融信防火墙全系列.ppt

天融信网络卫士防火墙系统产品介绍北京天融信公司&网络安全面临的问题网络安全面临的问题网络安全面临的问题网络安全面临的问题&天融信公司的解决方案天融信公司的解决方案天融信公司的解决方案天融信公司的解决方案&天融信防火墙的特点天融信防火墙的特点天融信防火墙的特点天融信防火墙的特点&天融信防火墙产品介绍天融信防火墙产品介绍天融信防火墙产品介绍天融信防火墙产品介绍&天融信防火墙功能介绍天融信防火墙功能介绍天融信防火墙功能介绍天融信防火墙功能介绍&天融信防火墙应用举例天融信防火墙应用举例天融信防火墙应用举例天融信防火墙应用举例目录目录目录目录网络安全面临的问题网络安全面临的问题网络安全面临的问题网络安全面临的问题n网络规模愈来愈大，薄弱点越来越多n以蠕虫（Worm）为代表的网络病毒成为传播热点n高性能网关越来越迫切n网关安全仍然是用户最关心的安全点n“完全检测防火墙”到来网络越来越复杂，薄弱点越来越多网络越来越复杂，薄弱点越来越多接入网络的设备越来越多。分支机构需要访问总部资源。整体网络中的“短板”越来越多。潜在的损失也越来越大。接入网络的设备越来越多。分支机构需要访问总部资源高性能网关越来越迫切高性能网关越来越迫切网关安全仍然是用户最关心的安全点网关安全仍然是用户最关心的安全点完全检测防火墙完全检测防火墙&网络安全面临的问题网络安全面临的问题网络安全面临的问题网络安全面临的问题&天融信公司的解决方案天融信公司的解决方案天融信公司的解决方案天融信公司的解决方案&天融信防火墙的特点天融信防火墙的特点天融信防火墙的特点天融信防火墙的特点&天融信防火墙产品介绍天融信防火墙产品介绍天融信防火墙产品介绍天融信防火墙产品介绍&天融信防火墙功能介绍天融信防火墙功能介绍天融信防火墙功能介绍天融信防火墙功能介绍&天融信防火墙应用举例天融信防火墙应用举例天融信防火墙应用举例天融信防火墙应用举例目录目录目录目录天融信解决方案天融信解决方案完全检测防火墙完全检测防火墙n安全性网络安全、内容安全、病毒、VoIP安全、SSL VPN、IPSEC VPNn高性能良好的吞吐量、对于“小包”的处理能力、延迟n网络适应性动态路由、策略路由、VLAN、QoS、MPLS、链路聚合、多模式接入n高可用性最大化的保障网络正常运行n可管理性多种管理模式、日志监控、支持PKI&网络安全面临的问题网络安全面临的问题网络安全面临的问题网络安全面临的问题&天融信公司的解决方案天融信公司的解决方案天融信公司的解决方案天融信公司的解决方案&天融信防火墙的特点天融信防火墙的特点天融信防火墙的特点天融信防火墙的特点&天融信防火墙产品介绍天融信防火墙产品介绍天融信防火墙产品介绍天融信防火墙产品介绍&天融信防火墙功能介绍天融信防火墙功能介绍天融信防火墙功能介绍天融信防火墙功能介绍&天融信防火墙应用举例天融信防火墙应用举例天融信防火墙应用举例天融信防火墙应用举例目录目录目录目录天融信防火墙主要特点天融信防火墙主要特点n自主安全操作系统自主安全操作系统TOSTOSn完全内容检测完全内容检测CCICCIn可扩展支持防病毒可扩展支持防病毒n支持支持SSL VPNSSL VPNn集成集成“CleanVPN”CleanVPN”技术技术n多样化的用户认证多样化的用户认证n虚拟防火墙虚拟防火墙n集中策略管理集中策略管理n软件、硬件模块化软件、硬件模块化自主安全操作系统自主安全操作系统TOSTOS完全内容检测完全内容检测CCICCI状态检测只检查数据包的包头；深度包检测可对数据包内容进行检查；而CCI则可实时将网络层数据还原为完整的应用层对象（如文件、网页、邮件等），并对这些完整内容进行全面检查，实现彻底的内容防护。SI Stateful InspectionDPIDeep Packet InspectionCCIComplete Content InspectionTOSTOS采用最新的采用最新的采用最新的采用最新的CCICCI技术技术技术技术强大的防病毒引擎强大的防病毒引擎n引擎性能优异n能够查杀多达400万余种的病毒n病毒库全球同步更新n能够为用户提供7 X 24小时防病毒服务“CleanVPNCleanVPN”技术技术Code RedVirus加密引擎加密引擎受保护网络受保护网络检测引擎检测引擎受保护网络受保护网络Code RedVirus病毒文件通过病毒文件通过VPN设备检测阻断设备检测阻断加密引擎加密引擎检测引擎检测引擎加密数据通道加密数据通道分支总部 