e地通的防火墙功能

防火墙是指设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口，能根据企业的安全政策控制（允许、拒绝、监测）出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施。在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，有效地监控了内部网和Internet之间的任何活动，保证了内部网络的安全。

1、e地通防火墙优势

1）安全的系统平台

内核采用自主开发的嵌入式Linux操作系统，全模块化设计，使用中间层理念，减小系统对硬件的依赖性。具有安全性、开放性、扩展性、模块化、标准化、可移植性等特征；采用最优硬件平台，提供全线速转发的能力，拥有更高的安全性和可控性。基于Hash表的快速转发功能，极大提高了防火墙的吞吐率。

2）采用多种安全技术

包过滤技术

TCP/IP的数据包是由包头和数据构成的，包头包括协议(TCP/UDP/ICMP)、源地址、目的地址、源端口(服务)、目的端口等信息，包过滤是防火墙基于网络层的安全方式,它通过对所有流经防火墙的信息包内的包头信息检查,以实现对网络的安全控制。

防火墙针对TCP/IP数据包做处理，因此称为网络级，根据上面所列参数进行过滤(比如地址1的任意端口到地址2的80端口的TCP包被禁止，表示禁止地址1的计算机连接地址2的计算机的www服务)，因此称为包过滤。

包过滤技术是惠尔顿e地通为系统提供安全保障的主要技术，它通过设备对进出网络的数据流进行有选择的控制与操作。包过滤操作通常在选择路由的同时对从互联网络到内部网络的包进行过滤。用户可以设定一系列的规则，指定允许哪些类型的数据包可以流入或流出内部网络；哪些类型的数据包的传输应该被拦截。包过滤规则以IP包信息为基础, 对IP包的源地址、 IP包的目的地址、封装协议(TCP/UDP/ICMP/IP Tunnel)、端口号等进行筛选。包过滤这个操作可以在路由器上进行，也可以在网桥，甚至在一个单独的主机上进行。

网络地址转换（NAT技术）

提供IP 地址转换和IP 及TCP/UDP 端口映射，实现IP 复用和隐藏网络结构：

NAT 在IP 层上通过地址转换提供IP 复用功能，解决IP 地址不足的问题，同时隐藏了内部网的结构，强化了内部网的安全。惠尔顿防火墙提供了NAT 功能，并可根据用户需要灵活配置。当内部网用户需要对外访问时，防火墙系统将访问主体转化为自己，并将结果透明地返回用户，相当于一个IP 层代理。防火墙的地址转换是基于安全控制策略的转换，可以针对具体的通信事件进行地址转换。

NAT的工作过程如图所示：

图4

在内部网络通过安全网卡访问外部网络时，将产生一个映射记录。系统将外出的源地址和源端口映射为一个伪装的地址和端口，让这个伪装的地址和端口通过非安全网卡与外部网络连接，这样对外就隐藏了真实的内部网络地址。在外部网络通过非安全网卡访问内部网络时，它并不知道内部网络的连接情况，而只是通过一个开放的IP地址和端口来请求访问。

惠尔顿e地通根据预先定义好的映射规则来判断这个访问是否安全。当符合规则时，防火墙认为访问是安全的，可以接受访问请求，也可以将连接请求映射到不同的内部计算机中。当不符合规则时，防火墙认为该访问是不安全的，不能被接受，防火墙将屏蔽外部的连接请求。网络地址转换的过程对于用户来说是透明的，不需要用户进行设置，用户只要进行常规操作即可。

3）DMZ

除了内部网络接口和外部网络接口，惠尔顿三端口防火墙还有一个中立区网络接口，称为DMZ(Demilitarized Zone)，可以在其中放置公共应用服务器。

DMZ是防火墙为了实现在保护内部网络的安全同时,又可以保证需要放置在Internet上的服务器的安全的一种方法，有了DMZ策略，可以像保护内部网络一样更好地保护DMZ的主机。

惠尔顿e地通的DMZ口还可以作为第二个外部接口灵活使用。

4）远程集中管理

惠尔顿e地通产品支持Web、Https、命令行等面向基于对象的管理配置方式，可通过安全的认证及管理信息的加密传输实现全局防火墙设备的本地、远程集中管理与监控。

惠尔顿e地通产品主要采用全中文Web（Graphic User Interface）界面的配置方式，用户可以在不同操作系统平台、不同地域对防火墙进行配置和管理。

5）透明应用代理

应用代理是用来对TCP/IP应用进行代理的服务器软件(以下简称Proxy)，Proxy可以接收客户的请求，分析客户数据，然后以自己的面目向内容服务器提出请求，然后接受内容服务器的响应，再传给客户。

这用于几种场合：共享一个Internet接入连接时，可以让局域网的所有计算机都访问Internet上的内容；给出一个共同的连接口，便于控制和管理。而网络层的NAT和包过滤都无法处理基于应用层的内容过滤，比如URL Blocking、病毒过滤、邮件等的关键词过滤等等，因为网络层只处理包头。应用层防火墙就是把数据包先整合成应用层数据，根据数据内容(比如要过滤的关键词或URL地址)进行过滤，然后再重新生成TCP/IP包。

但这样比包过滤增加了许多工作量，因此效率必然比包过滤低。另外，由于应用代理是应用层的，因此针对不同的应用层协议必须有单独的应用代理，因此应用代理不能支持所有网络应用，也不能自动地支持新的网络应用。而网络层的系统是针对TCP/IP协议的，因此可以自动支持大部分应用和新应用(只要是基于TCP/IP的即可)。

惠尔顿e地通提供对高层应用服务（HTTP）的透明代理。用户不需要在自己的主机上作任何的有关代理服务器的设置，只需管理员在防火墙上配置相关的规则，用户通过防火墙进行的上述应用访问就会由防火墙进行代理，这些配置对用户来说完全是透明的，极大的方便了用户使用代理。

6）支持MAC与IP地址绑定

传统上认为计算机网络的安全主要应防备外部的入侵，但现在的实际情况是内部的破坏及信息窃取同外部的入侵一样是网络安全应防备的大的环节。惠尔顿防火墙允许绑定MAC地址（网卡的硬件地址）和IP地址，可以使内部网络防止内部IP欺骗，保证基于IP的安全策略、计费策略等的正确实施。当发现某IP和绑定的MAC地址不相符时，将拒绝为该IP服务。MAC绑定技术主要用于绑定一些重要的管理员IP和特权IP。

7）内容过滤技术

惠尔顿e地通支持URL、关键字检测机制，能有效控制内部网络对某些站点的访问，屏蔽不良的、非法的网站，防止内网用户浏览邪教、色情等不良网站及网页。

8）抗攻击能力

惠尔顿e地通可有效抵抗DOS/DDOS、嗅探、同步等多种攻击，阻止TCP、UDP 等端口扫描，防止源路由攻击、IP碎片包攻击、DNS/RIP/ICMP攻击、SYN 攻击。

抗DOS/DDOS 攻击：拒绝服务攻击（DOS ）就是攻击者过多的占用共享资源，导致服务器超载或系统崩溃，而使正常用户无法享有服务或没有资源可用。防火墙通过控制、检测与报警机制，阻止DOS 黑客攻击。

防TCP 、UDP 等端口扫描：可以阻止对网络或内部主机的所有TCP/UDP扫描。

可防御源路由攻击、IP 碎片包攻击、DNS/RIP/ICMP 攻击、SYN 等多种攻击：惠尔顿防火墙系统可以检测对网络或内部主机的多种拒绝服务攻击。

阻止ActiveX 、Java 、Javascript 等侵入：属于HTTP 内容过滤，防火墙能够从HTTP页面剥离ActiveX 、JavaApplet 等小程序及从Script 、PHP 和ASP 等代码检测出危险的代码，同时，能够过滤用户上载的CGI 、ASP 等程序。

提供实时监控和告警功能：惠尔顿防火墙提供对网络的实时监控，当发现攻击和危险行为时，防火墙提供告警等功能。

9）适用更广泛的网络及应用环境

支持众多网络通信协议和应用协议，如DHCP 、ADSL 、RIP 、ISL 、8021Q 、Spanning tree 、NETBEUI、IPSEC、PPTP、H323 、BOOTP、PPPoE协议等，使惠尔顿防火墙适用网络的范围更加广泛，保证用户的网络应用并扩展IP 宽带接入及IP电话、视频会议、VOD 点播等多媒体应用。

10）用户认证

通过使用用户身份认证, 确保用户身份, 及用户可以访问的权限, 保护网络的安全和用户身份被盗用的情况。用户认证可以通过两种方式实现：内部用户数据库和Radius服务器。

11）智能路由管理

支持多线路捆绑技术，可实现带网络带宽的叠加；

采用智能路由分离技术，分流上网数据、扩充互联线路；

支持DHCP、PPPOE、NTP、NAPT/PAT、NAT穿越、DNS增强版缓存；

提供管理服务器群的负载平衡能力；

可自由设定静态路由，支持集团用户的多级复杂网络。

（1）Apache Apache是世界使用排名第一的Web服务器软件。它可以运行在几乎所有广泛使用的计算机平台上。Apache源于NCSAhttpd服务器，经过多次修改，成为世界上最流行的Web服务器软件之一。Apache取自"a patchy server"的读音，意思是充满补丁的服务器，因为它是自由软件，所以不断有人来为它开发新的功能、新的特性、修改原来的缺陷。Apache的特点是简单、速度快、性能稳定，并可做代理服务器来使用。

