防火墙特性与优点说明

购买指引：

防火墙特性与优点说明

1. 天网防火墙工作组型:

天网防火墙工作组级防火墙，是适合中小型企业上网用的防火墙，适用于用户数量规模不大的网络环境（大约有十几到几十台内部工作站）。它包括了基本的防火墙系统，具体功能特性如下：

● 自行开发的优良的防火墙内核

在系统设计时参考了NetBSD、OpenBSD、Linux、FreeBSD等系统的体系结构，吸取以上的系统的优点进行系统网络核心的优化处理，同时还针对CPU的计算核心进行了优化处理。能支持到大量的并发连接和高性能的IP Packet处理，我们以纯汇编编写这部分的程序，并充分使用CPU的能力，使程序效率平均提高20%，在某些情况下可以提高60%。

● 基于状态检测的包过滤功能

天网防火墙在核心部分实现了基于状态检测的包过滤功能，通过建立连接状态表的方式，提高安全控制表项的轮询速度，从而提高了包过滤系统的性能和安全性。

● 具有包过滤功能的虚拟网桥功能，可以支持IPTV等多点广播的网络服务，并且可以网

桥与路由混合的工作模式进行工作，方便灵活天网防火墙系统还支持桥接功能，可以实现局域网之间基于数据链路层的连接，满足IPTV等基于多点广播的多媒体应用，而且对于某些已定型的网络结构，可以在不改变网络拓扑的情况下加入防火墙，实现包过滤等应用。

● 具有国际首创的DOS防御网关技术，能有效的防止各种类型的DOS攻击

Internet上DOS攻击暴虐一时，由于可以通过使用一些公开的软件进行攻击，它的发动较为简单，同时要防止这种攻击又非常困难。DoS全称是Denial of Service，中文意思是拒绝服务攻击。这种攻击行动使网站服务器充斥大量要求回复的信息，消耗网络带宽或系统资源，导致网络或系统不胜负荷以至于瘫痪而停止提供正常的网络服务。"拒绝服务"的攻击方式为：用户传送众多要求确认的信息到服务器，使服务器里充斥着这种无用的信息。所有的信息都有需回复的虚假地址，以至于当服务器试图回传时，却无法找到用户。服务器于是暂时等候，有时超过一分钟，然后再切断连接。服务器切断连接时，黑客再度传送新一批需要确认的信息，这个过程周而复始，最终导致服务器无法动弹，瘫痪在地。 天网防火墙系统针对各种DOS攻击做出了防御措施。在信息到达网站服务器之前拦截信息，系统可以根据设置智能化地对访问信息进行检查，从而阻挡住Sync Flood, IGMP Nuke, Win Nuke等DoS类型攻击。目前国内同类产品尚无同样功能。

● 具有TCP标志位检测功能 在大多数的防火墙里，都缺少对连接是从哪方主动发起进行判断的选项，这将导致一个潜在的安全隐患是攻击者可能可以从一个外部主机的某个常用服务端口连入内部主机的高端口。例如，如果允许内部主机访问外部主机的telnet服务，这个方向连接的所有包应该是必须包含ACK位的，也就是说，不是主动发起的连接。但通常的防火墙的包过滤功能里并

没有检查ACK位的设置，因此，攻击者就可以从外部主机的源23端口发起连接到内部主机的高端口(>1023)。天网防火墙系统通过在安全规则上的设置对数据包的SYN/ACK等标志位进行合法性检测和判断，防止不法攻击者利用常用服务的低端口与内部主机的高端口的连接，从而攻击内部主机。国内包括国外的许多防火墙系统都无此防护功能。

● 具有双向的网络地址转换功能

内部网络用户一般没有合法的Internet IP地址（Registered IP Address），不能直接对外部网络进行访问，这可以通过网络地址转换系统得到完满的解决。当用户需要对外访问时，天网邮政防火墙系统将会从IP池中的IP动态分配给用户，使用户得到合法的IP地址与外部访问。

端口地址转换（Port Address Translation）可以扩展公司可使用的Internet IP，用户的访问将会映射到IP池中IP的一个端口上去，这使每个合法Internet IP可以映射六万多个内部网主机。

如果企业希望内部网络中的服务器可以让Internet用户访问的话，可以利用反向NAT（R-NAT）或反向PAT（R-PAT）系统，为内部网络服务器作静态地址和端口映射，这样Internet用户就可以通过本防火墙系统直接访问该服务器了。

● 具有流量统计与流量限制功能

● 支持一个网络端口绑定多个IP地址，从而支持多个子网和多种IP应用

● 支持IP与MAC地址绑定，有效地管理IP地址资源

在内部网络的应用中，经常会遇到内部网络用户擅自修改IP地址，以获取一个合法IP地址来进行相应的网络应用，这样会使内部网络在地址资源的分配和使用上出现混乱，大大影响内部网络的正常运行，而且，在网络事故发生以后，也加大了地址追寻的难度。 天网防火墙所具有的MAC地址绑定功能可以很好地解决这个问题。当网络用户被分配或自行设定一个IP地址以后，防火墙系统就能接收到相应的地址广播，在防火墙系统上列出相应的IP地址与MAC地址，并可以选择是否把这个IP地址与相应的MAC地址绑定，这样可限定IP地址只能在一台指定的工作站上使用，大大方便了网络的IP地址管理。

