【文章內容簡介】 和審計中的授權機制。這樣他們共同地負責起一個安全的管理平臺。多種工作模式方正方御防火墻可以工作在網橋路由兩種模式下，這樣可以方便用戶使用。使用在網橋模式時在IP層透明，使用路由模式時可以作為三個區(qū)之間的路由器，同時提供內網到外網、DMZ到外網的網絡地址轉換。防御DOS，DDOS攻擊普通的防火墻都是采用限制每一網絡地址單位時間內通過的SYN包數量來抵御DDOS攻擊，但是通常網絡攻擊者都會隨機的偽造網絡地址，因此這種方法防范的效果非常差，不能從根本上抵御DDOS攻擊。方正方御防火墻修改了TCP/IP堆棧的算法，使得新的syn連接包可以正常通過，避免了由于大量的攻擊SYN包造成網絡的阻塞。狀態(tài)檢測方正方御防火墻可以根據數據包的地址、協(xié)議和端口進行訪問控制，同時還對任何網絡連接和會話的當前狀態(tài)進行分析和監(jiān)控。傳統(tǒng)的防火墻的包過濾只是根據規(guī)則表進行匹配，而方正方御防火墻對每個連接，作為一個數據流，通過規(guī)則表與連接表共同配合來對網絡狀態(tài)進行控制。代理服務用戶可以設置代理服務器端口來啟動代理服務器功能，而且通過設置使用代理服務器用戶帳號密碼和訪問控制來維護安全性。代理服務的訪問控制非常的完善，可以對時間、協(xié)議、方法、地址、DNS域、目的端口和URL來進行控制。用戶完全可以通過設置一定的條件來符合自己的要求。雙向網絡地址轉換系統(tǒng)支持動態(tài)、靜態(tài)、雙向的NAT。當用戶需要從內部IP訪問Internet時，NAT系統(tǒng)會從IP池里取出一個合法的Internet IP，為該用戶建立映射。如果需要在Intranet提供讓外部訪問的服務（如WWW、FTP等），NAT系統(tǒng)可以為Intranet里的服務器建立靜態(tài)映射，外部用戶可以直接訪問該服務器。雙向網絡地址轉換為企業(yè)用戶連接到Internet提供了良好的網絡地址隱蔽，并且能減少IP占用，替用戶節(jié)省費用。提供DMZ區(qū)除了內部網絡界面和外部網絡界面，系統(tǒng)還可以再增加一個網絡界面，讓管理員靈活應用。如建立DMZ（軍事獨立區(qū)），在其中放置公共應用服務器。帶寬管理和流量統(tǒng)計方正方御防火墻系統(tǒng)使用流量統(tǒng)計與控制策略，可方便的根據網段和主機等對流量進行統(tǒng)計與控制管理。用戶可以通過設置源地址到目的地址單位在時間內允許通過的流量以及協(xié)議和端口來進行帶寬控制。日志審計審計功能是方正方御防火墻非常強大的一個部分，目前國內防火墻的審計功能都非常不完善，方正方御防火墻提供了大量的審計內容和對審計內容的查詢功能，由于日志可能對一般用戶比較難以理解，而我們將日志記錄分成了若干部分，而其中每一部分都可以進行查詢和管理，這樣用戶就能對防火墻的情況有一個非常透徹的了解。入侵檢測方正方御防火墻入侵檢測系統(tǒng)采用了可擴展的檢測庫方法，目前可以抵御1000多種攻擊方法，而且可以通過升級檢測庫的方法來不斷的抵御新的攻擊方法。用戶還可以自定義攻擊檢測庫來符合自己的要求。自動報警和防范系統(tǒng)方正方御防火墻一旦檢測到有黑客進行攻擊，會在第一時間內在控制機上進行報警，而且同時會自動封禁掉攻擊者的IP地址，這樣可以做到防火墻的防范完全自動化，而不象普通的防火墻那樣需要人工干預。基于PKI的授權認證方正方御防火墻的授權認證是基于PKI基礎之上，因此完全性極高。PKI是一種新的安全技術，它由公開密鑰密碼技術、數字證書、證書發(fā)放機構（CA）和關于公開密鑰的安全策略等基本成分共同組成的?？焖侔惭b配置方正方御防火墻的安裝和配置非常方便，管理員只要設定好網絡設備的IP地址，然后使用系統(tǒng)提供的一些典型配置模板，適當的修改一些規(guī)則來符合要求。除此以外還可以添加系統(tǒng)提供的一些子模板來實現(xiàn)一些特定的功能。圖形管理界面用戶可以通過圖形界面對防火墻進行配置和管理。而且也可以通過圖形界面來管理審計內容，而不象有些防火墻是通過命令行方式進行配置。完全中國化的設計方正方御防火墻是由方正數碼自行設計和制作的，充分考慮了中國國情，除了界面、幫助文檔、使用說明完全中文化外，還加入了一些小型模板用戶給管理員配置防火墻。集中管理方正方御防火墻采用基于Windows GUI的用戶界面進行遠程集中式管理，配置管理界面直觀，易于操作。可以通過一個控制機對多臺方正方御防火墻進行集中式的管理。. 方正方御防火墻功能說明. 多種工作模式方正方御防火墻可以工作在網橋和路由兩種模式下：A：網橋模式：3個端口構成一個以太網交換機，防火墻本身沒有IP地址，在IP層透明?？梢詫⑷我馊齻€物理網絡連接起來構成一個互通的物理網絡。