目前,国内已经有多家机构或公司研制开发出了自己的防火墙系统,通过国家公安部等机构测试的也已有数十家。下面我们就选取几种比较有代表性的产品,做一简单介绍。
NetShineTM FW5x00防火墙和虚拟专用网
Netshine FW5x00系列防火墙和VPN是由朗新信息科技自行开发的高性能产品,以价格适中、软硬件一体化以及易于安装配置等特点为客户提供功能全面的网络安全解决方案。
Netshine FW5x00系列防火墙在企业网和Internet之间设置一道有效的屏障,严密保护您的内部网络,使其免受黑客侵扰;Netshine通过检查、审核和认证出入企业网的数据交换来实现完备的访问控制功能。
Netshine FW5x00系列防火墙提供符合IPSec标准的虚拟专用网VPN功能模块。VPN功能模块能使您的企业与分支机构、合作伙伴之间构造出一条通过互联网络的安全透明的数据传输隧道,无须昂贵的租用专线或者专用网络。
Netshine FW5x00系列防火墙和VPN基于Linux操作系统。Linux是一个开放的、能够拥有全部源代码的操作系统,具有高效、稳定、安全等优良特性。
Netshine FW5x00系列防火墙全部采用C语言开发,具有卓越的性能,能胜任从小型至中大型网络的有严苛要求的安全防护工作,是企业和政府上网的理想选择。
Netshine FW5x00系列防火墙已通过中华人民共和国公安部的信息安全产品认证,并已在政府、企业以及军队得到广泛的应用。
◆ 基于Linux操作系统的防火墙本身的高度安全性
防火墙多数是运行在主机操作系统上的应用,操作系统的安全性直接影响防火墙系统的安全性。NetShine采用定制的、拥有全部源代码的Linux操作系统,并把操作系统内核中可能引起安全性问题的部分去除,避免了操作系统中可能存在的不为人知的后门,充分保证防火墙系统本身的安全性。
◆ 功能全面的访问控制
防火墙系统可以分为基于包过滤(Packet Filter)的防火墙和代理服务型(Proxy Service)的防火墙。包过滤型防火墙在网络层协议入栈时根据预先设定的安全策略检测原始包,对用户完全透明,具有较高的网络性能和更好的应用程序透明性,但不能防止应用层的攻击;相应地,应用层防火墙使全部网络交换都由运行特定服务(FTP、HTTP、SMTP等)的智能防火墙来代理,这种代理提供应用层控制的功能和防止应用层受攻击的保护。NetShine系列防火墙把包过滤和应用代理结合起来,形成混合类型的防火墙系统,提供更高的安全性能。
·完善的访问控制策略:提供基于源地址、目的地址、协议、端口、URL、URL表达式、时段、周期时段等访问控制方式;
·透明的代理服务:用户通过身份认证后可以使用网络层的代理建立透明通道,可以实现细粒度的访问控制。
·基于服务端口的应用访问过滤:支持对Oracle、Sybase、Informix、SQL Server等数据库系统的访问过滤
·多层次的访问权限设置:支持多层次的访问登录权限,为企业或政府的基于行政和职能的管理提供方便。
·基于URL级的细密控制:NetShine提供URL级的检测、统计功能,安全管理员根据检测结果,可以屏蔽某些敏感的网页。
◆ 严格的入侵检测以及防黑客攻击
·NetShine 可以通过扫描数据包检测可能受到的攻击,并发出报警信息。在访问Web资源时,可以根据安全策略从HTTP页面剥离 Java Applet、ActiveX等小程序及 Script等代码。
·Netshine 内置的防黑客攻击模块可检测并有效防止诸如缓冲区溢出、SYN攻击、Ping攻击、IP欺骗等目前黑客常用的攻击手段的攻击。
◆ 内置虚拟专用网
绝大多数的互联网通信受到潜在的攻击,NetShine 系列防火墙内置的VPN功能结合了最有效的加密以及认证技术,确保企事业单位的数据在在互联网络上传输过程中的保密性和完整性,从而使单位员工、分公司、合作伙伴等可以基于互联网络建设一个安全经济的工作环境。利用Netshine VPN,远端用户可以安全、透明地利用互联网络进入企业内部网,无需改变现有的应用程序,也无须对现有的网络进行重组。
