中新金盾防火墙系统-技术白皮书

技术白皮书希拓数据防泄密系统KDS金盾卫士V6.0南京希拓科技有限公司Nanjing Hitop Technology Co.,Ltd版权声明南京希拓科技有限公司版权所有，并保留对本文档及本声明的最终解释权和修改权。

本文档中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明外，其著作权或其他相关权利均属于南京希拓科技有限公司。

未经南京希拓科技有限公司书面同意，任何人不得以任何方式或形式对本手册内的任何部分进行复制、摘录、备份、修改、传播、翻译成其它语言、将其全部或部分用于商业用途。

免责条款本文档依据现有信息制作，其内容如有更改，恕不另行通知。

南京希拓科技有限公司在编写该文档的时候已尽最大努力保证其内容准确可靠，但南京希拓科技有限公司不对本文档中的遗漏、不准确、或错误导致的损失和损害承担责任。

信息反馈您可以访问希拓科技网站，获得最新技术和产品信息。

目录第1章：概述 (3)1.1关于金盾卫士 (3)1.2数据防泄密 (3)第2章：产品技术和特点 (4)2.1智能透明加密 (4)2.2高效稳定处理性能 (5)2.3分权限多策略管理 (5)2.3.1密级管理 (5)2.3.2客户端管理 (8)2.3.3客户端离线 (9)2.3.4文件外发 (9)2.3.5文件授权 (9)2.4多种解密方式，完善的审批流程 (9)2.4.1申请解密 (10)2.4.2邮件解密 (11)2.4.3安全区域解密 (12)2.4.4申请打印 (13)2.5密文自动备份 (13)2.6简易便捷的管理部署 (13)2.7多重主动防御泄密 (14)2.8多重日志审计 (15)2.9全程监控与远程管理 (16)第3章：系统部署架构 (16)3.1典型部署 (16)3.1异地部署 (17)3.1.1VPN方式 (17)3.1.2同号加密狗方式 (17)3.1.3单机客户端方式 (18)第4章：行业解决方案 (18)4.1行业应用 (18)4.2系统支持类型 (19)第5章:综述 (23)第1章：概述1.1关于金盾卫士希拓数据防泄密系统（金盾卫士加密软件，以下简称金盾卫士）是希拓科技有限公司自行研发的数据防泄密产品。

中新金盾防火墙系统产品安装手册版本号：20130717版权信息©安徽中新软件有限公司，版权所有2002－2013本文件所有内容受版权保护并且归中新软件所有。

未经中新软件明确书面许可，不得以任何形式复制、传播本文件（全部或部分）。

中新软件、JDFW、JDIS、金盾抗拒绝服务系统及其它中新商标均是安徽中新软件有限公司注册商标，本文中涉及到的其它产品名称和品牌为其相关公司或组织的商标或注册商标，特此鸣谢。

目录1前言 (1)1.1文档的目的 (1)1.2读者对象 (1)1.3约定 (1)1.3.1命令语法全部采用以下约定 (1)1.3.2图形界面操作的描述采用以下约定 (1)1.3.3网络拓扑中设备的约定 (1)1.4技术服务体系 (2)2产品介绍 (3)2.1产品概述 (3)2.2产品型号及参数 (4)2.2.1ZXFW-8110 (4)2.2.2ZXFW-8210 (5)2.2.3ZXFW-8410 (6)2.2.4ZXFW-8610 (7)2.2.5ZXFW-8810 (8)2.2.6ZXFW-8910 (9)3设备的安装 (10)3.1防火墙的硬件安装 (10)3.2登录中新金盾防火墙 (10)3.2.1串口连接 (10)3.2.2WEB方式登录防火墙 (13)3.2.3SSH软件登录 (14)3.3中新金盾防火墙出厂设置 (15)3.3.1恢复出厂设置 (15)4配置案例 (17)4.1案例1：作为路由网关 (17)4.1.1网络拓扑结构如下所示 (17)4.1.2网络拓扑简介 (18)4.1.3用户的配置需求 (18)4.1.4具体的配置步骤 (18)4.2透明模式接入网络 (20)4.2.1网络拓扑结构如下 (20)4.2.2网络拓扑简介 (20)4.2.3用户的配置需求 (21)4.2.4具体的配置步骤 (21)4.3案例三：防火墙作为VPN网关接入网络 (23)4.3.1网络拓扑结构如下 (23)4.3.2网络拓扑简介 (23)4.3.3用户的配置需求 (23)4.3.4具体的配置步骤 (23)4.4案例四：防火墙主备模式接入网络 (26)4.4.1网络拓扑结构如下 (26)4.4.2网络拓扑简介 (26)4.4.3用户的配置要求 (27)4.4.4具体的配置步骤 (27)5常见问题故障处理 (29)5.1口令丢失情况下的处理 (29)5.2电源系统故障处理 (29)5.3配置系统故障处理 (29)1前言本手册主要介绍中新金盾防火墙的安装和使用。

