1、网络安全防御系统白皮书上海华堂网络有限公司二零一零年二月上海华堂网络有限公司 目录1 产品介绍 .31.1 华堂简介 .31.2 技术优势 .31.3 适用范围 .32 技术指标 .32.1 产品功能 .32.2 性能指标 .33 功能特点 .33.1 先进的体系设计 .33.2 灵活的工作模式 .33.3 丰富的路由功能 .33.4 完整的 NAT .33.5 独创的 VPN 商务平台 .33.6 支持多 ISP 冗余 .33.7 强大的安全防御 .33.8 智能化的访问控制 .33.9 灵活的 QoS.33.10 领先的 HA.33.11 多样化的用户认证 .33.12 完备的系统管理 .
2、33.13 强大的日志分析 .33.14 完善的系统监控 .33.15 一站式的管理服务 .33.16 快捷的配置向导 .3上海华堂网络有限公司 33.17 安全的用户管理 .34 典型应用 .34.1 用户网络现状 .34.2 安全分析 .34.3 华堂解决方案 .34.4 解决方案描述 .35 资质认证 .36 联系方式 .3上海华堂网络有限公司 4版权声明本手册的所有内容,其版权属于上海华堂网络有限公司所有,未经华堂许可,任何人不得仿制、拷贝、转译或任意引用。本手册没有任何形式的担保、立场倾向或其他暗示。若因本手册或其所提到的任何信息引起的直接或间接的资料流失、利益损失,华堂及其员工恕不
3、承担任何责任。本手册所提到的产品规格及资讯仅供参考,有关内容可能会随时更新,华堂恕不承担另行通知之义务。版权所有 不得翻印上海华堂网络有限公司商标声明本手册中所谈及的产品名称仅做识别之用,而这些名称可能属于其他公司的注册商标或是版权,其他提到的商标,均属各该商标注册人所有,恕不逐一列明。上海华堂网络有限公司上海华堂网络有限公司 51产品介绍1.1 华堂简介上海华堂网络有限公司拥有自主知识产权的华堂网络安全防御系统,是华堂网络凭借强大的技术实力和领先的理论体系,为用户精心打造的新一代安全网关产品。华堂网络安全防御系统基于华堂专用操作系统(HTOS) ,集成了防火墙、入侵检测、IPSec/SSL/
4、PPTP/L2TP VPN、防病毒、内容过滤、反垃圾邮件等众多功能,采用以协议识别、数据侦听、异常检测、关联分析等核心技术为基础的华堂主动防御技术,及时、准确地将用户面临的潜在安全威胁化解于无形之中,并运用最新的网络准入控制技术,构筑以可信代理、策略引擎、端点管理等为核心的可信网络安全体系,保护整个网络免受病毒、蠕虫和恶意软件的威胁,为用户的网络安全提供了坚实的保障。1.2 技术优势作为业界技术领先的上海华堂网络有限公司,基于对网络安全的深刻理解和独到认识,凭借多年来在网络安全领域积累的丰富经验,率先研究开发了具有完全自主知识产权的华堂网络安全防御系统。 主动出击,先发制人随着信息技术的飞速发
5、展和互联网的广泛普及,人们面临的安全问题也越来越复杂,尤其是混合型、复合型的威胁,如黑客攻击、蠕虫病毒、木马后门、间谍软件、DDoS 攻击、垃圾邮件等,极大地困扰着用户。传统的网络安全产品都属于被动防御,即当攻击出现以后再进行防御措施,往往为时已晚,而且面对层出不穷的未知威胁,自然是应接不暇,无奈的叹息之声不绝于耳。怎么办?与其被动挨打,不如主动出击!华堂网络安全防御系统突破传统技术的局限,采用以协议识别、数据侦听、异常检测、关联分析等核心技术为基础的华堂主动防御技术,就像老练的反扒专家能从熙熙攘攘的人群中看出谁是小偷一样,能从川流不息的网络流量中及时、准确地发现潜在威胁,并在其造成危害之前就
6、将其消灭,无需任何手动干预。上海华堂网络有限公司 6 网络准入控制,构筑可信网络每当一台终端设备(如服务器、台式机、笔记本电脑等)登录网络,都有可能影响整个网络的安全水平。如果这些终端设备使用过期的防病毒系统、未及时安装操作系统补丁,甚至已经感染了病毒或蠕虫,一旦与网络相连,将会对整个网络的安全形成威胁,而且很难被发现,而要对其进行准确定位与有效隔离,将会花费用户极大的时间与精力。怎么办?问题的关键在于必须构建可信网络,确保所有登录到网络中的终端设备都是安全可靠的。华堂网络安全防御系统采用最新的网络准入控制技术,构筑以可信代理、策略引擎、端点管理等为核心的可信网络安全体系,对那些试图访问网络的