● 具有实时系统监控功能，能观察系统的运行状态及网络连接状况 天网防火墙系统可以通过实时观察系统的运行时间、负载状况以及内存使用情况等，来了解整个系统的运行状况，并且还可以在界面上观察到系统的各种网络连接状况，从而可以根据系统的负载情况对系统作出相应的调整。

● 具有实时报警功能，通过拨打电话和Emai*的方式报警

系统提供对任何可疑的行为作出实时的告警提示，告警可疑通过可闻可见的的方式发出，也可以通过Email发出信息、发出SNMP告警到网管系统，或者激活一些用户定义的告警方式，如通过传呼机呼叫管理员等。

● 可通过界面升级，操作方便

● 具有系统操作记录，可以记录系统管理员的所有操作情况

工作站工作站工作站工作站工作站

小型企业通常采用2M以下的专线实现与Internet的互连，在线路速度上对防火墙的要求不高。企业通过路由器与DDN连接上Internet，路由器的以太网接口直接连接到防火墙的网络端口1上；企业的服务器直接连接在防火墙的网络端口2上，如果企业多有台服务器，可以通过集线器连接在防火墙的网络端口2上；企业的工作站通过集线器连接在防火墙的网络端口3上；通过这种方式，防火墙可以同时保护企业的服务器和内部的工作站。

内部的所有工作站可以采用内部网的私有网络地址，例如192.168.0.xxx网段，通过防火墙的NAT功能连接上Internet，将宝贵的IP地址资源保留给服务器使用。

2. 天网防火墙企业 I 型:

天网防火墙企业I型防火墙，是适合大中型企业上网用的防火墙，适用于用户数量规模较大大的网络环境（大约有几十到几百甚至上千台内部工作站）。它包括了基本的防火墙系统，网络黑洞和数据纪录功能模块，具体功能特性如下：

● 基本防火墙系统功能（同工作组型）

● 网络黑洞模块，用于阻挡黑客的网络结构探测，返回错误的信息给黑客，可以有效的防

止外来攻击

● 网络数据纪录模块，用于记录网络数据流量、用户流量计费等功能，该模块需要在一台

PC机上安装一个客户端软件进行数据收集、分析和处理，还可以把分析结果导入数据库，实现自动处理。

本方案将现有网络划分为物理上相互独立的三个网段：

● 公共网段（Public_Nework） ● 停火区网段（DMZ_Network） ● 私有网段（Private_Network）

其中，公共网段提供面向Internet的广域网连接和其他各行访问的支持；停火区网段安放各种数据库、FTP/Web服务器和企业内部业务信息服务器，提供多种面向Internet的应用服务；内部私有网段保障本地用户安全地访问外部网络资源，以及对停火区内各服务提供设备进行更新和维护。

安全策略：

目的：

● ● ●

划分安全区域。

制订安全策略，包括用户访问控制，定义访问级别，确定服务类型。 审核和过滤，仅符合安全策略的访问和响应过程可以通过，拒绝其他访问请求。

根据对用户需求的分析，企业内部网络可以划分为以下几个安全区域：

● 内部网段 ● 公共网段 ● 外部网段

分属三个安全区域的网段通过天网防火墙进行互连。

现有需要进行审核和过滤的应用和服务类型包括：

3. 天网防火墙企业 II 型:

天网防火墙企业II型防火墙，同样是适合大中型企业上网用的防火墙，适用于用户数量规模较大大的网络环境（大约有几十到几百甚至上千台内部工作站）。它加入了透明代理服务器，能满足许多大中型企业对内部用户进行控制管理的需求，它包括了基本的防火墙系统，数据记录模块、网络黑洞模块、透明代理模块以及URL拦截模块（可选）和内容过滤模块（可选），具体功能特性如下：

● 基本防火墙系统功能（同工作组型）

* 网络黑洞模块，用于阻挡黑客的网络结构探测，返回错误的信息给黑客，可以有效的防止外来攻击

● 网络数据纪录模块，用于记录网络数据流量、用户流量计费等功能，该模块需要在一台

PC机上安装一个客户端软件进行数据收集、分析和处理，还可以把分析结果导入数据库，实现自动处理。

● 透明代理功能

天网防火墙系统使用了先进的透明代理服务机制，从安全、性能、兼容性上远超出一般的代理服务器。

本代理服务器是建立在网络核心中的，一个通过代理服务器的访问请求在认证通过，正式建立连接后，代理服务器就可以直接把连接交由IP处理层管理，缩短了处理的时间。而其它基于应用层的代理服务器必须一直管理有关联接，增加了系统的负担。使用透明的代理服务器机制可以减轻系统负担、加快响应速度、提高系统整体性能。

