梭子鱼NG防火墙产品家族包括硬件及虚拟平台等一系列型号，用于保护企业网络架构，改善点到点连接，简化网络管理；拥有强大的网络防火墙与VPN功能，此外，梭子鱼NG防火墙吸收了一整套下一代防火墙技术，包括7层应用控制、入侵防御、Web过滤、反病毒、反垃圾邮件及网络访问控制等技术。

梭子鱼NG防火墙具有最新且最全面的下一代防火墙技术。不同于一些单项技术领先的下一代防火墙，梭子鱼NG防火墙为分布式网络设计，从十几个到数以千记的分支地点的网络互联、安全防护与安全管理，甚至不管员工在公司还是漫游，只要通过VPN方式远程接入都可以得到防护和管理。

梭子鱼NG防火墙极大的简化管理，批量推送安全策略到整个广域网（WAN）中。其高级安全机制，能够提供面向应用的流量管理，优化对WAN的访问，根据流量状况和链路状况快速智能的路由流量。例如，一条高质量的WAN链路Down掉，则备份的链路将自动激活，并且根据QoS策略分配带宽，确保最重要的商业应用享有足够带宽。又或者让某个子网或某些用户或某个重要的终端优先享有带宽。

梭子鱼NG全球地图以3D方式实时的监控所有VPN 点到点隧道及应用状态

什么是下一代防火墙？

网络安全威胁不断变化，传统的网络安全威胁已经改变。新的威胁，如社交网络蠕虫、僵尸网络及其他一些狡猾的攻击改变了网络安全游戏，传统防火墙已经基本无法解决这些威胁。Web2.0的普及、带宽增长的需求、私人设备接入企业网络等变化，使得更多的通讯量仅通过少数端口和协议进行，这就意味着基于端口/协议类安全策略的关联性与效率都越来越低。例如， 80或443的流量在传统防火墙看起来都是一样的，传统防火墙是无法防御其中基于应用的威胁。IPS虽然能够根据已知的攻击特征阻止一些攻击，能是由于无法识别应用，因而不能对具体应用进行防护，也无法阻止特定应用的滥用。因此，当前企业已经开始尝试重构其网络防御体系，即升级为“下一代防火墙”--面向应用、身份识别、多链路、带宽控制等结合的安全策略。

1.面向应用于身份

（1）7层应用控制

下一代防火墙采用7层的应用控制技术，能够识别、检测、过滤一些伪装的应用。有些应用使用http这种看似安全的端口。Skype和P2P工具常常使用http协议，只有七层应用控制才能进行限制。梭子鱼NG防火墙将7层应用控制技术融合到其防火墙核心功能中，依据应用、用户ID，安全模型，位置、时间等制定控制策略。策略的动作包括阻止、允许、限制，甚至可以在整个网络启用或关闭某个特别的应用。梭子鱼将七层应用控制技术深度嵌入到NG防火墙的内核中，深度包检测技术结合行为分析使得梭子鱼能识别超过800中应用，包括那些高度模糊的应用，加密的应用。

（2）面向身份网络

网络用户并不需要平均对待。通常，许多企业策略仅允许认证用户访问网络；或者给重要的用户或用户组分配更多的带宽，而限制一般用户一般应用的带宽；梭子鱼NG防火墙将用户身份与IP地址关联构建基于角色的访问控制体系。NG支持多种认证方式，进而可以制定面向用户的策略：Active Directory, NTLM, MC CHAP, RADIUS, RSA SecurID, LDAP/LDAPS, TACACS+及x.509 认证。

（3）应用代理

企业通常希望用较少的设备解决网络与安全等诸多问题，以减少管理成本、优化构架。为实现这一目标，梭子鱼NG防火墙能够代理FTP、SSH、DHCP、DNS、SMTP、POP3等应用，进而实现应用级安全。SSH代理用于认证执行，这样用户在连接远程目标前应到梭子鱼NG防火墙上认证。梭子鱼支持基于每个用户定义访问目标策略，且操作简单。每个会话活动均可按要求进行记录。

