天网防火墙技术白皮书

Internet 技术带领信息科技进入新的时代,企事业单位都纷纷建立与互联网相连的Intranet，使用户可以通过网络查询信息。然而，这时企事业单位的Intranet安全性也受到了严峻考验：网络上的不法分子不断的寻找网络上的漏洞，企图潜入内部网络，一旦Intranet被攻破，一些机密的资料可能会被盗、网络可能会被破坏，给网络所属单位带来难以预测的损害。天网防火墙系统就是针对以上情况开发、研制的，本系统可以为企事业单位网络提供完善的网络安全保障，抵御来自外部网络的***、防止不法分子的***。

天网防火墙是一套采用软硬一体化的设计，具有高安全性和高性能网络安全系统，同时提供强大的访问控制、身份认证、网络地址转换（Network Address Translation）、信息过滤、虚拟专网（×××）、DoS防御、流量控制、虚拟防火墙等功能的防火墙系统。天网防火墙是国人自己根据国内用户习惯自主开发的防火墙，在管理界面上创新的使用了WEB管理界面，用户通过直观、易用的界面管理强大、复杂的系统功能；天网防火墙不仅在界面全中文化，而且还提供了符合中国国情的全文过滤系统；天网防火墙追踪最新***技术，研究出同类产品中独有的防御拒绝服务***技术（DoS***）。

天网防火墙考虑到各种用户的需求，把防火墙分为：基本型、企业级、电信级三个类别。其中，天网防火墙的旗舰级防火墙，是一个千兆级别的网络安全系统，它面向需要进行大量数据处理与交换的应用环境，包括有：电子商务站点、电信骨干交换网络以及校园骨干交换网络等。天网千兆防火墙集合了基本防火墙系统和虚拟专网安全功能，并且通过千兆网络接口来对进出防火墙的数据进行处理。利用优化的内核把硬件的高效数据交换能力和系统并行处理能力进行有效的结合，实现了高性能、高处理能力和高安全性的防火墙系统，完全能满足各种宽带网络应用服务的数据处理要求，并且能适应更多高要求的应用环境。

<?xml:namespace prefix = v ns = "urn:schemas-microsoft-com:vml" /><?xml:namespace prefix = w ns = "urn:schemas-microsoft-com:office:word" />

