【文章內容簡介】 訪問，防止非法使用數(shù)據(jù)和策略執(zhí)行等功能。這樣在外部網(wǎng)絡接入時，全部通信都受到防火墻的監(jiān)控，通過防護墻的策略可 以設置成相應的保護級別，以保證系統(tǒng)的安全。 ? 過濾網(wǎng)絡中不必要傳輸?shù)睦鴶?shù)據(jù)。防火墻是一種網(wǎng)關型的設備，各個區(qū)域之間的通信，可以通過防火墻的添加，保障如果在其上添加一些策略，就可以過濾掉部分無用的信息，只要網(wǎng)絡中傳輸必要的應用數(shù)據(jù)。如：在網(wǎng)絡中，拒絕對 的 FTP 訪問，可以在防火墻中直接加載限制策略，使對 的 FTP 訪問數(shù)據(jù)無法通過防火墻，達到過濾網(wǎng)絡中不必要傳輸垃圾數(shù)據(jù)的目的。 ? 通過防火墻的流量控制，調整鏈路的帶寬利用。同樣由于防火墻是一種網(wǎng)關型的設備，而且防火墻具有流量控制的特性， 可以依據(jù)應用來限制流量，來調整鏈路的帶寬利用如：在網(wǎng)絡中，有 FTP 的訪問、 Web 訪問等等，可以在防火墻中直接加載控制策略，使 FTP 訪問、 Web 訪問按照預定的帶寬進行數(shù)據(jù)交換。實現(xiàn)流量控制，調整鏈路帶寬利用的功能。 ? 通過防火墻的保護，提高系統(tǒng)的安全性。使得各個服務器區(qū)不受到黑客的攻擊，黑客無法通過防火墻進行掃描、攻擊等非法動作。防火墻可防止黑客通過外部網(wǎng)對重要服務器的 TCP/UDP 的端口非法掃描，消除系統(tǒng)安全的隱患?？煞乐购诳屯ㄟ^外部網(wǎng)對重要服務器的源路由攻擊、 IP 碎片包攻擊、DNS / RIP / ICMP 攻擊、 SYN 攻擊、拒絕服務攻擊等多種攻擊。天融信防火墻提供入侵檢測的功能，當發(fā)現(xiàn)重要服務器被攻擊時，防火墻將自動報警并根據(jù)策略進行響應。 ? 如果加裝日志、審計服務器，可以進一步加強網(wǎng)絡的可控性。對于防火墻自身來說，日志的導出、計費服務器的安裝，可以使得每臺防火墻來往的數(shù)據(jù)訪問的目的加以統(tǒng)計，為優(yōu)化網(wǎng)絡提供必要的數(shù)據(jù)，計費服務器可以完成，每個不同的源訪問的流量的統(tǒng)計，可以了解到每個源的流量是否在正常范圍內，等等。這樣的數(shù)據(jù)對于網(wǎng)絡安全是十分重要的。 10 ? 提供病毒防火的網(wǎng)絡安全基礎設施。防火墻既然可以通過聯(lián)動實現(xiàn)攻擊 的阻斷，同樣可以通過聯(lián)動實現(xiàn)病毒傳輸?shù)淖钄啵也《韭?lián)動已經(jīng)成為現(xiàn)實。在骨干網(wǎng)與下屬單位連接連路上添加防火墻，等于在該鏈路上安裝了一個病毒聯(lián)動的控制機構（網(wǎng)關）。所以，安裝防火墻的同時，也提供病毒防火的網(wǎng)絡安全基礎設施。 ? 高性能的應用層控制。防火墻提供應用級透明代理，可以對高層應用（ HTTP、 FTP、 SMTP、 POP NNTP）做了更詳細控制，如 HTTP 命令（ GET， POST， HEAD）及 URL， FTP 命令（ GEI， PUT）及文件控制。 防火墻功能 ? 平臺支持：采用專用硬件平臺與專用的安全操作系 統(tǒng) ? 基于會話檢測的防火墻實現(xiàn)機制：采用基于操作系統(tǒng)內核的會話檢測技術 ? 硬件上支持對接口的靈活擴展，可以通過靈活的擴展來適應業(yè)務發(fā)展的需要，從而保護投資。 ? 應用代理：具有透明應用代理功能，支持 FTP、 HTTP、 TELNET、 PING、 SSH、 FTP— DATA、 SMTP、 WINS、TACACS、 DNS、 TFTP、 POP RTELNET、 SQLSERV、 NNTP、 IMAP、 SNMP、 NETBIOS、 DNS、 IPSEC— ISAKMP、RLOGIN、 DHCP、 RTSP、 MSSQL（ S、 M、 R）、 RADIUS164 PPTP、 SQLNET— 152 SQLNET— 152 MSN、 CVSSERVER、 MSTHEATER、 MYSQL、 、 SECURID（ TCP、 UDP） PCANYWHERE、 IGMP、 GRE、PPPOE、 IPV6 等協(xié)議命令級的控制，實現(xiàn)對文件級的過濾。 ? 支持眾多網(wǎng)絡通信協(xié)議和應用協(xié)議：如 DHCP 、 VLAN 、 ADSL 、 ISL 、 、 Spanning tree 、NETBEUI 、 IPSEC 、 、 MMS 等，保證用戶的網(wǎng)絡應用，方便用戶擴展 IP 寬帶 接入及 IP 電話、視頻會議、 VOD 點播等多媒體應用。 ? 支持交換機主干鏈路：防火墻的物理接口實現(xiàn)了 D0t1q 封裝格式，能夠同交換機的 Trunk 接口對接，實現(xiàn)了 Vlan 間路由的功能，保證了防火墻對于各種網(wǎng)絡環(huán)境的易接入性。 ? 地址轉換：采用雙向網(wǎng)絡地址轉換（雙向 NAT）技術，支持靜態(tài) NAT 及動態(tài) NAT（ IP POOL），并能夠實現(xiàn)一對一、一對多的地址映射； 11 ? 支持多種身份認證：如 OTP 、 RADIUS 、 S/KEY 、 SECUREID 、 TACACS/TACACS+、口令方式、數(shù)字證書（ CA ），更好更廣泛的實現(xiàn)了 用戶鑒別和訪問控制。 ? 地址綁定：實現(xiàn) IP 地址與 MAC 地址捆綁，防止 IP 地址非法盜用； ? 安全服務器（ SSN）保護：具有對公開服務器保護功能，一旦服務器內容被非法篡改，可以進行快速恢復 ? 源、目地址路由功能：根據(jù)通訊的源地址和目標地址來做出路由選擇，適應有多個網(wǎng)絡出口的環(huán)境。 ? 多層次分布式帶寬管理（ QoS）：可以實現(xiàn)帶寬分層、帶寬分級、帶寬分配、帶寬優(yōu)化等管理，優(yōu)化網(wǎng)絡資源的應用，提高網(wǎng)絡資源應用效率。 ? 防御功能：可防 TCP、 UDP 等端口掃描；防源路由攻擊、 IP 碎片包攻擊、 DNS/RIP/ICMP 攻擊、 SYN 攻擊 ； 抗 DOS、 DDOS 攻擊；可阻止 ActiveX、 Java、 Javascript 入侵。 ? 防火墻支持 TopsecManager 與 SAS：支持 TopsecManager 綜合管理系統(tǒng)，支持 TopSEC 安全審計系統(tǒng)； ? 實時監(jiān)控：實時察看防火墻主機的當前負載情況，包括內存的使用情況和連接狀況等。 ? 防火墻支持多種工作模式：支持路由模式、透明（橋接）模式（防火墻可不配地址）、混合模式（路由與透明兩種模式同時工作） ? 管理功能：面向基于對象的管理配置方式；支持 GUI 集中管理及命令行管理方式；支持本地管理、遠程管理和集中管理；支持基于 SSH 的遠程登陸管理和基于 SSL 的 GUI 方式管理；支持 SNMP 集中管理與監(jiān)控，并與當前通用的網(wǎng)絡管理平臺兼容，如 HP Openview ，方便管理和維護。 ? 深層日志及靈活、強大審計分析功能：審計日志包括如下幾個部分：日志會話、日志命令。日志會話也就是傳統(tǒng)的防火墻日志，負責記錄通訊時間、源地址、目的地址、源端口、目的端口、字節(jié)數(shù)、是否允許通過。日志會話信息用來進行流量分析已經(jīng)足夠，但是用來進行安全性分析還遠遠不夠；應用層日志命令在日 志會話的基礎之上記錄下各個應用層命令及其參數(shù)，比如 HTTP 請求及其要取的網(wǎng)頁名；訪問日志則是在應用層命令日志的基礎之上記錄下用戶對網(wǎng)絡資源的訪問，它和應用層日 12 志命令的區(qū)別是：應用層日志命令可以記錄下大量的數(shù)據(jù)，有些用戶可能不需要，如協(xié)商通信參數(shù)過程等。例如針對 FTP 協(xié)議，日志會話只記錄下讀、寫文件的動作；日志命令則是在訪問日志的基礎之上，記錄如用戶發(fā)送的郵件，用戶取下的網(wǎng)頁等。支持日志的自動導出與自動分析。支持防火墻配置文件的導入與導出（防火墻配置文件信息的備份與恢復）； ? 非協(xié)議支持：支持對非 IP 協(xié)議 IPX/NetBEUI 的傳輸與控制。 內網(wǎng) VPN系統(tǒng) VPN作用 虛擬專用網(wǎng)是企業(yè)網(wǎng)在因特網(wǎng)等公共網(wǎng)絡上的延伸，通過一個私有的通道在公共網(wǎng)絡上創(chuàng)建一個安全的私有連接。虛擬專用網(wǎng)通過安全的數(shù)據(jù)通道將遠程用戶、公司分支機構、公司業(yè)務伙伴等跟公司的企業(yè)網(wǎng)連接起來，構成一個擴展的公司企業(yè)網(wǎng)。在該網(wǎng)中的主機將不會覺察到公共網(wǎng)絡的存在，仿佛所有的主機都處于一個獨立的專有網(wǎng)絡之中。公共網(wǎng)絡仿佛是只由本網(wǎng)絡在獨占使用，而事實上并非如此，所以稱之虛擬專用。之所以采用虛擬專用網(wǎng)是因為 VPN有以下幾方面 優(yōu)點： ? 降低成本 ? 容易擴展 ? 完全控制主動權 ? 全方位的安全保護 ? 高的性價比 ? 使用和管理方便 ? 投資保護 虛擬專用網(wǎng) VPN 采用了一種稱之為隧道的技術。隧道技術的基本過程是在源內部網(wǎng)與公用網(wǎng)