天网防火墙技术白皮书
生活随笔
收集整理的這篇文章主要介紹了
天网防火墙技术白皮书
小編覺得挺不錯的,現(xiàn)在分享給大家,幫大家做個參考.
<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />
?
1.??? 產(chǎn)品簡述... V 2.??? 天網(wǎng)防毒墻系列... VI 3.??? 天網(wǎng)防毒墻的主要功能... VII 3.1.???????? 功能簡述... VII 3.1.1.????? 應(yīng)用層的安全防范體系... VII 3.1.2.????? 客戶端的安全防范體系... VII 3.2.???????? 應(yīng)用層的安全防范體系... VII 3.2.1.????? 集中控制... VII 3.2.2.????? 自動升級... VIII 3.2.3.????? 底層保護... VIII 3.2.4.????? 少占用資源... VIII 3.2.5.????? 內(nèi)存修復(fù)... VIII 3.2.6.????? 客戶端軟件特色... IX 3.2.7.????? 內(nèi)嵌多個應(yīng)用... IX 3.2.8.????? 更好的IT管理... IX 3.2.9.????? 更好的補丁管理... X 4.??? 防毒墻參數(shù)... XI 4.1.???????? 防毒墻參數(shù)表... XI 天網(wǎng)防火墻系列產(chǎn)品簡介... 15 天網(wǎng)防火墻簡介... 15 技術(shù)特征... 16 主要特性與性能... 19 基本系統(tǒng)功能... 19 4.1.1.????? 一體化硬件設(shè)計... 19 4.1.2.????? 自行開發(fā)的高性能系統(tǒng)內(nèi)核SNOS. 20 4.1.3.????? 支持各類標(biāo)準(zhǔn)網(wǎng)絡(luò)服務(wù)和協(xié)議... 20 4.1.4.????? 支持DMZ區(qū)可增加管理區(qū)域... 21 4.1.5.????? 基于狀態(tài)檢測的包過濾... 21 4.1.6.????? 完善的訪問控制... 21 4.1.7.????? 包過濾功能的透明網(wǎng)橋... 22 4.1.8.????? TCP標(biāo)志位檢測... 22 4.1.9.????? 網(wǎng)絡(luò)接口可綁定多個IP地址... 22 4.1.10.??? IP地址與MAC地址綁定... 22 4.1.11.??? 系統(tǒng)操作記錄... 23 4.1.12.??? 支持巨量并發(fā)連接數(shù)和NAT連接數(shù)... 23 4.1.13.??? 增強型加密中文WEB管理界面... 23 4.1.14.??? 支持非標(biāo)準(zhǔn)標(biāo)志位... 23 安全應(yīng)用控制功能... 24 4.1.15.??? 管理大量IP的能力... 24 4.1.16.??? 對大量數(shù)據(jù)包的***防御... 25 4.1.17.??? 抵御各種DoS***... 25 4.1.18.??? 有效過濾大量IP的防火墻機制... 26 4.1.19.??? 域名信息緩存... 26 4.1.20.??? ×××數(shù)據(jù)安全傳輸... 27 網(wǎng)絡(luò)行為管理功能... 27 4.1.21.??? 實時系統(tǒng)監(jiān)控系統(tǒng)和網(wǎng)絡(luò)狀態(tài)... 27 4.1.22.??? 網(wǎng)絡(luò)數(shù)據(jù)記錄... 28 4.1.23.??? 第七層協(xié)議智能分析技術(shù)... 28 4.1.24.??? 基于單個IP或者IP組為對象的網(wǎng)絡(luò)管理功能... 29 4.1.25.??? 動態(tài)帶寬調(diào)節(jié)功能... 29 4.1.26.??? 最低帶寬保證功能... 30 4.1.27.??? 根據(jù)端口的連接數(shù)限制功能... 30 4.1.28.??? 防止惡意占用帶寬... 30 4.1.29.??? 關(guān)鍵字內(nèi)容過濾... 31 4.1.30.??? 支持URL攔截... 31 4.1.31.??? 管理內(nèi)部網(wǎng)聊天工具... 32 4.1.32.??? 精確到單個主機和連接信息記錄功能... 32天網(wǎng)防火墻系列產(chǎn)品簡介
天網(wǎng)防火墻簡介
Internet 技術(shù)帶領(lǐng)信息科技進入新的時代,企事業(yè)單位都紛紛建立與互聯(lián)網(wǎng)相連的Intranet,使用戶可以通過網(wǎng)絡(luò)查詢信息。然而,這時企事業(yè)單位的Intranet安全性也受到了嚴(yán)峻考驗:網(wǎng)絡(luò)上的不法分子不斷的尋找網(wǎng)絡(luò)上的漏洞,企圖潛入內(nèi)部網(wǎng)絡(luò),一旦Intranet被攻破,一些機密的資料可能會被盜、網(wǎng)絡(luò)可能會被破壞,給網(wǎng)絡(luò)所屬單位帶來難以預(yù)測的損害。天網(wǎng)防火墻系統(tǒng)就是針對以上情況開發(fā)、研制的,本系統(tǒng)可以為企事業(yè)單位網(wǎng)絡(luò)提供完善的網(wǎng)絡(luò)安全保障,抵御來自外部網(wǎng)絡(luò)的***、防止不法分子的***。 天網(wǎng)防火墻是一套采用軟硬一體化的設(shè)計,具有高安全性和高性能網(wǎng)絡(luò)安全系統(tǒng),同時提供強大的訪問控制、身份認(rèn)證、網(wǎng)絡(luò)地址轉(zhuǎn)換(Network Address Translation)、信息過濾、虛擬專網(wǎng)(×××)、DoS防御、流量控制、虛擬防火墻等功能的防火墻系統(tǒng)。天網(wǎng)防火墻是國人自己根據(jù)國內(nèi)用戶習(xí)慣自主開發(fā)的防火墻,在管理界面上創(chuàng)新的使用了WEB管理界面,用戶通過直觀、易用的界面管理強大、復(fù)雜的系統(tǒng)功能;天網(wǎng)防火墻不僅在界面全中文化,而且還提供了符合中國國情的全文過濾系統(tǒng);天網(wǎng)防火墻追蹤最新***技術(shù),研究出同類產(chǎn)品中獨有的防御拒絕服務(wù)***技術(shù)(DoS***)。 天網(wǎng)防火墻考慮到各種用戶的需求,把防火墻分為:基本型、企業(yè)級、電信級三個類別。其中,天網(wǎng)防火墻的旗艦級防火墻,是一個千兆級別的網(wǎng)絡(luò)安全系統(tǒng),它面向需要進行大量數(shù)據(jù)處理與交換的應(yīng)用環(huán)境,包括有:電子商務(wù)站點、電信骨干交換網(wǎng)絡(luò)以及校園骨干交換網(wǎng)絡(luò)等。天網(wǎng)千兆防火墻集合了基本防火墻系統(tǒng)和虛擬專網(wǎng)安全功能,并且通過千兆網(wǎng)絡(luò)接口來對進出防火墻的數(shù)據(jù)進行處理。利用優(yōu)化的內(nèi)核把硬件的高效數(shù)據(jù)交換能力和系統(tǒng)并行處理能力進行有效的結(jié)合,實現(xiàn)了高性能、高處理能力和高安全性的防火墻系統(tǒng),完全能滿足各種寬帶網(wǎng)絡(luò)應(yīng)用服務(wù)的數(shù)據(jù)處理要求,并且能適應(yīng)更多高要求的應(yīng)用環(huán)境。 <?xml:namespace prefix = v ns = "urn:schemas-microsoft-com:vml" /><?xml:namespace prefix = w ns = "urn:schemas-microsoft-com:office:word" />技術(shù)特征
??| ? | ? |
| 網(wǎng)絡(luò)功能 | 支持ADSL、CABLE、MODEM、DDN、MSTP、以太口等接入 |
