防火墙防火墙技术

深信服防火墙技术白皮书深信服科技有限公司www.
sangfor.
com二零一一年四月版权信息版权所有2001-2011,深圳市深信服电子科技有限公司本文档中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属深圳市深信服电子科技有限公司所有,受国家有关产权及版权法保护.
如何个人、机构未经深圳市深信服电子科技有限公司的书面授权许可,不得以任何方式复制或引用本文档的任何片段.

商标信息深信服、SANGFOR、深信服科技、深信服电子、深信服网络、深信服安全等标识及其组合是深圳市深信服电子科技有限公司拥有的商标,受商标法和有关国际公约的保护.
第三方信息本文档中所涉及到的产品名称和商标,属于各自公司或组织所有.
深信服总部地址:深圳市南山区科技园科发路8号金融基地2栋4楼电话:0755-86627888传真:0755-86627999邮箱:market@sangfor.
com.
cn中国地区客户服务中心客服热线:400-630-6430电话:0755-86336160传真:0755-86336514邮箱:support@sangfor.
com.
cn目录序言1第1章产品概述2第2章深信服防火墙产品特点与技术优势32.
1统一的安全平台系统32.
2智能的分离平面设计42.
3高效的单次解析引擎52.
4高效的多核并行处理技术62.
5完备的关联安全标准62.
6基于应用的内容识别控制72.
6.
1可视化的应用识别82.
6.
2智能用户身份识别82.
6.
3面向用户与应用的访问控制策略92.
6.
4基于应用的流量管理102.
7精确细致的WEB分类过滤112.
8可信架构主动云防御技术122.
8.
1安全风险评估与策略联动122.
8.
2智能的防护模块联动12第3章深信服防火墙产品主要功能13第4章深信服防火墙的典型应用174.
1高可靠全链路冗余应用环境174.
2旁路环境下双机热备环境184.
3骨干网内网分隔环境194.
4混合模式接入环境204.
5支持VLAN环境214.
6多出口环境23第5章公司简介24序言随着信息化建设的深入推进,近些年信息安全正在发生着翻天覆地的变化.
之前的很长一段时间里,IT人员的工作主要是搭建网络基础平台,用户对信息安全的需求则主要是对基础设施进行安全防护,安全产品给信息系统带来的价值无法衡量,有时甚至变成一种心理安慰,这一时期可以称之为"信息安全1.
0时代".
而随着信息化发展的逐渐深入,信息化建设将风险推向前台.
尤其是随着信息化的发展,更多的工作平台、业务平台都搬上网络,网络从传输"数据"进化到传输"钞票",有时甚至是关系国家安全、社会责任等国计民生的重大内容,信息安全正式进入了2.
0时代.

在"信息安全2.
0时代",应用与数据安全的保障是摆在信息安全厂商面前最迫切的课题,作为信息安全的基础设施产品--—防火墙也面临着新的机遇与挑战.
深信服防火墙适应用户的需求,在不断提高性能的同时,功能上包括基于应用的识别控制,深层内容过滤等方面都取得了重要突破,为用户构建完整的应用与数据安全解决方案,全方位保障业务的安全运行提供了有力的手段.

产品概述深信服防火墙是深信服科技自主研发的核心产品.
深信服防火墙产品集成了防火墙、VPN、入侵检测与防御、防蠕虫病毒、上网行为管理、流量整形等众多功能.
目前已广泛应用在税务、公安、政府、部委、能源、交通、军队、电信、金融、企业等各行业,并为其网络和应用提供安全保障.

深信服防火墙分为万兆、千兆、百兆系列防火墙,从大型骨干网络的安全防护到小型办公室网络的安全接入都有相应的防火墙产品.
今天,作为国内最大的新网络设备供应商,深信服在信息安全领域通过多年的积累,率先开始了在应用与数据安全领域的革新,通过在产品、技术、服务及解决方案的全面创新,为用户提供真正有价值的信息安全整体防护方案.

深信服防火墙产品特点与技术优势统一的安全平台系统深信服防火墙采用创新的x86多核并行处理安全平台,将实时操作系统、网络处理、安全应用等技术完美地结合在一起,使防火墙产品具备了高智能、高性能、高安全性、高可用性、高扩展性等特点.
森信服下一代防火墙面向网络吞吐和安全处理,采用基于组件的多平面架构,整个系统分为控制平面、内核驱动平面、内容检测平面、数据转发务平面,通过控制平面和数据平面的分离,集中主要资源于网络吞吐和安全处理,使系统具有极强的实时性和网络吞吐能力.

