瑞星企业级防火墙是北京瑞星科技股份有限公司自主开发的主要安全产品之一。由于防火墙技术的针对性很强,它已成为实现网络安全的重要保障。瑞星企业级防火墙是通过对国外防火墙产品的综合分析,针对国内的具体应用环境,结合国内外防火墙领域里的最新发展,提出的一种具有强大的信息分析功能、高效包过滤功能、多种反电子欺骗手段、多种安全措施综合运用的安全可靠的专用防火墙系统。瑞星企业级防火墙不仅仅是一个包过滤的防火墙,而且包括了大量的实用模块,可以为用户提供多方面的服务。瑞星企业级防火墙包括如下模块:
基本特性如下:
1、 一体化硬件设计:使用高速芯片对网络的数据报文进行加速处理。
2、 数据流区块化导引比较:结合网络连接和会话的当前状态进行分析和监控,将相关联的数据流动态区分,并导引进入高速CACHE,使用结构化的匹配算法进行高效比对发现可疑行为和选择正确的处理方式对数据流进行处理。
3、防御DOS,DDOS攻击:普通的防火墙都是采用限制每一网络地址单位时间内通过的SYN包数量来抵御DDOS攻击,但是通常网络攻击者都会随机的伪造网络地址,因此这种方法防范的效果非常差,不能从根本上抵御DDOS攻击。瑞星防火墙修改了TCP/IP堆栈的算法,使得新的syn连接包可以正常通过,避免了由于大量的攻击SYN包造成网络的阻塞。
4、 ADSL支持:支持ADSL拨号功能,同时支持ADSL自动重新拨号,在断线后保证防火墙在ADSL线路上可以自动重新拨号联通网络。
5、入侵检测、自动报警和防范系统与防火墙联动:瑞星防火墙自带入侵检测系统采用了可扩展的检测库方法,目前可以抵御2000多种攻击方法,而且可以通过升级检测库的方法来不断的抵御新的攻击方法。瑞星防火墙一旦检测到有黑客进行攻击,会在第一时间内在控制机上进行报警,而且同时会自动封禁掉攻击者的IP地址,这样可以做到防火墙的防范完全自动化,而不象普通的防火墙那样需要人工干预。
6、 快速安装向导:瑞星防火墙的安装和配置非常方便,管理员只要启用向导功能就可以在10分钟内快速完成防火墙的配置工作。
7、完全中国化基于GUI的设计:瑞星防火墙是由瑞星公司自行设计和制作的,界面、帮助文档、使用说明完全中文化方便管理员配置防火墙。用户可以通过图形界面对防火墙进行配置和管理。而且也可以通过图形界面来管理审计内容,而不象有些防火墙是通过命令行方式进行配置。
8、高效包过滤功能:有些防火墙在安装上以后对WEB服务器的吞吐能力影响很大,造成性能的降低。由于瑞星防火墙采用了快速CACHE技术,能够实现快速匹配。因此瑞星防火墙不会对性能造成任何影响。瑞星防火墙优化了算法,使最大并发连接数可以达到500,000个以上。
9、强大的状态检测功能:瑞星防火墙可以根据数据包的地址、协议和端口进行访问控制,同时还对任何网络连接和会话的当前状态进行分析和监控。传统的防火墙的包过滤只是与规则表进行匹配,而瑞星防火墙对每个连接,作为一个数据流,通过规则表与连接表共同配合,在继承了传统包过滤系统对应用透明的特性外,还大大的提高了系统的性能和安全性。其他的防火墙大多采用传统的规则表的匹配方法,随着安全规则的增加,势必会使防火墙的性能大幅度的减少,造成网络拥塞。
10、 高性能的代理缓存服务器:对于浏览器用户来说,瑞星防火墙是一个高性能的代理缓存服务器, FTP、HTTP、POP、SMTP、TELNET、SOCKS等协议。和一般的代理缓存软件不同,瑞星防火墙用一个单独的、非模块化的、I/O驱动的进程来处理所有的客户端请求。瑞星防火墙将数据元缓存在内存中,同时也缓存DNS查询的结果,除此之外,它还支持非模块化的DNS查询,对失败的请求进行消极缓存。瑞星防火墙支持 SSL,支持访问控制。由于使用了ICP(轻量Internet缓存协议),瑞星防火墙能够实现层叠的代理阵列,从而最大限度地节约带宽。
