基于工控架构的国内防火墙通常集合多种网络安全技术,如网络入侵检测IDS、虚拟专用网VPN等。方御防火墙也不例外,除了防火墙FIREWALL之外还提供了入侵检测IDS、安全评估、虚拟专用网3大功能模块,四道安全防线形成全方位防护。在对网络攻击事前、事中和事后全程防护的同时,还保证了数据传输的安全。
防火墙在网络最外层过滤信息起到防盗门的作用;IDS-网络入侵检测就像家中的狗^_^,随时监控家里有没有外人来,当然除了门还有窗户等有安全问题的出入口;安全评估SCNNER就像电子眼,随时检测家里有没有没有锁好的门,有没有关好的窗户等;VPN-虚拟专用网就像两个大户人家之间的通道外的护栏,装有通道是为了两家人互相走动起来方便,如果这通道没有护栏就像两个网络之间传输数据而少了VPN来为数据加密。这3大功能集成在防火墙这个平台下给您的网络带来立体防护,再也不用担心网络安全问题。
方御防火墙除4大安全功能外,还提供多种包括NAT、带宽管理、流量统计等网络增值功能;支持桥模式、路由模式混和接入,支持VLAN和动态路由协议,可灵活适应多种网络环境,便于用户对网络进行管理,是一套完整的网络边界安全解决方案。
防火墙-FIREWALL
防火墙功能是其他安全功能的基石,是构筑网络安全的闸门。它是内外网之间的一道屏障,挡住外来的攻击和不正当的访问。
国内防火墙普遍利用状态检测技术来对数据进行处理。根据硬件的性能决定了数据处理的速度。
方正数码用自行研发的高效网络检测技术,创新性地采用零拷贝流分类、特有快速搜索算法等技术,引入时间、用户、应用及其操作等控制对象,针对网络流2-7层数据进行高效识别,并且按照设定策略对网络数据进行入侵或流量等活动的统计,不仅可以根据数据包的地址、协议和端口进行访问控制,还增加了时间、用户、应用及其操作等控制对象,同时还对任何网络连接和会话的当前状态和所属应用进行分析和监控,实现高效的数据过滤,这样就对网络数据流的处理起到了加速的作用,对性能也会有较大幅度的提升。
在新一代方御防火墙产品中,对原有的智能IP识别技术进行了大幅度的提升和扩充,除了能够提高网络数据检测效率外,还能在防火墙内核中针对应用进行多元化的访问控制,大大扩展了防火墙的控制能力,使得防火墙和应用能够更紧密的结合。配合原有的特有快速搜索算法技术,方御防火墙在保证针对应用的细致分析和防护的同时,对产品的性能有大幅的提高,解决了目前内容分析型防火墙普遍存在的效率瓶颈问题。
传统的防火墙的包过滤只是与规则表进行匹配,效率较低,而且无法区分IP包头外的信息。状态检测防火墙也仅仅是组合会话,并不区别不同的应用,更无法做到应用的监控。
对于较为特殊的应用,如FTP和H.323,需要在连接中动态打开其他连接进行数据传输,普通防火墙无法获得动态连接的情况,必须提前打开所有可能的地址和端口,造成安全风险。方御防火墙通过智能识别技术能够分析出打开的连接,动态调整防火墙的安全规则,在灵活支持应用的同时,不牺牲安全。
方御防火墙通过优化算法,使最大并发连接数可以达到1,000,000个以上,在多次由国家权威机构和第三方进行的产品评测中,性能遥遥领先。
入侵检测-IDS
IDS可以将用户对位于与IDS同一交换机/HuB的服务器的访问、操作全部记录下来并加以分析,同时与防火墙做联动,实时阻断不正当的访问等攻击行为。
黑客要对一个网站发动攻击前,一般要对目标服务器进行端口扫描,了解服务器上开启的服务,然后才能决定以何种方式入侵。方御入侵检测功能在检测到有扫描服务器端口时会立即在攻击者的视野中消失,从而使黑客无法进行以后的攻击。方御防火墙可根据配置文件监控任何和TCP,UDP端口的连接。可以对全部端口同时进行监控,同时也可以忽略指定的端口。
国内防火墙普遍采用检测库的方式来使异常行为和检测库中的文件做比对,如发现为攻击行为立即通知防火墙采取措施。方御防火墙入侵检测系统采用了可扩展检测库的方法,目前可以抵御20多类1500多种攻击方式,而且可以通过升级检测库的方法来不断的提高抵御新攻击类型的方法。管理员还可以自定义攻击检测库来符合自己的要求。
