搜索
1概述防火墙的作用是防止内部的信息系统遭受外部的攻击。它划定了一个边界,使经认证的局域网用户和管理员以及独立工作站和单机用户可以安全访问不可信的外部网络或接受这些外部网络的访问。它使边界中的所有成员都可以防止未授权系统的侵入、数据被修改和删除、拒绝服务和窃取资源或服务等攻击。防火墙能够使边界中的用户使用安全连接,数字处理、信息的传输和存储都受到保护。防火墙技术经过了十几年的不断完善,目前正处在技术的发展变化时期:在系统结构上朝着采用专用平台与专用协议栈、易于拓展方向发展;在功能上朝着功能完备、面向用户应用,进行细粒度的分析与过滤方向发展;在管理上朝着面向管理者,人性化方面发展;在性能上,朝着高吞吐率、高并发连接、低丢包率,能够保证网络报文高速、完整的传输方面发展。由亿阳信通设计并生产的亿阳网警系列防火墙本着用户需求第一的准则,采用了面向技术发展方向的设计思想,在全新的体系结构中融入了性能优异的专用算法,实现了防火墙管理的强安全性、高性能、高稳定性、利于管理,并具有易于扩展等特点。亿阳网警系列防火墙代表了防火墙技术的发展方向,将在相当一段时间内作为保护用户网络边界安全的主力军大量地应用于用户的各种业务网络和办公网络。亿阳网警BOCO.SFW-3000防火墙系列产品是基于状态检测的新一代高性能、高安全性产品。它稳定、可靠、抗攻击能力强、功能丰富、易于管理,适用于政府、企业、军队、公安、电子商务网站、金融、银行、税务、证券、教育等各种网络。亿阳网警BOCO.SFW-3000系列防火墙具有高速全状态包过滤、应用透明代理、MAC地址绑定、OTP/RADIUS用户认证、SNAT/DNAT双向地址转换功能、负载均衡功能,还提供了入侵检测、流量控制、虚拟专用网、日志服务、安全审计与报警等安全功能,系统配置管理基于控制台及WEB界面,灵活方便。支持全透明网络接入、VLAN环境、双机热备等,可为用户网络提供理想的安全解决方案。亿阳网警BOCO.SFW-3000防火墙系统符合GB/T18336-2001、GB/T18019-1999和GB/T18020-1999等国家标准,已经通过公安部计算机信息系统安全产品质量监督检验中心的检测,通过防火墙EAL3级认证,通过中国人民军信息安全测评认证中心的军用B+级认证,被权威评测机构“赛迪评测”评为精品防火墙产品。22产品系列防火墙系列包括:亿阳网警BOCO.SFW-3000S—中小企业级百兆防火墙亿阳网警BOCO.SFW-3000E—企业级百兆防火墙亿阳网警BOCO.SFW-3000P—电信级百兆防火墙亿阳网警BOCO.SFW-3000G—千兆防火墙亿阳网警防火墙日志服务器—系列防火墙的通用审计日志集中统一处理及管理平台3系统特点完全硬件实现亿阳网警BOCO.SFW-3000防火墙系统完全固化在FLASHROM中,属硬件防火墙,具有专用性强、稳定性高、速度快、安全等特点。专用操作平台亿阳网警BOCO.SFW-3000防火墙系统采用自主研发的专用安全操作系统作为整个系统的基础平台,由于专用的安全操作系统,没有后门、漏洞以及多余的服务,极大地提高了防火墙系统的自身的安全性。丰富的协议支持亿阳网警BOCO.SFW-3000系列防火墙支持多种数据链路层、网络层、应用层协议,可以适应各种用户网络环境。强安全性亿阳网警BOCO.SFW-3000防火墙提供了多种保护网络的安全措施,如果配置得当,可以保证用户网络的安全。抗攻击能力强亿阳网警BOCO.SFW-3000防火墙自身带有抗攻击模块,可以抵御已知的13个3大类包括几百种攻击行为。灵活的接入方式亿阳网警BOCO.SFW-3000防火墙提供多种接入模型,可以以路由方式接入,也可以以桥方式透明接入,还可以混合接入,支持TRUNK接入;可以有多个IP地址,可以只有一个IP地址,也可以没有IP地址,可灵活满足用户的各种网络环境的接入需求。