中新金盾硬件防火墙_中新金盾硬件防火墙怎么样

中新金盾硬件防火墙_中新金盾硬件防火墙怎么样

       大家好，今天我来为大家揭开“中新金盾硬件防火墙”的神秘面纱。为了让大家更好地理解这个问题，我将相关资料进行了整合，现在就让我们一起来探索吧。

1.中新软件的金盾抗拒绝服务系统产品综述

2.硬件防火墙的基本原理及内部构造

3.企业应当如何选择防火墙

4.ddos顶级防火墙标准是什么ddos顶级防火墙标准

中新软件的金盾抗拒绝服务系统产品综述

       技术介绍：

       简单丰富的web管理，配备详细的操作说明。

       防护攻击类型：Smurf、Land-based、Teardrop、PingSweep、IP Spoof、IP Fragmentation Overlap、Code Red、SYN Flood、ACK Flood、UDP Flood、DNS Query Flood、ICMP Flood，PING of Death、PING Flood、IGMP Flood、Fragment Flood、HTTP Get Flood、HTTP Proxy Flood，CC Proxy Flood。

       智能参数阀值能有效防范各种SYN Flood、UDP flood、ICMP flood、IGMP flood等流量型攻击。

       内建灵活的规则功能对/etc/protocols中的各种协议完善支持，通过对端口，协议，tcp标志位,关键字进行匹配来有效防护各种漏洞型的攻击。

       同时，内置了若干预定义规则，涉及局域网防护、漏洞检测等多项功能，易于使用。

       内建了各种针对网站、网络游戏，音视频聊天室等专门的防护模块插件，可有效防护对网站，游戏，聊天室的cc及变种攻击以及空连接攻击。

       内建的新的协议定义模块，可对新的各种应用进行特殊的防护，如对厂家自己开发的某种聊天室或其他特殊应用等。

       防护功能：

       具备完善的连接CONNTRACK机制，可对应用层协议、数据包规则(端口和标志位)、数据包内容细致过滤，并具有强大的数据包捕获功能以及SNMP管理支持。因此，对各类攻击数据的辨别和过滤表现得精准且高效，最大程度上减少了网络攻击所带来的损失，保证客户的利益，持续为客户创造价值。

       在系统行为方面，详细的实时记录和日志分析报告方便下载查看，同时支持syslog远程记录查看及导出，方便管理员实时把控网络环境安全，遇到一切突发事件能以最快的速度响应并解决，保证整个网络系统的稳定性。

       实时的主机流量和主机状态监控，清晰的全局和单ip流量图显示。可对单独ip的应用特殊防护设置及策略(流量限制，应用规则，应用端口保护等)。此功能可帮助管理员排查网络结构内部出现的漏洞及故障，界面友好且直观，大大提高了工作效率，节省时间成本。　系统具备完善的tcp,udp端口特殊防护以及智能的web 请求时，PC的telnet客户程序就产生一个TCP包并把它传给本地的协议栈准备发送。接下来，协议栈将这个TCP包“塞”到一个IP包里，然后通过PC机的TCP/IP栈所定义的路径将它发送给UNIX计算机。在这个例子里，这个IP包必须经过横在PC和UNIX计算机中的防火墙才能到达UNIX计算机。

       现在我们“命令”（用专业术语来说就是配制）防火墙把所有发给UNIX计算机的数据包都给拒了，完成这项工作以后，“心肠”比较好的防火墙还会通知客户程序一声呢！既然发向目标的IP数据没法转发，那么只有和UNIX计算机同在一个网段的用户才能访问UNIX计算机了。

       还有一种情况，你可以命令防火墙专给那台可怜的PC机找茬，别人的数据包都让过就它不行。这正是防火墙最基本的功能：根据IP地址做转发判断。但要上了大场面这种小伎俩就玩不转了，由于黑客们可以采用IP地址欺骗技术，伪装成合法地址的计算机就可以穿越信任这个地址的防火墙了。不过根据地址的转发决策机制还是最基本和必需的。另外要注意的一点是，不要用DNS主机名建立过滤表，对DNS的伪造比IP地址欺骗要容易多了。