技术特征


*网络功能*	*支持ADSL* *、CABLE* *、MODEM* *、DDN* *、MSTP* *、以太口等接入*
	支持多种网络通信协议和应用协议，包括TCP/IP 、ICMP 、UPnP 、DNS 、SNMP 、UDP 、H.323 、PPPOE 、DHCP 、IPSEC 、PPTP 、L2TP 、NAT 、RIP 、ARP 、ARAP 、DECnet 、NETBEUI 、AppleTalk 、BOOTP 、VOD 、OSPF 、BGP4 、IPX 、VLAN 、Spanning tree 、MPLS 等
	支持网口自动启用和关闭，支持网口模式的设定
	网口支持绑定多IP 地址、支持IP 地址池方式
	支持基于源/ 目的地址/ 目的端口/ 接口的策略路由
	支持静态路由、RIP/BGP/OSPF 等动态路由协议
	最多支持12 个互联网接口
	支持多线路负载均衡，通过连接数状况把流量分配到不同的互联网线路
	支持路由权重设置。根据带宽大小分配流量
	支持南北通功能，实现同时接入电信及网通网络
	支持备份线路功能，支持线路存活情况检测，可以根据主线路存活情况自动切换到备份线路上
	DHCP server/ DHCP relay/ DHCP client
	支持路由模式、网桥模式和网桥路由混用模式
	支持服务负载均衡
安全功能	采用专用硬件平台与专用的安全操作系统SNOS
	智能状态包过滤检测技术
	支持TCP/IP 、UDP 、ICMP 等协议访问控制
	支持多DMZ 区，可按需求增加安全区域
	双向网络地址转换(NAT) ，支持动态地址转换和静态地址转换。支持多对一、一对多和一对一等多种方式地址转换
	可提供基于芯片的SYN Flood、UDP Flood、ICMP Flood、MAC Flood等DOS、DDOS的防御*
	可自动防范Tear Drop、Smurf、Land Attack、WinNuck、圣诞树等几十种网络和扫描窥探，达到线速检测过滤*
	TCP 标志位检测技术
	ARP *防御网关，有效防止局域网内部ARP *导致的网络中断
	支持对 QQ/MSN/SKYPE/ 雅虎通等即时通讯软件过滤
	支持对Bittorrent/ eDonkey/eMule 等P2P 应用过滤
	支持基于流的URL 过滤、关键字过滤及文件名过滤
	应用层动态协议分析技术，支持协议：常用协议：HTTP/POP3/SMTP/IMAP/NNTP/SSL/TLS/SSH/FTP/SNMP/DNS/TELNET/DHCP/VNC/ PCANYWHERE/RDP /RADMIN/BGP/ NETBIOS /TFTP/SOCKS 5/SMB 视频协议：H.323/RSTP/HTTP-RSTP/MMS/ SIP P2P 应用：Bittorrent/ eDonkey/eMule/ 迅雷 IM 应用：QQ/MSN/SKYPE/ 雅虎通/AIM 游戏应用：Counterstrike /Doom 3/Half-Life 2/Quake / World of Warcraft /XBox Live
	基于PPTP 用户的访问控制
	端口镜像功能
	支持对802.1q VLAN 协议的过滤及支持VLAN trunk 协议
	IP 地址与MAC 地址绑定
	网络黑洞功能，阻挡非法的网络探测及***
	DoS 防御网关，防御各种类型的DoS ***，保护服务器及网络
	当前网口流量监控，自动防御及报警*
	支持SYN-DI 防洪堤模块，抗拒高强度的DDoS *******
	支持radius 、口令、证书、LDAP 、TACACS/TACACS+ 等多种认证方式
	内嵌检测及防御模块，针对病毒及网络进行防御
	虚拟防火墙，支持数据中心应用、电信信息商厦应用
	支持与IDS 、防毒系统等多种网络安全产品联动
流量控制功能	通过权限组形式控制每个IP 地址的上行/ 下行带宽，上行/ 下行包数，并发连接数，Qos 最大队列数
	精细划分每个IP 地址特定端口范围内的TCP/UDP 连接数
	支持长时间下载限制功能
	支持动态带宽调节功能，根据在线主机数量、总连接数、时间自动调节每个IP 地址拥有的带宽
	支持最小保证带宽功能
V P N	IPSEC ××× 及IKE ，硬件加速×××
	PPTP/L2TP ×××
	天匙虚拟专网，带宽消耗和CPU 资源损耗最少的××× 连接方式之一
	全面支持MPLS ××× 连接方式
	支持标准IPSEC 及国密算法
	支持预共享密钥和数字证书
	支持与防火墙、××× 网关及××× 软件客户端进行××× 互联
管理功能	支持基于对象、时间、IP 、端口的管理
	提供命令行、WEB 图形化及基于SSH 的登录管理
	支持本地管理、远程管理及防火墙集中管理器
	设置可信主机对防火墙管理
	多层登录权限控制
	支持snmp 网管功能，可与openview 集成查看防火墙状态
	实时系统监控，观察系统的运行状态及网络连接状况
	实时报警，支持拨打电话和Email 等多种方式报警
	系统操作记录，记录系统管理员的所有操作情况
	网络数据日志记录及当前日志记录，日志自动导出分析
	支持syslog 及snos 日志格式，可转换为其他设备及网管工具分析
	支持各功能系统配置保存、恢复、下载及上传
	支持远程系统升级及执照管理
	提供网络测试功能
高可用性	支持防火墙的主-主、主-备、1：N冗余等不同备份和负荷分担机制
高可用性	支持发生系统、线路故障时自动切换
可靠性及扩展性	支持NPU 、IA 、PPC 、X86 等多种芯片架构，保证系统可用性
	双引擎处理：业务处理核心为可编程ASIC芯片，管理核心为X86高性能CPU
	支持可编程ASIC芯片和软件的升级和维护
	当前运行状态显示及健康通告
	提供双机热备份服务, 在瞬间自动切换不正常工作的防火墙系统
	支持电源冗余及热插拔模块扩展
	可扩展各种软硬件模块，如扩展防病毒、内容过滤、××× 加速卡、专用检测卡*

技术指标：

ü 终端控制接口：RS-232,DTE, 9600-8-N-1

ü 标准1U机箱硬件设计 482W×255D×45Hmm，净重：<?xml:namespace prefix = st1 ns = "urn:schemas-microsoft-com:office:smarttags" />3.5KG

ü 工作温度：0～50℃（32～122℉）；存放温度：－10～＋70℃（14～158℉）；相对湿度：5 ～95％@40℃（不凝露）

ü 安全标准：IEC60 950，EN 60 950，UL1950

ü 电磁兼容性EMC：EN55022&EN55024，FCC CFR 47 Part 15 (B级) ， ICES-003(B级) ，CISPR 22(B级)，AS/NZS 3548(B级) ，VCCI(B级)