Internet 病毒文件通过病毒文件通过VPN设备检测阻断设备检测阻断明文数据明文数据SSL 协议密文协议密文加密加密SSL 协议密文协议密文解密解密明文数据明文数据SSL VPNSSL VPNSSL VPNSSL VPN代理代理公司内网资源公司内网资源SSL VPNSSL VPN的主要功能的主要功能用户认证和用户认证和权限管理权限管理Web转发转发端口转发端口转发安全文件共享安全文件共享安全网络接入安全网络接入多样化用户认证多样化用户认证Internet Internet Internet Internet RADIUSRADIUSRADIUSRADIUS服务器服务器服务器服务器OTP OTP OTP OTP 认证服务器认证服务器认证服务器认证服务器Zhanglongyong*FWFWFWFW将认证信息传给将认证信息传给将认证信息传给将认证信息传给RADIUSRADIUSRADIUSRADIUS服务器服务器服务器服务器进行认证进行认证进行认证进行认证将认证结果将认证结果将认证结果将认证结果传给防火墙传给防火墙传给防火墙传给防火墙本地认证本地认证本地认证本地认证Local DatabaseLocal DatabaseLocal DatabaseLocal DatabaseWeb PortalWeb PortalWeb PortalWeb PortalOTPOTPOTPOTP根据认证结果决定用根据认证结果决定用根据认证结果决定用根据认证结果决定用户对资源的访问权限户对资源的访问权限户对资源的访问权限户对资源的访问权限第三方认证第三方认证第三方认证第三方认证RADIUS,TACACS/TACACS+RADIUS,TACACS/TACACS+RADIUS,TACACS/TACACS+RADIUS,TACACS/TACACS+S/KEY,SECURID,LDAP,S/KEY,SECURID,LDAP,S/KEY,SECURID,LDAP,S/KEY,SECURID,LDAP,域认证域认证域认证域认证CACACACA虚拟防火墙虚拟防火墙Topsec Policy ManagementTopsec Policy ManagementTopPolicy分级管理功能ROOT管理员一级管理员二级管理员统一策略管理统一状态监控远程配置管理拓扑可视化显示远程配置管理远程用户管理报表系统设备流量管理设备日志审计双机热备设备软件集中升级报警系统可视化策略编辑设备信息管理设备配置版本管理软件模块化设计软件模块化设计&网络安全面临的问题网络安全面临的问题网络安全面临的问题网络安全面临的问题&天融信公司的解决方案天融信公司的解决方案天融信公司的解决方案天融信公司的解决方案&天融信防火墙的特点天融信防火墙的特点天融信防火墙的特点天融信防火墙的特点&天融信防火墙产品介绍天融信防火墙产品介绍天融信防火墙产品介绍天融信防火墙产品介绍&天融信防火墙功能介绍天融信防火墙功能介绍天融信防火墙功能介绍天融信防火墙功能介绍&天融信防火墙应用举例天融信防火墙应用举例天融信防火墙应用举例天融信防火墙应用举例目录目录目录目录完善的防火墙产品线完善的防火墙产品线SOHO中型企业小企业分支机构性性能能大型企业/电信4000桌面桌面4000中低端中低端4000百兆线速百兆线速4000-UF中端中端4000低端低端 4000-UF低端低端猎豹猎豹III4000-UF高端高端猎豹猎豹 Cheetah Cheetah TopASICTopASIC高性能防火墙高性能防火墙自行开发，多项专利 稳定可靠完全自主产权模块化、层次化、可持续升级全功能硬件加速，TAPF，大容量L2缓存全线速性能TOS高性能CPU，负责系统管理和策略授权。策略授权网络数据可编程ASIC，集成全面FW功能，负责数据高速处理和转发。TAPF技术，减少CPU对数据处理过程的干预，实现报文快速转发。大容量二级缓存，存放所有临时表项，无须与内存交互，充分提高性能。全线速转发全线速转发芯片芯片主板主板端口端口系统容量系统容量：产品实际处理能力各种业务条件下全部端口线速转发！各种业务条件下全部端口线速转发！