瑞星卡卡安全论坛

广州众达天网技术有限公司的天网防火墙系统

　　天网防火墙系列产品功能全面，具有较高的性能。该系列产品提供有强大的访问控制、身份认证、应用选通、网络地址转换（NAT）、数据过滤、虚拟专用网（VPN）、流量控制、虚拟网桥等功能。与国内外的防火墙产品相比较，天网防火墙有以下突出的技术优势和特点：

　　特有的DdoS、Dos攻击防御网关（专利技术），可以有效的抵御各种DoS、DdoS攻击。天网防火墙采用经过优化的TCP连接监控方式来保护防火墙内的脆弱机器。这种算法的特点是在处理TCP连接请求的时候，在确定连接请求是否合法以前，用户端与服务端是隔断的。这就令到DoS攻击者在发动攻击的时候并不能直接连接到防火墙内部的机器，所以攻击者所发出的所有DoS攻击包只能到达防火墙，从而保护了防火墙内部的机器不受到DoS攻击。而且，天网防火墙通过高效的算法（64K位的Hash）提供了超过30万以上的同时连接数的容量，为数据传输的高效和可靠提供了强有力地保障。

　　完全支持高保密的VPN功能。天网防火墙采用符合IPSEC标准的高保密性虚拟专用系统，系统支持多种加密算法，使系统具有完善的安全特征，保证了数据的真实性、完整性和机密性。

　　先进的负载分担能力。负载分担系统主要是将集中在一台服务器上的用户服务请求分发到多台服务器。天网防火墙采用分布式方案，可以根据服务器的负载情况，包括CPU占用量，系统Load等情况，自动选择负载最小的服务器，将用户的服务请求发送到该机器上。可以自动检测服务器的可用性，当某一台服务器出现故障的时候，分布式系统会自动绕开发生故障的机器，不会将用户的服务请法语发送到该机器上，保证了系统的正常运作。天网防火墙负载分担模块在设计时采用的高性能的专用散列算法，保证系统即使在处理巨大的用户（每秒同时连接数大于30000用户）下，网络效率仍然可以达到80%以上。

特有的TCP标志位检测功能。天网防火墙系统通过在安全规则上的设置对数据包的SYN/ACK等标志位进行合法性检测和判断。防止不法攻击者利用常用服务的低端口与内部主机的高端口的连接，从而攻击内部主机。

　　强大的URL级栏截与内容过滤技术。天网防火墙系统中采用了分布式并进行处理结构的计算机辅助监管、URL级拦截系统。它具有自动的信息地址监管功能，并且可以对URL访问进行记录统计，即使对想用外部代理的方式饶过安全检查的办法，它也能轻而易举的识破。

　　独立开发的高效率系统内核。天网防火墙采用专用设计、自动开发的独立操作系统核心SNOS，使得它有着最贴近系统底层的高效率。

　　另外，天网防火墙中还实现了方便的地址转换（ANT）、透明代理、透明网桥、网络黑洞、双机热备份等技术。天网防火墙全中文化的基于WEB的网络管理界面，使用起来简单方便。

联想的网御2000系列防火墙

　　联想网御2000系列防火墙是联想充分利用自身的优势，结合国内外信息安全的最新技术及国内用户特点开发的具有自主知识产权的网络安全产品。它采用软硬件一体化设计，在硬件体系、操作系统、加密算法等核心技术方法全部拥有自主产权，是一个具有信息分析、信息检测、VPN功能、网络防病毒等多种安全策略综合应用的稳定可靠的网络防火墙系统。

　　该系列产品基本安全功能模块、VPN功能模块、防病毒功能模块等多个功能模块组成。基本安全功能模块实现对端口、服务、地址等的IP包过滤，同时还可实现针对邮件、HTTP地址等的内容过滤。能够实现地址转换（NAT）和反向端口映射，应用级代理网关支持HTTP、FTP、SMTP、Telnet等多种应用。用户身份认证机制中采用了一次口令认证和PAP认证方式，具有较完备的日志管理功能，能够实时智能检测是否有入侵行为发生。VPN功能模块中采用了经国家密码委批准的、具有自主产权的SFH03加密算法，支持IPSec，提供开放的密密钥管理和PKI X509公钥管理。防病毒功能模块则可对动态更新病毒码、FTP病毒和邮件病毒进行实时检测和过滤，并右动态更新病毒码。采用了完全WEB图形化的管理界面，友好、直观，方便快捷，易于管理。


