汇丰网络卫士防火墙系统 NG FW-2000
概 述
广泛分布的企业内部网络由公共网络互联起来,这种互联方式面临多种安全威胁,极易受到外界的攻击,导致对网络的非法访问和信息泄露。防火墙是安全防范的最有效也是最基本的手段之一。
“网络卫士”防火墙系统便是应此要求而产生的网络卫士防火墙产品。该产品通过集成先进的信息安全技术,能为企业内部网与公共网络的隔离、实施二者之间的访问控制、对抗与公共网互联的企业内部网所受到的安全威胁、防止TCP/IP环境下对网络资源的非法使用等提供一整套完整的安全服务。
一.网络卫士防火墙简介
1.系统组成
-防火墙模块(硬件):是一个基于安全的操作系统平台的自主版权的高级访问控制系统。
-管理器模块(软件):一个集中式防火墙管理系统(运行于WIN95、WIN98环境下)。
-一次性口令用户客户端模块(软件):运行于WIN95、WIN98环境下
-入侵检测监控台模块(软件):运行于WIN95、WIN98环境下
2.典型配置 一个企业内部网通过一个边界路由器与Internet相连,防火墙安装于边界路由器与内部网之间,通常防火墙有两个端口(即两块物理网卡),其中一个端口接外部路由器,另以端口接内部网(如接内部路由器、交换机等)。 在下图中,WS1、WS2、WS3 、WS4分别代表属于三个不同内部子网中的主机,他们或有合法IP或有保留IP。 为适应越来越多的用户向Internet上提供服务时对服务器保护的需要,网络卫士防火墙采用分别保护的策略对用户上网的对外服务器实施保护,它提供一专用接口将对外服务器作为一个独立网络处理,对外服务器既是内部网的一部份,又与内部网关完全隔离。这就是安全服务器网络( SSN)技术,对SSN上的主机既可单独管理,也可设置成通过FTP、Telnet等方式从内部网上管理。
3.透明接入与透明连接 防火墙上的所有服务均透明实现。企业网内部客户端无须做任何改变,就可实现下述的各种信息访问方式。现有的网络拓扑结构也无须有大的变动。
4. 对网络访问信息流向的控制
在上述的结构图中,存在以下几种访问方式:
-子网1访问Internet。这种访问方式由FW上的包过滤或NAT的功能来实现
子网1访问SSN中的服务器。有两种办法可以实现:一是仍通过FW上的包过滤或NAT访问;二是SSN上同时具有私有网地址,通过正常的内部路由进行访问。 SSN服务器访问内部子网。
外界用户通过Internet访问SSN服务器。此种方式通过FW上的包过滤或反向NAT来实现。
在不同的网络配置下,可能经过防火墙的信息流还有子网1访问子网4的情形,从而利用防火墙的过滤功能,实现内部不同安全网段的隔离与访问控制。
对于重要的内部网用户WS3的安全要求,网络卫士通过隔离内部网不同安全域,从而实现对WS3的隔离和访问控制。
5.功能概述
提供较强的访问控制能力(如基于地址、协议、端口、用户、流量的访问控制),支持大量流行的应用和协议
-入侵检测
-基于时间的访问控制
-URL阻断及HTTP、FTP协议下交互操作命令和指令的过滤
-IP地址翻译(NAT)功能
-IP映射功能,即反向NAT功能
-IP与MAC地址绑定,防止IP假冒
-防止源IP地址欺骗,即防止通过修改IP地址方法对网络资源进行非授权访问
-支持对公开服务器的安全保护
-一次性口令认证机制 * 用户级权限控制
-支持内部网段分割及相互访问控制 * 提供流量统计与控制功能
-防火墙日志、审计
-提供对防火墙配置规则测试的功能 * 防火墙系统支持与其它厂家的路由器或交换机互连互通
-支持透明接入与透明连接,不影响原有网络设计和配置
-支持本地和远程管理两种方式
-持命令行和GUI方式的管理与配置。
二.网络卫士防火墙的管理
对防火墙的安全管理是防火墙自身安全以及充分发挥防火墙效能的重要保障。网络卫士防火墙支持本地及远程两种管理方式;防火墙的规则配置支持文本、GUI界面两种方式。
1、管理方式
网络卫士防火墙系统支持本地和远程管理方式完成对防火墙的设置、安全策略与规则的配置及审计信息的维护等;并且支持命令行和GUI两种方式的管理与配置。
如果防火墙配置了IP地址,并允许进行远程访问,则可以进行远程管理,在远程管理过程中,使用Telnet终端方式或GUI防火墙管理器方式都可。
如果防火墙没有配置IP地址,则只能通过仿真终端如Win95下的超级终端进行配置,参数为:9600,8-N-1。
2、管理权限
根据管理员的类别,网络卫士防火墙系统采用分权管理的安全机制。