| 支持多種網(wǎng)絡(luò)通信協(xié)議和應(yīng)用協(xié)議,包括TCP/IP、ICMP、UPnP、DNS、SNMP、UDP、H.323、PPPOE、DHCP、IPSEC、PPTP、L2TP、NAT、RIP、ARP、ARAP、DECnet、NETBEUI、AppleTalk、BOOTP、VOD、OSPF、BGP4、IPX、VLAN、Spanning tree、MPLS等 | |
| 支持網(wǎng)口自動啟用和關(guān)閉,支持網(wǎng)口模式的設(shè)定 | |
| 網(wǎng)口支持綁定多IP地址、支持IP地址池方式 | |
| 支持基于源/目的地址/目的端口/接口的策略路由 | |
| 支持靜態(tài)路由、RIP/BGP/OSPF等動態(tài)路由協(xié)議 | |
| 最多支持12個互聯(lián)網(wǎng)接口 | |
| 支持多線路負(fù)載均衡,通過連接數(shù)狀況把流量分配到不同的互聯(lián)網(wǎng)線路 | |
| 支持路由權(quán)重設(shè)置。根據(jù)帶寬大小分配流量 | |
| 支持南北通功能,實現(xiàn)同時接入電信及網(wǎng)通網(wǎng)絡(luò) | |
| 支持備份線路功能,支持線路存活情況檢測,可以根據(jù)主線路存活情況自動切換到備份線路上 | |
| DHCP server/ DHCP relay/ DHCP client | |
| 支持路由模式、網(wǎng)橋模式和網(wǎng)橋路由混用模式 | |
| 支持服務(wù)負(fù)載均衡 | |
| 安全功能 | 采用專用硬件平臺與專用的安全操作系統(tǒng)SNOS |
| 智能狀態(tài)包過濾檢測技術(shù) | |
| 支持TCP/IP、UDP、ICMP等協(xié)議訪問控制 | |
| 支持多DMZ區(qū),可按需求增加安全區(qū)域 | |
| 雙向網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT),支持動態(tài)地址轉(zhuǎn)換和靜態(tài)地址轉(zhuǎn)換。 支持多對一、一對多和一對一等多種方式地址轉(zhuǎn)換 | |
| 可提供基于芯片的SYN Flood、UDP Flood、ICMP Flood、MAC Flood等DOS、DDOS的***防御 | |
| 可自動防范Tear Drop、Smurf、Land Attack、WinNuck、圣誕樹等幾十種網(wǎng)絡(luò)***和掃描窺探,達到線速檢測過濾 | |
| TCP標(biāo)志位檢測技術(shù) | |
| ARP***防御網(wǎng)關(guān),有效防止局域網(wǎng)內(nèi)部ARP***導(dǎo)致的網(wǎng)絡(luò)中斷 | |
| 支持對 QQ/MSN/SKYPE/雅虎通等即時通訊軟件過濾 | |
| 支持對Bittorrent/ eDonkey/eMule等P2P應(yīng)用過濾 | |
| 支持基于流的URL過濾、關(guān)鍵字過濾及文件名過濾 | |
| 應(yīng)用層動態(tài)協(xié)議分析技術(shù),支持協(xié)議: 常用協(xié)議:HTTP/POP3/SMTP/IMAP/NNTP/SSL/TLS/SSH/FTP/SNMP/DNS/TELNET/DHCP/VNC/? PCANYWHERE/RDP /RADMIN/BGP/ NETBIOS /TFTP/SOCKS 5/SMB 視頻協(xié)議:H.323/RSTP/HTTP-RSTP/MMS/ SIP P2P應(yīng)用:Bittorrent/ eDonkey/eMule/迅雷 IM應(yīng)用:QQ/MSN/SKYPE/雅虎通/AIM 游戲應(yīng)用:Counterstrike /Doom 3/Half-Life 2/Quake / World of Warcraft /XBox Live | |
| 基于PPTP用戶的訪問控制 | |
| 端口鏡像功能 | |
| 支持對802.1q VLAN協(xié)議的過濾及支持VLAN trunk 協(xié)議 | |
| IP地址與MAC地址綁定 | |
| 網(wǎng)絡(luò)黑洞功能,阻擋非法的網(wǎng)絡(luò)探測及*** | |
| DoS防御網(wǎng)關(guān),防御各種類型的DoS***,保護服務(wù)器及網(wǎng)絡(luò) | |
| 當(dāng)前網(wǎng)口流量監(jiān)控,***自動防御及報警 | |
| 支持SYN-DI防洪堤模塊,抗拒高強度的DDoS*** | |
| 支持radius、口令、證書、LDAP、TACACS/TACACS+等多種認(rèn)證方式 | |
| 內(nèi)嵌***檢測及防御模塊,針對病毒及網(wǎng)絡(luò)***進行防御 | |
| 虛擬防火墻,支持?jǐn)?shù)據(jù)中心應(yīng)用、電信信息商廈應(yīng)用 | |
| 支持與IDS、防毒系統(tǒng)等多種網(wǎng)絡(luò)安全產(chǎn)品聯(lián)動 | |
| 流量控制功能 | 通過權(quán)限組形式控制每個IP地址的上行/下行帶寬,上行/下行包數(shù),并發(fā)連接數(shù),Qos最大隊列數(shù) |
| 精細(xì)劃分每個IP地址特定端口范圍內(nèi)的TCP/UDP連接數(shù) | |
| 支持長時間下載限制功能 | |
| 支持動態(tài)帶寬調(diào)節(jié)功能,根據(jù)在線主機數(shù)量、總連接數(shù)、時間自動調(diào)節(jié)每個IP地址擁有的帶寬 | |
| 支持最小保證帶寬功能 | |
| V P N | IPSEC ×××及IKE,硬件加速××× |
| PPTP/L2TP ××× | |
| 天匙虛擬專網(wǎng),帶寬消耗和CPU資源損耗最少的×××連接方式之一 | |
| 全面支持MPLS ××× 連接方式 | |
| 支持標(biāo)準(zhǔn)IPSEC及國密算法 | |
| 支持預(yù)共享密鑰和數(shù)字證書 | |
| 支持與防火墻、×××網(wǎng)關(guān)及×××軟件客戶端進行×××互聯(lián) | |
| 管理功能 | 支持基于對象、時間、IP、端口的管理 |
| 提供命令行、WEB圖形化及基于SSH的登錄管理 | |
| 支持本地管理、遠程管理及防火墻集中管理器 | |
| 設(shè)置可信主機對防火墻管理 | |
| 多層登錄權(quán)限控制 | |
| 支持snmp網(wǎng)管功能,可與openview集成查看防火墻狀態(tài) | |
| 實時系統(tǒng)監(jiān)控,觀察系統(tǒng)的運行狀態(tài)及網(wǎng)絡(luò)連接狀況 | |
| 實時報警,支持撥打電話和Email等多種方式報警 | |
| 系統(tǒng)操作記錄,記錄系統(tǒng)管理員的所有操作情況 | |
| 網(wǎng)絡(luò)數(shù)據(jù)日志記錄及當(dāng)前日志記錄,日志自動導(dǎo)出分析 | |
| 支持syslog及snos日志格式,可轉(zhuǎn)換為其他設(shè)備及網(wǎng)管工具分析 | |
| 支持各功能系統(tǒng)配置保存、恢復(fù)、下載及上傳 | |
| 支持遠程系統(tǒng)升級及執(zhí)照管理 | |
| 提供網(wǎng)絡(luò)測試功能 | |
| 高可用性 | 支持防火墻的主-主、主-備、1:N冗余等不同備份和負(fù)荷分擔(dān)機制 |
| 支持發(fā)生系統(tǒng)、線路故障時自動切換 | |
| 可靠性及擴展性 | 支持NPU、IA、PPC、X86等多種芯片架構(gòu),保證系統(tǒng)可用性 |
| 雙引擎處理:業(yè)務(wù)處理核心為可編程ASIC芯片,管理核心為X86高性能CPU | |
| 支持可編程ASIC芯片和軟件的升級和維護 | |
| 當(dāng)前運行狀態(tài)顯示及健康通告 | |
| 提供雙機熱備份服務(wù),在瞬間自動切換不正常工作的防火墻系統(tǒng) | |
| 支持電源冗余及熱插拔模塊擴展 | |
| 可擴展各種軟硬件模塊,如擴展防病毒、內(nèi)容過濾、×××加速卡、專用***檢測卡 |
?
技術(shù)指標(biāo): ü???????? 終端控制接口:RS-232,DTE, 9600-8-N-1 ü???????? 標(biāo)準(zhǔn)1U機箱硬件設(shè)計482W×255D×45Hmm,凈重:<?xml:namespace prefix = st1 ns = "urn:schemas-microsoft-com:office:smarttags" />3.5KG ü???????? 工作溫度:0~50℃(32~122℉);存放溫度:-10~+70℃(14~158℉);相對濕度:5 ~95%@40℃(不凝露) ü???????? 安全標(biāo)準(zhǔn):IEC60 950,EN 60 950,UL1950 ü???????? 電磁兼容性EMC:EN55022&EN55024,FCC CFR 47 Part 15 (B級) , ICES-003(B級) ,CISPR 22(B級),AS/NZS 3548(B級) ,VCCI(B級) ü???????? 電源系統(tǒng):200V~240V, 4Amps(max), 300W(max) ü???????? MTBF≥100000小時主要特性與性能
天網(wǎng)防火墻在設(shè)計上采用軟硬件一體化的結(jié)構(gòu),通過把軟件與硬件緊密、無縫、深層的結(jié)合起來,形成一種高效的網(wǎng)絡(luò)處理能力,和其他基于傳統(tǒng)的軟件防火墻比較,具有更加高效、安全和實時化。 天網(wǎng)防火墻系統(tǒng)是一套全面、創(chuàng)新、高安全性、高性能和自主知識產(chǎn)權(quán)的網(wǎng)絡(luò)安全系統(tǒng)。它可以讓系統(tǒng)管理者根據(jù)自己的喜好、任務(wù)和網(wǎng)絡(luò)環(huán)境來自由的設(shè)定安全規(guī)則(Security Rules),并通過這些安全規(guī)則來把守企業(yè)、電信網(wǎng)絡(luò)的安全。同時它還可以提供強大的訪問控制、網(wǎng)絡(luò)行為管理、網(wǎng)絡(luò)地址轉(zhuǎn)換(Network Address Translation)、信息過濾、虛擬專網(wǎng)(×××)、流量控制和虛擬網(wǎng)橋等功能,使用戶完全可以在安全的防火墻基礎(chǔ)上使用安全的服務(wù),為用戶減少其他網(wǎng)絡(luò)設(shè)備的投入。天網(wǎng)防火墻采用了WEB管理界面,通過直觀、易用的界面管理強大、復(fù)雜的系統(tǒng),同時采取了128位的高強度加密數(shù)據(jù)流形式,避免一切可竊聽、冒充行為的發(fā)生,另外由于采取了高性能的網(wǎng)絡(luò)核心進行訪問控制,可以最大程度上的保護防火墻自身的安全,與其他同類產(chǎn)品相比防火墻自身顯得更加安全。天網(wǎng)防火墻系統(tǒng),是自主知識產(chǎn)權(quán)的開發(fā)的防火墻系統(tǒng),完全采用符合中國人習(xí)慣的人性化的設(shè)計,在設(shè)計的時候不僅在界面采取完全中文化,而且在功能設(shè)計上還提供了符合中國國情的全文過濾系統(tǒng),充分滿足國人的使用習(xí)慣。基本系統(tǒng)功能
1.1.1.??????? 一體化硬件設(shè)計
天網(wǎng)防火墻系統(tǒng)采取軟件與硬件的緊密無縫、深層的結(jié)合,充分發(fā)揮軟件的易擴充、易升級和易設(shè)置的特點,同時又通過專用的硬件保證防火墻的最大限度內(nèi)的高效率、高吞吐量、高安全性和穩(wěn)定性。 天網(wǎng)防火墻系統(tǒng)在內(nèi)部采取了專用的操作系統(tǒng)保證防火墻在功能上可以最大程度上的滿足用戶的需要,而且對于一些特殊用戶的需求可以在最短的時間內(nèi)通過修改系統(tǒng)來實現(xiàn),與其他純硬件防火墻相比較具有升級方便、升級快速、升級費用低廉(免費升級)和功能強大等特點。為了保證防火墻在數(shù)據(jù)量非常大的情況下的高性能與高吞吐量,天網(wǎng)防火墻又采取了工程專用硬件進行了硬件化設(shè)計,使得能夠保證軟件和硬件的緊密結(jié)合,充分發(fā)揮硬件的每一分資源,保證防火墻自身不存在“瓶頸”問題的出現(xiàn),從而提高防火墻的整體性能,天網(wǎng)防火墻從最早的一體化硬件設(shè)計思想提出到實現(xiàn)已經(jīng)經(jīng)歷了重重考驗,在技術(shù)上是成熟的,與同類的純軟件防火墻相比具備無可比擬的高效、高吞吐等優(yōu)勢。總的來說,天網(wǎng)防火墻充分發(fā)揮了軟件和硬件自身的優(yōu)勢,充分做到互補、互優(yōu),最大程度上提高防火墻的整體性能,因而避免了對被保護網(wǎng)絡(luò)所帶來的影響。?
