神州数码DC-FW v3.1高性能防火墙技术白皮书北京神州数码有限公司2007年8月目录一、序言 (2)二、神码安全DC-FW v3.1高性能防火墙概述 (3)三、神码安全DC-FW v3.1高性能防火墙技术特色 (3)3.1 专用安全操作系统 (3)3.2 纯硬件架构 (3)3.3 状态检测技术、核检测技术以及入侵模式匹配监测 (3)3.4 深度的内容检测、强大的P2P拦截功能 (3)3.5 严格的访问控制策略 (4)3.6 危险网站阻隔 (4)3.7 敏感数据拦截 (5)3.8 强大的QOS、丰富的日志报表功能 (5)3.9 访问跟踪、审计 (5)3.10 防止DOS攻击 (5)3.11 强大的VPN功能 (6)3.12 支持VOIP (6)3.13 桥式防火墙 (7)3.14 强大的审计功能 (7)四、DC-FW v3.1 技术参数指标 (7)一、序言随着网络的发展和Internet的广泛应用，当今的网络安全威胁已经由原来的针对TCP/IP 协议本身弱点的攻击转向针对特定系统和应用漏洞的攻击和入侵。

回顾2004年，以冲击波、震荡波、安哥Bot、MyDoom等蠕虫与木马病毒为主的网络化病毒，加上利用网络协议及应用漏洞进行攻击与入侵行为，给全球企业造成了巨大的损失。

据统计，仅2004年，病毒等恶意程序就给全球造成了1690亿美元的经济损失。

此时，传统的防火墙已经显得无能为力。

例如针对Windows系统和Oracle/SQL Server 等数据库的攻击，这些攻击和入侵手段封装在TCP/IP协议的有效载荷部分。

传统的防火墙由于只查TCP/IP协议包头部分而不检查数据包的内容，所以无法检测出此类攻击。

基于网络传播的病毒及间谍软件给互联网用户造成了巨大的损失，层出不穷的即时消息和P2P应用（例如MSN、QQ、BT等）给企业带来许多安全威胁并降低员工的工作效率。

传统的防火墙设备在面对这些复合型的安全威胁时，已经不能满足客户的安全需求。

防火墙设备包括防火墙，VPN，IPS等多种功能。

已经成为网络安全产品的一个发展方向。

面对着这些日益严重的复合型安全威胁时，企业往往为了完整的保护内部IT资源，需要投资购买大量的设备，包括VPN，防火墙，IDS，网络监控设备等多种设备。

神码安全高性能防火墙集所有这些安全功能于一身，一台设备就能提供完整的安全解决方案，省去了购买众多冗余设备的成本与维护成本。

神码安全高性能防火墙内置神码安全的领先VPN技术，拥有神码安全高性能防火墙VPN的所有强大功能。

除此之外，神码安全高性能防火墙防火墙拥有高效的IPS(入侵防御系统)功能，能有效识别和抵御多种攻击，更大范围的保护了企业连接到Internet的安全。

为保证企业合理使用Internet资源，防止企业信息资产泄漏，神码安全高性能防火墙提供了完善的访问控制功能。

通过合理设置访问权限，杜绝了对不良网站和危险资源的访问，防止了P2P软件对企业网络带来的安全风险。

通过带宽管理和访问跟踪技术，能有效防止对Internet资源的滥用。

神码安全高性能防火墙安全审计功能更为防止保密信息泄漏提供了最有效的保证。

二、神码安全DC-FW v3.1高性能防火墙概述神码安全高性能防火墙采用基于神州数码安全操作系统，采用状态检测技术，提供流量流速控制，能够完成负载均衡功能。

神码安全高性能防火墙能够达到企业级应用要求，在安全性、稳定性和使用便利性达到完美的组合。

三、神码安全DC-FW v3.1高性能防火墙技术特色3.1 专用安全操作系统神码安全高性能防火墙采用神码安全公司自主研发，达到国家操作系统标准三级全部要求，部分达到四级标准。