同时天网防火墙系统可以自动把用户的访问请求重定向到对应的透明代理服务器，这样用户端可免去Proxy的设置工作，方便了广大的用户。

● 可对用户上网时间作限制

● 可进行URL拦截

● 可进行基于中文的内容过滤

● 可根据用户进行统计计费

典型网络方案：山东章丘广电安全方案

本方案的设计遵循以下思想是： ⏹ 风险、成本、效率平衡原则 ⏹ 综合性、整体性考虑

⏹ 保证系统可用性，安全系统对于应用有很好的透明性 ⏹ 集中管理，易于维护

⏹ 实用的安全产品必须是经过公安部门检验的合法产品。并且必须是国产安全产品。 ⏹ 与应用系统结合，提供网络与应用结合的一体化安全方案

本方案是用防火墙技术把要保护的计算机系统与较危险的外界隔离开，只允许建立安全的连接，中心思想是在主机或网络与外界连接之间增加检查，拒绝接受可疑的连接请求。

系统总体结构图如图3所示：

防火墙

防火墙技术的目标是保护网络的一段或整个内部网络不受外界入侵影响。网上办税系统采用天网防火墙将安全管理“相对”宽松的“内网”与外部网络隔离开来。

安全区域

按照服务性质和管理区域划分：

1．DMZ (非军事区)：提供对外服务。

2．内部网络：内部用户。 3．外部网络 如下图所示：

其中，章丘广电外部网络连接济南广电网，通过济南广电网连接到Internet上；DMZ网段安放Web，Mail服务器和计费服务器，提供基于Web的应用服务Email服务和网络计费服务；我们可以利用防火墙的重定向功能，使用私有地址来保护服务器。另外，章丘广电内部网段上是普通用户，能够通过防火墙连接Internet，而外部网络不能访问内部用户的机器。内部用户使用防火墙的透明代理上连Internet，可以利用防火墙进行用户计费和用户

认证。

安全策略

制定安全策略的目的： ⏹ 划分安全区域。

⏹ 制订安全策略，包括用户访问控制，定义访问级别，确定服务类型。

⏹ 审核和过滤，仅符合安全策略的访问和响应过程可以通过，拒绝其他访问请求。

网络系统的主要服务类型是： 1. HTTP （WEB 服务） 2. 其他Internet应用服务

其它的网络服务由于不会跨越不同的安全区域，在防火墙部分不必考虑。根据以上需求制订出安全策略。

现有需要进行审核和过滤的应用和服务类型包括：

攻击防御

攻击防御系统

黑客使用的网络攻击的方式及天网防火墙的抵御措施：

Denial-Of-Service（DOS） 攻击

最近在Internet上DOS攻击暴虐一时。由于可以通过使用一些公开的软件进行攻击，它的发动较为简单。同时要防止这种攻击又非常困难，天网防火墙系统针对各种DOS攻击做出了较全面的防御措施。

SYN Flood

这是一种较为常见的攻击，不法分子会向攻击目标发出大量TCP SYN请求，具有SynFlood Defend 技术的防火墙可以有效的的分辨出黑客攻击与正常连接，因此可以抵挡该攻击。

Windows OOB Attack：

对于没有Patch过的Windows 95/NT系统，不法分子可以利用向NetBIOS（Port 139）发送Out Of Band 数据，这可以导致被攻击机器死机。

天网防火墙系统会分析通往NetBios的信息，检查是否OOB数据，如果检查出有问题，将会拒绝该IP包，同时把来源IP纪录并发出系统警告。

PING DOS Attack

许多Unix-Like系统在接收到一个长度大于65535的IP包碎片时，会错误处理，导致系统死机或重起。这种攻击又称为“Ping Of Death Attack”。

天网防火墙系统会自动检查IP包，当发现它是Ping Of Death Attack的数据，会拒绝其进入，纪录来源IP并发出系统警告。

IP Spoof

不法分子可以使用IP Spoof的办法伪造来源IP，由于防火墙系统本身具有路由功能，如果没有防御措施，将会被骗，把该虚假来源的IP包发送到局部网络中去，这使非常危险的。

天网防火墙系统会根据IP的来源设备进行分析，如果超出该设备的网络范围，将会拒绝该IP包，纪录并发出警告。这样在不同物理网络/逻辑网络之间虚假IP包不能通过，保证了系统的安全。

网络黑洞

对系统进攻的第一步，是探测对方的网络结构。天网防火墙的网络黑洞可以吸收网络探测，并且返回虚假信息，使攻击者获得错误的信息，并且制造陷阱，引诱攻击者进行攻击，同时记录攻击并且报警。

4. 天网防火墙ICP I 型:

天网防火墙ICP－I 型防火墙，是适合应用与业务比较简单的ICP网站使用的防火墙，天网防火墙ICP型是专为ICP设计的大容量防火墙，能支持大量的峰值访问与并发连接数，满足ICP网站的需求。它包括了基本的防火墙系统，网络黑洞和数据纪录功能模块，具体功能特性如下：

● 基本系统功能

● 网络黑洞，用于阻挡非法的网络探测

● 网络数据记录, 用于记录通过防火墙的数据类型和流量

● 双机热备份, 可以在10秒钟内自动切换不正常工作的防火墙系统

● 负载均衡, 可以智能地将用户的请求分布到多台服务器上 天网防火墙的负载均衡模块，可以智能地将用户的服务请求分布到多台服务器上面，同

时，提供容错功能，可以自动隔离出问题的服务器。系统具体功能如下： 1）动态负载均衡

天网防火墙的负载分布模块可以根据服务器的负载情况，包括CPU 占用量，系统Load等情况，自动选择负载最小的服务器，将用户的服务请求发送到该机器上。 2）容错处理

天网防火墙的负载分布模块可以自动检测服务器的可用性，当某一台服务器出现故障的时候，分布式系统会自动绕开发生故障的机器，不会将用户的服务请求发送到该机器上，保证了系统的正常运作。

典型网络方案：

假设网站准备使用十台服务器对外提供Web服务，使用四台服务器作为Smtp服务器，两台服务器作为POP3服务器，对外进行服务，估计将有23—25M的流入数据量和12—14M的外流数据量：

● 公共网络。提供网站的Web界面访问，收发电子邮件服务。 ● 外部网络。提供到Internet连接。 主要应用类型包括：

● Web应用 ● POP3及Smtp电子邮件应用 ● DNS服务 ● FTP服务

安全策略为先关闭全部服务和端口，在开放部分服务和端口。

网络结构

根据网站当前的网络需求，我们建议使用基于天网防火墙ICP-I型的安全解决方案。下图为本建议方案的网络拓扑示意图。

物理上相互独立的两个网段：

公共网段（Public Network） ● 私有网段（Private Network）

其中，公共网段提供面向Internet的广域网连接和接受互联网用户访问的支持；私有网段安放十台Web服务器、四台Smtp服务器和两台POP3服务器，提供Web和电子邮件应用服务。

●

安全策略

目的：

● ● ●

划分安全区域。

制订安全策略，包括用户访问控制，定义访问级别，确定服务类型。 审核和过滤，仅符合安全策略的访问和响应过程可以通过，拒绝其他访问请求。

根据对用户需求的分析，网络可以划分为以下几个安全区域：

● 内部网段 ● 外部网段

5. 天网防火墙ICP －II 型:

天网防火墙ICP－II 型防火墙，是适合应用与业务比较复杂的ICP网站使用的防火墙，天网防火墙ICP型是专为ICP设计的大容量防火墙，能支持大量的峰值访问与并发连接数，满足ICP网站的需求。它包括了基本的防火墙系统，网络黑洞和数据纪录功能模块，具体功能特性如下：

● 基本系统功能

● 网络黑洞，用于阻挡非法的网络探测

● 网络数据记录, 用于记录通过防火墙的数据类型和流量

● 双机热备份, 可以在10秒钟内自动切换不正常工作的防火墙系统

● 负载均衡, 可以智能地将用户的请求分布到多台服务器上

典型网络方案：(163.net北京站点)

163.net北京网站准备使用十台服务器对外提供Web服务，使用四台服务器作为

Smtp服务器，两台服务器作为POP3服务器，对外进行服务，估计将有23—25M的流入数据量和12—14M的外流数据量：

● 公共网络。提供163.net的Web界面访问，收发电子邮件服务。 ● 外部网络。提供到Internet连接。

主要应用类型包括：

● Web应用 ● POP3及Smtp电子邮件应用

安全策略为先关闭全部服务和端口，在开放部分服务和端口。

网络结构

根据163.net北京站点当前的网络需求，我们建议使用基于天网防火墙ICP-II型的安全解决方案。下图为本建议方案的网络拓扑示意图。

的双机热备份功能保证不间断正常运作，并把整个网络划分为物理上相互独立的两个网段：

● 公共网段（Public Network） ● 私有网段（Private Network）

其中，公共网段提供面向Internet的广域网连接和接受互联网用户访问的支持；私有网段安放十台Web服务器、四台Smtp服务器和两台POP3服务器，提供Web和电子邮件应用服务。

安全策略

目的：

● ● ●

划分安全区域。

制订安全策略，包括用户访问控制，定义访问级别，确定服务类型。 审核和过滤，仅符合安全策略的访问和响应过程可以通过，拒绝其他访问请求。

根据对用户需求的分析，163.net北京站点的网络可以划分为以下几个安全区域：

● 内部网段 ● 外部网段

分属两个安全区域的网段通过天网防火墙进行互连。

现有需要进行审核和过滤的应用和服务类型包括：

购买指引：

防火墙特性与优点说明

1. 天网防火墙工作组型:

天网防火墙工作组级防火墙，是适合中小型企业上网用的防火墙，适用于用户数量规模不大的网络环境（大约有十几到几十台内部工作站）。它包括了基本的防火墙系统，具体功能特性如下：

● 自行开发的优良的防火墙内核

在系统设计时参考了NetBSD、OpenBSD、Linux、FreeBSD等系统的体系结构，吸取以上的系统的优点进行系统网络核心的优化处理，同时还针对CPU的计算核心进行了优化处理。能支持到大量的并发连接和高性能的IP Packet处理，我们以纯汇编编写这部分的程序，并充分使用CPU的能力，使程序效率平均提高20%，在某些情况下可以提高60%。

● 基于状态检测的包过滤功能

天网防火墙在核心部分实现了基于状态检测的包过滤功能，通过建立连接状态表的方式，提高安全控制表项的轮询速度，从而提高了包过滤系统的性能和安全性。

● 具有包过滤功能的虚拟网桥功能，可以支持IPTV等多点广播的网络服务，并且可以网

桥与路由混合的工作模式进行工作，方便灵活天网防火墙系统还支持桥接功能，可以实现局域网之间基于数据链路层的连接，满足IPTV等基于多点广播的多媒体应用，而且对于某些已定型的网络结构，可以在不改变网络拓扑的情况下加入防火墙，实现包过滤等应用。

● 具有国际首创的DOS防御网关技术，能有效的防止各种类型的DOS攻击

Internet上DOS攻击暴虐一时，由于可以通过使用一些公开的软件进行攻击，它的发动较为简单，同时要防止这种攻击又非常困难。DoS全称是Denial of Service，中文意思是拒绝服务攻击。这种攻击行动使网站服务器充斥大量要求回复的信息，消耗网络带宽或系统资源，导致网络或系统不胜负荷以至于瘫痪而停止提供正常的网络服务。"拒绝服务"的攻击方式为：用户传送众多要求确认的信息到服务器，使服务器里充斥着这种无用的信息。所有的信息都有需回复的虚假地址，以至于当服务器试图回传时，却无法找到用户。服务器于是暂时等候，有时超过一分钟，然后再切断连接。服务器切断连接时，黑客再度传送新一批需要确认的信息，这个过程周而复始，最终导致服务器无法动弹，瘫痪在地。 天网防火墙系统针对各种DOS攻击做出了防御措施。在信息到达网站服务器之前拦截信息，系统可以根据设置智能化地对访问信息进行检查，从而阻挡住Sync Flood, IGMP Nuke, Win Nuke等DoS类型攻击。目前国内同类产品尚无同样功能。

● 具有TCP标志位检测功能 在大多数的防火墙里，都缺少对连接是从哪方主动发起进行判断的选项，这将导致一个潜在的安全隐患是攻击者可能可以从一个外部主机的某个常用服务端口连入内部主机的高端口。例如，如果允许内部主机访问外部主机的telnet服务，这个方向连接的所有包应该是必须包含ACK位的，也就是说，不是主动发起的连接。但通常的防火墙的包过滤功能里并

没有检查ACK位的设置，因此，攻击者就可以从外部主机的源23端口发起连接到内部主机的高端口(>1023)。天网防火墙系统通过在安全规则上的设置对数据包的SYN/ACK等标志位进行合法性检测和判断，防止不法攻击者利用常用服务的低端口与内部主机的高端口的连接，从而攻击内部主机。国内包括国外的许多防火墙系统都无此防护功能。

● 具有双向的网络地址转换功能

内部网络用户一般没有合法的Internet IP地址（Registered IP Address），不能直接对外部网络进行访问，这可以通过网络地址转换系统得到完满的解决。当用户需要对外访问时，天网邮政防火墙系统将会从IP池中的IP动态分配给用户，使用户得到合法的IP地址与外部访问。

端口地址转换（Port Address Translation）可以扩展公司可使用的Internet IP，用户的访问将会映射到IP池中IP的一个端口上去，这使每个合法Internet IP可以映射六万多个内部网主机。

如果企业希望内部网络中的服务器可以让Internet用户访问的话，可以利用反向NAT（R-NAT）或反向PAT（R-PAT）系统，为内部网络服务器作静态地址和端口映射，这样Internet用户就可以通过本防火墙系统直接访问该服务器了。

● 具有流量统计与流量限制功能

● 支持一个网络端口绑定多个IP地址，从而支持多个子网和多种IP应用

● 支持IP与MAC地址绑定，有效地管理IP地址资源

在内部网络的应用中，经常会遇到内部网络用户擅自修改IP地址，以获取一个合法IP地址来进行相应的网络应用，这样会使内部网络在地址资源的分配和使用上出现混乱，大大影响内部网络的正常运行，而且，在网络事故发生以后，也加大了地址追寻的难度。 天网防火墙所具有的MAC地址绑定功能可以很好地解决这个问题。当网络用户被分配或自行设定一个IP地址以后，防火墙系统就能接收到相应的地址广播，在防火墙系统上列出相应的IP地址与MAC地址，并可以选择是否把这个IP地址与相应的MAC地址绑定，这样可限定IP地址只能在一台指定的工作站上使用，大大方便了网络的IP地址管理。

