【正文】 化了算法，使最大并發(fā)連接數(shù)可以達(dá)到250,000個(gè)以上，而一般的防火墻的最大并發(fā)連接只能達(dá)到幾萬個(gè)左右。. 強(qiáng)大的狀態(tài)檢測(cè)功能方御防火墻可以根據(jù)數(shù)據(jù)包的地址、協(xié)議和端口進(jìn)行訪問控制，同時(shí)還對(duì)任何網(wǎng)絡(luò)連接和會(huì)話的當(dāng)前狀態(tài)進(jìn)行分析和監(jiān)控。傳統(tǒng)的防火墻的包過濾只是與規(guī)則表進(jìn)行匹配，而方御防火墻對(duì)每個(gè)連接，作為一個(gè)數(shù)據(jù)流，通過規(guī)則表與連接表共同配合，在繼承了傳統(tǒng)包過濾系統(tǒng)對(duì)應(yīng)用透明的特性外，還大大的提高了系統(tǒng)的性能和安全性。其他的防火墻大多采用傳統(tǒng)的規(guī)則表的匹配方法，隨著安全規(guī)則的增加，勢(shì)必會(huì)使防火墻的性能大幅度的減少，造成網(wǎng)絡(luò)擁塞。狀態(tài)檢測(cè)的具體過程如下：. 防火墻的其它功能. 雙向NAT方御防火墻支持在內(nèi)部網(wǎng)和DMZ區(qū)使用保留的IP地址，通過動(dòng)態(tài)的地址轉(zhuǎn)換功能實(shí)現(xiàn)對(duì)外部網(wǎng)的訪問。方御防火墻以兩種方式支持NAT：√ 源地址轉(zhuǎn)換(正向NAT)，即內(nèi)部地址向外訪問時(shí)，發(fā)起訪問的內(nèi)部IP地址轉(zhuǎn)換為指定的IP地址（可含端口號(hào)或者端口范圍），這可以使內(nèi)部使用保留IP地址的主機(jī)訪問外部網(wǎng)絡(luò)，即內(nèi)部的多個(gè)機(jī)器可以通過一個(gè)外部有效地址訪問外部網(wǎng)絡(luò)。例如，并且可以限定其端口范圍為80~82?！?目的地址轉(zhuǎn)換（反向NAT），即外部地址向內(nèi)訪問時(shí)，被訪問的IP地址（可含端口號(hào)或者端口范圍）被轉(zhuǎn)換為指定的內(nèi)部IP地址（可含端口號(hào)或者端口范圍），可以支持針對(duì)外部地址服務(wù)端口到內(nèi)部地址的一對(duì)一映射，內(nèi)部的多臺(tái)機(jī)器的服務(wù)端口可以分別映射到外部地址的若干個(gè)端口，通過這些端口對(duì)外部提供服務(wù)。例如。，，這樣就突破了以往防火墻做反向NAT時(shí)都必須和服務(wù)端口綁定的限制（::80），當(dāng)然，如果用戶需要，也可以和以往的防火墻一樣，做端口綁定。. 帶寬管理和流量統(tǒng)計(jì)方御防火墻系統(tǒng)使用流量統(tǒng)計(jì)與控制策略，可方便地根據(jù)網(wǎng)段和主機(jī)等對(duì)流量進(jìn)行統(tǒng)計(jì)與控制管理，以防止線路資源的非許可消耗，有效地管理帶寬資源，從而使網(wǎng)絡(luò)得到有效利用。方御通過設(shè)置每小時(shí)允許通過的網(wǎng)絡(luò)流量和最大突發(fā)流量來實(shí)現(xiàn)帶寬管理和流量統(tǒng)計(jì)的功能。. 代理服務(wù)器功能對(duì)于瀏覽器用戶來說，方御是一個(gè)高性能的代理緩存服務(wù)器，方御支持FTP、HTTP協(xié)議。和一般的代理緩存軟件不同，方御用一個(gè)單獨(dú)的、非模塊化的、I/O驅(qū)動(dòng)的進(jìn)程來處理所有的客戶端請(qǐng)求。方御將數(shù)據(jù)元緩存在內(nèi)存中，同時(shí)也緩存DNS查詢的結(jié)果，除此之外，它還支持非模塊化的DNS查詢，對(duì)失敗的請(qǐng)求進(jìn)行消極緩存。方御支持SSL，支持訪問控制。由于使用了ICP（輕量Internet緩存協(xié)議），方御能夠?qū)崿F(xiàn)層疊的代理陣列，從而最大限度地節(jié)約帶寬。