北京中軟華泰信息技術(shù)有限責(zé)任公司

23/23目錄TOC\o"1-3"\h\z1. 北京中軟華泰信息技術(shù)有限責(zé)任公司公司簡(jiǎn)介 32. 中軟HuaTech-2000系列防火墻簡(jiǎn)介 43. 中軟HuaTech-2000系列防火墻的根本功能和特性 53.1. 根本功能 53.2. 中軟HuaTech-2000系列防火墻特性 64. 中軟HuaTech-2000系列防火墻型號(hào)標(biāo)準(zhǔn)說(shuō)明 105. 接口設(shè)計(jì)說(shuō)明 115.1. 型號(hào) 115.2. 系統(tǒng)組成 115.3. 接口配置 115.4. 電氣性能 115.5. 參考的平安標(biāo)準(zhǔn)及標(biāo)準(zhǔn) 125.6. 抗干擾性 126. 中軟HuaTech-2000系列防火墻功能介紹 136.1. 多端口結(jié)構(gòu)，多協(xié)議支持 136.2. 狀態(tài)檢測(cè)技術(shù) 136.3. 地址綁定技術(shù) 146.4. 雙向網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù) 146.5. 動(dòng)態(tài)路由 146.6. 多路由表、源地址選路 166.7. 組播路由 166.8. 內(nèi)容過(guò)濾（色情防堵） 166.9. 用戶(hù)認(rèn)證 176.10. 時(shí)間段訪問(wèn)控制 176.11. 入侵檢測(cè) 176.12. 病毒掃描 186.13. 應(yīng)用代理 186.14. 日志審計(jì) 196.15. 流量控制 196.16. 帶寬控制 196.17. VPN功能 196.18. 雙機(jī)熱備功能 206.19. 負(fù)載均衡功能 206.20. 支持VRRP 206.21. 較強(qiáng)的抗攻擊能力 216.22. 采用內(nèi)核性能優(yōu)化和平安加固技術(shù) 217. 中軟HuaTech-2000型防火墻的典型應(yīng)用 228. 中軟HuaTech-2000型防火墻功能、技術(shù)指標(biāo)一覽 23北京中軟華泰信息技術(shù)有限責(zé)任公司公司簡(jiǎn)介公司成立背景面對(duì)網(wǎng)絡(luò)經(jīng)濟(jì)的挑戰(zhàn)，全球經(jīng)濟(jì)一體化的開(kāi)展態(tài)勢(shì)，信息平安對(duì)一個(gè)國(guó)家和民族的戰(zhàn)略重要性已成為不爭(zhēng)的事實(shí)。為了迎接網(wǎng)絡(luò)經(jīng)濟(jì)的挑戰(zhàn)，維護(hù)國(guó)家的信息平安，加速我國(guó)信息平安技術(shù)及產(chǎn)品的研究、開(kāi)發(fā)和產(chǎn)業(yè)化進(jìn)程，肩負(fù)開(kāi)展民族軟件產(chǎn)業(yè)重任的中國(guó)計(jì)算機(jī)軟件與技術(shù)效勞總公司（中軟總公司）在新千年伊始即以高屋建瓴之勢(shì)完成了北京中軟華泰信息技術(shù)有限責(zé)任公司的組建并投入運(yùn)行。技術(shù)力量雄厚享有國(guó)內(nèi)平安界知名院士的指導(dǎo)，擁有以博士后、博士、碩士為骨干力量的高起點(diǎn)的團(tuán)結(jié)奮進(jìn)的研發(fā)隊(duì)伍，并獨(dú)家享有中軟信息平安實(shí)驗(yàn)室研發(fā)成果的推廣和銷(xiāo)售。市場(chǎng)前景廣闊以中軟總公司及各級(jí)子公司強(qiáng)大的市場(chǎng)優(yōu)勢(shì)為依托，以互連網(wǎng)、局域網(wǎng)、ICP、ASP等領(lǐng)域?yàn)樾袠I(yè)開(kāi)拓目標(biāo)，以與IT業(yè)知名系統(tǒng)集成商捆綁為特點(diǎn)，完成自身的市場(chǎng)建設(shè)。為您提供的效勞以平安操作系統(tǒng)和操作系統(tǒng)平安為產(chǎn)品研發(fā)和推廣對(duì)象。竭誠(chéng)為您提供以下效勞：各種網(wǎng)絡(luò)平安整體解決方案。承接方案的設(shè)計(jì)及工程建設(shè)。平安操作系統(tǒng)和操作系統(tǒng)的平安增強(qiáng)工具（Windows/Unix）。操作系統(tǒng)及其網(wǎng)絡(luò)平安保密平臺(tái)。防火墻、平安網(wǎng)關(guān)以及IPSEC系列產(chǎn)品。系統(tǒng)漏洞掃描系統(tǒng)，入侵檢測(cè)系統(tǒng)以及實(shí)時(shí)網(wǎng)絡(luò)平安監(jiān)控系統(tǒng)。電子商務(wù)平安和信息對(duì)抗平安產(chǎn)品。操作系統(tǒng)應(yīng)用產(chǎn)品開(kāi)發(fā)。平安咨詢(xún)和培訓(xùn)。中軟HuaTech-2000系列防火墻簡(jiǎn)介計(jì)算機(jī)和網(wǎng)上技術(shù)正以驚人的速度改變著整個(gè)世界，全世界的公司都面臨著巨大的挑戰(zhàn)和時(shí)機(jī)。借助網(wǎng)絡(luò)，人們可以與異地的同事或是客戶(hù)進(jìn)行實(shí)時(shí)交流，快速地收取和發(fā)送信息；借助網(wǎng)絡(luò)，人們可以提高工作效率、減少開(kāi)支，同時(shí)做到了在盡可能短的時(shí)間內(nèi)對(duì)市場(chǎng)形勢(shì)的變化做出應(yīng)急反應(yīng)。在這種環(huán)境下，局域網(wǎng)越來(lái)越多地被應(yīng)用到公司的日常辦公當(dāng)中。公司的內(nèi)部網(wǎng)上的信息有許多是屬于商業(yè)機(jī)密，一旦被不懷好意的黑客竊取或被競(jìng)爭(zhēng)對(duì)手得到，都將給公司帶來(lái)難以預(yù)想的損失。但公司為了在Internet上發(fā)布信息，共享資源，就不得不將自己的內(nèi)部網(wǎng)一定程度的對(duì)外開(kāi)放，這就在無(wú)形當(dāng)中增加了平安隱患，使有不良企圖的人有機(jī)可乘。