1、防火墙功能简介黑盾防火墙可以总结为七个模块 网络管理1. 当前连接可以查询防火墙的当前连接信息,如源地址、源端口、目的地址、目址端口、状态、包的个数、流量、速度、开始创建时间等。2. ARP 缓存可以列出系统的 ARP 缓存的详细信息(总数目,每个表项对应的接口、原IP、MAC 地址、状态) ,其主作用从七层网络协议上来讲可以提高网络的性能(针对第二层的链路层从 IP 地址到网卡的 MAC 地址需要 ARP 协议的解析,如果有现有的 ARP 列表就可以更快的解析到)3. 网络调试工具:PING 网络测试 :测试远程或本地计算机的连接。TRACEROUTE :测试当前数据包从你的计算机经过多少个
2、网关传到目的地SINIFFER:捕包测试 访问控制黑盾防火墙访问控制从 OSI 七层模型(七层协议)不同层来实现的:数据链路层、网络层、应用层进行控制。1. 数据链路层的帧过滤规则就是对第二层(链路层)数据进行过滤。对指定的 MAC 地址进行帧过滤,通用帧过滤的协议包括(也就是以太网帧类型、IPV4、IPX 、NetBEUI 、ARP 等) ,可以对基于 MAC 的访问控制,网络地址可以仅只指明 MAC 地址。2. 网络层的过滤规则1、IP 过滤规则提供对 IP 协议的数据包进行过滤的功能。用户可以设定源 IP、目地 IP、服务类型(端口) 、有效时间等选项对 IP 数据包进行过滤。2、IP-
3、MAC 绑定对一些特殊的电脑及服务器进行 IP-MAC 绑定,可以防止 IP 被盗用,导致服务器或电脑不能够正常运行和服务。3. 应用层的高级过滤1、FTP 高级过滤规则能够提供对 FTP 操作的命令进行的控制。包括:上传、下载、删除文件和删除、重命名、新建目录等操作命令进行访问控制。2、WEB 高级过滤规则能够对 URL 的过滤。针对一些网站按照有效时间进行过滤、源地址(也就是可以指定特殊的网段,特殊的对像进行过滤。 )3、 内容过滤是防火墙提供的对应用层过滤的功能之一,它能对经过防火墙的 IP 数据包中的字符进行过滤。包括:比较敏的字段进行过虑。像法轮功、一些黄色字段等。4. 流量控制基于
4、流量:用户可以精确定议所需的流量值和优先级别的访问控制(可分为 7 个级别) ,保证关键业务的优先通过和对内部特定用户的控制,防止非法占用网络资源,使现有的网络资源得到更充分的利用和分配。基于并发数:主要是针对 TCP 协议,控制源 IP 的可以建立的连接数,包括每用户及总用户的控制(每用户也就是每一个 IP 和每一个 IP 段制定最大的并发数并且可以根据有效时间、服务类型等) 。以上过滤可以通过黑盾防火墙的:FWMARK、TOS 设置来实现,也就是对 IP 包打上 FWMARK 和 TOS 标记,实现包括:策略路由的控制。5. NAT 功能支持一对多、多对多的 NAT:使用一个外部 IP 地
5、址来提供内部一台或多台服务器的一个或多个服务,当用户有一个外网 IP 地址时,而又想实现对外多种服务或多台服务器的服务,就可以利用防火墙的一对多功能。也可以实现如有外部多个 IP地址提供给内部一台或多台服务器的一个服务。NAT 功能即解决了现有外网 IP地址缺乏的问题和对内部网络隐藏的作用同时也可以实现流量均衡作用。 抗攻击1. 安全过滤库因为防火墙是一个防攻击设备,所以这样对防火墙就有很高的要求,防火墙本身就必需具有很强的防攻击能力,黑盾防火墙采用专用的硬件和专用的安全操作系统,所以具有很强的抗攻击能力如括常见的:DOS/DDOS(服务性攻击和分布式服务攻击)攻击,是最为简单的攻击,也是最为
6、有效的攻击方式;地址/端口扫描的防;不规则 IP 数据包进行过滤;SYN Flood、SYN FLOOD SYN-PROXY 代理防护、ICMP Flood、UDP Flood、ARP 欺骗攻击防范等。2. IDS 联动设置能和黑盾 IDS,包括其他品版的支持 OPSEC 协议的 IDS 进行联动。使内部网络安全系统和外网安全系统无缝结合,从而大大提高了整个网络的安全系数。3. 信任主机网络中不希望受到安全过滤选项限制的主机,但是信任主机同样会受到访问控制规则的控制。 日志系统1. 黑盾防火墙提供强大的日志分析系统黑盾防火墙为用户提供了基于 Windows 平台的功能强大的远程日志审计管理系统
