1 / 51

第三章 防火墙

第三章 防火墙. 3.1 防火墙产品发展历程 3.2 防火墙产品特色 3.3 防火墙产品线介绍 3.4 防火墙产品三种典型部署方式 3.5 防火墙主要产品 3.5.1 ISA 软件防火墙 3.5.2 天融信 TOS 防火墙 3.5.3 联想防火墙 3.6 防火墙部署、安装与配置 3.6.1 ISA 软件防火墙 3.6.2 天融信 TOS 防火墙 3.6.3 联想防火墙. 第 1 代防火墙. 简单包过滤防火墙. 3.1 防火墙产品的发展历程. 第 0 代防火墙. 交换机访问控制列表- ACL. 第 2 代防火墙. 状态包过滤防火墙.

hedwig-bryant
Télécharger la présentation

第三章 防火墙

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 第三章 防火墙 3.1 防火墙产品发展历程 3.2 防火墙产品特色 3.3 防火墙产品线介绍 3.4 防火墙产品三种典型部署方式 3.5 防火墙主要产品 3.5.1 ISA软件防火墙 3.5.2天融信TOS防火墙 3.5.3联想防火墙 3.6 防火墙部署、安装与配置 3.6.1 ISA软件防火墙 3.6.2天融信TOS防火墙 3.6.3 联想防火墙

  2. 第1代防火墙 简单包过滤防火墙 3.1防火墙产品的发展历程 第0代防火墙 交换机访问控制列表-ACL 第2代防火墙 状态包过滤防火墙

  3. 1 http://www.freebsd.com/downloads/Gettysburg 2 Five score and BAD CONTENTtheir foremathers brou 3 ght forth upon this continent a new nation, 4 n liberty, and dedicated to the proposition that all 禁止浏览内容 Four score and seven years ago our forefathers brought forth upon this BAD CONTENT a new liberty, and dedicated to the proposition that all… BAD CONTENT BAD CONTENT NASTY THINGS NASTIER THINGS 1. 重新组装数据包 特点 第2.5代防火墙 防 火 墙 缓 存 区 提高内容安全性 性能低 !!

  4. HTTP过滤 邮件过滤 网络蠕虫 过滤 安全引擎 FTP过滤 第3代防火墙 基于内容增量检测技术的防火墙 增量状态表 记录 1 http://www.×××.com.cn/index.html/ ! 2 非法字段 • OK 2 我不是蠕虫! 记录 3 /downloads/×××.rmvb

  5. 3.2 联想网御防火墙产品特色 隔离蠕虫/网络病毒 监测/阻断系统入侵 阻断木马/后门 抗拒绝服务攻击 隔离混合攻击 防止地址欺骗 防火墙 屏蔽端口扫描 防止数据窃听和篡改 访问控制 VPN 完全内容检测 关联互动 入侵防御与检测 • HTTP页面过滤 • 邮件内容过滤 • 限制P2P流量 • 阻断非法插件 • 保障数据完整性 • 对数据加密 • 远程安全接入 • 阻断拒绝服务攻击 • 阻断各种扫描攻击 • 隔离网络蠕虫病毒 • 与IDS的联动 • 与内网管理软件的协同

  6. 1.基于VSP通用安全平台

  7. 2.VSP平台与操作系统的对比

  8. 3.VSP与操作系统的类型上的区别 1、VSP通用安全平台是面向网络设备和网络安全设备开发的专用软件平台; 2、Linux操作系统是通用操作系统,通常被安装在各种终端上(如PC、服务器等设备) FreeBSD、Unix、OS/2、Windows等操作系统都属于通用操作系统,但是这些通用 操作系统可广泛的应用用各种终端和设备,但并不适用于专用网络设备以及网络安全 设备。 3、嵌入式操作系统往往通过裁剪通用操作系统形成“小型”专用操作系统,往往用于 专用领域工控平台(例如:广告系统,彩票机等)。这些工控平台不象PC和服务器 一样,不需要太多的功能,也不需要支持很多的外接设备。