為了使信息系統(tǒng)在保障平安的基礎(chǔ)上被正常訪問(wèn)，需要一定的設(shè)備來(lái)對(duì)系統(tǒng)實(shí)施保護(hù)，保證只有合法的用戶(hù)才可以訪問(wèn)系統(tǒng)。就目前看，能夠?qū)崿F(xiàn)這種需求的性能價(jià)格比最優(yōu)的設(shè)備就是防火墻。中軟HuaTech-2000系列防火墻是由北京中軟華泰信息技術(shù)有限責(zé)任公司自主開(kāi)發(fā)研制，基于高速硬件平臺(tái)和穩(wěn)定的操作系統(tǒng)的復(fù)合型防火墻設(shè)備，具有操作簡(jiǎn)便、實(shí)用性強(qiáng)、高效、經(jīng)濟(jì)等特點(diǎn)。該產(chǎn)品已獲得公安部認(rèn)證以及計(jì)算機(jī)信息系統(tǒng)平安專(zhuān)用產(chǎn)品的銷(xiāo)售許可，通過(guò)了中國(guó)信息平安測(cè)評(píng)認(rèn)證中心的測(cè)評(píng)，平安可靠，是您保護(hù)內(nèi)網(wǎng)平安不受侵害的首選產(chǎn)品。中軟HuaTech-2000系列防火墻產(chǎn)品目前分為兩種規(guī)格：百兆系列與千兆系列。中軟HuaTech-2000防火墻產(chǎn)品已經(jīng)取得：公安部平安產(chǎn)品銷(xiāo)售許可，銷(xiāo)售許可證號(hào)：XKC33081；國(guó)家信息平安測(cè)評(píng)認(rèn)證中心認(rèn)證，注冊(cè)號(hào)：CNISTEC2001TYP082；國(guó)家認(rèn)可注冊(cè)號(hào)：A05-99；軍用信息平安產(chǎn)品認(rèn)證證書(shū)：軍密認(rèn)字第0062號(hào)；國(guó)家保密局科學(xué)技術(shù)成果鑒定證書(shū)：（2002）第4號(hào)。中軟HuaTech-2000系列防火墻已經(jīng)在中國(guó)人民銀行、中國(guó)銀行、中國(guó)民生銀行、上海市公安局、中石化、新華社、河北省電子政務(wù)、北京市委黨校等部門(mén)成功運(yùn)行，獲得用戶(hù)的廣泛好評(píng)。中軟HuaTech-2000系列防火墻的根本功能和特性根本功能支持狀態(tài)檢測(cè)功能支持DMZ功能支持長(zhǎng)連接支持地址綁定功能支持雙向地址轉(zhuǎn)換功能支持帶寬管理功能支持流量控制功能支持透明橋連接支持VPN（虛擬專(zhuān)用網(wǎng)絡(luò)）功能擴(kuò)展支持組播路由支持基于802.1Q的VLAN擴(kuò)展支持OSPF、RIP、BGP等動(dòng)態(tài)路由協(xié)議支持VoIP（H.323協(xié)議）支持雙機(jī)熱備功能支持負(fù)載均衡功能支持VRRP支持日志審計(jì)功能支持用戶(hù)認(rèn)證功能支持代理功能支持內(nèi)容過(guò)濾功能支持IDS入侵檢測(cè)功能支持與第三方的IDS效勞器聯(lián)動(dòng)支持第三方的病毒掃描接口支持遠(yuǎn)程平安集中統(tǒng)一管理可根據(jù)用戶(hù)需求加載冗余電源模塊中軟HuaTech-2000系列防火墻特性平安可靠中軟HuaTech-2000系列防火墻建立在平安操作系統(tǒng)基礎(chǔ)上。通過(guò)對(duì)操作系統(tǒng)內(nèi)核的大規(guī)模裁減，剔除了原有的不平安模塊，增加了自主開(kāi)發(fā)的平安加固模塊。通過(guò)對(duì)操作系統(tǒng)的改造，大大加強(qiáng)了系統(tǒng)內(nèi)核的平安性和抗攻擊能力。同其他同類(lèi)防火墻相比，防止了因操作系統(tǒng)故障而導(dǎo)致的防火墻工作異常。中軟HuaTech-2000系列防火墻功能全面，如果配置得當(dāng)，可以保證您的網(wǎng)絡(luò)系統(tǒng)堅(jiān)如磐石。中軟HuaTech-2000系列防火墻的功能強(qiáng)大，具有狀態(tài)檢測(cè)功能、時(shí)間段控制訪問(wèn)功能、代理功能、地址綁定功能、雙向地址轉(zhuǎn)換功能、雙機(jī)熱備功能、日志審計(jì)功能等，同時(shí)中軟HuaTech-2000系列防火墻系統(tǒng)較同類(lèi)產(chǎn)品更加強(qiáng)壯、穩(wěn)定，對(duì)其支撐平臺(tái)而言更加平安。除了網(wǎng)絡(luò)管理員，其他人員很難非法闖入防火墻系統(tǒng)。而且由于中軟HuaTech-2000系列防火墻使用透明接入方式，使一般用戶(hù)在正常操作時(shí)感覺(jué)不到防火墻的存在，這樣既不影響網(wǎng)絡(luò)的工作效率，又保證了更高的平安性。高速穩(wěn)定中軟HuaTech-2000系列防火墻的操作系統(tǒng)內(nèi)核采用的是經(jīng)過(guò)適當(dāng)裁減和平安加固的專(zhuān)用平安操作系統(tǒng)，從根本上保證了防火墻系統(tǒng)的穩(wěn)定性。中軟HuaTech-2000系列防火墻系統(tǒng)根據(jù)具體型號(hào)的不同采用了不同級(jí)別的中央處理器，這樣既保證了不同級(jí)別的防火墻系統(tǒng)能夠滿(mǎn)負(fù)荷高速運(yùn)轉(zhuǎn)，又可為用戶(hù)節(jié)約不必要的開(kāi)支，做到物盡其用。中軟HuaTech-2000系列防火墻采用了多種平安防護(hù)技術(shù)，對(duì)于不同的平安級(jí)別的網(wǎng)絡(luò)效勞采用不同的控制策略，保證了系統(tǒng)的高速性和通用性。平安防護(hù)機(jī)制的選擇，完全根據(jù)用戶(hù)對(duì)其具體業(yè)務(wù)系統(tǒng)的平安需求而定。不同的平安控制策略可以選擇相應(yīng)的平安防護(hù)機(jī)制。對(duì)各種標(biāo)準(zhǔn)效勞和用戶(hù)自定義效勞的高度兼容中軟HuaTech-2000系列防火墻既支持Internet網(wǎng)絡(luò)的主要效勞（如HTTP，SMTP，POP3，等）的所有應(yīng)用程序，又支持UDP一類(lèi)非連接協(xié)議的應(yīng)用程序。