东方龙马防火墙产品介绍.ppt

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,PLMM-FW,防火墙系统,东方龙马公司简介,公司定位,公司背景,公司优势,公司战略,公司产品,中国一流的,专业信息安全环境整合服务商,公司定位,公司背景,由保利科技有限公司、北京东方龙马软件发展有限公司、交大铭泰软件股份公司三方共同出资组建。,公司优势,公司优势,东方龙马的品牌及背景,东方龙马的团队及产品,东方龙马的研发力量及技术储备,技术优势,产品优势,品牌优势,合作伙伴优势,产品定位,保利龙马防火墙综合使用了状态检测、动态包过滤、应用代理等安全技术，将强大的信息分析功能、高效包过滤功能、反电子欺骗手段等多种安全措施综合运用，通过高性能的网络核心实现不同网络间的访问控制，防止黑客攻击和非法访问，是业界领先的复合型防火墙。,保利龙马防火墙通过基于用户的安全管理方式，提供完善的安全性设置，根据管理员设定的安全规则保护网络。系统采用模块化设计，通过直观简明的图形化用户界面（,GUI,）对系统进行配置和操作，功能全面、安全性高、易于使用。,产品优势,广泛满足用户需要 保利龙马防火墙以其全面的防火墙控制功能和高效处理能力，可以满足从小型企业、中型企业到大型企业用户等各种规模网络的安全保护需要。,灵活的工作模式 支持路由、透明以及混合工作模式，可以适应各种复杂的网络环境。不论选择哪种工作模式，保利龙马防火墙都不会损失任何功能。,AAA,安全管理 通过严格的用户认证、授权、记帐（,AAA,）实现对防火墙的访问管理。支持用户名,/,口令、,OTP,、,Radius,、,Kerberos,、,LDAP,等多种方式的身份认证，认证通过后，用户根据授权访问，并进行完整记帐。这样，不仅识别机器的合法性，而且可以识别用户合法性。,简便的管理操作 提供友好的,GUI,图形界面，进行可视化管理与配置。整个界面使用全中文设计，通过简单操作即可完成防火墙的配置管理，管理员可很容易地定制安全策略和进行管理维护。,自身安全保障 对防火墙的管理过程采用加密通讯形式；除了专用的服务端口外，防火墙不接受来自任何其它端口的直接访问；内嵌的入侵检测功能和智能防,DoS,攻击模块增强了系统的抗网络攻击能力。,产品功能（,1,）,动态包过滤 采用动态包过滤技术，为合法访问连接动态打开所需端口，在访问结束时自动关闭。既满足应用的需要，又避免长时间打开端口带来的安全隐患。,实时连接状态监控 不仅根据数据包的地址、方向、协议、服务、端口、访问时间进行控制，同时还对网络连接和会话当前状态进行分析和监控，通过规则表与连接状态表的共同配合，大大地提高了系统的性能和安全性。,高性能透明代理 提供多线程、多会话的高性能透明代理，对进出防火墙的所有应用层连接进行统一管理，可屏蔽内部网络细节，处理速度快，保证了系统的高效性。,灵活的地址转换（,NAT,）在路由、透明、混合模式下，都可实现,NAT,功能。提供双向地址转换、任意网络接口地址转换功能，规则能够根据源地址范围、目的地址范围、端口以及协议等精密匹配。,内容过滤 包括,URL,过滤、邮件过滤、关键字过滤、,JAVA,脚本过滤和命令筛选，可控制用户对站点和网页的访问。,产品功能（,2,）,流量控制和带宽管理 可对网络接口流量、用户访问的服务进行流量控制，防止某些应用或用户过多占用资源。通过预先给每个网络接口分配带宽资源，实现带宽管理，避免网络瓶颈对关键业务的影响。,双机备份 采用硬件冗余设计和双机热备份系统，提供“,active/standby”,和“,active/active”,两种模式的热备份功能，保证网络的高可用性。能够在网络故障、性能下降、关键进程失败等情况下进行秒级自我恢复。,无缝集成,VPN,功能 以标准,IPSec,及相关协议为基础，内置,VPN,模块。全面支持各种加密算法，包括,DES,、,3-DES,、,RC4,、,MD5,、,SHA1,、硬件,Hash,、,RSA,以及国家密码委员会审批的专用加密算法等，并且提供统一接口以便扩充。,审计、告警和统计分析 实时监视防火墙运行状态，当检测到系统可疑行为时，通过声音、提示消息、邮件、,SNMP,等方式报警，同时将告警信息记入日志。从日志数据库中统计分析网络流量，实现多种形式的直观分析报表，易于查看。