Netshine VPN与广泛的行业标准认证和授权系统兼容:符合Ipsec标准,支持IKE、DES、Triple DES(168位加密)、MD5、SHA等业界标准。
◆ 网络地址转换(NAT)
NetShine 支持双向网络地址转换,当用户从内部网访问外部网时,NAT 系统用一个或一组预先指定的合法的 Internet 地址为用户建立映射。如果内部网需要为 Internet 提供服务, NAT 系统可以为应用服务器建立静态映射,外部用户可直接访问该服务器或工作站。
◆ 高性能的安全处理
Netshine 系列防火墙全部采用C语言开发,并对代码进行了优化,使其在关键的处理上具有极高的性能。
优化的安全规则管理:一个企业内部网络的防火墙往往设置有数十条、数百条访问控制规则。如果不加以优化,按顺序匹配检查这些规则将会在很大程度上降低网络的性能。Netshine 系列防火墙首先检查保证规则的正确性和有效性,对无效的规则予以显示报警;然后通过先进的优化规则匹配算法来提高规则查找速度。在随后的运行中,防火墙动态地统计规则的匹配情况,并调整规则匹配算法,进一步提高性能。
◆ 防火墙的透明模式
NetShine 可以被用来作透明传输,可以不分配任何IP给NetShine 系列防火墙的网络接口,因而不需更改现有工作站的网络配置就可以实现网络安全防护,减少因网络安全改造而带来的网络重构负担。
◆ 简单的安装和伸缩性的管理
NetShine 提供基于Web的配置和管理模块,可以通过网络上任何一台具有浏览器的机器管理防火墙;管理维护模块采用全中文的符合中国人操作习惯的界面,并提供全中文的在线帮助,使您更加轻松地进行策略配置和管理。
◆ 完备的计费、审计以及统计分析功能
·NetShine 将通过防火墙交换的数据包记录到日志数据库,可以针对IP地址、IP网段、访问时间、用户等进行灵活查询、统计和分析,可以对数据日志进行备份和恢复;
·NetShine 对所受到的攻击以及可疑的IP包进行详细的分类记录,便于管理人员的事后分析。
·NetShine 提供标准的IP计费数据接口,便于进行二次高级计费功能开发。
◆ 紧凑的黑盒封装
·一体化的硬件设计,系统与硬件紧密结合,发挥硬件最高效能。
·减小用户物理空间占用体积
·提供高密度的机柜集成度
·标准的2U设计
◆ 支持的协议和服务
·Netshine 支持 TCP、UDP、IGMP、ICMP等几十种通讯协议;
·Netshine 支持 HTTP、FTP、SMTP、NNTP、TELNET、DNS、POP3、RLOGIN等常用服务;
中科院信息安全技术工程研究中心的ERCIST防火墙系统
ERCIST(安胜)防火墙是网络安全系统的组合套件,由包过滤路由器、代理服务器以及虚拟专用网VPN三大部分组成。还可完成地址转换、安全审计等功能。包过滤路由器以黑盒子方式工作,管理部件与运作部件分离,两部件之间通过加密方式传送和接收规则信息,接收日志信息,可防止窃取和伪造,又可在远程管理包过滤器的运作而不影响运作部件的正常动行。代理服务器对内部和外部用户访问许可的授权包括允许访问的种类、允许连接的时间区间、访问的级别等。根据访问的许可,对每一次访问中用户的身份及访问权限进行认证,保证内部网络中信息资源的合法使用。认证的方式可以是通用型的用户名加口令字方式,进一步可以对口令进行一次一密的变换,防止的传输过程中被窃取而进行冒充者仍无发登录,而且审计中又能加以记录;可结合智能卡安全技术的使用,进行强身份验证,更好地保障重要信息资源的安全。虚拟专用网模块则通过建立安全通道,封装IP地址和加密传输等方式,实现跨越公用网的内部用户的安全连接,所使用的由中科院信息安全中心自行研制的加密算法QC-1已得到密码委员会的审核和批准。
