清网防火墙技术白皮书(TG系列)

in清网防火墙TsingGatein高性能高稳定性的企业级防火墙技术白皮书目录注意 错误！未定义书签TOC\o"1-5"\h\z目录 1一、产品特点 2\o"CurrentDocument"1、技术先进 2\o"CurrentDocument"2、 功能全面 3\o"CurrentDocument"3、 独创的先进设计思想 4\o"CurrentDocument"4、 立体安全防护体系 4\o"CurrentDocument"5、 性能强大 4\o"CurrentDocument"6、 安全稳定 5\o"CurrentDocument"7、 安装、使用、维护方便 5\o"CurrentDocument"8、 最优的性价比 5\o"CurrentDocument"9、 简单实用的使用方式 6二、 性能参数 6\o"CurrentDocument"三、 功能介绍 7\o"CurrentDocument"1、 基于策略的应用层协议控制 7\o"CurrentDocument"2、 访问控制 7\o"CurrentDocument"3、 智能化动态流量控制技术 8\o"CurrentDocument"4、 VPN（虚拟专用网络）及客户端 84.1、客户端 10\o"CurrentDocument"5、 多种防火墙模式 11\o"CurrentDocument"6、 网站过滤和高速缓存功能 12\o"CurrentDocument"6.1网站过滤 126.2高速缓存 13\o"CurrentDocument"7、 独特核心算法的多WAN技术 14\o"CurrentDocument"8、 支持VLAN 14\o"CurrentDocument"9、 地址转换 15\o"CurrentDocument"10、IP地址与MAC地址绑定 15\o"CurrentDocument"11、灵活设置DMZ区 16\o"CurrentDocument"12、防攻击技术 17\o"CurrentDocument"13、集中管理 17\o"CurrentDocument"、实时监控和日志转存 18\o"CurrentDocument"、动态防御功能 18\o"CurrentDocument"、双机热备功能 18\o"CurrentDocument"、第三方接口联动 18四、产品主要功能与优点 19五、功能列表 21一、产品特点清网防火墙采用软硬件一体化设计，在高性能硬件平台上，利用先进的防火墙技术和安全高效的实时操作系统，是一个强大的，集状态包过滤、内容过滤和高速缓存、VPN技术、应用级防火墙、入侵报警等多种安全技术为一体，稳定可靠的高性能网络安全系统。其卓越的性能为规模大、应用复杂、网络环境苛刻的高端用户提供安全、快速、灵活、超值的网络安全解决方案。清网防火墙拥有以下几大特点：1、技术先进独创的内容过滤技术和深包检测技术系统可以对各种类型的数据包进行分析和智能判断，从而做出最佳的正确结论，来控制是否让数据包以最佳最快的方式通过，还是丢弃数据包，或进行数据包的重新定向以作进一步处理。用独创的驻留内存的安全操作系统现在绝对多数的防火墙的主系统是驻留在外存储设备上，如闪存卡或硬盘上。清网防火墙采用的是安全操作系统驻留内存的技术。整个系统在起动前，清网安全操作系统是以压缩包的形式存储到闪存上，当系统起动时，整个安全操作系统会解压到内存的一个区进行运行，充分利用了内存稳定可靠的优点，避免了闪存或硬盘在经过频繁读写的情况下易坏的缺点。因为防火墙属于不间断的安全保护设备，这一点极为重要。与其它产品相比，清网安全操作系统是以最安全最可靠最快速的方式运行的。采用独创的智能数据包调度和派发技术，使数据包以最佳的路径和最短的时间通过安全防护系统。数据包进入防火墙后，系统将根据包的类型作最优的内部路由判断和调度。独特的数据包“标签”技术，保证安全策略的最优查找和以最佳的路由分发。