ccidnet????

出版日期:2004-03-08 总期号:1294 本年期号:15

本期导读
要闻综合
中国信息化
网络与通信
软件与服务
产品与应用
渠道与市场
信息安全
存储世界
华东专刊
华南专刊
西北专刊
东北专刊
西南专刊
 胖防火墙贴着网络走
—— 看新一代安氏领信防火墙
高岚

  

  近日,由安氏iS-One Security Lab精心打造的安氏领信防火墙LinkTrust CyberWall的全新版本终于面世了。与前代产品相比,它集成了安氏在防火墙、入侵检测、VPN、带宽管理、认证、审计等领域的多项技术于一身,它不再是简单的一款防火墙,而成为了一个综合的、可以管理全网的网关。



     充分利用网络资源
     传统防火墙的通病是防外不防内,对“祸起萧墙”无能为力。安氏就此设计的灵巧安全网关体系结构FSGA(Flexible Security Gateway Architecture),旨在解决传统防火墙的种种局限,并提供更适应现代企业安全需求的新特性。用户可以根据企业内网的安全需求随心所欲地划分安全域,限定作用范围,最大程度地控制域内和域间用户的活动空间,即使出现了安全隐患,也可以将其隔离在最小的独立安全域内而不会波及其它安全域。

  其内核透明应用代理方式除了支持常规的HTTP、SMTP、POP、FTP和Telnet等服务外,还支持H.323和SIP等多媒体协议,这使其具有更好的网络环境适应性。此外,为了使网管人员能更精细地控制网络,它使用了基于用户、地址、协议、时间、VLAN和安全域的多种访问控制策略,结合对URL内容、邮件指令的过滤和对ActiveX、Java Scripts、诡异木马探测拦截等手段,在便利用户使用的同时,最大化地降低了上网潜在的安全风险。

  它可以与其它网络安全设备如IDS、网管服务器和认证服务器等进行联动。它支持802.1q VLAN协议,并可以提供将VLAN并入安全域管理的方案,解决了现在企业内网VLAN间的细粒度安全防护问题。同时还能与现有的三层设备联动工作,充分保护客户已有投资。此外,其网络流量的端口镜像功能更是为网络活动监控开启方便之门,使您对网络状况了然于胸。

  在一些关键业务的防护服务上,它使用了Diffserv区别优先级策略,辅以带宽控制、带宽借用和上下行流量管理等控制方式,全面保证关键业务的QoS服务质量和响应速度。高可靠性(HA)和双机热备协作工作提供对链路和设备的自动检测,而小于1秒的切换时间可避免单点故障造成的网络瘫痪,保证网络持续运作;其负载均衡能力可为后台8台服务器提供全面支持,既有良好的网络环境适应性,又能保证核心服务的可靠性和不间断性;另外,其冗余可热插拔部件设计在最大程度上将风险系数降至最低。


     多种方式认证
     安氏在领信防火墙的健壮性设计方面一直有其独到之处。在拒绝服务泛滥的今天,如何采取有效的对抗措施一直是困扰各个厂家的难题。安氏为此专门设计了Anti-DoS防拒绝服务网关,通过采用Syn-Cookie、ICMP请求过滤、碎片重组、流量限制等手段对DoS和DDoS攻击提供智能识别、主动防范和有效阻断;内置智能流检测Smart Protector可识别250种攻击行为,并对可疑攻击性访问进行告警,特有的“黑洞”功能更可以对恶意攻击进行封锁拦截。

  领信防火墙提供了丰富的认证方式,满足不同环境下对敏感网络服务访问时的认证需求,主要有口令认证、Radius、MSNT域、Secure ID、LDAP、PAP、CHAP和数字证书等,涵盖了现有的大部分网络认证方式;而双向任意区域的NAT和MAC地址捆绑技术,在隐藏网络内部结构的同时有效地防止了地址盗用,最大程度地将非法访问拒之门外。

  领信防火墙还全面支持IPSec并集成ASIC VPN,特有的Security Processor(安全处理器)可提供快速的加解密处理能力,其加密算法支持DES/3DES、AES、BLF和CAST,认证算法支持MD5、SHA-1和RMD 16,这些措施共同保证了端对端VPN的强加密和强认证。在VPN连接方式上,它支持网关到网关、拨号客户到网关、移动子网到网关及星型拓扑连接,并支持上万条VPN隧道,结合易于部署的PKI数字证书体系,为企业提供了一个安全可靠的全局VPN解决方案。


     与网络融为整体
     该方案方便易用的可视化安全管理方式贴近用户的使用习惯。全新版领信防火墙设置方式简洁易用,配合LCD显示屏在五分钟内即可完成全功能配置。其基于Web的访问方式以简洁、友好、直观的界面方便网管人员轻松面对各种任务,再辅以CLI、SSH等手段为您在特殊环境下的网络维护提供快捷的管理方式。这些措施的综合使用,使防火墙配置在操作简便和安全稳定之间取得了和谐与统一。

  在充分考虑中小型企业及拨号用户的上网需求后,该产品特别引入对ADSL的支持,它具备智能拨入、动态地址连接、空闲检测、断线重拨等功能,辅以内置的DHCP Server,既节省了用户投资又符合全局安全策略。此外,它的日志和强审计功能使您快速定位和跟踪感兴趣的事件,Webtrends日志格式使您对网络活动一目了然。考虑到用户现有网络的实际情况,它特别提供的透明接入方式无需对现有网络结构及设置做任何改动,就可充分享受安氏技术带来的全新体验。