………………………中软HuaTech-2000型防火墙北京中软华泰信息技术有限责任公司目录1. 北京中软华泰信息技术有限责任公司公司简介 (3)2. 中软HuaTech-2000系列防火墙简介 (4)3. 中软HuaTech-2000系列防火墙的基本功能和特性 (5)3.1. 基本功能 (5)3.2. 中软HuaTech-2000系列防火墙特性 (6)4. 中软HuaTech-2000系列防火墙型号规范说明 (10)5. 接口设计说明 (11)5.1. 型号 (11)5.2. 系统组成 (11)5.3. 接口配置 (11)5.4. 电气性能 (11)5.5. 参考的安全规范及标准 (12)5.6. 抗干扰性 (12)6. 中软HuaTech-2000系列防火墙功能介绍 (13)6.1. 多端口结构，多协议支持 (13)6.2. 状态检测技术 (13)6.3. 深层过滤技术 (14)6.4. 地址绑定技术 (14)6.5. 双向网络地址转换技术 (14)6.6. 动态路由 (15)6.7. 多路由表、源地址选路 (16)6.8. 组播路由 (16)6.9. 内容过滤（色情防堵） (17)6.10. 阻止P2P软件 (17)6.11. 用户认证 (17)6.12. 时间段访问控制 (18)6.13. 入侵检测 (18)6.14. 病毒扫描 (18)6.15. 应用代理 (19)6.16. 日志审计 (19)6.17. 流量控制 (20)6.18. 带宽控制 (20)6.19. VPN功能 (20)6.20. 双机热备功能 (20)6.21. 负载均衡功能 (21)6.22. 支持VRRP (21)6.23. 较强的抗攻击能力 (21)6.24. 采用内核性能优化和安全加固技术 (22)7. 中软HuaTech-2000型防火墙的典型应用 (23)8. 中软HuaTech-2000型防火墙功能、技术指标一览 (24)1.北京中软华泰信息技术有限责任公司公司简介公司成立背景面对网络经济的挑战，全球经济一体化的发展态势，信息安全对一个国家和民族的战略重要性已成为不争的事实。

华为USG6000系列防⽕墙产品技术⽩⽪书（总体）华为USG6000系列下⼀代防⽕墙技术⽩⽪书⽂档版本V1.1发布⽇期2014-03-12版权所有? 华为技术有限公司2014。

