东软_FW_5120-T

整机示意图前面板各指示灯说明后面板NetEye典型拓扑NetEye是一种重要的网络安全设备，是设置在不同网络或不同安全域之间的一道安全屏障，用于网络或安全域之间的安全访问控制NetEye主要有以下作用：过滤进、出网络的数据流管理进、出网络的访问行为记录通过NetEye的信息内容和活动对网络攻击进行检测和报警防火墙通常使用的安全控制技术主要是包过滤和应用代理服务。工作原理NetEye采用状态检测包过滤的技术，以会话为单位处理网络之间的数据流，并在此基础上实现了混合模式（即数据的二层交换和三层路由功能），能够根据数据包的目的地址进行不同层次的转发。NetEye能根据数据包所属会话的会话状态，决定该数据包是否符合NetEye的过滤规则。会话的引入使得包过滤过程不再以包为单位进行，而是以会话为单位进行，缩减了系统开销。工作模式NetEye有三种工作模式：透明模式、路由模式和混合模式。NetEye的工作模式是通过设置接口的工作模式来实现的。当NetEye工作在透明模式时，需要将接口设置为二层接口；当NetEye工作在路由模式时，需要将接口设置为三层接口；当NetEye工作在混合模式时，则需要将相关接口分别设置为二层接口和三层接口。数据包处理流程功能组件虚拟系统–虚拟系统（VirtualSystem，Vsys）是指将一个物理设备从逻辑上划分为多个独立的虚拟设备，每个Vsys都有自己的管理员、安全策略和用户认证数据库等。通过划分Vsys，可以将原本只能由一个管理员完成的工作分派给多个管理员来完成，使得规模较大、拓扑较复杂的网络也能够易于管理。例如，在一个企业网络中，企业级管理员只需将不同部门的网络划分到不同的Vsys中，然后为每个部门对应的Vsys分配管理员即可，剩下的配置和管理工作则由各部门的管理员在相应的Vsys上完成。高可用性–高可用性（HighAvailability，HA）提供了一种解决网络中由于单点故障而带来的风险的方法。功能组件虚拟专用网–虚拟专用网（VirtualPrivateNetwork，VPN）可以理解为虚拟出来的网络内部专线，它是利用特殊的加密通讯协议在外部网和内部网之间的建立一条专用通讯线路，用于保护网络信息流的安全性。攻击防御–网络中的攻击可能是收集网络信息的探测，也可能是破坏、停用或损害网络资源等攻击。针对不同的攻击方式，NetEye提供了各种安全域级和策略级的检测方法和防御机制。NetEye提供的检测和防御机制包括探测防御、拒绝服务攻击、IP分片重组、TCP逃避控制、IP选项校验以及ICMP攻击防御。功能组件深层检测–NetEye支持的深度检测（DeepInspection，DI）针对应用层数据进行解析，并对应用层数据的内容进行安全性检测和控制。NetEye支持以RFC规范及管理员设置的协议限制条件对应用层数据进行检测，支持对应用层数据进行防病毒、反垃圾邮件、URL过滤、攻击签名和防信息泄漏等内容检测，并且支持防病毒规则和攻击签名规则的实时更新。NAT负载均衡–网络地址转换（NetworkAddressTranslation，NAT）解决了IPv4地址不足的问题，同时也能够隐藏内部网络的拓扑结构，提高网络安全性。NAT负载均衡是将集中在一台服务器上的用户请求尽可能平均地分发到多台服务器上，从而最大限度地提高服务器工作效率。NetEye的NAT负载均衡支持链路探测功能，NetEye可以自动检测服务器的工作状态。当一台服务器出现故障时，NetEye不会将用户的服务请求继续转发到该服务器上，从而使NetEye具有高容错性。功能组件策略路由–在NetEye中，策略路由是带有限定条件的静态路由，这些条件包括数据包的源IP地址、所属的传输层协议等内容，管理员通过设定这些条件来决定哪些数据包使用特定的静态路由，从而进行更加具体的路由控制。每条策略路由都对应一张静态路由表，该策略路由的属性值决定哪些数据包会使用这张静态路由表来选路。动态路由–NetEye支持动态路由功能。NetEye的路由表项是通过相互连接的路由设备之间交换彼此信息，然后按照一定的算法优化出来的，并且这些路由信息随着网络变化动态地更新，以随时获得最优路径。NetEye支持路由信息协议(RIP)、开放式最短路径优先协议（OSPF）和边界网关协议(BGP)，使NetEye可以适应网络规模较大、拓扑结构不固定的网络环境。初始配置NetEye设备首次开机后，管理员需要对其进行初始配置。通过初始配置，管理员可以远程访问并且配置和管理NetEye设备。其他配置当完成了初始配置并将NetEye设备加入到用户网络后，管理用户还需要对NetEye系统作后续配置（例如：安全域的划分、安全策略的添加等）。后续配置除了通过串口连接的CLI配置方法以外还包括以下三种网络配置方式：–WebUI配置方式–基于SSH协议的CLI配置方式–基于Telnet协议的CLI配置方式网络配置􀂄接口􀂄接口Bypass􀂄虚拟网络􀂄sFlow􀂄安全域􀂄QoS􀂄DHCP􀂄DNS系统维护􀂄License􀂄系统信息􀂄主机名􀂄系统时间􀂄存储介质初始化􀂄系统升级􀂄备份和恢复系统􀂄恢复出厂设置􀂄重启和关闭系统􀂄资产信息操作安全域访问设置缺省路由源地址转换添加源地址转换启用源地址转换目的地址转换访问策略安全策略策略缺省设置4004006-556789