【正文】 臺防火墻上，用戶不會覺察到。圖表 2 防火墻雙機備份多層次分布式帶寬管理帶寬管理完全虛擬了網絡帶寬應用的實際環(huán)境，并實現(xiàn)多層次的分布式管理模式，避免了單層集中管理的缺點；而且，可以實現(xiàn)帶寬分層、帶寬分級、帶寬分配、帶寬優(yōu)化等管理，優(yōu)化網絡資源的應用，提高網絡資源應用效率。NGFW4000 能夠允許管理員定義任意兩個網絡對象之間通信時的最大帶寬，而且?guī)捒梢允欠謱拥?，例如部門帶寬下面有小組帶寬然后是個人帶寬等，可以防止帶寬被濫用，保證重要的通信的順暢。具體如下圖所示：21 / 66圖表 3 分布式管理支持多種身份認證支持多種身份認證支持，如 OTP 、RADIUS 、S/KEY 、SECUREID 、TACACS/TACACS+、口令方式、數(shù)字證書（CA ） ，更好更廣泛的實現(xiàn)了用戶鑒別和訪問控制。更強的防御功能在內核上實現(xiàn)對病毒防護，內容過濾（如 HTTP 、FTP 等 ）和入侵檢測（IDS ）功能，其中的入侵檢測功能，防火墻 4000 不但有內置的 IDS 功能，還可以和 IDS 實現(xiàn)聯(lián)動。這不但提高了安全性，而且保證了性能。深層日志及靈活、強大審計分析功能提供豐富的日志信息，用戶可根據(jù)特定的需要進行日志選項（不做日志、日志會話（即傳統(tǒng)的日志） 、日志命令） 。獨創(chuàng)的網絡實時監(jiān)測信息，可詳細審計命令級操作，便于入侵行為的分析和追蹤。大大提高防火墻的審計分析的有效性。一個安全防護體系中的審計系統(tǒng)的作用是記錄安全系統(tǒng)發(fā)生的事件、狀態(tài)的改變歷史、通過該節(jié)點的符合安全策略的訪問和不符合安全策略的企圖，使管理員可以隨時審核系統(tǒng)的安全效果、追蹤危險事件、調整安全策略。進行信息審計的前提是必須有足夠的多的日志信息。NGFW4000 提供了非常強大的日志功能，用戶可以根據(jù)需要對不同的通訊會話記錄不同的日志。NGFW4000 的審計日志包括如下兩個部分：日志會話、日志命令。日志會話也就是傳統(tǒng)的防火墻日志，負責記錄通訊時間、源地址、目的地址、源端口、目的端口、字節(jié)數(shù)、是否允許通過。日志會話信息用來進行流量分析已經足夠，但是用來進行安全性分析還遠遠不夠；應用層日志命令在日志會話的基礎之上記錄下各個應用層命令及其參數(shù)，比如 HTTP 請求及其要取的網頁名；訪問日志則是在應用層命令日志的基礎之上記錄下用戶對網絡資源的訪問，它和應用層日志命令的區(qū)別是：應用層日志命令可以記錄下大量的數(shù)據(jù)，有些用戶可能不需要，如協(xié)商通信參數(shù)過程等。例如針對 FTP 協(xié)議，日志會話只記錄下讀、寫文件的動作；日志命令則是在訪問日志的基礎之上，記錄如用戶發(fā)送的郵件，用戶取下的網頁等。天融信新一代防火墻產品可以根據(jù)用戶的不同需要對不同的訪問策略做不同的日志，例如有一條訪問策略允許外界用戶取FTP 服務器上的文件，如果做命令日志，用戶就可以知道到底是哪些文件被取走了。4 .14 管理安全、方便靈活防火墻 4000 經過簡單的配置即可接入網絡進行通信和訪問控制，GUI 管理界面提供了清晰的管理結構，每一個管理結構元素包含了豐富的控制元和控制模型。對所有管理加密（支持 SSL 和 SSH ） ，并進行嚴格的審計，實現(xiàn)了真正的安全遠程管理。同時，可以支持 SNMP 與當前通用的網絡管理平臺兼容，如 HP Openview 等，方便管理和維護。