保留⼀切权利。

⾮经本公司书⾯许可，任何单位和个⼈不得擅⾃摘抄、复制本⽂档内容的部分或全部，并不得以任何形式传播。

商标声明和其他华为商标均为华为技术有限公司的商标。

本⽂档提及的其他所有商标或注册商标，由各⾃的所有⼈拥有。

注意您购买的产品、服务或特性等应受华为公司商业合同和条款的约束，本⽂档中描述的全部或部分产品、服务或特性可能不在您的购买或使⽤范围之内。

除⾮合同另有约定，华为公司对本⽂档内容不做任何明⽰或暗⽰的声明或保证。

由于产品版本升级或其他原因，本⽂档内容会不定期进⾏更新。

除⾮另有约定，本⽂档仅作为使⽤指导，本⽂档中的所有陈述、信息和建议不构成任何明⽰或暗⽰的担保。

华为技术有限公司地址：深圳市龙岗区坂⽥华为总部办公楼邮编：518129⽹址：/doc/38e0646559eef8c75fbfb3f8.html客户服务邮箱：ask_FW_MKT@/doc/38e0646559eef8c75fbfb3f8.html 客户服务电话：4008229999⽬录1 概述 (1)1.1 ⽹络威胁的变化及下⼀代防⽕墙产⽣ (1)1.2 下⼀代防⽕墙的定义 (1)1.3 防⽕墙设备的使⽤指南 (2)2 下⼀代防⽕墙设备的技术原则 (1)2.1 防⽕墙的可靠性设计 (1)2.2 防⽕墙的性能模型 (2)2.3 ⽹络隔离 (3)2.4 访问控制 (3)2.5 基于流的状态检测技术 (3)2.6 基于⽤户的管控能⼒ (4)2.7 基于应⽤的管控能⼒ (4)2.8 应⽤层的威胁防护 (4)2.9 业务⽀撑能⼒ (4)2.10 地址转换能⼒ (5)2.11 攻击防范能⼒ (5)2.12 防⽕墙的组⽹适应能⼒ (6)2.13 VPN业务 (6)2.14 防⽕墙管理系统 (6)2.15 防⽕墙的⽇志系统 (7)3 Secospace USG6000系列防⽕墙技术特点 (1)3.1 ⾼可靠性设计 (1)3.2 灵活的安全区域管理 (6)3.3 安全策略控制 (7)3.4 基于流会话的状态检测技术 (9)3.5 ACTUAL感知 (10)3.6 智能策略 (16)3.7 先进的虚拟防⽕墙技术 (16)3.8 业务⽀撑能⼒ (17)3.9 ⽹络地址转换 (18)3.10 丰富的攻击防御的⼿段 (21)3.11 优秀的组⽹适应能⼒ (23)3.12 完善的VPN功能 (25)3.13 应⽤层安全 (28)3.14 完善的维护管理系统 (31)3.15 完善的⽇志报表系统 (31)4 典型组⽹ (1)4.1 攻击防范 (1)4.2 地址转换组⽹ (2)4.3 双机热备份应⽤ (2)4.4 IPSec保护的VPN应⽤ (3)4.5 SSL VPN应⽤ (5)华为USG6000系列下⼀代防⽕墙产品技术⽩⽪书关键词：NGFW、华为USG6000、⽹络安全、VPN、隧道技术、L2TP、IPSec、IKE摘要：本⽂详细介绍了下⼀代防⽕墙的技术特点、⼯作原理等，并提供了防⽕墙选择过程的⼀些需要关注的技术问题。

NXG 防火墙系列产品 技术白皮书三 星 计 算 机 安 全 公 司三星计算机安全公司目录一、概述 ................................................................ 4 二、体系结构 .......................................................... 5 三、产品的主要特性 ................................................. 61、NXG 系列固有的独创性分类算法（Classification Algorithm）.......................................................................... 72、专有的 VPN 硬件加密加速卡保证最高的性能 .................... 9 3、以数据包为单位的 Load-Balancing ............................. 9 4、通信终端设备(Modem)的故障恢复............................... 10 5、NXG 系列防火墙、VPN 的 HA/LB 功能架构 ....................... 101) NXG 系列防火墙 HA 功能的技术特点 ................................ 116、支持 OSPF 动态路由协议 ......................................... 12 7、支持 DNS 分离 ..................................................... 12 8．产品的其它功能及特点.......................................... 121) 数据包状态检测过滤............................................... 12 2) 完备的入侵检测和防御功能 ........................................ 15 3) 支持动态 IP ....................................................... 17 4) 支持 DHCP Server ................................................. 17 5) 支持 ADSL 接入.................................................... 17 6) 支持 H.323 协议 .................................................. 17 7) 内容过滤 .......................................................... 17 8) 支持 VLAN ......................................................... 18 9) 提供流量控制服务 ................................................. 18 10) 策略时间表...................................................... 18 11) IP 地址和 MAC 地址绑定 ......................................... 18 12) 支持与防病毒网关联动 .......................................... 192三星计算机安全公司13) 14) 15) 16) 17) 18) 19) 20) 21) 22) 23)NAT 地址转换 ................................................... 19 反向地址映射 ................................................... 19 多重区域保护 ................................................... 19 VPN 功能 ........................................................ 20 多种接入模式 ................................................... 20 丰富的日志审计 ................................................. 20 分级管理 ........................................................ 21 基于对象名称过滤 ............................................... 21 预定义服务...................................................... 21 集中远程管理 ................................................... 21 支持 SNMP 协议 .................................................. 223三星计算机安全公司一、概述目前市场上存在着各种各样的网络安全工具， 而技术最成熟、 最早产品化的就是防火墙， 由于防火墙技术的针对性很强，它已成为实现 Internet 网络安全的最重要的保障之一。

