【正文】 后，提出的一套基于中國國情、全部自主開發(fā)、具有領(lǐng)先優(yōu)勢的解決方案。它是 一套整體的集群平臺，可以解決互聯(lián)網(wǎng)運營商最為關(guān)切的安全性、高可靠性、可擴展性和易于遠程管理的問題。目前這套方案已經(jīng)得 到國家有關(guān)部門的大力支持，被國家經(jīng)貿(mào)委列為國家創(chuàng)新計劃項目之一。另外，還得到了國家 ”863”計劃的支持。 在立身自主開發(fā)外，方正數(shù)碼還與眾多國際知名的安全公司保持著良好的合作關(guān)系，并集成了國內(nèi)外最優(yōu)秀的公司安全產(chǎn)品，為國內(nèi) Inter 的安全建設(shè)保駕護航。 . 產(chǎn)品概述 方御防火墻是方正方御中的主要安全產(chǎn)品之一。由于防火墻技術(shù)的針對性很強，它已成為實現(xiàn)網(wǎng)絡(luò)安全的重要保障之一。方御防火墻是通過對國外防火墻產(chǎn)品的綜合分析，針對我們國家的具體應(yīng)用環(huán)境，結(jié)合國內(nèi)外防火墻領(lǐng)域里的最新發(fā)展，在面向 IDC 和中小企業(yè)的 FireBridge 防火墻的基礎(chǔ)上，提出的一種具有強大的信息分析功能、高效包過濾功能、多種反電子欺騙手段、多種安全措施綜合運用的安全可靠的專用防火墻系統(tǒng)。 方正方御防火墻不僅僅是一個包過濾的防火墻，而且包括了大量的實用模塊，可以為用戶提供多方面的服務(wù)。 方御防火墻保護如下模塊： 包過濾防火墻輕型/復(fù)雜 IDS雙向 NAT流量控制Proxy雙機熱備流量統(tǒng)計審計功能集中管理 . 系統(tǒng)特點 一體化的硬件設(shè)計 方正方御防火墻采用了一體化的硬件設(shè)計，采用了自己的操作系統(tǒng)，無需其他操作系統(tǒng)的支持，這樣能夠發(fā)揮硬件的最大性能，同時也提高了系統(tǒng)的安全性 。 雙機熱備份 通 過雙機熱備份，本系統(tǒng)提供可靠的容錯 /熱待機功能。備份防火墻服務(wù)器中存有主防火墻服務(wù)器的設(shè)置鏡像，當(dāng)主防火墻因為某些原因不能正常運作，備份服務(wù)器可以在12 秒鐘內(nèi)取代主服務(wù)器運作，充分保證整個網(wǎng)絡(luò)系統(tǒng)運作的穩(wěn)定性。 完善的訪問控制 方正方御防火墻符合國家最新防火墻安全標(biāo)準(zhǔn)，采用了三級權(quán)限機制，分為管理員，策略員和審計員。管理員負責(zé)防火墻的開關(guān)及日常維護，策略員負責(zé)配置防火墻的包過濾和入侵檢測規(guī)則，審計員負責(zé)日志的管理和審計中的授權(quán)機制。這樣他們共同地負責(zé)起一個安全的管理平臺。 多種工作模式 方正方御防火墻可 以工作在網(wǎng)橋路由兩種模式下，這樣可以方便用戶使用。使用在網(wǎng)橋模式時在 IP 層透明，使用路由模式時 可以作為三個區(qū)之間的路由器，同時提供內(nèi)網(wǎng)到外網(wǎng)、 DMZ 到外網(wǎng)的網(wǎng)絡(luò)地址轉(zhuǎn)換。 防御 DOS， DDOS 攻擊 普通的防火墻都是采用限制每一網(wǎng)絡(luò)地址單位時間內(nèi)通過的 SYN 包數(shù)量來抵御DDOS 攻擊，但是通常網(wǎng)絡(luò)攻擊者都會隨機的偽造網(wǎng)絡(luò)地址，因此這種方法防范的效果 非常差，不能從根本上抵御 DDOS 攻擊。