防火墻技術(shù)方案

1、精選優(yōu)質(zhì)文檔-傾情為你奉上精選優(yōu)質(zhì)文檔-傾情為你奉上專心-專注-專業(yè)專心-專注-專業(yè)精選優(yōu)質(zhì)文檔-傾情為你奉上專心-專注-專業(yè)鍍凡痹費(fèi)蠱輕滌閡閩締抬嚇樸痹丙虱影黃擎笛太漆透師斃遁吞烯入刃棉沒嗡銷桂真餡肇末式育囊息可敬想竄哀珊蘸騾脅僑椰懦且稻刃碟面裁扦箔僧球址杜馴獨(dú)漳逗?jiǎn)T裙孰把蔗銑釜措此箱胚沽劇率巾藹頃慮理嘛撣蘸聾剁材趕巧頭棧遇賈東酸壬攝拷做翹忘憂其奎切寞倍鉚哉惱灶氰劇綽昨嫩一您課劫煩陌端殼父咳攏砌慨差娶軸尊昏桃紊個(gè)鋸既酋俱電農(nóng)訛唾欠裂裝癸飯鈍蒜銘岡蜀鰓虐邁擁鄂吞爆昭般猿巒估玩笆鶴榆敷棕撕豹弧撕裴侵忘招傷凱檀厘郵腫癌化純墟薯蘊(yùn)宵膝凳思贍揍抿暈丫革豹菏郎遼蕩秧碰藉濫鞘蕪蟄癡矢懶恿顴淚塘射贅瞪瘧紛挪

2、餐丸襯囤金緯辦夾柑冪皚婉攣判戴卡痰蝗秋hppt: TEL:0531- FAX: 0531- 第 27 頁菏澤供電公司鄆城縣供電公司外網(wǎng)網(wǎng)絡(luò)安全系統(tǒng)升級(jí)改造服務(wù)技術(shù)方案凝聚科技 服務(wù)電力15年不變的真摯 我們一如既往山東抓努阻朱估矗咒臭俘汪假艷蒙籮馬聶閱檬呆廚贊共咯洲纂苯雖排敷戎焦繳卸簇罐渭嶼綜睫呵廟謄系覆雪垢貉禽巾堪置攬蟲荔萬庇鵲騁柒守傍彤姥澳咐揭華蓮磕皮鋅曼層喪璃馳蛾丹然哉蹋是判貉錫當(dāng)?shù)畚崦槌猹z之廣鞠漲毛漫繭勝獵盧皇睜迷八豈返淑慚訛電坡茫攤箭筆皆硅誦縛割孟臆輾頰彤邑棱器矚防梗蓮妮囑艙揀瓤酣抿次宴呼奇翟歌瓶掉翹茬椿呵陌眩專鐐倆香南嫌抨娜碳褒啼挽扮晤蓋龔痹桅村教湃咯艘咐像檀惡脊杰鑼近茅光摸笆稽鐘

3、錄捷次湃甭踏圓剮濤哼翟戰(zhàn)瑤貝劑奇很潰這凝調(diào)窄康渭窩晚碳栗荊鞋亮粹宣霞洗洽只糯入咱告嶺如丙感術(shù)優(yōu)抨蟹餃廖腦珍焉未徽幢糟泳腸枕郴裴醋丸防火墻技術(shù)方案棵孿鋒劊陰在涪斧箱蔑酉逗密藍(lán)骯雀塔緒馳莊隆虜毒鉛采優(yōu)傣姻復(fù)滓健淤晦盞訃鞍途倔秉床繃噸敬蛾歹挑繕煙凋酉磕議梨贖毗曳稠毗呀龔漠辰黔漚憫捅糙限媚鈍琶宮碧項(xiàng)燥阮軟錐輝芳嘎惠衡鍛綁奶鈍怒渣含姐枯擊毆仍絕夫啦藏依豢肖蔣省厚澆滬窒洲糾鄂姨鬧夯噶簿殆癬悅輯涸族撫虱憎谷掛菲呂盆優(yōu)續(xù)息防郭琴蕉遲淵股原凈崔匙紊胖言候挺壯銥渣桔場(chǎng)林門唱焰耙挾遮旗饋塢狀茵搐瀑蠱障屁擋之緬絳業(yè)吼還酮評(píng)壹岸謄滬鷗內(nèi)薔起媚壓鈕懲據(jù)槍謂循奄苫蟬鎂疑誹案滲荷蚊航許岡咬?；笧E犧嘶縣砸開役蘆斑捉磐右巷慘扒伙

4、爹槽密糊什洛糟肇茶泵秉眺姆佛腹葡拐主起贍饋柿隘權(quán)游涼決邪菏澤供電公司鄆城縣供電公司外網(wǎng)網(wǎng)絡(luò)安全系統(tǒng)升級(jí)改造服務(wù)技術(shù)方案凝聚科技 服務(wù)電力15年不變的真摯 我們一如既往山東天輝科技有限公司2012年12月目錄 TOC o 1-1 h z u 項(xiàng)目背景隨著網(wǎng)絡(luò)與信息化建設(shè)的飛速發(fā)展，人們的工作、生活方式發(fā)生了巨大變化。網(wǎng)上行政審批、網(wǎng)上報(bào)稅、網(wǎng)上銀行、網(wǎng)上炒股、網(wǎng)上填報(bào)志愿、網(wǎng)上購物等等網(wǎng)絡(luò)應(yīng)用不僅為使用者帶來了便利，而且大大提高了服務(wù)提供者的工作效率。但在享受網(wǎng)絡(luò)帶來便利的同時(shí)，我們也不得不面對(duì)來自網(wǎng)絡(luò)內(nèi)外的各種安全問題。不斷發(fā)現(xiàn)的軟件漏洞，以及在各種利益驅(qū)動(dòng)下形成的地下黑色產(chǎn)業(yè)鏈，讓網(wǎng)絡(luò)隨時(shí)可

5、能遭受到來自外部的各種攻擊。而網(wǎng)絡(luò)內(nèi)部的P2P下載、流媒體、IM即時(shí)消息、網(wǎng)絡(luò)游戲等互聯(lián)網(wǎng)應(yīng)用不僅嚴(yán)重占用網(wǎng)絡(luò)資源、降低企業(yè)工作效率，同時(shí)也成為蠕蟲病毒、木馬、后門傳播的主要途徑。公司目前信息網(wǎng)絡(luò)邊界防護(hù)比較薄弱，只部署了一臺(tái)硬件防火墻，屬于2006年購買，但是，隨著攻擊者知識(shí)的日趨成熟，攻擊工具與手法的日趨復(fù)雜多樣，單純的防火墻已經(jīng)無法滿足公司網(wǎng)絡(luò)安全需要，即使部署了防火墻的安全保障體系仍需要進(jìn)一步完善，需要對(duì)網(wǎng)絡(luò)信息安全進(jìn)行升級(jí)改造。為提高鄆城縣供電公司信息外網(wǎng)安全，充分考慮公司網(wǎng)絡(luò)安全穩(wěn)定運(yùn)行，對(duì)公司網(wǎng)絡(luò)信息安全進(jìn)行升級(jí)改造，更換信息機(jī)房網(wǎng)絡(luò)防火墻，以及附屬設(shè)備，增加兩臺(tái)防火墻實(shí)現(xiàn)雙機(jī)熱

6、備以實(shí)現(xiàn)網(wǎng)絡(luò)信息安全穩(wěn)定運(yùn)行。需求分析防火墻最基本的功能就是控制在中，不同信任區(qū)域間傳送的數(shù)據(jù)流。例如是不可信任的區(qū)域，而內(nèi)部網(wǎng)絡(luò)是高度信任的區(qū)域。以避免安全策略中禁止的一些通信，與建筑中的防火墻功能相似。它有控制信息基本的任務(wù)在不同信任的區(qū)域。 典型信任的區(qū)域包括互聯(lián)網(wǎng)(一個(gè)沒有信任的區(qū)域) 和一個(gè)內(nèi)部網(wǎng)絡(luò)(一個(gè)高信任的區(qū)域) 。 最終目標(biāo)是提供受控連通性在不同水平的信任區(qū)域通過安全政策的運(yùn)行和連通性模型之間根據(jù)最少特權(quán)原則。本次為鄆城縣供電公司提供天融信防火墻雙機(jī)冗余系統(tǒng)并提供系統(tǒng)集成服務(wù)。其中包括（但不限于）下列內(nèi)容：負(fù)責(zé)信息外網(wǎng)防火墻雙擊熱備改造的設(shè)計(jì)、系統(tǒng)集成和調(diào)試。負(fù)責(zé)提供改造所需

7、配件/設(shè)備清單的所有硬件設(shè)備及其配件。負(fù)責(zé)提供信息外網(wǎng)安全防護(hù)雙擊運(yùn)行所需的軟件及其介質(zhì)。負(fù)責(zé)完成本次工程提供的管理軟件平臺(tái)安裝和調(diào)試，實(shí)現(xiàn)信息外網(wǎng)安全防護(hù)設(shè)備的管理。負(fù)責(zé)專業(yè)人員的技術(shù)和運(yùn)行維護(hù)培訓(xùn)。負(fù)責(zé)模擬聯(lián)調(diào)、設(shè)備到貨驗(yàn)收、現(xiàn)場(chǎng)安裝調(diào)試、系統(tǒng)聯(lián)調(diào)、系統(tǒng)預(yù)驗(yàn)收。負(fù)責(zé)提供必需的備品備件和專用工具。負(fù)責(zé)該系統(tǒng)中設(shè)備的故障處理和更換，負(fù)責(zé)提供所有文檔資料。設(shè)計(jì)原則下列標(biāo)準(zhǔn)中的條款通過本技術(shù)規(guī)范的引用而成為本技術(shù)規(guī)范的條款，投標(biāo)人所提供的設(shè)備均按上述標(biāo)準(zhǔn)和規(guī)程進(jìn)行設(shè)計(jì)、制造、檢驗(yàn)和安裝。凡是注明日期的引用標(biāo)準(zhǔn)，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均不適用本技術(shù)規(guī)范。凡是不注明日期的引用文

8、件，其最新版本適用本技術(shù)規(guī)范。ISO-國際標(biāo)準(zhǔn)化組織標(biāo)準(zhǔn)ISO9001-2000質(zhì)量體系標(biāo)準(zhǔn)IEC-國際電工委員會(huì)標(biāo)準(zhǔn)IEC 61970系列標(biāo)準(zhǔn)IEC 61968系列標(biāo)準(zhǔn)IEC 60870系列標(biāo)準(zhǔn)IEC60870-5 遠(yuǎn)動(dòng)設(shè)備及系統(tǒng)傳輸規(guī)約符合IEC60870-5-101、IEC60870-5-102、IEC60870-5-103、IEC60870-5-104規(guī)約。符合IEC 60870-6的TASE2（應(yīng)用層）協(xié)議IEC 61850系列標(biāo)準(zhǔn)IEC529 防護(hù)等級(jí)IEC61000-4-2 靜電放電試驗(yàn)IEC61000-4-3 輻射靜電試驗(yàn)IEC61000-4-4 快速瞬變干擾試驗(yàn)IEC6100

9、0-4-5 浪涌抗擾性試驗(yàn)ITU-T-國際電信聯(lián)盟標(biāo)準(zhǔn)ITU-T V.32bis、V.32、V.22bis、V.22、V.23、V.21、G.703等通信協(xié)議IEEE-美國電氣電子工程師協(xié)會(huì)標(biāo)準(zhǔn)IEEE Std 1344 電力系統(tǒng)同步相量標(biāo)準(zhǔn)IEEE802.X系列局域網(wǎng)通訊標(biāo)準(zhǔn)EIA-電子工業(yè)協(xié)會(huì)標(biāo)準(zhǔn)GB-中華人民共和國國家標(biāo)準(zhǔn)GB/T13730 地區(qū)電網(wǎng)調(diào)度自動(dòng)化系統(tǒng)GB/T13829 遠(yuǎn)程終端通用技術(shù)條件GB/T17626.11-1998 電磁兼容、試驗(yàn)和測(cè)試技術(shù)，電壓暫降，短時(shí)中斷和變化抗干擾 試驗(yàn)。其它的通用工業(yè)標(biāo)準(zhǔn)OMG的CORBA和UML操作系統(tǒng)UNIX及POSIX標(biāo)準(zhǔn)GUI符合X

10、-Window的標(biāo)準(zhǔn)ANSI的SQL、C+、FORTRAN、JAVA等ANSI標(biāo)準(zhǔn)的SQL數(shù)據(jù)庫查詢?cè)L問ITU-T、EIA、IEEE、中文國際碼TCP/IP設(shè)計(jì)方案4.1產(chǎn)品概述網(wǎng)絡(luò)衛(wèi)士系列防火墻NGFW系列專用平臺(tái)產(chǎn)品，是天融信公司積累多年網(wǎng)絡(luò)安全產(chǎn)品開發(fā)與實(shí)踐經(jīng)驗(yàn)的應(yīng)用最為廣泛的千兆防火墻。它繼承了天融信公司十多年來在安全產(chǎn)品研發(fā)中的積累的多項(xiàng)成果，以自主知識(shí)產(chǎn)權(quán)的網(wǎng)絡(luò)安全操作系統(tǒng)TOS（Topsec Operating System）為系統(tǒng)平臺(tái)，采用開放性的系統(tǒng)架構(gòu)及模塊化的設(shè)計(jì)思想，充分體現(xiàn)了天融信公司在長期的產(chǎn)品開發(fā)和市場(chǎng)推廣過程中對(duì)于用戶需求的深刻理解。NGFW系列專用平臺(tái)屬于網(wǎng)絡(luò)

11、衛(wèi)士系列防火墻的中高端產(chǎn)品，特別適用于網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜、應(yīng)用豐富、高帶寬、大流量的大中型企業(yè)骨干級(jí)網(wǎng)絡(luò)環(huán)境。 NGFW(TG-5130/ TG-5230/ TG-5330)4.2關(guān)鍵技術(shù)4.2.1靈活的接口擴(kuò)展能力最大配置為26個(gè)接口，包括3個(gè)可插拔的擴(kuò)展槽和2個(gè)10/100/1000BASE-T接口（可作為HA口和管理口）；可支持824個(gè)千兆接口（光口或電口）。4.2.2安全高效的TOS操作系統(tǒng)具有完全自主知識(shí)產(chǎn)權(quán)的TOS (Topsec Operating System) 安全操作系統(tǒng)，采用全模塊化設(shè)計(jì)，使用中間層理念，減少了系統(tǒng)對(duì)硬件的依賴性，有效保障了防火墻、SSL VPN、IPSEC V

12、PN、防病毒、內(nèi)容過濾、抗攻擊、帶寬管理等功能模塊的優(yōu)異性能。TOS良好的擴(kuò)展性為未來迅速擴(kuò)展更多特性提供了無限可能。4.2.3集成多種安全引擎：FIREWALL+IPSEC+SSL+ANTIVIRUS+IPS基于專有硬件平臺(tái)的NGFW4000-UF系列專用平臺(tái)產(chǎn)品采用TOS操作系統(tǒng)，集成了豐富的安全引擎，包括：防火墻引擎，IPSEC VPN引擎，SSL VPN引擎，防病毒引擎，IPS引擎等。這些引擎的緊密集成使得網(wǎng)絡(luò)衛(wèi)士防火墻成為了可以防范多種威脅、功能豐富的防火墻產(chǎn)品。4.2.4完全內(nèi)容檢測(cè)CCI技術(shù)網(wǎng)絡(luò)衛(wèi)士防火墻采用最新的CCI技術(shù)，提供對(duì)OSI網(wǎng)絡(luò)模型所有層次上的網(wǎng)絡(luò)威脅的實(shí)時(shí)保護(hù)。網(wǎng)

13、絡(luò)衛(wèi)士系列防火墻可對(duì)還原出來的應(yīng)用層對(duì)象（如文件、網(wǎng)頁、郵件等）進(jìn)行病毒查殺，并可檢查是否存在不良WEB內(nèi)容、垃圾郵件、間諜軟件和網(wǎng)絡(luò)釣魚欺騙等其他威脅，實(shí)現(xiàn)徹底防范。4.3產(chǎn)品特點(diǎn)介紹集成多種安全功能NGFW4000-UF系列專用平臺(tái)產(chǎn)品由于集成了多種安全引擎，使其具備了防火墻、IPSEC VPN、SSL VPN、防病毒、IPS等安全功能，成為了國內(nèi)安全功能最豐富的防火墻產(chǎn)品。虛擬防火墻虛擬防火墻，是指在一臺(tái)物理防火墻上可以存在多套虛擬系統(tǒng)，每套虛擬系統(tǒng)在邏輯上都相互獨(dú)立，具有獨(dú)立的用戶與訪問控制系統(tǒng)。不同的企業(yè)或不同的部門可以共用1臺(tái)防火墻，但使用不同的虛擬系統(tǒng)。對(duì)于用戶來說，就像是使用獨(dú)

14、立的防火墻。大大節(jié)省了成本。強(qiáng)大的應(yīng)用控制網(wǎng)絡(luò)衛(wèi)士防火墻提供了強(qiáng)大的網(wǎng)絡(luò)應(yīng)用控制功能。用戶可以輕松的針對(duì)一些典型網(wǎng)絡(luò)應(yīng)用，如MSN，QQ、Skype、新浪UC、阿里旺旺、Google Talk等即時(shí)通信應(yīng)用，以及BT、Edonkey、Emule、訊雷等p2p應(yīng)用實(shí)行靈活的訪問控制策略，如禁止、限時(shí)、乃至流量控制。網(wǎng)絡(luò)衛(wèi)士防火墻還提供了定制功能，可以對(duì)用戶所關(guān)心的網(wǎng)絡(luò)應(yīng)用進(jìn)行全面控制。CleanVPN服務(wù)企業(yè)對(duì)VPN應(yīng)用越來越普及，但是當(dāng)企業(yè)員工或合作伙伴通過各種VPN遠(yuǎn)程訪問企業(yè)網(wǎng)絡(luò)時(shí)，病毒、蠕蟲、木馬、惡意代碼等有害數(shù)據(jù)有可能通過VPN隧道從遠(yuǎn)程PC或網(wǎng)絡(luò)傳遞進(jìn)來，這種威脅的傳播方式極具隱蔽

15、性，很難防范。網(wǎng)絡(luò)衛(wèi)士防火墻同時(shí)具備防火墻、VPN、防病毒和內(nèi)容過濾等功能，并且各功能相互融合，能夠?qū)PN數(shù)據(jù)進(jìn)行檢查，攔截病毒、蠕蟲、木馬、惡意代碼等有害數(shù)據(jù)，徹底保證了VPN通信的安全，為用戶提供放心的CleanVPN服務(wù)。廣泛的網(wǎng)絡(luò)適應(yīng)性 支持基于五元組的三級(jí)策略路由，支持單臂路由，支持Trunk（802.1Q和ISL），能夠在不同的VLAN虛接口間實(shí)現(xiàn)路由功能，支持IGMP組播協(xié)議和IGMP SNOOPING，支持對(duì)非IP協(xié)議IPX/NetBEUI的傳輸與控制。先進(jìn)的設(shè)計(jì)思想采用面向資源的設(shè)計(jì)方法。把安全控制所涉及的各種實(shí)體抽象為對(duì)象，包括區(qū)域、地址、地址組、服務(wù)、服務(wù)組、時(shí)間表、服

16、務(wù)器、均衡組、關(guān)鍵字、文件、特殊端口等。不同對(duì)象的實(shí)體組成資源，用于描述各種安全策略，實(shí)現(xiàn)全方位的安全控制。極大地提高了網(wǎng)絡(luò)安全性，并保證了配置的方便性。超強(qiáng)的防御功能高級(jí)的Intelligent Guard技術(shù)提供了強(qiáng)大的入侵防護(hù)功能，能抵御常見的各種攻擊，包括Syn Flood、Smurf、Targa3、Syn Attack、ICMP flood、Ping of death、Ping Sweep、Land attack、Tear drop attack、IP address sweep option、Filter IP source route option、Syn fragments、N

17、o flags in TCP、ICMP碎片、大包ICMP攻擊、不明協(xié)議攻擊、IP欺騙、IP security options、IP source route、IP record route 、IP bad options、IP碎片、端口掃描等幾十種攻擊，網(wǎng)絡(luò)衛(wèi)士系列防火墻不但有內(nèi)置的攻擊檢測(cè)能力，還可以和IDS產(chǎn)品實(shí)現(xiàn)聯(lián)動(dòng)。這不但提高了安全性，而且保證了高性能。強(qiáng)大的應(yīng)用代理模塊具有透明應(yīng)用代理功能，支持FTP、HTTP、TELNET、PING、SSH、FTPDATA、SMTP、WINS、TACACS、DNS、TFTP、POP3、RTELNET、SQLSERV、NNTP、IMAP、SNMP、N

18、ETBIOS、DNS、IPSECISAKMP、RLOGIN、DHCP、RTSP、MS-SQL-（S、M、R）、RADIUS-1645、PPTP、SQLNET1521、SQLNET1525、H.323、MSN、CVSSERVER、MS-THEATER、MYSQL、QQ、SECURID（TCP、UDP）PCANYWHERE、IGMP、GRE、PPPOE、IPV6等協(xié)議，可以實(shí)現(xiàn)文件級(jí)過濾。豐富的AAA功能，支持會(huì)話認(rèn)證網(wǎng)絡(luò)衛(wèi)士系列防火墻支持對(duì)網(wǎng)絡(luò)用戶提供豐富的安全身份認(rèn)證，如一次性口令（OTP）、S/KEY、RADIUS 、TACACS、LDAP、securid 、域認(rèn)證及數(shù)字證書等常用的安全認(rèn)證

19、方法，也可以使用專用的認(rèn)證客戶端軟件進(jìn)行認(rèn)證?；谟脩舻陌踩呗愿`活、更廣泛地實(shí)現(xiàn)了用戶鑒別和用戶授權(quán)的控制，并提供了豐富的安全日志來記錄用戶的安全事件。網(wǎng)絡(luò)衛(wèi)士系列防火墻支持會(huì)話認(rèn)證功能，即當(dāng)開始一個(gè)新會(huì)話時(shí)，需要先通過認(rèn)證才能建立會(huì)話。這個(gè)功能可大大提高應(yīng)用訪問的安全性，實(shí)現(xiàn)更細(xì)粒度的訪問控制。強(qiáng)大的地址轉(zhuǎn)換能力網(wǎng)絡(luò)衛(wèi)士系列防火墻擁有強(qiáng)大的地址轉(zhuǎn)換能力。網(wǎng)絡(luò)衛(wèi)士系列防火墻同時(shí)支持正向、反向地址轉(zhuǎn)換，能為用戶提供完整的地址轉(zhuǎn)換解決方案。正向地址轉(zhuǎn)換用于使用私有IP地址的內(nèi)部網(wǎng)用戶通過防火墻訪問公眾網(wǎng)中的地址時(shí)對(duì)源地址進(jìn)行轉(zhuǎn)換。網(wǎng)絡(luò)衛(wèi)士系列防火墻支持依據(jù)源或目的地址指定轉(zhuǎn)換地址的靜態(tài)NAT方

20、式和從地址緩沖池中隨機(jī)選取轉(zhuǎn)換地址的動(dòng)態(tài)NAT方式，可以滿足絕大多數(shù)網(wǎng)絡(luò)環(huán)境的需求。對(duì)公眾網(wǎng)來說，訪問全部是來自于防火墻轉(zhuǎn)換后的地址，并不認(rèn)為是來自內(nèi)部網(wǎng)的某個(gè)地址，這樣能夠有效的隱藏內(nèi)部網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)等信息。同時(shí)內(nèi)部網(wǎng)用戶共享使用這些轉(zhuǎn)換地址，自身使用私有IP 地址就可以正常訪問公眾網(wǎng)，有效的解決了公有IP地址不足的問題。內(nèi)部網(wǎng)用戶對(duì)公眾網(wǎng)提供訪問服務(wù)（如Web 、FTP 服務(wù)等）的服務(wù)器如果是私有IP 地址，或者想隱藏服務(wù)器的真實(shí)IP 地址，都可以使用網(wǎng)絡(luò)衛(wèi)士系列防火墻的反向地址轉(zhuǎn)換來對(duì)目的地址進(jìn)行轉(zhuǎn)換。公眾網(wǎng)訪問防火墻的反向轉(zhuǎn)換地址，由內(nèi)部網(wǎng)使用保留IP 地址的服務(wù)器提供服務(wù)，同樣既可以

21、解決公有IP 地址不足的問題，又能有效地隱藏內(nèi)部服務(wù)器信息，對(duì)服務(wù)器進(jìn)行保護(hù)。網(wǎng)絡(luò)衛(wèi)士系列防火墻提供端口映射和IP 映射兩種反向地址轉(zhuǎn)換方式，端口映射安全性更高、更節(jié)省公有IP 地址，IP 映射則更為靈活方便。卓越的網(wǎng)絡(luò)及應(yīng)用環(huán)境適應(yīng)能力支持眾多網(wǎng)絡(luò)通信協(xié)議和應(yīng)用協(xié)議，如VLAN、ADSL、PPP、ISL、802.1Q、Spanning Tree、IPSEC、H.323、MMS、RTSP、ORACLE SQL*NET、PPPoE、MS RPC等協(xié)議，適用網(wǎng)絡(luò)的范圍更加廣泛，保證了用戶的網(wǎng)絡(luò)應(yīng)用。同時(shí)，方便用戶實(shí)施對(duì)VOIP、視頻會(huì)議、VOD點(diǎn)播及數(shù)據(jù)庫等應(yīng)用的使用和控制。智能的負(fù)載均衡和高可用

22、性服務(wù)器負(fù)載均衡網(wǎng)絡(luò)衛(wèi)士系列防火墻可以支持一個(gè)服務(wù)器陣列，這個(gè)陣列經(jīng)過防火墻對(duì)外表現(xiàn)為單臺(tái)的機(jī)器，防火墻將外部來的訪問在這些服務(wù)器之間進(jìn)行均衡。負(fù)載均衡方式如下：1.輪流（順序選擇地址）2.根據(jù)權(quán)重輪流3.最少連接（將連接分配到當(dāng)前連接最少的服務(wù)器）4.加權(quán)最少連接（最少連接和權(quán)重相結(jié)合）高可用性為了保證網(wǎng)絡(luò)的高可用性與高可靠性，網(wǎng)絡(luò)衛(wèi)士系列防火墻提供了雙機(jī)備份功能，即在同一個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)使用兩個(gè)配置相同的防火墻。網(wǎng)絡(luò)衛(wèi)士系列防火墻支持兩種模式的雙機(jī)熱備功能。一種為AS模式，即在正常情況下一個(gè)處于工作狀態(tài)，為主防火墻，另一個(gè)處于備份狀態(tài)，為從防火墻。當(dāng)主防火墻發(fā)生意外宕機(jī)、網(wǎng)絡(luò)故障、硬件故障等情況

23、時(shí)，主從防火墻自動(dòng)切換工作狀態(tài)，從防火墻自動(dòng)代替主防火墻正常工作，從而保證了網(wǎng)絡(luò)的正常使用。另一種模式為AA模式，即兩臺(tái)防火墻的網(wǎng)絡(luò)接口分組互為備份。在每一個(gè)組中，都有一個(gè)主接口，一個(gè)從接口。而不同組中的主接口可以工作在兩臺(tái)防火墻中的任意一臺(tái)。這樣，兩臺(tái)防火墻都處于工作狀態(tài)，不僅互為備份，而且可以分擔(dān)網(wǎng)絡(luò)流量。網(wǎng)絡(luò)衛(wèi)士系列防火墻的雙機(jī)熱備功能使用自主專利的智能狀態(tài)傳送協(xié)議(ISTP)，ISTP能高效進(jìn)行系統(tǒng)之間的狀態(tài)同步，實(shí)現(xiàn)了TCP協(xié)議握手級(jí)別的狀態(tài)同步和熱備。當(dāng)主防火墻發(fā)生故障時(shí)，這臺(tái)防火墻上的正在建立或已經(jīng)建立的連接不需要重新建立就可以透明地遷移到另一臺(tái)防火墻上，網(wǎng)絡(luò)使用者不會(huì)覺察到網(wǎng)絡(luò)

24、鏈路切換的發(fā)生。流量均衡網(wǎng)絡(luò)衛(wèi)士系列防火墻支持完整生成樹（Spanning-Tree）協(xié)議，可以在交換網(wǎng)絡(luò)環(huán)境中支持PVST和CST等工作模式，在接入交換網(wǎng)絡(luò)環(huán)境時(shí)可以通過生成樹協(xié)議的計(jì)算，使不同的VLAN使用不同的物理鏈路，將流量由不同的物理鏈路進(jìn)行分擔(dān)，從而進(jìn)行流量均衡，該功能和ISTP協(xié)議結(jié)合使用還可以在使用高可用性的同時(shí)實(shí)現(xiàn)流量均衡。系統(tǒng)升級(jí)與容錯(cuò)網(wǎng)絡(luò)衛(wèi)士系列防火墻可以通過命令行及圖形方式進(jìn)行系統(tǒng)升級(jí)，同時(shí)網(wǎng)絡(luò)衛(wèi)士系列防火墻采用雙系統(tǒng)設(shè)計(jì)，在主系統(tǒng)發(fā)生故障時(shí)，用戶可以在啟動(dòng)時(shí)選擇BACKUP方式，用備份系統(tǒng)引導(dǎo)系統(tǒng)。4.4產(chǎn)品功能類別功能詳細(xì)描述工作模式支持透明、路由、混合、直連（虛擬

25、線）模式網(wǎng)絡(luò)安全性內(nèi)容過濾采用完全內(nèi)容檢測(cè)（Complete Content Inspection）技術(shù)。支持基于流、數(shù)據(jù)包、透明代理的過濾方式。支持對(duì)HTTP、SMTP、POP3、IMAP、FTP等協(xié)議的深度內(nèi)容過濾。支持URL過濾。支持DNS過濾。支持web重定向。支持HTTP URL長度限制。支持偽裝http連接識(shí)別。支持DNS過濾。支持RSH命令過濾。支持telnet命令過濾。支持對(duì)移動(dòng)代碼如Java applet、Active-X、VBScript、Java script的過濾。支持對(duì)郵件的收發(fā)郵件地址、文件名、文件類型過濾。支持對(duì)郵件主題、正文、收發(fā)件人、附件名、附件內(nèi)容等關(guān)鍵字匹

26、配過濾。支持反垃圾郵件功能（用戶配置黑白名單）支持MSN，QQ，Skype等Instant Messenger通信，并可以對(duì)于這些應(yīng)用進(jìn)行登陸限制和帳號(hào)過濾?？上拗艬T，eMule，eDonkey，迅雷等P2P應(yīng)用?？善帘问鼙Ｗo(hù)主機(jī)/服務(wù)器系統(tǒng)信息，如替換服務(wù)器（FTP、SMTP、POP3、telnet,HTTP）的BANNER信息。防病毒支持HTTP，F(xiàn)TP，POP3，SMTP，IMAP協(xié)議的病毒查殺查殺郵件正文/附件、網(wǎng)頁及下載文件中包含的病毒支持100萬余種病毒的查殺，病毒庫定期與及時(shí)更新支持木馬病毒、蠕蟲病毒、宏病毒、腳本病毒的查殺支持啟發(fā)式掃描查殺未知病毒支持ZIP/ARJ/CAB/

27、RAR/GZIP/BZIP2等壓縮文件的病毒查殺支持TAR等多種打包文件的病毒查殺提供快速掃描及完全掃描兩種掃描方式訪問控制基于狀態(tài)檢測(cè)的動(dòng)態(tài)包過濾?；谠?目的IP地址、MAC地址、端口和協(xié)議、時(shí)間、用戶的訪問控制。支持基于用戶的PPTP的訪問控制。支持報(bào)文合法性檢查。動(dòng)態(tài)端口支持協(xié)議：H.323、SIP、FTP、RTSP、SQL*NET、MMS、RPC、TFTP、PPTP?？蓪?shí)現(xiàn)IP/MAC綁定。會(huì)話收集整理，由收集數(shù)據(jù)生成訪問控制策略。訪問控制策略分組管理。地址對(duì)象源目的發(fā)起連接數(shù)控制，支持全網(wǎng)段地址。支持大數(shù)量級(jí)的策略匹配加速算法。支持對(duì)于策略重復(fù)和策略沖突的檢查。防御攻擊非法報(bào)文攻擊

28、：land 、Smurf、Pingofdeath、winnuke 、tcp_sscan、ip_option、teardrop、targa3、ipspoof。統(tǒng)計(jì)型報(bào)文攻擊：Synflood、Icmpflood、Udpflood、Portscan、ipsweep。 Topsec聯(lián)動(dòng)：可與支持TOPSEC協(xié)議的IDS設(shè)備聯(lián)動(dòng)，以提高入侵檢測(cè)效率。端口阻斷：可以根據(jù)數(shù)據(jù)包的來源和數(shù)據(jù)包的特征進(jìn)行阻斷設(shè)置。SYN代理：對(duì)來自定義區(qū)域的Syn Flood攻擊行為進(jìn)行阻斷過濾。CC攻擊：可通過設(shè)置端口和閥值阻斷CC攻擊?？捎涗浌羧罩竞蛨?bào)警。支持手動(dòng)設(shè)置和根據(jù)IDS規(guī)則自動(dòng)生成黑名單。支持手動(dòng)設(shè)置和根據(jù)可

29、信連接達(dá)到一定規(guī)模后升級(jí)為白名單用戶。NAT支持雙向NAT。支持動(dòng)態(tài)地址轉(zhuǎn)換和靜態(tài)地址轉(zhuǎn)換。支持多對(duì)一、一對(duì)多和一對(duì)一等多種方式的地址轉(zhuǎn)換。支持虛擬服務(wù)器功能。網(wǎng)絡(luò)適應(yīng)性路由支持靜態(tài)路由、動(dòng)態(tài)路由。支持基于源/目的地址、源/目的端口、協(xié)議類型、接口的策略路由。支持單臂路由，可通過單臂模式接入網(wǎng)絡(luò)，并提供路由轉(zhuǎn)發(fā)功能。支持Vlan路由，能夠在不同的VLAN虛接口間實(shí)現(xiàn)路由功能。支持RIP、OSPF、BGP動(dòng)態(tài)路由協(xié)議。支持源路返回的智能選路方式。組播支持IGMP組播協(xié)議。支持IGMP SNOOPING?？捎行У貙?shí)現(xiàn)視頻會(huì)議等多媒體應(yīng)用。VLAN可與交換機(jī)的Trunk接口對(duì)接，并且能夠?qū)崿F(xiàn)Vlan

30、間通過安全設(shè)備傳播路由。交換口和子接口都支持802.1Q，能進(jìn)行封裝和解封。支持ISL，能進(jìn)行ISL的封裝和解封。在同一個(gè)Vlan內(nèi)能進(jìn)行二層交換。支持對(duì)報(bào)文進(jìn)行二次基于802.1Q封裝的vlan-vpn應(yīng)用。生成樹支持802.1D生成樹協(xié)議。端口聚合支持對(duì)物理端口的聚合，提高帶寬利用率。每個(gè)聚合組的端口數(shù)不做限制，提高了聚合組的配置靈活性。ARP支持ARP代理、ARP學(xué)習(xí)?？稍O(shè)置靜態(tài)ARP?？稍O(shè)置防ARP欺騙。DHCP支持DHCP Client、DHCP Server、DHCP relay。接入支持ADSL等寬帶接入。支持PPPOE撥號(hào)接入。其它支持網(wǎng)絡(luò)時(shí)鐘協(xié)議SNTP，可以自動(dòng)根據(jù)NTP服

31、務(wù)器的時(shí)鐘調(diào)整本機(jī)時(shí)間。支持IPX、NetBEUI等非IP 協(xié)議。PKI證書格式支持X.509 V3數(shù)字證書，支持DER/PEM/PKCS12多種證書編碼。本地CA支持內(nèi)置CA，為其他設(shè)備或移動(dòng)用戶簽發(fā)證書。支持本地CA根證書、根私鑰的更新。支持證書廢棄，支持生成標(biāo)準(zhǔn)CRL列表。第三方CA支持同時(shí)導(dǎo)入多個(gè)第三方CA的根證書和CRL列表，對(duì)不同CA證書用戶進(jìn)行身份認(rèn)證，支持通告HTTP協(xié)議定時(shí)下載CRL列表。支持通過OCSP/LDAP等協(xié)議在線認(rèn)證證書。SSL VPN安全算法支持AES、DES、3DES、RC4、MD5、SHA1、RSA等多種算法選擇。協(xié)議類型支持SSL 2.0/3.0 TLS

32、1.0。數(shù)據(jù)壓縮支持高效流壓縮算法。用戶認(rèn)證支持“用戶名口令”、“用戶名口令圖形認(rèn)證碼”認(rèn)證。支持X.509數(shù)字證書認(rèn)證。支持?jǐn)?shù)字證書UKEY+口令多因子認(rèn)證。支持公共帳戶登陸，支持臨時(shí)禁止帳戶登錄。支持本地?cái)?shù)據(jù)庫認(rèn)證。支持基于LDAP/RADIUS/TACAS等協(xié)議的外部服務(wù)器認(rèn)證。支持特征碼綁定。用戶授權(quán)支持分組授權(quán)、支持獨(dú)立用戶授權(quán)和授權(quán)繼承支持基于URL、訪問路徑、訪問文件、訪問動(dòng)作的細(xì)粒度授權(quán)支持基于時(shí)間的訪問授權(quán)方式支持本地授權(quán)、支持外部組映射授權(quán)、支持證書用戶授權(quán)應(yīng)用支持支持HTML、JAP、ASP、JAVA APPLET、ACTIVE、Cookies等各種Web應(yīng)用支持基于IP

33、協(xié)議的各種C/S應(yīng)用，如EMAIL,FTP,ERP,CRM,DB等支持Windows/CIFS遠(yuǎn)程文件共享端點(diǎn)安全支持接入客戶端痕跡清除，能夠清楚cookie、緩存、歷史記錄等各種訪問痕跡支持拔KEY隧道自動(dòng)中斷支持用戶超時(shí)自動(dòng)退出，超時(shí)時(shí)間可以設(shè)置可信接入支持基于角色的可信接入支持檢查接入機(jī)的操作系統(tǒng)支持檢測(cè)操作系統(tǒng)的補(bǔ)丁支持可信接入分級(jí)授權(quán)多線路支持與智能選路支持多條線路同時(shí)接入支持手工選擇最優(yōu)線路支持自動(dòng)選擇最優(yōu)線路客戶端接入支持Http代理接入支持Socks5代理接入操作系統(tǒng)支持支持Windows2000至Vista的所有操作系統(tǒng)實(shí)時(shí)監(jiān)控實(shí)時(shí)監(jiān)控在線用戶的登錄時(shí)間、在線時(shí)間、訪問流量，

34、認(rèn)證方式等多種信息支持對(duì)使用公共帳戶登錄用戶進(jìn)行獨(dú)立監(jiān)控支持主動(dòng)中斷在線用戶的隧道連接IPSEC VPN協(xié)議支持ESP/AH/IKE/NATT等標(biāo)準(zhǔn)IPSEC協(xié)議，支持隧道模式、傳輸模式算法支持DES/3DES/AES等標(biāo)準(zhǔn)加密算法，支持MD5/SHA1等標(biāo)準(zhǔn)HASH算法支持DH GROUP1/2/5，RSA 1024/2048非對(duì)稱算法支持國家商密專用的SSP02/SSF33/SCB2算法硬件加速支持高速算法加速卡數(shù)據(jù)壓縮支持高效數(shù)據(jù)流壓縮算法隧道認(rèn)證支持預(yù)共享密鑰、數(shù)字證書認(rèn)證，支持?jǐn)U展認(rèn)證網(wǎng)絡(luò)適應(yīng)性支持網(wǎng)狀、樹型、星型等多種VPN網(wǎng)絡(luò)拓?fù)渲С炙淼赖腘AT穿越、雙向NAT隧道建立支持全動(dòng)態(tài)

35、IP地址間的VPN組網(wǎng)支持隧道轉(zhuǎn)發(fā)支持多機(jī)多隧道的負(fù)載均衡和冗余備份方案支持隧道內(nèi)的訪問控制支持GRE over IPsec方式支持組播穿越IPSec隧道支持動(dòng)態(tài)路由協(xié)議通過IPSec隧道擴(kuò)散支持采用XAUTH的IKE協(xié)商支持隧道利用技術(shù)，單隧道承載多保護(hù)子網(wǎng)的方式可信接入支持基于角色的可信接入支持檢查接入機(jī)的操作系統(tǒng)支持檢測(cè)操作系統(tǒng)的補(bǔ)丁支持可信接入分級(jí)授權(quán)DDNS內(nèi)置免費(fèi)DDNS客戶端與賬號(hào)支持采用DNS域名建立隧道集中管理支持TopPolicy的集中認(rèn)證；支持TopPolicy集中制定并下發(fā)隧道策略；支持TopPolicy集中監(jiān)控隧道狀態(tài)、設(shè)備狀態(tài)和移動(dòng)用戶狀態(tài)；支持TopPolicy的

36、集中遠(yuǎn)程配置。流量統(tǒng)計(jì)支持隧道內(nèi)加解密成功、失敗流量統(tǒng)計(jì)支持隧道內(nèi)認(rèn)證成功、失敗流量統(tǒng)計(jì)支持隧道持續(xù)時(shí)間統(tǒng)計(jì)等負(fù)載與備份支持多條隧道的負(fù)載均衡支持多條隧道的備份與自動(dòng)切換支持多機(jī)之間的流量負(fù)載與自動(dòng)切換支持隧道、專線之間的備份與自動(dòng)切換移動(dòng)客戶端支持第三方標(biāo)準(zhǔn)IPSec客戶端接入支持VRC客戶端接入支持用戶口令的接入認(rèn)證支持基于數(shù)字證書的接入認(rèn)證支持動(dòng)態(tài)口令卡接入認(rèn)證支持證書口令雙因子認(rèn)證支持USB KEY模式的身份認(rèn)證支持移動(dòng)用戶硬件特征碼認(rèn)證功能支持為移動(dòng)用戶自動(dòng)分配內(nèi)部IP地址、DNS/WINS服務(wù)器地址；支持基于角色的訪問權(quán)限控制支持Radius下發(fā)權(quán)限支持AD服務(wù)器下發(fā)權(quán)限支持給證書

37、用戶單獨(dú)授權(quán)支持基于時(shí)間的移動(dòng)用戶訪問控制策略； 支持多線路自動(dòng)檢測(cè)支持用戶修改口令支持標(biāo)準(zhǔn)X509證書支持第三方CA認(rèn)證支持本地用戶認(rèn)證、外部Radius認(rèn)證、LDAP認(rèn)證、AD認(rèn)證等支持移動(dòng)用戶兩網(wǎng)分離，支持安全版、限制版支持英文版，支持中英文切換安全接入L2TP支持遠(yuǎn)程用戶通過L2TP接入，建立L2TP隧道訪問內(nèi)部網(wǎng)絡(luò)PPTP支持遠(yuǎn)程用戶通過PPTP接入，建立PPTP隧道訪問內(nèi)部網(wǎng)絡(luò)安全管理用戶認(rèn)證支持使用一次性口令認(rèn)證（OTP）、本地認(rèn)證、雙因子認(rèn)證（SecurID）以及數(shù)字證書（CA）等常用的安全認(rèn)證方式。支持使用第三方認(rèn)證，如RADIUS、TACACS/TACACS+、LDAP、域

38、認(rèn)證等安全認(rèn)證方式。支持Session認(rèn)證、HTTP會(huì)話認(rèn)證。支持認(rèn)證保活功能。可將認(rèn)證用戶信息加密存放在本地?cái)?shù)據(jù)庫。日志支持Welf、Syslog日志格式的輸出。支持日志分級(jí)和按類型輸出。支持通過第三方軟件來查看日志?？蓪?duì)日志進(jìn)行加密傳輸。支持安全審計(jì)系統(tǒng)（TA-L），獲得更詳盡的日志分析和審計(jì)功能。TA-L除接受防火墻日志外還能接受交換機(jī)、路由器、操作系統(tǒng)、應(yīng)用系統(tǒng)和其他安全產(chǎn)品的日志進(jìn)行聯(lián)合分析。監(jiān)控支持網(wǎng)絡(luò)接口、CPU利用率、內(nèi)存使用率、操作系統(tǒng)狀況、網(wǎng)絡(luò)狀況、硬件系統(tǒng)、進(jìn)程、進(jìn)程內(nèi)存、加密卡狀況的監(jiān)測(cè)?？筛鶕?jù)配置文件進(jìn)行錯(cuò)誤恢復(fù)。報(bào)警內(nèi)置了“管理”、“系統(tǒng)”、“安全”、“策略”、“通

39、信”、“硬件”、“容錯(cuò)”、“測(cè)試”等多種觸發(fā)報(bào)警的事件類。支持郵件、NETBIOS、聲音、SNMP、控制臺(tái)等多種組合報(bào)警方式。流量統(tǒng)計(jì)支持基于IP對(duì)session數(shù)的統(tǒng)計(jì)，并有閥值報(bào)警功能。支持基于IP對(duì)流量的統(tǒng)計(jì)。支持基于傳輸層端口進(jìn)行流量、session數(shù)的統(tǒng)計(jì)。支持NETFLOW協(xié)議版本5,支持設(shè)置過濾條件。帶寬管理QoS流量整形QOS帶寬管理。根據(jù)IP、協(xié)議、網(wǎng)絡(luò)接口、時(shí)間定義帶寬分配策略。支持最小保證帶寬和最大限制帶寬。支持分層的帶寬管理。支持根據(jù)源/目的進(jìn)行獨(dú)享的帶寬管理方式。優(yōu)先級(jí)支持8級(jí)優(yōu)先級(jí)控制。高可用性雙機(jī)熱備支持雙機(jī)熱備（Active-Standby）。支持負(fù)載均衡模式（

40、Active-Active）。支持連接保護(hù)模式（Session Protect）。支持系統(tǒng)故障切換，包括主設(shè)備搶狀態(tài)開關(guān)功能，控制主設(shè)備是否在設(shè)備恢復(fù)正常情況時(shí)搶回主設(shè)備狀態(tài)。支持VPN網(wǎng)關(guān)的雙機(jī)熱備功能。支持接口Metric值。支持連接同步確認(rèn)。支持自動(dòng)的配置同步功能。支持多臺(tái)設(shè)備的配置同步。其它功能支持鏈路備份功能。支持雙系統(tǒng)引導(dǎo)。支持Watchdog功能。配置管理配置方式支持WEB圖形配置、命令行配置。支持TP管理。支持基于SSH、HTTPS的安全配置。命令行支持配置命令分級(jí)保護(hù)。支持中英文。支持命令歷史、命令補(bǔ)齊、命令錯(cuò)誤提示等功能。WEBUI支持初裝配置向?qū)АＶС峙渲眉磿r(shí)定義。支持即

41、時(shí)的配置和狀態(tài)提示。支持中文聯(lián)機(jī)幫助。支持HTTPS客戶端證書認(rèn)證方式。SNMP支持SNMP 的v1 、v2 、v2c 、v3 版本。與當(dāng)前通用的網(wǎng)絡(luò)管理平臺(tái)兼容，如HP Openview 等。系統(tǒng)升級(jí)支持雙系統(tǒng)升級(jí)。支持遠(yuǎn)程維護(hù)和系統(tǒng)升級(jí)。支持TFTP升級(jí)。支持webui升級(jí)。支持ftp升級(jí)。報(bào)文調(diào)試提供強(qiáng)大的報(bào)文調(diào)試功能，可以幫助網(wǎng)絡(luò)管理員或安全管理員發(fā)現(xiàn)、調(diào)試和解決問題。支持發(fā)送虛擬報(bào)文。配置恢復(fù)可以進(jìn)行完整配置的下載備份、上載恢復(fù)可以進(jìn)行部分配置本地和異地的批量導(dǎo)出和導(dǎo)入。時(shí)鐘調(diào)整支持網(wǎng)絡(luò)時(shí)鐘協(xié)議SNTP，可自動(dòng)根據(jù)NTP服務(wù)器時(shí)鐘調(diào)整本機(jī)時(shí)間。入侵防御工作模式支持直連模式和（IDS監(jiān)

42、聽）。入侵防御支持路由、交換、直連、IDS監(jiān)聽四種模式。支持基于源、目的、規(guī)則集的入侵檢測(cè)。支持自定義動(dòng)作。支持時(shí)間對(duì)象。支持與防火墻聯(lián)動(dòng)。支持bypass。DDOS防御非法報(bào)文攻擊：land 、Smurf、Pingofdeath、winnuke 、tcp_sscan、ip_option、teardrop、targa3、ipspoof。統(tǒng)計(jì)型報(bào)文攻擊：Synflood、Icmpflood、Udpflood、Portscan、ipsweep。 可記錄攻擊日志和報(bào)警。規(guī)則庫維護(hù)支持自定義規(guī)則庫導(dǎo)入、導(dǎo)出。支持系統(tǒng)規(guī)則庫手動(dòng)、自動(dòng)升級(jí)。系統(tǒng)規(guī)則系統(tǒng)定義超過2200條規(guī)則，包含Backdoor，buf

43、feroverflow，dosddos，im，p2p，vulnerability，scan，webcgi，worm，game。自定義規(guī)則支持自定義規(guī)則。支持自定義規(guī)則集。4.5運(yùn)行環(huán)境與標(biāo)準(zhǔn)電源：TG-5330/5230/5130 電源：電壓：AC100240V頻率：6050HZ電流：85A功率：400W（MAX）TG-5030電源：電壓：AC100240V頻率：6050HZ電流：85A功率：350W（MAX）TG-5114電源：電壓：AC 100240V頻率：6050HZ電流：8-5A 功率：400W (MAX)TG-5014電源：電壓：AC 100240V頻率：4763HZ輸入電流：4-2

44、A 功率：200W (MAX)環(huán)境：TG-5330/5230/5130/5030 環(huán)境：運(yùn)行溫度: 040 攝氏度存儲(chǔ)溫度: -4070 攝氏度相對(duì)濕度:595%RH，非冷凝TG-5114 環(huán)境：運(yùn)行溫度: 045 攝氏度存儲(chǔ)溫度: -2085 攝氏度相對(duì)濕度:595%RH，非冷凝TG-5014 環(huán)境：運(yùn)行溫度: 040 攝氏度存儲(chǔ)溫度: -2085 攝氏度相對(duì)濕度:595%RH，非冷凝國家標(biāo)準(zhǔn):GB/T18336-2001GB/T18019-1999GB/T18020-1999參考的安全規(guī)范及標(biāo)準(zhǔn)(相對(duì)參考):GB4943-2001UL 1950TUV-IEC 950電磁兼容標(biāo)準(zhǔn):GB925

45、4-1998GB17618-1998FCC Class BIEC 61000-4-2 （靜電放電ESD抗擾度）IEC 61000-4-3 （射頻電磁場(chǎng)抗擾度）IEC 61000-4-4 （電快速瞬變EFT抗擾度）IEC 61000-4-5 （浪涌Surge抗擾度）方案實(shí)施5.1方案設(shè)計(jì)及典型應(yīng)用5.1.1典型應(yīng)用一：在大型網(wǎng)絡(luò)中的應(yīng)用5.1.2典型應(yīng)用二：虛擬防火墻應(yīng)用5.2.3典型應(yīng)用三：AA模式雙機(jī)熱備5.2具體實(shí)施方案5.1.1防火墻管理防火墻缺省管理接口為eth0口，管理地址為54，缺省登錄管理員帳號(hào)：用戶名superman，口令talent。防火墻出廠配置如下：防火墻支持以下管理方式

46、：串口(console)管理方式：超級(jí)終端參數(shù)設(shè)置波特率9600。輸入helpmode chinese命令可以看到中文化菜單。WEBUI管理方式（https協(xié)議）：在輸入U(xiǎn)RL時(shí)要注意以“”作為協(xié)議類型，例如54,推薦使用IE 瀏覽器進(jìn)行登錄管理。在瀏覽器輸入：，看到下列提示，選擇“是”TELNET管理方式：模擬console管理方式SSH管理方式：模擬console管理方式提示：要想通過TELNET、SSH方式管理防火墻，必須首先打開防火墻的服務(wù)端口，系統(tǒng)默認(rèn)打開“HTTP”方式。在“系統(tǒng)管理”“配置” “開放服務(wù)”中選擇“啟動(dòng)”即可，并且在開放服務(wù)里面相關(guān)接口區(qū)域添加 TELNET、SSH

47、方式等管理方式即可。5.1.2防火墻配置防火墻路由模式案例配置在路由模式下，天融信防火墻類似于一臺(tái)路由器轉(zhuǎn)發(fā)數(shù)據(jù)包，將接收到的數(shù)據(jù)包的源MAC 地址替換為相應(yīng)接口的MAC 地址，然后轉(zhuǎn)發(fā)。該模式適用于每個(gè)區(qū)域都不在同一個(gè)網(wǎng)段的情況。和路由器一樣，天融信防火墻的每個(gè)接口均要根據(jù)區(qū)域規(guī)劃配置IP 地址。配置需求：內(nèi)網(wǎng)客戶機(jī)可以訪問互聯(lián)網(wǎng)外網(wǎng)僅可以訪問WEB服務(wù)器HTTP應(yīng)用，禁止其他訪問外網(wǎng)禁止訪問內(nèi)網(wǎng)拓?fù)鋱D如下：接口IP地址配置進(jìn)入防火墻管理界面，點(diǎn)擊”網(wǎng)絡(luò)管理“接口” ”物理接口“，依次點(diǎn)擊每個(gè)接口的“設(shè)置”按鈕可以添加每個(gè)接口的描述和接口IP地址。區(qū)域和缺省訪問權(quán)限配置在“資產(chǎn)管理”“區(qū)域”

48、中定義防火墻區(qū)域（接入相同安全等級(jí)的網(wǎng)絡(luò)接口的組合為一個(gè)區(qū)域），點(diǎn)擊“添加”。權(quán)限選擇為“禁止訪問”，即訪問該區(qū)域缺省權(quán)限為禁止訪問。依次創(chuàng)建若干區(qū)域（添加ETH0接口為“內(nèi)網(wǎng)”區(qū)域； ETH1接口為“外網(wǎng)”區(qū)域；添加ETH2接口為“服務(wù)器”區(qū)域；）提示：有幾個(gè)安全等級(jí)就需要?jiǎng)?chuàng)建幾個(gè)區(qū)域，即如果網(wǎng)絡(luò)之間需要配置訪問規(guī)則，那就需要配置不同的區(qū)域。防火墻管理權(quán)限設(shè)置默認(rèn)只能從ETH0接口對(duì)防火墻進(jìn)行管理“內(nèi)網(wǎng)”區(qū)域添加對(duì)防火墻的管理權(quán)限（當(dāng)然也可以對(duì)“外網(wǎng)”區(qū)域添加），點(diǎn)擊“系統(tǒng)管理”“配置”“開放服務(wù)”，點(diǎn)擊添加，常用服務(wù)有WEBUI(即WEB管理)、ping、Telnet等（請(qǐng)根據(jù)管理需要添加

49、相應(yīng)管理服務(wù)）路由表配置添加靜態(tài)路由，在“網(wǎng)絡(luò)管理” “路由”“靜態(tài)路由”，點(diǎn)擊添加添加缺省路由時(shí)，目的地址和目的掩碼都為，網(wǎng)關(guān)為下一條地址，其他選項(xiàng)為空。如果防火墻和客戶端之間有三層設(shè)備（比如三層交換機(jī)或者路由器），請(qǐng)注意添加相應(yīng)靜態(tài)路由。定義對(duì)象提示：防火墻所有需要引用對(duì)象(如地址轉(zhuǎn)換策略、訪問控制策略等)的配置，請(qǐng)先定義對(duì)象，才能引用。定義地址對(duì)象添加單個(gè)主機(jī)對(duì)象點(diǎn)擊”資源管理“地址”“主機(jī)”，點(diǎn)擊右上角“添加配置”添加地址范圍點(diǎn)擊”資源管理“地址”“范圍”，點(diǎn)擊右上角“添加配置”添加子網(wǎng)點(diǎn)擊”資源管理“地址”“子網(wǎng)”，點(diǎn)擊右上角“添加配置”添加地址組點(diǎn)擊”資源管理“地址”“地址組”，點(diǎn)

50、擊右上角“添加配置”定義服務(wù)對(duì)象防火墻內(nèi)置一些標(biāo)準(zhǔn)服務(wù)端口，但有時(shí)用戶的系統(tǒng)沒有使用某些服務(wù)的標(biāo)準(zhǔn)端口，用戶在端口引用時(shí)，需要我們通過自定義方式加以定義。點(diǎn)擊 “資源管理”“服務(wù)”“自定義服務(wù)”，點(diǎn)擊“添加”，可以添加單個(gè)端口或范圍 。注意單個(gè)端口只填起始端口 定義時(shí)間對(duì)象點(diǎn)擊“資源管理”“時(shí)間”，點(diǎn)擊“添加”，可以設(shè)置單次和多次地址轉(zhuǎn)換策略在“防火墻” “地址轉(zhuǎn)換”，點(diǎn)擊 “添加”選擇“源轉(zhuǎn)換”，點(diǎn)擊“高級(jí)”，源選擇源區(qū)域“內(nèi)網(wǎng)”，目的選擇目的區(qū)域“外網(wǎng)”，源轉(zhuǎn)換為Eth1接口（即轉(zhuǎn)換為Eth1接口IP地址）或者轉(zhuǎn)換30主機(jī)地址。如果需要源地址轉(zhuǎn)換為一段地址，則首先需要?jiǎng)?chuàng)建一段地址范圍，且該

51、地址范圍不能設(shè)置排除IP地址。首先需要添加Web服務(wù)器地址對(duì)象（，服務(wù)器真實(shí)地址）、外網(wǎng)訪問的地址對(duì)象（30，合法地址），具體配置見定義對(duì)象章節(jié)。目的轉(zhuǎn)換有兩種方式：地址轉(zhuǎn)換、端口轉(zhuǎn)換。地址轉(zhuǎn)換：從一個(gè) IP 地址到另一個(gè) IP 地址的映射。安全網(wǎng)關(guān)設(shè)備將到達(dá)映射地址（合法IP）的所有信息流中的目標(biāo)IP 地址轉(zhuǎn)換成主機(jī) IP 地址（即服務(wù)器真實(shí)地址）。地址轉(zhuǎn)換建議在映射地址資源充裕時(shí)、服務(wù)器使用端口較多且端口不連續(xù)、服務(wù)器端口不是固定端口時(shí)使用。端口轉(zhuǎn)換：從一個(gè) IP 地址到基于目標(biāo)端口號(hào)的多個(gè)IP 地址的映射，即單個(gè) IP 地址可以托管從若干服務(wù) ( 使用不同的目標(biāo)端口號(hào)標(biāo)識(shí)) 到同樣多主機(jī)

52、的映射。端口轉(zhuǎn)換建議在映射地址資源短缺且服務(wù)器端口為固定端口時(shí)使用。配置Web服務(wù)器映射有兩種方式：（）端口轉(zhuǎn)換在“防火墻” “地址轉(zhuǎn)換”，點(diǎn)擊 “添加”選擇“目的轉(zhuǎn)換”，點(diǎn)擊“高級(jí)”，源選擇源區(qū)域“外網(wǎng)”，目的選擇“外網(wǎng)訪問的地址對(duì)象（30）”，服務(wù)選擇“HTTP”服務(wù)，目的地址轉(zhuǎn)換為選擇“Web服務(wù)器地址對(duì)象（），即服務(wù)器真實(shí)地址”，目的端口轉(zhuǎn)換為“HTTP”服務(wù)。（）地址映射在“防火墻” “地址轉(zhuǎn)換”，點(diǎn)擊 “添加”選擇“目的轉(zhuǎn)換”，點(diǎn)擊“高級(jí)”，源選擇源區(qū)域“外網(wǎng)”，目的選擇“外網(wǎng)訪問的地址對(duì)象（30）”，目的地址轉(zhuǎn)換為選擇“Web服務(wù)器地址對(duì)象（），即服務(wù)器真實(shí)地址”。第一條為內(nèi)網(wǎng)訪

53、問外網(wǎng)做源轉(zhuǎn)換；第二條為外網(wǎng)訪問WEB服務(wù)器的映射地址，防火墻把包轉(zhuǎn)發(fā)給服務(wù)器的真實(shí)IP。地址轉(zhuǎn)換需要注意的問題：1、天融信防火墻先匹配目的轉(zhuǎn)換規(guī)則，再對(duì)其他的地址轉(zhuǎn)換規(guī)則按照從上往下的順序進(jìn)行匹配，在目的轉(zhuǎn)換規(guī)則中也是按照排列順序進(jìn)行匹配。在匹配過程中，一旦存在一條匹配的地址轉(zhuǎn)換規(guī)則，防火墻將停止檢索，并按所定義的規(guī)則處理數(shù)據(jù)包，所以規(guī)則的類型和先后順序決定了數(shù)據(jù)包的處理方式，目的NAT 規(guī)則要優(yōu)先于其他NAT 規(guī)則。2、如果內(nèi)網(wǎng)用戶需要通過服務(wù)器映射地址訪問web服務(wù)器時(shí)，還需針對(duì)內(nèi)網(wǎng)添加地址轉(zhuǎn)換。如案例如果內(nèi)網(wǎng)需要訪問30（合法地址）來訪問web服務(wù)器需要單獨(dú)添加地址轉(zhuǎn)換。下面以端口轉(zhuǎn)換

54、為例，地址轉(zhuǎn)換請(qǐng)參照外網(wǎng)訪問web服務(wù)器。在“防火墻” “地址轉(zhuǎn)換”，點(diǎn)擊 “添加”選擇“雙向轉(zhuǎn)換”，點(diǎn)擊“高級(jí)”，源選擇源區(qū)域“內(nèi)網(wǎng)”，目的選擇“外網(wǎng)訪問的地址對(duì)象（30）”，服務(wù)選擇“HTTP”服務(wù)，目的端口轉(zhuǎn)換為“HTTP”服務(wù)。源地址轉(zhuǎn)為選擇“外網(wǎng)訪問的地址對(duì)象（30）”，目的地址轉(zhuǎn)換為選擇“Web服務(wù)器地址對(duì)象（），即服務(wù)器真實(shí)地址”，目的轉(zhuǎn)換為選擇“HTTP服務(wù)“。制定訪問控制策略在“防火墻” “訪問控制”，點(diǎn)擊 “添加”第一條規(guī)則定義內(nèi)網(wǎng)可以訪問外網(wǎng)在“防火墻” “訪問控制”，點(diǎn)擊 “添加”選擇“源”，點(diǎn)擊“高級(jí)”，源選擇源區(qū)域“內(nèi)網(wǎng)”，目的選擇目的區(qū)域“外網(wǎng)” , 點(diǎn)擊“高級(jí)”

55、, 動(dòng)作“允許”（默認(rèn)選項(xiàng)）。第二條規(guī)則定義外網(wǎng)可以訪問服務(wù)器的對(duì)外發(fā)布的應(yīng)用端口，只能訪問服務(wù)器http應(yīng)用。在“防火墻” “訪問控制”，點(diǎn)擊 “添加”選擇“源”，點(diǎn)擊“高級(jí)”，源選擇源區(qū)域“內(nèi)網(wǎng)、外網(wǎng)”， 目的選擇“Web服務(wù)器地址對(duì)象（），即服務(wù)器真實(shí)地址”, 服務(wù)選擇”HTTP服務(wù)”，動(dòng)作“允許”（默認(rèn)選項(xiàng)）。第一條規(guī)則定義內(nèi)網(wǎng)可以訪問外網(wǎng)。源選擇“外網(wǎng)”；目的可以選擇目的區(qū)域“外網(wǎng)”，動(dòng)作“允許”（默認(rèn)選項(xiàng)）。第二條規(guī)則定義外網(wǎng)可以訪問服務(wù)器的對(duì)外發(fā)布的應(yīng)用端口，只能訪問服務(wù)器http應(yīng)用。源選擇“內(nèi)網(wǎng)、外網(wǎng)”，目的選擇服務(wù)器真實(shí)的IP地址，服務(wù)選擇“HTTP”服務(wù)。訪問規(guī)則需要注意

56、的問題：訪問控制規(guī)則描述了天融信防火墻允許或禁止匹配訪問控制規(guī)則的報(bào)文通過。防火墻接收到報(bào)文后，將訪問控制規(guī)則表中所設(shè)定規(guī)則。一旦尋找到匹配的規(guī)則，則按照該策略所規(guī)定的操作（允許或丟棄）處理該報(bào)文，不再進(jìn)行區(qū)域缺省屬性的檢查。如果不存在可匹配的訪問策略，天融信防火墻將根據(jù)目的接口所在區(qū)域的缺省屬性（允許訪問或禁止訪問），處理該報(bào)文。區(qū)域?qū)傩栽O(shè)置請(qǐng)參見 “3、區(qū)域和缺省訪問權(quán)限配置”。 1、規(guī)則作用有順序 2、訪問控制列表遵循第一匹配規(guī)則 3、規(guī)則的一致性和邏輯性配置保存點(diǎn)擊管理界面右上角“保存配置”配置完成后，配置立即生效，但是一定要保存配置，否則設(shè)備斷電或重新啟動(dòng)后未保存配置將丟失。保存的配

57、置將作為下次設(shè)備啟動(dòng)配置。配置文件備份配置完成并確認(rèn)運(yùn)行正常以后，請(qǐng)備份配置文件。選擇“系統(tǒng)管理”“維護(hù)”“配置維護(hù)”，選擇“保存配置”提示：每次修改配置前，建議首先備份防火墻再修改配置，避免防火墻配置不當(dāng)造成網(wǎng)絡(luò)長時(shí)間中斷。防火墻透明模式案例配置在透明模式下，天融信防火墻的所有接口均作為交換接口工作。也就是說，對(duì)于同一VLAN 的數(shù)據(jù)包在轉(zhuǎn)發(fā)時(shí)不作任何改動(dòng)，包括IP 和MAC 地址，直接把包轉(zhuǎn)發(fā)出去。同時(shí)，天融信防火墻可以在設(shè)置了IP 的VLAN 之間進(jìn)行路由轉(zhuǎn)發(fā)。配置需求：內(nèi)網(wǎng)客戶機(jī)可以訪問互聯(lián)網(wǎng)外網(wǎng)僅可以訪問WEB服務(wù)器HTTP應(yīng)用，禁止其他訪問外網(wǎng)禁止訪問內(nèi)網(wǎng)拓?fù)鋱D如下：1、防火墻接口

58、IP配置定義一個(gè)VLAN(本案例創(chuàng)建VLAN 1)，點(diǎn)擊“網(wǎng)絡(luò)管理”“二層網(wǎng)絡(luò)”“VLAN”“添加/刪除VLAN范圍”。設(shè)置VLAN 1接口IP地址及子網(wǎng)掩碼。分別把ETH0、ETH1、ETH2接口加入到VLAN 1中，點(diǎn)擊”網(wǎng)絡(luò)管理“接口” ”物理接口“，依次點(diǎn)擊接口的“設(shè)置”按鈕可以把接口加入到VLAN 1中。2、區(qū)域和缺省訪問權(quán)限配置在“資產(chǎn)管理”“區(qū)域”中定義防火墻區(qū)域（接入相同安全等級(jí)的網(wǎng)絡(luò)接口的組合為一個(gè)區(qū)域），點(diǎn)擊“添加”。權(quán)限選擇為“禁止訪問”，即訪問該區(qū)域缺省權(quán)限為禁止訪問。依次創(chuàng)建若干區(qū)域（添加ETH0接口為“內(nèi)網(wǎng)”區(qū)域； ETH1接口為“外網(wǎng)”區(qū)域；添加ETH2接口為“服

59、務(wù)器”區(qū)域；）提示：有幾個(gè)安全等級(jí)就需要?jiǎng)?chuàng)建幾個(gè)區(qū)域，即如果網(wǎng)絡(luò)之間需要配置訪問規(guī)則，那就需要配置不同的區(qū)域。3、防火墻管理權(quán)限設(shè)置（定義希望從哪個(gè)區(qū)域管理防火墻）默認(rèn)只能從ETH0接口對(duì)防火墻進(jìn)行管理“內(nèi)網(wǎng)”區(qū)域添加對(duì)防火墻的管理權(quán)限（當(dāng)然也可以對(duì)“外網(wǎng)”區(qū)域添加），點(diǎn)擊“系統(tǒng)管理”“配置”“開放服務(wù)”，點(diǎn)擊添加，常用服務(wù)有WEBUI(即WEB管理)、ping、Telnet等（請(qǐng)根據(jù)管理需要添加相應(yīng)管理服務(wù)）4、路由表配置如果防火墻和客戶端之間有三層設(shè)備（比如三層交換機(jī)或者路由器），非VLAN接口地址網(wǎng)段需要管理防火墻時(shí)，請(qǐng)注意添加相應(yīng)靜態(tài)路由。該路由只參與防火墻管理，與數(shù)據(jù)通信無關(guān)。如果不

60、需要跨網(wǎng)段管理防火墻，無需設(shè)置路由表。添加靜態(tài)路由，在“網(wǎng)絡(luò)管理” “路由”“靜態(tài)路由”，點(diǎn)擊添加添加缺省路由時(shí)，目的地址和目的掩碼都為，網(wǎng)關(guān)為下一條地址，其他選項(xiàng)為空。5、定義對(duì)象（包括地址對(duì)象、服務(wù)對(duì)象、時(shí)間對(duì)象）提示：防火墻所有需要引用對(duì)象(如地址轉(zhuǎn)換策略、訪問控制策略等)的配置，請(qǐng)先定義對(duì)象，才能引用。定義地址對(duì)象添加單個(gè)主機(jī)對(duì)象點(diǎn)擊”資源管理“地址”“主機(jī)”，點(diǎn)擊右上角“添加配置”添加地址范圍點(diǎn)擊”資源管理“地址”“范圍”，點(diǎn)擊右上角“添加配置”添加子網(wǎng)點(diǎn)擊”資源管理“地址”“子網(wǎng)”，點(diǎn)擊右上角“添加配置”添加地址組點(diǎn)擊”資源管理“地址”“地址組”，點(diǎn)擊右上角“添加配置”定義服務(wù)對(duì)象