1.1.2.??????? 自行開發(fā)的高性能系統(tǒng)內(nèi)核SNOS
天網(wǎng)防火墻是自主知識產(chǎn)權(quán)開發(fā)的軟硬件一體化防火墻,由于要與硬件結(jié)合,所以天網(wǎng)防火墻采用了專用的天網(wǎng)操作系統(tǒng)(SNOS)。天網(wǎng)操作系統(tǒng)是專門為防火墻而設(shè)計的,從最底層已經(jīng)考慮到了防火墻的安全性,可以從設(shè)計開始就保證防火墻的絕對安全,這與其他的同類產(chǎn)品相比具有無比優(yōu)勢的安全底層,保證防火墻在任何***下都安然無事。同時天網(wǎng)操作系統(tǒng)的設(shè)計之初,就是為防火墻量身定做的,完全考慮了網(wǎng)絡(luò)的特點,去掉了其他操作系統(tǒng)不必要的各種系統(tǒng)接口,使得操作系統(tǒng)能夠提供高效快速的反應(yīng)。最大程度上的與硬件結(jié)合,可以保證對×××量的網(wǎng)絡(luò)進行高速全面性檢測。1.1.3.??????? 支持各類標(biāo)準(zhǔn)網(wǎng)絡(luò)服務(wù)和協(xié)議
天網(wǎng)防火墻是從設(shè)計上就是為網(wǎng)絡(luò)而設(shè)計的,由此天網(wǎng)防火墻充分考慮了用戶的需要,在天網(wǎng)防火墻內(nèi)部的NAT系統(tǒng)同時支持九十多種通信協(xié)議(包括IGMP、ICMP、TCP、UDP等)和七百多種TCP/UDP服務(wù),其中主要部分包括: 常用服務(wù): HTTP、FTP、SMTP、NNTP、TELNET、ECHO、FINGER、SYSTAT、DYATIME、DNS、TFTP、GOPHER、POP3、RTELNET、RLOGIN、CISCO-SYS、SNMP、IRC、IMAP4、UUCP等; 數(shù)據(jù)庫服務(wù): Oracle SQL*NET、SQL-NET、ODBC、SQLSRV、SQLSERV等; 多媒體流: Progressive Networks RealAudio、Xing Technologies Streamworks、 White Pines CuSeeMe、Vocal Tec Internet Phone、VDOnet VDOLive、 Microsoft NetShow、Vxtreme Web Theater 2 等。支持H.323及SIP應(yīng)用,包括Intel Internet Video Phone、Microsoft Netmeeting 等; 特殊服務(wù): NetBios、RPC; Microsoft Network 可以通過本防火墻系統(tǒng)進行通信。同時支持Remote Procedure Call。使用Windows、Windows NT的網(wǎng)絡(luò)系統(tǒng)也可以采用本系統(tǒng)作為保護企業(yè)數(shù)據(jù)的防火墻。 支持TRACERT及TRACEROUTE命令,包括Visualroute等; 天網(wǎng)防火墻支持多種網(wǎng)絡(luò)服務(wù)可以滿足用戶平時的各種的需要,使用戶在使用天網(wǎng)防火墻的時候感受不到防火墻的存在。?
1.1.4.??????? 支持DMZ區(qū)可增加管理區(qū)域
采用DMZ 停火區(qū)的方式能夠有效的保護用戶對外發(fā)布信息的服務(wù)器,如web服務(wù)器、郵件服務(wù)器和DNS服務(wù)器 等等。天網(wǎng)防火墻提供的DMZ 配置能夠隱藏服務(wù)器的真實地址,在保證對外提供正常服務(wù)的同時保護服務(wù)器不受非法***。停火區(qū)的服務(wù)器與局域網(wǎng)分開放置,這樣能夠禁止外部對內(nèi)部網(wǎng)絡(luò)其他系統(tǒng)的訪問,從而減小外來***的可能性。1.1.5.??????? 基于狀態(tài)檢測的包過濾
包過濾技術(shù),是防火墻中最主要的安全技術(shù),它是通過防火墻對進出網(wǎng)絡(luò)的數(shù)據(jù)流進行控制和操作,系統(tǒng)管理員可以設(shè)定一系列的規(guī)則,來指定那些地址,那些類型的數(shù)據(jù)包可以通過。 天網(wǎng)防火墻在此基礎(chǔ)上采用了最為先進的狀態(tài)包過濾的技術(shù),不但能夠根據(jù)數(shù)據(jù)包的源地址、目標(biāo)地址、協(xié)議類型、源端口、目標(biāo)端口以及網(wǎng)絡(luò)接口等數(shù)據(jù)包進行控制,而且能夠記錄通過防火墻的連接狀態(tài),通過連接狀態(tài)進行更迅速更安全的過濾。?
1.1.6.??????? 完善的訪問控制
天網(wǎng)防火墻靈活的安全規(guī)則設(shè)置,可以使得管理員根據(jù)網(wǎng)絡(luò)環(huán)境的需要從以下幾個方面來設(shè)定安全規(guī)則: ◆ 數(shù)據(jù)包的源、目的地址 ◆ 協(xié)議類型 ◆ 數(shù)據(jù)包的源、目的端口 ◆???? 數(shù)據(jù)包通過的網(wǎng)絡(luò)接口 ◆???? 時間管理 系統(tǒng)提供了大量的常見服務(wù)類型供管理員配置選用。通過與應(yīng)用層代理的結(jié)合,能夠形成多層次的訪問控制。?
1.1.7.??????? 包過濾功能的透明網(wǎng)橋
天網(wǎng)防火墻能夠以透明網(wǎng)橋模式工作。它工作于透明橋結(jié)構(gòu)之上,實現(xiàn)于數(shù)據(jù)鏈路層,因此無需IP 地址;無IP 的防火墻則沒有任何被***的目標(biāo),保證了防火墻自身的絕對安全,進而也保證了內(nèi)部網(wǎng)絡(luò)的安全。同時透明防火墻還有一個優(yōu)點是在安裝防火墻時,可以直接放置在網(wǎng)絡(luò)中,而無須改動用戶原有的網(wǎng)絡(luò)拓?fù)?/span> 。而且,相對于一般橋接器的橋接功能,天網(wǎng)防火墻在進行橋接功能的同時,還能實現(xiàn)包過濾功能,可以對通過防火墻的數(shù)據(jù)包進行安全檢測,并且根據(jù)一定的安全策略對某些數(shù)據(jù)包進行攔截,從而保證在完成橋接功能的同時,維護網(wǎng)絡(luò)的安全性。1.1.8.??????? TCP標(biāo)志位檢測
在大多數(shù)的防火墻里,都缺少對連接是從哪方主動發(fā)起進行判斷的選項,這將導(dǎo)致一個潛在的安全隱患是***者可能可以從一個外部主機的某個常用服務(wù)端口連入內(nèi)部主機的高端口。例如,如果允許內(nèi)部主機訪問外部主機的telnet服務(wù),這個方向連接的所有包應(yīng)該是必須包含ACK位的,也就是說,不是主動發(fā)起的連接。但通常的防火墻的包過濾功能里并沒有檢查ACK位的設(shè)置,因此,***者就可以從外部主機的源23端口發(fā)起連接到內(nèi)部主機的高端口(>1023)。天網(wǎng)防火墻系統(tǒng)通過在安全規(guī)則上的設(shè)置對數(shù)據(jù)包的SYN/ACK等標(biāo)志位進行合法性檢測和判斷,防止不法***者利用常用服務(wù)的低端口與內(nèi)部主機的高端口的連接,從而***內(nèi)部主機,與其它同類產(chǎn)品相比天網(wǎng)防火墻的TCP標(biāo)志位檢查是最嚴(yán)格的,也是最安全的,從而最大的程度上保障用戶的網(wǎng)絡(luò)安全。?
