完整的解决方案-深信服防火墙放行ip-入门网络安全入门教程

完整的解决方案-深信服防火墙放行ip-入门网络安全入门教程

深信服NGAF下一代防火墙

深信服NGAF是面向应用层设计，能够精确识别用户、应用和内容，具备完整安全防护能力，能够全面替代传统防火墙，并具有强劲应用层处理能力的全新网络安全设备。NGAF解决了传统安全设备在应用管控、应用可视化、应用内容防护等方面的巨大不足，同时开启所有功能后性能不会大幅下降。

深信服NGAF下一代防火墙

深信服NGAF 不但可以提供基础网络安全功能，如状态检测、VPN、抗DDoS、NAT等；还实现了统一的应用安全防护，可以针对一个入侵行为中的各种技术手段进行统一的检测和防护，如应用扫描、漏洞利用、Web入侵、非法访问、蠕虫病毒、带宽滥用、恶意代码等。NGAF可以为不同规模的行业用户的数据中心、广域网边界、互联网边界等场景提供更加精细、更加全面、更高性能的应用内容防护方案。

更精细的应用层安全控制

深信服NGAF采用独创的应用可视化技术，可以根据应用的行为和特征实现对应用的识别和控制，而不仅仅依赖于端口或协议，摆脱了传统设备只能通过IP地址来控制的尴尬，即使加密过的数据流也能应付自如。

目前，NGAF可以识别700多种应用及其1000多种应用动作，还可以与多种认证系统（AD、LDAP、等）、应用系统（POP3、SMTP等）无缝对接，自动识别出网络当中IP地址对应的用户信息，并建立组织的用户分组结构；既满足了普通互联网边界行为管控的要求，同时满足了在内网数据中心和广域网边界的部署要求，可以识别和控制丰富的内网应用

更全面的内容级安全防护

NGAF融合了漏洞防护、web安全防护、病毒防护等多种安全技术，具备2000+条漏洞特征库、数十万条病毒、木马等恶意内容特征库、1000+Web应用威胁特征库，可以全面识别各种应用层和内容级别的各种安全威胁。通过灰度威胁关联分析技术将数据包还原的内容进行全面的威胁检测，并可以针对黑客入侵过程中使用的不同攻击方法进行关联分析，从而精确定位出一个黑客的攻击行为，有效阻断威胁风险的发生。灰度威胁识别技术改变了传统IPS等设备防御威胁种类单一，威胁检测经常出现漏报、误报的问题，可以帮助用户最大程度减少风险短板的出现，保证业务系统稳定运行。

更高性能的应用层处理能力

为了实现强劲的应用层处理能力，NGAF抛弃了传统防火墙NP、ASIC等适合执行网络层重复计算工作的硬件设计，采用了更加适合应用层灵活计算能力的多核并行处理技术；在系统架构上，NGAF也放弃了UTM多引擎，多次解析的架构，而采用了更为先进的一体化单次解析引擎，将漏洞、病毒、Web攻击、恶意代码/脚本、URL库等众多应用层威胁统一进行检测匹配，从而提升了工作效率，实现了万兆级的应用安全防护能力。

编辑总结：

深信服NGAF涵盖传统防火墙、IPS的主要功能，内部能够实现内核级联动，是一个“L2-L7完整的安全防护产品”。这也是定义的“额外的防火墙智能”实现的前提，做到真正的内核级联动，才能为用户的业务系统提供一个安全防护的“铜墙铁壁”。

概要：随着智能终端设备的普及和功能增强，促使IT环境发生着潜移默化地改变，其中访问方式多样化、终端设备多样化和应用程序多样化成为有别传统IT的凸显特征。人类正悄然步入一个“个人电脑、笔记本电脑、平板电脑、智能手机、智能电视”等全终端共存的大时代，整个IT环境除了存在传统安全问题外，还引入了更为复杂的移动设备管理、安全防护以及数据泄漏等威胁，亟待一种大安全的思路去解决新时代、大时代的安全问题。面对新时代的威胁，许多厂商先知先觉，应时而动陆续推出了新一代安全产品，这些安全产品不但会是2012年的压轴之作，更是2013年IT安全的开年大作，将会成为全终端大时代网络安全的有力保障。

