瑞星卡卡安全论坛

目前，国内已经有多家机构或公司研制开发出了自己的防火墙系统，通过国家公安部等机构测试的也已有数十家。下面我们就选取几种比较有代表性的产品，做一简单介绍。

NetShineTM FW5x00防火墙和虚拟专用网

　　Netshine FW5x00系列防火墙和VPN是由朗新信息科技自行开发的高性能产品，以价格适中、软硬件一体化以及易于安装配置等特点为客户提供功能全面的网络安全解决方案。

　　Netshine FW5x00系列防火墙在企业网和Internet之间设置一道有效的屏障，严密保护您的内部网络，使其免受黑客侵扰；Netshine通过检查、审核和认证出入企业网的数据交换来实现完备的访问控制功能。

　　Netshine FW5x00系列防火墙提供符合IPSec标准的虚拟专用网VPN功能模块。VPN功能模块能使您的企业与分支机构、合作伙伴之间构造出一条通过互联网络的安全透明的数据传输隧道，无须昂贵的租用专线或者专用网络。

　　Netshine FW5x00系列防火墙和VPN基于Linux操作系统。Linux是一个开放的、能够拥有全部源代码的操作系统，具有高效、稳定、安全等优良特性。

　　Netshine FW5x00系列防火墙全部采用C语言开发，具有卓越的性能，能胜任从小型至中大型网络的有严苛要求的安全防护工作，是企业和政府上网的理想选择。

　　Netshine FW5x00系列防火墙已通过中华人民共和国公安部的信息安全产品认证，并已在政府、企业以及军队得到广泛的应用。

　　◆ 基于Linux操作系统的防火墙本身的高度安全性

　　防火墙多数是运行在主机操作系统上的应用，操作系统的安全性直接影响防火墙系统的安全性。NetShine采用定制的、拥有全部源代码的Linux操作系统，并把操作系统内核中可能引起安全性问题的部分去除，避免了操作系统中可能存在的不为人知的后门，充分保证防火墙系统本身的安全性。

　　◆ 功能全面的访问控制

　　防火墙系统可以分为基于包过滤（Packet Filter）的防火墙和代理服务型（Proxy Service）的防火墙。包过滤型防火墙在网络层协议入栈时根据预先设定的安全策略检测原始包，对用户完全透明，具有较高的网络性能和更好的应用程序透明性，但不能防止应用层的攻击；相应地，应用层防火墙使全部网络交换都由运行特定服务（FTP、HTTP、SMTP等）的智能防火墙来代理，这种代理提供应用层控制的功能和防止应用层受攻击的保护。NetShine系列防火墙把包过滤和应用代理结合起来，形成混合类型的防火墙系统，提供更高的安全性能。

　　·完善的访问控制策略：提供基于源地址、目的地址、协议、端口、URL、URL表达式、时段、周期时段等访问控制方式；
　　·透明的代理服务：用户通过身份认证后可以使用网络层的代理建立透明通道，可以实现细粒度的访问控制。
　　·基于服务端口的应用访问过滤：支持对Oracle、Sybase、Informix、SQL Server等数据库系统的访问过滤
　　·多层次的访问权限设置：支持多层次的访问登录权限，为企业或政府的基于行政和职能的管理提供方便。
　　·基于URL级的细密控制：NetShine提供URL级的检测、统计功能，安全管理员根据检测结果，可以屏蔽某些敏感的网页。

◆ 严格的入侵检测以及防黑客攻击

　　·NetShine 可以通过扫描数据包检测可能受到的攻击，并发出报警信息。在访问Web资源时，可以根据安全策略从HTTP页面剥离 Java Applet、ActiveX等小程序及 Script等代码。
　　·Netshine 内置的防黑客攻击模块可检测并有效防止诸如缓冲区溢出、SYN攻击、Ping攻击、IP欺骗等目前黑客常用的攻击手段的攻击。

　　◆ 内置虚拟专用网

　　绝大多数的互联网通信受到潜在的攻击，NetShine 系列防火墙内置的VPN功能结合了最有效的加密以及认证技术，确保企事业单位的数据在在互联网络上传输过程中的保密性和完整性，从而使单位员工、分公司、合作伙伴等可以基于互联网络建设一个安全经济的工作环境。利用Netshine VPN，远端用户可以安全、透明地利用互联网络进入企业内部网，无需改变现有的应用程序，也无须对现有的网络进行重组。
Netshine VPN与广泛的行业标准认证和授权系统兼容：符合Ipsec标准，支持IKE、DES、Triple DES（168位加密）、MD5、SHA等业界标准。

