【正文】 ，F(xiàn)ireGate防火墻可以對該列表進(jìn)行匹配，禁止對列表中的URL的訪問。除此之外，F(xiàn)ireGate還支持非模塊化的DNS查詢，對失敗的請求進(jìn)行消極緩存。和一般的代理緩存軟件不同，F(xiàn)ireGate用一個單獨(dú)的、非模塊化的、I/O驅(qū)動的進(jìn)程來處理所有的客戶端請求。通過地址轉(zhuǎn)換轉(zhuǎn)換可以更有效地利用IP地址資源，并且提供更好的安全性。通過通信行為跟蹤，防火墻能夠檢測到對網(wǎng)絡(luò)的多種掃描，檢測到對網(wǎng)絡(luò)的攻擊行為，并能夠?qū)粜袨檫M(jìn)行響應(yīng)，包括自動防范及用戶自定義安全響應(yīng)策略等。 FireGate的報警系統(tǒng)和入侵檢測系統(tǒng)的協(xié)調(diào)工作幾乎是一致的，一旦入侵檢測系統(tǒng)檢測到攻擊，報警系統(tǒng)會馬上做出反應(yīng)，通過Email或手機(jī)通知管理員。20 檢測對其他可能的網(wǎng)絡(luò)服務(wù)進(jìn)行的攻擊入侵檢測系統(tǒng)的庫文件需要不斷的更新，因此FireGate提供了非常方便的升級接口，可以通過我們的網(wǎng)站進(jìn)行在線升級，而且我們提供了非常方便的用戶升級界面，使升級工作可以非常方便的完成。FireGate入侵檢測系統(tǒng)能對利用這種方式進(jìn)行的網(wǎng)絡(luò)拓?fù)涮綔y所產(chǎn)生的PINGICMP Destination Unreachable、PINGICMP Time Exceeded等ICMP包進(jìn)行檢測。13. 檢測針對WEB Server的FrontPage擴(kuò)展進(jìn)行的攻擊14. 檢測針對WEB Server的ColdFusion擴(kuò)展進(jìn)行的攻擊15. 檢測針對 MicroSoft IIS server進(jìn)行的攻擊FireGate入侵檢測系統(tǒng)能檢測View Source exploit、IISexecsrch、IISaspsrch等已知的漏洞和弱點的攻擊行為。11. 檢測網(wǎng)絡(luò)上傳輸?shù)牟《竞腿湎xFireGate入侵檢測系統(tǒng)能在計算機(jī)病毒和蠕蟲傳輸?shù)剿拗鳈C(jī)之前檢測出來，包括流行的Happy9IloveU、PrettyPark等百種蠕蟲和病毒，防患于未然。9. 檢測基于SMTP的攻擊FireGate入侵檢測系統(tǒng)能夠?qū)︶槍Χ喾NSMTP server，包括Sendmail、Exchange Server、Qmail等所發(fā)起的SMTPexpnroot、SMTP Relaying Denied等試探和攻擊進(jìn)行檢測。7. 檢測緩沖區(qū)溢出類型攻擊FireGate入侵檢測系統(tǒng)能夠?qū)VERFLOWx86solarisnlps、OVERFLOWx86windowsMailMax、OVERFLOWx86linuxntalkd、OVERFLOWDNSsparc等近百種堆棧溢出攻擊進(jìn)行檢測。5. 檢測多種針對FTP服務(wù)的攻擊FireGate入侵檢測系統(tǒng)能夠檢測針對不同F(xiàn)TP server，包括AIX FTPD、WuFTP、ProFTPD、ServU FTPD、NCFTPD、MsFTPD發(fā)起的FTPsiteexec、 FTPuserroot、Buffer Overflow等多種嘗試和攻擊行為。4. 檢測多種針對Finger服務(wù)的攻擊Finger服務(wù)于查詢用戶的信息，包括網(wǎng)上成員的真實姓名、用戶名、最近的登錄時間、地點等，也可以用來顯示當(dāng)前登錄在機(jī)器上的所有用戶名，這對于入侵者來說是無價之寶，因為它能告訴他在本機(jī)上的有效的登錄名。