扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
防火墙的功能
◆支持多种工作模式
曙光天罗TLFW防火墙可以工作在路由模式、透明网桥模式、混合模式等三种模式下。
透明网桥功能可以使曙光天罗TLFW防火墙适应不同复杂情况的网络拓扑结构。当曙光天罗TLFW防火墙工作在透明网桥模式下时,防火墙的工作状态类似一个网桥,但却可以安全地保障整个内部网络的安全。透明网桥的最大优点就是客户不需更改网络拓扑结构和原有网络设备及工作站的配置。
透明网桥的工作状态的防火墙可以看作一个交换机,只不过防火墙上可以实施安全控制。曙光防火墙在网桥状态下也支持SpaningTree协议,避免网络数据的环回。
在透明网桥模式下,用户访问外网要么具有大量的公共IP地址,要么架设代理服务器。这两种条件无论哪一个在现代的网络规划设计中都不是最好的解决方案。
曙光天罗TLFW防火墙工作在混合模式下,提供透明网关的功能,可以很好的解决这个问题:用户既可以使用网桥的不改动网络拓扑、管理方面的优点,又可以利用地址转化功能,解决客户IP地址缺乏、多个外网接入的难题。
◆丰富的包过滤功能
曙光天罗TLFW防火墙的包过滤功能是根据信息包的源地址、目标地址、端口号、协议类型、协议选项等多种内容进行定义的,端口可以是一个、多个或某一规定的范围,支持对多种IP协议,包括TCP、UDP、ICMP以及其它IP协议进行过滤,尤其是可以针对MAC地址进行过滤。
可以对规则的生效时间进行控制,为了支持安全规则的灵活性,对每条安全策略,可以限制生效时间段,比如在星期二的10:00到18:00某条规则生效。
◆网络地址转换—NAT
网络地址转换是防火墙的又一项重要功能。曙光天罗TLFW防火墙的网络地址转换功能丰富强大,包括正向的网络地址转换和反向的地址映射两大类。
国际互联网Internet采用IP地址进行网际互联和通信,能够与Internet上的其它主机通信的主机接口必须有一个唯一的IP地址。目前使用的IP地址长度为32位,地址总数是有限的,而局域网内部主机间的通信并不需要用一个全世界唯一的地址,因此IP地址中指定了一批保留地址,这些地址不用申请就可以用于任何一个局域网的内部通信,使得这些地址可以复用。但保留地址不能在Internet上路由,使用保留地址不能与Internet上其它使用全局地址的主机通信,因此要在局域网与Internet之间做网络地址转换(NAT)才能实现通信。曙光天罗TLFW防火墙为用户提供的NAT功能能够很好的实现这种转换。曙光天罗TLFW防火墙提供两种配置NAT地址的方式:SNAT和DNAT。
SNAT按照管理员制定的规则将内部网用户的访问转换为固定的NAT地址(防火墙外口地址)。
一个单位的网络可能要对Internet提供一定的服务,比如Web访问和文件下载等等。由于分配到的全局IP地址很少或是出于安全的考虑等,提供这些服务的服务器并没有配置全局IP地址而是配置的保留IP地址,要使Internet上的主机能访问到这些服务,就必须使用曙光天罗TLFW防火墙的DNAT转换功能。使用了DNAT地址转换后,外部网络访问曙光天罗TLFW防火墙的一个接口地址(通常是外口全局IP地址),由防火墙将访问转到真正的内部服务器上,实现该全局地址到服务器真实地址的映射,从而使内部服务器能对外提供服务。曙光天罗TLFW防火墙的DNAT地址转换包括端口映射和地址(IP)映射两种。
曙光天罗TLFW防火墙的端口映射将防火墙外部接口的某个端口映射到内部服务器的服务端口。端口映射实现了一个IP地址对应多个服务器的一对多映射。目前曙光天罗TLFW防火墙完善的支持TCP的端口映射。
曙光天罗TLFW防火墙的地址映射将防火墙外部接口的某个地址映射到内部服务器的服务地址。地址映射实现的一个IP地址对一个IP地址的一对一映射,并且支持TCP、UDP协议的映射。
◆DMZ(非军事区)