,公司战略,咨询、整合、服务（,CIS,）,C,（,Consulting,）：调研与评估,I,（,Integration,）：解决方案与项目实施,S,（,Service,）：维护与响应,公司致力于为中国的网络信息化建设提供最完善的信息安全环境整合式服务，即打造涵,盖网络系统安全、应用程序安全和系统管理安全三方面架构的全新的信息安全环境。公,司推行咨询、整合、服务（,CIS,）战略,帮助客户了解信息安全全貌及影响环节，提供,整体安全策略和解决方案，通过推广应用具有自主知识产权的整合式网络防御平台、信,息保护平台、监控管理平台等系列产品，为客户建立一个从系统级到应用级的完善的信,息安全保障环境。,公司产品,网络安全,东方龙马防火墙,东方龙马入侵检测系统,东方龙马入侵防御系统,东方龙马网络隐患扫描系统,东方龙马整合式安全网关,东方龙马安全隔离与信息交换系统,.,等,数据安全,东方龙马机密文件锁、等,管理安全,东方龙马上网行为管理,东方龙马流量管理系统,东方龙马系统管理套件,东方龙马内网,110,东方龙马内网,110-,网络行为监管审计、等,中国人民银行,中国工商银行,中国农业银行,华夏银行,交通银行,中国太平洋保险公司,中国石化总公司,国家税务总局,铁道部,最高检察院,药品监督管理局,财政部,东方龙马（原龙马卫士）防火墙入围单位,中国人民银行,交通银行,工行山东分行,工行内蒙分行,工行江西分行,工行甘肃分行,建行山西分行,石家庄商业银行,河北移动,陕西移动,浙江移动,重庆电信,宁波市邮政,中国联通贵州分公司,山西邮政,重庆邮政,湖南郴州邮政,南京军区司令部,内蒙古军区,沈阳军区某集团军,海峡之声,解放军保密委,东方龙马安全用户,金融,军队,邮电,北京市公安局,湖南省公安厅,浙江省公安厅,杭州市公安局,珠海市公安局,成都市公安局,上海市消防局,济南市公安局,中国太平洋保险,中国人保,中国人寿,太平财险,民生寿险,北京市劳动局,北京市社保局,内蒙古劳动厅,湖北省交通厅,上海市环保局,山东省财政厅,福州烟草局,内蒙古烟草公司,东方龙马安全用户,保险,公安,政府,BS829,（,）,中国石油天然气总公司,上海财政证券公司,丰田汽车（成都）,山东淄博石化,河北省地税局,内蒙古地税局,武汉市地税局,黑龙江国税局,鲁能集团,内蒙电力,岳阳电力,湖南郴州电业局,湖南鲤鱼江发电厂,绍兴电力,北京劳动保障局,东方龙马安全用户,税务,电力,其他,四川省消防全省,(24,套,),四川计委,四川省残联,四川省烟草公司,四川在线,四川报业集团,四川前锋集团,成都市国土局,成都证券,成都地税,武侯地税,成都盐业局,电子科大,西南交大,四川省电力全省（,24,套）,西南民航管理局,攀枝花钢铁公司,四川丰田,广汉天然气钻采研究院,进出口银行成都分行,深发展成都分行,南充市商业银行,自贡市商业银行,华夏成都分行,中国人寿四川分公司,中国太平洋保险四川分公司,中国太平洋保险重庆分公司,成都市社保局,重庆移动全市,(21,套,),中国联通贵州分公司,中国移动贵州分公司,重庆市国家安全局,贵州地税,贵阳农信,云南邮政,昆明云天化,贵州乌江水电,贵州钢绳厂,重庆隆鑫,中国太平洋保险云南分公司,中国太平洋保险重州分公司,成功案例,四川大区,PLMM-FW-SOHO SOHO,级,PLMM-FW-B2-V4/V6,工作组级,PLMM-FW-B4-V4/V6,企业级,PLMM-FW-B6-V4/V6,企业级,PLMM-FW-B8-V4/V6,增强企业级,PLMM-FW-C1/2/3/5/7/10,企业级千兆防火墙,东方龙马防火墙系列,PLMM-FW-SOHO SOHO,级,机型：桌面型,30,台电脑,6,个,10/100M,网络接口,网络接口类型为,RJ45,网络吞吐量,30M,最大连接数,5,万,新建连接数,1500/,秒,东方龙马防火墙系列,支持,NAT,、包过滤状态检测、透明代理,支持,IP MAC,绑定、带宽管理等功能,强大的日志分析、审计功能,灵活的防火墙管理,支持路由、透明、混合工作模式,内置网络服务访问控制器（,NAS,）和认证控制服务器（,ACS,），支持,AAA,认证,PLMM-FW-B2-V4,工作组级,机型：机架式,/1U 100,台电脑,4,个,10/100M,网络接口,可扩展到,13,个网络接口,网络接口类型为,RJ45,一个控制口（,CONSOLE),网络吞吐量,200M,最大连接数,60,万,新建连接数,7000/,秒,东方龙马防火墙系列,支持,NAT,、包过滤状态检测、透明代理,支持,IP MAC,绑定、带宽管理等功能,强大的日志分析、审计功能,支持图形化,(GUI),、灵活的防火墙管理,支持,VPN,支持路由、透明、混合工作模式,内置网络服务访问控制器（,NAS,）和认证控制服务器（,ACS,），支持,AAA,认证,PLMM-FW-B2-V6,工作组级,机型：机架式,/1U 150,台电脑,4,个,10/100M,网络接口,可扩展到,13,个网络接口,网络接口类型为,RJ45,一个控制口（,CONSOLE),网络吞吐量,250M,最大连接数,80,万,新建连接数,7000/,秒,东方龙马防火墙系列,支持,NAT,、包过滤状态检测、透明代理,支持,IP MAC,绑定、带宽管理等功能,强大的日志分析、审计功能,支持图形化,(GUI),、灵活的防火墙管理,支持,VPN,支持路由、透明、混合工作模式,内置网络服务访问控制器（,NAS,）和认证控制服务器（,ACS,），支持,AAA,认证,PLMM-FW-B4-V4,企业级,机型：机架式,/1U 200,台电脑,4,个,10/100M,网络接口,可扩展到,13,个网络接口,网络接口类型为,RJ45,一个控制口（,CONSOLE),网络吞吐量,300M,最大连接数,100,万,新建连接数,14000/,秒,支持,NAT,、包过滤状态检测、透明代理,支持,IP MAC,绑定、带宽管理等功能,强大的日志分析、审计功能,支持图形化,(GUI),、灵活的防火墙管理,支持,VPN,支持路由、透明、混合工作模式,内置网络服务访问控制器（,NAS,）和认证控制服务器（,ACS,），支持,AAA,认证,东方龙马防火墙系列,东方龙马防火墙系列,PLMM-FW-B4-V6,企业级,机型：机架式,/1U 250,台电脑,4,个,10/100M,网络接口,可扩展到,13,个网络接口,网络接口类型为,RJ45,一个控制口（,CONSOLE),网络吞吐量,400M,最大连接数,120,万,新建连接数,14000/,秒,支持,NAT,、包过滤状态检测、透明代理,支持,IP MAC,绑定、带宽管理等功能,强大的日志分析、审计功能,支持图形化,(GUI),、灵活的防火墙管理,支持,VPN,支持路由、透明、混合工作模式,内置网络服务访问控制器（,NAS,）和认证控制服务器（,ACS,），支持,AAA,认证,东方龙马防火墙系列,PLMM-FW-B6-V4,企业级,机型：机架式,/1U 300,台电脑,4,个,10/100M,网络接口,可扩展到,13,个网络接口,网络接口类型为,RJ45,一个控制口（,CONSOLE),网络吞吐量,600M,最大连接数,160,万,新建连接数,22000/,秒,支持,NAT,、包过滤状态检测、透明代理,支持,IP MAC,绑定、带宽管理等功能,强大的日志分析、审计功能,支持图形化,(GUI),、灵活的防火墙管理,支持,VPN,支持路由、透明、混合工作模式,内置网络服务访问控制器（,NAS,）和认证控制服务器（,ACS,），支持,AAA,认证,东方龙马防火墙系列,PLMM-FW-B6-V6,企业级,机型：机架式,/1U 350,台电脑,6,个,10/100M,网络接口,可扩展到,13,个网络接口,网络接口类型为,RJ45,一个控制口（,CONSOLE),网络吞吐量,800M,最大连接数,180,万,新建连接数,22000/,秒,支持,NAT,、包过滤状态检测、透明代理,支持,IP MAC,绑定、带宽管理等功能,强大的日志分析、审计功能,支持图形化,(GUI),、灵活的防火墙管理,支持,VPN,支持路由、透明、混合工作模式,内置网络服务访问控制器（,NAS,）和认证控制服务器（,ACS,），支持,AAA,认证,东方龙马防火墙系列,PLMM-FW-B8-V4,增强企业级,机型：机架式,/1U 450,台电脑,4,个,10/100M,网络接口,可扩展到,13,个网络接口,网络接口类型为,RJ45,一个控制口（,CONSOLE),网络吞吐量,800M,最大连接数,200,万,新建连接数,38000/,秒,支持,NAT,、包过滤状态检测、透明代理,支持,IP MAC,绑定、带宽管理等功能,强大的日志分析、审计功能,支持图形化,(GUI),、灵活的防火墙管理,支持,VPN,支持路由、透明、混合工作模式,内置网络服务访问控制器（,NAS,）和认证控制服务器（,ACS,），支持,AAA,认证,东方龙马防火墙系列,PLMM-FW-B8-V6,增强企业级,机型：机架式,/1U 