网神SecSSL 3600安全接入网关产品白皮书[V6.3.1]

●版权声明

Copyright ? 2006-2011 网御神州科技（北京）有限公司（“网御神州”）版权所有，侵权必究。

未经网御神州书面同意，任何人、任何组织不得以任何方式擅自拷贝、发行、传播或引用本文档的任何内容。

●文档信息

●版本变更记录

目录

1产品概述 (4)

2产品特点 (4)

3产品功能 (5)

4产品型号与指标 (10)

5产品形态 (11)

6产品资质 (14)

1产品概述

网御神州作为国家密码管理局批准的商用密码产品生产定点单位和销售许可单位，推出了自主研发的网神SecSSL 3600安全接入网关（简称：“网神SSL VPN”）产品。该系列VPN安全网关采用国家密码管理局指定的加密算法，基于成熟可靠的专用硬件平台，在保证数据通信安全的同时提供了高性能的访问控制能力，可以有效实现数据传输的安全、用户接入的安全和对内网资源的访问安全。该级别VPN产品已广泛应用于各类小型企业、大型企业/单位分支机构。

网神SSL VPN 安全网关部门级产品是以国际标准SSL协议为基础的、自主研发的、专为企业定制的、基于应用层设计的远程接入产品，网神SSL VPN为企业远程接入提供了最好的解决方案，它使传统的VPN 解决方案得到了升华，能让用户无论在世界的任何地方，只要使用浏览器就能够访问到公司总部的资源，如WINDOWS、LIUIX、UNIX等系统的商业文件和应用程序，而不需要安装任何客户端软件，网神SSL VPN可以集中管理企业内部的应用布置，配置细粒度的访问策略，可以更安全地实现权限控制，可以让不同级别的用户使用不同的应用。

网神SSL VPN 的C/S转B/S功能，让用户能够远程安全使用企业的ERP系统，而无需安全客户端软件，Web代理技术可以让用户访问企业内部的OA，网站或邮件系统，SSO 功能让用户能够安全而方便地使用企业内部资源，从而实现了统一应用，统一管理，网御神州加密的SSL协议可以保护通过因特网的信息、交易、和电子商务的安全，SSL 防止直接的网络连接，与IPSec VPN不同，网神SSL VPN 的基于代理主机的，它通过终止网络边缘的连接而提供一个附加的安全层。这就意味着只有经过授权的用户才被获准接入，而非法远程用户绝不会直接连接到你的网络。这降低了恶意的或意外的病毒攻击。网神SSL VPN产品，对访问者进行了强制的安全检查，也可以在其使用特殊的安全应用时隔离其和外部网络的联系，从而保护应用的高安全性。

网神SSL VPN严格制度管理控制技术能够使你明确而容易地定义资源安全的发布，细粒度控制接入可以到用户级、资源级-甚至下到URL和文件级的权限。全范围身份认证方法的支持：网神SSL VPN支持广泛范围的鉴别系统，包括用户名/密码、数字认证、LDAP、RADIUS、RSA SecurID 标记和其它通用的双因素等认证系统。网神SSL VPN提供了额外的安全性功能特性，以适应各种接入的设备。例如，若从公共网吧改进安全性，SSL提供一个“话路终止”功能部件。能够使用户阻挡认证形式的自动完成，所以，避免了用户粗心地将密码信息留在一个网吧所造成的安全隐患。网神SSL VPN 产品让用户轻松而安全地实现远程访问，让公司的网络应用部署更灵活，同时，网神SSL VPN 还可以为企业最大化地节约成本，而且，网神SSL VPN 会为企业用户提供最好的整体解决。

网神SSL VPN通过結合 SSL 和代理技术来减少风险终端控制技术检测、保护使用者环境，从而授权使用者的访问级別，策略执行不仅基于使用者名称，还能检测使用者环境的信任级別，可以针对那些需要特殊环境的使用者，提供最好的解決方案。

网神SSL VPN提供了用户自己定义界面的功能，用户可以根据自己的个性，定制入口界面，用户还可以把登录的LOGO换成自己公司的，并且，可以让不同的用户定制属于自己的界面，让用户真正体验网御神州产品的感受。

2产品特点

安全性

多种安全认证，支持指纹认证、短信认证、USB KEY认证、U-KEY认证；国密办认证体系、动态令牌认证、X.509数字证书认证、LDAP，Radius等第三方服务器认证、E-MAIL账户认证，MAC地址绑定认证、VIP用户认证，并提供多种混合模式认证；点对点全程加密，客户对资源的每一次操作都需要经过安全的身份验证和加密，确保点到点的远程访问安全。因为是直接开启应用系统，并没在网络层上连接，攻击机会相对就减少。网神SSL VPN还保护不同协议间的通信，增强安全性。

●经济性

使用网神SSL VPN，只需要在总部放置一台硬件设备，就可以实现所有用户的远程安全访问、快速接入服务，支持LAN-TO-LAN互访。

●可扩展性

网神SSL VPN支持单臂双臂模式，支持多站点及多站点分级管理，可以满足企业多部门分级管理的需求，可部署在网络中任一节点处，可以随时根据需要，添加需要发布的服务器资源，因此无需影响原有网络结构。

●访问控制

网神SSL VPN可以根据用户的不同身份，给予不同的访问权限，提供VIP用户来符合企业特殊要求，细致的用户锁定策略，支持时段锁定和管理员解锁两种方式，还可以对每个访问人员进行数字签名，保证每笔数据的不可否认性，为事后追踪提供了依据。

●部署与管理成本

网神SSL VPN 部署容易、维护方便、发布快捷、使用简单，降低了部署客户软件的复杂性，缩减了客户的人力管理成本。

●低带宽特性

通过网神SSL VPN 平台，即便使用CDMA和GPRS上网方式也可以流畅的运行您广域网络上的应用，即使是大型的C/S软件也仅仅需要20K的带宽。

●高级管理

支持CA中心，可以申请/颁发/吊销证书，支持自签名证书和第三方证书导入，支持PKI体系；支持数据库认证(SQL、ORACLE、SYBASE)，支持第三方用户导入(文本、数据库)。

3产品功能

4产品型号与指标

5产品形态

6产品资质

●公安部计算机信息系统安全产品销售许可证

●国家版权局计算机软件著作权登记证书

●信息产业部计算机安全技术检测中心测试报告（分为百兆和千兆）

●我司为国家密码管理局SSL VPN技术规范标准制定厂商之一（可提供邀请函证明文件）

网神SecSSL 3600安全接入网关技术白皮书[V6.4.1]

