蓝盾防火墙概述  技术强项  主要型号与配置  可选升级模块

1、智能防御     系统自动统计、分析通过防火墙的各种连接数据，探测出攻击者，立即断开该主机与内网的任何连接，并将其IP地址列入黑名单，还会根据用户要求对其进行反向拍照，保护内网所有主机的安全。 2、自动反扫描     本系统在内核设计中引入自动反扫描机制，以最快的速度发现扫描器，即时断开其连接，并将该IP地址列入黑名单，在一定时间（约三分钟）内，该主机无法再对防火墙系统和防火墙保护的内网进行任何访问。 3、零积累DDoS智能识别防御技术     为本公司专利技术，处于国际领先地位，不但能有效识别、吸收各种SYN攻击包，而且彻底解决了积累问题，能有效抵挡50M带宽以上的Synflood变IP攻击包。 4、蜜罐(攻击陷阱)技术     蜜罐，是网络安全界的前沿技术，蓝盾蜜罐能虚拟WWW、FTP、SMTP、TELNET等网络服务，引导黑客对其进行攻击，同时对黑客的整个攻击过程进行监听、记录，为进一步对黑客的追踪、取证提供了有力的线索和证据，这样，黑客在攻击真正目标前已提前落网。 5、反向拍照技术     一般防火墙只能记录下攻击者的IP地址，对黑客的身份一无所知，而蓝盾防火墙不但能记下黑客的IP，还能给黑客拍一个“全身照”,将黑客主机的特征信息（如主机名、用户名、MAC、操作系统名称、版本号、开放的端口、服务等）全部记录下来，防止黑客事后抵赖。 6、服务器监控技术     通过配套的服务器监控软件，能实时监控服务器上进程、注册表、日志、开放端口、网络连接等重要信息，一发现有异常，会立即报警，并通知出口防火墙进行拦截。 主要功能模块说明： 平台支持：     采用专用硬件平台与专用的安全操作系统。 自动反扫描：     采用基于操作系统内核的会话检测技术，在内核设计中具有自动反扫描机制，能以最快的速度发现扫描器，即时断开其连接，并将该IP地址列入黑名单，在一定时间内，该主机无法再对防火墙系统和防火墙保护的内网进行任何访问。 智能防御：     能同时支持多个公网出口，按管理员制定的策略对出网数据进行分流；并具有物理断开功能，在紧急情况下，可断开任一网络接口的连接，即时中止该网络接口的任何通信。 联动功能：     具有联动功能,能够与IDS入侵检测产品进行联动。 自动反扫描：     本系统在内核设计中引入自动反扫描机制，以最快的速度发现扫描器，即时断开 其连接，并将该IP地址列入黑名单，在一定时间（约三分钟）内，该主机无法再对防 火墙系统和防火墙保护的内网进行任何访问。 安全服务器（SSN）保护：     提供安全服务器区。 零积累DDoS智能识别防御：     零积累DDoS智能识别防御: 为本公司专利技术，处于国际领先地位，不但能有效识别、吸收各种SYN攻击包，而且彻底解决了积累问题，能有效抵挡50M带宽以上的Synflood变IP攻击包。可阻止ActiveX、Java、Javascript入侵。 防蠕虫病毒攻击：     防火墙有一内置病毒防御模块，并附带有病毒特征库，能有效过滤、拦截各蠕虫病毒传染、攻击包，保护内网主机的安全。 防变种DDoS攻击：     能分析出各种变种DDoS攻击包，自动进行有效防御。 防内部攻击：     防御内网用户因中毒等原因发起的对出口和外网的攻击，无论防火墙工作在NAT模式还是透明模式，都能保证有效识别、拦截、吸收掉内网发起的攻击包，不为攻击者建立攻击通道，保证网络的畅通。 先进的蜜罐(攻击陷阱)技术：      蜜罐，是网络安全界的前沿技术，蓝盾蜜罐能虚拟WWW、FTP、SMTP、TELNET等网络服务，误导黑客对其进行攻击，同时对黑客的整个攻击过程进行监听、记录，为进一步对黑客的追踪、取证提供了有力的线索和证据，这样，黑客在攻击真正目标前已提前落网。 支持TCP标志位检测：     通过对TCP标志位（如SYN、ACK等标志位）的检测，可以判别出连接的发起方，分辨出该连接是由内网发起，还是由外网发起的，防止外网黑客通过低端常用服务端口向内网主机的高端口发起连接，从而攻击内部主机。  支持多种身份认证方式：     支持OTP 、S/KEY 、SECUREID 、TACACS/TACACS+、CA、RADIUS／RADIUS＋远程访问认证、PKI、PAP口令认证、CHAP、口令方式、数字证书等当前各种常用的身份认证协议。 支持RADIUS认证：     防火墙可以和现有的RADIUS认证服务器接口，实现出网认证。内网用户通过防火墙配套客户端认证软件，与防火墙握手通讯，向防火墙提交认证信息，防火墙通过Radius协议访问第三方认证服务器，检验用户的口令，并确认用户的访问权限。 