優(yōu)秀的性價比強大完善的功能、優(yōu)秀的性能、高的穩(wěn)定性和可靠性，及方便擴展 VPN 、IDS 、認證、計費、審計等安全服務，體現(xiàn)了優(yōu)秀的性價比，可有效地保護客戶投資。獨立的防火區(qū)域NGFW4000 防火墻的每個物理接口對應一個獨立的防火區(qū)域，每個區(qū)域的安全策略只對該區(qū)域有效。每個區(qū)域可以單獨設置自己的默認安全策略，所有對該區(qū)域的訪問都將匹配與該區(qū)域對應的安全策略。也可以設定是否允許從該區(qū)域 PING 、TELNET 防火墻。面向資源的管理機制NGFW4000 中采用面向各種對象的不同組成資源的管理機制。對象是由許多種資源組成的實體，規(guī)則建立在這種實體的基礎上。資源的概念比對象控制更加細化，簡化了用戶規(guī)則，使規(guī)則更為直觀；同時，提高了配置管理員的效率，提高了配置的靈活性。NGFW4000 提供了很多種資源，如，網絡節(jié)點、子網、第三方用戶、用戶數(shù)據(jù)庫、防火區(qū)域、端口協(xié)議、文件資源、VLAN 、特殊端口。支持透明接入NGFW4000 支持透明接入。將 NGFW4000 配置為透明工作模式，無需更改用戶網絡的拓撲結構就能接入用戶網絡中，用戶網絡中的主機也無需更改任何網絡配置就能通過防火墻進行訪問（當然是要在防火墻規(guī)則允許的情況下） 。透明接入極大的方便了防火墻的接入，同時并不降低網絡的安全性。NGFW4000 還能工作在透明和路由的混合模式下，更能適應各種不同網絡環(huán)境的接入。多級過濾的立體訪問控制為保證系統(tǒng)的安全性和提高防護能力，增強控制的靈活性，NGFW4000 采用了多級過濾措施：以基于 OS 內核的會話檢測技術為核心，在 IP 層提供基于狀態(tài)檢測的分組過濾，可以根據(jù)網絡地址、網絡協(xié)議以及 TCP 、UDP 端口進行過濾；在應用層通過重寫通訊會話的部分或者全部提供對高層應用協(xié)議命令、訪問路徑、內容、訪問的文件資源的過濾；同時還直接支持第三方認證服務器提供用戶級的鑒別和過濾控制。NGFW4000 的多級過濾形成了立體的全面的訪問控制機制。強大的地址轉換能力NGFW4000 擁有強大的地址轉換能力。NGFW4000 同時支持正向、反向地址轉換，能為用戶提供完整的地址轉換解決方案。正向地址轉換用于使用保留 IP 地址的內部網用戶通過防火墻訪問公眾網23 / 66中的地址時對源地址進行轉換。NGFW4000 支持依據(jù)源或目的地址指定轉換地址的靜態(tài) NAT 方式和從地址緩沖池中隨機選取轉換地址的動態(tài) NAT 方式，兩種方式總共可以有多達 32 個的不同轉換地址，可以滿足絕大多數(shù)網絡環(huán)境的需求。對公眾網來說，訪問全部是來自于防火墻轉換后的地址，并不認為是來自內部網的某個地址，能夠有效的隱藏內部網絡的拓撲結構等信息。同時內部網用戶共享使用這些轉換地址，自身使用保留 IP 地址就可以正常訪問公眾網，有效的解決了全局 IP 地址不足的問題。內部網用戶對公眾網提供訪問服務（如 Web 、FTP 服務等）的服務器如果是保留 IP 地址，或者想隱藏服務器的真實 IP 地址，都可以使用NGFW4000 的反向地址轉換來對目的地址進行轉換。公眾網訪問防火墻的反向轉換地址，由內部網使用保留 IP 地址的服務器提供服務，同樣既可以解決全局 IP 地址不足的問題，又能有效的隱藏內部服務器信息，對服務器進行保護。