【正文】 化了算法，使最大并發(fā)連接數(shù)可以達(dá)到250,000個以上，而一般的防火墻的最大并發(fā)連接只能達(dá)到幾萬個左右。. 強(qiáng)大的狀態(tài)檢測功能方御防火墻可以根據(jù)數(shù)據(jù)包的地址、協(xié)議和端口進(jìn)行訪問控制，同時還對任何網(wǎng)絡(luò)連接和會話的當(dāng)前狀態(tài)進(jìn)行分析和監(jiān)控。傳統(tǒng)的防火墻的包過濾只是與規(guī)則表進(jìn)行匹配，而方御防火墻對每個連接，作為一個數(shù)據(jù)流，通過規(guī)則表與連接表共同配合，在繼承了傳統(tǒng)包過濾系統(tǒng)對應(yīng)用透明的特性外，還大大的提高了系統(tǒng)的性能和安全性。其他的防火墻大多采用傳統(tǒng)的規(guī)則表的匹配方法，隨著安全規(guī)則的增加，勢必會使防火墻的性能大幅度的減少，造成網(wǎng)絡(luò)擁塞。狀態(tài)檢測的具體過程如下：. 防火墻的其它功能. 雙向NAT方御防火墻支持在內(nèi)部網(wǎng)和DMZ區(qū)使用保留的IP地址，通過動態(tài)的地址轉(zhuǎn)換功能實(shí)現(xiàn)對外部網(wǎng)的訪問。方御防火墻以兩種方式支持NAT：√ 源地址轉(zhuǎn)換(正向NAT)，即內(nèi)部地址向外訪問時，發(fā)起訪問的內(nèi)部IP地址轉(zhuǎn)換為指定的IP地址（可含端口號或者端口范圍），這可以使內(nèi)部使用保留IP地址的主機(jī)訪問外部網(wǎng)絡(luò)，即內(nèi)部的多個機(jī)器可以通過一個外部有效地址訪問外部網(wǎng)絡(luò)。例如，并且可以限定其端口范圍為80~82?！?目的地址轉(zhuǎn)換（反向NAT），即外部地址向內(nèi)訪問時，被訪問的IP地址（可含端口號或者端口范圍）被轉(zhuǎn)換為指定的內(nèi)部IP地址（可含端口號或者端口范圍），可以支持針對外部地址服務(wù)端口到內(nèi)部地址的一對一映射，內(nèi)部的多臺機(jī)器的服務(wù)端口可以分別映射到外部地址的若干個端口，通過這些端口對外部提供服務(wù)。例如。，，這樣就突破了以往防火墻做反向NAT時都必須和服務(wù)端口綁定的限制（::80），當(dāng)然，如果用戶需要，也可以和以往的防火墻一樣，做端口綁定。. 帶寬管理和流量統(tǒng)計方御防火墻系統(tǒng)使用流量統(tǒng)計與控制策略，可方便地根據(jù)網(wǎng)段和主機(jī)等對流量進(jìn)行統(tǒng)計與控制管理，以防止線路資源的非許可消耗，有效地管理帶寬資源，從而使網(wǎng)絡(luò)得到有效利用。方御通過設(shè)置每小時允許通過的網(wǎng)絡(luò)流量和最大突發(fā)流量來實(shí)現(xiàn)帶寬管理和流量統(tǒng)計的功能。. 代理服務(wù)器功能對于瀏覽器用戶來說，方御是一個高性能的代理緩存服務(wù)器，方御支持FTP、HTTP協(xié)議。和一般的代理緩存軟件不同，方御用一個單獨(dú)的、非模塊化的、I/O驅(qū)動的進(jìn)程來處理所有的客戶端請求。方御將數(shù)據(jù)元緩存在內(nèi)存中，同時也緩存DNS查詢的結(jié)果，除此之外，它還支持非模塊化的DNS查詢，對失敗的請求進(jìn)行消極緩存。方御支持SSL，支持訪問控制。由于使用了ICP（輕量Internet緩存協(xié)議），方御能夠?qū)崿F(xiàn)層疊的代理陣列，從而最大限度地節(jié)約帶寬。