用戶可以在客戶管理中，通過設(shè)置客戶權(quán)限，為用戶提供代理服務(wù)模式，在訪問規(guī)則中設(shè)置“禁止用戶訪問的站點(diǎn)”和“僅允許訪問的站點(diǎn)”，同時(shí)還可以建立URL級(jí)的訪問限制，通過建立禁止用戶訪問的URL列表，方御防火墻可以對(duì)該列表進(jìn)行匹配，禁止對(duì)列表中的URL的訪問。違反限制規(guī)則的訪問企圖將被記錄到系統(tǒng)日志中。方御防火墻提供的URL級(jí)的屏蔽功能，可以使管理員屏蔽某些URL，如色情、反動(dòng)的主頁等。另外通過對(duì)內(nèi)部網(wǎng)的WWW服務(wù)器的某些URL屏蔽，可以消除服務(wù)器本身的安全漏洞，從而對(duì)WWW服務(wù)器進(jìn)行保護(hù)。. IP地址和MAC地址綁定計(jì)算機(jī)中每一塊網(wǎng)卡都具有一個(gè)唯一的硬件物理地址標(biāo)識(shí)號(hào)碼，即網(wǎng)卡的MAC地址，MAC地址與網(wǎng)卡一一對(duì)應(yīng)。為解決IP地址欺騙和盜用的問題，系統(tǒng)提供了IP地址和MAC地址（網(wǎng)卡）一一綁定的功能，主要用于綁定一些重要的管理員IP地址和特權(quán)IP地址。IP地址和MAC地址綁定后，即使某個(gè)用戶盜用了此網(wǎng)卡的IP地址，在通過防火墻時(shí)也會(huì)因網(wǎng)卡的MAC地址不匹配而拒絕通過。. 雙機(jī)熱備方御在橋模式下能夠在網(wǎng)絡(luò)中智能的尋找其對(duì)等的備份機(jī)，并且使備份機(jī)自動(dòng)進(jìn)入等待狀態(tài)，而一旦備份機(jī)發(fā)現(xiàn)主工作機(jī)失效，可及時(shí)的啟動(dòng)，防止網(wǎng)絡(luò)中斷事故的發(fā)生。在路由模式下，方御提供手工設(shè)置雙機(jī)熱備功能。目前，可以支持兩臺(tái)方御在網(wǎng)絡(luò)上進(jìn)行主從備份，或者互為備份。. 復(fù)雜別名機(jī)制復(fù)雜別名機(jī)制是方御防火墻的一類方便實(shí)用，也很重要的功能，方御防火墻使用端口別名和子網(wǎng)別名來代替相關(guān)的端口號(hào)和子網(wǎng)地址，幫助用戶管理多個(gè)網(wǎng)段和多個(gè)端口的地址。用戶可以在混合模式里用一個(gè)別名來管理一組離散的網(wǎng)段地址，或者是離散的端口值。在大部分的其他功能模塊里都要使用這些別名來進(jìn)行配置。. 授權(quán)等級(jí)遵循國家有關(guān)安全標(biāo)準(zhǔn)規(guī)定，方御作了四級(jí)授權(quán)：實(shí)施域管理權(quán)、策略管理權(quán)、審計(jì)管理權(quán)、日志查看權(quán)。實(shí)施域管理權(quán)包括：向?qū)嵤┯蛑性鰟h管理員帳號(hào)，增刪防火墻設(shè)備，設(shè)置雙機(jī)熱備，切換防火墻橋/路由模式，為管理員授策略管理權(quán)和審計(jì)管理權(quán)；策略管理權(quán)包括：配置防火墻各個(gè)模塊的策略，如包過濾策略，入侵檢測(cè)策略，NAT策略，流量控制策略，用戶認(rèn)證管理、Proxy策略等等；審計(jì)管理權(quán)包括：設(shè)置日志滿時(shí)系統(tǒng)的策略，為管理員授日志查看權(quán)，清空日志等；日志查看權(quán)包括：查詢?nèi)罩?，生成統(tǒng)計(jì)報(bào)表等。擁有實(shí)施域管理權(quán)的僅有Admin帳號(hào)；且Admin也僅有實(shí)施域管理權(quán)，而沒有策略管理權(quán)及審計(jì)管理權(quán)。其他管理員（指除了Admin以外的管理員）的策略管理權(quán)和審計(jì)管理權(quán)由Admin授予，日志查看權(quán)由擁有審計(jì)管理權(quán)的管理員授予。. 