迪普防火墙技术白皮书.docVIP

迪普FW1000系列防火墙 技术白皮书 概述 随着网络技术的普及，网络攻击行为出现得越来越频繁。通过各种攻击软件，只要具有一般计算机常识的初学者也能完成对网络的攻击。各种网络病毒的泛滥，也加剧了网络被攻击的危险。目前，Internet网络上常见的安全威胁分为以下几类： 非法使用：资源被未授权的用户（也可以称为非法用户）或以未授权方式（非法权限）使用。例如，攻击者通过猜测帐号和密码的组合，从而进入计算机系统以非法使用资源。 拒绝服务：服务器拒绝合法用户正常访问信息或资源的请求。例如，攻击者短时间内使用大量数据包或畸形报文向服务器不断发起连接或请求回应，致使服务器负荷过重而不能处理合法任务。 信息盗窃：攻击者并不直接入侵目标系统，而是通过窃听网络来获取重要数据或信息。 数据篡改：攻击者对系统数据或消息流进行有选择的修改、删除、延误、重排序及插入虚假消息等操作，而使数据的一致性被破坏。 目前网络中主要使用防火墙来保证内部网路的安全。防火墙类似于建筑大厦中用于防止火灾蔓延的隔断墙，Internet防火墙是一个或一组实施访问控制策略的系统，它监控可信任网络（相当于内部网络）和不可信任网络（相当于外部网络）之间的访问通道，以防止外部网络的危险蔓延到内部网络上。防火墙作用于被保护区域的入口处，基于访问控制策略提供安全防护。例如：当防火墙位于内部网络和外部网络的连接处时，可以保护组织内的网络和数据免遭来自外部网络的非法访问（未授权或未验证的访问）或恶意攻击；当防火墙位于组织内部相对开放的网段或比较敏感的网段（如保存敏感或专有数据的网络部分）的连接处时，可以根据需要过滤对敏感数据的访问（即使该访问是来自组织内部）。 防火墙技术经历了包过滤防火墙、代理防火墙、状态防火墙的技术演变，但是随着各种基于不安全应用的攻击增多以及网络蠕虫病毒的泛滥，传统防火墙面临更加艰巨的任务，不但需要防护传统的基于网络层的协议攻击，而且需要处理更加高层的应用数据，对应用层的攻击进行防护。对于互联网上的各种蠕虫病毒，必须能够判断出网络蠕虫病毒的特征，把网络蠕虫病毒造成的攻击阻挡在安全网络之外。从而对内部安全网络形成立体、全面的防护。 造成当前网络“安全危机”另外一个因素是忽视对内网安全的监控管理。防火墙防范了来之外网的攻击，对于潜伏于内部网络的“黑手”却置之不理，很容易造成内网变成攻击的源头，导致内网数据泄密，通过NAT从内部网络的攻击行为无法进行审计。由于对内部网络缺乏防范，当内部网络主机感染蠕虫病毒时，会形成可以感染整个互联网的污染源头，导致整个互联网络环境低劣。 对于网络管理者，不但需要关注来自外部网络的威胁，而且需要防范来自内部网络的恶意行为。防火墙需要提供对内部网络安全保障的支持，形成全面的安全防护体系。 功能介绍 DPtech FW1000系列硬件防火墙产品是一种改进型的状态防火墙，采用专门设计的高可靠性硬件系统和具有自主知识产权的专有操作系统，将高效的包过滤功能、透明的代理服务、基于改进的状态检测安全技术、丰富的统计分析功能、多种安全保障措施集于一身，提供多类型接口和工作模式。不但提供对网络层攻击的防护，而且提供多种智能分析和管理手段，全面立体的防护内部网路。DPtech FW1000防火墙提供多种网络管理监控的方法，协助网络管理员完成网络的安全管理。DPtech FW1000防火墙采用ASPF状态检测技术，可对连接过程和有害命令进行监测，并协同ACL完成包过滤，支持NAT-PAT，支持IPSec VPN加密等特性，提供包括DES、3DES等多种加密算法，并支持证书认证。此外，还提供数十种攻击的防范能力，所有这些都有效地保障了网络的安全。下面重点描述DPtech FW1000防火墙的主要安全功能。 ASPF ASPF（Application Specific Packet Filter）是针对应用层的包过滤，即基于状态的报文过滤。它和普通的静态防火墙协同工作，以便于实施内部网络的安全策略。ASPF能够检测试图通过防火墙的应用层协议会话信息，阻止不符合规则的数据报文穿过。 为保护网络安全，基于访问控制列表的包过滤可以在网络层和传输层检测数据包，防止非法入侵。ASPF能够检测应用层协议的信息，并对应用的流量进行监控。 ASPF还提供以下功能： DoS（Denial of Service，拒绝服务）的检测和防范。 Java Blocking（Java阻断），用于保护网络不受有害的Java Applets的破坏。 支持端口到应用的映射，用于应用层协议提供的服务使用非通用端口时的情况。 增强的会话日志功能。可以对所有的连接进行记录，包括：记录连接的时间、源地址、目的地址、使用的端口和传输的字节数。 ASPF对应用层的协议信息进行检测，并维护会话的状态，检查会话的报文