NetST技术白皮书.doc

NetST®防火墙技术白皮书 1．安全概述 互联网的迅猛发展，给企业带来了革命性的改变，增强了企业获得信息的能力，加快了企业内部信息的交流和办事效率，提高了市场反应速度，使企业在商业竞争中处于有利地位，更具竞争力。 在享受Internet带来的方便与快捷的同时，企业也要面对Internet开放带来的数据安全的新挑战和新危险，如何保护客户、销售商、移动用户、异地员工和内部员工的安全访问以及保护企业的机密信息不受黑客和间谍的入侵，成为网络安全的主要内容。Internet的安全问题是不能忽视的。 当用户与Internet连接时，可以在中间加入一个或几个中介系统，防止非法入侵者通过网络进行攻击，并提供数据可靠性、完整性的安全和审查控制，这些中间系统就是防火墙（Firewall）。防火墙是设置在被保护网络与外部网络之间的一道屏障，以防止不可预测的、潜在破坏的非法入侵。它通过监测、限制、修改跨越防火墙的数据流，尽可能地对外屏蔽网络内部的结构、信息和运行情况，以此来实现内部网络的安全保护。 防火墙一方面限制数据流通，一方面又允许数据流通，由于不同网络的安全要求和管理机制有差别，这对矛盾也有不同的表现形式。这样就有了两种极端情况：一是除了非允许不可的，其它都被禁止；二是除了非禁止不可的，其它都被允许，而多数防火墙则在两者之间采取折衷措施。在确保网络安全的前提下，应尽量提高跨越防火墙的访问效率。 防火墙提供行之有效的网络安全机制，是网络安全策略的有机组成部分。它通过控制和监测网络之间的信息交换和访问行为实现对网络安全的有效保障，在内部网与外部网之间实施安全的防范措施。 这本白皮书讨论清华得实NetST®防火墙——基于状态检测技术的硬件防火墙。 NetST®防火墙采用专用硬件和安全增强内核设计，具有带内带外管理、日志管理、安全策略编辑、安全状态检测等多项强大的安全功能。目前通过国家安全有关部门的安全性评测，并获得公安部颁发的“计算机信息系统安全专用产品销售许可证（XKC33129）”。 NetST®防火墙位于内部网络与外部网络的连接处，对进出内部网络的所有数据进行检查，符合一定的访问控制规则的数据才允许通过，否则要拒绝或修改数据，并能检测出可能的非法内外网络入侵，及时进行处理和记录，保证网络安全。 该防火墙能有效地防止黑客入侵，抵御来自外部网络的攻击，保证内部系统的资料不被盗取，可为电信、邮政、政府、教育、能源、金融、企业等各部门现有的网络提供最有效、最彻底的保安措施。 2．Internet防火墙技术：概述 防火墙（Firewall）是用一个或一组网络设备（计算机系统或路由器等），在两个或多个网络间加强访问控制，以保护一个网络不受来自另一个网络攻击的安全技术。防火墙的组成可以表示为：防火墙=过滤器+安全策略（+网关），它是一种非常有效的网络安全技术。在Internet上，通过它来隔离风险区域（即Internet或有一定风险的网络）与安全区域（内部网，如Intranet）的连接，但不妨碍人们对风险区域的访问。防火墙可以监控进出网络的通信数据，从而完成仅让安全、核准的信息进入，同时又抵制对企业构成威胁的数据进入的任务。通常，防火墙服务于以下几个目的： l 限制他人进入内部网络，过滤掉不安全服务和非法用户； l 限定人们访问特殊站点； l 为监视Internet安全提供方便。 由于防火墙是一种被动技术，它假设了网络边界和服务，因此，对内部的非法访问难以有效地控制。因此，防火墙适合于相对独立的网络，例如Intranet等种类相对集中的网络。 防火墙的主要技术类型包括网络级数据包过滤（Network-level Packet Filter），应用代理服务器（Application-level Proxy Server），状态检测防火墙。 2.1 包过滤防火墙 数据包过滤（Packet Filtering）技术是在网络层对数据包进行分析、选择，选择的依据是系统内设置的过滤逻辑，称为访问控制表（Access Control Table）。