1 地址分享及管理(address sharing and management)
2 封包过滤(packet filtering)
3 状态封包检测(spi)
4 防止拒绝服务攻击(defense against denial of service attacks)
5 应用程序内容过滤(application content filtering)
6 记录与警报(log and alert)
7 远程访问(remote access)
8 url 过滤关键词(keyword based url filtering)
2.4.1.1 地址分享及管理(address sharing and management)
网际网络安全路由器防火墙提供nat(网络地址转换)来分享单一的高速网际网络联机,以及为您节省局域网络(lan)部分联机至网际网络安全路由器时的多重联机增加的额外成本。此特性隐藏了网络地址,并阻止它们公开。它为主机联机到lan 的未注册的ip 地址对应有效地址以接入网际网络。网际网络安全路由器防火墙更提供反向nat 能力,让soho 用户也能享有多种服务,如e-mail、网页浏览等。nat 规则决定着nat 路由器的转换机制。网际网络安全路由器支持下列nat 形式:
1 静态nat - 对应从内部主机地址到全球有效网际网络地址图(一对一)。所有的封包用映像中包含的信息直接转换。
2 动态nat - 动态对应从内部主机地址到全球有效网际网络地址图。映像中一般包含多个内部ip 地址池和全球有效网际网络ip 地址池,数量上内部ip 地址往往多于全球有效网际网络ip 地址。在先到先服务的基础上,每个内部ip 地址与一个外部ip 地址相连。
3 网络地址与埠转换(napt ,network address and port translation)- 对应从多个内部主机地址到一个全球有效网际网络地址图。映像中一般包含多个用来转换的网络端口。每个封包用全球有效网际网络地址进行转换。
4 反向静态nat - 本形式为入站地址映像,它对应了从全球有效网际网络地址到内部主机地址图(一对一)。到达外部地址的所有封包均传递至内部地址。本形式将在主机由内部机器提供服务时发挥作用。
5 反向napt - 亦被称为入站地址映像、端口地址映像及虚拟服务器。任何抵达路由器的封包均能传递至基于协议、端口号或规则中指定的ip 地址的内部主机。本形式将在主机由不同的内部机器提供多重服务时发挥作用。
欲知所有支持的nat alg 服务的详尽列表,请参考附录a "alg设定" 。
2.4.1.2 访问控制表(acl,access control list)
acl 规则是网络安全的一个基本组成部分。防火墙监控着acl 规则允许范围内的单个封包,解释着入站和出站通信的重要信息,以及或是防止封包传递,或是允许封包传递某些基于来源地址、目标地址、来源端口、目标端口、协议和其它规范等基础之上的内容,例如过滤申请、时间变更等。
acl 是保持子网之间独立性的合适的措施。它可以被用作阻止某些类型的入站封包抵达受保护网络的的第一道防线。
网际网络安全路由器防火墙的acl 方法支持:
1 基于目标和来源ip 地址、端口号及协议的过滤
2 使用百搭牌来组成过滤规则
3 过滤规则优先次序
4 基于时间的过滤器
5 应用特殊的过滤器
6 远程访问用户群组过滤器
2.4.1.2 封包状态检查(stateful packet inspection)
网际网络安全路由器防火墙利用"封包状态检查"工具来提取封包安全判断需要的与状态有关的信息和维持评估后续联机尝试所需要的信息。它允许动态联机,这样除了需要的埠之外,其余埠就无须打开。这提供高度安全的解决方式和可量测性及可扩展性。
2.4.1.3 防止dos 攻击(defense against dos attacks)
网际网络安全路由器防火墙具有防止攻击的引擎,可保护内部网络免于网际网络可知类型的攻击。它提动了防止"拒绝服务"(denial of service,dos)攻击的保护,例如syn flooding、ip smurfing、land、pingof death 以及所有合成型的攻击。它能够让icmp 停止改变方向,以及停止ip 来源路由封包。例如,网际网络安全路由器防火墙提供防止winnuke--网际网络中一个广泛应用的远程攻击未受保护的windows 的程序--的保护。网际网络安全路由器防火墙还能够提供防止多种多样的普通网际网络攻击的保护,例如ipspoofing、ping of death、land attack、reassembly 以及syn flooding。
网际网络安全路由器防火墙提供的攻击保护详见下面的表2.3.
2.4.1.4 应用程序命令过滤(application command filtering)
网际网络安全路由器防火墙允许网络管理员阻止、监控和报告网络用户访问非商业和被禁止的网页的内容。这种高性能访问内容管理导致了激增的生产力、低带宽使用和渐少的法律责任。
网际网络安全路由器防火墙有能力处理在某些应用协议下的现行内容过滤,例如http、ftp、smtp 和rpc。
1 http - 您能定义http 扩展名基础上的模块化过滤进度表
(1)activex
(2)java archive
(3)java applets
(4)microsoft archives
(5)档案扩展名基础上的urls
2 ftp - 允许您详细说明和加强站点或用户群组的档案传输协议
3 smtp - 允许您过滤某些泄露了接收者过多信息的操作,例如vrfy、expn 等
4 rpc - 允许您过滤基于rpc 程序序号的程序
2.4.1.5 应用程序标准网关(alg,application level gateway)
应用程序例如ftp 、游戏等,打开了基于各自应用参数的动态联机。为透过网际网络安全路由器防火墙,封包属于应用程序,因而就要求一个相应的允许规则。当缺少这个规则时,封包将被网际网络安全路由器防火墙阻止。因为为多种应用程序建立新的动态协议并不可行(在缺乏折衷安全性的同时),应用程序标准网关(alg,application level gateway)形式的智能地用来为应用程序解析封包和打开动态联系。网际网络安全路由器防火墙为流行的应用程序如ftp、h.323、rtsp、microsoft games、sip 等,提供alg 的一个序号。
2.4.1.6 url 过滤
我们可以定义不该在url(uniform resource locator,例如www.yahoo.com)中出现的关键词。任何包含一个或多个此类关键词的url 都将被阻止。这是一个规则独立的特性,例如,它并未与acl 规则想关联。这个特性能被独立地开启或关闭,但是只能在防火墙开启的情况下工作。
2.4.1.7 记录与警报(log and alert)
可能影响安全性的网络事件将被记录在网际网络安全路由器的日志档案里。事件细节以(welfwebtrends enhanced log format)格式记录下来以便统计工具能被用来制作例行报告。网际网络安全路由器防火墙还能促使私人网络内的syslog 服务器产生syslog 信息。
网际网络安全路由器防火墙支持:
1 用e-mail 向管理员发送警报
2 维持最小数量的日志细节,例如封包抵达时间、防火墙运作描述及运作原因
3 支持unix syslog 格式
4 按网络管理员的日程安排发送日志报告e-mail,或者在日志档案已满时按默认值设定发送
5 所有的信息都按照welf 格式发送
6 icmp 日志记录展示代码和类型
2.4.1.8 远程访问(remote access)
网际网络安全路由器防火墙允许网络管理员将用户社区按访问规则分割为一个个访问群组。用户可以联机上主机使用登入接口。当用户成功透过识别之后,网际网络安全路由器防火墙动态地激活用户群访问规则设定。
接下来,这些规则将得到加强,直到用户离开,或是直到非活动性的休息过程已经停止。