當防火墻工作在交換模式時，內網、DMZ區(qū)和路由器的內部端口構成一個統(tǒng)一的交換式物理子網，內網和DMZ區(qū)還可以有自己的第二級路由器，這種模式不需要改變原有的網絡拓撲結構和各主機和設備的網絡設置。B： 路由模式：防火墻本身構成3個網絡間的路由器，3個界面分別具有不同的IP地址。三個網絡中的主機通過該路由進行通信。當防火墻工作在路由模式時，可以作為三個區(qū)之間的路由器，同時提供內網到外網、DMZ到外網的網絡地址轉換，也就是說，內網和DMZ都可以使用保留地址，內網用戶通過地址轉換訪問Internet，同時隔絕Internet對內網的訪問，DMZ區(qū)通過反向地址轉換對Internet提供服務。在沒有安裝方正方御防火墻的時候典型網絡結構圖如下:在安裝了方正方御防火墻的時候網絡結構圖如下:. 包過濾防火墻方正方御防火墻包過濾的功能是對指定IP包進行包過濾，并且按照設定策略對IP包進行統(tǒng)計和日志記錄，主要根據IP包的如下信息進行過濾：l 源IP地址l 目的IP地址l 協(xié)議類型（IP、ICMP、TCP、UDP）l 源TCP/UDP端口l 目的TCP/UDP端口l ICMP報文類型域和代碼域l 碎片包l 其它標志位，如SYN，ACK位. 高效的過濾有些防火墻在安裝上以后對WEB服務器的吞吐能力影響很大，造成性能的降低。由于方正方御防火墻采用了3I（Intelligent IP Identifying）技術，能夠實現(xiàn)快速匹配。因此方正方御防火墻不會對性能造成任何影響。方正方御防火墻優(yōu)化了算法，使最大并發(fā)連接數可以達到300,000個以上，而一般的防火墻的最大并發(fā)連接只可以達到幾萬個左右。. 碎片處理功能由于很多系統(tǒng)平臺，包括一些路由器對IP碎片的處理存在問題，容易產生欺騙和拒絕服務等攻擊，方正方御防火墻能夠識別出IP碎片并且進行控制，這樣一來通過禁止IP碎片通過方正方御防火墻，防止了這樣的問題的產生。. 防SYN Flood攻擊一些TCP/IP棧的實現(xiàn)只能等待從有限數量的計算機發(fā)來的ACK消息，因為他們只有有限的內存緩沖區(qū)用于創(chuàng)建連接，如果這一緩沖區(qū)充滿了虛假連接的初始信息，該服務器就會對接下來的連接停止響應，直到緩沖區(qū)里的連接企圖超時。典型的就是Syn Flood攻擊,通過大量的虛假的Syn包使服務器速度變慢，甚至是死機。一般的防火墻是通過限制每秒鐘通過的Syn包數量來組織Syn Flood攻擊，這種方法可以在一定意義上阻止Syn Flood攻擊，但是也有可能將正常的Syn包忽略掉，因此不是一種非常好的方法。1：沒有安裝方御防火墻2：安裝方御防火墻方正方御防火墻使用了兩種方式來反Syn Flood攻擊，一種方法就是通過設置單位時間內的SYN包數量來控制，另外一種方法修改了TCP/IP堆棧的算法，使得新Syn包始終可以獲得連接位。避免了由于大量的攻擊SYN包造成網絡的阻塞。. 強大的狀態(tài)檢測功能方正方御防火墻可以根據數據包的地址、協(xié)議和端口進行訪問控制，同時還對任何網絡連接和會話的當前狀態(tài)進行分析和監(jiān)控。傳統(tǒng)的防火墻的包過濾只是與規(guī)則表進行匹配，而方正方御防火墻對每個連接，作為一個數據流，通過規(guī)則表與連接表共同配合，在繼承了傳統(tǒng)包過濾系統(tǒng)對應用透明的特性外，還極大地提高了系統(tǒng)的性能和安全性。其他的防火墻大多采用傳統(tǒng)的規(guī)則表的匹配方法，隨著安全規(guī)則的增加，勢必會使防火墻的性能大幅度的減少，造成網絡擁塞。. IDS(入侵檢測系統(tǒng)). 反端口掃描一般黑客如果要對一個網站發(fā)動攻擊，首先都要掃描目標服務器的端口，確定服務器上開啟的服務，然后做出相應的入侵方式。 方正方御防火墻入侵檢測系統(tǒng)能夠在黑客掃描網站的時候就能檢測到并報警，這樣就能提前將黑客拒之于門外。方正方御防火墻入侵檢測系統(tǒng)在檢測到有黑客掃描服務器端口的時候會立即在攻擊者的視野中消失，從而使黑客無法進行后面的攻擊。方正方御防火墻入侵檢測系統(tǒng)根據配置文件監(jiān)控任何和TCP、UDP端口的連接。 可以對全部端口同時進行監(jiān)控，同時也可以忽略指定的端口。這樣就能滿足不同的需求方式。. 可以防范1000余種攻擊方式1. 檢測多種DoS攻擊2. 檢測多種DDoS攻擊3. 檢測保護子網中是否存在后門和木馬程序4. 檢測多種針對Finger服務的攻擊5. 檢測多種針對FTP服務的攻擊6. 檢測基于NetBIOS的攻擊7. 檢測緩沖區(qū)溢出類型攻擊8. 檢測基于RPC的攻擊9. 檢測基于SMTP的