Cisco? ASA 5500 系列自适应安全设备是思科专门设计的解决方案,将最高的安全性和出色VPN服务与创新的可扩展服务架构有机地结合在一起。作为思科自防御网络的核心组件,Cisco ASA 5500系列能够提供主动威胁防御,在网络受到威胁之前就能及时阻挡攻击,控制网络行为和应用流量,并提供灵活的VPN连接。思科强大的多功能网络安全设备系列不但能为保护家庭办公室、分支机构、中小企业和大型企业网络提供广泛而深入的安全功能,还能降低实现这种新安全性相关的总体部署和运营成本及复杂性。
Cisco ASA 5500 系列在一个平台中有力地提供了多种已经获得市场验证的技术,无论从运营角度还是从经济角度看,都能够为多个地点部署各种安全服务。利用其多功能安全组件,企业几乎不需要作任何两难选择,也不会面临任何风险,既可以提供强有力的安全保护,又可以降低在多个地点部署多台设备的运营成本。Cisco ASA 5500系列包含全面的服务,通过为中小企业和大型企业定制的产品版本,能满足各种部署环境的特定需求。这些版本为各地点提供了相应的服务,从而达到出色的保护效果。每个版本都综合了一套Cisco ASA 5500系列的重点服务(如防火墙、IPSec和SSL VPN、IPS,以及Anti-X服务),以符合企业网络中特定环境的需要。通过确保满足每个地点的安全需求,网络整体安全性也得到了提升。
图1. Cisco ASA 5500系列自适应安全设备
Cisco ASA 5500 系列能够通过以下关键组件帮助企业更有效地管理网络并提供出色的投
资保护:
?经过市场验证的安全与VPN功能- 全特性、高性能的防火墙,入侵防御系统(IPS), Anti-X和IPSec/SSL VPN 技术提供了强大的应用安全性、基于用户和应用的访问
控制、蠕虫与病毒防御、恶意软件防护、内容过滤以及远程用户/站点连接。
?可扩展的自适应识别与防御服务架构-利用Cisco ASA 5500系列的一个模块化服务处理和策略框架,企业可根据每个流量的情况,应用特定的安全或网络服务,提
供高度精确的策略控制和各种防御服务,并简化流量处理。该架构具有出色的效率,安全服务模块(SSM)和安全服务卡则提供了软件和硬件可扩展性,因此无需更换平台,也不会降低性能,即能扩展现有服务和部署新服务。Cisco ASA 5500系列支持高度可定制的安全策略和前所未有的服务可扩展性,来为威胁程度迅速提高的环
境提供保护。
?降低部署和运营成本-多功能的Cisco ASA 5500系列可实现平台、配置和管理的标准化,从而降低部署与日常运营本。
Cisco ASA 5500系列简介
Cisco ASA 5500系列包括Cisco ASA 5505、5510、5520、5540和5550自适应安全设备-这些定制的高性能安全解决方案充分利用了思科系统公司?在开发业界领先、屡获大奖的安全和VPN解决方案方面的丰富经验。该系列集成了Cisco PIX? 500系列安全设备、Cisco IPS 4200系列传感器和Cisco VPN 3000系列集中器的最新技术。通过结合上述技术,Cisco ASA 5500系列提供了一个无与伦比的优秀解决方案,能防御范围最为广泛的威胁,为企业
提供灵活、安全的连接选项。作为思科自防御网络的核心组件,Cisco ASA 5500系列提供了主动的威胁防御,能够在攻击蔓延到整个网络之前进行阻止,控制网络活动和应用流量,并提供灵活的VPN连接。这些功能的结合打造了强大的多功能网络安全产品系列,不但能为中小企业(SMB)、大企业和电信运营商网络提供广泛深入的安全保护,还降低了提供如此出色的安全性所涉及的部署和运营成本以及复杂性。
Cisco ASA 5500系列具有可扩展的思科AIM服务架构和灵活的多处理器设计,使这些自适应安全设备能在提供多项并发安全服务时获得前所未有的性能,且同时实现出色的投资保护。Cisco ASA 5500系列自适应安全设备结合了多个协同工作的高性能处理器,以提供高级防火墙服务、IPS服务、Anti-X/内容安全服务、IPSec和SSL VPN服务等。企业能通过安装Cisco ASA 5500系列安全服务模块-例如提供入侵防御服务的高级检测和防御安全服务模块(AIP SSM)或提供高级Anti-X服务的Cisco ASA 5500系列内容安全和控制安全服务模块(CSC SSM),添加更多高性能安全服务。这种灵活的设计使Cisco ASA 5500系列能够独特地应对新威胁、在快速发展的威胁环境中提供保护,并通过可编程硬件使该平台适应未来几年的变化,从而实现出色的投资保护。Cisco ASA 5500系列结合了这些高性能、经过市场验证的安全和VPN功能,以及集成化千兆以太网连接和基于闪存的无磁盘架构,非常适用于需要高性能、灵活、可靠且能保护投资的最佳安全解决方案的企业。
所有Cisco ASA 5500系列设备都包括基本系统所能支持的最大IPSec VPN用户数;SSL VPN的许可和购买须单独进行。通过融合IPSec和SSL VPN服务与全面的威胁防御技术,Cisco ASA 5500系列提供了高度可定制的网络接入功能,来满足各种部署环境的需要,并提供了全面的终端和网络级安全。
Cisco ASA 5505自适应安全设备
Cisco ASA 5505自适应安全设备是一款下一代、全功能的安全设备,适用于小型企业、分支机构和大型企业远程工作人员等环境,在一个模块化的"即插即用"设备中提供了高性能防火墙、IPSec和SSL VPN,以及丰富的网络服务。利用基于Web的集成化思科自适应安全设备管理器,能够迅速部署和轻松管理Cisco ASA 5505,使企业能最大限度地降低运营成本。Cisco ASA 5505配有一个灵活的8端口10/100快速以太网交换机,其端口能进行动态组合,为家庭、企业和互联网流量创建三个独立VLAN,以改进网络分区和安全。Cisco ASA 5505提供两个以太网供电(PoE)端口,简化了配备自动安全IP语音(VoIP)功能的思科IP电话的部署,以及外部无线接入点的部署,扩展了网络移动性。Cisco ASA 5505与其他Cisco ASA 5500系列设备类似,通过其模块化设计,提供了一个外部扩展插槽和多个USB端口,能在未来添加更多服务,从而实现了出色的扩展能力和投资保护。
随着企业需求的发展,客户能安装Security Plus升级许可证,扩展Cisco ASA 5505自适应安全设备,以支持更高的连接能力和更多的IPSec VPN用户,增加完全DMZ支持,并通过VLAN端口汇聚支持,集成到交换式网络环境之中。此外,这一升级许可证还凭借对冗余ISP连接和无状态主用/备用高可用性服务的支持,提供了最高业务连续性。市场领先的安全和VPN服务、先进的网络特性、灵活的远程管理功能,以及面向未来的可扩展性,使Cisco ASA 5505成为需要最佳小型企业、分支机构或大型企业远程工作人员安全解决方案的企业的理想选择。
表1列出了Cisco ASA 5505的特性。
表1. Cisco ASA 5505自适应安全设备平台的功能和容量
特性说明
防火墙吞吐率高达150 Mbps
VPN 吞吐率高达100 Mbps
并发连接10,000/25,000
IPSec VPN 对10 ;25*
10 或25
SSL VPN 对许可证级别
**
接口8 端口快速以太网交换机,带动态端口分组(包括 2 个PoE 端
口)
虚拟接口(VLAN) 3 个(无中继支持);完全DMZ ,3 个*
高可用性不支持;无状态主用/ 备用和双ISP 支持*
*通过Cisco ASA 5505 Security Plus 许可证提供的升级特性
**通过独立许可证实现的特性;基本系统包括2个
Cisco ASA 5510自适应安全设备
Cisco ASA 5510 自适应安全设备在一个易于部署、经济有效的设备中为中小企业和大型企业的远程/分支机构提供了种类丰富的高级安全和网络服务。这些服务可以通过基于Web的集成化思科自适应安全设备管理器应用进行轻松的管理和监控,从而降低了提供高水平安全性所需的总体部署和运营成本。Cisco ASA 5510 自适应安全设备提供了高性能的防火墙和VPN服务,3个集成的10/100 快速以太网接口,并通过AIP SSM提供了可选高性能入侵防御和蠕虫消除服务,或通过CSC SSM提供可选的全面恶意软件防护服务。这些服务在单一平台上的独特结合,使Cisco ASA 5510成为那些需要支持DMZ的经济有效、可扩展安全解决方案的企业的理想选择。
随着企业需求的增长,客户能安装一个Security Plus升级许可证,将Cisco ASA 5510自适应安全设备扩展到更高的接口密度,并通过VLAN支持集成到交换式网络环境中。此外,此升级许可证通过支持主用/主用和主用/备用高可用性服务,最大限度提高了业务连续性。利用Cisco ASA 5510自适应安全设备的可选安全环境功能,企业最多能在一个设备中部署五个虚拟防火墙,从而在部门级别实现安全策略分区控制。这种虚拟化功能加强了安全性,降低了管理和支持总成本,同时可将多个安全设备集成到单个设备中。
表2列出了Cisco ASA 5510的特性。
表2. Cisco ASA 5510自适应安全设备平台的功能和容量
特性说明
防火墙吞吐率高达300 Mbps
并发威胁防御吞吐率150 Mbps ,采用AIP-SSM-10
( 防火墙+ IPS 服务) 300 Mbps ,采用AIP-SSM-20
VPN 吞吐率高达170 Mbps
并发连接50,000/130,000*
IPSec VPN 对250
SSL VPN 对许可证级别** 10 、25 、50 、100 或250
安全环境最多5个***
接口 3 个快速以太网+ 1 个管理端口; 5 个快速以太网端口*
虚拟接口(VLAN) 50/100*
高可用性不支持;主用/ 主用,主用/ 备用*
*通过Cisco ASA 5510 Security Plus 许可证提供的升级特性
**通过独立许可证实现的特性;基本系统包括2个
***通过独立许可证实现的特性;Cisco ASA 5510 Security Plus许可证包括2个
Cisco ASA 5520自适应安全设备
Cisco ASA 5520 自适应安全设备凭借一个模块化、高性能的设备,为中型企业网络提供了具备主用/主用高可用性和千兆以太网连接的大量安全服务。利用其4个千兆以太网接口和多达100个的VLAN,企业能够轻松地将Cisco ASA 5520部署到网络中的多个分区。Cisco ASA 5520 自适应安全设备能随着企业网络安全要求的增长而扩展,从而提供了强大的投资保护功能。
企业能够扩大其IPSec 和SSL VPN 容量,以支持更多的移动员工、远程地点和业务合作伙伴。通过安装一个SSL VPN升级许可证,企业能在每个Cisco ASA 5520上支持750个SSL VPN对;基本平台上支持750个IPSec VPN对。Cisco ASA 5520的集成VPN集群和负载均衡功能可提高VPN容量和永续性。Cisco ASA 5520在一个集群中最多支持10个设备,从而每个集群能支持多达7500个SSL VPN对或7500个IPSec VPN对。Cisco ASA 5520的高级应用层安全和Anti-X防御能通过部署AIP SSM的高性能入侵防御和蠕虫消除功能、或CSC SSM的全面恶意软件防护而得到增强。利用Cisco ASA 5520 自适应安全设备的可选安全环境功能, 企业可在一个设备中部署多达20个虚拟防火墙,实现部门级的安全策略分区控制。这种虚拟化功能加强了安全性,降低了管理和支持总成本,同时可将多个安全设备集成到单个设备中。