●版权声明 Copyright ? 2006-2011 网御神州科技（北京）有限公司（“网御神州”）版权所有，侵权必究。 未经网御神州书面同意，任何人、任何组织不得以任何方式擅自拷贝、发行、传播或引用本文档的任何内容。 ●文档信息 ●版本变更记录

目录 1产品概述 (5) 2产品功能说明 (7) 2.1SSL 应用发布 (7) 2.1.1B/S软件的应用 (7) 2.1.2企业站点的应用 (7) 2.1.3单点登录功能（SSO） (8) 2.1.4C/S应用发布 (8) 2.1.5TCP端口应用 (10) 2.1.6SSL 隧道模式 (10) 2.2LAN TO LAN 的解决方案 (11) 2.3远程用户安全性检查 (11) 2.4远程用户访问认证 (12) 2.5用户访问策略 (12) 2.6日志审计功能 (12) 2.7防火墙功能 (13) 2.8支持动态IP接入 (13) 2.9完美的个性化定制 (14) 3产品技术优势 (14) 3.1将C/S应用转成B/S访问 (14)

3.2Web应用功能 (15) 3.3访问的安全性 (15) 3.4稳定性及高可用性 (17) 3.5低带宽运行特性 (17) 3.6部署灵活，维护简单 (18) 4典型应用 (18)

1产品概述 网御神州作为国家密码管理局批准的商用密码产品生产定点单位和销售许可单位，推出了自主研发的网神SecSSL 3600 安全接入网关（简称：“网神SSL VPN”）产品。该系列VPN安全网关采用国家密码管理局指定的加密算法，，基于成熟可靠的专用硬件平台，在保证数据通信安全的同时提供了高性能的访问控制能力，可以有效实现数据传输的安全、用户接入的安全和对内网资源的访问安全。该级别VPN产品已广泛应用于各类小型企业、大型企业/单位分支机构。 网神SSL VPN产品是以国际标准SSL协议为基础的、自主研发的、专为企业定制的、基于应用层设计的远程接入产品，网神SSL VPN为企业远程接入提供了最好的解决方案，它使传统的VPN 解决方案得到了升华，能让用户无论在世界的任何地方，只要使用浏览器就能够访问到公司总部的资源，如WINDOWS、LIUIX、UNIX等系统的商业文件和应用程序，而不需要安装任何客户端软件，网神SSL VPN可以集中管理企业内部的应用布置，配置细粒度的访问策略，可以更安全地实现权限控制，可以让不同级别的用户使用不同的应用。 网神SSL VPN 的C/S转B/S功能，让用户能够远程安全使用企业的ERP系统，而无需安全客户端软件，Web代理技术可以让用户访问企业内部的OA，网站或邮件系统，SSO 功能让用户能够安全而方便地使用企业内部资源，从而实现了统一应用，统一管理，网御神州加密的SSL协议可以保护通过因特网的信息、交易、和电子商务的安全，SSL 防止直接的网络连接，与IPSec VPN不同，

天融信-综合安全网关系统 TopGate

综合安全网关系统TopGate 产品概述 网络卫士安全网关TopGate(UTM)是天融信公司自主研发的新一代基于TOS平台研发推出的一款多功能综合应用网关产品。集合了防火墙、虚拟专用网（VPN）、入侵检测和防御（IPS）、网关防病毒、WEB 内容过滤、反垃圾邮件，流量整形，用户身份认证、审计及BT、IM控制等应用。TopGate不但能为用户提供全方位的安全威胁防护方案，还为用户提供全面的策略管理、服务质量(QoS)保证、负载均衡、高可用性(HA)以及网络带宽管理等功能。 TopGate安全网关(UTM)可灵活部署在大中型企业及其分支机构或中小企业网络的网关处，保护用户网络免受黑客攻击、病毒、蠕虫、木马、恶意代码以及未知的“零小时”（zero-hour）攻击等混合威胁的侵害；同时还为用户提供简便统一地管理各种安全特性及相关日志、报告，大大降低了设备部署、管理和维护的运营成本。除此之外，TopGate还为企业提供了CleanVPN服务，使得用户通过VPN远程访问企业内网时，确保VPN数据没有病毒等有害内容。在新攻击的防护上，TopGate对VoIP, IM/P2P, 间谍软件, 网络钓鱼, 混合攻击等都有出色的表现。 TopGate UTM 在技术上采用先进的完全内容检测技术和独特的加速引擎处理技术，可通过简单的配置和管理，以较低的维护成本为用户提供一个高级别保护的“安全隔离区”。它对经过网关的数据流量进行病毒、蠕虫、入侵等进行高效检测，而且能够阻挡来自垃圾邮件、恶意网页的威胁，所有的检测都是在实时状态下进行，具有很高的网络性能。

典型应用 产品特点 多功能与高性能的完美结合 TopGate网络卫士安全网关是高性能与多功能的完美结合，它通过提供全系列产品而为不同类型的用户提供多功能与高性能的UTM产品。真正实现了一机多用，管理简单，节省大量成本。 TopGate作为一款优秀的UTM产品，具备多种安全功能，既可以作为防火墙设备，也可以作为VPN设备、病毒网关或IPS设备，更重要的是这些功能融为一体，可同时任意组合使用，满足用户各种安全需求，为用户节省大量购置与维护成本。 完整的防火墙功能 防火墙是网关设备重要的基本功能，TopGate作为网关设备不但具有完整的3层协议以下的防火墙功能，而且还具有4～7层的防火墙防护功能。 VPN隧道内容过滤功能 企业对VPN应用越来越普及，但是当企业员工或合作伙伴通过各种VPN远程访问企业网络时，病毒、蠕虫、木马、恶意代码等有害数据有可能通过VPN隧道从远程PC或网络传递进来，这种威胁的传播方式极具隐蔽性，很难防范。 TopGate同时具备防火墙、VPN、防病毒和内容过滤等功能，并且各功能相互融合，能够对VPN数据进行检查，拦截病毒、蠕虫、木马、恶意代码等有害数据，彻底保证了VPN通信的安全，为用户提供放心的CleanVPN服务。 完全内容检测CCI技术 CCI是指Complete Content Inspection，TopGate采用了最新的完全内容检测技术，可实时将网络层数据还原

Lotus Domino邮件系统邮件网关搭建说明

Lotus Domino邮件系统邮件网关搭建说明 Lotus Domino系统作为统一协作平台，承载众多应用功能，邮件系统仅为其中一个应用，反垃圾、反病毒效果一般，如果系统老化，各种弊端会阻碍系统的正常运行，而搭建邮件网关是企业不更换邮件系统的前提下最经济适用的解决方案，下面详细说明一下： 本套部署的结构外部采用TurboGate作为邮件网关，内部采用Lotus Domino 作为内网邮件系统，此部署方法使得内网Lotus Domino邮件服务器不直接暴露在互联网，而是通过SMTP协议经过TurboGate邮件网关再接入互联网，从而保证了内网Lotus Domino邮件服务器的安全性。 一．拓扑结构图 二．部署方法 假设： ◆ TurboGate邮件网关IP地址：ip地址一：192.168.1.10 ，ip地址二：192.168.0.20

