关注免疫技术

免疫墙技术篇

一、免疫墙技术定位

1 、什么是免疫墙

★ 免疫墙是针对局域网交换网络的安全和管理技术。

   路由器、交换机、网卡、网线、以太网协议技术(ARP、NAT、UDP、TCP/IP、ICMP……)等，构成了局域网通信的基础架构，企业经常以此作为内网共享上网。免疫墙技术就是要在这个环节，部署安全机制、控制通信过程。

★ 免疫墙技术是网络安全领域中的全新技术概念。

  免疫墙不是一种在现有产品中添加的一个新技术手段，也不是技术拼盘，而是全新的技术思路和技术理论。与防火墙、IDS\IPS、上网行为管理等技术概念相比，免疫墙解决的问题也不相同。除了免疫墙，之前没有任何其他技术和产品，在局域网交换网络上有全面完善的安全和管理解决方案。

★     免疫墙在网络安全领域中，代表了一个独立的新行业。

越来越多的免疫墙产品，尽管有各种不同的附加功能，但在核心功能上都是一致的。实现免疫墙技术功能的产品，都可以简略统称为“免疫墙”。 免疫墙行业，将比防火墙行业、上网行为管理行业等，在现代信息化发展中，起到更加重要的作用。

2 、免疫墙技术的功能和作用

1 、为什么称作免疫

免疫墙把局域网交换网络的2、3层通信协议、成员身份、内网数据流量流向等，这些以太网本身不做管控的因素给全面管控起来。在网络中发生***、扰乱、滥用等破坏的时候，免疫墙首先能够监视、识别这种行为，之后调动资源，及时干预、控制，通过主动防御达到保持网络安全稳定的目的。这就是网络免疫一词的由来。

2 、免疫墙的三个核心功能

★ 通过免疫安全机制，对以太网底层通信协议进行深入管理。

发生在以太网2、3层的协议***，大量消耗网络设备资源，甚至导致网络设备瘫痪。无论多高性能的以太网设备，都不可能有效应付。

2、3层协议***，还可以扰乱通信过程。***程序可以通过ARP欺骗、会话劫持等方式，达到侵入盗取的目的。

免疫墙技术专门针对2、3层协议，在局域网各个关键节点部署免疫安全模块，通过全网免疫安全策略，对其进行全面的行为监控。免疫墙需要深入到每一个协议包，探查每一次通信握手过程，分析协议通信行为，从而实现网络数据通信与安全机制的紧密融合，达到及时制止、主动防御2、3层协议***的目的。

 

★ 通过免疫方案的部署，对网络成员的身份进行严格控制。

以IP、MAC为基础的网络身份，能够被轻易伪造和篡改，对网络安全和管理形成危害。

免疫墙技术一方面要对终端的物理身份（ROM中的MAC、硬盘号、主板号、CPU...）

提取、确认、申告和绑定，另一方面，在网络的各个环节对这个终端身份进行核查、控制。从而实现基因式的身份管理，把共享性质的网络成员，改造为可控可管的免疫成员。这是保证网络稳定、免疫的重要基础。

★ 全网数据流量流向的带宽管理。

以太网是基于共享的网络，对数据通信的流量和流向没有做严格管理，网络的安全稳定不可控制。

现有的带宽管理设备，多数是针对IP的带宽管理，而且部署在紧靠接入的位置，无法实现在交换网络内部，各终端和各节点之间精细的带宽管理。因此，交换网络内部依然充斥大量无效数据，降低网络通信效能。而负载均衡、应用交付、广域网加速等，完全是应用层流控，跟交换网络不相干。

免疫墙技术要求对每一台终端、服务器、交换机级联口、子网连接、接入网关、关键访问节点等进行带宽的管理，对他们之间的数据流量流向做设定。从而实现对网络传输全面化、精细化、智能化的管理，构造纯净的交换网络环境。

 