用戶可以在客戶管理中，通過設(shè)置客戶權(quán)限，為用戶提供代理服務(wù)模式，在訪問規(guī)則中設(shè)置“禁止用戶訪問的站點(diǎn)”和“僅允許訪問的站點(diǎn)”，同時還可以建立URL級的訪問限制，通過建立禁止用戶訪問的URL列表，方御防火墻可以對該列表進(jìn)行匹配，禁止對列表中的URL的訪問。違反限制規(guī)則的訪問企圖將被記錄到系統(tǒng)日志中。方御防火墻提供的URL級的屏蔽功能，可以使管理員屏蔽某些URL，如色情、反動的主頁等。另外通過對內(nèi)部網(wǎng)的WWW服務(wù)器的某些URL屏蔽，可以消除服務(wù)器本身的安全漏洞，從而對WWW服務(wù)器進(jìn)行保護(hù)。. IP地址和MAC地址綁定計算機(jī)中每一塊網(wǎng)卡都具有一個唯一的硬件物理地址標(biāo)識號碼，即網(wǎng)卡的MAC地址，MAC地址與網(wǎng)卡一一對應(yīng)。為解決IP地址欺騙和盜用的問題，系統(tǒng)提供了IP地址和MAC地址（網(wǎng)卡）一一綁定的功能，主要用于綁定一些重要的管理員IP地址和特權(quán)IP地址。IP地址和MAC地址綁定后，即使某個用戶盜用了此網(wǎng)卡的IP地址，在通過防火墻時也會因網(wǎng)卡的MAC地址不匹配而拒絕通過。. 雙機(jī)熱備方御在橋模式下能夠在網(wǎng)絡(luò)中智能的尋找其對等的備份機(jī)，并且使備份機(jī)自動進(jìn)入等待狀態(tài)，而一旦備份機(jī)發(fā)現(xiàn)主工作機(jī)失效，可及時的啟動，防止網(wǎng)絡(luò)中斷事故的發(fā)生。在路由模式下，方御提供手工設(shè)置雙機(jī)熱備功能。目前，可以支持兩臺方御在網(wǎng)絡(luò)上進(jìn)行主從備份，或者互為備份。. 復(fù)雜別名機(jī)制復(fù)雜別名機(jī)制是方御防火墻的一類方便實(shí)用，也很重要的功能，方御防火墻使用端口別名和子網(wǎng)別名來代替相關(guān)的端口號和子網(wǎng)地址，幫助用戶管理多個網(wǎng)段和多個端口的地址。用戶可以在混合模式里用一個別名來管理一組離散的網(wǎng)段地址，或者是離散的端口值。在大部分的其他功能模塊里都要使用這些別名來進(jìn)行配置。. 授權(quán)等級遵循國家有關(guān)安全標(biāo)準(zhǔn)規(guī)定，方御作了四級授權(quán)：實(shí)施域管理權(quán)、策略管理權(quán)、審計管理權(quán)、日志查看權(quán)。實(shí)施域管理權(quán)包括：向?qū)嵤┯蛑性鰟h管理員帳號，增刪防火墻設(shè)備，設(shè)置雙機(jī)熱備，切換防火墻橋/路由模式，為管理員授策略管理權(quán)和審計管理權(quán)；策略管理權(quán)包括：配置防火墻各個模塊的策略，如包過濾策略，入侵檢測策略，NAT策略，流量控制策略，用戶認(rèn)證管理、Proxy策略等等；審計管理權(quán)包括：設(shè)置日志滿時系統(tǒng)的策略，為管理員授日志查看權(quán)，清空日志等；日志查看權(quán)包括：查詢?nèi)罩荆山y(tǒng)計報表等。擁有實(shí)施域管理權(quán)的僅有Admin帳號；且Admin也僅有實(shí)施域管理權(quán)，而沒有策略管理權(quán)及審計管理權(quán)。其他管理員（指除了Admin以外的管理員）的策略管理權(quán)和審計管理權(quán)由Admin授予，日志查看權(quán)由擁有審計管理權(quán)的管理員授予。. 