表3列出了Cisco ASA 5520的特性。
表3. Cisco ASA 5520自适应安全设备平台的功能和容量
特性说明
防火墙吞吐率高达450 Mbps
并发威胁防御吞吐率( 防火墙+ IPS 服务) 高达225 Mbps ,采用AIP-SSM-10 高达375 Mbps ,采用AIP-SSM-20
VPN 吞吐率高达225 Mbps
并发连接280,000
IPSec VPN 对750
SSL VPN 对许可证级别*10 、25 、50 、100 、250 、500 或750
安全环境高达20 个*
接口 4 个千兆以太网端口和 1 个快速以太网端口
虚拟接口(VLAN) 150
可扩展性VPN 集群与负载均衡
高可用性主用/ 主用, 主用/ 备用
*通过独立许可证实现的特性;基本系统包括2个
Cisco ASA 5540自适应安全设备
Cisco ASA 5540 自适应安全设备在一个可靠的模块化设备中为大中型的企业和电信运营商网络提供了具备主用/主用高可用性和千兆以太网连接的大量高性能、高密度安全服务。利用其4个千兆以太网接口和多达100个的VLAN,企业能通过Cisco ASA 5540将网络分成多个分区,从而提高安全性。Cisco ASA 5540 自适应安全设备可随着企业网络安全要求的提高而扩展,从而提供了强大的投资保护功能和服务可扩展性。通过部署AIP SSM来提供高性能入侵防御和蠕虫消除功能,Cisco ASA 5540自适应安全设备提供的高级网络和应用层安全服务以及Anti-X防御将得到增强。
企业能扩大其IPSec 和SSL VPN 容量,以支持更多的移动员工、远程地点和业务合作伙伴。通过安装一个SSL VPN升级许可证,企业能在每个Cisco ASA 5540上支持2500个SSL VPN对;基本平台上支持5000个IPSec VPN对。Cisco ASA 5540的集成VPN集群和负载均衡功能可提高VPN容量和永续性。Cisco ASA 5540在一个集群中能支持10个设备,从而使每个集群最多可支持25,000个SSL VPN对或50,000个IPSec VPN对。利用Cisco ASA 5540 自适应安全设备的可选安全环境功能, 企业可在一个设备中部署多达50个虚拟防火墙,实现部门级或每用户安全策略分区控制,同时降低管理和支持总成本。
表4列出了Cisco ASA 5540的特性。
表4. Cisco ASA 5540自适应安全设备平台的功能和容量
特性说明
防火墙吞吐率高达650 Mbps
高达450 Mbps ,采用AIP-SSM-20
并发威胁防御吞吐率
( 防火墙+ IPS 服务)
VPN 吞吐率高达325 Mbps
并发连接400,000
IPSec VPN 对5,000
SSL VPN 对许可证级10 、25 、50 、100 、250 、500 、750 、1000 和2500
别*
安全环境高达50 个*
接口 4 个千兆以太网端口和1 个快速以太网端口
虚拟接口(VLAN) 200
可扩展性VPN 集群与负载均衡
高可用性主用/ 主用, 主用/ 备用
*通过独立许可证实现的特性;基本系统包括2个
Cisco ASA 5550自适应安全设备
Cisco ASA 5550自适应安全设备在一个可靠的单机架单元设备中为大型企业和电信运营商网络提供了具备主用/主用高可用性和光纤及千兆以太网连接的大量千兆级安全服务。利用其8个千兆以太网接口、4个SFP光纤接口*和多达200个的VLAN,企业可以将网络分成多个高性能分区,从而提高安全性。
Cisco ASA 5550自适应安全设备可随着企业网络安全要求的提高而扩展,从而提供了强大的投资保护功能和服务可扩展性。企业能扩大其IPSec 和SSL VPN 容量,以支持更多的移动员工、远程地点和业务合作伙伴。通过安装一个SSL VPN升级许可证,企业能在每个Cisco ASA 5550上支持5000个SSL VPN对;基本平台上支持5000个IPSec VPN对。Cisco ASA 5550的集成VPN集群和负载均衡功能可提高VPN容量和永续性。Cisco ASA 5550在一个集群中能支持10个设备,从而使每个集群最多可支持50,000个SSL VPN对或50,000个IPSec VPN对。利用Cisco ASA 5550 自适应安全设备的可选安全环境功能, 企业可在一个设备中部署多达50个虚拟防火墙,实现部门级或每用户安全策略分区控制,同时降低管理和支持总成本。
*注:该系统共提供12个千兆以太网端口,其中8个能随时提供服务。企业可选择铜缆或光纤连接,从而为数据中心、园区或企业边缘连接提供了灵活性。
表5列出了Cisco ASA 5550的特性。
表5. Cisco ASA 5550自适应安全设备平台的功能和容量
特性说明
防火墙吞吐率高达 1.2 G bps
VPN 吞吐率高达425 Mbps
并发连接650,000
IPSec VPN 对5,000
SSL VPN 对许可证级别*10 、25 、50 、100 、250 、500 、750 、
1000 、2500 和5000
安全环境高达50个*
接口8 个千兆以太网端口、 4 个SFP 光纤端口和 1 个
快速以太网端口
虚拟接口(VLAN) 250
可扩展性VPN 集群与负载均衡
高可用性主用/ 主用, 主用/ 备用
*通过独立许可证实现的特性;基本系统包括2个
产品规格
表6提供了Cisco ASA 5505、5510、5520、5540和5550自适应安全设备的比较。表6. Cisco ASA 5500系列自适应安全设备的特性
Cisco ASA 5505 Cisco ASA
5510 Cisco ASA
5520
Cisco ASA
5540
Cisco ASA
5550
个快速以太网端口*网端口网端口纤端口,1
个快速以太
网端口
虚拟接口(VLAN) 3 (无中继支持)/
20 (中继支持)
50/100 150 200 250
安全环境( 内置/ 最大) 0/0 0/0 ( 基本) ;
2/5 (Security
Plus)
2/20 2/50 2/50
高可用性不支持;无状态主用
/ 备用和双ISP 支
持*
不支持;主用/
主用和主用/
备用*
主用/ 主用
和主用/ 备
用
主用/ 主用
和主用/ 备
用
主用/ 主用
和主用/ 备
用
扩展插槽1,SSC 1,SSM 1,SSM 1,SSM 0 用户可接
入的闪存
插槽
0 1 1 1 1
USB 2.0 端口3 (1 个在前面,2
个在后面)
2 2 2 2
串行端口 1 个RJ-45 控制台
端口2 个RJ-45 ,
控制台和辅助
端口
2 个
RJ-45 ,控制
台和辅助端
口
2 个
RJ-45 ,控制
台和辅助端
口
2 个
RJ-45 ,控制
台和辅助端
口
机架安装支持,配备机架安装
工具包(未来提供)
支持支持支持支持
墙壁安装支持,配备墙壁安装
工具包(未来提供)
不支持不支持不支持不支持
安全锁插
槽(用于物
理安全)
1 0 0 0 0
技术规格
内存
256 MB 256 MB 512 MB 1024
MB
4096 MB
最低系统
闪存
64 MB 64 MB 64 MB 64 MB 64 MB
系统总线多总线架构多总线架构多总线架构多总线
架构
多总线架构环境参数
工作
温度32o 到104oF (0o
到40oC)
32o 到104oF (0o 到40oC)
相对湿度 5 到95 %,非冷凝 5 到95 %,非冷凝
高度0 到984 0 ft ( 3
000 m)
0 到984 0 ft ( 3 000 m)
冲击 1.14 m/sec (45
in./sec) 1/2 正弦输
入
1.14 m/sec (45 in./sec) 1/2 正弦输入
震动0.41 Grms2 (3 到
500 Hz) 随机输入
0.41 Grms2 (3 到500 Hz) 随机输入
噪音最高0 dBa 最高60 dBa
非工作
温度-13o 到158oF (-25 到
70oC)
-13o 到158oF (-25 到70oC)
相对湿度 5 到95 %,非冷凝 5 到95 %,非冷凝
高度0 到15000 ft (4570 m) 0 到15000 ft (4570 m)
冲击30 G 30 G
震动0.41 Grms2 (3 到500 Hz)
随机输入
0.41 Grms2 (3 到500 Hz) 随机输入电源
输入电压( 每电源)
线路电压
范围
100 - 240VAC 100 - 240VAC
额定线路
电压
100 - 240VAC 100 - 240VAC
电流 1.8A 3A
频率50/60Hz 47/63Hz, 单相
输出
稳定状态 20W 150W
峰值96W 190W
最高热耗
散
72 BTU/ 小时648 BTU/ 小时
物理规格
外型桌面1RU, 19 英寸机架安装
尺寸( 高X 宽X 长) 1.75 x 7.89 x 6.87 英寸
( 4.45x20.04x17.45cm )
1.75 x 17.5 x 14.25 英寸
( 4.45x20.04x36.20cm )
重量( 带
电源)
4.0 磅(1.8 公斤)20.0 磅(9.07 公斤)22.0 磅(10 公斤)符合的法规和标准
安全UL 60950, CSA
C22.2 No. 60950, UL 1950, CSA C22.2 No. 950, EN 60950 IEC 60950, AS/NZS3260, TS001
EN 60950, IEC 60950,
AS/NZS60950
电磁兼容性(EMC) CE marking, FCC
Part 15 Class B,
AS/NZS 3548 Class
B, VCCI Class B,
EN55022 Class B,
CISPR22 Class B,
EN61000-3-2,
EN61000-3-3
CE marking, FCC Part 15 Class A, AS/NZS 3548 Class
A, VCCI Class A, EN55022 Class A, CISPR22 Class A,
EN61000-3-2, EN61000-3-3
行业认证认证过程中:ICSA
Firewall, ICSA
IPSec, Common
Criteria EAL4, FIPS
140-2 Level 2 Common Criteria EAL4+ US DoD
Application-Level Firewall for
Medium-Robustness Environments, FIPS
140-2 Level 2, NEBS Level 3, ICSA
Firewall, ICSA IPSec, ICSA Gateway
Anti-Virus ( 当配备CSCSSM-10 或
CSC-SSM-20) . 认证过程中: Common
Criteria EAL4 for VPN, Common Criteria
EAL2 for IPS on AIP SSM.
