防火牆的定義
所謂防火牆指的是一個由軟體和硬體設備組合而成、在內部網和外部網之間、專用網與公共網之間的界面上構造的保護屏障.是一種獲取安全性方法的形象說法,它是一種計算機硬體和軟體的結合,使Internet與Intranet之間建立起一個安全網關(Security Gateway),從而保護內部網免受非法用戶的侵入,防火牆主要由服務訪問規則、驗證工具、包過濾和套用網關4個部分組成, 防火牆就是一個位於計算機和它所連線的網路之間的軟體或硬體(其中硬體防火牆用的較少,例如國防部以及大型機房等地才用,因為它價格昂貴)。該計算機流入流出的所有網路通信均要經過此防火牆。 防火牆 英語為firewall《英漢證券投資詞典》的解釋為:金融機構內部將銀行業務與證券業務嚴格區分開來的法律屏障,旨在防止可能出現的內幕訊息共享等不公平交易出現。使用防火牆比喻不要引火燒身。
在網路中,所謂“防火牆”,是指一種將內部網和公眾訪問網(如Internet)分開的方法,它實際上是一種隔離技術。防火牆是在兩個網路通訊時執行的一種訪問控制尺度,它能允許你“同意”的人和數據進入你的網路,同時將你“不同意”的人和數據拒之門外,最大限度地阻止網路中的黑客來訪問你的網路。換句話說,如果不通過防火牆,公司內部的人就無法訪問Internet,Internet上的人也無法和公司內部的人進行通信。
為什麼使用防火牆?
防火牆具有很好的保護作用。入侵者必須首先穿越防火牆的安全防線,才能接觸目標計算機。你可以將防火牆配置成許多不同保護級別。高級別的保護可能會禁止一些服務,如視頻流等,但至少這是你自己的保護選擇。
防火牆的類型
一個個人防火牆, 通常軟體套用過濾信息進入或留下。一台電腦和一個傳統防火牆通常跑在一台專用的網路設備或電腦被安置在兩個或更多網路或DMZs (解除軍事管制區域) 界限。 這樣防火牆過濾所有信息進入或留下被連線的網路。 後者定義對應於"防火牆" 的常規意思在網路, 和下面會談談這類型防火牆。 以下是兩個主要類防火牆: 網路層防火牆和 套用層防火牆。 這兩類型防火牆也許重疊; 的確, 單一系統會兩個一起實施。 網路層防火牆 網路層防火牆可視為一種 IP 封包過濾器,運作在底層的 TCP/IP 協定堆疊上。我們可以以枚舉的方式,只允許符合特定規則的封包通過,其餘的一概禁止穿越防火牆。這些規則通常可以經由管理員定義或修改,不過某些防火牆設備可能只能套用內置的規則。 我們也能以另一種較寬鬆的角度來制定防火牆規則,只要封包不符合任何一項“否定規則”就予以放行。現在的作業系統及網路設備大多已內置防火牆功能。 較新的防火牆能利用封包的多樣屬性來進行過濾,例如:來源 IP 地址、來源連線埠號、目的 IP 地址或連線埠號、服務類型(如 WWW 或是 FTP)。也能經由通信協定、TTL 值、來源的網域名稱或網段...等屬性來進行過濾。 套用層防火牆 套用層防火牆是在 TCP/IP 堆疊的“套用層”上運作,您使用瀏覽器時所產生的數據流或是使用 FTP 時的數據流都是屬於這一層。套用層防火牆可以攔截進出某應用程式的所有封包,並且封鎖其他的封包(通常是直接將封包丟棄)。理論上,這一類的防火牆可以完全阻絕外部的數據流進到受保護的機器里。 防火牆藉由監測所有的封包並找出不符規則的內容,可以防範電腦蠕蟲或是木馬程式的快速蔓延。不過就實現而言,這個方法既煩且雜(軟體有千千百百種啊),所以大部分的防火牆都不會考慮以這種方法設計。 XML 防火牆是一種新型態的套用層防火牆。 代理服務 代理服務設備(可能是一台專屬的硬體,或只是普通機器上的一套軟體)也能像應用程式一樣回應輸入封包(例如連線要求),同時封鎖其他的封包,達到類似於防火牆的效果。 代理由外在網路使竄改一個內部系統更加困難, 並且一個內部系統誤用不一定會導致一個安全漏洞可開採從防火牆外面(只要套用代理剩下的原封和適當地被配置) 。 相反地, 入侵者也許劫持一個公開可及的系統和使用它作為代理人為他們自己的目的; 代理人然後偽裝作為那個系統對其它內部機器。 當對內部地址空間的用途加強安全, 破壞狂也許仍然使用方法譬如IP 欺騙試圖通過小包對目標網路。 防火牆經常有網路地址轉換(NAT) 的功能, 並且主機被保護在防火牆之後共同地使用所謂的“私人地址空間”, 依照被定義在[RFC 1918] 。 管理員經常設定了這樣情節在努力(無定論的有效率) 假裝內部地址或網路。 防火牆的適當的配置要求技巧和智慧型。 它要求管理員對網路協定和電腦安全有深入的了解。 因小差錯可使防火牆不能作為安全工具.
