企業版
部門級
天網專為小型辦公室/機構的内部網絡而設計的天網防火牆牆部門級,功能全面,集高安全性及高可用性于一身,使用簡單靈活。能夠有效抵禦來自互聯網的各種攻擊,保障内部網絡正常服務的正常運行。您還可以根據實際需要選擇不同的附加功能模塊,滿足您不斷進步的要求。
防火牆型号:部門級FW2010
系統功能:
1、國内首個自主版權的專業防火牆内核
2、基于狀态檢測的包過濾防火牆
3、具有包過濾功能的虛拟網橋
4、具有TCP标志位檢測功能
5、具有雙向的網絡地址轉換功能
6、支持網絡端口多個IP地址綁定,支持多子網及多IP應用
7、支持IP地址與網卡MAC地址綁定
8、實時系統與網絡狀态監控
9、功能模塊軟件升級簡便,便于擴展
10、基于WEB界面的管理,易于管理
典型網絡方案:
一個小型辦公室/機構通常有一個獨立的局域網,通過共享一個專線(ADSL,DDN等)連接接入Internet,需要保護内部網絡不受外部入侵。在這個典型應用中,把防火牆架構在撥号接入設備之後,即可保護小型企業内部網絡用戶訪問Internet的安全。
企業型
在政府及大型企業中,有獨立的大規模的局域網,需要實現局域網通過各種寬帶連接訪問外部網絡的,同時需要為外部網絡提供的各種應用服務。面向大型企業網絡的天網防火牆企業級,除具有天網防火牆獨有的攻擊防禦功能,TCP标志檢測等優秀基本功能外,強大的處理能力配合完美的功能模塊,能以接近透明的方式保護企業内部成千上萬的工作站及重要的服務器群,絕對不會成為網絡瓶頸。通過設置天網防火牆,在局域網内分離出内部網區和中立區,分布保護對外的服務器和内部局域網的網絡安全。
推薦型号:天網防火牆企業級FW3010标準型,天網防火牆企業級FW3060擴展型
基本防火牆系統功能包括:
1、自行開發的優良的防火牆内核
2、基于狀态檢測的包過濾功能
3、具有包過濾功能的虛拟網橋功能
4、具有TCP标志位檢測功能
5、具有雙向的網絡地址轉換功能
6、具有流量統計與流量限制功能
7、通過界面升級,操作方便
8、具有國際首創的DoS防禦網關技術,能有效的防止各種類型的DoS攻擊
9、支持一個網絡端口綁定多個IP地址,從而支持多個子網和多種IP應用。
10、支持IP與MAC地址綁定,有效地管理IP地址資源
11、具有實時系統監控功能,能觀察系統的運行狀态及網絡連接狀況
12、具有實時報警功能,通過撥打電話和Email的方式報警
13、具有系統操作記錄,可以記錄系統管理員的所有操作情況
網絡黑洞模塊
用于阻擋黑客的網絡結構探測,返回錯誤的信息給黑客,可以有效的防止外來攻擊。
網絡數據記錄模塊
用于記錄網絡數據流量、用戶流量計費等功能,該模塊需要在一台PC機上安裝一個客戶端軟件進行數據收集、分析和處理,還可以把分析結果導入數據庫,實現自動處理。
本方案的設計遵循以下思想是:
風險、成本、效率平衡原則
制定安全策略的目的:
劃分安全區域制訂安全策略,包括用戶訪問控制,定義訪問級别,确定服務類型。
安全策略:
制訂安全策略,包括用戶訪問控制,定義訪問級别,确定服務類型。
審核和過濾,僅符合安全策略的訪問和響應過程可以通過,拒絕其他訪問請求。
根據對用戶需求的分析,企業内部網絡可以劃分為以下幾個安全區域:
内部網段
公共網段
外部網段
分屬三個安全區域的網段通過天網防火牆進行互連。
電信級
對網絡服務供應商來說,保護網絡安全免受攻擊是至關重要的,因此對于防火牆的選擇必須慎重。天網防火牆電信級是專為ICP(互聯網内容供應商)網站以及IDC數據中心設計的大容量高性能防火牆,它能支持大量的峰值訪問與并發連接數,适應各類型ICP網站和IDC數據中心的複雜的業務與數據交換的需求。它包括了基本的防火牆系統的各種優秀功能,外加強大的功能模塊,還可擴展成雙機熱備份功能,使系統瞬間自動切換不正常的防火牆系統,全面保護網絡服務供應商免受非法攻擊。
推薦型号:天網防火牆電信級FW5010ICP型;FW5060IDC型
對于小型的網站我們建議使用FW5010ICP型,對于大型的ICP網站或者IDC數據中心等ISP網絡運營商我們建議使用FW5060IDC型,相對于ICP型,提供更強大的處理能力,并帶有負載均衡功能和雙機熱備份功能。
值得一提的是,目前DoS及DdoS攻擊嚴重威脅着各ICP網站的安全,而天網獨特的DoS防禦網關能高效地把這類攻擊拒之門外,諸多成功案例已經證明天網防火牆電信級的确是各類網站和數據中心的保護神。
功能
基本系統功能,包括:
1、自行開發的優良的防火牆内核
2、基于狀态檢測的包過濾功能
3、具有包過濾功能的虛拟網橋功能
4、具有TCP标志位檢測功能
5、具有雙向的網絡地址轉換功能
6、具有流量統計與流量限制功能
7、可通過界面升級,操作方便
8、具有國際首創的DoS防禦網關技術,能有效的防止各種類型的DoS攻擊
9、支持一個網絡端口綁定多個IP地址,從而支持多個子網和多種IP應用。
10、支持IP與MAC地址綁定,有效地管理IP地址資源
11、具有實時系統監控功能,能觀察系統的運行狀态及網絡連接狀況
12、具有實時報警功能,通過撥打電話和Email的方式報警
13、具有系統操作記錄,可以記錄系統管理員的所有操作情況
網絡黑洞:
用于阻擋非法的網絡探測
網絡數據記錄:
用于記錄通過防火牆的數據類型和流量,該模塊需要在一台PC機上安裝一個客戶端軟件進行數據收集、分析和處理,還可以把分析結果導入數據庫,實現自動處理。
雙機熱備份:
可在瞬間自動切換不正常工作的防火牆系統
負載均衡:
可以智能地将用戶請求分布到多台服務器
典型網絡方案:
某大型ICP網站準備使用十台服務器對外提供Web服務,使用四台服務器作為Smtp服務器,兩台服務器作為P0P3服務器,對外進行服務,估計将有2325M的流入數據量和1214M的外流數據量:
網絡結構:
根據該大型ICP站點當前的網絡需求,我們建議使用基于天網防火牆電信級FW5060IDC型的安全解決方案。
為了保證站點的穩定性、容錯性,本方案使用天網防火牆ICP型兩台,通過防火牆的雙機熱備份功能保證不間斷正常運作,并把整個網絡劃分為物理上相互獨立的兩個網段:
公共網段(PublicNetwork)
私有網段(PrivateNetwork)
其中,公共網段提供面向Internet的廣域網連接和接受互聯網用戶訪問的支持;私有網段安放十台Web服務器、四台Smtp服務器和兩台P0P3服務器,提供Web和電子郵件應用服務。
安全策略:
劃分安全區域
制訂安全策略,包括用戶訪問控制,定義訪問級别,确定服務類型。
審核和過濾,僅符合安全策略的訪問和響應過程可以通過,拒絕其他訪問請求。
根據對用戶需求的分析,北京站點的網絡可以劃分為以下幾個安全區域:
内部網段
外部網段
分屬兩個安全區域的網段通過天網防火牆進行互連。
現有需要進行審核和過濾的應用和服務類型包括:
千兆級
随着網絡技術突飛猛進,中國的網絡基礎建設的擴大。目前,網絡骨幹已經進入光纖時代,除了電信的骨幹,政府以及大型企業已經開始普及光纖,而基于光纖的千兆性能的防火牆産品成為關鍵。本公司早在1999年處就着手天網千兆防火牆的開發,通過吸取國外同行的優秀經驗,加上國内頂尖技術人員的智慧,終于在2000年4月成功推出中國第一台千兆級别防火牆,其卓越性能馬上得到用戶的認同。
2002年,在原先天網防火牆千兆級的基礎上,發展出天網防火牆千兆級FW8060旗艦級,使用全新的硬件系統和軟件核心,使天網防火牆達到了一個全新的高度,強大的功能與性能能夠滿足最苛刻的用戶的要求。集合了優異的網絡性能與系統性能的天網防火牆千兆級,利用優化的内核實現了極高效的硬件數據交換能力和系統并行處理能力的有機結合,支持百萬級别的并發連接。能夠支持上萬用戶的網絡請求,完全能滿足各種寬帶網絡應用服務的大流量數據應用要求。推薦型号:天網防火牆千兆級FW8010骨幹型;天網防火牆千兆級FW8060旗艦級
基于千兆的優異性能:
■千兆級别線路速度的防火牆系統
■千兆級别基于狀态的包過濾功能
■千兆級别的NAT連接功能
■提供千兆級别的虛拟專網性能,支持超過2萬條IPSEC安全隧道
■支持百萬級别并發用戶連接
■支持超過4萬條的訪問控制設置
License
TypeDescription
SNFW-FT-BH網絡黑洞
SNFW-FT-LOG網絡數據記錄
SNFW-FT-RH雙機熱備份
性能列表:
千兆級别線路速度的防火牆系統和NAT連接
千兆級别的基于3DES加密的虛拟專網性能
千兆級别的基于狀态的包過濾功能
支持超過50萬條的并發用戶連接
支持超過4萬條的訪問控制設置
所支持的标準包括ARP、TCP/IP、UDP、IPSEC、3DES等
支持超過2萬條IPSEC安全隧道
典型方案
電子商務應用安全解決方案
現在的電子商務站點需要支持數以萬計的并發連接,網絡安全設備需要支持大量的用戶連接并對上萬個請求同時進行回應。今天,基于傳統商業操作系統的軟件防火牆并不能提供這種規模的服務。許多站點依靠額外的網絡設備來在多個防火牆之間達到負載平衡。多防火牆系統的管理是困難的,因為管理員要在各台防火牆之間做到同步。千兆防火牆支持多達500000個并發連接,可以滿足高通信量的電子商務站點的要求。
由于許多主機都是象征性的處于同一地點,千兆防火牆支持VPN模式,使主機之間的數據和命令在一個"安全隧道"之中傳輸(這個安全隧道其實是在公共網絡之中,但因為防火牆将數據加了密,使其看起來就好像在一條隧道中傳送一樣)。千兆防火牆還支持高實用性的雙機熱備份,其軟件可以保持正在進行的并發連接。這就保證了即使系統出現故障,連接仍然可以保持,消費者不會因受到損失而轉向别的站點。
今天,熱門的電子商務公司大多把他們的web主機分散放置,以向顧客提供快速的反應。他們都把精神集中到核心業務上,對于web主機設備要求提供包括安全服務在内的網絡服務。千兆防火牆提供可控制的防火牆和VPN安全服務。其多用戶體系結構的虛拟主機系統提供了便利的方法來管理一個系統内的多個用戶。每一個虛拟主機系統可以有基于各自獨立用戶的一套政策。每一個虛拟主機系統的通信可以通過在防火牆和交換機之間配置IEEE802.1qVLAN标志,安全的傳送到客戶端,從而提供一個秘密、安全的連接。
企業的安全解決方案
企業的安全需要處理大規模的并發連接的能力。企業一般設有多台服務器以供遠程站點訪問或遠程用戶訪問,這些服務器提供e-mail、web、ftp、NFS或其他應用程序服務,這都需要支持大規模的并發連接。另外,随着越來越多的商業應用通過IP網絡提供,用千兆以太網連接起來的服務器群,也需要内部防火牆保護。企業本身的Internet連接數也随着越來越多的服務通過Internet提供而大量增加,一個站點有多個T3或OC3連接需要保護是毫不奇怪的。例如企業需要用自己的Internet線路連接到其他大型網絡來進行視頻會議或大型的服務器/主機數據庫查詢,還需要支持高速度的VPN。還需要支持大量的VPN隧道以連接他們的分公司和遠程辦公室,代替昂貴的幀中繼服務。還有就是那些在家工作的雇員,這些雇員通過最新的寬帶技術訪問公司的網絡。
