| 基于安全域的访问控制
LinkTrust® Border
Protector基于安全域进行访问控制,将从接口的访问控制上升到基于安全域的访问控制。LinkTrust®
Border Protector从体系结构上抛弃了传统防火墙的内外概念,各个域间的默认安全级别是一样的,之间的安全差异由用户来定制,具有极大的灵活性。LinkTrust®
Border Protector可以根据企业的安全需求将不同网段划分成独立的安全域,通过在这些安全域间加载独立的访问控制策略来限制不同信任度网络之间的相互访问,也就是说,LinkTrust®
Border Protector提供了更加细粒度的安全控制,这样即使某个低安全等级的区域出现了安全裂缝,但由于受到LinkTrust®
Border Protector的控制,其它安全域也不会受其影响。
提供基于HTTP、SMTP、POP3协议的病毒检测
具有业界领先的病毒检测引擎,通过Patten
Matching模式、Heuristics模式、Emulation模式等多种模式检测病毒,目前能够扫描出9万多种病毒,支持包括zip、gzip、rar、arp、pklite等多种压缩格式文件病毒检测,支持病毒库的自动更新以提供对最新病毒的防御。同时根据不同的性能需求,LinkTrust®
Border Protector还可以提供基于硬件的病毒检测辅助芯片,以提升系统的性能。
基于HTTP协议的病毒检测方案具有良好的并发能力,从而使因病毒检测功能的引入对系统性能的影响降到最低。为了提供良好的可管理性,LinkTrust®
Border Protector可以定制对某些指定扩展名或某些MIME类型的数据流不进行检测病毒,以提高检测病毒性能;LinkTrust®
Border Protector的HTTP的解决方案还提供病毒通知功能,以利于管理员统计病毒的爆发情况。为了审计的需求,所有的病毒感染事件都自动会登记到审计事件中。
基于POP3协议的病毒检测方案能支持多种编/解码格式,例如MIME/1.0和UUEncode。为了避免用户的邮件丢失,LinkTrust®
Border Protector提供了可疑邮件的隔离策略,即对所有感染病毒的邮件在指定存储空间中保留副本,以降低数据丢失的风险。LinkTrust®
Border Protector的POP3解决方案提供了邮件和审计两种病毒感染事件。
基于SMTP协议的病毒检测方案能支持多种编解码格式,例如MIME/1.0和UUEncode。支持多种SMTP
AUTH方式,以提高系统的可扩展性。LinkTrust® Border Protector的SMTP解决方案提供了邮件和审计两种病毒感染事件。
提供基于IPSEC、PPTP和L2TP的VPN支持
基于IPSEC协议的VPN完全兼容并符合IPSEC标准定义,从而保证了与其它支持IPSEC的系统和设备的互联互通。支持手工密钥和自动密钥两种协商方式并支持DES、3DES、AES、Blowfish、Twofish、Serpent等多种加密算法和MD5、SHA1、SHA2_256、SHA2_512多种认证算法。支持完美的前向加密,增强了数据的私密性。
LinkTrust® Border Protector的IPSEC VPN还支持NAT穿越、星型部署、动态对等方和透明模式下的支持,极大地拓展了LinkTrust®
Border Protector的布置范围,使之具有极佳的灵活性。
基于PPTP的VPN则严格遵循行业标准,以保证与其它系统或设备的互联互通。LinkTrust® Border Protector的PPTP支持MS-CHAP和MS-CHAP V2身份认证协议。
基于L2TP的VPN同样遵循行业标准,确保与其它系统或设备的互联互通。LinkTrust® Border Protector的L2TP支持PAP、MS-CHAP和MS-CHAP V2身份认证协议。同时还可与IPSEC配合实现L2TP
over IPSEC,极大地保证了L2TP的私密性。
状态检测包过滤技术
LinkTrust® Border Protector采用了基于状态检测的包过滤技术,实现了快速的基于源/目的IP地址、服务、用户和时间的细粒度访问控制。通过记录新建应用连接,状态检测检查预先设置的安全规则,允许符合规则的连接通过,并在系统中记录下该连接的相关信息,生成状态表。对该连接的后续数据包,只要符合状态检查表,就可以快速通过。这种方式的好处在于:由于不需要对每个数据包进行规则检查,而是通过专门设计的算法实现同一连接的后续数据包(通常是大量的数据包)直接进入状态检查,从而较大提升系统性能。
Anti-DoS
LinkTrust® Border Protector的协议栈能够自动屏蔽掉针对分片的攻击,如Ping of
Death,Tear Drop等。同时LinkTrust® Border Protector也能够检测并防御Winnuke、Land、ICMP
Flood、UDP Flood、Port Scan、Address
Sweep等六种攻击,并提供攻击计数器和日志。对于臭名昭著的SYN Flood,LinkTrust® Border
Protector内置的SYN-Proxy机制提供了对SYN Flood攻击的完美保护。
流量整形
带宽管理模块提供了针对带宽资源的分配控制能力,对所有网络流量划分优先级以保证关键任务的服务质量,从而确保有限的带宽资源不会因为非关键应用的过度占用而影响关键任务的服务质量。带宽管理策略可以按照接口、方向、优先级等来对流量进行分级以满足企业不同层面的需求。