安智防火牆
隨著網際網路和電子商務的不斷發展,網路信息安全威脅越來越成為阻礙各個大中型企業、政府機關和行業用戶信息化建設發展的關鍵因素。在安全領域中,越來越多的廠商寄希望於為客戶提供大而全的解決方案。然而,我們都知道,從來就沒有絕對的安全,安全的實現是和客戶的投資成正比,同時設備的複雜必然帶來新的問題。為了幫助客戶在有限的投資下充分地享受網路安全帶來的愉悅體驗,而不是簡單地為客戶提供越來越複雜的產品,安智科技依託在網路安全領域的多年技術積累和實踐經驗,基於對網路安全的深刻理解,融合網路科技的最新成果和大量獨創性專利技術,為客戶傾心打造了可供客戶自由選擇的、性能好、功能全、使用簡便、運行穩定的全系列AngellPRO防火牆。
AngellPRO防火牆是安智科技推出的一款企業級信息安全產品, 與同類產品相比, 不論在
技術的先進性還是各項通用技術指標方面均有較大程度的提高。
AngellPRO 防火牆是一款功能強大、 性能卓越的網路安全設備。 AngellPRO 防火牆基於高
速穩定的硬體平台,並採用經過安全加固的專用作業系統,具備極高的安全性和可靠性。
AngellPRO 防火牆除提供了強大的多級過濾功能外,還具備時間段控制訪問、套用代理、
地址轉換、MAC 地址綁定、入侵檢測、完整的日誌審計等功能。另外,用戶可選擇真正的透
明接入方式可以在不更改現有網路配置的情況下安裝或卸載防火牆,並可使防火牆免遭黑客
攻擊。
網路絡安全是一個動態的過程,需要統一、動態的安全策略,更需要一個聯動高效的安全解決方案。
安智科技在“集成聯動”的技術理念基礎上,提供包括AngellPRO系列防火牆在內的全套安全解決方案,為用戶提供從邊界到桌面,從區域網路到廣域網的高安全性保證,滿足用戶最挑剔和最嚴格的安全需求。
AngellPRO系列防火牆採用安智科技專有的安全作業系統,結合大量安全專有技術,提供了優秀的安全性和易用性。
安智防火牆的特點
系統狀態,一目了然
AngellPRO防火牆提供了對防火牆系統狀況指標的實時監控,幫助管理員隨時監控防火牆的運行情況,預防突發事件的發生。同時AngellPRO防火牆提供了集中管理多台防火牆的功能,管理員可以從一個管理界面上完全掌握組織內所有防火牆的運行狀況。
AngellPRO防火牆實時系統性能狀態
AngellPRO防火牆實時接口速率狀態
多態支持,隨機應變
AngellPRO防火牆可以在同一台防火牆上實現網橋模式、透明代理模式、路由模式、NAT模式和混合模式等多種模式,輕鬆適應各種複雜網路結構的不同需求。同時AngellPRO防火牆擺脫了傳統防火牆3個區域的限制,客戶可以自由定義某個連線埠所處的區域,這樣防火牆不僅可以用於內外網之間的保護,也可用於不同子網/部門之間的信息保護,更加適合於客戶的需求。
高效運行,暢通無阻
AngellPRO防火牆高效的過濾算法,使得硬體性能發揮至極致,充分保證防火牆不會成為網路通訊的瓶頸。模組化的設計更解決了其他防火牆因為功能增多導致的性能降低的矛盾。
內置IDS,攘外安內
防火牆產品作為網路信息安全系統的一個組成部分,首先它自身必須是“安全”的,才能最大程度地抵禦外來入侵。AngellPRO防火牆採用自主智慧財產權的產品核心,對外只向確定的管理控制台開放;特有的IDS算法,極大提高了防火牆自身的抗攻擊能力,為用戶提供了一個可信賴的安全平台。
條條大道,自由選擇
AngellPRO防火牆提供了多種不同的管理界面和方法,既可以適應對網路一無所知的用戶,也可以適應對技術的超級追求者。客戶可以根據自己的需要任意選擇。
集中管理,遠程維護
AngellPRO防火牆支持集中式安全管理系統,以統一的策略和集成的平台對受控網路進行安全配置和管理。安全管理員通過集中管理系統可以對網路中的AngellPRO防火牆完成統一的配置、管理和系統監視,既提高了網路安全規則的一致性,增進網路的安全性,也有效地降低了管理的成本和難度。
準確定位,輕鬆追查
AngellPRO防火牆內置了多種幫助網路管理員分析和查找事件故障源的工具,可以幫助管理員輕鬆地鎖定問題的來源,及時解決問題。
清靜世界,拒絕垃圾
AngellPRO防火牆提供了基於內容的過濾功能,可以實現對網頁內容、郵件內容、垃圾郵件等的有效智慧型過濾;靈活的關鍵字權重算法,既有效地過濾了非法的內容,又保證了合法信息的順暢傳輸。
火眼金睛,真假自辨
AngellPRO防火牆提供了多種認證用戶和控制用戶隨意使用區域網路資源的方式,例如IP和MAC的綁定,可以幫助限制用戶的非法行為,使得管理員能夠更加迅速地判斷問題的所在。
尊重客戶,人性設計
AngellPRO防火牆提供了很多人性化的設計,包括:多種網管工具、人性化的界面、和安智科技服務部門的直接聯絡渠道等,這些設計充分體現了安智科技對客戶的重視和關懷。
保護投資,量身訂製
AngellPRO防火牆提供了強大完善的功能、優秀的性能、高的穩定性和可靠性,及可靈活擴展的VPN 、SynProxy、雙機熱備、認證、計費等功能,客戶可以根據實際網路情況和需求進行搭配選擇。這樣既保證了客戶的網路安全,又避免了客戶的無效投資,體現了優秀的性價比。
安智防火牆功能特性
設計特點
先進的技術
AngellPRO防火牆採取了大量專有的技術,可以在防火牆核心實現對各種不同層次的訪問控制。相比傳統的包過濾和套用代理防火牆,AngellPRO防火牆不但提供了更加豐富的安全保證功能,同時更有效保證了防火牆的性能,而且保證了不對客戶原有的網路環境做改動、更加方便實用。
最新的設計思想
系統採用面向對象的設計思想,可以對不同對象的組成資源,如地址、服務、URL、關鍵字、檔案、郵件地址等直接進行控制,極大的提高了安全性,並保證了配置和配置更改的方便性。
獨特的防火牆策略體系
AngellPRO防火牆擺脫了傳統防火牆三個區域(信任區、非信任區和DMZ區)的限制,從核心上對防火牆的網路結構給予了重新規劃,採用了多區域模式和更加自由的用戶定義方式,使得用戶可以根據自己的實際需求來自由定義連線埠的屬性和不同連線埠間的訪問策略。
狀態檢測的包過濾機制和靈活的訪問控制機制
狀態檢測包過濾可以根據歷史的連線信息,生成狀態表,並據此對後續數據包進行動態的訪問控制。這種方式的好處在於不需要對每個數據包進行規則檢查,從而使性能得到了較大提高。同時由於狀態表是動態的,因而可以有選擇地、動態地開通1024號以上的連線埠,使得安全性得到進一步的提高。
AngellPRO防火牆採用了一個檢測模組(一個在網關上執行網路安全策略的軟體引擎)。檢測模組在不影響網路正常工作的前提下,採用抽取相關數據的方法對網路通信的各層實施監測,抽取部分數據(狀態信息)並動態地保存起來,作為以後制定安全決策的參考。檢測模組支持多種協定和應用程式,並可以很容易地實現套用和服務的擴充,可以快速實現基於源/目的IP位址、源MAC地址、服務/連線埠、用戶、時間、組(網路,服務,用戶,時間)的精細粒度的訪問控制。
廣泛的網路及套用環境支持
支持眾多網路通信協定和套用協定,如DHCP 、VLAN 、802.1Q、 IPSec 、PPTP 、PPPoE協定等,使AngellPRO防火牆適用網路的範圍更加廣泛,保證用戶的各種網路套用。
多種工作模式套用
1. 提供路由功能,支持連線埠路由和策略路由。
2. 提供包過濾網橋功能,在不改變用戶網路拓撲的情況下,為用戶提供最大的安全性,同時防火牆網口具有自動學習MAC 地址的功能。
3. 提供豐富全面的透明套用代理,覆蓋大多數用戶常用應用程式,包括HTTP、SMTP、POP3代理等。同時,多執行緒的代理提供較高性能的連線速度。
4. 支持多種方式的網路地址轉換,包括正向NAT、反向nat和靜態地址綁定等多種模式。
5. 提供以上多種模式之間的混合運行。
網路地址轉換功能
AngellPRO防火牆擁有強大的地址轉換能力,同時支持正向地址轉換、反向地址轉換和靜態地址映射,並支持一對一、多對一、多對多的動態地址轉換功能,能為用戶提供完整的地址轉換解決方案。
正向地址轉換用於使用保留IP 地址的內部網用戶通過防火牆訪問公眾網中的地址時對源地址進行轉換。對公眾網來說,訪問全部是來自於防火牆轉換後的地址,並不認為是來自內部網的某個地址,能夠有效的隱藏內部網路的拓撲結構等信息。同時內部網用戶共享使用這些轉換地址,自身使用保留IP 地址就可以正常訪問公眾網,有效的解決了全局IP 地址不足的問題。
內部網用戶對公眾網提供訪問服務(如Web 、FTP 服務等)的伺服器如果是保留IP 地址,或者想隱藏伺服器的真實IP位址,都可以使用AngellPRO防火牆的反向地址轉換來對目的地址進行轉換。公眾網訪問防火牆的反向轉換地址,由內部網使用保留IP 地址的伺服器提供服務,同樣既可以解決全局IP 地址不足的問題,又能有效的隱藏內部伺服器信息,對伺服器進行保護。
靜態地址映射提供實現內部網路和外部網路的單個地址對單個地址或地址段對地址段的一對一地址映射,可以實現數據的雙向流動。
透明的套用代理
AngellPRO防火牆提供對常用高層套用服務(HTTP 、SMTP 、POP3)的透明代理。用戶不需要在自己的主機上作任何的有關代理伺服器的設定,只需管理員在防火牆上配置相關的規則,用戶通過防火牆進行的上述套用訪問就會由防火牆進行代理。這些配置對終端用戶來說完全是透明的,極大的方便了用戶使用代理。同時AngellPRO防火牆還可以對具體服務或協定做更詳細控制,如HTTP 對命令(GET 、POST 、PUT等)和URL過濾,關鍵字過濾、收/發信人進行控制等,這使得用戶使用代理訪問Internet 更為安全。
支持策略路由
策略路由可以根據客戶指定的條件將不同來源的數據包傳送到不同的路由接口,這樣可以更加靈活地適應客戶多Internet 出口的需求。比如對於某些教育系統的網路可能同時有兩條網際網路出口,一條是通過教育網的線路連線到Internet ,另外一條就是申請電信的線路直接連線到網際網路。對於這種環境為了更好的利用頻寬,讓網路中的部分終端走教育網的出口,另外一部分終端走電信線路,這樣可以很好的利用現有的頻寬資源。
多連線埠的自適應
AngellPRO防火牆擺脫了傳統防火牆對連線埠的限制。防火牆的連線埠不再局限於區域網路、DMZ和外網之分,而是可以任意指定、任意組合。這使得防火牆可以自由適應客戶的網路情況,無拘無束。
智慧型的內容過濾
支持下列網路內容安全控制手段,包括:
HTTP/郵件關鍵字過濾
HTTP/郵件檔案名稱過濾
URL過濾
16種媒體檔案格式過濾
多達78種的檔案類型過濾
發件人/收件人信箱過濾
郵件附屬檔案檔案類型過濾
http命令過濾(get、put、post)
Java scripts/Active-X 過濾封堵
Java小程式控制
Cookie過濾
防止非法用戶接入
安智防火牆支持ARP監控和防非法接入,沒有經過管理員允許接入的非法機器接入用戶網路時,非法機器將不能夠跨越防火牆和訪問網路中的任何一台其他機器。
用戶部署防非法接入時,安智防火牆可以部署成網關也可以作為一台普通主機一樣接入到交換機,這兩種方式部署均方便實現。
用戶部署該功能簡單方便,同時管理員監控接入機器也很方便易用,管理員切換一台機器的合法身份也非常簡單。
強大的抗攻擊能力,內置入侵檢測IDS系統
提供強大的攻擊入侵探測功能。能檢測attack-responses、backdoor、chat、ddos、dns、dos、exploit、finger、ftp、icmp、misc、multimedia、netbios、oracle、p2p、policy、pop3、rpc、rservices、scan、shellcode、smtp、snmp、sql、telnet、tftp、virus、web-attacks、web-cgi、web-client、web-coldfusion、web-frontpage、web-iis、web-misc、web-php等上千種攻擊。
提供基於狀態的ICMP、UDP和TCP的FLOOD攻擊檢測。管理員可以設定各種數據包的速度閾值,超過閾值的連線將被認為是非法連線,這樣就有效防止了黑客使用這些手段對主機造成的DDoS攻擊。
防連線埠掃描。連線埠掃描是黑客經常利用的一種前期探測手段,用來發現目標主機的作業系統、提供的服務等內容,以便為下一步攻擊作準備;AngellPRO防火牆採用特殊的加權算法,使得管理員可以識別複雜的連線埠掃描過程和正常的訪問過程,這樣既有效地解決了對攻擊行為的及早預防,又能夠保證正常流量的通行。
提供對空掃描、Nmap掃描、XMAS掃描和Nmap指紋掃描等掃描攻擊的防範,將黑客的攻擊扼殺在搖籃之中。以上這些掃描是一些特殊的掃描辦法,用以發現客戶的主機系統和漏洞;AngellPRO防火牆可以有效地防止這些掃描的發生。
SYN PROXY 對抗SYN FLOODING 攻擊
AngellPRO防火牆不僅能夠支持快速準確的數據包過濾,它還能夠通過SYN PROXY代理來對抗SYN 的DoS 攻擊。眾所周知,SYN Floods攻擊是一種通過不斷發起到伺服器的無效連線來耗費伺服器的資源,達到伺服器不能正常工作目的的一種DoS攻擊方式。根據統計,該攻擊是黑客最為經常使用的一種危害性極高的攻擊方法。例如,在2000年黑客就是使用了SYN Floods攻擊了網際網路上Yahoo,亞瑪遜等著名的網站,造成幾千萬美元的損失。
在TCP的連線的建立都必須經過“三次握手”的過程,連線的發起者向對方傳送一個TCP的數據包,這個數據包包含一個初始的序列號,並把TCP的SYN標誌位置位;接受者收到這個數據包之後,應該回應一個TCP數據包,並在其中包含了接受者自己的初始序列號,並把SYN、ACK這兩個標誌位同時置位,表明收到了SYN的請求並同時向傳送者請求TCP連線。連線的傳送者為了完成這個連線,必須對接受者的SYN包進行應答,即返回一個ACK置位的TCP數據包。在絕大多數作業系統TCP協定的實現代碼中,連線的傳送者在丟棄“半連線”的時候都必須等待60秒鐘以便收到對方的ACK數據包。因此,如果攻擊者向伺服器傳送大量的SYN請求包,但是並不對伺服器的SYN-ACK數據包進行應答,那么伺服器在丟棄這個半連線之前都需要等待60秒鐘,這時候攻擊者就可以以更快的速度向伺服器傳送SYN數據包,這樣伺服器將很快達到TCP連線的上限,因而無法對合法的TCP請求進行回響。這就是SYN的DoS攻擊。
在AngellPRO防火牆的SYN Proxy機制中,當一個TCP請求包到達目標伺服器之前,防火牆代表伺服器向請求方進行應答。而只有當三次握手完成後,防火牆才會在和伺服器建立第二個連線,並為兩個連線建立一個通道。在SYN Floods攻擊發生時,防火牆應答攻擊者的SYN包。由於三次握手的ACK包始終沒有到達,防火牆終止掉這些半連線,而目標伺服器沒有收到這些SYN包,所以受到了保護。如果是一個正常的連線,在防火牆收到三次握手的ACK包後,防火牆代表請求方向伺服器發起一個新的連線。在新的連線建立起來後,防火牆通過序列號轉換將兩個連線合併成一個。SYN Proxy要處理大量的半連線信息,處理方法有兩個:有狀態的和無狀態的。有狀態的方法是指防火牆採用高效的數據結構來記錄半連線狀態。常見的高效數據結構有AVL樹、哈希表等。我們採用了哈希表,它的平均計算複雜度是O(N/M);而無狀態的方法是採用SYN Cookie,使用密碼學的方法而不是存儲器來記錄半連線。只要半連線的個數超過了防火牆的管理員設定的允許的個數,SYN Proxy就會啟動並高效地保護內部伺服器。根據我們的測試,在AngellPRO防火牆的保護之下,內部的WWW伺服器可以輕鬆地抵抗每秒鐘70000個SYN的DoS攻擊。
防火牆的SYN Proxy代理功能可以代理伺服器完成TCP連線建立過程中的握手階段,進而有效避免了非法用戶使用SYN Floods攻擊來發起向伺服器的無效連線,成功解決了很多防火牆都無法解決的問題。
支持透明接入
將AngellPRO防火牆配置為透明工作模式,無需更改用戶網路的拓撲結構就能接入用戶網路中,用戶網路中的主機也無需更改任何網路配置。透明接入極大的方便了防火牆的接入,同時並不降低網路的安全性。AngellPRO防火牆也能工作在透明模式和其他模式的混合模式下,更能適應各種不同網路環境的接入。
多層過濾功能
為保證系統的安全性和提高防護能力,增強控制的靈活性,AngellPRO防火牆採用了多層過濾措施。以基於OS核心的會話檢測技術為核心,在IP 層提供基於狀態檢測的分組過濾,可以根據網路地址、網路協定以及TCP 、UDP 連線埠進行過濾;在套用層通過重寫通訊會話的部分或者全部提供對高層套用協定命令、訪問路徑、內容、訪問的檔案資源的過濾;同時還直接支持第三方認證伺服器提供用戶級的鑑別和過濾控制。AngellPRO防火牆的多層過濾形成了立體、全面的訪問控制機制。
VPN功能特性
AngellPRO防火牆內建了VPN功能模組,能夠與其它VPN網關、Windows 客戶端、其他啟用了VPN 功能的AngellPRO防火牆互通,建立加密隧道進行加密通信,形成虛擬專用網,在異地區域網路間通過網際網路提供安全可靠的網路使用環境。
用戶訪問控制
支持普通用戶的加密認證,只有經過認證的用戶才能通過防火牆進行對外的訪問。認證的方式包括防火牆本地認證、Radius認證、一次性口令認證和證書認證。
提供IP和MAC綁定功能,這使得普通用戶不能隨便地修改自己的IP位址,極大減少了管理員的管理工作量,提高了追查問題的準確度和速度。
提供DHCP功能,可以減少管理員維護區域網路結構的工作強度,為客戶提供更加自由的感覺。同時防火牆也支持IP的固定分配;防火牆可以根據MAC地址或者將特定的IP和MAC綁定來實現訪問控制。
提供頻寬策略與防火牆有效地結合在一起,為用戶保證網路安全的同時,也防止了某些用戶或通訊大量占用頻寬,避免造成網路阻塞甚至癱瘓。頻寬策略的套用是針對某條訪問策略進行,這樣就保證了管理員可以針對不同的源/目標地址、連線埠、時間、協定等進行訪問頻寬的限制。
線上用戶的查看,可以幫助管理員查看和禁止線上的用戶。
防火牆提供防非法接入功能,防止未授權的網路用戶使用計算機上網或訪問內部網路資源
流量鏡像
AngellPRO防火牆支持流量鏡像功能,使用流量鏡像功能防火牆用戶可以將經過防火牆某些特定的流量鏡像到防火牆的接口或者使用某一個IP的主機上,便於防火牆用戶使用IDS或Sniffer等數據流量監控設備進行數據分析。
鏡像接口:將特定的流量鏡像到防火牆的接口上
鏡像網關:將特定的流量鏡像到某一台擁有IP位址的設備上
動態域名支持
AngellPRO防火牆支持動態域名功能。越來越多的網路用戶使用非固定IP位址的網路接入方式實現上網(如ADSL等),這對防火牆的管理以及用戶搭建網路伺服器構成了一定的影響,使用動態域名功能,網路用戶只需要在網際網路上申請一個動態域名,用戶便可以使用動態域名實現對防火牆的管理以及伺服器的訪問。
安智防火牆支持三種動態域名系統,分別是花生殼、希網和本公司自主研發的域名系統。
花生殼:由上海貝銳信息科技有限公司提供的一套動態域名系統。
希網:由希網網路公司提供的一套動態域名系統
安智DDNS:由西安安智科技有限公司自主研發的一套專門針對於AngellPRO防火牆的動態域名系統
服務隱藏
AngellPRO防火牆支持服務隱藏功能。使用服務隱藏功能AngellPRO防火牆可以將某些重要的伺服器在網路上隱藏起來,一般情況下,網際網路的用戶不能訪問到該伺服器所提供的服務,只有當某特定的用戶運行本公司提供的一套客戶端系統並且執行某一特定的連線埠序列後,該用戶才能訪問到伺服器上提供的服務。這項功能適用於對保密性要求比較高的防火牆用戶使用。
完善的系統管理功能
支持面向對象的管理
面向對象的管理,使得管理員對訪問策略的制定和企業資源的分類可以分別獨立進行,保證了當企業網路或內部資源發生變化時,不需要對防火牆的配置做太多的變化,就可以輕鬆適應,避免了管理員的重複操作。
多種管理途徑
提供即插即用的功能,特別適用於缺乏專有管理員的小型組織,不需要做任何的配置。
提供配置嚮導,特別適合於對安全不熟悉的網路管理員,只需跟隨嚮導的提示,即可輕鬆實現較高的安全要求。
提供純中文的圖形化防火牆管理界面,特別適合於喜歡windows界面的安全管理員,可以實現所有的防火牆管理功能;同時提供防火牆配置的線上備份和恢復以及防火牆軟體的線上升級功能。
提供命令行管理界面,特別適合於喜歡UNIX、LINUX以及CISCO字元界面配置的管理員,上千條的管理命令,足以幫助管理員適應非常複雜的網路結構,保證系統的絕對安全。
液晶顯示(LCD)配置界面(高端設備提供),可以幫助管理員直接通過液晶面板察看防火牆的運行狀態。
提供遠程管理SSH和Telnet管理防火牆功能,可以幫助管理員對防火牆進行遠程維護,避免人力的浪費。
提供集中管理功能,特別適合於具有多台防火牆的組織,可以集中控制組織的安全狀況,同時減少對管理員數量和質量的要求。充分實現了分布部署、集中管理。
多級管理用戶
防火牆管理系統中有超級管理員,系統配置員,系統操作員;日誌管理系統中有日誌管理員、日誌查看員兩個級別;不同管理級別的劃分可以幫助組織有效地實行分級的管理和制約。
提供SNMP管理功能
這保證了防火牆可以與當前通用的網路管理平台兼容,如HP OpenView 、Cisco works 等,方便管理和維護。可以通過這些管理平台對防火牆的運行狀況進行監控,並接收通過SNMP Trap 傳送的報警信息,幫助網路管理員找出並糾正TCP/IP 網際網路中的故障。為了避免由於SNMP 本身的安全性上的缺陷而導致防火牆本身的安全性受到威脅,系統僅允許網管系統查詢信息,而不允許改變防火牆的配置。
提供線上設備監控
可實時監控防火牆的性能信息和連線信息,可線上斷開非法連線
支持遠程集中管理
可通過安全的認證及管理信息的加密傳輸實現全局防火牆設備的集中管理。實現統一的安全策略布署,保證整個系統的安全策略的一致性,提高整個系統的安全強度。
AngellPRO防火牆的主要配置和管理都是基於GUI方式的,管理主機只需安裝專門的管理軟體,就可以在不同主機、不同地域對防火牆進行配置和管理。
配置檔案備份與恢復
AngellPRO防火牆提供簡單方便的配置檔案管理,管理員可進行配置檔案的備份和恢復。用戶可以隨時手工備份防火牆的配置檔案,可以將備份結果下載到本地管理主機中保存,也可以將備份上載回防火牆進行恢復還原。
