曙光防火墙“大显身手”证监会

近日，曙光天罗防火墙成功入驻中国证券监督管理委员会宁夏监管局。宁夏监管局原有防火墙由于产品老化、版本老旧等问题，严重影响到了网络的正常使用，急需新产品替代。要求新防火墙具备全面功能的同时，还需要对内部网络的用户通信进行限制。曙光天罗防火墙凭借全面的功能和出色的性能，顺利完成了这次任务。

多重挑战  轻松应对

中国证监会宁夏监管局成立于1999年7月，其前身是1993年经宁夏回族自治区人民政府批准成立的“宁夏证券委员会”。 根据中国证监会的授权，宁夏证监局的主要职责是：贯彻执行国家有关法律、法规和方针政策，严格按照证监会《派出机构监管工作职责》，做好辖区内的一线监管工作，完成证监会系统的协作监管任务。
作为中国证监会派出机构，宁夏证监局负责辖区内证券行业的监管任务，这类较为敏感的行业很容易成为网络攻击的目标。同时，在内部网络中存放了大量的关键数据，这些数据更是不容有一丝闪失，否则后果不堪设想。因此，宁夏证监局的网络建设中对网络安全设备有着极高的要求。

另一方面，宁夏监管局原有防火墙由于产品老化、版本老旧等问题，严重影响到了网络的正常使用。同时随着监管局网络建设的发展，在网络的使用中也出现了一些具体的问题，如ARP欺骗、BT下载、访问控制等问题。

这所有的问题如何解决？如何保障网络的有效使用？曙光天罗防火墙全面的功能使得所有的问题迎刃而解。且看曙光天罗防火墙如何“小试身手”，将多重挑战一一化解：

中国证监会宁夏监管局拓扑图

1.安全隔离防护

通过防火墙SNAT设置以及一系列规则的配合，隐藏网络的内部结构，在内部网络以及互联网之间建立起一道可靠的屏障。这就使得所有对内部网络进行访问的信息，不是直接到达到达内部网络，而是必须与防火墙的规则进行匹配，合乎要求的才能对内部网络进行访问。同时，大大提高了整个网络的安全系数，从根本上保证了网络的安全。

2.抗ARP欺骗

ARP欺骗是目前网络中经常出现的问题，虽然其攻击原理并不复杂，但在实际的处理过程中，却有很大的难度。曙光天罗防火墙提供IP/MAC绑定功能再加上用户管理方面的配合很好的解决了这个问题。更值得一提的是曙光天罗防火墙支持局域网MAC扫描、IP/MAC地址绑定功能，并且具备MAC的自动学习功能，这很大程度上方便了用户的使用。

3.P2P下载限制

用户内部网络中的P2P下载是一个让用户很头疼的问题，P2P的下载方式大量的占用带宽，严重影响了网络中其他用户的正常使用。曙光天罗防火墙的深度过滤功能支持支持对最新版本的MSN、QQ等即时消息（IM）工具进行拦截、封堵；支持对可根据策略控制类似电驴、BT之类的P2P通讯，保障网络资源的有效利用。同时加以规则的配合，很好的降低了P2P下载对网络的影响。

4.网络访问控制

在用户使用网络的过程中，关键的服务器是不允许用户随意进行访问的。这就要求对用户通过网络进行的访问进行控制，曙光天罗防火墙灵活的过滤规则设置，完全满足了用户的需求。

5.用户流量控制

我们知道，一个单位的出口带宽是固定的，为了保证网络中用户对网络的正常使用，需要对带宽进行分配：在保证重要服务器带宽的同时，合理对用户流量进行控制。曙光天罗防火墙多达八个优先级的流量控制功能，可以根据不同的协议、源/目的端口和源/目的地址（段）、时间六元组的任意组合进行控制，完全满足了用户的需求，甚至超出了用户的预期。

正是由于曙光天罗防火墙全面的功能，使得具体的实施过程异常顺利，当用户所面临的问题被一一解开时，用户也由开始的担心到最后露出舒心的微笑，这是对曙光天罗系列安全产品最大的肯定。不仅如此，曙光天罗防火墙全面的功能以及高性能的硬件平台，更是为用户以后网络的升级做好了准备。现在，曙光天罗防火墙正在中国证监会宁夏监管局持续稳定的运行，为网络保驾护航。

“多面手”  八面玲珑

曙光天罗防火墙在中国证监会宁夏监管局“大显身手”，得到了用户的青睐，有目共睹。可说是“多面手”，也许有些人会认为还差了那么一点。其实不然，说曙光天罗防火墙 “多面手”，实在是不过分。您要不相信，我就跟您说一说：

曙光天罗防火墙的功能可以大致划分为基本功能、QOS（流量控制）、VPN（虚拟专网）、高可用功能、安全功能、日志功能、管理功能这几大块。其中每一大块中都包含几项到十几项不同的功能。其实在中国证监会宁夏监管局的应用，只是其中的一部分功能。如何，这样说来，“多面手”一说并为过吧？

您要是还觉得不够，那就再给您亮几招：

QOS（流量控制）及网络管理功能

多达八个优先级的流量控制功能，可以根据不同的协议、源/目的端口和源/目的地址（段）、时间六元组的任意组合进行控制；

安全策略与带宽管理结合，在设置安全策略时，即可一并设置带宽/流量管理策略，方便、灵活；

支持流量配额、计费功能及优先级设定；

能够察看网络内部所有主机的运行状况，网络异常时，能够查找网络内部所有异常主机。
 
Vpn（虚拟专网）

支持网关－网关的VPN方式，支持IPsec和IKE，支持集中统一的证书管理（可由安全管理中心统一产生、分发证书）；

支持3DES、DES等加密算法，支持标准MD5、SHA-1认证算法；

支持网关－网关、客户端—网关的VPN方式；
 
支持隧道的NAT穿越，支持对隧道内明文的访问控制及ADSL拨号状态下的VPN功能。

高可用功能

支持多台防火墙主机的集群；

支持双机热备，支持主从、主主两种模式，防火墙切换时间小于1秒；

支持防火墙间均衡和服务器均衡；服务器支持多种算法：权重、最小连接等；
 
实现接口物理链路的线路冗余备份。

怎么样，现在曙光天罗防火墙这个“多面手”是不是让你刮目相看呢？现在，曙光天罗防火墙凭借着全面的功能和卓越的性能得到了越来越多用户的认可，曙光天罗防火墙正在成为安全产品市场上一支迅速崛起的力量。