【海风数据港】是专业沈阳服务器托管、沈阳网站制作、沈阳网站优化、沈阳网站建设的沈阳网络公司
天融信公司——中国网络安全行业的领导企业
天融信的理念是 创造社会、客户和个人的共同价值
天融信的使命是 提供领先的安全技术、高品质的安全产品和专业的安全服务
天融信是中国最早的,也是目前国内最大的专业从事网络安全技术研究、产品开发和安全服务的高科技企业,2000年、2001年、2002、2003年连续四年销售额和市场份额均居国内安全厂商之首。据国际权威咨询机构IDC 2003年一年的跟踪调查显示:天融信2003年下半年防火墙市场份额达到了17.28%,居安全厂商之首,2003年全年的市场份额达到了15.17%,居国内安全厂商之首,仅次于国际厂商思科,超过了东软、联想等企业,为国内网络安全企业树立了新的里程碑。
天融信被业界公认为“ 中国网络安全领导企业”,它成立于1995年,是专业从事网络安全技术研究、产品开发和安全服务的高科技企业。
1996年,天融信公司于推出了填补国内空白的中国第一套自主版权的防火墙产品,随后几年,天融信公司相继推出了五个系列适合不同客户需求的技术领先的防火墙产品。同时,天融信公司推出了和国际同步的VPN解决方案,先进的审计类产品,安全管理类等产品。在国内独创的TOPSEC技术体系上,构架了一套集各类安全产品及集中管理、集中审计为一体的全面的、联动的、高效的、易于管理的TOPSEC安全解决方案,保障客户网络从边界到桌面、从局域网到广域网高安全性。
天融信公司拥有300余名专业安全人才。在北京、武汉、成都设有防火墙、VPN、IDS、信息审计等研发中心,在上海、广东、西安、成都、湖南、湖北等27个省市设立分公司、办事处、技术支持中心等机构,为客户提供高品质产品、优秀的解决方案和及时、周到、便捷、专业的安全服务。到目前为止,天融信公司拥有覆盖全国30多个省市区域、涉及政府、电信、金融、证券、军队、能源、交通、教育等行业的近万多家客户。
2004年,天融信将与广大用户和客户风雨同舟共渡第9个春秋,“雄关漫道真如铁,而今迈步从头越”,天融信公司在2004年将站到新的起跑线上,取得更加骄人的业绩……。
天融信防火墙专家指导防火墙产品采购
1. 前言
随着我们国家计算机网络系统信息化程度的不断提高,信息和网络安全的脆弱性也逐渐显现出来,这使得人们对计算机网络的安全问题愈来愈重视。在已经过去的2003年,面对众多的网络攻击和病毒蔓延侵害事件,我们越来越清晰地认识到:我们的网络安全防护还十分脆弱。
而在计算机网络和信息的安全防护方面,防火墙系统能够消除至少85%以上的安全风险,所以防火墙是最基本,也是最有效的网络安全设备。因此,随着网络安全市场在我国的逐步发展扩大,国内的防火墙市场也逐渐发展并成熟起来。
在2 000年时,国内从事防火墙系统生产和代理销售的厂商一度达到1000多家,然而到2003年,在国内防火墙市场上能够占有一席之地的防火墙厂商已经锐减到不足200家了。既然防火墙市场竞争的如此激烈,那么对于广大的用户而言,究竟“如何选购防火墙产品”?“从哪些方面来考虑防火墙产品”即是我们这次将要讨论的话题。
2. 技术篇
防火墙技术是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术。根据防范的方式和侧重点的不同在传统上来讲可分为以下几大类:分组过滤、电路级网关、应用代理以及状态检测等。
分组过滤技术曾一度被早期的防火墙产品所广泛采用,目前的防火墙产品大多采用的都是以状态检测技术为主的复合性防火墙。令人值得惊喜的是,近期又出现了应用智能技术Application Intelligence Technology以及核检测Core Testing Technology等技术为代表的最新一代防火墙过滤控制技术,使得防火墙技术的发展达到了一个前所未有的高度。
3. 操作系统篇
防火墙产品的总体安全性取决于防火墙是否基于采用安全的操作系统和专用的硬件架构平台。
纵观防火墙产品的发展,可将其分为四个阶段:基于路由器的防火墙、用户化的防火墙工具套、建立在通用操作系统上的防火墙和基于安全操作系统的防火墙。从防火墙的发展历程可以看出,具有安全操作系统的防火墙是迄今为止防火墙发展的最新阶段,也是目前市场上广泛采用的防火墙操作系统。