华为系列产品基本信息

华为系列产品是华为技术有限公司最新推出的一系列安全接入网关，采用电信级的可靠硬件平台，安全的实时嵌入式操作系统，传承多年在通讯、网络领域的研发、设计能力，满足各种严苛的国际认证规范，为大中企业、政府、运营商提供了远程接入、移动办公的安全解决方案。

华为系列

华为系列产品包括和5560两款，设备固定接口很丰富，拥有4个GE(RJ45)、4个GE(combo)、1个GE管理口、1个口，还有2个USB接口。从外观来看，该机模块化特性明显，可扩展性强。

华为系列产品优势特性

华为系列产品具备强大的移动办公安全接入能力，从移动终端适应性来看，SVN支持、、iOS(/iPad)、Linux、、、MacOS等7种主流OS移动终端，用户可自由选择移动终端类型, 不受终端类型限制，大大提高了用户满意度。

而在移动接入能力方面，SVN支持SSL、IPSec、L2TP、GRE和MPLS 这5种接入协议，这可以满足不同种类设备所具备不同访问方式；对于资源类型种类而言，SVN可支持B/S、C/S、IPv4/v6、多媒体等类型，配合SVN具备的Web代理、网络扩展、文件共享、端口转发等SSL 特性，可全面保障用户在面对不同应用访问类型时的业务可用性，屏蔽应用访问差异，专注业务处理。

华为拥有完备的整体安全防护能力，构建了包括终端安全、接入安全、传输安全、网关安全、内部安全在内的整体安全防护，保障用户远程接入安全无忧。 终端安全方面采用主机检查、访问痕迹清除和安全桌面技术，确保用户终端设备能安全访问业务资源，避免成为攻击跳板。结合丰富的身份认证和灵活的授权管理以及基于IP、端口、URL的细粒度访问控制，保证了用户访问的可控可管。

在传输方面，系统采用高强度的加密算法和摘要算法，保证用户数据的传输安全。而安全的操作系统、专业的Anti-DDos、强大的防火墙和全面的日志审计功能，确保了SVN自身整体安全，为用户提供了端到端的立体防护。SVN 提供了多达10种的认证方式，包括本地口令、证书、动态密码令牌、USB Key、短信、终端标识码、图形码、AD、LDAP、等认证组合，可充分适应用户现有认证服务环境，确保了身份认证更安全更灵活。

华为系列产品组网应用

华为SVN安全接入网关产品，远程接入组网应用针对企业出差员工、SOHO办公人员、合作伙伴、企业合作伙伴的远程接入需求，提供了安全、便捷、高效、易管理的远程接入解决方案。该方案具备组网简易不影响当前网络拓扑的突出特性，可以将SVN直接单臂挂接在出入口防火墙或者交换机上，也可以双臂挂接在防火墙和交换机之间，只需要防火墙打开443端口进行端口映射，就能够提供广泛的内网应用服务，最大程度地降低了部署难度。

远程接入组网图

华为SVN安全接入网关分支机构VPN互联组网应用，支持IPSec VPN功能，在两台或者多台SVN之间建立Site-to-Site的IPSec VPN安全链接，为通信双方提供访问控制、数据完整性、数据来源认证、防重放以及对数据流分类加密等服务，通过AH( )和ESP( )这两个安全协议来实现对IP数据报或上层协议的保护，并支持传输和隧道两种封装模式。

移动办公组网图

华为SVN安全接入网关产品，移动办公组网应用充分考虑了在后PC时代各种泛终端的差异性，它提供的移动办公安全接入解决案支持、、 iOS(/iPad)、Linux、、、MacOS等主流平台，具备广泛的移动终端适应性，用户可自由选择移动终端类型进行移动办公。

编辑总结：

华为领先的虚拟化SSL VPN应用，采用了业界领先的虚拟化技术，一机多用，降低用户支出，有效节省投资成本。最高可支持256个SSL VPN虚拟网关，每个虚拟SSL VPN网关可进行独立的认证、配置与管理，方便管理员独立操作，真正实现一机多用。虚拟化技术使一台硬件变成多台“硬件”使用，大大降低用户CAPEX支 出，减少OPEX费用。

