迈普MPSec FW520防火墙解决方案.doc

1、迈普 MPSec FW520 防火墙解决方案 MPSec FW520 防火墙是一款基于状态检测的包过滤防火墙产品，该产品遵循国家标准GB18018、GB18019 并参考信息产业部行业标准 YD/T1132-2001 进行研发。MPSec FW520 利 用树型结构组织规则，避免了以往防火墙产品按顺序匹配过滤规则效率不高的弊端，不仅极大的提高了该产品的处理效率，而且，以一种可伸缩的规则组织架构支持 各种用户从简单到复杂的规则配置。MPSec FW520 支持基于 IPSec 的 VPN 功能，能够同 MPSec Router以及 MPSec PKI 配合组建完美的 VPN 网络，实现用户组网和

2、安全的整体解决方案；MPSec FW520 支持本地管理和远程管理两种管理方式，在远程管理方式下，MPSec FW520 采用 SSH或基于 SSL 的 HTTP 保证远程管理的安全性；MPSec FW520 支持基于证书 LDAP 以及一次性口令的用户认证；MPSec FW520 作为一种访问控制执行工具能够实现网络边界的完整保护。MPSec FW520 已获得公安部计算机安全产品销售许可证，并通过了国家信息测评中心的认证。MPSec FW520 外观图遵循标准的 IPSec 协议提供灵活的 AH、ESP、AHESP 隧道方式支持多种国际标准加密算法国密办认证加密算法 SSP02-A128

3、位密钥，安全强度高专用硬件加密卡，运算速度快远程动态 IP 地址接入可集成防火墙功能模块多方面备份，可靠性高支持透明、路由、混合三种工作模式支持不同安全级别的子网手工配置密钥和 IKE 自动密钥协商多种网络管理方式证书支持IC 卡保护与 Maipu 网络设备无缝接合，提供综合的网络安全解决方案产品配置产品型号配置串口配置以太网口MPSec FW5201 个 EIA RS-232 DB9 异步串口4 个 10BaseT/100BaseTX RJ45 以太网接口产品特点防火墙功能静态包过滤：支持基于方向、源目的地址、MAC、协议值、端口号、时间及其它字段的过滤。过滤粒度可细化至比特级。动态访问控制

4、：可根据实际需要，为合法的用户动态地打开或关闭所需要的端口。连接状态跟踪：支持实时的连接状态跟踪功能，通过跟踪用户数据流状态，并结合规则表进行过滤，从而提高系统的安全性。支持帐号绑定 IP 地址的功能。可针对账号、登录 IP 地址和访问 IP 地址进行跟踪监视。工作模式：支持透明、路由和混合三种工作方式。NA（P）T 功能：支持源、目的 NAT 功能，同时支持端口地址转换功能。支持动态地址转换。支持 PPPOE 和 PPTP 协议：同时支持外部接口的动态源地址转换。URL 过滤：支持基于域名或者 IP 地址的 URL 过滤，同时支持基于通配符的 URL 群组地址过滤，支持基于 URL 资源的过

5、滤。DHCP 协议支持：既能作为 DHCP 服务器，也能作为 DHCP 客户端进行工作。MAIL 过滤：支持 SMTP 和 POP 协议的命令级过滤。H.323 应用支持：支持 Netmeeting 等基于 H.323 协议的端到端通信的动态访问控制和透明传输。VLAN 和 802.1Q 协议支持：支持 VLAN 和 802.1Q 协议数据的透明传输。FTP 和 TFTP 协议支持：支持 FTP 和 TFTP 数据的透明传输。接口类型指定：接口可根据需要绑定为内网、外网及 DMZ 接口。ARP 代理功能：通过 ARP 功能可实现 IP 与 MAC 地址绑定，实现防止伪造 IP 地址攻击等。透明