500,台电脑,4,个,10/100M,网络接口,可扩展到,13,个网络接口,网络接口类型为,RJ45,一个控制口（,CONSOLE),网络吞吐量,1G,最大连接数,220,万,新建连接数,38000/,秒,支持,NAT,、包过滤状态检测、透明代理,支持,IP MAC,绑定、带宽管理等功能,强大的日志分析、审计功能,支持图形化,(GUI),、灵活的防火墙管理,支持,VPN,支持路由、透明、混合工作模式,内置网络服务访问控制器（,NAS,）和认证控制服务器（,ACS,），支持,AAA,认证,东方龙马防火墙系列,PLMM-FW-C-C1,企业级千兆防火墙,机型：机架式,/1U 1500,台,4,个,10/100/1000M,网络接口,可扩展到,13,个网络接口,网络接口类型为,RJ45,一个控制口（,CONSOLE),网络吞吐量,1.5G,最大连接数,220,万,新建连接数,46000/,秒,支持,NAT,、包过滤状态检测、透明代理,支持,IP MAC,绑定、带宽管理等功能,强大的日志分析、审计功能,支持图形化,(GUI),、灵活的防火墙管理,支持,VPN,支持路由、透明、混合工作模式,内置网络服务访问控制器（,NAS,）和认证控制服务器（,ACS,），支持,AAA,认证,东方龙马防火墙系列,PLMM-FW-C-C3,企业级千光防火墙,机型：机架式,/1U 2000,台,4,个,10/100M,网络接口,可扩展到,13,个网络接口,网络接口类型为,RJ45,一个控制口（,CONSOLE),网络吞吐量,2G,最大连接数,240,万,新建连接数,46000/,秒,支持,NAT,、包过滤状态检测、透明代理,支持,IP MAC,绑定、带宽管理等功能,强大的日志分析、审计功能,支持图形化,(GUI),、灵活的防火墙管理,支持,VPN,支持路由、透明、混合工作模式,内置网络服务访问控制器（,NAS,）和认证控制服务器（,ACS,），支持,AAA,认证,东方龙马防火墙系列,PLMM-FW-C-C5,企业级千光防火墙,机型：机架式,/1U 4000,台,4,个,10/100M,网络接口,可扩展到,13,个网络接口,网络接口类型为,RJ45,一个控制口（,CONSOLE),网络吞吐量,4G,最大连接数,250,万,新建连接数,60000/,秒,支持,NAT,、包过滤状态检测、透明代理,支持,IP MAC,绑定、带宽管理等功能,强大的日志分析、审计功能,支持图形化,(GUI),、灵活的防火墙管理,支持,VPN,支持路由、透明、混合工作模式,内置网络服务访问控制器（,NAS,）和认证控制服务器（,ACS,），支持,AAA,认证,东方龙马防火墙系列,PLMM-FW-C-C7,企业级千光防火墙,机型：机架式,/3U 6000,台,4,个,10/100M,网络接口,可扩展到,13,个网络接口,网络接口类型为,RJ45,一个控制口（,CONSOLE),网络吞吐量,6G,最大连接数,280,万,新建连接数,70000/,秒,支持,NAT,、包过滤状态检测、透明代理,支持,IP MAC,绑定、带宽管理等功能,强大的日志分析、审计功能,支持图形化,(GUI),、灵活的防火墙管理,支持,VPN,支持路由、透明、混合工作模式,内置网络服务访问控制器（,NAS,）和认证控制服务器（,ACS,），支持,AAA,认证,东方龙马防火墙系列,PLMM-FW-C-C10,企业级千光防火墙,机型：机架式,/3U 1,万台电脑,4,个,10/100M,网络接口,可扩展到,13,个网络接口,网络接口模块选择：多模、单模、,RJ45,一个控制口（,CONSOLE),网络吞吐量,10G,最大连接数,320,万,新建连接数,100000/,秒,支持,NAT,、包过滤状态检测、透明代理,支持,IP MAC,绑定、带宽管理等功能,强大的日志分析、审计功能,支持图形化,(GUI),、灵活的防火墙管理,支持,VPN,支持路由、透明、混合工作模式,内置网络服务访问控制器（,NAS,）和认证控制服务器（,ACS,），支持,AAA,认证,PLMM-HA,双机热备模块,PLMM-TX 10/100M,接口模块,PLMM-GTX RJ45,千兆接口模块,PLMM-GSX,多模光纤千兆接口模块,PLMM-GFX,单模光纤千兆接口模块,PLMM-VPN-SC,软件加密模块,PLMM-VPN-HC,硬件加密卡加密模块（算法通过国家密码 管理委员会认证）,东方龙马防火墙系列,防火墙模块,防火墙概念,防火墙指设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合，对,位于其两侧的网络之间的通信进行检查和控制。