迪普防火墙专业技术白皮书
DSDeepSecurity-CN-技术白皮书
<请插入封面>Trend MicroDeep Security 7提供动态数据中心服务器及应用程序最深度的保护虚线左边企业为了与合作伙伴、员工、供货商或客户有更实时的连结,有越来越多的在线数据中心,而这些应用正面临着日益增加的网络攻击。
与传统的威胁相比,这些针对目标性攻击的威胁数量更多也更复杂,所以对于数据安全的遵循就变得更加严格。
而您的公司则更坚固的安全防护,让您的虚拟和实体数据中心,以及云端运端不会因资安威胁而造成效能的降低。
趋势科技提供有效率、简化、整合的产品和服务以及完整的解决方案。
卓越的防护技术,能有效保护敏感的机密数据,并且将风险降至最低。
趋势科技Deep Security是一套能广泛保护服务器和应用程序的软件,能使企业实体、虚拟及云端运算的环境,拥有自我防范(self-defending)的能力。
无论是以软件、虚拟机器或是混合式的方法导入,Deep Security 可以大幅减少虚拟环境的系统开销、简化管理及加强虚拟机器的透明安全性。
除此之外,还可协助企业遵循广泛的规范需求,包括六个主要的PCI 遵从如网络应用层防火墙、IDS/IPS、档案完整监控及网络分割。
架构•Deep Security Virtual Appliance与Deep Security Agent相互协调合作,有效且透明化地的在VMware vSphere 虚拟机器上执行IDS/IPS、网络应用程序保护、应用程序控管及防火墙保护等安全政策,并提供完整性的监控及审查日志。
•Deep Security Agent是一个非常轻小的代理软件组件,部署于服务器及被保护的虚拟机器上,能有效协助执行数据中心的安全政策(IDS/IPS、网络应用程序保护、应用程序控管、防火墙、完整性监控及审查日志)。
•Deep Security Manager功能强大的、集中式管理,是为了使管理员能够创建安全设定档与将它们应用于服务器、显示器警报和威胁采取的预防措施、分布服务器,安全更新和生成报告。
应用防火墙一虚多产品技术白皮书 201506
应用防火墙虚拟化产品技术白皮书缩写和约定英文缩写英文全称中文解释VMM VMM Virtual Machine Manager 虚拟机监视器VM Virtual Machine 虚拟机vNGAF Virtual NGAF 虚拟应用防火墙目录第1章应用防火墙一虚多介绍 (1)第2章应用防火墙一虚多解决方案 (1)2.1 技术原理 (1)2.2 计算虚拟化 (3)2.3 网络虚拟化 (5)2.4 高可用 (5)2.5 管理与运维 (5)第3章应用防火墙一虚多特色技术 (5)3.1 虚拟化存储写合并缓存技术 (5)第4章vNGAF产品详细说明 (6)4.1 产品设计理念 (6)4.2 产品功能特色 (6)4.3 产品优势技术 (14)第5章部属方式 (18)第6章关于 ............................................................................... 错误!未定义书签。
第1章应用防火墙一虚多介绍应用防火墙虚拟化采用裸金属架构的X86虚拟化技术,实现对物理主机资源的抽象,将CPU、内存、I/O等服务器物理资源转化为一组可统一管理、调度和分配的逻辑资源,并基于这些逻辑资源在单个物理防火墙主机上构建多个同时运行、相互隔离的虚拟防火墙运行环境,实现更低的运营成本、更高的资源利用率和更加灵活的资源动态分配需求。
✓可基于业务划分需要,自行创建创建、删除、启停单独的vNGAF✓支持为每个vNGAF分配CPU、内存、网卡,并配置新建与并发性能✓支持为每个vNGAF配置管理员密码与管理IP✓支持HOST机的VLAN划分✓支持路由、NAT、应用控制、IPS、W AF、PVS、流控、数据中心等功能第2章应用防火墙一虚多解决方案2.1 技术原理防火墙虚拟化是资源的逻辑表示,而不受物理限制的约束。
虚拟化技术的实现形式是在系统中加入一个虚拟化层,将下层的资源抽象成另一形式的资源,提供给上层使用。
迪普科技-DNS负载均衡技术白皮书
ADX产品DNS负载均衡功能杭州迪普科技有限公司Hangzhou DPtech Technologies Co., Ltd目录1 前言: (3)2 概述 (3)3 功能分析 (3)3.1 DNS解析实现流程: (3)3.2 多链路环境下的负载均衡应用: (4)3.2.1 Inbound(源负载均衡): (4)3.2.2 就近性(RTT算法): (4)3.2.3 目的负载均衡: (5)3.3 多服务器环境下的负载均衡应用: (5)3.3.1 DNS重定向: (6)3.3.2 地理分布算法: (6)3.3.3 全局负载均衡: (7)1前言:随着服务器负载均衡和链路负载均衡技术的日益发展,人们的关注点大多集中在了链路和服务器存在瓶颈和冗余性的问题,而DNS负载均衡技术为解决这一问题提供了更多、更灵活的解决思路。
2概述DNS 是域名系统(Domain Name System) 的缩写,是一种组织成域层次结构的计算机和网络服务命名系统。
DNS 命名用于TCP/IP 网络,如Internet,用来通过用户友好的名称定位计算机和服务。
当用户在应用程序中输入DNS 名称时,DNS 服务可以将此名称解析为与此名称相关的其他信息,如IP 地址。
在链路方面,为解决单一链路所带了的网络单点故障以及脆弱性和国内所存在跨运营商的问题的,目前大部分的企业都部署了多条互联网链路,来提升网络链路的可靠性。
传统的多链路接入依靠复杂的设计,解决了一些接入链路存在单点故障的问题。
但是,它远远没有把多链路接入的巨大优势发挥出来。
链路负载均衡技术即通过对这些链路的管理,以使其达到最大利用率。
在服务器方面,由于用户访问量的增大,使得单一的网络服务设备已经不能满足需要了,由此需要引入服务器的负载平衡,实现客户端同时访问多台同时工作的服务器,实现动态分配每一个应用请求到后台的服务器,并即时按需动态检查各个服务器的状态,根据预设的规则将请求分配给最有效率的服务器。
SecPath虚拟防火墙技术白皮书
SecPath 虚拟防火墙技术白皮书关键词:虚拟防火墙MPLS VPN摘要:本文介绍了H3C 公司虚拟防火墙技术和其应用背景。
描述了虚拟防火墙的功能特色,并介绍了H3C 公司具备虚拟防火墙功能的独立防火墙和防火墙插板产品的组网环境应用。
缩略语清单:目录1 概述 (3)1.1 新业务模型产生新需求 (3)1.2 新业务模型下的防火墙部署 (3)1.2.1 传统防火墙的部署缺陷 (3)1.2.2 虚拟防火墙应运而生 (4)2 虚拟防火墙技术 (5)2.1 技术特点 (5)2.2 相关术语 (6)2.3 设备处理流程 (7)2.3.1 根据入接口数据流 (7)2.3.2 根据Vlan ID数据流 (7)2.3.3 根据目的地址数据流 (8)3 典型组网部署方案 (8)3.1 虚拟防火墙在行业专网中的应用 (8)3.1.1 MPLS VPN组网的园区中的虚拟防火墙部署一 (9)3.1.2 MPLS VPN组网的园区中的虚拟防火墙部署二 (10)3.1.3 虚拟防火墙提供对VPE的安全保护 (10)3.2 企业园区网应用 (11)4 总结 (12)1 概述1.1 新业务模型产生新需求目前,跨地域的全国性超大企业集团和机构的业务规模和管理复杂度都在急剧的增加,传统的管理运营模式已经不能适应其业务的发展。
企业信息化成为解决目前业务发展的关键,得到了各企业和机构的相当重视。
现今,国内一些超大企业在信息化建设中投入不断增加,部分已经建立了跨地域的企业专网。
有的企业已经达到甚至超过了IT-CMM3 的级别,开始向IT-CMM4 迈进。
另一方面,随着企业业务规模的不断增大,各业务部门的职能和权责划分也越来越清晰。
各业务部门也初步形成了的相应不同安全级别的安全区域,比如,OA 和数据中心等。
由于SOX 等法案或行政规定的颁布应用,各企业或机构对网络安全的重视程度也在不断增加。
对企业重点安全区域的防护要求越来越迫切。
因此,对企业信息管理人员来说,如何灵活方便的实现企业各业务部门的安全区域划分和安全区域之间有控制的互访成为其非常关注的问题。