而且，還支持?jǐn)?shù)據(jù)庫(kù)訪問(wèn)這樣的商務(wù)應(yīng)用程序和象RealAudio,VDOLive和InternetPhone這樣的多媒體應(yīng)用程序。用戶(hù)不必?fù)?dān)憂(yōu)使用防火墻后，出現(xiàn)某些效勞失效的副作用。另外，如果用戶(hù)需要，中軟HuaTech-2000型防火墻可以支持用戶(hù)的自定義效勞。中軟HuaTech-2000系列防火墻帶有的透明代理效勞器模塊支持多種平臺(tái)的多種網(wǎng)絡(luò)應(yīng)用程序，保證用戶(hù)原有軟件的普遍兼容。使普通用戶(hù)在處理大多數(shù)日常業(yè)務(wù)時(shí)感覺(jué)不到防火墻的存在。高擴(kuò)展性中軟HuaTech-2000百兆系列防火墻的標(biāo)準(zhǔn)配置為標(biāo)準(zhǔn)1U：4個(gè)10/100以太網(wǎng)控制器（RJ45接口）（最大擴(kuò)展為6個(gè)），1個(gè)Console接口，1個(gè)雙機(jī)熱備接口?？筛鶕?jù)用戶(hù)的具體需求適當(dāng)增減接口數(shù)量。對(duì)外部的非法掃描和攻擊的響應(yīng)能力中軟HuaTech-2000系列防火墻提供接口，支持與指定廠商的IDS系統(tǒng)聯(lián)動(dòng)，當(dāng)系統(tǒng)檢測(cè)到某些數(shù)據(jù)信息中包含入侵或誤用的特征時(shí)，防火墻會(huì)認(rèn)為該連接有入侵企圖或誤用傾向，并向一個(gè)預(yù)定的地址發(fā)送報(bào)警信息，根據(jù)管理員的配置，防火墻將自動(dòng)切斷與發(fā)起攻擊的主機(jī)的連接，從而防止入侵或誤用的進(jìn)一步發(fā)生。較強(qiáng)的抗攻擊能力處于內(nèi)網(wǎng)與外網(wǎng)通信唯一通路上的防火墻無(wú)形當(dāng)中成為黑客攻擊的首要目標(biāo)，要保護(hù)內(nèi)網(wǎng)的平安，首先要保證防火墻自身具有較強(qiáng)的抗攻擊能力。中軟HuaTech-2000系列防火墻能夠抵御大多數(shù)常見(jiàn)的網(wǎng)絡(luò)攻擊，如land-basedattack、pingflood、teardropattack、pingofdeath、pingsweep、smurfattack和synflood等等。配置簡(jiǎn)單中軟HuaTech-2000系列防火墻的配置非常簡(jiǎn)便。對(duì)它的操作及設(shè)置只需使用防火墻配置程序就可以實(shí)現(xiàn)。系統(tǒng)提供了三種配置管理程序：GUI管理器、Web管理器和CLI管理器。配置程序（GUI）是本產(chǎn)品的專(zhuān)用配套程序。該管理器具有界面友好直觀、功能齊全、通俗易懂等特點(diǎn)，可運(yùn)行于MicrosoftWindows9X/Me/NT4.0/2000/XP環(huán)境下。防火墻的所有功能都能夠通過(guò)GUI管理器配置實(shí)現(xiàn)。管理器界面如下列圖所示：Web配置方式為用戶(hù)體提供了簡(jiǎn)潔、友好的配置界面和詳盡的提示說(shuō)明，能夠使用戶(hù)在盡量短的時(shí)間內(nèi)掌握防火墻的配置方法，但相對(duì)平安性較低。Web管理器界面如下列圖所示：CLI命令行方式是指使用防火墻提供的Console接口進(jìn)行本地管理。該管理器具有最高的平安級(jí)別。管理器界面如下列圖所示：真正支持透明接入中軟HuaTech-2000系列防火墻系統(tǒng)做到了真正的透明，即無(wú)論使用任何功能，對(duì)正常使用網(wǎng)絡(luò)的合法用戶(hù)來(lái)說(shuō)防火墻系統(tǒng)是不可感知的。很顯然系統(tǒng)具有這樣的功能有兩個(gè)好處：(1)防火墻系統(tǒng)的安裝和卸載都不會(huì)影響網(wǎng)絡(luò)的任何一局部，管理人員可以平滑地安裝和卸下中軟HuaTech-2000系列防火墻系統(tǒng)，而無(wú)需更改網(wǎng)絡(luò)中其它設(shè)備的設(shè)置或參數(shù)，既可以節(jié)省網(wǎng)絡(luò)管理員珍貴的工作時(shí)間，又不會(huì)影響到網(wǎng)絡(luò)用戶(hù)的正常工作。(2)減少了用戶(hù)的操作。一般情況下，用戶(hù)為了使用代理效勞器要在客戶(hù)端的應(yīng)用程序（如瀏覽器、FTP程序）上設(shè)置代理的IP地址和端口，而且還要有一個(gè)前提，就是客戶(hù)端應(yīng)用程序必須支持代理（有很多種客戶(hù)端應(yīng)用程序是不支持代理的，如TELNET程序）。而使用中軟HuaTech-2000系列防火墻系統(tǒng)的用戶(hù)不必再做任何設(shè)置，就可以直接使用代理效勞，極大的方便了網(wǎng)絡(luò)用戶(hù)。支持集中統(tǒng)一管理中軟HuaTech-2000系列防火墻支持平安管理中心的管理接口程序。通過(guò)平安管理中心，網(wǎng)絡(luò)管理人員可以在一個(gè)工作站上遠(yuǎn)程管理多臺(tái)防火墻設(shè)備，既節(jié)省了人力資源，又縮短了配置管理防火墻的時(shí)間。中軟HuaTech-2000系列防火墻型號(hào)標(biāo)準(zhǔn)說(shuō)明中軟HuaTech-2000型防火墻（百兆系列）產(chǎn)品規(guī)格說(shuō)明適用模式HT-FW-2000-BX3*10/100M低端硬件，根本功能低端透明連接功能；路由連接功能；狀態(tài)檢測(cè)功能；支持DMZ功能；地址綁定功能；時(shí)間段控制訪問(wèn)功能；NAT網(wǎng)絡(luò)地址雙向轉(zhuǎn)換功能；支持防DOS攻擊；日志審計(jì)功能--運(yùn)行日志、管理日志（狀態(tài)信息目前暫不提供）；PPPOEHT-FW-2000-PX4*10/100M中端硬件，標(biāo)準(zhǔn)功能中端支持帶寬控制功能；PPPOE(特有)HT-FW-2000-EX4*10/100M高端硬件，包含多種功能模塊中高端在PX基礎(chǔ)上增加：支持用戶(hù)認(rèn)證功能（OTP）；支持流量控制功能；應(yīng)用代理