◆内网Exchange邮件服务器IP地址：192.168.0.10 1、TurboGate邮件网关部署 1.1 设置网关运行模式，网关默认域为内部Lotus Domino邮件服务器的主域名 1.2 配置内网Exchange邮件服务器允许通过TurboGate邮件网关外发邮件。 设定许可中转IP列表 进入TurboMaiL管理员-》系统设置-》SMTP服务-》允许中继地址列表，增加内网服务器IP 1.3 设定外网进入内网中转规则 进入TurboMail管理员-》系统设置-》SMTP服务-》中继网关列表 增加外网到内网规则

2、内网Lotus Domino邮件服务器的部署 设置Lotus Domino邮件服务器通过TurboGate邮件网关出去如下截图所示： 三．工作流程 1、内网Lotus Domino帐号发送邮件到公网

应用安全网关产品白皮书 v6.2

新一代的SSL VPN产品 网康应用安全网关6.2 产品白皮书 北京网康科技有限公司 2012年5月

版权声明 北京网康科技有限公司?2012版权所有，保留一切权力。 本文件中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属北京网康科技有限公司（以下简称网康科技）所有，受到有关产权及版权法保护。未经网康科技书面许可不得擅自拷贝、传播、复制、泄露或复写本文档的全部或部分内容。 信息更新 本文档仅用于为最终用户提供信息，并且随时可由网康科技更改或撤回。 适用版本 本文档适用于ASG 6.2版本。 免责条款 根据适用法律的许可范围，网康科技按“原样”提供本文档而不承担任何形式的担保，包括（但不限于）任何隐含的适销性、特殊目的适用性或无侵害性。在任何情况下，网康科技都不会对最终用户或任何第三方因使用本文档造成的任何直接或间接损失或损坏负责，即使网康科技明确得知这些损失或损坏，这些损坏包括（但不限于）利润损失、业务中断、信誉或数据丢失。 期望读者 期望了解本产品主要技术特性的用户、企业管理人员、系统管理员、网络管理员等。本文档假设您对下面的知识有一定的了解： ?Web与HTTP ?TCP/IP协议 ?SSL与IPSec ?网络安全基础知识 ?Windows操作系统

目录 1 背景 (5) 1.1 企业应用发展趋势 (5) 1.2 企业应用安全的新挑战 (5) 1.3 网康科技虚拟应用网络VAN新理念 (6) 2 网康科技应用安全网关ASG (7) 2.1 ASG产品系统架构 (8) 2.2 应用安全网关工作原理 (8) 2.3 用户使用场景 (9) 2.3.1 采用浏览器访问企业内部应用 (9) 2.3.2 使用客户端软件访问企业内部应用 (9) 2.3.3 在分支机构内部的用户 (10) 2.4 应用安全网关ASG主要功能列表 (10) 3 应用安全网关ASG功能特点与优势 (10) 3.1 SSL与IPSec二合一 (10) 3.2 高强的用户认证技术与动态认证功能模块添加 (11) 3.2.1 用户认证模板 (12) 3.2.2 动态添加第三方认证 (12) 3.3 全面支持安卓与苹果智能终端 (12) 3.4 高度整合虚拟应用，完美支持“云”计算 (13) 3.5 支持多种类型的浏览器插件 (14) 3.6 单点登陆（SSO） (14) 3.7 支持用户自注册与在线审核 (15) 3.8 用户账户的自助管理 (15) 3.9 虚拟站点，支持门户定制化 (17) 3.10 支持自用软件的自助上传 (18) 3.11 基于应用的访问策略控制 (18) 3.12 客户终端接入扫描与终端流量控制 (19) 3.13 完备的系统管理方式 (19) 3.14 丰富的日志与统计报表工具 (20) 3.15 双机与多机热备 (20) 3.16 简便易用，快速部署 (22) 3.16.1 无需安装客户端软件，即插即用 (22) 3.16.2 Web优化技术 (22) 3.16.3 支持各种网络环境 (22) 3.16.4 动态页面重构技术，完美支持WEB应用访问 (23) 3.16.5 使用SSL Tunnel技术支持所有的C/S架构应用 (23) 3.16.6 大量使用配置模板与默认设置，方便管理 (24) 3.16.7 典型配置指导 (24) 3.16.8 开机快速初始化，无需复杂配置 (24) 4 应用安全网关的部署建议 (26) 4.1 网关方式部署 (26)

亿邮邮件网关使用说明手册(用户)

创造网络通讯新时代 使用说明eYou邮件网关系统 邮件网关用户 使用说明手册 2004.08.31 0

目录 I 用户模块概述 (1) I.1 我的队列 (1) I.2 我的日志 (3) I.2.1 综合年报表 (3) I.2.2 综合月报表 (6) I.3 帐户白名单 (6) I.4 帐户黑名单 (7) II 退出 (8) 亿中邮信息技术有限公司E000-T302-040831 1

文档约定 本文档中的特定信息通过特定格式表现，约定如下： 以下划线加粗表示浏览器页面中出现的超级链接。如：文件夹。 以【】封装列表框、单选按钮、输入框和按钮的提示信息。如：【立即发送】。 以“”封装的表示操作过程中出现在页面或终端屏幕上的提示信息，如：“邮件数目统计”。 ?北京亿中邮信息技术有限公司 北京市东城区东长安街1号 ? 东方广场东方经贸城W2办公楼510-512室 邮政编码：100738 电话 86-10-85183666 ? 传真 86-10-85182696 亿中邮信息技术有限公司E000-T302-040831 2

I用户模块概述 为了减轻管理员的负担和工作压力，eYou邮件网关中还提供了用户操作功能，实现了用户与管理员的互动。使用户能够实时查看自己处于等待队列中的信件，并参与信件的处理过程，并且可以对这些信件进行处理。如图I-1所示页面为邮件网关的用户界面。 登录方法：http://地址/ 用户名：用户的邮箱地址 密码：用户邮箱的密码 图I-1 I.1 我的队列 用户通过“我的队列”可以查看到处于网关拦截队列中的信件的基本信息，包括：发信时间、匹配规则、收件人地址、发件人地址、信件大小和信件主题等。凡是处于队列中的信件大部分都是符合管理员设置的过滤规则，并且过滤动作为等待的信件或者是通过邮件网关内置的智能反垃圾邮件引擎过滤的信件，还有一些是被系统拒绝的IP地址发来的信件。 在如图I-2所示页面中，用户可以通过点击【查看】对应的图标查看信件的内容；通过点击动作下面对应的【删除】图标可以将此封信件删除；点击【投递】对应的图标，此封信件会被正常投递，并且被投递的信件会记录到投递成功的队列里面。 亿中邮信息技术有限公司E000-T302-040831 1