实现完全透明亿阳网警BOCO.SFW-3000防火墙系统做到了真正的透明,即无论使用任何功能,对正常的用户来说防火墙系统都可以做到是不可感知的。很显然这样做有两个好处:防火墙系统的安装和卸载都不会影响网络的任何一部分,管理人员可以平滑地安装和卸下亿阳网警BOCO.SFW-3000防火墙系统。减少了用户的操作。一般情况下,用户为了使用代理服务器,要在客户端的应用程序(如浏览器、FTP程序)上设置代理的IP地址和端口,而且还要有一个前提,就是客户端应用程序必须支持代理(有很多种客户端应用程序是不支持代理的,如TELNET程序),使用亿阳网警BOCO.SFW-3000防火墙系统用户不必做任何设置,就可以使用代理服务,极大地方便了网络用户。实时的响应能力亿阳网警BOCO.SFW-3000防火墙在防火墙日志服务器的配合下,可以做到对紧急事件(如黑客的入侵)的及时响应,并可以通过E-mail等手段向管理人员报警。方便的操作使用亿阳网警BOCO.SFW-3000防火墙的安装和卸载都十分的简便,并且不会影响网络的其它设备。人性化的对象化管理对象化管理封装了防火墙的底层控制对象,使防火墙策略保持稳定。亿阳网警BOCO.SFW-3000防火墙对防火墙管理控制对象进行对象化管理,对象化管理的引入使防火墙策略对易变的底层控制对象保持稳定。4简单的配置管理无论利用哪一种管理方式,用户都可以发现亿阳网警BOCO.SFW-3000防火墙的配置非常之简单。优异性能的性能指标亿阳网警BOCO.SFW-3000防火墙系统基于高速的硬件平台和优良的操作系统平台,保证了整个系统运转和网络传输的高速安全。超强的扩充能力亿阳网警BOCO.SFW-3000防火墙系统的硬件和软件都是采用模块化设计,用户在购买基本系统之后,可以根据用户需求增加相应的软硬件模块,扩充系统能力。实时的日志集中统一管理为用户提供了实时的日志集中统一管理平台,具有链路层事件、网络层事件、应用层事件、入侵事件、操作事件等多种日志信息,日志实时地发往日志服务器,日志服务器可以进行日志的查询、统计、整理、事后分析、对紧急事件的报警等功能。完整的失败恢复机制防火墙采用双机热备份机制和配置双备份机制,能在多种灾难条件发生的情况下,保证防火墙安全正常地工作。4功能特点描述4.1专用安全平台采用自主研发的专用安全操作系统作为整个系统的基础平台,由于专用的安全操作系统没有后门、漏洞以及多余的服务,极大地提高了防火墙系统的自身的安全性。4.2全状态高速包过滤功能亿阳网警BOCO.SFW-3000防火墙采用了全状态检测的包过滤技术。利用状态检测技术可以对报文进行深度分析和处理,相对于静态包过滤具有更高的安全性和更加优异5的性能,即使在增加上万条安全策略的情况下,也不会降低防火墙的网络性能。亿阳网警BOCO.SFW-3000防火墙的包过滤功能可控制项包括:源IP地址目的IP地址协议类型(ICMP、TCP、UDP)源TCP/UDP端口目的TCP/UDP端口TCP报文标志IP分组选项域ICMP报文类型域和代码域包通信的日期和时间(包括起始时间、终止时间、星期、日)可以对报文或连接进行日志记录和统计。4.3透明代理代理的功能是对来自局域网内的用户的会话请求进行转发。从安全角度讲,这样做有以下几个用处:完全阻断了网络的传输通道。可以进行访问控制。隐藏了内部网络结构,因为最终请求是由防火墙发出的外面的,外部主机并不知道与哪个用户通信。解决IP地址紧缺的问题。使用代理服务器只需防火墙有一个公网的IP地址。亿阳网警BOCO.SFW-3000防火墙的代理服务器具有如下优点:支持多种TCP上层协议完全的透明性,对防火墙以外的任何设备以及主机无需做任何修改与包过滤及NAT统一的策略规则配置,便于用户统一管理。4.4内容过滤功能在透明代理基础上实现了URL过滤和文本内容过滤功能,屏蔽不良的、非法的网站,对WEB内容的进行细粒度的精确过滤和控制,防止所有内部网用户浏览6邪教、色情等不良中外网站及网页。