7、终端设备进行必要的检测、认证和授权,为完全符合安全策略的终端设备提供网络接入,拒绝不符合安全策略的设备接入,保护整个网络免受病毒、蠕虫和恶意软件的威胁。 一体化安全网关,立体综合防御随着网络技术的日益发展,网络威胁已经从简单的网络层攻击升级到结合了病毒、黑客、木马等多种技术的多层次混合型攻击,对于这种混合型攻击威胁,单一功能的安全产品已经无法有效防御。而如果把防火墙、防病毒、入侵检测、反垃圾邮件等每一个独立的安全设备都提供给用户,不但成本太高,而且大大增加了管理和维护的复杂性。针对这种状况,华堂网络安全防御系统采用以统一威胁管理为核心思想的多引擎统一驱动技术,集成了防火墙、入侵检测、防病毒、V
8、PN、内容过滤、防垃圾邮件等众多安全功能,全面防御 ISO 7 层中的各种攻击,如下图示意:图 1.1:一体化安全网关示意图华堂网络安全防御系统通过提供一站式的安全解决方案,不仅为用户节约了硬件成本、减少了管理和维护的投入,而且为用户网络提供了全方位的立体综合防御。上海华堂网络有限公司 71.3 适用范围产品定位 产品特点部门级华堂网络安全防御系统的入门级产品,定位于低端百兆应用,拥有卓越的网络适应性,支持包括 PPPoE、DHCP、DDNS 等在内的非常实用的网络功能,为小型企业、远程办公用户、家庭办公用户等小型用户提供了一个可靠的网络安全解决方案。小企业级华堂网络安全防御系统的小企业级产品
9、,定位于千兆级的中低端应用,性能稳定可靠,功能丰富,技术成熟,是一款高稳定、高可靠的安全网关产品,为中小型企业、行业分支机构、县市级政府部门等中小用户提供了一个可靠的网络安全解决方案。大企业级华堂网络安全防御系统的大企业级产品,定位于千兆级的高端应用,具备安全高效的特点,将丰富的功能和高性能完美地结合在一起,为大型用户,如军队、省级政府部门、省级电力行业、省级交通行业的关键性应用提供了一个可靠的网络安全解决方案。电信级华堂网络安全防御系统的电信级产品,定位于千兆级复杂网络环境的应用,具有高性能、高可靠性、高安全性的特点,为电信、服务器集群、数据中心、高容量电子商务网站、大容量数据仓库等千兆网络
10、环境提供了一个可靠的网络安全解决方案。2技术指标2.1 产品功能功能类别 功能项 功能描述工作模式 支持路由、透明、混合模式路由功能 支持静态路由、动态路由、源地址路由和策略路由多 ISP 冗余 支持多 ISP 链路的负载均衡支持 VLANVLAN 支持 VLAN TrunkPPPoE 支持 PPPoE 拨号连接DHCP 支持 DHCP Server、DHCP Relay 和 DHCP ClientDNS 支持 DNS 域名解析、支持转发DDNS 支持 DDNS 动态域名解析静态 ARP 支持 IP/MAC 地址绑定组播 支持 IGMP、DVMRP、PIM-SM 等组播协议GRE 隧道 建立通
11、用路由协议封装的安全通道带宽管理 管理网络带宽流量,可以针对服务、IP 分配下载或上传带宽网络功能流量监控 可以根据地址、服务统计流量,实时监控一个 IP 的流量并将其加入动态黑名单(需配置联动模块)上海华堂网络有限公司 8功能类别 功能项 功能描述支持视频会议(H.323)支持 FTP 协议动态端口支持 SQL*NET支持状态检测支持基于源/目的 IP、源/目的端口和协议的包过滤包过滤支持基于时间段的访问控制内容过滤 支持对 HTTP、FTP、SMTP、POP3 和 Telnet 的深度过滤支持对 POP3 和 SMTP 的邮件监控IM 内容过滤、清空代理 ICQ、MSN、雅虎通,并可以记录
12、、过滤、清空聊天日志MSN 代理中可以组织文件传输支持 DoS/DDoS 攻击防范支持扫描攻击支持蠕虫攻击防范攻击防范支持地址欺骗攻击防范,分主动方式和被动方式支持简单认证、一次一密认证、USB Key 认证支持 RADIUS、TACACS/TACACS+、NT 域等第三方认证身份认证支持用户和组认证管理入侵检测 支持基于网络入侵检测系统功能,检测多种网络攻击行为。超过 3000 多种的过滤规则类型。防病毒 支持防病毒(MAV)安全功能防垃圾邮件 支持防垃圾邮件静态 NAT 一对一,双向动态 NAT 支持多对多的源转换和多对一的源转换NAT 功能端口映射 支持单个端口和端口段方式映射工作模式