采用独创的、动态的、基于应用层的复杂的应用协议的控制为了提高用户网络中的有效流量的利用率，本防火墙策略中特别添加了“禁止高层应用”功能。MSN、YahooMessenger、ICQ、QQ等即时聊天工具，不但难以管理更会影响工作效率;BitTorrent、Kazaa、Edonkey等点对点传输软件十分占用网络带宽，严重影响网络速度；大量的FTP连接也会消耗过多的网络带宽。通过在对应的策略中引用该功能，就可以限制这些软件的使用，达到节省网络流量，提高工作效率的效果。采用领先的SSLVPN技术SSLVPN使用SSL协议，为使用者和安全网络建立直接连接。SSLVPN传递用户层的认证，确保只有通过公司安全策略认证的用户可以访问指定的资源。SSLVPN虚拟专用网。这是一种新兴的VPN技术，其核心技术是利用在Web上广泛使用的SSL技术在应用层构建针对应用程序的VPN通道，部署成本更低。在网络传输中，使用标准的HTTPS协议，能够提供极其安全的网络隧道，保证数据不会被截获和破解;同时，也不会受NAT和穿越防火墙问题的困扰，任何能连接Internet的方式都可以构建SSLVPN通道。同时，在应用层建立的通道可以防止病毒、蠕虫等经由网络层传输的威胁。在清网防火墙/VPN设备中，采用独特的SSLVPN技术，使用配置方便省力。使用起来稳定可靠，极易支持SPOKE&HUB结构的VPN部署。2、功能全面采用最先进的“全状态检测”技术，防范各种DoS攻击；支持多种上网方式；支持双向NAT网络地址转换、端口映射、DHCP服务器/客户程序;DNS服务器;自动检测攻击并通过E-MAIL机报警；提供详细的系统日志和访问日志管理，防止黑客的攻击和破坏。防火墙动态包过滤能够多种方式设置安全规则，实现灵活方便的访问控制。具有强大的IPSecVPN功能；可以采用168位加密算法，支持数字证书的身份认证方式;兼容其它VPN产品，如CheckPointFirewall-1、CISCOPIX；为企业建立安全、经济的信息通信。支持方便易用的SSLVPN功能，穿透NAT设备性强，易于部署。基于应用层的复杂的应用协议的控制，如对MSN、YahooMessenger、ICQ、QQ、BitTorrent、Kazaa、Edonkey、FTP等协议的控制。清网防火墙支持NAT模式、透明模式（网桥模式）、路由模式和混合模式。支持对网站访问的控制，同时还可以支持网站的高速缓存功能。可以通过域名、IP地址、关键字段和时间段控制任意电脑上网或控制其是否享受某类型Internet服务；提供访问审计日志。采用领先的动态防御与实时监控技术，可实现对防火墙出现异常时的故障定位，以及防止蠕虫发作导致带宽被占满等网络故障。该项技术能够通过以下指标进行实时监控。支持IP地址与MAC地址绑定，可以防止内部IP地址被非法盗用。支持应用服务协议的带宽分配和队列的优先级别设定，保证足够的带宽给重要的网络应用，提高网络利用效率，管理方便，支持动态DNS和UPnP。3、独创的先进设计思想全面面向资源的结构模块化设计，对不同对象的具体组成资源，如文件、安全区域、节点对象、协议类型、应用行为、应用类型、管理端口协议等，直接进行控制，极大的提高了安全性，并保证了配置的方便性。系统按纵向结构进行层次化设计，包括执行层，中心数据库，数据库操纵层，数据及意外处理控制层和应用程序层；系统按横向进行了高度的功能模块化设计使软件结构更为清晰合理。可以缩短开发周期，易于维护和升级，保护用户的投资。4、立体安全防护体系清网防火墙秉承立体防护的理念，防火墙功能实现遭遇网络攻击前安全策略的定制，使用入侵检测功能进行攻击过程中的防范与报警，辅以日志系统完成攻击后的分析。实现事前、事中、事后的全面防护。再通过虚拟专用网功能进一步将安全保护延伸到数据的传输过程。更引入安全评估观念，主动对网络进行模拟攻击，检验整个网络的安全性。良好的升级机制保证了整个安全系统能够随着技术的进步不断增强。概言之，清网防火墙涵盖了整个网络的空间范围和时间范围，从主动及被动多方面进行立体防护，真正实现全面安全。