|
|
 |
|
|
 |
 |
| 中盟Safenet防火墙技术白皮书 |
一、
概述
随着Internet网络的迅速延伸和向商业化应用发展,无论是企业、公司、个人在方便的获取提供信息或进行商业活动、信息传输的同时,都面临着一个如何保信息和网络自身安全性的问题。尤其是在开放互联环境中进行商务等机密信息的交换中,如何保证信息存取和传输中不被窃取、篡改已经成为大家共同关注的问题。
Safenet防火墙基于数据链路层对数据进行处理,有效解决了其他基于网络层开始处理数据的防火墙的缺陷。在信任网络和非信任网络之间实现访问控制。
Safenet防火墙首先实现了状态包过滤防火墙。同时采用独特的安全技术,提供对各种网络应用协议的代理支持(即将完成),并将率先在国内推出分布式防火墙系统,保证网络之间的快速、安全的访问的同时,对网络中的每一台主机提供安全保护。
二、基本功能
Safenet防火墙的基本功能如下:
l 不同网络之间的访问控制,提供Stateful包过滤功能
l 提供双向的NAT(包含单对单和多对单)
l 在包过滤规则中提供优先级控制
l 提供网络工作情况的实时监控
l 提供网络访问活动情况、对防火墙的访问操作等的审计日志
l 提供基于规则过滤的网络数据记录
l 提供网络流量统计功能,可以针对IP地址、时间、协议进行统计
l 防范DoS攻击
l 提供对攻击活动的识别和告警
l 提供对基于优先级设置的网络流量控制,保证关键业务的网络带宽
l GUI界面的管理控制台
l 提供面向对象的可视化规则编辑和管理工具
三、系统特性
包过滤及基于时间的访问控制
包过滤的功能是对指定IP包进行过滤,并且对所有接受过滤的包进行统计和日志记录,它可根据IP包的如下信息进行过滤:
源IP地址
目的IP地址
协议类型(IP、ICMP、TCP、UDP)
源TCP/UDP端口
目的TCP/UDP端口
TCP报文标志域
IP分组分片标志
IP分组选项域
ICMP报文类型域和代码域
包通信的日期和时间,包括起始时间、终止时间,区间从年、月、周、日直至小时、分钟。
状态检测机制
Safenet网络安全防火墙采用中盟公司独特的状态检测技术,以不同的服务区分应用类型,为网络提供高安全、高性能和高扩展性保证。
Safenet网络安全防火墙状态检测机制分析所有的包通讯层,汲取相关的通信和应用程序的状态信息。状态检测能够理解并学习各种协议和应用,以支持各种最新的应用。状态检测截获、分析并处理所有试图通过防火墙的数据包,保证网络的高度安全和数据完整。网络和各种应用的通信状态动态存储、更新到动态状态表中,结合预定义好的规则,实现安全策略。
状态检测检验IP地址、端口以及其它需要的信息以决定通信包是否满足安全策略。
状态检测把相关的状态和状态之间的关联信息存储到动态连接表中并随时更新,通过这些数据,Safenet网络安全防火墙可以检测到后继的通信。
状态检测技术对应用程序透明,不需要针对每个服务设置单独的代理,使其具有更高的安全性、高性能、更好的伸缩性和扩展性,可以很容易把用户的新应用添加到保护的服务中去。
Safenet网络安全防火墙将要推出的版本中提供检测语言功能,结合Safenet网络安全防火墙的安全规则、应用识别知识、状态关联信息以及通信数据构成了一个强大的安全系统。
Safenet网络安全防火墙通过策略编辑器制定的规则存在一个安全规则数据库中,通过装载数据库中包含的安全检测机制,可以方便的实现动态的安全检测机制,安全规则数据库可以由具有特定权限的用户编辑,以满足用户特定的安全要求。
企业级防火墙安全管理
Safenet网络安全防火墙允许企业定义并执行统一的防火墙中央管理安全策略。企业的防火墙安全策略存放在防火墙的一个规则库里。规则库里存放的是一些有序的规则,每条规则分别指定了源地址、目的地址、服务类型(HTTP、FTP、TELNET等按端口区分)、针对该连接的安全措施(放行、拒绝、丢弃、认证等)、需要采取的行动(日志记录、报警等)、以及安全策略执行点(是在防火墙网关还是在其它保护对象上实施该规则)。
地址翻译(NAT)
NAT在IP层上通过地址转换提供IP复用功能,解决IP地址不足的问题,同时隐藏了内部网的结构,强化了内部网的安全。当内部网用户需要对外访问时,防火墙系统将会代替用户进行访问,并将结果透明地返回用户,相当于一个IP层代理。Safenet网络安全防火墙支持三种不同的地址翻译模式:
单对单地址翻译:当内部的一个数据包通过防火墙出去时,把其源地址(一般是一个内部保留地址)转换成一个合法地址。静态源地址翻译与静态目的地址翻译通常是配合使用的。当外部的一个数据包通过防火墙进入内部网时,把其目的地址(合法地址)转换成一个内部使用的地址(一般是内部保留地址)。
多对单地址翻译(也称为隐藏模式):把一个内部网的地址段转换成一个合法地址,以解决企业的合法IP地址太少的问题,同时隐藏内部网络结构,提高网络安全性能。