3 、免疫墙的辅助功能

★ 全网实时中心监控。

免疫墙将底层协议、终端身份、实时流量等网络信息全面开放显示，使协议过程透明化，故障点定位及时准确。

 免疫墙还可以通过人工接口，实现对网络设备和终端的管理，例如，对网关的配置调整以及对任一终端接入网络的封锁、解锁等工作。

 

★ 免疫策略的编制和分发。

 免疫墙是一个基础开放平台，免疫策略是免疫网络的灵魂。在免疫墙中， 2、3层协议的管控力度、终端流量流向的设定、干预条件、执行方式等等，都可以按需进行设定和组合。同样的免疫墙，根据免疫策略的不同，网络因此具有不同的性格表现。

 

★ 全面的网络审计、统计和分析功能。

免疫墙对流量历史、访问记录、带宽使用效率、故障事件直至每一个IP的访问痕迹等，都进行完整的记录统计。

调阅分析记录，可以帮助管理员对网络规划作出判断，作出合理有效的调整。

 

4 、免疫墙产品

北京欣全向公司是免疫墙技术的发起者，也是将免疫墙技术产品化的第一人。

 

欣全向的免疫墙产品目前有三类：

1、 欣向免疫墙路由器：适用于小型、微型企业，DIY产品

2、 巡路免疫墙网关：适用于政府行业、大中小型企业，专业化产品

3、 巡路免疫网络解决方案：适用于城域网子网、私网

 

 目前，欣全向的免疫墙产品基本实现了免疫墙技术的核心功能和辅助功能。除此之外，欣全向免疫墙产品还配置了一些实用的附加功能。

★ 多WAN带宽叠加

欣全向是中国多WAN带宽叠加技术的首创者，是独具特色的功能。将多条外线接入实现成倍的下载速率，同时又要保证特定应用的正常运行，这个技术现在只有欣全向拥有。

 

★ 欣向智能弹性带宽管理

智能弹性带宽管理是免疫墙精细带宽管理的补充，是欣全向的自主技术。

 

★ ×××应用支持

★     上网行为管理

★     上网访问记录

 

注：具体的产品功能跟产品型号和功能扩充有关，请参阅《欣全向免疫墙产品手册》或咨询欣全向公司。4007060518

 

二、免疫墙应用的发起根源

1 、以太网不擅长安全和管理

 以开放互连为目的的共享的以太网，对协议和管理不加管控。现代***技术洞悉以太网的这个先天漏洞，不断制造出***网络使之崩溃的办法。另外，使用者对网络的滥用也经常造成网络的瘫痪。

   这个问题必须解决。免疫墙技术作为有效的应对手段，对以太网进行了修补改造，成为了目前以太网应用的必须。

 

2 、现代信息化应用的发展要求

ERP、网络监控、视频会议等现代信息化应用的部署，要求网络有高度的稳定性，要求网络身份必须明确，要求带宽能够有效管理。大多数的信息化应用离不开局域网，而以太网协议存在的问题，很可能造成信息化应用的失败，严重影响了信息化发展进程。

 免疫墙对网络基础架构进行了安全加固，为信息化应用保驾护航。细节决定成败，免疫墙作为整个信息化应用的关键环节，需要格外重视。由于如此重要，免疫墙技术得以应运而生。

 

3 、网络应用环境的中国特色

中国网民是全球最大的网络应用群体，同时，网络环境异常复杂，使用者普遍缺乏网络安全习惯。电脑应用公私不分，职业素质不高，随意访问，滥用下载，对网络安全的意识淡漠。这些都是令人尴尬而有待提高的中国网络应用现状。

因此，免疫墙技术发起在中国，是有其特定的背景，网络应用环境的中国特色催生了免疫墙。同时也说明，免疫墙在中国的应用更重要、更迫切。

三、免疫墙技术的实现机理

1 、网络问题网络解决

★     免疫墙解决问题采用的是技术手段，而不是管理手段。

如何通过上网行为管理、扣工资、员工教育等手段被动地提高使用者素质，如何加强法律监管全面完善中国网络环境，这不是免疫墙解决问题的方向。

   免疫墙针对技术环节，通过技术手段解决网络安全稳定的问题，走的是技术路线。这与管理路线的方向不同，但二者相辅相成。

 