通过检查数据流中每一个数据包的源地址、目的地址、所用端口号、协议状态等因素，或它们的组合来确定是否允许该数据包通过。其实现机制如图1所示。 图1 包过滤防火墙的实现机制 数据包过滤防火墙的优点是速度快、逻辑简单、成本低、易于安装和使用，网络性能和透明度好。它通常安装在路由器上，内部网络与Internet连接，必须通过路由器，因此在原有网络上增加这类防火墙，几乎不需要任何额外的费用。 ——这类防火墙的缺点是不能对数据内容进行控制：很难准确地设置包过滤器，缺乏用户级的授权；数据包的源地址、目的地址以及IP端口号都在数据包的头部，很有可能被冒充或窃取，而非法访问一旦突破防火墙，即可对主机上的系统和配置进行攻击。 说明：网络层的安全防护，主要目的是保证网络的可用性和合法使用，保护网络中的网络设备、主机操作系统以及各TCP/IP服务的正常运行，根据IP地址控制用户的网络访问。网络层在ISO的体系层次中处于较低的层次，因而其安全防护也是较低级的，并且不易使用和管理。网络层的安全防护是面向IP空间的。 2.2 应用层网关 ——应用层网关（Application Level Gateways）技术是在网络的应用层上实现协议过滤和转发功能。它针对特定的网络应用服务协议使用指定的数据过滤逻辑，并在过滤的同时，对数据包进行必要的分析、记录和统计，形成报告。实际的应用网关通常安装在专用工作站系统上，其实现机制如图2所示。 图2 应用网关防火墙实现机制 应用层网关防火墙和数据包过滤有一个共同的特点，就是它们仅仅依靠特定的逻辑来判断是否允许数据包通过。一旦符合条件，防火墙内外的计算机系统便可以建立直接联系，外部的用户便有可能直接了解到防火墙内部的网络结构和运行状态，这大大增加了非法访问和攻击的机会。 针对对上缺点，出现了应用代理服务（Application-level Proxy Server）技术。 说明：应用层的安全防护，主要目的保证信息访问的合法性，确保合法用户根据授权合法的访问数据。应用层在ISO的体系层次中处于较高的层次，因而其安全防护也是较高级的。应用层的安全防护是面向用户和应用程序的。 2.3 应用代理服务器 应用代理服务技术能够将所有跨越防火墙的网络通信链路分为两段。防火墙内外计算机系统间应用层的连接，由两个代理服务器之间的连接来实现，外部计算机的网络链路只能到达代理服务器，从而起到隔离防火墙内外计算机系统的作用。另外代理服务器也对过往的数据包进行分析、记录、形成报告，当发现攻击迹象时会向网络管理员发出警告，并保留攻击痕迹。其应用层代理服务数据的控制及传输过程如图3所示。 图3 代理服务防火墙应用层数据的控制及传输 应用代理服务器对客户端的请求行使“代理”职责。客户端连接到防火墙并发出请求，然后防火墙连接到服务器，并代表这个客户端重复这个请求。返回时数据发送到代理服务器，然后再传送给用户，从而确保内部IP地址和口令不在Internet上出现。 优点：比包过滤防火墙安全，管理更丰富，功能提升容易。易于记录并控制所有的进／出通信，并对Internet的访问做到内容级的过滤 缺点：执行速度慢，操作系统容易遭到攻击。 说明：代理服务器（Proxy server）是指，处理代表内部网络用户的外部服务器的程序。客户代理与代理服务器对话，它核实用户请求，然后才送到真正的服务器上，代理服务器在外部网络向内部网络中请服务时发挥了中间转接作用。内部网络只接收代理服务器提出的服务请求，拒绝外部网络上其他节点的直接请求。当外部网络向内部网络的节点申请某种服务时，如FTP、WWW、Telnet等，先由代理服务器接收，然后根据其服务类型、服务内容、被服务对象，以及申请者的域名范围、IP地址等因素，决定是否接受此项服务。如果接受，则由代理服务器向内部网络转发请求，并把应答回送给申请者；否则，拒绝其请求。根据其处理协议的不同，可分为FTP网关型、WWW网关型、Telnet网关型等防火墙，其优点在于既能进行安全控制，又可加速访问，但实现起来比较困难，对于每一种服务协议必须设计一个代理软件模式，以进行安全控制。 