DPtech WAF3000系列Web应用防火墙安装手册v1.6
DPtech WAF3000 系列 Web 应用防火墙 安装手册
目录
第 1 章 产品介绍............................................................................................................................... 1
DPtech WAF3000 系列 Web 应用防火墙 安装手册
DPtech WAF3000 系列 Web 应用防火 墙安装手册
i
DPtech WAF3000 系列 Web 应用防火墙 安装手册
杭州迪普科技有限公司为客户提供全方位的技术支持。 通过杭州迪普科技有限公司代理商购买产品的用户,请直接与销售 代理商联系;直接向杭州迪普科技有限公司购买产品的用户,可直 接与公司联系。 杭州迪普科技有限公司 地址:杭州市滨江区通和路 68 号中财大厦 6 层 邮编:310052
1.1 产品概述...................................................................................................................................... 1 1.2 产品型号及规格介绍.................................................................................................................. 1 1.3 前后面板介绍.............................................................................................................................. 3 1.3.1 WAF3000-MS 产品外观.......................................................................................................... 3 1.3.2 WAF3000-ME 产品外观.......................................................................................................... 5 1.3.3 WAF3000-GC 产品外观...........................................................................................................7 1.3.4 WAF3000-GE(02050118)产品外观......................................................................................... 9 1.3.5 WAF3000-TS-A 产品外观..................................................................................................... 12 1.3.6 WAF3000-GA/ WAF3000-GE(02050364)产品外观.............................................................15 1.4 端口介绍.................................................................................................................................... 17 1.4.1 CONSOLE 口............................................................................................................................. 17 1.4.2 10/100/1000BASE-T 以太网电接口........................................................................................17 1.4.3 SFP 口......................................................................................................................................19 1.5 产品组件.................................................................................................................................... 22 1.5.1 处理器及存储器..................................................................................................................... 22 1.5.2 各类接口................................................................................................................................. 22
DPtech FW1000系列防火墙系统维护手册
DPtech FW1000维护手册杭州迪普科技有限公司2011年10月目录DPtech FW1000维护手册 (1)第1章常见维护事项 (1)1.1系统基本维护 (1)1.2日常故障维护 (1)1.3数据备份管理 (1)1.4补丁升级管理 (2)第2章应急处理方案 (4)2.1运输导致设备无法启动 (4)2.2互联网访问异常 (4)2.3集中管理平台无相关日志 (4)2.4设备工作不正常 (5)2.5IPSEC-VPN无法正常建立 (5)2.6访问内网服务器异常 (5)第3章功能项 (6)3.1用户名/密码 (6)3.2管理员 (6)3.3WEB访问 (6)3.4接口状态 (7)3.5数据互通 (7)3.6日志信息 (7)第4章其他 (9)4.1注册与申请 (9)4.2升级与状态 (9)第5章FAQ (12)5.1入门篇 (12)5.2进阶篇 (13)第1章常见维护事项1.1 系统基本维护➢防火墙应该指派专人管理、维护,管理员的口令要严格保密,不得泄露➢防火墙管理员应定期查看统一管理中心(UMC)和防火墙的系统资源(包括内存/CPU/外存),确认运行状况是否正常➢防火墙管理员应定期检查“严重错误”以上级别的系统日志,发现防火墙的异常运行情况➢防火墙管理员应定期检查操作日志,确认是否有异常操作(修改、添加、删除策略,删除日志等)、异常登录(非管理员登陆记录、多次登陆密码错误),对此应立即上报并修改密码➢防火墙管理员应定期检查和分析自动生成的报表,对报表中的可疑事件进行追踪(例如部分时间段异常攻击等),并出具安全运行报告➢防火墙管理帐号用户名:admin,初始口令admin,首次使用需修改,并备份➢统一管理中心服务器需要按时进行操作系统的补丁升级和杀毒软件的病毒库升级1.2 日常故障维护➢统一管理中心服务器无法登录,请检查能否PING通统一管理中心服务器,其相关服务(UMC数据库服务、UMC Web服务、UMC后台服务)是否启动,管理端口80是否一致➢统一管理中心服务器上网络流量快照或FW日志无法生成,先检查端口9502、9516、9514是否开放,防火墙的日志发送配置是否正确,再用抓包工具检查防火墙是否发送日志➢防火墙无法登录,请检查防火墙的IP是否可以Ping通,同时检测端口80是否开放1.3 数据备份管理➢统一管理中心服务器系统安装后要先进行完全备份➢统一管理中心服务器管理员应定期将备份的数据导入到指定的备份机或刻盘存储➢统一管理中心服务器的磁盘告警阀值默认为2G,当系统可用磁盘空间小于2G时,会进行自动告警,这时需要进行数据库压缩和数据备份1.4 补丁升级管理➢迪普将不定期在迪普官方网站()发布设备最新的软件版本,可自行下载,并升级➢协议库升级,在设备已存在该特征库的License的情况下,可采用手动升级(迪普官方网站下载)或自动升级(前提是设备可访问迪普官方网站的链接,若不具备此条件,则需采用手动升级)➢【软件版本】升级操作说明:(1)首先从迪普官方网站或迪普技术支持人员获取最新的软件版本。