分组透明代理：    对高层应用服务（如：HTTP、FTP、SMTP、POP3、NNTP等）进行分组透明代理。 基于时间的访问控制：     可设置、限制内网用户的上网时间段，节约资源及减少风险。 支持远程集中管理：     可在不同的地点、不同的操作系统对防火墙进行配置集中管理。防火墙通过数字证书认证、管理主机地址认证、端口控制钥匙等完善的认证措施与管理信息的加密传输，实现全局防火墙设备的集中管理。实现统一的安全策略部署，保证各环节安全策略的一致性，提供了整个系统的安全强度。  独特管理端口软钥匙控制技术：     防火墙的管理端口经常成为黑客攻击的目标，为增强防火墙自身的安全性，用随机配置钥匙软件才能打开管理端口，提高安全。 内核级URL过滤：     防火墙采用独特的内核级URL过滤技术，它能自动提取带有URL信息的数据包，对该类数据包进行深层分析、过滤，不但过滤效率比代理方式的URL过滤高，而且对通过外网代理PROXY的非法URL也能有效拦截。 内核级文件过滤：     可对一些重要的文件读写进行限制，如内网主机的账号文件。避免因管理员疏忽而引起的信息泄漏。 文件下载类型限制：     系统能对管理员设定的文件类型的下载和传输进行拦截，阻止下载电影等占用出口带宽的大数据量文件，保证主要业务数据的畅通。 内容安全过滤：     对网页中的有危害脚本、色情内容、反动内容等进行限制，保证内网的安全和用户健康上网。 非健康信息过滤库：     内置一过滤数据库，能有效拦截常见的十三万个黄色、反动站点，禁止内网用户浏览不健康的内容。 支持多种工作模式：     支持路由模式、透明（桥接）模式、混合模式（路由与透明两种模式同时工作）。 支持多出口分流：     能同时支持多个公网出口, 按管理员制定的策略对出网数据进行分流。 支持GUI管理：     支持SSH或WEB的远程方式管理。 支持SNMP协议：     支持SNMP集中管理与监控，即支持第三方网管软件查询防火墙工作状态信息。防火墙作为网络中的安全设备，对SNMP协议的支持会为网管员带来很大便利。 支持802.1Q VLAN Trunk协议：     支持802.1Q VLAN Trunk协议，Trunk通过一个单独的物理线路负载多个VLAN的数据通信，允许你在网络内扩展多个VLAN。 完整的H.323协议族支持：     H.323标准是为在网络上实现多媒体业务（实时的语音、视频和数据）而 制定的，支持H.232协议族，顺利实现多媒体业务。  支持IGMP协议：     支持多播IGMP协议，完成多播用户管理。 内嵌高加密强度VPN 模块：     系统内嵌有一VPN模块，全面支持IPSEC、L2TP、PPTP等协议，支持DES、3DES（168bit）、Blowfish、IDEA等加密算法和MD5、RSA、SHA等认证算法，提供高强度的加密认证能力。  移动 VPN 客户端：     系统配套有一VPN客户端软件，通过该软件，可与防火墙中的VPN 模块进行连接、协商，自动构建 VPN 通道，实现远程加密通信。 丰富的日志与强大的安全审计能力：     深层日志及分析功能，支持日志的自动导出与分析，支持防火墙配置文件的导入与导出。 独特的服务器监控分析模块：     通过配置的分析软件监控服务器上进程、日志、连接、开放端口、注册表等信息，一发现有异常变化，立即通知防火墙进行拦截、报警。 双向网络地址转换：     系统支持动态、静态、双向的NAT，并支持“一对一”的地址转换。 物理断开功能：     在蓝盾防火墙的每个网络接口都内置有一个物理开关，可控制断开任一网络接口的连接，终止在该接口处的任何数据通信。 支持防火墙双机热备份与负载均衡：     通过主、备防火墙进行双机热备份，使一台防火墙出现故障时，另一台防火墙进入正常工作。 负载均衡：     蓝盾防火墙可以支持一个服务器阵列，这个阵列经过防火墙对外表现为单台的机器，防火墙将外部来的访问在这些服务器之间进行均衡，同时可以识别出故障的服务器。 系统架构：     模块化、插槽式的系统架构。 流量控制：     对用户访问带宽进行分配及限制。  反向拍照技术：     一般防火墙只能记录下攻击者的IP地址，对黑客的身份一无所知，而蓝盾防火墙不但能记下黑客的IP，还能给黑客拍一个“全身照”,将黑客主机的特征信息（如主机名、用户名、MAC、操作系统名称、版本号、开放的端口、服务等）全部记录下来，防止黑客事后抵赖。