NGFW4000 提供端口映射和 IP 映射兩種反向地址轉換方式，端口映射安全性更高、更節(jié)省全局 IP 地址，IP 映射則更為靈活方便。透明應用代理NGFW4000 提供對常用高層應用服務（HTTP 、FTP 、SMTP 、POP3 、NNTP ）的透明代理。用戶不需要在自己的主機上作任何的有關代理服務器的設置，只需管理員在防火墻上配置相關的規(guī)則，用戶通過防火墻進行的上述應用訪問就會由防火墻進行代理，這些配置對用戶來說完全是透明的，極大的方便了用戶使用代理。同時 NGFW4000 還對上述服務做了更詳細控制，如HTTP 對命令（GET 、POST 、HEAD 、DELETE 、OPTION 、PUT 、TRACE 等）和 URL 以及腳本類型進行過濾， FTP 對命令（GET 、PUT ）及訪問路徑進行控制，SMTP 、POP3 對收發(fā)信人進行控制，NNTP 對命令（POST 、GROUP ）以及新聞組進行控制，這使得用戶使用代理訪問 Inter 更為安全。 內嵌 VPN 功能支持NGFW4000 內建了 VPN 的主要功能。用戶啟用 NGFW4000 的 VPN 功能，就能夠與 VPN 體系中的其它網關 VPN 、Windows 客戶端、當然也包括另外的啟用了 VPN 功能的 NGFW4000 互通，建立加密隧道進行加密通信，形成虛擬專用網在異地局域網間通過互聯(lián)網提供安全可靠的網絡使用環(huán)境。在功能上就相當于一臺 VPN 的網關 VPN 與一臺 NGFW4000 兩臺設備組合起來，在硬件上僅為一臺設備，而且由于是內建的功能支持，功能間的結合更加平滑易用。安全服務器網絡（SSN ）保護NGFW4000 采用多穴主機體系，可以定義某個接口連接的網絡為安全服務器網絡（SSN——Security Server Network ） ，將提供信息訪問服務的服務器安裝于該網絡區(qū)域內，與內、外網絡從物理上隔離開來，并提供專門的安全保護。NGFW4000 提出的 SSN 概念有別于傳統(tǒng)的所謂 DMZ 停火區(qū)模式，它是一種更為積極的安全防護理念：一般情況下，SSN 主機不允許主動向內、外網發(fā)起連接請求，只允許向內、外網回應其請求數(shù)據(jù)包；外網用戶也只能訪問SSN 上的主機，不能訪問內部網主機。即 SSN 與外部網之間受防火墻保護，同時 SSN 與內部網之間也受防火墻保護，即使 SSN 受破壞，內部網絡仍處于防火墻保護之下。同時 NGFW4000 提供的 SSN 保護功能針對用戶最常提供的 Web 訪問服務進行專門保護，能定時檢查 SSN 區(qū) Web 服務器，進行校驗，一旦發(fā)現(xiàn)服務器被入侵修改，能夠根據(jù)備份的信息及時恢復服務器內容，將服務器被入侵修改造成的影響減至最小。支持 SSL 、 SSH 安全管理為了便于管理員的管理，NGFW4000 除了支持本地管理以外，還提供遠程登陸管理和基于 Web 方式的管理。為了保證遠程管理的安全性，NGFW4000 不論是對管理員還是管理過程都采取了一系列安全措施：對遠程管理員提供了基于 OTP 機制的管理員認證、管理員主機限定和同時只能有一個管理員登陸的限制。為了防止遠程管理過程被監(jiān)聽和修改，還支持基于 SSH 的遠程登陸管理和基于 SSL 的 Web 方式管理，將管理主機和防火墻之間的通訊進行加密以保證安全。支持 SNMP （簡單網絡管理協(xié)議）目前在計算機網絡中應用最為廣泛的網絡管理標準是 SNMP （簡單網絡管理協(xié)議） 。防火墻作為一種網絡安全訪問控制的基礎網絡設備，為它提供一種標準的網絡管理方式是有必要的，NGFW4000 就提供了對這個標準協(xié)議的支持。