● 具有实时系统监控功能，能观察系统的运行状态及网络连接状况 天网防火墙系统可以通过实时观察系统的运行时间、负载状况以及内存使用情况等，来了解整个系统的运行状况，并且还可以在界面上观察到系统的各种网络连接状况，从而可以根据系统的负载情况对系统作出相应的调整。

● 具有实时报警功能，通过拨打电话和Emai*的方式报警

系统提供对任何可疑的行为作出实时的告警提示，告警可疑通过可闻可见的的方式发出，也可以通过Email发出信息、发出SNMP告警到网管系统，或者激活一些用户定义的告警方式，如通过传呼机呼叫管理员等。

● 可通过界面升级，操作方便

● 具有系统操作记录，可以记录系统管理员的所有操作情况

工作站工作站工作站工作站工作站

小型企业通常采用2M以下的专线实现与Internet的互连，在线路速度上对防火墙的要求不高。企业通过路由器与DDN连接上Internet，路由器的以太网接口直接连接到防火墙的网络端口1上；企业的服务器直接连接在防火墙的网络端口2上，如果企业多有台服务器，可以通过集线器连接在防火墙的网络端口2上；企业的工作站通过集线器连接在防火墙的网络端口3上；通过这种方式，防火墙可以同时保护企业的服务器和内部的工作站。

内部的所有工作站可以采用内部网的私有网络地址，例如192.168.0.xxx网段，通过防火墙的NAT功能连接上Internet，将宝贵的IP地址资源保留给服务器使用。

2. 天网防火墙企业 I 型:

天网防火墙企业I型防火墙，是适合大中型企业上网用的防火墙，适用于用户数量规模较大大的网络环境（大约有几十到几百甚至上千台内部工作站）。它包括了基本的防火墙系统，网络黑洞和数据纪录功能模块，具体功能特性如下：

● 基本防火墙系统功能（同工作组型）

● 网络黑洞模块，用于阻挡黑客的网络结构探测，返回错误的信息给黑客，可以有效的防

止外来攻击

● 网络数据纪录模块，用于记录网络数据流量、用户流量计费等功能，该模块需要在一台

PC机上安装一个客户端软件进行数据收集、分析和处理，还可以把分析结果导入数据库，实现自动处理。

本方案将现有网络划分为物理上相互独立的三个网段：

● 公共网段（Public_Nework） ● 停火区网段（DMZ_Network） ● 私有网段（Private_Network）

其中，公共网段提供面向Internet的广域网连接和其他各行访问的支持；停火区网段安放各种数据库、FTP/Web服务器和企业内部业务信息服务器，提供多种面向Internet的应用服务；内部私有网段保障本地用户安全地访问外部网络资源，以及对停火区内各服务提供设备进行更新和维护。

安全策略：

目的：

● ● ●

划分安全区域。

制订安全策略，包括用户访问控制，定义访问级别，确定服务类型。 审核和过滤，仅符合安全策略的访问和响应过程可以通过，拒绝其他访问请求。

根据对用户需求的分析，企业内部网络可以划分为以下几个安全区域：

● 内部网段 ● 公共网段 ● 外部网段

分属三个安全区域的网段通过天网防火墙进行互连。

现有需要进行审核和过滤的应用和服务类型包括：

3. 天网防火墙企业 II 型:

天网防火墙企业II型防火墙，同样是适合大中型企业上网用的防火墙，适用于用户数量规模较大大的网络环境（大约有几十到几百甚至上千台内部工作站）。它加入了透明代理服务器，能满足许多大中型企业对内部用户进行控制管理的需求，它包括了基本的防火墙系统，数据记录模块、网络黑洞模块、透明代理模块以及URL拦截模块（可选）和内容过滤模块（可选），具体功能特性如下：

● 基本防火墙系统功能（同工作组型）

* 网络黑洞模块，用于阻挡黑客的网络结构探测，返回错误的信息给黑客，可以有效的防止外来攻击

● 网络数据纪录模块，用于记录网络数据流量、用户流量计费等功能，该模块需要在一台

PC机上安装一个客户端软件进行数据收集、分析和处理，还可以把分析结果导入数据库，实现自动处理。

● 透明代理功能

天网防火墙系统使用了先进的透明代理服务机制，从安全、性能、兼容性上远超出一般的代理服务器。

本代理服务器是建立在网络核心中的，一个通过代理服务器的访问请求在认证通过，正式建立连接后，代理服务器就可以直接把连接交由IP处理层管理，缩短了处理的时间。而其它基于应用层的代理服务器必须一直管理有关联接，增加了系统的负担。使用透明的代理服务器机制可以减轻系统负担、加快响应速度、提高系统整体性能。