5、性能强大独特的软硬件一体化结构，安全高效的实时操作系统支持10、100/1000MB以太网口支持GBIC光纤/SFP光纤在NAT条件下带宽可以达到100-1000MB防火墙支持的最大并发连接数多达2,000,000VPN最大支持8,000个并发通道，在168位加密算法下最大带宽350MB。6、安全稳定特殊的硬件结构，稳定可靠，满足24X7小时工作的严格要求。基于密码技术的管理员身份认证。用户自定义的DMZ网络隔离接口，从而保证DMZ子网和内网的安全。防范各种黑客攻击，采用先进的黑洞式防御体系。对网络异常以及故障等，进行动态防御和实时监控技术。自动识别攻击并报警。支持IPSecVPN。支持SSLVPN。支持PPTPVPN7、安装、使用、维护方便完全智能的图形化的浏览器管理界面，支持串口、SSH管理方式预置的安全策略详细的事件、安全、流量日志和定制日志管理支持各种宽带上网方式支持大型网络结构8、最优的性价比根据上述需求分析，电信、金融等大中型企业和教育行业需要一款高性价比的防火墙，清网防火墙在研发立项时，便明确提出高性价比的需求。目前，清网千兆防火墙的吞吐量为1000M,完全能够满足绝大多数用户的网络应用；最重要的在于，购买清网防火墙可以大大降低管理成本及风险成本。由于清网防火墙具有安装简易，使用方便的特点，用户无须高薪聘请安全专业人员进行管理维护，节约了相当的人力成本；其次，由于清网防火墙高安全、高稳定性的特点，将不会发生由于防火墙的问题而中断网络，给用户带来经济损失，大大降低了用户的安全风险成本。清网防火墙在同等价位上提供了最全面功能应用和最强劲的处理性能，拥有最佳的性能价格比。9、简单实用的使用方式人性化设计的全中文图形界面，即使非专业人员也能轻松掌握。支持远程管理和集中管理，支持SNMP管理，降低日常维护成本。可切换的路由或桥式接入方式以及新加入的混和接入方式可以轻松配合用户原有的网络环境。在一般情况下，只需在极少的时间就可以完成安全产品的实施，对客户应用的影响可以减少到只需几秒。二、性能参数清网千兆防火墙（以TG-3000系列为例）防火墙单□吞吐率：1000Mbps并发连接数：2,000,000条VPN吞吐量：350MbpsVPN隧道数：8000平均无故障时间：MTBF大于100,000小时艾克斯特公司根据企事业的网络环境和网络特点，设计了处理能力1000Mbps吞吐率，并发连接数2,000,000条的清网千兆防火墙，它完全能够满足企事业对防火墙性能的需求。同时，其采用先进的全状态检测技术，平均无故障时间大于100,000小时，与同类防火墙相比具有高稳定性和高性价比的优势，及时为各级用户提供了适合的防火墙。三、功能介绍1、基于策略的应用层协议控制为了提高用户网络中的有效流量的利用率，本防火墙策略中特别添加了“禁止高层应用”功能。MSN、YahooMessenger、ICQ、QQ等即时聊天工具，不但难以管理更会影响工作效率;BitTorrent、Kazaa、Edonkey等点对点传输软件十分占用网络带宽，严重影响网络速度；大量的FTP连接也会消耗过多的网络带宽。通过在对应的策略中引用该功能，就可以从协议层彻底阻止这些软件的使用，达到节省网络流量，提高工作效率的效果。2、访问控制企业和行业各机构使用防火墙最根本的目的就是进行访问控制，清网防火墙为用户提供了功能强大的访问控制机制，用户可根据自己网络和应用情况灵活使用。清网防火墙可根据多种条件进行访问控制，保护内部网络。例如：根据时间进行访问控制——企业和行业各机构需要根据单位的工作时间设置网络服务的开放时间时，可使用基于时间的访问控制来限制网络的开放程度，从而降低网络风险及运行费用，实现更安全的管理目标;根据源地址、目标地址进行访问控制——用户可通过定义源地址、目标地址的过滤规则把来自非法网络和地址主机或发向受保护主机的数据包拒之门外;根据端口进行访问控制——通过对端口进行限制，可以防止有些黑客通过获取网络控制信息探测网络IP地址与结构信息；根据应用服务进行访问控制——清网千兆防火墙还可以开放对服务器的特定服务（如HTTP、FTP或SMTP等）访问，而拒绝其它应用的请求，使非法访问在到达主机前被拒绝。