KILL防火墙

KILL防火墙技术白皮书北京冠群金辰软件有限公司-1-目录产品概述.............................................................................................................2KILL防火墙工作原理.....................................................................................2防火墙的类型..............................................................................................................2安全的网络结构..........................................................................................................4安全的体系结构..........................................................................................................5主要功能特性.....................................................................................................6关键技术.............................................................................................................7认证、授权、记帐（AAA）.....................................................................................7实时的连接状态监控功能..........................................................................................8动态过滤技术..............................................................................................................9IP地址盗用自动检测技术.........................................................................................9灵活多样的网络地址转换（NAT）........................................................................10高性能的透明代理技术............................................................................................11短信过滤....................................................................................................................11流量控制管理............................................................................................................12带宽管理....................................................................................................................12基于SSL的远程管理...............................................................................................12支持SNMP（简单网络管理协议）........................................................................13抗攻击和自我保护能力............................................................................................13工作模式的多样性....................................................................................................13秒级双机热备份........................................................................................................14国际标准的日志格式................................................................................................15审计和告警功能........................................................................................................15操作简单的图形化用户界面....................................................................................15系统硬件指标...................................................................................................16防火墙的硬件配置指标（标准1U）......................................................................16系统功能指标列表....................................................................................................16-2-产产品品概概述述随着网络安全问题的日益激涨，防火墙已成为网络建设中不可或缺的安全设施被广大用户所接受。由于防火墙处于网络的临界点、安全内部网络和不可信外部实体相交界的位置，所有内外交换的数据流量的集中点，其性能、可用性、可靠性、安全性等都得到更进一步的重视。冠群金辰的防火墙产品KILL防火墙有效的解决并改善了现有防火墙在性能及功能上存在的缺陷，综合使用了状态检测和动态包过滤、应用代理、网络层、应用层入侵检测等各种先进的安全技术，是业界领先的复合型防火墙。该防火墙不仅在安全性，效率，稳定性等方面有重大突破，并且在国内首家实现了完全基于用户的访问控制，从根本上提高了安全性。高效率，高安全性的Kill防火墙将强大的信息分析功能、高效包过滤功能、多种反电子欺骗手段、多种安全措施综合运用，它根据系统管理者设定的安全规则保护内部网络，提供完善的安全性设置，通过高性能的网络核心进行访问控制。同时提供网络地址转换、透明的代理服务、信息过滤、内容过滤、双机热备份、流量控制、带宽管理，用户身份认证等功能。系统采用模块化设计，通过直观、简明的图形化用户界面（GUI）对系统进行配置和操作。是一套功能全面、安全性高的网络安全系统Kill防火墙是北京冠群金辰软件有限公司网络安全产品中性能优越、应用广泛的一个产品，拥有完整的产品线，可分别满足从家庭用户、中小企业用户到电信级用户的不同网络安全需求，具有广泛的适应能力。KKIILLLL防防火火墙墙工工作作原原理理防火墙的类型典型的防火墙包括路由式防火墙、Proxy防火墙和状态包过滤式防火墙。-3-简单包过滤防火墙（PacketFilterRouter）--防火墙会在数据处于网络层被路由时检测数据包，通过设定好的规则决定允许其通过或将其锁定。通常情况下，如果在规则中没有明确一个特定的数据包是否能够被通过，则在实际检测中遇到这种类型数据包时会将其抛弃掉。简单包过滤防火墙的缺点在于：对用户不能察觉，过滤的判断仅取决于对数据包内的部分数据，主要是IP报头的数据，对其它相关信息没有能力做出判断；没有针对应用的过滤，过滤器只根据数据报头进行判断，不涉及数据内容；无连接的可见性，在防火墙的过滤规则中没有网络连接的相关概念，不能根据通过网络传输的信息的连贯性来做出判断；没有对Datagram数据包的支持，不能对如UDP、TFTP和RPC等Datagram协议进行过滤控制；缺少可管理的反馈，在绝大多数情况下，此类防火墙没有标准的警告、日志信息。Proxy防火墙—由一系列代理服务进程组成。每一个代理服务都是一个运行在网关服务器上的应用，对应一个真实的应用服务器。任何一个想运行应用程序的用户必须首先登录到代理服务器上或这个应用程序必须被设定为支持代理服务的。这样，针对每一个应用的申请，代理服务器都会进行判断与过滤。Proxy防火墙的缺点主要在于性能比较低，每一个包都需要经过代理应用和网络协议堆栈两处，会影响数据包的通过效率；并不是所有的应用可以被代理型防火墙支持；另外，由于每一个应用都必须提供给防火墙唯一的代码，各应用都要支持代理的服务，因此会存在运行冲突和安全方面的限制。状态包过滤（StatefulPacketFilter）--状态包过滤器在网络层对流经的数据进行智能地检测。在一个TCP数据包传输过来时，防火墙首先会根据规则检查包的起始连接（state-of-connection）部分，之后创建一个连接，在其基础之上建立应用级的传输前后顺序关系，之后所有的数据包都会被监视其状态或顺序关系。根据防火墙收集到的数据包顺序关系，只有被验证过的数据包才能通过防火墙。这种类型的防火墙提供了一个较理想的性能与安全的平衡。Kill100防火墙采用的即是这种过滤技术。-4-安全的网络结构KILL防火墙标准配置时提供四个网络接口，能够将网络信息划分为不同的安全通道，基于每个安全通道定义不同的安全策略。其结构如图所示：KILL防火墙网络结构示意图内部网是被保护的网络，它不对外开放，也不对外提供任何服务，所以外部用户检测不到它的IP地址，也难以对它进行攻击。DMZ区又称非军事化区，它对外提供服务，系统开放的信息都放在该区，由于它的开放性，就使它成为黑客们攻击的对象，但由于它与内部网是隔离开的，所以即使因为服务器因为其自身漏洞（如溢出漏洞）受到了攻击也不会危及内部网。除图示防火墙的三个接口，另外一个接口可以作为管理接口，对防火墙的所有设置都通过该接口进行。它通过加密的信息通道，只对防火墙进行设置和操作，为防火墙的安全提供了保证。KILL防火墙四个网络接口相对独立，方便管理员监视和查询网络故障。管理员能够通过管理程序实现对四个网络接口间的通讯进行访问控制，并提供内部监控，日志审计等功能。当然，上述结构只是我们根据典型用户环境提出的建议，用户安全可以根据自身的实际情况灵活地使用防火墙的各个网络接口。例如，在没有安装KILL防火墙时的网络结构图如下：-5-安装KILL防火墙后的网络结构图如下：