3. 檢測保護(hù)子網(wǎng)中是否存在后門和木馬程序后門和木馬程序如果存在于網(wǎng)絡(luò)中，會造成嚴(yán)重的后果，有些后門程序?qū)е鹿芾韱T的密碼被盜取，因此檢測保護(hù)子網(wǎng)中是否存在后門和木馬程序成為入侵檢測的一個重要的組成部分。FireGate入侵檢測系統(tǒng)能夠檢測包括TFN、Trin00、shaft synflood等多種DDoS工具的攻擊。DDoS 攻擊的原理是入侵者控制了一些節(jié)點，將它們設(shè)計成控制點，這些控制點控制了Internet大量的主機(jī)，將它們設(shè)計成攻擊點，攻擊點中裝載了攻擊程序，正是由這些攻擊點計算機(jī)對攻擊目標(biāo)發(fā)動的攻擊。2. 檢測多種DDoS攻擊Yahoo、CNN等著名網(wǎng)站被黑客攻擊使得防黑客成了大家關(guān)注的熱點。從而使被托管的服務(wù)器處于安全的保護(hù)之中。最常見的就是服務(wù)失效方式，通過DoS攻擊可以使一個服務(wù)器停止服務(wù)，從而造成巨大的損失。1. 檢測多種DoS攻擊DoS(拒絕服務(wù)攻擊) 包括很多不同的方式。 可以對全部端口同時進(jìn)行監(jiān)控，同時也可以忽略指定的端口。FireGate入侵檢測系統(tǒng)在檢測到有黑客掃描服務(wù)器端口的時候會立即在攻擊者的視野中消失，從而使黑客無法進(jìn)行后面的攻擊。(入侵檢測系統(tǒng))一般黑客如果要對一個網(wǎng)站發(fā)動攻擊，首先都要掃描目標(biāo)服務(wù)器的端口，確定服務(wù)器上開啟的服務(wù)，然后做出相應(yīng)的入侵方式。傳統(tǒng)的防火墻的包過濾只是與規(guī)則表進(jìn)行匹配，而FireGate對每個連接，作為一個數(shù)據(jù)流，通過規(guī)則表與連接表共同配合，在繼承了傳統(tǒng)包過濾系統(tǒng)對應(yīng)用透明的特性外，還極大地提高了系統(tǒng)的性能和安全性。避免了由于大量的攻擊SYN包造成網(wǎng)絡(luò)的阻塞。一般的防火墻是通過限制每秒鐘通過的Syn包數(shù)量來組織Syn Flood攻擊，這種方法可以在一定意義上阻止Syn Flood攻擊，但是也有可能將正常的Syn包忽略掉，因此不是一種非常好的方法。 Flood攻擊一些TCP/IP棧的實現(xiàn)只能等待從有限數(shù)量的計算機(jī)發(fā)來的ACK消息，因為他們只有有限的內(nèi)存緩沖區(qū)用于創(chuàng)建連接，如果這一緩沖區(qū)充滿了虛假連接的初始信息，該服務(wù)器就會對接下來的連接停止響應(yīng)，直到緩沖區(qū)里的連接企圖超時。FireGate防火墻優(yōu)化了算法，使最大并發(fā)連接數(shù)可以達(dá)到200,000個以上，而一般的防火墻的最大并發(fā)連接只可以達(dá)到幾萬個左右。由于FireGate防火墻采用了3I（Intelligent IP Identifying）技術(shù)，能夠?qū)崿F(xiàn)快速匹配。當(dāng)防火墻工作在路由模式時，可以作為三個區(qū)之間的路由器，同時提供內(nèi)網(wǎng)到外網(wǎng)、DMZ到外網(wǎng)的網(wǎng)絡(luò)地址轉(zhuǎn)換，也就是說，內(nèi)網(wǎng)和DMZ都可以使用保留地址，內(nèi)網(wǎng)用戶通過地址轉(zhuǎn)換訪問Internet，同時隔絕Internet對內(nèi)網(wǎng)的訪問，DMZ區(qū)通過反向地址轉(zhuǎn)換對Internet提供服務(wù)。B： 路由模式：防火墻本身構(gòu)成3個網(wǎng)絡(luò)間的路由器，3個界面分別具有不同的IP地址?？