方正方御防火墻修改了 TCP/IP 堆棧的算法，使得新的 syn 連接包可以正常通過，避免了由于大量的攻擊 SYN 包造成網(wǎng)絡(luò)的阻塞。 狀態(tài)檢測 方正方御防火墻 可以根據(jù)數(shù)據(jù)包的地址、協(xié)議和端口進行訪問控制，同時還對任何網(wǎng)絡(luò)連接和會話的當(dāng)前狀態(tài)進行分析和監(jiān)控。傳統(tǒng)的防火墻的包過濾只是根據(jù)規(guī)則表進行匹配，而 方正方御防火墻 對每個連接，作為一個數(shù)據(jù)流，通過規(guī)則表與連接表共同配合來對網(wǎng)絡(luò)狀態(tài)進行控制。 代理服務(wù) 用戶可以設(shè)置代理服務(wù)器端口來啟動代理服務(wù)器功能，而且通過設(shè)置使用代理服務(wù)器用戶帳號密碼和訪問控制來維護安全性。代理服務(wù)的訪問控制非常的完善，可以對時間、協(xié)議、方法、地址、 DNS 域、目的端口和 URL 來進行控制。用戶完全可以通過設(shè)置一定的條件來 符合自己的要求。 雙向網(wǎng)絡(luò)地址轉(zhuǎn)換 系統(tǒng)支持動態(tài)、靜態(tài)、雙向的 NAT。當(dāng)用戶需要從內(nèi)部 IP 訪問 Inter 時， NAT 系統(tǒng)會從 IP 池里取出一個合法的 Inter IP，為該用戶建立映射。如果需要在 Intra 提供讓外部訪問的服務(wù)（如 WWW、 FTP 等），NAT 系統(tǒng)可以為 Intra 里的服務(wù)器建立靜態(tài)映射，外部用戶可以直接訪問該服務(wù)器。雙向網(wǎng)絡(luò)地址轉(zhuǎn) 換為企業(yè)用 戶連接到Inter 提供了良好的網(wǎng)絡(luò)地址隱蔽，并且能減少 IP 占用，替用戶節(jié)省費用。 提供 DMZ 區(qū) 除了內(nèi)部網(wǎng)絡(luò)界面和外部網(wǎng)絡(luò)界面，系 統(tǒng)還可以再增加一個網(wǎng)絡(luò)界面，讓管理員靈活應(yīng)用。如建立 DMZ（軍事獨立區(qū)） ，在其中放置公共應(yīng)用服務(wù)器。 帶寬管理和流量統(tǒng)計 方正方御防火墻 系統(tǒng)使用流量統(tǒng)計與控制策略，可方便的根據(jù)網(wǎng)段和主機等對流量進行統(tǒng)計與控制管理。用戶可以通過設(shè)置源地址到目的地址單位在時間內(nèi)允許通過的流量以及協(xié)議和端口來進行帶寬控制。 日志審計 審計功能是方正方御防火墻非常強大的一個部分，目前國內(nèi)防火墻的審計功能都非常不完善，方正方御防火墻提供了大量的審計內(nèi)容和對審計內(nèi)容的查詢功能，由于日志可能對一般用戶比較難以理解，而我們將日志記錄分 成了若干部分，而其中每一部分都可以進行查詢和管理，這樣用戶就能對防火墻的情況有一個非常透徹的了解。 入侵檢測 方正方御防火墻入侵檢測系統(tǒng)采用了可擴展的檢測庫方法，目前可以抵御 1000 多種攻擊方法，而且可以通過升級檢測庫的方法來不斷的抵御新的攻擊方法。用戶還可以自定義攻擊檢測庫來符合自己的要求。 自動報警和防范系統(tǒng) 方正方御防火墻一旦檢測到有黑客進行攻擊，會在第一時間內(nèi)在控制機上進行報警，而且同時會自動封禁掉攻擊者的 IP 地址，這樣可以做到防火墻的防范完全自動化，而不象普通的防火墻那樣需要人工干預(yù)。 