【文章內(nèi)容簡(jiǎn)介】 訪問(wèn)，防止非法使用數(shù)據(jù)和策略執(zhí)行等功能。這樣在外部網(wǎng)絡(luò)接入時(shí)，全部通信都受到防火墻的監(jiān)控，通過(guò)防護(hù)墻的策略可 以設(shè)置成相應(yīng)的保護(hù)級(jí)別，以保證系統(tǒng)的安全。 ? 過(guò)濾網(wǎng)絡(luò)中不必要傳輸?shù)睦鴶?shù)據(jù)。防火墻是一種網(wǎng)關(guān)型的設(shè)備，各個(gè)區(qū)域之間的通信，可以通過(guò)防火墻的添加，保障如果在其上添加一些策略，就可以過(guò)濾掉部分無(wú)用的信息，只要網(wǎng)絡(luò)中傳輸必要的應(yīng)用數(shù)據(jù)。如：在網(wǎng)絡(luò)中，拒絕對(duì) 的 FTP 訪問(wèn)，可以在防火墻中直接加載限制策略，使對(duì) 的 FTP 訪問(wèn)數(shù)據(jù)無(wú)法通過(guò)防火墻，達(dá)到過(guò)濾網(wǎng)絡(luò)中不必要傳輸垃圾數(shù)據(jù)的目的。 ? 通過(guò)防火墻的流量控制，調(diào)整鏈路的帶寬利用。同樣由于防火墻是一種網(wǎng)關(guān)型的設(shè)備，而且防火墻具有流量控制的特性， 可以依據(jù)應(yīng)用來(lái)限制流量，來(lái)調(diào)整鏈路的帶寬利用如：在網(wǎng)絡(luò)中，有 FTP 的訪問(wèn)、 Web 訪問(wèn)等等，可以在防火墻中直接加載控制策略，使 FTP 訪問(wèn)、 Web 訪問(wèn)按照預(yù)定的帶寬進(jìn)行數(shù)據(jù)交換。實(shí)現(xiàn)流量控制，調(diào)整鏈路帶寬利用的功能。 ? 通過(guò)防火墻的保護(hù)，提高系統(tǒng)的安全性。使得各個(gè)服務(wù)器區(qū)不受到黑客的攻擊，黑客無(wú)法通過(guò)防火墻進(jìn)行掃描、攻擊等非法動(dòng)作。防火墻可防止黑客通過(guò)外部網(wǎng)對(duì)重要服務(wù)器的 TCP/UDP 的端口非法掃描，消除系統(tǒng)安全的隱患?？煞乐购诳屯ㄟ^(guò)外部網(wǎng)對(duì)重要服務(wù)器的源路由攻擊、 IP 碎片包攻擊、DNS / RIP / ICMP 攻擊、 SYN 攻擊、拒絕服務(wù)攻擊等多種攻擊。天融信防火墻提供入侵檢測(cè)的功能，當(dāng)發(fā)現(xiàn)重要服務(wù)器被攻擊時(shí)，防火墻將自動(dòng)報(bào)警并根據(jù)策略進(jìn)行響應(yīng)。 ? 如果加裝日志、審計(jì)服務(wù)器，可以進(jìn)一步加強(qiáng)網(wǎng)絡(luò)的可控性。對(duì)于防火墻自身來(lái)說(shuō)，日志的導(dǎo)出、計(jì)費(fèi)服務(wù)器的安裝，可以使得每臺(tái)防火墻來(lái)往的數(shù)據(jù)訪問(wèn)的目的加以統(tǒng)計(jì)，為優(yōu)化網(wǎng)絡(luò)提供必要的數(shù)據(jù)，計(jì)費(fèi)服務(wù)器可以完成，每個(gè)不同的源訪問(wèn)的流量的統(tǒng)計(jì)，可以了解到每個(gè)源的流量是否在正常范圍內(nèi)，等等。這樣的數(shù)據(jù)對(duì)于網(wǎng)絡(luò)安全是十分重要的。 10 ? 提供病毒防火的網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施。防火墻既然可以通過(guò)聯(lián)動(dòng)實(shí)現(xiàn)攻擊 的阻斷，同樣可以通過(guò)聯(lián)動(dòng)實(shí)現(xiàn)病毒傳輸?shù)淖钄?，而且病毒?lián)動(dòng)已經(jīng)成為現(xiàn)實(shí)。在骨干網(wǎng)與下屬單位連接連路上添加防火墻，等于在該鏈路上安裝了一個(gè)病毒聯(lián)動(dòng)的控制機(jī)構(gòu)（網(wǎng)關(guān)）。所以，安裝防火墻的同時(shí)，也提供病毒防火的網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施。 ? 高性能的應(yīng)用層控制。防火墻提供應(yīng)用級(jí)透明代理，可以對(duì)高層應(yīng)用（ HTTP、 FTP、 SMTP、 POP NNTP）做了更詳細(xì)控制，如 HTTP 命令（ GET， POST， HEAD）及 URL， FTP 命令（ GEI， PUT）及文件控制。 防火墻功能 ? 平臺(tái)支持：采用專(zhuān)用硬件平臺(tái)與專(zhuān)用的安全操作系 統(tǒng) ? 基于會(huì)話檢測(cè)的防火墻實(shí)現(xiàn)機(jī)制：采用基于操作系統(tǒng)內(nèi)核的會(huì)話檢測(cè)技術(shù) ? 硬件上支持對(duì)接口的靈活擴(kuò)展，可以通過(guò)靈活的擴(kuò)展來(lái)適應(yīng)業(yè)務(wù)發(fā)展的需要，從而保護(hù)投資。 ? 應(yīng)用代理：具有透明應(yīng)用代理功能，支持 FTP、 HTTP、 TELNET、 PING、 SSH、 FTP— DATA、 SMTP、 WINS、TACACS、 DNS、 TFTP、 POP RTELNET、 SQLSERV、 NNTP、 IMAP、 SNMP、 NETBIOS、 DNS、 IPSEC— ISAKMP、RLOGIN、 DHCP、 RTSP、 MSSQL（ S、 M、 R）、 RADIUS164 PPTP、 SQLNET— 152 SQLNET— 152 MSN、 CVSSERVER、 MSTHEATER、 MYSQL、 、 SECURID（ TCP、 UDP） PCANYWHERE、 IGMP、 GRE、PPPOE、 IPV6 等協(xié)議命令級(jí)的控制，實(shí)現(xiàn)對(duì)文件級(jí)的過(guò)濾。 ? 支持眾多網(wǎng)絡(luò)通信協(xié)議和應(yīng)用協(xié)議：如 DHCP 、 VLAN 、 ADSL 、 ISL 、 、 Spanning tree 、NETBEUI 、 IPSEC 、 、 MMS 等，保證用戶的網(wǎng)絡(luò)應(yīng)用，方便用戶擴(kuò)展 IP 寬帶 接入及 IP 電話、視頻會(huì)議、 VOD 點(diǎn)播等多媒體應(yīng)用。 ? 支持交換機(jī)主干鏈路：防火墻的物理接口實(shí)現(xiàn)了 D0t1q 封裝格式，能夠同交換機(jī)的 Trunk 接口對(duì)接，實(shí)現(xiàn)了 Vlan 間路由的功能，保證了防火墻對(duì)于各種網(wǎng)絡(luò)環(huán)境的易接入性。 ? 地址轉(zhuǎn)換：采用雙向網(wǎng)絡(luò)地址轉(zhuǎn)換（雙向 NAT）技術(shù)，支持靜態(tài) NAT 及動(dòng)態(tài) NAT（ IP POOL），并能夠?qū)崿F(xiàn)一對(duì)一、一對(duì)多的地址映射； 11 ? 支持多種身份認(rèn)證：如 OTP 、 RADIUS 、 S/KEY 、 SECUREID 、 TACACS/TACACS+、口令方式、數(shù)字證書(shū)（ CA ），更好更廣泛的實(shí)現(xiàn)了 用戶鑒別和訪問(wèn)控制。 ? 地址綁定：實(shí)現(xiàn) IP 地址與 MAC 地址捆綁，防止 IP 地址非法盜用； ? 安全服務(wù)器（ SSN）保護(hù)：具有對(duì)公開(kāi)服務(wù)器保護(hù)功能，一旦服務(wù)器內(nèi)容被非法篡改，可以進(jìn)行快速恢復(fù) ? 源、目地址路由功能：根據(jù)通訊的源地址和目標(biāo)地址來(lái)做出路由選擇，適應(yīng)有多個(gè)網(wǎng)絡(luò)出口的環(huán)境。 ? 多層次分布式帶寬管理（ QoS）：可以實(shí)現(xiàn)帶寬分層、帶寬分級(jí)、帶寬分配、帶寬優(yōu)化等管理，優(yōu)化網(wǎng)絡(luò)資源的應(yīng)用，提高網(wǎng)絡(luò)資源應(yīng)用效率。 ? 防御功能：可防 TCP、 UDP 等端口掃描；防源路由攻擊、 IP 碎片包攻擊、 DNS/RIP/ICMP 攻擊、 SYN 攻擊 ； 抗 DOS、 DDOS 攻擊；可阻止 ActiveX、 Java、 Javascript 入侵。 ? 