[这个贴子最后由别克在 2005/09/15 09:40pm 第 2 次编辑]
蓝盾防火墙具体技术参数和产品型号
设计理念
随着我国信息化程度的加深,对网络安全产品提出了更高的要求。“冲击波”、变种DDoS攻击冲破了传统的防御方式和联动体系,造成了不少网络瘫痪。作为专门设计网络安全产品的广东天海威数码技术有限公司利用自身的优势,结合我国的网络安全现状,提出“全网防御”和“积极防御”二大新的体系。基于这二大体系研制开发出的蓝盾防火墙,集攻击防御、来源追踪、取证于一体,并使用了“零积累DDoS智能识别”、蜜罐(攻击陷阱)、反向拍照等先进的安全技术,能有效对抗各种大规模的黑客攻击,更好的满足各政府机关及企业对于网络安全建设的实际需求。
l全网防御
“冲击波”病毒攻击,冲破了传统的边界安全防御和联动体系,造成了不少网络瘫痪。蓝盾防火墙与配套的主机防御软件和中心监控软件一起,构建了一个全新的“全网防御”体系。该体系实现了自动安全策略分发、全网联动防御,能高效对抗各种大规模的攻击。
l积极防御
主要体现在主动、自动和防变种攻击三大方面。蓝盾防火墙能主动设置陷阱,使黑客在找到真正目标前已提前落网;它还能自动反扫描,当检测到扫描器对内网主机进行扫描就自动断开网络连接,自动对黑客进行“反向拍照”;另外,它还能智能识别出各种变种DDoS攻击。这一些功能很大的增强了网络的安全,达到积极防御安全目标。
技术强项
1智能防御
系统自动统计、分析通过防火墙的各种连接数据,探测出攻击者,立即断开该主机与内网的任何连接,并将其IP地址列入黑名单,还会根据用户要求对其进行反向拍照,保护内网所有主机的安全。
2 自动反扫描
本系统在内核设计中引入自动反扫描机制,以最快的速度发现扫描器,即时断开其连接,并将该IP地址列入黑名单,在一定时间(约三分钟)内,该主机无法再对防火墙系统和防火墙保护的内网进行任何访问。
3 零积累DDoS智能识别防御技术
为本公司专利技术,处于国际领先地位,不但能有效识别、吸收各种SYN攻击包,而且彻底解决了积累问题,能有效抵挡50M带宽以上的Synflood变IP攻击包。
4蜜罐(攻击陷阱)技术
蜜罐,是网络安全界的前沿技术,蓝盾蜜罐能虚拟WWW、FTP、SMTP、TELNET等网络服务,误导黑客对其进行攻击,同时对黑客的整个攻击过程进行监听、记录,为进一步对黑客的追踪、取证提供了有力的线索和证据,这样,黑客在攻击真正目标前已提前落网。
5 反向拍照技术
一般防火墙只能记录下攻击者的IP地址,对黑客的身份一无所知,而蓝盾防火墙不但能记下黑客的IP,还能给黑客拍一个“全身照”,将黑客主机的特征信息(如主机名、用户名、MAC、操作系统名称、版本号、开放的端口、服务等)全部记录下来,防止黑客事后抵赖。
6服务器监控技术
通过配套的服务器监控软件,能实时监控服务器上进程、注册表、日志、开放端口、网络连接等重要信息,一发现有异常,会立即报警,并通知出口防火墙进行拦截。
千兆特色
Ø并行处理构架,保证系统的总体性能;
Ø智能高速千兆网口,每个千兆接口都内置一高速网络处理器,保证接口的吞吐能力;
Ø独特的快速通道技术,使经三层认证的连接后续数据包可直接走二层快速通道;
Ø快速规则匹配技术.
