曙光天罗防火墙解决方案（二）

防火墙的功能

◆支持多种工作模式

曙光天罗TLFW防火墙可以工作在路由模式、透明网桥模式、混合模式等三种模式下。

透明网桥功能可以使曙光天罗TLFW防火墙适应不同复杂情况的网络拓扑结构。当曙光天罗TLFW防火墙工作在透明网桥模式下时，防火墙的工作状态类似一个网桥，但却可以安全地保障整个内部网络的安全。透明网桥的最大优点就是客户不需更改网络拓扑结构和原有网络设备及工作站的配置。

透明网桥的工作状态的防火墙可以看作一个交换机，只不过防火墙上可以实施安全控制。曙光防火墙在网桥状态下也支持SpaningTree协议，避免网络数据的环回。

在透明网桥模式下，用户访问外网要么具有大量的公共IP地址，要么架设代理服务器。这两种条件无论哪一个在现代的网络规划设计中都不是最好的解决方案。

曙光天罗TLFW防火墙工作在混合模式下，提供透明网关的功能，可以很好的解决这个问题：用户既可以使用网桥的不改动网络拓扑、管理方面的优点，又可以利用地址转化功能，解决客户IP地址缺乏、多个外网接入的难题。

◆丰富的包过滤功能

曙光天罗TLFW防火墙的包过滤功能是根据信息包的源地址、目标地址、端口号、协议类型、协议选项等多种内容进行定义的，端口可以是一个、多个或某一规定的范围，支持对多种IP协议，包括TCP、UDP、ICMP以及其它IP协议进行过滤，尤其是可以针对MAC地址进行过滤。

可以对规则的生效时间进行控制，为了支持安全规则的灵活性，对每条安全策略，可以限制生效时间段，比如在星期二的10：00到18：00某条规则生效。

◆网络地址转换—NAT

网络地址转换是防火墙的又一项重要功能。曙光天罗TLFW防火墙的网络地址转换功能丰富强大，包括正向的网络地址转换和反向的地址映射两大类。

国际互联网Internet采用IP地址进行网际互联和通信，能够与Internet上的其它主机通信的主机接口必须有一个唯一的IP地址。目前使用的IP地址长度为32位，地址总数是有限的，而局域网内部主机间的通信并不需要用一个全世界唯一的地址，因此IP地址中指定了一批保留地址，这些地址不用申请就可以用于任何一个局域网的内部通信，使得这些地址可以复用。但保留地址不能在Internet上路由，使用保留地址不能与Internet上其它使用全局地址的主机通信，因此要在局域网与Internet之间做网络地址转换（NAT）才能实现通信。曙光天罗TLFW防火墙为用户提供的NAT功能能够很好的实现这种转换。曙光天罗TLFW防火墙提供两种配置NAT地址的方式：SNAT和DNAT。

SNAT按照管理员制定的规则将内部网用户的访问转换为固定的NAT地址(防火墙外口地址)。

一个单位的网络可能要对Internet提供一定的服务，比如Web访问和文件下载等等。由于分配到的全局IP地址很少或是出于安全的考虑等，提供这些服务的服务器并没有配置全局IP地址而是配置的保留IP地址，要使Internet上的主机能访问到这些服务，就必须使用曙光天罗TLFW防火墙的DNAT转换功能。使用了DNAT地址转换后，外部网络访问曙光天罗TLFW防火墙的一个接口地址（通常是外口全局IP地址），由防火墙将访问转到真正的内部服务器上，实现该全局地址到服务器真实地址的映射，从而使内部服务器能对外提供服务。曙光天罗TLFW防火墙的DNAT地址转换包括端口映射和地址（IP）映射两种。

曙光天罗TLFW防火墙的端口映射将防火墙外部接口的某个端口映射到内部服务器的服务端口。端口映射实现了一个IP地址对应多个服务器的一对多映射。目前曙光天罗TLFW防火墙完善的支持TCP的端口映射。

曙光天罗TLFW防火墙的地址映射将防火墙外部接口的某个地址映射到内部服务器的服务地址。地址映射实现的一个IP地址对一个IP地址的一对一映射，并且支持TCP、UDP协议的映射。

◆DMZ（非军事区）

曙光天罗TLFW防火墙的安全服务器网络体系能够对用户网络及服务器提供充分的保护。管理员将需要单独保护的服务器连接到DMZ接口上，与内部网络和外部网络从物理上隔离开来，即能使DMZ与外部网络之间受防火墙保护，同时DMZ与内部网络之间也受防火墙保护，即使DMZ受破坏，内部网络仍处于防火墙保护之下。

◆多种服务代理及智能内容过滤

曙光天罗TLFW防火墙支持HTTP、FTP、POP3、SMTP等多种服务的透明代理，从应用层上进行策略控制；可以对HTTP协议的URL关键字和脚本程序（JavaScript、JavaApplet、VBScript和ActiveX等）进行过滤。

代理，需要在应用层上对数据进行处理，转发速率低，但因可以对数据进行应用层的修改而非常灵活。如果代理服务无法做到应用层过滤，那代理也就失去了意义。

曙光天罗TLFW防火墙http代理提供内容过滤，可以帮助管理员完成对用户IP地址、URL、字符串、字符串组合、文件扩展名的过滤，同时具有很强的可扩展性。

曙光天罗TLFW防火墙SMTP代理提供内容过滤，可以帮助管理员完成对邮件来源、邮件目的地址、邮件标题、邮件内容、邮件附件的过滤，很大程度的保护了网络的安全性。

◆统计计费功能

系统提供的统计接口，可以对经过防火墙的访问节点地址进行记录，经统计分析得出各节点的访问量，计费信息。

管理员可以根据用户使用防火墙的具体情况制定相应的计费规则，在防火墙管理系统中已经内置了一个计费公式。

◆安全检测与实时报警功能

系统对受到的攻击设有完备的记录功能，当系统检测到危险信息时，系统可以根据管理员的设置发出警告。

安全检测模块发现恶意的攻击后，会直接通知防火墙进行策略封堵，由于这是一个集成的子系统，因此和防火墙配合得更加高效、准确。

◆与IDS联动

曙光天罗TLFW防火墙可以和国内外多家主流IDS产品联动，还可以支持防火墙和交换机（可管理）、路由器的联动功能。可以使得网络搭建成为一个多方位防范体系。

曙光天罗TLFW防火墙可以和IDS（入侵检测系统）进行联动，当IDS检测到入侵时，IDS发送信息给防火墙，防火墙动态形成控制策略，对入侵主机进行封堵。

◆抗IP欺骗

防火墙将接口控制策略加在相应的接口上，以防止其他接口区域的IP被此接口区域内的主机冒用。

◆防端口扫描

端口扫描是多数攻击行为的第一步，通过端口扫描可以获知内部网络中主机所打开的服务，从而寻找这些服务的漏洞，作为攻击的入口。

曙光天罗TLFW防火墙内置了防端口扫描的模块，防止外部用户对本地用户的恶意攻击。