北京天融信公司的"网络卫士" 防火墙系统


　　北京天融信网络安全技术有限公司是我国最早推出自主版权防火墙产品的专业网络安全公司之一。该公司所推出的"网络卫士"系列防火墙产品，是遵循国家相关管理政策和标准开发生产的，具有完全自主版权。该系列的防火墙产品采用了软硬件一体化设计，支持各种标准服务及用户自定义服务，扩展性好。实际上该公司新推出的防火墙产品已经是一个以防火墙为核心、多种安全技术和产品协同工作的网络安全体系，能够为客户提供一种比较完整的、动态的网络安全解决方案。产品不仅能够实现对站点、子网、服务的过滤，实现网络层和应用层的细粒度控制，而且使用了状态检测技术，可以实现URL阻断及HTTP、FTP的协议命令过滤，能够对外部扫描及攻击做出及时的响应。提供有灵活的访问控制功能（如基于地址、协议、端口、用户、时间、流量的访问控制），采用了一次性口令认证机制，可护展支持RADIUS等第三方认证，并且可扩展支持职能IC卡、ikey等硬件方式认证。实现了用户数据的加密传输，并且对远程管理也提供了加密机制。具有IP地址翻译（NAT）功能，并且能够在特有的透明工作模式下实现地址翻译。支持多种工作模式，提高了网络应用的灵活性。提供流量统计与控制功能，支持QOS，具有完善的日志和审计功能，并且专门设置了对防火墙配置规则的测试功能。具有较强的防攻击能力，能够较好地防范对TCP、UDP等端口的扫描，抗DOS/DDOS攻击、源路由攻击、IP碎片包攻击、DNS/RIP/ICMP攻击、SYN等多种攻击。有的产品还拥有双机热备等先进功能，进一步提高了产品的稳定性和可靠性。提供有VPN模块，可扩展支持第三方IDS入侵检测系统，实现协同工作。


北京邮电大学的PC防火墙

　　PC防火墙（Secure PC）是北京邮电大学信息安全中心研制开发的具有完全自主知识产权的桌面防火墙系统。已经通过专家鉴定，获得了公安部颁发的合格检测证书。Secure PC基本与国外最新推出的同类产品持平，有此功能甚至更胜一筹。

　　从而向用户的角度来说，这种防火墙颇具特色，更适合于中国人的思维习惯和生活习惯。传统意义下的防火墙是从保护局域网的攻击。随着PC机的迅速普及，PC机的安全问题和原有局域网一起都成为了防火墙的保护对象。由于PC机环境和用户的特殊性，不管从技术上还是从用户需求来说都有许多的不同。传统防火墙考虑得更多的是进入局域网内部的主机系统的安全，而PC机的防火墙则必须全面考虑主机系统的网络信息，甚至系统所采用的应用软件，对于某种条件下，还得考虑PC机的多用户问题。　　　　　　　　　　　　　该系统的主要功能是实现对进出主机的IP包的IP地址和协议端口的过滤。考虑到桌面防火墙功能的特殊性，该产品主要由以下几个模块组成：

　　（1）过滤规则管理。对用户提供方便实用的过滤规则管理界面，使用户可以对当前的防火墙过滤规则表中的记录进行增加、删除和修改等各种操作，过滤规则表则以密文形式存放，对过滤规则表的访问系统提供用户身份认证的机制。

　　（2）过滤规则加密处理。以加密形式存放当前防火墙的过滤规则，并利用杂凑函数实现对文件完整性的校验，从而防止未经授权的用户篡改和查看当前防火墙的过滤规则。如果无过滤规则文件，系统将拒绝对任何外部IP的访问。

　　（3）启用当前过滤规则（Ring 3部分）。用户通过该模块应用当前最新的过滤规则。该模块首先读取过滤规则存放文件，将读出的过滤规则解密后存放在常规内存中的缓冲区中。再通过WIN32接口的DeviceIOControl调用Ring 0的过滤规则服务模块，并将缓冲区指针作为调用参数传递。

　　（4）启用当前过滤规则（Ring 0部分）。该模块接收WIN32应用程序传送来的存放当前过滤规则的缓冲的指针，并使用NdisMoveMemory函数将存放在常规内存缓冲区中的数据存入供VxD设备驱动程序使用的系统堆中，从而使得这些过滤规则数据可以长期存在，其生命周期和VxD一样。

　　（5）面向上层网络应用程序的接口服务函数。这些接口函数均是Windows网络应用程序最终需要调用的网络服务。通过这些服务，可以在上层与VxD可访问的系统内存中的包过滤规则，然后应用这些过滤规则对当前IP包进行处理，将处理后的IP包交于原来的Windows网络协议 进行处理，。这样除了不被允许的IP包已经被过滤掉了以外，其他一切防火墙未启动时一样，从而实现了对IP包的成功过滤。

　　该防火墙系统能够对主机发送和接受的每一个IP包进行检查，获取IP源地址、目标地址和协议端口，并根据事先设定的规则拒绝或允许这个IP包通过。该防火墙能够实现对上层网络应用软件的全透明控制。也就是说，不管用户是选用网景公司的NetScape浏览器还是微软公司Explorer浏览器、不管是选用的是哪家的ftp软件等，系统都将提供同样的网络安全服务。该系统的运行有Windows95或Windows98平台上。