易尚防火墙安装使用配置维护.ppt

目录 防火墙 防病毒 Web过滤 IDS/IPS 反垃圾邮件 VPN 虚拟域 管理 易尚防火墙 (UTM一体化威胁管理 ) ICSA认证状态检测防火墙 高性能 易尚ES4000 吞吐量：4Gbps 路由/透明模式 可在网络中隐藏自己 可在VPN通道中使用防火墙策略 在防火墙策略中调用防病毒、入侵检测保护 QoS (服务质量) 全面QoS支持 流量整形 基于包速率，缓存并平滑处理流量 超过门限值的数据包存贮到缓存，以便稍后传送 与策略不一样，力图避免丢包。可以为缓存包增加廷迟时间，然后再传输 用令牌过滤技术保证和限制带宽 排队 缓存并检查数据包优先级以决定数据包的传输 高、中、低优先级 在网络拥塞的情况下，高优先级的流量比中、低优先级的先处理 差分服务 允许改变DSCP值 802.1Q VLAN 支持 支持易尚ES750 及以上型号 基于子接口的多个VLAN 在每个物理接口上定义，支持VLAN Trunk 不同的VLAN支持IP地址重叠 子接口安全策略 基于防病毒的VLAN 基于NIDS的VLAN 基于内容过滤的VLAN 基于VPN的VLAN 基于防火墙策略和流量整形的VLAN 虚拟系统 一台相同的物理安全设备对多个用户提供有效的分割和灵活的安全 透明和路由模式下的VLAN 支持 路由特性 RIP (V1 V2)、OSPF动态路由支持 静态路由 – 目的网络路由表 配置特殊的和一般的路由到路由表中 任何静态路由都支持多网关 基于定制的Ping以检测网关状态 主网关失效自动切换到下一网关 创建到因特网的路由备份 策略路由 静态路由 – 策略路由 路由基于 源地址 协议、服务类型或服务端口范围 数据包进入的接口 策略路由比目的网络路由更先检查 创建到因特网的多条路由 静态负载分担 高可用性 (HA) 易尚ES800 及以上型号支持 支持 透明和路由模式 支持 Active-Passive 和 Active-Active 方式 Active-Passive 模式提供自动故障切换: 防火墙和IPSec会话同步 切换时间小于3秒 Yishang发送报警邮件和SNMP trap, 并记录日志 Yishang 提供更多优点： 防火墙负载均衡 防病毒负载均衡 链路状态监视和故障切换 高可用性 (HA) 高可用性 (HA) HA 心跳 用于: 传递集群会话信息 (防火墙会话和IPSec SA) 同步集群设置 报告集群成员状态 通过HA连接线传递 冗余的HA连接线: 任何接口都可以用于HA连接 用于传输数据的接口也可以同时作为HA接口 可以配置HA连接的备份 HA增强特性 HA 连接安全 HA集群成员之间的通讯是加密的 更多支持HA的型号 易尚ES800以上 易尚 V2.8 无线接口不能用于HA接口. Active-Active 模式 非防病毒流量也可负载均衡 所有的TCP流量均可负载均衡 目录 防火墙 防病毒 Web过滤 IDS/IPS 反垃圾邮件 VPN 虚拟域 管理 防病毒 唯一ICSA认证的硬件防病毒网关 扫描方法 基于特征 宏扫描 启发式扫描 (运行PE文件) 扫描效率 上下文扫描 – 根据数据的种类，以适当的方式和数据库的相应部份比较数据 高性能 唯一基于ASIC加速的实时扫描解决方案 实时扫描Web流量，网络不会有明显时延 其它防病毒网关无法比拟的性能 超过传统软件扫描5-10倍的性能 防病毒需求 25%以上的病毒通过Web传播 与Email相比 使用软件对Web流量进行防病毒扫描的性能太低 只有基于ASIC芯片的防病毒系统可以实现实时网络保护 防病毒 三大服务 病毒检测 文件和邮件屏蔽服务（超过文件大小或模板匹配文件名） 隔离被感染的文件 支持协议: 邮件流量: SMTP, POP3, IMAP Web流量: HTTP (内容, 下载, 和web邮件) FTP 流量 支持非标准端口 (SMTP, POP3, IMAP, HTTP) 完全覆盖业界WildList病毒库标准 包括变种病毒 对最终用户透明 客户端无需特殊配置 针对发送邮件的定制化特征库 定制化的可替代信息 (mail, FTP, Web) 目录 防火墙 防病毒 Web过滤 IDS/IPS 反垃圾邮件 VPN 虚拟域 管理 Web过滤的益处 提高生产力 访问无意义甚至有害的内容会降低员工的工作效率 通过过滤与工作无关的流量将提高有效带宽 mp3, 游戏, 色情内容…… 暴露不适当的内容有可能引起法律诉讼 避免 “敌对工作环境”的威胁 动态Web过滤 – FortiGuard 动态Web过滤 – 易尚WEB过滤 易尚保存策略并强制执行 客户在易尚防火墙系统上设置 允许/拒绝 策略 易尚防火墙收到URL请求后将转发到易尚WEB过滤服