网康下一代防火墙NGFW

网康下一代防火墙NGFW，支持基于五元组（源地址、目的地址、源端口、目的端口、协议类型）的ACL访问控制。传统攻击防护可防护端口扫 描、DDOS攻击、、、、、LAND、、Smurf、 和Ping Of Death等传统攻击方式。基础网络功能提供了多种地址转换能力、静态路由、基于IPsec的VPN、动态路由协议（RIP、OSPF）、HA、ALG等 组网功能。

网康下一代防火墙NGFW

随着信息化技术的发展，网络攻击技术发生了巨大的变化，早期黑客主要是通过暴力攻击获取服务器权来证明自我价值，而现在已经逐渐演变为利用各种渗透手段，将目标网络内的服务器和终端变成发展僵尸网络，最终形成以窃取隐私、贩卖数据、拒绝服务等体系化的黑色产业链。

攻击技术的演进也促使安全技术不断的变革。目前用户主要采用状态检测防火墙、防毒墙、入侵检测、恶意网络过滤、乃至统一威胁管理产品来应对外来的威胁。网康NGFW是可以全面应对应用层威胁的高性能防火墙，通过深入洞察网络流量中的用户、应用和内容，并借助全新的高性能单路径异构并行处理引擎，NGFW能够为用户提供有效的应用层一体化安全防护，帮助用户安全地开展业务并简化用户的网络安全架构。

应用识别

NGFW可以识别1000余种网络应用协议，其中包含300多种高风险应用。网康科技采用第三代的应用识别技术XAI，能够混合使用明文特征、密文流量模型、以及多个明文秘文混合的链接之间的行为关联。 同时可以对翻墙、代理、隧道等高风险应用进行精确的识别，继而让用户准确的发现网内可能存在的木马文件传输隧道以及远程控制管理隧道并进行控制。身份识别ngfw采用IP、MAC绑定识别技术；用户名+密码身份认证技术；以及与、、AD、LDAP、POP3、SMTP、城市热点、深澜等身份认证系统进行单点登录联动，通过近30多种的身份识别技术，帮助管理人员准确识别网络访问者。

应用层访问控制

通过基于人员和应用的识别，网康科技下一代防火墙可以轻松地帮助用户人员 + 应用 + 时间 / 5元组 + 人员 + 应用 + 时间的访问控制，简化安全策略配置，减少人员IP地址变化带来的访问控制列表失效问题。

应用层QOS

通过基于人员和应用的识别，NGFW可帮助用户实现基于人员+应用的带宽分配。将物理线路分为三级虚拟通道，为每个虚拟通道分配固定的带宽上限和最低下限。通过带宽的分配保障核心应用的基础带宽，并且限制如P2P等大流量应用的带宽，避免网络拥塞。

网康科技下一代防火墙通过应用的洞察能力保证动态端口应用、应用的隧道、代理应用和SSL加密的可见性，防止威胁逃逸，并通过基于应用全方位安全检测手段（入侵防御、防病毒、URL过滤等）来防御已知的威胁。

防逃逸的入侵防御

NGFW基于应用的入侵检测技术解决了基于端口的入侵防御对端口逃逸应用的入侵检测失效性。同时提供漏洞、木马、蠕虫、后门、缓冲区溢出、扫描和SQL注入等多种攻击或威胁方式检测和防御，并提供2500条以上的漏洞特征库，为用户定期提供最新的威胁特征库的更新。

低时延的病毒检测

NGFW基于流技术提供高效的病毒防护功能，流技术的低延迟效果，保障用户良好的网络使用体验。支持对多种协议（HTTP、FTP、SMTP、POP3和IMAP等）流量和压缩文件（gzip，zip，rar等）中病毒的查杀，提供近10万条实时更新的病毒特征库。

基于云的URL过滤

NGFW的URL过滤功能支持识别超过2600万网站，并为用户提供基于云端的实时更新服务。有效防御携带病毒、木马、傀儡等威胁的网站，并抵御可能携带威胁的色情、赌博和游戏网站。

