东方龙马防火墙产品介绍.ppt-道客多多

资源描述

1、PLMM-FW防火墙系统,东方龙马公司简介,公司定位公司背景公司优势公司战略公司产品,中国一流的专业信息安全环境整合服务商,公司定位,公司背景,由保利科技有限公司、北京东方龙马软件发展有限公司、交大铭泰软件股份公司三方共同出资组建。,公司优势,公司优势东方龙马的品牌及背景东方龙马的团队及产品东方龙马的研发力量及技术储备技术优势,产品优势品牌优势合作伙伴优势,产品定位, 保利龙马防火墙综合使用了状态检测、动态包过滤、应用代理等安全技术，将强大的信息分析功能、高效包过滤功能、反电子欺骗手段等多种安全措施综合运用，通过高性能的网络核心实现不同网络间的访问控制，防止黑客攻击和非法

2、访问，是业界领先的复合型防火墙。保利龙马防火墙通过基于用户的安全管理方式，提供完善的安全性设置，根据管理员设定的安全规则保护网络。系统采用模块化设计，通过直观简明的图形化用户界面（GUI）对系统进行配置和操作，功能全面、安全性高、易于使用。,产品优势,广泛满足用户需要保利龙马防火墙以其全面的防火墙控制功能和高效处理能力，可以满足从小型企业、中型企业到大型企业用户等各种规模网络的安全保护需要。灵活的工作模式支持路由、透明以及混合工作模式，可以适应各种复杂的网络环境。不论选择哪种工作模式，保利龙马防火墙都不会损失任何功能。 AAA安全管理通过严格的用户认证、授权、记帐（AAA）实现对防火

3、墙的访问管理。支持用户名/口令、OTP、Radius、Kerberos、LDAP等多种方式的身份认证，认证通过后，用户根据授权访问，并进行完整记帐。这样，不仅识别机器的合法性，而且可以识别用户合法性。简便的管理操作提供友好的GUI图形界面，进行可视化管理与配置。整个界面使用全中文设计，通过简单操作即可完成防火墙的配置管理，管理员可很容易地定制安全策略和进行管理维护。自身安全保障对防火墙的管理过程采用加密通讯形式；除了专用的服务端口外，防火墙不接受来自任何其它端口的直接访问；内嵌的入侵检测功能和智能防DoS攻击模块增强了系统的抗网络攻击能力。,产品功能（1）,动态包过滤采用动态包过滤技

4、术，为合法访问连接动态打开所需端口，在访问结束时自动关闭。既满足应用的需要，又避免长时间打开端口带来的安全隐患。实时连接状态监控不仅根据数据包的地址、方向、协议、服务、端口、访问时间进行控制，同时还对网络连接和会话当前状态进行分析和监控，通过规则表与连接状态表的共同配合，大大地提高了系统的性能和安全性。高性能透明代理提供多线程、多会话的高性能透明代理，对进出防火墙的所有应用层连接进行统一管理，可屏蔽内部网络细节，处理速度快，保证了系统的高效性。灵活的地址转换（NAT）在路由、透明、混合模式下，都可实现NAT功能。提供双向地址转换、任意网络接口地址转换功能，规则能够根据源地址范围、目

5、的地址范围、端口以及协议等精密匹配。内容过滤包括URL过滤、邮件过滤、关键字过滤、JAVA脚本过滤和命令筛选，可控制用户对站点和网页的访问。,产品功能（2）,流量控制和带宽管理可对网络接口流量、用户访问的服务进行流量控制，防止某些应用或用户过多占用资源。通过预先给每个网络接口分配带宽资源，实现带宽管理，避免网络瓶颈对关键业务的影响。双机备份采用硬件冗余设计和双机热备份系统，提供“active/standby”和“active/active”两种模式的热备份功能，保证网络的高可用性。能够在网络故障、性能下降、关键进程失败等情况下进行秒级自我恢复。无缝集成VPN功能以标准IPSec及

6、相关协议为基础，内置VPN模块。全面支持各种加密算法，包括DES、3-DES、RC4、MD5、SHA1、硬件Hash、RSA以及国家密码委员会审批的专用加密算法等，并且提供统一接口以便扩充。审计、告警和统计分析实时监视防火墙运行状态，当检测到系统可疑行为时，通过声音、提示消息、邮件、SNMP等方式报警，同时将告警信息记入日志。从日志数据库中统计分析网络流量，实现多种形式的直观分析报表，易于查看。,公司战略,咨询、整合、服务（CIS） C（Consulting）：调研与评估 I（Integration）：解决方案与项目实施 S（Service）：维护与响应公司致力于为中国的网络信息化建