深网DEEPNET系列产品白皮书

DN-B12系列V5.0.a 上网行为管理和审计产品技术白皮书 上海深腾信息技术有限公司 2009年2月

版权说明 上海深腾信息技术有限公司? 2008版权所有，保留一切权力。 本文件中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属深腾信息技术有限公司(以下简称深腾)所有，受到有关产权及版权法保护。任何个人、机构未经深腾信息的书面授权许可，不得以任何方式擅自拷贝、传播、复制、泄露或复写本文档的全部或部分内容。 信息更新 本文档仅用于为最终用户提供信息，并且随时可由深腾信息更改或撤回。 免责条款 根据适用法律的许可范围，深腾信息按“原样”提供本文档而不承担任何形式的担保，包括（但不限于）任何隐含的适销性、特殊目的适用性或无侵害性。在任何情况下，深腾信息都不会对最终用户或任何第三方因使用本文档造成的任何直接或间接损失或损坏负责，即使深腾信息明确得知这些损失或损坏，这些损坏包括（但不限于）利润损失、业务中断、信誉或数据丢失。 商标信息

目录 1. 互联网概述 (4) 1.1 互联网访问带来的威胁 (4) 1.2．上网行为管理的必然性 (5) 1.3．深网DEEPNET帮助用户解决互联网访问带来的威胁 (5) 2. 产品优势特性 (6) 2.1 嵌入式的操作系统 (6) 2.2 网络数据处理芯片 (7) 2.3 硬件设计 (7) 2.4 分体式管理 (7) 2.5 继承式策略管理 (8) 2.6 版本智能管理 (8) 2.7 双线接入 (8) 2.8 内容墙技术 (9) 2.9 流控门技术 (9) 2.10 行为聚类技术 (9) 2.11 BY-PASS (10) 2.12 LCD液晶信息面板 (10) 3. 功能介绍 (10) 3.1 上网行为管理功能(DeepNet Manager System) (10) 3.2 上网行为审计功能(DeepNet Comptroller System) (15) 3.3 路由功能 (19) 3.4 防火墙功能 (20) 3.5 整体方案导入/导出 (20) 4. 产品规格 (20) 5. 部署方式 (21) 6. 关于深腾信息 (24)

安全网关和IDS互动解决方案

安全网关和IDS互动解决方案 该方案特点： 通过安全网关（被动防御体系）与入侵检测系统（主动防御体系）的互动，实现“主动防御和被动防御”的结合。对在企业内网发起的攻击和攻破了安全网关第一道关卡的黑客攻击，可以依靠入侵检测系统阻断和发现攻击的行为，同时通过与安全网关的互动，自动修改策略设置上的漏洞不足，阻挡攻击的继续进入。两者的联动示意如下图： 方案概述： 1、项目简介 某市电力局为安徽省级电力公司下属的二级单位，信息化程度较高，目前已经建成生产技术和运行子系统、用电管理子系统、办公自动化子系统、财务子系统、物资子系统和人劳党政子系统等。 该电力局内部网络与三个外网相连，分别通过路由器与省电力公司网络、下属六个县局

网络和银行网络进行数据交换。 2、安全方案 通过对该电力局的网络整体进行系统分析，考虑到目前网上运行的业务需求，本方案对原有网络系统进行全面的安全加强，主要实现以下目的： 1)保障现有关键应用的长期可靠运行，避免病毒和黑客攻击； 2)防止内外部人员的非法访问，特别是对内部员工的访问控制； 3)确保网络平台上数据交换的安全性，杜绝内外部黑客的攻击； 4)方便内部授权员工（如：公司领导，出差员工等）从互联网上远程方便地、安全地 访问内部网络，实现信息的最大可用性； 5)能对网络的异常行为进行监控，并作出回应，建立动态防护体系。 为了实现上述目的，我们采用了主动防御体系和被动防御体系相结合的全面网络安全解决方案，如下图所示。

主动防御体系 主动防御体系由漏洞扫描和入侵检测及与安全网关的联动系统组成。 主要在网络中心增加“入侵检测系统”、“漏洞扫描系统”和统一的“安全策略管理”平台。用户主动防范攻击行为，尤其是防范从单位内部发起的攻击。 对在企业内网发起的攻击和攻破了安全网关第一道关卡的黑客攻击，可以依靠入侵检测系统阻断和发现攻击的行为，同时通过与安全网关的互动，自动修改策略设置上的漏洞不足，阻挡攻击的继续进入。 本方案在交换机上连入第三方的入侵检测系统,并将其与交换机相连的端口设置为镜像端口，由IDS传感器对防火墙的内口、关键服务器进行监听，并进行分析、报警和响应；在入侵检测的控制台上观察检测结果，并形成报表，打印。 在实现安全网关和入侵检测系统的联动后,可以通过下面方法看到效果：使用大包ping 位于安全网关另一边的主机（这属于网络异常行为）。IDS会报警，ping通一个icmp包后无法再ping通。这时检查安全网关“访问控制策略”会发现动态地添加了阻断该icmp的策略。 “漏洞扫描系统”是一种网络维护人员使用的安全分析工具，主动发现网络系统中的漏洞，修改安全网关和入侵检测系统中不适当的设置，防患于未然。 “安全策略管理”统一管理全网的安全策略（包括：安全网关、入侵检测系统和防病毒等），作到系统安全的最优化。 被动防御体系 被动防御体系主要采用上海本公司的SGW系列安全网关(Firewall+VPN)产品。 在Cisco路由器4006与3640之间，插入安全网关SGW25是必须的。主要起到对外防止黑客入侵，对内进行访问控制和授权员工从外网安全接入的问题，SGW25在这里主要发挥防火墙和VPN的双重作用。 1)保障局域网不受来自外网的黑客攻击，主要担当防火墙功能； 2)能够根据需要，让外网向internet的访问提供服务，如：Web，Mail，DNS等服务； 3)对外网用户访问（internet）提供灵活的访问控制功能。如：可以控制任何一个内 部员工能否上网，能访问哪些网站，能不能收发email、ftp等，能够在什么时间 上网等等。简而言之，能够基于“六元组”【源地址、目的地址、源端口号（即： 服务）、目的端口号（即：服务）、协议、时间】进行灵活的访问控制。 4)下属单位能够通过安全网关与安全客户端软件之间的安全互联，建立通过