对于具有安全操作系统的防火墙产品而言,由于防火墙厂商拥有源代码,因此可以去掉不必要的系统特性,加上内核特性,对内核实现加固处理,实现安全内核,强化安全保护,提高防火墙本身的抗攻击能力。例如,可以对防火墙的接口区域作安全处理,一旦黑客攻破了一个区域,它将会被隔离在此区域内,不会对网络的其它区域构成威胁,即安全服务区域SSN技术。
4. 硬件架构篇
防火墙卓越的性能主要取决于其硬件架构的设计。目前,防火墙的硬件架构实现技术主要有三种:Intel X86架构技术、ASIC处理技术和网络处理器(NP)技术。
首先,X86 CPU最大的优点是灵活性高,它利用指令集和软件完成各种各样的工作。虽然X86 CPU的实际处理能力会受传统的总线传输体系结构限制,但是应用于大部分的网络数据处理已经足够了。
而ASIC处理技术则是以单一功能的集成电路来完成进程处理,在换来了高可靠性和强大的处理能力的同时却牺牲了灵活性,属于“专用硬件”处理范畴。故应用于相对比较单一的领域,能带来较高的运算效率。
对于网络处理器(NP)而言,它是专门为进行网络分组处理而开发,具有优化的体系结构和指令集,拥有很强的编程能力,支持可扩展的服务,从而能够很好地满足网络业务多样化的发展趋势。但是,目前网络处理器还存在如下不足:
网络处理器产品远未成熟,如Terago公司的倒闭;
各网络处理器产品接口还不统一,无法完成系统间无缝的整合;
网络处理器的相关标准正在由网络处理器论坛(NPF)制定和完善中;
基于网络处理器的防火墙产品测试标准还没有推出;
对复杂应用数据, 网络处理器的表现并不不令人满意,远不及ASIC处理技术。例如,对于分片数据包的重组以及对数据包加解密的处理等。
由以上分析可以看出,对于Intel X86架构技术、ASIC处理技术和网络处理器(NP)等技术而言,由于其针对的应用领域不同,三种硬件架构实现技术各有千秋。因此,我们在选择防火墙产品的硬件架构时,一定要因地制宜,量体裁衣,不能因为片面地追求某项功能而选择不适合自己的硬件架构平台。
诚然,有一点是可以预测的:在未来的网络安全产品硬件架构平台中,会形成一种以IntelX86 CPU、网络处理器以及ASIC处理技术为组合处理单元的新格局。如图4.1所示。
5. 功能篇
防火墙作为网络安全体系中的基础设备,其作用是阻止和切断外部对于受保护网络的非正常通信,对发生在受保护区域的任何通信进行安全处理。因此,用户在选购防火墙时还应考虑以下功能因素:
5.1. 可靠的产品安全性
作为一个网络安全产品,防火墙产品本身必须具有可靠的自身安全性和强大的抗攻击能力。即防火墙本身不能被攻破,而且还必须能够抵御常见的网络攻击和扫描等行为,如能够有效地防止主要的DOS/DDOS攻击以及TCP/UDP等端口扫描。
优良的传输性能
由于防火墙的不同功能具有不同的工作量和系统资源要求,因此数据在通过防火墙时会产生延时。例如,当防火墙产品启用NAT功能后,会对它的性能有所影响;另外,防火墙系统中集成的VPN功能(采用了复杂的加密算法)也会对它的性能有很大的影响。关于防火墙的主要性能参考参数有:在不同大小的数据包时防火墙的丢包率、吞吐率、延迟率、数据缓冲率以及最大并发连接数等。
因此,我们在选择防火墙产品时,必须把高速的性能和最大限度的安全性有机结合在一起,有效地消除防火墙的性能瓶颈。
一个生动的例子是在2003年全国第九界运动会期间,天融信防火墙在宽带(100Mbps)的环境下极其出色地通过了大流量吞吐能力的现实测试。据统计,官方网络在九运会开幕式后平均每天点击600万次以上,最高达720万次,网站已成为代表团、记者、官员和大众了解九运会的重要媒体。天融信防火墙正处于网络进出的通道上,其吞吐性能受到考验,防火墙同时连接数峰值达到27000每秒,在九运会期间,没有因防火墙原因或其它原因导致网络通讯中断。给九运会组委会领导,省信息中心领导和技术人员留下深刻印象。
5.2. 可扩展的结构和功能
对于一个完善的防火墙系统而言,它的结构和功能应该能够很方便地适应内部网络的规模和安全策略的变化。选择哪种防火墙,除了应考虑它的基本功能外,还应考虑自己的实际需求与未来网络的升级。例如防火墙除了要求支持常见的网络服务外,还应该能够很容易地按照用户的需求提供其他相应的服务,如视频点播等。
对于目前市场上的防火墙产品而言,像天融信的网络卫士系列防火墙等,都是模块化结构中的典范,见图5.1和图5.2。
因此,我们选择的防火墙产品应是一个可随意伸缩的模块化产品,以适用不同的网络环境和应用服务。
