【文章內(nèi)容簡介】 是一個(gè)動態(tài)發(fā)展的過程。更多更強(qiáng)的安全技術(shù)和系統(tǒng)，如應(yīng)用業(yè)務(wù)安全系統(tǒng)等，將隨著應(yīng)用業(yè)務(wù)系統(tǒng)的設(shè)計(jì)開發(fā)和成熟過程中得以逐步實(shí)現(xiàn)。 17 第四章 安全產(chǎn)品介紹 防火墻的說明 防火墻 NGFW 4000 ? 采用獨(dú)創(chuàng)的最新最先進(jìn)的技術(shù) 核檢測技術(shù)，即基于 OS 內(nèi)核的會話檢測技術(shù)，在 OS 內(nèi)核實(shí)現(xiàn)對應(yīng)用層訪問控制。它相對于包過濾和應(yīng)用代理防火墻來講，不但更加成功地實(shí)現(xiàn)了對應(yīng)用層的細(xì)粒度控制，同時(shí)，更有效保證了防火墻的性能。 ? 采 用獨(dú)創(chuàng)的先進(jìn)的設(shè)計(jì)思想 面向資源的進(jìn)行設(shè)計(jì)，對不同對象的具體的組成資源，如文件、防火區(qū)域、節(jié)點(diǎn)對象、協(xié)議類型、應(yīng)用行為、應(yīng)用類型、管理端口協(xié)議等，直接進(jìn)行控制，極大的提高了安全性，并保證了配置的方便性。 ? 先進(jìn)獨(dú)特的防火墻策略體系 面向資源的防火墻策略體系。建立獨(dú)立的防火區(qū)域，通過中央管理接口、管理端口協(xié)議、不同節(jié)點(diǎn)對象（網(wǎng)絡(luò)鄰居、自定義網(wǎng)路、防火墻所在子網(wǎng)等）、協(xié)議類型、應(yīng)用行為等不同資源配置策略，使防火墻的策略配置更加簡單，且便于維護(hù)。 ? 分層式管理結(jié)構(gòu) 防火墻的管理采用集中的層次管理結(jié)構(gòu)，實(shí)現(xiàn)“防火墻 — 防 火區(qū) 對象 — 資源”的安全策略定義結(jié)構(gòu)。配置簡單、配置安全性高；管理簡單、維護(hù)方便；更好的保證了性能。 ? 支持業(yè)界公認(rèn)的 TOPSEC 協(xié)議 良好的體系構(gòu)架設(shè)計(jì)充分保障了 TOPSEC 協(xié)議的高效實(shí)現(xiàn)，可以支持與IDS 、防病毒、加密產(chǎn)品等的聯(lián)動，改變網(wǎng)絡(luò)安全產(chǎn)品孤立工作的狀態(tài)，大大提 18 高系統(tǒng)安全性。是 TOPSEC 解決方案的端－端解決方案的核心組成部分。 TOPSEC （ Talent Open Protocol of SECurity ）協(xié)議是天融信公司在安全解決方案中引入的一種網(wǎng)絡(luò)安全的新技術(shù)，它通過標(biāo)準(zhǔn)的、安全 的、可擴(kuò)展的框架體系，可集成多種網(wǎng)絡(luò)安全技術(shù)和產(chǎn)品，從而構(gòu)造一個(gè)以防火墻為核心、多種安全技術(shù)和產(chǎn)品協(xié)同工作的完整的網(wǎng)絡(luò)安全體系。在相關(guān)安全產(chǎn)品能夠相互通信并協(xié)同工作的基礎(chǔ)上，實(shí)現(xiàn)防火墻、 IDS 、病毒防護(hù)系統(tǒng)、信息審計(jì)系統(tǒng)等的互通與聯(lián)動，以實(shí)現(xiàn)最大程度和最快效果的安全保證。 同時(shí)，通過與國內(nèi)具有強(qiáng)大技術(shù)實(shí)力和市場認(rèn)同的網(wǎng)絡(luò)安全廠商的合作，將網(wǎng)絡(luò)衛(wèi)士防火墻與其它成熟的網(wǎng)絡(luò)安全產(chǎn)品聯(lián)動，從而保證了 TOPSEC 安全解決方案能夠充分發(fā)揮其系統(tǒng)功效。