,它可以根据既定的安全策略允许或阻止特定的用户和数据包穿过，并,尽可能地对外部屏蔽网络内部的信息、结构和运行状况，,达到保护高安全等级的子网、阻止外部黑客的攻击、限制入侵蔓延等目的。,互联网,防火墙,所有进出网络的数据流必须经过防火墙,所有穿过防火墙的数据流必须有安全策略和计划的确,认与授权,防火墙概念,防火墙采用的阻断策略与放行策略,过滤进出网络的数据包；,管理进出,网络,的访问行为；,封堵某些禁止的访问行为；,记录通过防火墙的信息内容和活动；,对网络攻击进行检测和告警,能过滤大部分的危险端口,设置严格的由外向内的状态过滤规则,抵挡大部分的拒绝服务攻击,加强了访问控制能力,防火墙的作用,主要作用,对新出现的漏洞和攻击方式不能迅速提供有效的防御方法,管理困难,容易出现配置的安全误区,并且紧急情况下无法做到迅速响应,性能和稳定性制约了大范围的使用,不能关闭需提供对外服务的端口,防火墙的局限性,一般基于,ASIC,（专用集成电路）或,NP,（网络处理器）两种核心处理器,-,同时采用,MIPSARMPOWERPCRISC,芯片的,CPU,平台处理器（,CPU,的成本低）,ASIC,：如,NETSCREEN,，性能最好，缺点是设计复杂、开发周期长，改动不灵活（需要更换芯片）；随着通用硬件的发展，在百兆通常的应用上已经没有优势；性能价格比也不占优，在千兆上优势明显。,ASIC,技术前期如果使用,FPGA,（,Field Programmable Gate Arrays,，现场可编程门阵列）来实现，价格与采用,NP,大致相当，不过如果投入批量生产以后使用,ASIC,芯片，价格可以降低一个量级，从长远来看,ASIC,技术更有潜力。,NP,：网络处理器是一种非基于,ASIC,的,IC,或,IC,芯片组，利用软件编程，可以像,ASIC,那样快速地处理数据包。同时升级芯片上的固件增加新的功能，其固件可以由网络设备商或第三方加载到处理器中。厂商有,INTEL,、,IBM,、,MOTOROLA,、,SIBYTE,等公司。国内一般使用,INTEL,的,NPU,，其性能界于,ASIC,和通用,INTEL,构架之间；灵活性也是在中间。国内目前大多采用,INTEL IXP1200,，处理能力低，一般需要多片并行工作才能满足需求，还需要其他协处理芯片配合，对硬件设计能力要求较高，最终成本不会太低，同样在百兆通常的应用上已经没有优势；在百兆级未见应用，千兆国内有几家在开发。,防火墙架构,1,、硬件防火墙,绝大多数国产防火墙均属此类。,Intel X86,架构硬件,+,通用操作系统,+,防火墙软件模块，在硬件平台上运行,Linux,、,FreeBSD,、,Solaris,等经,过最小化安全处理后的操作系统及集成的防火墙软件。基于共享系统总线，接口以及,CPU,的处理能力不可能成倍增加，共享总线的架构还直接影响防火墙网卡的各种性能，网卡越多，性能影响越大。,防火墙架构,2,、软硬一体化防火墙,CHECKPOINT,、,SYMANTEC,。,防火墙架构,3,、纯软件防火墙,代理服务器（应用层）,策略依赖：应用服务代理,特点：安全性高，审计与记录功能强，支持的应用,类型有限，性能较低，用户透明性比较差,包过滤（网络层,/,传输层）,简单包过滤,策略依赖：数据包的源,/,目的,IP,及端口,特点：速度较快，安全性较差，对用户透明,基于状态检测的包过滤,策略依赖：连接状态信息,特点：安全性好，速度快，对用户透明,防火墙技术,Unsec,区,外部非安全网络,LAN,区,不对外提供服务,DMZ,区,对外提供服务（可选）,Control,区专用来配置防火墙,的区域,WWW,服务器,FTP,服务器,SMTP,等服务器,开放区,D,MZ,东方龙马,防火墙,互联网络,The