三、安胜高保障防火墙V1.0技术特色

1、安全的底座——安胜安全操作系统

　　安胜新防火墙采用中科安胜公司自主研发、经过国家权威部分认可的安全操作系统，达到国家操作系统标准三级全部要求，部分达到四级标准。较之一般的防火墙底座，安胜防火墙能够提供更多安全保障。针对安胜防火墙，在保留安胜安全操作系统安全特性的前提下，还对操作系统进行了裁剪，使得防火墙在安胜安全操作系统中达到最优的性能。

　　细粒度存取控制——采用列表存取控制技术和强制存取控制技术。强制存取控制定义了粒度更为细的存取控制关系——用户与所执行的操作以及访问对象之间的存取关系，比如可以定义一个用户只读某一URI指定的资源。

2、高稳定性和高可靠性——完全硬件化设计

　　由于采用完全硬件化设计，没有机械元件，采用DOM模块，没有硬盘故障问题，系统的可靠性更高。

3、高运行效率——状态检测技术和先进规则匹配算法

　　状态检测技术——对所有的经过的IP包的各协议层进行分析,对于TCP包进行状态机建立和监视,对UDP包建立虚拟的连接,对其建立方向的概念，同时对ICMP包进行分析，决定其与已有的TCP或UDP连接之间的关系。对应用层，分析其语义。

　　规则匹配算法——本系统采用二维的PATRIE算法,该算法是NET/3中的分类算法PATRIE由一维向二维的扩展，该算法优于一般的顺序查找算法。

4、方便的使用模式——灵活的认证技术

　　采用体制与协议分离、认证模块与其他模块分离的思路，认证结果通过相关协议与防火墙其他部分通讯，所以，可以容易地集成所有的认证技术。安胜高保障防火墙V1.0支持S/Key认证。

5、人性化管理人机界面——中文界面和多种管理模式

　　远程和本地管理相结合。使得管理方便同时兼顾紧急情况处理。采用中文化界面，方便使用。清晰的目录结构，人性化程序设计，充分考虑用户的使用，方便用户对防火墙规则进行管理。

6、准确、及时的报警功能——防火墙本机系统和网络报警

　　安胜HA-100防火墙提供基于防火墙主机的系统报警和网络报警，由于安胜HA-100防火墙采用了SecLinux安胜安全操作系统，可以对防火墙本机基于操作系统的攻击进行报警；另外针对一些一般的网络攻击，防火墙也提供相应的报警。报警方式多种多样，可以实时查询，也可以通过E-Mail，以最快的方式通知网络管理员。

7、详细完备的记录——提供详细完备的审计记录

　　防火墙提供详细完备的审计记录，从网络活动记录到网络流量记录，并针对系统出现的异常活动进行实时报警。为防火墙管理员提供方便的审计记录备份接口，方便对防火墙的审计记录进行管理和查询。

四、防火墙功能详细说明

1、包过滤状态检测工作方式

　　状态检测：对所有的经过的IP包的各协议层进行分析,对于TCP包进行状态机建立和监视,对UDP包建立虚拟的连接,对其建立方向的概念，同时对ICMP包进行分析，决定其与已有的TCP或UDP连接之间的关系。对应用层，分析其语义。提供TCP、UDP和ICMP三种协议的详细过滤。过滤检查数据包的源地址和目的地址。

2、灵活的规则匹配方式

　　安胜高保障防火墙V1.0充分考虑用户的需求，在规则的匹配方式上给用户两种选择。既可以使用基于二维的PATRIE算法的匹配方式也可以使用传统的顺序匹配方式。针对不同的规则需求，防火墙总可以提供最优的规则策略，保证系统的安全和效率达到最优化。

3、透明防火墙

　　使用包过滤方式而不是代理方式，通过灵活的地址转换功能，使得用户能够在保证安全的前提下，方便的使用网络。较传统代理服务更加透明。

4、灵活的地址转换功能

　　安胜防火墙提供双向NAT，包括源地址和目的地址的地址转换。DMZ区、外部网络和内部网络可以灵活的进行网络地址转换，并可以使用负载均衡功能。对于内部网对外的访问，防火墙使用动态地址转换，提供IP地址伪装功能；对于外部网络访问内部网络，防火墙提供目的地址转换——端口映射功能，使得内部网络能够为外部网络提供服务，同时隐藏内部的网络结构。

5、动态负载均衡

　　针对用户对于网络需求的增多，对于大中型网络，安胜防火墙为用户提供动态负载均衡功能，可以对内部的多台服务器进行负载分担，均衡整体的网络负载，提供用户对外提供服务的功能，有效的减少用户服务器的最大负载，避免服务器当机，从而提升用户的企业形象。

6、详细的应用层过滤

　　安胜新防火墙可以针对HTTP协议进行内容过滤、FTP协议进行指令控制。可以HTTP协议进行Java、JavaScript和ActiveX进行控制，用户可以对这三项内容设置不同的安全策略。可以有效的防止来自这三种脚本产生的攻击。对于目前流行的一些脚本攻击有着明显的效果。针对FTP协议，我们对get、put等常用的FTP指令进行了策略控制，对用户使用内部的FTP服务器的权限进行了管理和控制。有效地防止外部用户对内部FTP服务器攻击事件的发生。

7、MAC地址过滤和绑定

　　安胜新防火墙提供MAC地址过滤功能，所以MAC地址绑定方式可以让防火墙只针对机器的MAC地址进行绑定，配置哪台机器可以访问防火墙，而不管该网卡MAC具体配置什么IP地址。区别于一般防火墙的IP地址和MAC地址绑定，安胜新防火墙的MAC地址绑定更加灵活，方便。用户只需一次对防火墙进行配置，以后即使网络有所改变，也无需再次配置。

　　同时安胜高保障防火墙V1.0也提供IP地址和MAC地址一对一的绑定功能。

8、使用SKey进行认证

　　使用基于SKey的认证，不将密码在网络上明文传输。认证过程通过每个客户端的认证程序进行。用户可以取得认证授权，也可以取消授权。

9、审计记录查询

　　远程查看防火墙审计记录，客户可以根据需要进行审计项目的配置，决定审计文件大小的数量级。同时可以减少不必要的审计信息，提高系统的工作效率。在远程客户端可以针对时间、命令、进程号和用户名等项目进行分类查询。