扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
一.应用方案
如下图所示:
二.主要功能特点
1.软、硬件一体化的结构
防火墙对于用户来说,只是一个类似路由器的硬件设备,整体系统采用黑盒设计,防火墙系统与硬件紧密结合,发挥硬件最高效能,减少由于操作系统问题而产生网络漏洞的可能,提高系统自身安全性。
2.独特的第四网络接口(对内服务器群)
蓝盾防火墙防内版拥有四个网络接口,专门开辟了第四区间——对内服务区,将原来安装在内部网络中一些重要的服务器集中联入本区域,此区域与第三区域不同。对于第三区域,内网、外网都能访问;对于第四区域,只开放给内网某一部分IP访问,外网无法访问。这样构成的系统,既可“防外”又可“防内”,彻底解决了一般防火墙只能“防外”不能“防内”的不足。
3.NAT方式节省网络地址资源
对于一个小型网络来说,申请的IP地址不会太多,如果网络中的每一台设备都需要一个IP地址,会造成IP地址的严重不足。蓝盾防火墙提供的网络地址转换(Network Address Translation)功能不仅可以隐藏内部网络地址信息,使外界无直接访问内部网络设备,同时,它还帮助网络可以超越地址的限制,合理地安排网络中上公用Internet 地址和私有地址的内部网用户顺利的访问Internet 的信息资源,不但不会造成任何网络应用的阻碍,同时还可以节省大量的网络地址资源。
4.高性能的系统核心
现在商业操作平台如Win98、NT、UNIX、LINUX存在着不少漏洞,不断被黑客在互联网上公开、传播,作为攻击的目标。蓝盾安全小组从底层做起,自行开发出一套防火墙专用安全平台,对与流量关系密切的模块进行优化处理,做到高安全性、高稳定性和高效率。本系统核心专门为TCP/IP及Firewall而设计,能大大提升系统性能。例如IP Checksum部分由汇编语言编写,比同类系统性能提高20%-60%。
5.灵活的WWW端口
控制通过系统的8887端口,可进入WWW设置管理界面,进行安全规则和其它功能的设定。为了进一步加强防火墙自身的安全性,避免其它人员打开8887端口,猜测密码,我们在系统内核中增加了一个端口控制层,通过BDKEY控制软件,可自由打开或关闭8887端口。
6.提供第三区域
除了内部网络界面和外部网络界面,系统还增加一个网络界面,让管理员灵活应用。如建立DMZ(Demilitarized Zone),在其中放置代理服务器或公共应用服务器。
7.支持多种标准服务
目前,能够支持哪些传输标准是评价一个防火墙系统的重要指标之一,蓝盾防火墙系统支持95种通信协议和730种应用服务,包括WWW、FTP、POP3、数据库服务、多媒体服务、Microsoft网络服务等等。用户不必担心使用了防火墙后出现某些服务失效的副作用。
8.美观易用的界面
系统设有基于WWW的管理界面,管理员可以通过由HTML、Java applet组成的图形界面对系统进行管理。把复杂繁多的系统功能设置变为直观易用的WWW界面,大大降低了对网络管理员的高要求,提高了系统的易用性。9.物理断开功能系统具有独特的物理断开功能,在每个网络接口中都内置有物理开关模块。在某些特殊情况下,网络管理员可以通过网络对其强行断开,立即中止该接口数据传输。
三.功能模块
1.智能防御模块
系统自动统计、分析通过防火墙的各种连接数据,探测出攻击者,立即断开与该主机的任何连接,并采取将其IP地址列入黑名单等措施,保护内网所有主机的安全。
2.自动反扫描模块
扫描是黑客攻击的前奏,攻击前,黑客一般会先扫描一下目标主机打开的服务端口,然后再进行针对性攻击。本系统在内核设计中引入自动反扫描机制,以最快的速度发现扫描器,即时断开其连接,并将该IP地址列入黑名单,在一定时间(约10分钟)内,该主机无法再对防火墙系统和防火墙保护的内网进行任何访问。
3.双向网络地址转换模块