高性能安全缩放6个选择标准:下一代防火墙白皮书说明书
WHITE PAPERExecutive SummaryAs the guardians of their enterprises’ ever-expanding attack surfaces, security architects look for more effective ways to deliver threat protection and to coordinate it with threat detection and remediation. Next-generation firewalls (NGFWs), which typically anchor security architectures, are the linchpins of these capabilities, so architects should choose carefully.Comprehensive threat protection includes firewalling, intrusion prevention, antivirus, and application control. Advanced NGFWs also inspect secure sockets layer (SSL)-encrypted traffic. In some NGFWs, though, the combination of these processes can severely hamper network throughput. That’s why, as application counts and traffic volumes grow, security teams may resort to turning off some threatprotection controls to maintain acceptable levels of network service.This is a compromise that organizations cannot afford. According to a recent report, the total average organizational cost of data breaches in the U.S. has already reached $7.35 million.1 NGFWs must offer bestof-breed threat protection at the enterprise edge andin the data center without sacrificing performance. Operating within a broad, integrated, and automated security architecture, NGFWs must also satisfy the scalability, cost of ownership, and environmental concerns of the digitally transforming enterprise. Evaluating Your NGFW RequirementsNGFWs play an important role in threat protection, from the network edge to the data center, between internal segments, and in the cloud. Security teams rely on their NGFWs to gain visibility into users, devices, applications, and threats on the network, and to apply advanced threat protection wherever it is needed.Six key criteria should guide the evaluation and selection of enterprise edge or data-center NGFWs:1. Threat protection performance. Threat protection performance is a measurement of how well an NGFW performs while runningfull threat protection (firewalling, intrusion prevention, antivirus, and application control). Ideally, the NGFW can sustain performance when full threat protection is turned on. In some cases, however, performance degradation is substantial. As an example, based on internal Fortinet research, signature-matching (a function of IPS) can reduce some NGFWs’ speed by as much as 30%.Many NGFW providers are ambiguous in how they represent their threat protection performance claims. Documented performance claims should be examined carefully to ensure they reflect testing under load, with threat protection fully engaged.2. SSL inspection across the entire enterprise. An enterprise NGFW must also be able to perform well with SSL inspectionengaged. Most enterprise network traffic is now encrypted.2 Cyber criminals are taking advantage of the inherent trust and low inspection priority given to SSL traffic by some and are inserting malware into encrypted packets. Such malware can be ferreted out through SSL decryption and inspection. The penalty for SSL inspection, though, is reduced throughput. In some cases, the slowdown is significant enough to impact applications in ways that hamper business productivity and customer experience.While all NGFWs experience some impact on throughput with SSL turned on, the best will have predictable performance and see minimal speed degradation. When comparing data sheets, look for transparency in the vendor’s SSL performance specifications.They should cite testing with industry-mandated ciphers (standardized algorithms used for encrypting and decrypting sensitive information) such as AES256-SHA and TLS 1.2 that have preferably been validated by objective third parties.3. Session capacity. Session capacity for most NGFW appliances tops out at a few million sessions. As traffic volume and the numberof devices connecting to the network continue to skyrocket, session capacity is critical to accommodate peak connectivity, which may exceed 100 million concurrent sessions in large enterprises.To deliver high-throughput performance, NGFWs designed for enterprise-scale traffic have a load-balancing architecture that supports high connection rates as well as offering failover for resiliency. This is a more cost-efficient alternative to routingtrafficthrough several low-capacity firewalls.2Copyright © 2019 Fortinet, Inc. All rights reserved. Fortinet , FortiGate , FortiCare and FortiGuard , and certain other marks are registered trademarks of Fortinet, Inc., and other Fortinet names herein may also be registered and/or common law trademarks of Fortinet. All other product or company names may be trademarks of their respective owners. Performance and other metrics contained herein were attained in internal lab tests under ideal conditions, and actual performance and other results may vary. Network variables, different network environments and other conditions may affect performance results. Nothing herein represents any binding commitment by Fortinet, and Fortinet disclaims all warranties, whether express or implied, except to the extent Fortinet enters a binding written contract, signed by Fortinet’s General Counsel, with a purchaser that expressly warrants that the identified product will perform according to certain expressly-identified performance metrics and, in such event, only the specific performance metrics expressly identified in such binding written contract shall be binding on Fortinet. For absolute clarity, any such warranty will be limited to performance in the same ideal conditions as in Fortinet’s internal lab tests. Fortinet disclaims in full any covenants, representations, and guarantees pursuant hereto, whether express or implied. Fortinet reserves the right to change, modify, transfer, or otherwise revise this publication without notice, and the most current version of the publication shall be applicable. Fortinet disclaims in full any covenants, representations, and guarantees pursuant hereto, whether express or implied. Fortinet reserves the right to change, modify, transfer, or otherwise revise this publication without notice, and the most current version of the publication shall be September 9, 2019 10:17 PM Untitled-1WHITE PAPER | Scaling for High-Performance Security1“2017 Cost of Data Breach Study: United States ,” Ponemon Institute LLC, June 2017. 