7、设提供最完善的信息安全环境整合式服务，即打造涵盖网络系统安全、应用程序安全和系统管理安全三方面架构的全新的信息安全环境。公司推行咨询、整合、服务（CIS）战略,帮助客户了解信息安全全貌及影响环节，提供整体安全策略和解决方案，通过推广应用具有自主知识产权的整合式网络防御平台、信息保护平台、监控管理平台等系列产品，为客户建立一个从系统级到应用级的完善的信息安全保障环境。,公司产品,网络安全东方龙马防火墙东方龙马入侵检测系统东方龙马入侵防御系统东方龙马网络隐患扫描系统东方龙马整合式安全网关东方龙马安全隔离与信息交换系统 .等,数据安全东方龙马机密文件锁、等管理安全东方龙马

8、上网行为管理东方龙马流量管理系统东方龙马系统管理套件东方龙马内网110 东方龙马内网110-网络行为监管审计、等,中国人民银行中国工商银行中国农业银行华夏银行交通银行中国太平洋保险公司中国石化总公司,国家税务总局铁道部最高检察院药品监督管理局财政部,东方龙马（原龙马卫士）防火墙入围单位,中国人民银行交通银行工行山东分行工行内蒙分行工行江西分行工行甘肃分行建行山西分行石家庄商业银行 ,河北移动陕西移动浙江移动重庆电信宁波市邮政中国联通贵州分公司山西邮政重庆邮政湖南郴州邮政,南京军区司令部内蒙古军区沈阳军区某集团军海峡之声解放军保密委

9、,东方龙马安全用户,金融,军队,邮电,北京市公安局湖南省公安厅浙江省公安厅杭州市公安局珠海市公安局成都市公安局上海市消防局济南市公安局,中国太平洋保险中国人保中国人寿太平财险民生寿险,北京市劳动局北京市社保局内蒙古劳动厅湖北省交通厅上海市环保局山东省财政厅福州烟草局内蒙古烟草公司,东方龙马安全用户,保险,公安,政府,BS829（）中国石油天然气总公司上海财政证券公司丰田汽车（成都）山东淄博石化,河北省地税局内蒙古地税局武汉市地税局黑龙江国税局,鲁能集团内蒙电力岳阳电力湖南郴州电业局湖南鲤鱼江发电厂绍兴电力北京劳动保障局,东方龙马安

10、全用户,税务,电力,其他,四川省消防全省(24套)四川计委四川省残联四川省烟草公司四川在线四川报业集团四川前锋集团成都市国土局成都证券成都地税武侯地税成都盐业局电子科大西南交大,四川省电力全省（24套）西南民航管理局攀枝花钢铁公司四川丰田广汉天然气钻采研究院进出口银行成都分行深发展成都分行南充市商业银行自贡市商业银行华夏成都分行中国人寿四川分公司中国太平洋保险四川分公司中国太平洋保险重庆分公司成都市社保局,重庆移动全市(21套)中国联通贵州分公司中国移动贵州分公司重庆市国家安全局贵州地税贵阳农信云南邮政昆明云天化贵州乌江水电贵州钢

11、绳厂重庆隆鑫中国太平洋保险云南分公司中国太平洋保险重州分公司 ,成功案例四川大区,PLMM-FW-SOHO SOHO级PLMM-FW-B2-V4/V6 工作组级 PLMM-FW-B4-V4/V6 企业级PLMM-FW-B6-V4/V6 企业级PLMM-FW-B8-V4/V6 增强企业级PLMM-FW-C1/2/3/5/7/10 企业级千兆防火墙,东方龙马防火墙系列,PLMM-FW-SOHO SOHO级,机型：桌面型 30台电脑 6个10/100M 网络接口网络接口类型为RJ45 网络吞吐量 30M 最大连接数 5万新建连接数 1500/秒,东方龙马防火墙系列,支持NAT、包过滤状态

12、检测、透明代理支持IP MAC绑定、带宽管理等功能强大的日志分析、审计功能灵活的防火墙管理支持路由、透明、混合工作模式内置网络服务访问控制器（NAS）和认证控制服务器（ACS），支持AAA认证,PLMM-FW-B2-V4 工作组级,机型：机架式 / 1U 100台电脑 4个10/100M 网络接口可扩展到13个网络接口网络接口类型为RJ45一个控制口（CONSOLE) 网络吞吐量 200M 最大连接数 60万新建连接数 7000/秒,东方龙马防火墙系列,支持NAT、包过滤状态检测、透明代理支持IP MAC绑定、带宽管理等功能强大的日志分析、审计功能支持图形化(GUI)、灵活