Internet,外部网,Unsec,控制区,Control,内部网络,内部网络,LAN,东方龙马防火墙,参考网络结构,表示层,网络层,传输层,会话层,应用层,物理层,数据链路层,ISO/OSI,模型,应用协议,（,HTTP,、,FTP,、,TELNET,、,SMTP,）,TCP|UDP,IP/ARP/ICMP,网络接口,（,Ethernet,、,Async,、,FDDI,）,TCP/IP,协议栈,透明代理,东方龙马防火墙,东方龙马防火墙,包过滤,网络地址转换,IP,包头,(,、,ICMP,消息,),DATA,TCP,UDP,数据包,在应用层对连接所用的协议内容进行监控,在传输层、网络层对数据连接进行实时监控,在数据链路进行,MAC,地址检查，防,IP,盗用,工作位置：,安全的体系结构,认证、授权、记帐（,AAA,）,实时的连接状态监控功能,动态过滤技术,强大的抗,DDOS,攻击和自我保护能力,灵活多样的工作模式,灵活多样的网络地址转换（,NAT,）,高性能的透明代理技术,IP,和,MAC,地址绑定,深入的内容过滤和邮件过滤,带宽管理,支持,PPP,强大的入侵检测功能,与第三方安全产品联动,无缝集成,VPN,完备的高可靠性和高可用性,审计和告警功能,国际标准的日志格式,面向对象的管理机制,基于,SSL,的远程管理,操作简单的图形化集中管理用户界面,支持,802.1Q VLAN Trunk,及,VLAN,间路由,支持,DHCP Server,数据链路层协议过滤,东方龙马防火墙,-,功能,功能简介：,东方龙马防火墙关键技术介绍,完全基于用户的认证、授权、记帐,(AAA),传统的防火墙检查规则的依据是地址和端口，即只能识别出机器，而无法识别出是什么人在用这台机器及其身份是否合法,东方龙马防火墙检查规则的依据除了地址和端口，还包括用户和组，这样就不仅可以识别出机器，更可以识别出使用机器的是什么人，进而判断此人的身份是否合法,AAA,：强大的用户认证功能,用来证明用户的真实身份。认证过程可以简单地用一句话描述：“我是用户,Bob,，我的口令证明了我确实是。”,东方龙马防火墙支持多种用户认证方式，如：用户名和口令，一次性口令认证（,OTP,）、,PAM,、,PAP/CHAP,、,MS-CHAP,、,NT-Domain,、,Radius,、,Kerberos,、,LDAP,等，并可以根据用户需求扩展其他认证方式。,认证的工具可以是任何支持认证的网页浏览器，身份认证是基于密码技术的，有效地防止了在网络传输过程中认证信息被窃听、篡改，达到更高可靠性的身份认证。,认证：,（,Authentication,）：,机房,/,网吧型认证：任何人只要拥有合法身份，就可以使用任何机器（但其一切网络活动都将记录在案），即人与机器不相关,办公室型认证：某台机器只能被某个人使用，别人来用都被视为非法，即人与机器紧密关联,两个认证目标,AAA,：用户授权和记帐,在经过了认证后，授权决定了该用户可以进行何种访问活动，如：“用户,Bob,可以对主机,NT_host,进行,Telnet,访问。”,东方龙马防火墙可以对所有用户进行分组管理，对用户组进行授权。认证通过后确定用户所属的用户组，系统将检查安全策略中对此用户组的授权。用户被授权后所有的资源访问能够进行记录实现记帐。,授权：,（,Authorization,）：,记帐：,（,Accounting,）：,记录了用户实际上进行的访问活动，如某个用户进行了何种访问，对谁进行了访问等信息，如：“用户,Bob,早,10,：,00,从自己的主机对主机,NT_host,进行了,Telnet,访问。”,东方龙马防火墙跟踪所有用户的访问记录，为系统审计，发现入侵活动等提供分析依据。,AAA,：系统组成,NAS,是,ACS,的客户端，是客户机、,ACS,和内核的中介，负责向,ACS,提交客户的认证请求和向内核通知认证成功的用户及其网络访问权限。,网络访问服务器（,NAS,）,认证控制服务器（,ACS,）,ACS,是一个标准的,Radius,认证服务器，以用户为核心，同时具有授权和记帐等功能，可以为任何支持,Radius,协议的其他防火墙，路由器和拨号服务器等提供认证服务。,ACS,支持多种认证方式，包括：,password,OTP,PAP,/CHAP,LDAP,等。并可以根据用户需求扩展其他认证方式。同时，,ACS,还支持认证代理，可以将认证转发给其它的,Radius,认证服务器。,ACS,的管理采用,B/S,结构，通过浏览器来管理认证服务器上的用户、进程、日志等，并且可以进行远程管理，界面友好，使用方便。,ACS,将所有用户的权限和主要的配置信息集中存放在,MySQL,数据库中，可以非常方便的进行远程统一管理。,东方龙马防火墙不仅根据数据包的地址、方向、协议、服务、端口、访问时间进行访问控制，同时还对任何网络连接和会话的当前状态进行分析和监控。