安全隔离网闸疑难问题大全

安全隔离网闸疑难问题大全（40问） 1、网闸全称是什么？网闸的英文名称是什么？ 网闸的全称是安全隔离网闸。网闸的英文名称是"GAP"。 2、安全隔离网闸是什么？ 安全隔离网闸是一种由带有多种控制功能专用硬件在电路上切断网络之间的链路层连接，并能够在网络间进行安全适度的应用数据交换的网络安全设备。 3、安全隔离网闸是硬件设备还是软件设备？ 安全隔离网闸是由软件和硬件组成。 4、安全隔离网闸硬件设备是由几部分组成？ 安全隔离网闸的硬件设备由三部分组成:外部处理单元、内部处理单元、隔离硬件。 5、为什么要使用安全隔离网闸？ 当用户的网络需要保证高强度的安全，同时又与其它不信任网络进行信息交换的情况下，如果采用物理隔离卡，信息交换的需求将无法满足；如果采用防火墙，则无法防止内部信息泄漏和外部病毒、黑客程序的渗入，安全性无法保证。在这种情况下，安全隔离网闸能够同时满足这两个要求，又避免了物理隔离卡和防火墙的不足之处，是最好的选择。 6、隔离了，怎么还可以交换数据？ 对网络的隔离是通过网闸隔离硬件实现两个网络在链路层断开，但是为了交换数据，通过设计的隔离硬件在两个网络对应的上进行切换，通过对硬件上的存储芯片的读写，完成数据的交换。 7、安全隔离网闸能够交换什么样的数据？ 安装了相应的应用模块之后，安全隔离网闸可以在保证安全的前提下，使用户可以浏览网页、收发电子邮件、在不同网络上的数据库之间交换数据，并可以在网络之间交换定制的文件。 8、安全隔离网闸的主要性能指标有那些？ 性能指标包括： 系统数据交换速率：120Mbps 硬件切换时间：5ms 9、安全隔离网闸通常具备的安全功能模块有那些？ 安全隔离、内核防护、协议转换、病毒查杀、访问控制、安全审计、身份认证 10、为什么说安全隔离网闸能够防止未知和已知木马攻击？ 通常见到的木马大部分是基于TCP的，木马的客户端和服务器端需要建立连接，而安全隔离网闸从原理实现上就切断所有的TCP连接，包括UDP、ICMP等其他各种协议，使各种木马无法通过安全隔离网闸进行通讯。从而可以防止未知和已知的木马攻击。

MailGateway邮件安全网关产品解决方案

MailGateway邮件安全网关产品解决方案随着计算机技术的普遍使用，对外发送电子文档已经成为我们日常工作和生活必不可少的方式，而邮件则成为企业日常办公必需的工具，怎样有效控制邮件外发文件，防止机密数据和敏感信息二次扩散，是当今企业所面临的重大安全问题之一。 I.需求分析 1.企业应用需求 1)邮件外发附件支持自动加解密。 2)与可信任客户合作厂商邮件交流，无需审批外发附件自动解密。 3)可根据需求灵活设置外发邮件附件自动解密名单。 4)可追溯邮件外发附件自动解密记录，方便审计。 5)应用系统必须可靠易操作。 2.预期目标 对于企事业单位用户使用邮件加解密网关后，用户与可信任客户合作厂商邮件交流无需走繁琐的审批流程，提高工作效率。邮件外发自动解密名单可根据需要灵活设置，权限设置和附件外发解密记录可追溯，用户工作习惯不改变。II.解决方案 1.方案概述 针对该类需求，MailGateway邮件安全网关能够全面解决该类信息资产安全问题。 适用于任何基于TCP/IP协议的网络体系（局域网或广域网），部署方便不改变原有网络结构。以下是方案部署拓扑图：

企业内部网络企业数据中心机房 2.方案效果 运行效果如下： 1)用户在邮件外发时先经过内部邮件服务器，然后转发到MailGateway，再转发到外部邮件服务器分发最终用户；邮件接收时直接经外部邮件服务转发到企业内部邮件服务器分到接收用户无需再经过MailGateway。 2) 邮件经过MailGateway时，根据设置策略匹配决定附件是否解密。 3) 邮件白名单设置后发到该用户的所有邮件自动解密附件。 4) 邮件白名单设置由管理员设定。 以下是方案效果示意图

网神配置指南

网神设置指南 1. 资料准备 需从备件中找齐网神资料，主要有：《第一次使用注意须知》、《装箱单》、光盘和USBKey。其中，《第一次使用注意须知》有《网神信息安全产品Licence信息申请表》，须参考《装箱单》中商品编号和出厂编号填入申请表内，发送到指定邮箱以获取许可号。 2. 网神设置 2.1. 主机设置 将本机IP设置为10.50.10.44，子网掩码为255.255.255.0。将光盘中的Admin Cert文件夹打开，安装，双击SecGateAdmin程序安装许可证，安装过程中需要输入密码，默认密码为123456。安装结束后将网线连接网神网口FEGE1，通过浏览器连接（注意，IE和goole chrome浏览器都可能会阻止连接，可使用360浏览器）。在IE地址栏中敲入：https://10.50.10.45:8889 进行登入，默认密码为：firewall。即可进入网神设置画面。 2.2. 防火墙设置 2.2.1. 导入许可证 初次进入防火墙设置界面需要将网神公司发来的许可License导入，才可以对其设置。具体方法为：点击系统配置升级许可导入许可证，点击“浏览”，将网神发来的许可证导入即可。如下图：

2.2.2. 网络接口 对需要设置透明桥的网口设置成混合模式，具体方法如下：点击网络配置网络接口点击右边“操作”将“工作模式”选择为“混合”点击“保存配置”。 2.2. 3. 透明桥设置 须将一、二区连接的网口设置成透明桥，如需将网口2和网口3设置成透明桥，设置如下：点击“网络设置”透明桥点击“添加”将需要连接的网口添加到右边点击确定点击“启动透明桥监控”点击确定点击“保存配置”。

蓝盾信息攻防实验室技术白皮书

蓝盾信息攻防实验室 技术白皮书 蓝盾信息安全技术股份有限公司

目录 一．背景 (3) 1.1背景 (3) 1.2目的 (3) 二.信息安全攻防实验室概述 (4) 2.1概述 (4) 2.2系统组成 (4) 2.2.1系统软硬件 (4) 2.2.2系统模块构成 (5) 2.3课程设计 (5) 三.教学实验室管理平台系统功能 (7) 3.1用户管理 (7) 3.2设备管理 (8) 3.3系统管理 (8) 3.4课件管理 (9) 3.5考试管理 (9) 3.6控制台 (9) 3.7平台拓扑 (10) 3.8架构图和部署方式 (11) 四．攻防实验室平台特点 (12) 五．性能指标（默认装配设备） (13) 附录：基础课程安排 (14) 1.法律法规基础教育： (14) 2.网络攻击教学和实验： (14) 3.安全防御教学和实验： (14) 4.配套安全硬件： (15)