2.4 状态检测防火墙 状态检测又称动态包过滤，是在传统包过滤上的功能扩展，最早由CheckPoint提出。传统的包过滤在遇到利用动态端口的协议时会发生困难，如ftp，你事先无法知道哪些端口需要打开，而如果采用原始的静态包过滤，又希望用到的此服务的话，就需要实现将所有可能用到的端口打开，而这往往是个非常大的范围，会给安全带来不必要的隐患。而状态检测通过检查应用程序信息（如FTP的port和pass命令），来判断此端口是否允许需要临时打开，而当传输结束时，端口又马上恢复为关闭状态。 状态检测防火墙在网络层由一个检查引擎截获数据包并抽取出与应用层状态有关的信息，并以此作为依据决定对该连接是接受还是拒绝。检查引擎维护一个动态的状态信息表并对后续的数据包进行检查。一旦发现任何连接的参数有意外的变化，该连接就被中止。这种技术提供了高度安全的解决方案，同时也具有较好的性能、适应性和可扩展性。状态检测防火墙一般也包括一些代理级的服务，它们提供附加的对特定应用程序数据内容的支持（如从HTTP连接中抽取出Java Applets或ActiveX控件等）。 状态检测技术最适合提供对UDP协议的有限支持。它将所有通过防火墙的UDP分组均视为一个虚拟连接，当反向应答分组送达时就认为一个虚拟连接已经建立。每个虚拟连接都具有一定的生存期，较长时间没有数据传送的连接将被中止。 状态检测防火墙克服了包过滤防火墙和应用代理服务器的局限性，他们不仅仅检测“to”或“from”的地址，而且也不要求每个被访问的应用都有代理。状态检测防火墙根据协议、端口及源、目的地址的具体情况决定数据包是否可以通过。对于每个安全策略允许的请求，状态检测防火墙启动相应的进程，可以快速地确认符合授权流通标准的数据包，这使得本身的运行非常快速。 清华得实NetST®硬件防火墙综合了包过滤和应用代理服务器两类防火墙的优点，在提供根据数据包地址或端口进行过滤处理的同时还可实现对常用协议的内容过滤，即具备了包过滤类型防火墙的速度，又具备代理类型防火墙的安全。 3. 技术指标与支持标准 3.1 标准配置防火墙硬件设备指标 机箱外型：标准1U工业机箱，可安装于19”机架 CPU：Pentium III 733MHz CPU以上 内部随机存储器：128MB以上 Image存储器：32MB DOM/DOC 网络接口：3个10/100Base-TX以太网接口(1个可扩充接口) 终端控制接口：RS-232接口 LED指示灯：11个（系统指示灯2个，网络指示灯9个） 工作温度：10～30摄氏度 3.2 支持协议标准 HTTP协议：RFC2616，RFC1945 FTP协议：RFC959, RFC2640, RFC2228 SMTP协议：RFC821 MIME协议：RFC2045－2049 POP3协议：RFC1939，RFC1957，RFC2449 3.3 防火墙引擎技术指标 支持协议：TCP/IP族内的各种协议，如IP、TCP、UDP、IMCP、IGMP等。 NAT（网络地址转换）方法：支持静态NAT（多对多，多对一，一对一）、动态NAT（IP伪装）等。 系统安全防范：拒绝服务攻击（ping of death, land, syn flooding, ping flooding, tear drop等）、端口扫描、IP欺骗、流量限制、用户认证、IP与MAC绑定。 3.4 执行标准 GB/T 18019-1999 包过滤防火墙安全技术要求。 3.5 认证注册号 公安部销售许可证号：XKC33129 4. NetST®防火墙的系统特点 NetST®防火墙功能全面、技术先进、可靠性强、安全性高，具体有以下特点： 4.1 一体化的硬件设计 NetST®防火墙采用一体化的硬件设计，可以发挥硬件最高效能，提高系统自身安全性。一般软件防火墙需要昂贵的高档工作站或高档微机支持，同时系统安全性受操作系统本身安全问题的影响。