防火墙特性与优点说明书

购买指引：

防火墙特性与优点说明

1.天网防火墙工作组型:

天网防火墙工作组级防火墙，是适合中小型企业上网用的防火墙，适用于用户数量规模不大的网络环境（大约有十几到几十台部工作站）。它包括了基本的防火墙系统，具体功能特性如下：

●自行开发的优良的防火墙核

在系统设计时参考了NetBSD、OpenBSD、Linux、FreeBSD等系统的体系结构，吸取以上的系统的优点进行系统网络核心的优化处理，同时还针对CPU的计算核心进行了优化处理。能支持到大量的并发连接和高性能的IP Packet处理，我们以纯汇编编写这部分的程序，并充分使用CPU的能力，使程序效率平均提高20%，在某些情况下可以提高60%。

●基于状态检测的包过滤功能

天网防火墙在核心部分实现了基于状态检测的包过滤功能，通过建立连接状态表的方式，提高安全控制表项的轮询速度，从而提高了包过滤系统的性能和安全性。

●具有包过滤功能的虚拟网桥功能，可以支持IPTV等多点广播的网络服务，并且可以网

桥与路由混合的工作模式进行工作，方便灵活天网防火墙系统还支持桥接功能，可以实现局域网之间基于数据链路层的连接，满足IPTV等基于多点广播的多媒体应用，而且对于某些已定型的网络结构，可以在不改变网络拓扑的情况下加入防火墙，实现包过滤等应用。

●具有国际首创的DOS防御网关技术，能有效的防止各种类型的DOS攻击

Internet上DOS攻击暴虐一时，由于可以通过使用一些公开的软件进行攻击，它的发动较为简单，同时要防止这种攻击又非常困难。DoS全称是Denial of Service，中文意思是拒绝服务攻击。这种攻击行动使服务器充斥大量要求回复的信息，消耗网络带宽或系统资源，导致网络或系统不胜负荷以至于瘫痪而停止提供正常的网络服务。"拒绝服务"的攻击方式为：用户传送众多要求确认的信息到服务器，使服务器里充斥着这种无用的信息。所有的信息都有需回复的虚假地址，以至于当服务器试图回传时，却无法找到用户。服务器于是暂时等候，有时超过一分钟，然后再切断连接。服务器切断连接时，黑客再度传送新一批需要确认的信息，这个过程周而复始，最终导致服务器无法动弹，瘫痪在地。

天网防火墙系统针对各种DOS攻击做出了防御措施。在信息到达服务器之前拦截信息，系统可以根据设置智能化地对访问信息进行检查，从而阻挡住Sync Flood, IGMP Nuke, Win Nuke等DoS类型攻击。目前国同类产品尚无同样功能。

●具有TCP标志位检测功能

在大多数的防火墙里，都缺少对连接是从哪方主动发起进行判断的选项，这将导致一个潜在的安全隐患是攻击者可能可以从一个外部主机的某个常用服务端口连入部主机的高端口。例如，如果允许部主机访问外部主机的telnet服务，这个方向连接的所有包应该是必须包含ACK位的，也就是说，不是主动发起的连接。但通常的防火墙的包过滤功能里并没有

检查ACK位的设置，因此，攻击者就可以从外部主机的源23端口发起连接到部主机的高端口(>1023)。天网防火墙系统通过在安全规则上的设置对数据包的SYN/ACK等标志位进行合法性检测和判断，防止不法攻击者利用常用服务的低端口与部主机的高端口的连接，从而攻击部主机。国包括国外的许多防火墙系统都无此防护功能。

●具有双向的网络地址转换功能

部网络用户一般没有合法的Internet IP地址（Registered IP Address），不能直接对外部网络进行访问，这可以通过网络地址转换系统得到完满的解决。当用户需要对外访问时，天网邮政防火墙系统将会从IP池中的IP动态分配给用户，使用户得到合法的IP地址与外部访问。

端口地址转换（Port Address Translation）可以扩展公司可使用的Internet IP，用户的访问将会映射到IP池中IP的一个端口上去，这使每个合法Internet IP可以映射六万多个部网主机。

如果企业希望部网络中的服务器可以让Internet用户访问的话，可以利用反向NAT （R-NAT）或反向PAT（R-PAT）系统，为部网络服务器作静态地址和端口映射，这样Internet 用户就可以通过本防火墙系统直接访问该服务器了。

●具有流量统计与流量限制功能

●支持一个网络端口绑定多个IP地址，从而支持多个子网和多种IP应用

●支持IP与MAC地址绑定，有效地管理IP地址资源

在部网络的应用中，经常会遇到部网络用户擅自修改IP地址，以获取一个合法IP地址来进行相应的网络应用，这样会使部网络在地址资源的分配和使用上出现混乱，大大影响部网络的正常运行，而且，在网络事故发生以后，也加大了地址追寻的难度。

天网防火墙所具有的MAC地址绑定功能可以很好地解决这个问题。当网络用户被分配或自行设定一个IP地址以后，防火墙系统就能接收到相应的地址广播，在防火墙系统上列出相应的IP地址与MAC地址，并可以选择是否把这个IP地址与相应的MAC地址绑定，这样可限定IP地址只能在一台指定的工作站上使用，大大方便了网络的IP地址管理。

●具有实时系统监控功能，能观察系统的运行状态及网络连接状况

天网防火墙系统可以通过实时观察系统的运行时间、负载状况以及存使用情况等，来了解整个系统的运行状况，并且还可以在界面上观察到系统的各种网络连接状况，从而可以根据系统的负载情况对系统作出相应的调整。

●具有实时报警功能，通过拨打和Emai*的方式报警

系统提供对任何可疑的行为作出实时的告警提示，告警可疑通过可闻可见的的方式发出，也可以通过Email发出信息、发出SNMP告警到网管系统，或者激活一些用户定义的告警方式，如通过传呼机呼叫管理员等。

●可通过界面升级，操作方便

●具有系统操作记录，可以记录系统管理员的所有操作情况

小型企业通常采用2M以下的专线实现与Internet的互连，在线路速度上对防火墙的要求不高。企业通过路由器与DDN连接上Internet，路由器的以太网接口直接连接到防火墙的网络端口1上；企业的服务器直接连接在防火墙的网络端口2上，如果企业多有台服务器，可以通过集线器连接在防火墙的网络端口2上；企业的工作站通过集线器连接在防火墙的网络端口3上；通过这种方式，防火墙可以同时保护企业的服务器和部的工作站。

部的所有工作站可以采用部网的私有网络地址，例如192.168.0.xxx网段，通过防火墙的NAT功能连接上Internet，将宝贵的IP地址资源保留给服务器使用。

2.天网防火墙企业 I 型:

天网防火墙企业I型防火墙，是适合大中型企业上网用的防火墙，适用于用户数量规模较大大的网络环境（大约有几十到几百甚至上千台部工作站）。它包括了基本的防火墙系统，网络黑洞和数据纪录功能模块，具体功能特性如下：

●基本防火墙系统功能（同工作组型）

●网络黑洞模块，用于阻挡黑客的网络结构探测，返回错误的信息给黑客，可以有效的防

止外来攻击

●网络数据纪录模块，用于记录网络数据流量、用户流量计费等功能，该模块需要在一台

PC机上安装一个客户端软件进行数据收集、分析和处理，还可以把分析结果导入数据库，实现自动处理。