  9. 4.各类操作系统的网络应用领域

  10. 5.采用高效的USE统一安全引擎

  11. 6.MRP多重冗余协议可靠性体系

  12. 6.MRP多重冗余协议的可靠性体系

  13. Super V系列: • 国内首创NP/ASIC架构千兆线速防火墙 • CCID评测表明国内外产品综合排名第一 • 经过5年半精心锤炼的国产千兆线速产品 • Power V系列: • 多威胁统一管理的多功能安全网关 • 基于内核认证的用户安全准入控制 • 部署了3万多台套的高可用防火墙 Smart V系列: 集成防火墙、VPN、交换机功能于一身 具有机架型和桌面型两种设备部署方案 适合小型企业及各类大集团的分支机构 3.3联想网御防火墙新产品线介绍

  14. 1.Super V-7000系列

  15. 2.Super V-5000系列

  16. 3.Power V-4000系列

  17. 4.Power V-3000系列

  18. 5.Power V-1000系列

  19. 6.Power V-500系列

  20. 7.Power V-400系列

  21. 8.Power V-300系列

  22. 9.Power V-200系列

  23. 10.Power V-150系列

  24. 11.Smart V系列

  25. 12.Smart V系列

  26. 3.3边界安全保护 2台防火墙 双机热备 WWW服务器 Mail服务器 内部局域网 FTP/DNS服务器

  27. 1.内网安全隔离 内部局域网1 内部局域网2 内部局域网3

  28. 广域连接 2.数据中心防护 内网服务器 内网服务器 内网服务器 内网服务器 2台防火墙 负载均衡 数据中心

  29. 3.4强五系列防火墙介绍 1.适应性强-网络适应性 客户利益:网络布署灵活,总拥有成本 (TCO)低

  30. 2.适应性强-应用适应性 客户利益:对动态协议支持的越多,对应用 的控制效果越好

  31. 3.安全性强 • 采用了独创的先进技术-深度核过滤技术 ,在保证高性能的条件下,由于对数据进行深度内容过滤,从而大大提升了网络数据的安全性 。 • 采用专用操作系统以及增强型抗攻击技术,可以防范多种攻击类型,如:Land Attack、Tear Drop、Attack、IP Source Route、Ping Of Death、Winnuke Attack、 ICMP Flooding、UDP Flooding、IP Spoofing、Sync Flooding,Smurf,圣诞树攻击等。 • 内置入侵检测模块并可以与主流IDS产品联动,确保网络安全。 客户利益:防范类型越多,网络越安全

  32. 4.可靠性强 • HA集群技术,可实现最多四台防火墙集 群的主动负载均衡 • 网络多链路 • 端口冗余及链路聚合 客户利益:用户的网络与关键应用不会因为      设备的故障而受到丝毫影响。

  33. 5.扩展性强 • 软件方面从管控单元到核心过滤单元均采用了业绩先进的功能模块化设计,可以随着安全需求在各个安全层面上不断升级更新。 • 硬件接口可扩展至8个接口,方便用户使用。 客户利益:网络扩建升级简便,投资回报率 (TOI)高

  34. 6.管理性强 • 连接控制-快速定位中毒主机 • 阻止常见蠕虫病毒的传播 • P2P应用限制 • 管理方式灵活多样,支持web、命令行、集中 管理、LeadSec Manager 统一管理、远程接入 管理等。 客户利益:管理方式越灵活,管理成本越低

  35. 7.重要功能-蠕虫防御   联想网御通过对网络蠕虫病毒的研究,推出了网御强五防火墙网络蠕虫防御功能,可以有效地防御大多数流行的网络蠕虫病毒通过防火墙进行传播。该功能为联想网御独有。

  36. 8.重要功能-BT限制 BT等P2P下载方式由于下载速度快逐步成为电影等下载物的主要下载方式。 由于某个人运行BT会导致带宽过于被该人占用而影响了其他人对带宽的使用,对该功能的限制或者带宽的限制成为电信、ISP、高校校园网用户最关心的问题之一。

