[渠道培訓]1防火墻理論(0907).ppt

主持人開場 致歡迎詞聯(lián)想網御董事長兼CEOJianQi齊艦 熱烈歡迎各位客戶參加聯(lián)想網御技術培訓課程 聯(lián)想網御北京分部客戶培訓 防火墻理論 2009年7月 中辦27號文件 信息保障的主要工作 我國信息安全保障的主要工作 三個方面 九項工作 第一個方面就是關于建立健全信息安全責任制就是要加強信息安全的領導 建立健全信息安全責任制第二個方面就是基礎性工作第一 實行信息安全等級保護 重視信息安全風險評估 第二 是加強以密碼技術為基礎的信息安全保護和網絡信任體系建設 第三 就是建設和完善信息安全監(jiān)控體系 第四 就是重視信息安全應急處理工作第三個方面是支撐性工作第一是加強信息安全技術研究開發(fā) 推進信息安全產業(yè)發(fā)展 第二是加強信息安全法制建設和標準化建設 第三是加強信息安全人才培養(yǎng) 增強全民信息安全意識 第四是保證信息安全的資金 目錄 目錄 防火墻的基本概念防火墻的發(fā)展歷程防火墻功能解析防火墻性能解析 目錄 防火墻的基本概念防火墻的發(fā)展歷程防火墻功能解析防火墻性能解析 網絡 內部 外部泄密 拒絕服務攻擊 邏輯炸彈 特洛伊木馬 黑客攻擊 計算機病毒 后門 隱蔽通道 蠕蟲 垃圾郵件 防火墻基本概念 網絡面臨的威脅 防火墻基本概念 防火墻的引入 HTTP FTP SMTPServer FileServerDataBase ProxyServer UserClient 邊界點安全威脅 防火墻 防火墻基本概念 防火墻的概念 在信任網絡與非信任網絡之間 通過預定義的安全策略 對內外網通信強制實施訪問控制的安全應用設備 導入防火墻的技術原理 將不信任網絡對信任網絡的安全威脅強制到單一安全控制點 防火墻的原則 一切未被允許的就是禁止的 防火墻基本概念 防火墻基本概念 防火墻能做什么 保障授權合法用戶的通信與訪問 禁止未經授權的非法通信與訪問 記錄經過防火墻的通信活動 防火墻不能做什么 不能主動防范新的安全威脅 不能防范來自網絡內部的攻擊 不能控制不經防火墻的通信與訪問 防火墻基本概念 目錄 防火墻基本概念防火墻的發(fā)展歷程防火墻功能解析防火墻性能解析 Firewall軟件技術變革 應用代理 包過濾 狀態(tài)檢測 深度檢測 通用OS 嵌入式OS 專用OS 專業(yè)OS 基于三層 四層的過濾實現(xiàn)簡單 速度快安全性低 初級技術個人終端系統(tǒng)穩(wěn)定 安全 健壯性差 防火墻的技術變革是簡短的 快速的 基于應用層的代理轉發(fā)可以檢查應用層協(xié)議處理速度慢 兼容性差內核小 效率高 易擴成熟度 可移植性差 引入狀態(tài)表規(guī)范3層和4層行為處理快 安全性較高網絡處理時時性高根據用戶需求定制 多級安全檢測自動簽名檢測虛擬化 協(xié)同性提高軟件平臺設計能力 應用層 表示層 會話層 傳輸層 網絡層 鏈路層 物理層 應用層 表示層 會話層 傳輸層 網絡層 鏈路層 物理層 網絡層 鏈路層 物理層 優(yōu)點 速度快 性能高對應用程序透明 缺點 安全性低不能根據狀態(tài)信息進行控制不能處理網絡層以上的信息伸縮性差維護不直觀 簡單包過濾技術介紹 應用層 TCP層 IP層 網絡接口層 IP 101010101 TCP ETH 101010101 應用層 TCP層 IP層 網絡接口層 101010101 只檢查報頭 101001001001010010000011100111101111011 001001001010010000011100111101111011 簡單包過濾防火墻的工作原理 簡單包過濾防火墻不檢查數(shù)據區(qū)簡單包過濾防火墻不建立連接狀態(tài)表前后報文無關應用層控制很弱 防火墻 包過濾技術 檢查項 IP包的源地址 IP包的目的地址 TCP UDP源端口 應用層 表示層 會話層 傳輸層 網絡層 鏈路層 物理層 應用層 表示層 會話層 傳輸層 網絡層 鏈路層 物理層 應用代理技術介紹 應用層 表示層 會話層 傳輸層 網絡層 鏈路層 物理層 優(yōu)點 安全性高提供應用層的安全 缺點 性能差伸縮性差只支持有限的應用不透明 FTP HTTP SMTP 應用層 TCP層 IP層 網絡接口層 IP 101010101 TCP ETH 101010101 應用層 TCP層 IP層 網絡接口層 101010101 只檢查數(shù)據 101001001001010010000011100111101111011 