2 Siggi Stefnisson, “Private, But Not Secure: HTTPS is Hiding Cybercrime ”, SecurityWeek, September 22, 2017.170332-A-0-EN 1. Price/performance and other operational considerations. Some vendors scale performance by increasing the size, andconsequently, the price of their NGFWs. This may not align with enterprise trends toward shrinking technology footprints. Aim for an NGFW that delivers the required performance in the most compact form factor. This not only reduces total cost of ownership (TCO) but it also saves space and reduces energy consumption, both important objectives for environmentally conscious enterprises.Maintenance and support costs for the NGFW should be factored into TCO, too. Mature technology has an edge in this respect, as does an offering from a vendor with deep investments in research and design. Owners of NGFWs that fall into this category can expect smoother deployments and fewer support calls.When considering the NGFW hardware, pay attention to power redundancy and support for 40 GbE and 100 GbE networkinterfaces. These will support resiliency and accommodate migration to higher-capacity networks.2. Independent third-party validation. Although network security is a rapidly evolving industry, no enterprise can afford the risk ofuntested security innovations. Architects should not rely on vendor claims alone but seek third-party evaluation from recognized bodies such as NSS Labs. The latter offers detailed test results and recommendations for NGFWs in a variety of use cases, such as data-center security gateway (DCSG), data-center firewall (DCFW), data-center intrusion prevention system (DCIPS), and next-generation intrusion prevention system (NGIPS).3. Single-pane-of-glass management. The management interface is where many security architects are stymied in their selectionprocess. Careful attention may have been paid to the management system’s user interface and functionality, but if it is limited to the NGFW, security teams will have to toggle between multiple dashboards to assess vulnerabilities and respond to threats. Endto-end visibility and control is possible only if the NGFW is part of a broad, integrated security architecture, across which it can share threat information with other network devices and receives threat intelligence automatically.Single-pane-of-glass management is not only more effective from a security standpoint but it is also operationally more efficient, reducing administrative time and training costs.Building Your NGFW Priority ChecklistAs security architects evaluate NGFW solutions, potential trade-offs between security and performance may be top of mind. And it’s true—the ability to provide full threat protection and SSL inspection with minimal performance impact is critical.There are other considerations, however. Given power and space restrictions, preference should be given for compact NGFW solutions that minimize space requirements while being flexible enough to deploy in the data center or on the network edge.Finally, security architects should consider the capability to integrate the NGFW into the overall security architecture, providing end-toend visibility and the ability to automatically share threat intelligence between devices.The NGFW is at the heart of every enterprise security solution and plays a critical role in protecting corporate and customer data. Security architects reviewing their options will be pleased to learn that one NGFW stands out clearly from its peers.。
迪普-DPtech-IPS
趋势一:网络无边界
VPN、移劢办公、 无线网络等应用日渐增多,网络边界日益模糊,以防火 墙为代表的传统边界安全防护手段无能为力
边界在哪里?