认证过程中:
ICSA
Firewall,
ICSA IPSec,
Common
Criteria
EAL4, FIPS
140-2 Level
2
*通过升级许可证提供
安全服务模块
Cisco ASA 5500系列利用其独特的AIM服务和多处理器硬件架构为网络提供了全新的集成安全性能。该架构使企业能够适应并扩展Cisco ASA 5500系列的高性能安全服务。客户能够利用带专用安全协处理器的安全服务模块增加额外的高性能安全服务,并可通过一个灵活的策略架构定制针对各工作流的策略。这一自适应架构使企业能够随时随地根据需要部署新的安全服务,例如增加AIP SSM提供的种类广泛的入侵防御和高级防蠕虫服务,或CSC SSM提供的全面恶意软件防护和Anti-X服务。此外,该架构使思科能够在将来方便地推出新服务,以抵御新的攻击,为Cisco ASA 5500系列提供出色的投资保护。
Cisco ASA 5500系列高级检测和防御模块
Cisco ASA 5500系列AIP SSM是一个基于网络的内置解决方案,能在恶意流量影响业务连续性前准确识别、分类并终止它们。利用Cisco ASA 5500系列IPS软件,AIP SSM结合了内置防御服务和创新技术,从而使用户能完全自信地保护所部署的IPS解决方案,且无需担心合法流量被丢弃。AIP SSM还能独特地与其他网络安全资源合作,以主动方式全面地保护网络。它利用准确的内置防御技术,能够在不承担丢弃合法流量的风险的情况下,前所未有地对更为广泛的威胁采取防御措施。这些出色的技术提供了针对数据的智能、自动、基于环境的分析,有助于确保企业通过入侵防御解决方案获得最大收益。此外,AIP SSM
使用多因素威胁识别来具体检测第二到七层的流量,从而保护网络免遭策略违背、安全漏洞利用以及异常行为的影响。
表7具体介绍了所提供的两种AIP SSM型号,以及它们各自的性能和物理特性。
表7. Cisco ASA 5500系列AIP SSM的特性
Cisco ASA 5500 系列SSM-AIP-10 Cisco ASA 5500 系列SSM-AIP-20
并发威胁防御吞吐率(防火墙+IPS 服务)150 Mbps ,Cisco ASA 5510
225 Mbps ,Cisco ASA 5520
300 Mbps ,Cisco ASA 5510
375 Mbps ,Cisco ASA 5520
450 Mbps ,Cisco ASA 5540
技术规格
内存 1 GB 2 GB
闪存256 MB 256 MB
环境参数
工作
温度32o 到104oF (0o 到40oC)
相对湿度 5 到95 %,非冷凝
非工作
温度-13o 到158oF (-25 到70oC)
功耗最高90 W
物理规格
尺寸( 高X
宽X 长)
1.70 x 6.80 x 1
2.25 英寸(4.32x17.27x31.12cm)
重量( 带电
源)
3.00 磅(1.36 公斤)
符合的法规和标准
安全UL 1950, CSA C22.2 No. 950, EN 60950 IEC 60950, AS/NZS3260, TS001
电磁兼容性(EMC) CE marking, FCC Part 15 Class A, AS/NZS 3548 Class A, VCCI Class A, EN55022 Class A, CISPR22 Class A, EN61000-3-2, EN61000-3-3
Cisco ASA 5500系列内容安全和控制模块
Cisco ASA 5500系列CSC SSM在互联网边缘提供了业界领先的威胁防御和内容控制特性,通过一个便于管理的解决方案集成了全面的防病毒、防间谍软件、文件阻拦、防垃圾邮
件、防网络钓鱼、URL阻止和过滤,以及内容过滤功能。CSC SSM增强了Cisco ASA 5500系列出色的安全功能,使客户能更好地保护和控制其业务通信的内容。该模块在运行和部署Cisco ASA 5500系列设备的基础上提供了更高灵活性和更多选择。多种许可证选项则允许机构根据每个组的需求定制特性和功能,包括高级内容服务和更高用户容量等特性。CSC SSM配有一个缺省特性集,能提供防病毒、防间谍软件和文件阻拦服务。通过额外收费,能为每个CSC SSM配备一个Plus许可证,提供防垃圾邮件、防网络钓鱼、URL阻止和过滤,以及内容控制服务。企业可以通过购买和安装更多用户许可证,来扩展CSC SSM的用户容量。
表8. Cisco ASA 5500系列CSC SSM的特性
Cisco ASA 5500 系列CSC-SSM-10 Cisco ASA 5500 系列CSC-SSM-20
支持的平台Cisco ASA 5510
Cisco ASA 5520 Cisco ASA 5510 Cisco ASA 5520 Cisco ASA 5540
标准和可选特性
标准用户许可
证
50 名用户500 名用户标准特性集防病毒,防间谍软件,文件阻拦
可选用户升级(总用户数)100 名用户
250 名用户
500 名用户
750 名用户
1000 名用户
可选特性升级 Plus 许可证-增加防垃圾邮件、防网络钓鱼、URL 阻止和过滤,以及内容控制功能
技术规格
内存 1 GB 2 GB
系统闪存256 MB 256 MB
环境参数
工作
温度32o 到104oF (0o 到40oC)
相对湿度10 到90 %,非冷凝
非工作
温度-13o 到158oF (-25 到70oC)
功耗最高90 W
物理规格
尺寸( 高X
宽X 长)
1.70 x 6.80 x 1
2.25 英寸(4.32x17.27x31.12cm)
重量( 带电
源)
3.00 磅(1.36 公斤)
符合的法规和标准
安全UL 1950, CSA C22.2 No. 950, EN 60950 IEC 60950, AS/NZS3260, TS001
电磁兼容性(EMC) CE marking, FCC Part 15 Class A, AS/NZS 3548 Class A, VCCI Class A, EN55022 Class A, CISPR22 Class A, EN61000-3-2, EN61000-3-3
Cisco ASA 5500系列4端口千兆以太网模块
Cisco ASA 4端口千兆以太网SSM使企业能更好地将网络流量划分到独立的安全分区中,为其网络环境提供更精确的安全性。这些分区包括互联网、公司内部机构/站点和DMZ等。此高性能模块支持铜缆和光纤连接选项,包括4个10/100/1000铜缆RJ-45端口和4个SFP 端口。企业能为每个端口分别选择部署铜缆或光纤连接,为数据中心、园区或企业边缘连接提供了灵活性(最多能有4个端口同时提供服务)。该模块扩展了Cisco ASA 5500系列的I/O规格,在Cisco ASA 5510上共提供5个快速以太网端口和4个千兆以太网端口,在Cisco ASA 5520和5540设备上提供8个千兆以太网端口和1个快速以太网端口(表9)。
表9. Cisco ASA 5500系列4端口千兆以太网SSM的特性
Cisco ASA 5500 系列4 端口GE SSM
电源)
符合的法规和标准
安全UL 1950, CSA C22.2 No. 950, EN 60950 IEC 60950, AS/NZS3260, TS001
电磁兼容性(EMC) CE marking, FCC Part 15 Class A, AS/NZS 3548 Class A, VCCI Class A, EN55022 Class A, CISPR22 Class A,
EN61000-3-2, EN61000-3-3
订购信息
如需订购产品, 请访问思科订购主页。表10提供了Cisco ASA 5500系列的订购信息。
产品名称产品编号
Cisco ASA 5500 系列防火墙版本捆绑
Cisco ASA 5505 10 用户捆绑,包括8 端口快速以太网交换机,
10 个IPSec VPN 对,2 个SSL VPN 对,三重数据加密标准/
高级加密标准(3DES/AES) 许可证
ASA5505-BUN-K9
Cisco ASA 5505 10 用户捆绑,包括8 端口快速以太网交换机,
10 个IPSec VPN 对,2 个SSL VPN 对,数据加密标准(DES)
许可证
ASA5505-K8
Cisco ASA 5505 50 用户捆绑,包括8 端口快速以太网交换机,
10 个IPSec VPN 对,2 个SSL VPN 对,3DES/AES 许可
证
ASA5505-50-BUN-K9
Cisco ASA 5505 无限用户捆绑,包括8 端口快速以太网交换机,
10 个IPSec VPN 对,2 个SSL VPN 对,3DES/AES 许可
证
ASA5505-UL-BUN-K9
Cisco ASA 5505 无限用户Security Plus 捆绑,包括8 端口快
速以太网交换机,25 个IPSec VPN 对, 2 个SSL VPN 对,
DMZ ,无状态主用/ 备用高可用性,3DES/AES 许可证
ASA5505-SEC-BUN-K9
Cisco ASA 5510 防火墙版本,包括3 个快速以太网接口,250
个IPSec VPN 对, 2 个SSL VPN 对,3DES/AES 许可证
ASA5510-BUN-K9
Cisco ASA 5510 防火墙版本,包括3 个快速以太网接口,250
个IPSec VPN 对, 2 个SSL VPN 对,DES 许可证
ASA5510-K8
Cisco ASA 5510 Security Plus 防火墙版本,包括5 个快速以太
网接口,250 个IPSec VPN 对,2 个SSL VPN 对,主用/ 备
用高可用性,3DES/AES 许可证
ASA5510-SEC-BUN-K9
Cisco ASA 5520 防火墙版本,包括4 个千兆以太网接口+ 1 个
快速以太网接口,750 个IPSec VPN 对,2 个SSL VPN 对,
主用/ 主用和主用/ 备用高可用性,3DES/AES 许可证
ASA5520-BUN-K9 Cisco ASA 5520 防火墙版本,包括4 个千兆以太网接口+ 1 个ASA5520-K8
快速以太网接口,750 个IPSec VPN 对,2 个SSL VPN 对,