支持路由模式、透明模式、NAT模式及混合模式
在大型网络中,网络建设是先于网络安全的建设。当用户打算进行网络安全建设时,往往会存在一些关键应用是依赖于网络拓扑的,所以这些关键应用间是必须采用透明模式的,而其他的则应该采用更灵活的路由模式,这样将会导致在同一个LinkTrust®
Border
Protector上会存在透明模式和路由模式共存的情况,如果这两个部分不能互通,这将会导致应为引入安全而导致人工割裂了用户的整个网络。然而LinkTrust®
Border Protector提供混合模式,以保证不会因为引入安全需求而导致割裂用户网络的整体性。
提供透明方式的接入
当LinkTrust® Border
Protector处于透明模式时,它工作在ISO七层模型中的第二层,在这种情况下,它相当于一个二层交换机。这个特性使LinkTrust®
Border
Protector能够具有极佳的适应能力,使用户无需改变网络拓扑就可以实现全方面的安全解决方案,降低因为增加网络安全而导致的管理开销。
支持IEEE 802.1Q的VLAN
提供对IEEE 802.1Q的支持,极大的扩展了LinkTrust® Border
Protector的适应能力,使其与三层交换机配合得天衣无缝,增强了LinkTrust® Border
Protector在网络中的布置灵活性。同时LinkTrust® Border
Protector还提供对透明模式下的IEEE 802.1Q数据报得透明处理,极大地方便了用户。
支持策略路由
在大型网络中,其接入往往不止是由一个ISP接入的,很可能存在多个ISP地接入情况。在面临这种拓扑时,大多数安全设备只能望而却步,通过折衷的方案来满足用户的需求,然而LinkTrust®
Border Protector提供了策略路由的支持,使LinkTrust® Border
Protector能够同时处理6个ISP接入的情况,极大地拓展了LinkTrust® Border
Protector适应能力。
丰富的管理方式
LinkTrust® Border Protector的权限分级满足权限分级(对应TCSEC
B1要求)。目前提供安全管理员、审计管理员、系统管理员和guest等四种角色。同时提供基于SSH、Telnet和Console的命令行管理方式、基于SSL的WEB管理方式和基于SNMP
V2的网管平台。
高可用性
对于大型网络,用户通常会采用冗余的网络节点来避免单点失败。为了提高LinkTrust® Border
Protector的适应能力和可扩展能力,通过避免单点失败来提高系统的可靠性功能是LinkTrust® Border
Protector一项重要的功能;基于VRRP协议的LinkTrust® Border Protector
HA特性,提供对链路、系统的故障检测、极低的主从切换时间,并能够支持手工强制切换。
功能强大的NAT
在IP地址短缺的今天,NAT成了网络设备必不可少的一项功能。LinkTrust® Border
Protector提供丰富的NAT支持,支持1:1的地址映射、N:M方式的地址转换、PAT方式的地址转换和基于Round
Robin方式的服务器负载均衡。
认证和授权
LinkTrust® Border
Protector本身提供一个内建认证数据库,以满足基本的认证需求,同时支持Radius、Tacacs+、LDAP等多种方式外部认证数据库,使其能更好地适应用户的不同规格的需求。
丰富的调试工具
LinkTrust® Border Protector提供了几种主要的网络调试和测试工具,主要包括ping、traceroute、telnet和数据报文分析工具。
强大的系统监控能力
LinkTrust® Border Protector提供实时监控系统的CPU利用率、各个物理接口的使用情况和链路情况,能够监控系统中的所有并发连接和某条策略授权的所有连接的创建时间、持续时间、上行/下行流量、网络层信息等。
基于时间的访问控制
为了能够更细致地进行访问控制,我们提供了时间对象,它主要描述两个时间约束,一个是工作日的约束,另一个是时间的约束。
基于地址对象的访问控制
为了改善LinkTrust® Border Protector的可管理性,我们抽象出了地址对象的概念。地址对象涵盖的范围包括一台主机、一个子网或者是一个地址范围,还是以上几种地址对象集合。
多协议支持
基于状态的LinkTrust® Border Protector在跟踪连接状态时,为了能够正常的处理单会话多连接的应用,LinkTrust® Border Protector能够对多种应用层协议提供支持。目前LinkTrust® Border Protector支持FTP、TFTP、IRC、MMS、H.323、ORACLE等特殊协议。
多种接入能力
提供对DHCP Relay、DHCP Server、PPPoE的全面支持,使LinkTrust® Border Protector具有良好的适应能力,以满足不同网络布置的需求,降低系统管理开销。
丰富的日志和审计方式
提供配置日志、事件日志和流量日志等三种日志,有利于用户进行日志分析,支持根据用户的需求将日志发送到共享内存、控制台、终端和远程主机等多种方式的能力。流量日志还符合NetIQ
WebTrends标准格式,以便可以通过NetIQ WebTrends来进行流量的日志分析。
|