使用软件防火墙不仅要求用户提供硬件平台支持，而且防火墙的安全性还要依赖于操作系统。 NetST®防火墙采用一体化的设计，可以根据软件和硬件之间的“协作”要求量身定制，这样充分发挥系统的潜力，保持较高的效率和稳定性。 4.2 基于状态检测的防火墙引擎 NetST®防火墙引擎采用国际流行的状态检测包过滤技术，可在线监测当前内外网络的连接状态，根据连接状态动态处理连接情况，对异常的连接状态进行阻断和记录，及时报警。 4.3 抗攻击能力 l NetST®防火墙采用专用安全操作系统，安全级别高； l 防电子欺骗（防IP地址欺骗）：NetST®防火墙的防电子欺骗功能保证数据包的IP地址与网关通信接口相符，防止通过修改IP地址的方法进行非授权访问； l 攻击检测功能：NetST®防火墙系统可以检测到对网络或内部主机的所有TCP/UDP扫描以及多种拒绝服务攻击，如SynFlooding攻击等； l 对外部扫描以及攻击的响应能力：NetST®防火墙可以对来自外部网络的扫描和多种攻击进行实时响应。 l 抗DOS/DDOS攻击：拒绝服务攻击是一种常见的攻击方式，NetST®防火墙系统不但可以识别此类型攻击，而且可以对抗DOS攻击，使受保护主机免于瘫痪。 4.4 高性能的系统核心 NetST®防火墙系统核心专门为防火墙而设计，能大大提高系统性能。其中核心模块都经过专家详尽分析，并用汇编语言进行全面优化，比同类系统性能提高20%~60%。 4.5 双向网络地址转换 NetST®防火墙系统支持动态、静态、双向的网络地址转换（NAT）。它可以把内部网IP地址转换成因特网IP地址，使得外部网络无法知道内部主机的IP地址，从而伪装内部地址、保护内部主机，进一步增强系统的安全性。另外，网络地址翻译方式允许内部用户使用非静态的IP地址（符合RFC1918），从而解决了ISP所提供IP地址有限问题。 4.6 中立区（DMZ） 为适应越来越多的用户向Internet上提供服务时对服务器进行保护的需要，NetST®防火墙采用区分保护策略保护对外服务器。防火墙通过一个独立的网络接口为对外服务器提供服务，使对外服务器拥有一个独立的、完全隔离的网段，防火墙可以为这个区域设定独立的安全规则，这就是DMZ技术。DMZ与外部网络之间有防火墙保护，DMZ与内部网络之间也有防火墙保护，因此，黑客对DMZ区的攻击行为并不会影响内部网用户享用正常的网络服务，内部网仍处于防火墙的保护之下。 4.7 完善的访问控制 管理员可以根据系统提供的完善选项，设定网络地址段、网络地址与网络服务端口和访问控制策略。 4.8 支持各种标准服务及用户自定义服务 可以支持的协议标准是评价一个防火墙系统的重要指标之一。NetST®防火墙基于TCP/IP协议，支持Internet上的各种服务(如Web browser、E-mail、FTP、Telnet等)、支持基于TCP协议的所有标准应用程序、支持基于UDP的各种应用程序。而且，还支持像数据库访问这样的商务应用程序和像Real Audio, VDOLive和Internet Phone这样的多媒体应用程序。用户不必担心使用防火墙后，出现某些服务失效的副作用。 4.9 强大的内容过滤功能 系统支持对可能的危险代码或容易挤占网络带宽数据的过滤，如HTML中的Java，ActiveX脚本、音频视频信息、电子邮件中的危险附件等；控制FTP上载/下载的文件类型等；阻止ActiveX、Java、JavaScript等侵入。 4.10 便捷的安装配置 提供快速的安装配置功能。系统通过命令规范，使安全管理员在几分钟内完成防火墙系统设置，简化了安装过程，缩短了因系统安装带来的网络停顿时间。 4.11 多级登录权限设置 NetST®防火墙系统支持多级登录权限，管理人员可以灵活设置权限，例如为管理人员设置特殊用户权限。特权用户登录到防火墙系统时可以拥有不同的功能选项。通过对访问权限的检查，可实现服务端口访问控制、协议访问控制以及基于IP包的服务类型和安全选项的访问控制。 