ASIC系列系列猎豹猎豹III猎豹猎豹II猎豹猎豹I型号型号TG-5728/TG-TG-5728/TG-5628/470C5628/470CTG-TG-5664/5564/54645664/5564/5464TG-TG-5328/46285328/4628系统容量（总吞吐量）系统容量（总吞吐量）18/15/1118/15/118G/7G/6G8G/7G/6G2.8G/2.2G2.8G/2.2G千兆小包（千兆小包（64Byte64Byte）转发）转发率率100%100%100%100%100%100%千兆大包（千兆大包（1518Byte1518Byte）转）转发率发率100%100%100%100%100%100%百兆小包（百兆小包（64Byte64Byte）转发）转发率率N/AN/AN/AN/A100%100%百兆大包（百兆大包（1518Byte1518Byte）转）转发率发率N/AN/AN/AN/A100%100%零丢包率零丢包率天融信TopASIC处理器传统架构发发送送接接收收发发送送接接收收发发送送接接收收超低时延超低时延科学研究表明，总时延小科学研究表明，总时延小于于10ms才能保证网络视频、才能保证网络视频、语音质量语音质量TopASIC千兆小包时延千兆小包时延2.7us，比传统架构防火墙，比传统架构防火墙小几百倍小几百倍Internet视频会议视频会议即时通讯即时通讯IP语音语音通讯通讯在线结算在线结算ERP4000-UF4000-UF系列：万兆产品系列：万兆产品擎天擎天型号型号TG-9512TG-9508TG-9505TG-9502插槽数量插槽数量14个，可个，可2个个系统控制卡、系统控制卡、12个接口卡和个接口卡和安全处理卡安全处理卡10个，可个，可2个个系统控制卡、系统控制卡、8个接口卡和个接口卡和安全处理卡安全处理卡7个，可个，可2个系个系统控制卡、统控制卡、5个接口卡和安个接口卡和安全处理卡全处理卡4个，可个，可2个系个系统控制卡、统控制卡、2个接口卡和安个接口卡和安全处理卡全处理卡吞吐量吞吐量10G 1010G 610G 410G 2并发连接并发连接100万万10100万万6100万万4100万万2每秒新建每秒新建连接连接4万万104万万64万万44万万2TG-5622TG-5622整机吞吐量整机吞吐量 2020G G延时：延时：220000000000最大并发连接数：最大并发连接数：2 28 80000000000TOSTOS操作系统操作系统标配标配2 2个万兆接口，最大配置为个万兆接口，最大配置为6 6个万兆接口，或者个万兆接口，或者2 2个万兆口个万兆口+16+16个千兆口，个千兆口，2 2个可插拨的扩展槽和个可插拨的扩展槽和2 2个个10/100/1000BASE-T10/100/1000BASE-T接口（可作为接口（可作为HAHA口和管理口）；口和管理口）；支持双电源支持双电源支持支持IPSEC VPN/VRCIPSEC VPN/VRC、SSL VPNSSL VPN、ANTIVIRUSANTIVIRUS、TA/TA-LICTA/TA-LIC等功能模块等功能模块4000-UF4000-UF系列：猎豹系列：猎豹IIIIII产品产品TOSTOS操作系统操作系统ASICASIC硬件架构硬件架构2 2个可扩展的插槽个可扩展的插槽4 4个千兆个千兆COMBOCOMBO口口+4+4个个SFPSFP插槽插槽+1+1个千兆个千兆HAHA电口电口+1+1个千兆管理电口个千兆管理电口支持冗余电源，默认一个支持冗余电源，默认一个ACAC电源电源支持支持IPSEC VPN/VRCIPSEC VPN/VRC、TA/TA-LICTA/TA-LIC等功能模块等功能模块内置的专用硬件加速芯片内置的专用硬件加速芯片TAPFTAPF加速技术加速技术TG-5728TG-5728整机吞吐量整机吞吐量18G18G整机小包吞吐量整机小包吞吐量7G7G大包延时大包延时9us9us小包延时小包延时3us22000002200000TG-5628TG-5628整机吞吐量整机吞吐量15G15G整机小包吞吐量整机小包吞吐量6G6G大包延时大包延时9us9us小包延时小包延时3us220000022000004000-UF4000-UF系列：千兆中端产品系列：千兆中端产品TOSTOS操作系统操作系统最大配置为最大配置为2626个接口，包括个接口，包括3 3个可插拨的扩展槽和个可插拨的扩展槽和2 2个个10/100/1000BASE-T10/100/1000BASE-T接接口（可作为口（可作为HAHA口和管理口）；口和管理口）；支持双电源（缺省配置为支持双电源（缺省配置为1 1个）个）支持支持IPSEC VPN/VRCIPSEC VPN/VRC、SSL VPNSSL