★     网络问题需要从网络全部环节去解决，而不是单一设备。

网络问题发生在网络内部，如果选择在其中一点部署，是不能全面解决问题的，而且还会造成单点设备的不堪重负，网络效能大幅下降。免疫墙必须是多点布控、多层管理的系统，解决问题多管齐下，这才符合网络问题网络解决的技术思路。

 

2 、免疫墙的结构部署和控制方式

　要全面满足免疫墙的技术解决思路，在实现方法上要进行必要的部署。大致包括以下5个内容：

★     首先，要在整个网络架构上多点布控

全网布控，包括在接入点、端点、关键点、节点等位置，安装免疫机制，承载免疫功能。

接入点：网关、路由、NAT设备等

端点：电脑终端、IP设备等

关键点：服务器、打印机、网络存贮、视频中心等

节点：交换机端口、子网连接、二级路由等

 

★ 其次，深入协议底层，核查真实身份，使通信过程和安全机制相融合

要在2、3层通信协议内插入安全和管理机制，对发起的每一个数据包设置免疫标记并重新封装。要在数据发起端、接入端以及交换网络的其他环节，对数据包进行检查，深度控制。

要取得并核查真实身份，网内每一台终端要抓取物理身份，而不是相信他的逻辑身份。这个真实的身份，要向网内的公信机构申报并由其保存，一旦改变，免疫墙马上就会有相应的动作。

 

—— 主要的免疫单元包括：

终端驱动：中间层驱动和CWALL，他负责为欲发送的数据包加入免疫标记，并计算校验和，重新封装；负责抓取本终端真实的物理信息，申告到运营中心；负责对网内的关键身份进行基因式绑定；负责免疫策略的执行；负责免疫通信协议的应答和策略接受，等等工作。

接入设备的免疫：在接入和转发过程中，要核查每一个请求的发起者的免疫身份，并按照免疫策略的要求进行动作。在数据的收发过程中，要对发起和回复做数据请求和身份的一一核对，实现先天免疫。要与免疫墙服务器实时数据交互，对免疫策略做出反应。

免疫墙服务器：免疫墙服务器由运行服务器、配置中心、监控中心、WEB服务器等组成。WEB服务器为非免疫身份成员提供免疫驱动下载安装，发送公告；配置中心维护安全策略并分发给各免疫单元；监控中心进行全网监控、显示、告警和允许人工干预，并形成日志审计和记录；运营中心24小时不间断统筹全网，指挥调度。

免疫通信协议：由基于SSH的连接协议、基于TCP\UDP的心跳握手协议、数据接口协议等一整套协议组成。免疫通信协议是一个加密的协议，命令格式、内容、协议过程等都是不开放的，属于私有的协议。这是出自安全的需要。

 

★     设置网络内的公信和调度机构

在对一个不可管、不可控的以太网进行改造时，有一个承载公信功能和调度功能的免疫运行服务器，是免疫墙部署必不可少的关键。

免疫运行服务器的作用是：全网的免疫身份记录和审查，免疫安全管理协议的运作，免疫策略的分发和执行，提供与配置服务器、监控服务器的接口等。

作为公信和调度机构，服务器要保证高度的稳定可靠。第一，服务器系统要做封闭式处理，使用专用操作系统，防止非法侵入。第二，要对其做隐藏式处理，拒绝无授权的访问。

 

★     制定免疫策略

对2、3层协议的监视控制、对免疫身份的审查处理、对数据流量流向的管理等，都需要通过免疫策略对其进行管控。

免疫策略与分组策略、时间策略等共同作用，决定了网络安全管理的内容规范，相当于网络安全的法律。

通常免疫墙提供了一组默认策略，这是在现有网络应用环境中，相对较适用的策略参数。这些参数是允许调整或重新设定的，以便于管理者使免疫墙更加适合自己的应用需求。或者在未来，为了满足网络安全形势的变化，免疫策略也能够做出必要的调整。