内部网络用户一般没有合法的Internet IP地址(Registered IP Address),不能直接对外部网络进行访问,这可以通过网络地址转换系统得到完满的解决。当用户需要对外访问时,蓝盾防火墙系统将会从IP池中的IP动态分配给用户,使用户得到合法的IP地址与外部访问。端口地址转换(Port Address Translation)可以扩展公司可使用的Internet IP,用户的访问将会映射到IP池中IP的一个端口上去,这使每个合法Internet IP可以映射六万多个内部网主机,并发访问为16384条。如果企业希望内部网络中的服务器可以让Internet用户访问的话,可以利用反向NAT(R-NAT)或反向PAT(R-PAT)系统,为内部网络服务器作静态地址和端口映射,这样Internet用户就可以通过本防火墙系统直接访问该服务器了。我们的网络地址转换系统支持九十多种通信协议(包括IGMP、ICMP、TCP、UDP等)和七百多种TCP/UDP服务,其中主要包括:l 常用服务:HTTP、FTP、SMTP、NNTP、TELNET、ECHO、FINGER、SYSTAT、DYATIME、DNS、TFTP、GOPHER、POP3、RTELNET、RLOGIN、CISCO-SYS、SNMP、IRC、IMAP4、UUCP等。l 数据库服务:Oracle SQL*NET、SQL-NET、ODBC、SQLSRV、SQLSERV等,用户可以通过防火墙进行数据库操作。l 多媒体流:Progressive Networks RealAudio、Xing Technologies Streamworks、 White Pines CuSeeMe、Vocal Tec Internet Phone、VDOnet VDOLive、 Microsoft NetShow、Vxtreme Web Theater 2 等。支持H.323应用,包括Intel Internet Video Phone、Microsoft Netmeeting 等。l NetBios、RPC:Microsoft Network 可以通过本防火墙系统进行通信。同时支持Remote Procedure Call。使用Windows、Windows NT的网络系统也可以采用本系统作为保护企业数据的防火墙。如果用户有需要,可以自己定义所需的服务。
通过NAT和PAT的结合,巧妙的建立了连接Intranet和Internet的桥梁,蓝盾防火墙系统将守护着这栋桥梁。
4. WWW端口控制模块
通过防火墙的8887端口,可进入防火墙的设置管理界面,进行安全规则和其它功能的设定。为了进一步加强防火墙自身的安全性,避免其它人员打开8887端口,猜测密码,我们在系统的内核中增加了一个端口控制层,通过BDKEY控制软件,可自由打开或关闭8887端口,并达到如下目标:1、只有用户名/密码验证正确的管理人员,才能使用BDKEY软件。2、通过BDKEY向防火墙发送启动端口(8887)控制命令后,防火墙会自动绑定管理员主机IP,只有该IP才可以进入8887端口。3、防火墙会自动验证管理员在BDKEY中填写的主机IP地址。4、管理人员设置完毕后,可关闭8887端口。
5.物理断开模块
本系统的三个网络硬件接口中,都内置一个物理开关模块,通过设置,可断开任一网络接口的联接,即时中止该网络接口的任何通信,这样,在某些特殊环境下,可进一步提高系统的安全性。
6. MAC绑定模块
为了防止IP欺骗、地址伪装,本系统提供“MAC绑定”功能。它可以将IP地址和网卡的硬件地址绑定起来,主要用于绑定一些重要的管理员IP和授权IP。
7.实时报警和纪录安全分析模块
本系统提供实时报警功能,对于端口扫描和其它网络攻击,纪录系统会即时发出警报,提醒管理人员。
本系统可以对每一条访问进行纪录,纪录方式包括简要纪录、详细记录、发出警告、记费纪录(包括来源、目的地、流量、连接时间、次数等)。
系统提供对任何可疑的行为作出实时的告警提示,告警可疑通过可闻可见的的方式发出,也可以通过Email发出信息、发出SNMP告警到网管系统,或者激活一些用户定义的告警方式等等。系统提供的统计系统,是体现系统纪录价值的重要功能。统计功能包括记费统计、使用情况统计、URL访问统计等等。统计结果可以直接通过WWW管理界面输出,或通过网络输出到第三方计费系统。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。