的问题其实只占20%，而管理流程失误、人员疏失问题占80%。

经过多年的信息化建设，大多数企业已经建立起了比较完整的信息系统。

但是，在安全运维及应急响应方面缺少一套完整的运维和应急体系来保证各类紧急事件的及时、有效处理。

因此，用户通过引入专业的信息安全服务团队，来保障自身信息系统的稳定安全运行，同时通过专业的安全运维服务，逐步构建动态、完整、高效的用户信息安全整体，形成能持续完善、自我优化的安全运维体系和安全管理体系，提高用户信息系统的整体安全等级，为保证业务的健康发展和提升核心竞争力提供坚实的基础保障。

用户安全运维中面临问题：信息管理部门的人员有限，员工的精力有限安全管理制度体系不完善，安全责任制落实不到位安全技术能力方面或多或少的存在一定的限制安全产品众多，维护、升级不及时海量安全事件无法及时处理异常操作行为无法及时预警处理大量安全事件经验不足外界新技术无法更快更好的应用到内网正是针对用户在运维管理中存在的弊端，天融信依靠长期从事信息安全运维服务的经验，同时结合信息安全保障体系建设中运维体系建设的要求，遵循ITIL （最佳实践指导）、ISO/IEC 27000系列服务标准及《北京市电子政务IT运维服务支撑系统规范》等相关标准，建立了一整套信息安全运维管理的服务内容。

天融信网络防火墙方案白皮书

天融信网络防火墙方案白皮书目录1产品功能描述 (3)1.1防火墙概述 (3)1.1.1系统概述 (3)1.1.2功能描述 (3)2产品硬件规格及性能参数 (4)2.1防火墙品目一：TG-62242 (4)2.2防火墙品目二：TG-42218 (6)3产品测试方案 (7)3.1防火墙测试方案 (7)3.1.1测试说明 (7)3.1.2功能要求及测试方式 (9)3.1.3测试结果记录 (26)1 产品功能描述1.1 防火墙概述1.1.1 系统概述网络层访问控制基本的安全防护手段，通常采用路由器和防火墙等手段实现，然而防火墙相对与路由器而言，不仅仅只是提供简单的访问控制功能，同时也能够提供更为强大的连接检测、攻击检测、认证、内容过滤等更加细粒度的安全防护，所以在网络层访问控制方面通常都采用防火墙设备，通过防火墙设备定义好的安全规则来实现基本的访问控制。

防火墙是实现网络安全的重要设备，防火墙的目的是要在内部、外部两个网络之间建立一个安全控制点，通过允许、拒绝或重新定向经过防火墙的数据流，实现对进、出内部网络的服务和访问的审计和控制。

具体地说，设置防火墙的目的是隔离内部网和外部网，保护内部网络不受攻击，实现以下基本功能：●禁止外部用户进入内部网络，访问内部资源；●保证外部用户可以且只能访问到某些指定的公开信息；●限制内部用户只能访问到某些特定资源，如WWW服务、FTP服务等。

1.1.2 功能描述针对安全建设需求，建议对部署在网络内的防火墙配置如下策略：实现访问控制：通过在防火墙上配置安全访问控制策略过滤访问行为，实现基于协议、源/目的IP地址、端口的访问控制，对来自核心服务器区边界的访问进行认证检查及内容过滤，有选择的接入。

带宽管理：启用带宽管理功能，如当某一地址或某地址段对外连接数超过一定数量或流量超过一个设定的阀值时，实现阻断或流量限制的功能；身份认证：在防火墙上开启用户身份认证功能，利用防火墙自带数据库或通过Radius及SecureID和 LDAP用户认证功能；抗攻击：在防火墙上开启自动抗攻击功能，利用防火墙本身的防御功能防止DoS、端口扫描等攻击，确保网络不被外部黑客攻破；抗蠕虫：通过防火墙的蠕虫过滤等功能保证核心服务器所承载的核心应用系统不受来自核心服务器区边界的蠕虫及网络病毒侵害，保障核心应用系统正常、高效运行；多种手段报警：防火墙发现攻击、非法入侵、未授权访问等违反安全规则的行为，立即以多种手段（告警、日志、SNMP 陷阱等）实现违规行为的告警，并记录日志，以便查询。