一体化的安全策略

NGFW提供基于应用的一体化安全策略，给用户带来了基于应用的全面安全功能和简单、灵活的安全策略配置。在传统防火墙的五元组策略基础上，增加了应用、用户、内容的三个维度，一条策略可同时对应用、用户和内容进行匹配和扫描，减少策略配置条目的需要和维护。

网康下一代防火墙的主动威胁防御体系提供基于行为分析、多种类型日志的智能关联和威胁分析可视化的防护手段，有效认出网络中存在的未知威胁。

应用威胁可视

网康根据应用的漏洞存在、技术特点和被威胁利用情况，对应用进行安全风险划分和识别。保障企业对"灰色"应用有效的安全风险认识和控制。 NGFW支持根据国家和地区提供网络流量和威胁统计的分布图，对去往和来源于不同国家和地区的流量和威胁做到可视化。NGFW基于僵尸网络的行为进行分析并感知网络中的"肉鸡"，定时向用户报告可能受感染的僵尸主机。

安全基线对比分析

NGFW不仅提供应用及威胁的排名统计分析，还提供了数据的基线分析，能够帮助用户对比前一天、前一周或前一个月相同时段的应用和威胁情况。支持4个维度（新产生、后丢失、增长明显和减少明显）的基线对比方法，帮助用户更直接的分析网络和威胁的变化，分析网络突发事件和潜在威胁的概率。

威胁集成关联分析

NGFW提供了多维度的数据分析，如扫描到的威胁、URL分类过滤、文件类型过滤、源和目的用户、地域国家的分布等。同时支持对每一种维度内的数据进行过滤再分析，为用户提供数据广度的关联和深度的挖掘分析呈现，进而协助用户分析出潜在的威胁，并能够基于应用进行风险控制。 NGFW提供了流量日志、威胁日志、URL过滤日志、文件过滤日志等多种日志信息，支持从一种日志的内容钻取到其他日志的相关内容。

移动终端的识别和管理

网康下一代防火墙可以智能识别用户的移动终端类型，例如PC、苹果终端、安卓终端、塞班终端、黑莓终端等。结合对移动应用的识别更好地控制移动设备引入网络（BYOD——Bring Your Own ）带来的安全风险。

移动应用的识别和管理

网康已率先支持超过500种移动互联网应用。覆盖苹果、安卓、塞班等多种移动平台，涵盖聊天、微博、视频、地图等多种主流应用类型。确保网络管理无盲区，全面实现对PC、移动终端的全面管控。

编辑总结：

网康下一代防火墙的内容扫描功能（IPS、AV、URL过滤等）基于应用进行了统一构建，相比UTM进行了深度的融合集成，所有的内容扫描都是在单次的应用识别、报文解析、流重组和协议解码后进行的，减少了不同内容引擎对报文和流的重复处理，实现了应用层的高性能安全扫描。网康科技在产品架构上还采用了最先进的DPDK技术，充分发挥了多核CPU的并行处理能力，极大的提升了产品的网络处理性能。

真正的WAF 梭子鱼WEB应用防火墙

梭子鱼WEB应用防火墙（ll，简称WAF）产品，它们可以有效防止系统漏洞被恶意利用，帮助 企业合规达标，满足行业标准，如PCI DSS （支付卡行业数据安全标准）；防止在线信用卡交易的数据窃取及欺诈行为；防止因服务突然中断而给用户造成的经济损失，确保用户业务在安全底线之上稳定运 行，为企业带来真正强大的应用层安全防护。

梭子鱼WEB应用防火墙

而根据支持后端服务器数量、接入Web流量、硬件配置和特性的不同，梭子鱼WEB应用防火墙又分为、、、和五个型号。

梭子鱼WEB应用防火墙

梭子鱼WEB应用防火墙的核心技术

梭子鱼WEB应用防火墙提供强大的双向扫描机制。对于HTTP请求，梭子鱼WEB应用防火墙提供URL、表单参数、报头及等各种安 全扫描；此外，它还提供强大的应用层DDoS防护以及强制浏览和跨站请求伪造攻击防护；而对于HTTP响应，其可通过对响应报头、HTML内容进行过滤， 确保敏感信息不被泄露。