VPN、ANTIVIRUSANTIVIRUS、TA/TA-LICTA/TA-LIC等功能模块等功能模块支持千兆接口扩展卡支持千兆接口扩展卡TG-5330TG-5330整机吞吐量整机吞吐量112 2G G整机小包吞吐量：整机小包吞吐量：2G2G延时：延时：1 10 00 0000000最大并发连接数：最大并发连接数：22000002200000支持万兆接口扩展卡支持万兆接口扩展卡TG-5230TG-5230整机吞吐量整机吞吐量88G G整机小包吞吐量整机小包吞吐量 1.8G1.8G延时延时 8880800000最大并发连接数最大并发连接数 22000002200000TG-5130TG-5130整机吞吐量整机吞吐量66G G整机小包吞吐量整机小包吞吐量 1.5G1.5G延时延时 5550005000最大并发连接数最大并发连接数 22000002200000TG-5166TG-5166整机吞吐量整机吞吐量66G G整机小包吞吐量整机小包吞吐量 1.5G1.5G延时延时 5550005000最大并发连接数最大并发连接数 22000002200000TG-5128TG-5128整机吞吐量整机吞吐量66G G整机小包吞吐量整机小包吞吐量 1.5G1.5G延时延时 5550005000最大并发连接数最大并发连接数 220000022000004000-UF4000-UF系列：千兆中端产品系列：千兆中端产品TOSTOS操作系统操作系统最大配置为最大配置为2626个接口，包括个接口，包括3 3个可插拨的扩展槽和个可插拨的扩展槽和2 2个个10/100/1000BASE-T10/100/1000BASE-T接接口（可作为口（可作为HAHA口和管理口）；口和管理口）；支持支持IPSEC VPN/VRCIPSEC VPN/VRC、SSL VPNSSL VPN、ANTIVIRUSANTIVIRUS、TA/TA-LICTA/TA-LIC等功能模块等功能模块支持千兆接口扩展卡支持千兆接口扩展卡TG-5030TG-5030整机吞吐量整机吞吐量55G G整机小包吞吐量整机小包吞吐量 1.2G1.2G延时延时25550005000最大并发连接数最大并发连接数220 000000000004000-UF4000-UF系列：千兆低端产品系列：千兆低端产品TOSTOS操作系统操作系统最大配置为最大配置为1212个接口，包括个接口，包括1 1个可插拨的扩展槽和个可插拨的扩展槽和4 4个个10/100/1000BASE-T10/100/1000BASE-T；支持双电源（缺省配置为支持双电源（缺省配置为1 1个）个）支持支持IPSEC VPN/VRCIPSEC VPN/VRC、SSL VPNSSL VPN、ANTIVIRUSANTIVIRUS、TA/TA-LICTA/TA-LIC等功能模块等功能模块支持千兆接口扩展卡支持千兆接口扩展卡TG-5114TG-5114整机吞吐量整机吞吐量 4 4G G最大并发连接数最大并发连接数 180180000000004000-UF4000-UF系列：千兆低端产品系列：千兆低端产品TOSTOS操作系统操作系统最大配置为最大配置为1212个接口，包括个接口，包括1 1个可插拨的扩展槽和个可插拨的扩展槽和4 4个个10/100/1000BASE-T10/100/1000BASE-T接接口；口；支持支持IPSEC VPN/VRCIPSEC VPN/VRC、SSL VPNSSL VPN、ANTIVIRUSANTIVIRUS、TA/TA-LICTA/TA-LIC等功能模块等功能模块支持千兆接口扩展卡支持千兆接口扩展卡TG-5014TG-5014整机吞吐量整机吞吐量 2 2G G最大并发连接数最大并发连接数 1801800000000040004000系列：猎豹系列：猎豹IIIIII产品产品TOSTOS操作系统操作系统ASICASIC硬件架构硬件架构8 8个千兆个千兆COMBOCOMBO口口+4+4个个SFPSFP插槽插槽支持支持IPSEC VPN/VRCIPSEC VPN/VRC、TA/TA-LICTA/TA-LIC等功能模块等功能模块内置的专用硬件加速芯片内置的专用硬件加速芯片TAPFTAPF加速技术加速技术TG-470CTG-470C整机吞吐量整机吞吐量11G11G整机小包吞吐量整机小包吞吐量5G5G大包延时大包延时9us9us小包延时小包延时3us16000001600000猎豹系列猎豹系列,TG-5328,TG-5328整机吞吐量整机吞吐量:2.8G:2.8G整机小包吞吐量整机小包吞吐量:2.8G:2.8G每秒新建连接每秒新建连接5400054000延时：延时：18000001800000性能：整机小包全线速性能：整机小包全线速40004000系列：千兆低端产品系列：千兆低端产品TOSTOS操作系统操作系统最大配置为最大配置为1212个接口，包括个接口，包括1 