13、的防火墙管理支持VPN 支持路由、透明、混合工作模式内置网络服务访问控制器（NAS）和认证控制服务器（ACS），支持AAA认证,PLMM-FW-B2-V6 工作组级,机型：机架式 / 1U 150台电脑 4个10/100M 网络接口可扩展到13个网络接口网络接口类型为RJ45 一个控制口（CONSOLE) 网络吞吐量 250M 最大连接数 80万新建连接数 7000/秒,东方龙马防火墙系列,支持NAT、包过滤状态检测、透明代理支持IP MAC绑定、带宽管理等功能强大的日志分析、审计功能支持图形化(GUI)、灵活的防火墙管理支持VPN 支持路由、透明、混合工作模式内置网络服务访

14、问控制器（NAS）和认证控制服务器（ACS），支持AAA认证,PLMM-FW-B4-V4 企业级,机型：机架式 / 1U 200台电脑 4个10/100M 网络接口可扩展到13个网络接口网络接口类型为RJ45 一个控制口（CONSOLE) 网络吞吐量 300M 最大连接数 100万新建连接数 14000/秒,支持NAT、包过滤状态检测、透明代理支持IP MAC绑定、带宽管理等功能强大的日志分析、审计功能支持图形化(GUI)、灵活的防火墙管理支持VPN 支持路由、透明、混合工作模式内置网络服务访问控制器（NAS）和认证控制服务器（ACS），支持AAA认证,东方龙马防火墙系列,东方龙

15、马防火墙系列,PLMM-FW-B4-V6 企业级,机型：机架式 / 1U 250台电脑 4个10/100M 网络接口可扩展到13个网络接口网络接口类型为RJ45 一个控制口（CONSOLE) 网络吞吐量 400M 最大连接数 120万新建连接数 14000/秒,支持NAT、包过滤状态检测、透明代理支持IP MAC绑定、带宽管理等功能强大的日志分析、审计功能支持图形化(GUI)、灵活的防火墙管理支持VPN 支持路由、透明、混合工作模式内置网络服务访问控制器（NAS）和认证控制服务器（ACS），支持AAA认证,东方龙马防火墙系列,PLMM-FW-B6-V4 企业级,机型：机架式 /

16、1U 300台电脑 4个10/100M 网络接口可扩展到13个网络接口网络接口类型为RJ45 一个控制口（CONSOLE) 网络吞吐量 600M 最大连接数 160万新建连接数 22000/秒,支持NAT、包过滤状态检测、透明代理支持IP MAC绑定、带宽管理等功能强大的日志分析、审计功能支持图形化(GUI)、灵活的防火墙管理支持VPN 支持路由、透明、混合工作模式内置网络服务访问控制器（NAS）和认证控制服务器（ACS），支持AAA认证,东方龙马防火墙系列,PLMM-FW-B6-V6 企业级,机型：机架式 / 1U 350台电脑 6个10/100M 网络接口可扩展到13个网络接

17、口网络接口类型为RJ45 一个控制口（CONSOLE) 网络吞吐量 800M 最大连接数 180万新建连接数 22000/秒,支持NAT、包过滤状态检测、透明代理支持IP MAC绑定、带宽管理等功能强大的日志分析、审计功能支持图形化(GUI)、灵活的防火墙管理支持VPN 支持路由、透明、混合工作模式内置网络服务访问控制器（NAS）和认证控制服务器（ACS），支持AAA认证,东方龙马防火墙系列,PLMM-FW-B8-V4 增强企业级,机型：机架式 / 1U 450台电脑 4个10/100M 网络接口可扩展到13个网络接口网络接口类型为RJ45 一个控制口（CONSOLE) 网络吞

18、吐量 800M 最大连接数 200万新建连接数 38000/秒,支持NAT、包过滤状态检测、透明代理支持IP MAC绑定、带宽管理等功能强大的日志分析、审计功能支持图形化(GUI)、灵活的防火墙管理支持VPN 支持路由、透明、混合工作模式内置网络服务访问控制器（NAS）和认证控制服务器（ACS），支持AAA认证,东方龙马防火墙系列,PLMM-FW-B8-V6 增强企业级,机型：机架式 / 1U 500台电脑 4个10/100M 网络接口可扩展到13个网络接口网络接口类型为RJ45 一个控制口（CONSOLE) 网络吞吐量 1G 最大连接数 220万新建连接数 38000/秒,支

