阿姆瑞特防火墙技术白皮书.doc

阿姆瑞特F系列防火墙 技术白皮书 阿姆瑞特（亚洲）网络有限公司 目 录 前 言 3 第一章 阿姆瑞特防火墙产品线 4 第二章 阿姆瑞特防火墙组成 11 2.1 阿姆瑞特防火墙（硬件） 11 2.2 防火墙内核 11 2.3 防火墙管理器 12 2.4 Amaranten防火墙日志服务器 13 第三章 防火墙的功能 14 3.1数据包状态检测过滤 14 3.2强大的防御功能 14 3.3 VSYS: 虚系统/路由器 15 3.4支持DHCP客户端 16 3.5支持DHCP Relay 16 3.6支持DHCP Server 16 3.7支持ADSL接入 16 3.8基于策略的路由（PBR） 16 3.9支持H.323协议 17 3.10支持SIP协议 17 3.11内容过滤 17 3.12支持OSPF 18 3.13策略时间表 18 3.14支持VLAN 18 3.15提供CoS/QoS（服务级别/服务质量）服务 18 3.16 IP地址和MAC地址绑定 19 3.17 支持双机热备 20 3.18 支持接口备份 20 3.19 多链路备份 20 3.20 支持与防病毒网关联动 21 3.21 防火墙和IDS联动 21 3.22 支持Radius认证 21 3.23本地用户数据库 21 3.24 NAT地址转换 21 3.25 反向地址映射 22 3.26 多重DMZ区保护 22 3.27 VPN功能 22 3.28 丰富的日志审计 23 3.29 GRE隧道封装 23 3.30 PPTP和L2TP客户端和服务器 24 3.31 灵活的IPSec 24 3.32 多种接入模式 24 3.33 安全的远程升级 24 3.34 独特的防火墙状态监测 24 第四章 防火墙的管理 26 4.1分级管理 26 4.2基于对象名称过滤 26 4.3组策略管理 26 4.4预定义服务 27 4.5便捷的策略模板 27 4.6集中远程管理 27 4.7专业级防火墙管理 28 4.8支持SNMP协议 28 4.9 远程Console控制 28 4.10 NTP时钟同步 29 第五章　防火墙性能 30 第六章 防火墙应用范例 32 6.1 在XXXXX电信网中的“高可靠性”功能特点： 32 6.2 在XXX企业网中的“混合接入” 功能特点： 32 6.3 在XXX石化网中的“ 支持VLAN”功能特点： 33 6.4 在XXX银行证券网中的“多DMZ区保护”的功能特点： 34 6.5 在XXX电力网中 “内网安全分段”的功能特点 35 6.6 在XXXX宽带网上的“动态IP分配”的功能特点： 35 6.7 在xxxx大学“多出口”的应用 36 6.8 VPN的点对点接入的应用 37 6.9星型拓扑的VPN接入的应用 37 6.10动态IP地址接入应用 38 6.11 NAT穿越的接入应用 39 6.12 XXXX网站“端口映射”应用 40 6.13 在无线网络的“带宽保证”的应用 41 前 言 Internet的发展给政府机构、银行、证券、企事业单位带来了革命性的改革和变化。互联网技术的迅猛发展使企业通过利用Internet来提高办事效率和市场反应速度，以便更具竞争力。通过使用Internet技术，任何一个单位的数据资料的传输和存取都变得方便、快捷，但同时也面对Internet开放带来的数据安全的新挑战和新危险：即客户、销售商、移动用户、异地员工和内部人员的安全访问；以及保护国家机关、企事业的机密信息不受黑客和商业间谍的入侵。众所周知，作为全球使用范围最大的信息网，Internet自身协议的开放性极大地方便了各种计算机入网，实现了资源共享。然而，由于在早期网络协议设计上对安全问题的疏忽，以及在使用和管理的无政府状态，逐渐使Internet自身的安全受到严重威胁，与它有关的安全事故屡有发生。这就促使我们对网络互连所带来的安全性问题予以足够重视。 如何能够在保证我们网络在正常使用的基础上又保证网络的安全性，这就不得不考虑到一种重要的设备——防火墙。 防火墙是一种高级访问控制设备，它是置于不同网络安全域之间的一系列部件的组合，是不同网络安全域间通信流的唯一通道，能根据企业有关的安全政策控制（允许、拒绝、监视、记录）进出网络的访问行为。 防火墙的工作原理是按照事先规定好的配置和规则，监测并过滤所有通向外部网和从外部网传来的信息，只允许授权的数据通过，防火墙还应该能够记录有关的联接来源、服务器提供的通信量以及试图闯入者的任何企图，以方便管理员的监测和跟踪。第一章 阿姆瑞特防火墙产品线 阿姆瑞特公司拥有丰富的产品线，能满足不同的网络环境的需求。阿姆瑞特防火墙产品共分为4个等级，12种产品型号（F50-Pro-L、F50-Pro、