【文章內(nèi)容簡(jiǎn)介】 計(jì)員負(fù)責(zé)日志的管理和審計(jì)中的授權(quán)機(jī)制。這樣他們共同地負(fù)責(zé)起一個(gè)安全的管理平臺(tái)。 多種工作模式 方正方御防火墻可以工作在網(wǎng)橋路由兩種模式下，這樣可以方便用戶使用。使用在網(wǎng)橋模式時(shí)在 IP 層透明，使用路由模式時(shí) 可以作為三個(gè)區(qū)之間的路由器，同時(shí)提供內(nèi)網(wǎng)到外網(wǎng)、 DMZ 到外網(wǎng)的網(wǎng)絡(luò)地址轉(zhuǎn)換。 防御 DOS， DDOS 攻擊 普通的防火墻都是采用限制每一網(wǎng)絡(luò)地址單位時(shí)間內(nèi)通過(guò)的 SYN 包數(shù)量來(lái)抵御DDOS 攻擊，但是通常網(wǎng)絡(luò)攻擊者都會(huì)隨機(jī)的偽造網(wǎng)絡(luò)地址，因此這種方法防范的效果非常差，不能從根本上抵御 DDOS 攻擊。方正方御防火墻修改了 TCP/IP 堆棧的算法，使得新的 syn 連接包可以正常通過(guò)，避免了由于大量的攻擊 SYN 包造成網(wǎng)絡(luò)的阻塞。 狀態(tài)檢測(cè) 方正方御防火墻 可以根據(jù)數(shù)據(jù)包的地址、協(xié)議和端口進(jìn)行訪問(wèn)控制，同時(shí)還對(duì)任何網(wǎng)絡(luò)連接和會(huì)話的當(dāng)前狀態(tài)進(jìn)行分析和監(jiān)控。傳統(tǒng)的防火墻的包過(guò)濾只是根據(jù)規(guī)則表進(jìn)行匹配，而 方正方御防火墻 對(duì)每個(gè)連接，作為一個(gè)數(shù)據(jù)流，通過(guò)規(guī)則表與連接表共同 配合來(lái)對(duì)網(wǎng)絡(luò)狀態(tài)進(jìn)行控制。 代理服務(wù) 用戶可以設(shè)置代理服務(wù)器端口來(lái)啟動(dòng)代理服務(wù)器功能，而且通過(guò)設(shè)置使用代理服務(wù)器用戶帳號(hào)密碼和訪問(wèn)控制來(lái)維護(hù)安全性。代理服 務(wù)的訪問(wèn)控制非常的完善，可以對(duì)時(shí)間、協(xié)議、方法、地址、 DNS 域、目的端口和 URL 來(lái)進(jìn)行控制。用戶完全可以通過(guò)設(shè)置一定的條件來(lái)符合自己的要求。 雙向網(wǎng)絡(luò)地址轉(zhuǎn)換 系統(tǒng)支持動(dòng)態(tài)、靜態(tài)、雙向的 NAT。當(dāng)用戶需要從內(nèi)部 IP 訪問(wèn) Inter 時(shí)， NAT 系統(tǒng)會(huì)從 IP 池里取出一個(gè)合法的 Inter IP，為該用戶建立映射。如果需要在 Intra 提供讓外部訪問(wèn)的服務(wù)（如 WWW、 FTP 等），NAT 系統(tǒng)可以為 Intra 里的服務(wù)器建立靜態(tài)映射，外部用戶可以直接訪問(wèn)該服務(wù)器。雙向網(wǎng)絡(luò)地址轉(zhuǎn) 換為企業(yè)用 戶連接到Inter 提供了良好的網(wǎng)絡(luò)地址隱蔽，并且能減少 IP 占用，替用戶節(jié)省費(fèi)用。 提供 DMZ 區(qū) 除了內(nèi)部網(wǎng)絡(luò)界面和外部網(wǎng)絡(luò)界面，系統(tǒng)還可以再增加一個(gè)網(wǎng)絡(luò)界面，讓管理員靈活應(yīng)用。如建立 DMZ（軍事獨(dú)立區(qū)） ，在其中放置公共應(yīng)用服務(wù)器。 