ü 电源系统：200V～240V, 4Amps(max), 300W(max)

ü MTBF ≥100000小时

主要特性与性能

天网防火墙在设计上采用软硬件一体化的结构，通过把软件与硬件紧密、无缝、深层的结合起来，形成一种高效的网络处理能力，和其他基于传统的软件防火墙比较，具有更加高效、安全和实时化。

天网防火墙系统是一套全面、创新、高安全性、高性能和自主知识产权的网络安全系统。它可以让系统管理者根据自己的喜好、任务和网络环境来自由的设定安全规则（Security Rules），并通过这些安全规则来把守企业、电信网络的安全。同时它还可以提供强大的访问控制、网络行为管理、网络地址转换（Network Address Translation）、信息过滤、虚拟专网（×××）、流量控制和虚拟网桥等功能，使用户完全可以在安全的防火墙基础上使用安全的服务，为用户减少其他网络设备的投入。天网防火墙采用了WEB管理界面，通过直观、易用的界面管理强大、复杂的系统，同时采取了128位的高强度加密数据流形式，避免一切可窃听、冒充行为的发生，另外由于采取了高性能的网络核心进行访问控制，可以最大程度上的保护防火墙自身的安全，与其他同类产品相比防火墙自身显得更加安全。天网防火墙系统，是自主知识产权的开发的防火墙系统，完全采用符合中国人习惯的人性化的设计，在设计的时候不仅在界面采取完全中文化，而且在功能设计上还提供了符合中国国情的全文过滤系统，充分满足国人的使用习惯。

基本系统功能

1.1.1. 一体化硬件设计

天网防火墙系统采取软件与硬件的紧密无缝、深层的结合，充分发挥软件的易扩充、易升级和易设置的特点，同时又通过专用的硬件保证防火墙的最大限度内的高效率、高吞吐量、高安全性和稳定性。

天网防火墙系统在内部采取了专用的操作系统保证防火墙在功能上可以最大程度上的满足用户的需要，而且对于一些特殊用户的需求可以在最短的时间内通过修改系统来实现，与其他纯硬件防火墙相比较具有升级方便、升级快速、升级费用低廉（免费升级）和功能强大等特点。为了保证防火墙在数据量非常大的情况下的高性能与高吞吐量，天网防火墙又采取了工程专用硬件进行了硬件化设计，使得能够保证软件和硬件的紧密结合，充分发挥硬件的每一分资源，保证防火墙自身不存在“瓶颈”问题的出现，从而提高防火墙的整体性能，天网防火墙从最早的一体化硬件设计思想提出到实现已经经历了重重考验，在技术上是成熟的，与同类的纯软件防火墙相比具备无可比拟的高效、高吞吐等优势。总的来说，天网防火墙充分发挥了软件和硬件自身的优势，充分做到互补、互优，最大程度上提高防火墙的整体性能，因而避免了对被保护网络所带来的影响。

1.1.2. 自行开发的高性能系统内核SNOS

天网防火墙是自主知识产权开发的软硬件一体化防火墙，由于要与硬件结合，所以天网防火墙采用了专用的天网操作系统（SNOS）。天网操作系统是专门为防火墙而设计的，从最底层已经考虑到了防火墙的安全性，可以从设计开始就保证防火墙的绝对安全，这与其他的同类产品相比具有无比优势的安全底层，保证防火墙在任何***下都安然无事。同时天网操作系统的设计之初，就是为防火墙量身定做的，完全考虑了网络的特点，去掉了其他操作系统不必要的各种系统接口，使得操作系统能够提供高效快速的反应。最大程度上的与硬件结合，可以保证对×××量的网络进行高速全面性检测。

1.1.3. 支持各类标准网络服务和协议

天网防火墙是从设计上就是为网络而设计的，由此天网防火墙充分考虑了用户的需要，在天网防火墙内部的NAT系统同时支持九十多种通信协议（包括IGMP、ICMP、TCP、UDP等）和七百多种TCP/UDP服务，其中主要部分包括：

常用服务：

HTTP、FTP、SMTP、NNTP、TELNET、ECHO、FINGER、SYSTAT、DYATIME、DNS、TFTP、GOPHER、POP3、RTELNET、RLOGIN、CISCO-SYS、SNMP、IRC、IMAP4、UUCP等；

数据库服务：

Oracle SQL*NET、SQL-NET、ODBC、SQLSRV、SQLSERV等；

多媒体流：

Progressive Networks RealAudio、Xing Technologies Streamworks、 White Pines CuSeeMe、Vocal Tec Internet Phone、VDOnet VDOLive、 Microsoft NetShow、Vxtreme Web Theater 2 等。支持H.323及SIP应用，包括Intel Internet Video Phone、Microsoft Netmeeting 等；