一．背景 1.1背景 随着信息技术不断发展，各行业用户对信息系统的依赖程度也越来越高，建立持续、稳定、安全的网络是保障用户业务发展的前提。近年来，用户都已经认识到了安全的重要性。纷纷采用防火墙、加密、身份认证、访问控制，备份等保护手段来保护信息系统的安全。 然而，种种安全措施并不能阻止来自各方各面的安全威胁，病毒、木马、黑客攻击、网络钓鱼、DDOS等妨害网络安全的行为手段层出不穷，而且技术越来越复杂，病毒、木马及黑客技术等融合造成了网络安全的巨大危机。 也正因如此，国内市场对于网络安全人才的需求日趋迫切，网络安全行业的就业需求将以年均14%的速度递增，网络安全人才的薪资水平普遍较高，走俏职场成为必然。 于是，我们开始关注对于网络安全人才的教育培训。但目前对于大部分高校来说，安全教育培训仍是薄弱环节： 1.虽设有信息安全专业，但没有建设完整的有特色的安全实验室； 2.实验设备简陋、单一，大部分实验仍然依托虚拟机来进行，实验效果大打折扣； 3.教师信息安全教学经验不足，无法切合学生实际情况进行针对性的教学； 4.实验室千篇一律，配套多媒体教案不足，可开展的实验内容过于陈旧。 在这种背景之下，在高校内建设信息攻防实验室就成为势在必行。 1.2目的 1）提高学生理论水平 2）锻炼学生实际动手能力

安全网关产品说明书

安全网关产品说明书集团文件发布号：（9816-UATWW-MWUB-WUNN-INNUL-DQQTY-

安全网关产品说明书 介绍 欢迎并感谢您选购联通网络信息安全产品，用以构筑您的实时网络防护系统。ZXSECUS统一威胁管理系统（安全网关）增强了网络的安全性，避免了网络资源的误用和滥用，帮助您更有效的使用通讯资源的同时不会降低网络性能。ZXSECUS统一安全网关是致力于网络安全，易于管理的安全设备。其功能齐备，包括：应用层服务，例如病毒防护、入侵防护、垃圾邮件过滤、网页内容过滤以及IM/P2P过滤服务。 网络层服务，例如防火墙、入侵防护、IPSec与SSLVPN，以及流量控制。 管理服务，例如用户认证、发送日志与报告到USLA、设备管理设置、安全的web与CLI管理访问，以及SNMP。 ZXSECUS统一安全网关采用ZXSECUS动态威胁防护系统（DTPSTM）具有芯片设计、网络通信、安全防御及内容分析等方面诸多技术优势。独特的基于ASIC上的网络安全构架能实时进行网络内容和状态分析，并及时启动部署在网络边界的防护关键应用程序，随时对您的网络进行最有效的安全保护。 ZXSECUS设备介绍 所有的ZXSECUS统一安全网关可以对从soho到企业级别的用户提供基于网络的反病毒，网页内容过滤，防火墙，VPN以及入侵防护等防护功能。 ZXSECUS550 ZXSECUS550设备的性能，可用性以及可靠性迎合了企业级别的需求。ZXSECUS550同样也支持高可用性群集以及包括在HA设备主从设备切换时不会丢弃会话，该设备是关键任务系统的理想选择。 ZXSECUS350

北京力控华康——安全隔离网关

北京力控华康——安全隔离网关： 为了满足“两化融合”的需要，某些工业控制网络原封闭的控制专网急需与其它相关外网或国际互联网实现实时数据交换。但网络外联可能导致工业控制网络发生病毒泛滥、入侵攻击、信息泄露等潜在的安全事故，因此网络管理者面对着推进应用和引入安全威胁的矛盾抉择。基于pSfetetyLink安全隔离网闸的网络外联安全隔离解决方案，可有效解决工业控制网络外联时面临的安全问题。 系统硬件平台由内网主机系统、外网主机系统、隔离交换系统三部分组成。内网/外网主机系统分别具有独立的运算单元和存储单元，隔离交换系统基于PSL技术及相应的隔离加密电路，不受主机系统控制，独立完成应用数据的封包、摆渡、拆包，从而实现内外网之间的数据隔离交换。基于PSL的实时数据交换技术，分别解决了安全隔离网闸进行数据过滤和摆渡时性能低的业内难题，保证数据交换延迟时间低于1ms，从而满足了用户对高性能安全隔离网闸的需求 以统一安全引擎为基础，对隔离交换报文进行全文数据还原，对用户登录、命令请求、文本信息、协议格式等实施全文深度检测，并支持特定应用层协议标签的检测控制，实现了对特定信息交换多重内容安全管理，为工业控制系统网络间数据交换提供了“绿色通道”。 基于高效的IO调度模型，多重冗余方案，支持自身端口冗余、链路聚合、双机热备、多台安全隔离网闸负载均衡，保障了用户网络和应用的高可靠性。 安全的物理隔离“2+1”系统架构 独立的运算单元和存储单元，各自运行独立的操作系统和应用系统 安全隔离区采用私有加密的数据交互技术，数据交换不依靠TCP/IP协议 私有的定制操作系统， 具备完善的身份认证管理与安全审计功能，保证了系统的机密性、完整性和不可否认性 强大的数据交换能力和多种工业通信协议支持 工业通信协议，OPC/MODBUS/IEC 60870-5-101、103、104/DLT645 断线缓存，续传 实时数据交换，数据吞吐量10，000点/秒 完整的安全策略部署 访问控制 身份认证 安全审计 数据完整性 可靠的冗余方案和故障自诊断技术

安全网关产品介绍

安全网关产品介绍 一、产品定义 简单的说：是为互联网接入用户解决边界安全问题的安全服务产品。 详细的说：“安全网关”是集防火墙、防病毒、防垃圾邮件、IPS 入侵防御系统/IDS入侵检测系统、内容过滤、VPN、DoS/DdoS攻击检测、P2P应用软件控制、IM应用软件控制等九大功能和安全报表统计分析服务为一体的网络信息安全产品。 二、产品特点 1）采用远程管理方式，利用统一的后台管理平台对放在客户网络边界的网关设备进行远程维护和管理。 2）使用范围广，所有运营商的互联网专线用户均可使用。 3）解决对信息安全防护需求迫切、资金投入有限、专业人员缺乏的客户群体，以租用方式为用户提供安全增值服务，实现以较低成本获得全面防御。 4）功能模块化、部署简便、配置灵活。 四、（UTM）功能模块 1）防火墙功能及特点：针对IP地址、服务、端口等参数，实现网络层、传输层及应用层的数据过滤。 2）防病毒功能及特点：能够有效检测、消除现有网络的病毒和蠕虫。实时扫描输入和输出邮件及其附件。