基于 PKI 的授權(quán)認(rèn)證 方正方御防火墻的授權(quán)認(rèn)證是基于 PKI基礎(chǔ)之上，因此完全性極高。 PKI 是一種新的安全技術(shù)，它由公開密鑰密碼技術(shù)、數(shù)字 證書、證書發(fā)放機構(gòu)（ CA）和關(guān)于公開密鑰的安全策略等基本成分共同組成的。 快速安裝配置 方正方御防火墻的安裝和配置非常方便，管理員只要設(shè)定好網(wǎng)絡(luò)設(shè)備的 IP 地址，然后使用系統(tǒng)提供的一些典型配置模板，適當(dāng)?shù)男薷囊恍┮?guī)則來符合要求。除此以外還可以添加系統(tǒng)提供的一些子模板來實現(xiàn)一些特定的功能。 圖形管理界面 用戶可以通過圖形界面對防火墻進行配置和管理。而且也可以通過圖形界面來管理審 計內(nèi)容，而不象有些防火墻是通過命令行方式進行配置。 完全中國化的設(shè)計 方正方御防火墻是由方正數(shù)碼自行設(shè)計和制作的，充分考慮了中國國情，除了界面、幫助文檔、使用說明完全中文化外，還加入了一些小型模板用戶給管理員配置防火墻。 集中管理 方正方御防火墻采用基于 Windows GUI的用戶界面進行遠程集中式管理，配置管理界面直觀，易于操作?？梢酝ㄟ^一個控制機對多臺方正方御防火墻進行集中式的管理。 . 方正方御防火墻功能說明 . 多種工作模式 方正方御防火墻可以工作在網(wǎng)橋和路由兩種模式下： A：網(wǎng)橋模式： 3 個端口構(gòu)成一 個以太網(wǎng)交換機，防火墻本身沒有 IP 地址，在 IP 層透明?？梢詫⑷我馊齻€物理網(wǎng)絡(luò)連接起來構(gòu)成一個互通的物理網(wǎng)絡(luò)。 當(dāng)防火墻工作在交換模式時，內(nèi)網(wǎng)、 DMZ 區(qū)和路由器的內(nèi)部端口構(gòu)成一個統(tǒng)一的交換式物理子網(wǎng)，內(nèi)網(wǎng)和 DMZ 區(qū)還可以有自己的第二級路由器，這種模式不需要改 變原有的網(wǎng)絡(luò)拓撲結(jié)構(gòu)和各主機和設(shè)備的網(wǎng)絡(luò)設(shè)置。 B： 路由模式： 防火墻本身構(gòu)成 3 個網(wǎng)絡(luò)間的路由器， 3 個界面分別具有不同的 IP 地址。三個網(wǎng)絡(luò)中的主機通過該路由進行通信。 當(dāng)防火墻工作在路由模式時，可以作為三個區(qū)之間的路由器，同時提供內(nèi)網(wǎng)到外網(wǎng)、 DMZ 到外網(wǎng)的網(wǎng)絡(luò)地址轉(zhuǎn)換，也就是說，內(nèi)網(wǎng)和 DMZ 都可以使用保留地址，內(nèi)網(wǎng)用戶通過地址轉(zhuǎn)換訪問 Inter，同時隔絕 Inter 對內(nèi)網(wǎng)的訪問， DMZ 區(qū)通過反向地址轉(zhuǎn)換對Inter 提供服務(wù)。 在沒有安裝方正方御防火墻的時候典型網(wǎng)絡(luò)結(jié)構(gòu)圖如下 : I n t e r n e t交 換機交 換機服務(wù)器路由 器用戶 在安裝了方正方御防火墻的時候網(wǎng)絡(luò)結(jié)構(gòu)圖如下 : In t e rn e t路由 器交 換機用戶服務(wù)器服務(wù)器D M Z 區(qū)內(nèi) 部網(wǎng)F i r e G a t e . 