★     提供管理者接口，开放式平台

  免疫墙提供安全和管理的开放式平台，它包括参数和策略的配置、全网状况实时显示、告警、人为控制、远程监控、故障审计、流量图表、日志纪录等功能。

免疫墙全网监控中心是免疫墙极具特色的功能，是很多网络安全设备不具备的。它是仪表台和控制台，而不是黑匣子。免疫墙技术强调管理员对网络的管理作用，这点符合网络安全管理的本质和原则，适应未来网络安全形势的发展。

 

 

有以上这5项基本部署，免疫墙的功能就可以很好地实现。缺了任何一个，免疫墙的核心功能和辅助功能，就不能顺利有效地完成了。

从以上可以看出，免疫墙需要做到的是，将通信过程和安全机制紧密融合、高度可信的身份管理、以及迅捷有效的安全联动，从而实现对以太网的修补改造，使之成为在安全管理上具有自主防御、自主管理能力的免疫网络。

 

四、免疫墙与其他网络安全技术

  免疫墙是在网络安全领域中的一个全新技术概念。从解决问题的思路和角度来看，免疫墙是完全独立于目前各种网络安全技术的。从实现方法和技术的采用，免疫墙也是独辟蹊径。众多新技术的使用无法借鉴和抄袭，只能自主研究开发。免疫墙技术是来源于一线用户的需求而进行的发明，它填补了网络安全领域的空白。

  免疫墙和其他网络安全技术基本上属于各司其职的关系。其他网络安全技术在专业技术上，实际上是非常清晰的，解决问题的能力也很明确。但在行业内的一些宣传上，难免存在夸大其词的现象，造成了事实上的概念混淆。

 

1 、网络安全领域的产品分类

其实，网络安全和管理领域和在专业上已经有明确的分类，大致分为这样几类：

 

● 边界安全类：防火墙、IDS\IPS、UTM、防毒墙、网闸。。。

● 终端防护类：杀毒软件，个人防火墙，安全卫士。。。

● 内网安全类：通过网络对终端进行安全监管，文件和资产审计、公告。。。

● 身份准入系统类：审查接入网络的终端身份和资格，如NAC，windows域。。。

● 信息传输加密类：×××，加密传输，

● 带宽管理类：QoS、流控管理、负载均衡、应用交付、广域网加速。。。

● 信息管理类：上网行为管理，行为纪录，网络监控。。。

● 交换网络安全类：基于交换机、路由器的一些技术手段，如VLAN、ACL、双绑等，免疫墙

  由此可见，免疫墙在网络安全产品分类上，属于交换网络安全的类别。在这个类别中，之前采用的技术手段都是零散的，效率较低，侧重点也可能不同。所以它不能全面解决问题，效果有限。而免疫墙是目前唯一的全面解决方案，专业化程度较高，在解决问题的能力上，那些零散手段与免疫墙当然不可同日而语。

 

2 、免疫墙与几种网络安全产品的比较

★ 防火墙

  免疫墙与防火墙的区别是非常明显的，其实不必阐述。混淆的唯一一点就是都带个“墙”字。

防火墙是边界安全产品，免疫墙是局域网内产品，位置不同，解决的问题也不同，可以说一个主外，一个主内；至于所采用的技术手段，也是完全不同；防火墙是单一设备，而免疫墙是一套网关、交换到终端的方案组合。其他与防火墙类似的边界安全产品，如IDS\IPS、UTM等，与免疫墙的区别都是如此。

 

★     终端防护

杀毒软件、个人防火墙、安全卫士等产品，主要作用在个人电脑终端，实际上与网络无关。但这些产品应用面广，一些似是而非的功能宣传，如防范 ARP、DDos等，普遍让人误解为对网络***的防御有效，实际上是以点带面。

   免疫墙是对整个局域网交换网络的安全管理，电脑终端仅仅是网络内的一部分端点，代表不了整个网络，杀毒软件保护终端安全，是管不到交换机、路由器的；确实，网络***行为大多发起于终端，但终端防护产品对这些行为无法判断是否有害，因为很多***都是正常的协议数据包，所以杀毒类软件对网络安全的直接作用基本不存在；免疫墙掌控整个的网络环境，对网络协议是不是有害，有一个网络判断，因此免疫墙对局域网安全是唯一针对性的，有效的。