主用/ 主用和主用/ 备用高可用性,DES 许可证
ASA5540-BUN-K9 Cisco ASA 5540 防火墙版本,包括4 个千兆以太网接口+ 1 个
快速以太网接口,5000 个IPSec VPN 对,2 个SSL VPN 对,
3DES/AES 许可证
ASA5540-K8
Cisco ASA 5540 防火墙版本,包括4 个千兆以太网接口+ 1 个
快速以太网接口,5000 个IPSec VPN 对,2 个SSL VPN 对,
DES 许可证
ASA5550-BUN-K9 Cisco ASA 5550 防火墙版本,包括8 个千兆以太网接口+ 1 个
快速以太网接口, 4 个千兆SFP 接口,5000 个IPSec VPN
对, 2 个SSL VPN 对,3DES/AES 许可证
ASA5550-K8
Cisco ASA 5550 防火墙版本,包括8 个千兆以太网接口+ 1 个
快速以太网接口, 4 个千兆SFP 接口,5000 个IPSec VPN
对, 2 个SSL VPN 对,DES 许可证
Cisco ASA 5500 系列IPS 版本捆绑
Cisco ASA 5510 IPS 版本,包括AIP-SSM-10 ,防火墙服务,
ASA5510-AIP10-K9 250 个IPSec VPN 对,2 个SSL VPN 对,3 个快速以太网
接口
ASA5520-AIP10-K9 Cisco ASA 5520 IPS 版本,包括AIP-SSM-10 ,防火墙服务,
750 个IPSec VPN 对,2 个SSL VPN 对,4 个千兆以太网
接口, 1 个快速以太网接口
ASA5520-AIP20-K9 Cisco ASA 5520 IPS 版本,包括AIP-SSM-20 ,防火墙服务,
750 个IPSec VPN 对,2 个SSL VPN 对,4 个千兆以太网
接口, 1 个快速以太网接口
ASA5540-AIP20-K9 Cisco ASA 5540 IPS 版本,包括AIP-SSM-20 模块,防火墙服
务,5000 个IPSec VPN 对, 2 个SSL VPN 对, 4 个千兆
以太网接口, 1 个快速以太网接口
Cisco ASA 5500 系列Anti-X 版本捆绑
Cisco ASA 5510 Anti-X 版本,包括CSC-SSM-10 ,针对50
ASA5510-CSC10-K9 名用户、为期一年的防病毒/ 防间谍软件功能,防火墙服务,250
个IPSec VPN 对, 2 个SSL VPN 对, 3 个快速以太网接口
Cisco ASA 5510 Anti-X 版本,包括CSC-SSM-20 ,针对500 名
ASA5510-CSC20-K9 用户、为期一年的防病毒/ 防间谍软件功能,防火墙服务,250 个
IPSec VPN 对,2 个SSL VPN 对,3 个快速以太网接口
Cisco ASA 5520 Anti-X 版本,包括CSC-SSM-10 ,针对50
ASA5520-CSC10-K9 名用户、为期一年的防病毒/ 防间谍软件功能,防火墙服务,750
个IPSec VPN 对,2 个SSL VPN 对,4 个千兆以太网接口,
1 个快速以太网接口
Cisco ASA 5520 Anti-X 版本,包括CSC-SSM-20 ,针对500 名
ASA5520-CSC20-K9 用户、为期一年的防病毒/ 防间谍软件功能,防火墙服务,750 个
IPSec VPN 对,2 个SSL VPN 对,4 个千兆以太网接口,1
个快速以太网接口
Cisco ASA 5500 系列VPN 版本捆绑
ASA5505-SSL10-K9 Cisco ASA 5505 VPN 版本,包括10 个IPSec VPN 对,10
个SSL VPN 对,防火墙服务,8 端口快速以太网交换机
ASA5505-SSL25-K9 Cisco ASA 5505 VPN 版本,包括25 个IPSec VPN 对,25
个SSL VPN 对,防火墙服务,8 端口快速以太网交换机,
Security Plus 许可证
ASA5510-SSL50-K9 Cisco ASA 5510 VPN 版本,包括250 个IPSec VPN 对,50
个SSL VPN 对,防火墙服务, 3 个快速以太网接口
Cisco ASA 5510 VPN 版本,包括250 个IPSec VPN 对,100
ASA5510-SSL100-K9 个SSL VPN 对,防火墙服务, 3 个快速以太网接口
Cisco ASA 5510 VPN 版本,包括250 个IPSec VPN 对,250
ASA5510-SSL250-K9 个SSL VPN 对,防火墙服务, 3 个快速以太网接口
Cisco ASA 5520 VPN 版本,包括750 个IPSec VPN 对,500
ASA5520-SSL500-K9 个SSL VPN 对,防火墙服务, 4 个千兆以太网接口, 1 个
快速以太网接口
ASA5540-SSL1000-K9 Cisco ASA 5540 VPN 版本,包括5000 个IPSec VPN 对,
1000 个SSL VPN 对,防火墙服务,4 个千兆以太网接口,1
个快速以太网接口
Cisco ASA 5540 VPN 版本,包括5000 个IPSec VPN 对,
ASA5540-SSL2500-K9 2500 个SSL VPN 对,防火墙服务,4 个千兆以太网接口,1
个快速以太网接口
Cisco ASA 5550 VPN 版本,包括5000 个IPSec VPN 对,
ASA5550-SSL2500-K9 2500 个SSL VPN 对,防火墙服务,8 个千兆以太网接口,1
个快速以太网接口
ASA5550-SSL5000-K9 Cisco ASA 5550 VPN 版本,包括5000 个IPSec VPN 对,
5000 个SSL VPN 对,防火墙服务,8 个千兆以太网接口,1
个快速以太网接口
安全服务模块
Cisco ASA 高级检测和防御安全服务模块10 ASA-SSM-AIP-10-K9= Cisco ASA 高级检测和防御安全服务模块20 ASA-SSM-AIP-20-K9=
ASA-SSM-CSC-10-K9= Cisco ASA 内容安全和控制安全服务模块10 ,提供针对50 名
用户、为期一年的防病毒/ 防间谍软件功能
ASA-SSM-CSC-20-K9= Cisco ASA 内容安全和控制安全服务模块20 ,提供针对500
名用户、为期一年的防病毒/ 防间谍软件功能
Cisco ASA 4 端口千兆以太网安全服务模块SSM-4GE=
Cisco ASA 5500 系列软件
面向非支持合同客户的Cisco ASA 软件一次性升级ASA-SW-UPGRADE= Cisco ASA 5500 系列附件
Cisco ASA 5500 系列小型闪存, 256 MB ASA5500-CF-256MB=
Cisco ASA 5500 系列小型闪存, 512 MB ASA5500-CF-512MB= Cisco ASA 180W AC 电源ASA-180W-PWR-AC= 千兆以太网光SFP 连接器,1000BASE-SX 短波长收发器GLC-SX-MM=
GLC-LH-SM=
千兆以太网光SFP 连接器,1000BASE-LX/LH 长波长/ 长距
离收发器
下载软件
请访问思科软件中心,下载Cisco ASA软件。
服务与支持
为了帮助客户更快地获得成功,思科提供了多种服务计划。这些创新的服务计划通过一个由人员、流程、工具和合作伙伴构成的独特网络提供,可以实现很高的客户满意度。思科服务可以帮助您保护您的网络投资,优化网络运营,让您的网络为新的应用做好充分的准备,从而拓展网络智能并增强您的业务优势。如需了解更多关于思科服务的信息,请访问思科技术支持服务或者思科高级服务。如需了解专门针对通过AIP SSM提供的IPS特性的服务,请访问思科IPS服务。
防火墙方案
防火墙方案
区域逻辑隔离建设(防火墙) 国家等级保护政策要求不同安全级别的系统要进行逻辑隔离,各区域之间能够按照用户和系统之间的允许访问规则控制单个用户,决定允许或者禁止用户对受控系统的资源访问。 国家等级化保护政策要求不同安全级别间的系统要进行区域的逻辑隔离,各区域之间能按照用户和系统之间的允许访问规则,控制担搁用户,决定允许或者拒绝用户对受控系统的资源访问。 在网络边界部署防火墙系统,并与原有防火墙形成双机热备,部署防火墙能够实现: 1.网络安全的基础屏障: 防火墙能极大地提高一个内部网络的安全性,并经过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能经过防火墙,因此网络环境变得更安全。如防火墙能够禁止诸如众所周知的不安全的NFS协议进出受保护网络,这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。防火墙同时能够保护网络免受基于路由的攻击,如IP选项中的源路由攻击和ICMP重定向中的重定向路径。防火墙能够拒绝所有以上类型攻击的报文并通知防火墙管理员。 2.强化网络安全策略
经过以防火墙为中心的安全方案配置,能将所有安全软件(如口令、加密、身份认证、审计等)配置在防火墙上。与将网络安全问题分散到各个主机上相比,防火墙的集中安全管理更经济。例如在网络访问时,一次一密口令系统和其它的身份认证系统完全能够不必分散在各个主机上,而集中在防火墙一身上。 3.对网络存取和访问进行监控审计 如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并作出日志记录,同时也能提供网络使用情况的统计数据。当发生可疑动作时,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。另外,收集一个网络的使用和误用情况也是非常重要的。首先的理由是能够清楚防火墙是否能够抵挡攻击者的探测和攻击,而且清楚防火墙的控制是否充分。而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。 4.防止内部信息的外泄 经过利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。再者,隐私是内部网络非常关心的问题,一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣,甚至因此而曝露了内部网络的某些安全漏洞。使用防火墙就能够隐蔽那些透漏内部细节如Finger,DNS等服务。
