重慶商社集團防火墻、VPN技術(shù)建議書

廣州鼎成信息科技有限公司Tel:86AGE廣州鼎成信息科技有限公司地址：廣州市天河區(qū)龍口西路77號天信大廈809，TELPAGE１６頁，共NUMPAGES22NUMPAGES-110頁鼎成SECCN防火墻建設(shè)方案廣州鼎成信息科技有限公司SeccnComputerNetworkTechnologyCo.,Ltd.廣州鼎成信息科技有限公司Tel:86錄一、鼎成科技簡介 ３二、關(guān)鍵技術(shù) ３三、產(chǎn)品簡介 ４四、X86/ASIC硬件體系結(jié)構(gòu) １２五、數(shù)據(jù)流處理 １４六、SECCN系列硬件防火墻的技術(shù)特點及優(yōu)勢 １６七、SECCNH500產(chǎn)品優(yōu)勢及技術(shù)參數(shù)表 １７八、供貨時限 ２０九、安裝方式 ２０十、售后服務(wù) ２０十一、技術(shù)支持方式 ２１***集團防火墻、VPN技術(shù)建議書根據(jù)***集團現(xiàn)有的網(wǎng)絡(luò)狀況及對防火墻、VPN的具體需求，建議***集團中心機房采用鼎成科技的SECCNH500硬件病毒防火墻，此款產(chǎn)品具有高性能的病毒防護和VPN功能，而且具有很高的性價比，不但滿足了商社集團現(xiàn)在的網(wǎng)絡(luò)需求，而且也為以后的網(wǎng)絡(luò)升級擴展留下了很大的空間。一、鼎成科技簡介廣州鼎成信息科技有限公司是創(chuàng)立于1989年臺北艾崴股份在中國內(nèi)地的全資子公司，是新一代網(wǎng)絡(luò)實時安全防御網(wǎng)關(guān)的技術(shù)引領(lǐng)廠家，是專業(yè)服務(wù)器、防火墻、VPN、監(jiān)控系統(tǒng)等網(wǎng)絡(luò)安全產(chǎn)品硬件平臺提供商，協(xié)同數(shù)十位多年工作于軟件行業(yè)的IT精英，而組成的高效率的軟硬件開發(fā)和銷售團隊。艾崴自創(chuàng)立以來，基于核心團隊的深厚技術(shù)底蘊，一直專注于研發(fā)通用計算機網(wǎng)絡(luò)安全和網(wǎng)絡(luò)管理產(chǎn)品，并積極地進行市場推廣。SECCNH系列UTM產(chǎn)品、G系列VPN防火墻產(chǎn)品、內(nèi)網(wǎng)監(jiān)控系統(tǒng)，順利通過ISO9000-2000國際質(zhì)量體系認證。SECCN網(wǎng)絡(luò)終端智能管理平臺獲得國家信息產(chǎn)品部頒發(fā)的“軟件產(chǎn)品登記證書”并通過國家公安部“計算機信息系統(tǒng)安全產(chǎn)品”認證。鼎成科技站在高新技術(shù)的前沿，致力于為市場提供安全、穩(wěn)定、全面、易用的網(wǎng)絡(luò)終端智能管理系統(tǒng)。鼎成科技推出一種基于X86/ASIC硬件體系結(jié)構(gòu)的新型網(wǎng)絡(luò)安全設(shè)備－SECCNH系列病毒防火墻。SECCN系列產(chǎn)品除了防火墻、虛擬專用網(wǎng)VPN、和入侵檢測／阻斷的功能外，同時又把防病毒/蠕蟲和內(nèi)容過濾等應(yīng)用層功能集中在一個專用的、簡易管理的平臺上，是一套完整的全方位網(wǎng)絡(luò)與信息安全解決方案，提供了高效的處理能力。病毒防火墻SECCNH系列擁有十二款不同產(chǎn)品，包括適合于個人辦公環(huán)境、小型商務(wù)（SOHO）、中小型企業(yè)的產(chǎn)品，以及大型企業(yè)和運營服務(wù)商的千兆位防御網(wǎng)關(guān)。鼎成科技成立于1999年，公司總部位于臺北，在澳大利亞、加拿大、法國、德國、日本、韓國、馬來西亞、新加坡、瑞典、泰國、英國及中國大陸、香港等國家和地區(qū)均設(shè)有分支機構(gòu)。二、關(guān)鍵技術(shù)公司擁有11項審核的專利，SECCNH系列病毒防火墻采用了先進的行為加速和內(nèi)容分析系統(tǒng)技術(shù)（AcceleratedBehaviorandContentAnalysisSysltem-ABACASTM），包括SecX86/ASIC內(nèi)容處理器和SecOSTM操作系統(tǒng)，突破了芯片設(shè)計、網(wǎng)絡(luò)通信、安全防御及內(nèi)容分析等諸多難點。公司所獨有的基于X86/ASIC的網(wǎng)絡(luò)安全架構(gòu)能實時進行網(wǎng)絡(luò)內(nèi)容和狀態(tài)分析，在網(wǎng)絡(luò)邊界布署應(yīng)用層防護措施，在維持網(wǎng)絡(luò)傳輸速度的同時有效的確保了企業(yè)網(wǎng)絡(luò)安全。SecOSTM內(nèi)容操作系統(tǒng)是一個高可靠的、高安全的操作系統(tǒng)，可以保證所有的SECCN產(chǎn)品高效率、無阻塞的運行。SECCN的體系結(jié)構(gòu)設(shè)計核心處理技術(shù)利用了智能排隊和獨特管道管理極大地改善了傳統(tǒng)數(shù)據(jù)的處理速度。三、產(chǎn)品簡介SECCN的基于X86/ASIC加速的SECCN?系列病毒防火墻產(chǎn)品榮獲了多個獎項，是實時網(wǎng)絡(luò)防護系統(tǒng)的前沿產(chǎn)品。產(chǎn)品檢測并阻擋來自郵件的威脅，以及病毒／蠕蟲入侵和不健康網(wǎng)頁的Web流量。所有的檢測都是在實時狀態(tài)下進行，不會影響網(wǎng)絡(luò)性能。SECCN系統(tǒng)采用專有的易于管理的平臺，通過集中的管理平臺和移動客戶端軟件構(gòu)筑完善的安全架構(gòu)。目前網(wǎng)絡(luò)架構(gòu)所面臨的嚴峻挑戰(zhàn)中，大部分直接源自于傳統(tǒng)網(wǎng)絡(luò)系統(tǒng)的局限性。因為這些系統(tǒng)缺乏支持內(nèi)容處理的專用硬件，不能夠突破所謂的內(nèi)容處理障礙（ContentProcessingBarrier）。也就是說無法在維持網(wǎng)絡(luò)傳輸速度的同時，對應(yīng)用層進行信息內(nèi)容掃描，監(jiān)測排除各種危害的內(nèi)容。SECCN研制的SECCN產(chǎn)品系列則可以突破內(nèi)容處理障礙，為業(yè)界在網(wǎng)絡(luò)邊界提供應(yīng)用層防護設(shè)立了一套高性能低成本的新系統(tǒng)。該家族產(chǎn)品的每一款都具有管理靈活、性能全面的特性，可為企業(yè)提供多層次的防護措施，包括應(yīng)用層的病毒防護、內(nèi)容過濾服務(wù)以及在網(wǎng)絡(luò)層的防火墻、入侵檢測、虛擬專用網(wǎng)（IPSecVPN、SSLVPN）、流量管理等服務(wù)措施。3．1產(chǎn)品功能列表病毒檢測(ICSA實驗室認證)病毒和蠕蟲防御：能夠100%檢測、消除感染現(xiàn)有網(wǎng)絡(luò)的病毒和蠕蟲，實時的掃描輸入和輸出郵件及其附件（SMTP，POP3，IMAP，F(xiàn)TP），在不損失Web性能情況下掃描所有Web內(nèi)容和插件（HTTP）的病毒特征碼。VPN反病毒：消除VPN隧道的病毒和蠕蟲，阻止遠程用戶及合作伙伴的病毒傳播。Web內(nèi)容過濾處理所有的網(wǎng)頁內(nèi)容，阻擋不適當?shù)膬?nèi)容和惡意的腳本。Web內(nèi)容過濾：根據(jù)URL、關(guān)鍵詞模式匹配阻止Web站點及頁面。免屏蔽列表：允許管理員設(shè)置專門的URL或關(guān)鍵字不被阻斷。腳本過濾：阻止網(wǎng)頁的插件，例如ActiveX、JavaApplets和Cookies。防火墻(ICSA實驗室認證)符合工業(yè)標準的狀態(tài)檢測防火墻，很容易配置策略。工作模式：網(wǎng)絡(luò)地址轉(zhuǎn)換，透明模式，端口地址轉(zhuǎn)換，路由模式。用戶認證：內(nèi)建用戶認證數(shù)據(jù)庫，支持RADIUS&LDAP認證數(shù)據(jù)庫。服務(wù)：支持近百種標準服務(wù)（例如：NetmeetingGRE、HTTP,OSPF），支持用戶自定義服務(wù)和服務(wù)組。時間表：根據(jù)小時、日、周和月建立一次性或循環(huán)時間表，防火墻根據(jù)不同的時間表定義安全策略。虛擬映射：通過把外部地址映射到內(nèi)部或DMZ網(wǎng)絡(luò)上的地址使得外部用戶能夠訪問內(nèi)部的服務(wù)器。IP/MAC綁定：自動進行IP與MAC地址的綁定，阻止來自IP地址欺騙的攻擊。流量控制:允許管理員定義帶寬限制并且可以給特定的防火墻策略設(shè)置優(yōu)先等級。VLAN支持：利用虛擬域來支持VLAN子接口反病毒控制：基于防火墻訪問策略的細粒度病毒防御。虛擬專用網(wǎng)(ICSA實驗室認證)在網(wǎng)絡(luò)之間或網(wǎng)絡(luò)與客戶端之間進行安全通訊，支持工業(yè)標準的IPSecPPTPL2TPSSL。密鑰交換算法：支持自動IKE和手工密鑰交換。硬件加速加密：支持DES3DES，和AES加密算法。VPN客戶端通過：支持IPSec和PPTP&L2TP客戶端通過。Hub_and_Spoke:星型VPN網(wǎng)絡(luò)NAT_Traversal:穿越NAT外部網(wǎng)絡(luò)入侵檢測系統(tǒng)(ICSA實驗室認證)：實時的基于網(wǎng)絡(luò)的入侵檢測。攻擊數(shù)據(jù)庫：用戶可配置的超過1300種攻擊特征庫確?？煽康墓芾怼９魴z測：檢測已知的DOSDDOS、攻擊，以及絕大多數(shù)操作系統(tǒng)和應(yīng)用協(xié)議的漏洞。郵件報警：當監(jiān)測到攻擊時，防火墻會同時向3個郵件地址自動發(fā)出警報。高可用性(HA)：在失敗恢復(fù)期間提供“0”中斷。支持Active-Active負載共享HA接口：可定義的“HA”高可用接口，連接兩臺防火墻狀態(tài)失敗恢復(fù)?？煽啃裕喝哂嚯娫吹闹С执_保發(fā)生電源故障時網(wǎng)絡(luò)防御繼續(xù)運行。熱交換能力：在電源發(fā)生故障時，冗余的電源能夠在不中斷供電的情況下快速安全的切換過來補給供電。日志和報告：將日志記錄到可選擇的20G內(nèi)部硬盤、遠程Syslog主機或NetIQWebtrends防火墻報表中心。多種日志:流量、事件和攻擊日志。搜索功能:可以根據(jù)關(guān)鍵字,來源,目的,日期和時間搜索日志記錄。管理：易于使用的、安全的圖形化和命令行界面。快速配置模版：根據(jù)配置模版，逐步配置。圖形配置界面：通過IE瀏覽器進行管理。多語言支持：支持英文、中文、日文和韓語。安全遠程管理：通過瀏覽器界面，使用HTTPS，HTTP遠程登錄管理；還可以通過命令行界面，使用SSH,Telnet遠程管理。LCD配置管理：使用前面板簡單的按鍵和LCD對接口地址快速設(shè)置。命令行界面：提供Console口或安全遠程連接。SECCN?的病毒防火墻系列產(chǎn)品，是在網(wǎng)絡(luò)邊緣提供完整保護服務(wù)的專用硬件產(chǎn)品。基于SECCN的ABACAS?技術(shù)和SecX86/ASIC?內(nèi)容處理器，SECCN?系列突破了內(nèi)容處理障礙，提供實時的網(wǎng)絡(luò)防御，防御基于內(nèi)容的安全威脅(例如病毒和蠕蟲)，還具有防火墻、VPN、入侵檢測、內(nèi)容過濾和流量控制功能。并且提供了高性價比、方便的和強有力的解決方案來檢測、阻止攻擊，防止不正常使用和改善關(guān)鍵網(wǎng)絡(luò)應(yīng)用的服務(wù)。3．2為什么定義為病毒防火墻？傳統(tǒng)的防火墻和VPN設(shè)備不能阻止病毒和非法的網(wǎng)絡(luò)內(nèi)容進入網(wǎng)絡(luò)內(nèi)部，他們無法解決對進入內(nèi)部的郵件、文件和Web頁面進行應(yīng)用層檢測而花費巨大系統(tǒng)資源的問題，所以傳統(tǒng)的網(wǎng)絡(luò)設(shè)備無法阻止來自網(wǎng)絡(luò)的病毒和不適合的內(nèi)容。單一的防病毒產(chǎn)品（包括軟件或硬件）無法做到網(wǎng)關(guān)級的病毒掃描，并且要配置適應(yīng)不同的操作系統(tǒng)或軟件系統(tǒng)才能做到防病毒，也不具備網(wǎng)絡(luò)安全的其他功能，從安全的整體性到對網(wǎng)絡(luò)適應(yīng)的靈活性都很難達到要求。SECCN病毒防火墻利用X86/ASIC硬件技術(shù)進行數(shù)據(jù)包內(nèi)容病毒掃描，保證了網(wǎng)絡(luò)的性能。它能夠?qū)M出SECCN設(shè)備的數(shù)據(jù)流做實時病毒掃描處理，并且100%覆蓋業(yè)界著名的Wildlist組織的病毒庫，提供了用戶手動、自動升級病毒庫，或服務(wù)器推送式病毒庫更新功能。而且SECCN還具有防火墻、VPN、NIDS和內(nèi)容過濾等安全功能。所以SECCN稱之為病毒防火墻，也是世界上僅有幾家的基于X86/ASIC芯片技術(shù)獲得ICSA認證的病毒防火墻之一。3．3基于網(wǎng)絡(luò)的防病毒互聯(lián)網(wǎng)是一個連接全球豐富資源的大網(wǎng)絡(luò)，它讓成千上萬億的線上用戶運用廉價（或免費）的資料，交換彼此的想法、直接而實時的溝通。隨著互聯(lián)網(wǎng)應(yīng)用的飛速發(fā)展，用戶對網(wǎng)絡(luò)信息的依賴性也倍速增長，網(wǎng)絡(luò)病毒也伴隨著網(wǎng)絡(luò)的發(fā)展而迅速增長，互聯(lián)網(wǎng)的技術(shù)支持需求隨之成為企業(yè)IT部門最主要的業(yè)務(wù)負擔。為了保障互聯(lián)網(wǎng)的暢通和安全，為網(wǎng)絡(luò)全方位安全而設(shè)計基于網(wǎng)絡(luò)的病毒防火墻（SECCN系列）無疑是IT人員的最佳幫手。SECCN病毒防火墻是網(wǎng)關(guān)級的安全設(shè)備，它不同于單純的防病毒產(chǎn)品。SECCN在網(wǎng)關(guān)上做HTTP、SMTP、POP和IMAP的病毒掃描，并且可以通過策略控制流經(jīng)不同網(wǎng)絡(luò)方向的病毒掃描或阻斷，其應(yīng)用的靈活性和安全性將消除用戶不必要的顧慮。3．4分區(qū)域安全管理的特色安全域是在同一個平等的安全層次上傳送流量的一組接口，域間的流量不在同一個平等的安全層次上，必須有安全策略來控制，同一安全區(qū)域內(nèi)的接口可以屏蔽通信或開啟通信。SECCN安全域包含系統(tǒng)域定義的和用戶自定義的安全域，策略引擎控制域間流量，明確列出來源和目的域的策略控制。各安全域之間不但可以自由設(shè)置工作模式，而且可以自由設(shè)置安全級別。3．5VPN功能SECCN產(chǎn)品系列工業(yè)標準的VPN在兩個SECCN保護的網(wǎng)絡(luò)或SECCN與支持IPSec、SSL、PPTP或L2TP的第三方VPN保護的網(wǎng)絡(luò)之間建立加密流量傳輸隧道。VPN隧道終止后，SECCN自動地加密VPN流量，并發(fā)送內(nèi)容穿過反病毒引擎。SECCNVPN的特性包括以下幾點：ICSA實驗室認證支持PPTP、L2TP、IPSec以及透明模式下的VPN支持PPTP、IPSec遠程客戶端支持IPSec安全隧道模式支持SSL安全隧道模式支持基于策略的VPN通信硬件加速加密IPSec，DES，3DES，AESHMACMD5或HMACSHA認證和數(shù)據(jù)完整性自動IKE和手工密鑰交換SSHIPSEC客戶端軟件,支持動態(tài)地址訪問，支持硬件IKE通過第三方操作系統(tǒng)支持的PPTP建立VPN連接通過第三方操作系統(tǒng)支持的L2TP建立VPN連接IPSec和PPTPVPN穿越使你的內(nèi)部網(wǎng)絡(luò)的計算機或子網(wǎng)能夠連接到互聯(lián)網(wǎng)上的VPN網(wǎng)關(guān)IPSecNAT在途徑NAT設(shè)備阻斷的情況下建立IPSec隧道支持HUB-and-Spoke星型VPN，該功能允許在分支機構(gòu)與總部之間容易的建立VPN隧道，這樣減輕了管理員在許多分支機構(gòu)與總部之間維護需要安全通訊的VPN隧道3．6防火墻功能SECCN系列產(chǎn)品防火墻都是基于狀態(tài)檢測技術(shù)的，保護你的計算機網(wǎng)絡(luò)免遭來自Internet的攻擊。防火墻通過仔細地設(shè)置接口，提供了安全控制策略，甚至在復(fù)雜的情況下仍可做詳細的控制。SECCN安全策略基于策略的反病毒和Web內(nèi)容過濾通過網(wǎng)絡(luò)分段和細粒度的策略到達多個區(qū)域控制輸入、輸出流量對所有策略選項支持阻止、允許、加密、認證訪問基于時間的策略控制接收或拒絕單個地址到達或發(fā)送的流量控制個別組標準的和用戶自定義的網(wǎng)絡(luò)服務(wù)對用戶授權(quán)認證，支持基于用戶的策略控制對每個策略可以進行基本帶寬、保障帶寬以及優(yōu)先級設(shè)置的流量控制支持動態(tài)IP地址池，允許配置使用地址池的NAT靈活策略基于策略的日志記錄病毒檢測與蠕蟲防御ICSA實驗室認證能夠100%檢測、消除感染現(xiàn)有網(wǎng)絡(luò)的病毒和蠕蟲。實時的掃描SMTP、POP3、IMAP、HTTP和FTP流量的病毒特征碼?？勺远x掃描文件的尺寸?？汕宄[含在ZIP、RAR壓縮文件中的病毒和蠕蟲。消除VPN隧道的病毒和蠕蟲，阻止遠程用戶的病毒傳播。狀態(tài)檢測防火墻ICSA實驗室認證符合工業(yè)標準的狀態(tài)檢測防火墻，容易配置策略。多種工作模式，NAT地址轉(zhuǎn)換模式、透明模式、路由模式。可以根據(jù)不同的時間表定義安全策略。內(nèi)建用戶認證數(shù)據(jù)庫，支持LDAP、RADIUS認證數(shù)據(jù)庫支持端口映射或DMZ功能支持IP/MAC綁定，支持流量控制入侵檢測/阻斷ICSA實驗室認證實時的基于網(wǎng)絡(luò)的入侵檢測/阻斷阻斷已知的34種DOS、DDOS、操作系統(tǒng)和應(yīng)用協(xié)議的漏洞攻擊檢測超過1300種攻擊特征庫確?？煽康墓魴z測管理內(nèi)容過濾根據(jù)URL、關(guān)鍵字、詞組過濾阻止WEB站點及頁面提供全球6種不同語言內(nèi)容的過濾允許管理員設(shè)置專門的URL或關(guān)鍵字不被阻斷阻止網(wǎng)頁的插件，例如ActiveXJavaApplets和Cookies提供E-Mail過濾，針對關(guān)鍵字、黑名單、免過濾列表管理功能支持英文、中文、日語、韓語等多種語言通過IE瀏覽器采用圖形化界面快速配置可以通過HTTP、HTTPS遠程登錄管理可能通過命令行界面，使用SSH、Telnet遠程管理。提供Console口或安全遠程連接使用前面板簡單的按鍵和LCD對接口地址快速設(shè)置日志和報告可日志記錄、遠程Syslog主機或NetlQWebtrends防火墻表中心可記錄多種日志形式，流量、事件、攻擊、和內(nèi)容過濾日志。可根據(jù)關(guān)鍵字、來源、目的、日期、和時間搜索日志記錄。提供7種日志級別，用戶自定義日志類型，將不同級別的日志記錄到不同的目的地。3．7網(wǎng)絡(luò)地址轉(zhuǎn)換在NAT模式，SECCN產(chǎn)品系列在內(nèi)部網(wǎng)和Internet之間設(shè)置了一個秘密的屏障，防火墻提供了網(wǎng)絡(luò)地址轉(zhuǎn)換來保護私有網(wǎng)絡(luò)。NAT模式下，你可以添加DMZ網(wǎng)絡(luò)來提供內(nèi)部服務(wù)器給Internet用戶訪問，DMZ區(qū)是在防火墻的后面不同于內(nèi)部網(wǎng)的獨立網(wǎng)絡(luò)。你還可以配置8個用戶自定義接口給用戶提供多安全區(qū)域管理。3．7．1NAT模式下的防火墻功能：§防火墻防御，按照源/目的地址、服務(wù)和時間來允許/拒絕流量§VPN，反病毒和Web內(nèi)容過濾§IP/MAC綁定§高可用性（HA），在主SECCN工作失敗后做備份的SECCN產(chǎn)品能夠接替它繼續(xù)工作?！煊脩糇远x的接口提供了多區(qū)域安全管理。§記錄到WebTrend的Syslog服務(wù)器的詳細日志§支持基于策略的NAT配置3．7．2透明模式：當一個預(yù)先設(shè)置好使用公共地址的網(wǎng)絡(luò)需要防火墻保護時，透明模式提供了更快捷更簡易的安裝，防火墻的內(nèi)部網(wǎng)接口和外部網(wǎng)接口能夠共存于兩個相同的網(wǎng)絡(luò)中，因而，防火墻可以在不需要對已有網(wǎng)絡(luò)進行任何改動的前提下將其接入到網(wǎng)絡(luò)中的任何一點。數(shù)據(jù)包到達SECCN后會快速轉(zhuǎn)發(fā)到正確的網(wǎng)絡(luò)端口，同時防火墻策略防止對網(wǎng)絡(luò)的未授權(quán)訪問。透明模式下同樣提供了完善的防火墻保護功能（NAT地址翻譯和VPN加密功能除外）3．8網(wǎng)絡(luò)入侵檢測SECCN產(chǎn)品內(nèi)置的NIDS系統(tǒng)，可以防護包括以下內(nèi)容的超過1300多種方式的攻擊：§分布式拒絕服務(wù)攻擊(DDoS)§SYN攻擊§ICMPFlood§UDPFlood§IP碎片攻擊§死Ping攻擊§淚滴攻擊§LandAttack§端口掃描攻擊§IP源路由§IP欺騙攻擊§AddressSweepAttack§WinNuke攻擊?CGI腳本漏洞，包括Phf,EWS,info2www,TextCounter,GuestBook,Count.cgi,handler,webdist.cgi,php.cgi,files.pl,nph-test-cgi,nph-publish,AnyForm,FormMail等?WebServer攻擊?WebBrowser攻擊，包括URL,HTTP,HTML,JavaScript,Frames,Java,ActiveX?SMTP(SendMail)攻擊?IMAP/POP攻擊?BufferOverflow?DNS攻擊，包括Bind和Cache?TrojanHorse攻擊，包括BackOrifice2K,IniKiller,Netbus,NetSpy,Priority,Ripper,Striker,SubSeven一旦SECCN發(fā)現(xiàn)其中一種攻擊，該攻擊就會被記錄到攻擊日志中，包括攻擊主機地址和端口、時間以及攻擊方式，用戶可以選擇是否開啟相應(yīng)的入侵檢測選項，同時可以通過日志信息連接到相關(guān)網(wǎng)站資源了解攻擊說明。3．9WEB內(nèi)容過濾SECCN產(chǎn)品家族提供了三種中高性能的內(nèi)容過濾方式，包括URL過濾，關(guān)鍵字阻塞，腳本過濾。這些特性作為網(wǎng)絡(luò)層服務(wù)提供WEB內(nèi)容過濾(HTTP)。3．9．1URL過濾§包括基本的URL數(shù)據(jù)庫(SquidGuard)，有50多萬個URL§用戶定制化的數(shù)據(jù)庫§從管理接口上傳和下載限制的URL列表§選擇URL進行阻塞§可定義的用戶反饋信息3．9．2關(guān)鍵字阻塞§多個單詞或詞組過濾§完全用戶化的關(guān)鍵字列表§單字節(jié)和雙字節(jié)的詞語過濾§自動上傳和下載限制的詞語§可定義的用戶反饋信息3．9．3腳本過濾§允許或拒絕Javaapplets,ActiveX,Cookies和MaliciousScripts3．10可升級的病毒保護病毒和蠕蟲防御在網(wǎng)絡(luò)邊界處提供，在web流量(HTTP),email流量(SMTP,POP3,和IMAP)和安全域之間對以下的類型文件進行信息檢查。§執(zhí)行文件Executablefiles(exe,bat,andcom)§Visuanbasic文件Visualbasicfiles(vbs)§壓縮文件Compressedfiles(zip,gzip,tar,hta,andrar)§屏幕保護文件Screensaverfiles(scr)§動態(tài)鏈接庫Dynamiclinklibraries(dll)§MSOffice文件MSOfficefiles§過濾可定義的附件文件類型，支持通配符配置§可定義的用戶化反饋信息SECCN產(chǎn)品上的病毒檢查可以配置成過濾特定目標文件，檢測特定病毒代碼或不做病毒檢測。用戶可以選擇先進行特征掃描，然后進行特定文件過濾。在網(wǎng)絡(luò)邊界處進行病毒掃描的好處是在數(shù)據(jù)進入內(nèi)部網(wǎng)絡(luò)之前清除威脅，使系統(tǒng)管理員從繁重的工作中解脫出來，在傳統(tǒng)的方式下，管理員必須檢查每一個主機的病毒軟件是否更新，如果有一個主機被感染，整個網(wǎng)絡(luò)都會面臨崩潰的危險。病毒掃描同樣在所有的VPN解密數(shù)據(jù)流根據(jù)協(xié)議進行掃描，網(wǎng)關(guān)-網(wǎng)關(guān)和客戶-網(wǎng)關(guān)病毒保護在通道終結(jié)后進行檢測。3．11獨特的內(nèi)容過濾SECCN的內(nèi)容過濾不同于傳統(tǒng)的基于主機系統(tǒng)結(jié)構(gòu)內(nèi)容處理產(chǎn)品，在SECCN設(shè)備內(nèi)沒有硬盤，是網(wǎng)關(guān)級的內(nèi)容過濾，是基于ASIC芯片硬件技術(shù)實現(xiàn)的。SECCNASIC內(nèi)容處理器包括功能強大的特征掃描引擎，能使很大范圍類型的內(nèi)容與成千上萬種關(guān)鍵詞或其它模式的“特征”相匹配。具有根據(jù)關(guān)鍵字、URL或腳本語言等不同類型內(nèi)容的過濾，還提供了免屏蔽列表和組合關(guān)鍵詞過濾的功能。3．12基于網(wǎng)絡(luò)IDS的/IDP功能SECCN網(wǎng)絡(luò)入侵偵測/阻斷系統(tǒng)(NIDS/IDP)是一種實時網(wǎng)絡(luò)入侵檢測傳感器，它能對外界各種可疑的網(wǎng)絡(luò)活動進行識別及采取行動。NIDS使用攻擊特征庫來識別超過1300多種的攻擊。為通知系統(tǒng)管理員有攻擊，NIDS將此攻擊及一切可疑流量記錄到攻擊日志中，并根據(jù)設(shè)置發(fā)送報警郵件。SECCN可定期更新攻擊數(shù)據(jù)庫。您可下載并手動安裝攻擊數(shù)據(jù)庫。也可設(shè)置SECCN自動查詢和下載更新的IDS數(shù)據(jù)庫。SECCNNIDS/IDP可以檢測并阻斷多種類型攻擊，例如拒絕服務(wù)攻擊（包括Smurfflood，TCPSYNflood,UDPflood和ICMPflood，PingofDeath，Teardrop等）。3．13VPN遠程客戶端軟件SECCNRemoteVPNClient是遠程VPN客戶端軟件，使用了工業(yè)標準的IPsec加密和認證和因特網(wǎng)密鑰交換（IKE）管理技術(shù)。IPSec客戶端軟件，安裝在Windows主機（桌面或筆記本電腦）或工作站上，目的在于保護基于IP的通信，簡化對網(wǎng)絡(luò)、設(shè)備、公共或非信任網(wǎng)絡(luò)中其它主機的安全遠程接入。通過采用IPSec協(xié)議和第二層通道協(xié)議（L2TP），實現(xiàn)安全性。SECCN的遠程VPN客戶端軟件的獨特之處是帶有個人防火墻（PersonalFirewall），保護遠程客戶免受攻擊和惡意流量，防范網(wǎng)絡(luò)后門攻擊，有條件地過濾進出流量，并提供IPsec數(shù)據(jù)加密前和IPsec數(shù)據(jù)加密后過濾。借助防火墻的功能，網(wǎng)絡(luò)確保只有經(jīng)過選擇的流量和應(yīng)用才能允許進入和離開VPN。同時，網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)保證了遠程VPN客戶端與已有的防火墻和網(wǎng)絡(luò)地址轉(zhuǎn)換系統(tǒng)可以容易地集成。VPN集中管理使管理員能從中心控制和改變安全策略。四、X86/ASIC硬件體系結(jié)構(gòu)4．1系統(tǒng)結(jié)構(gòu)SECCN設(shè)計為傳送千兆位吞吐量，并優(yōu)化為第七層，以及第二層和第三層包處理。系統(tǒng)由以下四個主要部分組成：SECCN內(nèi)容處理硬件體系結(jié)構(gòu)1)內(nèi)容處理加速模塊ContentProcessingAccelerationModule(CPAM)–SECCN中有兩個部件，每一個由一個ASICCP-1內(nèi)容處理芯片和一個內(nèi)容處理加速單元(CPAU)組成。CPAU有一個專用的內(nèi)容檢測處理器，它與其它專用硬件一起，優(yōu)化為強化內(nèi)容搜索，模式識別，和數(shù)據(jù)分析–大多時間消耗在病毒掃描，內(nèi)容過濾和基于網(wǎng)絡(luò)的入侵檢測。ASIC芯片包含一個專利的內(nèi)容處理引擎，以及加密加速引擎和內(nèi)置的防火墻策略引擎。這些引擎分別處理防病毒和蠕蟲探測、NIDS特征探測，DES、3DES、AES加速加密、NAT和執(zhí)行防火墻策略。CPAM模塊有專用的快速存儲器，所以很少要求通過總線與管理模塊中的系統(tǒng)內(nèi)存相交互。正是由于這一有效的數(shù)據(jù)流動體系結(jié)構(gòu)，SECCN能達到應(yīng)用層內(nèi)容處理的高吞吐量。2)管理模塊ManagementModule(MM)-MM是基于ASIC體系設(shè)計。管理模塊的功能是流程控制，和處理不能被內(nèi)容處理加速模塊有效處理的包和流量。MM還支持各種管理接口和相關(guān)的功能（GUI，CLI,SNMP等）。3)背板總線模塊BackplaneBusModule(BBM)-BBM由數(shù)據(jù)通道(Datapath)和管理總線組成。這一模塊的特點是多總線設(shè)計，它控制在兩條不同的總線上發(fā)生的信息和數(shù)據(jù)交換–控制在管理通道（Managementpath）上的信息流程，和數(shù)據(jù)通道上模塊行程之間的數(shù)據(jù)交換，以提供多Gbps負載流量能力。這一設(shè)計導(dǎo)致了在不同模塊之間的高效率通信。4)接口模塊InterfaceModule(IM)-支持輸入/輸出接口，包括3個10/100BaseTX端口。流量通過這些物理接口進入和離開SECCN系統(tǒng)。根據(jù)流量的特點，包被路由到管理模塊或內(nèi)容控制處理加速模塊去處理。以下一段介紹內(nèi)容處理模塊，并說明SECCN如何通過獨特設(shè)計的硬件加速來達到應(yīng)用層處理的高性能。4.2內(nèi)容處理加速引擎：CP1內(nèi)容處理器ASIC–CP1內(nèi)容處理器與OS操作系統(tǒng)一起，組成了技術(shù)的核心。ASIC–CP1由高性能數(shù)據(jù)流加密和內(nèi)容掃描加速組成，在單個芯片上提供了綜合的內(nèi)容處理解決方案。CP1內(nèi)容處理器利用模塊設(shè)計，包含有四個數(shù)據(jù)處理引擎：★特征掃描引擎該引擎支持高速掃描病毒，蠕蟲和入侵攻擊特征以及被禁止的內(nèi)容。鍵的部件是模式匹配模塊，它將文件的一個一個字節(jié)，與表示病毒、蠕蟲和入侵攻擊存在或黑名單上的內(nèi)容的數(shù)據(jù)庫相匹配。病毒和蠕蟲特征存儲在專用的高速存儲器中，它直接被ASICCP1存取，而任何數(shù)據(jù)不在數(shù)據(jù)通道上傳輸。這一方法將掃描活動與包傳輸完全隔離，從而SECCN能在支持應(yīng)用層處理時不降低系統(tǒng)性能。當流量從一個應(yīng)用層協(xié)議HTTP,SNMP,POP3IMAP之一傳到達時，OS將包導(dǎo)向到ASIC芯片，它在專門的掃描存儲器中將包組合為文件。ASIC掃描引擎將數(shù)據(jù)與直接與它連接的高速存儲器中的特征數(shù)據(jù)庫匹配。一旦掃描完成，ASIC與管理模塊接口，告示掃描的結(jié)果，并接受下一批數(shù)據(jù)。操作在被檢測有攻擊時進行，或者整個文件被掃描時進行?！锛用芤鍭SICCP1提供高性能加密引擎，支持DES,Triple-DES,AES加密。Triple-DES的吞吐量高達600Mbps.★安全策略引擎這一子系統(tǒng)提供包和協(xié)議的分隔(parsing)，是能快速對策略匹配包流程的關(guān)鍵。策略引擎處理防火墻功能，例如地址翻譯和狀態(tài)檢測，管理包的重新組合和分裂。★內(nèi)容處理加速單元（CPAU）內(nèi)容處理加速單元（CPAU）是作為一個額外的加速引擎，進一步加速應(yīng)用層處理。CPAU功能上與ASIC類似。OS能智能地將內(nèi)容處理、數(shù)據(jù)加密和安全策略處理的任務(wù)分別在ASIC和CPAU之間分配。CPAU在建立和管理會話相關(guān)的強化處理任務(wù)中擔負著重要的角色，包含了公共密鑰(publicKeyCryptography)引擎，以加速密鑰的產(chǎn)生和改變。CPAU是可編程的并可用軟件升級的,以便適應(yīng)新的算法和應(yīng)用。4.3高可靠性SECCN是為滿足大型企業(yè)和運營服務(wù)商設(shè)計的，高可靠性是設(shè)計中最重要的考慮因素?！钤诓考墸褂酶哔|(zhì)量部件，部件均由獲得ISO-9000認證的提供商提供☆利用誤差檢測和校正存儲，以防止存儲故障為了保證最大的可靠性，可將SECCN配置為冗余、高可用性模式，如OS一節(jié)所述。熱備份單元使得在單元發(fā)生故障時能維持當前的會話。五、數(shù)據(jù)流處理SECCNASIC內(nèi)容處理器包括功能強大的特征掃描引擎，能使很大范圍類型的內(nèi)容與成千上萬種“特征”、入侵攻擊、關(guān)鍵詞或其它模式的“特征”相匹配。SECCNASIC還包括加密加速引擎，以支持高性能VPN加密和解密。SECCN網(wǎng)關(guān)，能“看到”隧道內(nèi)部，防止有害成分進入專用網(wǎng)絡(luò)，不然它們會不受檢查而通過隧道。另外，SECCNASIC芯片包含了加速數(shù)據(jù)包頭分析（對防火墻處理和入侵檢測）的硬件引擎，以及支持流量管理的流程管理引擎。SECCN系統(tǒng)通過掃描內(nèi)容協(xié)議中所載的信息，保護基于內(nèi)容的攻擊，例如病毒和蠕蟲，并防止網(wǎng)絡(luò)遭受不想要的郵件和不合適的內(nèi)容之滲入。內(nèi)容協(xié)議攜帶web流量（HTTP）和郵件流量（SMTP,POP3,IMAP）。當SECCN接收到網(wǎng)絡(luò)流量時，內(nèi)容掃描即開始，并將所有的內(nèi)容協(xié)議流量導(dǎo)向到TCP/IP棧。高性能的由硬件輔助的TCP/IP?？刂扑械膬?nèi)容協(xié)議處理。當內(nèi)容流一開始被接收時，TCP/IP棧先建立到客戶端(client)和服務(wù)器端(server)的連接，以開始傳輸數(shù)據(jù)包。然后棧接收數(shù)據(jù)包，并將它們轉(zhuǎn)換為內(nèi)容流(contentstream)。內(nèi)容流按照它們的業(yè)務(wù)類型而被分開，送到一個相關(guān)的命令分析程序(parser)。有一個命令分析程序?qū)ｉT用來理解每一個內(nèi)容協(xié)議。命令分析程序分析內(nèi)容流的內(nèi)容，這里面有可能包含了病毒/蠕蟲、禁止的內(nèi)容或其它攻擊性內(nèi)容、網(wǎng)絡(luò)入侵等。例如，如果內(nèi)容流是HTTP流，命令分析程序掃描上傳和下載的文件。如果內(nèi)容流是郵件流，命令分析程序掃描郵件附件或嵌入的代碼。如果數(shù)據(jù)流包含上傳/下載的文件或郵件附件，依據(jù)策略的配置,決定是否送入病毒掃描引擎。所有其它內(nèi)容則被路由到內(nèi)容過濾引擎；如果用戶選擇了內(nèi)容過濾功能,則掃描引擎是開啟的，數(shù)據(jù)流則根據(jù)內(nèi)容過濾的設(shè)置，或者被過濾掉，或者允許通過。當病毒掃描引擎接收到一個新的內(nèi)容流時，它對可能含有病毒和蠕蟲的目標文件的數(shù)據(jù)流掃描。病毒掃描引擎對所有使用HTTP上傳/下載的文件或郵件的附件進行掃描。病毒掃描引擎掃描檢查目標文件，可能是可執(zhí)行文件（exe,bat,com），visualbasic文件(vbs)，壓縮的文件（zip,gzip,tar,hta,rar），屏幕保護文件（scr），動態(tài)鏈接庫文件(dll)，或MSOffice文件格式等。大多數(shù)HTTP文件和郵件的附件使用多應(yīng)用因特網(wǎng)郵件擴展MIME（MultipurposeInternetMailExtension）格式。病毒掃描引擎能夠分析MIME文件，而查找目標文件。所有被病毒引擎發(fā)現(xiàn)的文件都被阻擋，然后根據(jù)SECCN病毒引擎的保護設(shè)置來進一步的處理。SECCN采用狀態(tài)檢測的方式對所有會話進行檢查，避免了數(shù)據(jù)流的安全隱患。當一個數(shù)據(jù)包到達防火墻接口時，馬上被網(wǎng)絡(luò)層攔截，系統(tǒng)執(zhí)行包格式和數(shù)據(jù)幀的有效性檢查，如果數(shù)據(jù)幀無效，則丟棄。例如MAC地址為全零狀態(tài)。如果數(shù)據(jù)包有效，系統(tǒng)在會話表中查找，看是否屬于原有會話的一部分（盡管UDP數(shù)據(jù)包是無連接的，但OS建立了一個“假冒會話”來代表每一個唯一的UDP數(shù)據(jù)流。5．1如果會話已經(jīng)存在，系統(tǒng)檢查TCP的序列號和標識域代碼，確保本會話屬于原來的一部分。舉例，一個無效的序列號可能表示一個會話的劫持。系統(tǒng)校驗這個會話中最后接受的數(shù)據(jù)包的序列號在64，000(16bits)范圍內(nèi)。數(shù)據(jù)包通過檢查后傳輸?shù)铰酚梢婧筒呗砸孢M行處理。5．2如果會話不存在，數(shù)據(jù)包將被分類，系統(tǒng)必須查找策略來確定數(shù)據(jù)包下一步的處理流程,如果發(fā)現(xiàn)匹配策略成功，則建立一個新的會話入口，根據(jù)前面所描述的控制流程繼續(xù)處理。六、SECCN系列硬件防火墻的技術(shù)特點及優(yōu)勢●性能強大傳統(tǒng)的防火墻和VPN設(shè)備不能阻止病毒和非法的網(wǎng)絡(luò)內(nèi)容進入網(wǎng)絡(luò)內(nèi)部，他們無法解決對進入內(nèi)部的郵件、文件和WEB頁面進行應(yīng)用層檢測而花費巨大系統(tǒng)資源的問題，所以傳統(tǒng)的網(wǎng)絡(luò)設(shè)備無法阻止來自網(wǎng)絡(luò)的病毒和不適合的內(nèi)容?！癜踩€(wěn)定SECCN病毒防火墻系列基于ASIC硬件體系結(jié)構(gòu)，采用先進獨特的行為加速處理和內(nèi)容分析系統(tǒng)技術(shù)（ABACAS），它克服了傳統(tǒng)安全類產(chǎn)品在內(nèi)容處理上的障礙，突破了以往芯片設(shè)計、網(wǎng)絡(luò)通信、安全防御及內(nèi)容分析等諸多難點。SECCN病毒防火墻利用ASIC硬件技術(shù)進行數(shù)據(jù)包內(nèi)容病毒掃描，保證了網(wǎng)絡(luò)的性能。它能夠?qū)M出SECCN設(shè)備的數(shù)據(jù)流做實時病毒掃描處理，并且100%覆蓋業(yè)界著名的WILDLIST組織的病毒庫，通過策略控制流經(jīng)不同網(wǎng)絡(luò)方向的病毒掃描或是阻斷，提供了用戶手動、自動升級病毒庫，或服務(wù)器推送式病毒庫更新功能。SECCN還具有防火墻、VPN、NIDS和內(nèi)容過濾等安全功能。SECCN系列防火墻獨有的行為加速處理和內(nèi)容分析系列技術(shù)（ABACAS），包括FORTIASIC內(nèi)容處理器和FORTIOS操作系統(tǒng)，提供了實時的內(nèi)容處理。FORTIASIC內(nèi)容處理芯片系列包括強大的具有專利技術(shù)的掃描引擎，對數(shù)據(jù)包和文件進行模式匹配，在保證高性能的流量下阻止多樣化的內(nèi)容攻擊。FORTIASIC芯片同時包括集成的密鑰加速引擎，保證了線速的數(shù)據(jù)加密和認證，具有VPN功能。集成的VPN使SECCN能夠高速處理加密/解密數(shù)據(jù)。FORTIOS內(nèi)容處理操作系統(tǒng)是一個高可靠的、高安全的操作系統(tǒng)，可以保證所有的SECCN產(chǎn)品高效率、無阻塞的運行。●多種認證獲得國際著名的ICSA四項認證，為世界唯一廠商，獲得國家信息安全測評認證中心證書通過國家計算機病毒防治中心檢驗中心測試2004年3月，SECCN3000榮獲《計算機世界》企業(yè)級千兆防火墻“推薦產(chǎn)品獎”2004年2月，SECCN3600病毒防火墻榮獲CRN測試中心推薦產(chǎn)品2004年1月，SECCN3600榮獲《搜索網(wǎng)絡(luò)》的“年度產(chǎn)品金獎”2003年10月，SECCN系列榮獲《VARBusiness(增值商業(yè)務(wù))》雜志安全產(chǎn)品“技術(shù)革新最高獎”2003年6月，SECCN400病毒防火墻榮獲《InternetTelephony》的“編輯選擇獎”<PCMAGAZINE>亦對SECCN系列產(chǎn)品給予了極高的評價。●通用性與其它產(chǎn)品的兼容溝通性好。七、SECCNH500產(chǎn)品優(yōu)勢及技術(shù)參數(shù)表（產(chǎn)品以實物為準）SECCNH500是中型辦公室的理想解決方案。SECCNH500支持一條WAN鏈路適合冗余Internet連接，還集成5個交換端口節(jié)省了外部的Hub或Switch，外部的設(shè)備直接連接到SECCNH500。2個CONSOLE端口滿足將來增加設(shè)備的需要，例如連結(jié)撥號的調(diào)制解調(diào)器或其他設(shè)備。非常適合中型商業(yè)機構(gòu)、遠程辦公室、零售店和遠程寬帶地點，SECCNH500提供了無與倫比的功能、速度和性價比。SECCNH500可以自動實現(xiàn)定期的更新，通過SECCN公司的實時響應(yīng)服務(wù)器提供了持續(xù)的更新以保護網(wǎng)絡(luò)不受病毒，蠕蟲，木馬及其他攻擊，隨時隨地的安全保護。產(chǎn)品優(yōu)勢提供完整的網(wǎng)絡(luò)保護：基于網(wǎng)絡(luò)的病毒防御，WEB內(nèi)容過濾，防火墻，VPN，NIDS功能基于專用的X86/ASIC硬件體系，提供了高性能和高可靠性保持網(wǎng)絡(luò)性能的基礎(chǔ)下，消除病毒和蠕蟲的威脅自動更新病毒和攻擊數(shù)據(jù)庫，同時可以支持遠程服務(wù)器的主動“推送”更新集成5個交換端口節(jié)省外部需要的switch或hub，提供了未來增加設(shè)備的CONSOLE接口基于WEB（GUI）的配置界面提供了多語言支持主要的特性和益處特性描述益處基于網(wǎng)絡(luò)的病毒防御（ICSA認證）實時檢測和清除病毒和蠕蟲。掃描進出的E-MAIL附件(SMTP,POP3,IMAP)和WEB流量在網(wǎng)絡(luò)的邊界處消除了危險的入侵VPN病毒防御檢測和清除VPN數(shù)據(jù)內(nèi)的病毒和蠕蟲防止遠程用戶及分支辦公室網(wǎng)絡(luò)的病毒傳播防火墻（ICSA認證）業(yè)界標準的狀態(tài)檢測防火墻安全可靠的系統(tǒng)防御，良好的性能和穩(wěn)定性WEB內(nèi)容過濾處理所有的WEB內(nèi)容，可以屏蔽有害的WEB頁面和代碼，支持URL和關(guān)鍵字提高企業(yè)的生產(chǎn)力，有效利用網(wǎng)絡(luò)資源，提供了完善的管理和監(jiān)控能力VPN（ICSA認證）業(yè)界標準的PPTP，L2TP和ICSA認證的IPSEC支持極大降低的運營及管理成本，使企業(yè)可以在Internet上構(gòu)筑自己的私有網(wǎng)絡(luò)NIDS（入侵檢測）可選擇的數(shù)據(jù)庫（>1300）監(jiān)控外部的攻擊遠程訪問支持遠程用戶的加密訪問，提供了IPSEC客戶端軟件提供了廉價的無處不在的網(wǎng)絡(luò)服務(wù)和安全控制CONSOLE擴展端口CONSOLE端口支持將來增加包括撥號或?qū)拵odem設(shè)備可擴展性，投資保護集成的4個交換端口集成的4個10/100M以太交換端口適合直接連接到設(shè)備節(jié)省了外部需要的switch或hub系統(tǒng)規(guī)格規(guī)格說明SECCNH500SECCNH500接口E-mail通知病毒/攻擊√10/100M7VPN通道監(jiān)控√DMZ口√網(wǎng)絡(luò)功能CONSOLE口2多個廣域網(wǎng)口支持√系統(tǒng)性能PPoE客戶端√并發(fā)會話50,000DHCP客戶端√新會話/秒2,000DHCP服務(wù)器（Internal)√防火墻性能（Mbps）70系統(tǒng)管理168bit3DES加密（Mbps）20控制接口（RS232）√無用戶數(shù)限制無限制**WebUI(https)√策略數(shù)500多語言支持√調(diào)度256命令行接口√病毒，蠕蟲清除安全命令行（SSH）√基于策略控制√FortiManager系統(tǒng)√自動病毒更新√管理（FortiResponse響應(yīng)