技术白皮书8.8版本_20070111.docVIP

阿姆瑞特F系列防火墙 技术白皮书 阿姆瑞特（亚洲）网络有限公司 目 录 前 言 3 第一章 阿姆瑞特防火墙产品线 4 第二章 阿姆瑞特防火墙组成 9 2.1 阿姆瑞特防火墙（硬件） 9 2.2 防火墙内核 9 2.3 防火墙管理器 10 2.4 Amaranten防火墙日志服务器 11 第三章 防火墙的功能 12 3.1数据包状态检测过滤 12 3.2强大的防御功能 12 3.3虚拟路由器 13 3.4支持DHCP客户端 14 3.5支持DHCP Relay 14 3.6支持DHCP Server 14 3.7支持ADSL接入 14 3.8基于策略的路由（PBR） 15 3.9 多链路备份 15 3.10支持H.323协议 15 3.11支持SIP协议 15 3.12内容过滤 15 3.13支持OSPF 16 3.14策略时间表 16 3.15支持VLAN 16 3.16提供CoS/QoS（服务级别/服务质量）服务 17 3.17 IP地址和MAC地址绑定 18 3.18支持双机热备 18 3.19 支持接口备份 18 3.20 支持与防病毒网关联动 19 3.21 防火墙和IDS联动 19 3.22 支持Radius认证 19 3.23本地用户数据库 19 3.24 NAT地址转换 19 3.25 反向地址映射 20 3.26 支持负载均衡 20 3.27支持组播 20 3.28每秒新建连接数限制 20 3.29文件类型过滤 21 3.30反垃圾邮件功能 21 3.31灵活的IPS与IDS统一 21 3.32应用控制 21 3.33动态IPS/IDS/应用控制配置界面 22 3.34动态网页内容过滤 22 3.35网关反病毒 22 3.36 多重DMZ区保护 23 3.37 VPN功能 23 3.38丰富的日志审计 23 3.39 GRE隧道封装 24 3.40 PPTP和L2TP客户端和服务器 24 3.41 灵活的IPSec 24 3.42 多种接入模式 24 3.43 安全的远程升级 25 3.44 独特的防火墙状态监测 25 第四章 防火墙的管理 26 4.1分级管理 26 4.2基于对象名称过滤 26 4.3组策略管理 26 4.4预定义服务 27 4.5便捷的策略模板 27 4.6集中远程管理 27 4.7专业级防火墙管理 28 4.8支持SNMP协议 28 4.9 远程Console控制 28 4.10 NTP时钟同步 29 第五章　防火墙性能 30 第六章 防火墙应用范例 32 6.1 在XXXXX电信网中的“高可靠性”功能特点： 32 6.2 在XXX企业网中的“混合接入” 功能特点： 32 6.3 在XXX石化网中的“ 支持VLAN”功能特点： 33 6.4 在XXX银行证券网中的“多DMZ区保护”的功能特点： 34 6.5 在XXX电力网中 “内网安全分段”的功能特点 35 6.6 在XXXX宽带网上的“动态IP分配”的功能特点： 35 6.7 在xxxx大学“多出口”的应用 36 6.8 VPN的点对点接入的应用 36 6.9星型拓扑的VPN接入的应用 39 6.10动态IP地址接入应用 40 6.11 NAT穿越的接入应用 40 6.12 XXXX网站“端口映射”应用 41 6.13 在无线网络的“带宽保证”的应用 42 前 言 Internet的发展给政府机构、银行、证券、企事业单位带来了革命性的改革和变化。互联网技术的迅猛发展使企业通过利用Internet来提高办事效率和市场反应速度，以便更具竞争力。通过使用Internet技术，任何一个单位的数据资料的传输和存取都变得方便、快捷，但同时也面对Internet开放带来的数据安全的新挑战和新危险：即客户、销售商、移动用户、异地员工和内部人员的安全访问；以及保护国家机关、企事业的机密信息不受黑客和商业间谍的入侵。众所周知，作为全球使用范围最大的信息网，Internet自身协议的开放性极大地方便了各种计算机入网，实现了资源共享。然而，由于在早期网络协议设计上对安全问题的疏忽，以及在使用和管理的无政府状态，逐渐使Internet自身的安全受到严重威胁，与它有关的安全事故屡有发生。这就促使我们对网络互连所带来的安全性问题予以足够重视。 如何能够在保证我们网络在正常使用的基础上又保证网络的安全性，这就不得不考虑到一种重要的设备——防火墙。 防火墙是一种高级访问控制设备，它是置于不同网络安全域之间的一系列部件的组合，是不同网络安全域间通信流的唯一通道，能根据企业有关的安全政策控制（允许、拒绝、监视、记录）进出网络的访问行为。 防火墙的工作原理是按照事先规定好的配置和规则，监测并过滤所有通向外部网和从外部网传来的信息，只允许授权的数据