       服务器TCP/UDP 端口过滤

       仅仅依靠地址进行数据过滤在实际运用中是不可行的，还有个原因就是目标主机上往往运行着多种通信服务，比方说，我们不想让用户采用 telnet的方式连到系统，但这绝不等于我们非得同时禁止他们使用SMTP/POP邮件服务器吧？所以说，在地址之外我们还要对服务器的TCP/ UDP端口进行过滤。

       比如，默认的telnet服务连接端口号是23。假如我们不许PC客户机建立对UNIX计算机（在这时我们当它是服务器）的telnet连接，那么我们只需命令防火墙检查发送目标是UNIX服务器的数据包，把其中具有23目标端口号的包过滤就行了。这样，我们把IP地址和目标服务器TCP/UDP端口结合起来不就可以作为过滤标准来实现相当可靠的防火墙了吗？不，没这么简单。

       客户机也有TCP/UDP端口

       TCP/IP是一种端对端协议，每个网络节点都具有唯一的地址。网络节点的应用层也是这样，处于应用层的每个应用程序和服务都具有自己的对应“地址”，也就是端口号。地址和端口都具备了才能建立客户机和服务器的各种应用之间的有效通信联系。比如，telnet服务器在端口23侦听入站连接。同时telnet客户机也有一个端口号，否则客户机的IP栈怎么知道某个数据包是属于哪个应用程序的呢？

       由于历史的原因，几乎所有的TCP/IP客户程序都使用大于1023的随机分配端口号。只有UNIX计算机上的root用户才可以访问1024以下的端口，而这些端口还保留为服务器上的服务所用。所以，除非我们让所有具有大于1023端口号的数据包进入网络，否则各种网络连接都没法正常工作。

       这对防火墙而言可就麻烦了，如果阻塞入站的全部端口，那么所有的客户机都没法使用网络资源。因为服务器发出响应外部连接请求的入站（就是进入防火墙的意思）数据包都没法经过防火墙的入站过滤。反过来，打开所有高于1023的端口就可行了吗？也不尽然。由于很多服务使用的端口都大于1023，比如X client、基于RPC的NFS服务以及为数众多的非UNIX IP产品等（NetWare/IP）就是这样的。那么让达到1023端口标准的数据包都进入网络的话网络还能说是安全的吗？连这些客户程序都不敢说自己是足够安全的。

       双向过滤

       OK，咱们换个思路。我们给防火墙这样下命令：已知服务的数据包可以进来，其他的全部挡在防火墙之外。比如，如果你知道用户要访问Web服务器，那就只让具有源端口号80的数据包进入网络：

       不过新问题又出现了。首先，你怎么知道你要访问的服务器具有哪些正在运行的端口号呢？ 象HTTP这样的服务器本来就是可以任意配置的，所采用的端口也可以随意配置。如果你这样设置防火墙，你就没法访问哪些没采用标准端口号的的网络站点了！反过来，你也没法保证进入网络的数据包中具有端口号80的就一定来自Web服务器。有些黑客就是利用这一点制作自己的入侵工具，并让其运行在本机的80端口！

       检查ACK位

       源地址我们不相信，源端口也信不得了，这个不得不与黑客共舞的疯狂世界上还有什么值得我们信任呢？还好，事情还没到走投无路的地步。对策还是有的，不过这个办法只能用于TCP协议。

       TCP是一种可靠的通信协议，“可靠”这个词意味着协议具有包括纠错机制在内的一些特殊性质。为了实现其可靠性，每个TCP连接都要先经过一个“握手”过程来交换连接参数。还有，每个发送出去的包在后续的其他包被发送出去之前必须获得一个确认响应。但并不是对每个TCP包都非要采用专门的ACK包来响应，实际上仅仅在TCP包头上设置一个专门的位就可以完成这个功能了。所以，只要产生了响应包就要设置ACK位。连接会话的第一个包不用于确认，所以它就没有设置ACK位，后续会话交换的TCP包就要设置ACK位了。

       举个例子，PC向远端的Web服务器发起一个连接，它生成一个没有设置ACK位的连接请求包。当服务器响应该请求时，服务器就发回一个设置了ACK位的数据包，同时在包里标记从客户机所收到的字节数。然后客户机就用自己的响应包再响应该数据包，这个数据包也设置了ACK位并标记了从服务器收到的字节数。通过监视ACK位，我们就可以将进入网络的数据限制在响应包的范围之内。于是，远程系统根本无法发起TCP连接但却能响应收到的数据包了。

