Quidway SecPath 100F防火墙是面向中小企业用户开发的新一代专业防火墙设备。支持外部攻击防范、内网安全、流量监控、网页过滤、邮件过滤等功能,能够有效的保证网络的安全;采用ASPF状态检测技术,可对连接状态过程和异常命令进行检测;提供多种智能分析和管理手段,支持邮件告警,支持多种日志,提供网络管理监控,协助网络管理员完成网络的安全管理;支持AAA、NAT等技术,可以确保在开放的Internet上实现安全的、满足可靠质量要求的网络;支持多种VPN业务,如L2TP VPN、IPSec VPN、GRE VPN、华为动态VPN等,可以构建Internet、Intranet、Remote Access等多种形式的VPN;提供基本的路由能力,支持RIP/OSPF/路由策略及策略路由;支持丰富的QoS特性,提供流量监管、流量整形及多种队列调度策略。
Quidway SecPath 100F防火墙
项目
属性
接口
1个配置口(CON)
1个备份口(AUX)
4 LAN FE+ 3 WAN FE
插槽
1个MIM插槽, 可选的接口模块有1FE/2FE/4FE/NDECII/HDC五种
FLASH
16MB
SDRAM
256MB
外型尺寸(W×H×D)
436mm x420mm x44mm
重量
4kg
电源模块
输入
交流主机:100-240V ;50/60Hz
直流主机:-48V--60V
输出
电压:12V
最大功率
22W
工作环境温度
0~40℃
环境相对湿度
10~90%(不结露)
说明
网络安全性
AAA服务
RADIUS
CHAP验证
PAP验证
结合RSA ACE/Server和SecurID实现双因素认证
域认证
防火墙
包过滤
基于接口的访问控制列表
基于时间段的访问控制列表
动态包过滤
防攻击特性
Land、Smurf、Fraggle、WinNuke、Ping of Death、Tear Drop、IP Spoofing、SYN Flood、ICMP Flood、UDP Flood、ARP欺骗攻击防范
ARP主动反向查询
TCP报文标志位不合法攻击防范
超大ICMP报文攻击防范
地址/端口扫描的防范
DoS/DDoS攻击防范
ICMP重定向或不可达报文控制功能
Tracert报文控制功能
带路由记录选项IP报文控制功能
静态和动态黑名单功能
MAC和IP绑定功能
透明防火墙
邮件/网页过滤
邮件过滤
SMTP邮件地址过滤、邮件标题过滤、邮件内容过滤
网页过滤
HTTP URL过滤、HTTP内容过滤
安全管理
攻击实时日志
黑名单日志
地址绑定日志
流量告警日志
会话日志
进制格式日志功能
流量统计和分析功能
全局/基于安全域连接数率监控
全局/基于安全域协议报文比例监控
安全事件统计功能
E-MAIL邮件实时告警功能
E-MAIL邮件定期信息发布功能
数据安全
支持终端访问安全
IPSec
IKE
NAT
支持局域网内用户使用地址池中的IP地址访问外部网络
支持将访问控制列表与地址池的关联
支持将访问控制列表与接口的关联
支持外部网络主机访问内部的服务器
可配置支持地址转换的有效时间
支持多种ALG
VPN
L2TP VPN
可以根据VPN用户完整用户名,用户域名和电话号码向指定LNS发起连接可以为VPN用户分配地址可以进行LCP重协商和二次CHAP验证
IPSec/IKE
支持AH、ESP协议
支持手工或通过IKE自动建立安全联盟
ESP支持DES、3DES两种加密算法
支持MD5及SHA-1验证算法
支持IKE主模式及野蛮模式
支持NAT穿越
DVPN
支持自动建立隧道技术
提供GRE 、UDP两种隧道
支持登录认证及节点间的加密认证
支持依赖动态IP地址构建VPN
同一个节点可以属于不同的VPN域
支持多个VPN域
DVPN隧道可以承载IPSec加密
通过动态建立隧道节省Server带宽
网络协议
IP服务
ARP
静态域名解析
IP地址借用
DHCP中继
DHCP服务器
DHCP客户端
IP路由
静态路由管理
动态路由协议
RIP-1/RIP-2
OSPF
路由策略
策略路由
网络可靠性
备份中心、VRRP
服务质量保证(QoS)
流量监管
Traffic Policing
拥塞管理
FIFO、PQ、CQ、WFQ、CBWFQ、RTPQ
拥塞避免
WRED
流量整形
GTS
接口速率限制
LR、CAR
通过Console口进行本地配置
通过AUX口进行远程配置
通过Telnet或SSH进行本地或远程配置
配置命令分级保护,确保未授权用户无法配置设备
提供全中文的提示和帮助信息
