瑞星企業級防火墻是北京瑞星科技股份有限公司自主開發的主要安全產品之一。由于防火墻技術的針對性很強,它已成為實現網絡安全的重要保障。瑞星企業級防火墻是通過對國外防火墻產品的綜合分析,針對國內的具體應用環境,結合國內外防火墻領域里的最新發展,提出的一種具有強大的信息分析功能、高效包過濾功能、多種反電子欺騙手段、多種安全措施綜合運用的安全可靠的專用防火墻系統。瑞星企業級防火墻不僅僅是一個包過濾的防火墻,而且包括了大量的實用模塊,可以為用戶提供多方面的服務。瑞星企業級防火墻包括如下模塊:
基本特性如下:
1、 一體化硬件設計:使用高速芯片對網絡的數據報文進行加速處理。
2、 數據流區塊化導引比較:結合網絡連接和會話的當前狀態進行分析和監控,將相關聯的數據流動態區分,并導引進入高速CACHE,使用結構化的匹配算法進行高效比對發現可疑行為和選擇正確的處理方式對數據流進行處理。
3、防御DOS,DDOS攻擊:普通的防火墻都是采用限制每一網絡地址單位時間內通過的SYN包數量來抵御DDOS攻擊,但是通常網絡攻擊者都會隨機的偽造網絡地址,因此這種方法防范的效果非常差,不能從根本上抵御DDOS攻擊。瑞星防火墻修改了TCP/IP堆棧的算法,使得新的syn連接包可以正常通過,避免了由于大量的攻擊SYN包造成網絡的阻塞。
4、 ADSL支持:支持ADSL撥號功能,同時支持ADSL自動重新撥號,在斷線后保證防火墻在ADSL線路上可以自動重新撥號聯通網絡。
5、入侵檢測、自動報警和防范系統與防火墻聯動:瑞星防火墻自帶入侵檢測系統采用了可擴展的檢測庫方法,目前可以抵御2000多種攻擊方法,而且可以通過升級檢測庫的方法來不斷的抵御新的攻擊方法。瑞星防火墻一旦檢測到有黑客進行攻擊,會在第一時間內在控制機上進行報警,而且同時會自動封禁掉攻擊者的IP地址,這樣可以做到防火墻的防范完全自動化,而不象普通的防火墻那樣需要人工干預。
6、 快速安裝向導:瑞星防火墻的安裝和配置非常方便,管理員只要啟用向導功能就可以在10分鐘內快速完成防火墻的配置工作。
7、完全中國化基于GUI的設計:瑞星防火墻是由瑞星公司自行設計和制作的,界面、幫助文檔、使用說明完全中文化方便管理員配置防火墻。用戶可以通過圖形界面對防火墻進行配置和管理。而且也可以通過圖形界面來管理審計內容,而不象有些防火墻是通過命令行方式進行配置。
8、高效包過濾功能:有些防火墻在安裝上以后對WEB服務器的吞吐能力影響很大,造成性能的降低。由于瑞星防火墻采用了快速CACHE技術,能夠實現快速匹配。因此瑞星防火墻不會對性能造成任何影響。瑞星防火墻優化了算法,使最大并發連接數可以達到500,000個以上。
9、強大的狀態檢測功能:瑞星防火墻可以根據數據包的地址、協議和端口進行訪問控制,同時還對任何網絡連接和會話的當前狀態進行分析和監控。傳統的防火墻的包過濾只是與規則表進行匹配,而瑞星防火墻對每個連接,作為一個數據流,通過規則表與連接表共同配合,在繼承了傳統包過濾系統對應用透明的特性外,還大大的提高了系統的性能和安全性。其他的防火墻大多采用傳統的規則表的匹配方法,隨著安全規則的增加,勢必會使防火墻的性能大幅度的減少,造成網絡擁塞。
10、 高性能的代理緩存服務器:對于瀏覽器用戶來說,瑞星防火墻是一個高性能的代理緩存服務器, FTP、HTTP、POP、SMTP、TELNET、SOCKS等協議。和一般的代理緩存軟件不同,瑞星防火墻用一個單獨的、非模塊化的、I/O驅動的進程來處理所有的客戶端請求。瑞星防火墻將數據元緩存在內存中,同時也緩存DNS查詢的結果,除此之外,它還支持非模塊化的DNS查詢,對失敗的請求進行消極緩存。瑞星防火墻支持 SSL,支持訪問控制。由于使用了ICP(輕量Internet緩存協議),瑞星防火墻能夠實現層疊的代理陣列,從而最大限度地節約帶寬。
