阿姆瑞特防火墙技术特点1.ppt

Amaranten International Ltd Operation in China ”Amaranten – Secure Net!” 产品线介绍 阿姆瑞特防火墙技术特点 全方位安全防护 强大的路由功能 专业的带宽管理 灵活的网络接入 丰富的VPN功能 便捷的图形管理 细微的网络日志 采用状态检测技术 数据包一致性检查 防止假冒IP攻击 放置非正常连接 提高工作效率 灵活的访问控制 基于时间的控制 控制某条规则的生效时间 内容过滤 阿姆瑞特防火墙功能可以通过URL过滤和关键字过滤控制内部人员访问的主页或站点，避免含有恶意代码网页（网页木马、网页病毒）对网络的侵害。 除了内容过滤以外，还可以做到以下特性： 禁止下载某种类型文件。例如：.exe 针对Java脚本/VB脚本、Java applets的过滤； 禁止Active-X/Flash等内容，彻底杜绝了黑客网站恶意程序对内网机器的攻击； 禁止cookies，防止黑客通过cookies窃取用户名、口令等关键信息。 用户认证 深层次访问控制 基于用户的信誉度，访问时间以及访问的内容，允许或拒绝访问 进一步增强了安全性 认证方式 内部用户数据库， Radius，微软活动目录或Xauth 日志 基于用户级别的日志记录 优势 增加安全性的同时减少管理开销（在网络用户数据库里面删除一个用户也是通过网关来控制） 用户认证与策略、时间表和内容过滤等功能结合提高了防火墙使用效率（在工作时间阻止不需要的访问） 支持RADIUS通用用户数据库 基于login方式的用户身份登陆 强大的抗攻击能力 OS Fingerprinting 和 Firewalking 网络的TCP/UDP端口扫描 SYN flood ICMP flood攻击 UDP flood攻击 死ping(Ping of death)攻击 IP欺骗(IP spoofing)攻击 端口扫描(Port scan) 陆地攻击(Land attack) 撕毁攻击(Tear drop attack) 过滤IP源路由选项(Filter IP source route option) IP地址扫描攻击(IP address sweep attack) WinNuke attack攻击 Java/ActiveX/Zip/EXE Dos DDoS攻击 用户定义的不良URL Per-source session limiting攻击 Syn fragments攻击 Syn and Fin bit set攻击 No flags in TCP攻击 FIN with no ACK攻击 ICMP fragment攻击 Large ICMP攻击 IP record route攻击 IP security options攻击 IP stream攻击 IP bad option攻击 Unknown protocols攻击 防攻击原理 传统的防火墙 通过设定阈值进行攻击防范，例如每个IP每秒2000个SYN报文以下才认为是正常的，超出视为攻击 依托通用OS，OS对攻击的抵御能力不足；且防火墙软件与OS间必然存在开销，消耗系统资源 阿姆瑞特防火墙 采用类似代理技术进行攻击防范，必须首先与防火墙建立起连接，防火墙才会再与主机进行连接，攻击不会通过防火墙到达主机 专用内核，没有OS开销，提高了自身抵御攻击能力 设计中充分考虑了系统抗攻击的能力，预留防火墙系统资源，任何情况下CPU利用率都不会达到100% 阿姆瑞特防火墙技术特点 全方位安全防护 强大的路由功能 专业的带宽管理 灵活的网络接入 丰富的VPN功能 便捷的图形管理 细微的网络日志 强大的路由功能 支持4096条静态路由 支持PBR（Policy Based Routing，基于策略的路由），配置主路由表和多个PBR路由表，不同的规则采用不同的路由表，支持多个缺省网关 支持路由备份 支持OSPF V2动态路由 支持虚拟路由器/系统 全面支持802.1Q 基于策略的路由（PBR） 一墙多用 在一台防火墙上创建多个逻辑分离的系统 在一台物理设备上可以做的任何事在虚系统上都可以做，包括访问控制，带宽管理和动态路由功能。 高灵活性 不需要增添硬件，而是通过增加虚系统进行扩展 简化配置管理 使复杂的路由及策略配置更简单 减少所需策略数量－降低由于策略配置错误带来的安全隐患 增加用户服务机会 在一台机器上运行多个虚系统来服务多个用户，来增加新业务的机会 想象一下在一个阿姆瑞特防火墙冗余群集使用成百的虚系统来替代同等数量的网关设备，而每一个虚系统都为一个负费的客户服务！ 对VLAN（802.1Q）的支持 阿姆瑞特防火墙技术特点 全方位安全防护 强大的路由功能 专业的带宽管理 灵活的网络接入 丰富的