可定制的防火墻模板方御防火墻的預(yù)置模板功能是將針對(duì)典型應(yīng)用的幾條防火墻規(guī)則整合成為模板，利用填空方式配置，簡(jiǎn)化了用戶的配置工作。. 強(qiáng)大的審計(jì)功能方御防火墻提供了大量的審計(jì)內(nèi)容和對(duì)審計(jì)內(nèi)容的查詢功能，由于日志可能對(duì)一般用戶比較難以理解，而我們將日志記錄分成了若干部分，而且就每一個(gè)部分都是可以進(jìn)行查詢和管理的，這樣一來就可以是用戶對(duì)防火墻的情況有一個(gè)非常透徹的了解。方御防火墻中審計(jì)功能有著非常完善的權(quán)限管理，有專門的審計(jì)員來對(duì)審計(jì)內(nèi)容進(jìn)行管理，在審計(jì)中又分成了若干級(jí)別的權(quán)限。這樣可以方便管理員管理審計(jì)內(nèi)容。. 基于PKI的高級(jí)授權(quán)認(rèn)證PKI是一種新的安全技術(shù)，它由公開密鑰密碼技術(shù)、數(shù)字證書、證書發(fā)放機(jī)構(gòu)（CA）和關(guān)于公開密鑰的安全策略等基本成分共同組成的。PKI是利用公鑰技術(shù)實(shí)現(xiàn)電子商務(wù)安全的一種體系，是一種基礎(chǔ)設(shè)施，網(wǎng)絡(luò)通訊、網(wǎng)上交易是利用它來保證安全的。從某種意義上講，PKI包含了安全認(rèn)證系統(tǒng)，即安全認(rèn)證系統(tǒng)CA/RA系統(tǒng)是PKI不可缺的組成部分。方御防火墻的授權(quán)認(rèn)證是基于PKI基礎(chǔ)之上，因此完全性極高。. 集中管理根據(jù)美國財(cái)經(jīng)雜志統(tǒng)計(jì)資料表明，30%的入侵發(fā)生在有防火墻的情況下，這些入侵的主要原因并非是防火墻無用，而是由于一般的防火墻的管理及配置相當(dāng)復(fù)雜，要想成功的維護(hù)防火墻，要求防火墻管理員對(duì)網(wǎng)絡(luò)安全攻擊的手段及其與系統(tǒng)配置的關(guān)系有相當(dāng)深刻的了解，而且防火墻的安全策略無法進(jìn)行集中管理，這些都造成了網(wǎng)絡(luò)安全的失敗。而方御防火墻采用基于Windows GUI的用戶界面進(jìn)行遠(yuǎn)程集中式管理，配置管理界面直觀，易于操作?？梢酝ㄟ^一個(gè)控制機(jī)對(duì)多臺(tái)方御進(jìn)行集中式的管理。. 實(shí)時(shí)控制和日志轉(zhuǎn)存管理員可以通過控制界面對(duì)防火墻進(jìn)行實(shí)時(shí)的控制和調(diào)整，可以修改其策略和工作方式。管理員可以將日志保存起來，供以后分析使用，由于方御防火墻每天都會(huì)記錄大量的日志信息，而且一些日志記錄是非常有用的信息，因此方御的日志監(jiān)視系統(tǒng)會(huì)將服務(wù)器上面的日志下載到管理員的機(jī)器上面，管理員可以對(duì)它進(jìn)行編輯和保存。. 路由選擇協(xié)議控制 橋接模式下，防火墻內(nèi)部口的三層交換機(jī)和外部路由器進(jìn)行路由信息交換，交換機(jī)和路由器之間運(yùn)行了RIP，EIGRP，IGRP，OSPF等IGP路由協(xié)議，防火墻必須識(shí)別這些協(xié)議，讓它們通過防火墻，否則，內(nèi)部網(wǎng)絡(luò)數(shù)據(jù)將無法路由。這些協(xié)議的特點(diǎn)是目的地址為多播地址，對(duì)此防火墻需要識(shí)別并正確處理，在橋模式下能夠靈活地控制這些包通過或不通過。. 支持SNMP管理方御網(wǎng)絡(luò)安全產(chǎn)品提供對(duì)簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議(SNMP)的支持，支持VV2等不同版本，可與當(dāng)前主流的網(wǎng)絡(luò)管理平臺(tái)如HP Openview、CA Unicenter、Cisco Works2000等聯(lián)用，通過專業(yè)網(wǎng)管軟件兼控方御產(chǎn)品運(yùn)行狀況。