企业和行业各机构通常需要对一些应用设置访问权限，清网防火墙可以进行访问权限控制。如果要对不同用户登录到主机后所能执行的操作有所限制，如一般的用户只能拥有读数据的权利，而无写的权利，那么一般用户向服务器发出写操作的请求时，清网防火墙就会拒绝该用户的请求。3、智能化动态流量控制技术传统的流量控制在对单个IP进行流量控制时，需要事先指定每个IP地址，这对于大网络将难以实施。清网防火墙采用先进的统计分析技术，自动对所有经过防火墙的IP进行统计分析，无须指定IP地址即可实现针对单个IP的有效控制。采用独创的动态流量控制算法，可以对包括各种流量，尤其是高层复杂协议的流量进行动态智能有效的调节和控制，能根据应用层数据特征动态智能地调解网络流量。当设备接入到网络中，就能自动根据环境进行配置和工作，立即智能地降低“贪婪带宽使用者或程序”的带宽。该技术将显著改善繁忙网络环境中常用服务（如Email,Web服务等）的响应时间,持续下载大文件的用户将被限制使用带宽，除非网络管理员为该用户设置特殊的带宽使用策略。4、VPN（虚拟专用网络）及客户端行业各机构之间进行信息交换时常包含一些商业机密等敏感数据，而这些恰恰是商业间谍和恶意黑客最感兴趣的，他们可以利用电磁泄漏或搭线窃听等多种方式截获机密信息，造成敏感数据的丢失或泄漏。企事业在与合作伙伴进行网上商务信息传输时也存在这种安全问题。目前VPN技术是解决信息安全传输的好办法，它包括加密和鉴别，同时使用IP隧道封装保密的数据。清网防火墙内置功能强大的VPN功能。IPSec采用国际标准安全协议，遵循IPSec（IPSecurity）安全协议，对用户数据提供加密、完整性验证以及身份认证的功能，最大限度的对上层应用提供安全保护。遵循ISAKMP/OAKLEY密钥协商和管理协议，实现安全可靠的密钥分发与管理。VPN设备之间采用基于X.509标准的数字证书进行认证，支持CA认证。PPTP是微软在Windows98中提出的标准，RRAS是在NT4中提出的，RRAS在Windows95的服务包里面。PPTP用PPP（点对点协议）通过Internet提供远程访问服务。SSLVPN使用SSL协议，为使用者和安全网络建立直接连接。SSLVPN传递用户层的认证，确保只有通过公司安全策略认证的用户可以访问指定的资源。SSLVPN虚拟专用网。这是一种新兴的VPN技术，其核心技术是利用在Web上广泛使用的SSL技术在应用层构建针对应用程序的VPN通道，部署成本更低。在网络传输中，使用标准的HTTPS协议，能够提供极其安全的网络隧道，保证数据不会被截获和破解；同时，也不会受NAT和穿越防火墙问题的困扰，任何能连接Internet的方式都可以构建SSLVPN通道。同时，在应用层建立的通道可以防止病毒、蠕虫等经由网络层传输的威胁。清网智能SSLVPN功能是自主版权，拥有SSLVPN独创技术，进行VPN高加密通道的数据传输。SSLVPN，使用配置方便省力。使用起来稳定可靠，极易支持SPOKE&HUB结构的VPN部署。清网防火墙根据用户的这种安全需求，提供了强大的VPN功能，建立加密隧道进行加密通信，形成虚拟专用网在异地局域网间通过互联网提供安全可靠的网络使用环境。在功能上就相当于VPN与防火墙的组合，在硬件上仅为一台设备，用户无须另外添置VPN网关，而且由于是内建的功能支持，功能间的结合更加平滑易用。有了VPN，用户就可以使用一个公共的IP网络（如Internet或其它商业性网络）来完成行业总部、移动工作员工、分支机构、行业内部用户、供应商及商业伙伴等等之间的信息安全传输。清网防火墙IPSecVPN遵循IPSEC协议，对用户数据提供加密、完整性认证、身份认证等功能。其采用DES、3DES加密算法及MD5-1认证算法，加密速度高达230MBPS。VPN功能列表如下图：

1f'IIM