天融信网络卫士入侵检测系统白皮书

安全推进应用
3
天融信网络卫士入侵检测系统技术白皮书
公司简介
北京天融信公司是中国网络安全行业的领先企业，是目前国内最大的专业从事网络安全技术研究、产品开发和安全服务的高科技企业。同时天融信公司正向集团化、国际化迈进，努力成为中国网络安全领域内最优秀最具国际竞争力的企业。
天融信公司最早成立于 1995 年，目前公司总部设在北京，形成北京、武汉、成都三大研发中心，同时在上海、广州、西安、沈阳、成都、长沙、武汉等 29 个省市设有分支机构，拥有 500 多名信息安全专业研发、咨询与服务人员。
根据进行入侵分析的数据来源的不同，可以将入侵检测系统分为基于网络的入侵检测系统（Network-Based Intrusion Detection System）和基于主机的入侵检测系统（Host-Based Intrusion Detection System）。
基于网络的入侵检测系统（NIDS）的数据来源为网络中传输的数据包及相关网络会话，通过这些数据和相关安全策略来进行入侵判断。
电子信箱：market@
安全推进应用
2
天融信网络卫士入侵检测系统技术白皮书
目
录
公司简介 .............................................................. 4
第 1 章入侵检测系统概述 ..................................................5
2000 年至 2003 年，天融信公司连续四年市场份额均居国内安全厂商之首。特别指出的是，国际权威咨询机构 IDC 统计：天融信 2003 年下半年防火墙市场份额达到了 17.28%，名列所有国内外安全厂商第一位，打破了国内安全厂商长期处于弱势地位的局面，为国内网络安全企业树立了新的里程碑。到目前为止，天融信公司拥有覆盖全国，涉及政府、电信、金融、军队、能源、交通、教育、流通、邮政、制造等行业的万余家客户群体。

天融信Web应用防火墙-方案白皮书

测试目的
SQL注入攻击，是发生于应用程序之数据库层的安全漏洞。简而言之，是在输入的字符串之中注入SQL指令，在设计不良的程序当中忽略了检查，那么这些注入进去的指令就会被数据库服务器误认为是正常的SQL指令而运行，因此遭到破坏
测试步骤
1、TopWAF设备上开启安全策略-防护策略-SQL攻击防护开关，在web防护-服务器策略将相应安全策略进行绑定。
测试结果
通过部分通过未通过未测试
测试报文
3.1.2.1.2
测试分项目
XSS钓鱼攻击
测试目的
通过跨站攻击，攻击者修改HTTP页面源代码，实现记录用户认证信息等功能，通过此测试来验证waf对钓鱼攻击漏洞能否能做有效防护
测试步骤
1、TopWAF设备上开启安全策略-防护策略-XSS攻击防护开关，在web防护-服务器策略将相应安全策略进行绑定。
数字型SQL注入攻击
测试目的
SQL注入攻击，是发生于应用程序之数据库层的安全漏洞。简而言之，是在输入的字符串之中注入SQL指令，在设计不良的程序当中忽略了检查，那么这些注入进去的指令就会被数据库服务器误认为是正常的SQL指令而运行，因此遭到破坏
测试步骤
1、TopWAF设备上开启安全策略-防护策略-SQL攻击防护开关，在web防护-服务器策略将相应安全策略进行绑定。
2、在WebGoat服务器如下页面输入参数’or 1=1-
3、执行Go！
预期结果
该攻击被阻止，查看TopWAF攻击日志出现对应攻击防护阻断介绍：
测试结果
通过部分通过未通过未测试
备注
3.1.2.1.5
测试分项目
SQL盲注入
测试目的
如果网站上有盲注入漏洞则攻击者可以做猜解用户名密码等探测，通过此测试来验证waf能否对盲注入漏洞能否能做有效防护

天融信Web应用防火墙-方案白皮书

信息泄漏
WebShell检测
HTTP协议异常
HTTP协议违规
其他类型的攻击
除了基于规则的检测方法，WAF产品还应具备基于自学习建模的主动防御引擎。对于URI和POST表单，WAF产品的主动防御引擎都可以学习到其参数的个数，以及每一个参数的类型和长度。在学习一段时间之后（通常是一到两周），WAF产品可以建立目标服务器所有动态页面的正向模型。在应用主动防御策略的条件下，所有不符合正向模型的参数都会被阻断，可有效的防御未知威胁和0day攻击。
符合的标准规范
环境保护GB/T 9813-2000；
电磁辐射GB/T 17618-1998；GB 9254-2008
WAF产品支持硬件bypass功能，可以串行接入用户网络环境，在设备升级维护等需要重新启动过程中确保用户网络通畅。WAF产品支持主主、主备方式的双机热备功能，可以实现链路的高可用性
2
2.1
配置说明
2U机架式结构；最大配置为26个接口；
4个10/100/1000BASE-T接口和4个SFP插槽，2个10/100/1000BASE-T接口（作为HA口和管理口）；
默认包括2个可插拨的扩展槽
双电源
性能描述
并发连接>200万
吞吐率>2000Mbps
硬件参数
尺寸：460 *426* 89mm（2U）
电源：100-240V， AC，（47-63HZ），4.5-2A，300W
平均无故障时间（MTBF）：超过60，000小时
工作温度：0~45℃
平台净重：9.07KG
产品毛重：12.68KG
有效的缓解拒绝服务攻击
WAF产品整合了DDoS防御能力，采用分层的立体防御和业界领先的源信誉检测机制，可以有效的缓解synflood攻击、CC攻击、slowheader、slowpost等拒绝服务攻击。