001001001010010000011100111101111011 應用代理防火墻的工作原理 不檢查IP TCP報頭不建立連接狀態(tài)表網絡層保護比較弱 防火墻 應用網關 客戶端 防火墻 代理網關 服務器 想從內部網訪問外部的服務器 我?guī)湍惆l(fā)請求吧 應用層 表示層 會話層 傳輸層 網絡層 鏈路層 物理層 應用層 表示層 會話層 傳輸層 網絡層 鏈路層 物理層 狀態(tài)檢測技術介紹 應用層 表示層 會話層 傳輸層 網絡層 鏈路層 物理層 安全性高能夠檢測所有進入防火墻網關的數(shù)據包根據通信和應用程序狀態(tài)確定是否允許包的通行性能高在數(shù)據包進入防火墻時就進行識別和判斷伸縮性好可以識別不同的數(shù)據包已經支持豐富的應用 包括Internet應用 數(shù)據庫應用 多媒體應用等用戶可方便添加新應用對用戶 應用程序透明 抽取各層的狀態(tài)信息建立動態(tài)狀態(tài)表 應用層 TCP層 IP層 網絡接口層 IP 101010101 TCP ETH 101010101 應用層 TCP層 IP層 網絡接口層 101010101 只檢查報頭 101001001001010010000011100111101111011 001001001010010000011100111101111011 狀態(tài)檢測包過濾防火墻的工作原理 不檢查數(shù)據區(qū)建立連接狀態(tài)表前后報文相關應用層控制很弱 建立連接狀態(tài)表 IP包 檢測包頭 下一步處理 安全策略 過濾規(guī)則 會話連接狀態(tài)緩存表 狀態(tài)檢測包過濾防火墻 符合 不符合 丟棄 狀態(tài)檢測包過濾 符合 檢查項 IP包的源 目的地址 端口 TCP會話的連接狀態(tài) 上下文信息 應用層 TCP層 IP層 網絡接口層 IP 開始攻擊 TCP ETH 開始攻擊主服務器硬盤數(shù)據 應用層 TCP層 IP層 網絡接口層 開始攻擊主服務器硬盤數(shù)據 檢查多個報文組成的會話 101001001001010010000011100111101111011 001001001010010000011100111101111011 深度內容檢測防火墻的工作原理 建立連接狀態(tài)表 開始攻擊 重寫會話 主服務器 硬盤數(shù)據 報文1 報文2 報文3 網絡層保護強應用層保護戧會話保護很強上下文相關前后報文有聯(lián)系 防火墻核心技術比較 單個包報頭 單個包報頭 單個包數(shù)據 一次會話 X86架構嵌入式架構 NP架構 ASIC架構 多核架構 防火墻突破高性能的極限就是對防火墻硬件結構的調整 性能 ASIC架構 NP架構 多核架構 可擴展性 易 X86架構 Firewall硬件演進 嵌入式架構 硬件平臺技術分析 x86 基于X86的平臺主要提供商Intel AMD X86 特點 軟件開發(fā)比較靈活便于快速推出產品投資少發(fā)熱比較大受總線帶寬的限制難以滿足高速環(huán)境 概述 以通用處理器 如 x86 為設備核心通用CPU擔負數(shù)據查找 連接控制和路由更新處理等全部工作 優(yōu)勢 數(shù)據處理全部由軟件實現(xiàn) 容易實現(xiàn)通過軟件升級完成系統(tǒng)升級 劣勢 受處理器處理能力限制 很難實現(xiàn)更高帶寬和更高吞吐率 穩(wěn)定性差 不適合高端設備 防火墻發(fā)展歷程 基于通用處理器體系結構 防火墻發(fā)展歷程 硬件平臺技術分析 其他嵌入式 基于其他嵌入的平臺包括PowerPC ARM MIPS 嵌入式 特點 產品穩(wěn)定低功耗 低成本軟件比較靈活開發(fā)環(huán)境需要投資受總線帶寬的限制 硬件平臺技術分析 ASIC 基于ASIC的平臺采用廠家Netscreen Fortinet ASIC 特點 性價比比較高產品穩(wěn)定可以滿足高性能要求靈活性不高投資非常大門檻高 防火墻發(fā)展歷程 概述 采用專用IC集成電路 ASIC 實現(xiàn)硬件轉發(fā)及流量控制數(shù)據包交由ASIC完成處理ASIC代碼固化在IC芯片中 優(yōu)勢 基于硬件的數(shù)據處理提供了很高的數(shù)據包轉發(fā)速率 劣勢 由于ASIC代碼固化在芯片中 導致系統(tǒng)升級異常困難ASIC產品開發(fā)周期較長 芯片定制一次性投入較大 在其市場未達一定規(guī)模時 