产品特性
防御功能
l智能防御
l自动反扫描
l零积累DDoS智能识别防御技术
l防蠕虫病毒攻击
l防变种DDoS攻击
l防内部攻击
l先进的蜜罐(攻击陷阱)技术
l支持TCP标志位检测
认证管理功能
l支持多种身份认证方式
l支持RADIUS认证
l分组透明代理
l基于时间的访问控制
l支持远程集中管理
l独特管理端口软钥匙控制技术
过滤功能
l内核级的URL过滤
l内核级的文件过滤
l文件下载类型限制
l内容安全过滤
l非健康信息过滤库
l电子邮件过滤
工作模式及协议支持功能
l支持多种工作模式
l支持SNMP协议(简单网络管理协议)
l支持802.1Q VLAN Trunk协议
l完整的H.323协议族支持
l支持IGMP协议
l支持IGMP 隧道
加密传输功能
l内嵌高加密强度VPN模块
l移动VPN 客户端
监控与审计功能
l丰富的日志与强大的安全审计能力
l独特的服务器监控分析模块
其它功能
l双向网络地址转换
l物理断开功能
lMAC 地址绑定
l双机热备份
l负载均衡
l流量控制
l反向拍照
随机软件
l防火墙集中管理软件
l日志记录软件
l安全审计分析软件
可选软件
l密罐(攻击陷阱)软件
l服务器实时监控及日志分析软件
l反向拍照软件
l网页保护及自动恢复软件
lVPN 客户端软件(及智能证书)
主要功能模块说明
智能防御: 系统自动统计、分析通过防火墙的各种连接数据,探测出攻击者,立即断开与该主机的任何连接,并采取将其IP地址列入黑名单等措施,保护内网所有主机的安全。
自动反扫描: 本系统在内核设计中引入自动反扫描机制,以最快的速度发现扫描器,即时断开其连接,并将该IP地址列入黑名单,在一定时间(约三分钟)内,该主机无法再对防火墙系统和防火墙保护的内网进行任何访问。
零积累DDoS智能识别防御: 为本公司专利技术,处于国际领先地位,不但能有效识别、吸收各种SYN攻击包,而且彻底解决了积累问题,能有效抵挡50M带宽以上的Synflood变IP攻击包。
防蠕虫病毒攻击: 防火墙有一内置病毒防御模块,并附带有病毒特征库,能有效过滤、拦截各蠕虫病毒传染、攻击包,保护内网主机的安全。
防变种DDoS攻击:能分析出各种变种DDoS攻击包,自动进行有效防御。
防内部攻击:防御内网用户因中毒等原因发起的对出口和外网的攻击,无论防火墙工作在NAT模式还是透明模式,都能保证有效识别、拦截、吸收掉内网发起的攻击包,不为攻击者建立攻击通道,保证网络的畅通。
先进的蜜罐(攻击陷阱)技术:蜜罐,是网络安全界的前沿技术,蓝盾蜜罐能虚拟WWW、FTP、SMTP、TELNET等网络服务,误导黑客对其进行攻击,同时对黑客的整个攻击过程进行监听、记录,为进一步对黑客的追踪、取证提供了有力的线索和证据,这样,黑客在攻击真正目标前已提前落网。
支持TCP标志位检测:通过对TCP标志位(如SYN、ACK等标志位)的检测,可以判别出连接的发起方,分辨出该连接是由内网发起,还是由外网发起的,防止外网黑客通过低端常用服务端口向内网主机的高端口发起连接,从而攻击内部主机。
支持多种身份认证方式:支持RADIUS/RADIUS+远程访问认证、SECUREID、PKI、PAP口令认证、CHAP、口令方式、数字证书等当前各种常用的身份认证协议。
支持RADIUS认证:防火墙可以和现有的RADIUS认证服务器接口,实现出网认证。内网用户通过防火墙配套客户端认证软件,与防火墙握手通讯,向防火墙提交认证信息,防火墙通过Radius协议访问第三方认证服务器,检验用户的口令,并确认用户的访问权限。
分组透明代理:对高层应用服务(如:HTTP、FTP、SMTP、POP3、NNTP等)进行分组透明代理。
基于时间的访问控制:可设置、限制内网用户的上网时间段,节约资源及减少风险。
支持远程集中管理:可在不同的地点、不同的操作系统对防火墙进行配置集中管理。防火墙通过数字证书认证、管理主机地址认证、端口控制钥匙等完善的认证措施与管理信息的加密传输,实现全局防火墙设备的集中管理。实现统一的安全策略部署,保证各环节安全策略的一致性,提供了整个系统的安全强度。