3
趋势二:新业务模式层出丌穷
WEB2.0
云计算
P2P应用
网上支付
型企业、大型企业以及运营商的各种应用层安全防护需求。
9
DPtech IPS2000产品系列
IPS2000-MC/MS/MA-N
IPS2000-ME–N
千兆光口
千兆电口 管理口
串口
10
DPtech IPS2000产品系列
IPS2000-GS/GA-N
吞吐量 并发会话数 新建会话数
12Gbps 400W 20W/S
6Gbps 400W 20W/S
3Gbps 100W 4W/S
1.5Gbps 100W 2W/S
800Mbps 100W 2W/S
300Mbps 20W 1W/S
高度
2U
2U
1U
1U
1U
1U
接口
2个管理口(千兆自适应、 电口)12个千兆自适用电口 (内置3组掉电保护)12个千 兆自适应光口,2个万兆光 口,1个RJ45串口,1 个USB 口
5.支持SQL注入探测(and攻击/or攻击/数据库类型查 询攻击/表名查询攻击等)
6. 支持SQL注入攻击(联合查询攻击/数据更新攻击/数 据删除攻击/通过数据库执行系统命令攻击)
29
IPS攻击防护-Web安全-XSS
• 原理
– 网站对输入过滤不严格 – 攻击者往Web页面的html代码中插入恶意的数据,用户 认为该页面是可信赖的,当用户浏览该页之时,嵌入 Web页里的恶意代码/脚本会被执行
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
迪普防火墙技术白皮书 ———————————————————————————————— 作者: ———————————————————————————————— 日期: 迪普FW1000系列防火墙 技术白皮书
1 概述 随着网络技术的普及,网络攻击行为出现得越来越频繁。通过各种攻击软件,只要具有一般计算机常识的初学者也能完成对网络的攻击。各种网络病毒的泛滥,也加剧了网络被攻击的危险。目前,Internet网络上常见的安全威胁分为以下几类: 非法使用:资源被未授权的用户(也可以称为非法用户)或以未授权方式(非法权限)使用。例如,攻击者通过猜测帐号和密码的组合,从而进入计算机系统以非法使用资源。 拒绝服务:服务器拒绝合法用户正常访问信息或资源的请求。例如,攻击者短时间内使用大量数据包或畸形报文向服务器不断发起连接或请求回应,致使服务器负荷过重而不能处理合法任务。 信息盗窃:攻击者并不直接入侵目标系统,而是通过窃听网络来获取重要数据或信息。 数据篡改:攻击者对系统数据或消息流进行有选择的修改、删除、延误、重排序及插入虚假消息等操作,而使数据的一致性被破坏。 目前网络中主要使用防火墙来保证内部网路的安全。防火墙类似于建筑大厦中用于防止火灾蔓延的隔断墙,Internet防火墙是一个或一组实施访问控制策略的系统,它监控可信任网络(相当于内部网络)和不可信任网络(相当于外部网络)之间的访问通道,以防止外部网络的危险蔓延到内部网络上。防火墙作用于被保护区域的入口处,基于访问控制策略提供安全防护。例如:当防火墙位于内部网络和外部网络的连接处时,可以保护组织内的网络和数据免遭来自外部网络的非法访问(未授权或未验证的访问)或恶意攻击;当防火墙位于组织内部相对开放的网段或比较敏感的网段(如保存敏感或专有数据的网络部分)的连接处时,可以根据需要过滤对敏感数据的访问(即使该访问是来自组织内部)。 防火墙技术经历了包过滤防火墙、代理防火墙、状态防火墙的技术演变,但是随着各种基于不安全应用的攻击增多以及网络蠕虫病毒的泛滥,传统防火墙面临更加艰巨的任务,不但需要防护传统的基于网络层的协议攻击,而且需要处理更加高层的应用数据,对应用层的攻击进行防护。对于互联网上的各种蠕虫病毒,必须能够判断出网络蠕虫病毒的特征,把网络蠕虫病毒造成的攻击阻挡在安全网络之外。从而对内部安全网络形成立体、全面的防护。
