蓝盾企业网络安全解决方案

　　一.应用方案

　　如下图所示:

　　二.主要功能特点

　　1.软、硬件一体化的结构

　　防火墙对于用户来说，只是一个类似路由器的硬件设备，整体系统采用黑盒设计，防火墙系统与硬件紧密结合，发挥硬件最高效能，减少由于操作系统问题而产生网络漏洞的可能，提高系统自身安全性。

　　2.独特的第四网络接口(对内服务器群)

　　蓝盾防火墙防内版拥有四个网络接口，专门开辟了第四区间——对内服务区，将原来安装在内部网络中一些重要的服务器集中联入本区域，此区域与第三区域不同。对于第三区域，内网、外网都能访问;对于第四区域，只开放给内网某一部分IP访问，外网无法访问。这样构成的系统，既可“防外”又可“防内”，彻底解决了一般防火墙只能“防外”不能“防内”的不足。

　　3.NAT方式节省网络地址资源

　　对于一个小型网络来说，申请的IP地址不会太多，如果网络中的每一台设备都需要一个IP地址，会造成IP地址的严重不足。蓝盾防火墙提供的网络地址转换(Network　Address　Translation)功能不仅可以隐藏内部网络地址信息，使外界无直接访问内部网络设备，同时，它还帮助网络可以超越地址的限制，合理地安排网络中上公用Internet　地址和私有地址的内部网用户顺利的访问Internet　的信息资源，不但不会造成任何网络应用的阻碍，同时还可以节省大量的网络地址资源。

　　4.高性能的系统核心

　　现在商业操作平台如Win98、NT、UNIX、LINUX存在着不少漏洞，不断被黑客在互联网上公开、传播，作为攻击的目标。蓝盾安全小组从底层做起，自行开发出一套防火墙专用安全平台，对与流量关系密切的模块进行优化处理，做到高安全性、高稳定性和高效率。本系统核心专门为TCP/IP及Firewall而设计，能大大提升系统性能。例如IP　Checksum部分由汇编语言编写，比同类系统性能提高20%-60%。

　　5.灵活的WWW端口

　　控制通过系统的8887端口，可进入WWW设置管理界面，进行安全规则和其它功能的设定。为了进一步加强防火墙自身的安全性，避免其它人员打开8887端口，猜测密码，我们在系统内核中增加了一个端口控制层，通过BDKEY控制软件，可自由打开或关闭8887端口。

　　6.提供第三区域

　　除了内部网络界面和外部网络界面，系统还增加一个网络界面，让管理员灵活应用。如建立DMZ(Demilitarized　Zone)，在其中放置代理服务器或公共应用服务器。

　　7.支持多种标准服务

　　目前，能够支持哪些传输标准是评价一个防火墙系统的重要指标之一，蓝盾防火墙系统支持95种通信协议和730种应用服务，包括WWW、FTP、POP3、数据库服务、多媒体服务、Microsoft网络服务等等。用户不必担心使用了防火墙后出现某些服务失效的副作用。

　　8.美观易用的界面

　　系统设有基于WWW的管理界面，管理员可以通过由HTML、Java　applet组成的图形界面对系统进行管理。把复杂繁多的系统功能设置变为直观易用的WWW界面，大大降低了对网络管理员的高要求，提高了系统的易用性。9.物理断开功能系统具有独特的物理断开功能，在每个网络接口中都内置有物理开关模块。在某些特殊情况下，网络管理员可以通过网络对其强行断开，立即中止该接口数据传输。

　　三.功能模块

　　1.智能防御模块

　　系统自动统计、分析通过防火墙的各种连接数据，探测出攻击者，立即断开与该主机的任何连接，并采取将其IP地址列入黑名单等措施，保护内网所有主机的安全。

　　2.自动反扫描模块

　　扫描是黑客攻击的前奏，攻击前，黑客一般会先扫描一下目标主机打开的服务端口，然后再进行针对性攻击。本系统在内核设计中引入自动反扫描机制，以最快的速度发现扫描器，即时断开其连接，并将该IP地址列入黑名单，在一定时间(约10分钟)内，该主机无法再对防火墙系统和防火墙保护的内网进行任何访问。

　　3.双向网络地址转换模块

　　内部网络用户一般没有合法的Internet　IP地址(Registered　IP　Address)，不能直接对外部网络进行访问，这可以通过网络地址转换系统得到完满的解决。当用户需要对外访问时，蓝盾防火墙系统将会从IP池中的IP动态分配给用户，使用户得到合法的IP地址与外部访问。端口地址转换(Port　Address　Translation)可以扩展公司可使用的Internet　IP，用户的访问将会映射到IP池中IP的一个端口上去，这使每个合法Internet　IP可以映射六万多个内部网主机，并发访问为16384条。如果企业希望内部网络中的服务器可以让Internet用户访问的话，可以利用反向NAT(R-NAT)或反向PAT(R-PAT)系统，为内部网络服务器作静态地址和端口映射，这样Internet用户就可以通过本防火墙系统直接访问该服务器了。我们的网络地址转换系统支持九十多种通信协议(包括IGMP、ICMP、TCP、UDP等)和七百多种TCP/UDP服务，其中主要包括:l　常用服务:HTTP、FTP、SMTP、NNTP、TELNET、ECHO、FINGER、SYSTAT、DYATIME、DNS、TFTP、GOPHER、POP3、RTELNET、RLOGIN、CISCO-SYS、SNMP、IRC、IMAP4、UUCP等。l　数据库服务:Oracle　SQL*NET、SQL-NET、ODBC、SQLSRV、SQLSERV等，用户可以通过防火墙进行数据库操作。l　多媒体流:Progressive　Networks　RealAudio、Xing　Technologies　Streamworks、　White　Pines　CuSeeMe、Vocal　Tec　Internet　Phone、VDOnet　VDOLive、　Microsoft　NetShow、Vxtreme　Web　Theater　2　等。支持H.323应用，包括Intel　Internet　Video　Phone、Microsoft　Netmeeting　等。l　NetBios、RPC:Microsoft　Network　可以通过本防火墙系统进行通信。同时支持Remote　Procedure　Call。使用Windows、Windows　NT的网络系统也可以采用本系统作为保护企业数据的防火墙。如果用户有需要，可以自己定义所需的服务。

　　通过NAT和PAT的结合，巧妙的建立了连接Intranet和Internet的桥梁，蓝盾防火墙系统将守护着这栋桥梁。

　　4.　WWW端口控制模块

　　通过防火墙的8887端口，可进入防火墙的设置管理界面，进行安全规则和其它功能的设定。为了进一步加强防火墙自身的安全性，避免其它人员打开8887端口，猜测密码，我们在系统的内核中增加了一个端口控制层，通过BDKEY控制软件，可自由打开或关闭8887端口，并达到如下目标:1、只有用户名/密码验证正确的管理人员，才能使用BDKEY软件。2、通过BDKEY向防火墙发送启动端口(8887)控制命令后，防火墙会自动绑定管理员主机IP，只有该IP才可以进入8887端口。3、防火墙会自动验证管理员在BDKEY中填写的主机IP地址。4、管理人员设置完毕后，可关闭8887端口。

　　5.物理断开模块

　　本系统的三个网络硬件接口中，都内置一个物理开关模块，通过设置，可断开任一网络接口的联接，即时中止该网络接口的任何通信，这样，在某些特殊环境下，可进一步提高系统的安全性。

　　6.　MAC绑定模块

　　为了防止IP欺骗、地址伪装，本系统提供“MAC绑定”功能。它可以将IP地址和网卡的硬件地址绑定起来，主要用于绑定一些重要的管理员IP和授权IP。

　　7.实时报警和纪录安全分析模块

　　本系统提供实时报警功能，对于端口扫描和其它网络攻击，纪录系统会即时发出警报，提醒管理人员。

　　本系统可以对每一条访问进行纪录，纪录方式包括简要纪录、详细记录、发出警告、记费纪录(包括来源、目的地、流量、连接时间、次数等)。

　　系统提供对任何可疑的行为作出实时的告警提示，告警可疑通过可闻可见的的方式发出，也可以通过Email发出信息、发出SNMP告警到网管系统，或者激活一些用户定义的告警方式等等。系统提供的统计系统，是体现系统纪录价值的重要功能。统计功能包括记费统计、使用情况统计、URL访问统计等等。统计结果可以直接通过WWW管理界面输出，或通过网络输出到第三方计费系统。