科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道保护企业网络安全 谨慎选择防火墙(2)

保护企业网络安全 谨慎选择防火墙(2)

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

  防火墙系统目前在国内已经有多家机构或公司研制开发,通过国家公安部等机构测试的也已有数十家。下面我们就选取几种比较有代表性的产品,做一简单介绍。

作者:论坛整理 来源:zdnet网络安全 2007年12月21日

关键字: 攻击防范 防火墙 网络安全 企业网

  • 评论
  • 分享微博
  • 分享邮件
◆ 网络地址转换(NAT)

  NetShine 支持双向网络地址转换,当用户从内部网访问外部网时,NAT 系统用一个或一组预先指定的合法的 Internet 地址为用户建立映射。如果内部网需要为 Internet 提供服务, NAT 系统可以为应用服务器建立静态映射,外部用户可直接访问该服务器或工作站。

  ◆ 高性能的安全处理

  Netshine 系列防火墙全部采用C语言开发,并对代码进行了优化,使其在关键的处理上具有极高的性能。

  优化的安全规则管理:一个企业内部网络的防火墙往往设置有数十条、数百条访问控制规则。如果不加以优化,按顺序匹配检查这些规则将会在很大程度上降低网络的性能。Netshine 系列防火墙首先检查保证规则的正确性和有效性,对无效的规则予以显示报警;然后通过先进的优化规则匹配算法来提高规则查找速度。在随后的运行中,防火墙动态地统计规则的匹配情况,并调整规则匹配算法,进一步提高性能。

  ◆ 防火墙的透明模式

  NetShine 可以被用来作透明传输,可以不分配任何IP给NetShine 系列防火墙的网络接口,因而不需更改现有工作站的网络配置就可以实现网络安全防护,减少因网络安全改造而带来的网络重构负担。

  ◆ 简单的安装和伸缩性的管理

  NetShine 提供基于Web的配置和管理模块,可以通过网络上任何一台具有浏览器的机器管理防火墙;管理维护模块采用全中文的符合中国人操作习惯的界面,并提供全中文的在线帮助,使您更加轻松地进行策略配置和管理。

  ◆ 完备的计费、审计以及统计分析功能

  ·NetShine 将通过防火墙交换的数据包记录到日志数据库,可以针对IP地址、IP网段、访问时间、用户等进行灵活查询、统计和分析,可以对数据日志进行备份和恢复;

  ·NetShine 对所受到的攻击以及可疑的IP包进行详细的分类记录,便于管理人员的事后分析。

  ·NetShine 提供标准的IP计费数据接口,便于进行二次高级计费功能开发。

  ◆ 紧凑的黑盒封装

  ·一体化的硬件设计,系统与硬件紧密结合,发挥硬件最高效能。

  ·减小用户物理空间占用体积

  ·提供高密度的机柜集成度

  ·标准的2U设计

  ◆ 支持的协议和服务

  ·Netshine 支持 TCP、UDP、IGMP、ICMP等几十种通讯协议;

  ·Netshine 支持 HTTP、FTP、SMTP、NNTP、TELNET、DNS、POP3、RLOGIN等常用服务;

  中科院信息安全技术工程研究中心的ERCIST防火墙系统

  ERCIST(安胜)防火墙是网络安全系统的组合套件,由包过滤路由器、代理服务器以及虚拟专用网VPN三大部分组成。还可完成地址转换、安全审计等功能。包过滤路由器以黑盒子方式工作,管理部件与运作部件分离,两部件之间通过加密方式传送和接收规则信息,接收日志信息,可防止窃取和伪造,又可在远程管理包过滤器的运作而不影响运作部件的正常动行。代理服务器对内部和外部用户访问许可的授权包括允许访问的种类、允许连接的时间区间、访问的级别等。根据访问的许可,对每一次访问中用户的身份及访问权限进行认证,保证内部网络中信息资源的合法使用。认证的方式可以是通用型的用户名加口令字方式,进一步可以对口令进行一次一密的变换,防止的传输过程中被窃取而进行冒充者仍无发登录,而且审计中又能加以记录;可结合智能卡安全技术的使用,进行强身份验证,更好地保障重要信息资源的安全。虚拟专用网模块则通过建立安全通道,封装IP地址和加密传输等方式,实现跨越公用网的内部用户的安全连接,所使用的由中科院信息安全中心自行研制的加密算法QC-1已得到密码委员会的审核和批准。

  ERCIST防火墙可有效地隔离内外网络的直接连接,限制内外网之间信息的流入和流出,隐蔽内部网的组成情况,对访问的用户进行身份识别,可防止源路由、IP地址欺骗、拒绝服务等多种攻击,能自动发现类似ISS进行的扫描,提出安全警告,可以进行安全的远程数据传送,还提供针对防火墙系统运行状态、包过滤器的过滤信息、代理服务的情况和代理用户使用信息等数据的日志审计和报警功能。实现IP地址与MAC地址绑定的功能,对IP盗用进行了有效的控制。为保护防火墙自身的安全,在防火墙的底座架构上采用安全操作系统,在使用中加强认证、加密舆等安全措施。提供友好的用户接口,在远程管理中所有会话和文件传输都是加密的,并且对文件的传输采用一次一密的方式,可有效地防止重传攻击。不同版本的防火墙系统可分别运行于WINDOWS、UNIX、LINUX等平台上,使用户能够根据自己的安全需求和投资情况做出合理的选择。该防火墙产品已通过国家信息安全认证中心、公安部计算机信息安全系统安全产品质量监督检验中心的检验,并列入科技部国家科技成果重点推广项目。

  系统提供有图形用户界面,方便地进行安全管理工作

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章