WatchGuard防火墙XTM介绍.doc

Watchguard XTM[产品描述]：[ 全球获奖信息 2010 年][设备图片 ]：[产品参数] ：操作系统 专业版操作系统"Fireware®XTM"产品类型XTM 防火墙（UTM 3.0）智能分层技术阻止新的未知&已知威胁★未知威胁：XTM —无限扩展模型技术★已知威胁：UTM— 特征库技术产品定位适用于千台以上终端的各类中型网络或"企业集团、金融、能源、酒店、运营、政府（机关单位）等分支机构使用,支持局域网 1000 台以上 PC 终端(无限制用户) ,75 分支办公室 VPN 连接总部或数据中心网络使用吞吐量一、启用 XTM 保护设备吞吐量（XTM+UTM）：400Mpbs性能 （1）预防御模型集吞吐量：400Mpbs（2）反病毒 Anti-Virus 特征吞吐量：400Mpbs（3）入侵防护 iPS 特征吞吐量：400Mpbs（4）网页内容过滤 Web Filtering 特征吞吐量：400Mpbs（5）反垃圾邮件 Anti Spam 特征吞吐量：400Mpbs二、关闭 XTM 保护防火墙吞吐量（防火墙+ 路由进出口）： 1.4Gpbs三、WPN 吞吐量：350Mpbs四、SSL-VPN 吞吐量：350Mpbs五、IPsec-vpn 吞吐量： 350Mpbs系统性能平均指标本地用户认证 DB 限制： 500每秒新建连接数：18,000并发会话数：50,000策略数：无限制VLAN：75 个配置管理（方式）一、专用 WSM 管理软件（WatchGuard System Manager & WatchGuard Server Center）1、WatchGuard System Manager 专业 XTM 防火墙精细化管理软件2、WatchGuard Server Center（1） Management Server：数台防火墙集中管理服务器，可 同时下发策略到多台。

2） WebBlocker Server ：Web 保护服务器，网页内容过滤，网站 Web 站点保护3） MaiL Security Server ：关于邮件保护服务器，反病毒邮件、反垃圾邮件、隔离中心　（4） Log Server ：日志系统服务器（5） Quarantine Server ：威胁检疫报警服务器（6） Report Server ：报表系统服务器二、Web 管理（浏览器管理）三、命令行（支持 SSH 协议、SNMP v3）XTM功能（1）预防御模型集（2）反病毒（Anti-Virus）（3）入侵防护（iPS）（4）网页内容过滤（Web Filtering、WebBlocker）（5）反垃圾邮件（Anti Spam、SpamBlocker ）（6）反间谍软件（Anti Spyware）防火墙功能一、防火墙、SSL-VPN、iPsec-VPN 、多链路负载均衡、带宽分配、多个安全区域划分、安全策略二、系统能够支持给予应用的状态端口智能过滤、包过滤、应用层、MAC 地址过滤功能，自身应带有抗攻击模块，应可以抵御已知的各种类型攻击三、防火墙核心的检测技术采用全球领先的提供深度状态过滤技术，提供对网络应用全面的控制。

保证应用层协议标准的一致性；拦截有害文件及文件类型的传输；拦截危险指令或信息篡改，防止内部信息泄露；确认数据包的完整性和协议的一致性四、支持 Active-Active/Active-Standby 两台设备厂当成一台设备管理，同时还保留两台设备的性能的防火墙双机热备（主／主、主／备）五、对防火墙时效状态判断准确、全面可靠，接管切换快六、负载均衡：主动／主动高可用性，确保最长的网络持续运行时间七、利用基于角色的控制访问（RBAC） ，顶级管理员可创建定制角色，从而实现细粒度控制...等等路由功能一、具备应用智能，支持对 HTTP、SMTP 、POP3、FTP、DNS、TELENET 等高层应用协议的智能检测二、协议支持：支持动态路由协议，如 RIP、OSPF 、BGP4 等；支持 SIP、H.323 等视频通信的要求三、支持 PPPoE、DHCP、静态 IP、支持动态、静态、双向的网络地址转换（NAT） 四、多个外网（WAN）口负载均衡，全自定意义接口等等VPN功能一、专业 SSL-VPN、IPsec、PPTP 应用二、强大细致的 SSL-VPN、IPsec、应用策略控制三、VPN 模块支持 DHCP，与 Radius Server 配合完成为特定的认证用户分配固定的客户端 IP四、拖拽式配置分支办公室 VPN 部署，只需要三次点击即可连接远程办公室VPN隧道数VPN 总隧道数：250 （WPN 总隧道数：250）一、SSL 隧道： 1 个（Fireware XTM OS）、75 个（Fireware XTM Pro OS）二、IPSec 点对点隧道：75三、IPSec 点对多点隧道：25 个（Fireware XTM OS）、100 个（Fireware XTM Pro OS）VLAN创建逻辑性、而非物理性网络配置，由此减低硬件要求，增强对流量类型控制，提供更好协作性，使子网创建更方便日志功能灵活的集中式日志数据存储支持多种行业标准格式， 包括 XML 、Syslog 和WebTrends/WELF。

