HR FW3000防火墙简要介绍.docx

HR FW3000防火墙简要介绍HR FW-3000电网卫士防火墙 简要介绍 珠海市鸿瑞软件技术有限公司 HR FW-3000电网卫士防火墙专为电力二次安全防护体系中安全区I、II之间网络安全而设，电网卫士防火墙系统是一套全面、创新、高安全性、高性能的网络安全系统。它根据系统管理者设定的安全规则把守企业网络，提供强大的访问控制、身份认证、应用选通、网络地址转换、信息过滤、物理断开、虚拟专网、支持电力系统多种专用通信协议的分析控制等功能。提供完善的安全性设置，通过高性能、具有自动防御能力的智能网络核心进行访问控制。它使用了创新的WWW管理界面，通过直观、易用的界面管理强大、复杂的系统功能。中国化的设计，不单是界面全中文化，还提供了符合中国国情的全文过滤系统，主要有如下特点： 1、智能防御 系统自动统计、分析通过防火墙的各种连接数据，探测出攻击者，立即断开该主机与内网的任何连接，并将其IP地址列入黑名单，还会根据用户要求对其进行反向拍照，保护内网所有主机的安全。 2、自动反扫描 本系统在内核设计中引入自动反扫描机制，以最快的速度发现扫描器，即时断开其连接，并将该IP地址列入黑名单，在一定时间内，该主机无法再对防火墙系统和防火墙保护的内网进行任何访问。 3、零积累DDoS智能识别防御技术 为本公司专利技术，处于国际领先地位，不但能有效识别、吸收各种SYN攻击包，而且彻底解决了积累问题，能有效抵挡50M带宽以上的Synflood变IP攻击包。 4、蜜罐(攻击陷阱)技术 蜜罐，是网络安全界的前沿技术，电网卫士蜜罐能虚拟WWW、FTP、SMTP、TELNET等网络服务，误导黑客对其进行攻击，同时对黑客的整个攻击过程进行监听、记录，为进一步对黑客的追踪、取证提供了有力的线索和证据，这样，黑客在攻击真正目标前已提前落网。 5、反向拍照技术 一般防火墙只能记录下攻击者的IP地址，对黑客的身份一无所知，而电网卫士防火墙不但能记下黑客的IP，还能给黑客拍一个“全身照”,将黑客主机的特征信息全部记录下来，防止黑客事后抵赖。 6、服务器监控技术 通过配套的服务器监控软件，能实时监控服务器上进程、注册表、日志、开放端口、网络连接等重要信息，一发现有异常，会立即报警，并通知出口防火墙进行拦截。 主要功能模块说明： 智能防御： 系统自动统计、分析通过防火墙的各种连接数据，探测出攻击者，立即断开与该主机的任何连接，并采取将其IP地址列入黑名单等措施，保护内网所有主机的安全。 自动反扫描： 本系统在内核设计中引入自动反扫描机制，以最快的速度发现扫描器，即时断开其连接，并将该IP地址列入黑名单，在一定时间内，该主机无法再对防火墙系统和防火墙保护的内网进行任何访问。 零积累DDoS智能识别防御： 零积累DDoS智能识别防御: 为本公司专利技术，处于国际领先地位，不但能有效识别、吸收各种SYN攻击包，而且彻底解决了积累问题，能有效抵挡50M带宽以上的Synflood变IP攻击包。 防蠕虫病毒攻击： 防火墙有一内置病毒防御模块，并附带有病毒特征库，能有效过滤、拦截各蠕虫病毒传染、攻击包，保护内网主机的安全。 防变种DDoS攻击： 能分析出各种变种DDoS攻击包，自动进行有效防御。 防内部攻击： 防御内网用户因中毒等原因发起的对出口和外网的攻击，无论防火墙工作在NAT模式还是透明模式，都能保证有效识别、拦截、吸收掉内网发起的攻击包，不为攻击者建立攻击通道，保证网络的畅通。 先进的蜜罐(攻击陷阱)技术： 蜜罐，是网络安全界的前沿技术，电网卫士蜜罐能虚拟WWW、FTP、SMTP、TELNET等网络服务，误导黑客对其进行攻击，同时对黑客的整个攻击过程进行监听、记录，为进一步对黑客的追踪、取证提供了有力的线索和证据，这样，黑客在攻击真正目标前已提前落网。 支持TCP标志位检测： 通过对TCP标志位的检测，可以判别出连接的发起方，分辨出该连接是由内网发起，还是由外网发起的，防止外网黑客通过低端常用服务端口向内网主机的高端口发起连接，从而攻击内部主机。 支持多种身份认证方式： 支持RADIUSRADIUS远程访问认证、SECUREID、PKI、PAP口令认证、CHAP、口令方式、数字证书等当前各种常用的身份认证协议。 支持RADIUS认证： 防火墙可以和现有的RADIUS认证服务器接口，实现出网认证。内网用户通过防火墙配套客户端认证软件，与防火墙握手通讯，向防火墙提交认证信息，防火墙通过Radius协议访问第三方认证服务器，检验用户的口令，并确认用户的访问权限。 分组透明代理： 对高层应用服务进行分组透明代理。 基于时间的访问控制： 可设置、限制内网用户的上网时间段，节约资源及减少风险。 支持远程集中管理： 可在不同的地点、不同的操作系统对防火墙进行配置集中管理。