1.检测多种DoS攻击
检测包括IGMP攻击,TearDrop, LAND, WinNuke等多种DoS攻击。从而使被托管的服务器处于安全的保护之中。方御入侵检测功能一旦发现有DoS攻击,立即在线报警,记录日志。
2检测多种DDoS攻击
检测包括TFN,Trin00,shaft synflood等多种DDoS工具的攻击。而这些攻击都是进行DDoS攻击的主要工具。
3.检测保护子网中是否存在后门和木马程序
检测网络中是否存在流行的BO,BO2000,NetSphere, DeepThroat,WinCrash,BackConstruction等多种后门或木马程序。
4.检测多种针对Finger服务的攻击
检测针对Finger服务攻击的如Finger Bomb,Finger search,FINGER-ProbeNull等扫描和攻击。
5.检测多种针对FTP服务的攻击
检测针对不同FTP server,包括AIX FTPD,WuFTP,ProFTPD,Serv-U FTPD,NCFTPD,MsFTPD发起的FTP-site-exec, FTP-user-root,Buffer Overflow等多种尝试和攻击行为。
6.检测基于NetBIOS的攻击
对基于NetBIOS的如NETBIOS-SMB-IPC$access,NETBIOS-SMB-ADMIN$access,NETBIOS-SNMP-NT-UserList等多种尝试和攻击行为进行检测。
7.检测缓冲区溢出类型攻击
对OVERFLOW-x86-solaris-nlps,OVERFLOW-x86-windows-MailMax,OVERFLOW- x86-linux-ntalkd,OVERFLOW-DNS-sparc等近百种堆栈溢出攻击进行检测。
8.检测基于RPC的攻击
对基于RPC的如portmap-request-amountd,portmap-request-bootparam,RPC Info Query,portmap-request-ypserv,RPC ttdbserv Solaris Overflow等多种尝试和攻击行为进行检测。
9.检测基于SMTP的攻击
对针对多种SMTP server,包括Sendmail,Exchange Server,Qmail等所发起的SMTP-expn-root,SMTP Relaying Denied等试探和攻击进行检测。
10.检测基于Telnet的攻击
针对基于Telnet的包括Attempted SU from wrong group,set ld_preload,set ld_library_path, Login Incorrect等多种尝试和攻击。
11.检测网络上传输的病毒和蠕虫
能将计算机病毒和蠕虫传输到宿主机之前将其检测出来,包括流行的Happy99,IloveU, PrettyPark等百种蠕虫和病毒,防患于未然。
12.检测CGI攻击
能检测出包括针对PHF,NPH, pfdisplay。cgi等已知上百种的有安全隐患的CGI进行的探测和攻击方式。
13.检测针对WEB Server的FrontPage扩展进行的攻击
14.检测针对WEB Server的ColdFusion扩展进行的攻击
15.检测针对 MicroSoft IIS server进行的攻击
能检测View Source exploit, IIS-exec-srch, IIS-asp-srch等已知的漏洞和弱点的攻击行为。
16.检测利用ICMP进行的扫描和攻击
对利用这种方式进行的网络拓扑探测所产生的PING-ICMP Destination Unreachable,PING-ICMP Time Exceeded等ICMP包进行检测。
17.检测利用Traceroute对网络的探测
18.检测ActiveX,JaveApplet的传输