特殊服务：

NetBios、RPC；

Microsoft Network 可以通过本防火墙系统进行通信。同时支持Remote Procedure Call。使用Windows、Windows NT的网络系统也可以采用本系统作为保护企业数据的防火墙。

支持TRACERT及TRACEROUTE命令，包括Visualroute等；

天网防火墙支持多种网络服务可以满足用户平时的各种的需要，使用户在使用天网防火墙的时候感受不到防火墙的存在。

1.1.4. 支持DMZ区可增加管理区域

采用DMZ 停火区的方式能够有效的保护用户对外发布信息的服务器，如web服务器、邮件服务器和DNS服务器等等。天网防火墙提供的DMZ 配置能够隐藏服务器的真实地址，在保证对外提供正常服务的同时保护服务器不受非法***。停火区的服务器与局域网分开放置，这样能够禁止外部对内部网络其他系统的访问，从而减小外来***的可能性。

1.1.5. 基于状态检测的包过滤

包过滤技术，是防火墙中最主要的安全技术，它是通过防火墙对进出网络的数据流进行控制和操作，系统管理员可以设定一系列的规则，来指定那些地址，那些类型的数据包可以通过。天网防火墙在此基础上采用了最为先进的状态包过滤的技术，不但能够根据数据包的源地址、目标地址、协议类型、源端口、目标端口以及网络接口等数据包进行控制，而且能够记录通过防火墙的连接状态，通过连接状态进行更迅速更安全的过滤。

1.1.6. 完善的访问控制

天网防火墙灵活的安全规则设置，可以使得管理员根据网络环境的需要从以下几个方面来设定安全规则：

◆ 数据包的源、目的地址

◆ 协议类型

◆ 数据包的源、目的端口

◆ 数据包通过的网络接口

◆ 时间管理

系统提供了大量的常见服务类型供管理员配置选用。通过与应用层代理的结合，能够形成多层次的访问控制。

1.1.7. 包过滤功能的透明网桥

天网防火墙能够以透明网桥模式工作。它工作于透明桥结构之上，实现于数据链路层，因此无需IP 地址；无IP 的防火墙则没有任何被***的目标，保证了防火墙自身的绝对安全，进而也保证了内部网络的安全。同时透明防火墙还有一个优点是在安装防火墙时，可以直接放置在网络中，而无须改动用户原有的网络拓扑。而且，相对于一般桥接器的桥接功能，天网防火墙在进行桥接功能的同时，还能实现包过滤功能，可以对通过防火墙的数据包进行安全检测，并且根据一定的安全策略对某些数据包进行拦截，从而保证在完成桥接功能的同时，维护网络的安全性。

1.1.8. TCP标志位检测

在大多数的防火墙里，都缺少对连接是从哪方主动发起进行判断的选项，这将导致一个潜在的安全隐患是***者可能可以从一个外部主机的某个常用服务端口连入内部主机的高端口。例如，如果允许内部主机访问外部主机的telnet服务，这个方向连接的所有包应该是必须包含ACK位的，也就是说，不是主动发起的连接。但通常的防火墙的包过滤功能里并没有检查ACK位的设置，因此，***者就可以从外部主机的源23端口发起连接到内部主机的高端口(>1023)。天网防火墙系统通过在安全规则上的设置对数据包的SYN/ACK等标志位进行合法性检测和判断，防止不法***者利用常用服务的低端口与内部主机的高端口的连接，从而***内部主机，与其它同类产品相比天网防火墙的TCP标志位检查是最严格的，也是最安全的，从而最大的程度上保障用户的网络安全。

1.1.9. 网络接口可绑定多个IP地址

天网防火墙为保障用户未来网络的扩大与升级，采取了一个接口处可以绑定多个IP地址，即相当于一个接口可以变成多个接口，连接多个网络。一个接口上绑定多个IP地址能够尽量的发挥防火墙的作用，使内部网的网络都连接到防火墙上，从而内部网都处于防火墙的保护状态下。

1.1.10. IP地址与MAC地址绑定

在内部网络的应用中，经常会遇到内部网络用户擅自修改IP地址，以获取一个合法IP地址来进行相应的网络应用，这样会使内部网络在地址资源的分配和使用上出现混乱，大大影响内部网络的正常运行，而且在网络事故发生以后，也加大了地址追寻的难度。天网防火墙所具有的MAC地址绑定功能可以很好的解决这个问题。当网络用户被分配或自行设定一个IP地址以后，防火墙系统就能接收到相应的地址广播，在防火墙系统上列出相应的IP地址与MAC地址，并可以选择是否把这个IP地址与相应的MAC地址绑定，这样可限定IP地址只能在一台指定的工作站上使用，大大方便了网络的IP地址管理。