1.1.9.??????? 網(wǎng)絡(luò)接口可綁定多個IP地址
天網(wǎng)防火墻為保障用戶未來網(wǎng)絡(luò)的擴大與升級,采取了一個接口處可以綁定多個IP地址,即相當(dāng)于一個接口可以變成多個接口,連接多個網(wǎng)絡(luò)。一個接口上綁定多個IP地址能夠盡量的發(fā)揮防火墻的作用,使內(nèi)部網(wǎng)的網(wǎng)絡(luò)都連接到防火墻上,從而內(nèi)部網(wǎng)都處于防火墻的保護狀態(tài)下。1.1.10.?? IP地址與MAC地址綁定
在內(nèi)部網(wǎng)絡(luò)的應(yīng)用中,經(jīng)常會遇到內(nèi)部網(wǎng)絡(luò)用戶擅自修改IP地址,以獲取一個合法IP地址來進行相應(yīng)的網(wǎng)絡(luò)應(yīng)用,這樣會使內(nèi)部網(wǎng)絡(luò)在地址資源的分配和使用上出現(xiàn)混亂,大大影響內(nèi)部網(wǎng)絡(luò)的正常運行,而且在網(wǎng)絡(luò)事故發(fā)生以后,也加大了地址追尋的難度。天網(wǎng)防火墻所具有的MAC地址綁定功能可以很好的解決這個問題。當(dāng)網(wǎng)絡(luò)用戶被分配或自行設(shè)定一個IP地址以后,防火墻系統(tǒng)就能接收到相應(yīng)的地址廣播,在防火墻系統(tǒng)上列出相應(yīng)的IP地址與MAC地址,并可以選擇是否把這個IP地址與相應(yīng)的MAC地址綁定,這樣可限定IP地址只能在一臺指定的工作站上使用,大大方便了網(wǎng)絡(luò)的IP地址管理。1.1.11.?? 系統(tǒng)操作記錄
網(wǎng)絡(luò)安全最大的問題并不是技術(shù)上的問題,而是因為人的問題。雖然天網(wǎng)防火墻在自身上花了許多工夫來保持防火墻自身在惡意***的***下的安全,但是在很多時候由于管理員的疏忽,沒有修改掉防火墻的默認(rèn)密碼或者設(shè)置了簡單的密碼而被惡意***者猜解出來,這樣會嚴(yán)重的威脅到網(wǎng)絡(luò)的安全性,由此天網(wǎng)防火墻設(shè)置了系統(tǒng)操作記錄,清晰的記錄管理員身份用戶登陸防火墻的一舉一動,為事后追查提供完備的依據(jù)。由于系統(tǒng)操作記錄記錄了管理員身份用戶的一舉一動,所以系統(tǒng)操作記錄是不可刪除的,即便超級用戶也沒有權(quán)限進行刪除操作,從根本上保證系統(tǒng)操作記錄的安全性。?
1.1.12.?? 支持巨量并發(fā)連接數(shù)和NAT連接數(shù)
天網(wǎng)防火墻為防火墻專門設(shè)計的操作系統(tǒng),軟件與硬件的一體化設(shè)計,使得天網(wǎng)防火墻在整體與其他同類型的防火墻比較起來具有更高的效率,更好的性能,所以天網(wǎng)防火墻在正常情況下,能夠支持巨量的并發(fā)連接數(shù),尤其天網(wǎng)千兆防火墻在硬件上進行了專門的優(yōu)化,最多可支持的并發(fā)連接數(shù)目達到300萬條,足夠滿足電信級的應(yīng)用需求。?
1.1.13.?? 增強型加密中文WEB管理界面
天網(wǎng)防火墻是國人自主知識產(chǎn)權(quán)的防火墻,它是完全根據(jù)國人的使用習(xí)慣而設(shè)計的管理界面,采取了三種管理方式,其中最為常用的WEB管理界面具有直觀易用等特點,為了防止用戶設(shè)置的數(shù)據(jù)遭監(jiān)聽,防火墻采取128位加密數(shù)據(jù)傳輸,并采用防止密碼猜解和通過各類脆弱性測試,保證防火墻的絕對安全。在防火墻管理上考慮到升級的需求,用戶可以通過WEB管理頁面直接上載升級數(shù)據(jù)包,即可完成防火墻系統(tǒng)升級服務(wù),操作非常的方便。?
?
1.1.14.?? 支持非標(biāo)準(zhǔn)標(biāo)志位
天網(wǎng)防火墻充分研究網(wǎng)絡(luò)中的各個應(yīng)用程序的數(shù)據(jù)包,針對一些郵件服務(wù)器在使用esmtp驗證的時候發(fā)送一些特殊結(jié)構(gòu)的數(shù)據(jù)包,天網(wǎng)防火墻也做了特殊的技術(shù)處理,能夠很好支持此類非標(biāo)準(zhǔn)的esmtp數(shù)據(jù)包,保證用戶的正常使用。?