價格相對較高對于類似QoS路由 高層業(yè)務流識別及高層應用協(xié)議的動態(tài)變化性難于應對 基于ASIC體系結構 防火墻發(fā)展歷程 硬件平臺技術分析 NPU 基于NPU的平臺提供廠家Intel IBM AMCC Broadcom NPU 特點 能獲得比較高的性能產品穩(wěn)定有一定的靈活性靈活性不高軟件開發(fā)難度大 網絡處理器 NP 是一種可編程的ASIC NP NetworkProcessor 基于NP的體系結構是在前兩種體系結構的基礎上 綜合了各自的優(yōu)勢而推出的一種新型的體系結構 NP主要被用于 非常適合高速網絡安全產品處理線速數(shù)據進行協(xié)議分析和數(shù)據分類 進行深度數(shù)據包分析 防火墻發(fā)展歷程 基于網絡處理器的體系結構 防火墻發(fā)展歷程 硬件平臺技術分析 多核架構 多核架構優(yōu)勢新建會話能力強 可達到20萬支撐更高更多的網絡接口 4XFP 48SFP控制 數(shù)據層面分離高負載時仍然可以進行正常的管理操作CPU忙碌時不影響已建立的會話數(shù)據轉發(fā)多核芯片特點2 Unit KingGuard 8 Core Unit 4 vCPU CoreXLR內部數(shù)據交換128Gbps集成加解密引擎 支持AES 3DES多種算法支持C語言開發(fā) 編程靈活 硬件平臺 多核芯片 VSP Applications CPU I O CPU CPU I O CPU In Out Mgr Mgr 2020 3 1 page33 超強性能 海量并發(fā) 64個vCPU8 8矩陣式并行處理系統(tǒng)智能的vCPU調度系統(tǒng)Windrunner 每CPU含8處理核每核主頻1 2GHZ 每個核具備4個虛擬CPU 每臺設備具備64個vCPU同時進行運算 vCPU 線程 吞吐 20G并發(fā) 1000萬每秒新建 20萬NAT 500萬IPSecVPN 5G 硬件平臺技術分析 多核架構 2020 3 1 CPU矩陣 流量分組并行處理 隊列調度 預處理 解密 策略匹配 內容過濾 封裝加密 QOS隊列操作 路由查詢日志記錄 流水線處理步驟 64個vCPU8 8矩陣式并行處理技術智能的vCPU調度系統(tǒng)Windrunner 吞吐 20G并發(fā) 1000萬每秒新建 20萬NAT 500萬IPSecVPN 5G 硬件平臺技術分析 多核架構 2020 3 1 隊列調度 預處理 解密 策略匹配 內容過濾 封裝加密 QOS隊列操作 路由查詢日志記錄 普通包過濾 流水線1 流水線2 空閑vCPU隊列 加解密 內容過濾 隊列調度vCPU發(fā)現(xiàn)3顆vCPU占用率為零 將其釋放 隊列調度vCPU發(fā)現(xiàn)vCPU占用率很高 申請空閑vCPU進入隊列 64個vCPU8 8矩陣式并行處理技術智能的vCPU調度系統(tǒng)Windrunner 吞吐 20G并發(fā) 1000萬每秒新建 20萬NAT 500萬IPSecVPN 5G 硬件平臺技術分析 多核架構 各種結構的比較 性能 功能 通用處理器架構 網絡處理器架構 ASIC架構 多核架構 防火墻硬件的發(fā)展 其他嵌入式架構 目錄 防火墻基本概念防火墻的發(fā)展歷程防火墻功能解析防火墻性能解析 防火墻的作用 Intranet 通過部署防火墻 可以實現(xiàn)比VLAN 路由器更為強大 有效的訪問控制功能 大大提高抗攻擊的能力 禁止訪問 禁止訪問 防火墻功能解析 防火墻功能解析 防火墻功能解析 安全區(qū)劃分 防火墻 WebServer FTP SMTPServer 防火墻功能解析 安全區(qū)1 內網 安全區(qū)2 外網 安全區(qū)3 DMZ SSN 透明接入 網絡A 網絡B 192 168 0 X 24 192 168 0 X 24 透明模式下 這里不用配置IP地址 透明模式下 這里不用配置IP地址 透明模式下 網絡A和網絡B不用做任何調整 防火墻功能解析 防火墻功能解析 路由 NAT接入 網絡A 192 168 0 X 24 192 168 0 1 24 202 16 1 x 26 202 16 1 y 26 路由模式下 防火墻的內外網接口必須配置不同的IP地址 INTERNET 防火墻功能解析 防火墻功能解析 混合接入 防火墻 DMZ區(qū)212 18 10 0 內網1192 168 1 0 內網2192 168 1 0 INTERNET 防火墻功能解析 防火墻功能解析 