4.12 实时动态监测 NetST®防火墙可对通过防火墙的数据包进行实时监测。在管理界面中，管理员可以实时监测系统状态，如系统负载、系统使用情况、用户的连接状态等，方便及时地了解系统的状态，并且在必要的时候采取相应的行动。 4.13 直观的安全策略设置 安全规则是本产品系统的核心设置之一。在管理界面中，管理员可以通过按照自定的安全策略修改防火墙规则，直观方便地做规则的增加、修改、查看、删除、插入、排序等操作。 5. NetST®防火墙的安全技术 5.1 基于状态检测的防火墙引擎 清华得实NetST®防火墙引擎采用国际流行的状态检测包过滤技术，可在线监测当前内外网络的连接状态，根据连接状态动态处理连接情况，对异常的连接状态进行阻断和记录，及时报警。 包过滤是防火墙中的一项主要安全技术，它通过防火墙对进出网络的数据流进行控制与操作，系统管理员可以设定一系列规则，指定允许哪些类型的数据包可以流入或流出内部网络；哪些类型的数据包传输应该被拦截；NetST®防火墙不仅根据数据包的地址、协议、端口进行访问控制，同时还对任何网络连接和会话的当前状态进行分析和监控。 传统防火墙的包过滤只是与规则表进行匹配，对符合规则的数据包进行处理，不符合规则的丢弃。由于是基于规则的检查，属于同一连接的不同包毫无任何联系，每个包都要依据规则顺序过滤，这样随着安全规则的增加，势必会使防火墙的性能大幅度的降低，造成网络拥塞，甚至黑客会采用IP Spoolfing的办法将自己的非法包伪装成属于某个合法的连接，这样的包过滤既缺乏效率又容易产生安全漏洞。 NetST®防火墙采用了基于连接状态检查的包过滤，将属于同一连接的所有包作为一个整体的数据流看待，通过规则表与连接状态表的共同配合，大大的提高了系统的性能和安全性。NetST®防火墙在进行包的检测时不仅将其看成是独立的单元，同时还要考虑与它的前面包的关联性。例如，在基于TCP/IP协议的连接中，每个包在传输时都包括了IP源地址、IP目的地址协议的源接口和目的接口等信息，还包括了对在允许的时间间隔内是否发生了TCP握手消息的监视信息等。这些信息与每个数据包都是有关联的，换句话说，对于属于同一个连接的数据包来说并不是完全孤立的，它们存在内部的关联信息。无连接的包过滤规则没有考虑这些内在的关联信息，而是对每个数据包都进行孤立的规则检测，这样就降低了传输效率。 对于基于UDP协议的应用来说，是很难用简单的包过滤技术对其处理的。因为UDP协议本身对于顺序错误或丢失的包，是不做纠错或重传的。NetST®防火墙在对基于UDP协议的连接处理时，会为UDP建立虚拟的连接，同样能够对连接过程状态进行监控，通过规则与连接状态的共同配合，达到包过滤的高效与安全。 5.2 双向的网络地址转换（NAT） 网络地址转换也称为地址共享器（Address Sharer）或地址映射器，设计它的初衷是为了解决IP地址不足，现多用于网络安全。内部主机向外部主机连接时，使用同一个IP地址；相反地，外部主机要向内部主机连接时，必须通过网关映射到内部主机上。它使外部网络看不到内部网络，从而隐藏内部网络，达到保密作用，使系统的安全性提高，并且节约从ISP得到的外部IP地址。 NetST®防火墙墙利用NAT技术能对所有内部地址做转换，使外部网络无法了解内部网络的结构，使黑客很难对内部网的一个用户发起攻击，同时允许内部网络使用自己定制的IP地址和专用网络，防火墙能详尽记录每一个主机的通信，确保每个分组送往正确的地址。 NetST®防火墙提供了“内部网到外部网”、“外部网到内部网”的双向NAT功能，同时支持两种方式的网络地址转换，一种为静态地址映射，即外部地址和内部地址一对一的映射，使内部地址的主机既可以访问外部网络，也可以接受外部网络提供的服务。另一种是更灵活的方式，可以支持多对一的映射，即内部的多个机器可以通过一个外部有效地址访问外部网络。 系统提供的双向NAT功能，可以使系统管理员自行设置内部的地址而不必对外公开，隐藏了内部网络的真实地址，从而使外来的黑客无法探知内部网络的结构；同时也可以解决IP地址短缺的问题，并提高整体的安全性。 