NXG防火墙系列产品技术白皮书最新

整理文档很辛苦,赏杯茶钱您下走!

免费阅读已结束,点击下载阅读编辑剩下 ...

阅读已结束,您可以下载文档离线阅读编辑

资源描述

NXG/防火墙系列产品技术白皮书三星计算机安全公司三星计算机安全公司目录一、概述.....................................................................3二、体系结构.................................................................4三、产品的主要特性...........................................................51、NXG系列固有的独创性分类算法(ClassificationAlgorithm)................62、专有的VPN硬件加密加速器保证昀高的性能..................................73、实现了基于会话和数据包的Load-Balancing的功能..........................74、通信终端设备(Modem)的故障恢复...........................................85、NXG防火墙、VPN的HA/LB功能架构.........................................96、支持OSPF动态路由协议..................................................107、支持DNS分离...........................................................118、产品的其它功能及特点...................................................111)数据包状态检测过滤................................................112)完备IPS防御功能..................................................153)与第三方IDS产品厂家实现互动......................................164)支持动态IP.......................................................165)支持DHCPServer..................................................166)支持ADSL接入....................................................177)支持H.323协议...................................................178)内容过滤..........................................................179)支持VLAN.........................................................1710)提供流量控制服务..................................................1711)策略时间表........................................................1812)IP地址和MAC地址绑定............................................1813)支持与防病毒网关联动..............................................1814)NAT地址转换......................................................1815)反向地址映射......................................................1916)多重区域保护......................................................1917)支持Radius认证..................................................1918)VPN功能..........................................................1919)多种接入模式......................................................2020)丰富的日志审计....................................................2021)分级管理..........................................................2022)基于对象名称过滤..................................................2023)预定义服务........................................................2024)集中远程管理......................................................2125)支持SNMP协议....................................................21三星计算机安全公司一、概述目前市场上存在着各种各样的网络安全产品,而技术昀成熟、昀早产品化的就是防火墙,由于防火墙技术的针对性很强,它已成为实现Internet网络安全的昀重要的保障之一。