HostC HostD 基本的訪問控制技術 Accesslist192 168 1 3to202 2 33 2Accessnat192 168 3 0toanypassAccess202 1 2 3to192 168 1 3blockAccessdefaultpass 1010010101 規(guī)則匹配成功 基于源IP地址基于目的IP地址基于源端口基于目的端口基于時間基于用戶基于流量基于文件基于網址基于MAC地址 Internet 公開服務器可以使用私有地址隱藏內部網絡的結構 199 168 1 6 202 102 1 3 202 102 1 3 MAP199 168 1 2 80TO202 102 1 3 80 MAP199 168 1 3 21TO202 102 1 3 21 MAP199 168 1 4 53TO202 102 1 3 53 MAP199 168 1 5 25TO202 102 1 3 25 http 199 168 1 2 http 202 102 1 3 MAP 端口映射 源地址 192 168 1 21目地址 202 102 93 54 源地址 101 211 23 1目地址 202 102 93 54 101 211 23 2 隱藏了內部網絡的結構內部網絡可以使用私有IP地址公開地址不足的網絡可以使用這種方式提供IP復用功能 NAT 地址轉換 net HostB 199 168 1 3 HostC 199 168 1 4 HostD 199 168 1 5 00 50 04 BB 71 A6 00 50 04 BB 71 BC BIND199 168 1 2To00 50 04 BB 71 A6 BIND199 168 1 4To00 50 04 BB 71 BC IP與MAC地址綁定后 不允許HostB假冒HostA的IP地址上網 防火墻允許HostA上網 跨路由器 IP與MAC 用戶 的綁定 策略路由功能 中國教育網 Internet 202 10 1 2 64 10 6 5 200 34 22 2 200 34 22 1 192 168 1 1 HostA 192 168 1 2 HostB 192 168 1 3 HostC 192 168 1 4 200 34 22 3 內網 根據源 目地址來進行路由 主機B直接連接Internet 主機A通過教育網上Internet 分級帶寬管理 Internet WWW Mail DNS 財務部子網 采購部子網 出口帶寬512K DMZ區(qū)保留256K 分配70K帶寬 分配90K帶寬 分配96K帶寬 DMZ區(qū)域 內部網絡 總帶寬512K 內網256K DMZ256K 70K 90K 96K 財務子網 采購子網 生產子網 生產部子網 應用代理是防火墻中一個重要的功能 啟用代理可以針對特定應用進行更細粒度的控制 包括內容過濾等 客戶端 服務器 2 防火墻對客戶端的訪問進行控制 1 客戶端訪問服務器需先訪問防火墻 3 防火墻代替客戶端向服務器發(fā)送請求 FTP HTTP SMTP 代理服務 認證技術認證是所有防火墻的基礎 認證技術 操作系統(tǒng)口令 Username Password S Key RADIUS 第三方的插件 認證模式 用戶認證客戶認證會話認證 認證服務 HostC HostD HostB HostA 受保護網絡 Internet IDS 黑客 發(fā)起攻擊 發(fā)送通知報文 驗證報文并采取措施 發(fā)送響應報文 識別出攻擊行為 阻斷連接或者報警等 與IDS安全聯(lián)動 Trunk口 Trunk口 VLAN1 VLAN2 支持VLAN的交換機 Trunk口 Trunk口 VLAN1 VLAN2 Switch1 Switch2 同一交換機的不同VLAN之間通訊 不同交換機的同一VLAN之間通訊 不支持TRUNK的防火墻無法在這種環(huán)境下工作 不支持TRUNK的防火墻無法在這種環(huán)境下工作 防火墻對TRUNK協(xié)議的支持 Syn PROXY 主機 Syn PROXY 網關 在服務器和外部網絡之間部署代理服務器通過代理服務器發(fā)送Syn Ack報文 在收到客戶端的Syn包后 防火墻代替服務器向客戶端發(fā)送Syn Ack包 如果客戶端在一段時間內沒有應答或中間的網絡設備發(fā)回了ICMP錯誤消息 防火墻則丟棄此狀態(tài)信息如果客戶端的Ack到達 防火墻代替客戶端向服務器發(fā)送Syn包 