1.1.11. 系统操作记录

网络安全最大的问题并不是技术上的问题，而是因为人的问题。虽然天网防火墙在自身上花了许多工夫来保持防火墙自身在恶意***的***下的安全，但是在很多时候由于管理员的疏忽，没有修改掉防火墙的默认密码或者设置了简单的密码而被恶意***者猜解出来，这样会严重的威胁到网络的安全性，由此天网防火墙设置了系统操作记录，清晰的记录管理员身份用户登陆防火墙的一举一动，为事后追查提供完备的依据。由于系统操作记录记录了管理员身份用户的一举一动，所以系统操作记录是不可删除的，即便超级用户也没有权限进行删除操作，从根本上保证系统操作记录的安全性。

1.1.12. 支持巨量并发连接数和NAT连接数

天网防火墙为防火墙专门设计的操作系统，软件与硬件的一体化设计，使得天网防火墙在整体与其他同类型的防火墙比较起来具有更高的效率，更好的性能，所以天网防火墙在正常情况下，能够支持巨量的并发连接数，尤其天网千兆防火墙在硬件上进行了专门的优化，最多可支持的并发连接数目达到300万条，足够满足电信级的应用需求。

1.1.13. 增强型加密中文WEB管理界面

天网防火墙是国人自主知识产权的防火墙，它是完全根据国人的使用习惯而设计的管理界面，采取了三种管理方式，其中最为常用的WEB管理界面具有直观易用等特点，为了防止用户设置的数据遭监听，防火墙采取128位加密数据传输，并采用防止密码猜解和通过各类脆弱性测试，保证防火墙的绝对安全。在防火墙管理上考虑到升级的需求，用户可以通过WEB管理页面直接上载升级数据包，即可完成防火墙系统升级服务，操作非常的方便。

1.1.14. 支持非标准标志位

天网防火墙充分研究网络中的各个应用程序的数据包，针对一些邮件服务器在使用esmtp验证的时候发送一些特殊结构的数据包，天网防火墙也做了特殊的技术处理，能够很好支持此类非标准的esmtp数据包，保证用户的正常使用。

安全应用控制功能

随着网络技术的发展，各种应用技术的发展和成熟，网络的规模不断增大，网络内部的主机数量不断增加。当前的网络存在着这么几个问题，首先是海量并发连接的处理能力，实现数据包的快速转发，路由器成了网络的瓶颈；第二，用户带宽的无序竞争日益激烈，关键业务无法优先处理，造成工作效率不高；第三，ＢＴ软件的滥用使恶意竞争带宽更白热化，极大地破坏了网络的有序应用；第四，病毒爆发，海量病毒数据包冲斥整个网络，使得整个网络处于崩溃状态。

那么，如何解决上面这四个问题，让企业享受信息技术发展成果，成了信息化工作的重中之重。为此，广东天讯电信科技有限公司利用自身防火墙技术领域的优势，在传统的天网防火墙基础上，开发出了功能更强大，管理更方便，更贴近客户需求的安全应用控制功能。

1.1.15. 管理大量IP的能力

天网防火墙系列产品定位就是给千台以上的主机进行局域网络管理。普通的路由和防火墙只能在这种网络环境下提供简单的NAT 和简单的过滤。如果在这种网络环境下再进行Qos或者复杂防火墙过滤，系统就会很容易崩溃。

天网防火墙均选用强劲性能处理器，强大的运算能力保障了系统可以承载数千台主机的每秒数以万计的数据包的通过和处理。

为了适应面向IP对象，和大量主机的信息管理，天网防火墙重新构造了整个网络包处理体系，使之能够管理如此大量的主机信息，而性能又不会因为大量运算而下降，原有网络OS全部根据大容量和大运算量的要求进行重写。硬件和软件性能的大幅度提高，确保了SNS能在大规模网络环境运算中游刃有余。

1.1.16. 对大量数据包的***防御

天网防火墙的组功能中最大上下行包数的限制功能，主要是针对网络里病毒感染或者***的恶意***行为制定的。病毒或者***通过发送大量数据包到网关或者网络出口，使路由器或者防火墙忙于处理大量毫无意义的数据包，同时这些无意义的数据包又占据掉有限的带宽资源。使正常的通信根本不能得到带宽资源。