Internet • 基于网络协议的防火墙不能阻止各种攻
击工具更加高层的攻击 • 网络中大量的低安全性家庭主机成为攻
击者或者蠕虫病毒的被控攻击主机 • 被攻克的服务器也成为辅助攻击者 造成当前网络“安全危机”另外一个因素是忽视对内网安全的监控管理。防火墙防范了来之外网的攻击,对于潜伏于内部网络的“黑手”却置之不理,很容易造成内网变成攻击的源头,导致内网数据泄密,通过NAT从内部网络的攻击行为无法进行审计。由于对内部网络缺乏防范,当内部网络主机感染蠕虫病毒时,会形成可以感染整个互联网的污染源头,导致整个互联网络环境低劣。
对于网络管理者,不但需要关注来自外部网络的威胁,而且需要防范来自内部网络的恶意行为。防火墙需要提供对内部网络安全保障的支持,形成全面的安全防护体系。
2 功能介绍 DPtech FW1000系列硬件防火墙产品是一种改进型的状态防火墙,采用专门设计的高可靠性硬件系统和具有自主知识产权的专有操作系统,将高效的包过滤功能、透明的代理服务、基于改进的状态检测安全技术、丰富的统计分析功能、多种安全保障措施集于一身,提供多类型接口和工作模式。不但提供对网络层攻击的防护,而且提供多种智能分析和管理手段,
• 来自内部网络的攻击污染互联网 • 来自内部网络的蠕Internet 全面立体的防护内部网路。DPtech FW1000防火墙提供多种网络管理监控的方法,协助网络管理员完成网络的安全管理。DPtech FW1000防火墙采用ASPF状态检测技术,可对连接过程和有害命令进行监测,并协同ACL完成包过滤,支持NAT-PAT,支持IPSec VPN加密等特性,提供包括DES、3DES等多种加密算法,并支持证书认证。此外,还提供数十种攻击的防范能力,所有这些都有效地保障了网络的安全。下面重点描述DPtech FW1000防火墙的主要安全功能。
2.1 ASPF ASPF(Application Specific Packet Filter)是针对应用层的包过滤,即基于状态的报文过滤。它和普通的静态防火墙协同工作,以便于实施内部网络的安全策略。ASPF能够检测试图通过防火墙的应用层协议会话信息,阻止不符合规则的数据报文穿过。 为保护网络安全,基于访问控制列表的包过滤可以在网络层和传输层检测数据包,防止非法入侵。ASPF能够检测应用层协议的信息,并对应用的流量进行监控。 ASPF还提供以下功能: DoS(Denial of Service,拒绝服务)的检测和防范。 Java Blocking(Java阻断),用于保护网络不受有害的Java Applets的破坏。 支持端口到应用的映射,用于应用层协议提供的服务使用非通用端口时的情况。 增强的会话日志功能。可以对所有的连接进行记录,包括:记录连接的时间、源地址、目的地址、使用的端口和传输的字节数。 ASPF对应用层的协议信息进行检测,并维护会话的状态,检查会话的报文的协议和端口号等信息,阻止恶意的入侵。 2.2 攻击防范 通常的网络攻击,一般是侵入或破坏网上的服务器(主机),盗取服务器的敏感数据或干扰破坏服务器对外提供的服务;也有直接破坏网络设备的网络攻击,这种破坏影响较大,会导致网络服务异常,甚至中断。防火墙的攻击防范功能能够检测出多种类型的网络攻击,并能采取相应的措施保护内部网络免受恶意攻击,保证内部网络及系统的正常运行。 DPtech FW1000防火墙的攻击防范技术可以有效的阻止下面的网络攻击行为: IP地址欺骗攻击 为了获得访问权,入侵者生成一个带有伪造源地址的报文。对于使用基于IP地址验证的应用来说,此攻击方法可以导致未被授权的用户可以访问目的系统,甚至是以root权限来访问。即使响应报文不能达到攻击者,同样也会造成对被攻击对象的破坏。这就造成IP Spoofing攻击。 Land攻击 所谓Land攻击,就是把TCP SYN包的源地址和目标地址都配置成受害者的IP地址。