1个可插拨的扩展槽和个可插拨的扩展槽和4 4个个10/100/1000BASE-T10/100/1000BASE-T接接口；口；支持支持IPSEC VPN/VRCIPSEC VPN/VRC、SSL VPNSSL VPN、ANTIVIRUSANTIVIRUS、TA/TA-LICTA/TA-LIC等功能模块等功能模块支持千兆接口扩展卡支持千兆接口扩展卡支持支持V5V5加速卡加速卡TG-4514TG-4514整机吞吐量整机吞吐量 1 1G G最大并发连接数最大并发连接数 16016000000000TG-4508TG-4508整机吞吐量整机吞吐量 600M600M最大并发连接数最大并发连接数 12012000000000标配双电源标配双电源40004000系列：千兆低端产品系列：千兆低端产品TOSTOS操作系统操作系统最大配置为最大配置为1010个个10/100/1000BASE-T10/100/1000BASE-T接口和接口和2 2个接口；个接口；支持支持IPSEC VPN/VRCIPSEC VPN/VRC、SSL VPNSSL VPN、ANTIVIRUSANTIVIRUS、TA/TA-LICTA/TA-LIC等功能模块等功能模块TG-4TG-4整机吞吐量整机吞吐量 最大并发连接数最大并发连接数 1 10 000000000TG-4TG-4整机吞吐量整机吞吐量 最大并发连接数最大并发连接数 0 000000000TG-4208TG-4208TOSTOS操作系统操作系统,NP,NP硬件架构硬件架构8 8个个10/100BASE-TX10/100BASE-TX口口支持支持IPSEC VPN/VRCIPSEC VPN/VRC、TA/TA-LICTA/TA-LIC等功能模块等功能模块整机吞吐量整机吞吐量 350M350M整机小包吞吐量：整机小包吞吐量：100M100M延时延时 60006000最大并发连接数最大并发连接数 800000800000TGTG整机吞吐量整机吞吐量 最大并发连接数最大并发连接数 0 000000000TOSTOS操作系统操作系统,NP,NP硬件架构硬件架构1010个个10/100BASE-TX10/100BASE-TX口口个口个口TGTG整机吞吐量整机吞吐量 最大并发连接数最大并发连接数 0 000000000TOSTOS操作系统操作系统,NP,NP硬件架构硬件架构1010个个10/100BASE-TX10/100BASE-TX口口个口个口TG-1608TG-1608TOSTOS操作系统操作系统,NP,NP硬件架构硬件架构8 8个个10/100BASE-TX10/100BASE-TX口口整机吞吐量整机吞吐量 300M300M整机小包吞吐量整机小包吞吐量 80M80M每秒新建连接每秒新建连接 50005000最大并发连接数最大并发连接数 600000600000TG-1608-VPNTG-1608-VPNTOSTOS操作系统操作系统,NP,NP硬件架构硬件架构8 8个个10/100BASE-TX10/100BASE-TX口口整机吞吐量整机吞吐量 300M300M整机小包吞吐量整机小包吞吐量 80M80M每秒新建连接每秒新建连接 50005000最大并发连接数最大并发连接数 600000600000最大最大IPSECIPSEC隧道数隧道数 5050加密速度加密速度 30M30MTG-1508/1508-VPNTG-1508/1508-VPNTOSTOS操作系统操作系统,NP,NP硬件架构硬件架构8 8个个10/100BASE-TX10/100BASE-TX口口整机吞吐量整机吞吐量 250M250M整机小包吞吐量整机小包吞吐量 60M60M延时延时 40004000最大并发连接数最大并发连接数 400000400000最大最大IPSECIPSEC隧道数隧道数 5050加密速度加密速度 30M30MTG-1503TG-1503TOSTOS操作系统操作系统,NP,NP硬件架构硬件架构1U1U机架式结构机架式结构3 