mmTsingGate清网防火墙VPNEnglish保存注销十定文. 1f'IIM

mmTsingGate清网防火墙VPNEnglish保存注销十定文.迁冋络DVPN>证书IPSecIKE提议» IPSecIKE网关IPSec自动IPSec手工SSLVPNPPTP用RF火堵込服务器齐日志配置设置VPN证书证书定义IPSecIKE畏改建立打Sec提议，包括加密算法和认证算法IPSecIKE网关建立打Sec第一阶段本地和远程的网关IPSec自动建立IPSec自动隧道IPSec手工建立IFSec手工隧道SSLVPN建立SSLVF魄道PPTP设置PPTP远程隧道版权所有©1994-2005北京艾克斯特科技股份有限公司4.1、客户端清网VPN客户端是由基于SSL、IPSec协议，实现安全的远程访问的VPN客户端软件。该软件配合清网防火墙TsingGate系列产品，可安装运行在移动用户或企业局域网内的任何一台客户机中，实现安全的远程访问。产品特性：1、 安全地将VPN客户端连接到清网防火墙或应用服务器2、 支持多种工业标准的加密和验证协议3、 为客户端系统提供了集中化管理的个人防火墙和安全配置策略4、 维护自动化产品优点：1、 允许本地和远程用户安全地访问企业网络上的资源2、 与防火墙解决方案和第三方应用程序无缝集成3、 防止对远程用户计算机的未授权访问和侵入4、 将终端用户桌面帮助支持成本降到最低5、多种防火墙模式清网防火墙支持NAT模式、透明模式（网桥模式）、路由模式和混合模式。NAT模式防火墙：全面双向NAT地址转换功能，不仅实现内部网用户访问外部网同时可对外部提供各种应用服务。防火墙支持在内部网和DMZ区的用户使用保留的私有IP地址，通过动态的NAT地址转换功能实现对外部网的访问。防火墙还以两种方式支持反向的NAT：一是静态地址映射，即提供外部地址和内部地址的一对一转换，使内部使用保留私有IP地址的主机既可以访问外部网络，也可以对外部提供服务。另一种是更灵活的方式，可以支持针对服务端口的一对多映射，即内部的多个机器可以通过一个外部有效地址访问外部网络或者对外提供网络服务，同时内部的多台机器可以分别映射到该地址的若干个端口，通过这些端口对外部提供服务。这种NAT转换可以更有效地利用IP地址资源，并且提供更好的安全性。网桥模式下的无IP透明防火墙。网桥模式下的防火墙工作于透明桥结构之上，实现于数据链路层，因此无需IP地址；无IP的防火墙则没有任何被攻击的目标，保证了防火墙自身的绝对安全，也正因为此道防线永不被攻破，进而也保证了内部网络的安全。此模式的另一个特点是不用改动已建好的网络结构。路由模式的防火墙：让防火墙充当路由器的功能但是仍具有防火墙的一切安全保护功能。混合模式的防火墙:既可以是网桥模式下的隐形防火墙也可以是路由或NAT模式下的网关防火墙。用户可以根据实际应用灵活设置自身的工作模式，当防火墙保护的网络对象与它的外部网络处于同一个子网时可以将防火墙设置为网桥模式，如果处于不同的子网环境可将防火墙设置为路由模式。如果内网是私有IP网络，将防火墙设置为NAT模式。可以将防火墙的两个内口设置为透明模式，然后这两个口与其它口设为路由模式或NAT模式。清网防火墙混合全模式的支持可以使用户根据自己的网络拓扑结构进行灵活的设置。十系姣+做王阿络VPN0防火墙十系姣+做王阿络VPN0防火墙Pk保护绑定MACIPURL过涛UPnP巌务器t状态7日者第1页"共1页r序号 从到协议 操作时刻表QoS日志禁用 更改□°(TEST)Internet(IPSEC)Any允许（双向）AlldefaultV-1編辑1厂i(SALES)Internet(adsl)Any.SNAT（使用接口IP）Alldefault¥-1編辑1添加删除策略English保存注销觀艾克斯檜清网防火墙版权所有©1994-2005：!匕京艾克斯特科技股份有限公司防火墙策略功能图示6、网站过滤和高速缓存功能6.1网站过滤对网站访问进行控制，同时还可以支持网站的高速缓存功能。