  37. 9.重要功能-支持VOIP • 支持SIP协议的连接跟踪和地址转换 • 支持H.323/ H.323 GK • 支持PC-to-PC的应用(语音,视频,文字) • 支持PC-to-Phone的应用(语音,视频) • 支持Phone-to-Phone的应用(语音,视频) • 支持SIP的代理工作模式 • 支持SIP的重定向工作模式 • 支持SIP代理服务器和重定向服务器的多种部署环境 • 支持SIP协议的状态同步

  38. 10.重要功能-网络多链路 对于防火墙在实际应用中,可能会有多个与外界的连接线路(可能一个为拨号设备连接,一个为DDN专线连接);这些链路之间可以是相互备份的关系,也可同时使用几条链路,使流量合理分流。

  39. 11.重要功能-SSL VPN 强五系列上SSL VPN功能是通过SSL网络层隧道安全访问内网资源的技术,给用户提供远程接入,并在用户身份和内网主机之间进行访问控制。 对用户来说,强五系列防火墙上的SSL VPN功能就是使用IE作为VPN 客户端远程接入。

  40. 12.重要功能-SSL/IPSEC 对比 SSL VPN优势: • 无需安装客户端软件 • 部署容易,网络适应性好(IE能用,SSL VPN就能用) • 使用和维护成本低 IPsec VPN 优势: • IPsec VPN比SSL VPN性能高,SSL VPN只能支持较少的用户数 • IPsec VPN有网关对网关通讯,SSL VPN没有 • IPsec VPN可以更为换商密算法成为加密机,但是SSL VPN目前还不支持

  41. 13.重要功能-SSL/IPSEC 关系 SSL VPN与IPsec为互补关系: SSL VPN和IPsec VPN不是相互取代的关系,而是相互补足的关系。例如:SSL VPN可以与 IPsec VPN一同使用,并加强对前置服务器远程访问的监控。

  42. 利用深度过滤技术有效地防御大多数流行 的网络蠕虫病毒通过防火墙进行传播 有效阻断蠕虫病毒 传播 首先实现对BT等P2P软件的访问控制和带宽管理 限制或者阻断 BT的流量 视频应用通天下 现在联想网御可以全面支持VOIP应用中的2种主流 协议:H.323和SIP,可以使VOIP在网络中畅行无阻 总结 特点 价值 技术解释 防蠕虫 限制BT VOIP支持

  43. 3.5典型用户

  44. 3.4产品竞争 1. 天融信公司 • 天融信科技有限公司简称天融信 • 成立于1995年 • 注册资本5000万人民币 • 天融信占据国内安全市场份额10%左右 公司背景 • 防火墙、VPN(商密)产品、SSL VPN网关 • 防DOS系统、防病毒网关、防垃圾邮件系统 • UTM安全网关、IDS • 安全管理系统安全审计系统 产品线 • 安全推进应用 • 服务提升安全 公司理念

  45. 天融信防火墙与联想网御防火墙功能对比

  46. 2.北京信通华安公司 • 成立于2001年 • 注册资金1500万 • 销售华为3Com Secpath防火墙的内资公司 公司背景 • 华为3Com SecPath防火墙 • 华为3Com网络产品 产品线

  47. 3.华为3Com-华为-信通华安产品对比表 H3C和信通华安产品对应关系

  48. 4.信通华安与联想网御功能对比

  49. 端口模块化 光纤接口模块化 功能模块化 GBIC光纤模块 SSL VPN模块 端口扩展模块 SFP光纤模块 IPSec VPN模块 3.5防火墙产品销售 1.注意事项-产品模块化 模块化

  50. 2.有关VPN客户端 VPN客户端 SJW44-C SJW44-C-Key 1、定制产品,按License数量购买 2、产品形态:VPN客户端光盘+USBKey (每个USBKey最多存储200个License) 3、下单时需根据安全地点个数以及实施人员 情况明确所需的光盘数量和USBKey数量 1、标准产品,按套购买 2、每套产品含一张VPN客户端光盘+1个USBKey (USBKey与定制产品不同为用户身份认证适用) 3、下单时需根据安全地点个数以及实施人员 情况明确所需的光盘数量和USBKey数量

More Related