智能的分离平面设计深信服NGAF通过软件设计将网络层和应用层的数据处理分离,在底层通过应用识别模块为基础,对所有网卡接收到的数据进行识别,再通过抓包驱动把需要处理的应用数据报文抓取到应用层,如若应用层发生数据处理失败的情况,也不会影响到网络层数据的转发.
实现数据报文的高效,可靠处理.

高效的单次解析引擎深信服防火墙具有高效的USE(UniformSecurityEngine)统一安全引擎,它将状态包过滤、VPN、IDS、内容过滤、用户认证等多个子系统集成于单一平台,构造统一架构,综合并优化各子系统,去除冗余,简化数据处理流程,实现统一的安全引擎处理机制.

要进行应用层威胁过滤,就必须将数据报文重组才能检测,而报文重组、特征检测都会极大地消耗内存和CPU,因而UTM的多引擎,多次解析架构工作效率低下.
因此,NGAF所采用的单次解析引擎通过统一威胁特征、统一匹配引擎,针对每个数据包做到了只有一次报文重组和特征匹配,消除了重复性工作对内存和资源的占用,从而系统的工作效率提高了70%-80%.
但这种技术的一个关键要素就是统一特征库,这项技术的难度在于需要找到一种全新的"特征语言"将病毒、漏洞、Web入侵、恶意代码等威胁进行统一描述,这就好比是八个不同国家语言的人要想彼此无障碍交流,最笨的办法是学会7种语言,但明显不可行;因此,需要一种全新的国际语言来完成,从而提高可行性,又降低了工程的复杂度.
统一安全引擎克服了传统上各个安全引擎独自为战的缺点,通过高效的引擎集成技术,将各个安全功能有机地整合为一体,状态检测、协议分析机、深度过滤、内容检测等引擎协同工作,对于监测的数据包,一次性拆包即可完成2-7层的检测,同时采用联想的专利技术----基于摘要索引的内容处理加速算法,有效地提高了引擎的处理效率.

高效的多核并行处理技术现在CPU核越来越多,从双核到4核,再从4核到8核,16核,现在还有128核的CPU了.
这样来看,如果1个核能够做到1个G,那么16个核不就能够超过10个G了吗但是通常设备性能并不能够根据核的增加而迅速增加.
因为虽然各个核物理上是独立的,但是有很多资源是共享的,包括CPU的Cache,内存,这些核在访问共享资源的时候是要等其他核释放资源的,因此很多工作只能串行完成.

同时NGAF的多核并行处理技术进行了大量的优化工作----减少临界资源的访问,除了在软件处理流程的设计上尽量减少临界资源以及临界资源的访问周期,还需要充分利用读写锁、原子操作、内存镜像等机制来提高临界资源的访问效率.
基于联想拥有的大型计算机高可靠设计专利技术,利用电信骨干网可靠性运营维护专业经验,深信服防火墙通过自有的MRP多重冗余协议,在物理层、链路层、网络层、实体层等多个层面实现多元化冗余设计,有效地保障深信服防火墙在用户网络应用中的高可用性.

完备的关联安全标准深信服以"面向业务的安全架构"为技术理念,以"统一安全,立体防御"为设计目标,参照国际标准,系统地开发了安全管理协议、安全联动协议、安全审计协议等协议族,构成了完备的关联安全标准.

深信服防火墙系列全面支持CSC标准,一方面可以保证安全管理中心可以通过安全管理协议全面掌控防火墙的运行,另一方面通过统一的事件格式、事件等级、发送协议,使安全审计中心只要遵从安全审计协议即可以对防火墙的安全事件进行集中、可视化审计.
同时,深信服防火墙遵从安全联动协议,可以使主机安全软件,入侵检测等系统以防火墙为核心构建深度安全防御体系,使网络安全从独立、单一防护的安全产品保护发展为立体、全面、动态的防护.

