瑞星企業(yè)級(jí)防火墻是北京瑞星科技股份有限公司自主開發(fā)的主要安全產(chǎn)品之一。由于防火墻技術(shù)的針對(duì)性很強(qiáng)，它已成為實(shí)現(xiàn)網(wǎng)絡(luò)安全的重要保障。瑞星企業(yè)級(jí)防火墻是通過對(duì)國(guó)外防火墻產(chǎn)品的綜合分析，針對(duì)國(guó)內(nèi)的具體應(yīng)用環(huán)境，結(jié)合國(guó)內(nèi)外防火墻領(lǐng)域里的最新發(fā)展，提出的一種具有強(qiáng)大的信息分析功能、高效包過濾功能、多種反電子欺騙手段、多種安全措施綜合運(yùn)用的安全可靠的專用防火墻系統(tǒng)。瑞星企業(yè)級(jí)防火墻不僅僅是一個(gè)包過濾的防火墻，而且包括了大量的實(shí)用模塊，可以為用戶提供多方面的服務(wù)。瑞星企業(yè)級(jí)防火墻包括如下模塊：
 
 
基本特性如下：
1、 一體化硬件設(shè)計(jì)：使用高速芯片對(duì)網(wǎng)絡(luò)的數(shù)據(jù)報(bào)文進(jìn)行加速處理。
2、 數(shù)據(jù)流區(qū)塊化導(dǎo)引比較：結(jié)合網(wǎng)絡(luò)連接和會(huì)話的當(dāng)前狀態(tài)進(jìn)行分析和監(jiān)控，將相關(guān)聯(lián)的數(shù)據(jù)流動(dòng)態(tài)區(qū)分，并導(dǎo)引進(jìn)入高速CACHE，使用結(jié)構(gòu)化的匹配算法進(jìn)行高效比對(duì)發(fā)現(xiàn)可疑行為和選擇正確的處理方式對(duì)數(shù)據(jù)流進(jìn)行處理。
3、防御DOS，DDOS攻擊：普通的防火墻都是采用限制每一網(wǎng)絡(luò)地址單位時(shí)間內(nèi)通過的SYN包數(shù)量來抵御DDOS攻擊，但是通常網(wǎng)絡(luò)攻擊者都會(huì)隨機(jī)的偽造網(wǎng)絡(luò)地址，因此這種方法防范的效果非常差，不能從根本上抵御DDOS攻擊。瑞星防火墻修改了TCP/IP堆棧的算法，使得新的syn連接包可以正常通過，避免了由于大量的攻擊SYN包造成網(wǎng)絡(luò)的阻塞。
4、 ADSL支持：支持ADSL撥號(hào)功能，同時(shí)支持ADSL自動(dòng)重新?lián)芴?hào),在斷線后保證防火墻在ADSL線路上可以自動(dòng)重新?lián)芴?hào)聯(lián)通網(wǎng)絡(luò)。
5、入侵檢測(cè)、自動(dòng)報(bào)警和防范系統(tǒng)與防火墻聯(lián)動(dòng)：瑞星防火墻自帶入侵檢測(cè)系統(tǒng)采用了可擴(kuò)展的檢測(cè)庫(kù)方法，目前可以抵御2000多種攻擊方法，而且可以通過升級(jí)檢測(cè)庫(kù)的方法來不斷的抵御新的攻擊方法。瑞星防火墻一旦檢測(cè)到有黑客進(jìn)行攻擊，會(huì)在第一時(shí)間內(nèi)在控制機(jī)上進(jìn)行報(bào)警，而且同時(shí)會(huì)自動(dòng)封禁掉攻擊者的IP地址，這樣可以做到防火墻的防范完全自動(dòng)化，而不象普通的防火墻那樣需要人工干預(yù)。
6、 快速安裝向?qū)В喝鹦欠阑饓Φ陌惭b和配置非常方便，管理員只要啟用向?qū)Чδ芫涂梢栽?0分鐘內(nèi)快速完成防火墻的配置工作。
7、完全中國(guó)化基于GUI的設(shè)計(jì)：瑞星防火墻是由瑞星公司自行設(shè)計(jì)和制作的，界面、幫助文檔、使用說明完全中文化方便管理員配置防火墻。用戶可以通過圖形界面對(duì)防火墻進(jìn)行配置和管理。而且也可以通過圖形界面來管理審計(jì)內(nèi)容，而不象有些防火墻是通過命令行方式進(jìn)行配置。
8、高效包過濾功能：有些防火墻在安裝上以后對(duì)WEB服務(wù)器的吞吐能力影響很大，造成性能的降低。由于瑞星防火墻采用了快速CACHE技術(shù)，能夠?qū)崿F(xiàn)快速匹配。因此瑞星防火墻不會(huì)對(duì)性能造成任何影響。瑞星防火墻優(yōu)化了算法，使最大并發(fā)連接數(shù)可以達(dá)到500,000個(gè)以上。