并完成后續(xù)的握手最終建立客戶端到服務器的連接 通過這種Syn PROXY技術 保證每個Syn包源的真實有效性 確保服務器不被虛假請求浪費資源 從而徹底防范對服務器的Syn Flood攻擊 SYN SYN ACK ACK SYN SYN ACK ACK SYN SYN ACK ACK Client Server 抗DOS DDOS攻擊 RandomDrop算法 抗DOS DDOS攻擊 RandomDrop算法 RandomDrop算法當流量達到一定的數(shù)量限度時 所采取的一種通過降低性能 保證服務的不得已的方法 具體過程是 當流量達到一定的閥值的時候 開始按照一定的算法丟棄后續(xù)的報文 保持主機的處理能力 這樣對于用戶而言 許多合法的請求可能被主機隨機丟棄 但是有部分請求還是可以得到服務器響應 保證服務不間斷運行的 SYN SYN ACK ACK Client Server 連接表 丟棄連接 丟棄連接 抗DOS DDOS攻擊 帶寬限制和QoS保證 帶寬限制和QoS保證通過對報文種類 來源等各種特性設置閥值參數(shù) 保證主要服務穩(wěn)定可靠的資源供給 保證在高強度攻擊環(huán)境下一定的連接保持率和新連接發(fā)起成功率 內部網絡 Internet INTERNET Web服務器3 Web服務器1 Web服務器2 服務器負載均衡 高可用性 HighAvailability 技術是為解決防火墻單點故障點 提供無縫的故障恢復 保障企業(yè)網絡的關鍵應用 如 雙機熱備 集群 Cluster 技術等 內部網絡 HABeat Router Switch Switch 高可用性技術 防火墻雙機熱備 內部網 外網或者不信任域 Eth0 Eth0 Eth1 Eth1 Eth2 Eth2 狀態(tài)同步心跳線 ActiveFirewall StandbyFirewall 檢測ActiveFirewall的狀態(tài) 發(fā)現(xiàn)出故障 立即接管其工作 正常情況下由主防火墻工作 主防火墻出故障以后 接管它的工作 HuborSwitch HuborSwitch 通過STP協(xié)議可以交換兩臺防火墻的狀態(tài)信息 當一臺防火墻故障時 這臺防火墻的連接不需要重新建立就可以透明的遷移到另一臺防火墻上 用戶不會察覺到 目錄 防火墻基本概念防火墻的發(fā)展歷程防火墻功能解析防火墻性能解析 并發(fā)連接數(shù) 定義 指穿越防火墻的主機之間或主機與防火墻之間能同時建立的最大連接數(shù)衡量標準 并發(fā)連接數(shù)的測試主要用來測試被測防火墻建立和維持TCP連接的性能 同時也能通過并發(fā)連接數(shù)的大小體現(xiàn)被測防火墻對來自于客戶端的TCP連接請求的響應能力 理解細化 是防火墻能夠同時處理的點對點會話連接的最大數(shù)目 它反映防火墻對多個連接的訪問控制能力和連接狀態(tài)跟蹤能力 這個參數(shù)的大小可以直接影響到防火墻所能支持的最大信息點數(shù) CLIENT SERVER 并發(fā)連接數(shù)可以用來衡量穿越防火墻的主機之間能同時建立的最大連接數(shù) 吞吐量 定義 在不丟包的情況下能夠達到的最大速率衡量標準 吞吐量作為衡量防火墻性能的重要指標之一 吞吐量小就會造成網絡新的瓶頸 以至影響到整個網絡的性能 Smartbits6000B測試儀 101100101000011111001010010001001000 以最大速率發(fā)包 直到出現(xiàn)丟包時的最大值 防火墻吞吐量小就會成為網絡的瓶頸 100M 60M 數(shù)據包首先排隊待防火墻檢查后轉發(fā) 延時 定義 入口處輸入幀最后1個比特到達至出口處輸出幀的第一個比特輸出所用的時間間隔衡量標準 防火墻的時延能夠體現(xiàn)它處理數(shù)據的速度 10101001001001001010 Smartbits6000B測試儀 101100101000011111001010010001001000 最后1個比特到達 第一個比特輸出 時間間隔 1010100111001110 1010100111001110 1010010010100100010100010 101010100100100100100100010 造成數(shù)據包延遲到達目標地 丟包率 定義 在連續(xù)負載的情況下 防火墻設備由于資源不足應轉發(fā)但卻未轉發(fā)的幀百分比衡量標準 防火墻的丟包率對其穩(wěn)定性 可靠性有很大的影響 