帶寬管理和流量統(tǒng)計(jì) 方正方御防火墻 系統(tǒng)使用流量統(tǒng)計(jì)與控制策略，可方便的根據(jù)網(wǎng)段和主機(jī)等對(duì)流量進(jìn)行統(tǒng)計(jì)與控制管理。用戶可以通過(guò)設(shè)置源地址到目的地址單位在時(shí)間內(nèi)允許通過(guò)的流量以及協(xié)議和端口來(lái)進(jìn)行帶寬控制。 日志審計(jì) 審計(jì)功能是方正方御防火墻非常強(qiáng)大的一個(gè)部分，目前國(guó)內(nèi)防火墻的審計(jì)功能都 非 常不完善，方正方御防火墻提供了大量的審計(jì)內(nèi)容和對(duì)審計(jì)內(nèi)容的查詢功能，由于日志可能對(duì)一般用戶比較難以理解，而我們將日志記錄分成了若干部分，而其中每一部分都可以進(jìn)行查詢和管理，這樣用戶就能對(duì)防火墻的情況有一個(gè)非常透徹的了解。 入侵檢測(cè) 方正方御防火墻入侵檢測(cè)系統(tǒng)采用了可擴(kuò)展的檢測(cè)庫(kù)方法，目前可以抵御 1000 多種攻擊方法，而且可以通過(guò)升級(jí)檢測(cè)庫(kù)的方法來(lái)不斷的抵御新的攻擊方法。用戶還可以自定義攻擊檢測(cè)庫(kù)來(lái)符合自己的要求。 自動(dòng)報(bào)警和防范系統(tǒng) 方正方御防火墻一旦檢測(cè)到有黑客進(jìn)行攻擊，會(huì)在第一時(shí)間內(nèi)在控制機(jī)上進(jìn)行 報(bào)警，而且同時(shí)會(huì)自動(dòng)封禁掉攻擊者的 IP 地址，這樣可以做到防火墻的防范完全自動(dòng)化，而不象普通的防火墻那樣需要人工干預(yù)。 基于 PKI 的授權(quán)認(rèn)證 方正方御防火墻的授權(quán)認(rèn)證是基于 PKI基礎(chǔ)之上，因此完全性極高。 PKI 是一種新的安全技術(shù)，它由公開(kāi)密鑰密碼技術(shù)、數(shù)字證書、證書發(fā)放機(jī)構(gòu)（ CA）和關(guān)于公開(kāi)密鑰的安全策略等基本成分共同組成的。 快速安裝配置 方正方御防火墻的安裝和配置非常方便，管理員只要設(shè)定好網(wǎng)絡(luò)設(shè)備的 IP 地址，然后使用系統(tǒng)提供的一些典型配置模板，適當(dāng)?shù)男薷囊恍┮?guī)則來(lái)符合要求。除此以外還可以添加系統(tǒng)提供的 一些子模板來(lái)實(shí)現(xiàn)一些特定的功能。 圖形管理界面 用戶可以通過(guò)圖形界面對(duì)防火墻進(jìn)行配置和管理。而且也可以通過(guò)圖形界面來(lái)管理 審計(jì)內(nèi)容，而不象有些防火墻是通過(guò)命令行方式進(jìn)行配置。 完全中國(guó)化的設(shè)計(jì) 方正方御防火墻是由方正數(shù)碼自行設(shè)計(jì)和制作的，充分考慮了中國(guó)國(guó)情，除了界面、幫助文檔、使用說(shuō)明完全中文化外，還加入了一些小型模板用戶給管理員配置防火墻。 集中管理 方正方御防火墻采用基于 Windows GUI的用戶界面進(jìn)行遠(yuǎn)程集中式管理，配置管理界面直觀，易于操作?？梢酝ㄟ^(guò)一個(gè)控制機(jī)對(duì)多臺(tái)方正方御防火墻進(jìn)行集中式的管理。 . 方正方御防火墻功能說(shuō)明 . 多種工作模式 方正方御防火墻可以工作在網(wǎng)橋和路由兩種模式下： A：網(wǎng)橋模式： 3 個(gè)端口構(gòu)成一個(gè)以太網(wǎng)交換機(jī)，防火墻本身沒(méi)有 IP 地址，在 IP 層透明?？