安胜高保障防火墙V1.0白皮书.doc

-AssuranceFirewallWhitePaperVPNVersion北京中科安胜信息技术有限公司2003年10月目录一、序言 二二、 三三、 三标配型号 三系统软件组成 三标准配置防火墙硬件设备指标 四标准配置防火墙性能指标 五执行标准 五三、 五1、安全的底座——安胜安全操作系统 五2、高稳定性和高可靠性——完全硬件化设计 六3、高运行效率——状态检测技术和先进规则匹配算法 六4、方便的使用模式——灵活的认证技术 六5、人性化管理人机界面——中文界面和多种管理模式 六6、准确、及时的报警功能——防火墙本机系统和网络报警 六7、详细完备的记录——提供详细完备的审计记录 七8、安全可靠的VPN模块——可以动态加载或卸载 七四、防火墙功能详细说明 七1、包过滤状态检测工作方式 七2、灵活的规则匹配方式 七3、透明防火墙 八4、VPN功能 八6、详细的应用层过滤 八7、MAC地址过滤和绑定 八9、审计记录查询 九四、VPN解决方案 九一、序言随着电子商务的出现,相连接。许多使用Web服务或者更先进技术的人们不禁要问,我们的网络为什么会有这么多的安全漏洞?的发展历史。的支持协议TCP/IP【1-1;1-5】最早出现在1979年,当时它的主要设计目的是为通过网关连接的网络提供可靠的服务。在那个时期,由于网络的规模较小,在网络上的人们相认识,安全不是大家最关心的问题。发展到了今天,当时构造这些网络的技术仍旧使用,而这些技术包含了许多不安全的部分。由于大量的攻击被报告出来,所以安全问题成为私有网络的主要关注对象之一,也是电子商务发展的制约因素。怎样才能提供安全的网络服务呢?一般的,网络管理者制订安全策略,考虑安全需求,。到目前为止,实现这些功能的最基本的安全设备便是防火墙。下面我们首先看看防火墙的定义。 防火墙是用来在安全私有网络(可信任网络)和外部不可信任网络之间安全连接的一个设备或一组设备,作为私有网络和外部网络之间连接的单点存在。旧有防火墙存在的缺点:包过滤防火墙由于包过滤是发生在IP层,只是根据IP头的内容来对IP包处理,只能利用部分基本信息来进行处理,使得安全处理所依靠的信息过于简单;包过滤是一个无状态的概念,不能根据通讯的上下文或应用的上下文来进行过滤;同时难于配置,监视和审计,具有极弱的包信息处理能力。应用代理防火墙应用代理发生在应用层,它最大的优点是有状态的,它能够利用扩展信息中的由应用程序产生的信息和由部分由通讯上下文产生的状态,具有部分的信息处理能力。但是其弱点是显而易见的:受限的连接:由于不是每一个服务都需要一个代理,所以其具有不易扩展性技术限制:不能提供UDP/RPC这样的服务的代理功能性能低下:由于所有的实现都发生在应用层,所以相对性能较低。同时,它将操作系统和应用层的bug暴露出来。已有的防火墙解决方案的弱点:已有的防火墙类型都是早期的网络安全需求的基础之上产生的,它考虑的主要对象是单个的子网,而现在,技术,企业整个网络的安全需求与策略是统一管理,所以只依靠包过滤路由器或者堡垒主机来解决安全问题已经是不可能,它应当和策略管理,授权,认证,用户管理等等结合起来。而防火墙是安