3个个10/100BASE-TX10/100BASE-TX口口整机吞吐量整机吞吐量 200M200M整机小包吞吐量整机小包吞吐量 40M40M延时延时 25002500最大并发连接数最大并发连接数 200000200000TOSTOS操作系统操作系统,NP,NP硬件架构硬件架构1U1U机架式结构机架式结构3 3个个10/100BASE-TX10/100BASE-TX口口整机吞吐量整机吞吐量 200M200M整机小包吞吐量整机小包吞吐量 40M40M延时延时 25002500最大并发连接数最大并发连接数 200000200000最大最大IPSECIPSEC隧道数隧道数 2525加密速度加密速度 20M20MTG-1503-VPNTG-1503-VPNTOSTOS操作系统操作系统,NP,NP硬件架构硬件架构桌面型结构桌面型结构3 3个个10/100BASE-TX10/100BASE-TX口口整机吞吐量整机吞吐量 150M150M整机小包吞吐量整机小包吞吐量 3030M M延时延时 15001500最大并发连接数最大并发连接数 200000200000最大最大IPSECIPSEC隧道数隧道数 2525加密速度加密速度 15M15MTG-1403-VPNTG-1403-VPNTOSTOS操作系统操作系统,NP,NP硬件架构硬件架构桌面型结构桌面型结构3 3个个10/100BASE-TX10/100BASE-TX口口整机吞吐量整机吞吐量 100M100M整机小包吞吐量整机小包吞吐量 2020M M延时延时 15001500最大并发连接数最大并发连接数 100000100000最大最大IPSECIPSEC隧道数隧道数 2525加密速度加密速度 9M9MTG-1203-VPNTG-1203-VPN嵌入式硬件架构嵌入式硬件架构桌面型结构桌面型结构最大配置为最大配置为5 5个接口，包括个接口，包括1+41+4个个10/100BASE-T10/100BASE-T接口接口整机吞吐量整机吞吐量 100M100M整机小包吞吐量整机小包吞吐量.15M15M每秒新建连接每秒新建连接 10001000最大并发连接数最大并发连接数 5000050000最大最大IPSECIPSEC隧道数隧道数 2525加密速度加密速度 5M5MTG-1105-VPNTG-1105-VPNNGFW4000 NGFW4000 注意问题注意问题nNGFW4000NGFW4000系列系列43244324中中SSL VPNSSL VPN和和AVAV防病毒模块现在可以同时防病毒模块现在可以同时使用使用nNGFW4000NGFW4000系列系列43244324中购买中购买SSL VPNSSL VPN和和AVAV模块都必须同时购买模块都必须同时购买内存模块（内存模块（SSLVPN/AV-RAMSSLVPN/AV-RAM）nTG-4208/1105TG-4208/1105等型号不支持等型号不支持SSL VPNSSL VPN和和AVAV模块模块天融信防火墙产品资质天融信防火墙产品资质n计算机软件著作权登记证书（国家版权局）n安全操作系统计算机软件著作权登记证书（国家版权局）n计算机信息系统安全专用产品销售许可证（公安部）n国家信息安全认证产品型号证书（中国国家信息安全测评认证中心）n国家信息安全认证产品型号证书（中国国家信息安全测评认证中心），认证级别达到EAL3（系统的测试和检查级（methodically tested and checked）n军用信息安全产品认证证书（中国人民解放军信息安全测评认证中心）n涉密信息系统产品检测证书（国家保密局涉密信息系统安全保密评测中心）n电信设备进网试用批文（信息产业部）天融信防火墙产品资质天融信防火墙产品资质天融信防火墙专利天融信防火墙专利&网络安全面临的问题网络安全面临的问题网络安全面临的问题网络安全面临的问题&防火墙解决的问题防火墙解决的问题防火墙解决的问题防火墙解决的问题&天融信防火墙的特点天融信防火墙的特点天融信防火墙的特点天融信防火墙的特点&天融信防火墙产品介绍天融信防火墙产品介绍天融信防火墙产品介绍天融信防火墙产品介绍&天融信防火墙功能介绍天融信防火墙功能介绍天融信防火墙功能介绍天融信防火墙功能介绍&天融信防火墙应用举例天融信防火墙应用举例天融信防火墙应用举例天融信防火墙应用举例目录目录主要功能主要功能主要功能列表访问控制全面的路由、交换功能虚拟防火墙自动检测策略冲突防病毒链路聚合SSL VPN链路备份IPSEC