1.多硬件平台支持
融合防火墙支持的硬件平台有:x86单处理器或多处理器平台、PPC高性能嵌入式处理器平台、网络处理器(NP)硬件平台。提供从低、中、高系列化的安全产品。从低端客户到高端客户,从接入网到骨干网融合防火墙都能够提供全方位的优质服务。
融合防火墙全部采用无硬盘化设计,使设备因而发生机械故障的导致崩溃的可能性降到最低,用户的数据更安全、更可靠;采用闪存存储技术,相对传统的磁盘驱动器安全性和保护性都更高,理论上使用100多年也可保证数据完好无缺。
2.安全高效的操作系统內核
融合防火墙的操作系统內核来源于以稳定性和安全性著称的FreeBSD操作系统,著名的搜索引擎Google和门户网站Yahoo的核心服务器运行的正是这个操作系统。融合防火墙在B2级安全操作系统基础上,对该操作系统进行系统精简、内核安全加固和算法优化,并进行模块功能扩充,实现从IP层到应用层的安全检查,逐步形成了有自主版权的防火墙专用的嵌入式安全操作系统。融合防火墙在内核级针对不同的硬件平台进行了专门的优化处理,通过这些措施极大地提高了防火墙系统本身的安全性,同时极大地提高了防火墙的处理性能。
3.SSL VPN随时随地安全接入
融合防火墙提供Easy-Going SSL VPN与原有隧道式VPN 相比,简化了安装和网络管理,使原有Web用户界面变得更加简单易用;提高了SSL接入速度,完全可以支持全网连接。为广大企事业用户提供更完善的内部安全访问及互联服务,一切VPN安装和管理问题都随之迎刃而解。
1)快速部署易于使用、web式勿须安装客户端;
2)安全可靠;
3)高级认证功能;
4)根据应用策略的授权保护;
5)与现有网络结构相融合;
6)可支持多种远程访问应用程序;
7)用户数不做人为限制,理论上只受物理内存大小的限制。
4.动态VPN安全灵活接入
许多企业在全国各地都建有分支机构或者办事处,随着企业信息化程度的不断提高,各公司均根据行业特点在在企业总部部署如OA系统、ERP系统、财务系统、GIS地理信息系统等应用软件,将企业分布在各地的分支机构和办事处与企业总部互联,达到安全地共享数据和软件资源的目的,若采用DDN专线造价太高,用Modem远程拨号的方式速度又太慢。融合防火墙为充分考虑信息化投资效果,为企业量身定制的应用系统远程组网解决方案,低成本、高安全性、高可靠性地满足以上需求。VPN使公司所有网络在Internet上组成一个安全的、虚拟的大局域网,企业建立VPN之后可以在广域网环境下建立和局域网环境下一样的多种应用。
5.多出口负载均衡技术
融合防火墙采用一种特殊的路由技术,支持多个网络出口同时支持多出口的负载均衡技术,可以很好地适应有多个网络出口的环境。比如对于某些教育系统的网络可能同时有两条互联网出口,一条是通过教育网的线路连接到Internet,另外一条就是申请电信的线路直接连接到互联网。对于这种环境为了更好的利用带宽,让网络中的部分终端走教育网的出口,另外一部分终端走电信线路,这样可以很好地利用现有的带宽资源,不会造成带宽的浪费。融合防火墙即将支持多台防火墙之间的热备份和负载均衡;支持多台服务器之间的负载均衡。不但更好地适用不同的网络环境,而且更好地提供高性能和保证可靠性。
6.丰富的NAT穿越技术
NAT技术是目前国内企业共享上网、小区和大厦宽带智能接入以及城域网宽带接入所使用的主流技术;在需要外网访问内网的情况下一定要考虑NAT穿越技术,融合防火墙支持目前主流的NAT穿越技术:
◇ 应用级网关技术ALG(Application Level Gateway):支持SIP、H.323、FTP和MGCP穿越功能。
◇ 代理技术:缓解ALG方式所带来的现有NAT升级困难而出现的,它也是目前中国国内比较看好的一种NAT穿越解决方案,并得到ITU-T的支持。
◇ 隧道/VPN机制:逻辑上由隧道客户端和隧道服务器两部分构成,隧道客户端和隧道服务器通过隧道协议建立一条隧道,实现信令和媒体流透明穿越NAT,融合SSL VPN和融合IP-SEC VPN均支持这种NAT穿越机制。
◇ MIDCOM技术:是为了解决ALG和代理技术所共有的可扩展性不强问题而出现的一种NAT穿越解决方案。
◇ 单边自我绑定地址(Unilaternal Self-Address Fixing, UNISAF):RFC3424定义的UNSAF技术,可以使位于NAT后的一个客户设法发现位于NAT公网一侧的地址,然后让其使用新得到的地址,而不是它自己真正的IP地址。这样做需要在NAT公网一侧增加一个UNSAF服务器,并且修改客户端,以便让UNSAF服务器知道如何使用该UNSAF服务器,而真正的应用服务器并不改变。
7.领先潮流的深度检测技术
状态检测防火墙是目前使用最广泛的防火墙,用来防护黑客攻击。但是,随着专门针对应用层的Web攻击现象的增多,在攻击防护中,状态检测防火墙的有效性越来越低。 设计状态检测防火墙时,并没有专门针对Web应用程序攻击,为了适应不断增长的Web应用程序的威胁,融合防火墙除了支持状态检测技术还支持新一代的深度检测检测技术。
融合防火墙深度检测防火墙,将状态检测和应用防火墙技术结合在一起,以处理应用程序的流量,防范目标系统免受各种复杂的攻击。结合了状态检测的所有功能,深度检测防火墙能够对数据流量迅速完成网络层级别的分析,并做出访问控制决;对于允许的数据流,根据应用层级别的信息,对负载做出进一步的决策。
8.內核联动多层加速入侵检测技术
ICSA实验室调查表明:97%的病毒是通过网络传播的,这些病毒大多数都是蠕虫病毒,来势凶猛,传播速度很快,传播范围很广,迅速波及整个互联网,导致用户的网络信息系统出现不同程度的危害,造成不可估量的损失。随着高速网络技术的广泛应用, 用户对高性能IDS产品的需求越发迫切。
融合防火墙为适应这一需求,采用內核联动多层加速技术,并采用基于NP架构的硬件平台大幅提升了IDS产品的性能。
9.网络病毒防御功能
现在的企业用户采用的防病毒解决方案主要是基于单机或服务器的方式,是一种被动的解决方案,特别容易遭受到病毒的侵袭。每当出现新的病毒,管理员往往会发现他们分身乏术,需要确保网络中的每一台电脑、笔记本、PC机和服务器等都升级到了最新的病毒库。
针对以上这些问题,融合防火墙对进出企业的主要网络协议的数据进行病毒的扫描,把病毒拦截在企业外部,以大大减少病毒渗入企业造成的危害,同时构建立体化的反病毒体系b