安全應(yīng)用控制功能
隨著網(wǎng)絡(luò)技術(shù)的發(fā)展,各種應(yīng)用技術(shù)的發(fā)展和成熟,網(wǎng)絡(luò)的規(guī)模不斷增大,網(wǎng)絡(luò)內(nèi)部的主機數(shù)量不斷增加。當(dāng)前的網(wǎng)絡(luò)存在著這么幾個問題,首先是海量并發(fā)連接的處理能力,實現(xiàn)數(shù)據(jù)包的快速轉(zhuǎn)發(fā),路由器成了網(wǎng)絡(luò)的瓶頸;第二,用戶帶寬的無序競爭日益激烈,關(guān)鍵業(yè)務(wù)無法優(yōu)先處理,造成工作效率不高;第三,BT軟件的濫用使惡意競爭帶寬更白熱化,極大地破壞了網(wǎng)絡(luò)的有序應(yīng)用;第四,病毒爆發(fā),海量病毒數(shù)據(jù)包沖斥整個網(wǎng)絡(luò),使得整個網(wǎng)絡(luò)處于崩潰狀態(tài)。 那么,如何解決上面這四個問題,讓企業(yè)享受信息技術(shù)發(fā)展成果,成了信息化工作的重中之重。為此,廣東天訊電信科技有限公司利用自身防火墻技術(shù)領(lǐng)域的優(yōu)勢,在傳統(tǒng)的天網(wǎng)防火墻基礎(chǔ)上,開發(fā)出了功能更強大,管理更方便,更貼近客戶需求的安全應(yīng)用控制功能。1.1.15.?? 管理大量IP的能力
天網(wǎng)防火墻系列產(chǎn)品定位就是給千臺以上的主機進行局域網(wǎng)絡(luò)管理。普通的路由和防火墻只能在這種網(wǎng)絡(luò)環(huán)境下提供簡單的NAT和簡單的過濾。如果在這種網(wǎng)絡(luò)環(huán)境下再進行Qos或者復(fù)雜防火墻過濾,系統(tǒng)就會很容易崩潰。 天網(wǎng)防火墻均選用強勁性能處理器,強大的運算能力保障了系統(tǒng)可以承載數(shù)千臺主機的每秒數(shù)以萬計的數(shù)據(jù)包的通過和處理。 為了適應(yīng)面向IP對象,和大量主機的信息管理,天網(wǎng)防火墻重新構(gòu)造了整個網(wǎng)絡(luò)包處理體系,使之能夠管理如此大量的主機信息,而性能又不會因為大量運算而下降,原有網(wǎng)絡(luò)OS全部根據(jù)大容量和大運算量的要求進行重寫。硬件和軟件性能的大幅度提高,確保了SNS能在大規(guī)模網(wǎng)絡(luò)環(huán)境運算中游刃有余。1.1.16.?? 對大量數(shù)據(jù)包的***防御
天網(wǎng)防火墻的組功能中最大上下行包數(shù)的限制功能,主要是針對網(wǎng)絡(luò)里病毒感染或者***的惡意***行為制定的。病毒或者***通過發(fā)送大量數(shù)據(jù)包到網(wǎng)關(guān)或者網(wǎng)絡(luò)出口,使路由器或者防火墻忙于處理大量毫無意義的數(shù)據(jù)包,同時這些無意義的數(shù)據(jù)包又占據(jù)掉有限的帶寬資源。使正常的通信根本不能得到帶寬資源。 在正常的通信情況下,每臺主機每秒鐘發(fā)出的數(shù)據(jù)包的數(shù)量都不會超過一定的數(shù)值。當(dāng)然這個數(shù)字會隨著帶寬增加而增加,但是這個數(shù)值一般只是幾百。但是當(dāng)主機感染病毒發(fā)作或者***軟件***時,這個數(shù)值就會達到上萬。這時,就可以判斷這個主機的訪問不正常,屬于惡意***。 天網(wǎng)防火墻的***防御也是根據(jù)這種原理設(shè)計的。設(shè)定單臺主機的上行包數(shù)量的上限,通常是幾百就可以了。當(dāng)主機每秒發(fā)出包數(shù)超過這個閥值,剩下的數(shù)據(jù)包就會被丟棄。使這些***數(shù)據(jù)包不能占據(jù)帶寬資源。也避免路由器處理大量無意義的數(shù)據(jù)包而崩潰。1.1.17.?? 抵御各種DoS***
天網(wǎng)防火墻跟蹤最新***技術(shù),最早開發(fā)出針對網(wǎng)絡(luò)上比較流行的DoS***的防御網(wǎng)關(guān),它所采取國際首創(chuàng)的技術(shù),能夠從最根本上防止 DoS的***行為!天網(wǎng)防火墻采用經(jīng)過優(yōu)化的TCP連接監(jiān)控方式來保護防火墻內(nèi)的脆弱機器。這種算法的特點是在處理TCP連接請求的時候,在確定連接請求是否合法以前,用戶端與服務(wù)端是隔斷的。這就令到DoS***者在發(fā)動***的時候并不能直接連接到防火墻內(nèi)部的機器,所以***者所發(fā)出的所有DoS***包只能到達防火墻,從而保護了防火墻內(nèi)部的機器不受到DoS***。而且,天網(wǎng)防火墻通過高效的算法(64K位的Hash)提供了超過300萬以上的同時連接數(shù)的容量,為數(shù)據(jù)傳輸?shù)母咝Ш涂煽刻峁┝藦娪辛Φ谋U稀?/span> ?????????????????????????1.1.18.?? 有效過濾大量IP的防火墻機制
天網(wǎng)防火墻除了支持象傳統(tǒng)防火墻的規(guī)則條目設(shè)置,同時也支持以IP或者端口群組的模式進行過濾規(guī)則設(shè)置。假設(shè)我們要過濾1萬個×××、反動網(wǎng)站。在傳統(tǒng)防火墻設(shè)置里,我們可能要寫下1萬個條過濾網(wǎng)站的規(guī)則。1萬條可是一個驚人的數(shù)字,如果每個數(shù)據(jù)包都要經(jīng)過這1萬條過濾規(guī)則的校驗,你的路由器估計處理不了多少個數(shù)據(jù)包。 天網(wǎng)防火墻特有的IP群組功能,可以把大量IP編輯到一個群組,如果你要過濾這個群組的IP,只需要設(shè)置一條防火墻規(guī)則,這條規(guī)則聲明訪問這個群組的IP包丟棄即可。當(dāng)然,這條規(guī)則也還是要在這個群組的上萬IP中檢索,但是天網(wǎng)防火墻特有檢索算法可以數(shù)量級的提高檢索速度,這是傳統(tǒng)的順序檢索所不能比的。群組的IP經(jīng)過預(yù)先的索引,不會因為IP數(shù)量增加,檢索時間就增長。因此,過濾數(shù)量越多IP,就越能體現(xiàn)天網(wǎng)防火墻的速度優(yōu)勢。1.1.19.?? 域名信息緩存
天網(wǎng)防火墻可以監(jiān)控并記錄網(wǎng)絡(luò)內(nèi)所有的DNS查詢,并緩存域名和IP記錄。這樣,管理人員察看用戶連接情況時,看到的就不是毫無意義的IP地址,而是具體的域名。這樣就可以更清晰的察看用戶的上網(wǎng)情況。1.1.20.?? ×××數(shù)據(jù)安全傳輸
虛擬專網(wǎng)(×××)技術(shù)是指在公共網(wǎng)絡(luò)中建立專用網(wǎng)絡(luò),數(shù)據(jù)通過安全的“加密管道”在公共網(wǎng)絡(luò)中傳播。企業(yè)只需要租用本地的數(shù)據(jù)專線,連接上本地的公眾信息網(wǎng),各地的機構(gòu)就可以互相傳遞信息;同時,企業(yè)還可以利用公眾信息網(wǎng)的撥號接入設(shè)備,讓自己的用戶撥號到公眾信息網(wǎng)上,就可以連接進入企業(yè)網(wǎng)中。使用×××有節(jié)省成本、提供遠程訪問、擴展性強、便于管理和實現(xiàn)全面控制等好處。 天網(wǎng)防火墻同時提供安全可靠的基于IPSEC ×××服務(wù)和提供移動用戶撥號的PPTP/L2TP ×××服務(wù)。 天網(wǎng)防火墻還提供天匙×××服務(wù),是天網(wǎng)防火墻研發(fā)的一種專用×××服務(wù),具有高度的安全性以及比IPSEC更快速的傳輸速度,可以有效地提高×××數(shù)據(jù)的工作效率。 天匙×××服務(wù)器提供不同網(wǎng)絡(luò)之間的×××互連。天匙的×××連接是基于UDP或者TCP 的隧道(tunnel)進行通信,子網(wǎng)的數(shù)據(jù)加密后通過tunnel進行傳輸。子網(wǎng)之間由一方發(fā)起請求建立tunnel,然后子網(wǎng)的通信就可以透明的在兩個網(wǎng)絡(luò)間進行。由于使用Tunnel的方式,可以透過作地址轉(zhuǎn)換的防火墻,實現(xiàn)防火墻后面的子網(wǎng)互聯(lián)。網(wǎng)絡(luò)行為管理功能
1.1.21.?? 實時系統(tǒng)監(jiān)控系統(tǒng)和網(wǎng)絡(luò)狀態(tài)
天網(wǎng)防火墻從設(shè)計的時候始終站在用戶的角度去考慮,盡量簡化用戶的操作,盡量的給用戶直觀、可試化的報告。天網(wǎng)防火墻在正常工作狀態(tài)下,用戶可以通過管理端清楚的查看到防火墻當(dāng)前的系統(tǒng)資源、運行狀態(tài)以及正在進行的各個連接的連接狀態(tài),包括當(dāng)前活動的URL地址信息,使得用戶可以清楚的了解到各個用戶對網(wǎng)絡(luò)的使用情況,并從中發(fā)現(xiàn)可疑的問題,做到早期發(fā)現(xiàn)問題,早期處理。?