在正常的通信情况下，每台主机每秒钟发出的数据包的数量都不会超过一定的数值。当然这个数字会随着带宽增加而增加，但是这个数值一般只是几百。但是当主机感染病毒发作或者***软件***时，这个数值就会达到上万。这时，就可以判断这个主机的访问不正常，属于恶意***。

天网防火墙的***防御也是根据这种原理设计的。设定单台主机的上行包数量的上限，通常是几百就可以了。当主机每秒发出包数超过这个阀值，剩下的数据包就会被丢弃。使这些***数据包不能占据带宽资源。也避免路由器处理大量无意义的数据包而崩溃。

1.1.17. 抵御各种DoS***

天网防火墙跟踪最新***技术，最早开发出针对网络上比较流行的DoS***的防御网关，它所采取国际首创的技术，能够从最根本上防止 DoS的***行为！天网防火墙采用经过优化的TCP连接监控方式来保护防火墙内的脆弱机器。这种算法的特点是在处理TCP连接请求的时候，在确定连接请求是否合法以前，用户端与服务端是隔断的。这就令到DoS***者在发动***的时候并不能直接连接到防火墙内部的机器，所以***者所发出的所有DoS***包只能到达防火墙，从而保护了防火墙内部的机器不受到DoS***。而且，天网防火墙通过高效的算法（64K位的Hash）提供了超过300万以上的同时连接数的容量，为数据传输的高效和可靠提供了强有力的保障。

1.1.18. 有效过滤大量IP的防火墙机制

天网防火墙除了支持象传统防火墙的规则条目设置，同时也支持以IP或者端口群组的模式进行过滤规则设置。假设我们要过滤1万个×××、反动网站。在传统防火墙设置里，我们可能要写下1万个条过滤网站的规则。1万条可是一个惊人的数字，如果每个数据包都要经过这1万条过滤规则的校验，你的路由器估计处理不了多少个数据包。

天网防火墙特有的IP群组功能，可以把大量IP编辑到一个群组，如果你要过滤这个群组的IP，只需要设置一条防火墙规则，这条规则声明访问这个群组的IP包丢弃即可。当然，这条规则也还是要在这个群组的上万IP中检索，但是天网防火墙特有检索算法可以数量级的提高检索速度，这是传统的顺序检索所不能比的。群组的IP经过预先的索引，不会因为IP数量增加，检索时间就增长。因此，过滤数量越多IP，就越能体现天网防火墙的速度优势。

1.1.19. 域名信息缓存

天网防火墙可以监控并记录网络内所有的DNS查询，并缓存域名和IP记录。这样，管理人员察看用户连接情况时，看到的就不是毫无意义的IP地址，而是具体的域名。这样就可以更清晰的察看用户的上网情况。

1.1.20. ×××数据安全传输

虚拟专网(×××)技术是指在公共网络中建立专用网络，数据通过安全的“加密管道”在公共网络中传播。企业只需要租用本地的数据专线，连接上本地的公众信息网，各地的机构就可以互相传递信息；同时，企业还可以利用公众信息网的拨号接入设备，让自己的用户拨号到公众信息网上，就可以连接进入企业网中。使用×××有节省成本、提供远程访问、扩展性强、便于管理和实现全面控制等好处。

天网防火墙同时提供安全可靠的基于IPSEC ×××服务和提供移动用户拨号的PPTP/L2TP ×××服务。

天网防火墙还提供天匙×××服务，是天网防火墙研发的一种专用×××服务，具有高度的安全性以及比IPSEC更快速的传输速度，可以有效地提高×××数据的工作效率。

天匙×××服务器提供不同网络之间的×××互连。天匙的×××连接是基于UDP或者TCP 的隧道（tunnel）进行通信，子网的数据加密后通过tunnel进行传输。子网之间由一方发起请求建立tunnel，然后子网的通信就可以透明的在两个网络间进行。由于使用Tunnel的方式，可以透过作地址转换的防火墙，实现防火墙后面的子网互联。

网络行为管理功能

1.1.21. 实时系统监控系统和网络状态

天网防火墙从设计的时候始终站在用户的角度去考虑，尽量简化用户的操作，尽量的给用户直观、可试化的报告。天网防火墙在正常工作状态下，用户可以通过管理端清楚的查看到防火墙当前的系统资源、运行状态以及正在进行的各个连接的连接状态，包括当前活动的URL地址信息，使得用户可以清楚的了解到各个用户对网络的使用情况，并从中发现可疑的问题，做到早期发现问题，早期处理。