基于应用的内容识别控制NGAF独创的应用可视化技术,可以根据应用的行为和特征实现对应用的识别和控制,而不仅仅依赖于端口或协议,摆脱了过去只能通过IP地址来控制的尴尬,即使加密过的数据流也能应付自如.
目前,NGAF的应用可视化引擎不但可以识别1200多种的内外网应用及其2700多种应用动作,还可以与多种认证系统(AD、LDAP、Radius等)、应用系统(POP3、SMTP等)无缝对接,自动识别出网络当中IP地址对应的用户信息,并建立组织的用户分组结构;既满足了普通互联网边界行为管控的要求,同时还满足了在内网数据中心和广域网边界的部署要求,可以识别和控制丰富的内网应用,如LotusNotes、RTX、Citrix、OracleEBS、金蝶EAS、SAP、LDAP等,针对用户应用系统更新服务的诉求,NGAF还可以精细识别Microsoft、360、Symantec、Sogou、Kaspersky、McAfee、金山毒霸、江民杀毒等软件更新,保障在安全管控严格的环境下,系统软件更新服务畅通无阻.

因此,通过应用可视化引擎制定的L4-L7一体化应用控制策略,可以为用户提供更加精细和直观化控制界面,在一个界面下完成多套设备的运维工作,提升工作效率.
可视化的应用识别随着网络攻击不断向应用层转移,传统的网络层防火墙已经不能有效实施防护.
因此,作为企业网络中最重要的屏障,如何帮助用户实现针对所有应用的可视化变得十分重要.
NGAF以精确的应用识别为基础,可以帮助用户恢复对网络中各类流量的掌控,阻断或控制不当操作,根据企业自身状况合理分配带宽资源等.

NGAF的应用识别有以下几种方式:第一,基于协议和端口的检测仅仅是第一步(传统防火墙做法).
固定端口小于1024的协议,其端口通常是相对稳定,可以根据端口快速识别应用.
第二,基于应用特征码的识别,深入读取IP包载荷的内容中的OSI七层协议中的应用层信息,将解包后的应用信息与后台特征库进行比较来确定应用类型.
第三,基于流量特征的识别,不同的应用类型体现在会话连接或数据流上的状态各有不同,例如,基于P2P下载应用的流量模型特点为平均包长都在450字节以上、下载时间长、连接速率高、首选传输层协议为TCP等;NGAF基于这一系列流量的行为特征,通过分析会话连接流的包长、连接速率、传输字节量、包与包之间的间隔等信息来鉴别应用类型.

智能用户身份识别网络中的用户并不一定需要平等对待,通常,许多企业策略仅仅是允许某些IP段访问网络及网络资源.
NGAF提供基于用户与用户组的访问控制策略,它使管理员能够基于各个用户和用户组(而不是仅仅基于IP地址)来查看和控制应用使用情况.
在所有功能中均可获得用户信息,包括应用访问控制策略的制定和安全防护策略创建、取证调查和报表分析.
1、映射组织架构NGAF可以按照组织的行政结构建立树形用户分组,将用户分配到指定的用户组中,以实现网络访问权限的授予与继承.
用户创建的过程简单方便,除手工输入帐户方式外,NGAF能够根据OU或Group读取AD域控服务器上用户组织结构,并保持与AD的自动同步,方便管理员管理.

此外,NGAF支持账户自动创建功能,依据管理员分配好的IP段与用户组的对应关系,基于新用户的源IP地址段自动将其添加到指定用户组、同时绑定IP/MAC,并继承管理员指定的网络权限.
管理员亦可将用户信息编辑成Excel、TXT文件,将账户导入,实现快捷的创建用户和分组信息.

2、建立身份认证体系本地认证:Web认证、用户名/密码认证、IP/MAC/IP-MAC绑定第三方认证:AD、LDAP、Radius、POP3、PROXY等;单点登录:AD、POP3、Proxy、HTTPPOST等;强制认证:强制指定IP段的用户必须使用单点登录(如必须登录AD域等)丰富的认证方式,帮助组织管理员有效区分用户,建立组织身份认证体系,进而形成树形用户分组,映射组织行政结构,实现用户与资源的一一对应.
NGAF支持为未认证通过的用户分配受限的网络访问权限,将通过Web认证的用户重定向至显示指定网页,方便组织管理员发布通知.
面向用户与应用的访问控制策略当前的网络环境,IP不等于用户,端口不等于应用.
而传统防火墙的基于IP/端口的控制策略就会失效,用户可以轻易绕过这些策略,不受控制的访问互联网资源及数据中心内容,带来巨大的安全隐患.

