曙光电力系统网络安全解决方案

曙光防火墙产品介绍

一、电力信息系统安全风险分析

曙光天罗TLFW-1000系列防火墙基于专用安全操作系统，具有系统管理、安全策略、安全检测、日志管理、网络计费、虚拟专网等多项强大的安全功能，弥补了传统包过滤防火墙的很多不足，可谓防火墙中的精品。

一体化的软硬件设计

曙光天罗TLFW1000H防火墙将软件系统与硬件紧密结合，发挥硬件最高效能，提高系统自身安全性。绝大部分应用功能都运行在内核态或芯片直接完成操作。只有管理系统设计到操作系统和用户态的部分应用。绝大部分系统功能是通过“芯片<->驱动程序<->内核”的方进行。

此外，系统在不同状态转换中使用零拷贝的技术，即：在系统内部，一个数据包到来后一直到离开只有一个副本！而对于一般的系统数据处理需要经过三次拷贝，其中一次拷贝所需要的系统开销相当于接收/发送3～5个数据包。避免数据包副本在系统内部的拷贝是提高系统效率的主要方法之一。

多接口结构体系

曙光天罗TLFW1000H防火墙具有五个的物理上相互独立的网络接口，是一种典型的多接口体系结构。使用物理上相互独立的网络接口，将受控网络从物理上隔离开来，提高了安全保护的能力，同时方便网络的互连和接入。曙光天罗TLFW1000H防火墙最多可以支持到12个物理接口，并且在每个物理接口上还可以配置多达256个虚拟接口，可以满足任何规模用户网络环境的需求。

注：通过虚拟网络接口和VLAN的配置，可以实现在一个防火墙上虚拟出多个子系统，每个子系统好像是相互独立的，这也就是行业内所描述的虚拟防火墙。

基于状态的包过滤

曙光天罗TLFW1000H防火墙可以基于连接的状态进行数据包过滤，极大地提高了系统的性能。状态包过滤，包括两个不同的理解方式。

其一，状态包过滤是指可以根据数据流（会话）的状态进行有针对性地规则过滤，比如可以拒绝从一台主机发起的请求，但允许这台主机应答外部用户的请求，可以通过防火墙对主机通讯的状态字进行针对性过滤，拒绝这台主机发出的TCP syn 标志的数据包；

其二，防火墙可以根据会话的状态进行不同的过滤流程。比如对于初始的会话，防火墙可以进行较为详细的过滤，一旦会话被认为是可信的，防火墙就会降低会话的检测流程，从而大大提高了防火墙的运行效率。这一功能就是行业内宣称的“自适应”防火墙，曙光天罗TLFW1000H防火墙在这种自动辨别能力上可以做到2~7层的自适应。一般厂商子能做到2~4层。

多级过滤

曙光天罗TLFW1000H防火墙可以基于数据包的源地址、目的地址、源端口、目标端口、协议标志位等进行过滤，提高了系统的防护能力。这里的多级是说曙光天罗TLFW1000H防火墙不仅可以进行2~7层的过滤，而且可以对同一个会话同时进行多个层次，多个级别的过滤。如，在链路层上，曙光天罗TLFW1000H防火墙可以直接支持基于MAC地址的管理模式。再比如，对于Web服务可以进行包过滤、应用层检测同时进行，既提高的安全性也提升了服务的质量和性能。

注：管理员可以根据MAC地址设定规则，这种管理模式特可以避免用户更改IP地址后的不确定性，特别是和内部使用DHCP动态分配地址的网络环境。

高级路由管理

曙光天罗TLFW1000H防火墙提供业界最灵活的高级路由管理能力，将网络管理变成网管人员的一种享受。曙光天罗TLFW1000H防火墙的路由管理可以分为路由表和路由策略表两个共同作用的快速表，使得路由控制更加灵活（可根据源/目的IP或子网定义策略）。内部设定100个路由优先级，特别是适于大型网络的改造。

强大的NAT能力

网络地址转换对Internet隐藏内部地址，防止内部地址公开。这一功能可以克服IP寻址方式的诸多限制，完善内部寻址模式。把未注册的IP地址映射成合法地址，就可以对Internet进行访问。曙光天罗TLFW1000H防火墙支持源地址转换和目标地址转换，并支持端口映射（SNAT/DNAT/PAT）。

注：天罗TLFW防火墙的NAT部分，特别加入了轮询能力，可以进行简单的负载均衡。对外链路和对内部服务器都可以实现。结合地址池的配置，防火墙还可以对内部网络用户分配多个IP地址进行均衡的SNAT转换。天罗TLFW防火墙的链路均衡和这里的轮询机制不同，比NAT的均衡要灵活详尽的多。

SSN服务区

曙光天罗TLFW1000H防火墙支持安全服务器网络（SSN——Security Server Network），将提供信息访问服务的服务器安装于该网络区域内，与内、外网络从物理上隔离开来，并提供专门的安全保护。SSN概念有别于传统的所谓DMZ停火区模式，它是一种更为积极的安全防护理念：一般情况下，SSN主机不允许主动向内、外网发起连接请求，只允许向内、外网回应其请求数据包；外网用户也只能访问SSN上的主机，不能访问内部网主机。即SSN与外部网之间受防火墙保护，同时SSN与内部网之间也受防火墙保护，即使SSN受破坏，内部网络仍处于防火墙保护之下。

基于规则的带宽管理

曙光天罗TLFW1000H防火墙的带宽管理粒度细致，方便灵活。曙光天罗TLFW1000H防火墙能够指定进行带宽管理的网络接口，支持多达8级。可以根据不同的协议、源/目的端口和源/目的地址（段）、时间六元组的任意组合进行控制。举例说明：我们打算限制特定网段对特定服务器的Web服务器的访问速率，曙光天罗TLFW1000H防火墙可以轻松的完成这一操作。

内置入侵检测

曙光天罗TLFW1000H防火墙内置简单入侵检测系统，能够检测到常用的攻击方式。由于曙光公司拥有自主知识产权的主机型和网络型IDS软件，所以在防火墙中嵌入一个精简的入侵检测模块对于提高防火墙的安全性有着显著的作用。

三权分立机制

曙光天罗TLFW1000H防火墙在设计时充分考虑了防火墙本身的安全性。在设计上把防火墙的管理员分为超级管理员、系统管理员、安全策略员、日志审计员。使得在同一时刻，只能有一位防火墙的管理员来对防火墙进行管理，同时将管理员的账号和IP地址捆绑，在管理员登录防火墙系统时对其账号、密码、IP地址进行全面检查，从根本上保证了防火墙系统的安全性。