ERCIST防火墙可有效地隔离内外网络的直接连接,限制内外网之间信息的流入和流出,隐蔽内部网的组成情况,对访问的用户进行身份识别,可防止源路由、IP地址欺骗、拒绝服务等多种攻击,能自动发现类似ISS进行的扫描,提出安全警告,可以进行安全的远程数据传送,还提供针对防火墙系统运行状态、包过滤器的过滤信息、代理服务的情况和代理用户使用信息等数据的日志审计和报警功能。实现IP地址与MAC地址绑定的功能,对IP盗用进行了有效的控制。为保护防火墙自身的安全,在防火墙的底座架构上采用安全操作系统,在使用中加强认证、加密舆等安全措施。提供友好的用户接口,在远程管理中所有会话和文件传输都是加密的,并且对文件的传输采用一次一密的方式,可有效地防止重传攻击。不同版本的防火墙系统可分别运行于WINDOWS、UNIX、LINUX等平台上,使用户能够根据自己的安全需求和投资情况做出合理的选择。该防火墙产品已通过国家信息安全认证中心、公安部计算机信息安全系统安全产品质量监督检验中心的检验,并列入科技部国家科技成果重点推广项目。
系统提供有图形用户界面,方便地进行安全管理工作
方正数码公司的方御防火墙系列产品
依靠北大方正雄厚的科研实力和方正数码公司研制的方御(FireGate)防火墙系列产品是一套全面、高性能的网络安全系统,具有高效、多层次、高安全性、易于管理和高可靠性等特点。
与传统的软件防火墙不同,方御防火墙是一体化的硬件产品。它通过与硬件系统的深层结合,比传统的基于软件的防火墙更高效、安全,而且更国中实时化。为了减少由于安装了防火墙的原因而导致的网络流量的降低,方御防火墙采用了3I(Intelligent IP Identifying)技术,能够实现快速匹配,这样能够使一个数据包快速的通过Hash表找到相应的规则列表,而不是顺序匹配,从而使网络流量不受到较大的影响。方御防火墙可以根据数据包的地址、协议和端口进行访问和监控。同时还对任何网络连接和会话的当前状态进行分析和监控。传统的防火墙的包过滤只是与规则表进行匹配,而方御防火墙则对每个连接都作为一个数据流汇总到连接表中,通过规则表与连接表的配合,来完成状态检测的功能。
方御防火墙入侵检测系统集成了网络监听监控、实时协议分析、基于入侵行为分析及详细日志审计跟踪,对黑客入侵进行全方位的检测。它拥有较为完备的网络检测规则库,可检测的网络事件现多达1192种,并可随着新的入侵行为的发现加以更新和扩充,提供了良好的规则库升级接口。而且方御防火墙的入侵检测系统优化了算法,不会对网络流量造成影响。
在和入侵检测系统实现互动方面,方御防火墙采用了自动报警和自动防范结合的方法,一旦在入侵检测系统检测到攻击事件,立即会通知防火墙封禁该IP地址,这样一来可能黑客在扫描主机的时候就被方御防火墙封禁掉。针对入侵检测系统可能发出的误报警,方御防火墙提供了特征字识别技术,用户只要把误报的特征字提供给入侵检测系统,以后就不会对这种事件再进行误报。方御防火墙的审计功能严格遵守了国家安全部计算机信息系统安全产品质量检测中心公布的要求,分别对防火墙日志和审计管理日志进行了记录,可以方便地按照用户要求进行查询,而且在权限管理上分别设置了审计管理员和日志查询员。
方御防火墙的代理服务器功能允许在访问控制中对时间、协议、方法、地址、DNS域、目的端口和URL等进行设置,访问控制的种类比较全面,并可以在此基础上实现流量统计和流量控制。方御防火墙的地址转换功能(NAT)实现了真正的双向,也就是支持正向NAT、反向NAT和双向NAT。系统还提供了IP地址和MAC地址绑定的功能,有效的限制了内部用户非法盗用他人的IP地址的行为。
在用户权限管理方法,方御防火墙遵循国家有关安全标准规定,对用户作了四级授权,即实施域管理权、策略管理权、审计管理权和日志查看权。用户认证时采用了基于PKI的高级授权认证方式,低层通过SSL协议进行通讯,数据的安全性得到了保障。
方御防火墙的双机热备功能可以在网络中智能地寻找与其对等的备份机,并且使备份机自动进入等待状态,而一旦备份机发现主工作机失败,可及时启动,防止网络中断事故的发生。
方御防火墙的管理程序采用了GUI界面,易于操作,而且可以进行集中管理。通过一个管理程序就可能管理多个防火墙系统,给用户带来了很大的便利。
广州众达天网技术有限公司的天网防火墙系统
天网防火墙系列产品功能全面,具有较高的性能。该系列产品提供有强大的访问控制、身份认证、应用选通、网络地址转换(NAT)、数据过滤、虚拟专用网(VPN)、流量控制、虚拟网桥等功能。与国内外的防火墙产品相比较,天网防火墙有以下突出的技术优势和特点:
特有的DdoS、Dos攻击防御网关(专利技术),可以有效的抵御各种DoS、DdoS攻击。天网防火墙采用经过优化的TCP连接监控方式来保护防火墙内的脆弱机器。这种算法的特点是在处理TCP连接请求的时候,在确定连接请求是否合法以前,用户端与服务端是隔断的。这就令到DoS攻击者在发动攻击的时候并不能直接连接到防火墙内部的机器,所以攻击者所发出的所有DoS攻击包只能到达防火墙,从而保护了防火墙内部的机器不受到DoS攻击。而且,天网防火墙通过高效的算法(64K位的Hash)提供了超过30万以上的同时连接数的容量,为数据传输的高效和可靠提供了强有力地保障。
完全支持高保密的VPN功能。天网防火墙采用符合IPSEC标准的高保密性虚拟专用系统,系统支持多种加密算法,使系统具有完善的安全特征,保证了数据的真实性、完整性和机密性。
先进的负载分担能力。负载分担系统主要是将集中在一台服务器上的用户服务请求分发到多台服务器。天网防火墙采用分布式方案,可以根据服务器的负载情况,包括CPU占用量,系统Load等情况,自动选择负载最小的服务器,将用户的服务请求发送到该机器上。可以自动检测服务器的可用性,当某一台服务器出现故障的时候,分布式系统会自动绕开发生故障的机器,不会将用户的服务请法语发送到该机器上,保证了系统的正常运作。天网防火墙负载分担模块在设计时采用的高性能的专用散列算法,保证系统即使在处理巨大的用户(每秒同时连接数大于30000用户)下,网络效率仍然可以达到80%以上。
特有的TCP标志位检测功能。天网防火墙系统通过在安全规则上的设置对数据包的SYN/ACK等标志位进行合法性检测和判断。防止不法攻击者利用常用服务的低端口与内部主机的高端口的连接,从而攻击内部主机。
强大的URL级栏截与内容过滤技术。天网防火墙系统中采用了分布式并进行处理结构的计算机辅助监管、URL级拦截系统。它具有自动的信息地址监管功能,并且可以对URL访问进行记录统计,即使对想用外部代理的方式饶过安全检查的办法,它也能轻而易举的识破。
独立开发的高效率系统内核。天网防火墙采用专用设计、自动开发的独立操作系统核心SNOS,使得它有着最贴近系统底层的高效率。
另外,天网防火墙中还实现了方便的地址转换(ANT)、透明代理、透明网桥、网络黑洞、双机热备份等技术。天网防火墙全中文化的基于WEB的网络管理界面,使用起来简单方便。
联想的网御2000系列防火墙
联想网御2000系列防火墙是联想充分利用自身的优势,结合国内外信息安全的最新技术及国内用户特点开发的具有自主知识产权的网络安全产品。它采用软硬件一体化设计,在硬件体系、操作系统、加密算法等核心技术方法全部拥有自主产权,是一个具有信息分析、信息检测、VPN功能、网络防病毒等多种安全策略综合应用的稳定可靠的网络防火墙系统。
该系列产品基本安全功能模块、VPN功能模块、防病毒功能模块等多个功能模块组成。基本安全功能模块实现对端口、服务、地址等的IP包过滤,同时还可实现针对邮件、HTTP地址等的内容过滤。能够实现地址转换(NAT)和反向端口映射,应用级代理网关支持HTTP、FTP、SMTP、Telnet等多种应用。用户身份认证机制中采用了一次口令认证和PAP认证方式,具有较完备的日志管理功能,能够实时智能检测是否有入侵行为发生。VPN功能模块中采用了经国家密码委批准的、具有自主产权的SFH03加密算法,支持IPSec,提供开放的密密钥管理和PKI X509公钥管理。防病毒功能模块则可对动态更新病毒码、FTP病毒和邮件病毒进行实时检测和过滤,并右动态更新病毒码。采用了完全WEB图形化的管理界面,友好、直观,方便快捷,易于管理。
北京天融信公司的"网络卫士" 防火墙系统
北京天融信网络安全技术有限公司是我国最早推出自主版权防火墙产品的专业网络安全公司之一。该公司所推出的"网络卫士"系列防火墙产品,是遵循国家相关管理政策和标准开发生产的,具有完全自主版权。该系列的防火墙产品采用了软硬件一体化设计,支持各种标准服务及用户自定义服务,扩展性好。实际上该公司新推出的防火墙产品已经是一个以防火墙为核心、多种安全技术和产品协同工作的网络安全体系,能够为客户提供一种比较完整的、动态的网络安全解决方案。产品不仅能够实现对站点、子网、服务的过滤,实现网络层和应用层的细粒度控制,而且使用了状态检测技术,可以实现URL阻断及HTTP、FTP的协议命令过滤,能够对外部扫描及攻击做出及时的响应。提供有灵活的访问控制功能(如基于地址、协议、端口、用户、时间、流量的访问控制),采用了一次性口令认证机制,可护展支持RADIUS等第三方认证,并且可扩展支持职能IC卡、ikey等硬件方式认证。