可定制的防火墻模板方御防火墻的預(yù)置模板功能是將針對典型應(yīng)用的幾條防火墻規(guī)則整合成為模板，利用填空方式配置，簡化了用戶的配置工作。. 強(qiáng)大的審計功能方御防火墻提供了大量的審計內(nèi)容和對審計內(nèi)容的查詢功能，由于日志可能對一般用戶比較難以理解，而我們將日志記錄分成了若干部分，而且就每一個部分都是可以進(jìn)行查詢和管理的，這樣一來就可以是用戶對防火墻的情況有一個非常透徹的了解。方御防火墻中審計功能有著非常完善的權(quán)限管理，有專門的審計員來對審計內(nèi)容進(jìn)行管理，在審計中又分成了若干級別的權(quán)限。這樣可以方便管理員管理審計內(nèi)容。. 基于PKI的高級授權(quán)認(rèn)證PKI是一種新的安全技術(shù)，它由公開密鑰密碼技術(shù)、數(shù)字證書、證書發(fā)放機(jī)構(gòu)（CA）和關(guān)于公開密鑰的安全策略等基本成分共同組成的。PKI是利用公鑰技術(shù)實(shí)現(xiàn)電子商務(wù)安全的一種體系，是一種基礎(chǔ)設(shè)施，網(wǎng)絡(luò)通訊、網(wǎng)上交易是利用它來保證安全的。從某種意義上講，PKI包含了安全認(rèn)證系統(tǒng)，即安全認(rèn)證系統(tǒng)CA/RA系統(tǒng)是PKI不可缺的組成部分。方御防火墻的授權(quán)認(rèn)證是基于PKI基礎(chǔ)之上，因此完全性極高。. 集中管理根據(jù)美國財經(jīng)雜志統(tǒng)計資料表明，30%的入侵發(fā)生在有防火墻的情況下，這些入侵的主要原因并非是防火墻無用，而是由于一般的防火墻的管理及配置相當(dāng)復(fù)雜，要想成功的維護(hù)防火墻，要求防火墻管理員對網(wǎng)絡(luò)安全攻擊的手段及其與系統(tǒng)配置的關(guān)系有相當(dāng)深刻的了解，而且防火墻的安全策略無法進(jìn)行集中管理，這些都造成了網(wǎng)絡(luò)安全的失敗。而方御防火墻采用基于Windows GUI的用戶界面進(jìn)行遠(yuǎn)程集中式管理，配置管理界面直觀，易于操作。可以通過一個控制機(jī)對多臺方御進(jìn)行集中式的管理。. 實(shí)時控制和日志轉(zhuǎn)存管理員可以通過控制界面對防火墻進(jìn)行實(shí)時的控制和調(diào)整，可以修改其策略和工作方式。管理員可以將日志保存起來，供以后分析使用，由于方御防火墻每天都會記錄大量的日志信息，而且一些日志記錄是非常有用的信息，因此方御的日志監(jiān)視系統(tǒng)會將服務(wù)器上面的日志下載到管理員的機(jī)器上面，管理員可以對它進(jìn)行編輯和保存。. 路由選擇協(xié)議控制 橋接模式下，防火墻內(nèi)部口的三層交換機(jī)和外部路由器進(jìn)行路由信息交換，交換機(jī)和路由器之間運(yùn)行了RIP，EIGRP，IGRP，OSPF等IGP路由協(xié)議，防火墻必須識別這些協(xié)議，讓它們通過防火墻，否則，內(nèi)部網(wǎng)絡(luò)數(shù)據(jù)將無法路由。這些協(xié)議的特點(diǎn)是目的地址為多播地址，對此防火墻需要識別并正確處理，在橋模式下能夠靈活地控制這些包通過或不通過。. 支持SNMP管理方御網(wǎng)絡(luò)安全產(chǎn)品提供對簡單網(wǎng)絡(luò)管理協(xié)議(SNMP)的支持，支持VV2等不同版本，可與當(dāng)前主流的網(wǎng)絡(luò)管理平臺如HP Openview、CA Unicenter、Cisco Works2000等聯(lián)用，通過專業(yè)網(wǎng)管軟件兼控方御產(chǎn)品運(yùn)行狀況。