安胜高保障防火墙V.0白皮书.docVIP

安胜高保障防火墙V1.0白皮书 VPN版本 ERCIST High-Assurance Firewall White Paper VPN Version 北京中科安胜信息技术有限公司 2003年10月 目录 一、序言 二 二、安胜高保障防火墙V1.0概述 三 三、安胜高保障防火墙V1.0标准配置性能参数 三 标配型号 三 系统软件组成 三 标准配置防火墙硬件设备指标 四 标准配置防火墙性能指标 五 执行标准 五 三、安胜高保障防火墙V1.0技术特色 五 1、安全的底座——安胜安全操作系统 五 2、高稳定性和高可靠性——完全硬件化设计 六 3、高运行效率——状态检测技术和先进规则匹配算法 六 4、方便的使用模式——灵活的认证技术 六 5、人性化管理人机界面——中文界面和多种管理模式 六 6、准确、及时的报警功能——防火墙本机系统和网络报警 六 7、详细完备的记录——提供详细完备的审计记录 七 8、安全可靠的VPN模块——可以动态加载或卸载 七 四、防火墙功能详细说明 七 1、包过滤状态检测工作方式 七 2、灵活的规则匹配方式 七 3、透明防火墙 八 4、VPN功能 八 6、详细的应用层过滤 八 7、MAC地址过滤和绑定 八 9、审计记录查询 九 四、VPN解决方案 九  一、序言 随着电子商务的出现，越来越多的企业把自己的私有网与Internet相连接。Web服务或者更先进技术的人们不禁要问，我们的网络为什么会有这么多的安全漏洞？我们应先了解Internet的发展历史。 Internet的支持协议TCP/IP【1-1；1-5】最早出现在1979年，当时它的主要设计目的是为通过网关连接的网络提供可靠的服务。在那个时期，由于网络的规模较小，在网络上的人们相认识，安全不是大家最关心的问题。但是Internet发展到了今天，当时构造这些网络的技术仍旧使用，而这些技术包含了许多不安全的部分。由于大量的攻击被报告出来，所以安全问题成为私有网络的主要关注对象之一，也是电子商务发展的制约因素。 怎样才能提供安全的网络服务呢？一般的，网络管理者制订安全策略，考虑安全需求，制定哪些连接可以通过私有网络而到达Internet。IP层，只是根据IP头的内容来对IP包处理，只能利用部分基本信息来进行处理，使得安全处理所依靠的信息过于简单；包过滤是一个无状态的概念，不能根据通讯的上下文或应用的上下文来进行过滤；同时难于配置，监视和审计，具有极弱的包信息处理能力。 应用代理防火墙 应用代理发生在应用层，它最大的优点是有状态的，它能够利用扩展信息中的由应用程序产生的信息和由部分由通讯上下文产生的状态，具有部分的信息处理能力。但是其弱点是显而易见的： 受限的连接：由于不是每一个服务都需要一个代理，所以其具有不易扩展性 技术限制： 不能提供UDP/RPC这样的服务的代理功能 性能低下：由于所有的实现都发生在应用层，所以相对性能较低。 同时，它将操作系统和应用层的bug暴露出来。 已有的防火墙解决方案的弱点： 已有的防火墙类型都是早期的网络安全需求的基础之上产生的，它考虑的主要对象是单个的子网，而现在，企业广泛的使用Intranet 技术，企业整个网络的安全需求与策略是统一管理，所以只依靠包过滤路由器或者堡垒主机来解决安全问题已经是不可能，它应当和策略管理，授权，认证，用户管理等等结合起来。而防火墙是安全最集中的控制点，但是它必须受其他应用的支持。 总而言之，已有的防火墙系统是一个静态的网络攻击防御，同时由于其对新协议和新服务的支持不能动态的扩展，所以很难提供个性化的服务，由于防火墙的最大的市场亮点在于对电子商务的全方位支持。而已有的防火墙不能做到这一点。 二、安胜高保障防火墙V1.0概述 安胜高保障防火墙V1.0采用基于安胜安全操作系统，采用状态检测技术，提供流量流速控制，能够完成负载均衡功能。安胜高保障防火墙V1.0继承中国科学院信息安全技术工程研究中心多年来在信息安全领域的研究成果，特别是在防火墙领域，将防火墙的最新技术科研成果应用于应用，并经过详细认真的测试。该防火墙能够达到企业级应用要求，在安全性、稳定性和使用便利性达到完美的组合。同时安胜高保障防火墙V1.0获得国家权威机关的测试和认可。 公安部销售许可证 XKC33180 国家信息安全测评认证中心检测 CNITSEC2003TYP183 军用信息安全产品认证证书 军密认字第0121号 国家科技部重点推广产品 项目编号 证书编号：2728 三、安胜高保障防火墙V1.0标准配置性能参数 标配型号 安胜高保障防火墙HA-100V 系统软件组成 安胜安全操作系统 SecLinux安