       这套机制还不能算是无懈可击，简单地举个例子，假设我们有台内部Web服务器，那么端口80就不得不被打开以便外部请求可以进入网络。还有，对UDP包而言就没法监视ACK位了，因为UDP包压根就没有ACK位。还有一些TCP应用程序，比如FTP，连接就必须由这些服务器程序自己发起。

       FTP带来的困难

       一般的Internet服务对所有的通信都只使用一对端口号，FTP程序在连接期间则使用两对端口号。第一对端口号用于FTP的“命令通道”提供登录和执行命令的通信链路，而另一对端口号则用于FTP的“数据通道”提供客户机和服务器之间的文件传送。

       在通常的FTP会话过程中，客户机首先向服务器的端口21（命令通道）发送一个TCP连接请求，然后执行LOGIN、DIR等各种命令。一旦用户请求服务器发送数据，FTP服务器就用其20端口 (数据通道)向客户的数据端口发起连接。问题来了，如果服务器向客户机发起传送数据的连接，那么它就会发送没有设置ACK位的数据包，防火墙则按照刚才的规则拒绝该数据包同时也就意味着数据传送没戏了。通常只有高级的、也就是够聪明的防火墙才能看出客户机刚才告诉服务器的端口，然后才许可对该端口的入站连接。

       UDP端口过滤

       好了，现在我们回过头来看看怎么解决UDP问题。刚才说了，UDP包没有ACK位所以不能进行ACK位过滤。UDP 是发出去不管的“不可靠”通信，这种类型的服务通常用于广播、路由、多媒体等广播形式的通信任务。NFS、DNS、WINS、NetBIOS-over-TCP/IP和 NetWare/IP都使用UDP。

       看来最简单的可行办法就是不允许建立入站UDP连接。防火墙设置为只许转发来自内部接口的UDP包，来自外部接口的UDP包则不转发。现在的问题是，比方说，DNS名称解析请求就使用UDP，如果你提供DNS服务，至少得允许一些内部请求穿越防火墙。还有IRC这样的客户程序也使用UDP，如果要让你的用户使用它，就同样要让他们的UDP包进入网络。我们能做的就是对那些从本地到可信任站点之间的连接进行限制。但是，什么叫可信任！如果黑客采取地址欺骗的方法不又回到老路上去了吗？

       有些新型路由器可以通过“记忆”出站UDP包来解决这个问题：如果入站UDP包匹配最近出站UDP包的目标地址和端口号就让它进来。如果在内存中找不到匹配的UDP包就只好拒绝它了！但是，我们如何确信产生数据包的外部主机就是内部客户机希望通信的服务器呢？如果黑客诈称DNS服务器的地址，那么他在理论上当然可以从附着DNS的UDP端口发起攻击。只要你允许DNS查询和反馈包进入网络这个问题就必然存在。办法是采用代理服务器。

       所谓代理服务器，顾名思义就是代表你的网络和外界打交道的服务器。代理服务器不允许存在任何网络内外的直接连接。它本身就提供公共和专用的DNS、邮件服务器等多种功能。代理服务器重写数据包而不是简单地将其转发了事。给人的感觉就是网络内部的主机都站在了网络的边缘，但实际上他们都躲在代理的后面，露面的不过是代理这个假面具。

       小结

       IP地址可能是假的，这是由于IP协议的源路有机制所带来的，这种机制告诉路由器不要为数据包采用正常的路径，而是按照包头内的路径传送数据包。于是黑客就可以使用系统的IP地址获得返回的数据包。有些高级防火墙可以让用户禁止源路由。通常我们的网络都通过一条路径连接ISP，然后再进入Internet。这时禁用源路由就会迫使数据包必须沿着正常的路径返回。

       还有，我们需要了解防火墙在拒绝数据包的时候还做了哪些其他工作。比如，防火墙是否向连接发起系统发回了“主机不可到达”的ICMP消息？或者防火墙真没再做其他事？这些问题都可能存在安全隐患。ICMP“主机不可达”消息会告诉黑客“防火墙专门阻塞了某些端口”，黑客立即就可以从这个消息中闻到一点什么气味。如果ICMP“主机不可达”是通信中发生的错误，那么老实的系统可能就真的什么也不发送了。反过来，什么响应都没有却会使发起通信的系统不断地尝试建立连接直到应用程序或者协议栈超时，结果最终用户只能得到一个错误信息。当然这种方式会让黑客无法判断某端口到底是关闭了还是没有使用。