2.内容安全

（1）Web过滤

梭子鱼NG防火墙保护用户的工作效率、阻止恶意软件的下载或其他基于Web的威胁，避免员工访问不当网站或服务器。其网址库分为68类超过1亿条，在此基础上，梭子鱼NG每天自动的更新15万个网址信息，因而总能领先不当网站一步，避免员工访问这些网站。通过简单的操作，NG Web过滤能够实现用户“何人何时访问何种网站”，以及相对应的动作，如功能限制，时间规则约束、弹出警告和完全阻止。

（2）恶意软件防护

梭子鱼NG恶意软件防护功能采用双层病毒引擎扫描技术，防止内部网络感染恶意软件，梭子鱼能够扫描Web（HTTP和HTTPS）、email（SMTP和POP3）和FTP，梭子鱼NG恶意软件防御综合采用了特征代码识别、高级启发式检测等技术，能识别病毒、蠕虫、木马、恶意java 插件，以及PDF、图片、office 文档中附着的程序、宏病毒等等，甚至能识别器伪装、变体。

（3）安全Web代理

梭子鱼NG安全Web代理功能是NG Web过滤和NG恶意软件防御功能的扩展，它使得NG能够防护SSL加密的HTTP流量。这个功能允许企业将其安全策略覆盖到SSL流量，对SSL加密的网站进行URL过滤和病毒扫描。HTTPS的流量到达NG后将被临时解码以便设备进行扫描，扫描完成后重新加密传递给用户。梭子鱼NG安全Web代理也检查证书是否被撤销，通过阻止失窃或无效证书防止终端用户意外的访问恶意网站或服务器。

3.企业级防火墙及IPS： 网络安全

（1）INTRUSION PREVENTION SYSTEM （ IPS）

梭子鱼NGFW入侵检测防御系统（ IPS），可大力提升网络安全，主要通过提供完整而全面的实时网络保护，从而免遭受广泛的网络威胁，安全漏洞，操作系统漏洞，应用程序和数据库的漏洞，从而防御诸如SQL注入和溢出的网络攻击。此外，IPS阻止间谍软件和蠕虫进入企业网络，以防止欺诈和保护隐私。通过不断监测网络和系统活动的恶意或可疑行为，梭子鱼NGFW可以实时反应，阻止和防止这类活动。如果检测到攻击，梭子鱼NGFW可以一边允许传递流量或检测和记录入侵尝试，一边拖放违规数据包。根据威胁的严重程度，按照防火墙基本规则，分配非常细微的动作，使得梭子鱼NGFW允许，阻止或基于严重性，场所、 用户/组、 类型和应用程序记录可疑流量。定期自动更新签名日志可确保梭子鱼NGFW不断保持更新，识别最新的威胁，安全漏洞。

（2）DENIAL OF SERVICE()DOS PROTECTION

当今世界遍布着僵尸网络，NG在网络边界进行防护，过滤恶意的DoS攻击，以确保合法访问持续可用。梭子鱼NG防火墙具备TCP SYN Flood 检测功能，作为TCP代理，将合法的TCP流量转发到内网中。此外，为防止资源耗尽攻击，NG防火墙可以定义速率控制阀值，当某个原地址会话数到达允许的最大值之后，NG将丢弃该地址的数据包。

（3）PACKET ANOMALY PROTECTION

异常的数据包来源于有故障的网络设备，但也常常导致对整个网络的攻击。异常数据包有可能导致网络遭到DoS攻击，网络设备容易因为这些异常数据包当机或终止流量。异常数据包攻击包括Ping of Death, TearDrop, NewTear, Bonk, Syndrop, Chargen, WinNuke, Land and Jolt2。梭子鱼NG防火墙通过对每一个数据包进行完整的检测防止异常数据包攻击：