11、 多播协议控制及VLAN TRUNK支持:防火墙内部口的三层交换机和外部路由器进行路由信息交换,交换机和路由器之间运行了RIP,EIGRP,IGRP,OSPF等IGP路由协议,防火墙必须识别这些协议,让它们通过防火墙,否则,内部网络数据将无法路由。这些协议的特点是目的地址为多播地址,对此防火墙需要识别并正确处理,瑞星防火墙能够灵活地控制这些包通过或不通过。VLAN是目前网络中经常使用的技术,瑞星防火墙可以在自身的各个接口上划分VLAN,同时支持TRUNK 协议.能够完成单臂路由等特殊的网络功能。
12、 IPSec 与NAT 协同工作:在多数情况下NAT 的处理对用户使用是完全透明的,但是当希望使用IPSec技术组建VPN 网络时,NAT 却带来了很大的麻烦。由于NAT 处理过程是需要修改IP 数据报文的IP 头数据、传输层报文头数据甚至传输数据的内容(如FTP应用),而在IPSec 协议中是对整个IP 报文数据进行了加密和完整性认证处理的,所以一旦经过IPSec 处理的IP 包穿过NAT 网关时,包内容被网关所改动,改数据包到达目的主机后其解密或完整性认证处理就会失败,于是这个报文被认为是非法数据而被丢弃。这就是组建VPN 网关最常见的“IPSec 与NAT 协调工作”的问题。为了解决这个问题IETF 专门为IPSec 制定的“NAT 穿越(NATT )”的协议草案。协议中解决NAT穿越问题的基本思路是在IPSec 封装好的数据包外再进行一次UDP 的数据封装,这样当此数据包穿过NAT 网关时,被修改的只是最外层的IP/UDP 数据,而对其内部真正的IPSec 数据没有进行改动;在目的主机处再把外层的IP/UDP 封装去掉,就可以获得完整的IPSec 数据包。由于NATT 协议标准制定的时间还比较短,而且还没有最终形成RFC 的标准,所以目前国内VPN 厂商真正支持这个标准的产品几乎没有,国外的VPN 厂商也只有象NetScreen 这样的大型的VPN 设备供应商才支持NATT 标准。瑞星防火墙的VPN模块遵循国际标准,支持了最新的NATT 版本v0.4。由于NAT 技术在国内的广泛应用,所以用户在选用VPN 设备时应该将这一功能作为一个重要的考核指标。
13、 PPTP下的VPN:瑞星防火墙实现了PPTP下的VPN连接,同时WINDOWS用户不需要安装客户端软件,直接使用WINDOWS的创建基于PPTP 的VPN连接就可以和瑞星防火墙完成加密通道的创建,并进行加密的信息传输。同时瑞星防火墙支持的PPTP用户数按型号不同从200到65000个。
14、动态VPN:瑞星防火墙在实现VPN时只要求VPN的一端要有固定的IP地址,而另一端可以使用动态的IP地址。在网络端,可以在路由器、防火墙、代理网关等设备中实现VPN网关;在客户端,IPSec架构允许使用基于纯软件方式使用普通Modem的PC机和工作站。IPSec通过两种模式在应用上提供更多的弹性:传输模式和隧道模式。
在内核设计方面,瑞星千兆防火墙 RFW-1000均采用一体化硬件设计,在内部使用高速芯片对网络的数据报文进行加速处理,具有更大的网络吞吐量,同时采用智能化设计方案重新修改了 TCP/IP堆栈的算法,能够抵御变异的DoS和DDoS攻击,从根本上解决了由这类攻击而引起的网络阻塞问题。
在网络功能方面,瑞星千兆防火墙 RFW-1000增加了对ADSL网络拨号的支持,能保证防火墙在ADSL断线后,仍可以自动重新拨号联通网络,同时该产品中还集成了具有可扩展检测库的入侵检测模块,自动报警和防范系统和内部联动装置,可以抵御2000多种网络攻击,在检测到有攻击行为时,会在第一时间内进行报警并同时自动封禁掉攻击者的IP地址,而且此过程完全不用网管参与。
在性能方面,瑞星千兆防火墙 RFW-1000具有高效包过滤功能、强大的状态检测功能、多播协议控及VLAN TRUNK支持功能等众多功能,能够很大程度地提高网络安全系数。同时瑞星防火墙还具有PPTP下的VPN、动态VPN、IPSec 与NAT 协同工作、高性能代理缓存服务器、数据流区块化导引比较等其它扩展功能,能完全解决企业的网络安全问题。
使用瑞星企业级千兆防火墙 RFW-1000 的网络拓扑结构:
