迪普防火墻技術(shù)白皮書.doc

迪普FW1000系列防火墻技術(shù)白皮書1 概述隨著網(wǎng)絡(luò)技術(shù)的普及，網(wǎng)絡(luò)攻擊行為出現(xiàn)得越來越頻繁。通過各種攻擊軟件，只要具有一般計算機常識的初學(xué)者也能完成對網(wǎng)絡(luò)的攻擊。各種網(wǎng)絡(luò)病毒的泛濫，也加劇了網(wǎng)絡(luò)被攻擊的危險。目前，Internet網(wǎng)絡(luò)上常見的安全威脅分為以下幾類：非法使用：資源被未授權(quán)的用戶（也可以稱為非法用戶）或以未授權(quán)方式（非法權(quán)限）使用。例如，攻擊者通過猜測帳號和密碼的組合，從而進入計算機系統(tǒng)以非法使用資源。拒絕服務(wù)：服務(wù)器拒絕合法用戶正常訪問信息或資源的請求。例如，攻擊者短時間內(nèi)使用大量數(shù)據(jù)包或畸形報文向服務(wù)器不斷發(fā)起連接或請求回應(yīng)，致使服務(wù)器負荷過重而不能處理合法任務(wù)。信息盜竊：攻擊者并不直接入侵目標(biāo)系統(tǒng)，而是通過竊聽網(wǎng)絡(luò)來獲取重要數(shù)據(jù)或信息。數(shù)據(jù)篡改：攻擊者對系統(tǒng)數(shù)據(jù)或消息流進行有選擇的修改、刪除、延誤、重排序及插入虛假消息等操作，而使數(shù)據(jù)的一致性被破壞。Internet 基于網(wǎng)絡(luò)協(xié)議的防火墻不能阻止各種攻擊工具更加高層的攻擊 網(wǎng)絡(luò)中大量的低安全性家庭主機成為攻擊者或者蠕蟲病毒的被控攻擊主機 被攻克的服務(wù)器也成為輔助攻擊者目前網(wǎng)絡(luò)中主要使用防火墻來保證內(nèi)部網(wǎng)路的安全。防火墻類似于建筑大廈中用于防止火災(zāi)蔓延的隔斷墻，Internet防火墻是一個或一組實施訪問控制策略的系統(tǒng)，它監(jiān)控可信任網(wǎng)絡(luò)（相當(dāng)于內(nèi)部網(wǎng)絡(luò)）和不可信任網(wǎng)絡(luò)（相當(dāng)于外部網(wǎng)絡(luò)）之間的訪問通道，以防止外部網(wǎng)絡(luò)的危險蔓延到內(nèi)部網(wǎng)絡(luò)上。防火墻作用于被保護區(qū)域的入口處，基于訪問控制策略提供安全防護。例如：當(dāng)防火墻位于內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的連接處時，可以保護組織內(nèi)的網(wǎng)絡(luò)和數(shù)據(jù)免遭來自外部網(wǎng)絡(luò)的非法訪問（未授權(quán)或未驗證的訪問）或惡意攻擊；當(dāng)防火墻位于組織內(nèi)部相對開放的網(wǎng)段或比較敏感的網(wǎng)段（如保存敏感或?qū)Ｓ袛?shù)據(jù)的網(wǎng)絡(luò)部分）的連接處時，可以根據(jù)需要過濾對敏感數(shù)據(jù)的訪問（即使該訪問是來自組織內(nèi)部）。防火墻技術(shù)經(jīng)歷了包過濾防火墻、代理防火墻、狀態(tài)防火墻的技術(shù)演變，但是隨著各種基于不安全應(yīng)用的攻擊增多以及網(wǎng)絡(luò)蠕蟲病毒的泛濫，傳統(tǒng)防火墻面臨更加艱巨的任務(wù)，不但需要防護傳統(tǒng)的基于網(wǎng)絡(luò)層的協(xié)議攻擊，而且需要處理更加高層的應(yīng)用數(shù)據(jù)，對應(yīng)用層的攻擊進行防護。對于互聯(lián)網(wǎng)上的各種蠕蟲病毒，必須能夠判斷出網(wǎng)絡(luò)蠕蟲病毒的特征，把網(wǎng)絡(luò)蠕蟲病毒造成的攻擊阻擋在安全網(wǎng)絡(luò)之外。從而對內(nèi)部安全網(wǎng)絡(luò)形成立體、全面的防護。造成當(dāng)前網(wǎng)絡(luò)“安全危機”另外一個因素是忽視對內(nèi)網(wǎng)安全的監(jiān)控管理。防火墻防范了來之外網(wǎng)的攻擊，對于潛伏于內(nèi)部網(wǎng)絡(luò)的“黑手”卻置之不理，很容易造成內(nèi)網(wǎng)變成攻擊的源頭，導(dǎo)致內(nèi)網(wǎng)數(shù)據(jù)泄密，通過NAT從內(nèi)部網(wǎng)絡(luò)的攻擊行為無法進行審計。由于對內(nèi)部網(wǎng)絡(luò)缺乏防范，當(dāng)內(nèi)部網(wǎng)絡(luò)主機感染蠕蟲病毒時，會形成可以感染整個互聯(lián)網(wǎng)的污染源頭，導(dǎo)致整個互聯(lián)網(wǎng)絡(luò)環(huán)境低劣。 來自內(nèi)部網(wǎng)絡(luò)的攻擊污染互聯(lián)網(wǎng) 來自內(nèi)部網(wǎng)絡(luò)的蠕蟲病毒感染互聯(lián)網(wǎng)Internet對于網(wǎng)絡(luò)管理者，不但需要關(guān)注來自外部網(wǎng)絡(luò)的威脅，而且需要防范來自內(nèi)部網(wǎng)絡(luò)的惡意行為。防火墻需要提供對內(nèi)部網(wǎng)絡(luò)安全保障的支持，形成全面的安全防護體系。2 功能介紹DPtech FW1000系列硬件防火墻產(chǎn)品是一種改進型的狀態(tài)防火墻，采用專門設(shè)計的高可靠性硬件系統(tǒng)和具有自主知識產(chǎn)權(quán)的專有操作系統(tǒng)，將高效的包過濾功能、透明的代理服務(wù)、基于改進的狀態(tài)檢測安全技術(shù)、豐富的統(tǒng)計分析功能、多種安全保障措施集于一身，提供多類型接口和工作模式。不但提供對網(wǎng)絡(luò)層攻擊的防護，而且提供多種智能分析和管理手段，全面立體的防護內(nèi)部網(wǎng)路。DPtech FW1000防火墻提供多種網(wǎng)絡(luò)管理監(jiān)控的方法，協(xié)助網(wǎng)絡(luò)管理員完成網(wǎng)絡(luò)的安全管理。DPtech FW1000防火墻采用ASPF狀態(tài)檢測技術(shù)，可對連接過程和有害命令進行監(jiān)測，并協(xié)同ACL完成包過濾，支持NAT-PAT，支持IPSec VPN加密等特性，提供包括DES、3DES等多種加密算法，并支持證書認(rèn)證。此外，還提供數(shù)十種攻擊的防范能力，所有這些都有效地保障了網(wǎng)絡(luò)的安全。下面重點描述DPtech FW1000防火墻的主要安全功能。2.1 ASPFASPF（Application Specific Packet Filter）是針對應(yīng)用層的包過濾，即基于狀態(tài)的報文過濾。它和普通的靜態(tài)防火墻協(xié)同工作，以便于實施內(nèi)部網(wǎng)絡(luò)的安全策略。ASPF能夠檢測試圖通過防火墻的應(yīng)用層協(xié)議會話信息，阻止不符合規(guī)則的數(shù)據(jù)報文穿過。為保護網(wǎng)絡(luò)安全，基于訪問控制列表的包過濾可以在網(wǎng)絡(luò)層和傳輸層檢測數(shù)據(jù)包，防止非法入侵。ASPF能夠檢測應(yīng)用層協(xié)議的信息，并對應(yīng)用的流量進行監(jiān)控。ASPF還提供以下功能： DoS（Denial of Service，拒絕服務(wù)）的檢測和防范。 Java Blocking（Java阻斷），用于保護網(wǎng)絡(luò)不受有害的Java Applets的破壞。 支持端口到應(yīng)用的映射，用于應(yīng)用層協(xié)議提供的服務(wù)使用非通用端口時的情況。 增強的會話日志功能?？梢詫λ械倪B接進行記錄，包括：記錄連接的時間、源地址、目的地址、使用的端口和傳輸?shù)淖止?jié)數(shù)。ASPF對應(yīng)用層的協(xié)議信息進行檢測，并維護會話的狀態(tài)，檢查會話的報文的協(xié)議和端口號等信息，阻止惡意的入侵。2.2 攻擊防范通常的網(wǎng)絡(luò)攻擊，一般是侵入或破壞網(wǎng)上的服務(wù)器（主機），盜取服務(wù)器的敏感數(shù)據(jù)或干擾破壞服務(wù)器對外提供的服務(wù)；也有直接破壞網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)攻擊，這種破壞影響較大，會導(dǎo)致網(wǎng)絡(luò)服務(wù)異常，甚至中斷。防火墻的攻擊防范功能能夠檢測出多種類型的網(wǎng)絡(luò)攻擊，并能采取相應(yīng)的措施保護內(nèi)部網(wǎng)絡(luò)免受惡意攻擊，保證內(nèi)部網(wǎng)絡(luò)及系統(tǒng)的正常運行。DPtech FW1000防火墻的攻擊防范技術(shù)可以有效的阻止下面的網(wǎng)絡(luò)攻擊行為： IP地址欺騙攻擊為了獲得訪問權(quán)，入侵者生成一個帶有偽造源地址的報文。對于使用基于IP地址驗證的應(yīng)用來說，此攻擊方法可以導(dǎo)致未被授權(quán)的用戶可以訪問目的系統(tǒng)，甚至是以root權(quán)限來訪問。即使響應(yīng)報文不能達到攻擊者，同樣也會造成對被攻擊對象的破壞。這就造成IP Spoofing攻擊。 Land攻擊所謂Land攻擊，就是把TCP SYN包的源地址和目標(biāo)地址都配置成受害者的IP地址。這將導(dǎo)致受害者向它自己的地址發(fā)送SYN-ACK消息，結(jié)果這個地址又發(fā)回ACK消息并創(chuàng)建一個空連接，每一個這樣的連接都將保留直到超時掉。各種受害者對Land攻擊反應(yīng)不同，許多UNIX主機將崩潰，Windows NT主機會變的極其緩慢。 Smurf攻擊簡單的Smurf攻擊，用來攻擊一個網(wǎng)絡(luò)。方法是發(fā)ICMP應(yīng)答請求，該請求包的目標(biāo)地址配置為受害網(wǎng)絡(luò)的廣播地址，這樣該網(wǎng)絡(luò)的所有主機都對此ICMP應(yīng)答請求作出答復(fù)，導(dǎo)致網(wǎng)絡(luò)阻塞，這比ping大包的流量高出一或兩個數(shù)量級。高級的Smurf攻擊，主要用來攻擊目標(biāo)主機。方法是將上述ICMP應(yīng)答請求包的源地址改為受害主機的地址，最終導(dǎo)致受害主機雪崩。攻擊報文的發(fā)送需要一定的流量和持續(xù)時間，才能真正構(gòu)成攻擊。理論上講，網(wǎng)絡(luò)的主機越多，攻擊的效果越明顯。Smurf攻擊的另一個變體為Fraggle攻擊。 Fraggle攻擊使用UDP echo和Chargen服務(wù)的smurf方式的攻擊。 Teardrop攻擊構(gòu)造非法的分片報文，填寫不正確的分片偏移量和報文長度，使得各分片的內(nèi)容有所重疊，目標(biāo)機器如果處理不當(dāng)會造成異常。 WinNuke攻擊WinNuke攻擊通常向裝有Windows系統(tǒng)的特定目標(biāo)的NetBIOS端口（139）發(fā)送OOB（out-of-band）數(shù)據(jù)包，引起一個NetBIOS片斷重疊，致使目標(biāo)主機崩潰。還有一種是IGMP分片報文，一般情況下，IGMP報文是不會分片的，所以，不少系統(tǒng)對IGMP分片報文的處理有問題。如果收到IGMP分片報文，則基本可判定受到了攻擊。 SYN Flood攻擊由于資源的限制，TCP/IP棧的實現(xiàn)只能允許有限個TCP連接。而SYN Flood攻擊正是利用這一點，它偽造一個SYN報文，其源地址是偽造的、或者一個不存在的地址，向服務(wù)器發(fā)起連接，服務(wù)器在收到報文后用SYN-ACK應(yīng)答，而此應(yīng)答發(fā)出去后，不會收到ACK報文，造成一個半連接。如果攻擊者發(fā)送大量這樣的報文，會在被攻擊主機上出現(xiàn)大量的半連接，消耗盡其資源，使正常的用戶無法訪問。直到半連接超時。在一些創(chuàng)建連接不受限制的實現(xiàn)里，SYN Flood具有類似的影響，它會消耗掉系統(tǒng)的內(nèi)存等資源。 ICMP和UDP Flood攻擊短時間內(nèi)用大量的ICMP消息（如ping）和UDP報文向特定目標(biāo)不斷請求回應(yīng)，致使目標(biāo)系統(tǒng)負擔(dān)過重而不能處理合法的傳輸任務(wù)。 地址掃描與端口掃描攻擊運用掃描工具探測目標(biāo)地址和端口，對此作出響應(yīng)的表示其存在，用來確定哪些目標(biāo)系統(tǒng)確實存活著并且連接在目標(biāo)網(wǎng)絡(luò)上，這些主機使用哪些端口提供服務(wù)。 Ping of Death攻擊IP報文的長度字段為16位，這表明一個IP報文的最大長度為65535。對于ICMP 回應(yīng)請求報文，如果數(shù)據(jù)長度大于65507，就會使ICMP數(shù)據(jù)IP頭長度(20)ICMP頭長度（8） 65535。對于有些路由器或系統(tǒng)，在接收到一個這樣的報文后，由于處理不當(dāng)，會造成系統(tǒng)崩潰、死機或重啟。這種攻擊就是利用一些尺寸超大的ICMP報文對系統(tǒng)進行的一種攻擊。另外，DPtech FW1000防火墻提供了對ICMP重定向報文、ICMP不可達報文、帶路由記錄選項IP報文、Tracert報文的控制功能，以及增強的TCP報文標(biāo)志合法性檢測功能，在攻擊前期階段阻止攻擊分析行為。2.3 實時流量分析對于防火墻來說，不僅要對數(shù)據(jù)流量進行監(jiān)控，還要對內(nèi)外部網(wǎng)絡(luò)之間的連接發(fā)起情況進行檢測，因此要進行大量的統(tǒng)計計算與分析。防火墻的統(tǒng)計分析一方面可以通過專門的分析軟件對日志信息進行事后分析；另一方面，防火墻系統(tǒng)本身可以完成一部分分析功能，它表現(xiàn)在具有一定的實時性。DPtech FW1000防火墻提供了實時的網(wǎng)絡(luò)流量分析功能，及時發(fā)現(xiàn)攻擊和網(wǎng)絡(luò)蠕蟲病毒產(chǎn)生的異常流量。用戶可以使用防火墻預(yù)先定義的流量分析模型，也可以自己定義各種協(xié)議流量的比例，連接速率閥值等參數(shù)，形成適合當(dāng)前網(wǎng)絡(luò)的分析模型。比如，用戶可以指定系統(tǒng)的TCP連接和UDP連接總數(shù)的上限閾值和下限閾值。當(dāng)防火墻系統(tǒng)的TCP或UDP連接個數(shù)超過設(shè)定的閾值上限后，防火墻將輸出日志進行告警，而當(dāng)TCP、UDP連接個數(shù)降到設(shè)定的閾值下限時，防火墻輸出日志，表示連接數(shù)恢復(fù)到正常。另外，也可以指定配置不同類型的報文在正常情況下一定時間內(nèi)所占的百分比以及允許的變動范圍，系統(tǒng)定時檢測收到的各類報文百分比，并和配置進行比較，如果某類型（TCP、UDP、ICMP或其他）報文百分比超過配置的上限閾值（加波動范圍），則系統(tǒng)輸出日志告警；如果某類型報文百分比低于配置的下限閾值（加波動范圍），則系統(tǒng)輸出日志告警。Internet 流量實時分析 蠕蟲病毒異常流量阻斷實時流量分析技術(shù)可以有效的發(fā)現(xiàn)未知的網(wǎng)絡(luò)蠕蟲病毒造成的異常流量，可以及時通知網(wǎng)絡(luò)管理員進行處理。并且通過DPtech FW1000防火墻的地址動態(tài)隔離技術(shù)（地址黑名單）對異常流量進行及時阻斷，從而避免垃圾流量對網(wǎng)絡(luò)帶寬的擁塞。2.4 內(nèi)網(wǎng)地址安全在受保護的內(nèi)部網(wǎng)絡(luò)，如何防范發(fā)自內(nèi)部網(wǎng)絡(luò)的攻擊將是網(wǎng)絡(luò)安全領(lǐng)域面臨的一個十分重要的問題。網(wǎng)絡(luò)內(nèi)部的惡意攻擊者，感染網(wǎng)絡(luò)蠕蟲病毒的主機，都是內(nèi)網(wǎng)安全的重大威脅。在IP協(xié)議棧中，ARP是以太網(wǎng)上非常重要的一個協(xié)議。以太網(wǎng)網(wǎng)絡(luò)中的主機，在互相進行IP訪問之前，都必須先通過ARP協(xié)議來獲取到目的IP地址對應(yīng)的MAC地址。在通過路由器、三層交換機作為網(wǎng)關(guān)時，PC為了把數(shù)據(jù)發(fā)送到網(wǎng)關(guān)，同樣需要通過ARP協(xié)議來獲取網(wǎng)關(guān)的MAC地址。由于ARP協(xié)議本身不具備任何的安全性，所以留下了很多的安全漏洞。主機欺騙：惡意的網(wǎng)絡(luò)客戶可以偽造出別的客戶的ARP報文，使希望被攻擊的客戶不能正常進行網(wǎng)絡(luò)通訊。網(wǎng)關(guān)偽造：惡意的網(wǎng)絡(luò)客戶可以偽造網(wǎng)關(guān)的ARP應(yīng)答，在ARP應(yīng)答報文中把網(wǎng)關(guān)的IP對應(yīng)的MAC地址設(shè)置稱自己的MAC地址，那么，網(wǎng)絡(luò)中所有的客戶都會把數(shù)據(jù)發(fā)送到惡意網(wǎng)絡(luò)客戶的主機上。ARP“轟炸”：惡意客戶主機發(fā)出大量的不同IP對應(yīng)不同MAC的ARP報文，讓網(wǎng)絡(luò)中的設(shè)備ARP表都加入最大數(shù)量的ARP表項，導(dǎo)致正常的ARP不能加入，從而中斷網(wǎng)絡(luò)流量。通過ARP欺騙，可以仿冒服務(wù)器的地址進行通訊IP IP 我是MAC 001010101010IP DPtech FW1000防火墻通過多種方式來保護內(nèi)部網(wǎng)絡(luò)的地址安全性： MAC和IP地址綁定：防火墻可以根據(jù)用戶的配置，在特定的IP地址和MAC地址之間形成關(guān)聯(lián)關(guān)系。對于聲稱從這個IP發(fā)送的的報文，如果其MAC地址不是指定關(guān)系對中的地址，防火墻將予以丟棄，發(fā)送給這個IP地址的報文，在通過防火墻時將被強制發(fā)送給這個MAC地址。從而形成有效的保護，是避免IP地址假冒攻擊的一種方式。這種方式通?？梢栽诜?wù)器區(qū)域使用，對使用固定IP地址的內(nèi)部網(wǎng)絡(luò)服務(wù)器實行強制的MAC和IP地址綁定。 ARP欺騙檢查：接收到ARP報文進行深層次的內(nèi)容檢查，根據(jù)ARP報文的不同類型，判斷ARP協(xié)議有效載荷中的數(shù)據(jù)和承載ARP報文的以太網(wǎng)報文頭中的對應(yīng)地址信息是否相一致，如果一致，才認(rèn)為是合法的ARP報文，否則認(rèn)為是非法的ARP報文，不進行更新并向管理員進行報警。 ARP反向查詢在接收到一個免費的ARP報文時，針對這個IP發(fā)起ARP請求，得到的ARP應(yīng)答中MAC和免費ARP中的MAC進行比較，通過則正常處理，否則進行異常處理。如果有人進行ARP偽造，在ARP請求獲得的應(yīng)答中，設(shè)備可以重新獲得真正設(shè)備MAC地址。如果攻擊者使用更智能的手段，能夠處理后續(xù)的ARP請求交互過程，那么設(shè)備也能夠通過接收到兩個ARP應(yīng)答探測到這種沖突情況的存在，及時通知管理員處理。2.5 HTTP訪問控制互聯(lián)網(wǎng)的發(fā)展促進了信息的共享和交流，為了提高員工的工作效率和信息查詢，企業(yè)等機構(gòu)會向員工提供外部HTTP訪問的權(quán)限。但是互聯(lián)網(wǎng)上各種信息泛濫，如何有效的保證員工上網(wǎng)，又可以防止不良信息進入內(nèi)部網(wǎng)絡(luò)是網(wǎng)絡(luò)管理者必須解決的問題。DPtech FW1000防火墻提供針對應(yīng)用協(xié)議的訪問控制能力，通過獨有的ASPF特性，對應(yīng)用層協(xié)議進行分析，實現(xiàn)對應(yīng)用協(xié)議的內(nèi)容過濾。通過DPtech FW1000防火墻提供的HTTP協(xié)議過濾提供對HTTP網(wǎng)址過濾和網(wǎng)頁內(nèi)容過濾，可以有效的管理員工上網(wǎng)的行為，提高工作的效率，節(jié)約出口帶寬，保障正常的數(shù)據(jù)流量，屏蔽各種“垃圾”信息，從而保證內(nèi)部網(wǎng)絡(luò)的“綠色環(huán)境”。 正常網(wǎng)站 有害網(wǎng)站Internet 有害網(wǎng)站過濾 網(wǎng)頁惡意內(nèi)容摘除 網(wǎng)頁內(nèi)容檢查過濾有害內(nèi)容健康內(nèi)容用戶可以設(shè)置網(wǎng)址過濾需要過濾的網(wǎng)址列表，網(wǎng)址過濾列表可以保存在flash中的網(wǎng)址過濾文件中。網(wǎng)址過濾文件中的過濾列表的格式為：可以指定每條網(wǎng)址是禁止訪問還是允許訪問，并可以指定在網(wǎng)址過濾列表中沒有找到的網(wǎng)址采取何種缺省動作（允許還是禁止），從而為用戶提供最大的控制靈活性。為了防止網(wǎng)頁中可執(zhí)行代碼對內(nèi)部網(wǎng)絡(luò)造成的潛在威脅，可以指定HTTP檢測策略能夠過濾掉來自外部網(wǎng)絡(luò)服務(wù)器HTTP報文中的Java Applets。另外，利用web內(nèi)容過濾功能，通過指定過濾網(wǎng)頁中的文本關(guān)鍵字，可以保證用戶指定內(nèi)容的信息不會進入內(nèi)部網(wǎng)絡(luò)。web內(nèi)容過濾文件存放在flash中，用戶可以對過濾詞匯文件進行管理，包括添加、刪除、清除過濾關(guān)鍵字。關(guān)鍵字過濾支持模糊查找，即允許向過濾關(guān)鍵字文件中添加帶 “*”的關(guān)鍵字。 web內(nèi)容過濾文件的格式為：暴力*賭博*利用HTTP協(xié)議過濾功能，可以營造企業(yè)、政府機構(gòu)內(nèi)部網(wǎng)絡(luò)的安全、綠色的上網(wǎng)環(huán)境。2.6 SMTP郵件安全在互聯(lián)網(wǎng)不斷發(fā)展的今天，電子郵件和電話、信件、傳真一樣，成為人們生活工作中不可或缺的一種相互交流聯(lián)系的方式。但是，電子郵件帶來便利的同時，也給企業(yè)和機構(gòu)的內(nèi)部網(wǎng)絡(luò)帶來各種安全問題。如何讓電子郵件成為工作的聯(lián)系手段，但又可以防止內(nèi)部信息的泄密和防止發(fā)送大量其他非工作相關(guān)的郵件，是內(nèi)部網(wǎng)絡(luò)管理者必須解決的一個問題。Internet 郵件地址過濾 郵件標(biāo)題過濾 郵件內(nèi)容過濾SMTP郵件DPtech FW1000防火墻提供內(nèi)部的郵件安全特性包括：電子郵件地址過濾功能在企業(yè)內(nèi)部向外發(fā)送郵件時，進行地址過濾，防止向外部非法地址發(fā)送公司資料或者與工作無關(guān)的信息。該功能可以對SMTP協(xié)議郵件地址進行過濾。發(fā)送電子郵件通過SMTP協(xié)議進行傳輸，RFC821詳細描述了SMTP協(xié)議細節(jié)，RFC1869規(guī)定了擴展的SMTP細節(jié)。SMTP使用TCP端口25在發(fā)送者和接收者之間進行通訊，使用規(guī)定的命令完成郵件發(fā)送功能。電子郵件地址過濾功能依據(jù)RFC協(xié)議規(guī)定完成對郵件的過濾，不受郵件發(fā)送者所使用工具的影響。電子郵件主題過濾在企業(yè)內(nèi)部向外發(fā)送郵件時，可以根據(jù)郵件主題對郵件進行郵件主題關(guān)鍵字過濾。關(guān)鍵字過濾支持模糊查找，即允許向過濾關(guān)鍵字添加帶 “*”的關(guān)鍵字，對郵件標(biāo)題內(nèi)容進行模糊匹配。電子郵件內(nèi)容過濾在過濾郵件時，可以對郵件正文的文本內(nèi)容進行內(nèi)容過濾，保證對郵件內(nèi)容的監(jiān)控。需要進行匹配的內(nèi)容以關(guān)鍵字的形式指定，文本內(nèi)容關(guān)鍵字過濾同樣支持模糊查找，即允許向過濾庫中的關(guān)鍵字添加帶 “*”的關(guān)鍵字。通過對SMTP郵件的過濾控制，保證企業(yè)、機構(gòu)中不會出現(xiàn)郵件泄密的問題。而且，通過對郵件內(nèi)容的控制，可以防止攜帶非法內(nèi)容、病毒程序的電子郵件擴散。2.7 郵件告警隨著網(wǎng)絡(luò)技術(shù)的普及，出現(xiàn)在網(wǎng)絡(luò)中的攻擊手段越來越多，以及網(wǎng)絡(luò)蠕蟲病毒的出現(xiàn)，對于內(nèi)部網(wǎng)絡(luò)保護的迫切性日益突出。雖然防火墻技術(shù)、反病毒技術(shù)也不斷取得突破，但是當(dāng)防范設(shè)備發(fā)現(xiàn)一些未知，不能確定的網(wǎng)絡(luò)攻擊時，如果不能非常及時的通知網(wǎng)絡(luò)管理員進行處理，那么很可能對網(wǎng)絡(luò)造成巨大的損失。特別是對于網(wǎng)絡(luò)蠕蟲病毒來說，隨著時間的推移，感染的主機以及造成的損失會呈指數(shù)增長。DPtech FW1000防火墻不但提供系統(tǒng)日志，日志主機等告警方式，而且提供實時郵件告警技術(shù)。為了提醒管理員網(wǎng)絡(luò)中發(fā)生的各種攻擊情況，DPtech FW1000防火墻支持以電子郵件的形式把攻擊日志通知管理員。通過流量分析功能，郵件中還有詳細的網(wǎng)絡(luò)流量分析結(jié)果，可以供管理員進行網(wǎng)絡(luò)優(yōu)化。郵件發(fā)送可以使用兩種方式，一種是實時發(fā)送，一旦檢測到攻擊行為，立即發(fā)送郵件到指定的郵件地址；另外一種是在指定的每日固定時間定期發(fā)送告警郵件。通過郵件告警功能可以實現(xiàn)對于可以檢測出來的已知攻擊方式，在實時阻斷的同時，會向預(yù)先指定的一個或者多個郵箱發(fā)送告警郵件，在第一時間通知網(wǎng)絡(luò)管理者。對于未知蠕蟲病毒造成異常流量等，通過DPtech FW1000防火墻的實時流量分析發(fā)現(xiàn)以后，立即通過電子電子郵件向預(yù)先指定的一個或者多個郵箱發(fā)送告警郵件通知網(wǎng)絡(luò)管理者及時處理。2.8 二進制日志日志特性能夠?qū)⑾到y(tǒng)消息或包過濾的動作等存入緩沖區(qū)或定向發(fā)送到日志主機上。對日志內(nèi)容的分析和歸檔，能夠使管理員檢查防火墻的安全漏洞、什么時候有什么人試圖違背安全策略、網(wǎng)絡(luò)攻擊的類型，實時的日志記錄還可以用來檢測正在進行的入侵。DPtech FW1000防火墻統(tǒng)一考慮各種攻擊、事件，將它們的各種日志輸出格式、統(tǒng)計信息等內(nèi)容進行規(guī)范，從而保證了日志風(fēng)格的統(tǒng)一和日志功能的嚴(yán)肅性。DPtech FW1000防火墻包括以下幾種日志信息：lNAT/ASPF日志l攻擊防范日志l流量監(jiān)控日志l黑名單日志l地址綁定日志 郵件過濾日志 網(wǎng)址/內(nèi)容過濾日志對于上述這些日志，根據(jù)日志輸出方式的不同可以分為二進制流日志、Syslog日志兩種，日志信息可以通過多種方式進行輸出和保存。