VPNQOSClean VPN全面支持各种NAT完全内容检测透明，路由，混合各种接入模式IM应用/P2P限制集中管理、监控、日志审计入侵防御负载均衡丰富多样的认证方式各种动态端口协议HA高可用性双系统.Host C Host D 高细粒度访问控制高细粒度访问控制Access nat 192.168.3.0 to any pass Access 202.1.2.3 to 192.168.1.3 blockAccess default pass1010010101规则匹配成功规则匹配成功v 基于IPv 基于网络地址v 基于端口v 基于时间v 基于用户名v 基于邮件元素v 基于文件v 基于关键字v 基于URLv 基于MAC地址高细粒度访问控制高细粒度访问控制虚拟防火墙虚拟防火墙防病毒防病毒SSL VPNSSL VPNIPSEC VPNIPSEC VPNIKEIKE阶段阶段1 1设置设置IPSEC VPNIPSEC VPNIKEIKE阶段阶段2 2设置设置IPSEC VPNIPSEC VPN加密算法加密算法L2TP VPNL2TP VPN功能功能PPTP VPNPPTP VPN功能功能GRE VPNGRE VPN功能功能CleanVPNCleanVPNp嵌入式内容检测引擎嵌入式内容检测引擎p各模块完全对等的安全域设计理念各模块完全对等的安全域设计理念p采用一次性内容过滤检测技术采用一次性内容过滤检测技术p多合一特性和安全域完美统一多合一特性和安全域完美统一Code RedVirus加密引擎加密引擎受保护网络受保护网络检测引擎检测引擎受保护网络受保护网络Code RedVirus病毒文件通过病毒文件通过VPN设设备检测阻断备检测阻断病毒文件通过病毒文件通过VPN设备检测阻断设备检测阻断加密引擎加密引擎检测引擎检测引擎加密数据通道加密数据通道分支总部NEWNEW完全内容检测完全内容检测CCICCI1990199020002000垃圾邮件垃圾邮件垃圾邮件垃圾邮件病毒病毒病毒病毒木马木马木马木马蠕虫蠕虫蠕虫蠕虫处理能力处理能力处理能力处理能力拒绝服务攻击拒绝服务攻击拒绝服务攻击拒绝服务攻击1995199520052005社会学攻击社会学攻击社会学攻击社会学攻击1 1101010010010001000完全内容检测完全内容检测完全内容检测完全内容检测CCICCI深度包检测深度包检测深度包检测深度包检测DPIDPI状态检测状态检测状态检测状态检测SISI状态检测只检查数据包的包头；深度包检测可对数据包内容进行检查；而CCI则可实时将网络层数据还原为完整的应用层对象（如文件、网页、邮件等），并对这些完整内容进行全面检查，实现彻底的内容防护。SI Stateful InspectionDPIDeep Packet InspectionCCIComplete Content InspectionTOSTOS采用最新的采用最新的采用最新的采用最新的CCICCI技术技术技术技术IMIM应用应用/限制限制入侵防御入侵防御抗抗DOSDOS攻击攻击-SYN-SYN代理代理防火墙的防火墙的SYNSYN代理实现原理代理实现原理:v在服务器和外部网络之间部署防火墙系统在服务器和外部网络之间部署防火墙系统;v在收到客户端的在收到客户端的SynSyn包后，防火墙代替服务器向客户端发送包后，防火墙代替服务器向客户端发送Syn/AckSyn/Ack包包;v如果防火墙收到客户端的如果防火墙收到客户端的AckAck信息，表明访问正常信息，表明访问正常,由防火墙向服务器发送由防火墙向服务器发送SynSyn包并完成后续的包并完成后续的TCPTCP握手握手,建立客户端到服务器的连接。建立客户端到服务器的连接。v通过这种通过这种SynSyn代理技术，保证每个代理技术，保证每个SynSyn包源的真实有效性，确保虚假请求不包源的真实有效性，确保虚假请求不被发往服务器，从而彻底防范对服务器的被发往服务器，从而彻底防范对服务器的Syn-FloodSyn-Flood攻击。攻击。