；支持VLAN；支持入侵檢測(cè)功能（IDS）；支持與第三方IDS設(shè)備聯(lián)動(dòng)；支持與第三方病毒效勞器聯(lián)動(dòng)；VPN功能（網(wǎng)關(guān)到網(wǎng)關(guān)，不能做規(guī)則控制）；支持雙機(jī)熱備功能；支持SNMP；完整的日志審計(jì)功能HT-FW-2000-TX4*10/100M高端硬件，包含最新功能模塊高端在EX基礎(chǔ)上增加：支持用戶(hù)認(rèn)證功能（RADIUS）；VPN功能（客戶(hù)端到網(wǎng)關(guān)，網(wǎng)關(guān)到網(wǎng)關(guān)可做規(guī)則控制）；支持組播路由；支持負(fù)載均衡；支持路由策略；支持動(dòng)態(tài)路由功能；VRRP(虛擬路由冗余協(xié)議)中軟HuaTech-2000型防火墻（千兆系列）產(chǎn)品規(guī)格說(shuō)明適用模式HT-FW-2000-GX標(biāo)配2個(gè)百兆網(wǎng)卡、2個(gè)千兆網(wǎng)卡；包含所有最新功能高端以上產(chǎn)品規(guī)格及功能僅供參考，防火墻系統(tǒng)本身可根據(jù)用戶(hù)的實(shí)際需求定制。接口設(shè)計(jì)說(shuō)明型號(hào)中軟HuaTech-2000型防火墻（以HT-FW-2000-TX為例）系統(tǒng)組成防火墻（硬件）：是一個(gè)高速穩(wěn)定的硬件平臺(tái)和經(jīng)過(guò)平安加固的操作系統(tǒng)的完美結(jié)合體。配置管理器（軟件）：系統(tǒng)提供了三種管理程序，GUI、Web和CLI。用于防火墻進(jìn)行配置及日常管理，其中GUI管理器支持遠(yuǎn)程集中統(tǒng)一管理；系統(tǒng)還提供了統(tǒng)一的日志管理系統(tǒng)。以上管理軟件均可運(yùn)行于MicrosoftWindows9X/Me/NT4.0/2000/XP環(huán)境下。接口配置4個(gè)10/100以太網(wǎng)控制器，RJ45接口（內(nèi)網(wǎng)、外網(wǎng)、DMZ）2個(gè)CONSOLE（雙機(jī)熱備、Console）RJ45電氣性能電源220V/50Hz3.0A（最大）260W（最大）環(huán)境標(biāo)準(zhǔn)運(yùn)行溫度：0-45攝氏度非運(yùn)行溫度：-20-65攝氏度相對(duì)濕度：10-90%@40攝氏度，非冷凝參考的平安標(biāo)準(zhǔn)及標(biāo)準(zhǔn)UL1950EN41003AS/NZS3260AS/NZS3548ClassACSAClassAFCCClassAEN60555-2VCCI(Classll)抗干擾性IEC-1000-4-2（ESD）IEC-1000-4-3（輻射敏感性）IEC-1000-4-4（電快速瞬變）IEC-1000-4-5（電涌）IEC-1000-4-3（諧波）

中軟HuaTech-2000系列防火墻功能介紹多端口結(jié)構(gòu)，多協(xié)議支持防火墻提供了兩個(gè)或兩個(gè)以上的獨(dú)立的網(wǎng)絡(luò)接口，將受保護(hù)網(wǎng)絡(luò)從物理上分隔開(kāi)來(lái)，不但提高了平安級(jí)別，更方便了防火墻與網(wǎng)絡(luò)之間的連接；該防火墻除了支持標(biāo)準(zhǔn)的TCP/IP協(xié)議，還支持802.1q和VOD各種不同層次的協(xié)議標(biāo)準(zhǔn)。狀態(tài)檢測(cè)技術(shù)狀態(tài)檢測(cè)技術(shù)：基于防火墻所維護(hù)的狀態(tài)表的內(nèi)容轉(zhuǎn)發(fā)或拒絕數(shù)據(jù)包的傳送，比普通的包過(guò)濾有著更好的網(wǎng)絡(luò)性能和平安性。普通包過(guò)濾防火墻使用的過(guò)濾規(guī)則集是靜態(tài)的。而采用狀態(tài)檢測(cè)技術(shù)的防火墻在運(yùn)行過(guò)程中一直維護(hù)著一張狀態(tài)表，這張表記錄了從受保護(hù)網(wǎng)絡(luò)發(fā)出的數(shù)據(jù)包的狀態(tài)信息，然后防火墻根據(jù)該表內(nèi)容對(duì)返回受保護(hù)網(wǎng)絡(luò)的數(shù)據(jù)包進(jìn)行分析判斷，這樣，只有響應(yīng)受保護(hù)網(wǎng)絡(luò)請(qǐng)求的數(shù)據(jù)包才被放行。對(duì)用戶(hù)來(lái)說(shuō)，狀態(tài)檢測(cè)不但能提高網(wǎng)絡(luò)的性能，還能增強(qiáng)網(wǎng)絡(luò)的平安性。中軟HuaTech-2000系列防火墻的包過(guò)濾模塊處于防火墻主機(jī)操作系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)中的數(shù)據(jù)鏈路層與IP層之間，數(shù)據(jù)鏈路層傳送的數(shù)據(jù)格式與實(shí)際的網(wǎng)絡(luò)有關(guān)，例如以太網(wǎng)、令牌環(huán)網(wǎng)、DECnet等不同的網(wǎng)絡(luò)拓?fù)?，有著不同的?shù)據(jù)格式，與網(wǎng)絡(luò)協(xié)議有關(guān)的是IP層及以上的各層，所以中軟HuaTech-2000系列防火墻攔在網(wǎng)絡(luò)協(xié)議的最底層，能夠看到完整的網(wǎng)絡(luò)封包，包括IP、TCP、UDP及ICMP封包。即在網(wǎng)絡(luò)層對(duì)數(shù)據(jù)報(bào)文進(jìn)行檢查和過(guò)濾。中軟HuaTech-2000系列防火墻對(duì)需要轉(zhuǎn)發(fā)的數(shù)據(jù)包，先獲取其包頭信息，包括IP層所承載的上層協(xié)議的協(xié)議號(hào)、數(shù)據(jù)包的源地址、目的地址、源端口、目的端口等，然后與設(shè)定的規(guī)則進(jìn)行比較，并根據(jù)比較的結(jié)果斷定對(duì)數(shù)據(jù)包進(jìn)行轉(zhuǎn)發(fā)或者丟棄。