梢詫⑷我馊齻€物理網(wǎng)絡(luò)連接起來構(gòu)成一個互通的物理網(wǎng)絡(luò)。完全保留以太網(wǎng)的高速度，對網(wǎng)絡(luò)性能影響極小。提供各種工具，通過對訪問記錄及信息的分析、安全審計，發(fā)現(xiàn)可疑的連接，及時彌補(bǔ)網(wǎng)絡(luò)系統(tǒng)的漏洞或進(jìn)行責(zé)任追究。實現(xiàn)了IP地址與MAC地址綁定的功能，對IP盜用進(jìn)行了有效的控制。因此從我國實際的應(yīng)用背景出發(fā)，不僅要求防火墻產(chǎn)品實現(xiàn)傳統(tǒng)防火墻的技術(shù)，同時還要求對網(wǎng)絡(luò)信息的安全進(jìn)行分析和控制。無論是包過濾、還是應(yīng)用代理，對系統(tǒng)的安全、基于網(wǎng)絡(luò)訪問的安全研究較多，但對網(wǎng)絡(luò)上流動的信息內(nèi)容本身的安全處理較少。方正防火墻特點防火墻技術(shù)的核心思想是在不安全的網(wǎng)間網(wǎng)環(huán)境中構(gòu)造一個相對安全的子網(wǎng)環(huán)境。多種工作模式FireGate防火墻可以工作在網(wǎng)橋和路由兩種模式下，這樣可以方便用戶使用。管理員負(fù)責(zé)防火墻的開關(guān)及日常維護(hù)，策略員負(fù)責(zé)配置防火墻的包過濾和入侵檢測規(guī)則，審計員負(fù)責(zé)日志的管理和審計中的授權(quán)機(jī)制。備份防火墻服務(wù)器中存有主防火墻服務(wù)器的設(shè)置鏡像，當(dāng)主防火墻因為某些原因不能正常運(yùn)作，備份服務(wù)器可以在12秒鐘內(nèi)取代主服務(wù)器運(yùn)作，充分保證整個網(wǎng)絡(luò)系統(tǒng)運(yùn)作的穩(wěn)定性。FireGate防火墻所包含的模塊示意圖如下：一體化的硬件設(shè)計FireGate采用了一體化的硬件設(shè)計，采用了自己的操作系統(tǒng)，無需其他操作系統(tǒng)的支持，這樣能夠發(fā)揮硬件的最大性能，同時也提高了系統(tǒng)的安全性。FireGate防火墻是通過對國外防火墻產(chǎn)品的綜合分析，針對我們國家的具體應(yīng)用環(huán)境，結(jié)合國內(nèi)外防火墻領(lǐng)域里的最新發(fā)展，提出的一種具有強(qiáng)大的信息分析功能、高效包過濾功能、多種反電子欺騙手段、多種安全措施綜合運(yùn)用的安全可靠的專用防火墻系統(tǒng)。FireGate防火墻是SHARKS中的主要安全產(chǎn)品之一。SIP*語音編碼 ( b/S) A/B(8Kb/s) A/∪律(64Kb/S) (2Kb/S)語音質(zhì)量保障技術(shù)支持語音優(yōu)先標(biāo)記(TOS)；動態(tài)抖動緩沖區(qū)（JIFFER BUFFER）； 語音偵測（VAD）及舒適背景噪聲生成（CNG）； Diffserv網(wǎng)絡(luò)協(xié)議HTTP、BOOTP、FTP、TFTP、IEEE 、IEEE 、SNMP、Diffserv內(nèi)嵌PPPOE及NAT功能支持支持DHCP自動獲取IP地址支持功能特性內(nèi)嵌“易穿”穿透代理模塊 支持私網(wǎng) / 防火墻下設(shè)備的遠(yuǎn)程網(wǎng)管(網(wǎng)管穿透) 支持私網(wǎng) / 防火墻下語音穿透 支持電話按鍵配置 支持遠(yuǎn)程升級軟件功能 來電顯示/來電識別（Call ID識別) 系統(tǒng)語音信箱、用戶自定義語音提示功能 支持DNS動態(tài)網(wǎng)守地址尋址 回音消除 (1664ms)互通特性CIS