防火墙功能简介 摘要文章给出了防火墙的定义和作用,对其相关的构造和要求做了解释,并针对国内《高层民用建筑设计防火规范》、《建筑设计防火规范》和国外规范中对防火墙的有关规定提出了在建筑实际规范中确定防火墙的构造和耐火极限要求的几点建议。 关键词防火防火墙建筑防火建筑防火设计 1,防火墙的定义和作用 在建筑防火设计中,主要考虑的是建筑物的主动、被动防火能力和人员安全疏散措施。在主动防火措施中,防火分区是一项主要内容。而防火墙是针对建筑物内外的不同部位和火势蔓延途径,在平面上设置的划分防火区段的建筑结构,是水平防火分区的主要防火分隔物。其主要作用是防止火势和烟气从建筑物外部向内部或由内部向外部或内部之间蔓延,在满足使用需要的同时,把建筑物的内部或外部空间合理地分隔策划能够若干防火区域,有效地减少人员伤亡和火灾损失。它是一种具有较高耐火极限的重要防火分隔物,是阻止火势蔓延的有力设施。 我国建筑设计防火规范中尚无对防火墙作过定义。因此,有必要对其进行定义。 从国外的标准看,防火墙的定义围绕其作用和应具有的性能来定义。如《澳大利亚建筑规范》中定义:防火墙是将楼层或建筑物分隔开,阻止火势和烟气蔓延,并具有规范规定的耐火极限(该规范将建筑物分别按功能分为10类,不同类建筑物中防火墙的耐火极限分别为1.5h,2h,3h,4h)的墙体。美国《标准建筑规范》(SBC)中定义:防火墙是从基础一直砌筑到屋顶或穿过屋顶,具有4h耐火极限,能限制火势蔓延,且在火灾条件下具有足够的结构稳定性,使得其两侧的建筑倒塌时不影响该墙的稳定的墙体(其中的开口采取防护措施)。美国《标准防火规范》(SFC)定义:防火墙是具有保护的开口,能限制火势蔓延,且从基础一直砌筑到屋顶的墙体。美国消防协会(NFPA)《防火手册》中定义:防火墙是具有足够的耐火极限、稳定性和耐久性,能抵御可使该墙两侧建筑结构倒塌的火灾的影响(如在墙上开口,必须采取防护措施)的墙体。美国消防协会标准(NFPA 221)《防火墙和防火隔墙标准》中定义:防火墙是设置在建筑物之间或在建筑物内部用以防火分隔以阻止火势蔓延,并具有一定耐火极限和结构稳定性的墙体。 因此,本人认为对防火墙可从其作用和性能进行定义,即防火墙是具有一定耐火极限、稳定性、耐久性、隔热性和抗变形能力,用于隔断火灾和烟气及其辐射热,能防止火势和烟气向其他防火区域蔓延的墙体。 2.防火墙的构造要求 防火墙从其走向可分为纵向防火墙与横向防火墙;从设置位置可分为内墙防火墙、外墙防火墙和室外独立防火墙;从其结构性能可分为:防火墙和防火隔墙。在规范中涉及较多的通常是防火墙和防火隔墙。 防火隔墙有:独立式防火隔墙、悬臂防火隔墙、承重墙、双防火隔墙、束缚式防火隔墙、单防火隔墙、翼墙等。这些墙体具有4 h的耐火极限时可作为防火墙。防火隔墙具有较低的耐火极限,且不需象防火墙一样从基础开始一直砌筑到屋顶。一般是从建筑物内的地板面到上一层顶板底。 防火墙所起作用大小主要取决于防火墙的强度、耐久性和隔绝性。防火墙上不应有任何开口孔洞。
网络卫士防火墙系统NGFW4000-UF系列 产品说明 天融信 TOPSEC?北京市海淀区上地东路1号华控大厦 100085 电话:+8610-82776666 传真:+8610-82776677 服务热线:+8610-8008105119 http: //https://www.doczj.com/doc/825268830.html,
版权声明本手册的所有内容,其版权属于北京天融信公司(以下简称天融信)所有,未经天融信许可,任何人不得仿制、拷贝、转译或任意引用。本手册没有任何形式的担保、立场倾向或其他暗示。 若因本手册或其所提到的任何信息引起的直接或间接的资料流失、利益损失,天融信及其员工恕不承担任何责任。本手册所提到的产品规格及资讯仅供参考,有关内容可能会随时更新,天融信恕不承担另行通知之义务。 版权所有不得翻印? 1995-2008天融信公司 商标声明本手册中所谈及的产品名称仅做识别之用,而这些名称可能属于其他公司的注册商标或是版权,其他提到的商标,均属各该商标注册人所有,恕不逐一列明。 TopSEC?天融信 信息反馈 https://www.doczj.com/doc/825268830.html,
NGFW 4000-UF系列产品说明 目录 1产品概述 (1) 2关键技术 (2) 1)灵活的接口扩展能力 (2) 2)安全高效的TOS操作系统 (2) 3)集成多种安全引擎:FIREWALL+IPSEC+SSL+ANTIVIRUS+IPS (2) 4)完全内容检测CCI技术 (3) 3产品特点介绍 (4) 4产品功能 (9) 5运行环境与标准 (14) 6典型应用 (16) 1)典型应用一:在大型网络中的应用 (16) 2)典型应用二:虚拟防火墙应用 (17) 3)典型应用三:AA模式双机热备 (18)
关于各类防火墙的介绍 信息安全,历来都是计算机应用中的重点话题。在计算机网络日益扩展与普及的今天,计算机信息安全的要求更高了,涉及面也更广了。 计算机信息安全主要研究的是计算机病毒的防治和系统的安全。不但要求防治病毒,还要提高系统抵抗外来非法黑客入侵的能力,还要提高对远程数据传输的保密性,避免在传输途中遭受非法窃取。 在防治网络病毒方面,主要防范在下载可执行软件如:*.exe ,*.zip,等文件时,病毒的潜伏与复制传播。 对于系统本身安全性,主要考虑服务器自身稳定性、健壮性,增强自身抵抗能力,杜绝一切可能让黑客入侵的渠道,避免造成对系统的威胁。对重要商业应用,必须加上防火墙和数据加密技术加以保护。 在数据加密方面,更重要的是不断提高和改进数据加密技术,使心怀叵测的人在网络中难有可乘之机。 计算机信息安全是个很大的研究范畴,本文主要讨论保障网络信息安全时,作为防火墙的用户如何来评测自身的业务需求,如何来通过产品的对比选型,选择合适自己的防火墙产品。 众所周知,我们目前保护计算机系统信息安全的主要手段,就是部署和应用防火墙。可是,我们在使用防火墙时会遇到许多问题,最具代表性的为以下三个:其一,防火墙是用硬件防火墙呢,还是用软件防火墙?这个对于许多人都是难以确定的。硬、软件防火墙,各有各的优势,可是谁的优势大一些,作为普通用户,很难深入了解。 其二,防火墙如何选型?防火墙产品的种类如此之多,而各防火墙厂商的技术水平参差不齐,到底选谁的?要知道,若是选错了产品,投资回报低是小事,如果系统因此而受到攻击,导致重要信息泄密或受损,则用户的损失就大了。 其三,若是选定了某种软件防火墙,它和用户目前的操作系统的兼容性如何,有没有集成的优势?这也是防火墙用户常问的问题。 下面列举一些防火墙的主流产品,从其各自的特点、功能、处理性能及操作复杂程度等方面进行比较,并将实际使用中遇到的一些问题提出来,供大家借鉴。
企业级防火墙产品介绍 Document serial number【NL89WT-NY98YT-NC8CB-NNUUT-NUT108】
PRO 3060/4060 企业级防火墙产品介绍 一、产品概述 SonicWALL公司最新RRO家族成员 PRO 3060/4060防火墙,使用更高运算性能的2GHz Intel 处理器,256 M的RAM,64 MB Flash Memory,集合6个10/100 M bps高速以太网接口,适用大、中型网络企业用户及大型分支机构用户,提供防火墙、虚拟局域网络(VPN)、网站内容过滤、网络防病毒、多ISP备份及负载均衡、带宽管理、全球管理、双机热备、等模块化功能,是高效能的硬件式防火墙安全平台。 SonicWALL PRO 3060/4060能充分保障各分支机构办公室及各点间通讯的安全,避免商业机密被窃取与破坏。SonicWALL PRO 3060/4060 采用独立式作业平台,使用者无须具备专业级的网络知识就可容易安装与使用。经过安装后,可由浏览器如:IE、Netscape等来使用与管理。SonicWALL PRO 3060/4060并内含 VPN加速芯片(ASIC) 可使 168 Bits 3DES VPN 效率达75M/190MBps,并且赠送VPN Client客户端软件25/1000个授权用户。 (说明:PRO3060 OS系统有SonicOS 与SonicOS enhanced两种选择,以下PRO3060产品介绍均按照选择SonicOS enhanced系统进行说明;另以下产品提供之功能部分为可选功能模块,请联系供应商确认。) 二、功能介绍 SonicWALL PRO 3060/4060 为19" 标准架构,支持无限制用户,内含SonicOS enhanced 系统软件,具备有6个10/100MBps Ethernet 接口,适用于大中型企业或大型分支机构的办公室、电子商务网站、数据中心等,产品提供以下功能: ?Firewalling–防火墙功能 SonicWALL PRO 3060/4060采用全状态检测技术,防止来自Internet 对私人网络的数据窃取破坏或窜改,并且能自动侦测-阻断服务攻击Denial of Service (DoS),禁止无使用权的人存取使用网络设备与资源。SonicWALL PRO 3060/4060也支持使用网络地址转换Network Address Translation (NAT)使网络环境更易于管理。 ?IPSec VPN–虚拟局域网 SonicWALL VPN 适用于各办公室,事业伙伴及远程使用者一个安全便利的网络加密方式,包括168 bit Data Encryption Standard (Triple-DES), 56 bit Data Encryption Standard (DES),和AES方式。SonicWALL VPN 提供了各分支点间或大多数远程使用者采用IPSec VPN方式,将数据自动加密解密的通讯方式。使用专属高效能 ASIC 加解密芯片有效地减轻加解密负担,使PRO 3060/4060 的VPN处理效能又达另一高峰,状态封包检查防火墙效能高达300 Mbps 以上,3DES 及 AES VPN 传输效率高达75M/190 Mbps,并且支持VPN通道负载均衡、备份;支持动态域名解析。