异常IP包检测：检测数据包是否符合TCP标准 碎片攻击检测：收到IP碎片后，NG防火墙将重组碎片，避免其中隐藏攻击。为防止碎片攻击，防火墙不会直接将IP碎片转发到目标系统中。 异常头检测：对TCP、UDP和ICMP，NG将检测其相应协议层报头的合法性。TCP sequence number 伪造检测：对TCP数据包进行sequence number（序列号）检查。

（4）IP SPOOFING PROTECTION

为防止IP欺骗，将检测数据包源地址的反向路由路径（RRP）。基于路由表，源自网络接口的回复将保留在防火墙中以便能返回给发送者，如果接口上来源与应答不符，该数据包将被丢弃。该防护机制对所有协议有效，可按用户需求设置。

（3）APP SPOOFING PROTECTION

地址解析协议（ARP）攻击是一种常见的攻击技术，可能导致特定计算机或整个网络都无法正常工作。梭子鱼NG防火墙具有多种ARP安全机制可防止ARP欺骗、ARP缓存溢出、ARP缓存破环。

4.高级VPN功能

（1）用户自定义VPN加密算法

对企业而言，必须要实现远程到本地网络的安全访问。梭子鱼NG防火墙具备不限点到点和端到点数量的VPN功能，VPN的客户端支持Windows、linux和Mac OS X。梭子鱼NG防火墙提供自适应极强的点到点连接，甚至可以穿透第三方的防火墙和其他网络地址转换设备。VPN的隧道具备心跳检测功能，在掉线时可自动重建连接。其加密算法包括AES128, AES256, DES, 3 DES, Blowfish等，十分广泛。用户也可以通过API集成自己的加密算法。

（2）流量调整与QoS

网络资源总是有限的，基于带宽优化的需求，梭子鱼NG防火墙能够根据时间、应用类型、用户身份等调整VPN隧道内外部的流量，以确保远程机构有足够的带宽访问重要的商业Web应用。

（3）多链路支持

梭子鱼NG防火墙支持多种链路接入，包括专线、DHCP（最多6个）、xDSL（最多4个）、ISDN和UMTS（最多2个），用户可根据需要选择性价比最好的链路接入组合，因此用户不必再花钱购买链路均衡设备。用户不用担心某个链路掉线，只要还有其他的链路存在，流量会自动切换到其他的链路上；如果备用的链路带宽不足，设备将自动调整流量，优先保障重要的应用、网络或分支机构。

（4）智能流量优化

梭子鱼下一代防火墙突出了智能点对点流量管理功能，大大优化了广域网的性能和功能。信息管理人员可以轻松管理应用层路径，根据多链路、多通道和不同的流量情况安排链路的优先顺序。对于梭子鱼设备间的VPN通道数据可以进行压缩和缓存,实测压缩率可达95%，有效释放带宽占用。（5）多链路支持

5.集中管理

（1）业界领先的集中管理

梭子鱼网络为中大型企业及服务商提供高性价比的解决方案。其先进功能的代表即梭子鱼NC控制中心，不限管理员数量、不限应用数量提供基于角色的集中管理。梭子鱼NG控制中心允许管理员在中央配置所有设备的所有应用，设置管理安全策略和网络访问策略，控制内核，升级版本，管理用户配置。

（2）基于模板的管理

通过创建模板，管理员能节省大量的时间。管理员采用模板和全局性安全对象能快速的配置成百上千的设备，避免在一台台设备上重复相同的配置。通过基于模板的集中管理，管理员仅需要定义一套设置，网络中的所有设备即可引用该模板。用户也可以创建多个模板构成模板库以方便不同的设备引用。.更改模板，梭子鱼控制中心能自动在整个网路发布应用，而不需要管理员逐一更改设置。

（3）防火墙审计

挖掘连通性问题是网络管理员的日常工作。无需使用复杂的命令行操作，梭子鱼NG控制中心提供图形化的统计数据，实时的了解防火墙各种应用的状况。这样管理员只需要花很少的时间就能挖掘出问题。