,基于连接的状态检查，将属于同一连接的所有包作为一个整体的数据流看待，构成连接状态表,通过规则表与状态表的共同配合，对表中的各个连接状态因素加以识别，大大的提高了系统的性能和安全性,连接状态表里的记录可以随意排列，提高系统的传输效率,对基于,UDP,协议的连接处理时，会为,UDP,建立虚拟的连接，对连接过程状态进行监控,实时的连接状态监控功能,Client,Server,SYN,Client,Client,Server,Server,SYN/ACK,ACK,I want to talk,Im ready,Lets go!,TCP/IP,三次握手,1.,规则顺序检查,1,内部所有只能访问外部的,WWW,服务,2,内部所有只能访问外部的,FTP,服务,3,内部所有只能访问外部的,DNS,服务,4,内部所有只能访问外部的,SMTP,服务,5,内部所有只能访问外部的,POP,服务,6,缺省规则为拒绝,内部所有不能访问外部的任何服务,2.,规则矛盾性,防火墙规则特性,可根据源地址、源端口、目的地址、目的端口、协议类型等查询当前通过防火墙的连接,实现了对,ICMP,协议的状态检测，并可控制各种类型的,ICMP,包,对可疑连接，管理员可实时将其切断，真正实现既监又控,对当前连接实时监控,利用静态规则打开的极少数端口，同时进行动态的分析，根据应用的实际需要，在建立应用服务的时候为合法的访问连接动态地打开所需的端口并动态添加相应的过滤规则，在连接结束的时候，自动地关闭相应的端口，并自动把规则删除,解决了事先打开的端口不能满足应用程序的需求等问题，并尽可能小的消除“开口”隐患,东方龙马防火墙目前支持的动态协议有,FTP,、,TFTP,、,NETMEETING-RAS(H323),、,RIP,、,ORACLE TNS,、,VOD(RTSP,、,MMS,、,PNM),TNS,支持：如果用户的,ORACLE,服务器被防火墙保护起来，并且该服务器提供了,TNS,服务，就一定要使用防火墙的,TNS,功能，否则,ORACLE,客户端将无法访问,ORACLE,服务器,高效的动态过滤技术,非动态过滤,A,B,端口,1024,端口,21,端口,20,端口,1024,防火墙中必须配置,2,条规则：,1,允许内部所有主机使用,TCP,协议的,1024,端口访问外部所有主机的,21,端口,2,允许外部所有主机使用,TCP,协议的,20,端口访问内部所有主机的,1024,端口,TCP1024,端口,始终对外开放,高效的动态过滤技术,动态过滤,A,B,端口,1024,端口,21,端口,20,端口,1024,防火墙中只须配置,1,条规则：,允许内部所有主机使用,TCP,协议的,1024,端口访问外部所有主机的,21,端口,TCP1024,端口,平时对外关闭,高效的动态过滤技术,强大的抗,DDOS,攻击和自我保护能力,东方龙马防火墙提供可靠的抗,DDOS,攻击能力，通过独特的,SYN Proxy,技术，可以有效地阻挡大量虚假访问请求，减少了网络的负载，在保证防火墙正常通信的同时防范,SYN FLOOD,攻击。,能够处理一些常见的对于,TCP,、,UDP,、,ICMP,协议的攻击或探测，如防范,SQL Slammer,、红色代码、冲击波、振荡波、,UDP Flood,、,ICMP Flood,、,Jolt2,、,Nuke,等常见攻击。,东方龙马防火墙禁止用户直接登录和所有的常规服务，并且不允许运行任何其它的程序，对防火墙进行配置只能由系统管理员通过特定的接口进行，故而防止了特洛伊木马的攻击，口令字嗅探和口令字解密等攻击。,东方龙马防火墙支持多种工作模式：,路由,透明（网桥）,混合（路由,+,透明）,其中，混合工作模式完全不用改变原有网络结构，,并且任何工作模式下毫不损失防火墙任何功能，,简化了安装调试工作，使防火墙能够适应于各种,复杂的网络环境。,灵活多样的工作模式,传统网络连接模式,路由模式,10.0.0.2/24 GW,：,10.0.0.1,10.0.0.3/24 