5.3. 简易的配置与管理
防火墙配置安装的难易程度是该防火墙产品能否得到广泛推广和使用的重要因素之一。因此,不能够容易实施安全策略的防火墙等于高级摆设。若防火墙的管理过于困难,则可能会造成设定上的错误,反而不能达到其功效。实践证明,许多防火墙产品并未起到预期作用的一个不容忽视的原因在于配置和实现上的错误。
防火墙的管理涉及管理途径、管理工具和管理权限三方面。设有Telnet登录管理、命令行管理以及在线帮助等方式则为网管员提供了良好的管理途径。而GUI类管理器作为防火墙的管理工具,则为网管员提供了有效、直观的管理方式。
另外,对于国内用户来说,防火墙产品必须拥有中文界面,且既能支持命令行方式管理,又能支持GUI和集中式安全管理等。
高度的冗余性
由于防火墙位于内部网和外部网相连的边界上,处于网络链接的关键部位,因此单台防火墙存在着单点脆弱性的问题。当该防火墙忙或者宕机时,网络通信就被迫中断了。为了防止这种情况的出现,应该使用冗余的防火墙来提供系统的容错性,同时也可以提高系统的处理能力。
另外,具有负载平衡功能的防火墙系统,能监测网络中的用户数目和流量,平等地动态分配单元进出的流量,保证防火墙系统或服务器的性能处在最优化状态。
因此,具有高度冗余性的防火墙产品能够提供不停顿的网络安全通信,保证了网络的不间断服务。
5.4. 与其他产品的联动性
防火墙产品虽然是保护网络安全的基础性设施,但是它还存在着一些它本身不能防范的安全威胁。首先,防火墙不能防范未经过防火墙或绕过防火墙的攻击。例如,如果允许从受保护的网络内部向外拨号,一些用户就可能形成与Internet的直接连接。其次,防火墙很难防范来自于网络内部的攻击。还有,防火墙不能防范计算机病毒的威胁。
正是因为防火墙产品本身还具有上述局限性,因此它需要与防病毒系统、入侵检测系统以及网络安全管理系统等安全产品协同配合,才能从根本上建立整个网络系统的动态安全。目前,越来越多的防火墙产品已经或将要支持OPSEC或TOPSEC联动体系,与其他安全产品协同工作。
6. 小结
总的看来,今年及其以后的几年中,世界范围内的网络安全问题不容乐观。预计世界范围内的计算机用户,特别是企业计算机用户想要在2004年使自己的计算机网络安全得到保证,就必须不断地加强防卫措施,以对付来自有线和无线网络的种种防不胜防的攻击。
俗话说得好,“道高一尺,魔高一丈。”我们相信,通过各大网络安全公司的协同努力,到2004年底时,我们的网络安全防护水平一定会更上一层楼。
天融信系列安全产品推介
一、 NGFW4000-E-VPN(E):
1、 产品介绍:网络卫士防火墙4000 是天融信公司积6 年来的防火墙开发经验和应用实践及天融信广大用户宝贵建议基础之上,基于对网络安全的深刻理解,融合网络科技的最新成果,采用独创的最新最先进的技术--核检测技术,即基于OS 内核的会话检测技术,在OS 内核实现对应用层访问控制。它相对于包过滤和应用代理防火墙来讲,不但更加成功地实现了对应用层的细粒度控制,同时,更有效保证了防火墙的性能。由于基于OS 内核的会话过滤技术可以对整个通讯会话进行全部或者部分的还原,所以其输出的日志信息将非常完整。包括传统的会话日志(主要描述通讯的时间、源目地址、源目端口、通信流量、通讯协议等),和命令日志(描述使用了那些命令,执行了那些操作,将整个通讯的内容全部记录下来,构造了一个安全、高效、可靠、应用极大方便灵活的防火墙系统,为客户提供最优秀的性能及功能保证。
2、 产品特点:采用独创的最新最先进的技术、适用更广泛的网络及应用环境、支持TOPSEC技术体系的核心技术、支持多种工作模式、支持远程集中管理、支持负载均衡和双机备份、多层次分布式带宽管理、支持多种身份认证、更强的防御功能、深层日志及灵活,强大审计分析功能、管理安全方便灵活、优秀的性价比、独立的防火区域等
3、 经理点评:网络卫士防火墙4000采用天融信独创的核检测技术,构造了一个安全、高效、可靠的防火墙系统;为客户提供最优秀的性能及功能保证。同时最完善的、最成熟地实现和支持了天融信的TOPSEC技术体系的核心技术。
二、 NGFWARES-VPN(S):
1、 产品介绍:网络卫士防火墙ARES是北京天融信网络安全技术有限公司继网络卫士防火墙2000、3000、4000之后推出的新的一款防火墙产品。它基于天融信公司先进的安全理念和安全技术-全状态监测技术,紧密结合中小客户的需求特点实现,具有即插即用、免维护、高安全性、高稳定性、高性价比、灵活接入的特点,面向行业分支机构、中小型企业、教育行业非骨干节点院校等中小用户,充分满足中小用户的对安全产品的高安全性、易于管理、性价比高的需求。