天融信Topsec_NGFW系列防火墙介绍 22页PPT文档

模块模块模块
模块名称：SSLVPN的扩展内存；模块性能：升级1G内存；
模块名称：防病毒模块；模块性能：支持1000用户，包含两年升级服务；备注：到期后可续缴服务；
模块名称：防病毒模块升级；模块性能：防病毒模块的1年升级服务
模块模块名称：IDP扩展模块；模块性能：IPS性能>800Mbps，含1年IDP规则库license；
标配10个10/101BASE-T接口
内嵌OS类型和版本
控制台PC的OS平台为Windows；防火墙OS平台为TOS（Topsec Operating System），版本为v3.3。OS 的子版本号为v3.3.010，相应的编译器版本为v3.3。
吞吐量最大并发连接数
双机热备
上网行为管理
网络吞吐量1G 最大并发连接数80万支持
模块模块模块
模块名称：IPSECVPN-VRC-LICENCSE 模块性能：IPSEC VPN客户端
模块名称：SSLVPN模块；模块性能：用户数>3500，最大支持3500并发用户；备注：缺省5个SSLVPN的License；模块名称：SSLVPN-VRC-LICENSE 模块性能：SSLVPN客户端
支持对p2p协议进行阻断和限制等功能，提供150多种应用程序识别，并实时在线更新识别库，支持对于应用协议流量的年/月/日图表显示
网页过滤
支持web分类过滤功能。提供包括9个大类、87个小类、百万级别的url库，并支持手动、自动更新。
升级管理
原厂质保期 ISCCC获证级别
包括GUI、WEB界面、命令行界面等。支持远程集中管理功能。包括本地升级和远程在线升级；相同型号、相同主版本的软件升级终身免费，升级内容包括产品主要版本的故障排除、版本维护、故障修复、补丁、小版本升级

天融信网络卫士防火墙NGFW ARES系列

信的连接统计；可限制 BT，eMule，eDonkey、讯雷等多种 P2P 应用，可以统计和控制 P2P
流量和连接数；可屏蔽受保护主机/服务器系统信息，可以替换服务器(FTP、SMTP、POP3、
Telnet,HTTP)的 BANNER 信息；可以实现 telnet、DNS 等应用协议的深度过滤；支持 HTTP 重定向功能，可以对伪装 HTTP 的协议进行识别和阻断。
强大的应用控制网络卫士防火墙提供了强大的网络应用控制功能。用户可以轻松的针对一些典型网络应
用，如 MSN，QQ、Skype、新浪 UC、阿里旺旺、Google Talk 等即时通信应用，以及 BT、 Edonkey、Emule、讯雷等 p2p 应用实行灵活的访问控制策略，如禁止、限时乃至流量控制。网络卫士防火墙还提供了定制功能，可以对用户所关心的网络应用进行全面控制。网络处理器技术
等；远程集中监控管理功能：支持远程集中管理监控功能，在同一个管理平台下
能够对所管理网络中所有的防火墙设备进行管理和监控，提供远程升级和配置变更方法，非常方便用户对防火墙软件版本和配置变更的管理；各类资源对象、安全策略可单独导入、导出，可以提供简单方便的配置备份与恢复机制，并且可以恢复到出厂设置；支持远程 TFTP、FTP、HTTP 等方式升级。支持 DDNS 功能，在用户使用 ADSL 等动态获得 IP 地址的情况下可以方便得管理到设备。
天融信产品白皮书网络卫士防火墙 NGFW ARES 系列
网络卫士防火墙 NGFW ARES 系列
网络卫士 NGFWARES 系列防火墙产品，是天融信公司为行业分支机构、中小型企业、教育行业非骨干节点院校、单位内部的部门级等中小用户开发的高性价比的安全平台。网络卫士 NGFWARES 系列防火墙产品既提供 1U 可上机架的产品，也提供小巧的桌面型产品，具有灵活的配置向导。