       ...防火墙分为软件防火墙和硬件防火墙两种。软件防火墙是安装在pc平台的软件产品，它通过在操作系统底层工作来实现网络管理和防御功能的优化。但对国内市场上的硬件防火墙产品介绍仔细研读后，记者发现，对于硬件防火墙的定义，厂商们似乎仍莫衷一是。大多数厂商对产品的介绍，往往用大量的篇幅向消费者灌输产品的防护功能，而关于防火墙的实际配置，则基本没有提及。

       查阅国内外大量资料后，发现硬件防火墙一般有着这样的核心要求：它的硬件和软件都需要单独设计，有专用网络芯片来处理数据包；同时，采用专门的操作系统平台，从而避免通用操作系统的安全性漏洞。对软硬件的特殊要求，使硬件防火墙的实际带宽与理论值基本一致，有着高吞吐量、安全与速度兼顾的优点。

       而国内市场的硬件防火墙，大部分都是所谓的“软硬件结合的防火墙”，采用的是定制机箱+x86硬件架构+防火墙软件模块(大多数是基于unix类系统下开发的)，而且是pc box结构。这种防火墙的核心技术实际上仍然是软件，吞吐量不高，容易造成带宽瓶颈。并且pc架构本身就不稳定，更不可能长时间运行。

ddos顶级防火墙标准是什么ddos顶级防火墙标准

       防火墙作为网络边界的安全哨卡，其重要性已经越来越得到企业的认可。这就意味着防火墙的市场需求越来越大。也因此，国内外众多商家纷纷投身防火墙市场的激烈竞争，这样就形成了防火墙产品的品牌、档次五花八门，参差不齐，企业选择防火墙也就眼花缭乱，无所适从。那么，作为企业级用户，如何来选择一款既满足需求，又价格合理的防火墙产品呢？　　一、做好需求分析

       选择合适产品的一个前提条件就是，明确企业本身的具体需求。因此，选择产品的第一个步骤就是针对企业自身的网络结构、业务应用系统、用户及通信流量规模、防攻击能力、可靠性、可用性、易用性等具体需求进行分析。

       二、选择原则

       在整理出具体的需求以后，可以得到一份防火墙的需求分析报告。下一步的工作就是在众多的品牌和档次中选出满足各种需求的品牌，并考虑一定的扩展性要求。选择的主要原则有：

       第一，以需求为导向，选择最适合本企业需求的产品。由于防火墙的各项指标具有较强的专业性，因此企业在选择时，有必要把防火墙的主要指标和需求联系起来。另外，还要考虑到企业可承受的性价比。

       第二， 对于产品的选型，可参考的指标来源有厂家提供的技术白皮书、各种测评机构的横向对比测试报告，从中可以了解产品的一些基本性能情况。

       第三，要完全按照企业的实际需求来对比各种品牌的满足程度，最好是根据需求，定制一套解决方案，并对防火墙在统一测试条件和测试环境下进行横向对比。

       三、了解产品的性能指标

       性能指标主要包括吞吐量、丢包率、延迟、最大并发连接数、并发连接处理速率等。用户在选择时，应该根据自身的网络规模和需求，对上述几个指标参数进行详细了解，选择适合的产品。以上指标可以向有关技术人员询问请教。

       四、入侵防护错施

       基于市场的需要和用户的期盼，北京亚维恩科信息技术有限公司推出了金盾软、硬件防火墙入侵防护解决方案。

       金盾硬件防火墙采用高效率的核心攻击检测&防护模块，能有效地保护企业的网络。基于各个平台底层的核心模块，提供高效率的防护手段，经测试,百兆网络条件，本产品在平均90MBPS的DOS，DDOS攻击流量下仍可保证100%的连接成功率。

       目前，

       金盾防火墙产品系列包括软件（金盾---FW30、金盾---FW50、金盾----无限）三种，硬件（JDFW---100、JDFW---1000）二种，它们为企业安全网络提供了所需要的性能和功能。良好的解决方案为用户提供了完善的防护体系，可完全防护如SYNFlood攻击，全连接攻击，UDP Flood攻击，ICMP Flood攻击，碎片攻击等各种DDOS