Internet監(jiān)控終端日志主機日志緩沖控制臺控制臺監(jiān)控終端攻擊防范、流量監(jiān)控、黑名單和地址綁定產(chǎn)生的日志信息量小，因此采用SysLog方式以文本格式進行輸出。這些日志信息必須通過DPtech FW1000防火墻的信息中心進行日志管理和輸出重定向，或者顯示在終端屏幕上，或?qū)ysLog日志發(fā)送給日志主機進行存儲和分析。相反，NAT/ASPF產(chǎn)生的日志信息量很大，因此對于這種類型的流提供了一種“二進制”輸出方式，直接輸出到日志服務(wù)器上以便對日志進行存儲和分析。和SysLog方式相比，二進制流日志的傳輸效率高，而且節(jié)約存儲空間。2.9 管理功能網(wǎng)絡(luò)安全技術(shù)收到越來越多的重視，防火墻設(shè)備的應(yīng)用也越來越多。向設(shè)備管理者提供簡單快捷，易于部署的多種管理方式是防火墻必須具備的功能。DPtech FW1000防火墻提供了多種管理方式，向用戶提供最大的設(shè)備管理便利性。用戶可以通過命令行視圖、SNMP管理、WEB管理來對防火墻進行統(tǒng)一管理和監(jiān)控。系統(tǒng)向用戶提供一系列配置命令以及命令行接口，用戶通過該接口可以配置和管理防火墻。命令行接口有如下特性：通過Console口進行本地配置通過AUX口進行本地或遠程配置通過Telnet、SSH進行本地或遠程配置提供User-interface視圖，管理各種終端用戶的特定配置命令分級保護，不同級別的用戶只能執(zhí)行相應(yīng)級別的命令通過本地、AAA驗證方式，確保系統(tǒng)的安全提供聯(lián)機幫助，用戶可以隨時鍵入“?”獲得相關(guān)信息提供網(wǎng)絡(luò)測試命令，如tracert、ping等，迅速診斷網(wǎng)絡(luò)是否正常提供種類豐富、內(nèi)容詳盡的調(diào)試信息，幫助診斷網(wǎng)絡(luò)故障提供FTP服務(wù)，方便用戶上載、下載文件提供類似Doskey的功能，可以執(zhí)行某條歷史命令命令行解釋器提供不完全匹配和上下文關(guān)聯(lián)等多種智能命令解析方法另外，DPtech FW1000防火墻支持SSH，保證管理過程的安全性。SSH是Secure Shell（安全外殼）的簡稱，用戶通過一個不能保證安全的網(wǎng)絡(luò)環(huán)境遠程登錄到安全網(wǎng)關(guān)時，SSH特性可以提供安全保障和強大的認(rèn)證功能，以保護安全網(wǎng)關(guān)不受諸如IP地址欺詐、明文密碼截取等等的攻擊。安全網(wǎng)關(guān)可以接受多個SSH客戶的連接。SSH客戶端的功能是允許用戶與支持SSH Server的安全網(wǎng)關(guān)、UNIX主機等建立SSH連接。簡單網(wǎng)絡(luò)管理協(xié)議（Simple Network Management Protocol，簡稱SNMP），是被廣泛接受并投入使用的工業(yè)標(biāo)準(zhǔn)，它的目標(biāo)是保證管理信息在任意兩點間傳送，便于網(wǎng)絡(luò)管理員在網(wǎng)絡(luò)上的任何節(jié)點檢索信息，進行修改，尋找故障，完成故障診斷，容量規(guī)劃和報告生成。它采用輪詢機制，提供最基本的功能集。適合小型、快速和低價格的環(huán)境使用。它只要求無證實的傳輸層協(xié)議UDP，受到業(yè)界產(chǎn)品的廣泛支持。DPtech FW1000防火墻支持標(biāo)準(zhǔn)網(wǎng)管SNMP v2以及訪問機制更安全的SNMP v3，可以和業(yè)界標(biāo)準(zhǔn)的網(wǎng)管平臺集成管理。2.10 工作模式DPtech FW1000防火墻能夠工作在兩種模式下：路由模式、透明模式。如果防火墻以第三層對外連接（接口具有IP地址），則認(rèn)為防火墻工作在路由模式下；若防火墻通過第二層對外連接（接口無IP地址），則防火墻工作在透明模式下。 路由模式當(dāng)