分类: 网络与安全
2010-11-11 21:43:08
产品特点 | 产品资质 |
TOS架构的分层 TOS具有具有高安全性、高可靠性、高实时性、高扩展性及多体系结构平台适应性的特点。分为产品层、应用层、内核层和硬件层,如右图所示: |
网络功能 TOS架构所支撑的是网关型产品,通常部署在各个安全区域的入口或交点,其做为网络设备的实现功能是必须的。因此TOS架构的网络方面主要包括以下内容: ★ 接口:主要是物理接口和子接口,支持包括接口属性和IP地址设置等。 ★ 二层网络:设置VLAN、ARP和MAC地址表等信息。 ★ 路由:支持静态、动态路由协议,及各种路由的设置方式。 ★ DHCP:支持DHCP服务器、DHCP客户端和DHCP中继的功能。 ★ SNMP:可以启用SNMP代理协议、设置陷阱主机、设置SNMP管理主机及SNMP V3用户。 ★ ADSL:可以通过ADSL与外网建立连接。 ★ 流量管理:支持带宽管理功能(QOS),同时支持链路流量控制和流量统计。 系统管理 系统管理主要包括:基本信息,设备运行信息、系统时间,运行状态,系统参数,配置维护,恢复出厂,系统服务,开放服务,重启系统,健康记录,系统升级等。 资源管理 TOS大多数的功能配置都是基于资源的。如访问控制策略、地址转换策略、服务器负载均衡策略、认证管理等。可以说,定义各种类型的资源是管理员在对TOS网关进行配置前首先要做的工作之一。 资源概念的使用大大简化了管理员对TOS网关的管理工作。当某个资源发生变化时,管理员只需要修改资源本身的属性即可,而无需逐一地修改所有涉及到这个资源的策略或规则。 在TOS中,用户可定义的资源的类型包括: ★ 地址资源:包括主机资源、地址范围资源、子网资源和地址组。 ★ 属性资源:包括属性资源和属性组。属性资源需要与其他资源绑定方能生效(如与接口、子接口、区域资源等绑定)。 ★ 区域资源:通过与属性资源绑定,定义区域的访问权限。 ★ 时间资源:包括多次循环的时间资源和单次时间资源。 ★ 服务资源:包括系统定义的服务资源、自定义的服务资源和服务组。 用户认证 TOS系统可以实现有效、快速、全面的用户及设备身份的管理,解决以往简单认证方式带来的弊端,保证用户设备之间访问的安全性。网络卫士防火墙通过本地认证服务器和第三方认证服务器对设备、用户和管理员身份的合法性进行认证。 TOS 支持的认证方式和协议主要包括:本地认证(使用TOS内置的本地认证服务器:OTP认证服务器、Basic认证服务器和证书认证服务器)、RADIUS认 证(使用RADIUS认证服务器)、TACACS认证(使用TACACS认证服务器)、SecurID认证(使用SecurID认证服务器)、LDAP认 证(使用LDAP认证服务器)和域认证(使用Windows域认证服务器)。 用户认证的主要目的是为了对客户端用户进行身份鉴别、授权以及进行细粒度的访问控制,成功配置用户认证有几个基本前提: ★ 在相关接口开启认证服务; ★ 根据认证方式设置不同的认证服务器参数。 ★ 在本地数据库中添加认证用户信息。 ★ 为本地及第三方认证的用户设置用户组,目的是针对认证用户作访问控制。 具体支持的认证服务如下: OTP认证、Basic认证、证书认证、Radius认证、Tacacs认证、LDAP认证、域认证、Secuid认证等。 防火墙 用 户可以通过地址转换策略控制内外网之间的访问,如限制外网用户对内网服务器的直接访问以及内网用户使用私有地址对外网的访问;通过包过滤策略实现简单的 二、三层访问控制;通过访问控制规则实现灵活、强大的三到七层的访问控制,用户还可以设置深度过滤策略针对应用层的内容进行 更细颗粒度的访问控制。 