5.3 协议过滤 NetST®防火墙系统支持现有的95种通信协议和730种应用服务，包括WWW、FTP、POP3、数据库服务、多媒体服务、Microsoft网络服务等等。用户不必担心使用了防火墙后出现某些服务失效的副作用。协议过滤是对无论是从内网还是从外网进入防火墙的数据包，都要进行检查。对协议的过滤行为有丢弃（“drop”，拒绝数据包通过）、接受（“accept”，允许数据包通过）和进行内容过滤（“content”，进行数据包的内容检查）三种，网络中常用的协议有TCP、UDP、ICMP等。 5.4 IP地址过滤 IP地址过滤是指定为某些IP地址的计算机提供相关服务。 5.5 端口过滤 端口过滤，即指定为某些端口提供服务，如允许WWW浏览的端口为80，允许ftp服务的端口为21，邮件发送（SMTP）服务端口为25，邮件接收服务（POP3）端口110等。 5.6 HTTP协议内容过滤 在进行www访问时，人们总会担心遭到病毒或恶意代码的攻击，这就需要进行内容检查。这些病毒可以通过用户下载的Jave和ActiveX小程序（Applet）进行传播。带病毒的Applet激活后，又可能下载别的Applet。防火墙能够监控Applet的运行，或者给Applet加上标签，让用户知道他们的来源。 NetST®防火墙通过创建规则来指定数据包的来源、目标和传送到内容过滤服务器。 NetST®防火墙支持脚本、代码过滤，可使HTML页面中的各种脚本和Java小程序失效，可以避免可能的恶意代码所造成的损失。 NetST®防火墙还支持各种多媒体类型数据的过滤，包括图像、声频、视频等，以提高网络带宽的有效利用率，提高企业员工的工作效率。 此外，还支持URL过滤。NetST®防火墙提取出HTTP请求中的URL，然后，将URL传送到UFP服务器，由UFP服务器确定是否允许此请求通过。 5.7 FTP协议内容过滤 NetST®防火墙通过创建规则来指定数据包的来源、目标和传送到内容过滤服务器。 为防止内部信息泄漏或浪费网络带宽，NetST®防火墙支持用户自行设定拒绝向服务器上传和下载的文件类型表，并禁止在此文件类型范围内的文件传送请求。 5.8 SMTP协议附件内容过滤 NetST®防火墙通过创建规则来指定数据包的来源、目标和传送到内容过滤服务器。 NetST®防火墙利用MIME协议附加在邮件上的附件文件类型，让用户可自行设定拒绝发送的邮件附件文件类型表，并禁止对此文件类型范围内的邮件发送请求。 5.9 POP3协议内容过滤 NetST®防火墙通过创建规则来指定数据包的来源、目标和传送到内容过滤服务器。 NetST®防火墙利用MIME协议附加在邮件上的附件文件类型，让用户可自行设定危险的附件文件类型表，NetST®防火墙对此文件类型范围内的附件文件的收取将修改文件的后缀名以使其暂时失效，从而可有效防止邮件病毒的攻击。 5.10 用户身份访问控制 NetST®防火墙支持按用户身份进行访问控制。用户需要首先进行登录，由防火墙/外置的身份验证服务器验证用户的身份和网络访问的权限，防火墙根据用户登录的情况动态调整规则允许以用户工作站访问网络；用户在结束网络使用后需要注销用户。 5.11 IP与MAC地址绑定 IP与MAC地址绑定是将IP地址和网卡的硬件地址绑定起来，当发现某IP和绑定的硬件地址不相符时，将拒绝为该IP服务。MAC绑定技术主要用于绑定一些重要的管理IP和特权IP，在特定的主机IP地址和MAC地址相匹配的情况下，允许数据包通过防火墙。IP/MAC地址绑定对于中、小规模网络的安全性有一定加强。 5.12 有效防范外来攻击 NetST®防火墙采用自主版权的系统安全技术，能抵御以下几种类型的外来恶意攻击方式： l 拒绝服务攻击（SYN Flooding Attack/DoS）：一种典型的利用协议漏洞进行攻击的方式，黑客不停地向服务器发SYN请求，直到服务器服务器缓存溢出而崩溃。 