通过匹配网络包内容,可以检测特定的ActiveX, JaveApplet等程序在网络上的传输。
19.检测对其他可能的网络服务进行的攻击
方御防火墙还提供了非常方便的升级接口,可以通过方正数码网站进行在线更新入侵栓测的数据库,方便的用户升级界面使升级工作可以非常方便的完成。
方御防火墙的报警系统和入侵检测系统的协调工作几乎是一致的,一旦入侵检测系统检测到攻击,报警系统会马上做出反应,通过Email或手机通知管理员。同时会启动自动防范系统进行防范。
方御防火墙的入侵检测系统可以和防火墙实现联动,通过对通信行为的跟踪检测到对网络的多种扫描和攻击行为,并能够对攻击行为进行响应,包括自动防范及用户自定义安全响应策略等。
安全评估-SCANNER
SCANNER可主动检验网络安全性,并将扫描结果明确列出,使客户对自身网络安全状态做到心中有数,未雨绸缪。
方御防火墙的漏洞扫描系统为管理员提供了检验自身网络的安全性的有效方法,可以对内部网的机器实行网络扫描。可以检测包括端口扫描、常见服务扫描、CGI扫描等在内的多种扫描方式,同时可以获取被扫描主机的信息等,为管理员提供实时可靠的系统安全扫描结果报告。管理员可以根据扫描结果和统计信息,及时针对系统中的漏洞进行补救,达到预先防范非法攻击的目的。
扫描完成后系统会列出所有被扫描的主机,管理员可以有选择的查看主机的扫描信息,以及相关的端口扫描结果、帐号和弱密码的情况和系统中漏洞的信息,还可以可根据CVE漏洞库索引号和Bugtraq漏洞库索引号到Internet网上查询专业的详细信息。查询CVE漏洞库信息的网址:http://www.cve.mitre.org/ ;查询Bugtraq库信息的网址:http://www.securityfocus.com/ 。同时方御还给出了漏洞的类型,受影响的操作系统、漏洞描述和解决方法等,为及时采取补救提供了方便。
虚拟专用网-VPN
VPN将安全保护延伸到数据的传输过程,实现远程的安全数据共享。
目前VPN主要采用隧道技术(Tunneling)、加解密技术(Encryption & Decryption)、密钥管理技术(Key Management)、使用者与设备身份认证技术(Authentication)四种技术来实现,在方御防火墙中这几种技术都使用了。
方御防火墙的VPN功能为公司异地建立虚拟内部网络和远程访问用户提供方便、经济、安全的数据通道。方御防火墙的VPN功能支持IPSEC标准,使用3DES、国密办认证算法等多种加密算法,同时支持远程访问虚拟网(AccessVPN)和企业内部虚拟网(IntranetVPN)两种应用模式。
如果企业的内部人员有移动或远程办公的需要,或者商家要提供B2C的安全访问服务,就可以考虑使用远程访问虚拟网。方御防火墙的远程访问模式使用IPSEC技术进行隧道通讯,为远程访问用户提供了安全证书管理,用户在异地安装安全证书后,通过Internet公众网可对公司内部网络进行访问。
越来越多的企业需要在全国乃至世界范围内建立各种办事机构、分公司、研究所等,这时就可利用VPN在Internet上组建世界范围内的企业内部虚拟网。方御防火墙的企业内部虚拟网采用网关-网关的加密通道模式,用户可灵活设置软、硬件加密算法的优先顺序。
对于在内部网中使用NAT的用户,方御防火墙还率先突破了VPN不能和NAT同时使用的传统限制,支持NAT模式下的VPN应用。
方正方御防火墙秉承立体防护的理念,防火墙功能实现遭遇网络攻击前安全策略的定制,使用入侵检测功能进行攻击过程中的防范与报警,辅以日志系统完成攻击后的分析。实现事前、事中、事后的全面防护。再通过虚拟专用网功能进一步将安全保护延伸到数据的传输过程。更引入安全评估观念,主动对网络进行模拟攻击,检验整个网络的安全性。良好的升级机制保证了整个安全系统能够随着技术的进步不断增强。
概言之,方御防火墙涵盖了整个网络的空间范围和时间范围,从主动及被动多方面进行立体防护,真正实现网络全面安全。