TOS支持设置地址转换策略、包过滤策略以及访问控制规则进行数据流的控制,以及设置将MAC和IP地址绑定策略: ★ 包过滤策略:通过设置包过滤策略,实现对二、三层的访问控制。 ★ 访问控制规则:通过设置访问控制规则,实现对三到七层的访问控制。 ★ 地址转换:进行源、目的地址转换以及双向地址转换。 ★ IP/MAC地址绑定:将IP地址与MAC地址绑定从而防止非法用户冒充IP地址进行非法访问。 内容过滤 TOS 可以通过内容过滤实现对应用层更细粒度的访问控制。目前TOS允许用户对以下应用层协议进行配置及深度内容检测:HTTP、FTP、SMTP、POP3、 IMAP、TELNET、RSH,并全面支持对即时通讯软件(如:MSN,QQ和SKYPE)以及P2P协议(如:BT,eMule和eDonkey)的 应用和访问控制。 |
完全内容检测CCI 内 容检测技术发展至今,大致经历了三个阶段,从早期的状态检测(Status Inspection)到后来的深度包检测(Deep Packet Inspection),现在已经发展到了最新的完全内容检测(CCI,Complete Content Inspection)。状态检测只检查数据包的包头,深度包检测可对数据包内容进行检查,而CCI则可实时将网络层数据还原为完整的应用层对象(如文 件、网页邮件等),并对这些完整内容进行全面检查,实现彻底的内容防护。 | |
在MAC层提供基于MAC地址的过滤控制能力,同时支持对各种二层协议的过滤功能;在网络层和传输层提供基于状态检测的分组过滤,可以根据网络地址、网络协议以及 | |
TCP
、UDP
端口进行过滤,并进行完整的协议状态分析;在应用层通过深度内容检测机制,可以对高层应用协议命令、访问路径、内容、访问的文件资源、关键字、移动代码等
实现内容安全控制;同时还直接支持丰富的第三方认证,提供用户级的认证和授权控制。TOS的多级过滤形成了立体的、全面的访问控制机制,实现了全方位的安
全控制。 PKI配置和管理 TOS支持设备内置CA和第三方CA颁发的证书,能通过内置CA和第三方CA实现对远程客户端的证书认证,还能与对端VPN设备进行证书方式隧道协商。 TOS支持以下配置内容: ★ 本机证书:配置网关设备的证书。 ★ 第三方CA证书:支持采用第三方CA签发的证书对用户和设备进行认证。对于第三方CA签发证书,支持证书状态的离线 验证和在线验证。 ★ 客户端证书:内置CA为设备及用户签发证书并对证书进行管理。 ★ USBKEY: TOS支持通过USBKey方式导入客户端或设备本机证书。 ★ 远程证书认证:支持第三方CA签发证书的在线认证。 入侵防御 TOS内置了IDS模块,可以检测和抵御一般性的攻击和扫描行为。同时,TOS可以实现与其他厂商入侵检测系统的联动,对用户内部网络提供了全面、高效的安全保护。 TOS的IDS具体功能分为: ★ 主机防护:为所有主机提供的主机防护功能。 ★ Anti-DOS:TOS可以检测并抵御的常见攻击类型。 ★ IDS联动:TOS同其它IDS产品联动。 高可用性 TOS还支持以下一些高级特性: ★ 接口联动:当网关设备工作在流量负载均衡模式时,确保负责转发数据的网关设备的出接口和入接口的状态改变保持一 致。 ★ 双机功能:TOS的双机功能支持AS(Acitve-Standby)、AA(Active-Active)、LB(Load balance)。 ★ IP探测:通过设置要探测设备的IP地址,确定设备是否需要进行HA切换和路由切换。 ★ 链路备份:设置TOS的链路备份功能可以实现ADSL链路和以太网链路的互相备份,保障链路故障时的业务连续性。 ★ 服务器负载均衡:支持定义负载均衡服务器、负载均衡组。 日志和报警 为了方便用户更好地调试、监控和管理TOS,TOS向用户提供了日志管理和报警功能。 |