独特管理端口软钥匙控制技术:防火墙的管理端口经常成为黑客攻击的目标,为增强防火墙自身的安全性,用随机配置钥匙软件才能打开管理端口,提高安全。
内核级URL过滤:防火墙采用独特的内核级URL过滤技术,它能自动提取带有URL信息的数据包,对该类数据包进行深层分析、过滤,不但过滤效率比代理方式的URL过滤高,而且对通过外网代理PROXY的非法URL也能有效拦截。
内核级文件过滤:可对一些重要的文件读写进行限制,如内网主机的账号文件。避免因管理员疏忽而引起的信息泄漏。
文件下载类型限制:系统能对管理员设定的文件类型的下载和传输进行拦截,阻止下载电影等占用出口带宽的大数据量文件,保证主要业务数据的畅通。
内容安全过滤:对网页中的有危害脚本、色情内容、反动内容等进行限制,保证内网的安全和用户健康上网。
非健康信息过滤库:内置一过滤数据库,能有效拦截常见的十三万个黄色、反动站点,禁止内网用户浏览不健康的内容。
支持多种工作模式:支持路由、透明、NAT等工作模式及透明和NAT混合模式。
支持多出口分流: 能同时支持多个公网出口, 按管理员制定的策略对出网数据进行分流.
支持SNMP协议:支持SNMP协议,即支持第三方网管软件查询防火墙工作状态信息。防火墙作为网络中的安全设备,对SNMP协议的支持会为网管员带来很大便利。
支持802.1Q VLAN Trunk协议:支持802.1Q VLAN Trunk协议,Trunk通过一个单独的物理线路负载多个VLAN的数据通信,允许你在网络内扩展多个VLAN。
完整的H.323协议族支持:H.323标准是为在网络上实现多媒体业务(实时的语音、视频和数据)而制定的,支持H.232协议族,顺利实现多媒体业务。
支持IGMP协议:支持多播IGMP协议,完成多播用户管理。
内嵌高加密强度VPN 模块:系统内嵌有一VPN 模块,全面支持IPSEC、L2TP、PPTP等协议,支持DES、3DES(168bit)、Blowfish、IDEA加密算法和MD5、RSA、SHA等认证算法,提供高强度的加密认证能力。
移动 VPN 客户端:系统配套有一VPN客户端软件,通过该软件,可与防火墙中的VPN 模块进行连接、协商,自动构建 VPN 通道,实现远程加密通信。
丰富的日志与强大的安全审计能力:提供丰富日志信息,并通过配置的软件对及进行分析。
独特的服务器监控分析模块:通过配置的分析软件监控服务器上进程、日志、连接、开放端口、注册表等信息,一发现有异常变化,立即通知防火墙进行拦截、报警。
双向网络地址转换:系统支持动态、静态、双向的NAT,并支持“一对一”的地址转换。
物理断开功能:在蓝盾防火墙的每个网络接口都内置有一个物理开关,可控制断开任一网络接口的连接,终止在该接口处的任何数据通信。
双机热备份:通过主、备防火墙进行双机热备份,使一台防火墙出现故障时,另一台防火墙进入正常工作。
负载均衡:蓝盾防火墙可以支持一个服务器阵列,这个阵列经过防火墙对外表现为单台的机器,防火墙将外部来的访问在这些服务器之间进行均衡,同时可以识别出故障的服务器。
流量控制:对用户访问带宽进行分配及限制。
反向拍照技术:一般防火墙只能记录下攻击者的IP地址,对黑客的身份一无所知,而蓝盾防火墙不但能记下黑客的IP,还能给黑客拍一个“全身照”,将黑客主机的特征信息(如主机名、用户名、MAC、操作系统名称、版本号、开放的端口、服务等)全部记录下来,防止黑客事后抵赖。
产品型号及技术参数
标准系列(百兆)
产品名称及型号普及型BDFWH-P-4智能I型BDFWH-I-4智能II型BDFWH-II-4智能2000型BDFWH-2000-4智能3000型BDFWH-3000-4
网络接口10/100以太网口√√√√√
性能吞吐率100M100M100M100M100M