3）VPN功能及特点：可以保护VPN网关免受Ddos（distributed Deny of Service）攻击和入侵威胁，并且提供更好的处理性能，简化网络管理的任务，能够快速适应动态、变化的网络环境。 4）IPS（Intrusion Prevention System , 入侵防御系统）功能及特点：发现攻击和恶意流量立即进行阻断；实时的网络入侵检测和阻断。随时更新攻击特征库，保障防御最新的安全事件攻击。 5）Wed内容过滤功能及特点：处理浏览的网页内容，阻挡不适当的的内容和恶意脚本。 6）垃圾邮件过滤功能及特点：采用内容过滤、邮件地址/MIME头过滤、反向DNS解析以及黑名单匹配等多种垃圾邮件过滤手段。 7）DoS/DDoS（distributed Deny of Service）攻击检测功能：“安全网关”能够有效检测至少以下典型的DoS/DDoS攻击，并可以根据设定的Tcp_syn_flood、udp_flood等阀值阻断部分攻击。 8）P2P应用软件控制功能：可以实现对BitTorrent、eDonkey、Gnutella、KaZaa、Skype、WinNY，Xunlei等P2P软件的通过、阻断及限速。 9）IM应用软件控制功能：“安全网关”提供对IM应用软件的控制功能，可以实现对AIM、ICQ、MSN、Yahoo!、SIMPLE、QQ等IM软件的控制，包括：阻断登录、阻断文件传输等控制。 10）安全报表服务：“安全网关”提供用户报表定制功能，能够根据用户的要求对报表格式、发送方式及发送频率进行定制。其中内容包括：A、安全服务套餐报表；B、安全策略设置一览表；C、网络带宽占用及流量分析报告或报表；D、攻击事件分析报告或报表；E、按名称的病毒排名：本客户的病毒爆发次数排名；F、按IP的病毒排名：本客户所有计算机的病毒爆发多少排名；G、垃圾邮件排名：统计垃

安全网关业务常见问题

安全网关业务常见问题 Q:安全网关支持哪些网络接入模式？ A:安全网关支持两种网络接入模式:一种是网桥模式，一种是网关模式。网关模式下有ADSL拨号、静态路由、DHCP client端三种外网接入类型。 Q:网桥模式下安全网关应该部署在网络中的什么位置？ A:如果安全网关采用网桥模式，通常情况下应该部署在企业接入设备（防火墙或者路由器）的后面。安全网关的两个网口（内网口和外网口）连接的是同一网段的两个部分,用户只需给安全网关配置一个本网段的IP地址，不需要改变网络拓扑以及其它配置，透明接入网络。 Q:网关模式下安全网关应该部署在网络中的什么位置？ A:如果安全网关采用网关模式，通常情况下应该部署在企业网络出口处，做为宽带网络接入设备，保护整个内部网络。 Q:无法通过浏览器登录安全网关的管理页面？ A:出现这种情况有以下几个原因： 未将登陆pc加入安全网关的管理客户端 网络无法连通（该登陆PC到安全网关的链路） Q:为什么在外网ping不通安全网关的外网口地址？ A:安全网关出于安全考虑对外网口是禁ping的，因此是ping不通外网口地址的。不过从内网PC能ping通安全网关的外网口地址。 Q:安全网关支持哪些方式的VPN? A:对于企业连接不同地域网络的需求，安全网关提供了VPN功能，企业可以通过Internet连接不同地域的网络。 安全网关提供IPSEC和PPTP VPN接入方法。安全网关的VPN功能适用于网关接入模式下。 Q:安全网关安装完毕后，为什么能ping通外网，而无法浏览网页？ A:出现这种情况有以下的原因 如果安全网关作为网桥模式部署在防火墙的后面，并且做了访问控制的策略，由于安全网关对于扫描的协议采取的是非透明的方式，所以需要增加安全网关的地址到策略中； 未在安全网关中设置本地区的DNS服务器，或pc客户端的DNS设置有误。 Q:安全网关支持DHCP服务器功能吗？ A:安全网关可以做为一个单一DHCP 服务器使用，也可以成为其他DHCP服务器的代理。网关模式支持DHCP服务器功能，网桥模式下不支持DHCP服务器功能。 Q:如果忘记安全登录密码，怎么办？

Exchang服务器部署邮件网关

Exchang服务器部署邮件网关 这是一种常见的部署方案，用internet邮件网关，它减轻了主Exchange服务器的垃圾邮件过滤负担，是所有出入电子邮件的第一站。拥有一个独立的网关让我可以把Exchange服务器放在防火墙后面，DMZ之外。如果我需要重新启动或者维护我的Exchange服务器的时候，网关服务器仍然可以接收来自互联网的电子邮件。还可在网关这里部署反病毒，反垃圾邮件系统。好处太多了，大家尝试下慢慢体会。 下面先来看看我们是如何做的。 环境如下： 一台外网的exchange邮件服务器(contoso.msft) 一台DNS服务器， 一台网关服务器， 一台内网的exchange服务器(nwtrader.msft)， 两台客户端（可有可没） 实现目的：internet邮件网关，内网通过网关服务器收发邮件。 拓扑图： 先把环境部署好， 先建立外网DNS服务器，手工建立两个区域，目的为了能让他们相互解释。 安装我就不多说，在控制面版－添加删除程序－安装windows组件。 区域解释的指向我们要注意： contoso.msft就是直接指向他所在的IP：1.1.1.2 MX：1.1.1.2

nwtrader.msft是内网的exchange服务器，现在让网关来替它收发邮件，所以外网解释的时候是解释到网关的IP：1.1.1.1 MX：1.1.1.1

在网关和外网邮件服务器设置好，能相互解释，我们看看结果。我在外网contoso.msft设置了转发器来解释。

在internet网关服务器上设置DNS指向1.1.1.254。

接下来我们就是在设置一台独立的网关服务器，我用windows自带的SMTP来搭建。 先安装：windows安装程序下IIS里面的SMTP。 接下来，我们配置SMTP属性，在运行里面输入inetmgr，右键打开SMTP虚拟服务器属性，打开在“常规”中，为该服务器配置一个IP地址。然后点击“访问”。在这里可以配置认证和连接参数。如果希望在网关和主服务器之间建立安全连接，可以在这里进行设置。在这里我们关心的是转发。为了不让网关成为一