详尽的调试信息,帮助诊断网络故障
提供网络测试工具,如Tracert、Ping命令等,迅速诊断网络是否正常
用Telnet命令直接登录并管理其它网络设备
FTP Server/Client,可以使用FTP下载、上载配置文件和应用程序
支持TFTP上传下载文件
支持日志功能
文件系统管理
User-interface配置,提供对登录用户多种方式的认证和授权功能。
支持标准网管 SNMPv3,并且兼容SNMP v2c、SNMP v1
支持NTP时间同步
大型广域网络内部安全隔离:
Quidway SecPath 100F防火墙可以部署在较大规模或者复杂的网络中,实现对内部网络进行有效的管理,对网络流量进行控制,对安全风险进行隔离,其基本部署模式如下图所示:
部署模式:
如上图所示,我们建议在总部核心交换机与广域路由器之间配置两台SecPath 100F防火墙,两台防火墙与核心交换机以及广域路由器之间采取全冗余连接,保证系统的可靠性;
为了保证系统的可靠性,我们建议配置两台防火墙为双机热备方式,在实现安全控制同时保证线路的可靠性,同时可以与整网动态路由策略组合,实现流量负载分担;
安全策略:
建议在两台防火墙上设定严格的访问控制规则,对实现总部网络访问下级网络的严格控制,只有规则允许的IP地址或者用户能够访问下级网络中的指定的资源,以避免总部网络可能会对下级网络的攻击、非授权访问以及病毒的传播;
建议在两台防火墙上设定严格的访问控制规则,对实现下级网络访问总部局域网的严格控制,只有规则允许的IP地址或者用户能够访问总部局域网的指定的资源,以避免下级网络中复杂的用户可能会对总部网络的攻击、非授权访问以及病毒的传播;
配置防火墙防DOS/DDOS功能,对Land、Smurf、Fraggle、Ping of Death、Tear Drop、SYN Flood、ICMP Flood、UDP Flood等拒绝服务攻击进行防范,可以实现对各种拒绝服务攻击的有效防范,保证网络带宽;
配置防火墙全面攻击防范能力,包括ARP欺骗攻击的防范,提供ARP主动反向查询、TCP报文标志位不合法攻击防范、超大ICMP报文攻击防范、地址/端口扫描的防范、ICMP重定向或不可达报文控制功能、Tracert报文控制功能、带路由记录选项IP报文控制功能等,全面防范各种网络层攻击行为;
可选策略:
根据需要,在两台防火墙上设置流量控制规则,实现对网络流量的有效管理,有效的避免网络带宽的浪费和滥用,保护网络带宽;
在防火墙上进行设置告警策略,利用灵活多样的告警响应手段(E-mail、日志、SNMP 陷阱等),实现攻击行为的告警,有效监控网络应用;
启动防火墙日志功能,利用防火墙的日志记录能力,详细完整的记录日志和统计报表等资料,实现对网络访问行为的有效的记录和统计分析;
Internet边界隔离:
Quidway SecPath 100F防火墙可以部署在Internet连接的边界,接入Internet的网络都会面临非常大的攻击风险,防火墙是一种简易有效的安全防护手段,Internet边界防火墙有多种部署模式,基本部署模式如下图所示:
如上图所示,我们建议在内网交换机与Internet路由器之间配置一台防火墙,同时,利用防火墙的多端口支持能力,隔离出非军事化区(DMZ),在这个区域部署需要对Internet公开的WWW/MAIL/DNS等服务;
通过防火墙的访问控制策略,拒绝任何来自Internet对内网的访问数据,保证任何Internet数据都不能主动进入内部网,屏蔽所有来自Internet的攻击行为;
通过防火墙的访问控制策略,控制来自Internet用户只能访问DMZ区服务器的特定端口,比如WWW服务器80端口、Mail服务器的25/110端口等,其他通信端口一律拒绝访问,在保证部属在DMZ区的服务器在安全的前提下,有效提供所需的服务;
通过防火墙的访问控制策略,对内部用户访问Internet进行基于IP地址的控制,初步实现控制内部用户能否访问Internet,能够访问什么样的Inertnet资源;
通过配置防火墙提供的IP/MAC地址绑定功能,以及身份认证功能,提供对内部用户访问Internet的更严格有效的控制能力,加强内部用户访问Internet控制能力;
通过配置防火墙提供的SMTP邮件过滤功能和HTTP内容过滤,实现对用户访问Internet的细粒度的访问控制能力,实现基本的用户访问Internet的行为管理;
根据应用和管理的需要,设置有效工作时间段规则,实现基于时间的访问控制,可以组合时间特性,实现更加灵活的访问控制能力;