能够有效地对以下几种情况进行访问控制管理：利用“黑名单”指定不允许访问的网络地址，“未被禁止的就是允许的”利用“白名单”指定允许访问的网络地址，“未被允许的就是禁止的”利用“禁止URL”指定不允许访问的WWW网址。有些网络地址提供非法信息，是严格禁止访问的，利用黑名单来明确禁止对这些地址的访问。通过“白名单”来指定只允许访问有限的几个网络地址，其它地址均不允许访问。对于提供如色情、反动等非法信息的网络站点，通过“禁止URL”来禁止对这些站点的访问，另外通过对内部网的WWW服务器的某些URL屏蔽，可以消除服务器本身的安全漏洞，从而对WWW服务器进行保护。防火墙按照安全规则对每一个数据包的包头信息进行过滤，将获得数据包网络地址与“黑、白名单”中指定的网络地址进行比较，以判断其合法性。如果合法允许通过，否则拒绝通过。此功能可以使用户对指定的网络地址进行有针对性的访问控制，使网络安全规则更加方便灵活、安全可靠。l!II~1cnmTsingGate清网防火墙url过ie勞l!II~1cnmTsingGate清网防火墙url过ie勞系统四定义社冋络7VPND陆火暗»策略»保护绑定MACIPURL过滤,UPnP设置 类别内建厂使用全部允许17使用English保有注销列表应用t状态t状态十日志版枳所有©1994-2005北京艾克斯特科技股份有限公司防火墙URL过滤功能图示6.2高速缓存高速缓存，就是将可能进一步使用或重复使用的内容缓存在相对高速的介质Cache里，当有相同的请求时，直接在Cache中提取，从而达到提高响应性能、减少带宽压力的目的。我们这里配置的就是在WWW访问使用这种技术的WWWCache。计算机的Cache是基于计算机指令执行的过程中很高的重复性而形成的，CPU—般在处理器芯片上使用Cache来访问最近使用过的数据。WWWCache的实现原理也同样如此。当一个用户想访问某一站点的内容时，会发出一个HTTP请求到DNS服务器获得域名解析后的IP地址，然后通过这个IP地址到Web服务器上获取站点的内容；而第二个用户如果访问的是同一个站点的内容，仍然需要到DNS服务器获得此站点的IP地址后再到Web服务器上获取内容。可见，两次访问所经历的过程是重复的。使用WWWCache后，访问Internet的过程就有所不同了。WWWCache存储最近访问过的信息，它实时监视Web对象请求，并加以解析提取，接着将这些信息存储起来。当有相同对象请求时，这些用户的后续请求将由本地WWWCache来提供服务，而无需由初始Web服务器提供。可见，WWWCache的最大优势在于大大提高用户的访问速度。

WWWCache的技术特性主要体现在Internet加速（正向代理）、透明代理和Web服务器加速（反向代理）3种工作方式上，本产品使用的是透明代理的方式。防火墙缓存功能图示清网防火墙高速缓存功能配置如图：防火墙缓存功能图示清网防火墙高速缓存功能配置如图：7、独特核心算法的多WAN技术通过我公司独特的智能多WAN核心算法，可在已有多WAN口的功能基础上支持多WAN口之间的负载平衡、HA、和VPN聚合功能。从而有效满足越来越多的一个设备支持两个或多个外线的应用需求。多个WAN口的宽带，通过多条进线带宽就增加；当其中一条线路出现故障时，整个网络仍然可以通过其他线路正常上网，运用多WAN的故障转移和链路的负载均衡。从而提高网络的可靠性和增大网络的流量。8、支持VLANVLAN是VirtualLocalAreaNetwork的缩写，即虚拟局域网的意思。它是一个在物理网络上根据用途、工作组、应用等来逻辑划分的局域网络，是一个广播域，与用户的物理位置没有关系。交换机划分VLAN后，每一个VLAN都是一个独立的广播域，相同VLAN内的主机仍然以传统交换方式通信，感觉不到VLAN的存在，但不同VLAN中的主机不可以直接通信,必须通过路由器转发数据包。