發(fā)送了1000個包 防火墻由于資源不足只轉發(fā)了800個包 丟包率 1000 800 1000 20 10010101001010010001001001 10010101001010010001001001 背靠背 定義 從空閑狀態(tài)開始 以達到傳輸介質最小合法間隔極限的傳輸速率發(fā)送相當數(shù)量的固定長度的幀 當出現(xiàn)第一個幀丟失時 發(fā)送的幀數(shù) 衡量標準 背靠背的測試結果能體現(xiàn)出防火墻的緩沖容量 網絡上經常有一些應用會產生大量的突發(fā)數(shù)據包 如NFS 備份 路由更新等 而且這樣的數(shù)據包的丟失可能會產生更多的數(shù)據包 強大的緩沖能力可以減少這種突發(fā)對網絡造成的影響 Smartbits6000B測試儀 少量包 沒有數(shù)據 包增多 峰值 包減少 包數(shù)量 N 時間 T 背靠背指標體現(xiàn)防火墻對突發(fā)數(shù)據的處理能力 軟件發(fā)展 包過濾 應用代理 狀態(tài)檢測 深度內容過濾硬件發(fā)展 X86 嵌入式 ASIC NPU 多核接入方式 透明 路由 混合實現(xiàn)技術 安全區(qū)劃分 NAT 策略路由 認證技術 代理技術 高可用技術 TRUNK支持性能指標 并發(fā)連接數(shù) 吞吐量 時延 背靠背 丟包率 第一章小節(jié) 知識點回顧 目錄 目錄 引言全系列技術優(yōu)勢數(shù)據包處理流程功能性能優(yōu)勢點 安全新動態(tài) 網絡規(guī)模越來越大網絡應用越來越豐富以政治 利益為代表的網絡攻擊傳播成為熱點僵尸網絡規(guī)模逐步擴大以拒絕服務 DDOS 為主要手段的網絡攻擊時時考驗客戶的網絡以垃圾信息為代表的非法內容浪費著網絡的資源 安全進入體系時代 要求建造安全的整體網絡從點轉變到面的方式考慮安全問題各種整體的解決方案和技術體系被提出聯(lián)想網御 下一代安全架構天融信 可信網絡架構CISCO 自防御網絡華為 安全滲透網絡銳捷 全局安全網絡 安全網關成為各體系化的基本配置 各種安全網關是安全的基礎設施防火墻成為最主要的基礎邊界安全設備 市場發(fā)展趨勢 CAGR 2008 FW 國內防火墻比例 25 網絡安全總額 11 6億美元 71 市場發(fā)展趨勢 2006年 2008年 0 2 2 3 0 5 1 2 1 3 1 5 IDS IPS等 防火墻 VPN UTM新興市場 UTM 防毒墻等 2008年聯(lián)想網御產品布局 55 防火墻 VPN 20 UTM 防毒墻 IPS 2008年聯(lián)想網御產品銷量比防火墻系列仍為主力產品 安全網關形態(tài) 專業(yè)化的網關集成化的網關軟件網關硬件網關 安全網關的發(fā)展趨勢 一 國際廠家一般都有專用的操作系統(tǒng) 安全網關的發(fā)展趨勢 二 國際廠家一般都有專用的操作系統(tǒng)硬件化和芯片化成為趨勢 安全網關的發(fā)展趨勢 三 國際廠家一般都有專用的操作系統(tǒng)硬件化和芯片化成為趨勢硬件平臺多樣化 X86 NPU 多核 嵌入式 ASIC 組合 防火墻角色的演化 由3 4層控制向應用層控制發(fā)展由單純防外部攻擊向防外 控內發(fā)展由單純提供控制功能向提供系列服務發(fā)展 實際場景 79 帶寬在不斷的增加 但是還是感覺捉襟見肘 網速怎么這么慢呀 半天打不開一個網頁 高效需求 流量帶寬合理分配 無節(jié)制 無秩序的P2P資源下載消耗著有限的帶寬資源 真正需要及時信息的業(yè)務得不到有效的保障 高效需求 提高工作效率 虛擬娛樂 如網游 網聊 炒股等應用 使員工沉迷其中 消耗大量工作時間 服務需求 應用種類繁多 網絡應用越來越多 用戶通過防火墻了解和管理網絡中的應用需求越來越大用戶受技術背景限制 迫切希望防火墻設備內置各種應用 安全需求 屏蔽高風險網站 互聯(lián)網上網站眾多 在一些看似合法的網站背后可能隱藏著病毒 木馬 蠕蟲等危險因素 如何屏蔽高風險網站 降低安全風險 安全需求 規(guī)避法律 道德的風險 各類色情 暴力 反動等非法 負面網站的訪問會帶來一系列問題 引發(fā)政治問題觸犯道德底線導致法律糾紛 信息安全問題 定位緩慢 技術人員希望發(fā)現(xiàn)問題后可以快速定位根源 缺少有效的行為查詢使技術人員定位問題緩慢 內容失控 有悖國情的互聯(lián)網訪問很可能在企業(yè)不知情的情況下產生極端不好的負面影響 外發(fā)隨意 