免疫墙路由器——具有内网系统安全和上网行为管理功能的企业级宽带路由器。免疫墙路由器能够将宽带接入任务延伸到每一台内网终端。它具备全面独特的功能，完美解决企业网络普遍存在的掉线、卡滞、被盗号、难管理、效率低下的顽症，将全面替代单纯的普通路由器，成为企业网络的主流核心产品。

网络问题必须网络解决。众所周知，单一路由器不可能对内网进行全面的保护，防火墙、防毒墙、杀毒软件等都涉及不到网络协议病毒的攻击，双绑措施、免疫补丁、内网火墙等制止不了恶性病毒的发作。普通路由器功能无论如何修修补补，对于网络的稳定、高速、安全、可管理性能的提高终将力所不及、束手无策。免疫墙路由器将接入路由、免疫驱动和免疫专有协议进行连接，以完整的系统对内网进行全面管理，天衣无缝，稳定畅通，成功打造出能够以命相托的可靠的企业网络。

免疫墙路由器是欣全向公司高度创新的科技突破。以多WAN和带机能力区分，“欣向”全系列免疫墙路由器将为千千万万中国企业带来新一代的组网革命。

·免疫墙路由器是唯一能管内网的路由器，是融合了内网安全和管理功能的宽带接入设备

·比传统路由器组网效果：更稳定、更高速、更安全、可管理

·什么是免疫墙：

“免疫”如“病毒”一样，都是借用了生物医学的名词，它指的是人体所具有的“生理防御、自身稳定与免疫监视”的特定功能。“免疫墙”就是使企业网络具有抵御电脑病毒能力的一种技术手段。免疫网络的作用就是使网络通过安装免疫墙达到稳定健壮的效果。

·谁需要免疫墙路由器：免疫墙路由器是基础组网设备，所有宽带接入的企业用户都需要。

尤其是，一、信息化发展程度高的企业，网络的稳定可靠对其业务影响大。政府办公、合资独资企业、旅游外贸公司等

二、有应用痛点的企业，开放式上网环境，无法管理流动电脑和人员的上网，如酒店、教育网、证券交易所等

·以太网有协议漏洞：不稳定的网络基础架构。网络病毒泛滥，它可以不受控制地侵入到内网中进行攻击和欺骗，防不胜防；所以，内网系统安全是企业网络普遍发生掉线、卡滞、被盗号等故障的最主要原因。而没有其他手段可以阻止。

·以太网不擅长管理：对网络应用的管理是以太网的弱项。网内终端用户无节制的下载，造成带宽的滥用，影响整个网络的顺畅运行。所以，企业网络存在难管理、效率低下的先天缺陷。严重时，造成整个网络运行瘫痪。

·现有方案无法解决

VPN安全路由器，是特定功能的接入设备，负责数据传输安全

防火墙安全路由器，是融合简易防火墙的接入设备，负责网络边界安全

自防御网络方案：突出在网络准入规则及用户访问权限上，负责终端身份的安全

上网行为管理方案：针对的是企业员工的行为管理，是公司行政管理的网络化手段。起到提高工作效率、保护信息安全和资产管理的作用。

防火墙、防毒墙、垃圾邮件过滤、IDS和IPS等网络安全手段：属于特定安全功能的网关产品，作用于网络边界

免疫墙路由器：宽带接入的基础设备，负责内网系统安全和管理，解决80%的企业网稳定性、可靠性问题。

·第一代路由器——软件代理服务器，就是在PC上安装SyGate、WinGate或WinRoute等等这类软件，运行在标准的PC操作系统上

·第二代路由器——硬件接入路由器，它是从传统边缘路由器移植过来的。

·第三代路由器——协议管理路由器，除了接入共享外，还承担了整个内网的系统安全和行为管理的职责。

·网络问题网络解决——免疫墙路由器的技术思路

传统路由方案作为一款单一设备，解决不了企业网的问题。免疫墙路由器通过四个方面紧紧管控整个内网，达到比前二代路由方案更稳定、更高速、更安全、可管理的应用效果。

1、 拓展到网络的最末端。免疫墙路由器对内网中的每一台终端进行管控，没有免疫身份的终端不允许上网，阻止了从内网终端发起的攻击，并对内网终端进行行为策略管理，与此同时保护每一台终端的安全，全面净化网络环境。

2、 深入到协议的最底层。免疫墙路由器对协议层的管理在路由器和终端网卡上同时展开。路由器的协议管理从NAT开始进行，而上网驱动则安装在每一个终端的网卡驱动层。所有上网数据都必须要通过这层驱动，任何应用无一漏网。它能够有效地防范ARP、IP分片、洪水包等协议型病毒，精确调整每台终端的上网带宽，管理P2P下载、qq、游戏等上网行为。

3、 盘查到外网的出入口。免疫墙路由器作为外网和内网连接的大门，是企业网的核心设备。不但有高速的转发效率，免疫墙路由器还强调对网关的保护和外网攻击的防范，它对来自内外网的ARP截获网关数据攻击，伪造IP等非法操作有先天免疫的能力。

4、 总览到内网的最全貌。免疫墙路由器提供了安装到内网服务器上的一套免疫监控中心。它能够时时刻刻监控全网每一台终端的运行状况和路由器的工作过程，对包括内外网流量、异常攻击和被攻击、特殊的数据格式等等内网中发生的状况，按照要求及时拦截、记录、告警。监控中心与路由器和终端上网驱动三者联动，全面掌控内网运行，同时允许管理者进行内网终端的分组管理、带宽动态分配、制定上网权限、全网策略分发等工作。

1、 更高的稳定性

免疫墙路由器的内网稳定性能远高于普通路由器和单纯软件方案

·可靠的硬件设计

——欣向免疫墙路由器经过大量用户使用环境的成功验证，其中3万网吧用户全年24小时营业，历经数年，始终勤勤恳恳。通过FCC、UL等国际标准认定。

·保护环境，铲除网络病毒攻击

——木马、黑客病毒攻击是造成网络不稳定的罪魁祸首。免疫墙路由器能够阻断攻击源使网络病毒无法发作。通过对攻击的最有效防范，免疫墙路由器能够全面保持纯净的网络环境，保证内网网络设备超级稳定地工作。

2、 高速通畅性

免疫墙路由器具有高速通畅的应用保证，持久优异的性能表现令普通路由器望尘莫及

·快速NAT算法（Accelerate NAT，ANAT算法），极高的转发效率

——通过权威机构评测，出色的转发效能赢得PC magazine 2007《编辑选择奖》

·多WAN负载均衡（Load Balance），进行带宽的叠加。

——路宽了，车就跑得快了

·欣向弹性带宽管理（Flexibility Bandwidth Control）

——充分利用接入带宽，达到“人少时快，人多是均”的传输效果

·分组带宽管理（Group Bandwidth Control）

——为每一个IP带宽进行预分配，防止个别IP滥用带宽，影响网络其他终端数据传输。

·支持一网多线（Different Line Distinguish）

——网通走网通，电信走电信。。。自动选择最快路径，加速访问

3、 系统安全性

免疫墙路由器关注内网的系统级安全，以解决以太网协议漏洞为主要方向。不同于防火墙、杀毒软件等，它的作用机理没有任何方案可以替代。

·系统健壮

——防止arp攻击、洪水包、tcp syn、ip分片、ddos等病毒对网络的破坏，避免路由、交换等网络设备因为攻击而系统崩溃，酿成网络灾难

·信息安全

——彻底杜绝Arp欺骗，通过路由arp先天免疫和终端看守式绑定技术，保护银行密码、qq、msn、游戏等重要账号不被arp欺骗盗走。

·外网安全防护

——滤窗技术，迄今为止最高效的路由器外网防火墙，外网攻击和部分黑客行为被挡在路由之外。

4、 可管理性

安全和管理密不可分，没有有效的网络管理就不可能保证网络的安全畅通。免疫墙路由器可以对每一个终端的传输和行为进行控制，从网络最末端和最底层协议开始，全面把控网络运行的方方面面。

·分组管理

——可对每一个IP进行时间段、流量、控制和报警策略进行精细化控制，约束某个分组或终端按指定的时间段、以指定的最大流量上网

·身份控制

——免疫驱动可以自动安装到每一台终端，对没有安装免疫驱动的终端进行上网控制，保证全面的网络管理，严密防护没有死角

·集中监控，网络状况时时刻刻一目了然

—— 免疫墙路由器配合和监控中心，可以对每一个IP的内外网流量、攻击发生、防护策略等信息进行实时监控。通过监控中心，可以瞬间调整并分发控制策略，不必抓包查障，全网尽在掌握。

·行为管理

—— 顺应企业网络管理规章制度，允许封锁QQ、MSN、网络银行、股票买卖、游戏等非正当业务行为，同时进行监控审计

免疫墙路由器是一个功能性、方案性的产品。技术的严密性，管理的完整性确保了免疫墙路由器具有内网系统安全和上网行为管理，在上网的稳定、高速、安全、可管理能力上，远远超过了现阶段所有普通路由。