这样，通过划分VLAN，可以把数据交换限制在各个虚拟网的范围内，从而减少整个网络范围内广播包的传输，提高了网络的传输效率；同时各虚拟网之间必须通过路由器转发，起到了隔离端口的作用，增强了网络的安全性。由于VLAN可以充分利用网络资源，因而显著降低了设备成本。VLAN的适用性很广，在数据交换较频繁或对网络安全性有要求的环境均可适用，如：在智能小区、校园、企业等应用环境，使用VLAN功能可使不同VLAN间的机器不能互相访问，可为网络安全控制提供良好保障；在游戏厅、大中型企业等环境，使用VLAN可大大减少网络中不必要的数据交换的数量，杜绝广播风暴，提升网络传输性能。清网防火墙全面支持VLAN技术，用户可以通过防火墙进行VLAN设备的配置和管理。9、地址转换企业和行业各机构的内部网一般都使用保留IP地址，在与公网进行信息传输时保留IP地址不能被公网识别，须把通过防火墙进行访问的分组报文的源地址或是目的地址转换成公网识别的全局IP地址。因此，清网防火墙提供了网络地址转换功能：支持多对一，及多对多方式，支持地址映射NAT及端口映射MAP。网络地址转换技术使黑客无法通过网络地址信息分析出内网的结构，从而达到隐藏网络拓扑结构的安全目的。同时，网络地址转换通过将内部网主机共用一个公网地址的方法，有效地解决了全局IP地址匮乏的问题。对于企业和行业各机构的用户在使用清网防火墙的地址转换功能时，可根据网络需要灵活配置。当内部网用户需要对外访问时，防火墙将访问用户的内部地址转化为防火墙外口公共地址；Internet用户对内部网络中具有保留IP地址的主机访问时，可使内部网络主机保留IP地址映射到防火墙的全局IP地址，这样Internet用户就可通过防火墙访问该主机了。如果进行端口映射，可以通过防火墙的全局IP地址的不同端口映射到多个内部网保留IP地址主机。10、IP地址与MAC地址绑定该功能可以防止内部ip地址被非法盗用。每一块网卡都具有一个唯一标识号码，也就是指网卡的MAC地址，每一个网卡的MAC地址都是同网卡一一对应。防火墙提供将内部网络中的主机IP地址同它的MAC地址进行绑定的功能，这样在防火墙内部就建立了网卡的IP地址同网卡的MAC地址一一对应的关系，因此通过防火墙就实现了IP地址同网卡的MAC地址的绑定。通过绑定功能即使盗用IP地址，也因IP地址与MAC地址不匹配而盗用失败。在网络管理中IP地址盗用现象经常发生，不仅对网络的正常使用造成影响，同时由于被盗用的地址往往具有较高的权限，因而也对用户造成了大量的经济损失和潜在的安全隐患。防火

墙的IP/MAC地址绑定功能可以很好地解决这一问题，通过与硬件物理地址的绑定，使盗用的IP地址无法通过防火墙系统。绑定MACIP龟7艾克斯称绑定MACIP清网防火墙第1页.共1页厂IP地址MAC1A址使用第1页.共1页厂IP地址MAC1A址使用更改n500：0A：EB：0A：2D:8D零1編辑1000:OA：EB：27：74：E8否1編辑1厂0OO：14：2A：1E：79：F1否1编辑1厂使用阿AC-IP鄭定应用自动MAC-IP搜素刷新添加删除綁定未绑定版权所有©1994£。05北京艾克斯特科技股份有限公司绑定MACIP功能图示11、灵活设置DMZ区一般网络系统均包括应用服务器、内部办公网等子网环境，应用服务器由于需要对外提供各种应用服务，同时进行大量的信息交流，在这种情况下应用服务器非常容易受到外部的攻击、破坏。内部网是系统的核心子网，严格控制来自外部的访问，而应用服务器所处的DMZ区子网是一个比较危险的子网环境，因此为适应越来越多的用户要求严格保护内部子网同时要保护应用服务器的需要，清网防火墙采用分别保护的策略，即把对外服务器作为一个独立网络（DMZ区）处理，与内部子网完全隔离。DMZ区与外部网之间有防火墙保护，DMZ区与内部网之间也有防火墙的保护，即使DMZ区受到外部攻击，内部网络仍会处于防火墙的保护之下。由于设立了DMZ区，避免了由于对外提供服务带来的安全隐患，使内部网络绝对安全。如果不设立DMZ区，攻击者就可以通过侵入到内部网络的服务器，进而破坏整个内部网络。