這些產(chǎn)品是： NIDS 入侵檢測系統(tǒng)、北信源的病毒防護(hù)系統(tǒng)、啟明星辰 的 IDS 系統(tǒng)和上海復(fù)旦光華的安全審計(jì)系統(tǒng)等等。NGFW4000 作為網(wǎng)絡(luò)衛(wèi)士防火墻的一個(gè)產(chǎn)品系列，是 TOPSEC 安全體系中的重要環(huán)節(jié)，并將隨 TOPSEC 的發(fā)展而繼續(xù)擴(kuò)展。 ? 適用更廣泛的網(wǎng)絡(luò)及應(yīng)用環(huán)境 支持眾多網(wǎng)絡(luò)通信協(xié)議和應(yīng)用協(xié)議，如 DHCP 、 VLAN 、 ADSL 、 IPX 、RIP 、 ISL 、 、 Spanning tree 、 DEC 、 NETBEUI 、 IPSEC 、 PPTP 、AppleTalk 、 、 BOOTP 等，使 4000 防火墻適用網(wǎng)絡(luò)的范圍更加廣泛，保證用戶 的網(wǎng)絡(luò)應(yīng)用。方便用戶擴(kuò)展 IP 寬帶接入及 IP 電話、視頻會議、 VOD 點(diǎn)播等多媒體應(yīng)用。 ? 支持多種工作模式 可以支持透明、路由和混合工作模式。其中，獨(dú)創(chuàng)的混合模式源于天融信網(wǎng)絡(luò)接口物理實(shí)現(xiàn)技術(shù)和天融信專用安全協(xié)議實(shí)現(xiàn)，并在 NGFW4000 中進(jìn)行了重新設(shè)計(jì)和實(shí)現(xiàn)，進(jìn)一步得到了優(yōu)化，方便適用于復(fù)雜網(wǎng)絡(luò)結(jié)構(gòu)和應(yīng)用的接入。 ? 支持遠(yuǎn)程集中管理 可通過安全的認(rèn)證及管理信息的加密傳輸實(shí)現(xiàn)全局防火墻設(shè)備的集中管理。實(shí)現(xiàn)統(tǒng)一的安全政策布署，保證整個(gè)系統(tǒng)的安全策略的一致性，提高整個(gè)系統(tǒng)的安全強(qiáng)度。 19 NGFW4000 的主要配置 和管理都是基于 Web 方式的，管理主機(jī)不需要安裝專門的管理軟件，只需通常的瀏覽器軟件，就可以在不同操作系統(tǒng)平臺、不同地域?qū)Ψ阑饓M(jìn)行配置和管理。 ? 支持負(fù)載均衡和雙機(jī)備份 支持多臺防火墻之間的熱機(jī)備份和負(fù)載均衡；支持多臺服務(wù)器之間的負(fù)載均衡。不但更好的試用不同的網(wǎng)絡(luò)環(huán)境，且更好的提供高性能和保證可靠性。 支持服務(wù)器的負(fù)載均衡 NGFW4000 防火墻可以支持一個(gè)服務(wù)器陣列，這個(gè)陣列經(jīng)過防火墻對外表現(xiàn)為單臺的機(jī)器，防火墻將外部來的訪問在這些服務(wù)器之間進(jìn)行均衡，同時(shí)可以識別出故障的服務(wù)器。 防火墻自身的負(fù)載均 衡 NGFW4000 支持負(fù)載均衡功能，可以在高帶寬的網(wǎng)絡(luò)環(huán)境中有效的提高性能，同時(shí)負(fù)載均衡還實(shí)現(xiàn)了接口之間的備份，當(dāng) A 機(jī)器的某個(gè)接口故障時(shí)， B 機(jī)器的相應(yīng)接口可以接管它的工作，同時(shí) A 機(jī)器的其他接口仍然正常地工作。 雙機(jī)備份 為了保證網(wǎng)絡(luò)的高可用性與高可靠性， NGFW4000 提供了雙機(jī)熱備份功能，即在同一個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)使用兩個(gè)配置相同的防火墻。正常情況下一個(gè)處于工作狀態(tài)，為主防火墻，另一個(gè)處于備份狀態(tài)，為從防火墻。當(dāng)主防火墻發(fā)生意外 down 機(jī)、網(wǎng)絡(luò)故障、硬件故障等情況時(shí)，主從防火墻自動切換工作狀態(tài)，從防 火墻代替主防火墻正常工作，從而保證了網(wǎng)絡(luò)的正常使用。