支持内部网段隔离与相互之间访问控制
通常,专用的内部网防火墙被用来隔离内部网络的一个网段与另一个网段。这样,就能防止影响一个网段的问题穿过整个网络传播。因为针对某些重要业务网络系统,它的一些局域网的某个网段可能比另一个网段更受信任,或者某个网段比另一个更敏感。而在它们之间设置防火墙就可以限制局部网络安全问题对全局网络造成的影响。Safenet网络安全防火墙系统通过独特的虚拟技术,可以实现对内部网不同网段的隔离与访问控制。
防火墙的物理网卡可重载多个虚拟IP地址,从而防火墙的一个端口就可以管理多个子网,极大地扩展了设备的功能。
实时报警
网上一旦有可疑情况,Safenet网络安全防火墙就会报警。利用制定的规则,针对不同的网络流通量模型,发不同形式的警报。每个通信都有一个记录,记录包括时间、日期、协议及详细的信息,服务请求,动作(接受、拒绝、丢弃加密等),源、目的地址,用户,数据包长度,如果需要的话,密钥和用户姓名也包含在内。凭借图形化浏览器和许多分析工具可以进行实时和历史审查,并对网上各种可疑行动都能够跟踪和监视。
入侵检测
能够检测到对网络的多种扫描,检测到对网络的攻击行为,并能够对攻击行为进行响应,包括报警、用户自定义安全策略等。
有效防止DoS攻击
Ping-Of-Death
IGMP
Land
ICMP attacks等等
IP与MAC地址绑定功能
网络用户被分配或自行设定一个IP地址以后,防火墙系统就能接收到相应的地址广播,在防火墙系统上列出相应的IP地址与MAC地址,并可以选择是否把这个IP地址与相应的MAC地址绑定,这样可限定IP地址只能在一台指定的工作站上使用,保护内部网某一台机器的
IP 地址不被另一台内部机器盗用,大大方便了网络的IP地址管理。
防止IP地址欺骗
防止外部机器盗用内部机器的 IP。Safenet防火墙将相应的包过滤规则加在外部端口。在正常情况下,内部 IP 不可能在防火墙的外部端口作为源地址出现,因此可以在外部端口上禁止所有的内部IP
作为源地址。同时,Safenet防火墙可以允许将外部网络中的IP与MAC地址绑定,从而保证只有受信任的主机才能对内部进行访问。
图形用户界面(GUI)
防火墙日志与审计
所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并作出日志记录,同时也能提供网络使用情况的统计数据。收集一个网络的使用和误用情况也是非常重要的。首先是可以清楚防火墙是否能够抵挡攻击者的探测和攻击,并且清楚防火墙的控制是否充足。而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。
防火墙配置规则的一致性测试
Safenet网络安全防火墙提供规则测试的功能,为用户检查规则配置的正确性、有效性提供方便、快捷、有效的工具。
高性能的安全处理
Safenet网络安全防火墙全部采用C语言开发,并对代码进行了优化,采用Microsoft优秀的多线程处理机制,使其在关键的处理上具有极高的性能。
优化的安全规则管理:一个企业内部网络的防火墙往往设置有数十条、数百条访问控制规则。如果不加以优化,按顺序匹配检查这些规则将会在很大程度上降低网络的性能。Safenet网络安全防火墙首先检查保证规则的正确性和有效性,对无效的规则予以显示报警;然后通过先进的优化规则匹配算法来提高规则查找速度。在随后的运行中,防火墙动态地统计规则的匹配情况,并调整规则匹配算法,进一步提高性能。
完全中国化的设计
本系统是在建立在国际先进的网络安全思想基础之上,完全由国内设计,充分考虑了中国国情,除了界面、帮助文档、使用说明完全中文化,同时采用全中文的符合中国人操作习惯的界面,并提供全中文的在线帮助,使您更加轻松地进行策略配置和管理。
支持的协议和服务。
Safenet网络安全防火墙支持 TCP、UDP、IGMP、ICMP等几十种通讯协议;
Safenet网络安全防火墙支持 HTTP、FTP、SMTP、NNTP、TELNET、DNS、POP3、RLOGIN等常用服务;
四、Safenet防火墙实现思想
基于"黑洞"的设计思想,实现防火墙自身的安全。防火墙的抗攻击能力作为一种安全防护设备,防火墙在网络中自然是众多攻击者的目标,故抗攻击能力也是防火墙的重要功能。Safenet防火墙实现了绝对的自身安全。
Safenet防火墙工作在网络层和链路层之间。并独立与标准协议运行。网络地址由防火墙软件维护,对内、外透明,网络中所有的主机都不可能与防火墙系统直接通信。
竞争性产品
· Checkpoint:Firewall-1
· Network Associates:Gauntlet
· Axent:Raptor
中小企业网络防火墙产品主要选型依据:
1、 实现基本的安全保障。
2、 价格的因素。
3、 实现安全策略的简易程度。
4、 产品的可靠性。
5、 安全厂商的技术支持。 |
|
|
|
