网络安全整体解决方案
部服务器的地址作为源地址发起攻击时,安全网关防火墙会在外部端口处判别出攻击包特性,从而进行拒绝。透明方式的工作模式使得对方无法对安全网关发起攻击,每个接口上服务可以根据安全要进行屏蔽,其全新的安全体系为单位关口的安全部署提供了完善的解决方案。总之,ES网关防火墙能够提供全面的安全策略。
如下图:
4.3 防火墙功能
ES系列产品防火墙都是基于状态检测技术的,保护你的计算机网络免遭来自Internet的攻击。防火墙通过仔细地设置接口提供了安全控制策略,甚至在复杂的情况下还允许做详细的控制。
★ ES产品安全策略包括下列范围:
通过网络分段和细粒度的策略到达多个区域 控制输入、输出流量
对所有策略选项支持阻止、允许、加密、认证访问 基于时间的策略控制
网络安全整体解决方案
接收或拒绝单个地址到达或发送的流量 控制个别组标准的和用户自定义的网络服务 对用户授权认证,支持基于用户的策略控制
对每个策略可以进行基本带宽、保障带宽以及优先级设置的流量控制 支持动态IP地址池,允许配置使用地址池的NAT灵活策略 基于策略的日志记录 ★ 网络地址转换:
在NAT模式,易尚产品系列在内部网和Internet之间设置了一个秘密的屏障,防火墙提供了网络地址转换来保护私有网络。NAT模式下,你能够添加DMZ网络来提供内部服务器给Internet用户访问,DMZ区是在防火墙的后面不同于内部网的独立网络。你还可以配置8个用户自定义接口给用户提供多安全区域管理。
★ NAT模式下的防火墙功能:
防火墙防御,按照源/目的地址、服务和时间来允许/拒绝流量; VPN,反病毒和Web内容过滤; IP/MAC绑定;
高可用性(HA),在主ES工作失败后做备份的ES产品能够接替它继续工作; 用户自定义的接口提供了多区域安全管理; 记录到WebTrend的Syslog服务器的详细日志; 支持基于策略的NAT配置 ★ 透明模式:
当一个预先设置好使用公共地址的网络需要防火墙保护时,透明模式提供了更快捷更简易的安装,防火墙的内部网接口和外部网接口能够共存于两个相同的网络中,因而,防火墙可以在不需要对已有网络进行任何改动的前提下将其接入到网络中的任何一点。
数据包到达ES防火墙后,会快速转发到正确的网络端口,同时防火墙
网络安全整体解决方案
策略防止对网络的未授权访问。透明模式下同样提供了完善的防火墙保护功能(NAT地址翻译和VPN加密功能除外)
4.3.1 网络入侵检测
ES安全产品内置的NIDS系统,可以防护包括以下内容的超过1300多种方式的攻击:
分布式拒绝服务攻击 (DDoS) SYN 攻击 ICMP Flood UDP Flood IP 碎片攻击 死 Ping 攻击 泪滴攻击 Land Attack 端口扫描攻击 IP 源路由 IP 欺骗攻击 Address Sweep Attack WinNuke 攻击
? CGI 脚本漏洞,包括 Phf, EWS, info2www, TextCounter, GuestBook,
Count.cgi, handler, webdist.cgi,php.cgi, files.pl, nph-test-cgi, nph-publish, AnyForm, FormMail等 ? Web Server 攻击
? Web Browser 攻击,包括URL, HTTP, HTML, JavaScript, Frames, Java, ActiveX
? SMTP (SendMail) 攻击 ? IMAP/POP 攻击 ? Buffer Overflow
? DNS 攻击,包括Bind 和 Cache
? Trojan Horse 攻击,包括 BackOrifice 2K, IniKiller, Netbus, NetSpy, Priority,
网络安全整体解决方案
Ripper, Striker, SubSeven
一旦ES防火墙发现其中一种攻击,该攻击就会被记录到攻击日志中,包括攻击主机地址和端口、时间以及攻击方式,并就防火墙所了解到的攻击行为进行对应的防护操作。用户还可以有选择性的开启或关闭相应的入侵检测选项,来灵活的运用入侵检测功能。同时可以通过日志信息连接到相关网站资源了解攻击说明。
4.3.2 可升级的网关病毒保护
病毒和蠕虫防御在网络边界处提供,在web流量 (HTTP), email 流量(SMTP, POP3, 和IMAP)和安全域之间对以下的类型文件进行信息检查。 执行文件Executable files (exe, bat, and com) Visuan basic 文件Visual basic files (vbs)
压缩文件Compressed files (zip, gzip, tar, hta, and rar) 屏幕保护文件Screen saver files (scr) 动态链接库Dynamic link libraries (dll) MS Office 文件 MS Office files
过滤可定义的附件文件类型,支持通配符配置 可定义的用户化反馈信息
网络安全整体解决方案
ES安全产品上的病毒检查可以配置成过滤特定目标文件,检测特定病毒代码或不做病毒检测。 用户可以选择先进行特征扫描,然后进行特定文件过滤。
在网络边界处进行病毒扫描的好处是在数据进入内部网络之前清除威胁, 使系统管理员从繁重的工作中解脱出来,在传统的方式下,管理员必须检查每一个主机的病毒软件是否更新,如果有一个主机被感染,整个网络都会面临崩溃的危险。病毒扫描同样在所有的VPN解密数据流根据协议进行扫描,网关-网关和客户-网关病毒保护在通道终结后进行检测。
ES系列是利用硬件加速的 (ASIC)技术进行病毒扫描的产品,保证了网络的性能。这对于象HTTP这种实时应用是非常重要的。
4.3.3 VPN功能
ES网关防火墙产品系列采用工业标准的VPN在两个ES保护的网络或ES与支持 IPSec、PPTP或L2TP的第三方VPN保护的网络之间建立加密流量传输隧道。VPN隧道终止后,ES自动地加密VPN流量,并发送内容穿过反病毒引擎。
VPN功能包括: