安智防火墙技术白皮书

专 注 安 全 追 求 卓 越 安智防火墙技术白皮安智防火墙技术白皮书安智防火墙技术白皮书安智防火墙技术白皮书 西安安智科技有限公司西安安智科技有限公司西安安智科技有限公司西安安智科技有限公司 地址：西安市唐延路 35 号旺座现代城 G座 27 层 电话：(+86-29) 88892251 88892252 88892253 传真：(+86-29) 88892260 E-mail: services@angelltech.com http://www.angelltech.com 安智防火墙技术白皮书 西安安智科技有限公司 第1页 http://www.angelltech.com 西安市唐延路 35号旺座现代城 G座 27层 services@angelltech.com 电话：029-88892251/52/53 传真：029-88892260 本白皮书中的内容是安智科技安智防火墙。本的相关 权力归西安安智科技所有。白皮书中的任何部分未经本公 司许可，不得转印、影印或复印。 © 2004 西安安智科技有限公司 All rights reserved. 安智防火墙技术白皮书 西安安智科技有限公司 第2页 http://www.angelltech.com 西安市唐延路 35号旺座现代城 G座 27层 services@angelltech.com 电话：029-88892251/52/53 传真：029-88892260 目 录 一 产品概述............................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................ 3333 二 设计理念............................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................ 3333 三 产品线概述............................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................ 3333 四 产品特点............................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................ 4444 五 功能特性............................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................ 6666 5．1 设计特点...............................................................................................................................6 5．2 状态检测的包过滤机制和灵活的访问控制机制...............................................................7 5．3 广泛的网络及应用环境支持...............................................................................................7 5．4 多种工作模式应用...............................................................................................................7 5．5 网络地址转换功能...............................................................................................................8 5．6 透明的应用代理...................................................................................................................8 5．7 支持策略路由.......................................................................................................................8 5．8 支持多出口路由和备份路由...............................................................................................9 5．9 多端口的自适应...................................................................................................................9 5．10 智能的内容过滤...................................................................................................................9 5．11 强大的抗攻击能力...............................................................................................................9 5．12 支持透明接入.....................................................................................................................11 5．13 多层过滤功能.....................................................................................................................12 5．14 VPN 功能特性......................................................................................................................12 5．15 用户访问控制.....................................................................................................................12 5．16 流量镜像.............................................................................................................................13 5．17 动态域名.............................................................................................................................13 5．18 服务隐藏.............................................................................................................................13 5．19 完善的系统管理功能.........................................................................................................13 5．20 日志审计功能.....................................................................................................................15 5．21 高可用性.............................................................................................................................16 5．22 易用性设计.........................................................................................................................17 六 安智防火墙功能列表....................................................................................................................................................................................................................................................................................................................................................................................................................................................................17171717 七 典型应用.................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................... 20202020 7．1 企业级应用.........................................................................................................................20 7．2 高可靠性双机热备应用.....................................................................................................20 八 关于安智.................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................... 21212121 安智防火墙技术白皮书 西安安智科技有限公司 第3页 http://www.angelltech.com 西安市唐延路 35号旺座现代城 G座 27层 services@angelltech.com 电话：029-88892251/52/53 传真：029-88892260 一 产品概述 安智防火墙是面向政府机关、企业和一般行业用户的网络信息系统推出的防火墙系列产 品，可广泛应用于百兆、千兆网络环境中信息安全系统的构建。与同类产品相比，安智防火 墙不论在技术的先进性还是各项通用技术指标方面均有较大程度的提高。 安智防火墙是一款功能强大、性能卓越的网络安全设备。安智防火墙基于高速稳定的硬 件平台，并采用经过安全加固的专用操作系统，具备极高的安全性和可靠性。 安智防火墙除提供了强大的多级过滤功能外，还具备透明网桥、路由、透明代理、地址 转换、MAC 地址绑定、时间段访问控制、入侵检测、日志审计、用户监控等功能。另外，用 户可选择真正的透明接入方式可以在不更改现有网络配置的情况下安装或卸载防火墙，并可 使防火墙免遭黑客攻击。 众所周知，安全是一个动态的过程，没有绝对的安全。安智防火墙的目标就是在满足客 户实际安全需求的前提下为客户提供量身订制的安全解决方案，实现安全化和客户化的完美 结合。 二 设计理念 随着互联网和电子商务的不断发展，网络信息安全威胁越来越成为阻碍各个大中型企 业、政府机关和行业用户信息化建设发展的关键因素。在安全领域中，越来越多的厂商寄希 望于为客户提供大而全的解决方案。然而，我们都知道，从来就没有绝对的安全，安全的实 现是和客户的投资成正比，同时设备的复杂必然带来新的问题。为了帮助客户在有限的投资 下充分地享受网络安全带来的愉悦体验，而不是简单地为客户提供越来越复杂的产品，安智 科技依托在网络安全领域的多年技术积累和实践经验，基于对网络安全的深刻理解，融合网 络科技的最新成果和大量独创性专利技术，为客户倾心打造了可供客户自由选择的、性能好 、 功能全、使用简便、运行稳定的全系列安智防火墙。 三 产品线概述 网络安全是一个动态的过程，需要统一、动态的安全策略，更需要一个联动高效的安全 解决方案。 安智科技在“集成联动”的技术理念基础上，提供包括AngellPRO系列防火墙在内的全 套安全解决方案，为用户提供从边界到桌面，从局域网到广域网的高安全性保证，满足用户 最挑剔和最严格的安全需求。 安智防火墙技术白皮书 西安安智科技有限公司 第4页 http://www.angelltech.com 西安市唐延路 35号旺座现代城 G座 27层 services@angelltech.com 电话：029-88892251/52/53 传真：029-88892260 AngellPRO系列防火墙采用安智科技专有的安全操作系统，结合大量安全专有技术，提 供了优秀的安全性和易用性。 四 产品特点 系统状态，一目了然 安智防火墙提供了对防火墙系统状况指标的实时监控，帮助管理员随时监控防火墙的运 行情况，预防突发事件的发生。同时安智防火墙提供了集中管理多台防火墙的功能，管理员 可以从一个管理界面上完全掌握组织内所有防火墙的运行状况。 安智防火墙实时系统性能状态 安智防火墙技术白皮书 西安安智科技有限公司 第5页 http://www.angelltech.com 西安市唐延路 35号旺座现代城 G座 27层 services@angelltech.com 电话：029-88892251/52/53 传真：029-88892260 安智防火墙实时接口速率状态 多态支持，随机应变 安智防火墙可以在同一台防火墙上实现网桥模式、透明代理模式、路由模式、NAT模式 和混合模式等多种模式，轻松适应各种复杂网络结构的不同需求。同时安智防火墙摆脱了传 统防火墙3个区域的限制，客户可以自由定义某个端口所处的区域，这样防火墙不仅可以用 于内外网之间的保护，也可用于不同子网/部门之间的信息保护，更加适合于客户的需求。 高效运行，畅通无阻 安智防火墙高效的过滤算法，使得硬件性能发挥至极致，充分保证防火墙不会成为网络 通讯的瓶颈。模块化的设计更解决了其他防火墙因为功能增多导致的性能降低的矛盾。 内置IDS，攘外安内 防火墙产品作为网络信息安全系统的一个组成部分，首先它自身必须是“安全”的，才 能最大程度地抵御外来入侵。安智防火墙采用自主知识产权的产品内核，对外只向确定的管 理控制台开放；特有的IDS算法，极大提高了防火墙自身的抗攻击能力，为用户提供了一个 可信赖的安全平台。 条条大道，自由选择 安智防火墙提供了多种不同的管理界面和方法，既可以适应对网络一无所知的用户，也 可以适应对技术的超级追求者。客户可以根据自己的需要任意选择。 集中管理，远程维护 安智防火墙支持集中式安全管理系统，以统一的策略和集成的平台对受控网络进行安全 配置和管理。安全管理员通过集中管理系统可以对网络中的安智防火墙完成统一的配置、管 理和系统监视，既提高了网络安全规则的一致性，增进网络的安全性，也有效地降低了管理 的成本和难度。 准确定位，轻松追查 安智防火墙内置了多种帮助网络管理员分析和查找事件故障源的工具，可以帮助管理员 安智防火墙技术白皮书 西安安智科技有限公司 第6页 http://www.angelltech.com 西安市唐延路 35号旺座现代城 G座 27层 services@angelltech.com 电话：029-88892251/52/53 传真：029-88892260 轻松地锁定问题的来源，及时解决问题。 清静世界，拒绝垃圾 安智防火墙提供了基于内容的过滤功能，可以实现对网页内容、邮件内容、垃圾邮件等 的有效智能过滤；灵活的关键字权重算法，既有效地过滤了非法的内容，又保证了合法信息 的顺畅传输。 火眼金睛，真假自辨 安智防火墙提供了多种认证用户和控制用户随意使用内网资源的方式，例如IP和MAC的 绑定，可以帮助限制用户的非法行为，使得管理员能够更加迅速地判断问题的所在。 尊重客户，人性设计 安智防火墙提供了很多人性化的设计，包括：多种网管工具、人性化的界面、和安智科 技服务部门的直接联络渠道等，这些设计充分体现了安智科技对客户的重视和关怀。 保护投资，量身订制 安智防火墙提供了强大完善的功能、优秀的性能、高的稳定性和可靠性，及可灵活扩展 的VPN 、Syndog、双机热备、认证、计费等功能，客户可以根据实际网络情况和需求进行 搭配选择。这样既保证了客户的网络安全，又避免了客户的无效投资，体现了优秀的性价比 。 五 功能特性 5．1 设计特点 � 先进的技术 安智防火墙采取了大量专有的技术，可以在防火墙内核实现对各种不同层次的访问控 制。相比传统的包过滤和应用代理防火墙，安智防火墙不但提供了更加丰富的安全保证功能 ， 同时更有效保证了防火墙的性能，而且保证了不对客户原有的网络环境做改动、更加方便实 用。 � 最新的设计思想 系统采用面向对象的设计思想，可以对不同对象的组成资源，如地址、服务、URL、关 键字、文件、邮件地址等直接进行控制，极大的提高了安全性，并保证了配置和配置更改的 方便性。 � 独特的防火墙策略体系 安智防火墙摆脱了传统防火墙三个区域（信任区、非信任区和DMZ区）的限制，从核心 安智防火墙技术白皮书 西安安智科技有限公司 第7页 http://www.angelltech.com 西安市唐延路 35号旺座现代城 G座 27层 services@angelltech.com 电话：029-88892251/52/53 传真：029-88892260 上对防火墙的网络结构给予了重新规划，采用了多区域模式和更加自由的用户定义方式，使 得用户可以根据自己的实际需求来自由定义端口的属性和不同端口间的访问策略。 5．2 状态检测的包过滤机制和灵活的访问控制机制 状态检测包过滤可以根据历史的连接信息，生成状态表，并据此对后续数据包进行动态 的访问控制。这种方式的好处在于不需要对每个数据包进行规则检查，从而使性能得到了较 大提高。同时由于状态表是动态的，因而可以有选择地、动态地开通1024号以上的端口，使 得安全性得到进一步的提高。 安智防火墙采用了一个检测模块(一个在网关上执行网络安全策略的软件引擎)。检测模 块在不影响网络正常工作的前提下，采用抽取相关数据的方法对网络通信的各层实施监测， 抽取部分数据(状态信息)并动态地保存起来，作为以后制定安全决策的参考。检测模块支持 多种和应用程序，并可以很容易地实现应用和服务的扩充，可以快速实现基于源/目的IP 地址、源MAC地址、服务/端口、用户、时间、组（网络，服务，用户，时间）的精细粒度的 访问控制。 5．3 广泛的网络及应用环境支持 支持众多网络通信协议和应用协议，如DHCP 、VLAN 、802.1Q、 IPSec 、##P 、 PPPoE协议等，使安智防火墙适用网络的范围更加广泛，保证用户的各种网络应用。 5．4 多种工作模式应用 � 提供路由功能，支持端口路由和策略路由。 � 提供包过滤网桥功能，在不改变用户网络拓扑的情况下，为用户提供最大的安全性 ， 同时防火墙网口具有自动学习MAC 地址的功能。 � 提供丰富全面的透明应用代理，覆盖大多数用户常用应用程序，包括HTTP、SMTP、 POP3 代理等。同时，多线程的代理提供较高性能的连接速度。 � 支持多种方式的网络地址转换，包括正向NAT、反向NAT和静态地址绑定等多种模式 。 � 提供以上多种模式之间的混合运行。 5．5 网络地址转换功能 安智防火墙拥有强大的地址转换能力，同时支持正向地址转换、反向地址转换和静态地 址映射，并支持一对一、多对一、多对多的动态地址转换功能，能为用户提供完整的地址转 安智防火墙技术白皮书 西安安智科技有限公司 第8页 http://www.angelltech.com 西安市唐延路 35号旺座现代城 G座 27层 services@angelltech.com 电话：029-88892251/52/53 传真：029-88892260 换解决方案。 正向地址转换用于使用保留IP 地址的内部网用户通过防火墙访问公众网中的地址时对 源地址进行转换。对公众网来说，访问全部是来自于防火墙转换后的地址，并不认为是来自 内部网的某个地址，能够有效的隐藏内部网络的拓扑结构等信息。同时内部网用户共享使用 这些转换地址，自身使用保留IP 地址就可以正常访问公众网，有效的解决了全局IP 地址不 足的问题。 内部网用户对公众网提供访问服务（如Web 、FTP 服务等）的服务器如果是保留IP 地 址，或者想隐藏服务器的真实IP地址，都可以使用安智防火墙的反向地址转换来对目的地址 进行转换。公众网访问防火墙的反向转换地址，由内部网使用保留IP 地址的服务器提供服 务，同样既可以解决全局IP 地址不足的问题，又能有效的隐藏内部服务器信息，对服务器 进行保护。 静态地址映射提供实现内部网络和外部网络的单个地址对单个地址或地址段对地址段 的一对一地址映射，可以实现数据的双向流动。 5．6 透明的应用代理 安智防火墙提供对常用高层应用服务（HTTP 、SMTP 、POP3）的透明代理。用户不需 要在自己的主机上作任何的有关代理服务器的设置，只需管理员在防火墙上配置相关的规 则，用户通过防火墙进行的上述应用访问就会由防火墙进行代理。这些配置对终端用户来说 完全是透明的，极大的方便了用户使用代理。同时安智防火墙还可以对具体服务或协议做更 详细控制，如HTTP 对命令（GET 、POST 、PUT等）和URL过滤，关键字过滤、收/发 信人进行控制等，这使得用户使用代理访问Internet 更为安全。 5．7 支持策略路由 策略路由可以根据客户指定的条件将不同来源的数据包发送到不同的路由接口，这样可 以更加灵活地适应客户多Internet 出口的需求。比如对于某些教育系统的网络可能同时有两 条互联网出口，一条是通过教育网的线路连接到Internet ，另外一条就是申请电信的线路直 接连接到互联网。对于这种环境为了更好的利用带宽，让网络中的部分终端走教育网的出口 ， 另外一部分终端走电信线路，这样可以很好的利用现有的带宽资源。 5．8 支持多出口路由和备份路由 现在越来越多的网络用户会向多个网络运营商申请多条出口线路，例如一个用户会既有 电信的网络线路也有网通的网络线路，在这种情况下便可以使用多出口路由或备份路由。多 安智防火墙技术白皮书 西安安智科技有限公司 第9页 http://www.angelltech.com 西安市唐延路 35号旺座现代城 G座 27层 services@angelltech.com 电话：029-88892251/52/53 传真：029-88892260 出口路由是指两条网络线路同时使用，然后根据权值的配置情况对网络的数据按照权值比例 进行分担。备份路由是指在正常运行的情况下只有一条线路生效，当这条线路由于某些特殊 的原因断掉的时候，自动切换到另一条线路。 5．9 动态路由 安智防火墙支持RIP、OSPF、PIM-DM、PIM-SM动态路由。动态路由是指网络中的路由器 之间相互通信，传递路由信息，利用收到的路由信息更新路由器表的过程，并且能够根据实 际情况的变化适时地进行调整。从而减少了管理员对路由信息的维护量。 5．10 端口的自适应 安智防火墙摆脱了传统防火墙对端口的限制。防火墙的端口不再局限于内网、DMZ和外 网之分，而是可以任意指定、任意组合。这使得防火墙可以自由适应客户的网络情况，无拘 无束。 5．11 内容过滤 支持下列网络内容安全控制手段，包括： � HTTP/邮件关键字过滤 � HTTP/邮件文件名过滤 � URL过滤 � 16种媒体文件格式过滤 � 多达78种的文件类型过滤 � 发件人/收件人邮箱过滤 � 邮件附件文件类型过滤 � http命令过滤（get、put、post） � Java scripts/Active-X 过滤封堵 � Java小程序控制 � Cookie过滤 5．12 强大的抗攻击能力 � 提供强大的攻击探测功能。能检测attack-responses、backdoor、chat、ddos、dns、 dos、exploit、finger、ftp、icmp、misc、multimedia、netbios、oracle、p2p、policy、pop3、 安智防火墙技术白皮书 西安安智科技有限公司 第10页 http://www.angelltech.com 西安市唐延路 35号旺座现代城 G座 27层 services@angelltech.com 电话：029-88892251/52/53 传真：029-88892260 rpc、rservices、scan、shellcode、smtp、snmp、sql、telnet、tftp、virus、web-attacks、 web-cgi、web-client、web-coldfusion、web-frontpage、web-iis、web-misc、web-php 等上千种攻击。 � 提供基于状态的ICMP、UDP和TCP的FLOOD攻击检测。管理员可以设定各种数据包的 速度阈值，超过阈值的连接将被认为是非法连接，这样就有效防止了黑客使用这些手段 对主机造成的DDoS攻击。 � 防端口扫描。端口扫描是黑客经常利用的一种前期探测手段，用来发现目标主机的 操作系统、提供的服务等内容，以便为下一步攻击作准备；安智防火墙采用特殊的加权 算法，使得管理员可以识别复杂的端口扫描过程和正常的访问过程，这样既有效地解决 了对攻击行为的及早预防，又能够保证正常流量的通行。 � 提供对空扫描、Nmap扫描、XMAS扫描和Nmap指纹扫描等扫描攻击的防范，将黑 客的攻击扼杀在摇篮之中。以上这些扫描是一些特殊的扫描办法，用以发现客户的主机 系统和漏洞；安智防火墙可以有效地防止这些扫描的发生。 � SYNDOG 对抗SYN FLOODING 攻击 安智防火墙不仅能够支持快速准确的数据包过滤，它还能够通过SynDog代理来对抗SYN 的DoS 攻击。众所周知，SYN Floods攻击是一种通过不断发起到服务器的无效连接来耗费服 务器的资源，达到服务器不能正常工作目的的一种DoS攻击方式。