中网防火墙产品白皮书.doc

中 网 防 火 墙 产品白皮书 中 网 公 司 2003年12月 版权声明 中网公司拥有本产品及相关文档的全部版权。未经本公司书面许可，任何单位及个人不得以任何方式或理由对本产品的任何部分进行复制、抄录、传播或将技术文档翻译成他国语言，并不得与其它产品捆绑销售。 商标声明 “中网”是中网公司的注册商标。中网防火墙是中网公司的产品注册名称。是中网公司所属的Internet网站域名。本文档中所涉及的其它产品商标和服务标志皆为各自公司和组织所持有。 信息更新 本产品必威体育精装版版本信息、升级信息以及相关技术文档将在本公司 网站上及时推出，敬请留意。 信息反馈 中网公司欢迎您通过尽可能多的渠道向我们提供尽可能多的信息，您的意见和问题都会得到我们的重视和妥善处理，请将反馈信息投递到下述地址： 北京总公司 地址：北京市亚运村国际会议中心七层 电话：(010传真：(010邮编：100101 目 录 一、面临的网络威胁 4 二、智能防火墙概述 6 2.1传统防火墙的局限性 6 2.2智能防火墙 8 三、为什么选择中网防火墙 9 3.1产品特点 10 3.2应用特点 11 3.3操作特点 13 3.4性能特点 14 四、产品功能介绍 15 五、产品信息 22 5.1硬件指标 22 六、安全规范 23 6.1认证注册 23 6.2执行标准 24 6.3参考的安全规范 24 七、中网防火墙的典型应用 25 7.1中网防火墙典型应用 25 7.2可以参考的方案 26 八、技术支持与服务 28 8.1服务宗旨 28 8.2服务体制 28 一、面临的网络威胁 随着互联网的迅猛发展，我们的工作方式发生了革命性的变革，同时由于因特网自身的网络结构及其运行方式为安全问题埋下了隐患。作为一种完全开放的网络，各种信息包括有害信息都可能进入网络并在其上传播。当前，企业已经纷纷建立自己的网络以提高经营管理水平和市场竞争力，在体验因特网带来的诸多好处的同时，也面临着前所未有的安全问题： ★ 黑客入侵 黑客攻击已有十几年的历史，由于世界上有20多万个黑客网站介绍攻击方法和攻击软件的使用以及系统漏洞，黑客技术逐渐被越来越多的人掌握和发展，因此系统和站点遭受攻击的可能性变大。黑客利用网络窃取巨额钱财、窃取机密文件、删改他人重要信息等行为给企业造成的损失是众所周知的，如何找到有效地防止黑客攻击的产品是保证企业重要数据安全的当务之急。 ★ 信息外泄 对企业而言，来自外部的安全威胁可以通过好的防御产品解决，而来自企业内部的安全威胁，包括雇员未经许可访问非授权信息、将企业内部信息（商业机密、开发原代码、财务信息等）通过互联网传送给外部人员等，会造成企业机密信息外泄，从而为一些不法分子制造了可乘之机，给企业造成更加重大经济损失。如何有效地防止企业机密信息外泄，成为重要部门最为关心的问题，对内除了加强内部安全管理以外，在内外交界处架设一道坚实的防火墙抵制非法入侵也不失为明智之举。 ★ 声誉被毁 树立良好的企业形象对每个职业经理人而言都是最关心的问题，但由于内部员工登录、浏览黄色/非法网站，让企业防不胜防，从而造成网站被封、企业被罚款，给企业的声誉和经济造成了无法弥补的损失。 ★ 电子商务的安全 网络新业务不断兴起，电子商务是未来经济发展的大趋势，企业或商家计划在“虚拟大陆”上构筑覆盖全球的商业营销网的同时，面临着重要数据被窃、机密信息丢失等危险与挑战，让企业不得不放慢建立全新商务模式的步伐，这与网络经济的飞速发展产生了矛盾。企业急需找到一种既可以满足实现电子商务要求，也可以保证信息安全的产品，这种安全防范意识达到了前所未有的水平。 ★ 管理的欠缺 网络系统的严格管理是企业、机构及用户免受攻击的重要措施。事实上，很多企业都疏于这方面的管理。据调查显示，美国90%的IT企业对黑客攻击准备不足。目前，美国75%-85%的网站都抵挡不住黑客的攻击，约有75%的企业网上信息失窃，其中25%的企业损失在25万美元以上。 防火墙是一种有效的被动防御技术手段，它无法防止由于人的因素造成的安全问题，因此技术手段与人的主动性相结合，主动检测与被动防御相结合，才能共同组成一个高度安全的防御体系。 二、智能防火墙概述 2.1传统防火墙的局限性 防火墙已经被用户普遍接受，而且正在成为一个主要的网络安全设备。防火墙圈定一个保护的范围，并假定防火墙是唯一的出口，然后防火墙来决定是放行还是封锁进出的包。传统的防火墙有一个重大的理论假设，如果防火墙拒绝某些数据包的通过，则一定是安全的，因为该些包已经被丢弃，但防火墙并不保证准许通过的数据包是安全的，防火墙无法判断一个正常的服务的数据包和一个恶意的数据包有什么不同，因此要求管理员来保证该包是安全的。管理员必须告诉防火墙准许