日誌審計功能
一個安全防護體系中,審計系統的作用是記錄安全系統發生的事件、狀態的改變歷史、通過該節點的符合安全策略的訪問和不符合安全策略的企圖,使管理員可以隨時審核系統的安全效果、追蹤危險事件、調整安全策略。進行信息審計的前提是必須有足夠的多的日誌信息。
AngellPRO防火牆提供了非常強大的日誌功能,總計包括五種日誌內容:連線日誌、攻擊日誌、代理日誌、認證日誌和配置日誌,並且可以對日誌的備份、維護、恢復等都提供了自動化的工具完成。
AngellPRO防火牆日誌管理系統界面
基於防火牆日誌信息,系統又提供了防火牆日誌的審計和報表功能。幾十種標準報表完全適應大多數組織的需求;餅形圖和詳細的日誌紀錄,可以有效地幫助組織分析相關的安全事件,明察秋毫。
AngellPRO防火牆日誌系統統計界面
AngellPRO防火牆支持日誌的防火牆本地存儲、遠端日誌伺服器存儲、備份存儲等存儲方式。
除此以外,AngellPRO防火牆還提供了不同的日誌內容、不同事件級別採取不同報警方式的功能。系統提供的告警方式包括:
聲音報警
郵件通知
windows訊息
用戶終端
系統緩衝區
高可用性
雙機熱備
支持兩台防火牆之間的雙機備份有效地保證了可靠性。
在同一個網路節點使用兩個配置相同的防火牆。正常情況下一個處於工作狀態,為主防火牆,另一個處於備份狀態,為從防火牆。當主防火牆發生意外宕機、網路故障、硬體故障等情況時,主從防火牆自動切換工作狀態,從防火牆代替主防火牆正常工作,從而保證了網路的正常使用。切換過程不需要人為操作和其他系統的參與,切換時間可以用秒計算。同時AngellPRO防火牆還保證了當一台防火牆故障時,這台防火牆上的連線不需要重新建立就可以透明地遷移到另一台防火牆上,用戶不會覺察到。
連線埠冗餘
AngellPRO防火牆連線埠冗餘技術,進行連線埠冗餘時,構成邏輯組的防火牆物理連線埠同時工作,在保證了系統安全性的同時提高了網路可用頻寬。當邏輯組中的防火牆物理連線埠出現故障或者網路鏈路中斷時,連線埠冗餘功能自動啟用,保證了用戶網路無間斷運行,實現了用戶網路系統的高可用性。
易用性設計
提供多種網管工具,幫助管理員有效追查指定事件的來向,甚至包括對方的聯繫方式,進而徹底查出問題的源頭。
提供了直接和安智科技的售後服務部門聯繫的方式,幫助管理員在遇到問題的時候可以直接求助於原廠商,獲得更多的技術幫助。
隨機提供防火牆配置教材光碟一張,管理員可以通過光碟一步一步地學習防火牆的相關知識。
人性化配置管理界面設計使得防火牆在保證安全、嚴謹的同時,不失活潑和輕鬆的感覺,充分體現了安智科技“自由生活從安全開始”的理念。
多鏈路負載均衡和路由備份
AngellPro防火牆支持多個出口的負載均衡,也即在一個防火牆中連線多個網路出口鏈路,防火牆在這多個出口之間自動進行流量的分配,達到鏈路負載均衡的效果。
同時AngellPro防火牆也可以支持備份路由,即支持多個同樣的路由設定,一旦主要路由失效或者檢測到該路由不可達後,防火牆會自動走備份路由。
這個功能對有多個出口的單位或者擁有線路備份的用戶相當有效,用戶可以做到出口流量的負載均衡或者鏈路的備份,增加系統的可靠性和安全性,但不增加系統的成本和其他費用。防火牆線上仿真(特別適合網路安全實驗室和培訓) 安智防火牆支持多用戶線上仿真,管理員可以根據實驗需要產生多個仿真用戶,多個仿真用戶可以同時以GUI、WEB、SSH、TELNET和console等方式登錄到防火牆進行全面配置,每個用戶使用的均是自己的防火牆,全面仿真真實環境,這對於網路安全實驗室環境和培訓環境特別好,支持多人同時操作,互不干擾。