NGAF不仅具备了精确的用户和应用的识别能力,还可以针对每个数据包找出相对应的用户角色和应用的访问权限.
通过将用户信息、应用识别有机结合,提供角色为应用和用户的可视化界面,真正实现了由传统的"以设备为中心"到"以用户为中心"的应用管控模式转变.
帮助管理者实施针对何人、何时、何地、何种应用动作、何种威胁等多维度的控制,制定出L4-L7层一体化基于用户应用的访问控制策略,而不是仅仅看到IP地址和端口信息.
在这样的信息帮助下,管理员可以真正把握安全态势,实现有效防御,恢复了对网络资源的有效管控.

基于应用的流量管理传统防火墙的QOS流量管理策略仅仅是简单的基于数据包优先级的转发,当用户带宽流量过大、垃圾流量占据大量带宽,而这些流量来源于同一合法端口的不同非法应用时,传统防火墙的QOS便失去意义.
NGAF提供基于用户和应用的流量管理功能,能够基于应用做流量控制,实现阻断非法流量、限制无关流量保证核心业务的可视化流量管理价值.

NGAF采用了队列流量处理机制:首先,将数据流根据各种条件进行分类(如IP地址,URL,文件类型,应用类型等分类,像skype、emule属于P2P类)然后,分类后的数据包被放置于各自的分队列中,每个分类都被分配了一定带宽值,相同的分类共享带宽,当一个分类上的带宽空闲时,可以分配给其他分类,其中带宽限制是通过限制每个分队列上数据包的发送速率来限制每个分类的带宽,提高了带宽限制的精确度.

最后,在数据包的出口处,每个分类具备一个优先级别,优先级高的队列先发送,当优先级高的队列中的数据包全部发送完毕后,再发送优先级低的.
也可以为分队列设置其它排队方法,防止优先级高的队列长期占用网络接口.

基于应用/网站/文件类型的智能流量管理NGAF可以基于不同用户(组)、出口链路、应用类型、网站类型、文件类型、目标地址、时间段进行细致的带宽划分与分配,如保证领导视频会议的带宽而限制员工P2P的带宽、保证市场部访问行业网站的带宽而限制研发部访问新闻类网站的带宽、保证设计部传输CAD文件的带宽而限制营销部传输RM文件的带宽.
精细智能的流量管理既防止带宽滥用,又提升带宽使用效率.

P2P的智能识别与灵活控制封IP、端口等管控"带宽杀手"P2P应用的方式极不彻底.
加密P2P、不常见P2P、新P2P工具等让众多P2P管理手段束手无策.
NGAF不仅识别和管控常用P2P、加密P2P,对不常见和未来将出现的P2P亦能管控.
而完全封堵P2P可能实施困难,NGAF的P2P流控技术能限制指定用户的P2P所占用的带宽,既允许指定用户使用P2P,又不会滥用带宽,充分满足管理的灵活性.

精确细致的WEB分类过滤深信服防火墙系列在内容过滤库的处理上力求收集齐全、分类准确、更新及时.
通过采用网站全智能搜索引擎技术收集互联网站点,并进行智能分类、人工核验的处理手段对网站进行分类.
目前深信服防火墙支持100多种完善的URL类别,分别涉及色情、暴力、赌博、毒品、犯罪、病毒、体育、财经、娱乐等网站分类,这100多个URL类别库总共包含1000万以上特征网站,具有分类全,覆盖面广的特点.
另外,由于在互联网上每天都有大量新网站出现,深信服通过在线升级的方式,使URL库中的网站处于持续的更新状态.

可信架构主动云防御技术安全风险评估与策略联动NGAF基于时间周期的安全防护设计提供事前风险评估及策略联动的功能.
通过端口、服务、应用扫描帮助用户及时发现端口、服务及漏洞风险,并通过模块间的智能策略联动及时更新对应的安全风险的安全防护策略.
帮助用户快速诊断电子商务平台中各个节点的安全漏洞问题,并做出有针对性的防护策略.