此外通過SNMP管理，方御防火墻還可以對(duì)攻擊事件進(jìn)行收集，轉(zhuǎn)發(fā)給SNMP服務(wù)器，用戶可以通過對(duì)SNMP的管理，發(fā)現(xiàn)產(chǎn)品問題。. 隨著語音/影像數(shù)據(jù)的流行。，而這種端口的變化通常是靠分析數(shù)據(jù)流的內(nèi)容得到的，方御防火墻采用特殊技術(shù)對(duì)實(shí)際數(shù)據(jù)流情況作出判斷，以判別數(shù)據(jù)的合法性。. 入侵檢測(cè)系統(tǒng). 反端口掃描一般黑客如果要對(duì)一個(gè)網(wǎng)站發(fā)動(dòng)攻擊，首先都要掃描目標(biāo)服務(wù)器的端口，確定服務(wù)器上開啟的服務(wù)，然后選擇相應(yīng)的入侵方式。 方御入侵檢測(cè)系統(tǒng)能夠在黑客掃描網(wǎng)站的時(shí)候就能檢測(cè)到并報(bào)警，這樣在就能提前將黑客拒之于門外。方御入侵檢測(cè)系統(tǒng)在檢測(cè)到有黑客掃描服務(wù)器端口的時(shí)候會(huì)立即在攻擊者的視野中消失，從而使黑客無法進(jìn)行后面的攻擊。方御入侵檢測(cè)系統(tǒng)根據(jù)配置文件監(jiān)控任何和TCP，UDP端口的連接。 可以對(duì)全部端口同時(shí)進(jìn)行監(jiān)控，同時(shí)也可以忽略指定的端口。這樣就能滿足不同的需求方式。. 可以防范1500余種攻擊方式檢測(cè)多種DoS攻擊DoS(拒絕服務(wù)攻擊) 包括很多不同的方式。在這些方式中，三種最流行的方式為使服務(wù)失效、獨(dú)占或盜用資源以及刪除數(shù)據(jù)。最常見的就是服務(wù)失效方式，通過DoS攻擊可以使一個(gè)服務(wù)器停止服務(wù)，從而造成巨大的損失。方御入侵檢測(cè)系統(tǒng)能夠檢測(cè)包括IGMP攻擊，TearDrop， LAND， WinNuke等多種DoS攻擊。從而使被托管的服務(wù)器處于安全的保護(hù)之中。和其它一樣， 方御入侵檢測(cè)系統(tǒng)一旦發(fā)現(xiàn)有DoS攻擊，立即在線報(bào)警，記錄日志。檢測(cè)多種DDoS攻擊Yahoo、CNN等著名網(wǎng)站被黑客攻擊使得防黑客成了大家關(guān)注的熱點(diǎn)。DDoS(分布式拒絕服務(wù))是本次攻擊的主要手段。DDoS 攻擊的原理是入侵者控制了一些節(jié)點(diǎn)，將它們?cè)O(shè)計(jì)成控制點(diǎn)，這些控制點(diǎn)控制了Internet大量的主機(jī)，將它們?cè)O(shè)計(jì)成攻擊點(diǎn)，攻擊點(diǎn)中裝載了攻擊程序，正是由這些攻擊點(diǎn)計(jì)算機(jī)對(duì)攻擊目標(biāo)發(fā)動(dòng)的攻擊。這種結(jié)構(gòu)使入侵者遠(yuǎn)離攻擊的目標(biāo)，隱藏了入侵者的具體位置。方御入侵檢測(cè)系統(tǒng)能夠檢測(cè)包括TFN，Trin00，shaft synflood等多種DDoS工具的攻擊。而這些攻擊都是進(jìn)行DDoS攻擊的主要工具。檢測(cè)保護(hù)子網(wǎng)中是否存在后門和木馬程序 后門和木馬程序如果存在于網(wǎng)絡(luò)中，會(huì)造成嚴(yán)重的后果，有些后門程序?qū)е鹿芾韱T的密碼被盜取，因此檢測(cè)保護(hù)子網(wǎng)中是否存在后門和木馬程序成為入侵檢測(cè)的一個(gè)重要的組成部分。方御入侵檢測(cè)系統(tǒng)能夠檢測(cè)網(wǎng)絡(luò)中是否存在流行的BO，BO2000，NetSphere， DeepThroat，WinCrash，BackConstruction等多種后門或木馬程序。