19、持NAT、包过滤状态检测、透明代理支持IP MAC绑定、带宽管理等功能强大的日志分析、审计功能支持图形化(GUI)、灵活的防火墙管理支持VPN 支持路由、透明、混合工作模式内置网络服务访问控制器（NAS）和认证控制服务器（ACS），支持AAA认证,东方龙马防火墙系列,PLMM-FW-C-C1 企业级千兆防火墙,机型：机架式 / 1U 1500台 4个10/100/1000M 网络接口可扩展到13个网络接口网络接口类型为RJ45 一个控制口（CONSOLE) 网络吞吐量 1.5G 最大连接数 220万新建连接数 46000/秒,支持NAT、包过滤状态检测、透明代理支持IP MAC

20、绑定、带宽管理等功能强大的日志分析、审计功能支持图形化(GUI)、灵活的防火墙管理支持VPN 支持路由、透明、混合工作模式内置网络服务访问控制器（NAS）和认证控制服务器（ACS），支持AAA认证,东方龙马防火墙系列,PLMM-FW-C-C3 企业级千光防火墙,机型：机架式 / 1U 2000台 4个10/100M 网络接口可扩展到13个网络接口网络接口类型为RJ45 一个控制口（CONSOLE) 网络吞吐量 2G 最大连接数 240万新建连接数 46000/秒,支持NAT、包过滤状态检测、透明代理支持IP MAC绑定、带宽管理等功能强大的日志分析、审计功能支持图形化(GUI

21、)、灵活的防火墙管理支持VPN 支持路由、透明、混合工作模式内置网络服务访问控制器（NAS）和认证控制服务器（ACS），支持AAA认证,东方龙马防火墙系列,PLMM-FW-C-C5 企业级千光防火墙,机型：机架式 / 1U 4000台 4个10/100M 网络接口可扩展到13个网络接口网络接口类型为RJ45 一个控制口（CONSOLE) 网络吞吐量 4G 最大连接数 250万新建连接数 60000/秒,支持NAT、包过滤状态检测、透明代理支持IP MAC绑定、带宽管理等功能强大的日志分析、审计功能支持图形化(GUI)、灵活的防火墙管理支持VPN 支持路由、透明、混合工作模式内

22、置网络服务访问控制器（NAS）和认证控制服务器（ACS），支持AAA认证,东方龙马防火墙系列,PLMM-FW-C-C7 企业级千光防火墙,机型：机架式 / 3U 6000台 4个10/100M 网络接口可扩展到13个网络接口网络接口类型为RJ45 一个控制口（CONSOLE) 网络吞吐量 6G 最大连接数 280万新建连接数 70000/秒,支持NAT、包过滤状态检测、透明代理支持IP MAC绑定、带宽管理等功能强大的日志分析、审计功能支持图形化(GUI)、灵活的防火墙管理支持VPN 支持路由、透明、混合工作模式内置网络服务访问控制器（NAS）和认证控制服务器（ACS），支持AA

23、A认证,东方龙马防火墙系列,PLMM-FW-C-C10 企业级千光防火墙,机型：机架式 / 3U 1万台电脑 4个10/100M 网络接口可扩展到13个网络接口网络接口模块选择：多模、单模、RJ45 一个控制口（CONSOLE) 网络吞吐量 10G 最大连接数 320万新建连接数 100000/秒,支持NAT、包过滤状态检测、透明代理支持IP MAC绑定、带宽管理等功能强大的日志分析、审计功能支持图形化(GUI)、灵活的防火墙管理支持VPN 支持路由、透明、混合工作模式内置网络服务访问控制器（NAS）和认证控制服务器（ACS），支持AAA认证,PLMM-HA 双机热备模块 PLM

24、M-TX 10/100M接口模块 PLMM-GTX RJ45千兆接口模块 PLMM-GSX 多模光纤千兆接口模块 PLMM-GFX 单模光纤千兆接口模块 PLMM-VPN-SC 软件加密模块 PLMM-VPN-HC 硬件加密卡加密模块（算法通过国家密码管理委员会认证）,东方龙马防火墙系列,防火墙模块,防火墙概念,防火墙指设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合，对位于其两侧的网络之间的通信进行检查和控制。它可以根据既定的安全策略允许或阻止特定的用户和数据包穿过，并尽可能地对外部屏蔽网络内部的信息、结构和运行状况，达到保护高安全等级的子网、阻止