日志通过一个加密的通道以安全可靠的形式传输，并且可被实时地查看、过滤和分类基于 HTML 的历史报告可用于网络行为分析，而交互的、实时的监视工具使您能够及时地发现问题并为解决网络威胁而采取预防或纠正措施报表功能交互式强大多样的实时监控和报表功能（无须额外费用,区别于其他品牌都要昂贵的费用）以前所未有（最先进）的视图方式提供网络安全活动状态，便于网管及时采取预防或纠正措施网络访问控制一、当用户流量具有带病毒的内容被检测到时，可以配置拒绝该用户继续使用网络一段时间或直到管理员对其解禁前永久不能使用二、当设备检测到入侵攻击行为时，可以配置拒绝来自攻击者 IP 的数据流一段时间或直到管理员对其解禁前永久隔离三、系统能够支持给予应用的状态端口智能过滤、包过滤、应用层、MAC 地址过滤功能，自身应带有抗攻击模块，应可以抵御已知的各种类型攻击四、过滤支持HTTP、HTTPS、FTP 、SMTP、SMTPs、POP3、POP3s、IMAP 、IMAPs、DNS、TCP/UDP 协议应用层安全防护一、可定义保护目标主机的服务类型，可灵活定义目标主机类型的防护风险范围二、实现 Web 内容过滤、脚本过滤、 URL 过滤、免屏蔽功能。

三、有效的 Web 站点保护，病毒邮件、垃圾邮件过滤与隔离应用程序监控一、基于应用程序的行为识别应用程序的类型（1） 行为控制包括阻断、通过、流量整形、用户控制（2） 阻断特定协议的命令如 FTP PUT（3） 阻断 IM 类程序的文件传输（4） 检查 IM 用户传输的恶意文件（5）对 IM 用户的聊天内容的存档等二、可以识别并监控的应用程序类别包括： （1） IM,P2P,VOIP：AIM, ICQ, MSN, Yahoo!, BitTorrent, gnutella, emule, winny, …Rate-limiting for P2P appsSIP, H323, Skinny, RTP, MGCP, …（2） Web Mail & Social Networking ：gmail, hotmail, blackberry, yahoo-mail, facebook-mail（3） Database：db2, mysql, oracle, postgres, informix, … （4） Protocol Commands & File Transfer：HTTP POST, GET, PUT, DELETE, CONNECTRPC UUID, ProgramID, FTP PUT, GET, …（5） Others：Toolbars, Proxies, Remote access, Media players , Encrypted connections, …处理顺序智能分层安全引擎—ILSILS 引擎最轻量化地占用系统性能来实现对数据流的检测以发现攻击行为。

如前面所述，一些简单的攻击，例如畸形数据包和 DoS 攻击，利用模型集首先被处理掉了这就意味着，占用较高系统资源的服务，例如入侵防御引擎，他们所处理的数据流减少了很多模型技术前言：当今的网络攻击、网络病毒，已经变成一种行为一、零日威胁保护（Zero Day Protection）　　新的或未知的攻击，它们出现的时候，还没有写好相应的补丁程序或者攻击特征零日威胁保护是指在发现漏洞，以及在建立和发起真正的攻击之前，就阻止新的或未知的威胁二、协议异常检测（Protocol Anomaly Detection）协议定义了两个系统交换数据的方法一些服务器不能够正确地处理畸形数据流很多攻击者就制造一种 DoS 攻击方法，对某些应用层协议进行攻击从而得到服务器的管理权限通过执行协议的 RFC 标准检测，我们可以防止这种典型的攻击除防止协议攻击外，我们还可以防止非法的命令调用攻击和防止大量的缓存溢出攻击三、模式匹配对于拦截那些到达电脑并执行的恶意代码是非常有效果的换句话说，就是那些包含在可执行文件中的恶意代码通过拦截用于承载恶意代码的文件（如 exe、pif、src等）和 MIME 类型，我们可以有效地防止这些恶意软件达到网络内部的电脑。

但是在一些应用中，我们必须允许这些可能存在潜在威胁的文件（如 exe、dll ）进入到内部网络，例如从 Microsoft 更新软件、从 HP 站点下载打印驱动程序等那么我们就必须清楚地定义那些安全资源，并允许安全资源通过四、命令限制应用协议中经常包含很多命令和参数，用于数据的发送和接收然后，有很多管理命令是我们不希望由外部网络用户使用的我们可以拦截那些具有潜在危险的命令，例　　如，可以拦截 FTP 协议的 SITE 命令和 SMTP 协议的 DEBUG 命令，从而防止这一类型的攻击五、伪装伪装可以很好地隐含服务器的真实信息，从而躲避黑客的探测例如在 SMTP 协议中，可以伪装域名、隐含服务器类型及版本，甚至可以从 Message ID 和 MIME 中移出一些信息这些技术可以防止黑客探测到服务器细节信息，从而使用相应的攻击手段对付服务器六、过滤/拦截头信息另一类攻击依靠建立一些畸形协议头来攻击服务器的弱点深度应用检测层可以很好地过滤/拦截这些协议头内部的信息依靠如上这些技术很好地提供零日威胁保护的能力，都是 Firebox 系统预定义好的，并结合安全策略实施的，无须用户自己来解决七、前瞻性地识别并拦截黑客１、识别攻击WatchGuard ILS 结构的效力体现在其分布式智能分析能力。

每一个层都具有分析和报告攻击者 IP 地址的能力，同时可以拦截这些攻击性的 IP 地址通讯这个能力应用于大量的不同级别攻击行为，例如 DoS 攻击、IP 选项攻击、基于 PAD 的协议异常攻击，甚至被防病毒/入侵防御系统识别到的攻击等２、识别攻击者行为在一个攻击开始前，基于行为的分析就可以将其锁定为一个攻击者扫描者与攻击者的匹配几率高达 96.3% ......换句话说，每一次扫描过后，在未来某一时刻，都可能会发生来自同一个地点的攻击行为网络世界，8 月 25 日，2003）ILS 通常可以识别的行为有，（１） 端口扫描；（２）地址扫描；（３） 利用 IP 选项、欺骗和源路由；３、识别攻击者行为在一个攻击开始前，基于行为的分析就可以将其锁定为一个攻击者扫描者与攻击者的匹配几率高达 96.3% ......换句话说，每一次扫描过后，在未来某一时刻，都可能会发生来自同一个地点的攻击行为网络世界，8 月 25 日，2003）ILS。