智能的防护模块联动智能的主动防御技术可实现NGAF内部各个模块之间形成智能的策略联动,如一个IP/用户持续向内网服务器发起各类攻击则可通过防火墙策略暂时阻断IP/用户.
智能防护体系的建立可有效的防止工具型、自动化的黑客攻击,提高攻击成本,可抑制APT攻击的发生.
同时也使得管理员维护变得更为简单,可实现无网管的自动化安全管理.

深信服防火墙产品主要功能功能类别详细描述多操作系统引导选项支持多系统引导,在主硬盘出现故障时可保障设备稳定运行配置恢复支持系统配置导出文件,可导入导出恢复配置访问控制状态检测基于源/目的IP地址、MAC地址、域名、端口或协议、服务、网口、时间、用户的访问控制基于源/目的IP地址、端口、服务、网口、时间、应用等安全策略的带宽控制可基于时间和安全域进行安全隔离,同一时间内网主机只能访问DMZ区或者只能访问外网透明代理实现基于策略的HTTP、FTP、TELNET、SMTP、POP3等透明代理和深度过滤IP/MAC绑定实现IP/MAC地址绑定,且支持IP/MAC地址对的自动探测和唯一性检查AAA认证服务支持基于客户端的本地认证、无客户端软件的WEB认证,支持RADIUS、TACACS/TACACS+、LDAP、域认证等安全认证方式.
支持认证保活功能.
主动防御Web监控与防篡改实时监控Web目录的变化情况,包括文件或文件夹的创建,修改,删除.
脚本后门扫描根据特征扫描能查出99%以上的脚本后门终端管理P2P下载控制识别和控制迅雷、BT、eDonkey、eMule等常见P2P下载软件P2P视频播放控制识别和控制PPLive、QQLive、PPStream、迅雷看看等常见P2P视频播放软件IM即时通讯软件控制识别和控制QQ、MSN等常用IM软件,一键式阻断IM机密文件传输在线游戏控制识别和控制魔兽、CounterStrike、征途、联众、浩方、泡泡堂等多种在线游戏软件炒股软件控制识别和控制大智慧、同花顺、国泰君安、证券之星、广发证券、指南针、通达信等多种炒股软件WEB分类过滤支持基于分类库的URL访问控制,可以对色情、反动等多种负面网站按类别进行选择控制支持50多种分类库,1000万级网址智能特征库支持URL独立特征库,支持增量升级管理网络适应性接入模式支持透明、路由、混合三种工作模式支持DHCPClient、DHCPRelay、DHCPServer支持PPPoE接入,提供多条ADSL线路同时拨号接入,并具备自动断线重连技术支持多透明桥,支持端口联动路由支持静态路由,动态路由(OSPF、RIP等),VLAN间路由,单臂路由,组播路由等支持基于源/目的地址、接口、Metric、服务的策略路由支持多出口路由负载均衡支持ISP智能选路,内置多种ISP地址库,优化网络带宽;NAT支持双向NAT、动态地址转换和静态地址转换,并支持多对一、一对多和一对一等多种方式的地址转换VLAN支持802.
1Q和ISLVLAN封装协议,支持两种封装的互换以及VlanTrunk带宽管理基于IP地址、服务、网口、时间等定义带宽分配策略支持最小保证带宽和最大限制带宽支持分层的带宽管理动态协议在各种工作模式下均支持H.
323(H.
