购买指引：防火墙特性与优点说明1.天网防火墙工作组型:天网防火墙工作组级防火墙，是适合中小型企业上网用的防火墙，适用于用户数量规模不大的网络环境（大约有十几到几十台内部工作站）。

它包括了基本的防火墙系统，具体功能特性如下：●自行开发的优良的防火墙内核在系统设计时参考了NetBSD、OpenBSD、Linux、FreeBSD等系统的体系结构，吸取以上的系统的优点进行系统网络核心的优化处理，同时还针对CPU的计算核心进行了优化处理。

能支持到大量的并发连接和高性能的IP Packet处理，我们以纯汇编编写这部分的程序，并充分使用CPU的能力，使程序效率平均提高20%，在某些情况下可以提高60%。

●基于状态检测的包过滤功能天网防火墙在核心部分实现了基于状态检测的包过滤功能，通过建立连接状态表的方式，提高安全控制表项的轮询速度，从而提高了包过滤系统的性能和安全性。

●具有包过滤功能的虚拟网桥功能，可以支持IPTV等多点广播的网络服务，并且可以网桥与路由混合的工作模式进行工作，方便灵活天网防火墙系统还支持桥接功能，可以实现局域网之间基于数据链路层的连接，满足IPTV等基于多点广播的多媒体应用，而且对于某些已定型的网络结构，可以在不改变网络拓扑的情况下加入防火墙，实现包过滤等应用。

●具有国际首创的DOS防御网关技术，能有效的防止各种类型的DOS攻击Internet上DOS攻击暴虐一时，由于可以通过使用一些公开的软件进行攻击，它的发动较为简单，同时要防止这种攻击又非常困难。

DoS全称是Denial of Service，中文意思是拒绝服务攻击。

这种攻击行动使网站服务器充斥大量要求回复的信息，消耗网络带宽或系统资源，导致网络或系统不胜负荷以至于瘫痪而停止提供正常的网络服务。

"拒绝服务"的攻击方式为：用户传送众多要求确认的信息到服务器，使服务器里充斥着这种无用的信息。

所有的信息都有需回复的虚假地址，以至于当服务器试图回传时，却无法找到用户。

服务器于是暂时等候，有时超过一分钟，然后再切断连接。

服务器切断连接时，黑客再度传送新一批需要确认的信息，这个过程周而复始，最终导致服务器无法动弹，瘫痪在地。

天网防火墙系统针对各种DOS攻击做出了防御措施。

在信息到达网站服务器之前拦截信息，系统可以根据设置智能化地对访问信息进行检查，从而阻挡住Sync Flood, IGMP Nuke, Win Nuke等DoS类型攻击。

目前国内同类产品尚无同样功能。

●具有TCP标志位检测功能在大多数的防火墙里，都缺少对连接是从哪方主动发起进行判断的选项，这将导致一个潜在的安全隐患是攻击者可能可以从一个外部主机的某个常用服务端口连入内部主机的高端口。

例如，如果允许内部主机访问外部主机的telnet服务，这个方向连接的所有包应该是必须包含ACK位的，也就是说，不是主动发起的连接。

但通常的防火墙的包过滤功能里并没有检查ACK位的设置，因此，攻击者就可以从外部主机的源23端口发起连接到内部主机的高端口(>1023)。

天网防火墙系统通过在安全规则上的设置对数据包的SYN/ACK等标志位进行合法性检测和判断，防止不法攻击者利用常用服务的低端口与内部主机的高端口的连接，从而攻击内部主机。

国内包括国外的许多防火墙系统都无此防护功能。

●具有双向的网络地址转换功能内部网络用户一般没有合法的Internet IP地址（Registered IP Address），不能直接对外部网络进行访问，这可以通过网络地址转换系统得到完满的解决。

当用户需要对外访问时，天网邮政防火墙系统将会从IP池中的IP动态分配给用户，使用户得到合法的IP地址与外部访问。

端口地址转换（Port Address Translation）可以扩展公司可使用的Internet IP，用户的访问将会映射到IP池中IP的一个端口上去，这使每个合法Internet IP可以映射六万多个内部网主机。

如果企业希望内部网络中的服务器可以让Internet用户访问的话，可以利用反向NAT （R-NAT）或反向PAT（R-PAT）系统，为内部网络服务器作静态地址和端口映射，这样Internet 用户就可以通过本防火墙系统直接访问该服务器了。

●具有流量统计与流量限制功能●支持一个网络端口绑定多个IP地址，从而支持多个子网和多种IP应用●支持IP与MAC地址绑定，有效地管理IP地址资源在内部网络的应用中，经常会遇到内部网络用户擅自修改IP地址，以获取一个合法IP 地址来进行相应的网络应用，这样会使内部网络在地址资源的分配和使用上出现混乱，大大影响内部网络的正常运行，而且，在网络事故发生以后，也加大了地址追寻的难度。

天网防火墙所具有的MAC地址绑定功能可以很好地解决这个问题。

当网络用户被分配或自行设定一个IP地址以后，防火墙系统就能接收到相应的地址广播，在防火墙系统上列出相应的IP地址与MAC地址，并可以选择是否把这个IP地址与相应的MAC地址绑定，这样可限定IP地址只能在一台指定的工作站上使用，大大方便了网络的IP地址管理。

●具有实时系统监控功能，能观察系统的运行状态及网络连接状况天网防火墙系统可以通过实时观察系统的运行时间、负载状况以及内存使用情况等，来了解整个系统的运行状况，并且还可以在界面上观察到系统的各种网络连接状况，从而可以根据系统的负载情况对系统作出相应的调整。