此外通過SNMP管理，方御防火墻還可以對攻擊事件進(jìn)行收集，轉(zhuǎn)發(fā)給SNMP服務(wù)器，用戶可以通過對SNMP的管理，發(fā)現(xiàn)產(chǎn)品問題。. 隨著語音/影像數(shù)據(jù)的流行。，而這種端口的變化通常是靠分析數(shù)據(jù)流的內(nèi)容得到的，方御防火墻采用特殊技術(shù)對實(shí)際數(shù)據(jù)流情況作出判斷，以判別數(shù)據(jù)的合法性。. 入侵檢測系統(tǒng). 反端口掃描一般黑客如果要對一個網(wǎng)站發(fā)動攻擊，首先都要掃描目標(biāo)服務(wù)器的端口，確定服務(wù)器上開啟的服務(wù)，然后選擇相應(yīng)的入侵方式。 方御入侵檢測系統(tǒng)能夠在黑客掃描網(wǎng)站的時候就能檢測到并報警，這樣在就能提前將黑客拒之于門外。方御入侵檢測系統(tǒng)在檢測到有黑客掃描服務(wù)器端口的時候會立即在攻擊者的視野中消失，從而使黑客無法進(jìn)行后面的攻擊。方御入侵檢測系統(tǒng)根據(jù)配置文件監(jiān)控任何和TCP，UDP端口的連接。 可以對全部端口同時進(jìn)行監(jiān)控，同時也可以忽略指定的端口。這樣就能滿足不同的需求方式。. 可以防范1500余種攻擊方式檢測多種DoS攻擊DoS(拒絕服務(wù)攻擊) 包括很多不同的方式。在這些方式中，三種最流行的方式為使服務(wù)失效、獨(dú)占或盜用資源以及刪除數(shù)據(jù)。最常見的就是服務(wù)失效方式，通過DoS攻擊可以使一個服務(wù)器停止服務(wù)，從而造成巨大的損失。方御入侵檢測系統(tǒng)能夠檢測包括IGMP攻擊，TearDrop， LAND， WinNuke等多種DoS攻擊。從而使被托管的服務(wù)器處于安全的保護(hù)之中。和其它一樣， 方御入侵檢測系統(tǒng)一旦發(fā)現(xiàn)有DoS攻擊，立即在線報警，記錄日志。檢測多種DDoS攻擊Yahoo、CNN等著名網(wǎng)站被黑客攻擊使得防黑客成了大家關(guān)注的熱點(diǎn)。DDoS(分布式拒絕服務(wù))是本次攻擊的主要手段。DDoS 攻擊的原理是入侵者控制了一些節(jié)點(diǎn)，將它們設(shè)計成控制點(diǎn)，這些控制點(diǎn)控制了Internet大量的主機(jī)，將它們設(shè)計成攻擊點(diǎn)，攻擊點(diǎn)中裝載了攻擊程序，正是由這些攻擊點(diǎn)計算機(jī)對攻擊目標(biāo)發(fā)動的攻擊。這種結(jié)構(gòu)使入侵者遠(yuǎn)離攻擊的目標(biāo)，隱藏了入侵者的具體位置。方御入侵檢測系統(tǒng)能夠檢測包括TFN，Trin00，shaft synflood等多種DDoS工具的攻擊。而這些攻擊都是進(jìn)行DDoS攻擊的主要工具。檢測保護(hù)子網(wǎng)中是否存在后門和木馬程序 后門和木馬程序如果存在于網(wǎng)絡(luò)中，會造成嚴(yán)重的后果，有些后門程序?qū)е鹿芾韱T的密碼被盜取，因此檢測保護(hù)子網(wǎng)中是否存在后門和木馬程序成為入侵檢測的一個重要的組成部分。方御入侵檢測系統(tǒng)能夠檢測網(wǎng)絡(luò)中是否存在流行的BO，BO2000，NetSphere， DeepThroat，WinCrash，BackConstruction等多種后門或木馬程序。