1.1.22. 网络数据记录

网络管理员在管理网络的时候通常要检查网络的流量，网络数据记录模块是专门为方便网络管理员而设计的，能够非常直观的看到流经防火墙的数据类型、流量和连接数，方便管理员及时的发现问题。

1.1.23. 第七层协议智能分析技术

传统的流量识别技术都是以端口做为识别手段，比如QQ是用4000和8000，以前的作法是在防火墙上直接将对应的端口进行关闭，达到封堵流量的目的。但是，随着动态端口技术在网络应用开发中的推广和采用，利用端口进行流量控制的年代已经一去不复了。

天网团队利用自身的安全技术优势，广泛采集和分析各种七层应用流量数据包，经过无数次数据提取和比较，终于建立一套七层协议流量的分析模型。根据此模型，确立了业界最为先进的第七层协议智能分析技术。第七层协议分析技术是以协议数据包的特征码为识别标志，不论该协议流量利用什么端口进行传输，都可以准确无误地标识出来。

目前，天网防火墙的动态七层协议分析功能已经可以分析出一百多种常用和流行的协议，比如QQ、MSN、ICQ、SKYPE、BT、迅雷、KUGOO、电驴、电骡、TELNET、FTP、SSL、TFTP、POP3、SMTP、H.323、VoIP、CS、魔兽、魔兽世界……更多的协议正在添加中……

利用动态七层协议智能分析技术，可以有效地对网络流量进行识别，并对垃圾流量进行清洗，保证网络关键业务的畅通无阻和优先处理。

1.1.24. 基于单个IP或者IP组为对象的网络管理功能

传统的路由器和防火墙的管理都是基于规则列表的形式进行设置。如果要对局域网内的不同的IP定义不同防火墙规则或者QOS规则，将会形成庞大规则列表，系统对数据包进行处理时将要搜索这个庞大的列表，这种方式设置麻烦，处理的效率低下。

天网防火墙的网络管理功能是基于IP进行设置和管理的。你可以为局域网的IP定义不同管理组里，在组里面，你可以定义这些IP的网络行为，比如最大上下行带宽，每秒通过的包数，最大连接数等，还可以定制这个IP组的防火墙过滤规则，约束这些IP地上网行为。局域网内的每个IP都属于这些权限组的其中之一。一个IP属于某权限组后，系统将按照权限组的定义管理这个IP的网络行为。系统同时以IP为单位对流量信息和连接信息进行记录。

天网防火墙的每个组可以管理以下信息：

1．最大上行带宽；

2．最大下行带宽；

3．每秒最多上行包数；

4．每秒最大下行包数；

5．最大并发连接数；

6．针对IP的防火墙过滤规则组；

天网防火墙是面向单个IP为对象的路由和防火墙管理体系，这是传统路由和防火墙所没有的功能。

1.1.25. 动态带宽调节功能

天网防火墙支持动态带宽调节功能，除了在权限组里设置的带宽值外，每个用户的带宽可以根据一些外部的条件进行自动调整。可以根据三种条件进行带宽的自动调整：

1．时间，包括工作日和每天的时间段；

2．在线主机数量；

3．网络总连接数。

可以为每个权限组定制一系列的带宽调节规则，系统会根据规则的次序，自动找到当前条件匹配的规则，重新定制当前的上下行带宽数值，实现带宽的自动调节。

1.1.26. 最低带宽保证功能

由于现实应用需求的不断增长，很多客户要求在限制管理各台PC最大带宽的情况下，还要求可以保证最低带宽。

天网防火墙利用优先的带宽分配算法，可以对有限的带宽进行科学合理的灵活分配，同时做到按协议类型、服务类型和IP网段等条件，保证用户的最低带宽使用，保护关键业务的开展。

1.1.27. 根据端口的连接数限制功能

权限组里面可以设定每台主机的总连接数，但是紧紧根据总连接数去限制一些多连接服务，可能会有矫枉过正的问题，因为，也存在很多多连接的应用，比如浏览网页，这样，如果总连接数定的太小，就会影响这些应用的正常运行。如果总连接数过多，就不能限制象BT这样的多连接应用。

因此，特别定制了根据端口范围的连接限制功能，可以根据端口范围设定在该范围内的总连接数目，比如 BT使用的都是1024以上的端口，我们可以设定1024以上端口的连接数到一个很小的数值，这样BT的很多连接都不能建立。同时又能保证80这样的服务的连接正常通过。就能有效的抑制BT这样占用带宽应用。