l 端口扫描：通过探测防火墙在侦听的端口，来发现系统的漏洞。NetST®防火墙在内核设计中引入自动反扫描机制，当“黑客”用扫描器扫描防火墙或防火墙保护的服务器时，将扫描不到任何端口，使“黑客”无从下手。 l IP地址欺骗：攻击者通过改变自己的IP来伪装成内部网用户或可信任的外部网络用户，发送特定的抱文，以扰乱正常网络的数据传输，或者是伪造一些可接受的路由报文来更改路由信息，以窃取信息。 l 外部非法连接攻击（如Telnet） l 借道（路由）入侵 l 非法密码 5.13 日志报表 日志（Log）报表的存在，为系统管理员分析与解决问题提供了依据，NetST®防火墙提供了详细的日志记录，以备系统管理员查阅。 5.14 方便灵活的管理 清华得实NetST®防火墙可以通过终端命令行方式进行配置管理，用户可以方便地制定安全策略、轻松实现布署。 NetST®防火墙同时提供了友好的图形化用户界面（GUI）的JAVA控制管理台，可以进行全新的可视化管理与配置，整个界面使用全中文化的设计，通过鼠标的简单拖拽和点击就可以完成面向网络对象进行访问控制的配置，使复杂的网络设置和管理工作变得方便易用。通过友好的图形化界面，完整的日志，网络管理员可以很容易地维护。 6. 结束语 NetST®防火墙采用国际先进的状态检测包过滤技术，实时在线检测当前内外网络的各种连接状态，根据连接状态的配置规则，对异常连接状态进行阻断，并及时报警。NetST®防火墙支持TCP/IP协议族内各种主流网络协议，还可以根据网络流量的类型、网络地址、应用服务等条件进行过滤。并可以对多种网络入侵进行辨别和有效阻断，同时进行报警和记录。 NetST®防火墙采用独有的内容过滤器，支持最常用的应用层协议进行内容过滤，如HTTP协议的URL过滤和HTML内容过滤，FTP协议内容过滤（用户可自行拒绝上载和下载文件）。NetST还支持主要邮件协议的内容过滤，如SMTP协议、POP3协议等。 NetST®防火墙还提供面向对象的策略编辑器，通过友好的图形化界面（GUI），管理员通过鼠标的简单拖拽和点击就可以完成面向网络对象进行访问控制的配置，使复杂的网络设置和管理工作变得方便易用。 NetST®防火墙凭借其功能全面、技术先进、可靠性强、安全性高，方便灵活的网络监控管理能力和良好的可扩展性，成为网络安全产品中的品牌，是保护用户资产的理想助手。 2 目 录 1．安全概述 1 2．Internet防火墙技术：概述 3 2.1 包过滤防火墙 3 2.2 应用层网关 4 2.3 应用代理服务器 5 2.4 状态检测防火墙 6 3. 技术指标与支持标准 8 3.1 标准配置防火墙硬件设备指标 8 3.2 支持协议标准 8 3.3 防火墙引擎技术指标 8 3.4 执行标准 8 3.5 认证注册号 8 4. NetST®防火墙的系统特点 9 4.1 一体化的硬件设计 9 4.2 基于状态检测的防火墙引擎 9 4.3 抗攻击能力 9 4.4 高性能的系统核心 10 4.5 双向网络地址转换 10 4.6 中立区（DMZ） 10 4.7 完善的访问控制 10 4.8 支持各种标准服务及用户自定义服务 10 4.9 强大的内容过滤功能 11 4.10 便捷的安装配置 11 4.11 多级登录权限设置 11 4.12 实时动态监测 11 4.13 直观的安全策略设置 11 5. NetST®防火墙的安全技术 12 5.1 基于状态检测的防火墙引擎 12 5.2 双向的网络地址转换（NAT） 13 5.3 协议过滤 13 5.4 IP地址过滤 14 5.5 端口过滤 14 5.6 HTTP协议内容过滤 14 5.7 FTP协议内容过滤 14 5.8 SMTP协议附件内容过滤 15 5.9 POP3协议内容过滤 15 5.10 用户身份访问控制 15 5.11 IP与MAC地址绑定 15 5.12 有效防范外来攻击 15 5.13 日志报表 16 5.14 方便灵活的管理 16 6. 结束语 17