切換過程不需要人為操作和其他系統(tǒng)的參與，切換時(shí)間可以以秒計(jì)算。同時(shí) NGFW4000 還實(shí)現(xiàn)了狀態(tài)傳送協(xié)議 STP ，當(dāng)一臺防火墻故障時(shí)，這臺防火墻上的連接不需要重新建立就可以 20 透明地遷移到另一臺防火墻上，用戶不會覺察到。 ? 多層次分布式帶寬管理 帶寬管理完全虛擬了網(wǎng)絡(luò)帶寬應(yīng)用的實(shí)際環(huán)境，并實(shí)現(xiàn)多層次的分布式管理模式，避免了單層集中管理的缺點(diǎn)；而且，可以實(shí)現(xiàn)帶寬分層、帶寬分級、帶寬分配、帶寬優(yōu)化等管理，優(yōu)化網(wǎng)絡(luò)資源的應(yīng)用，提高網(wǎng)絡(luò)資源應(yīng)用效率。 NGFW4000 能夠允許管理員定義任意兩個(gè)網(wǎng)絡(luò)對象之間通信時(shí)的最大帶寬，而且?guī)捒梢允欠謱拥?，例如部門帶寬下面有小組帶寬然后是個(gè)人帶寬等，可以防止帶寬被濫用，保證重要的通信的順暢。具體如下圖所示： ? 支持多種身份認(rèn)證 支持多種身份認(rèn)證支持，如 OTP 、 RADIUS 、 S/KEY 、 SECUREID 、TACACS/TACACS+、口令方式、數(shù)字證書（ CA ），更好更廣泛的實(shí)現(xiàn)了用戶鑒別和訪問控制。 ? 更強(qiáng)的防御功能 21 在內(nèi)核上實(shí)現(xiàn)對病毒防護(hù)，內(nèi)容過濾（如 HTTP 、 POP3 、 FTP 、 TELNET 、SNMP ）和入侵 檢測（ IDS ）功能，其中的入侵檢測功能，防火墻 4000 不但有內(nèi)置的 IDS 功能，還可以和 IDS 實(shí)現(xiàn)聯(lián)動。這不但提高了安全性，而且保證了性能。 ? 高性能支持真正千兆 采用基于 OS 內(nèi)核的會話檢測技術(shù)，面向資源的設(shè)計(jì)、全新的物理實(shí)現(xiàn)和專用的通信協(xié)議，可以支持高達(dá) 100 萬條以上的并發(fā)連接，真正保證了千兆設(shè)備的性能。吞吐能力達(dá)到 860M 以上。完全可支持骨干網(wǎng)絡(luò)的應(yīng)用需要。 ? 深層日志及靈活、強(qiáng)大審計(jì)分析功能 提供豐富的日志信息，用戶可根據(jù)特定的需要進(jìn)行日志選項(xiàng)（不做日志、通信日志（即傳統(tǒng)的日志）、應(yīng)用層協(xié)議日 志、應(yīng)用層內(nèi)容日志）。獨(dú)創(chuàng)的網(wǎng)絡(luò)實(shí)時(shí)監(jiān)測信息，可詳細(xì)審計(jì)命令級操作，便于入侵行為的分析和追蹤。大大提高防火墻的審計(jì)分析的有效性。 一個(gè)安全防護(hù)體系中的審計(jì)系統(tǒng)的作用是記錄安全系統(tǒng)發(fā)生的事件、狀態(tài)的改變歷史、通過該節(jié)點(diǎn)的符合安全策略的訪問和不符合安全策略的企圖，使管理員可以隨時(shí)審核系統(tǒng)的安全效果、追蹤危險(xiǎn)事件、調(diào)整安全策略。進(jìn)行信息審計(jì)的前提是必須有足夠的多的日志信息。 NGFW4000 提供了非常強(qiáng)大的日志功能，用戶可以根據(jù)需要對不同的通訊會話記錄不同的日志。 NGFW4000 的審計(jì)日志包括如下幾個(gè)部分：通 訊日志、應(yīng)用層命令日志、訪問日志、內(nèi)容日志。通訊日志也就是傳統(tǒng)的防火墻日志，負(fù)責(zé)記錄通訊時(shí)間、源地址、目的地址、源端口、目的端口、字節(jié)數(shù)、是否允許通過。