特点就是处理php页面，如果需要执行php的内容过多可以采用apache，如果静态内容多可以用nginx

（2）IIS是英文Internet Information Server的缩写，译成中文就是"Internet信息服务"的意思。它是微软公司主推的服务器，最新的版本是Windows2016里面包含的IIS 10，IIS与Window Server完全集成在一起，因而用户能够利用Windows Server和NTFS（NT File System，NT的文件系统）内置的安全特性，建立强大，灵活而安全的Internet和Intranet站点。

服务器版本IIS默认版本server200360server200870server2008 r275server201280server201610windows服务器的首选，稳定性好。网站需要支持asp、aspnet的就需要用iis了

（3）GFE Google的web服务器，用户数量激增。目前紧逼iis。

（4）Nginx不仅是一个小巧且高效的HTTP服务器，也可以做一个高效的负载均衡反向代理，通过它接受用户的请求并分发到多个Mongrel进程可以极大提高Rails应用的并发能力。

（5）Lighttpd是由德国人 Jan Kneschke 领导开发的，基于BSD许可的开源WEB服务器软件，其根本的目的是提供一个专门针对高性能网站，安全、快速、兼容性好并且灵活的web server环境。具有非常低的内存开销，CPU占用率低，效能好，以及丰富的模块等特点。Lighttpd 是众多OpenSource轻量级的web server中较为优秀的一个。支持FastCGI, CGI, Auth, 输出压缩(output compress), URL重写, Alias等重要功能。

（6）Zeus是一个运行于Unix下的非常优秀的Web Server，据说性能超过Apache，是效率最高的Web Server之一。

（7）Sun的Java系统Web服务器也就是以前的Sun ONE Web Server。主要出现在那些运行Sun的Solaris操作系统的关键任务级Web服务器上。它最新的版本号是61,可以支持x86版本Solaris，Red Hat Linux，HP-UX 11i， IBM AIX，甚至可以支持Windows，但它的大多数用户都选择了SPARC版本的Solaris操作系统。

（8）Resin提供了最快的jsp/servlets运行平台。在java和javascript的支持下，Resin可以为任务灵活选用合适的开发语言。Resin的一种先进的语言XSL(XML stylesheet language)可以使得形式和内容相分离。

（9）Jetty是一个开源的servlet容器，它为基于Java的web内容，例如JSP和servlet提供运行环境。Jetty是使用Java语言编写的，它的API以一组JAR包的形式发布。开发人员可以将Jetty容器实例化成一个对象，可以迅速为一些独立运行（stand-alone）的Java应用提供网络和web连接。

（10）BEA WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。将Java的动态功能和Java Enterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中。 BEA WebLogic Server拥有处理关键Web应用系统问题所需的性能、可扩展性和高可用性。

（11）Tomcat是Apache 软件基金会（Apache Software Foundation）的Jakarta 项目中的一个核心项目，由Apache、Sun 和其他一些公司及个人共同开发而成。由于有了Sun 的参与和支持，最新的Servlet 和JSP 规范总是能在Tomcat 中得到体现。因为Tomcat 技术先进、性能稳定，而且免费，因而深受Java 爱好者的喜爱并得到了部分软件开发商的认可，成为目前比较流行的Web 应用服务器。

（12）Nodejs是一个Javascript运行环境(runtime)。实际上它是对Chrome V8引擎进行了封装。V8引 擎执行Javascript的速度非常快，性能非常好。Nodejs对一些特殊用例进行了优化，提供了替代的API，使得V8在非浏览器环境下运行得更好。 Nodejs是一个基于Chrome JavaScript运行时建立的平台， 用于方便地搭建响应速度快、易于扩展的网络应用。Nodejs 使用事件驱动， 非阻塞I/O模型而得以轻量和高效，非常适合在分布式设备上运行数据密集型的实时应用。

　　在电脑的网络和共享中心界面，选择设置新的连接或网络-连接到工作区；点击使用我的Internet连接(***)，输入Internet地址；输入你申请的账号和密码，验证成功后即可成功连接到代理服务器。具体介绍如下：

　　1、在电脑中的网络和共享中心界面下，单击设置新的连接或网络，选择连接到工作区，单击下一步；

　　2、选择否，创建新连接，单击下一步；

　　3、点击使用我的Internet连接(***)；

　　4、输入Internet地址，也就是你申请的代理服务器地址，可以是IP地址，也可以是域名，还可以是MAC地址；

　　5、输入你申请的账号和密码，复选框以及域(可选)根据个人意愿填写，单击连接，验证成功后即可成功连接到代理服务器。