多種多樣的外發(fā)信息可能混雜有害的內容 目前大部分外發(fā)信息對管理層來說是蒙在鼓里的 目錄 引言全系列技術優(yōu)勢數(shù)據包處理流程功能性能優(yōu)勢點 防火墻專利技術 防火墻技術理念 聯(lián)想網御防火墻先進理念 VSP平臺 品牌戰(zhàn)略 USE引擎 MRP技術 VSP通用安全平臺 硬件抽象平面 VSP通用安全平臺 硬件抽象平面無縫融合IXP PowerPC到NP ASIC 多核等各種先進硬件平臺系統(tǒng)服務平面與各模塊共同遵循標準函數(shù)接口 具有高度靈活性和可擴展性控制平面優(yōu)化配置管理 使得系統(tǒng)性能大幅提升數(shù)據平面集成統(tǒng)一安全引擎 將漏洞和風險拒之門外 對比 VSP和其他操作系統(tǒng)的比較 VSP通用安全平臺 USE統(tǒng)一安全引擎 URL過濾 文件過濾 郵件檢查 攻擊檢測 病毒檢測 IM過濾 P2P過濾 USE 有效提高系統(tǒng)處理性能 性能是關鍵 USE統(tǒng)一安全引擎集成于單一平臺 構造統(tǒng)一架構 綜合并優(yōu)化各子系統(tǒng) 去除冗余 簡化數(shù)據處理流程 實現(xiàn)統(tǒng)一的安全引擎處理機制 方便構建可管理的等級化安全體系 推進安全策略統(tǒng)一管理 提升系統(tǒng)功能可擴展性 USE統(tǒng)一安全引擎 指標 USE引擎 單引擎 多引擎 專利 USE統(tǒng)一安全引擎優(yōu)勢明顯 USE與其他引擎比較 USE統(tǒng)一安全引擎 MRP多重冗余協(xié)議 狀態(tài)包過濾的核心 狀態(tài)表不管采用什么樣的技術實現(xiàn)的雙機熱備和負載均衡 多機之間的狀態(tài)不一致 必然造成切換時會話中斷或按簡單包過濾處理而損失安全性 也無法處理NAT 動態(tài)應用等問題 STP協(xié)議可以保證多臺設備之間的狀態(tài)一致性 MRP多重冗余協(xié)議 內部網 Eth0 Eth0 Eth1 Eth1 Eth2 Eth2 心跳線 0 1 狀態(tài)同步 MRP多重冗余協(xié)議可靠性體系1 MRP多重冗余協(xié)議的可靠性體系2 目錄 引言全系列技術優(yōu)勢數(shù)據包處理流程功能性能優(yōu)勢點 防火墻數(shù)據包處理流程 VPN解密 抗攻擊 IP MAC綁定 目的地址轉換 路由查找 用戶信息查找 安全規(guī)則檢查 深層內容過濾 源地址轉換 Qos VPN加密 虛線框表示客觀存在的 潛規(guī)則 可能對界面配置的規(guī)則產生影響紅色框內的部分為每個包檢查 其他框為首次連接檢查匹配代理規(guī)則轉入本機處理 匹配隱藏內部服務 阻斷和黑名單等規(guī)則直接丟棄數(shù)據包 防火墻規(guī)則順序圖 防火墻規(guī)則根據作用順序分為代理 端口映射 IP映射 包過濾 NAT規(guī)則五類 目錄 引言全系列技術優(yōu)勢數(shù)據包處理流程功能性能優(yōu)勢點 聯(lián)想網御防火墻產品線介紹 網御防火墻 3條產品線16個系列50種產品 聯(lián)想網御防火墻全線產品 聯(lián)想網御防火墻全線產品照片 超五系列 多核架構 NP和ASIC混合架構 強五系列 X86架構 精五系列 嵌入式架構 金剛系列 多核架構 聯(lián)想網御防火墻發(fā)展歷程 特性與優(yōu)勢 1 細節(jié)成就專業(yè) 并發(fā)連接數(shù)控制VPN功能IPSec與SSL復用多出口策略路由安全聯(lián)動集中管理策略分發(fā)負載均衡和多機集群 獨特細節(jié)功能點 細節(jié)成就專業(yè) 細節(jié)功能點 并發(fā)連接數(shù)控制 精確到單個IP連接控制動態(tài)學習功能會話統(tǒng)計方式連接狀態(tài)分類查詢源 目的連接排行榜 細節(jié)功能點 VPN功能 IPSec與SSLVPN功能復用支持國密辦專用算法SCB2獨有的隧道接力功能 可通過隧道接力實現(xiàn)分級的樹狀VPN結構部署VPN客戶端兼容WindowsVista系統(tǒng)安全可靠的USB Key 細節(jié)功能點 多出口路由 多出口策略路由鏈路探測多ISP出口自動選路 減少跨ISP延時動態(tài)路由 OSPF RIP等 VLAN間路由 單臂路由 組播路由等 核心網絡 聯(lián)想網御SmartV 120防火墻 辦公區(qū) 