Turbolinux PowerGuard

Turbolinux PowerGuard 1

什么是Turbolinux PowerGuard Turbolinux PowerGuard为您提供业界领先的网络防火墙产品――京联特公司的中国墙，不但提供了强大的防护手段保护企业网络不受第三者入侵，确实保证企业网络安全，而且管理配置灵活、方便，是保障企业网络安全的最佳守护神。 2

您的网络安全吗 ? 怎么办?%#&.. INTERNET • 互联网不设防,只要系统连上她,就门户大开<=>网络的开放性是双向的 • 1995年元月约有500万部机器与Internet相连，约有38000件较严重的入侵事件, 而问题的严重性正持续扩大中... • 1999年元月约有4300万部机器与Internet相连，约有57%的入侵事件, 而问题的严重性正持续扩大中...(1999 CSI) 3

网络上有什麽要保护的东西? • 资料 • 保密性:不随便泄露资料给不相干的人 • 完整性:无权限的人不可随便更动资料 • 可用性:该用的人可以轻易取得 • 资源 • 网络频宽, 磁盘空间, CPU, 伺服程式 • 名誉 • 冒用身份 -- 伪造 • 仿冒 • 使用者 : 避免不当内容对身心的戕害 4

企业网络所面对的安全问题 入侵病毒感染资料外流不务正业 `网络窃听伪装 5

企业所面对的信息安全问题 97% 90% 32% 19% 14% By 1999 Computer Security Institute “Computer Crime and Security Survey” 6

互联网(Internet)安全问题 • 攻击 • ping, e-mail, virus, hacker, activeX, java, bug • 入侵 • ID/Password, view, modify, crash,伪装,转进 • 网络窃听伪装 • ID/Password, EOS.EC • 不务正业 • game, stock, sex • 资料外流 • e-mail, ftp, http, activeX, encryption 7

互联网防火墙是什麽 Internet 網際網路 Who When What How 企業內部網路防火牆 Who When What How • 在一个受保护的企业内部网络与互联网间,用来强制执行企业安全政策的一个或一组系统. • 目的: • 谨慎的在一个控制 • 点上限制人们进出 • 网络 • 防止攻击者接近防御物 8

互联网防火墙的特性 Internet 網際網路 Who When What How 企业内部网络防火墙牆 • 位於Internet与Intranet之间的系统 • 防止Internet上非法的破坏,入侵 • 防止内部使用者不当的使用Internet • 提供完整的Audit与Alert Who When What How 9

防火墙能做些什麽 • 避免企业内部网络直接暴露在外 • 形成企业内部网络与互联网的咽喉点(Choke Point), 是管理者落实安全政策的重点 • 有效的记录及监控企业与互联网活动 • 缓和IPAddress不够与需时常换IP Address 的危机与窘况(网址转换) • 保障企业提供信息服务予其客户的安全性 • 提供网际过滤净化工具 10

新一代防火墙的控管 網网络安全系统安全防火墙资料安全设立网络门禁管制,以达到网络安全控管設资料安全保密措施資即时监控网络,适时预警记录事实,事后追查記网络资源使用管理及分析網加强网络内容的过滤机制,避免不当内容对使用者造成伤害使用者安全 11

防火墙规则:使用权限控管 (Access Control) 依据时间(Time)、使用者(User)、来源主机 ( Source)、目的主机(Destination) 、使用的服务(Service)来控管权限依照管理者制定的规则顺序,决定权限的高低提供规则冲突检查机制 (Rules Checking) 可设定记录与否 (No Log / Short Log / Long Log) 可设定警告功能 (Alerting)，通知系统管理者 12

防火墙常用的技术 • 动态封包过滤 • 应用程序代理 • 用户认证 • 网络地址转换 • 虚拟私人网络 • 报警 • 日志 • 状态监控 • 防堵色情 13

动态封包过滤(Dynamic Packet Filtering) 监控TCP/IP网络封包的行为建立于通讯协定的二、三层间, 对于应用程式完全通透性建立于系统核心(Kernel) 提高防火墙高效率的运作 Application应用程式代理及过滤技术過濾 Transport Network WebGuard动态封包过滤技术術 Data Link Hardware 14

应用程式代理服务 提供HTTP 、 TELNET 、 FTP 、 SMTP 、 POP3……等服务允许内外存取Proxy服务務提供Application Filtering的过滤机制 15

使用者认证 • 密码机制 • (一) 京联特防火墙提供的有效密码 • (二)One-Time Password • 使用者权限限制功能 • 可设定工作时间 • 可设定是否多次登入 • 可限制使用主机 (Source)及目的主机(Destination) • 可限制使用的服务 (Service) • 可设定联线时间 16

应用程序内容过滤功能 • 信件(SMTP)的限制舍弃假来源地址的信件可设定传送信件的大小可消除内部信件传递路径信息,避免内部主机暴露给外界提供E-mail地址转换功能 • 档案传输( FTP)的限制设定Read / Write权限设定可传输的档名 • HTTP的限制设定可否使用FTP 、 HTTP 、 GOPHER等权限设定HTML内容可否含有GET 、 POST 、 HEAD 、 PUT等使用Wildcard(*)设定URL Location的内容 17

网络安全防范机制 网络攻击的侦测与阻绝假冒IP地址 (Anti-Spoofing)的侦测偵測 Ping of Death Resistance Port Scanning Detection SYN Flooding Detection IP Options Resistance Non-First Packet Resistance Teardrop Attack Land Attack Smurf Attack Echo Bounce 18

网址转换 一对一转换換多对一转换动态存取记忆体,无限制Table大小 19

NAT示意图 Internet 140.133.1.1 140.133.1.45 192.168.200.2 WWW PC PC 192.168.200.100 192.168.200.1 20

虚拟私人网络 使用64 Bits DES加解密技术術加解密的Key以MD5杂凑函数产生不同的VPN网络,采用不同的Key 21

VPN示意图 Internet Users Mobile Users 中国墙防火墙 Internet Users 分公司或协力厂商 INTERNET 密 VPN WWW Server Router DMZ Unsecured net 中国墙防火墙 Hacker Secured Net 中国墙防火墙 22

预警功能 主控台讯息警告发送警告信件传呼指定的呼叫器(B.B.Call) 传送SNMP Trap给网管软件(Openview 、 SunNet Manager 、 Netview) 使用者自订之程式 23

即时监控记录 • 即时监控记录表 • 规则号码、时间、使用者、来源主机、目的主机、使用 • 的服务通讯协定、存取权限、线上资料传输量、联线时间 • 系统事件发生记录表 • 时间、事件种类、记录说明時 • 系统状态指示表 • Firewall License使用量 • Current Connections的数量 • 系统功能 (Packet Filter 、 Proxy 、 NAT 、 VPN)指示与开闭 • 可结合多种资料库 • Access Builded In • SQL Server/Oracle/Sybase…. 24

监控记录统计与分析 • 记录查询 • 网络使用排名网络单位排行使用者排行网络服务排行以长条图或Pie Chart表示 • 统计报表計報 • 网络单位传输量统计报表使用者传输量统计报表計网络服务传输量统计报表計報报表可列印或储存成档案以做Billing 之用 • 网络流量时段分析 25

统计与分析图形 26

防堵色情功能 • 可管制上色情网站, 禁止使用者利用浏览器上具有不雅内容的网站 • 可记录上色情网站者之详细资料(时间,IP地址, 网址,...) • 可发出警告(Voice, Monitor, Pager,E-mail, SNMP trap, Action script)通知管理者处理 • 色情资料库信息自动更新服务 27

Turbolinux PowerGuard