也就是說(shuō)，檢測(cè)系統(tǒng)對(duì)用戶(hù)數(shù)據(jù)不做任何操作，即不處理數(shù)據(jù)包中的用戶(hù)數(shù)據(jù)。有了數(shù)據(jù)檢測(cè)，可以允許別人經(jīng)由某種特定協(xié)議向我們發(fā)送電子郵件，或者不讓別人從外界使用某種特定的協(xié)議登錄，等等。但是，這并不是說(shuō)能控制某個(gè)用戶(hù)能否從外部遠(yuǎn)程登錄，而其它用戶(hù)不能這樣做。因?yàn)椤坝脩?hù)〞不是數(shù)據(jù)檢測(cè)系統(tǒng)所能識(shí)別的。通過(guò)檢測(cè)，我們可以根據(jù)數(shù)據(jù)包的協(xié)議、IP地址、端口等做出判斷，從而做出相應(yīng)的處理。地址綁定技術(shù)每一塊網(wǎng)卡都具有一個(gè)唯一的物理標(biāo)識(shí)號(hào)碼，也就是網(wǎng)卡的MAC地址，由于MAC地址的唯一性，決定了某一臺(tái)主機(jī)的合法IP地址與其網(wǎng)卡的MAC地址綁定起來(lái)的對(duì)應(yīng)關(guān)系是唯一的，中軟HuaTech-2000系列防火墻具有地址綁定功能，可以通過(guò)建立起來(lái)的合法IP地址與MAC地址的對(duì)應(yīng)關(guān)系識(shí)破非法用戶(hù)盜用合法IP地址的陰謀，并拒絕該連接請(qǐng)求。雙向網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)NAT（NetworkAddressTranslation）網(wǎng)絡(luò)地址轉(zhuǎn)換是一種將一個(gè)IP地址域映射到另一個(gè)IP地址域技術(shù)，從而為終端主機(jī)提供透明路由。NAT包括靜態(tài)網(wǎng)絡(luò)地址轉(zhuǎn)換、動(dòng)態(tài)網(wǎng)絡(luò)地址轉(zhuǎn)換、網(wǎng)絡(luò)地址及端口轉(zhuǎn)換、動(dòng)態(tài)網(wǎng)絡(luò)地址及端口轉(zhuǎn)換、端口映射等。NAT常用于私有地址域與公用地址域的轉(zhuǎn)換以解決IP地址匱乏問(wèn)題。從內(nèi)向外的地址轉(zhuǎn)換技術(shù)（源地址轉(zhuǎn)換）有一個(gè)非常大的缺點(diǎn)，就是外面的合法用戶(hù)無(wú)法主動(dòng)的訪問(wèn)防火墻所保護(hù)的內(nèi)部網(wǎng)絡(luò)。為了克服這個(gè)缺點(diǎn)，中軟HuaTech-2000系列防火墻實(shí)現(xiàn)了從外向內(nèi)的地址轉(zhuǎn)換（目的地址轉(zhuǎn)換）。利用這種技術(shù)可以在防火墻的外網(wǎng)口上綁定多個(gè)公有IP地址與局域網(wǎng)上的相應(yīng)效勞器的對(duì)應(yīng)關(guān)系，當(dāng)外面的主機(jī)訪問(wèn)防火墻的外網(wǎng)口的某個(gè)IP地址時(shí)，防火墻將來(lái)自外部的效勞請(qǐng)求轉(zhuǎn)發(fā)到局域網(wǎng)內(nèi)的真正的效勞器上。這樣就到達(dá)了既隱藏了網(wǎng)絡(luò)內(nèi)部信息，又可讓外部的合法用戶(hù)訪問(wèn)內(nèi)部的效勞器。動(dòng)態(tài)路由動(dòng)態(tài)路由是網(wǎng)絡(luò)中的路由器之間相互通信，傳遞路由信息，利用收到的路由信息更新路由器表的過(guò)程。它能實(shí)時(shí)地適應(yīng)網(wǎng)絡(luò)結(jié)構(gòu)的變化。如果路由更新信息說(shuō)明發(fā)生了網(wǎng)絡(luò)變化，路由選擇軟件就會(huì)重新計(jì)算路由，并發(fā)出新的路由更新信息。這些信息通過(guò)各個(gè)網(wǎng)絡(luò)，引起各路由器重新激活其路由算法，并更新各自的路由表以動(dòng)態(tài)地反映網(wǎng)絡(luò)拓?fù)渥兓?dòng)態(tài)路由技術(shù)在當(dāng)前網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大，拓?fù)浣Y(jié)構(gòu)不斷復(fù)雜化的今天尤為重要。中軟HuaTech-2000系列防火墻支持基于RIP(RoutinginformationProtocol)、OSPF(OpenShortestPathFirst)以及BGP4（BorderGatewayprotocol）的高級(jí)動(dòng)態(tài)路由。RIP協(xié)議最初是為Xerox網(wǎng)絡(luò)系統(tǒng)的Xeroxparc通用協(xié)議而設(shè)計(jì)的，是Internet中常用的路由協(xié)議。RIP采用距離向量算法，即路由器根據(jù)距離選擇路由，所以也稱(chēng)為距離向量協(xié)議。路由器收集所有可到達(dá)目的地的不同路徑，并且保存有關(guān)到達(dá)每個(gè)目的地的最少站點(diǎn)數(shù)的路徑信息，除到達(dá)目的地的最正確路徑外，任何其它信息均予以丟棄。同時(shí)路由器也把所收集的路由信息用RIP協(xié)議通知相鄰的其它路由器。這樣，正確的路由信息逐漸擴(kuò)散到了全網(wǎng)。RIP使用非常廣泛，它簡(jiǎn)單、可靠，便于配置。但是RIP只適用于小型的同構(gòu)網(wǎng)絡(luò)，因?yàn)樗试S的最大站點(diǎn)數(shù)為15，任何超過(guò)15個(gè)站點(diǎn)的目的地均被標(biāo)記為不可達(dá)。而且RIP每隔30s一次的路由信息播送也是造成網(wǎng)絡(luò)的播送風(fēng)暴的重要原因之一。因此它并不適合復(fù)雜的大型網(wǎng)絡(luò)。0SPF是一種基于鏈路狀態(tài)的路由協(xié)議，需要每個(gè)路由器向其同一管理域的所有其它路由器發(fā)送鏈路狀態(tài)播送信息。在OSPF的鏈路狀態(tài)播送中包括所有接口信息、所有的量度和其它一些變量。利用0SPF的路由器首先必須收集有關(guān)的鏈路狀態(tài)信息，并根據(jù)一定的算法計(jì)算出到每個(gè)節(jié)點(diǎn)的最短路徑。而基于距離向量的路由協(xié)議僅向其鄰接路由器發(fā)送有關(guān)路由更新信息。與RIP不同，OSPF將一個(gè)自治域再劃分為區(qū)，相應(yīng)地即有兩種類(lèi)型的路由選擇方式：當(dāng)源和目的地在同一區(qū)時(shí)，采用區(qū)內(nèi)路由選擇；當(dāng)源和目的地在不同區(qū)時(shí)，則采用區(qū)間路由選擇。這就大大減少了網(wǎng)絡(luò)開(kāi)銷(xiāo)，并增加了網(wǎng)絡(luò)的穩(wěn)定性。當(dāng)一個(gè)區(qū)內(nèi)的路由器出了故障時(shí)并不影響自治域內(nèi)其它區(qū)路由器的正常工作，這也給網(wǎng)絡(luò)的管理、維護(hù)帶來(lái)方便。BGP是為T(mén)CP／IP互聯(lián)網(wǎng)設(shè)計(jì)的外部網(wǎng)關(guān)協(xié)議，用于多個(gè)自治域之間。它既不是基于純粹的鏈路狀態(tài)算法，也不是基于純粹的距離向量算法。它的主要功能是與其它自治域的BGP交換網(wǎng)絡(luò)可達(dá)信息。各個(gè)自治域可以運(yùn)行不同的內(nèi)部網(wǎng)關(guān)協(xié)議。BGP更新信息包括網(wǎng)絡(luò)號(hào)／自治域路徑的成對(duì)信息。自治域路徑包括到達(dá)某個(gè)特定網(wǎng)絡(luò)須經(jīng)過(guò)的自治域串，這些更新信息通過(guò)TCP傳送出去，以保證傳輸?shù)目煽啃?。在最新的BGP4中，還可以將相似路由合并為一條路由。多路由表、源地址選路中軟HuaTech-2000系列防火墻系統(tǒng)采用了一種特殊的路由技術(shù)源地址選路技術(shù)。一般的路由技術(shù)只根據(jù)目標(biāo)地址來(lái)做出路由選擇，而中軟HuaTech-2000系列產(chǎn)品則根據(jù)通訊的源地址和目標(biāo)地址來(lái)做出路由選擇。防火墻系統(tǒng)會(huì)根據(jù)IP封包中的源地址判斷數(shù)據(jù)包的路由走向，并在系統(tǒng)中已經(jīng)建立起的多個(gè)路由列表中選擇該數(shù)據(jù)包的路由。這種源地址路由技術(shù)可以很好的適應(yīng)有多個(gè)網(wǎng)絡(luò)出口或者根據(jù)用戶(hù)身份分配帶寬資源的網(wǎng)絡(luò)環(huán)境。在這當(dāng)前越來(lái)越復(fù)雜網(wǎng)絡(luò)環(huán)境下，如果防火墻不支持源目的地址路由技術(shù)就很難實(shí)現(xiàn)受控、合理的利用網(wǎng)絡(luò)資源（尤其是帶寬資源），因?yàn)榈交ヂ?lián)網(wǎng)的目標(biāo)地址都是一樣的，只是來(lái)源不一樣。組播路由在現(xiàn)在的網(wǎng)絡(luò)應(yīng)用中，音頻或視頻流媒體效勞越來(lái)越多的應(yīng)用到組播技術(shù)。采用組播技術(shù)，單臺(tái)效勞器能夠?qū)资f(wàn)臺(tái)主機(jī)同時(shí)發(fā)送連續(xù)數(shù)據(jù)流而無(wú)延時(shí)。組播發(fā)送方只要發(fā)送一個(gè)信息包而不是很多個(gè)，所有目的地同時(shí)收到同一信息包，更及時(shí)，更同步，可以把信息發(fā)送到任意不知名目的地，能減少網(wǎng)絡(luò)上傳輸?shù)男畔目偭?。網(wǎng)絡(luò)本錢(qián)變得相當(dāng)?shù)土?，從而到達(dá)從未有過(guò)的傳送能力。傳統(tǒng)的防火墻系統(tǒng)在收到網(wǎng)絡(luò)中的播送或組播數(shù)據(jù)包時(shí)往往不予以轉(zhuǎn)發(fā)，使得一局部對(duì)組播路由有特殊需求的應(yīng)用受到限制，中軟HuaTech-2000系列防火墻支持組播路由技術(shù)，防火墻系統(tǒng)可以判斷區(qū)分網(wǎng)絡(luò)中的播送或是組播，并根據(jù)所配置的策略決定組播數(shù)據(jù)的通過(guò)與否，以滿(mǎn)足用戶(hù)的特殊需求。內(nèi)容過(guò)濾（色情防堵）中軟HuaTech-2000系列防火墻支持內(nèi)容過(guò)濾功能和色情防堵功能，能夠?qū)崿F(xiàn)對(duì)應(yīng)用層內(nèi)容的檢測(cè)，提高網(wǎng)絡(luò)的平安性,內(nèi)容過(guò)濾是在http,等協(xié)議層根據(jù)過(guò)濾條件對(duì)信息流進(jìn)行控制，使得URL、http攜帶的JavaApplet,JavaScript,ActiveX,Servlet,CGI,PHP,img；電子郵件的subject,to,from和text域；FTP下載和上載文件的內(nèi)容等可能包含危險(xiǎn)信息，如病毒,色情或非法關(guān)鍵字,非法操作命令等。因此對(duì)內(nèi)容進(jìn)行過(guò)濾能有效地提高網(wǎng)絡(luò)的平安性。用戶(hù)認(rèn)證為了降低內(nèi)部網(wǎng)在管理和應(yīng)用上的平安風(fēng)險(xiǎn)，用戶(hù)認(rèn)證功能必不可少，中軟HuaTech-2000系列防火墻管理程序通過(guò)提供應(yīng)用戶(hù)專(zhuān)門(mén)客戶(hù)端認(rèn)證軟件，利用用戶(hù)名，用戶(hù)口令和IP地址等鑒別用戶(hù)。中軟HuaTech-2000型防火墻還支持基于RADIUS協(xié)議的用戶(hù)認(rèn)證，防火墻系統(tǒng)本身實(shí)現(xiàn)了RADIUS客戶(hù)端的功能，它將用戶(hù)的認(rèn)證和網(wǎng)絡(luò)訪問(wèn)效勞信息發(fā)送給中央（第三方）RADIUS效勞器，并將返回的認(rèn)證信息對(duì)用戶(hù)進(jìn)行授權(quán)，統(tǒng)計(jì)。防火墻系統(tǒng)管理員可以借此功能對(duì)不同屬性的移動(dòng)用戶(hù)進(jìn)行角色劃分，從而實(shí)現(xiàn)基于用戶(hù)的訪問(wèn)控制。時(shí)間段訪問(wèn)控制中軟HuaTech-2000系列防火墻在訪問(wèn)規(guī)則中參加時(shí)間段訪問(wèn)控制，只有在規(guī)則設(shè)定的時(shí)間段內(nèi)符合策略的數(shù)據(jù)報(bào)文才可能通過(guò)防火墻。此項(xiàng)工作極大地方便了系統(tǒng)管理員的管理，提高了訪問(wèn)控制的靈活性。入侵檢測(cè)所謂“入侵〞（Intrusion）是個(gè)廣義的概念，不僅包括發(fā)起攻擊人（如惡意的黑客）取得超出合法范圍的系統(tǒng)控制權(quán)，也包括收集漏洞信息，造成拒絕訪問(wèn)（DenialofService）等對(duì)計(jì)算機(jī)系統(tǒng)造成危害的行為。入侵檢測(cè)（IntrusionDetection），顧名思義，便是對(duì)入侵行為的覺(jué)察。它通過(guò)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并對(duì)其進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反平安策略的行為和被攻擊的跡象。進(jìn)行入侵檢測(cè)的軟件與硬件的組合便是入侵檢測(cè)系統(tǒng)（IntrusionDetectionSystem,簡(jiǎn)稱(chēng)IDS）。為了盡可能的提高防火墻的運(yùn)行效率，中軟HuaTech-2000系列防火墻本身集成了輕量級(jí)的入侵檢測(cè)系統(tǒng)?？梢詸z測(cè)局部常見(jiàn)的攻擊及非法掃描。為了給用戶(hù)提供更為全面的入侵檢測(cè)效勞，中軟HuaTech-2000系列防火墻還提供接口，支持與指定的第三方的IDS效勞器聯(lián)動(dòng)。病毒掃描在任何網(wǎng)絡(luò)環(huán)境下，計(jì)算機(jī)病毒都有著不可估量的威脅性和破壞力，因此計(jì)算機(jī)病毒的防范是網(wǎng)絡(luò)平安性建設(shè)中重要的一環(huán)。中軟HuaTech-2000系列防火墻提供接口支持與指定的第三方的病毒掃描效勞器聯(lián)動(dòng)。應(yīng)用代理應(yīng)用代理（ApplicationProxy）作用在應(yīng)用層，其特點(diǎn)是完全“阻隔〞了網(wǎng)絡(luò)通信流，通過(guò)對(duì)每種應(yīng)用效勞編制專(zhuān)門(mén)的代理程序，實(shí)現(xiàn)監(jiān)視和控制應(yīng)用層通信流的作用。實(shí)際中的應(yīng)用代理功能通常由防火墻設(shè)備或?qū)Ｓ霉ぷ髡緦?shí)現(xiàn)。中軟HuaTech-2000系列防火墻的應(yīng)用代理功能隱藏了內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)，因?yàn)閮?nèi)部網(wǎng)的任意主機(jī)對(duì)外的最終請(qǐng)求都是由防火墻發(fā)出的，使外部不可信網(wǎng)絡(luò)的主機(jī)并不知道與內(nèi)部網(wǎng)絡(luò)的哪個(gè)用戶(hù)通信，而且還在一定程度上解決了IP地址緊缺的問(wèn)題，因?yàn)樾谄髦恍璺阑饓τ幸粋€(gè)公網(wǎng)的IP地址。代理的功能是對(duì)來(lái)自局域網(wǎng)內(nèi)的用戶(hù)的會(huì)話請(qǐng)求進(jìn)行會(huì)話請(qǐng)求轉(zhuǎn)發(fā)。這樣做有以下幾個(gè)用處：因?yàn)榇硇谄髟趹?yīng)用層，它完全阻斷了網(wǎng)絡(luò)報(bào)文的傳輸通道。因此比檢測(cè)功能具有更高的平安性?？梢赃M(jìn)行訪問(wèn)控制。隱藏了內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)，因?yàn)樽罱K請(qǐng)求是由防火墻發(fā)出的，外面的主機(jī)并不知道與內(nèi)部網(wǎng)絡(luò)的哪個(gè)用戶(hù)通信。解決IP地址緊缺的問(wèn)題。使用代理效勞器只需防火墻有一個(gè)公網(wǎng)的IP地址。目前中軟HuaTech-2000系列防火墻支持的代理有：HTTP代理、FTP代理、SMTP代理。日志審計(jì)中軟HuaTech-2000系列防火墻系統(tǒng)的日志審計(jì)功能十分健全，不但包括了防火墻系統(tǒng)本身運(yùn)行的日志紀(jì)錄，而且還包含了運(yùn)行日志，代理日志，入侵檢測(cè)日志，流量統(tǒng)計(jì)日志，管理日志，雙機(jī)熱備日志，IDS互動(dòng)信息，狀態(tài)信息共八大類(lèi)日志，并可使用相關(guān)的配置程序進(jìn)行日志瀏覽及管理。流量控制流量缺乏是網(wǎng)絡(luò)管理者遇到的最麻煩的問(wèn)題之一，由于一些用戶(hù)使用FTP之類(lèi)大量消耗網(wǎng)絡(luò)資源的應(yīng)用，占用了大局部流量，影響了其他用戶(hù)正常使用網(wǎng)絡(luò)。對(duì)于專(zhuān)線用戶(hù)，這個(gè)問(wèn)題尤為嚴(yán)重。中軟HuaTech-2000系列防火墻具有基于IP的流量控制功能，可以有效的管理網(wǎng)絡(luò)資源。該功能通過(guò)控制每個(gè)網(wǎng)絡(luò)接口的網(wǎng)絡(luò)流量，防止某些應(yīng)用占用過(guò)大的資源，從而保證關(guān)鍵接口以及重要用戶(hù)的連接。帶寬控制中軟HuaTech-2000系列防火墻支持帶寬控制，通過(guò)合理配置、分配帶寬資源，使網(wǎng)絡(luò)資源得到合理、充分的使用，使得網(wǎng)絡(luò)中的關(guān)鍵用戶(hù)在帶寬資源緊張時(shí)也能夠高效率的開(kāi)展工作。VPN功能VPN是指虛擬專(zhuān)用網(wǎng)絡(luò)。實(shí)際上是在公眾網(wǎng)上建立企業(yè)內(nèi)部網(wǎng)絡(luò)。在這一問(wèn)題上，如何保證在公眾網(wǎng)上的企業(yè)內(nèi)部信息的平安傳輸成為關(guān)鍵。