Quidway SecPath 1000F防火墙是面向大型企业用户开发的新一代专业防火墙设备。支持外部攻击防范、内网安全、流量监控、网页过滤、邮件过滤等功能,能够有效地保证网络的安全;采用ASPF状态检测技术,可对连接状态过程和异常命令进行检测;提供多种智能分析和管理手段,支持邮件告警,支持多种日志,提供网络管理监控,协助网络管理员完成网络的安全管理;支持AAA、NAT等技术,可以确保在开放的Internet上实现安全的、满足可靠质量要求的网络;支持多种VPN业务,如L2TP VPN、IPSec VPN、GRE VPN、华为动态VPN等等,可以构建Internet、Intranet、Remote Access等多种形式的VPN;提供基本的路由能力,支持RIP/OSPF/BGP/路由策略及策略路由;支持丰富的QoS特性,提供流量监管、流量整形及多种队列调度策略。
Quidway SecPath 1000F
项目
属性
接口
1个配置口(CON)
1个备份口(AUX)
2个10/100/1000M以太网口
插槽
1个MIM插槽,可选的接口模块有1FE/2FE/4FE/1GE/2GE/HDC六种
FLASH
16MB
SDRAM
缺省:512MB
最大:1GB
外型尺寸(W×D×H)
436mm x420mm x44mm
重量
5kg
电源模块
输入
交流主机:100-240V ;50/60Hz
直流主机:-48V--60V
输出
电压:12V
最大功率
100W
工作环境温度
0~40℃
环境相对湿度
10~90%(不结露)
说明
网络安全性
AAA服务
RADIUS、CHAP验证、PAP验证、域认证、结合RSA ACE/Server和SecurID实现双因素认证
防火墙
包过滤基于接口的访问控制列表基于时间段的访问控制列表动态包过滤防攻击特性Land、Smurf、Fraggle、WinNuke、Ping of Death、Tear Drop、IP Spoofing、SYN Flood、ICMP Flood、UDP Flood、ARP欺骗攻击防范ARP主动反向查询TCP报文标志位不合法攻击防范超大ICMP报文攻击防范地址/端口扫描的防范DoS/DDoS攻击防范ICMP重定向或不可达报文控制功能Tracert报文控制功能带路由记录选项IP报文控制功能静态和动态黑名单功能MAC和IP绑定功能透明防火墙
邮件/网页过滤
邮件过滤SMTP邮件地址过滤SMTP邮件标题过滤SMTP邮件内容过滤网页过滤HTTP URL过滤、HTTP内容过滤
安全管理
攻击实时日志黑名单日志地址绑定日志流量告警日志会话日志进制格式日志功能流量统计和分析功能全局/基于安全域连接数率监控全局/基于安全域协议报文比例监控安全事件统计功能E-MAIL邮件实时告警功能E-MAIL邮件定期信息发布功能
数据安全
支持终端访问安全IPSecIKE
NAT
支持局域网内用户使用地址池中的IP地址访问外部网络支持将访问控制列表与地址池的关联支持将访问控制列表与接口的关联支持外部网络主机访问内部的服务器可配置支持地址转换的有效时间支持多种ALG
VPN
L2TP VPN
可以根据VPN用户完整用户名,用户域名和电话号码向指定LNS发起连接可以为VPN用户分配地址可以进行LCP重协商和二次CHAP验证
IPSec/IKE
支持AH、ESP协议支持手工或通过IKE自动建立安全联盟ESP支持DES、3DES两种加密算法支持MD5及SHA-1验证算法支持IKE主模式及野蛮模式支持NAT穿越
GRE VPN
DVPN
支持自动建立隧道技术提供GRE 、UDP两种隧道支持登录认证及节点间的加密认证支持依赖动态IP地址构建VPN同一个节点可以属于不同的VPN域支持多个VPN域支持NAT穿越DVPN隧道可以承载IPSec加密通过动态建立隧道节省Server带宽
网络协议
IP服务
ARP静态域名解析IP地址借用DHCP中继DHCP服务器DHCP客户端
IP路由
静态路由管理动态路由协议RIP-1/RIP-2OSPFBGP路由策略策略路由
网络可靠性
备份中心、VRRP、接口卡热插拔
服务质量保证(QoS)
流量监管
Traffic Policing
拥塞管理
FIFO、PQ、CQ、WFQ、CBWFQ、RTPQ
拥塞避免
WRED
流量整形
GTS
接口速率限制
LR、CAR
通过Console口进行本地配置通过AUX口进行远程配置通过Telnet或SSH进行本地或远程配置配置命令分级保护,确保未授权用户无法配置设备提供全中文的提示和帮助信息详尽的调试信息,帮助诊断网络故障提供网络测试工具,如Tracert、Ping命令等,迅速诊断网络是否正常用Telnet命令直接登录并管理其它网络设备FTP Server/Client,可以使用FTP下载、上载配置文件和应用程序支持TFTP上传下载文件支持日志功能文件系统管理User-interface配置,提供对登录用户多种方式的认证和授权功能。