323GK)、SIP、FTP、MMS、RTSP、UPnP、XDMCP、TNS等多种动态协议VPNIPSecVPN支持标准IPSec协议,能够与CISCO、NETSCREEN等知名厂商的VPN设备互联互通支持预共享密钥、证书等认证方式且支持X扩展认证支持3DES、DES、AES等加密算法支持AH和ESP封装模式以及MD5、SHA1、SHA2等通用摘要算法支持DH1024、DH2048、RSA1024、RSA2048等非对称加密算法支持多出口VPN,且支持NAT穿越支持隧道间路由,并可通过隧道间路由实现多级的VPN部署支持VPN隧道热备份功能,保持隧道连接的可靠性IPSEC客户端VPN客户端可与所有支持标准IPSec协议的VPN网关互联互通支持基于USBKey的证书认证方式IPSecVPN客户端支持MicrosoftWindows2000/XP、Vista等操作系统入侵检测与防御入侵检测集成基于统一安全引擎的入侵检测与防御模块,具备2500种以上攻击特征库规则蠕虫防护支持基于摘要索引的内容加速算法(DCA算法)的蠕虫病毒过滤采用基于TCP连接数管理的侦测技术,对感染蠕虫病毒的异常主机进行定位实现对blaster,nachi,nimda,codered,sasser,slapper,sqlexp,zotob等主流蠕虫病毒的识别、过滤和拦截抗DDoS/DoS攻击可识别和防御synflood、Pingflood、udpflood、teardrop、sweep、land-base、pingofdeath、smurf、winnuke、CC攻击、圣诞树、碎片等多种攻击内容过滤网页过滤支持对网页关键字和Java、JavaScript、ActiveX进行过滤邮件过滤支持对邮件地址、主题、正文、名、内容等进行关键字匹配过滤支持对中转垃圾邮件进行识别和过滤FTP过滤支持对FTP上传和下载文件的控制管理配置系统管理支持友好的Web图形界面配置支持快速配置向导,增强系统配置易用性支持远程SSH和串口命令行配置支持数字证书和电子钥匙两种管理员认证方式,支持管理员权限分级支持SNMP管理,与当前通用的网络管理平台兼容可导出可读的配置文件并进行打印存档可进行配置文件的备份、下载、恢复和上传系统监控支持对CPU、内存、磁盘、网口、用户在线状态、连接数、路由表等信息的监控日志报警支持设备内存储和专用事件分析服务器两种日志管理方式日志采用中文方式,可读性强,并采用颜色区分日志级别可支持日志回滚操作,保存或覆盖最初日志信息;支持分级报警,支持SNMPTrap和邮件等报警方式集中管理可通过专用的集中管理系统实现对防火墙的集中设备监控、集中日志审计、安全报警以及防火墙、VPN部分策略的分发等功能可通过专用的集中管理系统,实现对网络拓扑的管理,基于域的权限分配和报表自动生成,以及设备的历史状况回放可提供专用的软件实现对防火墙接入用户认证的集中管理,至少可同时管理2048台防火墙高可用性负载均衡支持多重冗余协议(MRP),实现链路备份、端口备份、热备份、集群备份等支持服务器负载均衡,支持轮询、加权轮叫、源地址HASH、目的地址HASH、最少连接、加权最少链接等多种调度算法支持防火墙多WAN口备份和负载均衡支持基于802.
3ad标准的多端口聚合,实现零成本扩展带宽通过状态同步技术实现2~32台防火墙的多机集群双机热备在NAT、路由、透明模式下支持A-A,A-S模式,且切换时间小于1秒可在热备和集群工作模式下支持多台防火墙的配置自动同步VRRP协议支持多台设备的热备和负载均衡支持虚拟MAC技术,对客户端完全透明深信服防火墙的典型应用高可靠全链路冗余应用环境电信网络和许多骨干网络的可靠性要求很高,不允许出现因为设备的故障造成网络的不可用,因此在电信网络和骨干网络中加入防火墙的时候也必须考虑到这个问题,下图为深信服防火墙在骨干网络中应用的例子.