防火墙技术综述 Internet的迅速发展给现代人的生产和生活都带来了前所未有的飞跃,大大提高了工作效率,丰富了人们的生活,弥补了人们的精神空缺;而与此同时给人们带来了一个日益严峻的问题―――网络安全。网络的安全性成为当今最热门的话题之一,很多企业为了保障自身服务器或数据安全都采用了防火墙。随着科技的发展,防火墙也逐渐被大众所接受。但是,由于防火墙是属于高科技产物,许多的人对此还并不是了解的十分透彻。而这篇文章就是给大家讲述了防火墙工作的方式,以及防火墙的基本分类,并且讨论了每一种防火墙的优缺点。 一、防火墙的基本分类 1.包过滤防火墙 第一代防火墙和最基本形式防火墙检查每一个通过的网络包,或者丢弃,或者放行,取决于所建立的一套规则。这称为包过滤防火墙。 本质上,包过滤防火墙是多址的,表明它有两个或两个以上网
络适配器或接口。例如,作为防火墙的设备可能有两块网卡(NIC),一块连到内部网络,一块连到公共的Internet。防火墙的任务,就是作为“通信警察”,指引包和截住那些有危害的包。包过滤防火墙检查每一个传入包,查看包中可用的基本信息(源地址和目的地址、端口号、协议等)。然后,将这些信息与设立的规则相比较。如果已经设立了阻断telnet连接,而包的目的端口是23的话,那么该包就会被丢弃。如果允许传入Web 连接,而目的端口为80,则包就会被放行。 多个复杂规则的组合也是可行的。如果允许Web连接,但只针对特定的服务器,目的端口和目的地址二者必须与规则相匹配,才可以让该包通过。 最后,可以确定当一个包到达时,如果对该包没有规则被定义,接下来将会发生什么事情了。通常,为了安全起见,与传入规则不匹配的包就被丢弃了。如果有理由让该包通过,就要建立规则来处理它。 建立包过滤防火墙规则的例子如下: l 对来自专用网络的包,只允许来自内部地址的包通过,因为其他包包含不正确的包头部信息。这条规则可以防止网络内部的任何人通过欺骗性的源地址发起攻击。而且,如果黑客对专用网络内部的机器具有了不知从何得来的访问权,这种过滤方式可以阻止黑客从网络内部发起攻击。
网络卫士防火墙 N G F W U F系列产品说 明 公司内部档案编码:[OPPTR-OPPT28-OPPTL98-OPPNN08]
网络卫士防火墙系统 NGFW4000-UF系列 产品说明 天融信 TOPSEC 北京市海淀区上地东路1号华控大厦 100085 版权声明本手册的所有内容,其版权属于北京天融信公司(以下简称天融信)所有,未经天融信许可,任何人不得仿制、拷贝、转译或任意引用。本手册没有任何形式的担保、立场倾向或其他暗示。 若因本手册或其所提到的任何信息引起的直接或间接的资料流失、利益损失,天融信及其员工恕不承担任何责任。本手册所提到的产品规格及资讯仅供参考,有关内容可能会随时更新,天融信恕不承担另行通知之义务。 版权所有不得翻印 1995-2008天融信公司 商标声明
本手册中所谈及的产品名称仅做识别之用,而这些名称可能属于其他公司的注册商标或是版权,其他提到的商标,均属各该商标注册人所有,恕不逐一列明。 TopSEC天融信 信息反馈
目录1产品概述..................................................... 2关键技术..................................................... 1)灵活的接口扩展能力.......................................... 2)安全高效的TOS操作系统...................................... 3)集成多种安全引擎:FIREWALL+IPSEC+SSL+ANTIVIRUS+IPS .......... 4)完全内容检测CCI技术........................................ 3产品特点介绍................................................. 4产品功能..................................................... 5运行环境与标准............................................... 6典型应用..................................................... 1)典型应用一:在大型网络中的应用.............................. 2)典型应用二:虚拟防火墙应用.................................. 3)典型应用三:AA模式双机热备..................................
防火墙概述的教案 【篇一:《网络安全》课程教学大纲】 《网络安全技术案例教程》课程教学大纲 课程编码: 学分: 开课单位: 先修课程: 编写: 3.0 电子信息工程系任靖 课程性质: 学时: 适用专业: 编写时间: 审核: 专业必修课 2012年7月16日 一、课程的性质和任务 本课程是高等职业学校计算机网络专业的一门专业技术课,内容包括:计算机网络安全概述、密码技术、计算机病毒、操作系统安全、防火墙技术、黑客入侵与防范、网络与信息安全实训等。 本课程的任务是:在具有计算机的基础知识,了解计算机网络组成 和原理的基础上,进一步加强网络信息安全的学习,使学生具有维 护计算机网络信息安全的能力。 本课程的要求是:使学生掌握计算机网络安全需要的攻、防、测、控、管、评等方面的基础理论和实施技术。 二、教学基本要求 1. 计算机网络安全技术概论 (1)计算机网络安全的概念 (2)计算机网络系统面临的威胁 (3)计算机网络系统的脆弱性 (4)计算机网络安全技术的研究内容和发展过程 (5)计算机网络安全的三个层次 (6)网络安全的设计和基本原则 (7)安全技术评价标准 2. 实体安全与硬件防护技术 (1)实体安全技术概述 (2)计算机房场地环境的安全防护 (3)安全管理 (4)电磁防护 (5)硬件防护 3. 计算机软件安全技术
(1)计算机软件安全技术概述 (2)文件加密技术 (3)软件运行中的反跟踪技术 (4)防止非法复制软件的技术 (5)保证软件质量的安全体系 4. 网络安全防护技术 (1)网络安全概述 (2)计算机网络的安全服务和安全机制(3)网络安全防护措施 5. 备份技术 (1)备份技术概述 (2)备份技术与备份方法 (3)备份方案的设计 (4)典型的网络系统备份方案实例 6. 密码技术与压缩技术 (1)密码技术概述 (2)加密方法 (3)密钥与密码破译方法 (4)常用信息加密技术介绍 (5)outlook express下的安全操作实例(6)数据压缩 7. 数据库系统安全 (1)数据库系统简介 (2)数据库系统安全概述 (3)数据库的数据保护 (4)死锁、活锁和可串行化 (5)数据库的备份与恢复 (6)攻击数据库的常用方法 (7)数据库系统安全保护实例 8. 计算机病毒及防治 (1)计算机病毒概述 (2)dos环境下的病毒 (3)宏病毒 (4)网络计算机病毒 (5)反病毒技术
简要介绍网络安全中防火墙和IDS 的作用 简要介绍网络安全中防火墙和IDS的作用作者:天缘源自:天极网 业界的同行曾经说过“安全,是一种意识,而不是某种的技术就能实现真正的安全。”随着工作的时间渐长,对这句话的体会就越深。再防守严密的网络,利用人为的疏忽,管理员的懒惰和社会工程学也可能被轻易攻破。 因此,在这里我介绍的防火墙和IDS技术,只是我们在网络安全环节中进行的一个防御步骤。在网络内进行防火墙与IDS的设置,并不能保证我们的网络就绝对安全了,但是设置得当的防火墙和IDS,至少会使我们的网络更为坚固一些,并且能提供更多的攻击信息供我们分析。 接下来,让我们正确地认识一下防火墙和IDS的作用吧。 防火墙 一、防火墙能够作到些什么? 1.包过滤 具备包过滤的就是防火墙?对,没错!根据对防火墙的定义,凡是能有效阻止网络非法连接的方式,都算防火墙。早期的防火墙一般就是利用设置的条件,监测通过的包的特征来决定放行或者阻止的,包过滤是很重要的一种特性。虽然防火墙技术发展到现在有了很多新的理念提出,但是包过滤依然是非常重要的一环,如同四层交换机首要的仍是要具备包的快速转发这样一个交换机的基本功能一样。通过包过滤,防火墙可以实现阻挡攻击,禁止外部/内部访问某些站点,限制每个ip的流量和连接数。 2.包的透明转发 事实上,由于防火墙一般架设在提供某些服务的服务器前。如果用示意图来表示就是Server—FireWall—Guest 。用户对服务器的访问的请求与服务器反馈给用户的信息,都需要经过防火墙的转发,因此,很多防火墙具备网关的能力。 3.阻挡外部攻击 如果用户发送的信息是防火墙设置所不允许的,防火墙会立即将其阻断,避免其进入防火墙之后的服务器中。
网络卫士防火墙系统 NGFW4000系列 产品说明 天融信 TOPSEC? 北京市海淀区上地东路1号华控大厦 100085 电话:+8610-82776666 传真:+8610-82776677 服务热线:+8610-8008105119 https://www.doczj.com/doc/825268830.html,
版权声明 本手册的所有内容,其版权属于北京天融信公司(以下简称天融信)所有,未经天融信许可,任何人不得仿制、拷贝、转译或任意引用。本手册没有任何形式的担保、立场倾向或其他暗示。 若因本手册或其所提到的任何信息引起的直接或间接的资料流失、利益损失,天融信及其员工恕不承担任何责任。本手册所提到的产品规格及资讯仅供参考,有关内容可能会随时更新,天融信恕不承担另行通知之义务。 版权所有不得翻印? 1995-2006天融信公司 商标声明 本手册中所谈及的产品名称仅做识别之用,而这些名称可能属于其他公司的注册商标或是版权,其他提到的商标,均属各该商标注册人所有,恕不逐一列明。 TopSEC?天融信 信息反馈 https://www.doczj.com/doc/825268830.html,