同时天网防火墙系统可以自动把用户的访问请求重定向到对应的透明代理服务器，这样用户端可免去Proxy的设置工作，方便了广大的用户。

● 可对用户上网时间作限制

● 可进行URL拦截

● 可进行基于中文的内容过滤

● 可根据用户进行统计计费

典型网络方案：山东章丘广电安全方案

本方案的设计遵循以下思想是： ⏹ 风险、成本、效率平衡原则 ⏹ 综合性、整体性考虑

⏹ 保证系统可用性，安全系统对于应用有很好的透明性 ⏹ 集中管理，易于维护

⏹ 实用的安全产品必须是经过公安部门检验的合法产品。并且必须是国产安全产品。 ⏹ 与应用系统结合，提供网络与应用结合的一体化安全方案

本方案是用防火墙技术把要保护的计算机系统与较危险的外界隔离开，只允许建立安全的连接，中心思想是在主机或网络与外界连接之间增加检查，拒绝接受可疑的连接请求。

系统总体结构图如图3所示：

防火墙

防火墙技术的目标是保护网络的一段或整个内部网络不受外界入侵影响。网上办税系统采用天网防火墙将安全管理“相对”宽松的“内网”与外部网络隔离开来。

安全区域

按照服务性质和管理区域划分：

1．DMZ (非军事区)：提供对外服务。

2．内部网络：内部用户。 3．外部网络 如下图所示：

其中，章丘广电外部网络连接济南广电网，通过济南广电网连接到Internet上；DMZ网段安放Web，Mail服务器和计费服务器，提供基于Web的应用服务Email服务和网络计费服务；我们可以利用防火墙的重定向功能，使用私有地址来保护服务器。另外，章丘广电内部网段上是普通用户，能够通过防火墙连接Internet，而外部网络不能访问内部用户的机器。内部用户使用防火墙的透明代理上连Internet，可以利用防火墙进行用户计费和用户

认证。

安全策略

制定安全策略的目的： ⏹ 划分安全区域。

⏹ 制订安全策略，包括用户访问控制，定义访问级别，确定服务类型。

⏹ 审核和过滤，仅符合安全策略的访问和响应过程可以通过，拒绝其他访问请求。

网络系统的主要服务类型是： 1. HTTP （WEB 服务） 2. 其他Internet应用服务

其它的网络服务由于不会跨越不同的安全区域，在防火墙部分不必考虑。根据以上需求制订出安全策略。

现有需要进行审核和过滤的应用和服务类型包括：

攻击防御

攻击防御系统

黑客使用的网络攻击的方式及天网防火墙的抵御措施：

Denial-Of-Service（DOS） 攻击

最近在Internet上DOS攻击暴虐一时。由于可以通过使用一些公开的软件进行攻击，它的发动较为简单。同时要防止这种攻击又非常困难，天网防火墙系统针对各种DOS攻击做出了较全面的防御措施。

SYN Flood

这是一种较为常见的攻击，不法分子会向攻击目标发出大量TCP SYN请求，具有SynFlood Defend 技术的防火墙可以有效的的分辨出黑客攻击与正常连接，因此可以抵挡该攻击。

Windows OOB Attack：

对于没有Patch过的Windows 95/NT系统，不法分子可以利用向NetBIOS（Port 139）发送Out Of Band 数据，这可以导致被攻击机器死机。

天网防火墙系统会分析通往NetBios的信息，检查是否OOB数据，如果检查出有问题，将会拒绝该IP包，同时把来源IP纪录并发出系统警告。

PING DOS Attack

许多Unix-Like系统在接收到一个长度大于65535的IP包碎片时，会错误处理，导致系统死机或重起。这种攻击又称为“Ping Of Death Attack”。

天网防火墙系统会自动检查IP包，当发现它是Ping Of Death Attack的数据，会拒绝其进入，纪录来源IP并发出系统警告。

IP Spoof

不法分子可以使用IP Spoof的办法伪造来源IP，由于防火墙系统本身具有路由功能，如果没有防御措施，将会被骗，把该虚假来源的IP包发送到局部网络中去，这使非常危险的。

天网防火墙系统会根据IP的来源设备进行分析，如果超出该设备的网络范围，将会拒绝该IP包，纪录并发出警告。这样在不同物理网络/逻辑网络之间虚假IP包不能通过，保证了系统的安全。

网络黑洞

对系统进攻的第一步，是探测对方的网络结构。天网防火墙的网络黑洞可以吸收网络探测，并且返回虚假信息，使攻击者获得错误的信息，并且制造陷阱，引诱攻击者进行攻击，同时记录攻击并且报警。

4. 天网防火墙ICP I 型:

天网防火墙ICP－I 型防火墙，是适合应用与业务比较简单的ICP网站使用的防火墙，天网防火墙ICP型是专为ICP设计的大容量防火墙，能支持大量的峰值访问与并发连接数，满足ICP网站的需求。它包括了基本的防火墙系统，网络黑洞和数据纪录功能模块，具体功能特性如下：

● 基本系统功能

● 网络黑洞，用于阻挡非法的网络探测

● 网络数据记录, 用于记录通过防火墙的数据类型和流量

● 双机热备份, 可以在10秒钟内自动切换不正常工作的防火墙系统

● 负载均衡, 可以智能地将用户的请求分布到多台服务器上 天网防火墙的负载均衡模块，可以智能地将用户的服务请求分布到多台服务器上面，同

时，提供容错功能，可以自动隔离出问题的服务器。系统具体功能如下： 1）动态负载均衡

天网防火墙的负载分布模块可以根据服务器的负载情况，包括CPU 占用量，系统Load等情况，自动选择负载最小的服务器，将用户的服务请求发送到该机器上。 2）容错处理

天网防火墙的负载分布模块可以自动检测服务器的可用性，当某一台服务器出现故障的时候，分布式系统会自动绕开发生故障的机器，不会将用户的服务请求发送到该机器上，保证了系统的正常运作。

典型网络方案：

假设网站准备使用十台服务器对外提供Web服务，使用四台服务器作为Smtp服务器，两台服务器作为POP3服务器，对外进行服务，估计将有23—25M的流入数据量和12—14M的外流数据量：

● 公共网络。提供网站的Web界面访问，收发电子邮件服务。 ● 外部网络。提供到Internet连接。 主要应用类型包括：

● Web应用 ● POP3及Smtp电子邮件应用 ● DNS服务 ● FTP服务

安全策略为先关闭全部服务和端口，在开放部分服务和端口。

网络结构

根据网站当前的网络需求，我们建议使用基于天网防火墙ICP-I型的安全解决方案。下图为本建议方案的网络拓扑示意图。

物理上相互独立的两个网段：

公共网段（Public Network） ● 私有网段（Private Network）

其中，公共网段提供面向Internet的广域网连接和接受互联网用户访问的支持；私有网段安放十台Web服务器、四台Smtp服务器和两台POP3服务器，提供Web和电子邮件应用服务。

●

安全策略

目的：

● ● ●

划分安全区域。

制订安全策略，包括用户访问控制，定义访问级别，确定服务类型。 审核和过滤，仅符合安全策略的访问和响应过程可以通过，拒绝其他访问请求。

根据对用户需求的分析，网络可以划分为以下几个安全区域：

● 内部网段 ● 外部网段

5. 天网防火墙ICP －II 型:

天网防火墙ICP－II 型防火墙，是适合应用与业务比较复杂的ICP网站使用的防火墙，天网防火墙ICP型是专为ICP设计的大容量防火墙，能支持大量的峰值访问与并发连接数，满足ICP网站的需求。它包括了基本的防火墙系统，网络黑洞和数据纪录功能模块，具体功能特性如下：

● 基本系统功能

● 网络黑洞，用于阻挡非法的网络探测

● 网络数据记录, 用于记录通过防火墙的数据类型和流量

● 双机热备份, 可以在10秒钟内自动切换不正常工作的防火墙系统

● 负载均衡, 可以智能地将用户的请求分布到多台服务器上

典型网络方案：(163.net北京站点)

163.net北京网站准备使用十台服务器对外提供Web服务，使用四台服务器作为

Smtp服务器，两台服务器作为POP3服务器，对外进行服务，估计将有23—25M的流入数据量和12—14M的外流数据量：

● 公共网络。提供163.net的Web界面访问，收发电子邮件服务。 ● 外部网络。提供到Internet连接。

主要应用类型包括：

● Web应用 ● POP3及Smtp电子邮件应用

安全策略为先关闭全部服务和端口，在开放部分服务和端口。

网络结构

根据163.net北京站点当前的网络需求，我们建议使用基于天网防火墙ICP-II型的安全解决方案。下图为本建议方案的网络拓扑示意图。

的双机热备份功能保证不间断正常运作，并把整个网络划分为物理上相互独立的两个网段：

● 公共网段（Public Network） ● 私有网段（Private Network）

其中，公共网段提供面向Internet的广域网连接和接受互联网用户访问的支持；私有网段安放十台Web服务器、四台Smtp服务器和两台POP3服务器，提供Web和电子邮件应用服务。

安全策略

目的：

● ● ●

划分安全区域。

制订安全策略，包括用户访问控制，定义访问级别，确定服务类型。 审核和过滤，仅符合安全策略的访问和响应过程可以通过，拒绝其他访问请求。

根据对用户需求的分析，163.net北京站点的网络可以划分为以下几个安全区域：

● 内部网段 ● 外部网段

分属两个安全区域的网段通过天网防火墙进行互连。

现有需要进行审核和过滤的应用和服务类型包括：