根据统计，该攻击是黑客 最为经常使用的一种危害性极高的攻击方法。例如，在2000年黑客就是使用了SYN Floods 攻击了互联网上Yahoo，亚玛逊等著名的网站，造成几千万美元的损失。 在TCP的连接的建立都必须经过“三次握手”的过程，连接的发起者向对方发送一个TCP 的数据包，这个数据包包含一个初始的序列号，并把TCP的SYN标志位置位；接受者收到这个 数据包之后，应该回应一个TCP数据包，并在其中包含了接受者自己的初始序列号，并把SYN、 ACK这两个标志位同时置位，表明收到了SYN的请求并同时向发送者请求TCP连接。连接的发 送者为了完成这个连接，必须对接受者的SYN包进行应答，即返回一个ACK置位的TCP数据包。 在绝大多数操作系统TCP协议的实现代码中，连接的发送者在丢弃“半连接”的时候都必须 等待60秒钟以便收到对方的ACK数据包。因此，如果攻击者向服务器发送大量的SYN请求包， 但是并不对服务器的SYN－ACK数据包进行应答，那么服务器在丢弃这个半连接之前都需要等 待60秒钟，这时候攻击者就可以以更快的速度向服务器发送SYN数据包，这样服务器将很快 达到TCP连接的上限，因而无法对合法的TCP请求进行响应。这就是SYN的DoS攻击。 在安智防火墙的SynDog机制中，当一个TCP请求包到达目标服务器之前，防火墙代表 服务器向请求方进行应答。而只有当三次握手完成后，防火墙才会在和服务器建立第二个连 接，并为两个连接建立一个通道。在SYN Floods攻击发生时，防火墙应答攻击者的SYN包 。 由于三次握手的ACK包始终没有到达，防火墙终止掉这些半连接，而目标服务器没有收到 安智防火墙技术白皮书 西安安智科技有限公司 第11页 http://www.angelltech.com 西安市唐延路 35号旺座现代城 G座 27层 services@angelltech.com 电话：029-88892251/52/53 传真：029-88892260 这些SYN包，所以受到了保护。如果是一个正常的连接，在防火墙收到三次握手的ACK包 后，防火墙代表请求方向服务器发起一个新的连接。在新的连接建立起来后，防火墙通过序 列号转换将两个连接合并成一个。SynDog要处理大量的半连接信息，处理方法有两个：有 状态的和无状态的。有状态的方法是指防火墙采用高效的数据结构来半连接状态。常见 的高效数据结构有AVL树、哈希表等。我们采用了哈希表，它的平均计算复杂度是O(N/M)； 而无状态的方法是采用SYN Cookie，使用密码学的方法而不是存储器来记录半连接。只要 半连接的个数超过了防火墙的管理员设置的允许的个数，SynDog就会启动并高效地保护内 部服务器。根据我们的测试，在安智防火墙的保护之下，内部的WWW服务器可以轻松地抵 抗每秒钟70000个SYN的DoS攻击。 防火墙的SynDog代理功能可以代理服务器完成TCP连接建立过程中的握手阶段，进而有 效避免了非法用户使用SYN Floods攻击来发起向服务器的无效连接，成功解决了很多防火墙 都无法解决的问题。 5．13 支持透明接入 将安智防火墙配置为透明工作模式，无需更改用户网络的拓扑结构就能接入用户网络 中，用户网络中的主机也无需更改任何网络配置。透明接入极大的方便了防火墙的接入，同 安智防火墙技术白皮书 西安安智科技有限公司 第12页 http://www.angelltech.com 西安市唐延路 35号旺座现代城 G座 27层 services@angelltech.com 电话：029-88892251/52/53 传真：029-88892260 时并不降低网络的安全性。安智防火墙也能工作在透明模式和其他模式的混合模式下，更能 适应各种不同网络环境的接入。 5．14 多层过滤功能 为保证系统的安全性和提高防护能力，增强控制的灵活性，安智防火墙采用了多层过滤 措施。以基于OS内核的会话检测技术为核心，在IP 层提供基于状态检测的分组过滤，可以 根据网络地址、网络协议以及TCP 、UDP 端口进行过滤；在应用层通过重写通讯会话的 部分或者全部提供对高层应用协议命令、访问路径、内容、访问的文件资源的过滤；同时还 直接支持第三方认证服务器提供用户级的鉴别和过滤控制。安智防火墙的多层过滤形成了立 体、全面的访问控制机制。 5．15 VPN 功能特性 安智防火墙内建了VPN功能模块，能够与其它VPN网关、Windows 客户端、其他启用 了VPN 功能的安智防火墙互通，建立加密隧道进行加密通信，形成虚拟专用网，在异地局 域网间通过互联网提供安全可靠的网络使用环境。 5．16 用户访问控制 � 支持普通用户的加密认证，只有经过认证的用户才能通过防火墙进行对外的访问。 认证的方式包括防火墙本地认证、Radius 认证、一次性口令认证和证书认证。 � 提供 IP和 MAC 绑定功能，这使得普通用户不能随便地修改自己的IP 地址，极大减 少了管理员的管理工作量，提高了追查问题的准确度和速度。 � 提供 DHCP功能，可以减少管理员维护内网结构的工作强度，为客户提供更加自由 的感觉。同时防火墙也支持 IP 的固定分配；防火墙可以根据 MAC地址或者将特定的 IP 和 MAC 绑定来实现访问控制。 � 提供带宽策略与防火墙有效地结合在一起，为用户保证网络安全的同时，也防止了 某些用户或通讯大量占用带宽，避免造成网络阻塞甚至瘫痪。带宽策略的应用是针对某 条访问策略进行，这样就保证了管理员可以针对不同的源/目标地址、端口、时间、协 议等进行访问带宽的限制。 � 在线用户的查看，可以帮助管理员查看和禁止在线的用户。 � 防火墙提供防非法接入功能，防止未授权的网络用户使用计算机上网或访问内部网 络资源。 安智防火墙技术白皮书 西安安智科技有限公司 第13页 http://www.angelltech.com 西安市唐延路 35号旺座现代城 G座 27层 services@angelltech.com 电话：029-88892251/52/53 传真：029-88892260 5．17 流量镜像 安智防火墙支持流量镜像功能，使用流量镜像功能防火墙用户可以将经过防火墙某些特 定的流量镜像到防火墙的接口或者使用某一个 IP 的主机上，便于防火墙用户使用 IDS 或 Sniffer 等数据流量监控设备进行数据分析。 � 镜像接口：将特定的流量镜像到防火墙的接口上。 � 镜像网关：将特定的流量镜像到某一台拥有IP 地址的设备上。 5．18 动态域名 安智防火墙支持动态域名功能。越来越多的网络用户使用非固定 IP地址的网络接入方 式实现上网（如ADSL 等），这对防火墙的管理以及用户搭建网络服务器构成了一定的影响， 使用动态域名功能，网络用户只需要在互联网上申请一个动态域名，用户便可以使用动态域 名实现对防火墙的管理以及服务器的访问。 安智防火墙支持三种动态域名系统，分别是花生壳、希网和本公司自主研发的域名系统 。 � 花生壳：由上海贝锐信息科技有限公司提供的一套动态域名系统。 � 希网：由希网网络公司提供的一套动态域名系统。 � 安智 DDNS：由西安安智科技有限公司自主研发的一套专门针对于安智防火墙的动 态域名系统。 5．19 服务隐藏 安智防火墙支持服务隐藏功能。使用服务隐藏功能安智防火墙可以将某些重要的服务器 在网络上隐藏起来，一般情况下，互联网的用户不能访问到该服务器所提供的服务，只有当 某特定的用户运行本公司提供的一套客户端系统并且执行某一特定的端口序列后，该用户才 能访问到服务器上提供的服务。这项功能适用于对保密性要求比较高的防火墙用户使用。 5．20 完善的系统管理功能 ���� 支持面向对象的管理 面向对象的管理，使得管理员对访问策略的制定和企业资源的分类可以分别独立进行， 保证了当企业网络或内部资源发生变化时，不需要对防火墙的配置做太多的变化，就可以轻 松适应，避免了管理员的重复操作。 ���� 多种管理途径 � 提供即插即用的功能，特别适用于缺乏专有管理员的小型组织，不需要做任何的配 安智防火墙技术白皮书 西安安智科技有限公司 第14页 http://www.angelltech.com 西安市唐延路 35号旺座现代城 G座 27层 services@angelltech.com 电话：029-88892251/52/53 传真：029-88892260 置。 � 提供配置向导，特别适合于对安全不熟悉的网络管理员，只需跟随向导的提示，即 可轻松实现较高的安全要求。 � 提供纯中文的图形化防火墙管理界面，特别适合于喜欢 windows 界面的安全管理 员，可以实现所有的防火墙管理功能；同时提供防火墙配置的在线备份和恢复以及防火 墙软件的在线升级功能。 � 提供命令行管理界面，特别适合于喜欢 UNIX、LINUX 以及 CISCO 字符界面配置的管 理员，上千条的管理命令，足以帮助管理员适应非常复杂的网络结构，保证系统的绝对 安全。 � 液晶显示（LCD）配置界面（高端设备提供），可以帮助管理员直接通过液晶面板 察看防火墙的运行状态。 � 提供远程管理 SSH和 Telnet 管理防火墙功能，可以帮助管理员对防火墙进行远程 维护，避免人力的浪费。 � 提供集中管理功能，特别适合于具有多台防火墙的组织，可以集中控制组织的安全 状况，同时减少对管理员数量和质量的要求。充分实现了分布部署、集中管理。 ���� 多级管理用户 防火墙管理系统中有超级管理员，系统配置员，系统操作员；日志管理系统中有日志管 理员、日志查看员两个级别；不同管理级别的划分可以帮助组织有效地实行分级的管理和制 约。 ���� 提供 SNMP 管理功能 这保证了防火墙可以与当前通用的网络管理平台兼容，如HP Openview 、Cisco works 等，方便管理和维护。可以通过这些管理平台对防火墙的运行状况进行监控，并接收通过 SNMP Trap 发送的报警信息，帮助网络管理员找出并纠正TCP/IP 互联网中的故障。为了避 免由于SNMP 本身的安全性上的缺陷而导致防火墙本身的安全性受到威胁，系统仅允许网 管系统查询信息，而不允许改变防火墙的配置。 ���� 提供在线设备监控 可实时监控防火墙的性能信息和连接信息，可在线断开非法连接 ���� 支持远程集中管理 可通过安全的认证及管理信息的加密传输实现全局防火墙设备的集中管理。实现统一的 安全策略布署，保证整个系统的安全策略的一致性，提高整个系统的安全强度。 安智防火墙的主要配置和管理都是基于GUI方式的，管理主机只需安装专门的管理软 件，就可以在不同主机、不同地域对防火墙进行配置和管理。 � 配置文件备份与恢复 安智防火墙提供简单方便的配置文件管理，管理员可进行配置文件的备份和恢复。用户 安智防火墙技术白皮书 西安安智科技有限公司 第15页 http://www.angelltech.com 西安市唐延路 35号旺座现代城 G座 27层 services@angelltech.com 电话：029-88892251/52/53 传真：029-88892260 可以随时手工备份防火墙的配置文件，可以将备份结果下载到本地管理主机中