梭子鱼WEB应用防火墙提供XML防火墙功能，利用WSDL和XML 的合规性检查，提供各种XML的安全防护机制，包括对XML DoS的攻击防护。

梭子鱼WEB应用防火墙还能够与用户的LDAP和服务器整合，为网站提供用户的身份认证及访问授权，并通过内容路由、负载均衡、缓 存和压缩机制对整个交互过程进行加速处理。此外，凭借灵活的部署模式，如桥（透明）模式、路由模式及旁路（单臂）模式，梭子鱼WEB应用防火墙可轻松适应 不同用户的不同网络环境。

全面的WEB站点防护

许多Web应用由于开发者无法持续保持编码的安全性，致使这些Web应用通常存在严重的安全漏洞及隐患。与传统网络防火墙的三层处理机制以及与 IDS／IPS对HTTP、HTTPS和FTP等流量的简单操作不同，梭子鱼WEB应用防火墙可以对HTTP／HTTPS／FTP等业务进行代理，并全面扫描7层数据，确保在攻击到达Web服务器之前就将其阻断。

梭子鱼WEB应用防火墙能够阻断所有常见的Web攻击，它采用完全反向代理机制，在阻断攻击的同时，也能够对HTTP响应进行全面的监控，确保 诸如信用卡卡号、社保卡卡号等敏感信息不被泄露。而结合动态学习功能，它还能学习Web服务器的内在结构并自动生成策略，确保网站的高安全性。

业界领先的流量管理及加速技术

为了将网站安全的管理成本降到最低，梭子鱼WEB应用防火墙使用动态更新机制，实时更新最新的安全策略库和攻击规则库。同时，梭子鱼WEB应用 防火墙还提供强大的SSL卸载、SSL加速以及负载均衡功能。即使是对于要求最为苛刻的数据中心，梭子鱼的流量优化与加速功能也能够保证整个网络的性能与 效率得到大大改善，而且便于网络的扩容与管理。

真正的WAF：安全与性能的统一

随着WEB应用安全市场的火爆，各大安全厂商纷纷推出了自己的WEB应用防火墙（WAF），然而不同品牌的WAF和WAF之间其实是有差别的，因为它们有些是IPS转变而来的，有些则是将WAF功能软件集成到Web服务器上，所以这些设备并不能算是真正的WAF。

而一款真正的WEB应用防火墙，应该是为了Web应用安全而专门开发的产品，应该是安全和性能的真正统一，就像梭子鱼WEB应用防火墙一样。它与传统网络 防火墙的低层处理机制以及与IPS对于HTTP、HTTPS和FTP流量的简单操作相比，不仅可以对HTTP流量进行代理，还可全面扫描7层数据，确保攻 击在到达Web服务器之前就将其阻断。

梭子鱼WEB应用防火墙还能够完全获取和管理Web应用过程中进与出的每一个事务，同时也是一款高性能，双向HTTP代理设备，允许系统管理员针对每一个应用的每一个会话指定精确的安全，内容和流量的规则。

而且，梭子鱼WEB应用防火墙的主动防御功能做的非常好，通过对Web应用机理的分析，可以对HTTP流量进行完整的安全扫描，及时发现异常的 使用模式并阻止目前未知的攻击方法。例如，通常Web应用程序与Web客户端的信息交流数量是有限的，如果检测到Web服务器正在返回一个比预期大很多的 数据量，它就会及时切断传输，以防止更多的数据泄露。

与此同时，梭子鱼WEB应用防火墙也提供了基于特征库的防御能力。这是因为梭子鱼追求的是让用户获得真正的安全，而不是概念本身：既然已经知道 它就是攻击，可以通过特征库更快地发现并拦截攻击，就没有必要再通过主动防御功能，在消耗大量资源的基础上，再给它下“这就是攻击”的结论。