所以，如果把终端网卡形容为一扇门，那么，杀毒软件负责门里的事，而免疫墙负责门外。

 

★     上网行为管理

上网行为管理从出发点来讲，属于行政管理手段。尽管它对网络安全稳定有一定的辅助作用，但效果极其有限。

免疫墙不是上网行为管理技术，但免疫墙承担上网行为管理的职责，可以说是得天独厚。免疫墙在网络拓扑上，是一个分布的系统，它既有网关，也在每一个终端都存在有驱动和服务。因此，如果免疫墙产品附加上网行为管理功能，那就会比现有的一些上网行为管理产品拥有更多的优势。它可以控制和识别协议过程，对一些协议握手方式的上网行为，能够做协议式封锁，更加准确高效；它能够让整个系统分担管理责任，避免了上网行为管理动辄 100% CPU占用，严重影响网络通信效率的现象。它可以彻底分拆哪些是行政要求，哪些是网络安全要求，合理分配资源，兼顾信息化的管理和效率二个有些矛盾的需求。

所以，免疫墙与上网行为管理目的不同，一个是安全，一个是行政。但免疫墙在行政上的潜在能力也胜于上网行为管理产品。

 

★     身份准入系统 NAC

用户身份认证、终端完整性检查、终端安全隔离与修补、非法终端网络阻断等，是身份准入系统的基本功能，它可以保证只有合法的用户才可以访问网络。

免疫墙对网络成员身份的管理是三大核心功能之一。尽管都是身份管理，但免疫墙跟身份准入系统完全是风马牛不相及。

身份准入是对 终端系统合法资格的审查，而免疫墙是对 终端物理身份的通信管理。对象不同、内容不同。身份准入系统最大的作用是，对终端进行规范、约束，以强制手段对付不自觉的终端使用者，要求他们必须满足“合法”的资格要求。免疫墙身份管理的作用是，在网络通信过程中，明确每一个成员的真实身份，保证在通信过程中，协议和数据包与其身份严格对应，防止虚假和篡改。

在网络安全的作用上，二者效果不同。身份准入对网络安全的作用是间接的，免疫墙是直接的。因为，具有“合法”资格，并不能保证就彻底杜绝了对网络的危害。网络***没有那么弱智，而终端防护系统通常都是滞后的。免疫墙对身份的管理，由于采取的是真实可靠的物理身份，同时深入贯穿在整个通信过程中，发生问题能够及时控制和干预，网络安全的效果自然更加直接有效。通俗地说，免疫墙其实不过于关注身份资格，而只注重行为——“不管好人坏人，做坏事肯定不行”。

 

★     内网安全

众多的内网安全系统，实际上跟内网通信没有关系，而针对的是内网终端的桌面。它涉及到的是内网中各终端的系统、访问、操作、文挡和资产的安全管理。

免疫墙同样作用在内网，但它是针对局域网交换网络的，是对网络通信的管理。内网安全系统和免疫墙在部署上都需要对终端进行操作，这可能是唯一类似的一点。但不同的是，内网安全的桌面软件，深入到系统应用，直接干预终端的操作。而免疫墙在终端，仅仅是驱动和服务，对终端系统几乎没有注入，占用非常小的系统资源，也不会涉及终端使用者的隐私。

 

★     负载均衡

负载均衡包括2种，一种是链路负载均衡，另一种是应用负载均衡。

链路负载均衡，是将多条物理链路当作一条单一的聚合逻辑链路使用，这个技术实际上常见于多WAN应用。如果应用在内网访问、下载的带宽叠加，那么无疑欣全向的多WAN技术是目前最领先的，欣全向的免疫墙产品，都附加有这样的功能。

应用负载均衡，是操作在网络的4层或7层，完全独立于交换网络。它对服务器和链路的负载进行均衡，以免服务器计算量过大宕机和链路拥塞。

由此可见，免疫墙对带宽的管理，是针对交换网络的2-3层。所以，负载均衡和免疫墙的带宽管理，完全不是一个概念。

 