防火墙通过数字证书认证、管理主机地址认证、端口控制钥匙等完善的认证措施与管理信息的加密传输，实现全局防火墙设备的集中管理。实现统一的安全策略部署，保证各环节安全策略的一致性，提供了整个系统的安全强度。 独特管理端口软钥匙控制技术： 防火墙的管理端口经常成为黑客攻击的目标，为增强防火墙自身的安全性，用随机配置钥匙软件才能打开管理端口，提高安全。 内核级URL过滤： 防火墙采用独特的内核级URL过滤技术，它能自动提取带有URL信息的数据包，对该类数据包进行深层分析、过滤，不但过滤效率比代理方式的URL过滤高，而且对通过外网代理PROXY的非法URL也能有效拦截。 内核级文件过滤： 可对一些重要的文件读写进行限制，如内网主机的账号文件。避免因管理员疏忽而引起的信息泄漏。 文件下载类型限制： 系统能对管理员设定的文件类型的下载和传输进行拦截，阻止下载电影等占用出口带宽的大数据量文件，保证主要业务数据的畅通。 内容安全过滤： 对网页中的有危害脚本、色情内容、反动内容等进行限制，保证内网的安全和用户健康上网。 非健康信息过滤库： 内置一过滤数据库，能有效拦截常见的十三万个黄色、反动站点，禁止内网用户浏览不健康的内容。 支持多种工作模式： 支持路由、透明、NAT等工作模式及透明和NAT混合模式。 支持多出口分流： 能同时支持多个公网出口, 按管理员制定的策略对出网数据进行分流. 支持SNMP协议： 支持SNMP协议，即支持第三方网管软件查询防火墙工作状态信息。防火墙作为网络中的安全设备，对SNMP协议的支持会为网管员带来很大便利。 支持802.1Q VLAN Trunk协议： 支持802.1Q VLAN Trunk协议，Trunk通过一个单独的物理线路负载多个VLAN的数据通信，允许你在网络内扩展多个VLAN。 完整的H.323协议族支持： H.323标准是为在网络上实现多媒体业务而制定的，支持H.232协议族，顺利实现多媒体业务。 支持IGMP协议： 支持多播IGMP协议，完成多播用户管理。 内嵌高加密强度VPN 模块： 系统内嵌有一VPN 模块，全面支持IPSEC、L2TP、PPTP等协议，支持DES、3DES、Blowfish、IDEA加密算法和MD5、RSA、SHA等认证算法，提供高强度的加密认证能力。 移动 VPN 客户端： 系统配套有一VPN客户端软件，通过该软件，可与防火墙中的VPN 模块进行连接、协商，自动构建 VPN 通道，实现远程加密通信。 丰富的日志与强大的安全审计能力： 提供丰富日志信息，并通过配置的软件对及进行分析。 独特的服务器监控分析模块： 通过配置的分析软件监控服务器上进程、日志、连接、开放端口、注册表等信息，一发现有异常变化，立即通知防火墙进行拦截、报警。 双向网络地址转换： 系统支持动态、静态、双向的NAT，并支持“一对一”的地址转换。 物理断开功能： 在电网卫士防火墙的每个网络接口都内置有一个物理开关，可控制断开任一网络接口的连接，终止在该接口处的任何数据通信。 双机热备份： 通过主、备防火墙进行双机热备份，使一台防火墙出现故障时，另一台防火墙进入正常工作。 负载均衡： 电网卫士防火墙可以支持一个服务器阵列，这个阵列经过防火墙对外表现为单台的机器，防火墙将外部来的访问在这些服务器之间进行均衡，同时可以识别出故障的服务器。 流量控制： 对用户访问带宽进行分配及限制。 反向拍照技术： 一般防火墙只能记录下攻击者的IP地址，对黑客的身份一无所知，而电网卫士防火墙不但能记下黑客的IP，还能给黑客拍一个“全身照”,将黑客主机的特征信息全部记录下来，防止黑客事后抵赖。 产品性能指标： 产品名称及型号 网络接口 性能 10/100以太网口 吞吐率 并发连接数 MTBF 标配/最大 智能防御 自动反扫描 HR FW-3000-1 100M 80万 60000小时 4/12 功 能 模 块 HR FW-3000-2 HR FW-3000-3 100M 100M 120万 160万 60000小时 60000小时 4/12 4/12 零积累DDoS智能识别防御 防御技术 防蠕虫病毒攻击 防变种DDoS攻击 防内部攻击 蜜罐功能 支持TCP标志位检测 支持多种身份认证方式 认证、管 支持RADIUS认证 理能力 分组透明代理 基于时间的访问控制 过滤能力 支持远程集中管理 管理端口软钥匙控制 内核级的URL过滤 内核级的文件过滤 文件下载类型限制 内容安全过滤 非健康信息过滤库(可选) HTTP过滤(可选) 电子邮件过滤(可选) 支持多种工作模式 支持多出口分流(可选) 工作模式及协议支持 支持SNMP协议 支持802.1Q VLAN Trunk协议 完整的H.323协议族支持 支持IGMP协议 支持IGMP隧道 监控与审计 VPN 日志记录与安全审计能力 服务器监控分析模块(可选) 内嵌VPN模块 双向网络地址转换 物理断开功能 双机热备份 流量控制 负载均衡 其它