25、外部黑客的攻击、限制入侵蔓延等目的。,互联网,防火墙, 所有进出网络的数据流必须经过防火墙所有穿过防火墙的数据流必须有安全策略和计划的确认与授权,防火墙概念,防火墙采用的阻断策略与放行策略,过滤进出网络的数据包；管理进出网络的访问行为；封堵某些禁止的访问行为；记录通过防火墙的信息内容和活动；对网络攻击进行检测和告警能过滤大部分的危险端口设置严格的由外向内的状态过滤规则抵挡大部分的拒绝服务攻击加强了访问控制能力,防火墙的作用,主要作用, 对新出现的漏洞和攻击方式不能迅速提供有效的防御方法管理困难,容易出现配置的安全误区,并且紧急情况下无法做到迅速响应性能和稳定性制约了大范围

26、的使用不能关闭需提供对外服务的端口,防火墙的局限性,一般基于ASIC（专用集成电路）或NP（网络处理器）两种核心处理器-同时采用MIPSARMPOWERPCRISC芯片的CPU平台处理器（CPU的成本低）ASIC：如NETSCREEN，性能最好，缺点是设计复杂、开发周期长，改动不灵活（需要更换芯片）；随着通用硬件的发展，在百兆通常的应用上已经没有优势；性能价格比也不占优，在千兆上优势明显。ASIC技术前期如果使用FPGA（Field Programmable Gate Arrays，现场可编程门阵列）来实现，价格与采用NP大致相当，不过如果投入批量生产以后使用ASIC芯片，价格可以降低一个量

27、级，从长远来看ASIC技术更有潜力。NP：网络处理器是一种非基于ASIC的IC或IC芯片组，利用软件编程，可以像ASIC那样快速地处理数据包。同时升级芯片上的固件增加新的功能，其固件可以由网络设备商或第三方加载到处理器中。厂商有INTEL、IBM、MOTOROLA、SIBYTE等公司。国内一般使用INTEL的NPU，其性能界于ASIC和通用INTEL构架之间；灵活性也是在中间。国内目前大多采用INTEL IXP1200，处理能力低，一般需要多片并行工作才能满足需求，还需要其他协处理芯片配合，对硬件设计能力要求较高，最终成本不会太低，同样在百兆通常的应用上已经没有优势；在百兆级未见应用，千兆国内

28、有几家在开发。,防火墙架构,1、硬件防火墙, 绝大多数国产防火墙均属此类。Intel X86架构硬件+通用操作系统+防火墙软件模块，在硬件平台上运行Linux、FreeBSD、Solaris等经过最小化安全处理后的操作系统及集成的防火墙软件。基于共享系统总线，接口以及CPU的处理能力不可能成倍增加，共享总线的架构还直接影响防火墙网卡的各种性能，网卡越多，性能影响越大。,防火墙架构,2、软硬一体化防火墙,CHECKPOINT、SYMANTEC。,防火墙架构,3、纯软件防火墙, 代理服务器（应用层）策略依赖：应用服务代理特点：安全性高，审计与记录功能强，支持的应用类型有限，性能较低，用户透明性比

29、较差包过滤（网络层/传输层）简单包过滤策略依赖：数据包的源/目的IP及端口特点：速度较快，安全性较差，对用户透明基于状态检测的包过滤策略依赖：连接状态信息特点：安全性好，速度快，对用户透明,防火墙技术,Unsec区外部非安全网络LAN区不对外提供服务DMZ区对外提供服务（可选）Control区专用来配置防火墙的区域,WWW,服务器,FTP,服务器,SMTP,等服务器,开放区DMZ,东方龙马,防火墙,互联网络,The Internet 外部网Unsec,控制区Control,内部网络,内部网络LAN,东方龙马防火墙参考网络结构,表示层,网络层,传输层,会话层,应用层,物理层,数据链路层,IS

30、O/OSI 模型,应用协议（HTTP、FTP、 TELNET 、 SMTP）,TCP | UDP,IP/ ARP/ ICMP,网络接口（Ethernet、Async、FDDI ）,TCP/IP 协议栈,东方龙马防火墙,包过滤,网络地址转换,在应用层对连接所用的协议内容进行监控,在传输层、网络层对数据连接进行实时监控,在数据链路进行MAC地址检查，防IP盗用,工作位置：,安全的体系结构,认证、授权、记帐（AAA）实时的连接状态监控功能动态过滤技术强大的抗DDOS攻击和自我保护能力灵活多样的工作模式灵活多样的网络地址转换（NAT）高性能的透明代理技术 IP和MAC地址绑定深入的内

31、容过滤和邮件过滤带宽管理支持PPP 强大的入侵检测功能,与第三方安全产品联动无缝集成VPN 完备的高可靠性和高可用性审计和告警功能国际标准的日志格式面向对象的管理机制基于SSL的远程管理操作简单的图形化集中管理用户界面支持802.1Q VLAN Trunk及VLAN间路由支持DHCP Server 数据链路层协议过滤,东方龙马防火墙-功能,功能简介：,东方龙马防火墙关键技术介绍,完全基于用户的认证、授权、记帐 (AAA),传统的防火墙检查规则的依据是地址和端口，即只能识别出机器，而无法识别出是什么人在用这台机器及其身份是否合法东方龙马防火墙检查规则的依据除了地址和端口，还