13、支持端到端方式和点到端方式加密算法 支持 3DES、CAST、IDEA、BLOWFISH身份认证 支持 MD5 和 SHA1隧道技术 支持 PPTP、L2TP、IPSec、SSL VPN+短信认证模块VPN 功能密钥管理 支持预共享密钥、IKE 和数字证书QoS 流量管理 支持自定义带宽分配策略、最小保证带宽和最大限制带宽支持主从热备和双活热备HA(高可用性)支持设备状态探测和链路状态探测端口聚合 支持端口聚合(bonding)智能防御 增加对网站对象的过滤、网站对象页面元素的过滤SNMP 支持 SNMP v1/v2/v3IDS 联动 支持与主流 IDS 设备的联动ICD 检测 支持地址冲突检
14、测高级功能Watchdog 支持防死机日志分析 支持多种日志类型的记录和图形化分析日志维护 支持日志备份、删除、导入和导出状态监控 支持对 CPU、内存、磁盘、网络流量和应用模块的监控安全管理系统报警 支持多种报警事件和报警方式上海华堂网络有限公司 9功能类别 功能项 功能描述管理方式 支持集中管理、分布式管理和安全的命令行管理用户客制化功能1. 支持基于标准 LDAP 方式的多点 CRL 黑名单列表更新 (VPN 功能) ;2. 支持中文证书应用(VPN 功能);3. 支持 VPN 客户端登录界面客制化功能(VPN 功能);4. 支持用户密码客户端修改(VPN 功能);5. 支持客户端口令尝
15、试次数限制策略(VPN 功能);6. 支持用户名安全功能(以*号显示用户名)(VPN 功能);7. 支持用户认证有效期(VPN 功能);8. KEY 拨开后自动断开连接(VPN 功能);9. 支持 Cookie 方式后端传递,且允许用户自行选择需要传输 Cookie 类型(VPN 功能);10. WEB 转发 URL 显示加密(VPN 功能);支持快速配置向导,支持远程维护和升级维护方式支持配置文件的保存、备份和恢复系统管理用户管理 支持多级用户管理2.2 性能指标名称 指标吞吐量 线速延迟时间 0.000086 秒并发连接数 2500000MTBF 80000 小时最大规则数 无限制最大路由
16、数 无限制双机热备切换时间 小于 1 秒3功能特点3.1 先进的体系设计华堂网络安全防御系统具备先进的体系设计,拥有先进的设计思想、独创的 HTKC 技术和可扩展的体系架构。 先进的设计思想华堂网络安全防御系统在内核中引入 64 位设计思想,摆脱了 32 位系统的局限性,整上海华堂网络有限公司 10体运算性能得到大幅度提升,完善地解决了并发连接数问题,极大地提高了系统的性能。华堂网络安全防御系统在系统配置中引入了对象概念,将网络、服务和时间都看作是系统中的对象,能够进行全方位地安全控制,不仅增加了管理方便性,而且提高了网络安全性。 独创的 HTKC 技术华堂网络安全防御系统引入了信息处理微中心
17、的概念,系统将不同的线程交给不同的微中心来处理。网络的底层通信可以由一个或多个信息处理微中心进行处理,而高层通信则由其他信息处理微中心来处理,相互之间通过 HTKC( HT Kernel Cooperation)进行控制。由于采用了并行处理技术,信息的安全处理在扩展到会话层时,丝毫不会影响系统的性能,不仅提高了系统的整体稳定性,而且充分发挥了高速内核的优势。 可扩展的体系架构在防火墙系统体系架构设计上,华堂网络安全防御系统采用了安全可靠的软、硬件一体化结构,具备强大的扩展能力。华堂网络安全防御系统采用了模块化设计,可以根据用户需求扩展系统功能,通过为用户提供定制化服务,以适应动态发展的安全需要。 良好的网络适应性华堂网络安全防御系统具有良好的网络适应性,为用户提供了丰富、实用的网络功能。3.2 灵活的工作模式华堂网络安全防御系统支持路由模式、透明模式和混合模式,能够适应各种不同的网络环境。 严格的安全区域保护华堂网络安全防御系统采用多安全区域体系,支持内网、DMZ 和外网三个独立的安全区域,每个安全区域具有不同的安全级别,每个安全区域的安全策略只对该区域有效,所有对该区域的访问都将匹配与该区域对应的安全策略。 防 ARP 病毒攻击功能