11、 多播協議控制及VLAN TRUNK支持:防火墻內部口的三層交換機和外部路由器進行路由信息交換,交換機和路由器之間運行了RIP,EIGRP,IGRP,OSPF等IGP路由協議,防火墻必須識別這些協議,讓它們通過防火墻,否則,內部網絡數據將無法路由。這些協議的特點是目的地址為多播地址,對此防火墻需要識別并正確處理,瑞星防火墻能夠靈活地控制這些包通過或不通過。VLAN是目前網絡中經常使用的技術,瑞星防火墻可以在自身的各個接口上劃分VLAN,同時支持TRUNK 協議.能夠完成單臂路由等特殊的網絡功能。
12、 IPSec 與NAT 協同工作:在多數情況下NAT 的處理對用戶使用是完全透明的,但是當希望使用IPSec技術組建VPN 網絡時,NAT 卻帶來了很大的麻煩。由于NAT 處理過程是需要修改IP 數據報文的IP 頭數據、傳輸層報文頭數據甚至傳輸數據的內容(如FTP應用),而在IPSec 協議中是對整個IP 報文數據進行了加密和完整性認證處理的,所以一旦經過IPSec 處理的IP 包穿過NAT 網關時,包內容被網關所改動,改數據包到達目的主機后其解密或完整性認證處理就會失敗,于是這個報文被認為是非法數據而被丟棄。這就是組建VPN 網關最常見的“IPSec 與NAT 協調工作”的問題。為了解決這個問題IETF 專門為IPSec 制定的“NAT 穿越(NATT )”的協議草案。協議中解決NAT穿越問題的基本思路是在IPSec 封裝好的數據包外再進行一次UDP 的數據封裝,這樣當此數據包穿過NAT 網關時,被修改的只是最外層的IP/UDP 數據,而對其內部真正的IPSec 數據沒有進行改動;在目的主機處再把外層的IP/UDP 封裝去掉,就可以獲得完整的IPSec 數據包。由于NATT 協議標準制定的時間還比較短,而且還沒有最終形成RFC 的標準,所以目前國內VPN 廠商真正支持這個標準的產品幾乎沒有,國外的VPN 廠商也只有象NetScreen 這樣的大型的VPN 設備供應商才支持NATT 標準。瑞星防火墻的VPN模塊遵循國際標準,支持了最新的NATT 版本v0.4。由于NAT 技術在國內的廣泛應用,所以用戶在選用VPN 設備時應該將這一功能作為一個重要的考核指標。
13、 PPTP下的VPN:瑞星防火墻實現了PPTP下的VPN連接,同時WINDOWS用戶不需要安裝客戶端軟件,直接使用WINDOWS的創建基于PPTP 的VPN連接就可以和瑞星防火墻完成加密通道的創建,并進行加密的信息傳輸。同時瑞星防火墻支持的PPTP用戶數按型號不同從200到65000個。
14、動態VPN:瑞星防火墻在實現VPN時只要求VPN的一端要有固定的IP地址,而另一端可以使用動態的IP地址。在網絡端,可以在路由器、防火墻、代理網關等設備中實現VPN網關;在客戶端,IPSec架構允許使用基于純軟件方式使用普通Modem的PC機和工作站。IPSec通過兩種模式在應用上提供更多的彈性:傳輸模式和隧道模式。
在內核設計方面,瑞星千兆防火墻 RFW-1000均采用一體化硬件設計,在內部使用高速芯片對網絡的數據報文進行加速處理,具有更大的網絡吞吐量,同時采用智能化設計方案重新修改了 TCP/IP堆棧的算法,能夠抵御變異的DoS和DDoS攻擊,從根本上解決了由這類攻擊而引起的網絡阻塞問題。
在網絡功能方面,瑞星千兆防火墻 RFW-1000增加了對ADSL網絡撥號的支持,能保證防火墻在ADSL斷線后,仍可以自動重新撥號聯通網絡,同時該產品中還集成了具有可擴展檢測庫的入侵檢測模塊,自動報警和防范系統和內部聯動裝置,可以抵御2000多種網絡攻擊,在檢測到有攻擊行為時,會在第一時間內進行報警并同時自動封禁掉攻擊者的IP地址,而且此過程完全不用網管參與。
在性能方面,瑞星千兆防火墻 RFW-1000具有高效包過濾功能、強大的狀態檢測功能、多播協議控及VLAN TRUNK支持功能等眾多功能,能夠很大程度地提高網絡安全系數。同時瑞星防火墻還具有PPTP下的VPN、動態VPN、IPSec 與NAT 協同工作、高性能代理緩存服務器、數據流區塊化導引比較等其它擴展功能,能完全解決企業的網絡安全問題。
使用瑞星企業級千兆防火墻 RFW-1000 的網絡拓撲結構:
