阿姆瑞特防火墙功能详解及配置.ppt

洛阳牡丹通讯股份有限公司 阿姆瑞特防火墙功能 阿姆瑞特防火墙系统组成 阿姆瑞特防火墙—内核 阿姆瑞特防火墙功能 阿姆瑞特防火墙功能 全状态检测防火墙 采用状态检测技术 数据包一致性检查 防止假冒IP攻击 防止非正常连接 提高工作效率 独特的全状态检测过滤 灵活的访问控制 控制某条规则的生效时间 OS Fingerprinting 和Firewalking 网络的TCP/UDP端口扫描 SYN flood ICMP flood攻击 UDP flood攻击 死 of ping(Ping death)攻击 IP欺骗(IP spoofing)攻击 端口扫描(Port scan) 陆地攻击(Land attack) 撕毁攻击(Tear drop attack) 过滤IP源路由选项(Filter IP source route option) IP地址扫描攻击(IP address sweep attack) WinNuke attack攻击 Java/ActiveX/Zip/EXE Dos DDoS攻击 用户定义的不良URL Per-source session limiting攻击 Syn fragments攻击 Syn and Fin bit set攻击 No flags in TCP攻击 FIN with no ACK攻击 ICMP fragment攻击 Large ICMP攻击 IP record route攻击 IP security options攻击 IP stream攻击 IP bad option攻击 Unknown protocols攻击 传统的防火墙 通过设定阈值进行攻击防范，例如每个IP每秒2000个SYN报文以下才认为是正常的，超出视为攻击 依托通用OS，OS对攻击的抵御能力不足；且防火墙软件与OS间必然存在开销，消耗系统资源 阿姆瑞特防火墙 采用类似代理技术进行攻击防范，必须首先与防火墙建立起连接，防火墙才会再与主机进行连接，攻击不会通过防火墙到达主机 专用内核，没有OS开销，提高了自身抵御攻击能力 设计中充分考虑了系统抗攻击的能力，预留防火墙系统资源，任何情况下CPU利用率都不会达到100% 阿姆瑞特防火墙功能 支持4096条静态路由 支持PBR（Policy Based Routing，基于策略的路由），配置主路由表和多个PBR路由表，不同的规则采用不同的路由表，支持多个缺省网关 支持路由备份 支持OSPF V2动态路由 支持虚拟路由器/系统 全面支持802.1Q 一墙多用 在一台防火墙上创建多个逻辑分离的系统 在一台物理设备上可以做的任何事在虚系统上都可以做，包括访问控制，带宽管理和动态路由功能。 高灵活性 不需要增添硬件，而是通过增加虚系统进行扩展 简化配置管理 使复杂的路由及策略配置更简单 减少所需策略数量－降低由于策略配置错误带来的安全隐患 增加用户服务机会 在一台机器上运行多个虚系统来服务多个用户，来增加新业务的机会 想象一下在一个阿姆瑞特防火墙冗余群集使用成百的虚系统来替代同等数量的网关设备，而每一个虚系统都为一个负费的客户服务！ 阿姆瑞特防火墙功能 最大带宽限制 带宽保证 传输优先控制 动态流量均衡 传输平衡控制 可以对用户IP地址、服务等通过防火墙的带宽进行限制，例如：限制某个用户对外访问最大带宽，或者访问某种服务的最大带宽。 保证网络中重要服务或者重要用户的带宽不被其他服务或者用户占用，从而保证了重要数据优先通过网络。 通过定义管道的方式提供功CoS/QoS能，并且管道没有数量的限制，也就是说优先级控制的等级没有数量的限制，同时可在每一个管道中，可以设定8个优先级（0-7），从而可以进行更加细致的流量控制。 为了保证网络中的所有带宽都得到合理的应用，防火墙提供动态流量均衡功能。 例如：假如某网络带宽为256k，设定主机A的带宽为100k，主机B带宽为156k。如果主机B目前只用到120k，而主机A100k的带宽不够用，此时主机A可以动态获得主机B剩余的36K带宽。如果主机B某一时刻的突发速率到156K，他会动态的从主机A那里获得属于他的36K带宽，从而保证重要服务或者用户优先进行数据传输。 可根据需要进行设置，保证内网各用户分配带宽趋于平衡，不致出现“贫富分化”的现象。 通过定义管道的方式提供功CoS/QoS能 管道没有数量的限制 设置精度为1Kbps，偏差率不超过5% 可进行带宽限制、带宽保证、动态均衡带宽 大差别带宽管理时，不存在“饿死”现象 可对上传和下载数据分别进行带宽管理 明通、密通数据均可以作带宽管理 带宽管理可基于接口、VLAN、IP地址、服务、时间等设定 阿姆瑞特防火墙功能 阿姆瑞特防火墙支持PPPoE协议，通过在防火墙上输入用户名和口令后便可以