9、強(qiáng)大的狀態(tài)檢測(cè)功能：瑞星防火墻可以根據(jù)數(shù)據(jù)包的地址、協(xié)議和端口進(jìn)行訪問控制，同時(shí)還對(duì)任何網(wǎng)絡(luò)連接和會(huì)話的當(dāng)前狀態(tài)進(jìn)行分析和監(jiān)控。傳統(tǒng)的防火墻的包過濾只是與規(guī)則表進(jìn)行匹配，而瑞星防火墻對(duì)每個(gè)連接，作為一個(gè)數(shù)據(jù)流，通過規(guī)則表與連接表共同配合，在繼承了傳統(tǒng)包過濾系統(tǒng)對(duì)應(yīng)用透明的特性外，還大大的提高了系統(tǒng)的性能和安全性。其他的防火墻大多采用傳統(tǒng)的規(guī)則表的匹配方法，隨著安全規(guī)則的增加，勢(shì)必會(huì)使防火墻的性能大幅度的減少，造成網(wǎng)絡(luò)擁塞。
10、 高性能的代理緩存服務(wù)器：對(duì)于瀏覽器用戶來說，瑞星防火墻是一個(gè)高性能的代理緩存服務(wù)器， FTP、HTTP、POP、SMTP、TELNET、SOCKS等協(xié)議。和一般的代理緩存軟件不同，瑞星防火墻用一個(gè)單獨(dú)的、非模塊化的、I/O驅(qū)動(dòng)的進(jìn)程來處理所有的客戶端請(qǐng)求。瑞星防火墻將數(shù)據(jù)元緩存在內(nèi)存中，同時(shí)也緩存DNS查詢的結(jié)果，除此之外，它還支持非模塊化的DNS查詢，對(duì)失敗的請(qǐng)求進(jìn)行消極緩存。瑞星防火墻支持 SSL，支持訪問控制。由于使用了ICP（輕量Internet緩存協(xié)議），瑞星防火墻能夠?qū)崿F(xiàn)層疊的代理陣列，從而最大限度地節(jié)約帶寬。
11、 多播協(xié)議控制及VLAN TRUNK支持：防火墻內(nèi)部口的三層交換機(jī)和外部路由器進(jìn)行路由信息交換，交換機(jī)和路由器之間運(yùn)行了RIP，EIGRP，IGRP，OSPF等IGP路由協(xié)議，防火墻必須識(shí)別這些協(xié)議，讓它們通過防火墻，否則，內(nèi)部網(wǎng)絡(luò)數(shù)據(jù)將無法路由。這些協(xié)議的特點(diǎn)是目的地址為多播地址，對(duì)此防火墻需要識(shí)別并正確處理，瑞星防火墻能夠靈活地控制這些包通過或不通過。VLAN是目前網(wǎng)絡(luò)中經(jīng)常使用的技術(shù)，瑞星防火墻可以在自身的各個(gè)接口上劃分VLAN，同時(shí)支持TRUNK 協(xié)議．能夠完成單臂路由等特殊的網(wǎng)絡(luò)功能。
12、 IPSec 與NAT 協(xié)同工作：在多數(shù)情況下NAT 的處理對(duì)用戶使用是完全透明的，但是當(dāng)希望使用IPSec技術(shù)組建VPN 網(wǎng)絡(luò)時(shí)，NAT 卻帶來了很大的麻煩。由于NAT 處理過程是需要修改IP 數(shù)據(jù)報(bào)文的IP 頭數(shù)據(jù)、傳輸層報(bào)文頭數(shù)據(jù)甚至傳輸數(shù)據(jù)的內(nèi)容（如FTP應(yīng)用），而在IPSec 協(xié)議中是對(duì)整個(gè)IP 報(bào)文數(shù)據(jù)進(jìn)行了加密和完整性認(rèn)證處理的，所以一旦經(jīng)過IPSec 處理的IP 包穿過NAT 網(wǎng)關(guān)時(shí)，包內(nèi)容被網(wǎng)關(guān)所改動(dòng)，改數(shù)據(jù)包到達(dá)目的主機(jī)后其解密或完整性認(rèn)證處理就會(huì)失敗，于是這個(gè)報(bào)文被認(rèn)為是非法數(shù)據(jù)而被丟棄。這就是組建VPN 網(wǎng)關(guān)最常見的“IPSec 與NAT 協(xié)調(diào)工作”的問題。為了解決這個(gè)問題IETF 專門為IPSec 制定的“NAT 穿越（NATT ）”的協(xié)議草案。協(xié)議中解決NAT穿越問題的基本思路是在IPSec 封裝好的數(shù)據(jù)包外再進(jìn)行一次UDP 的數(shù)據(jù)封裝，這樣當(dāng)此數(shù)據(jù)包穿過NAT 網(wǎng)關(guān)時(shí)，被修改的只是最外層的IP/UDP 數(shù)據(jù)，而對(duì)其內(nèi)部真正的IPSec 數(shù)據(jù)沒有進(jìn)行改動(dòng)；在目的主機(jī)處再把外層的IP/UDP 封裝去掉，就可以獲得完整的IPSec 數(shù)據(jù)包。