個人版
概況
天網防火牆個人版(簡稱為天網防火牆)是由天網安全實驗室研發制作給個人計算機使用的網絡安全工具。它根據系統管理者設定的安全規則(SecurityRules)把守網絡,提供強大的訪問控制、應用選通、信息過濾等功能。它可以幫你抵擋網絡入侵和攻擊,防止信息洩露,保障用戶機器的網絡安全。天網防火牆把網絡分為本地網和互聯網,可以針對來自不同網絡的信息,設置不同的安全方案,它适合于任何方式連接上網的個人用戶。
開發曆程
天網在自99年推出天網個人版防火牆V1.0後,連續推出了V2.0、V2.5等更新版本,現在最新版本為V3.0.0版。到目前為止,天網安全陣線已經接受了超過2千萬次下載天網個人防火牆的請求,累計各大授權下在站點的下載量,天網防火牆各版本已經進入到千百萬國内互聯網用戶的個人電腦桌面上了,為中國無數的網民提供了安全保障。
榮譽認證
天網防火牆個人版通過了“中國國家安全部”、“中國公安部”、“中國國家保密局”及“中國國家信息安全測評認證中心”信息安全産品最新檢驗标準認證,并可使用于中國政府機構和軍事機關及對外發行的個人版防火牆軟件。
軟件信息
軟件大小:4339KB
軟件類别:國産軟件/防火牆類
軟件授權:共享版
軟件語言:簡體中文
運行環境:WinNT/2000/XP/2003
更新時間:2008-6-1115:18:03
開發商:廣州衆達天網技術有限公司
版本介紹
天網防火牆2006充值版
更新日期:2008.6.11
平台:WinNT/2000/XP
文件大小:5.35MB
天網防火牆2006零售版
更新日期:2008.6.11
平台:WinNT/2000/XP
文件大小:4.67MB
天網防火牆2006試用版
更新日期:2008.6.11
平台:WinNT/2000/XP
文件大小:4.23MB
無需注冊,安裝即可使用!
主要特征
嚴密的實時監控
對所有來自外部機器的訪問請求進行過濾,發現非授權的訪問請求後立即拒絕,随時保護用戶系統的信息安全。
靈活的安全規則
設置了一系列安全規則,允許特定主機的相應服務,拒絕其它主機的訪問要求。用戶還可以根據自已的實際情況,添加、删除、修改安全規則,保護本機安全。
應用程序規則設置
新版的天網防火牆增加對應用程序數據包進行底層分析攔截功能,它可以控制應用程序發送和接收數據包的類型、通訊端口,并且決定攔截還是通過,這是目前其它很多軟件防火牆不具有的功能。
詳細的訪問記錄
示所有被攔截的訪問記錄,包括訪問的時間、來源、類型、代碼等都詳細地記錄下來,你可以清楚地看到是否有入侵者想連接到你的機器,從而制定更有效的防護規則。
完善的報警系統
設置了完善的聲音報警系統,當出現異常情況的時候,系統會發出預警信号,從而讓用戶作好防禦措施。
獨創的“擴展”級别
根據當前網絡安全環境,針對新出現的蠕蟲病毒和木馬,制定相應的防禦規則庫并快速更新,讓用戶無需自己配置就可以使用最新安全規則。
在線檢測
天網安全在線推出全國首個在線安全檢測系統--"天網醫生",它可以初步檢測計算機存在的一些安全隐患,并且根據檢測結果判斷您系統的安全性,引導您進一步加強系統安全。注意:該測試隻針對标準IE環境。
測試過程中可能會有防火牆攔截引起的警報,請不必為此驚慌。
檢測項目
木馬檢測對目前常見的木馬端口進行掃描,查看木馬端口是否被打開。
系統安全性檢測該項檢測功能升級中,敬請期待!!!