檢測多種針對Finger服務(wù)的攻擊Finger服務(wù)于查詢用戶的信息，包括網(wǎng)上成員的真實(shí)姓名、用戶名、最近的登錄時間、地點(diǎn)等，也可以用來顯示當(dāng)前登錄在機(jī)器上的所有用戶名，這對于入侵者來說是無價之寶，因?yàn)樗芨嬖V他在本機(jī)上的有效的登錄名。 方御入侵檢測系統(tǒng)能夠檢測針對Finger服務(wù)攻擊的如Finger Bomb，F(xiàn)inger search，F(xiàn)INGERProbeNull等掃描和攻擊。檢測多種針對FTP服務(wù)的攻擊方御入侵檢測系統(tǒng)能夠檢測針對不同F(xiàn)TP server，包括AIX FTPD，WuFTP，ProFTPD，ServU FTPD，NCFTPD，MsFTPD發(fā)起的FTPsiteexec， FTPuserroot，Buffer Overflow等多種嘗試和攻擊行為。檢測基于NetBIOS的攻擊方御入侵檢測系統(tǒng)能夠?qū)贜etBIOS的如NETBIOSSMBIPC$access，NETBIOSSMBADMIN$access，NETBIOSSNMPNTUserList等多種嘗試和攻擊行為進(jìn)行檢測。檢測緩沖區(qū)溢出類型攻擊方御入侵檢測系統(tǒng)能夠?qū)VERFLOWx86solarisnlps，OVERFLOWx86windowsMailMax， OVERFLOWx86linuxntalkd，OVERFLOWDNSsparc等近百種堆棧溢出攻擊進(jìn)行檢測。檢測基于RPC的攻擊方御入侵檢測系統(tǒng)能夠?qū)赗PC的如portmaprequestamountd， portmaprequestbootparam， RPC Info Query， portmaprequestypserv， RPC ttdbserv Solaris Overflow等多種嘗試和攻擊行為進(jìn)行檢測。檢測基于SMTP的攻擊 方御入侵檢測系統(tǒng)能夠?qū)︶槍Χ喾NSMTP server，包括Sendmail，Exchange Server，Qmail等所發(fā)起的SMTPexpnroot，SMTP Relaying Denied等試探和攻擊進(jìn)行檢測。檢測基于Telnet的攻擊方御入侵檢測系統(tǒng)能針對基于Telnet的包括Attempted SU from wrong group，set ld_preload，set ld_library_path， Login Incorrect等多種嘗試和攻擊。檢測網(wǎng)絡(luò)上傳輸?shù)牟《竞腿湎x方御入侵檢測系統(tǒng)能在計算機(jī)病毒和蠕蟲傳輸?shù)剿拗鳈C(jī)之前檢測出來，包括流行的Happy99，IloveU， PrettyPark等百種蠕蟲和病毒，防患于未然。檢測CGI攻擊方御入侵檢測系統(tǒng)能檢測出包括針對PHF，NPH， pfdisplay。cgi等已知上百種的有安全隱患的CGI進(jìn)行的探測和攻擊方式。檢測針對WEB Server的FrontPage擴(kuò)展進(jìn)行的攻擊檢測針對WEB Server的ColdFusion擴(kuò)展進(jìn)行的攻擊檢測針對 MicroSoft IIS server進(jìn)行的攻擊方御入侵檢測系統(tǒng)能檢測View Source exploit， IISexecsrch， IISaspsrch等已知的漏洞和弱點(diǎn)的攻擊行為。檢測利用ICMP進(jìn)行的掃描和攻擊方御入侵檢測系統(tǒng)能對利用這種方式進(jìn)行的網(wǎng)絡(luò)拓?fù)涮綔y所產(chǎn)生的PINGICMP Destination Unreachable，PINGICMP Ti