该功能适合于中小学校、大专院校、政府、企业和某些专业应用场合使用。可彻底杜绝对用户访问不该访问网站的忧虑,净化了网络环境、节省了带宽。亿阳网警BOCO.SFW-3000防火墙内容过滤功能支持如下协议:HTTP1.1协议HTTP1.0协议支持对如下内容的过滤:URL过滤站点过滤文件扩展名过滤搜索引擎缓存过滤过滤google等搜索引擎的缓存内容智能加权过滤MIME文件类型过滤关键字过滤管理员可以通过内容过滤监控用户的浏览链接。其中的智能加权过滤技术可以极大的提高内容过滤的准确性,是亿阳网警BOCO.SFW-3000防火墙的一个先进技术特色。除此之外,亿阳自主的内容过滤功能还具有如下特点:快速URL过滤:URL库的规则为10万条时,每秒种可以过滤40万个URL;内部网不用更改任何设置,网络数据库的防范及过滤完全由工作核心完成;只有具备管理员身份才可登录到工作核心进行防范设置更改;可对一切用户违规的行为留下日志记录;4.5入侵检测功能对于各种扫描和攻击防火墙或防火墙所保护网络的行为,按事先设置的规则库,进行比较匹配,并执行相应的报警和日志记录。它作为防火墙的基本功能的合理补充,帮助系统对付网络攻击,及时发觉系统漏洞,扩展系统管理员的安全监测和安全管理能力。7可以检测出33大类,千余种黑客的攻击行为,主要的类别包括:扫描探测;DOS和DDOS攻击WEB攻击;木马攻击;LandAttack;IpSourceRouting;IpSpoofing;缓冲区溢出攻击;蠕虫攻击;FTP或TELNET非法用户登录;由于采用了先进的报文预处理和高性能模式匹配技术,亿阳网警BOCO.SFW-3000防火墙内嵌的入侵检测功能具有低误报率、低漏报率、高性能等特点。用户可以自主设置检测的敏感度,同时还具有与第三方入侵检测产品联动的能力。4.6网络带宽管理功能虽然近年来网络带宽几乎每十二个月就翻一番,但带宽的发展永远达不到用户对带宽的要求,为了保证用户关键业务拥有足够的带宽,亿阳网警BOCO.SFW-3000防火墙提供了完整的带宽管理方案,包括根据策略进行流量控制;提供精密的带宽共享及流量优先级别控制;为个别流量及总体流量提供服务级别保证;基于防火墙对象控制机制,可以根据主机IP或子网段,服务类型(ftp、http等)、时间分配带宽亿阳网警BOCO.SFW-3000防火墙采用分层树算法作流分类算法,在保证带宽控制的准确性的同时,不会带来性能的降低。84.7用户认证与授权功能用户认证主要是针对通过防火墙的数据进行认证。适合于院校、政府、企业和某些专业应用场合使用。可彻底杜绝没有经过认证用户对计算机资源的访问。认证方式支持:本地用户认证OTP(一次性口令);RADIUS认证;客户端支持透明认证和非透明认证两种方式:透明认证:透明地在用户要通过防火墙请求服务时认证的功能(支持TELNET和服务透明),认证后用户权限在管理员配置的时间内有效非透明认证:用户主动向防火墙要求对其进行认证的功能(支持TELNET和方式主动认证),认证后用户权限在管理员配置的时间内有效。4.8优秀的安全审计功能由于黑客行为的发展呈多样化趋势,绝对的安全是根本不存在的。在这种现实情况下,一个优秀的日志系统的作用显得十分突出,如果审计信息完备有效,用户就可以根据历史事件找到黑客的蛛丝马迹,进而对破坏者进行法律上的惩罚,以及通过对原有的安全策略进行调整来提高网络的安全性,封堵漏洞。亿阳网警3000防火墙实现了审计信息的分布式管理,审计信息实时地由防火墙发往日志服务器。日志服务器是审计信息的集中统一管理中心,运行于标准配置PC服务器的亿阳网警日志服务器系统可以集中处理来自数百台亿阳网警防火墙设备的审计信息。审计的种类包括:对链路层非法协议包的审计;包过滤模块支持对网络IP层和传输层(TCP/UDP/ICMP)审计功能,利用此日志,用户可得到通过防火墙的细粒度网络包信息;入侵检测模块的审计和报警功能;对应用层代理的审计;对系统管理层的审计,包括对审