7、,日志类型全面,审计内容丰富。黑盾防火墙日志系统可以辅助管理人员监控网络应用的各种情况,并提供多种辅助功能,包括实时浏览、访问日志统计、日志管理、应用日志浏览、攻击日志浏览、日志信息导入导出、面向对象的安全策略以及日志数据库管理等功能。2. 提供多种查询方式和多种图形输出方式按时间查询、按源 IP 查询、按目的 IP 查询、按源端口查询等;包数柱状图、流量柱状图、包数饼图、流量饼图等。网各管理员可以根据防火墙日志系统提供的日志信息,实时地监控网络的运行状况并处理异常情况,确保防火墙安全策略的准确执行和适时调整。 VPN 功能(可选择)1. 虚拟专用网(VPN)是指在公共网络中建立专用网络,数据
8、通过安全的“加密通道”在公共网络传输。通过“黑盾“防火墙 VPN 模块来建立 VPN 能够减轻个业的费用,防止数在传输过程中被网络上的不法分子监听或篡改,保证企业数据的安全性、完整性和私有性。越来越多的企业选择使用 VPN,促使企业使用 VPN的原因可以归结为三主要因素:a、 节省开支:通过共享 Internet 网络基础设施,通过 VPN 企业网点间进行通讯,比专线的成本降低 20%-40%;VPN 设备投资简单,降低了设备的维护费用和支持远程计算机的维护费用。b、 有利益于扩展企业与合作伙伴及客户的关系:随着电子商务的发展,很多中小型企业迅速的发展,在各全国各地分别建立了分公司或办事处,其
9、通讯方式大部分都是借助与 VPN 来完成的。C、灵活的服务:网络的普及 Internet 无处不在以及 ISP 提供的多种接入方式,使 VPN 的使用非常灵活,企业可以根据业务需要加 VPN 用户。 对特殊协议族的支持(全面的多媒体应用)1. 对二层交换机支持(可网管交换机)对 VLAN TRUNK(802.1Q)协议支持,使一些网络在没有三层交换机的情况下也可以实现三层的功能,传统二层交换机如果划分了 VLAN 从理论上讲虽然减少了网络风暴,使网络分模块化,但是这样各 VLAN 之前如果没有三层的支持就不能够互访,资源不能得到共享。通过黑盾防火墙的 VLAN TRUNK 建立虑拟的VLAN
10、就可以实现各 VLAN 间互访,还不但是这些功能,其实建立了 VLAN 之后每个 VLAN 就像当于一个物理口可以使用防火墙的所有功能。2. 黑盾防火墙除了支持传统的网协议外,还可以很好的支持现在比较流行的各种协议。如:支持 H.320、H.324、T.120、MPEG-2,MPEG-4 等协议并可接入H.323、MPEG2 及 MPEG4 系统;支持多视频协议(H.261/H.263) ;支持多音频协议(G.711/G. 722/G.728) ,方便用户扩展 IP 电话、视频会议、VOD 点播等多媒体应用。能够完全满足多媒体传输要求,实现语音、图像视频的良好穿透。 全面的技术支持和售后服务1
11、. 本地化服务的重要性与关键性目前很多厂商存在这样的问题(也是 IT 界目前普遍存在的问题) ,很多产品都是通过代理商来安装和维护的,而代理商又没有专业的安全技术人员,也只能说技术比较不错,但是并非安全技术人员,所以不论从安全防护策化和配置上,和专业的安全工程师相比还是有差距的。他们往往把能不能安装成功和能不能安装得上及能不能通;一般的是只要能够通就可以了,去做为标准,而以后的运行是否正常和是不是让产品真正的发挥功效,真正的给客户带来方便,确得不到重视。而做为专来工程师首先考虑的是客户的整个网络结构,然后布署好防火墙的安装再接着是根据内外网的需求对防火墙的规则和安全策略进行配置,并对用户进行定
12、期回问,对现有的安全策略进行审核和检查,确保防火墙安全策略的准确执行和适时调整。如果网络结构有改动,就必需对防火墙进行配置和策略上的调整,以保证网络的正常运行及网络的运行效率。显然这两种技术人员同样都是安装,但是他们的效果显然是不同的。2. 目前福建省只有海峡信息技术有限公司在全省各地市有办事处,有专业的厂家的网络安全工程师进行产品的安装和技术支持。对用户的培训,包含网络安全及管理方面的相关知识,海峡信息的产品安装调试和详细配置管理培训,帮助客户设计安全网络系统。具体技术支持方式,本地化服务还有一个好处就是,对紧急事件的响应,目前有很多厂商没有设立本地化的服务,对紧急响应客户,不能在最短时间内解决问题。目前海峡信息泉州办事处配备有专业长住安全技术工程师一名,流动技术工程师三名,为泉州地区的客户提供全方位的安全服务和技术支持。如有技术问题能在四个小时内赶到现场解决问题,如有不能马上解决的问题,并提供备用机,确保用户的网络能够正常运行。当然还包括:电话、邮件、远程等各种技术支持方式。
