东软_FW_5120-T.pptVIP

整机示意图 前面板 各指示灯说明 后面板 NetEye典型拓扑 NetEye 是一种重要的网络安全设备，是设置在不同网络或不同安全域之间的一道安全屏障，用于网络或安全域之间的安全访问控制 NetEye 主要有以下作用： 过滤进、出网络的数据流 管理进、出网络的访问行为 记录通过NetEye 的信息内容和活动 对网络攻击进行检测和报警 防火墙通常使用的安全控制技术主要是包过滤和应用代理服务。 工作原理 NetEye 采用状态检测包过滤的技术，以会话为单位处理网络之间的数据流，并在此基础上实现了混合模式（即数据的二层交换和三层路由功能），能够根据数据包的目的地址进行不同层次的转发。 NetEye 能根据数据包所属会话的会话状态，决定该数据包是否符合NetEye 的过滤规则。会话的引入使得包过滤过程不再以包为单位进行，而是以会话为单位进行，缩减了系统开销。 工作模式 NetEye 有三种工作模式：透明模式、路由模式和混合模式。NetEye 的工作模式是通过设置接口的工作模式来实现的。当NetEye 工作在透明模式时，需要将接口设置为二层接口；当NetEye 工作在路由模式时，需要将接口设置为三层接口；当NetEye 工作在混合模式时，则需要将相关接口分别设置为二层接口和三层接口。 数据包处理流程 功能组件 虚拟系统 虚拟系统（Virtual System， Vsys）是指将一个物理设备从逻辑上划分为多个独立的虚拟设备，每个Vsys 都有自己的管理员、安全策略和用户认证数据库等。通过划分Vsys，可以将原本只能由一个管理员完成的工作分派给多个管理员来完成，使得规模较大、拓扑较复杂的网络也能够易于管理。例如，在一个企业网络中，企业级管理员只需将不同部门的网络划分到不同的Vsys 中，然后为每个部门对应的Vsys 分配管理员即可，剩下的配置和管理工作则由各部门的管理员在相应的Vsys 上完成。 高可用性 高可用性（High Availability， HA）提供了一种解决网络中由于单点故障而带来的风险的方法。 功能组件 虚拟专用网 虚拟专用网（Virtual Private Network， VPN）可以理解为虚拟出来的网络内部专线，它是利用特殊的加密通讯协议在外部网和内部网之间的建立一条专用通讯线路，用于保护网络信息流的安全性。 攻击防御 网络中的攻击可能是收集网络信息的探测，也可能是破坏、停用或损害网络资源等攻击。针对不同的攻击方式， NetEye 提供了各种安全域级和策略级的检测方法和防御机制。NetEye 提供的检测和防御机制包括探测防御、拒绝服务攻击、IP 分片重组、TCP逃避控制、IP 选项校验以及ICMP 攻击防御。 功能组件 深层检测 NetEye 支持的深度检测（Deep Inspection， DI）针对应用层数据进行解析，并对应用层数据的内容进行安全性检测和控制。NetEye 支持以RFC 规范及管理员设置的协议限制条件对应用层数据进行检测，支持对应用层数据进行防病毒、反垃圾邮件、URL 过滤、攻击签名和防信息泄漏等内容检测，并且支持防病毒规则和攻击签名规则的实时更新。 NAT 负载均衡 网络地址转换（Network Address Translation， NAT）解决了IPv4 地址不足的问题，同时也能够隐藏内部网络的拓扑结构，提高网络安全性。NAT 负载均衡是将集中在一台服务器上的用户请求尽可能平均地分发到多台服务器上，从而最大限度地提高服务器工作效率。NetEye 的NAT 负载均衡支持链路探测功能， NetEye 可以自动检测服务器的工作状态。当一台服务器出现故障时， NetEye 不会将用户的服务请求继续转发到该服务器上，从而使NetEye 具有高容错性。 功能组件 策略路由 在NetEye 中，策略路由是带有限定条件的静态路由，这些条件包括数据包的源IP 地址、所属的传输层协议等内容，管理员通过设定这些条件来决定哪些数据包使用特定的静态路由，从而进行更加具体的路由控制。每条策略路由都对应一张静态路由表，该策略路由的属性值决定哪些数据包会使用这张静态路由表来选路。 动态路由 NetEye 支持动态路由功能。NetEye 的路由表项是通过相互连接的路由设备之间交换彼此信息，然后按照一定的算法优化出来的，并且这些路由信息随着网络变化动态地更新，以随时获得最优路径。NetEye 支持路由信息协议(RIP)、开放式最短路径优先协议（OSPF）和边界网关协议(BGP)，使NetEye 可以适应网络规模较大、拓扑结构不固定的网络环境。 初始配置 NetEye 设备首次开机后，管理员需要对其进行初始配置。通过初始配置，管理员可以远程访问并且配置和管理NetEye 设备。 其他配置 当完成了初始配置并将NetEye