实现了用户数据的加密传输,并且对远程管理也提供了加密机制。具有IP地址翻译(NAT)功能,并且能够在特有的透明工作模式下实现地址翻译。支持多种工作模式,提高了网络应用的灵活性。提供流量统计与控制功能,支持QOS,具有完善的日志和审计功能,并且专门设置了对防火墙配置规则的测试功能。具有较强的防攻击能力,能够较好地防范对TCP、UDP等端口的扫描,抗DOS/DDOS攻击、源路由攻击、IP碎片包攻击、DNS/RIP/ICMP攻击、SYN等多种攻击。有的产品还拥有双机热备等先进功能,进一步提高了产品的稳定性和可靠性。提供有VPN模块,可扩展支持第三方IDS入侵检测系统,实现协同工作。
北京邮电大学的PC防火墙
PC防火墙(Secure PC)是北京邮电大学信息安全中心研制开发的具有完全自主知识产权的桌面防火墙系统。已经通过专家鉴定,获得了公安部颁发的合格检测证书。Secure PC基本与国外最新推出的同类产品持平,有此功能甚至更胜一筹。
从而向用户的角度来说,这种防火墙颇具特色,更适合于中国人的思维习惯和生活习惯。传统意义下的防火墙是从保护局域网的攻击。随着PC机的迅速普及,PC机的安全问题和原有局域网一起都成为了防火墙的保护对象。由于PC机环境和用户的特殊性,不管从技术上还是从用户需求来说都有许多的不同。传统防火墙考虑得更多的是进入局域网内部的主机系统的安全,而PC机的防火墙则必须全面考虑主机系统的网络信息,甚至系统所采用的应用软件,对于某种条件下,还得考虑PC机的多用户问题。
该系统的主要功能是实现对进出主机的IP包的IP地址和协议端口的过滤。考虑到桌面防火墙功能的特殊性,该产品主要由以下几个模块组成:
(1)过滤规则管理。对用户提供方便实用的过滤规则管理界面,使用户可以对当前的防火墙过滤规则表中的记录进行增加、删除和修改等各种操作,过滤规则表则以密文形式存放,对过滤规则表的访问系统提供用户身份认证的机制。
(2)过滤规则加密处理。以加密形式存放当前防火墙的过滤规则,并利用杂凑函数实现对文件完整性的校验,从而防止未经授权的用户篡改和查看当前防火墙的过滤规则。如果无过滤规则文件,系统将拒绝对任何外部IP的访问。
(3)启用当前过滤规则(Ring 3部分)。用户通过该模块应用当前最新的过滤规则。该模块首先读取过滤规则存放文件,将读出的过滤规则解密后存放在常规内存中的缓冲区中。再通过WIN32接口的DeviceIOControl调用Ring 0的过滤规则服务模块,并将缓冲区指针作为调用参数传递。
(4)启用当前过滤规则(Ring 0部分)。该模块接收WIN32应用程序传送来的存放当前过滤规则的缓冲的指针,并使用NdisMoveMemory函数将存放在常规内存缓冲区中的数据存入供VxD设备驱动程序使用的系统堆中,从而使得这些过滤规则数据可以长期存在,其生命周期和VxD一样。
(5)面向上层网络应用程序的接口服务函数。这些接口函数均是Windows网络应用程序最终需要调用的网络服务。通过这些服务,可以在上层与VxD可访问的系统内存中的包过滤规则,然后应用这些过滤规则对当前IP包进行处理,将处理后的IP包交于原来的Windows网络协议 进行处理,。这样除了不被允许的IP包已经被过滤掉了以外,其他一切防火墙未启动时一样,从而实现了对IP包的成功过滤。
该防火墙系统能够对主机发送和接受的每一个IP包进行检查,获取IP源地址、目标地址和协议端口,并根据事先设定的规则拒绝或允许这个IP包通过。该防火墙能够实现对上层网络应用软件的全透明控制。也就是说,不管用户是选用网景公司的NetScape浏览器还是微软公司Explorer浏览器、不管是选用的是哪家的ftp软件等,系统都将提供同样的网络安全服务。该系统的运行有Windows95或Windows98平台上。