并发连接数16万30万80万120万160万
MTBF》60000小时》60000小时》60000小时》60000小时》60000小时
标配/最大4/124/124/124/124/12
功 能 模 块
防御技术智能防御√√√√
自动反扫描√√√√
零积累DDoS智能识别防御√√√√√
防蠕虫病毒攻击√√√√
防变种DDoS攻击√√√√√
防内部攻击√√√√√
蜜罐(攻击陷阱)功能√
支持TCP标志位检测√√√√√
认证、管理能力支持多种身份认证方式√√√√
支持RADIUS认证√√
分组透明代理√
基于时间的访问控制√√√√√
支持远程集中管理√√√√√
管理端口软钥匙控制√√√√√
过滤能力内核级的URL过滤√√√√√
内核级的文件过滤√√√√
文件下载类型限制√√√√
内容安全过滤√√√√
非健康信息过滤库(可选)√√√√
电子邮件过滤(可选)
工作模式及协议支持支持多种工作模式√√√√√
支持多出口分流√√
支持SNMP协议√√√√√
支持802.1Q VLAN Trunk协议√√√√√
完整的H.323协议族支持√√√√√
支持IGMP协议√√√√√
支持IGMP隧道√√
监控与审计日志记录与安全审计能力√√√√√
服务器监控分析模块(可选)
VPN内嵌VPN模块√
其它双向网络地址转换√√√√√
物理断开功能√√
双机热备份(可选)
流量控制√√√√√
负载均衡√√
政务系列(百兆)
产品名称及型号蓝盾政务2000BDFWH-GOV2000蓝盾政务3000BDFWH-GOV3000蓝盾政务4000BDFWH-GOV4000蓝盾政务5000BDFWH-GOV5000
网络接口10/100以太网口√√√√
性能吞吐率100M100M100M100M
并发连接数16万30万120万160万
MTBF》60000小时》60000小时》60000小时》60000小时
端口数/最大端口数4/124/124/124/12
功 能 模 块
防御技术智能防御√√√
自动反扫描√√√
零积累DDoS智能识别防御√√√√
防蠕虫病毒攻击√√√
防变种DDoS攻击√√√√
防内部攻击√√√√
蜜罐(攻击陷阱)功能√
支持TCP标志位检测√√√√
认证、管理能力支持多种身份认证方式√√√
支持RADIUS认证√
分组透明代理√
基于时间的访问控制√√√√
支持远程集中管理√√√√
管理端口软钥匙控制√√√√
过滤能力内核级的URL过滤√√√√
内核级的文件过滤√√√
文件下载类型限制√√√
内容安全过滤√√√
非健康信息过滤库(可选)
电子邮件过滤(可选)
工作模式及协议支持支持多种工作模式√√√√
支持多出口分流√√
支持SNMP协议√√√√
支持802.1Q VLAN Trunk协议√√√√
完整的H.323协议族支持√√√√
支持IGMP协议√√√√
支持IGMP隧道√√
监控与审计日志记录与安全审计能力√√√√
服务器监控分析模块(可选)
VPN内嵌VPN模块√√√√
其它双向网络地址转换√√√√
物理断开功能√√
双机热备份(可选)√
流量控制√√√√
负载均衡√√
教育系列(百兆)
产品名称及型号蓝盾教育2000BDFWH-EDU2000蓝盾教育3000BDFWH-EDU3000蓝盾教育4000BDFWH-EDU4000蓝盾教育5000BDFWH-EDU5000
网络接口10/100以太网口√√√√
性能吞吐率100M100M100M100M
并发连接数16万30万120万160万
MTBF》60000小时》60000小时》60000小时》60000小时
端口数/最大端口数4/124/124/124/12
功 能 模 块
防御技术智能防御√√√
自动反扫描√√√
零积累DDoS智能识别防御√√√√
防蠕虫病毒攻击√√√
防变种DDoS攻击√√√√
防内部攻击√√√√
蜜罐(攻击陷阱)功能√
支持TCP标志位检测√√√√
认证、管理能力支持多种身份认证方式√√√
支持RADIUS认证√
分组透明代理√