编辑点评：

梭子鱼WEB应用防火墙能够有效防护诸如数据窃取、DDoS、网页篡改等各种高危害性的网站攻击，为企业提供强大的应用层安全防护；同时通过梭子鱼直观、实时的管理界面，还可对Web应用进行统一的安全管理。作为真正的WAF，梭子鱼WEB应用防火墙将为企业的快速发展保驾护航！

H3C F100系列防火墙

H3C 防火墙/VPN是业界功能最全面、扩展性最好的防火墙/VPN产品，集成防火墙、VPN和丰富的网络特性，为用户提供安全防护、安全远程接入等功能。H3C F100系列防火墙包括 F100-C/ F100-C-EI/ F100-S/ F100-M/ F100-A-SI/ F100-A/ F100-E等七款产品。

H3C F100系列防火墙

H3C F100提供多种智能分析和管理手段，支持邮件告警，支持多种日志，提供网络管理监控，协助网络管理员完成网络的安全管理；支持多种VPN业务，如L2TP VPN、GRE VPN 、IPSec VPN、动态VPN等；支持RIP/OSPF/BGP/路由策略及策略路由；支持丰富的QoS特性，提供流量监管、流量整形及多种队列调度策略。

扩展性最强

基于H3C 先进的OAA开放应用架构，防火墙能灵活扩展病毒防范、网络流量监控和SSL VPN等硬件业务模块，实现2-7层的全面安全。

强大的攻击防范能力

能防御DoS/DDoS攻击（如CC、SYN flood、DNS Query Flood、SYN Flood、UDP Flood等）、ARP欺骗攻击、TCP报文标志位不合法攻击、Large ICMP报文攻击、地址扫描攻击和端口扫描攻击等多种恶意攻击，同时支持黑名单、MAC绑定、内容过滤等先进功能。

集中管理与审计

提供各种日志功能、流量统计和分析功能、各种事件监控和统计功能、邮件告警功能。

应用层内容过滤

可以有效的识别网络中各种P2P模式的应用，并且对这些应用采取限流的控制措施，有效保护网络带宽；支持邮件过滤，提供SMTP邮件地址、标题、附件和内容过滤；支持网页过滤，提供HTTP URL和内容过滤。

丰富的VPN特性

集成IPSec、L2TP、GRE和SSL等多种成熟VPN接入技术，保证移动用户、合作伙伴和分支机构安全、便捷的接入。

全面NAT应用支持

提供多对一、多对多、静态网段、双向转换 、Easy IP和DNS映射等NAT应用方式；支持多种应用协议正确穿越NAT，提供DNS、FTP、H.323、NBT等NAT ALG功能。

全面的认证服务

支持本地用户、、等认证方式，支持基于PKI/CA体系的数字证书（X.509格式）认证功能。支持基于用户身份的管理，实现不同身份的用户拥有不同的命令执行权限，并且支持用户视图分级，对于不同级别的用户赋予不同的管理配置权限。

增强型状态安全过滤

支持基础、扩展和基于接口的状态检测包过滤技术；支持H3C特有ASPF应用层报文过滤协议，支持对每一个连接状态信息的维护监测并动态地过滤数据包，支持对应用层协议的状态监控。

编辑点评：

H3C F100系列防火墙支持外部攻击防范、内网安全、流量监控、邮件过滤、网页过滤、应用层过滤等功能，能够有效的保证网络的安全；采用 ASPF（ ）应用状态检测技术，可对连接状态过程和异常命令进行检测。

总结：

新一代安全接入解决方案需要具备广泛的终端适应性，以及防止被窃听、数据泄密、中间人攻击等安全问题，通过全局化的整体安全防护，使企业可无忧于安全问题，而专注于核心业务处理，在这方面华为SVN系列产品有自己的独到之处。下一代防火墙涵盖传统防火墙、IPS的主要功能，内部能够实现内核级联动，为用户的业务系统提供一个安全防护的“铜墙铁壁”，这方面网康、深信服等大厂商的下一代产品各有自己的优势。另外，“应用时代”WAF应用防火墙成为必备安全产品，梭子鱼深厚的功底能够给用户“真正的WAF防护”。而在全面安全防护、优秀的扩展性方面，H3C相关产品做的比较到位。

~

网络安全学习，我们一起交流

~