由于NATT 協(xié)議標(biāo)準(zhǔn)制定的時(shí)間還比較短，而且還沒有最終形成RFC 的標(biāo)準(zhǔn)，所以目前國(guó)內(nèi)VPN 廠商真正支持這個(gè)標(biāo)準(zhǔn)的產(chǎn)品幾乎沒有，國(guó)外的VPN 廠商也只有象NetScreen 這樣的大型的VPN 設(shè)備供應(yīng)商才支持NATT 標(biāo)準(zhǔn)。瑞星防火墻的VPN模塊遵循國(guó)際標(biāo)準(zhǔn)，支持了最新的NATT 版本v0.4。由于NAT 技術(shù)在國(guó)內(nèi)的廣泛應(yīng)用，所以用戶在選用VPN 設(shè)備時(shí)應(yīng)該將這一功能作為一個(gè)重要的考核指標(biāo)。
13、 PPTP下的VPN：瑞星防火墻實(shí)現(xiàn)了PPTP下的VPN連接，同時(shí)WINDOWS用戶不需要安裝客戶端軟件，直接使用WINDOWS的創(chuàng)建基于PPTP 的VPN連接就可以和瑞星防火墻完成加密通道的創(chuàng)建，并進(jìn)行加密的信息傳輸。同時(shí)瑞星防火墻支持的PPTP用戶數(shù)按型號(hào)不同從200到65000個(gè)。
14、動(dòng)態(tài)VPN：瑞星防火墻在實(shí)現(xiàn)VPN時(shí)只要求VPN的一端要有固定的IP地址，而另一端可以使用動(dòng)態(tài)的IP地址。在網(wǎng)絡(luò)端，可以在路由器、防火墻、代理網(wǎng)關(guān)等設(shè)備中實(shí)現(xiàn)VPN網(wǎng)關(guān)；在客戶端，IPSec架構(gòu)允許使用基于純軟件方式使用普通Modem的PC機(jī)和工作站。IPSec通過兩種模式在應(yīng)用上提供更多的彈性：傳輸模式和隧道模式。
在內(nèi)核設(shè)計(jì)方面，瑞星千兆防火墻 RFW-1000均采用一體化硬件設(shè)計(jì)，在內(nèi)部使用高速芯片對(duì)網(wǎng)絡(luò)的數(shù)據(jù)報(bào)文進(jìn)行加速處理，具有更大的網(wǎng)絡(luò)吞吐量，同時(shí)采用智能化設(shè)計(jì)方案重新修改了 TCP/IP堆棧的算法，能夠抵御變異的DoS和DDoS攻擊，從根本上解決了由這類攻擊而引起的網(wǎng)絡(luò)阻塞問題。
在網(wǎng)絡(luò)功能方面，瑞星千兆防火墻 RFW-1000增加了對(duì)ADSL網(wǎng)絡(luò)撥號(hào)的支持，能保證防火墻在ADSL斷線后，仍可以自動(dòng)重新?lián)芴?hào)聯(lián)通網(wǎng)絡(luò)，同時(shí)該產(chǎn)品中還集成了具有可擴(kuò)展檢測(cè)庫(kù)的入侵檢測(cè)模塊，自動(dòng)報(bào)警和防范系統(tǒng)和內(nèi)部聯(lián)動(dòng)裝置，可以抵御2000多種網(wǎng)絡(luò)攻擊，在檢測(cè)到有攻擊行為時(shí)，會(huì)在第一時(shí)間內(nèi)進(jìn)行報(bào)警并同時(shí)自動(dòng)封禁掉攻擊者的IP地址，而且此過程完全不用網(wǎng)管參與。
在性能方面，瑞星千兆防火墻 RFW-1000具有高效包過濾功能、強(qiáng)大的狀態(tài)檢測(cè)功能、多播協(xié)議控及VLAN TRUNK支持功能等眾多功能，能夠很大程度地提高網(wǎng)絡(luò)安全系數(shù)。同時(shí)瑞星防火墻還具有PPTP下的VPN、動(dòng)態(tài)VPN、IPSec 與NAT 協(xié)同工作、高性能代理緩存服務(wù)器、數(shù)據(jù)流區(qū)塊化導(dǎo)引比較等其它擴(kuò)展功能，能完全解決企業(yè)的網(wǎng)絡(luò)安全問題。
使用瑞星企業(yè)級(jí)千兆防火墻 RFW-1000 的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)：