6、应用代理：支持 FTP、HTTP、SMTP 等应用协议的透明代理。防范 Syn-Flooding 攻击：特有的 TCP 拦截功能，能够有效保护内部主机不受 Syn-Flooding 攻击。网络攻击防御：防止多种常见的 DOS 攻击方式，SYN-Flooding，IGMP2，LAND，PINGFLOOD，TEARDROP，PINGOFDEATH 等攻击。支持与 IDS 联动：有效构成完整的安全防护体系。支持基于规则的流量控制功能：能够根据需要控制防火墙不同区域的流量。支持认证、授权、记帐（AAA）功能支持 MAC 地址与 IP 地址的绑定支持规则的一致性检测（PPC），防止规则之间的冲突VPN

7、功能加密算法：采用国家密码管理政策允许的高强度专用加密算法，密钥长度为 128bits，安全强度高，计算速度快。支持 DES、3DES 等标准算法。 隧道管理：迈普安全网关可以建立隧道来维护数据流的安全。隧道建立前必须在两台安全网关上分别设置隧道参数，之后启动隧道保护数据流。隧道可以随时建立和 关闭。提供灵活的 AH、ESP、AHESP 隧道方式。传输安全：遵循标准的 IPSec 协议。多种密钥管理方式：迈普安全网关支持手工配置会话密钥和 IKE 自动密钥协商两种方式，采用 IKE 时还支持密钥的自动更新，同时可保证会话密钥的完美向前保密，即保证下一次会话密钥与上一次无关。密钥更新时间由用户指

8、定，提供多种定时单位，可精确到分钟。支持证书：对于迈普安全网关的身份采用基于预共享密钥和证书两种认证方式，证书遵循标准的 X.509 证书体系，由迈普的 CA 系统统一进行证书管理。IC 卡保护：采用 IC 卡保护机密信息，并有 PIN 保护。管理功能支持采用串口进行行命令管理: 智能化 Shell，按命令功能进行分类和分级。远程安全 Shell: 支持远程 SSHv1、SSHv2，可以有效地进行远程安全配置，并保证配置信息不被篡改、窃取。支持 WEB 管理方式：中英文 WEB 管理界面，支持 SSLv1、2、3/TLSv1，可通过 HTTPS 进行远程安全管理配置而保证配置信息不被篡改和窃取

9、。管理认证一次性口令认证：对设备进行远端管理时，提供基于 OTP 机制的管理员认证。周期性身份认证：迈普安全网关对管理员身份进行周期性认证，认证不成功时锁存界面。可设置定时周期认证间隔和无操作认证间隔。管理员分级：支持管理员分级，不同级别管理员命令之间不能相互操作。专用管理口：采用专用的控制口进行行命令管理，使管理数据和用户数据彻底分开。安全远端管理：远端管理提供加密机制。其它功能检查配置：提供策略一致性检查机制，在用户可能出现不一致配置时进行提示。配置文件：支持配置文件备份。电源：可选双电源备份。双机备份：支持双机热备份技术规范型号项目MPSec FW520处理器Intel P 800M内存

10、默认配置为 128M，可更换为 256M闪存64M通信协议IPv4安全协议IPSec、IKE、X.509通信端口4 个 10BaseT/100BaseTX 以太网接口；配置端口1 个 EIA RS-232 DB9 异步串口数据转发速率100M加密速度56M最大并发连接数80 万（256M 内存）/60 万（128M 内存）最大隧道数6,000 个最大策略数3,000 个外形尺寸（HWD）44.5mm444mm280mm输入电压（AC）190-240V，50-60HZ功率100W环境参数-温度050 oC环境参数-湿度095，不结露典型应用由防火墙划分出的安全区域级别：典型的防火墙具有三个以太接口，在逻辑上将网络划分为三个区域：内网、外网和非军事区（DMZ）。在 MPSec FW520 中，三个逻辑区域与接口对应关系为：区域接口说明内网Trusted具有最高的安全级别，该区域内的资源默认情况下从外网或 DMZ 区域不可访问。外网Untrusted非安全区域，由该区域到内网的主动访问默认情况下均认为是不安全的，将被拒绝。DMZDMZ“1/2该区域物理上属于防火墙所保护组织的资源，在安全级别上要求内、外网均可无限制的访问该区域资源。