NGFW 4000系列产品说明 目录 1产品概述 (2) 2产品特点 (2) 3产品功能 (8) 4运行环境 (13) 5产品规格 (14) 6典型应用 (15) 6.1典型应用一:在企业、政府纵向网络中的应用 (15) 6.2典型应用二:在企业、政府内部局域网络中的应用 (16) 6.3典型应用四:在大型网络中的应用 (17) 6.4典型应用五:防火墙作为负载均衡器 (17) 6.5典型应用六:防火墙接口备份 (18)
网络组建防火墙概述 防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监控了内部网和Internet之间的任何活动,保证了内部网络的安全。 随着Internet的发展和普及,人们在享受信息化带来的众多好处的同时,也面临着日益突出的网络安全问题。例如,保护在Internet上国家秘密和商业秘密,网上各种行为者的身份确认与权责利的确认,高度网络化的各种业务(商务、政务、教务等)信息系统运行的正常和不被破坏,网络银行、电子商务系统中的支付与结算的准确真实,都将成为企业形象、商业利益、国家安全和社会稳定的焦点。 1.防火墙的作用 古代人们在房屋之间修建一道墙,这道墙可以防止火灾发生的时候蔓延到别的房屋,因此被称为“防火墙”。而现在,我们将将防火墙应用于网络,其含意为“隔离在内部网络与外部网络之间的一道防御系统。” 应该说,在互联网上防火墙是一种非常有效的网络安全模型,通过它可以隔离风险区域(即Internet或有一定风险的网络)与安全区域(局域网)的连接,同时不会妨碍人们对风险区域的访问。防火墙可以监控进出网络的通信量,从而完成看似不可能的任务;仅让安全、核准了的信息进入,同时又抵制对企业构成威胁的数据。随着安全性问题上的失误和缺陷越来越普遍,对网络的入侵不仅来自高超的攻击手段,也有可能来自配置上的低级错误或不合适的口令选择。因此,防火墙的作用是防止不希望的、未授权的通信进出被保护的网络,迫使单位强化自己的网络安全政策。 一般的防火墙都可以达到以下目的: ●可以限制他人进入内部网络,过滤掉不安全服务和非法用户; ●防止入侵者接近防御设施; ●限定用户访问特殊站点; ●为监视Internet安全提供方便。 由于防火墙假设了网络边界和服务,因此更适合于相对独立的网络,例如Intranet等种类相对集中的网络。防火墙正在成为控制对网络系统访问的非常流行的方法。事实上,在Internet上的Web网站中,超过三分之一的Web网站都是由某种形式的防火墙加以保护,这是对黑客防范最严,安全性较强的一种方式,任何关键性的服务器,都建议放在防火墙之后。如图9-1所示,它可以在用户的计算机和Internet之间建立起一道屏障,把用户和外部网络隔离;用户可以通过设定规则来决定哪些情况下防火墙应该隔断计算机与Internet之间的数据传输,哪能些情况下允许两者间的数据传输。通过这拉的方式,防火墙挡住来自外部网络对内部网络的攻击和入侵,从而保障用户的网络安全。
边界防火墙简介 边界防火墙简介一防止网络入侵,消息文件泄露,保护内网安全,家用一般是软件性的。他会检查出入网络的链接,保护一些端口,他有一套判断规则 符合的就放行,不符合的就丢弃,防止计算机接收到非法包,例如可以防止木马把电脑中的东西泄露出去。 但有的是可以穿墙的,他会起一个和合法程序相同的名字来糊弄人。对于内部控制的话,墙应该是阻挡不了的。墙是保护电脑的第一道屏障。 边界防火墙简介二网络的安全不仅表现在网络的病毒防治方面,而且还表现在系统抵抗外来非法黑客入侵的能力方面。对于网络病毒,我们可以通过kv300 或瑞星杀毒软件来对付,那么对于防范黑客的入侵我们能采取什么样的措施呢?在这样的情 况下,网络防火墙技术便应运而生了。 一、防火墙的基本概念古时候,人们常在寓所之间砌起一道砖墙,一旦火灾发生,它能够防止火势蔓延到别的寓所。现在,如果一个网络接到了internet 上面,它的用户就可以访问外部世界并与之通信。但同时,外部世界也同样可以访问该网络并与之交互。为安全起见,可以在该网络和internet 之间插入一个中介系统,竖起一道安全屏障。这道屏障的作用是阻断来自外部通过网络对本网络的威胁和入侵,提供扼守本网络的安全和审计的唯一关卡,它的作用与古时候的防火砖墙有类似之处,因此我们把这个屏障就叫做“防火墙” 。
在电脑中,防火墙是一种装置,它是由软件或硬件设备组合而成,通常处于企业的内部局域网与internet 之间,限制internet 用户对内部网络的访问以及管理内部用户访问外界的权限。换言之,防火墙是一个位于被认为是安全和可信的内部网络与一个被认为是不那么安全和可信的外部网络(通常是internet)之间的一个封锁工具。防火墙是一种被动的技术,因为它假设了网络边界的存在,它对内部的非法访问难以有效地控制。因此防火墙只适合于相对独立的网络,例如企业内部的局域网络等。 二、防火墙的基本准则1. 过滤不安全服务基于这个准则,防火墙应封锁所有信息流,然后对希望提供的安全服务逐项开放,对不安全的服务或可能有安全隐患的服务一律扼杀在萌芽之中。 这是一种非常有效实用的方法,可以造成一种十分安全的环境,因为只有经过仔细挑选的服务才能允许用户使用。2. 过滤非法用户和访问特殊站点基于这个准则,防火墙应先允许所有的用户和站点对内部网络的访问,然后网络管理员按照ip 地址对未授权的用户或不信任的站点进行逐项屏蔽。这种方法构成了一种更为灵活的应用环境,网络管理员可以针对不同的服务面向不同的用户开放,也就是能自由地设置各个用户的不同访问权限。三、防火墙的基本措施防火墙安全功能的实现主要采用两种措施。 1. 代理服务器(适用于拨号上网)这种方式是内部网络与internet 不直接通讯,内部网络计算机用户与代理服务器采用一种通讯方式,即提供内部网络协议(netbios 、tcp/ip),代理服务器与internet 之间的通信采取的是标准tcp/ip 网络通信协议,防火墙内外的计算机的通信是通过代理服务器来中转实现的,结构如下所示: 内部网
国产厂商硬件防火墙对比解析综述 防火墙从形式上可分为软件防火墙和硬件防火墙。此次,我们主要介绍硬件防火墙。防火墙一般是通过网线连接于外部网络接口与内部服务器或企业网络之间的设备。它又分为普通硬件级别防火墙和“芯片”级硬件防火墙两种。所谓“芯片”级硬件防火墙,是指在专门设计的硬件平台,其搭建的软件也是专门开发的,并非流行的操作系统,因此可以达到较好的安全性能保障。目前,在这一层面我们介绍国内几家厂商,天融信、启明星辰、联想网御、华为、安氏领信等厂商。 此次,我们将以100~500人的规模为应用对象,对各厂商的适应的“芯片”级硬件防火墙进行对比分析,分别从厂商概述、产品定位、应用领域、产品特点和功能、运行环境、典型应用、产品推荐和市场价格等多方面进行横向对比分析。其实,选购和讨论硬件防火墙并不能单纯以规模来判断,还应该考虑防火墙产品结构、数据吞吐量和工作位置、性能级别、应用功能等诸多因素。 一、厂商概述 国内硬件防火墙的品牌较多,但较早一批专注于信息安全的厂商却不多,尤其是“芯片”级的防火墙更少了。如果以架构划分,芯片级防火墙基于专门的硬件平台,专有的ASIC芯片使它们比其他种类的防火墙速度更快,处理能力更强,性能更高,因此漏洞相对比较少。不过价格相对较贵,做这类防火墙的国内厂商并不多,如天融信。另外一种方式是以X86平台为代表的通用CPU芯片,是目前使用较广泛的一种方式。这类型厂商较多,如启明星辰、联想网御、华为等。一般而言,产品价格相对上一种较低。第三类就是网络处理器(NP),一般只被用于低端路由器、交换机等数据通信产品,由于开发难度和开发成本低,开发周期短等原因,因此,进入这一门槛的标准相对较低,也拥有部分客户群体。 1. 天融信以ASIC平台产品为主国产份额第一 天融信的自主防火墙系统,首次提出TOPSEC联动技术体系。网络卫士防火墙历经了包过滤、应用代理、核检测等技术阶段。目前,以安全操作系统 TOS 为基础,开发了NGFW4000-UF及NGFW4000系列,融合了防火墙、防病毒、入侵检测、VPN、身份认证等多种安全解决方案。其Top ASIC芯片,采用SoC (System on Chip) 技术,内置硬件防火墙单元、7层数据分析、VPN加密、硬件路由交换单元、快速报文缓存MAC等众多硬件模组。开发出了从第一代到第二代产品(内部称为猎豹I 、猎豹II),芯片转发容量从5Gbps到10Gbps,可达到全部千兆网口的全线速小包转发速率。 除了以ASIC平台为主的产品外,X86和NP平台的产品也面向不同需求用户。据IDC 2007年的报告显示,天融信防火墙产品以16.2%的市场份额,排名网络安全产品首位。 2.启明星辰采用高性能X86硬件架构一体化网关技术
Linux 防火墙概述 防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监控了内部网和Internet之间的任何活动,保证了内部网络的安全。 随着Internet的发展和普及,人们在享受信息化带来的众多好处的同时,也面临着日益突出的网络安全问题。例如,保护在Internet上国家秘密和商业秘密,网上各种行为者的身份确认与权责利的确认,高度网络化的各种业务(商务、政务、教务等)信息系统运行的正常和不被破坏,网络银行、电子商务系统中的支付与结算的准确真实,都将成为企业形象、商业利益、国家安全和社会稳定的焦点。1.防火墙的作用 古代人们在房屋之间修建一道墙,这道墙可以防止火灾发生的时候蔓延到别的房屋,因此被称为“防火墙”。而现在,我们将将防火墙应用于网络,其含意为“隔离在内部网络与外部网络之间的一道防御系统。” 应该说,在互联网上防火墙是一种非常有效的网络安全模型,通过它可以隔离风险区域(即Internet或有一定风险的网络)与安全区域(局域网)的连接,同时不会妨碍人们对风险区域的访问。防火墙可以监控进出网络的通信量,从而完成看似不可能的任务;仅让安全、核准了的信息进入,同时又抵制对企业构成威胁的数据。随着安全性问题上的失误和缺陷越来越普遍,对网络的入侵不仅来自高超的攻击手段,也有可能来自配置上的低级错误或不合适的口令选择。因此,防火墙的作用是防止不希望的、未授权的通信进出被保护的网络,迫使单位强化自己的网络安全政策。一般的防火墙都可以达到以下目的: ●可以限制他人进入内部网络,过滤掉不安全服务和非法用户; ●防止入侵者接近防御设施; ●限定用户访问特殊站点; ●为监视Internet安全提供方便。 由于防火墙假设了网络边界和服务,因此更适合于相对独立的网络,例如Intranet等种类相对集中的网络。防火墙正在成为控制对网络系统访问的非常流行的方法。事实上,在Internet上的Web网站中,超过三分之一的Web网站都是由某种形式的防火墙加以保护,这是对黑客防范最严,安全性较强的一种方式,任何关键性的服务器,都建议放在防火墙之后。如图9-1所示,它可以在用户的计算机和Internet之间建立起一道屏障,把用户和外部网络隔离;用户可以通过设定规则来决定哪些情况下防火墙应该隔断计算机与Internet之间的数据传输,哪能些情况下允