　　◆ 网络地址转换（NAT）

　　NetShine 支持双向网络地址转换，当用户从内部网访问外部网时，NAT 系统用一个或一组预先指定的合法的 Internet 地址为用户建立映射。如果内部网需要为 Internet 提供服务， NAT 系统可以为应用服务器建立静态映射，外部用户可直接访问该服务器或工作站。

　　◆ 高性能的安全处理

　　Netshine 系列防火墙全部采用C语言开发，并对代码进行了优化，使其在关键的处理上具有极高的性能。
优化的安全规则管理：一个企业内部网络的防火墙往往设置有数十条、数百条访问控制规则。如果不加以优化，按顺序匹配检查这些规则将会在很大程度上降低网络的性能。Netshine 系列防火墙首先检查保证规则的正确性和有效性，对无效的规则予以显示报警；然后通过先进的优化规则匹配算法来提高规则查找速度。在随后的运行中，防火墙动态地统计规则的匹配情况，并调整规则匹配算法，进一步提高性能。

　　◆ 防火墙的透明模式

　　NetShine 可以被用来作透明传输，可以不分配任何IP给NetShine 系列防火墙的网络接口，因而不需更改现有工作站的网络配置就可以实现网络安全防护，减少因网络安全改造而带来的网络重构负担。

◆ 简单的安装和伸缩性的管理

　　NetShine 提供基于Web的配置和管理模块，可以通过网络上任何一台具有浏览器的机器管理防火墙；管理维护模块采用全中文的符合中国人操作习惯的界面，并提供全中文的在线帮助，使您更加轻松地进行策略配置和管理。
◆ 完备的计费、审计以及统计分析功能

　　·NetShine 将通过防火墙交换的数据包记录到日志数据库，可以针对IP地址、IP网段、访问时间、用户等进行灵活查询、统计和分析，可以对数据日志进行备份和恢复；
　　·NetShine 对所受到的攻击以及可疑的IP包进行详细的分类记录，便于管理人员的事后分析。
　　·NetShine 提供标准的IP计费数据接口，便于进行二次高级计费功能开发。

　　◆ 紧凑的黑盒封装

　　·一体化的硬件设计，系统与硬件紧密结合，发挥硬件最高效能。
　　·减小用户物理空间占用体积
　　·提供高密度的机柜集成度
　　·标准的2U设计

　　◆ 支持的协议和服务

　　·Netshine 支持 TCP、UDP、IGMP、ICMP等几十种通讯协议；
　　·Netshine 支持 HTTP、FTP、SMTP、NNTP、TELNET、DNS、POP3、RLOGIN等常用服务；

中科院信息安全技术工程研究中心的ERCIST防火墙系统

　　ERCIST（安胜）防火墙是网络安全系统的组合套件，由包过滤路由器、代理服务器以及虚拟专用网VPN三大部分组成。还可完成地址转换、安全审计等功能。包过滤路由器以黑盒子方式工作，管理部件与运作部件分离，两部件之间通过加密方式传送和接收规则信息，接收日志信息，可防止窃取和伪造，又可在远程管理包过滤器的运作而不影响运作部件的正常动行。代理服务器对内部和外部用户访问许可的授权包括允许访问的种类、允许连接的时间区间、访问的级别等。根据访问的许可，对每一次访问中用户的身份及访问权限进行认证，保证内部网络中信息资源的合法使用。认证的方式可以是通用型的用户名加口令字方式，进一步可以对口令进行一次一密的变换，防止的传输过程中被窃取而进行冒充者仍无发登录，而且审计中又能加以记录；可结合智能卡安全技术的使用，进行强身份验证，更好地保障重要信息资源的安全。虚拟专用网模块则通过建立安全通道，封装IP地址和加密传输等方式，实现跨越公用网的内部用户的安全连接，所使用的由中科院信息安全中心自行研制的加密算法QC-1已得到密码委员会的审核和批准。

