郑万波《网络安全精品教学》防火墙.pptVIP

Company Logo LOGO 国内防火墙产品介绍杨卓越 “天网防火墙”是我国首个达到国际一流水平、首批获得国家信息安全认证中心、国家公安部、国家安全部认证的软硬件一体化网络安全产品 天网防火墙FW3010 包过滤功能?? ?具有TCP标志位检测功能 ?具有双向的网络地址转换功能 ?具有流量统计与流量限制功能? ?具有国际首创的DoS防御网关技术 支持一个网络端口绑定多个IP地址 从而支持多个子网和多种IP应用? 天网防火墙FW3010 支持IP与MAC地址绑定，有效地管理IP地址资源? 具有实时系统监控功能，能观察系统的运行状态及网络连接状况? 具有实时报警功能，通过拨打电话和Email的方式报警? 具有系统操作记录，可以记录系统管理员的所有操作情况 传统防火墙 糖葫芦 入侵检测 防病毒 Web应用防护系统 网络地址转换（NAT）、协议状态检查以及VPN功能 背景及特征 基于2-4层进行安全防护的传统防火墙，并无法有效防护来自应用层的网络威胁；而集成了防火墙、入侵防御和杀毒软件的UTM，在开启多个应用层处理功能后，性能急剧下降，无法满足用户的业务需求。 Unified Threat Management，统一威胁管理。即将防病毒、入侵检测和防火墙安全设备划归统一威胁管理(Unified Threat Management，简称UTM)新类别 将多种安全特性集成于一个硬设备里，构成一个标准的统一管理平台 下一代防火墙（第二代防火墙） 第二代防火墙标准（即下一代防火墙标准）GA/T1177-2014《信息安全技术 第二代防火墙安全技术要求》 于2015年2月在北京举行的第二代防火墙标准发布会，是由公安部网络安全保卫局、公安部科技信息化局和公安部第三研究所进行指导，由深信服科技、绿盟科技和网神共同举办。 下一代防火墙 “基于用户防护”与“面向应用安全”的设计理念 应用协议访问控制 应用内容访问控制 用户识别 入侵防御 恶意代码防护 Web攻击防护 信息泄露防护 ---第二代防火墙标准编制说明 应用层访问控制 华为USG6600 可识别6000+应用，访问控制精度到应用功能，例如：区分微信的文字和语音。 从应用、用户、内容、时间、威胁、位置6个维度进行一体化的管控和防御 深度入侵防御 H3C 支持对黑客攻击、蠕虫/病毒、木马、恶意代码、间谍软件/广告软件、DoS/DDoS常等攻击的防御 支持缓冲区溢出、SQL注入、IDS/IPS逃逸等攻击的防御 支持攻击特征库的分类（根据攻击类型、目标机系统进行分类）、分级（分高、中、低、提示四级） 支持攻击特征库的手动和自动升级（TFTP和HTTP） 支持对BT等P2P/IM识别和控制 用户识别 H3C 支持验证、授权和计帐（AAA）服务。包括：基于RADIUS/HWTACACS+、CHAP、PAP 等的认证。 华为 支持多种用户认证方式，包括本地、RADIUS、Hwtacacs、SecureID、AD、CA、LDAP、EndPoint Security等。 数据防泄漏 数据防泄漏：对传输的文件和内容进行识别过滤。可识别120+种常见文件类型，防止通过修改后缀名的病毒攻击。能对Word、Excel、PPT、PDF、RAR等30+文件进行还原和内容过滤，防止企业关键信息通过文件泄露。 下一代防火墙的新增特点（共同点） 基于应用的带宽管理 URL过滤 负载均衡 智能路由 DDOS 丰富报表 IPV6 华为 USG6600 下一代防火墙的防护范围和控制精度比传统防火墙大大增加，这对使用者的经验和技能提出了更高的要求。华为USG6000利用Smart Policy功能降低对使用者的要求，更好的进行防护。Smart Policy主要具备以下功能： 快速部署策略：内置场景策略模板，不依赖使用者的经验也能快速地部署常用防护策略。 智能优化策略：根据内置应用风险库和网络实际流量对已部署的安全策略进行评估和优化，使其符合最小授权原则。在企业遗留大量端口防护策略，需要转换为NGFW使用的应用防护策略时尤其有用。 智能精简策略：自动发现重复的和长期没有使用的策略，精简策略规模，简化管理； 深信服 深信服 H3C 5020 基于先进的深度挖掘及分析技术，采用主动收集、被动接收等方式，为用户提供集中化的日志管理功能，并对不同类型格式（Syslog、二进制流日志等）的日志进行归一化处理。同时，采用高聚合压缩技术对海量事件进行存储，并可通过自动压缩、加密和保存日志文件到DAS、NAS 或SAN 等外部存储系统，避免重要安全事件的丢失 启明星辰 天清汉马 事件关