这将导致受害者向它自己的地址发送SYN-ACK消息,结果这个地址又发回ACK消息并创建一个空连接,每一个这样的连接都将保留直到超时掉。各种受害者对Land攻击反应不同,许多UNIX主机将崩溃,Windows NT主机会变的极其缓慢。 Smurf攻击 简单的Smurf攻击,用来攻击一个网络。方法是发ICMP应答请求,该请求包的目标地址配置为受害网络的广播地址,这样该网络的所有主机都对此ICMP应答请求作出答复,导致网络阻塞,这比ping大包的流量高出一或两个数量级。高级的Smurf攻击,主要用来攻击目标主机。方法是将上述ICMP应答请求包的源地址改为受害主机的地址,最终导致受害主机雪崩。攻击报文的发送需要一定的流量和持续时间,才能真正构成攻击。理论上讲,网络的主机越多,攻击的效果越明显。Smurf攻击的另一个变体为Fraggle攻击。 Fraggle攻击 使用UDP echo和Chargen服务的smurf方式的攻击。 Teardrop攻击 构造非法的分片报文,填写不正确的分片偏移量和报文长度,使得各分片的内容有所重叠,目标机器如果处理不当会造成异常。 WinNuke攻击 WinNuke攻击通常向装有Windows系统的特定目标的NetBIOS端口(139)发送OOB(out-of-band)数据包,引起一个NetBIOS片断重叠,致使目标主机崩溃。还有一种是IGMP分片报文,一般情况下,IGMP报文是不会分片的,所以,不少系统对IGMP分片报文的处理有问题。如果收到IGMP分片报文,则基本可判定受到了攻击。 SYN Flood攻击 由于资源的限制,TCP/IP栈的实现只能允许有限个TCP连接。而SYN Flood攻击正是利用这一点,它伪造一个SYN报文,其源地址是伪造的、或者一个不存在的地址,向服务器发起连接,服务器在收到报文后用SYN-ACK应答,而此应答发出去后,不会收到ACK报文,造成一个半连接。如果攻击者发送大量这样的报文,会在被攻击主机上出现大量的半连接,消耗尽其资源,使正常的用户无法访问。直到半连接超时。在一些创建连接不受限制的实现里,SYN Flood具有类似的影响,它会消耗掉系统的内存等资源。 ICMP和UDP Flood攻击 短时间内用大量的ICMP消息(如ping)和UDP报文向特定目标不断请求回应,致使目标系统负担过重而不能处理合法的传输任务。 地址扫描与端口扫描攻击 运用扫描工具探测目标地址和端口,对此作出响应的表示其存在,用来确定哪些目标系统确实存活着并且连接在目标网络上,这些主机使用哪些端口提供服务。 Ping of Death攻击 IP报文的长度字段为16位,这表明一个IP报文的最大长度为65535。对于ICMP 回应请求报文,如果数据长度大于65507,就会使ICMP数据+IP头长度(20)+ICMP头长度(8)> 65535。对于有些路由器或系统,在接收到一个这样的报文后,由于处理不当,会造成系统崩溃、死机或重启。这种攻击就是利用一些尺寸超大的ICMP报文对系统进行的一种攻击。 另外,DPtech FW1000防火墙提供了对ICMP重定向报文、ICMP不可达报文、带路由记录选项IP报文、Tracert报文的控制功能,以及增强的TCP报文标志合法性检测功能,在攻击前期阶段阻止攻击分析行为。
2.3 实时流量分析 对于防火墙来说,不仅要对数据流量进行监控,还要对内外部网络之间的连接发起情况进行检测,因此要进行大量的统计计算与分析。防火墙的统计分析一方面可以通过专门的分析软件对日志信息进行事后分析;另一方面,防火墙系统本身可以完成一部分分析功能,它表现在具有一定的实时性。 DPtech FW1000防火墙提供了实时的网络流量分析功能,及时发现攻击和网络蠕虫病毒产生的异常流量。用户可以使用防火墙预先定义的流量分析模型,也可以自己定义各种协议