SYNSYNSYN/ACKSYN/ACKACKACKSYNSYNSYN/ACKSYN/ACKACKACKSYNSYNSYN/ACKSYN/ACKACKACKClientClientServer Server Host C Host D Host B Host A 受保护网络netIDS黑客发起攻击发送通知报文验证报文并采取措施发送响应报文识别出攻击行为阻断连接或者报警等与与IDSIDS的安全联动的安全联动多样化用户认证多样化用户认证Internet Internet Internet Internet RADIUSRADIUSRADIUSRADIUS服务器服务器服务器服务器OTP OTP OTP OTP 认证服务器认证服务器认证服务器认证服务器Zhanglongyong*FWFWFWFW将认证信息传给将认证信息传给将认证信息传给将认证信息传给RADIUSRADIUSRADIUSRADIUS服务器服务器服务器服务器进行认证进行认证进行认证进行认证将认证结果将认证结果将认证结果将认证结果传给防火墙传给防火墙传给防火墙传给防火墙本地认证本地认证本地认证本地认证Local DatabaseLocal DatabaseLocal DatabaseLocal DatabaseWeb PortalWeb PortalWeb PortalWeb PortalOTPOTPOTPOTP根据认证结果决定用根据认证结果决定用根据认证结果决定用根据认证结果决定用户对资源的访问权限户对资源的访问权限户对资源的访问权限户对资源的访问权限第三方认证第三方认证第三方认证第三方认证RADIUS,TACACS/TACACS+RADIUS,TACACS/TACACS+RADIUS,TACACS/TACACS+RADIUS,TACACS/TACACS+S/KEY,SECURID,LDAP,S/KEY,SECURID,LDAP,S/KEY,SECURID,LDAP,S/KEY,SECURID,LDAP,域认证域认证域认证域认证CACACACA内部网外网或者不信任域Eth 0Eth 0Eth1Eth1Eth2Eth2心跳线0#1#检测 0#Firewall的状态发现出故障，立即接管其工作 防火墙根据与0#防火墙一起工作TSRPTSRP负载均衡负载均衡TSRP(TopSec Redundancy Protocol)内部网外网或者不信任域Eth 0Eth 0Eth1Eth1Eth2Eth2心跳线ActiveStandby检测Active Firewall的状态发现出故障，立即接管其工作 正常情况下由主防火墙工作主防火墙出故障以后，接管它的工作Hub or SwitchHub or SwitchHub or SwitchHub or Switch高可用性高可用性-双机热备双机热备二层:生成树协议三层：1、HSRP/VRRP+浮动静态路由2、动态路由协议穿过3、动态路由协议全面的路由功能全面的路由功能完善的路由表完善的路由表-静态路由静态路由网络卫士防火墙支持静态(策略路由)、动态路由协议。完善的路由表完善的路由表-策略路由策略路由完善的路由表完善的路由表-动态路由动态路由完善的路由表完善的路由表-动态路由动态路由支持多播路由支持多播路由自动检测策略冲突自动检测策略冲突采用天融信独创的策略智能检测技术，系统能够自动检测并智能识别是否存在前后有矛盾的策略，并自动提示管理员进行修正，从而避免因管理员人为误配置策略所带来的安全风险。链路聚合链路聚合可以将防火墙的多个端口捆绑成一条高带宽链路，可以提高链路负载，避免链路出现拥塞现象。同时还可以提高端口可用性。链路备份链路备份QOS带宽管理带宽管理流量统计流量统计VLAN对对TRUNKTRUNK协议的支持协议的支持防火墙不但支持TRUNK数据包穿过防火墙，并且防火墙的接口也可以封装TRUNK数据包，即支持VLAN间路由(3层交换机功能)，支持802.1Q和ISL封装。netnetHost A受保护网络Host C Host D 防火墙Eth2：Eth0：数据IP报头数据IP报头源地址：目地址：源地址：目地址：v 隐藏了内部网络的结构v 内部网络可以使用私有IP地址v 公开地址不足的网络可以使用这种方式提供IP复用功能v天融信公司的防火墙支持静态和动态两种转换模式，支持一对一、多对一、多对多以及双向NAT功能NAT(NAT(地址转换地址转换)Internetv 公开服务器可以使用私有地址v 隐藏内部网络的结构v天融信公司防火墙支持I地址映射以及端口映射WWW 199.168.1.2FTP 199.168.1.3MAIL 199.168.1.4DNS 199.168.1.5：80 TO ：80：21 TO ：21：53 TO ：53：25 TO ：25MAP(MAP(映射映射)受保护网络Internet如果防火墙支持透明模式，则内部网络主机的配置不用调整Host A 199.168