管理员:有三个管理员帐号:superman,manager,log_man
管理权限:有两种权限,一是对防火墙进行配置的权限,一是管理防火墙log的权限,superman 拥有两种权限,manager 只能进行配置,log_man 只能管理日志。
三、网络卫士防火墙功能说明
防火墙的功能(说明)包括:
1、 防火墙功能基本配置
2、 包过滤与基于时间的访问控制
3、 网络地址转换(NAT)
4、 IP映射(反向NAT)
5、 支持公开服务器网络SSN(防火墙的多端口支持)
6、 支持内部网段隔离与相互之间的访问控制(虚拟网卡的支持与配置)
7、 用户身份认证
8、 用户权限控制
9、 流量管理
10、应用安全
11、IP与MAC地址绑定
12、防IP源地址欺骗
13、防火墙配置规则的一致性测试
14、防火墙日志与审计
15、入侵检测
16、安全管理
1、防火墙功能基本配置
防火墙的基本配置包括防火墙管理方式的设定以及对一些特殊数据包的过滤。 基本配置的选项说明:
透明性:防火墙工作在不透明方式时相当于静态路由器,而在透明方式下则类似于网桥,后者使用户不需要对客户端进行重新设置,方便了用户的使用。两种方式可以同时存在,对内部网不同的用户进行透明或不透明的的包过滤和NAT。 允许远程Telnet配置:可否通过Telnet对防火墙进行管理。这条命令是出于安全性的考虑,当禁止远程的Telnet管理时,只能使用控制台或图形界面进行防火墙的访问,达到更好的安全性。 允许远程GUI配置:指允许或禁止远程 GUI 界面配置。如禁止远程GUI界面的配置,则同时禁止Telnet的访问,使得对防火墙访问只有通过本地控制口进行,达到最高的安全。
默认规则:包括"缺省拒绝"与"缺省允许"两种防火墙基本安全策略。缺省拒绝指除明确允许的通信外其它都拒绝,而缺省允许指凡是未被明确拒绝的通信都被允许。缺省允许可能引入一些未知的不安全的服务,从而使系统面临更高的甚至是不可知的安全威胁。而缺省拒绝的安全强度要高,但可能限制某些服务的应用。对应不同的安全策略,在安全性和可用性之间达到平衡,选择默认允许或默认禁止。但一般都选用默认拒绝。 IP广播包、IPX包、IP多址包:在特定的情况下可以有用,并实现对上述数据包的过滤。
2. 包过滤及基于时间的访问控制 包过滤的功能是对指定IP包进行包过滤,并且对所有接受过滤的包进行统计和日志记录,它可根据IP包的如下信息进行过滤:
→源IP地址
→目的IP地址
→协议类型(IP、ICMP、TCP、UDP)
→源TCP/UDP端口 →目的TCP/UDP端口
→TCP报文标志域 →IP分组分片标志
→IP分组选项域
→ICMP报文类型域和代码域
→包通信的日期和时间,包括起始时间、终止时间,区间从年、月、周、日直至小时、分钟。
3、网络地址转换(NAT)
NAT在IP层上通过地址转换提供IP复用功能,解决IP地址不足的问题,同时隐藏了内部网的结构,强化了内部网的安全。 网络卫士防火墙提供了NAT功能,并可根据用户需要灵活配置。当内部网用户需要对外访问时,防火墙系统将会代替用户进行访问,并将结果透明地返回用户,相当于一个IP层代理。
4、IP映射
如果企业希望内部网络中的服务器可以让Internet用户访问的话,可以利用反向NAT系统,为内部网络服务器作静态地址映射,这样Internet用户就可以通过防火墙系统直接访问该服务器了。
5、支持安全服务器网络SSN
为适应越来越多的用户向Internet提供服务时对服务器保护的需要,网络卫士防火墙采用分别保护的策略对用户上网的对外服务器实施保护,它可以将一个端口配置成SSN,即把对外服务器作为一个独立网络处理,对外服务器既是内部网的一部份,又与内部网关完全隔离。这就是安全服务器网络( SSN)技术,对SSN上的主机既可单独管理,也可设置成通过FTP、Telnet等方式从内部网上管理。 SSN的方法提供的安全性要比传统的"隔离区(DMZ)"方法好得多,因为SSN与外部网之间有防火墙保护,SSN与内部网之间也有防火墙的保护,而DMZ只是一种在内、外部网络网关之间存在的一种防火墙方式。换言之,一旦SSN受破坏,内部网络仍会处于防火墙的保护之下,而一旦DMZ受到破坏,内部网络便暴露于攻击之下。
6、支持内部网段隔离与相互之间访问控制