ERCIST防火墙可有效地隔离内外网络的直接连接，限制内外网之间信息的流入和流出，隐蔽内部网的组成情况，对访问的用户进行身份识别，可防止源路由、IP地址欺骗、拒绝服务等多种攻击，能自动发现类似ISS进行的扫描，提出安全警告，可以进行安全的远程数据传送，还提供针对防火墙系统运行状态、包过滤器的过滤信息、代理服务的情况和代理用户使用信息等数据的日志审计和报警功能。实现IP地址与MAC地址绑定的功能，对IP盗用进行了有效的控制。为保护防火墙自身的安全，在防火墙的底座架构上采用安全操作系统，在使用中加强认证、加密舆等安全措施。提供友好的用户接口，在远程管理中所有会话和文件传输都是加密的，并且对文件的传输采用一次一密的方式，可有效地防止重传攻击。不同版本的防火墙系统可分别运行于WINDOWS、UNIX、LINUX等平台上，使用户能够根据自己的安全需求和投资情况做出合理的选择。该防火墙产品已通过国家信息安全认证中心、公安部计算机信息安全系统安全产品质量监督检验中心的检验，并列入科技部国家科技成果重点推广项目。
系统提供有图形用户界面，方便地进行安全管理工作


方正数码公司的方御防火墙系列产品

　　依靠北大方正雄厚的科研实力和方正数码公司研制的方御（FireGate）防火墙系列产品是一套全面、高性能的网络安全系统，具有高效、多层次、高安全性、易于管理和高可靠性等特点。

　　与传统的软件防火墙不同，方御防火墙是一体化的硬件产品。它通过与硬件系统的深层结合，比传统的基于软件的防火墙更高效、安全，而且更国中实时化。为了减少由于安装了防火墙的原因而导致的网络流量的降低，方御防火墙采用了3I（Intelligent IP Identifying）技术，能够实现快速匹配，这样能够使一个数据包快速的通过Hash表找到相应的规则列表，而不是顺序匹配，从而使网络流量不受到较大的影响。方御防火墙可以根据数据包的地址、协议和端口进行访问和监控。同时还对任何网络连接和会话的当前状态进行分析和监控。传统的防火墙的包过滤只是与规则表进行匹配，而方御防火墙则对每个连接都作为一个数据流汇总到连接表中，通过规则表与连接表的配合，来完成状态检测的功能。

　　方御防火墙入侵检测系统集成了网络监听监控、实时协议分析、基于入侵行为分析及详细日志审计跟踪，对黑客入侵进行全方位的检测。它拥有较为完备的网络检测规则库，可检测的网络事件现多达1192种，并可随着新的入侵行为的发现加以更新和扩充，提供了良好的规则库升级接口。而且方御防火墙的入侵检测系统优化了算法，不会对网络流量造成影响。

　　在和入侵检测系统实现互动方面，方御防火墙采用了自动报警和自动防范结合的方法，一旦在入侵检测系统检测到攻击事件，立即会通知防火墙封禁该IP地址，这样一来可能黑客在扫描主机的时候就被方御防火墙封禁掉。针对入侵检测系统可能发出的误报警，方御防火墙提供了特征字识别技术，用户只要把误报的特征字提供给入侵检测系统，以后就不会对这种事件再进行误报。方御防火墙的审计功能严格遵守了国家安全部计算机信息系统安全产品质量检测中心公布的要求，分别对防火墙日志和审计管理日志进行了记录，可以方便地按照用户要求进行查询，而且在权限管理上分别设置了审计管理员和日志查询员。

方御防火墙的代理服务器功能允许在访问控制中对时间、协议、方法、地址、DNS域、目的端口和URL等进行设置，访问控制的种类比较全面，并可以在此基础上实现流量统计和流量控制。方御防火墙的地址转换功能（NAT）实现了真正的双向，也就是支持正向NAT、反向NAT和双向NAT。系统还提供了IP地址和MAC地址绑定的功能，有效的限制了内部用户非法盗用他人的IP地址的行为。

　　在用户权限管理方法，方御防火墙遵循国家有关安全标准规定，对用户作了四级授权，即实施域管理权、策略管理权、审计管理权和日志查看权。用户认证时采用了基于PKI的高级授权认证方式，低层通过SSL协议进行通讯，数据的安全性得到了保障。

　　方御防火墙的双机热备功能可以在网络中智能地寻找与其对等的备份机，并且使备份机自动进入等待状态，而一旦备份机发现主工作机失败，可及时启动，防止网络中断事故的发生。

　　方御防火墙的管理程序采用了GUI界面，易于操作，而且可以进行集中管理。通过一个管理程序就可能管理多个防火墙系统，给用户带来了很大的便利。