梢詫⑷我馊齻€(gè)物理網(wǎng)絡(luò)連接起來(lái)構(gòu)成一個(gè)互通的物理網(wǎng)絡(luò)。 當(dāng)防火墻工作在交換模式時(shí)，內(nèi)網(wǎng)、 DMZ 區(qū)和路由器的內(nèi)部端口構(gòu)成一個(gè)統(tǒng)一的交換式物理子網(wǎng)，內(nèi)網(wǎng)和 DMZ 區(qū)還可以有自己的第二級(jí)路由器，這種模式不需要改變?cè)械木W(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和各主 機(jī)和設(shè)備的網(wǎng)絡(luò)設(shè)置。 B： 路由模式： 防火墻本身構(gòu)成 3 個(gè)網(wǎng)絡(luò)間的路由器， 3 個(gè)界面分別具有不同的 IP 地址。三個(gè)網(wǎng)絡(luò)中的主機(jī)通過(guò)該路由進(jìn)行通信。 當(dāng)防火墻工作在路由模式時(shí)，可以作為三個(gè)區(qū)之間的路由器，同時(shí)提供內(nèi)網(wǎng)到外網(wǎng)、 DMZ 到外網(wǎng)的網(wǎng)絡(luò)地址轉(zhuǎn)換，也就是說(shuō)，內(nèi)網(wǎng)和 DMZ 都可以使用保留地址，內(nèi)網(wǎng)用戶通過(guò)地址轉(zhuǎn)換訪問(wèn) Inter，同時(shí)隔絕 Inter 對(duì)內(nèi)網(wǎng)的訪問(wèn)， DMZ 區(qū)通過(guò)反向地址轉(zhuǎn)換對(duì)Inter 提供服務(wù)。 在沒(méi)有安裝方正方御防火墻的時(shí)候典型網(wǎng)絡(luò)結(jié)構(gòu)圖如下 : 在安裝了方正方御防火墻的時(shí)候網(wǎng)絡(luò)結(jié)構(gòu) 圖如下 : In t e rn e t路由 器交 換機(jī)用戶服務(wù)器服務(wù)器D M Z 區(qū)內(nèi) 部網(wǎng)F i r e G a t e . 包過(guò)濾防火墻 方正方御防火墻 包過(guò)濾的功能是對(duì)指定 IP 包進(jìn)行包過(guò)濾，并且按照設(shè)定策略對(duì) IP 包進(jìn)行統(tǒng)計(jì)和日志記錄，主要根據(jù) IP 包的如下信息進(jìn)行過(guò)濾： ? 源 IP 地址 ? 目的 IP 地址 ? 協(xié)議類型（ IP、 ICMP、 TCP、 UDP） ? 源 TCP/UDP 端口 ? 目的 TCP/UDP 端口 ? ICMP 報(bào)文類型域和代碼域 ? 碎片包 ? 其它標(biāo)志位，如 SYN， ACK 位 源 IP 地址，目的地址，協(xié)議類型，源端口，目的端口ICMP 報(bào)文類型域和代碼域，碎片包，其它標(biāo)志位InterHackerUserWebDataBase . 高效的過(guò)濾 有些防火墻在安裝上以后對(duì) WEB 服務(wù)器的吞吐能力影響很大，造成性能 的降低。由于方正方御防火墻采用了 3I（ Intelligent IP Identifying）技術(shù)，能夠?qū)崿F(xiàn)快速匹配。因此方正方御防火墻不會(huì)對(duì)性能造成任何影響。 方正方御防火墻優(yōu)化了算法，使最大并發(fā)連接數(shù)可以達(dá)到 300,000 個(gè)以上，而一般的防火墻的最大并發(fā)連接只可以達(dá)到幾萬(wàn)個(gè)左右。 . 