天融信产品白皮书网络卫士防火墙NGFW 4000系列
网络卫士防火墙NGFW4000系列 NGFW4000是天融信网络卫士防火墙系统的中端产品系列,适用于网络结构复杂、应用丰富的政府、金融、学校、中型企业等网络环境。产品集成了天融信在客户复杂环境中处理威胁的经验及对客户需求的深入理解,已在各种网络环境中经受了严格考验。该系列产品具有访问控制、内容过滤、防病毒、NAT、IPSEC VPN、SSL VPN、带宽管理、负载均衡、双机热备等多种功能,广泛支持路由、多播、生成树、VLAN、DHCP等各种协议。稳定可靠的硬件平台,满足真实需求的软件功能,超强的网络适应能力,使之成为多年来广受市场认同的系列主流产品。 安全高效的TOS操作系统 具有完全自主知识产权的TOS(TopsecOperating System) 安全操作系统,采用全模块化设计,使用中间层理念,减少了系统对硬件的依赖性,有效保障了防火墙、SSL VPN、IPSEC VPN、防病毒、内容过滤、抗攻击、带宽管理等功能模块的优异性能。TOS良好的扩展性为未来迅速扩展更多特性提供了无限可能。 完全内容检测CCI技术 网络卫士猎豹防火墙采用最新的CCI技术,提供对OSI网络模型所有层次上的网络威胁的实时保护。网络卫士系列防火墙可对还原出来的应用层对象(如文件、网页、邮件等)进行病毒查杀,并可检查是否存在不良WEB内容、垃圾邮件、间谍软件和网络钓鱼欺骗等其他威胁,实现彻底防范。
集成多种安全功能 NGFW4000由于集成了多种安全引擎,使其具备了防火墙、IPSEC VPN、SSL VPN、防病毒、IPS等安全功能,成为了国内安全功能最丰富的防火墙产品。 虚拟防火墙 虚拟防火墙,是指在一台物理防火墙上可以存在多套虚拟系统,每套虚拟系统在逻辑上都相互独立,具有独立的用户与访问控制系统。不同的企业或不同的部门可以共用1台防火墙,但使用不同的虚拟系统。对于用户来说,就像是使用独立的防火墙,大大节省了成本。 强大的应用控制 网络卫士防火墙提供了强大的网络应用控制功能。用户可以轻松的针对一些典型网络应用,如MSN,QQ、Skype、新浪UC、阿里旺旺、Google Talk等即时通信应用,以及BT、Edonkey、Emule、讯雷等p2p应用实行灵活的访问控制策略,如禁止、限时、乃至流量控制。网络卫士防火墙还提供了定制功能,可以对用户所关心的网络应用进行全面控制。CleanVPN服务 企业对VPN应用越来越普及,但是当企业员工或合作伙伴通过各种VPN远程访问企业网络时,病毒、蠕虫、木马、恶意代码等有害数据有可能通过VPN隧道从远程PC或网络传递进来,这种威胁的传播方式极具隐蔽性,很难防范。 网络卫士防火墙同时具备防火墙、VPN、防病毒和内容过滤等功能,并且各功能相互融合,能够对VPN数据进行检查,拦截病毒、蠕虫、木马、恶意代码等有害数据,彻底保证了VPN通信的安全,为用户提供放心的CleanVPN服务。 Active/Active高可用性 能够在核心网络中同所有网络设备一起构建高可用性及高安全性的拓扑结构,自身能够实
浅析防火墙技术现状及发展 1.防火墙概述 网络安全技术的主要代表是防火墙,下面简要介绍一下这种技术。 网络安全所说的防火墙是指内部网和外部网之间的安全防范系统。它使得内部网络与因特网之间或与其它外部网络之间互相隔离、限制网络互访。用来保护内部网络。防火墙通常安装在内部网与外部网的连接点上。所有来自Internet(外部网)的传输信息或从内部网发出的信息都必须穿过防火墙 防火墙的主要功能包括: (1)防火墙可以对流经它的网络通信进行扫描.从而过滤掉一些攻击.以免其在目标计算机上被执行。 (2)防火墙可以关闭不使用的端口.而且它还能禁止特定端口的输出信息。 (3)防火墙可以禁止来自特殊站点的访问,从而可以防止来自不明入侵者的所有通信.过滤掉不安全的服务和控制非法用户对网络的访问。 (4)防火墙可以控制网络内部人员对Intemet上特殊站点的访问。 (5)防火墙提供了监视Internet安全和预警的方便端点。 2.防火墙在企业中的应用现状 由于现在的各企业中应用的网络非常广泛.所以防火墙在企业中自然也是受到了非常多的应用下面介绍(论文发表向导江编辑专业/耐心/负责扣扣二三三五一六二五九七)下防火墙在企业中具体的应用。防火墙是网络安全的关口设备.只有在关键网络流量通过防火墙的时候.防火墙才能对此实行检查、防护功能。 (1)防火墙的位置一般是内网与外网的接合处.用来阻止来自外部网络的入侵 (2)如果内部网络规模较大,并且设置虚拟局域网(VLAN).则应该在各个VLAN之间设置防火墙 (3)通过公网连接的总部与各分支机构之间应该设置防火墙 (4)主干交换机至服务器区域工作组交换机的骨干链路上 (5)远程拨号服务器与骨干交换机或路由器之间 总之.在网络拓扑上.防火墙应当处在网络的出口与不同安全等级区域的结合处。安装防火墙的原则是:只要有恶意侵入的可能.无论是内部网还是外部网的连接处都应安装防火墙 3.防火墙技术发展趋势
防火墙详细说明 产品概述 网络卫士系列防火墙NGFW4000-UF(NetGuard FireWall)系列产品,是天融信公司结合了多年来的网络安全产品开发与实践经验,在参考了天融信广大用户宝贵建议的基础上,开发的最新一代网络安全产品。该产品以天融信公司具有自主知识产权的TOS (Topsec Operating System)为系统平台,采用开放性的系统架构及模块化的设计,融合了防火墙、防病毒、入侵检测、VPN、身份认证等多种安全解决方案,构建的一个安全、高效、易于管理和扩展的网络安全产品。 NGFW4000-UF属于网络卫士系列防火墙的中高端产品,特别适用于网络结构复杂、应用丰富、高带宽、大流量的大中型企业骨干级网络环境。 NGFW4000-UF(TG-5030) 产品特点 自主安全操作系统平台 采用自主知识产权的安全操作系统--TOS(Topsec Operating System),TOS拥有优秀的模块化设计架构,有效保障了防火墙、IPSECVPN、SSLVPN、防病毒、内容过滤、抗攻击、流量整形等模块的优异性能,其良好的扩展性为未来迅速扩展更多特性提供了无限可能。
TOS具有具有高安全性、高可靠性、高实时性、高扩展性及多体系结构平台适应性的特点。 虚拟防火墙 虚拟防火墙,是指在一台物理防火墙上可以存在多套虚拟系统,每套虚拟系统在逻辑上都相互独立,具有独立的用户与访问控制系统。不同的企业或不同的部门可以共用1台防火墙,但使用不同的虚拟系统。对于用户来说,就像是使用独立的防火墙。大大节省了成本。 强大的应用控制 网络卫士防火墙提供了强大的网络应用控制功能。用户可以轻松的针对一些典型网络应用,如BT、MSN、QQ、Edonkey、Skype等实行灵活的访问控制策略,如禁止、限时、乃至流量控制。网络卫士防火墙还提供了定制功能,可以对用户所关心的网络应用进行全面控制。 CleanVPN服务 企业对VPN应用越来越普及,但是当企业员工或合作伙伴通过各种VPN远程访问企业网络时,病毒、蠕虫、木马、恶意代码等有害数据有可能通过VPN隧道从远程PC 或网络传递进来,这种威胁的传播方式极具隐蔽性,很难防范。 网络卫士防火墙同时具备防火墙、VPN、防病毒和内容过滤等功能,并且各功能相互融合,能够对VPN数据进行检查,拦截病毒、蠕虫、木马、恶意代码等有害数据,彻底保证了VPN通信的安全,为用户提供放心的CleanVPN服务。
硬件防火墙介绍及详细配置 本文从网管联盟上转载: 防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口,通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况,有选择地接受外部访问,对内部强化设备监管、控制对服务器与外部网络的访问,在被保护网络和外部网络之间架起一道屏障,以防止发生不可预测的、潜在的破坏性侵入。防火墙有两种,硬件防火墙和软件防火墙,他们都能起到保护作用并筛选出网络上的攻击者。在这里主要给大家介绍一下我们在企业网络安全实际运用中所常见的硬件防火墙。 一、防火墙基础原理 1、防火墙技术 防火墙通常使用的安全控制手段主要有包过滤、状态检测、代理服务。下面,我们将介绍这些手段的工作机理及特点,并介绍一些防火墙的主流产品。 包过滤技术是一种简单、有效的安全控制技术,它通过在网络间相互连接的设备上加载允许、禁止来自某些特定的源地址、目的地址、TCP端口号等规则,对通过设备的数据包进行检查,限制数据包进出内部网络。包过滤的最大优点是对用户透明,传输性能高。但由于安全控制层次在网络层、传输层,安全控制的力度也只限于源地址、目的地址和端口号,因而只能进行较为初步的安全控制,对于恶意的拥塞攻击、内存覆盖攻击或病毒等高层次的攻击手段,则无能为力。 状态检测是比包过滤更为有效的安全控制方法。对新建的应用连接,状态检测检查预先设置的安全规则,允许符合规则的连接通过,并在内存中记录下该连接的相关信息,生成状态表。对该连接的后续数据包,只要符合状态表,就可以通过。这种方式的好处在于:由于不需要对每个数据包进行规则检查,而是一个连接的后续数据包(通常是大量的数据包)通过散列算法,直接进行状态检查,从而使得性能得到了较大提高;而且,由于状态表是动态的,因而可以有选择地、动态地开通1024号以上的端口,使得安全性得到进一步地提高。 2、防火墙工作原理 (1)包过滤防火墙 包过滤防火墙一般在路由器上实现,用以过滤用户定义的内容,如IP地址。包过滤防火墙的工作原理是:系统在网络层检查数据包,与应用层无关。这样系统就具有很好的传输性能,可扩展能力强。但是,包过滤防火墙的安全性有一定的缺陷,因为系统对应用层信息无感知,也就是说,防火墙不理解通信的内容,所以可能被黑客所攻破。