通訊日志信息用來進(jìn)行流量分析已經(jīng)足夠，但是用來進(jìn)行安全性分析還遠(yuǎn)遠(yuǎn)不夠；應(yīng)用層命令日志在通訊日志的基礎(chǔ)之上記錄下各個(gè)應(yīng)用層命令及其參數(shù)，比如 HTTP 請求及其要取的網(wǎng)頁名；訪問日志則是在應(yīng)用層命令日志的基礎(chǔ)之上記錄下用戶對網(wǎng)絡(luò)資源的訪問，它和應(yīng)用層命令日志的區(qū)別是：應(yīng)用層命令日志可以記錄下大量的數(shù)據(jù)，有些用戶可能不需要，如協(xié)商通信參數(shù)過程等。例如針對 FTP 協(xié)議，訪問日志只記錄下讀、寫文件的動作；內(nèi)容日志則是在訪問日志的基礎(chǔ)之上記錄 22 下用戶傳輸?shù)膬?nèi)容，如用戶發(fā)送的郵件，用戶取下的網(wǎng)頁等。天融信新一代防火墻產(chǎn)品可以根據(jù)用戶的不同需要對不同的訪問策略做不同的日志，例如有一條訪問策略允許外界用戶取 FTP 服務(wù)器上的文件，如果做訪問日志，用戶就可以知道到底是哪些文件被取走了。 ? 管理安全、方便靈活 防火墻 4000 經(jīng)過簡單的配置即可接入網(wǎng)絡(luò)進(jìn)行通信和訪問控制， GUI 管理界面提供了清晰的管理結(jié)構(gòu)，每一個(gè)管理結(jié)構(gòu)元素包含了豐富的控制元和控制模型。對所有管理加密（支持 SSL 和 SSH ），并進(jìn)行嚴(yán)格的審計(jì)，實(shí)現(xiàn)了真正的安全遠(yuǎn)程管理。同時(shí)，可以支持 SNMP 與當(dāng)前通用的網(wǎng)絡(luò)管理平臺兼容，如 HP Openview 、 Cisco works 等，方便管理和維護(hù)。 ? 優(yōu)秀的性價(jià)比 強(qiáng)大完善的功能、優(yōu)秀的性能、高的穩(wěn)定性和可靠性，及方便擴(kuò)展 VPN 、IDS 、認(rèn)證、計(jì)費(fèi)、審計(jì)等安全服務(wù)，體現(xiàn)了優(yōu)秀的性價(jià)比，可有效地保護(hù)客戶投資。 ? 獨(dú)立的防火區(qū)域 NGFW4000 防火墻的每個(gè)物理接口對應(yīng)一個(gè)獨(dú)立的防火區(qū)域，每個(gè)區(qū)域的安全策略只對該區(qū)域有效。每個(gè)區(qū)域可以單獨(dú)設(shè)置自己的默認(rèn)安全策略，所有對該區(qū)域 的訪問都將匹配與該區(qū)域?qū)?yīng)的安全策略。也可以設(shè)定是否允許從該區(qū)域PING 、 TELNET 防火墻。 ? 面向資源的管理機(jī)制 NGFW4000 中采用面向各種對象的不同組成資源的管理機(jī)制。對象是由許多種資源組 成的實(shí)體，規(guī)則建立在這種實(shí)體的基礎(chǔ)上。資源的概念比對象控制更加細(xì)化，簡化了用戶規(guī)則，使規(guī)則更為直觀；同時(shí)，提高了配置管理員的效率，提高了配置的靈活性。 NGFW4000 提供了很多種資源，如，網(wǎng)絡(luò)節(jié)點(diǎn)、子網(wǎng)、第三方用戶、用戶數(shù)據(jù)庫、防火區(qū)域、端口協(xié)議、文件資源、 VLAN 、特殊端口。 23 ? 支持透明接入 NGFW4000 支持透明接入。將 NGFW4000 配置為透明工作模式，無需更改用戶網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)就能接入用戶網(wǎng)絡(luò)中，用戶網(wǎng)絡(luò)中的主機(jī)也無需更改任何網(wǎng)絡(luò)配置就能通過防火墻進(jìn)行訪問（當(dāng)然是要在防火墻規(guī)則允許的情況下）。透明接入極大的方便了防火墻的接入，同時(shí)并不降低網(wǎng)絡(luò)的安全性。 NGFW4000 還能工作在透明和路由的混合模式下，更能適應(yīng)各種不同網(wǎng)絡(luò)環(huán)境的接入。 ? 多級過濾的立體訪問控制 為保證系統(tǒng)的安全性和提高防護(hù)能力，增強(qiáng)控制的靈活性， NGFW4000 采用了多級過濾措施：以基于 OS 內(nèi)核的會話檢測技術(shù)為核心，在 IP 層 提供基于狀態(tài)檢測的分組過濾，可以根據(jù)網(wǎng)絡(luò)地址、網(wǎng)絡(luò)協(xié)議以及 TCP 、 UDP 端口進(jìn)行過濾；在應(yīng)用層通過重寫通訊會話的部分或者全部提供對高層應(yīng)用協(xié)議命令、訪問路徑、內(nèi)容、訪問的文件資源、郵件收發(fā)人地址等的過濾；同時(shí)還直接支持第三方認(rèn)證服務(wù)器提供用戶級的鑒別和過濾控制。 NGFW4000 的多級過濾形成了立體的全面的訪問控制機(jī)制。 ? 強(qiáng)大的地址轉(zhuǎn)換能力 NGFW4000 擁有強(qiáng)大的地址轉(zhuǎn)換能力。 NGFW4000 同時(shí)支持正向、反向地址轉(zhuǎn)換，能為用戶提供完整的地址轉(zhuǎn)換解決方案。 正向地址轉(zhuǎn)換用于使用保留 IP 地址的內(nèi)部 網(wǎng)用戶通過防火墻訪問公眾網(wǎng)中的地址時(shí)對源地址進(jìn)行轉(zhuǎn)換。 NGFW4000 支持依據(jù)源或目的地址指定轉(zhuǎn)換地址的靜態(tài) NAT 方式和從地址緩沖池中隨機(jī)選取轉(zhuǎn)換地址的動態(tài) NAT 方式，兩種方式總共可以有多達(dá) 32 個(gè)的不同轉(zhuǎn)換地址，可以滿足絕大多數(shù)網(wǎng)絡(luò)環(huán)境的需求。對公眾網(wǎng)來說，訪問全部是來自于防火墻轉(zhuǎn)換后的地址，并不認(rèn)為是來自內(nèi)部網(wǎng)的某個(gè)地址，能夠有效的隱藏內(nèi)部網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)等信息。同時(shí)內(nèi)部網(wǎng)用戶共享使用這些轉(zhuǎn)換地址，自身使用保留 IP 地址就可以正常訪問公眾網(wǎng)，有效的解決了全局 IP 地址不足的問題。 內(nèi)部網(wǎng)用戶對公眾網(wǎng) 提供訪問服務(wù)（如 Web 、 FTP 服務(wù)等）的服務(wù)器如果是保留 IP 地址，或者想隱藏服務(wù)器的真實(shí) IP 地址，都可以使用 NGFW4000 的 24 反向地址轉(zhuǎn)換來對目的地址進(jìn)行轉(zhuǎn)換。公眾網(wǎng)訪問防火墻的反向轉(zhuǎn)換地址，由內(nèi)部網(wǎng)使用保留 IP 地址的服務(wù)器提供服務(wù)，同樣既可以解決全局 IP 地址不足的問題，又能有效的隱藏內(nèi)部服務(wù)器信息，對服務(wù)器進(jìn)行保護(hù)。 NGFW4000 提供端口映射和 IP 映射兩種反向地址轉(zhuǎn)換方式，端口映射安全性更高、更節(jié)省全局IP 地址， IP 映射則更為靈活方便。 ? 透明應(yīng)用代理 NGFW4000 提供對常用高 層應(yīng)用服務(wù)（ HTTP 、 FTP 、 SMTP 、 POP3 、NNTP ）的透明代理。用戶不需要在自己的主機(jī)上作任何的有關(guān)代理服務(wù)器的設(shè)置，只需管理員在防火墻上配置相關(guān)的規(guī)則，用戶通過防火墻進(jìn)行的上述應(yīng)用訪問就會由防火墻進(jìn)行代理，這些配置對用戶來說完全是透明的，極大的方便了用戶使用代理。同時(shí) NGFW4000 還對上述服務(wù)做了更詳細(xì)控制，如 HTTP 對命令（ GET 、 POST 、 HEAD 、 DELETE 、 OPTION 、 PUT 、 TRACE 等）和 URL 以及腳本類型進(jìn)行過濾， FTP 對命令（ GET 、 PUT