       ，DDOS攻击模式。

       ddos攻击防护思路？

       1、采用高性能的网络设备首先要保证网络设备不能成为瓶颈，因此选择路由器、交换机、硬件防火墙等设备的时候要尽量选用知名度高、口碑好的产品。再就是假如和网络提供商有特殊关系或协议的话就更好了，当大量攻击发生的时候请他们在网络接点处做一下流量限制来对抗某些种类的DDOS攻击是非常有效的。

       2、尽量避免NAT的使用无论是路由器还是硬件防护墙设备要尽量避免采用网络地址转换NAT的使用，因为采用此技术会较大降低网络通信能力，其实原因很简单，因为NAT需要对地址来回转换，转换过程中需要对网络包的校验和进行计算，因此浪费了很多CPU的时间，但有些时候必须使用NAT，那就没有好办法了。

       3、充足的网络带宽保证网络带宽直接决定了能抗受攻击的能力，假若仅仅有10M带宽的话，无论采取什么措施都很难对抗现在的SYNFlood攻击，当前至少要选择100M的共享带宽，最好的当然是挂在1000M的主干上了。但需要注意的是，主机上的网卡是1000M的并不意味着它的网络带宽就是千兆的，若把它接在100M的交换机上，它的实际带宽不会超过100M，再就是接在100M的带宽上也不等于就有了百兆的带宽，因为网络服务商很可能会在交换机上限制实际带宽为10M，这点一定要搞清楚。

       4、升级主机服务器硬件在有网络带宽保证的前提下，请尽量提升硬件配置，要有效对抗每秒10万个SYN攻击包，服务器的配置至少应该为：P42.4G/DDR512M/SCSI-HD，起关键作用的主要是CPU和内存，若有志强双CPU的话就用它吧，内存一定要选择DDR的高速内存，硬盘要尽量选择SCSI的，别只贪IDE价格不贵量还足的便宜，否则会付出高昂的性能代价，再就是网卡一定要选用3COM或Intel等名牌的，若是Realtek的还是用在自己的PC上吧。

       5、把网站做成静态页面大量事实证明，把网站尽可能做成静态页面，不仅能大大提高抗攻击能力，而且还给黑客入侵带来不少麻烦，至少到现在为止关于HTML的溢出还没出现，看看吧！新浪、搜狐、网易等门户网站主要都是静态页面，若你非需要动态脚本调用，那就把它弄到另外一台单独主机去，免的遭受攻击时连累主服务器，当然，适当放一些不做数据库调用脚本还是可以的，此外，最好在需要调用数据库的脚本中拒绝使用代理的访问，因为经验表明使用代理访问你网站的80%属于恶意行为。

       6、增强操作系统的TCP/IP栈Win2000和Win2003作为服务器操作系统，本身就具备一定的抵抗DDOS攻击的能力，只是默认状态下没有开启而已，若开启的话可抵挡约10000个SYN攻击包，若没有开启则仅能抵御数百个，具体怎么开启，自己去看微软的文章吧！《强化TCP/IP堆栈安全》。也许有的人会问，那我用的是Linux和FreeBSD怎么办？很简单，按照这篇文章去做吧！《SYNCookies》。

       7、安装专业抗DDOS防火墙

       8、其他防御措施以上几条对抗DDOS建议，适合绝大多数拥有自己主机的用户，但假如采取以上措施后仍然不能解决DDOS问题，就有些麻烦了，可能需要更多投资，增加服务器数量并采用DNS轮巡或负载均衡技术，甚至需要购买七层交换机设备，从而使得抗DDOS攻击能力成倍提高，只要投资足够深入。

       金盾防火墙的创始人？

       金盾防火墙创始人是周先东。

       安徽中新软件有限公司（简称中新软件）创立于2002年，是集网络安全产品、软硬件开发的高科技公司。自2002年已开始针对DDoS攻击的产品研发，次年，金盾抗DDOS防火墙正式推向市场，市场反应强烈作为安徽省唯一一家自主研发抗拒绝服务产品的单位，中新软件在解决国内抗拒绝服务技术层面一直处于领先地位，为全国各地的客户提供创新的、客户化的网络安全设备、服务和解决方案，持续为客户创造长期价值。

       今天关于“中新金盾硬件防火墙”的探讨就到这里了。希望大家能够更深入地了解“中新金盾硬件防火墙”，并从我的答案中找到一些灵感。