清网防火墙所提供的通讯端口可以根据用户的需要灵活设置，即在用户不需要建立DMZ区时，可以设置为其他类型的通讯入口或出口，例如将DMZ通讯端口设置为内网端口或者外网端口等。12、防攻击技术黑客们的攻击行动是无时无刻不在进行的，而且会利用一切可能利用的机会。常见的黑客攻击方式有SYNFlooding、拒绝服务攻击、源路由攻击、扫描攻击等等，这些攻击不需要很高的计算机技术，只须会使用相应的攻击软件即可，因此，这些攻击是网上最多最常见的黑客行为，也是中小型企事业和行业分支机构必须随时防御的对网络的攻击行为。清网千兆防火墙能够检测到对网络或内部主机的所有TCP/UDP扫描和多种常见的攻击，并对攻击行为进行响应和阻断。防火墙保护功能图示13、集中管理根据美国财经杂志统计资料表明，30%的入侵发生在有防火墙的情况下，这些入侵的主要原因并非是防火墙无用，而是由于一般的防火墙的管理及配置相当复杂，要想成功的维护防火墙，要求防火墙管理员对网络安全攻击的手段及其与系统配置的关系相当了解，而且防火墙的安全策略无法进行集中管理，这些都造成了网络安全的失败。清网防火墙采用基于Windows的Web用户界面进行远程集中式管理，界面友好、方便、直观、不需要专业知识易于操作。可以通过一个控制机对多台清网防火墙进行集中式的管理。14、实时监控和日志转存管理员可以通过控制界面对防火墙进行实时的控制和调整，可以对网络间的异常IP监控对其策略和工作方式。管理员可以将日志保存起来，供以后分析使用，由于清网防火墙每天都会记录大量的日志信息，而且一些日志记录是非常有用的信息，因此清网防火墙的日志监视系统可以将服务器上面的日志下载到管理员的机器上面，管理员可以对它进行编辑和保存。15、动态防御功能蠕虫病毒广泛存在于各种大大小小的网络中，当蠕虫病毒发作时，其通常对某个特定的网段进行扫描，通过扫描搜集被扫描机器的特征及可能存在的漏洞，搜集完信息后再将自身传染给存在安全漏洞的机器。蠕虫病毒的扫描报文对防火墙而言就是新建连接报文，通过对每个IP的新建连接数进行统计与监控，就可识别出中毒机器，通过设定每个IP的连接速率就可以大大减少蠕虫病毒所占用的出口带宽以及大大降低所占用的防火墙系统资源。全面的异常监控功能通过内置的流量排名、连接速率排名、状态表查询、流量异常监控、连接速率异常监控、IP冲突检测等全面的故障诊断手段，为系统管理员提供了快速准确的网络故障定位功能。16、双机热备功能清网千兆防火墙，支持双机热备份技术，意外发生时，两机切换时间不超过2秒钟。17、第三方接口联动清网防火墙，不仅支持主流厂家的IDS产品联动，还支持与清网现有的内网安全产品联动，达到真正意义上的立体防御。

功能描述优点集中管理可通过web集中管理两台防火墙方便管理员户对防火墙的管理状态检测包过滤按照用户的安全策略对流经防火墙的报文进行监控可以限制访问的服务，限制访问者，防止攻击地址转换（NAT）将所有出防火墙报文的源地址替换为地址池中的IP地址。解决了企业IP地址不足的问题，隐藏内部网络分布端口映射将内部服务器映射到外网卡的不同端口隐藏了内部服务器的分布情况防攻击技术优化TCP/IP内核，防止攻击有效防范黑客的攻击，保证网络和服务的正常运行。VLAN技术通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组减少网络中不必要的数据交换的数量，杜绝广播风暴，提升网络传输性能多WAN口技术可接多条进线，各条进线的带宽可以不同，运营商也可以不同。一个设备支持两个或多个外线的应用.运用多WAN的故障转移和链路的负载均衡IP、MAC地址绑定建立IP地址与MAC地址的绑定。防止伪造IP动态防御对各种蠕虫的动态防御，动态诊断网络异常情况并报警：某个用户流量异常，ip地址冲突等等多种异常现象，并分析记录异常，故障定位。动态防止各种病毒的传播和网络攻击。实时监控对网络通过防火墙系统所有当前流量、新建连接速率以及连接数进行实时监控。实时对网络进行监控流量控制功能可针对每个用户做流量控