32、包括用户和组，这样就不仅可以识别出机器，更可以识别出使用机器的是什么人，进而判断此人的身份是否合法,AAA：强大的用户认证功能,用来证明用户的真实身份。认证过程可以简单地用一句话描述：“我是用户Bob，我的口令证明了我确实是。” 东方龙马防火墙支持多种用户认证方式，如：用户名和口令，一次性口令认证（OTP）、PAM、PAP/CHAP、MS-CHAP、NT-Domain、Radius、Kerberos、LDAP等，并可以根据用户需求扩展其他认证方式。认证的工具可以是任何支持认证的网页浏览器，身份认证是基于密码技术的，有效地防止了在网络传输过程中认证信息被窃听、篡改，达到更高可靠性的身份认证。,

33、认证：（Authentication）：,机房/网吧型认证：任何人只要拥有合法身份，就可以使用任何机器（但其一切网络活动都将记录在案），即人与机器不相关办公室型认证：某台机器只能被某个人使用，别人来用都被视为非法，即人与机器紧密关联,两个认证目标,AAA：用户授权和记帐,在经过了认证后，授权决定了该用户可以进行何种访问活动，如：“用户Bob可以对主机NT_host进行Telnet访问。” 东方龙马防火墙可以对所有用户进行分组管理，对用户组进行授权。认证通过后确定用户所属的用户组，系统将检查安全策略中对此用户组的授权。用户被授权后所有的资源访问能够进行记录实现记帐。,授权：（Authoriza

34、tion）：,记帐：（Accounting）：,记录了用户实际上进行的访问活动，如某个用户进行了何种访问，对谁进行了访问等信息，如：“用户Bob早10：00从自己的主机对主机NT_host进行了Telnet访问。” 东方龙马防火墙跟踪所有用户的访问记录，为系统审计，发现入侵活动等提供分析依据。,AAA：系统组成,NAS是ACS的客户端，是客户机、ACS和内核的中介，负责向ACS提交客户的认证请求和向内核通知认证成功的用户及其网络访问权限。,网络访问服务器（NAS）,认证控制服务器（ACS）,ACS是一个标准的Radius认证服务器，以用户为核心，同时具有授权和记帐等功能，可以为任何支持Radi

35、us协议的其他防火墙，路由器和拨号服务器等提供认证服务。 ACS支持多种认证方式，包括：password,OTP,PAP/CHAP,LDAP等。并可以根据用户需求扩展其他认证方式。同时，ACS还支持认证代理，可以将认证转发给其它的Radius认证服务器。 ACS的管理采用B/S结构，通过浏览器来管理认证服务器上的用户、进程、日志等，并且可以进行远程管理，界面友好，使用方便。 ACS将所有用户的权限和主要的配置信息集中存放在MySQL数据库中，可以非常方便的进行远程统一管理。,东方龙马防火墙不仅根据数据包的地址、方向、协议、服务、端口、访问时间进行访问控制，同时还对任何网络连接和会话的当前状态进

36、行分析和监控。基于连接的状态检查，将属于同一连接的所有包作为一个整体的数据流看待，构成连接状态表通过规则表与状态表的共同配合，对表中的各个连接状态因素加以识别，大大的提高了系统的性能和安全性连接状态表里的记录可以随意排列，提高系统的传输效率对基于UDP协议的连接处理时，会为UDP建立虚拟的连接，对连接过程状态进行监控,实时的连接状态监控功能,Client,Server,SYN,Client,Client,Server,Server,SYN/ACK,ACK,I want to talk,Im ready,Lets go!,TCP/IP三次握手,1.规则顺序检查,1 内部所有只能访问外部的

37、WWW服务2 内部所有只能访问外部的FTP服务3 内部所有只能访问外部的DNS服务4 内部所有只能访问外部的SMTP服务5 内部所有只能访问外部的POP服务6 缺省规则为拒绝,内部所有不能访问外部的任何服务,2.规则矛盾性,防火墙规则特性,可根据源地址、源端口、目的地址、目的端口、协议类型等查询当前通过防火墙的连接实现了对ICMP协议的状态检测，并可控制各种类型的ICMP包对可疑连接，管理员可实时将其切断，真正实现既监又控,对当前连接实时监控,利用静态规则打开的极少数端口，同时进行动态的分析，根据应用的实际需要，在建立应用服务的时候为合法的访问连接动态地打开所需的端口并动态添加相应的过滤规