免疫墙路由器由通过免疫驱动对内网进行全面管理控制。与普通路由不同，它采用了独特的驱动控制架构，所有功能的实现都是基于这个完整的技术体系。

免疫墙路由器硬件、免疫墙路由器配置和监控中心、免疫墙路由器免疫驱动和专有控制协议为免疫墙路由器整体系统架构组成，如图1所示：

注： IMSC（Immunity System Control：免疫控制）

FFW（Filtered FireWall：滤窗火墙）

ANAT（Accelerate NAT：快速NAT）

LoBa（Load Balance：负载均衡）

SeIs（Security Isolation：安全隔离）

HoCo（Host Control：主机控制）

GrCo（Group Control：分组管理）

BeCo（Behavior Control：行为管理）

DLC（Driver Layer Control：驱动机控制）

InRe（Information Report：信息上传）

AuIn（Auto Install：自动安装）

1、免疫墙路由器硬件及嵌入式系统；

免疫墙路由器硬件及嵌入式软件系统为免疫墙路由器共享及内外网接口转发部分，主要控制内外网数据共享交互，其内置欣向独有专利的快速NAT技术保证高速的共享NAT转发，LAN-WAN实现了线速转发。

滤窗技术为除专有硬件级专业防火墙外最高效的防火墙技术，保证了对外网攻击的防御。

欣向第四代多WAN技术的负载均衡保证了接入的高效冗余。实现最优带宽汇聚效果及线路优选。

路由器对内网终端上网数据的处理分为免疫终端和非免疫终端两个控制单元，对非免疫终端实施特殊的管理策略（比如禁止其上网），从而保证整网安全管理的实施，保证网络安全稳定。

对于没有安装免疫墙路由器免疫客户端的终端网络访问指向到免疫服务端进行免疫客户端的自动安装，从而保证免疫系统架构实施的完整性和可靠性。

2、免疫墙路由器配置和监控中心；

a、终端自动下载安装

所有网络访问经由免疫墙路由器硬件部分时，都会进行是否装有免疫驱动的确认，如果没有安装，则被路由器重定向到免疫墙路由器配置和监控中心，由下载服务器的安装下载控件进行免疫驱动的自动安装，从而实现各主机的安全管理和控制。

对于没有进行免疫驱动安装的终端，可以进行禁止其上网或是控制其上网权限的设定。

b、监控中心以及显示

免疫墙路由器配置和监控中心主要提供对内网所有免疫驱动的分组管理、网络安全行为控制策略的定制、网络带宽（内网流量和公网流量分别控制，迄今为止最细致的带宽管理）控制、上网行为控制。实时显示免疫驱动各终端的流量状况、访问细节、带宽状态、发起的网络异常访问细节。实时显示免疫墙路由器免疫驱动的日志信息，进行日志的存档，全网终端尽在免疫墙路由器配置和监控中心。

3、免疫墙路由器免疫驱动；

免疫墙路由器免疫驱动从路由器配置和监控中心获取管理规则，从驱动级进行管理规则的执行，确保本机网络数据的安全可靠，确保本机上网行为的权限。

免疫墙路由器免疫驱动是全网管理的执行单元，控制到终端的管理方式保证了全网所有终端的安全和行为权限。

4、专有协议、整体互通

内网所有终端的免疫驱动安装均由免疫墙路由器进行重定向至免疫下载服务器，从而进行免疫驱动的自动下载和安装；

内网终端是否为免疫受控信息都在路由器，并依此进行非免疫驱动主机的上网控制。

内网免疫驱动实时上传本机访问信息、攻击状况至免疫服务端，实时控制，实时汇总。

免疫墙路由器配置和监控中心保证策略执行，共同执行网络整体安全和管理。

免疫墙路由器各个组成部分协同配合，都是以专有协议，一个整体系统协调管理，细致到终端，管理到全网。

按照以上体系架构实施的免疫墙路由器能够保证全网的部署简易、控制严格、人性化管理、从而真正的实现通过免疫墙路由器彻底实现网络的稳定、高速、安全和可管理！

免疫墙路由器是唯一在宽带接入端起到安全管理的作用，同时能够深入到整个内网的每一个终端进行控制和保护。同时，在内网中的监控中心，对整个内网的运行进行统计、显示、控制、告警、策略分发等工作，全网的状态时时刻刻一目了然。这样，网络的稳定性、高速通畅性才能得到根本的保障。