天融信终端防护白皮书

网络卫士主机监控与审计系统技术白皮书目录第一章前言 (1)第二章产品概述 (1)2.1产品架构 (2)2.2设计依据 (3)第三章功能简介 (3)3.1统一安全策略管理 (3)3.2集中补丁管理及软件分发 (3)3.3终端行为监控 (3)3.4终端系统状态监控 (4)3.5非法外联监控 (5)3.6非法内联监控 (5)3.7终端设备监控 (5)3.8移动存储介质管控 (5)3.9文件监控及网络共享监视 (5)3.10终端敏感信息检查 (5)3.11终端流量监控 (6)3.12安全审计 (6)3.13安全报警 (6)3.14资产管理 (7)3.15与天融信TopAnalyzer的完美整合 (7)3.16系统管理责权分立 (7)第四章产品优势与特点 (7)第五章产品性能指标 (7)第六章运行环境与部署 (8)6.1运行环境 (8)6.2产品应用部署 (8)6.2.1局域网应用部署 (8)6.2.2广域网应用部署 (9)第七章产品资质 (10)第八章关于天融信 (10)第一章前言随着计算机网络技术的飞速发展与应用，各行业信息化办公已经得到普及。

各单位经过多年的信息化建设，单位内部网络应用日益复杂，主要体现在网络分布广泛、终端数量庞大、业务应用系统越来越多。

虽然大部分单位都部署了防火墙、漏洞扫描等网络边界安全设备，但是由于业务运行保密性需求越来越高，边界防御产品无法对员工的个人行为进行管制，网络中的终端PC的安全运行无法得到保障，使得单位内部网络想日常运营存在重大的安全隐患，内部网络中的大量敏感信息也受到严重威胁。

来自网络内部终端PC的安全威胁成为众多安全管理者需要面临的新问题，主要体现在以下几方面：1)移动办公设备、终端PC以及存储介质随意接入内网该如何防范。

2)内网中的涉密设备非法连接外网该如何防范。

3)网络中占用大量带宽的终端如何才能及时发现。

4)如何及时发现网络中的终端设备的系统漏洞并自动分发、安装补丁。

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

服务热线：4006105119/8008105119
3
l 强大的应用代理模块
NGFWARES 系列产品说明
具有透明应用代理功能，支持 FTP、HTTP、TELNET、PING、SSH、FTP—DATA、SMTP、 WINS、TACACS、DNS、TFTP、POP3、RTELNET、SQLSERV、NNTP、IMAP、SNMP、NETBIOS、 DNS、IPSEC—ISAKMP、RLOGIN、DHCP、RTSP、MS-SQL-（S、M、R）、RADIUS-1645、PPTP、 SQLNET—1521、SQLNET—1525、H.323、MSN、CVSSERVER、MS-THEATER、MYSQL、QQ、SECURID （TCP、UDP）PCANYWHERE、IGMP、GRE、PPPOE、IPV6 等协议，可以实现文件级过滤。
本手册的所有内容，其版权属于北京天融信公司（以下简称天融信）所有，未经天融信许可，任何人不得仿制、拷贝、转译或任意引用。本手册没有任何形式的担保、立场倾向或其他暗示。
若因本手册或其所提到的任何信息引起的直接或间接的资料流失、利益损失，天融信及其员工恕不承担任何责任。本手册所提到的产品规格及资讯仅供参考，有关内容可能会随时更新，天融信恕不承担另行通知之义务。
l 深层的内容安全控制功能
防火墙支持对 HTTP 的 URL 过滤，通过将 HTTP 的命令分为读、写和执行来控制命令的使用，达到命令级的过滤；也支持对 FTP 命令和传输文件的过滤，通过将文件资源和 URL 资源应用到访问规则中来控制对文件或 URL 的请求，支持对移动代码如 Vbscript、 JAVA script、ActiveX、Applet 的过滤，支持页面关键词过滤，支持对邮件主题、发件人、收件人、附件类型和大小的控制功能。
目录
1 产品概述 ....................................................................................................................................... 1 2 关键技术 ....................................................................................................................................... 2
网络卫士防火墙系统
NGFWARES 系列
产品说明
天融信 TOPSEC® 北京市海淀区上地东路 1 号华控大厦 100085 电话：+861082776666 传真：+861082776677 服务热线：+86108008105119 http: //
版权声明
NGFWARES 作为网络卫士系列防火墙中的低端产品，以其安全、高效、可靠、应用广泛、方便灵活等特点，特别适用于行业分支机构、中小型企业、教育行业非骨干节点院校等中小用户，充分满足中小用户的需求。
NGFWARES (TG1*08)
NGFWARES (TG1503)
NGFWARES (TG1*03)
服务热线：4006105119/8008105119
2
l 先进的设计思想
NGFWARES 系列产品说明
采用面向资源的设计方法。把安全控制所涉及的各种实体抽象为对象，包括区域、地址、地址组、服务、服务组、时间表、服务器、均衡组、关键字、文件、特殊端口等。不同对象的实体组成资源，用于描述各种安全策略，实现全方位的安全控制。极大地提高了网络安全性，并保证了配置的方便性。
说明
² 此图片为网络卫士系列防火墙 NGFWARES 新一代产品图片，部分老型号产品请参见实物。
服务热线：4006105119/8008105119
1
2 关键技术
NGFWARES 系列产品说明
1）安全高效的 TOS 操作系统
具有完全自主知识产权的 TOS (Topsec Operating System) 安全操作系统，采用全模块化设计，使用中间层理念，减少了系统对硬件的依赖性，有效保障了防火墙、SSL VPN、 IPSEC VPN、防病毒、内容过滤、抗攻击、带宽管理等功能模块的优异性能。TOS 良好的扩展性为未来迅速扩展更多特性提供了无限可能。
1）安全高效的 TOS 操作系统........................................................................................................ 2 2）高性价比的架构 ........................................................................................................................ 2 3 产品特点介绍 ............................................................................................................................... 2 4 产品功能 ....................................................................................................................................... 7 5 运行环境与标准.......................................................................................................................... 10 6 典型应用 ..................................................................................................................................... 12 1）典型应用一： NGFWARES 在百兆网络中的应用 .................................................................. 12 2）典型应用二：在企业、政府互联网出口处的应用 ................................................................. 13 7 产品资质 ..................................................................................................................................... 13
版权所有不得翻印© 19952009 天融信公司
商标声明
本手册中所谈及的产品名称仅做识别之用，而这些名称可能属于其他公司的注册商标或是版权，其他提到的商标，均属各该商标注册人所有，恕不逐一列明。
TopSEC®天融信
信息反馈