2、 产品特点:即插即用,免维护、高安全性、高稳定性、灵活接入、高性价比等
3、 经理点评:它完全能够满足中型、小型企事业和行业分支机构对防火墙性能的需求。同时,其采用先进的全状态检测技术,平均无故障时间大于60000小时,与同类防火墙相比具有高稳定性和高性价比的优势,并及时为中小用户提供了适合的防火墙产品。
三、 SJW11-A-500:
1、 产品介绍:SJW11-A网络卫士网络密码机是一个基于安全的操作系统平台的自主版权的高级通信保密性、完整性保护的控制系统。采用国际标准安全协议,遵循IPSec(IP Security)安全协议,对用户数据提供加密、完整性验证以及身份认证的功能,最大限度的对上层应用提供安全保护。同时采用通过国家鉴定的硬件加密卡所提供的128位对称加密算法和128位密钥散列算法。身份认证采用1024位的非对称算法,可安装于内联网各局域网出口或者内联网与公共网络接口,提供网络边界之间的加密、认证功能,
2、 产品特点:高安全性、高可用性、高扩展性、高易用性等
3、 经理点评:对用户完全透明,既可以以网关方式也可以用透明方式接入网络。
四、 SCM100:
1、 产品介绍:产品全部采用国际标准:IPSec安全协议,遵循IKE密钥协商和管理协议,是一个提供安全管理的服务体系。它能够对VPN网络进行集中管理和控制,并且为每个VPN设备提供必要的安全服务。它基于Windows 操作平台,界面友好,使用简便。SCM能够实现对企业内部VPN网络的全面监管, SCM管理员可以在隧道级别上操纵各个VPN设备, 根据企业的实际需求制定全局安全策略,从而避免企业内部VPN设备之间建立联接的随意性。SCM可以支持虚拟的分级策略, 从而实现企业内部不同级别,不同隶属关系的部门VPN设备之间的连接策略。
2、 产品特点:有序可控、适用于不同的网络环境、使用灵活简便、安全可靠、高易用性、有序管理,自动部署等。
3、 经理点评:该产品是我国第一套自行研制开发的为整个VPN系统提供安全服务和管理服务的中心服务器软件,是天融信VPN解决方案的重要产品。
五、 TopSEC Auditor:
1、 产品介绍:该产品是天融信集多年网络信息安全技术积累和吸取广大用户宝贵意见的基础上,经几十名天融信安全技术专家的多年的潜心研发,采用全新的安全审计技术的一套综合的集中的日志审计分析系统,也是目前国内审计内容最全面、最有效的综合安全审计系统。它可以对安全产品(如防火墙,IDS、AV等)、网络产品(如router、switch)、应用系统(如Web、 Mail)、操作系统(如Windows、 Linux、Unix)等产品和系统的日志信息统一进行收集;并集中存储;同时,采用先进的技术进行综合分析,检测出网络和系统中安全隐患,以报警和直观的、可视化的方式显示出来,便于及时发现安全漏洞,采取有效措施,提高安全成效。
2、 产品特点:审计内容最全面、审计最有效、方便扩展等
3、 经理点评:国内审计内容最全面、最有效的安全审计综合分析系统
六、 TM-250:
1、 产品介绍:该产品采用独创的系列安全构架和实现技术,经过多年的研究和近两年的开发所完成的最新一代安全管理产品,是一套将网络管理与安全管理合为一体,统一管理平台,降低管理复杂程度与安全产品实现联动管理,提高网络安全度的综合系统。其通过使用大量独创性专利技术,构造了一个安全、高效、可靠、应用极大方便灵活的综合性安全管理系统;为客户提供最优秀的性能及功能保证。同时最完善的、最成熟地实现和支持了天融信的TOPSEC 技术体系,该系统主要包含网络构成管理、网络故障管理、网络性能管理、网络安全管理和网络自动化管理等五大主要功能。
2、 产品特点:先进技术、易管理性、高安全性、高性价比、灵活性、高扩展性等
3、 经理点评:特别适用于各种网络环境,从最小的局域网,到网络结构复杂、应用丰富、高带宽、高流量的大中型中心骨干级网络环境,都可以胜任。这完全依赖于网络卫士TopsecManager独特的管理模式和模块化的设计。
万柳塘路109甲1宏发 大厦525室
-
电话:024-24804848
- 8748636
- 15317796
- 102656105