第一十零章商业防火墙产品及选购

第二节国内防火墙产品

10.2.2 方正防火墙

方正防火墙目前有FS系列和相对较新的FA系列。

方正FA系列防火墙产品，采用面向安全服务（Service Oriented Security，SOS）的设计理念，确保产品在灵活性、安全性、性能以及扩展性等方面同时达到较高的水平。

产品主要特点如下。

·微系统内核。自主开发的内核程序，在最底层保证了防火墙自身的安全性，也能极大提升系统的性能。

·采用NP及ASIC硬件架构。

·专业的集中管理器。FA 防火墙管理器的功能包括：对防火墙进行配置、管理、实时监控及日志分析。可以同时管理多达3000台防火墙，并可以对所有被管理的防火墙做策略的编辑、分发，极大地简化了管理工作。

·可灵活扩展为UTM设备。

·数据包状态检测过滤。

·可抵抗DDoS等超过30种黑客攻击技术。

·多DMZ区保护。FA防火墙的所有接口出厂时不做任何定义，也就是说防火墙的任意接口都可以是内网、外网、DMZ区。这样对网络可以进行多重DMZ隔离区保护（例如，财务、重要部门和一般部门可以在不同的区域），从而在不增加用户投资的情况下，使网络更加安全。

·多种接入模式。支持透明、路由、混合三种接入模式（本书11.1节中说明），方便用户灵活组网。同时还支持PPPoE协议，通过在防火墙上输入用户名和口令后便可从ADSL接入，可以通过ADSL获得动态IP地址进行地址转换、VPN等操作。

·NAT地址转换。提供了多种转换方式，包括一对一、多对一和多对多的转换方式，可以满足绝大多数网络环境的需求。

·反向地址映射。提供端口映射和IP映射两种反向地址转换方式，方便用户的部署。

·支持VLAN。全面支持802.1Q封装协议，即可把防火墙架设在划分VLAN的交换机与交换机或交换机与路由器之间，而且能够利用代理路由功能代替路由器实现VLAN 间的数据包转发，这样可以使系统具有更好的性能（因为包传输的路径更短了）。每一个VLAN在防火墙的配置中将出现一个虚拟接口，这样可以与物理存在的网卡一样进行具体的过滤并控制带宽，从而具有更高的安全性和配置灵活性。

·支持DHCP Server。可以配置成为DHCP Server，为网络中计算机动态分配IP地址。

·全面支持流媒体技术。支持H.323协议和SIP，保证用户音频或视频应用的安全性和带宽的合理分配。

·IP地址和MAC地址绑定。

·丰富的路由功能。支持策略路由，可以根据源地址、服务等定义不同的路由，从而达到不需要其他设备就可以连接多个ISP，应用在多个出口的环境。此外，还支持OSPF、RIP等动态路由协议。

·支持虚拟路由器系统。在一个物理的防火墙上虚拟多个路由器，并且每个虚拟的路由器都可以独立设置路由并单独工作，也可以在多个虚拟路由器之间交换数据。通过虚拟路由技术，可以将一台单独的物理设备当做多台设备来使用，从而大幅度提高单独一台防火墙的硬件系统的利用率。

·高可靠性。除了支持双机热备外，还支持链路备份。当连接防火墙的某条线路断掉，或者某个接口出现故障，防火墙同样可以察觉，并进行切换，从而保证网络的应用。

·专业带宽管理。通过定义管道的方式提供媲美专用带宽管理设备的功能，并且管道没有数量的限制，可以基于接口、用户、VLAN、IP地址、服务、时间等设定带宽限制/保证。支持对每个用户的每秒新建连接数量进行控制，动态将非法用户添加到黑名单里进行阻断，并可以灵活地设置黑名单有效时间。并且在管道内部可以实现数据包的负载均衡，从而保证重要数据的服务质量。

·支持服务器负载均衡。可以将用户对外提供的某种服务（例如HTTP）动态地分配到多台服务器上，从而减小了每台服务器的负载，保证服务器提供快速可靠的服务。

·支持用户认证和账号计费。既支持外部的RADIUS服务器进行用户认证，也可以在防火墙本地创建用户验证数据库，以达到更安全的访问控制目的。

·独特的防火墙状态监测。可对防火墙的内核、规则、QoS、接口、RAM、Buffer和连接等数据进行详细的统计并生成图形报表。可以实时掌握防火墙的运行状态，网络的流量情况，及时发现可能发生的非法攻击，并且提供对多台产品同时监控，从而保证对全网的防火墙进行实时监控。

·丰富的日志功能。随产品光盘提供日志服务器软件和日志分析软件，日志记录方式包括：在防火墙中实时显示；记录到防火墙的日志服务器；记录到Syslog日志服务器；通过方正提供的软件导入WebTrends和eIQ日志分析工具进行日志的分析。

读者可浏览方正信息安全技术有限公司官方主页，网址为：http://www.foundersec.com，了解更多方正防火墙产品信息。

第一十零章 商业防火墙产品及选购

第二节 国内防火墙产品

防火墙技术与应用

第一十零章商业防火墙产品及选购

第二节国内防火墙产品