為了更好地支持網絡集中管理，NGFW4000 提供了對 SNMP 的 v1 、v2 、v2c 、v3 等不同版本的支持，并與當前通用的網絡管理平臺兼容，如 HP Openview 、 Cisco works 等，可以通過這些管理平臺對防火墻的運行狀況進行監(jiān)控，并接收通過 SNMP TRAP 發(fā)送的報警信息，幫助網絡管理員找出并糾正 TCP/IP 互聯(lián)網中的故障。為了避免由于 SNMP 本身的安全性上的缺陷而導致防火墻本身的安全性受到威脅，系統(tǒng)僅允許網管系統(tǒng)查詢信息，而不允許改變防火墻的配置。 簡單方便的配置備份與恢復NGFW4000 提供簡單方便的配置文件管理，管理員可通過 Web 界面進行配置文件的備份、下載、刪除、恢復和上載。用戶可以隨時手工備份防火墻的配置文件，可以將備份結果下載到本地管理主機中保存，也可以將備份上載回防火墻進行恢復還原。 用戶定制特殊功能支持NGFW4000 使用模塊化設計，用戶可以根據(jù)需要，通過網絡下載相應的模塊，通過升級程序增加新的功能。還可依據(jù)用戶的特定安全需求定制特殊功能。支持動態(tài) IP 地址NGFW4000 支持運行 DHCP 、BOOTP 等協(xié)議的動態(tài)主機，讓用戶在管理方便的同時不損失安全性。對于使用 DHCP 服務器來動態(tài)分配 IP 地址的網絡環(huán)境，很難使用 IP 地址來進行訪問控制，因為網絡中的主機沒有固定的靜態(tài) IP 地址，此時的解決方式有兩種：一種是讓防火墻自己來充當 DHCP 服務器進行 IP 地址的分配，此時防火墻自身可以知道主機的動態(tài) IP 地址，從而進行訪問控制，但是在這種方式下，防火墻內部必須開啟 DHCP 服務，這不僅會增加防火墻的額外負荷，更為嚴重的是防火墻自身啟動過多的服務會影響自身的安全性。另一種方式是防火墻自身不充當 DHCP 服務器，而是在客戶端主機上安裝一個開機自動運行的小軟件，每次在主機開機后，自動將主機獲取的動態(tài) IP 地25 / 66址傳遞給防火墻，這樣就可以對指定的主機進行訪問控制了。天融信新一代防火墻產品使用的就是后一種方式來解決對 DHCP 環(huán)境的支持的。源、目地址路由功能天融信新一代防火墻產品采用一種特殊的路由技術，一般的路由技術只根據(jù)目標地址來做出路由選擇，而網絡衛(wèi)士防火墻 4000 則根據(jù)通訊的源地址和目標地址來做出路由選擇。這種源目地址路由技術可以很好的適應有多個網絡出口的環(huán)境。比如對于某些教育系統(tǒng)的網絡可能同時有兩條互聯(lián)網出口，一條是通過教育網的線路連接到 Inter ，另外一條就是申請電信的線路直接連接到互聯(lián)網如圖所示。對于這種環(huán)境為了更好的利用帶寬，讓網絡中的部分終端走教育網的出口，另外一部分終端走電信線路，這樣可以很好的利用現(xiàn)有的帶寬資源，不會造成帶寬的浪費，但是在這種網絡環(huán)境下，如果防火墻不支持源目的地址路由技術就很難實現(xiàn)，因為到互聯(lián)網的目標地址都是一樣的，只是來源不一樣。 防火墻部署 采用 NG FW4000 防火墻, 支持 IP 分組管理功能，能夠防御源路由攻擊、IP 碎片包攻擊、DNS/RIP/ICMP 攻擊、SYN 等多種攻擊：防火墻系統(tǒng)可以檢測到對網絡或內部主機的多種拒絕服務攻擊，提供透明代理功能：防火墻提供應用級代理，對常用高層應用（HTTP、FTP、SMTP、POPNNTP）提供詳