38、则，在连接结束的时候，自动地关闭相应的端口，并自动把规则删除解决了事先打开的端口不能满足应用程序的需求等问题，并尽可能小的消除“开口”隐患东方龙马防火墙目前支持的动态协议有FTP、TFTP、NETMEETING- RAS(H323)、RIP、 ORACLE TNS、VOD(RTSP、MMS、PNM) TNS支持：如果用户的ORACLE服务器被防火墙保护起来，并且该服务器提供了TNS服务，就一定要使用防火墙的TNS功能，否则ORACLE客户端将无法访问ORACLE服务器,高效的动态过滤技术,非动态过滤,A,B,端口1024,端口21,端口20,端口1024,防火墙中必须配置2条规则： 1 允

39、许内部所有主机使用TCP协议的1024端口访问外部所有主机的21端口 2 允许外部所有主机使用TCP协议的20端口访问内部所有主机的1024端口,TCP1024端口始终对外开放,高效的动态过滤技术,动态过滤,A,B,端口1024,端口21,端口20,端口1024,防火墙中只须配置1条规则：允许内部所有主机使用TCP协议的1024端口访问外部所有主机的21端口,TCP1024端口平时对外关闭,高效的动态过滤技术,强大的抗DDOS攻击和自我保护能力,东方龙马防火墙提供可靠的抗DDOS攻击能力，通过独特的SYN Proxy技术，可以有效地阻挡大量虚假访问请求，减少了网络的负载，在保证防火墙正常

40、通信的同时防范SYN FLOOD攻击。能够处理一些常见的对于TCP、UDP、ICMP协议的攻击或探测，如防范SQL Slammer、红色代码、冲击波、振荡波、UDP Flood、ICMP Flood、Jolt2、Nuke等常见攻击。东方龙马防火墙禁止用户直接登录和所有的常规服务，并且不允许运行任何其它的程序，对防火墙进行配置只能由系统管理员通过特定的接口进行，故而防止了特洛伊木马的攻击，口令字嗅探和口令字解密等攻击。,东方龙马防火墙支持多种工作模式：路由透明（网桥）混合（路由+透明）其中，混合工作模式完全不用改变原有网络结构，并且任何工作模式下毫不损失防火墙任何功能，简化了安装调试工

41、作，使防火墙能够适应于各种复杂的网络环境。,灵活多样的工作模式,传统网络连接模式路由模式,10.0.0.2/24 GW：10.0.0.1,10.0.0.3/24 GW：10.0.0.1,10.0.0.1/24,11.0.0.1/24,11.0.0.2/24,GW：11.0.0.2,透明的网络连接网桥模式,提高自恢复的功能让系统更安全,10.0.0.2/24 网关：10.0.0.1,10.0.0.3/24 网关：10.0.0.1,10.0.0.1/24,在保留过滤、代理、NAT等功能的前提下，支持透明的网络连接，使用户无需更改现有网络的任何配置,透明的网络连接混合模式,10.0.0.2/24

42、网关：10.0.0.1,10.0.0.3/24 网关：10.0.0.1,E1:10.0.0.1/24,E3:127.0.0.2,11.0.0.2/24,11.0.0.3/24 网关：11.0.0.2,E2:127.0.0.3,12.0.0.2/24 网关：12.0.0.1,E0:12.0.0.1,网关：11.0.0.2,灵活多样的网络地址转换（NAT）,实现NAT的作用隐藏内部网络的真实地址与拓扑结构解决IP地址短缺的问题提高整体的安全性任何一个IP包，当其进入、离开防火墙时，可以任意转换其源IP和/或目的IP 转换条件丰富灵活，可依据多种条件判断：谁需要做转换、谁不需要做转换；做转换

43、者如何转换提供一对一、多对一、一对多、多对多的地址转换实现了静态地址映射、动态地址映射、端口转换以及服务器负载均衡等功能无论防火墙工作在何种模式（路由，透明，混合）下，都能实现NAT功能,传统NAT原理图,202.106. 92.26,192.168.2.1,202.106. 92.26,192.168.2.1,东方龙马NAT原理图,高性能的透明代理技术,提供多线程，多会话的高性能透明代理技术，使系统可以对出入防火墙的所有应用层连接进行统一的管理，处理速度快，处理会话多，保证了系统的高效性。目前对FTP，TELNET，HTTP，SMTP，POP3，DNS ，SMPP，CMPP等应用实现