NGFWARES 系列产品说明
系统核心层实现传输内容的还原、安全检测，实现高性能的 TOPSEC 内容安全协议，支持病毒检测和垃圾邮件过滤。
l 丰富的 AAA 功能，支持会话认证
网络卫士系列防火墙支持对网络用户提供丰富的安全身份认证，如一次性口令（OTP）、S/KEY、RADIUS 、TACACS、LDAP、secuid 、域认证及数字证书等常用的安全认证方法，也可以使用专用的认证客户端软件进行认证。基于用户的安全策略更灵活、更广泛地实现了用户鉴别和用户授权的控制，并提供了丰富的安全日志来记录用户的安全事件。
在 MAC 层提供基于 MAC 地址的过滤控制能力，同时支持对各种二层协议的过滤功能；在网络层和传输层提供基于状态检测的分组过滤，可以根据网络地址、网络协议以及 TCP 、UDP 端口进行过滤，并进行完整的协议状态分析；在应用层通过深度内容检测机制，可以对高层应用协议命令、访问路径、内容、访问的文件资源、关键字、移动代码等实现内容安全控制；同时还直接支持丰富的第三方认证，提供用户级的认证和授权控制。网络卫士系列防火墙的多级过滤形成了立体的、全面的访问控制机制，实现了全方位的安全控制。
2）高性价比的架构
NGFWARES 系列产品采用嵌入式硬件设计,并基于自主操作系统 TOS（Topsec Operating System）的多功能安全网关，是第一款集路由、交换、无线接入、语音支持的多功能、即插即用的安全网关。
3 产品特点介绍
l 独创的安全技术
在 TOS 上的防火墙安全引擎（SE）采用了基于 OS 内核的会话检测技术，在 OS 内核实现对应用层的访问控制。与包过滤和应用代理防火墙相比，在实现了二到七层的细粒度访问控制的同时，更有效地保证了产品的高性能。
l 超强的防御功能
高级的 Intelligent Guard 技术提供了强大的入侵防护功能，能抵御常见的各种攻击，包括 Syn Flood、Smurf、Targa3、Syn Attack、ICMP flood、Ping of death、Ping Sweep、Land attack、Tear drop attack、IP address sweep option、Filter IP source route option、Syn fragments、No flags in TCP、ICMP 碎片、大包 ICMP 攻击、不明协议攻击、IP 欺骗、IP security options、IP source route、IP record route 、IP bad options、IP 碎片、端口扫描等几十种攻击，网络卫士系列防火墙不但有内置的攻击检测能力，还可以和 IDS 产品实现联动。这不但提高了安全性，而且保证了高性能。