宝山区国内防火墙系统方案

支持线速处理，在不影响网络运行情况下，实现无缝部署到现有的网络中。标准的传统防火墙功能，需要拥有传统防火墙的所有功能，包含包了过滤、网络地址转换、状态检测、虚拟用网等功能 。集成入侵防御系统，在同一硬件内结成了传统防火墙和 IPS 的功能，IPS 成为防火墙的关键部件，不是两者的简单叠加，而是功能的无缝融合。防火墙和 IPS 的无缝融合、自动联动的协作机制将有效提升防御性能，增强网络安全性。应用识别、控制与可视化，与传统防火墙基于端口和 IP 协议进行应用识别不同，而是会根据深度包检测引擎识别到的流量在应用层执行访问控制策略。流量控制不再是单纯地阻止或允许特定应用，而是可用来管理宽带或优先排序应用层流量。深度流量检测让管理员可针对单个应用组件执行细粒度策略 。防火墙同时可以保护网络免受基于路由的攻击。宝山区国内防火墙系统方案

用户认证，DAS-Gateway-NGFW支持本地用户认证、外部服务器用户认证（RADIUS、LDAP、MS AD）、Web认证、802.1X。应用识别与控制，DAS-Gateway-NGFW提供普遍的应用层监控、统计和控制过滤功能。该功能能够对FTP、HTTP、P2P应用、实时通信工具以及VoIP语音数据等应用进行识别，并根据安全策略配置规则，保证应用的正常通信或对其进行指定的操作，如监控、流量统计、流量控制和阻断。DAS-Gateway-NGFW利用分片重组及传输层代理技术，使设备能够适应复杂的网络环境，即使在完整的应用层数据被分片传送且分片出现失序、乱序的情况下，也能有效的获取应用层信息，从而保证安全策略的有效实施。松江区企业防火墙平台防火墙是不同网络或网络安全域之间信息的一出入口。

防火墙在内网中的设定位置是比较固定的，一般将其设置在服务器的入口处，通过对外部的访问者进行控制，从而达到保护内部网络的作用，而处于内部网络的用户，可以根据自己的需求明确权限规划，使用户可以访问规划内的路径。总的来说，内网中的防火墙主要起到以下两个作用：一是认证应用，内网中的多项行为具有远程的特点，只有在约束的情况下，通过相关认证才能进行；二是记录访问记录，避免自身的攻击，形成安全策略。应用于外网中的防火墙，主要发挥其防范作用，外网在防火墙授权的情况下，才可以进入内网。针对外网布设防火墙时，必须保障多方面性，促使外网的所有网络活动均可在防火墙的监视下，如果外网出现非法入侵，防火墙则可主动拒绝为外网提供服务。基于防火墙的作用下，内网对于外网而言，处于完全封闭的状态，外网无法解析到内网的任何信息。防火墙成为外网进入内网的途径，所以防火墙能够详细记录外网活动，汇总成日志，防火墙通过分析日常日志，判断外网行为是否具有攻击特性。

高可靠性（High Availability），简称为HA，能够在通信线路或设备产生故障时提供备用方案，从而保证数据通信的畅通，有效增强网络的可靠性。DAS-Gateway-NGFW支持HA的2种工作模式：Active-Passive（A/P）模式和Active-Active（A/A）模式。DAS-Gateway-NGFW的统计功能包括基于接口的统计功能、基于地址的统计功能、基于应用的统计功能以及统计集功能。 基于接口的统计功能：统计流经特定接口的数据量、数据包。基于地址的统计功能：统计以特定地址为源/目的地址的数据量、数据包。基于服务的统计功能：统计属于特定服务的数据量、数据包。统计集：统计流经安全网关的数据量。日志管理功能，DAS-Gateway-NGFW拥有日志管理功能。DAS-Gateway-NGFW的日志功能记录并输出安全网关的各种日志信息，分别是事件、告警、安全、配置、网络、流量和调试信息。IPV6功能，DAS-Gateway-NGFW支持互联网协议版本6，即IPv6（Internet Protocol Version 6），DAS-Gateway-NGFW为IPv4和IPv6同时支持的双栈系统固件，同时支持隧道技术（当前版本支持手工IPv6隧道）实现IPv6的通信。防火墙技术是通过有机结合各类用于安全管理与筛选的软件和硬件设备。

代理服务也称链路级网关或TCP通道， 也有人将它归于应用级网关一类。它是针对数据包了过滤和应用网关技术存在的缺点而引入的防火墙技术， 其特点是将所有跨越防火墙的网络通信链路分为两段。防火墙内外计算机系统间应用层的" 链接"， 由两个终止代理服务器上的" 链接"来实现，外部计算机的网络链路只能到达代理服务器， 从而起到了隔离防火墙内外计算机系统的作用。此外，代理服务也对过往的数据包进行分析、注册登记， 形成报告，同时当发现被攻击迹象时会向网络管理员发出警报，并保留攻击痕迹。防火墙设计策略基于特定的Firewall，定义完成服务访问策略的规则。普陀区防火墙规范

下一代防火墙是在传统防火墙的基础上演变和扩展而来的。宝山区国内防火墙系统方案

防火墙引擎具有自主软件著作权，具有国际先进的状态检测包了过滤技术，实时在线检测当前内外网络的所有连接状态，根据连接状态动态配置规则，对异常的连接状态进行阻断，实现入侵检测并及时报警。采用单独的创立的内核检测技术，即基于操作系统内核的会话检测技术，在操作系统内核实现对应用层的访问控制。 Syn代理技术防止Dos、D-Dos攻击。 对常见病 毒端口可以在数据链路层进行主动丢弃，有效提高了防火墙的处理性能。 支持访问模式匹配功能，可根据需要有效地防止木马软件以及QQ，BT等软件。 采用安全增强和优化的操作系统，内置IDS功能，安全级别高，具有强抗攻击功能。在防范各种拒绝服务攻击、端口扫描、IP欺骗等攻击手段方面表现突出。 支持桥模式、VLAN、ADSL拨号等形式接入，可以满足多种网络环境的需要。 通过多重地址转换（MAT）功能，既可以保护内部网络服务器的安全，又可以分散外部服务到不同的IP地址。通过端口转换，为服务指定特定的端口，增强了系统的安全性。 既可以作为DHCP服务器又可以充当DHCP客户机，以实现对动态IP的支持功能。 宝山区国内防火墙系统方案

上海长翼信息科技有限公司总部位于中国(上海)自由贸易试验区临港新片区环湖西二路888号C楼，是一家计算机信息科技领域内的技术开发、技术服务、计算机系统集成、弱电工程、销售计算机、软件及辅助设备、电子产品、五金交电、办公用品及设备、劳防用品（除特种用品）、批发、零售电子计算机及配件、网络技术服务、技术咨询的公司。长翼信息拥有一支经验丰富、技术创新的专业研发团队，以高度的专注和执着为客户提供网络信息安全、数据安全，数据防泄密、协同办公软件，网络弱电工程、无线覆盖，物联网、超融合云计算。长翼信息继续坚定不移地走高质量发展道路，既要实现基本面稳定增长，又要聚焦关键领域，实现转型再突破。长翼信息创始人嵇明臣，始终关注客户，创新科技，竭诚为客户提供良好的服务。