#$[*47335.jpg*#易尚ES903网关防火墙产品图*#0*#0*#center*]$#

　　【IT168 报道】摘要：易尚ES903网关防火墙功能强大的内容过滤能力和完整的功能以及简单易用明确的管理方式，能够为用户提供更为安全的网络保护。

　　防火墙在网络安全的重要作用已经得到了用户的普遍认可，而解决信息安全问题却还有很多，因此防火墙不能只是用来做简单的访问隔离，内容过滤和深度防护仍然是防火墙需要发展的内容之一。

　　在内容过滤和深度防护方面，赛迪评测测试了易尚ES903网关防火墙。这款产品采用WEB管理形式，功能上支持病毒扫描、内容过滤、VPN、基于网络的IDS和流量管理应用以及流量控制和代理服务。

　　这款产品在硬件结构上采用了ASIC硬件体系结构，包括内容处理加速、管理、背板总线、接口等四大模块，在内容加速模块中有两个部件，每一个由一个ASICCP-1内容处理芯片和一个内容处理加速单元(CPAU)组成。

　　CPAU有一个专用的内容检测处理器，它与其它专用硬件一起，优化为强化内容搜索、模式识别和数据分析。ASIC芯片包含一个专利的内容处理引擎，以及加密加速引擎和内置的防火墙策略引擎。这些引擎分别处理防病毒和蠕虫探测、NIDS特征探测、加密、NAT和执行防火墙策略，而CPAM模块有专用的快速存储器，所以很少要求通过总线与管理模块中的系统内存相交互；管理模块也是基于ASIC体系设计的，功能是流程控制和处理不能被内容处理加速模块有效处理的包和流量。背板总线模块是由数据通道和管理总线组成，这一模块的特点是多总线设计，控制在管理通道上的信息流程和数据通道上模块行程之间的数据交换，以提供多高负载流量能力，它保证在不同模块之间高效率通信；接口模块包括3个10/100BaseTX端口。

　　在内容过滤功能中，易尚网关防火墙系统通过扫描内容协议中所载的信息，保护基于内容的攻击，例如病毒和蠕虫，并防止网络遭受不想要的邮件和不合适的内容渗入以及内容协议携带Web流量和邮件流量。当防火墙接收到网络流量时，内容扫描即开始，并将所有的内容协议流量导向到TCP/IP栈进行内容协议处理。如果内容流是HTTP流，命令分析程序扫描上传和下载的文件；如果内容流是邮件流，命令分析程序扫描邮件附件或嵌入的代码；如果数据流包含上传/下载的文件或邮件附件，依据策略的配置,决定是否送入病毒扫描引擎。所有其它内容则被路由到内容过滤引擎；如果用户选择了内容过滤功能,则扫描引擎是开启的，数据流则根据内容过滤的设置，或者被过滤掉，或者允许通过。

　　在内容过滤方式上，易尚网关防火墙产品提供了三种内容过滤方式，包括URL过滤、关键字阻塞、脚本过滤。这些特性作为网络层服务提供WEB内容过滤。其中URL过滤包括基本的URL数据库，用户定制化的数据库、从管理接口上传和下载限制的URL列表、选择URL进行阻塞。关键字阻塞多个单词或词组过滤、完全用户化的关键字列表、单字节和双字节的词语过滤、自动上传和下载限制的词语。脚本过滤允许或拒绝Javaapplets,ActiveX,Cookies。从内容过滤的效果来看，易尚网关防火墙能够实现非常理想的过滤效果。

　　在病毒保护上，易尚防火墙产品对病毒检查可以配置成过滤特定目标文件，检测特定病毒代码或不做病毒检测。病毒和蠕虫防御在网络边界处提供，在web流量(HTTP),E-mail流量(SMTP,POP3,和IMAP)和安全域之间对各种类型的文件进行信息检查，同时还能根据用户的实际需求进行定义文件类型。在网络边界处进行病毒扫描的好处是在数据进入内部网络之前清除威胁，使系统管理员从繁重的工作中解脱出来，在传统的方式下，管理员必须检查每一个主机的病毒软件是否更新，如果有一个主机被感染，整个网络都会面临崩溃的危险。病毒扫描同样在所有的VPN解密数据流根据协议进行扫描，网关-网关和客户-网关病毒保护在通道终结后进行检测。

　　而我们知道，在防火墙中实现内容过滤和病毒防护往往是以牺牲性能为代价的，没有成熟的技术是无法在网络中真正应用的。易尚ES903网关防火墙在对内容检测时，采用特征扫描引擎的方式，该引擎支持高速扫描病毒，蠕虫和入侵攻击特征以及被禁止的内容。关键的部件是模式匹配模块，它将文件的一个一个字节，与表示病毒、蠕虫和入侵攻击存在或黑名单上的内容的数据库相匹配。

　　病毒和蠕虫特征存储在专用的高速存储器中，它直接被ASICCP1存取，而任何数据不在数据通道上传输。这一方法将扫描活动与包传输完全隔离，从而使易尚网关防火墙能在支持应用层处理时不降低系统性能。同时，还设置了内容处理加速单元，内容处理加速单元是作为一个额外的加速引擎，进一步加速应用层处理。它能智能地将内容处理、数据加密和安全策略处理的任务分别在ASIC和CPAU之间分配。易尚网关防火墙系统通过扫描内容协议中所载的信息，保护基于内容的攻击，例如病毒和蠕虫，并防止网络遭受不想要的邮件和不合适的内容渗入。内容协议携带Web流量和邮件流量。当易尚网关防火墙接收到网络流量时，内容扫描即开始，并将所有的内容协议流量导向到TCP/IP栈。高性能的由硬件辅助的TCP/IP栈控制所有的内容协议处理。当内容流一开始被接收时，TCP/IP栈先建立到客户端和服务器端的连接，以开始传输数据包。然后栈接收数据包，并将它们转换为内容流。内容流按照它们的业务类型而被分开，送到一个相关的命令分析程序。有一个命令分析程序专门用来理解每一个内容协议。命令分析程序分析内容流的内容，这里面有可能包含了病毒/蠕虫、禁止的内容或其它攻击性内容、网络入侵等。例如，如果内容流是HTTP流，命令分析程序扫描上传和下载的文件。如果内容流是邮件流，命令分析程序扫描邮件附件或嵌入的代码。如果数据流包含上传/下载的文件或邮件附件，依据策略的配置,决定是否送入病毒扫描引擎。所有其它内容则被路由到内容过滤引擎；如果用户选择了内容过滤功能,则扫描引擎是开启的，数据流则根据内容过滤的设置，或者被过滤掉，或者允许通过。

　　易尚网关防火墙采用状态检测的方式对所有会话进行检查，避免了数据流的安全隐患。当一个数据包到达防火墙接口时，马上被网络层拦截，系统执行包格式和数据帧的检查，如果数据帧无效，则丢弃。如果会话已经存在，系统检查TCP的序列号和标示域代码，确保本会话属于原来的一部分。举例，一个无效的序列号可能表示一个会话的劫持。系统校验这个会话中最后接受的数据包的序列号在64，000(16bits)范围内。数据包通过检查后传输到路由引擎和策略引擎进行处理。如果会话不存在，数据包将被分类，系统必须查找策略来确定数据包下一步的处理流程,如果发现匹配策略成功，则建立一个新的会话入口，根据前面所描述的控制流程继续处理。#$[*47339.jpg*#管理界面*#0*#0*#center*]$#