NXG防火墙是三星防火墙系列中的新一代网关级产品,该系统在性能,可靠性,管理性等方面较secuiWALL系列防火墙大大提高,达到了运营级的水准,是一个“运营级的防火墙”。该系统在状态包过滤的基础上,采用了专门设计的TCP协议栈实现对应用协议信息流的过滤,能够实现在透明方式下对应用层协议的控制。系统的整体结构严格按照国家应用级防火墙的昀新标准设计,具备完善的身份鉴别、访问控制和审计能力。经国家权威部门检测,NXG系列防火墙符合GB/T18019-1999(包过滤防火墙安全技术要求)和GB/T18020-1999(应用级防火墙安全技术要求)两个标准的技术要求。NXG系列防火墙是三星防火墙的新一代产品,内核层保证从数据链路层到应用层的完全高性能过滤。系统的主要模块工作在操作系统的内核模式下,并对协议的处理进行了优化,其性能为线速防火墙,其千兆版本的处理能力超过150万的并发连接,完全满足高速、对性能要求苛刻网络的应用。系统达到了高可靠性和高可用性,从硬件体系结构的设计,到防火墙自动切换的双机热备功能,保证网络永不间断。NXG防火墙系统一般安装在可信网络和不可信网络的边界上,所有进出受控网络的流量集中在这一点上,要求防火墙系统故障率越低越好,一旦发生故障必须能迅速恢复。NXG不但能够提供多机热备功能,并且还能提供多种负载均衡应用环境。NXG可以在多种模式下实现HA。支持路由模式和网桥模式的网络结构,在路由模式下支持Active-Active的HA结构;在网桥模式下可以实现Ative-Standby以及Active-Active的HA结构。使用Active-Active方式,两台(或多台)防火墙可同时为网络提供安全服务,提高了数据包处理的效率与吞吐量,也平衡了网络负载,优化了网络性能。简单强大的管理功能,保证您在很短的时间内完成防火墙的配置,不影响原有网络的运行;丰富的CUI方式的管理和监控工具,能够方便的对系统进行安全策略配置、用户管理、在线监控、审计查询、流量管理等操作、方便用户进行故障检测、故障定位、性能检测、安全响应。NXG防火墙实现了对攻击的识别模块,能够有效的防范多种DOS的攻击手段,并能够对攻击事件进行各种方式的报警。NXG防火墙集成了VPN功能,延伸了防火墙保护的范围,可以方便、快捷的部署各种模式和各种环境下的VPN应用,同时还可以在VPN模式下可以实现多台双机热备和多种负载均衡的应用环境。NXG防火墙实现了与多个国内和国外厂家IDS的联动,扩大了安全检测力度,动态地、自适应的调整安全策略,提高系统的安全性。NXG防火墙除支持国际IAP的IDS互动协议外,使得任何厂商的产品都可以实现与NXG防火墙的联动。NXG防火墙实现了与防病毒的联动,通过网络浏览或者收发邮件的数据中含有病毒会通知防火墙,健全了网络防病毒体系结构,昀大程度提高内联网络的安全性。NXG防火墙实现了移动IP可构成MeshN/W,为中小企业和办事处等部门,提供了昀佳的VPN数据加密解决方案。NXG防火墙实现了防止xDSL故障而构成了双重连接,实现了基于Packet的Load-Balancing出现线路(一条)故障时能够继续维护会话。三星计算机安全公司出现故障时,无需人工干预可自动恢复连接的功能。NXG防火墙实现了对OSPF动态路由协议的支持。二、体系结构防火墙所能起到的保护能力与其体系结构和运行机制有很大的关系,每一次体系机构上的演变都会带来防火墙功能的质的飞跃。防火墙的基本结构可以分为包过滤和应用代理两种。包过滤技术关注的是网络层和传输层的保护,而应用代理则更关心应用层的保护。包过滤是历史昀久远的防火墙技术,从实现上分,可以分为简单包过滤和状态检测的包过滤两种。简单包过滤是对单个包的检查,目前绝大多数路由级产品都提供这样的功能。由于这类技术不能跟踪TCP的状态,所以对TCP层的控制是有漏洞的,比如当你在这样的产品上配置了仅允许从内到外的TCP访问时,一些以TCP应答包的形式进行的攻击仍然可以从外部透过防火墙对内部的系统进行攻击。简单包过滤的产品由于其保护的不完善,现在已经很少在主流产品中出现了。状态检测的包过滤利用状态表跟踪每一个网络会话的状态,对每一个包的检查不仅根据规则表,更考虑了数据包是否符合会话所处的状态,因而提供了更完整的对传输层的控制能力。同时由于一系列优化技术的采用,状态检测包过滤的性能也明显优于简单包过滤产品,尤其是在一些规则复杂的大型网络上。应用代理防火墙可以说就是为防范应用层攻击而设计的。应用代理也算是一个历史比较长的技术,通常的表现形式是一组代理的集合。代理的原理是彻底隔断两端的直接通信,所有通信都必须经应用层的代理转发,访问者任何时候都不能于服务器建立直接的TCP连接,应用层的协议会话过程必须符合代理的安全策略的要求。针对各种应用协议的代理防火墙提供了丰富的应用层的控制能力。可以这样说,状态检测包过滤规范了网络层和传输层行为,而应用代理则是规范了特定的应用协议上的行为。NXG系列可以说是以专有硬件为基础平台,采用专用操作系统和软件的新一代防火墙产品。三星计算机安全公司系列的内部结构如下:图1NXG系列内部结构三、产品的主要特性NXG防火墙具有线速(Wire-Speed)性能。这一超卓的性能源自以下的先进技术:大部分的防火墙一般安装在受控网络和非受控网络之间。根据管理员所制定的安全管理策略,对通过防火墙的数据包进行分析,并进行相应的处理工作。处理过程如图3所示。图2防火墙的数据包处理顺序图图3各操作类别的处理进程()数据包输入检验分类修正数据包输出三星计算机安全公司所示,在处理操作过程中,耗时昀多的就是分类(Classification),管理员制定的安

1 / 21
下载文档,编辑使用

©2015-2020 m.777doc.com 三七文档.

备案号:鲁ICP备2024069028号-1 客服联系 QQ:2149211541

×
保存成功