02[优炫下一代防火墙]NGF产品白皮书.docx

地址:北京市海淀区知春路6号锦秋国际大厦B座702邮编:100191电话:010-82886998传真:010-82886338服务热线:400-650-7837网址::公开北京优炫软件股份有限公司优炫下一代防火墙NGF产品白皮书关键词下一代防火墙摘要本文介绍了优炫下一代防火墙的技术特点、主要功能、典型应用等。缩略语缩略语英文全称中文名称NGFNextGenerationFirewall优炫下一代防火墙修订记录修改记录累积了每次文档更新的说明。最新版本的文档包含以前所有文档版本的更新内容。文档版本01(2017-04-13)第一次正式发布。在原技术部提供的技术白皮书基础上修改完善。目录1产品背景 12产品概述 23技术原理 关于AAA 第八层技术 44产品特点 65产品功能 状态检测型防火墙 网络功能 身份认证 带宽管理 VPN 入侵防御系统 网关防病毒与反间谍软件 反垃圾邮件 网页过滤 应用程序过滤 Web应用防火墙 高可用性 日志与报告 设备管理 136典型应用 14产品背景防火墙是做什么用的?在设计之初,防火墙就是进行访问控制的,是用于控制进出网络通讯流量的边界设备。传统防火墙,即目前市场中常见的基于状态检测技术的包过滤防火墙,其具备数据包过滤、网络地址转换(NAT)、协议状态检查以及VPN等功能。通过安全策略的定义,可以实现网络访问控制的任务。传统防火墙的安全策略是与IP地址、通讯端口相关联的。使用者需要了解IP地址与通讯端口的相关知识,才可以设计合理的安全策略进行访问控制。在只有几种网络应用的过去,传统防火墙的访问控制已经做得很好了。上的网络应用的丰富,网络威胁的不断变化与发展,以及管理者对边界设备的可视化要求越来越高,人们对传统防火墙的工作表现越来越不满意。因为传统的基于IP地址与通讯端口的安全策略已经无法区分网络应用种类,更无法识别使用常规通讯端口的网络威胁。枯燥的IP地址与通讯端口,也要求使用者必须具备丰富的网络诊断经验,才可以推断出可能存在的网络问题。在此大背景下,优炫公司推出了下一代防火墙产品。与传统防火墙的安全策略不同,下一代防火墙的安全策略中涉及到很多元素,除了IP地址与通讯端口,还包含用户身份、时间计划、IPS策略、网页过滤策略、应用程序过滤策略、带宽管理策略、防病毒策略、反垃圾邮件策略以及Web应用防护策略等内容。下一代防火墙与传统防火墙所担当的任务是一样的,即访问控制。但下一代防火墙已经从传统防火墙对L2到L4的访问控制,上升到对L2到L7的访问控制,访问控制的细腻度与深度在不断提升。更为突出的,下一代防火墙引入对用户身份的控制,淡化的IP地址、MAC地址的控制概念。理解用户名要比IP地址、MAC地址更易于接受,降低了中小企业使用者的技术门槛,同时在管理可视化方面更为直观有效。产品概述优炫下一代防火墙(简称NGF)是一款可以全面应对应用层威胁的高性能防火墙。通过深入洞察网络流量中的用户、应用和内容,并借助全新的高性能单路径异构并行处理引擎,能够为用户提供有效的应用层一体化安全防护,帮助用户安全地开展业务并简化用户的网络安全架构。优炫下一代防火墙集成了状态检测防火墙、远程接入、网关防病毒、反间谍软件、反垃圾邮件、入侵防御系统、内容与应用程序过滤、数据泄漏防护、即时通讯管理、带宽管理、多链路管理等功能,并通过同一平台完成综合报告的呈现。优炫下一代防火墙提供一套图形化用户界面,来实现全部的安全功能配置。这是一个可扩展的架构并支持IPv6,满足对未来网络的安全需求。技术原理关于AAA在一个安全的网络中,对于网络资源或设备非法访问应该被控制。传统的情况下,对网络资源与设备访问,我们需要登录设备,在本地配置身份验证信息,此时需要用户有合法的凭证才可以得到相应的服务,从而保证了网络的安全性。然后当网络规模增大的时候,管理与维护变的复杂化的时候,我们对多个设备或网络服务进行认证与控制,开始变的力不从心。这需要一个能够对网络做出统一认证与控制的服务。AAA名词定义即认证[Authentication]、授权[Authorization]、审计[Accounting],是三个功能独立的模块的结合体,它提供了一种网络安全服务,但它并非一种协议,很多人把AAA看成是一种协议。认证认证是一个解决确定某一个用户或其他实体是否被允许访问特定的系统或资源的问题。授权授权是指当用户或实体的身份被确定为合法后,赋予该用户的系统访问或资源使用权限。审计审计也称为记帐或审核,出于安全考虑,所有用户的行为都要留下记录,以便进行核查,这个功能也是一般设备不