内网安全管理系统产品白皮书Leadsec-ISM V1.1全面的终端运维管理终端主机可进行全面的安全保护、监控、审计和管理，功能不分模块销售。

实名制的管理与审计管理策略根据人员身份制定，做到策略到人，控制到人，审计到人，解决一机多人、一人多机的难题。

三级联防的准入控制体系系统采用端点控制、局域接入控制、边界网关控制三级接入控制体系，可最大程度上适应用户网络环境，提供方便的准入管理。

数据防泄漏数据信息及信息交换做到可加密、可控制、可审计。

文件保密设置简单，移动存储加密保护，可保证私人专用要求。

全面协同防护协同防火墙产品可实现终端的准入控制协同IDS/IPS产品可实现入侵行为的阻断协同SAG产品可实现远程用户的准入控制和身份的策略管理地址：北京海淀区中关村南大街6号中电信息大厦8层（100086） 公司电话：010-********服务热线：400-810-7766(7X24小时) 2目录一、内网安全管理系统背景 (5)1.1内网安全概述 (6)1.2内网安全管理的重要性 (8)1.2.1内网威胁 (8)1.2.2如何加强内网安全 (10)二、内网安全管理系统概述 (12)三、内网安全管理系统架构 (13)四、内网安全管理系统功能 (17)4.1产品九大功能 (17)4.1.1准入控制管理 (17)4.1.2数据防泄漏 (18)4.1.3实名制管理 (21)4.1.4终端维护管理 (22)4.1.5补丁分发管理 (25)4.1.6终端资产管理 (26)4.1.7上网行为管理 (27)4.1.8报警控制台 (28)4.1.9产品协同防护 (29)五、内网安全管理系统功效 (30)5.1整体功效 (30)5.2文件监控与审计 (30)5.2.1杜绝文件操作不留痕迹现象 (30)5.2.2杜绝信息拷贝的无管理状态 (31)5.3网络行政监管 (31)5.3.1屏幕监控 (31)地址：北京海淀区中关村南大街6号中电信息大厦8层（100086） 公司电话：010-********服务热线：400-810-7766(7X24小时) 35.3.2应用程序报告及应用程序日志 (31)5.3.3浏览网站报告及浏览网站日志 (32)5.3.4应用程序禁用 (32)5.4网络辅助管理 (32)5.4.1远程桌面管理 (32)5.4.2远程控制 (32)5.4.3远端计算机事件日志管理 (32)5.4.4远程计算机管理 (33)5.4.5信息化资产管理 (33)5.5网络客户机安全维护 (33)5.5.1补丁分发管理 (33)5.5.2网络漏洞扫描 (34)5.6安全接入管理 (34)5.6.1非法主机网络阻断 (34)5.6.2网络白名单策略管理 (35)5.6.3IP和MAC绑定管理 (35)5.7策略管理 (35)5.7.1基于策略优先级的用户行为管理功能 (35)5.7.2基于网络场景的管理策略 (35)5.7.3基于用户帐户的策略管理 (36)5.7.4基于在线、离线状态的策略管理 (36)5.7.5基于分组的策略管理 (37)六、内网安全管理系统特色 (38)6.1全网产品协同防护 (38)6.2定向访问控制 (38)6.3实名制管理 (38)6.4报警控制台 (39)6.5流量管理 (39)地址：北京海淀区中关村南大街6号中电信息大厦8层（100086） 公司电话：010-********服务热线：400-810-7766(7X24小时) 46.6ARP病毒免疫 (39)6.7可扩展的高端应用接口 (40)6.8补丁统一分发 (40)6.9管理策略强制执行 (40)6.10多元化的管理模式 (40)6.11虚拟安全域管理 (41)6.12策略的优先级管理 (41)七、实施部署 (42)7.1产品部署示意图 (42)7.1.1典型部署 (42)7.1.2多级部署 (43)7.2部署位置 (43)7.3部署方式 (44)地址：北京海淀区中关村南大街6号中电信息大厦8层（100086） 公司电话：010-********服务热线：400-810-7766(7X24小时) 5一、内网安全管理系统背景信息技术发展到今天，人们的工作和生活已经越来越依赖于计算机和网络；然而，自网络诞生的那一天起，它就存在着一个重大隐患——安全问题，人们在享受着网络所带来的便捷同时，不得不承受着网络安全问题带来的隐痛。

中科神威防火墙NSFW-6000技术白皮书北京中科网威信息技术有限公司声明北京中科网威信息技术有限公司所有，保留一切权利。

非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本书内容的部分或全部，并不得以任何形式传播。

目录1.公司简介.................................................................................................... 错误!未定义书签。

2.产品概述.................................................................................................... 错误!未定义书签。

3.产品软硬件设计........................................................................................ 错误!未定义书签。

3.1硬件平台设计............................................................................... 错误!未定义书签。

3.2软件设计体系............................................................................... 错误!未定义书签。

4.产品主要功能............................................................................................ 错误!未定义书签。

4.1基于状态检测的访问控制................................................................. 错误!未定义书签。