较之一般的防火墙底座，神码安全防火墙能够提供更多安全保障。

针对神码安全防火墙，在保留神码安全操作系统安全特性的前提下，还对操作系统进行了裁剪，使得防火墙在神码安全操作系统中达到最优的性能。

细粒度存取控制——采用列表存取控制技术和强制存取控制技术。

强制存取控制定义了粒度更为细的存取控制关系——用户与所执行的操作以及访问对象之间的存取关系，比如可以定义一个用户只读某一URI指定的资源。

3.2 纯硬件架构由于采用完全硬件化设计，系统采用NP架构，没有机械元件，没有硬盘故障问题，系统的可靠性更高。

3.3 状态检测技术、核检测技术以及入侵模式匹配监测状态检测技术——对所有的经过的IP包的各协议层进行分析，对于TCP包进行状态机建立和监视，对UDP包建立虚拟的连接，对其建立方向的概念，同时对ICMP包进行分析，决定其与已有的TCP或UDP连接之间的关系。

对应用层，分析其语义。

核检测技术——在内核中建立各个应用的协议栈，还原协议内容进行检测。

由于没有数据在应用层以及内核层交换的时间，所以系统的处理速度会迅速提高。

对每个经过的数据包进行入侵的模式匹配。

3.4 深度的内容检测、强大的P2P拦截功能在上班时间做与工作无关的调查统计中，有60%的被调查员工承认其主要是在玩游戏、和使用QQ、MSN等P2P即时通讯软件。

这些不仅影响了企业员工的正常工作，还造成了企业人力资源的严重浪费，间接造成了企业的巨大损失。

高性能防火墙采用了在线网关监控技术实现对包括QQ,MSN,SKYPE,BT 等任何P2P 软件的流量阻隔，及时封堵了IM 实时通讯软件。

目前的P2P 软件，如QQ 、MSN 等IM 即时通讯软件以及BT 、电驴等下载软件，在用TCP 或者UDP 数据包的传送过程中，其报文段都会有一段特征码，该特征码是用来标识其数据包类型。

神码安全高性能防火墙的深度内容检测技术，可以检测出数据包的报文中相对应的特征码，并根据预置策略进行及时封堵。

防火墙 防火墙内置了多种深度内容检测技术所依赖的特征码规则，并且可以自动更新，管理员也可以从网站上更新下载。

依靠这种技术，防火墙 防火墙可以封堵目前所有的P2P 软件。

避免了最终用户在IM 或者P2P 软件上浪费时间，提高了员工的工作效率和企业的生产效率。

拦截P2P 软件3.5 严格的访问控制策略神码安全高性能防火墙提供了基于组、时间、服务、网址策略、内容策略等多种对象组合的安全访问控制策略。

管理员可以对企业的内网用户分组管理，并且对于每个组的策略，可以基于时间、服务、网址策略、内容策略等多种策略进行严格的访问控制管理。

3.6 危险网站阻隔为了防止员工在上班时间访问与工作无关的网站，避免员工浏览不适当的网站产生相应的违法行为或者遭受间谍软件/网络钓鱼程序攻击导致企业的机密数据被窃取，企业的名誉受损。

神码安全高性能防火墙可以对各种危险网站进行阻隔。

由于互联网上各种危险网站层出不穷，用户根本无法手动更新相应的网站，防火墙 防火墙通过在线自动更新的不良网站列表，减少了企业的维护成本，降低了企业信息安全、法律责任等相关风险。

3.7 敏感数据拦截由于采用了深度检测技术，对于HTTP,FTP,SMTP,IMAP 等应用协议数据包中含有的敏感数据，神码安全高性能防火墙能够进行有效的拦截，以防泄密或由于员工泄密引起的重大损失。