神州数码安全 DC-FW 高性能防火墙 技术白皮书

神州数码 DC-FW v3.1高性能防火墙 技术白皮书 北京神州数码有限公司 2007年8月

目录 一、序言 (2) 二、神码安全DC-FW v3.1高性能防火墙概述 (3) 三、神码安全DC-FW v3.1高性能防火墙技术特色 (3) 3.1 专用安全操作系统 (3) 3.2 纯硬件架构 (3) 3.3 状态检测技术、核检测技术以及入侵模式匹配监测 (3) 3.4 深度的内容检测、强大的P2P拦截功能 (3) 3.5 严格的访问控制策略 (4) 3.6 危险网站阻隔 (4) 3.7 敏感数据拦截 (5) 3.8 强大的QOS、丰富的日志报表功能 (5) 3.9 访问跟踪、审计 (5) 3.10 防止DOS攻击 (5) 3.11 强大的VPN功能 (6) 3.12 支持VOIP (6) 3.13 桥式防火墙 (7) 3.14 强大的审计功能 (7) 四、DC-FW v3.1 技术参数指标 (7)

一、序言 随着网络的发展和Internet的广泛应用，当今的网络安全威胁已经由原来的针对TCP/IP 协议本身弱点的攻击转向针对特定系统和应用漏洞的攻击和入侵。回顾2004年，以冲击波、震荡波、安哥Bot、MyDoom等蠕虫与木马病毒为主的网络化病毒，加上利用网络协议及应用漏洞进行攻击与入侵行为，给全球企业造成了巨大的损失。据统计，仅2004年，病毒等恶意程序就给全球造成了1690亿美元的经济损失。 此时，传统的防火墙已经显得无能为力。例如针对Windows系统和Oracle/SQL Server 等数据库的攻击，这些攻击和入侵手段封装在TCP/IP协议的有效载荷部分。传统的防火墙由于只查TCP/IP协议包头部分而不检查数据包的内容，所以无法检测出此类攻击。基于网络传播的病毒及间谍软件给互联网用户造成了巨大的损失，层出不穷的即时消息和P2P应用（例如MSN、QQ、BT等）给企业带来许多安全威胁并降低员工的工作效率。传统的防火墙设备在面对这些复合型的安全威胁时，已经不能满足客户的安全需求。 防火墙设备包括防火墙，VPN，IPS等多种功能。已经成为网络安全产品的一个发展方向。 面对着这些日益严重的复合型安全威胁时，企业往往为了完整的保护内部IT资源，需要投资购买大量的设备，包括VPN，防火墙，IDS，网络监控设备等多种设备。神码安全高性能防火墙集所有这些安全功能于一身，一台设备就能提供完整的安全解决方案，省去了购买众多冗余设备的成本与维护成本。 神码安全高性能防火墙内置神码安全的领先VPN技术，拥有神码安全高性能防火墙VPN的所有强大功能。除此之外，神码安全高性能防火墙防火墙拥有高效的IPS(入侵防御系统)功能，能有效识别和抵御多种攻击，更大范围的保护了企业连接到Internet的安全。 为保证企业合理使用Internet资源，防止企业信息资产泄漏，神码安全高性能防火墙提供了完善的访问控制功能。通过合理设置访问权限，杜绝了对不良网站和危险资源的访问，防止了P2P软件对企业网络带来的安全风险。通过带宽管理和访问跟踪技术，能有效防止对Internet资源的滥用。神码安全高性能防火墙安全审计功能更为防止保密信息泄漏提供了最有效的保证。

新一代多核安全网关-SG-6000-M3100

新一代多核安全网关 SG-6000-M3100 SG-6000是Hillstone山石网科公司全新推出的新一代多核安全网关系列产品。其基于角色，深度应用的多核Plus?G2安全架构突破了传统防火墙只能基于IP和端口的防范限制。处理器模块化设计可以提升整体处理能力，突破传统UTM在开启病毒防护或IPS等功能所带来的性能下降的局限。SG-6000-M3100处理能力高达1Gbps，适用于政府机关、企业、教育等机构，可部署在网络的主要结点、及Internet出口，为网络提供基于角色，深度应用安全的访问控制、IPSec/SSLVPN、应用带宽管理、病毒过滤、入侵防护、上网行为管理等安全服务。 产品亮点 新一代防火墙 - 深度应用安全 随着网络的快速发展，越来越多的应用都建立在HTTP/HTTPS等应用层协议之上。新的安全威胁也随之嵌入到应用之中，而传统基于状态检测的防火墙只能依据端口或协议去设置安全策略，根本无法识别应用，更谈不上安全防护。 Hillstone山石网科新一代防火墙可以根据应用的行为和特征实现对应用的识别和控制，而不依赖于端口或协议，即使加密过的数据流也能应付自如。 StoneOS?识别的应用多达几百种，而且跟随着应用的发展每天都在增加；其中包括P2P、IM(即时通讯)、游戏、办公软件以及基于SIP、H.323、HTTP等协议的应用。同时，应用特征库通过网络服务可以实时更新，无须等待新版本软件发布。 全面的VPN解决方案 SG-6000多核安全网关支持多种IPSec VPN的部署，它能够完全兼容标准的IPSec VPN。SG-6000系列产品对VPN(包括SSL VPN)都提供硬件加速，结合多核平台的处理能力，可为用户提供高容量、高性能的VPN解决方案。 Hillstone独具特色的即插即用VPN，可以让远端分支机构只需简单的用户名和密码即可自动从中心端下载网络和安全配置，完全解决了传统IPSec VPN设备配置难、使用难、维护成本高的缺点。 SG-6000多核安全网关还通过集成第三代SSL VPN实现角色访问控制和即插即用特性，为用户提供方便、快捷的安全远程接入服务。 内容安全(UTM Plus?) SG-6000可选UTM Plus?软件包提供病毒过滤，入侵防御，内容过滤，上网行为管理和应用流量整形等功能，可以防范病毒，间谍软件，蠕虫，木马等网络的攻击。关键字过滤和基于超过2000万域名的Web页面分类数据库可以帮助管理员轻松设置工作时间禁止访问的网页，提高工作效率和控制对不良网站的访问。病毒库，攻击库，URL库可以通过网络服务实时下载，确保对新爆发的病毒、攻击、新的URL做到及时响应。 安全可视化 - 基于角色和应用的管理 没有能见度就谈不上安全。StoneOS?的应用和身份识别，能够满足越来越多的深度安全需求。 基于身份和角色的管理(RBNS)让网络配置更加直观和精细化。不同的用户甚至同一用户在不同的地点或时间都可以有不同的管理策略。用户访问的内容也可以记录在本机存储模块或专用服务器中，通过用户的名称审阅相关记录使查找更简单。