包過濾防火墻 方正方御防火墻 包過濾的功能是對指定 IP 包進行包過濾，并且按照設(shè)定策 略對 IP 包進行統(tǒng)計和日志記錄，主要根據(jù) IP 包 的如下信息進行過濾： ? 源 IP 地址 ? 目的 IP 地址 ? 協(xié)議類型（ IP、 ICMP、 TCP、 UDP） ? 源 TCP/UDP 端口 ? 目的 TCP/UDP 端口 ? ICMP 報文類型域和代碼域 ? 碎片包 ? 其它標(biāo)志位，如 SYN， ACK 位 源 IP 地址，目的地址，協(xié)議類型，源端口，目的端口ICMP 報文類型域和代碼域，碎片包，其它標(biāo)志位InterHackerUserWebDataBase . 高效的過濾 有些防火墻在安裝上以后對 WEB 服務(wù)器的吞吐能力影響很大，造成性能的降低。由于方正方御防火墻采用了 3I（ Intelligent IP Identifying）技術(shù)，能夠?qū)崿F(xiàn)快速匹配。因此方正方御防火墻不會對性能造成任何影響。 方正方御防火墻優(yōu)化了 算法，使最大并發(fā)連接數(shù)可以達到 300,000 個以上，而一般的防火墻的最大并發(fā)連接只可以達到幾萬個左右。 . 碎片處理功能 由于很多系統(tǒng)平臺，包括一些路由器對 IP 碎片的處理存在問題，容易產(chǎn)生欺騙和拒絕服務(wù)等攻擊，方正方御防火墻能夠識別出 IP 碎片并且進行控制，這樣一來通過禁止 IP 碎片通過方正方御防火墻，防止了這樣的問題的產(chǎn)生。 . 防 SYN Flood 攻擊 一些 TCP/IP 棧的實現(xiàn)只能等待從有限數(shù)量的計算機發(fā)來的 ACK 消息，因為他們只有有限的內(nèi)存緩沖區(qū)用于創(chuàng)建連接，如果這一緩沖區(qū)充滿了虛假連接的初始信息，該服務(wù)器就會對 接下來的連接停止響應(yīng)，直到緩沖區(qū)里的連接企圖超時。典型的就是 Syn Flood 攻擊 ,通過大量的虛假的 Syn 包使服務(wù)器速度變慢，甚至是死機。一般的防火墻是通過限制每秒鐘通過的 Syn 包數(shù)量來組織 Syn Flood攻擊，這種方法可以在一定意義上阻止 Syn Flood 攻擊，但是也有可能將正常的Syn 包忽略掉，因此不是一種非常好的方法。 方正方御防火墻使用了兩種方式來反 Syn Flood 攻擊，一種方法就是通過設(shè)置單位時間內(nèi)的 SYN 包數(shù)量來控制，另外一種方法修改了 TCP/IP 堆棧的算法，使得新 Syn 包始終可以獲得連接 位。避免了由于大量的攻擊 SYN 包造成網(wǎng)絡(luò)的阻塞。 . 強大的狀態(tài)檢測功能 方正方御防火墻可以根據(jù)數(shù)據(jù)包的地址、協(xié)議和端口進行訪問控制，同時還對任何網(wǎng)絡(luò)連接和會話的當(dāng)前狀態(tài)進行分析和監(jiān)控。傳統(tǒng)的防火墻的包過濾只是1：沒有安裝 方御防火墻 2：安裝方御防火墻 與規(guī)則表進行匹配，而方正方御防火墻對每個連接，作為一個數(shù)據(jù)流，通過規(guī)則表與連接表共同配合，在繼承了傳統(tǒng)包過濾系統(tǒng)對應(yīng)用透明的特性外，還極大地提高了系統(tǒng)的性能和