支持标准网管 SNMPv3,并且兼容SNMP v2c、SNMP v1支持NTP时间同步
SecPath 1000F防火墙可以部署在中型数据中心的前端,实现对所有访问数据中心服务器的网络流量进行控制,提供对数据中心服务器的有效保护,其基本部署模式如下图所示:
部署模式:
如上图所示,我们建议在两台核心交换机与两台数据中心交换机之间配置两台防火墙,两台防火墙与两台核心交换机以及两台数据中心交换机之间采取全冗余连接;
为了保证系统的可靠性,我们建议配置两台防火墙为双机热备方式,在实现安全控制的同时保证线路的可靠性,同时可以与动态路由策略组合,实现流量负载分担;
安全策略:
建议在两台防火墙上设定严格的访问控制规则,配置只有规则允许的IP地址或者用户能够访问数据中心服务器上指定的资源,以避免可能会对数据中心服务器的各种攻击、非授权访问以及病毒的传播,对数据中心的信息资产提供有效保护;
配置防火墙全面攻击防范能力,包括ARP欺骗攻击的防范,提供ARP主动反向查询、TCP报文标志位不合法攻击防范、超大ICMP报文攻击防范、地址/端口扫描的防范、ICMP重定向或不可达报文控制功能、Tracert报文控制功能、带路由记录选项IP报文控制功能等,全面防范各种网络层的攻击行为;
配置防火墙防Dos/DDos功能,对Land、Smurf、Fraggle、Ping of Death、Tear Drop、SYN Flood、ICMP Flood、UDP Flood等拒绝服务攻击进行防范,以实现对各种拒绝服务攻击的有效防范,保证网络带宽;
可选策略:
在防火墙上进行设置告警策略,利用灵活多样的告警响应手段(E-mail、日志、SNMP 陷阱等),实现攻击行为的告警,有效监控网络应用;
启动防火墙日志功能,利用防火墙的日志记录能力,详细完整的记录日志和统计报表等资料,实现对网络访问行为的有效的记录和统计分析;
大型网络Internet边界隔离:
SecPath 1000F防火墙可以部署在大型网络的Internet边界,接入Internet的网络都会面临非常大的攻击风险,防火墙是一种简易有效的安全防护手段,Internet边界防火墙有多种部署模式,基本部署模式如下图所示:
如上图所示,我们建议在内网交换机与Internet路由器之间配置一台防火墙,同时,利用防火墙的多端口支持能力,隔离出非军事化区(DMZ),在这个区域部署需要对Internet公开的WWW/MAIL/DNS等服务;
配置防火墙防DOS/DDOS功能,对Land、Smurf、Fraggle、Ping of Death、Tear Drop、SYN Flood、ICMP Flood、UDP Flood等拒绝服务攻击进行防范,可以实现对各种拒绝服务攻击的有效防范,保证网络带宽;
配置防火墙全面攻击防范能力,包括ARP欺骗攻击的防范,提供ARP主动反向查询、TCP报文标志位不合法攻击防范、超大ICMP报文攻击防范、地址/端口扫描的防范、ICMP重定向或不可达报文控制功能、Tracert报文控制功能、带路由记录选项IP报文控制功能等,全面防范各种网络层攻击行为;
通过防火墙的访问控制策略,拒绝任何来自Internet对内网的访问数据,保证任何Internet数据都不能主动进入内部网,屏蔽所有来自Internet的攻击行为;
通过防火墙的访问控制策略,控制来自Internet用户只能访问DMZ区服务器的特定端口,比如WWW服务器80端口、Mail服务器的25/110端口等,其他通信端口一律拒绝访问,在保证部属在DMZ区的服务器在安全的前提下,有效提供所需的服务;
通过防火墙的访问控制策略,对内部用户访问Internet进行基于IP地址的控制,初步实现控制内部用户能否访问Internet,能够访问什么样的Inertnet资源;
通过配置防火墙提供的IP/MAC地址绑定功能,以及身份认证功能,提供对内部用户访问Internet的更严格有效的控制能力,加强内部用户访问Internet控制能力;
通过配置防火墙提供的SMTP邮件过滤功能和HTTP内容过滤,实现对用户访问Internet的细粒度的访问控制能力,实现基本的用户访问Internet的行为管理;
根据需要,在两台防火墙上设置流量控制规则,实现对网络流量的有效管理,有效的避免网络带宽的浪费和滥用,保护网络带宽;
根据应用和管理的需要,设置有效工作时间段规则,实现基于时间的访问控制,可以组合时间特性,实现更加灵活的访问控制能力;