對(duì)于這一點(diǎn)中軟HuaTech-2000系列防火墻是采用平安的加密算法和傳輸體制來(lái)做保證的。這樣既減少了建立網(wǎng)絡(luò)的物理本錢(qián)，又保證了數(shù)據(jù)的平安。雙機(jī)熱備功能中軟HuaTech-2000系列防火墻支持雙機(jī)熱備功能，從而提高系統(tǒng)的穩(wěn)定性和可靠性。兩臺(tái)防火墻分為防火墻主機(jī)和防火墻從機(jī)，在防火墻主機(jī)工作的同時(shí)，防火墻從機(jī)處于實(shí)時(shí)監(jiān)控防火墻主機(jī)的工作狀態(tài)，這時(shí)所有對(duì)內(nèi)部網(wǎng)絡(luò)的保護(hù)工作由防火墻主機(jī)完成。當(dāng)防火墻主機(jī)因不可抗力而工作異常時(shí)，防火墻從機(jī)能夠及時(shí)發(fā)現(xiàn)問(wèn)題并立即接替防火墻主機(jī)的工作，并報(bào)警通知網(wǎng)絡(luò)管理員。待防火墻主機(jī)故障排除并接入網(wǎng)絡(luò)后，防火墻主機(jī)接管對(duì)內(nèi)網(wǎng)的保護(hù)工作，防火墻從機(jī)則切換為監(jiān)視狀態(tài)，繼續(xù)偵測(cè)防火墻主機(jī)的狀態(tài)。負(fù)載均衡功能中軟HuaTech-2000系列防火墻的負(fù)載均衡技術(shù)采用的是通過(guò)網(wǎng)絡(luò)地址轉(zhuǎn)換（NetworkAddressTranslation）將一組效勞器構(gòu)成一個(gè)高性能的、高可用的虛擬效勞器，我們稱(chēng)之為VS/NAT技術(shù)（VirtualServerviaNetworkAddressTranslation）。通過(guò)網(wǎng)絡(luò)地址轉(zhuǎn)換，調(diào)度器重寫(xiě)請(qǐng)求報(bào)文的目標(biāo)地址，根據(jù)預(yù)設(shè)的調(diào)度算法，將請(qǐng)求分派給后端的真實(shí)效勞器；真實(shí)效勞器的響應(yīng)報(bào)文通過(guò)調(diào)度器時(shí)，報(bào)文的源地址被重寫(xiě)，再返回給客戶(hù)，完成整個(gè)負(fù)載調(diào)度過(guò)程。支持VRRPVRRP（VirtualRouterRedundancyProtocol），虛擬路由器冗余協(xié)議。該協(xié)議用于解決在靜態(tài)設(shè)置默認(rèn)路由策略的情況下的單點(diǎn)故障問(wèn)題。VRRP使用選舉協(xié)議來(lái)動(dòng)態(tài)的從LAN中的VRRP路由器中選舉出一個(gè)作為虛擬路由器。在眾多VRRP路由器中處理分配給虛擬路由器的地址的VRRP路由器叫做主路由器（Master），承當(dāng)轉(zhuǎn)發(fā)IP數(shù)據(jù)包的工作。選舉虛擬路由器的過(guò)程規(guī)定了主路由器的失效條件。在主路由器失效的情況下，其他候選VRRP路由器可以動(dòng)態(tài)協(xié)商選舉出主路由器。這樣虛擬路由器的IP地址就可以作為終端的默認(rèn)下一跳路由器了。使用VRRP的好處是無(wú)需在每一個(gè)終端上配置動(dòng)態(tài)路由或者路由發(fā)現(xiàn)協(xié)議，就可以得到高可靠性的默認(rèn)路徑。VRRP提供的功能類(lèi)似于CiscoSystem,Inc.私有協(xié)議—HSRP（HotStandbyRouterProtocol）以及DigitalEquipmentCorporation,Inc.的私有協(xié)議—IPStandbyProtocol。較強(qiáng)的抗攻擊能力作為一種網(wǎng)絡(luò)平安防護(hù)設(shè)備，防火墻在網(wǎng)絡(luò)中自然成為眾多攻擊者的首要目標(biāo)，所以抗攻擊能力也是防火墻的必備功能。中軟HuaTech-2000系列防火墻系統(tǒng)采取多種平安措施，可以防范Internet環(huán)境中針對(duì)防火墻的攻擊，如：抗IP假冒攻擊，抗口令字探尋攻擊，抗網(wǎng)絡(luò)平安性分析等。采用內(nèi)核性能優(yōu)化和平安加固技術(shù)防火墻性能的優(yōu)劣直接影響到它能夠被廣闊客戶(hù)所接受。對(duì)一些用戶(hù)對(duì)響應(yīng)時(shí)間非常敏感的效勞必須做好充分的優(yōu)化工作，否則用戶(hù)會(huì)對(duì)防火墻的性能產(chǎn)生疑問(wèn)。我們借鑒了許多國(guó)外的相關(guān)資料，針對(duì)防火墻中的效勞模塊，采用多種內(nèi)核性能優(yōu)化技術(shù)，大大提高了防火墻的工作效率以及系統(tǒng)本身的健壯性。中軟HuaTech-2000型防火墻的典型應(yīng)用中軟HuaTech-2000系列防火墻可根據(jù)用戶(hù)的具體要求，靈活配置各項(xiàng)功能，以滿(mǎn)足不同客戶(hù)的不同需求。下面描述了局部常見(jiàn)的應(yīng)用情況：應(yīng)用在內(nèi)部網(wǎng)與外部網(wǎng)（Internet）連接的唯一出入口，防止外部對(duì)內(nèi)部網(wǎng)的非法訪問(wèn)。對(duì)內(nèi)部網(wǎng)的不平安區(qū)域或重點(diǎn)保護(hù)區(qū)域?qū)嵤┰L問(wèn)控制保護(hù)公開(kāi)效勞器，如Web效勞器、FTP效勞器、POP3效勞器等等。中軟HuaTech-2000型防火墻功能、技術(shù)指標(biāo)一覽（下表各項(xiàng)功能性能參數(shù)均以HT-FW-2000-TX為標(biāo)準(zhǔn)）通用指標(biāo)體系指標(biāo)說(shuō)明產(chǎn)品名稱(chēng)中軟HuaTech-2000型防火墻防火墻類(lèi)型包過(guò)濾+狀態(tài)檢測(cè)+代理工作方式兼容路由、網(wǎng)橋兩種工作方式產(chǎn)品規(guī)格說(shuō)明HT-FW-2000-BX適用模式低端HT-FW-2000-PX適用模式中端H