端口掃描檢測掃描本機易受攻擊端口的開放情況,并根據結果給出相關建議。
信息洩漏檢測檢測您的電腦系統是否存在信息洩漏的危險性。
評估說明
極度危險您的網絡安全狀況非常糟糕,有很嚴重的安全問題,建議您馬上進行信息洩漏檢查和系統安全性檢查。
一般危險您并沒有做好安全措施,人們可以輕易得到您計算機的相關信息,建議進行系統安全性檢查。
比較安全您非常重視計算機安全,并且做好了安全措施,建議進行網絡探測檢查。
連接超時您的網絡太慢或者您的網絡受到防火牆的保護,建議您再試一下信息洩漏檢查。
使用方法
安裝及注冊
天網防火牆個人版是以一個可執行文件方式提供的,下載之後直接執行便可以開始安裝了。安裝相當簡單,隻需要一路"Next"下去便可以了。安裝完畢之後,天網防火牆會自動将其自身加入"啟動"中,以後每次啟動Windows,它都會自動啟動。此時的天網防火牆還是未注冊版本,每次啟動時都會彈出提醒你注冊。
當然,你可以放心,天網防火牆的注冊是完全免費的,你隻需要登陸到天網的網頁上,填妥包括用戶名、密碼、真實姓名、電子郵件等必要的信息之後,注冊碼便會在不久之後發送到你的電子信箱之中了。你隻需要利用你填寫的用戶名和天網提供的注冊碼便可以完成注冊了。當然,在登陸的過程中,你也可以順便利用天網的在線檢測功能檢測一下你的計算機的安全情況。在你未完成注冊之前,也隻需要将天網防火牆最小化,它便不會再來煩你了。
界面
天網防火牆的界面相當簡潔,由六個選擇頁組成,點擊不同的選擇頁便會有不同的内容供你選擇。這六個選擇頁分别是普通設置、高級設置、安全記錄、檢測、關于、請注冊。由于檢測這項功能有Bug所以在這個版本中被屏蔽了,如果你下載的是以前的版本,那麼也建議你不要使用,否則在統漏洞修補後可能會造成系統使用不正常。除了這六個選擇頁之外,天網防火牆還提供了"停"這個快捷按鈕,供用戶快速斷開網絡。
不過需要說明的是,這裡所說的斷開網絡并不是撥号網絡中的斷開連接,也就是切斷你和ISP的聯系,而是不允許任何外界的數據流進入你的機器,也不允許你的機器向外界發送數據流。千萬不要按下"停"之後便以為已經斷開了ISP的連接,到月底寄來的賬單可就是天文數字了。
設置
天網防火牆提供了普通設置和高級設置兩種。前者主要是提供給普通用戶使用的,而後者則是提供給對于網絡安全有着相當了解的黑客級用戶的。你究竟選擇哪一種就取決于你對自己的定位了。不過筆者對于兩種設置都會有比較詳細的介紹的。無論是哪一種設置,天網防火牆都提供局域網安全設置和互聯網安全設置兩種。前面的設置對于我們這種利用調制解調器撥号上網的普通用戶來說意義不大,所以下面的介紹全部以互聯網安全設置為準。不過好在兩種設置的内容完全一緻,問題也不太大。
普通設置
在普通設置中,天網防火牆提供了極高、高、中、低、自定義五檔選項。極高選項的含義就等同于前文講到的"停"按鈕,不過筆者認為用處不大,與其禁止數據流的出入還不如直接切斷與ISP的連接來的幹脆還節省上網費用,畢竟我們不是獨享專線的符号。在高這個選項的時候,天網防火牆關閉了所有端口的服務,别人無法通過端口的漏洞來入侵你的電腦,而且就算是你的機器中有特洛依木馬的客戶端程序,也不會受到入侵者的控制。
你可以用浏覽器訪問WWW,但無法使用ICQ、OICQ等軟件。如果你需要使用ICQ類服務,或者安裝有FTPServer、HTTPServer的話,那麼請不要選擇此選項。在中這個選項的時候,天網防火牆關閉了所有TCP端口服務,但UDP端口服務還開放着,别人無法通過端口的漏洞來入侵你的電腦。這個選項阻擋了幾乎所有的藍屏攻擊和信息洩露問題而且不會影響普通網絡軟件的使用,是筆者推薦的選項。在低這個選項的時候,天網防火牆阻擋了某些常用的藍屏攻擊和信息洩露問題,但不能夠阻擋BO等後門、特洛依木馬軟件,不推薦使用。如果你是高級用戶,需要自定義配置的話,那麼請設置為自定義選項,并進入高級設置。
高級設置
在高級設置中,天網防火牆提供了"與網絡連接"、"ICMP"、"IGMP"、"TCP監聽"、"UDP監聽"、"NETBIOS"六個具體選項。考慮到後五項牽涉到較複雜的網絡知識,所以在這裡做一個淺顯的介紹。