GW,：,10.0.0.1,10.0.0.1/24,11.0.0.1/24,11.0.0.2/24,GW,：,11.0.0.2,透明的网络连接,网桥模式,提高自恢复的功能让系统更安全,10.0.0.2/24,网关：,10.0.0.1,10.0.0.3/24,网关：,10.0.0.1,10.0.0.1/24,127.0.0.2,127.0.0.3,在保留过滤、代理、,NAT,等功能的前提下，支持透明的网络连接，使用户无需更改现有网络的任何配置,透明的网络连接,混合模式,10.0.0.2/24,网关：,10.0.0.1,10.0.0.3/24,网关：,10.0.0.1,E1:10.0.0.1/24,E3:127.0.0.2,11.0.0.2/24,11.0.0.3/24,网关：,11.0.0.2,E2:127.0.0.3,12.0.0.2/24,网关：,12.0.0.1,E0:12.0.0.1,网关：,11.0.0.2,灵活多样的网络地址转换（,NAT,）,实现,NAT,的作用,隐藏内部网络的真实地址与拓扑结构,解决,IP,地址短缺的问题,提高整体的安全性,任何一个,IP,包，当其进入、离开防火墙时，可以任意转换其源,IP,和,/,或目的,IP,转换条件丰富灵活，可依据多种条件判断：谁需要做转换、谁不需要做转换；做转换者如何转换,提供一对一、多对一、一对多、多对多的地址转换,实现了静态地址映射、动态地址映射、端口转换以及服务器负载均衡等功能,无论防火墙工作在何种模式（路由，透明，混合）下，都能实现,NAT,功能,源地址：端口,202.106.92.26,：,1024,目的地址：端口,202.94.1.35,：,80,源地址：端口,202.94.1.35,：,80,目的地址：端口,202.106.92.26,：,1024,回应的包,源地址：端口,202.94.1.35,：,80,目的地址：端口,192.168.2.2,：,1024,源地址：端口,192.168.2.2,：,1024,目的地址,：,端口,202.94.1.35,：,80,源,IP,包,内部网,NAT,外部网,传统,NAT,原理图,202.106.92.26,192.168.2.1,源地址：端口,192.168.2.1,：,1024,目的地址：端口,192.168.2.2,：,80,源地址：端口,192.168.2.2,：,80,目的地址：端口,192.168.2.1,：,1024,回应的包,源地址：端口,202.106.92.26,：,80,目的地址：端口,202.94.1.35,：,1024,源地址：端口,202.94.1.35,：,1024,目的地址,：,端口,202.106.92.26,：,80,源,IP,包,内部网,NAT,外部网,202.106.92.26,192.168.2.1,东方龙马,NAT,原理图,高性能的透明代理技术,提供多线程，多会话的高性能透明代理技术，使系统可以对出入防火墙的所有应用层连接进行统一的管理，处理速度快，处理会话多，保证了系统的高效性。,目前对,FTP,，,TELNET,，,HTTP,，,SMTP,，,POP3,，,DNS,，,SMPP,，,CMPP,等应用实现了透明的代理服务,代理的透明性使用户在感觉不到代理服务器存在的情况下使用代理服务,屏蔽内部网的细节，使非法分子无法探知内部结构。,通过代理可对应用层的内容进行灵活严格控制，例如对应用层的命令筛选，,ActiveX,，,JAVA Applet,，,JavaScript,非安全脚本过滤以及邮件过滤,东方龙马透明代理与一些在核心层进行应用过滤的技术不同，东方龙马透明代理工作在应用层，避免了核心额外的开销和由于应用层问题造成核心崩溃，提高了系统整体效率和可靠性，同时在应用层可以进行更有效和更细致的协议检查。,透明的应用代理访问方式,应用层,IP,TCP,实际的连接,用户感觉到的连接,IP-MAC,地址绑定,东方龙马防火墙提供一种自动搜索局域网内给定网段内的所有机器的网卡,MAC,地址的方法，自动获取所有,IP,地址对应的,MAC,地址，并存档备查。,当有,IP,包到达防火墙时，可通过封装该,IP,包的以太网帧物理地址判断其是否合法,当局域网上发生,IP,地址冲突时，即使非法,IP,包没有经过防火墙，防火墙也可以查出“真凶”,深入的内容过滤和邮件过滤,通过,WWW,代理实现,URL,过滤，页面内容过滤，,MIME,过滤，,Web,邮件附件大小控制，,Web,邮件正文控制，文件扩展名过滤，,ActiveX,、,Java Applet,、,cookies,、,JavaScript,等非安全脚本,过滤，支持内容替换,通过,FTP,、,SMTP,、,POP3,代理可对用户命令进行筛选，,禁止用户使用容易造成攻击的不安全命令,通过,CMPP,、,SMPP,代理实现短信内容过滤,通过,SMTP,、,POP3,代理实现邮件过滤,东方龙马防火墙通过透明代理对选定的应用层的内容进行灵活严格的智能分析