防火墻支持 TopsecManager 與 SAS：支持 TopsecManager 綜合管理系統(tǒng)，支持 TopSEC 安全審計(jì)系統(tǒng)； ? 實(shí)時(shí)監(jiān)控：實(shí)時(shí)察看防火墻主機(jī)的當(dāng)前負(fù)載情況，包括內(nèi)存的使用情況和連接狀況等。 ? 防火墻支持多種工作模式：支持路由模式、透明（橋接）模式（防火墻可不配地址）、混合模式（路由與透明兩種模式同時(shí)工作） ? 管理功能：面向基于對(duì)象的管理配置方式；支持 GUI 集中管理及命令行管理方式；支持本地管理、遠(yuǎn)程管理和集中管理；支持基于 SSH 的遠(yuǎn)程登陸管理和基于 SSL 的 GUI 方式管理；支持 SNMP 集中管理與監(jiān)控，并與當(dāng)前通用的網(wǎng)絡(luò)管理平臺(tái)兼容，如 HP Openview ，方便管理和維護(hù)。 ? 深層日志及靈活、強(qiáng)大審計(jì)分析功能：審計(jì)日志包括如下幾個(gè)部分：日志會(huì)話、日志命令。日志會(huì)話也就是傳統(tǒng)的防火墻日志，負(fù)責(zé)記錄通訊時(shí)間、源地址、目的地址、源端口、目的端口、字節(jié)數(shù)、是否允許通過(guò)。日志會(huì)話信息用來(lái)進(jìn)行流量分析已經(jīng)足夠，但是用來(lái)進(jìn)行安全性分析還遠(yuǎn)遠(yuǎn)不夠；應(yīng)用層日志命令在日 志會(huì)話的基礎(chǔ)之上記錄下各個(gè)應(yīng)用層命令及其參數(shù)，比如 HTTP 請(qǐng)求及其要取的網(wǎng)頁(yè)名；訪問(wèn)日志則是在應(yīng)用層命令日志的基礎(chǔ)之上記錄下用戶對(duì)網(wǎng)絡(luò)資源的訪問(wèn)，它和應(yīng)用層日 12 志命令的區(qū)別是：應(yīng)用層日志命令可以記錄下大量的數(shù)據(jù)，有些用戶可能不需要，如協(xié)商通信參數(shù)過(guò)程等。例如針對(duì) FTP 協(xié)議，日志會(huì)話只記錄下讀、寫(xiě)文件的動(dòng)作；日志命令則是在訪問(wèn)日志的基礎(chǔ)之上，記錄如用戶發(fā)送的郵件，用戶取下的網(wǎng)頁(yè)等。支持日志的自動(dòng)導(dǎo)出與自動(dòng)分析。支持防火墻配置文件的導(dǎo)入與導(dǎo)出（防火墻配置文件信息的備份與恢復(fù)）； ? 非協(xié)議支持：支持對(duì)非 IP 協(xié)議 IPX/NetBEUI 的傳輸與控制。 內(nèi)網(wǎng) VPN系統(tǒng) VPN作用 虛擬專(zhuān)用網(wǎng)是企業(yè)網(wǎng)在因特網(wǎng)等公共網(wǎng)絡(luò)上的延伸，通過(guò)一個(gè)私有的通道在公共網(wǎng)絡(luò)上創(chuàng)建一個(gè)安全的私有連接。虛擬專(zhuān)用網(wǎng)通過(guò)安全的數(shù)據(jù)通道將遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、公司業(yè)務(wù)伙伴等跟公司的企業(yè)網(wǎng)連接起來(lái)，構(gòu)成一個(gè)擴(kuò)展的公司企業(yè)網(wǎng)。在該網(wǎng)中的主機(jī)將不會(huì)覺(jué)察到公共網(wǎng)絡(luò)的存在，仿佛所有的主機(jī)都處于一個(gè)獨(dú)立的專(zhuān)有網(wǎng)絡(luò)之中。公共網(wǎng)絡(luò)仿佛是只由本網(wǎng)絡(luò)在獨(dú)占使用，而事實(shí)上并非如此，所以稱之虛擬專(zhuān)用。之所以采用虛擬專(zhuān)用網(wǎng)是因?yàn)?VPN有以下幾方面 優(yōu)點(diǎn)： ? 降低成本 ? 容易擴(kuò)展 ? 完全控制主動(dòng)權(quán) ? 全方位的安全保護(hù) ? 高的性價(jià)比 ? 使用和管理方便 ? 投資保護(hù) 虛擬專(zhuān)用網(wǎng) VPN 采用了一種稱之為隧道的技術(shù)。隧道技術(shù)的基本過(guò)程是在源內(nèi)部網(wǎng)與公用網(wǎng)