1.1.22.?? 網(wǎng)絡(luò)數(shù)據(jù)記錄
網(wǎng)絡(luò)管理員在管理網(wǎng)絡(luò)的時候通常要檢查網(wǎng)絡(luò)的流量,網(wǎng)絡(luò)數(shù)據(jù)記錄模塊是專門為方便網(wǎng)絡(luò)管理員而設(shè)計的,能夠非常直觀的看到流經(jīng)防火墻的數(shù)據(jù)類型、流量和連接數(shù),方便管理員及時的發(fā)現(xiàn)問題。1.1.23.?? 第七層協(xié)議智能分析技術(shù)
傳統(tǒng)的流量識別技術(shù)都是以端口做為識別手段,比如QQ是用4000和8000,以前的作法是在防火墻上直接將對應(yīng)的端口進行關(guān)閉,達到封堵流量的目的。但是,隨著動態(tài)端口技術(shù)在網(wǎng)絡(luò)應(yīng)用開發(fā)中的推廣和采用,利用端口進行流量控制的年代已經(jīng)一去不復(fù)了。 天網(wǎng)團隊利用自身的安全技術(shù)優(yōu)勢,廣泛采集和分析各種七層應(yīng)用流量數(shù)據(jù)包,經(jīng)過無數(shù)次數(shù)據(jù)提取和比較,終于建立一套七層協(xié)議流量的分析模型。根據(jù)此模型,確立了業(yè)界最為先進的第七層協(xié)議智能分析技術(shù)。第七層協(xié)議分析技術(shù)是以協(xié)議數(shù)據(jù)包的特征碼為識別標(biāo)志,不論該協(xié)議流量利用什么端口進行傳輸,都可以準(zhǔn)確無誤地標(biāo)識出來。 目前,天網(wǎng)防火墻的動態(tài)七層協(xié)議分析功能已經(jīng)可以分析出一百多種常用和流行的協(xié)議,比如QQ、MSN、ICQ、SKYPE、BT、迅雷、KUGOO、電驢、電騾、TELNET、FTP、SSL、TFTP、POP3、SMTP、H.323、VoIP、CS、魔獸、魔獸世界……更多的協(xié)議正在添加中…… 利用動態(tài)七層協(xié)議智能分析技術(shù),可以有效地對網(wǎng)絡(luò)流量進行識別,并對垃圾流量進行清洗,保證網(wǎng)絡(luò)關(guān)鍵業(yè)務(wù)的暢通無阻和優(yōu)先處理。?
1.1.24. 基于單個IP或者IP組為對象的網(wǎng)絡(luò)管理功能
傳統(tǒng)的路由器和防火墻的管理都是基于規(guī)則列表的形式進行設(shè)置。如果要對局域網(wǎng)內(nèi)的不同的IP定義不同防火墻規(guī)則或者QOS規(guī)則,將會形成龐大規(guī)則列表,系統(tǒng)對數(shù)據(jù)包進行處理時將要搜索這個龐大的列表,這種方式設(shè)置麻煩,處理的效率低下。 天網(wǎng)防火墻的網(wǎng)絡(luò)管理功能是基于IP進行設(shè)置和管理的。你可以為局域網(wǎng)的IP定義不同管理組里,在組里面,你可以定義這些IP的網(wǎng)絡(luò)行為,比如最大上下行帶寬,每秒通過的包數(shù),最大連接數(shù)等,還可以定制這個IP組的防火墻過濾規(guī)則,約束這些IP地上網(wǎng)行為。局域網(wǎng)內(nèi)的每個IP都屬于這些權(quán)限組的其中之一。一個IP屬于某權(quán)限組后,系統(tǒng)將按照權(quán)限組的定義管理這個IP的網(wǎng)絡(luò)行為。系統(tǒng)同時以IP為單位對流量信息和連接信息進行記錄。 天網(wǎng)防火墻的每個組可以管理以下信息: 1.? 最大上行帶寬; 2.? 最大下行帶寬; 3.? 每秒最多上行包數(shù); 4.? 每秒最大下行包數(shù); 5.? 最大并發(fā)連接數(shù); 6.? 針對IP的防火墻過濾規(guī)則組; 天網(wǎng)防火墻是面向單個IP為對象的路由和防火墻管理體系,這是傳統(tǒng)路由和防火墻所沒有的功能。1.1.25.?? 動態(tài)帶寬調(diào)節(jié)功能
天網(wǎng)防火墻支持動態(tài)帶寬調(diào)節(jié)功能,除了在權(quán)限組里設(shè)置的帶寬值外,每個用戶的帶寬可以根據(jù)一些外部的條件進行自動調(diào)整。可以根據(jù)三種條件進行帶寬的自動調(diào)整: 1.? 時間,包括工作日和每天的時間段; 2.? 在線主機數(shù)量; 3.? 網(wǎng)絡(luò)總連接數(shù)。 可以為每個權(quán)限組定制一系列的帶寬調(diào)節(jié)規(guī)則,系統(tǒng)會根據(jù)規(guī)則的次序,自動找到當(dāng)前條件匹配的規(guī)則,重新定制當(dāng)前的上下行帶寬數(shù)值,實現(xiàn)帶寬的自動調(diào)節(jié)。1.1.26.?? 最低帶寬保證功能
由于現(xiàn)實應(yīng)用需求的不斷增長,很多客戶要求在限制管理各臺PC最大帶寬的情況下,還要求可以保證最低帶寬。 天網(wǎng)防火墻利用優(yōu)先的帶寬分配算法,可以對有限的帶寬進行科學(xué)合理的靈活分配,同時做到按協(xié)議類型、服務(wù)類型和IP網(wǎng)段等條件,保證用戶的最低帶寬使用,保護關(guān)鍵業(yè)務(wù)的開展。1.1.27.?? 根據(jù)端口的連接數(shù)限制功能??