碎片處理功能 由于很多系統(tǒng)平臺(tái)，包括一些路由器對(duì) IP 碎片的處理存在問(wèn)題，容易產(chǎn)生欺騙和拒絕服務(wù)等攻擊，方正方御防火墻能夠識(shí)別出 IP 碎片并且進(jìn)行控制，這樣一來(lái)通過(guò)禁止 IP 碎片通過(guò)方正方御防火墻，防止了這樣的問(wèn)題的產(chǎn)生。 . 防 SYN Flood 攻擊 一些 TCP/IP 棧的實(shí)現(xiàn)只能等待從有限數(shù)量的計(jì)算機(jī)發(fā)來(lái)的 ACK 消息，因?yàn)樗麄冎挥杏邢薜膬?nèi)存緩沖區(qū)用于創(chuàng)建連接，如果這一緩沖區(qū)充滿了虛假連接的初始信息，該服務(wù)器就會(huì)對(duì)接下來(lái)的連接停止響應(yīng)，直到緩沖區(qū)里的連接企圖超時(shí)。典型的就是 Syn Flood 攻擊 ,通過(guò)大量的虛假的 Syn 包使服務(wù)器速度變慢，甚至是死機(jī)。一般的防火墻是通過(guò)限制每秒鐘通過(guò)的 Syn 包數(shù)量來(lái)組織 Syn Flood 攻擊，這種方法可以在一定意義上阻止 Syn Flood 攻擊，但是也有可能將正常的Syn 包忽略掉，因此不是一種非常好的方法。 方 正方御防火墻使用了兩種方式來(lái)反 Syn Flood 攻擊，一種方法就是通過(guò)設(shè)置單位時(shí)間內(nèi)的 SYN 包數(shù)量來(lái)控制，另外一種方法修改了 TCP/IP 堆棧的算法，使得新 Syn 包始終可以獲得連接位。避免了由于大量的攻擊 SYN 包造成網(wǎng)絡(luò)的阻塞。 . 強(qiáng)大的狀態(tài)檢測(cè)功能 方正方御防火墻可以根據(jù)數(shù)據(jù)包的地址、協(xié)議和端口進(jìn)行訪問(wèn)控制，同時(shí)還對(duì)任何網(wǎng)絡(luò)連接和會(huì)話的當(dāng)前狀態(tài)進(jìn)行分析和監(jiān)控。傳統(tǒng)的防火墻的包過(guò)濾只是與規(guī)則表進(jìn)行匹配，而方正方御防火墻對(duì)每個(gè)連接，作為一個(gè)數(shù)據(jù)流，通過(guò)規(guī)則表與連接表共同配合，在繼承了傳統(tǒng)包過(guò)濾系統(tǒng)對(duì)應(yīng)用透明的特性 外，還極大地提高了系統(tǒng)的性能和安全性。 其他的防火墻大多采用傳統(tǒng)的規(guī)則表的匹配方法，隨著安全規(guī)則的增加，勢(shì)必會(huì)使防火墻的性能大幅度的減少，造成網(wǎng)絡(luò)擁塞。 應(yīng) 用 層物 理 層鏈 路 層網(wǎng) 絡(luò) 層傳 輸 層會(huì) 話 層表 示 層新建已建相關(guān)非法狀態(tài)檢測(cè)新建已建相關(guān)非法 1 號(hào)包和1 號(hào)相關(guān)的包和1 號(hào)不相關(guān)的包服務(wù)器外部機(jī)器 . IDS(入侵檢測(cè)系統(tǒng) ) . 反端口掃描 一般黑客如果要對(duì)一個(gè)網(wǎng)站發(fā)動(dòng)攻擊，首先都要掃描目標(biāo)服務(wù)器的端口，確定服務(wù)器上開(kāi)啟的服務(wù)，然后做出相應(yīng)的入侵方式。 方正方御防火墻入侵檢測(cè)系統(tǒng)能夠在黑客掃描網(wǎng)站的時(shí)候就能檢測(cè)到并報(bào)警，這樣就能提前將黑客拒之于門外。方正 方御防火墻入侵檢測(cè)系統(tǒng)在檢測(cè)到有黑客掃描服務(wù)器端口的時(shí)候會(huì)立即在攻擊者的視野中消失，從而使黑客無(wú)法進(jìn)行后面的攻擊。方正方御防火墻入侵檢測(cè)系統(tǒng)根據(jù)配置文件監(jiān)控任何和 TCP、 UDP