（4）防火墙报告输出

在FIREWALL HISTORY中，以图形化的方式显示每一台NG防火墙当前和最近的活动会话或会话请求。管理员可以按照端口/IP，协议类型、应用流量类型、用户等搜索，缩小范围，以确定是那个规则在允许或阻止会话。

（5）遵从与修订控制

如果有多个管理员在管理某个网络应用，必然会产生一个问题，谁在操作？做了哪些什么？为此，梭子鱼NG控制中心跟踪并记录每一次操作，称之为修订控制中心（RCS），该功能能满足法规遵从。这样，就可以随时了解谁在什么地方做了哪些改变。

（6）分布式防火墙

中大型企业往往有多个分支机构，需要部署多个防火墙，在这样的体系中，本地IT管理员通常需要某些管理授权，以便能管理防火墙的部分规则。为此，梭子鱼NG防火墙可以将整体规则集逻辑上划分为多个规则子集，每个规则集都是可见的可以授权某些管理员管理，或者链接到不同的集中管理仓库条目中。在分布式环境中，总部管理员可以定义一些列的规则集，委派部分给某地管理员，快速的进行配置。

（7）多租户

梭子鱼NG控制中心支持远程梭子鱼NG防火墙的多租户管理，逻辑上同属一个用户的NG防火墙在一个租户账号中管理设置。这个功能对服务提供商特别有用，每个用户可以访问自己的NG控制中心，避免其他用户看到自己的相关信息。因此在同一个梭子鱼NG控制中心多用户分开管理自己的NG防火墙系统。

（8）设备恢复技术

为了复原硬件系统或修复某些配置错误，梭子鱼NG防火墙可以通过嵌入式设备还原操作系统在几分钟内回退到此前正常工作时的状态。通过USB启动设备可以将系统恢复到出厂设置，通过恢复配置文档可以恢复到之前的正常状态，这样，即使没有经过专业培训的用户，如某个连锁店铺的销售，小型办事处的员工都能在几分钟内将设备启动起来。

6.其他技术

（1）硬件操作平台

作为边界安全设备，梭子鱼自身的健壮性极强，可防御各种攻击。梭子鱼NG防火墙建构在linux操作系统之上，迄今已有超过10年的经验。经过固化处理，基础性网关及路由功能已融合到linux内核中。这样，系统既能防御那些针对自身的攻击，也能通过NG的安全引擎检测所有进出流量。

（2）飞扬内核

一般的防火墙产品只是增强了linux防火墙包过滤功能，而梭子鱼NG防火墙则特别强调了应用控制包过滤技术，称之为飞扬内核（phion core）。飞扬内核技术结合了状态包检测、TCP数据流检测与应用层网关技术，对那些复杂的协议如动态IP地址，端口不确定的应用也能进行防御。简单的说，飞扬内核是一种混合技术防火墙，既采用了状态防火墙技术，也采用应用层的代理技术进行内容扫描，带宽管理和VPN隧道选择。

（3）高可用性

梭子鱼NG防火墙均支持双机冗余部署，备机将复制主机的会话表，在主机故障的时候，如主机意外当机、主机升级软件维护硬件造成服务中断等，备机将立即接管流量，确保服务不中断。

（4）一般的下一代防火墙解决方案仅提供安全防护，梭子鱼NG防火墙还特别强调可管理性

通过梭子鱼NG控制中心，用户能轻松将配置复制到其他的防火墙上。梭子鱼NG控制中心建构在梭子鱼NG防火墙操作系统上，运行集中管理服务。NG控制中心不限防火墙数量，任何一个企业只需要一个控制中心就能管理所有的防火墙。用户通过模板驱动对象、全局对象，用户自定义工作视图，全球网络状态图等功能轻松地管理复杂的大型网络。

全文下载：梭子鱼下一代防火墙技术白皮书.docx