敏感数据拦截 3.8 强大的QOS 、丰富的日志报表功能防火墙强大的访问控制和QOS 功能可以使得企业合理利用Internet 资源。

为不同的用户分配不同的带宽和上网权限，使得Internet 资源得到有效利用，并大大提高员工的工作效率。

丰富的报表功能还可以分析出企业的Internet 的详细使用情况，为网络管理员和决策者分配和了解员工网络资源提供有效数据支持。

3.9 访问跟踪、审计神码安全高性能防火墙区别于旁路监听的访问监控产品，防火墙使用了在线网关监控技术。

对于旁路监听产品，对UDP 发送的数据难以拦截，而且拦截往往有一定时延，拦截敏感数据的效果不佳，并且容易遗漏监控数据。

防火墙的在线拦截监控技术保证拦截所有敏感数据，外出数据无一纰漏。

神码安全高性能防火墙可以记录和统计常用Http 、Smtp 、Ftp 、Pop3、Telnet 等多种应用协议，还可以对QQ 、MSN 、ICQ 等多种主流P2P 软件进行监控和控制，以防止通过P2P 泄漏机密。

在神码安全高性能防火墙的日志系统中，可以对所有的内网用户的上网行为进行实时监控。

可以实时查看内网用户所有的上网记录，包括Web 访问、FTP 、TELNET 、邮件（含Webmail ）、QQ 、MSN 、ICQ 、YAHOO Message 等流行IM 的数据。

丰富的报表功能可以形成完整的日志，记录整个网络的上网记录，为网络管理员和决策者分配和了解员工网络资源提供有效数据凭据。

3.10 防止DOS 攻击DoS 攻击(拒绝服务攻击)，通常是以消耗服务器端资源、迫使服务停止响应为目标，通过伪造超过服务器处理能力的请求数据造成服务器响应阻塞，从而使正常的用户请求得不到应答，以实现其攻击目的。

通常DoS 攻击往往会导致服务器超负载运作，性能降低，影响正常用户的登陆，甚至造成服务器瘫痪。

而DDoS(Distributed Denial of Service，分布式拒绝服务) 是指攻击者从多个计算机系统上向一个目标系统同时发起攻击。

因而比起DOS攻击，危险性更大。

通常DDOS攻击是由黑客手动寻找可入侵的计算机入侵并植入攻击程序，再下指令攻击目标。

神码安全高性能防火墙不仅可以防御来自外网的DOS攻击，而且对于内网用户发起的DOS攻击，防火墙防火墙也可以进行防御。

通过防火墙防火墙丰富的日志系统，管理员可以根据内网DOS攻击日志，查找出企业内网中了木马、或者病毒的用户，从而及时有效地阻断由内网发起的DOS攻击。

避免了DOS攻击造成的企业网络带宽耗尽，或者因发起DOS攻击可能产生的法律纠纷。

对内网发起的DOS攻击防御3.11 强大的VPN功能神码安全高性能防火墙集成了神州数码科技领先的VPN技术，应用了神州数码科技已有的众多VPN专利技术和其他VPN特色功能。

防火墙防火墙不仅是一款功能强大的防火墙，同时也是一款高性能的VPN网关。

完全采用了神码安全高性能防火墙VPN/防火墙系列产品的全部技术特性。

包括Webagent动态IP寻址、HARDCA硬件鉴权和身份识别、多线路绑定、即插即用的移动客户端等发明专利技术，同时神码安全高性能防火墙也集成了高速数据流压缩算法、细致的QOS和内网权限设定、防火墙等特色功能。

3.12 支持VOIP可以状态跟踪H.323协议，动态的打开大端口。

随着VOIP会话的结束，开放的大端口自动关闭。

是安全性与高效的有机结合的产物。

3.13 桥式防火墙支持基于802.1d协议的真网桥，实现桥式防火墙。

同时可以实现基于ARP代理的伪网桥。

可以实现在不改动原有网络结构的前提下实现有效的访问控制。

3.14 强大的审计功能神码安全高性能防火墙提供了丰富的日志系统，丰富的报表功能可以分析出企业的Internet的详细使用情况，为网络管理员和决策者分配和了解员工网络资源提供有效数据支持。