44、了透明的代理服务代理的透明性使用户在感觉不到代理服务器存在的情况下使用代理服务屏蔽内部网的细节，使非法分子无法探知内部结构。通过代理可对应用层的内容进行灵活严格控制，例如对应用层的命令筛选，ActiveX，JAVA Applet，JavaScript非安全脚本过滤以及邮件过滤东方龙马透明代理与一些在核心层进行应用过滤的技术不同，东方龙马透明代理工作在应用层，避免了核心额外的开销和由于应用层问题造成核心崩溃，提高了系统整体效率和可靠性，同时在应用层可以进行更有效和更细致的协议检查。,透明的应用代理访问方式,应用层,IP,TCP,用户感觉到的连接,IP - MAC地址绑定,东方龙马防火墙提

45、供一种自动搜索局域网内给定网段内的所有机器的网卡MAC地址的方法，自动获取所有IP地址对应的MAC地址，并存档备查。当有IP包到达防火墙时，可通过封装该IP包的以太网帧物理地址判断其是否合法当局域网上发生IP地址冲突时，即使非法IP包没有经过防火墙，防火墙也可以查出“真凶”,深入的内容过滤和邮件过滤,通过WWW代理实现URL过滤，页面内容过滤，MIME过滤，Web邮件附件大小控制，Web邮件正文控制，文件扩展名过滤，ActiveX、Java Applet、cookies、JavaScript等非安全脚本过滤，支持内容替换通过FTP、SMTP、POP3代理可对用户命令进行筛选，禁止用户使用

46、容易造成攻击的不安全命令通过CMPP、SMPP代理实现短信内容过滤通过SMTP、POP3代理实现邮件过滤,东方龙马防火墙通过透明代理对选定的应用层的内容进行灵活严格的智能分析、过滤控制，例如,东方龙马防火墙通过内容过滤系统，对用户的上网行为进行监控，根据管理员配置的规则，来判断用户是否能够访问某个网站，在拒绝访问的情况下，将给用户返回告警的页面，同时指出被拒绝的原因。一般防火墙的URL过滤只能控制用户访问某个站点，东方龙马防火墙提供的URL过滤不仅可以控制用户对站点的访问，还可以控制用户对网页的访问。东方龙马防火墙URL过滤的另一大特点，是能够控制用户通过其他代理服务器访问的Web站点

47、。,客户机,被限制的服务器,代理服务器 1.1.1.1,HTTP代理1.1.1.1 FTP代理1.1.1.1,X,深入的URL级内容过滤,深入的邮件过滤,东方龙马防火墙针对垃圾邮件的泛滥和用户对电子邮件控制的需求，提供了强大的邮件过滤功能。对SMTP/POP3提供的过滤包括：邮件头大小限制，邮件大小限制，附件大小限制，发件人规则，发件人地址黑/白名单，发件人规则，收件人地址黑/白名单，被拒绝的标题列表，被拒绝的附件名称列表，被拒绝的邮件内容列表。,QoS (Quality of Service) 高速宽带的网络环境中，系统的QoS，即访问服务质量将是衡量产品性能的一项重要的指标。提供带宽管

48、理即可保证关键业务的服务质量。流量管理与带宽管理的区别流量管理控制某用户或IP地址在某一时间段访问的流量总和带宽管理实时监测网络带宽占用情况，按照预先定义的优先级别，保证关键业务的网络带宽占用，避免网络拥塞对关键业务的影响东方龙马防火墙的带宽管理技术可以预先给每个网络接口分配带宽资源，根据现有的带宽资源使用情况允许或拒绝每个连接；能够区分用户，可以将总带宽按上行、下行两个方向划分为所需的各种类型的子带宽对象，所有带宽对象都可采用公平调度策略，因此实现了带宽对象的分层结构，各带宽之间可以互斥独享，可以相互借入或借出；当某些带宽空闲时，还可以利用空闲带宽相应提高其他访问的带宽，以最大限度有效分配和利用现有的带宽资源。,带宽管理技术,国际互联网,modem,RS232,modem,RS232,PPP支持,内嵌的入侵检测功能,实时分析通过防火墙的网络数据流，实时发现和跟踪网络攻击和违规活动，对外部网络攻击提供主动防御可对较常见的TCP、UDP、ICMP协议的攻击类型进行检测，如Flooding攻击、Jolt2、Ping of Death、ICMP Smurf Attack、操作系统探测等多种攻击，并能对这些异常情况做出忽略、记录日志、警告以及拒绝等操作对用户来说，无需花费时间和精力去研究黑客攻击手法，只需轻松点击鼠标，即可防止攻击的发生,

展开阅读全文