基于时间的访问控制√√√√
支持远程集中管理√√√√
管理端口软钥匙控制√√√√
过滤能力内核级的URL过滤√√√√
内核级的文件过滤√√√
文件下载类型限制√√√
内容安全过滤√√√
非健康信息过滤库√√√√
电子邮件过滤(可选)
工作模式及协议支持支持多种工作模式√√√√
支持多出口分流√√
支持SNMP协议√√√√
支持802.1Q VLAN Trunk协议√√√√
完整的H.323协议族支持√√√√
支持IGMP协议√√√√
支持IGMP隧道√√
监控与审计日志记录与安全审计能力√√√√
服务器监控分析模块(可选)
VPN内嵌VPN模块√
其它双向网络地址转换√√√√
物理断开功能√√
双机热备份(可选)
流量控制√√√√
负载均衡√√
千兆系列
产品名称及型号蓝盾千兆4000BDFWH-G4000蓝盾千兆5000BDFWH-G5000教育千兆4000BDFWH-EDU-G4000教育千兆5000BDFWH-EDU-G5000
网络接口1000M光纤网络接口√√√√
性能吞吐率650M960M650M960M
并发连接数100万256万100万256万
MTBF》90000小时》90000小时》90000小时》90000小时
端口数标配:2个千兆光纤口+2个千兆/百兆自适应铜缆口(RJ45),可扩展至8个
功 能 模 块
防御技术智能防御√√√√
自动反扫描√√√√
零积累DDoS智能识别防御√√√√
防蠕虫病毒攻击√√√√
防变种DDoS攻击√√√√
防内部攻击√√√√
蜜罐(攻击陷阱)功能√√
支持TCP标志位检测√√√√
认证、管理能力支持多种身份认证方式√√
支持RADIUS认证√√
分组透明代理(可选)
基于时间的访问控制√√√√
支持远程集中管理√√√√
管理端口软钥匙控制√√√√
过滤能力内核级的URL过滤√√√√
内核级的文件过滤√√√√
文件下载类型限制√√√√
内容安全过滤√√√√
非健康信息过滤库√√
电子邮件过滤(可选)
工作模式及协议支持支持多种工作模式√√√√
支持多出口分流√√√√
支持SNMP协议√√√√
支持802.1Q VLAN Trunk协议√√√√
完整的H.323协议族支持√√√√
支持IGMP协议√√√√
支持IGMP隧道√√
监控与审计日志记录与安全审计能力√√√√
服务器监控分析模块√√
VPN内嵌VPN模块√√
其它双向网络地址转换√√√√
物理断开功能√√
双机热备份(可选)
流量控制√√√√
负载均衡√√
蓝盾VPN 系统
蓝盾VPN 遵循PKI 体系设计,围绕着传输的高安全性和使用的简易性这一设计思想,为客户提供了一个网关到网关、网关到桌面、桌面到桌面的高效的信息加密传输系统。
系统组成:
1.VPN 网关模块:可嵌入到蓝盾防火墙内,也有独立的蓝盾VPN 网关产品。 主要用于网络边界处,可以实现网关与网关之间,网关与客户端之间传输的加密、认证功能。
2.VPN 客户端软件:通过本软件,可与VPN 网关建立联接,构建 VPN 通道,实现远程加密传输。本软件可运行于 Window98/2000/XP 等操作平台上。
3.智能数字证书模块:本系统支持X.509等数字证书。此模块与VPN 客户端软件配套使用,数字证书中储存有密钥和其它用户认证信息,客户端软件通过数字证书与VPN 网关实现认证及加密。数字证书有软证书和硬证书两种供用户选择。
主要特点:
1.全面支持 PKI 体系
系统遵循成熟、安全、严谨的PKI 体系设计,从公钥、私钥的生成、分配,密钥的交换,到数字证书的管理、颁发,都严格按PKI 标准实施,保证了系统具有坚固的安全体系基础。
2.高安全保密性
系统采用DES、3DES、Blowfish、IDEA 等高强度加密算法和MD5、RSA、SHA等认证算法,保证数据传输高的安全性和保密性。
3.配置简便灵活
管理人员无需了解VPN 技术细节,只需进行简单的配置,即可快速构建VPN 通道,实现加密传输。
|