★     QoS和流控管理

   QoS即网络服务质量，是非常传统的带宽管理手段。它包括非弹性的和智能的二种方式。流控管理设备是专用的QoS网关。欣全向免疫墙设备中，传统带宽管理和欣向弹性带宽管理，就分别属于这二种。

免疫墙的带宽流量流向管理，本质上就是QoS ，但它比传统的带宽管理手段更加精细、准确、全面，而且操作便捷。

一般的应用中，大多在流控设备、路由器、网关的部分设置带宽管理策略。这样的配置存在二大问题。第一，流控功能放置在网络的接入位置，已经远离了交换网络，它只对访问到它的流量进行管理，而不能管理终端到终端、终端到服务器等的流量。流控设备的带宽管理，要根据策略不断通过和拒绝发上来的请求，因此，它对交换网络的流量负载不但没有任何帮助，还造成了大量无效访问流量。第二，流控设备的带宽管理针对的是IP，而IP是不可靠的。这样就会经常造成带宽管理的失败。

在交换机上做QoS设置也是可以的。除了昂贵的设备和复杂的操作，还不便于维护和调整。

免疫墙的流量流向管理，是在网卡、交换机端口和网关路由等处一起部署的，而且是依据真实的身份进行管理；它是一个统一的策略，能够做到全面的管理；它在每一个网卡中，都能独立设定各个访问的方向和流量，做到精细化管理。

因此，免疫墙的流量流向管理的应用效果是传统QoS和流控设备无法比拟的。

五、有关名词解释

1、  网络免疫：“免疫”是生物医学的名词，它指的是人体所具有的“生理防御、自身稳定与免疫监视”的特定功能。就像我们耳熟能详的电脑病毒一样， 在电脑行业，“病毒”就是对医学名词形象的借用。同样,“免疫”也被借用于说明计算机网络的一种能力和作用。 免疫就是让企业的内部网络也像人体一样具备“防御、稳定、监视”的功能，这样，网络就具有了免疫的能力。

2、  免疫封装：对网络通信数据进行安全识别，可信数据进行重新组包封装，使其区别于普通网络中的非安全数据，经免疫封装后每个数据包都具备不被篡改、身份准确、安全传输的能力。此技术主要解决以太网协议无序、不善管理的缺陷，结束局域网交换网络内部数据随意发出不受管控的安全隐患。

3、  免疫标记：实现免疫封装的关键技术之一，通过对数据包中预留协议位进行安全标记，标记方式由免疫墙技术相关算法协商完成，技术要求：1、免疫标记的安全处理单元是每一个数据包，而不是IP身份登记；2、免疫标记不受多网段、跨路由的传输影响，安全一跟到底；3、免疫标记只在免疫网络范围内使用，转发到免疫网络以外前应具备标记擦除与否的判断和相应处理的能力。

4、  先天免疫：是在网络接入过程中对发起请求和回应做严格的身份对应的技术手段。它采用大容量的内存，记录数据请求发起和回应的全部信息过程，而不是像其他接入设备一样，通过IP-MAC映射表实现转发。它在内、外网不做ARP信息回问，也不进行矫正广播。具备先天免疫功能的网关，无需绑定所有内网终端的IP-MAC，也能确保网络不受任何ARP欺骗***的危害。欣全向发明专利，专利号：201010221998.X。

5、  基因式身份绑定：通过终端驱动直接获取IP、物理MAC，甚至终端CPU、硬盘序列号等信息组合进行终端身份识别、登记，作为终端身份基因，这个组合做到了真正唯一、不可复制。将这个身份信息向免疫运行中心进行申告留档，同时，在每一个终端都有看守程序，对本终端所记录的网络关键身份信息进行绑定，严格禁止非法篡改。