●具有实时报警功能，通过拨打电话和Emai*的方式报警系统提供对任何可疑的行为作出实时的告警提示，告警可疑通过可闻可见的的方式发出，也可以通过Email发出信息、发出SNMP告警到网管系统，或者激活一些用户定义的告警方式，如通过传呼机呼叫管理员等。

●可通过界面升级，操作方便●具有系统操作记录，可以记录系统管理员的所有操作情况典型网络方案：小型企业通常采用2M以下的专线实现与Internet的互连，在线路速度上对防火墙的要求不高。

企业通过路由器与DDN连接上Internet，路由器的以太网接口直接连接到防火墙的网络端口1上；企业的服务器直接连接在防火墙的网络端口2上，如果企业多有台服务器，可以通过集线器连接在防火墙的网络端口2上；企业的工作站通过集线器连接在防火墙的网络端口3上；通过这种方式，防火墙可以同时保护企业的服务器和内部的工作站。

内部的所有工作站可以采用内部网的私有网络地址，例如192.168.0.xxx网段，通过防火墙的NAT功能连接上Internet，将宝贵的IP地址资源保留给服务器使用。

2.天网防火墙企业 I 型:天网防火墙企业I型防火墙，是适合大中型企业上网用的防火墙，适用于用户数量规模较大大的网络环境（大约有几十到几百甚至上千台内部工作站）。

它包括了基本的防火墙系统，网络黑洞和数据纪录功能模块，具体功能特性如下：●基本防火墙系统功能（同工作组型）●网络黑洞模块，用于阻挡黑客的网络结构探测，返回错误的信息给黑客，可以有效的防止外来攻击●网络数据纪录模块，用于记录网络数据流量、用户流量计费等功能，该模块需要在一台PC机上安装一个客户端软件进行数据收集、分析和处理，还可以把分析结果导入数据库，实现自动处理。

典型网络方案：本方案将现有网络划分为物理上相互独立的三个网段：●公共网段（Public_Nework）●停火区网段（DMZ_Network）●私有网段（Private_Network）其中，公共网段提供面向Internet的广域网连接和其他各行访问的支持；停火区网段安放各种数据库、FTP/Web服务器和企业内部业务信息服务器，提供多种面向Internet的应用服务；内部私有网段保障本地用户安全地访问外部网络资源，以及对停火区内各服务提供设备进行更新和维护。

安全策略：目的：●划分安全区域。

●制订安全策略，包括用户访问控制，定义访问级别，确定服务类型。

●审核和过滤，仅符合安全策略的访问和响应过程可以通过，拒绝其他访问请求。

根据对用户需求的分析，企业内部网络可以划分为以下几个安全区域：●内部网段●公共网段●外部网段现有需要进行审核和过滤的应用和服务类型包括：3.天网防火墙企业 II 型:天网防火墙企业II型防火墙，同样是适合大中型企业上网用的防火墙，适用于用户数量规模较大大的网络环境（大约有几十到几百甚至上千台内部工作站）。

它加入了透明代理服务器，能满足许多大中型企业对内部用户进行控制管理的需求，它包括了基本的防火墙系统，数据记录模块、网络黑洞模块、透明代理模块以及URL拦截模块（可选）和内容过滤模块（可选），具体功能特性如下：●基本防火墙系统功能（同工作组型）* 网络黑洞模块，用于阻挡黑客的网络结构探测，返回错误的信息给黑客，可以有效的防止外来攻击●网络数据纪录模块，用于记录网络数据流量、用户流量计费等功能，该模块需要在一台PC机上安装一个客户端软件进行数据收集、分析和处理，还可以把分析结果导入数据库，实现自动处理。

●透明代理功能天网防火墙系统使用了先进的透明代理服务机制，从安全、性能、兼容性上远超出一般的代理服务器。

本代理服务器是建立在网络核心中的，一个通过代理服务器的访问请求在认证通过，正式建立连接后，代理服务器就可以直接把连接交由IP处理层管理，缩短了处理的时间。

而其它基于应用层的代理服务器必须一直管理有关联接，增加了系统的负担。

使用透明的代理服务器机制可以减轻系统负担、加快响应速度、提高系统整体性能。

同时天网防火墙系统可以自动把用户的访问请求重定向到对应的透明代理服务器，这样用户端可免去Proxy的设置工作，方便了广大的用户。

●可对用户上网时间作限制●可进行URL拦截●可进行基于中文的内容过滤●可根据用户进行统计计费典型网络方案：山东章丘广电安全方案本方案的设计遵循以下思想是：⏹风险、成本、效率平衡原则⏹综合性、整体性考虑⏹保证系统可用性，安全系统对于应用有很好的透明性⏹集中管理，易于维护⏹实用的安全产品必须是经过公安部门检验的合法产品。

并且必须是国产安全产品。

⏹与应用系统结合，提供网络与应用结合的一体化安全方案本方案是用防火墙技术把要保护的计算机系统与较危险的外界隔离开，只允许建立安全的连接，中心思想是在主机或网络与外界连接之间增加检查，拒绝接受可疑的连接请求。

系统总体结构图如图3所示：防火墙防火墙技术的目标是保护网络的一段或整个内部网络不受外界入侵影响。

网上办税系统采用天网防火墙将安全管理“相对”宽松的“内网”与外部网络隔离开来。

安全区域按照服务性质和管理区域划分：1．DMZ (非军事区)：提供对外服务。

2．内部网络：内部用户。

3．外部网络如下图所示：其中，章丘广电外部网络连接济南广电网，通过济南广电网连接到Internet上；DMZ 网段安放Web，Mail服务器和计费服务器，提供基于Web的应用服务Email服务和网络计费服务；我们可以利用防火墙的重定向功能，使用私有地址来保护服务器。