1.1.28. 防止恶意占用带宽

除了病毒和******以外，恶意的带宽占用行为，主要是指使用一些大流量的网络应用（如FTP、BT、视频、实时点播等）。在一个大型局域网里面，没有带宽管理，结果是可想而知的。本来有限的带宽资源平均分配后，每个用户所能得到的就有限，某些家伙使用大流量的应用之后，其它用户所能得到的带宽就更少。大流量的应用占用带宽之后，直接影响别的应用的质量，通常是实时性要求比较高的网络应用，如网络游戏等交互式应用。在网吧，或者小区网络环境下，几个使用BT下载的家伙就可以使这个网络的游戏玩家出现卡机，掉线的现象。BT是网络管理员最为讨厌的软件之一，它不仅占据带宽，而且它是多连接的应用，一台主机的BT下载打开后，会发起成百上千的连接，太多得连接会占用路由器的处理器和内存资源，降低路由器的性能。

天网防火墙的带宽管理功能可以对数千台主机的带宽进行管理，防止它们超过限制数值。同时，带宽管理可以依据时间段设置，可以在繁忙时段降低带宽限制值，在空闲时段提高限制值，以此提高带宽的利用率。

同时，为了限制BT这些多连接应用，天网防火墙实现了大多数路由器和防火墙没有实现的功能。限制单个IP地址的连接数。通过设定较小的许可并发连接数，可以有效的抑制多连接应用的运行。

1.1.29. 关键字内容过滤

网络的膨胀，让很多不应该进入网络里面的东西到处充斥在网络之中，网络管理员要想把这些东西和内部网络隔离开来，实在是一件非常麻烦的事情。天网防火墙的内容过滤为专门解决这个问题而设计的，它工作在应用层能够监视每一个连接的内容，发现与设置的关键字匹配，就可以马上向两边发送reset，从而断开两边的连接，保证用户不能访问到包含不合适的内容。

1.1.30. 支持URL拦截

在日常网络管理中，管理员经常需要控制内部网络对某些站点的访问，如防止某些用户访问某些×××站点等等，或者仅允许部分用户访问某些站点，这个时候就需要有严格的管理工具来实现，而且由于防火墙是工作在网络层，而这些访问信息包含在应用层，所以必须在防火墙上增加一些功能模块来实现。

天网防火墙提供支持中文URL级的过滤，它可以做到控制，屏蔽用户通过其他代理服务器访问web站点。系统可以根据黑名单对用户访问的URL进行拦截或放行的处理。

同时，天网防火墙还可能针对不同的后缀名文件类型进行下载控制。

1.1.31. 管理内部网聊天工具

天网防火墙群组过滤功能特别适合过滤一些聊天工具。现实常用的聊天网站，QQ、MSN、POPO等，都是一个庞大的服务器机群。拥有数百台服务器主机。而且这些聊天服务最可恶的是会使用TCP 80端口接受访问，使通过端口过滤的方法不能实现，传统的防火墙过滤数百个IP又是极其麻烦的事情。

有了群组过滤功能，这些事情就很简单了，我们就直接定义MSN、QQ这些IP组，然后直接过滤这些组就可以了。而且的防火墙规则可以设定生效时间。因此，你可以通过设定规则，使员工上班不能聊天，下班时间又放开。这样就不会让员工抱怨限制过多。

1.1.32. 精确到单个主机和连接信息记录功能

天网防火墙拥有强大的主机信息记录功能。系统内部会为所有管理的主机都分配流量信息记录结构，因此可以统计出局域网内所有主机的流量信息。系统也是依据这些信息对每台机器的上下行包数，上下行带宽进行控制。系统对每台主机的信息记录精确到它的每个连接。系统记录的信息包括：

1．每台主机的上下行流量和速率；

2．每台主机的上下行包数和包速率；

3．每台主机的TCP和UDP连接数目；

4．每台主机的每个连接的目的地址，端口，域名（网络查询过的域名会进行缓存）；

5．每个连接的上下行流量和速率；

6．每个连接的上下行包数和包速率；

7．每个连接的起止时间；

8．每个连接的状态。

可以设定数据采样的时间间隔，系统将当时这个局域网流量信息采样，并记录到硬盘。这样，管理人员就可以查找数天前的网络状况，在网络故障后，管理员可以察看历史纪录，判定是什么主机占用了资源。对于企业用户，可以察看员工的所有上网记录。

转载于:https://blog.51cto.com/kingzoo/50433

weixin_34265814

关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
天网防火墙技术白皮书

1. 产品简述... V2. 天网防毒墙系列... VI3. 天网防毒墙的主要功能... VII3.1. 功能简述... VII3.1.1. 应用层的安全防范体系... VII3.1.2. 客户端的安全防范体系... VII3.2. 应用层的安全防范体系... VII3...
复制链接

扫一扫