ICMP:關閉時無法進行PING的操作,即别人無法用PING的方法來确定你的存在。當有ICMP數據流進入機器時,除了正常情況外一般是有人利用專門軟件進攻你的機器,這是一種在Internet上比較常見的攻擊方式之一。主要分為Flood攻擊和Nuke攻擊兩類。ICMPFlood攻擊通過産生大量的ICMP數據流以消耗您的計算機的CPU資源和網絡的有效帶寬,使得您的計算機服務不能正常處理數據,進行正常運作;ICMPNuke攻擊通過Windows的内部安全漏洞,使得連接到互聯網絡的計算機在遭受攻擊的時候出現系統崩潰的情況,不能再正常運作。也就是我們常說的藍屏炸彈。該協議對于普通用戶來說,是很少使用到的,建議關掉此功能。
IGMP:和ICMP差不多的協議,除了可以利用來發送藍屏炸彈外,還會被後門軟件利用。當有IGMP數據流進入你的機器時,有可能是DDOS的宿主向你的機器發送IGMP控制的信息,如果你的機器上有DDOS的Slave軟件,這個軟件在接收到這個信息後将會對指定的網站發動攻擊,這個時候你的機器就成了黑客的幫兇。
TCP監聽:關閉時,你機器上所有的TCP端口服務功能都将失效。這是一種對付特洛依木馬客戶端程序的有效方法,因為這些程序也一種服務程序,由于關閉了TCP端口的服務功能,外部幾乎不可能與這些程序進行通訊。而且,對于普通用戶來說,在互聯網上隻是用于WWW浏覽,關閉此功能不會影響用戶的操作。但要注意,如果你的機器要執行一些服務程序,如FTP
SERVER,HTTPSERVER時,一定要使該功能正常,而且,如果你用ICQ來接受文件,也一定要将該功能正常,否則,你将無法收到别人的ICQ信息。另外,關閉了此功能後,也可以防止大部分的端口掃描。
UDP監聽:失效時,你機器上所有的UDP服務功能都将失效。不過好象通過UDP方式來進行藍屏攻擊比較少見,但有可能會被用來進行激活特洛依木馬的客戶端程序。注意,如果你使用了ICQ,就不可以關閉此功能。
NETBIOS:有人在嘗試使用微軟網絡共享服務端口(139)端口連接到您的計算機,如果您沒有做好安全措施,可能是在你自己不知道和并沒有允許的情況下,你的計算機裡的私人文件就會在網絡上被任何人在任何地方進行打開、修改或删除等操作。将NETBIOS設置為失效時,你機器上所有共享服務功能都将關閉,别人在資源管理器中将看不到你的共享資源。注意:如果在失效前,别人已經打開了你的資源,那麼他仍然可以訪問那些資源,直到他斷開了這次連接。建議:在局域網中打開該功能,在互聯網關閉。
好了,介紹完了所有的選項,至于哪些開,那些關就完全由你決定了。千萬要記住,隻用進行了正确的設置之後防火牆才會發揮出所有的功能,如果設置不當的話,那麼防火牆也隻是聾子的耳朵--擺設。
安全記錄
當你運行了防火牆并且想檢測一下它的效果的話,便可以查看一下天網防火牆的安全記錄。在安全記錄中,天網防火牆會提供它發現的所有進入數據流的來源IP地址、使用的協議、端口、針對數據進行的操作、時間等基本信息。如果你需要更為詳盡的解釋的話,可以雙擊相應的記錄,天網防火牆會利用浏覽器調用天網網站上的相應信息。從中你可以獲得大量的互連網絡安全信息。在筆者的試用過程中,短短半個小時裡,天網便截獲了十幾條進攻的數據流,絕大多數都是特洛依木馬類的進攻,可見網絡之險惡。
缺點
天網防火牆的确是一個出色的網絡安全軟件,特别是針對普通用戶的設置上。有了它之後,完全可以抛棄其它的諸如LockDown等安全軟件。而且嬌小的身軀、低廉的價格(根本不需要)實在是為我等普通用戶量身定做的。
相比其他産品,天網在業界的口碑已經很好。如果說缺點,那麼不提供後門、特洛依木馬軟件的檢測和清除可能是一個,雖然即使我們的機器裡有這些軟件,在天網防火牆的保護之下也無法逞能,但在機器裡潛伏着感覺總是怪怪的。所以希望天網防火牆的下一個版本能夠提供此項功能。此外,最好幫助文檔最好也做在軟件一起,省去上網查詢的麻煩。