曙光天罗TLFW防火墙的安全服务器网络体系能够对用户网络及服务器提供充分的保护。管理员将需要单独保护的服务器连接到DMZ接口上,与内部网络和外部网络从物理上隔离开来,即能使DMZ与外部网络之间受防火墙保护,同时DMZ与内部网络之间也受防火墙保护,即使DMZ受破坏,内部网络仍处于防火墙保护之下。
◆多种服务代理及智能内容过滤
曙光天罗TLFW防火墙支持HTTP、FTP、POP3、SMTP等多种服务的透明代理,从应用层上进行策略控制;可以对HTTP协议的URL关键字和脚本程序(JavaScript、JavaApplet、VBScript和ActiveX等)进行过滤。
代理,需要在应用层上对数据进行处理,转发速率低,但因可以对数据进行应用层的修改而非常灵活。如果代理服务无法做到应用层过滤,那代理也就失去了意义。
曙光天罗TLFW防火墙http代理提供内容过滤,可以帮助管理员完成对用户IP地址、URL、字符串、字符串组合、文件扩展名的过滤,同时具有很强的可扩展性。
曙光天罗TLFW防火墙SMTP代理提供内容过滤,可以帮助管理员完成对邮件来源、邮件目的地址、邮件标题、邮件内容、邮件附件的过滤,很大程度的保护了网络的安全性。
◆统计计费功能
系统提供的统计接口,可以对经过防火墙的访问节点地址进行记录,经统计分析得出各节点的访问量,计费信息。
管理员可以根据用户使用防火墙的具体情况制定相应的计费规则,在防火墙管理系统中已经内置了一个计费公式。
◆安全检测与实时报警功能
系统对受到的攻击设有完备的记录功能,当系统检测到危险信息时,系统可以根据管理员的设置发出警告。
安全检测模块发现恶意的攻击后,会直接通知防火墙进行策略封堵,由于这是一个集成的子系统,因此和防火墙配合得更加高效、准确。
◆与IDS联动
曙光天罗TLFW防火墙可以和国内外多家主流IDS产品联动,还可以支持防火墙和交换机(可管理)、路由器的联动功能。可以使得网络搭建成为一个多方位防范体系。
曙光天罗TLFW防火墙可以和IDS(入侵检测系统)进行联动,当IDS检测到入侵时,IDS发送信息给防火墙,防火墙动态形成控制策略,对入侵主机进行封堵。
◆抗IP欺骗
防火墙将接口控制策略加在相应的接口上,以防止其他接口区域的IP被此接口区域内的主机冒用。
◆防端口扫描
端口扫描是多数攻击行为的第一步,通过端口扫描可以获知内部网络中主机所打开的服务,从而寻找这些服务的漏洞,作为攻击的入口。
曙光天罗TLFW防火墙内置了防端口扫描的模块,防止外部用户对本地用户的恶意攻击。
◆DoS攻击拦截
曙光天罗TLFW防火墙中内置的抗Dos攻击模块可以有效的防止七大类二十余种DoS攻击,对DDoS攻击又有着很好的防止能力。
◆P2P协议过滤
可以根据策略控制类似电驴、BT之类的P2P通讯,保障网络资源的有效利用。可以过滤的P2P应用有:eDonkey、eMule、Kademlia、BitTorrent、extended BT、WinMX、SoulSeek、Ares、AresLite、AppleJuice、Direct Connect、Gnutella、KaZaA、FastTrack!!是目前最完善和最全的。
◆支持ADSL接入
ADSL(Asymmetric Digital Subscriber Line),中文名字叫非对称数字用户线路,当在电话线两端分别放置ADSL MODEM时,在这段电话线上便产生了三个信息通道:
一个速率为 1.5Mbps-9Mbps的高速下行通道,用于用户下载信息;
一个速率为 16Kbps-1Mbps的中速双工通道,用于用户上传输出信息;
一个普通的老式电话服务通道,用于普通电话服务。
这三个通道可以同时工作,传输距离达3KM---5KM。
非数字用户线路(ADSL)与以往调制解调技术的主要区别在于其上下行速率是非对称的,即上下行速率不等,ADSL技术的高下行速率和相对而言较慢的上行速率非常适于做Internet浏览使用。由于接入成本相对较低,却可以获得较高的带宽,ADSL宽带接入日益普及。
目前ADSL接入分为两种方式:
一种是动态获取IP地址,就是用户没有固定的IP地址,在使用ADSL拨号软件时动态获得一个IP地址;
另一种是固定IP地址,即用户在申请ADSL服务时,服务商提供给用户固定的IP地址、网关、DNS等等。
曙光天罗TLFW防火墙早期仅支持固定IP的接入方式,为了响应动态获取IP接入ADSL的增多市场需求,目前曙光天罗TLFW防火墙也提供了对动态IP ADSL接入的支持,更好的为中小企业的网络安全提供保障。
ADSL接入是利用PPPOE协议进行协商和通讯的。曙光防火墙可以避免ADSL接入中PPPOE协议欺骗等漏洞。同时也支持断线重播功能。
◆多线路接入
支持多线路接入方式(比如同时接入电信和联通),并在多线路之间进行负载均衡;实时监测线路健康状况,从而自动取消/恢复线路的通信。
◆高级路由管理功能
曙光天罗TLFW防火墙的高级路由管理功能也是为了满足复杂网络拓扑结构应用防火墙的需求。通过防火墙的高级路由管理模块,为通过防火墙的数据报选择不同的路径,以保持网络的连同性。该模块的典型应用是当整个内部网络有两个或多个外出口的情况。
◆带宽控制功能
网络带宽是另一种重要的网络资源,一个网络环境其出口带宽是有限的,防火墙可以建立一套对带宽的管理机制,能够对不同的外出访问占用的带宽进行统一的分配。可以针对具体的通信(按照源地址)对网络带宽进行分配,使得某一类的访问所占用的带宽不能超过管理员为其分配的额度,从而不至于影响其它类的访问的正常进行。
曙光天罗TLFW防火墙具有粒度细致、方便灵活的带宽管理功能。管理员指定进行带宽管理的网络接口及该接口的带宽上限后,进行带宽级别的定义。曙光天罗TLFW防火墙支持多达8级,管理员可以选定级别数,然后定义每个级别的带宽比例。
◆双机热备功能
双机热备是曙光天罗TLFW防火墙高可靠性的一种处理方式。双机热备功能必须有两台防火墙协助工作完成,一台作为主防火墙,另一台作为备份防火墙,两台防火墙通过串口连接,互相实时监测,当主防火墙发生故障时,备份防火墙自动接管主防火墙,避免整个网络通信发生中断。
◆DHCP功能
DHCP的全称是动态主机配置协议(Dynamic Host Configuration Protocol),由IETF(Internet 网络工程师任务小组)设计,详尽的协议内容在RFC文档rfc2131和rfc1541里。目的就是为了减轻TCP/IP网络的规划、管理和维护的负担,解决IP地址空间缺乏问题。运行DHCP的服务器把TCP/IP网络设置集中起来,动态处理工作站IP地址的配置,用DHCP租约和预置的IP地址相联系,DHCP租约提供了自动在TCP/IP网络上安全地分配和租用IP地址的机制,实现IP地址的集中式管理,基本上不需要网络管理人员的人为干预。而且,DHCP本身被设计成BOOTP(自举协议)的扩展,支持需要网络配置信息的无盘工作站,对需要固定IP的系统也提供了相应支持。
曙光天罗TLFW防火墙既可以做DHCP客户又可以做DHCP服务器。
DHCP客户:防火墙每个接口都可以工作在这种模式下,可以动态的从网络上DHCP服务器上获得地址,适用于使用DHCP服务器统一管理IP地址的网络环境。
DHCP服务器:DHCP服务器可以启动在防火墙任意一个物理接口上,为与其相连的子网动态分配IP地址及相关信息,如网关、广播地址、DNS等等,可以通过使用防火墙的DHCP服务功能,节约购置专门的DHCP服务器的资金。
◆VPN
支持IPSEC/PPTP/MPLS/L2TP协议,提供端到端的安全隧道,支持IPsec、IKE和统一的证书管理,支持隧道的NAT穿越与明文的访问控制;支持3DES、DES加密算法与标准MD5、SHA-1认证算法。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
去集群 更超群——大容量网络演进之路
2019 IBM 中国论坛
H3C 2019 Navigate 领航者峰会
助推数据中心网络现代化转型 打造灵活可靠基础架构平台