檢測(cè)多種針對(duì)Finger服務(wù)的攻擊Finger服務(wù)于查詢用戶的信息，包括網(wǎng)上成員的真實(shí)姓名、用戶名、最近的登錄時(shí)間、地點(diǎn)等，也可以用來顯示當(dāng)前登錄在機(jī)器上的所有用戶名，這對(duì)于入侵者來說是無價(jià)之寶，因?yàn)樗芨嬖V他在本機(jī)上的有效的登錄名。 方御入侵檢測(cè)系統(tǒng)能夠檢測(cè)針對(duì)Finger服務(wù)攻擊的如Finger Bomb，F(xiàn)inger search，F(xiàn)INGERProbeNull等掃描和攻擊。檢測(cè)多種針對(duì)FTP服務(wù)的攻擊方御入侵檢測(cè)系統(tǒng)能夠檢測(cè)針對(duì)不同F(xiàn)TP server，包括AIX FTPD，WuFTP，ProFTPD，ServU FTPD，NCFTPD，MsFTPD發(fā)起的FTPsiteexec， FTPuserroot，Buffer Overflow等多種嘗試和攻擊行為。檢測(cè)基于NetBIOS的攻擊方御入侵檢測(cè)系統(tǒng)能夠?qū)贜etBIOS的如NETBIOSSMBIPC$access，NETBIOSSMBADMIN$access，NETBIOSSNMPNTUserList等多種嘗試和攻擊行為進(jìn)行檢測(cè)。檢測(cè)緩沖區(qū)溢出類型攻擊方御入侵檢測(cè)系統(tǒng)能夠?qū)VERFLOWx86solarisnlps，OVERFLOWx86windowsMailMax， OVERFLOWx86linuxntalkd，OVERFLOWDNSsparc等近百種堆棧溢出攻擊進(jìn)行檢測(cè)。檢測(cè)基于RPC的攻擊方御入侵檢測(cè)系統(tǒng)能夠?qū)赗PC的如portmaprequestamountd， portmaprequestbootparam， RPC Info Query， portmaprequestypserv， RPC ttdbserv Solaris Overflow等多種嘗試和攻擊行為進(jìn)行檢測(cè)。檢測(cè)基于SMTP的攻擊 方御入侵檢測(cè)系統(tǒng)能夠?qū)︶槍?duì)多種SMTP server，包括Sendmail，Exchange Server，Qmail等所發(fā)起的SMTPexpnroot，SMTP Relaying Denied等試探和攻擊進(jìn)行檢測(cè)。檢測(cè)基于Telnet的攻擊方御入侵檢測(cè)系統(tǒng)能針對(duì)基于Telnet的包括Attempted SU from wrong group，set ld_preload，set ld_library_path， Login Incorrect等多種嘗試和攻擊。檢測(cè)網(wǎng)絡(luò)上傳輸?shù)牟《竞腿湎x方御入侵檢測(cè)系統(tǒng)能在計(jì)算機(jī)病毒和蠕蟲傳輸?shù)剿拗鳈C(jī)之前檢測(cè)出來，包括流行的Happy99，IloveU， PrettyPark等百種蠕蟲和病毒，防患于未然。檢測(cè)CGI攻擊方御入侵檢測(cè)系統(tǒng)能檢測(cè)出包括針對(duì)PHF，NPH， pfdisplay。cgi等已知上百種的有安全隱患的CGI進(jìn)行的探測(cè)和攻擊方式。檢測(cè)針對(duì)WEB Server的FrontPage擴(kuò)展進(jìn)行的攻擊檢測(cè)針對(duì)WEB Server的ColdFusion擴(kuò)展進(jìn)行的攻擊檢測(cè)針對(duì) MicroSoft IIS server進(jìn)行的攻擊方御入侵檢測(cè)系統(tǒng)能檢測(cè)View Source exploit， IISexecsrch， IISaspsrch等已知的漏洞和弱點(diǎn)的攻擊行為。檢測(cè)利用ICMP進(jìn)行的掃描和攻擊方御入侵檢測(cè)系統(tǒng)能對(duì)利用這種方式進(jìn)行的網(wǎng)絡(luò)拓?fù)涮綔y(cè)所產(chǎn)生的PINGICMP Destination Unreachable，PINGICMP Ti