權(quán)限組里面可以設(shè)定每臺主機的總連接數(shù),但是緊緊根據(jù)總連接數(shù)去限制一些多連接服務(wù),可能會有矯枉過正的問題,因為,也存在很多多連接的應(yīng)用,比如 瀏覽網(wǎng)頁,這樣,如果總連接數(shù)定的太小,就會影響這些應(yīng)用的正常運行。如果總連接數(shù)過多,就不能限制象BT這樣的多連接應(yīng)用。 因此,特別定制了根據(jù)端口范圍的連接限制功能,可以根據(jù)端口范圍設(shè)定在該范圍內(nèi)的總連接數(shù)目,比如 BT使用的都是1024以上的端口,我們可以設(shè)定1024以上端口的連接數(shù)到一個很小的數(shù)值,這樣BT的很多連接都不能建立。同時又能保證80這樣的服務(wù)的連接正常通過。就能有效的抑制BT這樣占用帶寬應(yīng)用。1.1.28.?? 防止惡意占用帶寬
除了病毒和******以外,惡意的帶寬占用行為,主要是指使用一些大流量的網(wǎng)絡(luò)應(yīng)用(如FTP、BT、視頻、實時點播等)。在一個大型局域網(wǎng)里面,沒有帶寬管理,結(jié)果是可想而知的。本來有限的帶寬資源平均分配后,每個用戶所能得到的就有限,某些家伙使用大流量的應(yīng)用之后,其它用戶所能得到的帶寬就更少。大流量的應(yīng)用占用帶寬之后,直接影響別的應(yīng)用的質(zhì)量,通常是實時性要求比較高的網(wǎng)絡(luò)應(yīng)用,如網(wǎng)絡(luò)游戲等交互式應(yīng)用。在網(wǎng)吧,或者小區(qū)網(wǎng)絡(luò)環(huán)境下,幾個使用BT下載的家伙就可以使這個網(wǎng)絡(luò)的游戲玩家出現(xiàn)卡機,掉線的現(xiàn)象。BT是網(wǎng)絡(luò)管理員最為討厭的軟件之一,它不僅占據(jù)帶寬,而且它是多連接的應(yīng)用,一臺主機的BT下載打開后,會發(fā)起成百上千的連接,太多得連接會占用路由器的處理器和內(nèi)存資源,降低路由器的性能。 天網(wǎng)防火墻的帶寬管理功能可以對數(shù)千臺主機的帶寬進行管理,防止它們超過限制數(shù)值。同時,帶寬管理可以依據(jù)時間段設(shè)置,可以在繁忙時段降低帶寬限制值,在空閑時段提高限制值,以此提高帶寬的利用率。 同時,為了限制BT這些多連接應(yīng)用,天網(wǎng)防火墻實現(xiàn)了大多數(shù)路由器和防火墻沒有實現(xiàn)的功能。限制單個IP地址的連接數(shù)。通過設(shè)定較小的許可并發(fā)連接數(shù),可以有效的抑制多連接應(yīng)用的運行。?
1.1.29.??? 關(guān)鍵字內(nèi)容過濾
網(wǎng)絡(luò)的膨脹,讓很多不應(yīng)該進入網(wǎng)絡(luò)里面的東西到處充斥在網(wǎng)絡(luò)之中,網(wǎng)絡(luò)管理員要想把這些東西和內(nèi)部網(wǎng)絡(luò)隔離開來,實在是一件非常麻煩的事情。天網(wǎng)防火墻的內(nèi)容過濾為專門解決這個問題而設(shè)計的,它工作在應(yīng)用層能夠監(jiān)視每一個連接的內(nèi)容,發(fā)現(xiàn)與設(shè)置的關(guān)鍵字匹配,就可以馬上向兩邊發(fā)送reset,從而斷開兩邊的連接,保證用戶不能訪問到包含不合適的內(nèi)容。1.1.30.?? 支持URL攔截
在日常網(wǎng)絡(luò)管理中,管理員經(jīng)常需要控制內(nèi)部網(wǎng)絡(luò)對某些站點的訪問,如防止某些用戶訪問某些×××站點等等,或者僅允許部分用戶訪問某些站點,這個時候就需要有嚴(yán)格的管理工具來實現(xiàn),而且由于防火墻是工作在網(wǎng)絡(luò)層,而這些訪問信息包含在應(yīng)用層,所以必須在防火墻上增加一些功能模塊來實現(xiàn)。 天網(wǎng)防火墻提供支持中文URL級的過濾,它可以做到控制,屏蔽用戶通過其他代理服務(wù)器訪問web站點。系統(tǒng)可以根據(jù)黑名單對用戶訪問的URL進行攔截或放行的處理。 同時,天網(wǎng)防火墻還可能針對不同的后綴名文件類型進行下載控制。1.1.31.?? 管理內(nèi)部網(wǎng)聊天工具
天網(wǎng)防火墻群組過濾功能特別適合過濾一些聊天工具。現(xiàn)實常用的聊天網(wǎng)站,QQ、MSN、POPO等,都是一個龐大的服務(wù)器機群。擁有數(shù)百臺服務(wù)器主機。而且這些聊天服務(wù)最可惡的是會使用TCP 80端口接受訪問,使通過端口過濾的方法不能實現(xiàn),傳統(tǒng)的防火墻過濾數(shù)百個IP又是極其麻煩的事情。 有了群組過濾功能,這些事情就很簡單了,我們就直接定義MSN、QQ這些IP組,然后直接過濾這些組就可以了。而且的防火墻規(guī)則可以設(shè)定生效時間。因此,你可以通過設(shè)定規(guī)則,使員工上班不能聊天,下班時間又放開。這樣就不會讓員工抱怨限制過多。1.1.32.??? 精確到單個主機和連接信息記錄功能
天網(wǎng)防火墻擁有強大的主機信息記錄功能。系統(tǒng)內(nèi)部會為所有管理的主機都分配流量信息記錄結(jié)構(gòu),因此可以統(tǒng)計出局域網(wǎng)內(nèi)所有主機的流量信息。系統(tǒng)也是依據(jù)這些信息對每臺機器的上下行包數(shù),上下行帶寬進行控制。系統(tǒng)對每臺主機的信息記錄精確到它的每個連接。系統(tǒng)記錄的信息包括: 1.? 每臺主機的上下行流量和速率; 2.? 每臺主機的上下行包數(shù)和包速率; 3.? 每臺主機的TCP和UDP連接數(shù)目; 4.? 每臺主機的每個連接的目的地址,端口,域名(網(wǎng)絡(luò)查詢過的域名會進行緩存); 5.? 每個連接的上下行流量和速率; 6.? 每個連接的上下行包數(shù)和包速率; 7.? 每個連接的起止時間; 8.? 每個連接的狀態(tài)。 可以設(shè)定數(shù)據(jù)采樣的時間間隔,系統(tǒng)將當(dāng)時這個局域網(wǎng)流量信息采樣,并記錄到硬盤。這樣,管理人員就可以查找數(shù)天前的網(wǎng)絡(luò)狀況,在網(wǎng)絡(luò)故障后,管理員可以察看歷史紀(jì)錄,判定是什么主機占用了資源。對于企業(yè)用戶,可以察看員工的所有上網(wǎng)記錄。?
?
?
?
轉(zhuǎn)載于:https://blog.51cto.com/kingzoo/50433
總結(jié)
以上是生活随笔為你收集整理的天网防火墙技术白皮书的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 手动修改美化7zip图标 - 附替换文件
- 下一篇: lisp成套电气设计_关于成套设计转电气