正常情况下两台防火墙均处于工作状态,可以分别承担相应链路的网络通讯.
当其中一台防火墙发生意外宕机、网络故障、硬件故障等情况时,该防火墙的网络通讯自动切换到另外一台防火墙,从而保证了网络的正常使用.
切换过程不需要人为操作和其他系统的参与,切换时间可以以秒计算.
同时,防火墙之间的其中一条链路用于实现状态表传送,当一台防火墙故障时,这台防火墙上的连接可以透明的、完整的迁移到另一台防火墙上,用户不会觉察到有任何变化.
防火墙之间的另外一条链路用于数据通讯,增加网络链路的冗余,增强可靠性.

旁路环境下双机热备环境本案例环境防火墙部署是在大型数据中心(IDC)经常使用的方案,利用交换机划分VLAN的功能,相当于将交换机模块根据不同的VLAN分成几个交换模块使用,一个VLAN连接在防火墙的外部接口和上联路由器的接口,另外几个VLAN连接内部网和防火墙的内部接口.
所有外部流量从路由器接口进入交换机然后通过二层交换直接进入防火墙的外部接口,经过防火墙的内部接口后在进入交换机,最后进入内部核心网络.

骨干网内网分隔环境据赛迪(CCID)统计报告,网络攻击有70%以上来自于企业内部,因此,保护公司网络的安全不仅要保护来自互联网的侵害而且要防止内部的攻击.
深信服防火墙从3个到8个百兆接口可进行模块化扩展,除了可以用作多DMZ区设置外,还可以将内网进行多重隔离保护.
通过防火墙将公司内部不同部门的网络或关键服务器划分为不同的网段,彼此隔离.
这样不仅保护了企业内部网和关键服务器,使其不受来自Internet的攻击,也保护了各部门网络和关键服务器不受来自企业内部其它部门的网络的攻击.
内网分隔的另一个目的是:防止问题的扩大.
如果有人闯进您的一个部门,或者如果病毒开始蔓延,网段能够限制造成的损坏进一步扩大.

混合模式接入环境深信服防火墙支持各种接入模式,分别为:透明模式、路由模式和混合模式,并支持各种模式之上的NAT模式.
透明工作模式:防火墙工作在透明模式下不影响原有网络设计和配置,用户不需要对保护网络主机属性进行重新设置,方便了用户的使用.
路由工作模式:防火墙相当于静态路由器,提供静态路由功能.
混合工作模式:防火墙在透明模式和路由模式同时工作,极大提高网络应用的灵活性.
下图为企业的典型应用,需要防火墙支持混合工作模式,而许多防火墙不支持这种接入模式,给企业的应用带来不便.
例如:某企业内网的地址为保留地址10.
10.
10.
2/24-10.
10.
10.
50/24,企业的对外WWW服务器、MAIL服务器、DNS服务器的内部地址分别为10.
10.
10.
10、10.
10.
10.
101、10.
10.
10.
102,防火墙的内端口地址为10.
10.
10.
1,防火墙外网地址为202.
100.
100.
3对于服务器和Internet之间防火墙可使用透明方式,内网与服务器或Internet之间可以使用NAT方式,方便灵活部署防火墙.
支持VLAN环境VLAN(VirtualLocalAreaNetwork)中文一般译为虚拟局域网络,是一种在交换机上通过端口、地址等方式划分虚拟网络的技术.
在没有配置路由的情况下,不同VLAN之间是不能进行通讯的,目前的网络环境中,许多企业也通过VLAN进行网络安全保护,例如:将财务部门划为一个VLAN等.

下图为一个企业划分VLAN的示意图:此企业划分了4个VLAN,并且通过路由器作VLAN之间的路由.
此时如果加入防火墙,就需要防火墙支持VLAN.
否则防火墙会将VLAN之间通讯、VLAN之间路由的信息丢掉.
而现实中许多防火墙都不支持VLAN,这样就不能通过防火墙保护网络.

深信服防火墙PowerV能够支持802.
1Q和ISL封装协议,也就是说可以把防火墙架设在划分VLAN的交换机与交换机或交换机与路由器之间,可以通过防火墙作VLAN之间的路由,可以通过防火墙有效的保护网络.

多出口环境XXXX大学现有教职工总数1000多人,在校学生总数10000多人.
学校的校园网络建设比较发达,网络接口到每一个学生宿舍,因此上网用户非常多,校园内共有30多个合法的C类地址用于教职工网络,用1个私有的B类地址用于学生上网.
校园共有三个出口——中国教育网、电信网和分校局域网,这时候接入防火墙的时候需要防火墙具有基于规则的路由功能,也就是说:不同主机或者目的地址在防火墙上的网关不同.

深信服防火墙具有基于策略的路由功能,可以根据源地址、目标地址等设定不同的路由,从而可以满足用户具有多个出口的要求,满足学校的特定接入情况.
公司简介深信服公司成立于2000年,是中国最大的应用层网络设备供应商,致力于提供基于网络应用层的产品及解决方案.
目前,全球有超过21,000家用户正在使用深信服的产品.
在中国入选世界500强的企业中,有85%以上的企业都是深信服的用户.
截止2013年3月,深信服在全球共设有49个直属分支机构,分布在全球8个国家和地区,并拥有超过1400名员工.