6、  免疫策略：免疫墙各组件对二层、三层协议组合、身份管理、流量流向等的安全策略。它通过监视、报警、控制、拦截、人工干预等措施，利用免疫墙的联动机制，对网络行为进行安全管理。它是一个策略组合，对组合手段的网络***具有明显的防御能力。这是免疫墙防御***效果高人一等的原因。通过对免疫安全策略的调整定制，还能够有效针应对未来的***。

7、  终端免疫驱动：通过自动安装方式运行于内部上网终端的网卡驱动，使相应设备具备免疫防御和策略联动的能力，是免疫墙的重要组件。免疫驱动的执行安全管理实在网卡中间层进行，对网络***的防护精准到每一包，而不是程序进程监控。

8、  免疫通信管理协议：免疫通信管理协议由二层、三层协议互补组成，以便更加灵活、高效的在同一交换子网和跨网段情况下的管理通信，这样采用非公开的私有专用协议进行免疫网络管理策略下发、报警监控、组件联动，保证了免疫通讯的安全、高效。

9、  欣向智能弹性带宽管理：通过网络带宽富裕程度进行带宽管理，兼顾带宽使用效果和带宽使用率，“人多时均、人少时快”，充分利用带宽资源。技术要求：1、带宽控制不是固定的，而是动态的；2、保证带宽使用最大化的同时，不影响其它网络终端和应用，3、上传、下载分别进行智能带宽控制。

10、              免疫墙监控中心：提供整个网络运行状态的人机交互接口，全网工作状况一目了然、尽收眼底。实时图表直观显示带宽的使用情况、终端详细信息、终端网络流量、网络异常报警信息、网关运行日志等，并可对监控电脑进行一键封锁和解锁。监控中心还允许远程操作，联网管理。

11、              免疫网络：是企业信息网络的一种安全形态，主要由定位于局域网交换网络安全和管理的免疫墙技术为核心实现。免疫网络突破边界防护和终端防护的局限，从局域网交互网络整体进行联动防护，群防群控。

12、              巡路免疫网络解决方案：利用欣全向的免疫墙产品，将普通网络升级为免疫网络的途径和方法。巡路免疫网络解决方案是一个系统工程，它需要跟用户环境紧密配合，全面完善地进行新的网络规划，部署安全驱动，设置策略组合，实现稳定可靠的免疫网络。

13、              免疫墙路由器：支持免疫墙技术的路由器。用户部署免疫墙服务器和免疫驱动，构造免疫网络的时候，免疫墙路由器可以提供对免疫策略和免疫控制的良好配合。

14、              免疫墙网关：将免疫网络组成部分的接入、服务器、运行中心配置中心、监控中心、驱动部署等集成为一体，是专业化的免疫墙产品。

15、              群防群控：使交换网络具备全面安全的能力，交换网络每一个免疫组成部分都承担网络管理中心职责，成为各自所在网段、VLAN的管理哨兵，将自身管理和免疫监控的融为一体，实现了交换网络安全的“人民战争”。

16、              精细带宽管理：内外网流量细致区分，管理监控，并针对服务器、打印机等不同访问进行目的差异化流量控制，实现了流量流向带宽管理的因需而异；

17、              免疫成员（豁免）：安装免疫驱动的终端以及具有免疫功能的设备，称作免疫成员。免疫墙对免疫成员进行严格的通信管理，同时保护免疫成员不受网络***的威胁。免疫墙也允许设定豁免策略，对特殊的终端不进行免疫校验，即豁免校验。

18、              强制自动安装：终端除非被列入豁免名单，否则不安装免疫驱动就不能上网。驱动的安装过程完全自动化，免疫服务器提供下载，由终端用户一键完成。它是一套对系统安全的驱动，有微软认证和数字签名。

19、              多WAN 带宽汇聚：国内唯一全面掌握Session、weight round robin、traffic负载均衡技术实现真正带宽汇聚叠加，并通过身份绑定技术保证特别访问在多WAN下的使用，创立第四代多WAN技术标准，技术要求：不做任何设置，即保证一台上网终端使用所有线路带宽，所有网络应用（网银、论坛、QQ等）不受影响。

 

转载于:https://blog.51cto.com/helei/636544