04POWER-V火墙介绍及安装.ppt

POWER V防火墙产品安装调试 对2.3系列防火墙的改进 纯路由模式 复杂网络环境支持 HA集群，双机热备，会话同步 VLAN TRUANK (802.1Q支持，ISL待支持) 网络处理性能 64字节双向吞吐率最高可达96% 配置管理 重大变化 新增命令行实现Web界面的绝大部分功能 重新设计Web 产品特点 “三高”、“管理者的防火墙” 高安全 支持IPSec协议的VPN 高可用性 适应多种网络环境 高性能 64字节小包吞吐率可达96％（硬件相关） 更细致的过滤规则，更多可配置参数 代理，端口映射，IP映射，包过滤，NAT规则 带宽管理规则 IP/MAC绑定规则 黑名单，URL过滤，网页内容过滤 支持更多的动态应用，支持动态应用的状态过滤和地址转换 FTP H.323 (Netmeeting) IRC (聊天客户端) PPTP （网络层加密传输） RTSP （流媒体传输） TFTP （简单文件传输） TNS （Oracle 数据库网络传输协议） MSN Proxy （MSN 代理实现） 更全面的地址转换功能，支持双向映射 高效的抗攻击特性 安全选项，总开关 抗地址欺骗攻击 抗源路由攻击 抗Smurf攻击 抗LAND攻击 抗Winnuke攻击 抗Queso扫描 抗SYN/FIN扫描 抗NULL扫描 抗圣诞树攻击 根据规则的抗攻击 抗SynFlood攻击 抗UDPFlood攻击 抗ICMPFlood攻击 抗Ping of Death攻击 状态检测和主动包过滤 采取主动过滤技术，在链路层截取并分析数据包以提高处理性能，对流经数据包进行基于IP地址、端口、用户、时间等的动态过滤，还可以结合定义好的策略，动态生成规则，这样既保证了安全，又满足应用服务动态端口变化的要求。可支持多个动态应用，包括ftp、h.323、pptp、rtsp、tns等。 双向NAT地址转换 在全透明模式下提供了双向地址转换（NAT）功能，能够有效地屏蔽整个子网的内部结构，使得黑客无从发现子网存在的缺陷，还可使企业能够通过共享IP地址的方法解决IP地址资源不足的问题。支持静态NAT、动态NAT及IP映射（支持负载均衡功能）、端口映射。 应用层透明代理 支持透明代理功能，提供对HTTP、FTP（可限制GET、PUT命令）、TELNET、SMTP（邮件过滤）、POP3等标准应用服务的透明代理，同时提供在用户自定义服务下的透明代理，支持网络接口限定。通过提供透明的代理服务，使受控网络中的用户感觉不到代理的存在，这样不必改变客户端配置，就能在授权范围内与外网通信，减少了网络管理员的工作量。 防IP地址欺骗 对指定接口所连接的网络中主机的IP 和MAC 地址进行绑定，防止IP 盗用，并对非法IP 的访问提供详细的记录，以便防火墙管理员查看。 时间管理和带宽管理 支持过滤规则的时间域设定，防火墙管理员在定义好一条规则后，能够指定这条规则的启动、生效、关闭的时间域。 提供QoS机制，能够用优先级和流量控制方式分配网络带宽，从而有效地保证需要特殊带宽的网络服务。 模块升级与灾难恢复 规则及配置信息的导入导出、备份恢复 支持防火墙软件、入侵检测库的版本升级，并提供了完善的灾难恢复机制。当防火墙由于各种原因而出现网御电子钥匙不可用、Pin口令忘记、证书不可用或过期、防火墙IP地址遗失等现象时，管理员只要初始化主机，并将事前保存的系统配置文件导入防火墙，防火墙就能恢复正常的工作状态。 可以把配置的各项数据从防火墙导出做备份；需要时可以把以前的配置信息导入到防火墙，恢复到以前的状态，也可以导入到另一台相同型号的防火墙，从而给防火墙管理员的工作带来很大的便利和很好的安全保证。 邮件过滤和URL过滤 对收件和发件的邮件主题、正文、收发件人、附件名、附件内容等进行过滤，对邮件内容除提供关键字匹配外，还提供基于文本格式的中文内容智能过滤。 URL过滤和网页关键字过滤，支持基于时间控制的关键字智能过滤。 互动式实时入侵检测（IDS）与实时阻断安全服务区（ SSN ）基于网络服务的负载均衡 能够识别并防范对网络和主机的扫描攻击、异常网络协议攻击、IP欺骗攻击、源IP攻击、IP碎片攻击、DoS/DDoS攻击等；可根据入侵检测结果自动地调整防火墙的安全策略，及时阻断入侵的网络连接，并可通过邮件的方式向管理员报警；支持用户自定义监测规则，支持规则库的手动升级。 实现了高效的负载均衡算法，通过反向NAT功能，防火墙可以为用户SSN（安全服务区）内的服务器有效地基于访问源地址均衡网络服务的流量。 日志审计和集中安全管理 提供防火墙日志管理和日志服务器，具有实时监控、审计、报警和自动备份功能，同时日志服务器管理员与防火墙管理员