策略路由 112 安全聯(lián)動 內網安全管理軟件聯(lián)動IDS入侵檢測設備聯(lián)動遵循安全關聯(lián)標準 內外網安全管理統(tǒng)一解決方案 細節(jié)功能點 安全聯(lián)動 管理界面簡潔清晰 美觀大方防火墻策略分發(fā) 并實現(xiàn)對設備監(jiān)控 集中日志審計 安全報警實現(xiàn)對網絡拓撲的管理 基于域的權限分配和報表自動生成 以及設備的歷史狀況回放對多臺分級的認證防火墻進行統(tǒng)一管理和分組授權 113 細節(jié)功能點 集中管理 細節(jié)功能點 負載均衡 智能鏈路探測 無需人工干預輪詢 最少連接 響應速度等多種負載均衡算法支持基于會話的負載均衡 同一會話走同一條路由 基于802 3ad標準的多端口聚合 實現(xiàn)零成本擴展帶寬通過狀態(tài)同步技術實現(xiàn)2 32臺防火墻的多機集群 115 P2P下載軟件控制娛樂視頻播放控制IM即時通訊軟件控制在線游戲控制炒股軟件控制技術先進 特征碼識別 應用識別控制 特性與優(yōu)勢 2 應用識別控制 復雜應用控制 應用識別控制 P2P下載 P2P下載控制細粒度控制主流P2P下載軟件 迅雷5 BT e Donkey e Mule Gnutella Poco 酷狗 脫兔 超級旋風等高效協(xié)同處理的USE統(tǒng)一安全引擎特征分析精細度高 內核匹配速率快識別率高 立竿見影分布式異步處理機制 DAM 不影響性能 應用識別控制 視頻播放 P2P視頻播放控制對PPLive QQLive PPStream UUSee 迅雷看看 沸點 PPMate等P2P視頻播放軟件進行識別控制對視頻播放軟件進行帶寬管理控制可以制定精細化的P2P視頻控制管理策略 即最大化P2P在工作中應用 最小化P2P在娛樂中應用 應用識別控制 IM控制 IM即時通訊軟件控制對QQ2008 MSN8 1等多種聊天軟件進行精確控制可阻斷POPO 淘寶旺旺 新浪UC LavaLava 百度Hi 雅虎Messenger等主流即時通訊軟件一鍵式阻斷IM軟件機密文件傳輸支持對使用權和使用時間的監(jiān)控管理精確控制到單個IP 應用識別控制 網游控制 網游控制識別和控制魔獸 CS 征途 聯(lián)眾 天堂 夢幻西游 仙劍情緣 熱血江湖 勁舞團 誅仙 浩方 泡泡堂等多種在線游戲軟件 應用識別控制 炒股控制 炒股軟件控制識別和控制大智慧 同花順 國泰君安 證券之星 廣發(fā)證券 指南針 通達信 股票之星 華安證券 和訊報道 錢龍等多種炒股軟件 應用識別控制 專業(yè)技術 MSN HTTP BT Priority0 Priority2 Priority5 支持基于用戶 時間段 應用協(xié)議的帶寬分配管理策略支持自定義帶寬通道 以及對應的優(yōu)先級 速率上限和下限的設定 根據業(yè)務需要對應用劃分通道 122 特性與優(yōu)勢 3 WEB過濾 國際領先的中文URL過濾系統(tǒng)應用協(xié)議分析策略獨有預搜索引擎采用高速辨認技術 縮短匹配時間 WEB分類庫過濾 WEB過濾 URL分類庫 最先進的基于行為結果的URL預分類模式全部人工校驗 保證分類正確率中文URL分類數(shù)據庫52大類 1000萬條種類包括色情 反動 暴力 毒品 賭博等多種負面網站基本覆蓋中國大陸網站智能分類引擎客戶定期自動更新 保證實效性升級包處理方式 方便實用 WEB過濾 應用策略定制 提供用戶定制的WEB過濾策略郵件報警功能 實時狀態(tài)分析用戶自定義URL過濾列表樹狀協(xié)議 分級控制 粒度精細基于協(xié)議特征值以及行為特征識別 而非傳統(tǒng)IP或端口多層次應用協(xié)議分析 確保控制的效果和準確度 精細特征庫 125 無約束的網頁訪問 預置庫 靈活的自定義 及時的升級 健康的WEB行為 基于預搜索引擎的URL過濾機制 先匹配大類 再進行細粒度過濾 基于預搜索引擎技術 good WEB過濾 搜索引擎 WEB過濾 高速辨認技術 智能透視分析技術在IP網絡中 應用層數(shù)據被分拆封裝在多個數(shù)據包中傳輸 為了獲得完整的內容 必須把連續(xù)的多個包 拆封 重新組合起來 聯(lián)想網御專有的智能透視分析技術 能夠智能判斷哪些包可以放過 哪些包需要暫留重組 減少了包處理的數(shù)量 從而提高數(shù)據流的分析效率 WEB過濾 智能技術 數(shù)據流 數(shù)據包智能分析 128 特性與優(yōu)勢 4 新硬件 硬