通常,专用的内部网防火墙被用来隔离内部网络的一个网段与另一个网段。这样,就能防止影响一个网段的问题穿过整个网络传播。因为针对某些重要业务网络系统,它的一些局域网的某个网段可能比另一个网段更受信任,或者某个网段比另一个更敏感。而在它们之间设置防火墙就可以限制局部网络安全问题对全局网络造成的影响。 网络卫士防火墙系统通过设置虚拟网卡,可以实现对内部网不同网段的隔离与访问控制。 防火墙的每一个接口代表一块物理网卡,每块物理网卡可重载十个虚拟网卡。因此,每个端口可以配置十一个IP地址,从而防火墙的一个端口就可以管理十一个子网,极大地扩展了设备的功能(如不必再使用专用的内部防火墙)。
7、用户认证
企业客户、伙伴及员工如果想通过Internet连接到内部网络,可以使用一次性认证方式,只要通过系统认证,就可以通过防火墙访问内部网络。 一次性口令认证机制极大地提高了访问控制的安全性,有效阻止非授权用户进入网络,从而保证网络系统的可用性。 一次性口令用户认证的基本过程是:首先用户向防火墙发送身份认证请求,并指明自己的用户名,防火墙收到请求后,向用户提出挑战,用户收到挑战后,结合自己的口令,产生答复,防火墙判断用户答复是否正确,并给出相应信息,如果用户连续三次认证失败则在一定时间内禁止该用户认证。由于采用一次性的口令认证机制,即使窃听者在网络上截取到口令,也无法在利用这个口令与内部网建立连接。 在实际应用中,用户采用一次性口令登录程序登陆时,防火墙向用户提供一个种子及循环计算次数,登录程序根据用户输入的口令,种子,计算次数算出一次性口令传给防火墙. 种子是公开的,用户可以在不同的服务器上使用不同的种子而口令相同,每次在网络上传输的口令也不同,或用户可以定期改变种子来达到安全的目的.
8、用户权限控制
可以根据企业安全策略,将一次性口令认证与防火墙其它安全机制结合使用,实现对用户访问权限的控制,即控制经过认证用户访问的网络、网段、主机、协议、用户等。同时,一次性口令认证方式也可以用来控制内部网络用户的对外访问。
9、流量管理
流量不足是网络管理者遇到的最麻烦的问题之一,由于一些用户使用如FTP之类大量消耗网络资源的应用,占用了大部分流量,影响了其它用户正常使用网络。对于专线用户,这个问题特别严重。 网络卫士防火墙系统可方便的根据IP地址等对流量进行控制,以防止线路资源的不正常消耗,有效地管理专线资源,从而使网络得到充分利用。
10、应用安全
实现URL阻断及HTTP、FTP协议下交互操作命令和指令的过滤。
11、IP与MAC地址绑定
IP与MAC捆绑保护内部网某一台机器的 IP 地址不被另一台内部机器盗用。也就是说,如果要保护的机器与防火墙直接相连,可以将此机器的 IP 与其物理网卡捆绑,这样其他内部机器就不可能使用它的 IP。
12、防止IP地址欺骗
防止外部机器盗用内部机器的 IP。网络卫士防火墙将相应的包过滤规则加在外部端口。在正常情况下,内部 IP 不可能在防火墙的外部端口作为源地址出现,因此可以在外部端口上禁止所有的内部IP 作为源地址。
13、防火墙配置规则的一致性测试
网络卫士防火墙提供规则测试的功能,为用户检查规则配置的正确性、有效性提供方便、快捷、有效的工具。
14、防火墙日志与审计
所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并作出日志记录,同时也能提供网络使用情况的统计数据。收集一个网络的使用和误用情况也是非常重要的。首先的理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻击,并且清楚防火墙的控制是否充足。而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。 网络卫士防火墙系统包括显示管理日志、清除管理日志、显示运行日志、清除所有运行日志四个功能。
15、入侵检测
能够检测到对网络的多种扫描,检测到对网络的攻击行为,并能够对攻击行为进行响应,包括报警、用户自定义安全策略等。
16、安全管理
提供管理员和审计员分权管理的安全机制,保证安全产品的安全使用;支持本地和远程管理完成对防火墙的设置、安全策略与规则的配置及审计信息;支持命令行和GUI方式配置。
四、网络卫士防火墙技术指标工作环境:
工作温度:运行温度:0 (C~45(C;
非运行温度:-20(C~65(C
工作湿度: 10-95%(45(C)
非冷凝 工作电压:AC 220V
物理特性: 尺寸:420mm(300mm(140mm
性 能: 运行速度适应T3(400条规则)。
0
相关文章
关注我们
