“天网防火墙”是我国首个达到国际一流水平、首批获得国家信息安全认证中心、国家公安部、国家安全部认证的软硬件一体化
网络安全产品,性能指标及技术指标达到世界同类产品先进水平。“天网防火墙”发展到现在,已经在多项网络安全关键技术上取得重大突破,特别是强大的
DoS防御功能足以傲视同行。公司还在此基础上独立开发出天网VPN
安全网关、
内容过滤系统等
网络应用软硬件
系统模块。由于企业倒闭,该软件于2010.4停止更新。
企业版
部门级
天网专为小型办公室/机构的内部网络而设计的天网
防火墙墙部门级,功能全面,集高安全性及高可用性于一身,使用简单灵活。能够有效抵御来自互联网的各种攻击,保障内部网络正常服务的正常运行。您还可以根据实际需要选择不同的附加功能模块,满足您不断进步的要求。
防火墙型号:部门级FW2010
系统功能:
1、 国内首个自主版权的专业防火墙内核
3、 具有包过滤功能的虚拟网桥
4、 具有TCP标志位检测功能
6、 支持
网络端口多个IP地址绑定,支持多子网及多IP应用
7、 支持IP地址与网卡MAC地址绑定
9、 功能模块软件升级简便,便于扩展
10、 基于WEB界面的管理,易于管理
典型网络方案:
一个小型办公室/机构通常有一个独立的局域网,通过共享一个专线(ADSL,DDN等)连接接入Internet,需要保护内部网络不受外部入侵。在这个典型应用中,把防火墙架构在拨号接入设备之后,即可保护小型企业内部网络用户访问
Internet的安全。
企业型
在政府及大型企业中,有独立的大规模的局域网,需要实现局域网通过各种
宽带连接访问外部网络的,同时需要为外部网络提供的各种应用服务。面向大型企业网络的天网防火墙企业级,除具有天网防火墙独有的攻击防御功能,TCP标志检测等优秀基本功能外,强大的处理能力配合功能模块,能以接近透明的方式保护企业内部成千上万的
工作站及重要的
服务器群,绝对不会成为
网络瓶颈。通过设置天网防火墙,在局域网内分离出
内部网区和
中立区,分布保护对外的服务器和内部局域网的网络安全。
推荐型号:天网防火墙企业级FW3010标准型,天网防火墙企业级FW3060扩展型
1、 自行开发的优良的防火墙内核
2、 基于状态检测的包过滤功能
3、 具有包过滤功能的虚拟网桥功能
4、 具有TCP标志位检测功能
6、 具有流量统计与流量限制功能
7、 通过界面升级,操作方便
8、 具有DoS防御网关技术,能有效的防止各种类型的DoS攻击
9、 支持一个
网络端口绑定多个IP地址,从而支持多个子网和多种IP应用。
10、 支持IP与
MAC地址绑定,有效地管理IP地址资源
11、 具有
实时系统监控功能,能观察系统的运行状态及网络连接状况
12、 具有实时报警功能,通过拨打电话和Email的方式报警
13、 具有系统操作记录,可以记录系统管理员的所有操作情况
网络黑洞模块
用于阻挡黑客的网络结构
探测,返回错误的信息给黑客,可以有效的防止外来攻击。
用于记录网络数据流量、用户流量计费等功能,该模块需要在一台PC机上安装一个客户端软件进行
数据收集、分析和处理,还可以把分析结果导入数据库,实现自动处理。
可对用户上网时间带宽作限制
XXX企业集团网络安全方案
本方案的设计遵循以下思想是:
风险、成本、效率平衡原则
综合性、整体性考虑
保证系统可用性,
安全系统对于应用有很好的
透明性 集中管理,易于维护
实用的安全产品必须是经过公安部门检验的合法产品。并且必须是国产安全产品。
与应用系统结合,提供网络与应用结合的一体化安全方案
制定安全策略的目的:
划分安全区域
制订安全策略,包括用户
访问控制,定义访问级别,确定服务类型。
安全策略:
目的:
划分安全区域。
制订安全策略,包括用户访问控制,定义访问级别,确定服务类型。
审核和过滤,仅符合安全策略的访问和响应过程可以通过,拒绝其他访问请求。
根据对用户需求的分析,企业内部网络可以划分为以下几个安全区域:
公共网段
外部网段
分属三个安全区域的网段通过天网防火墙进行互连。
现有需要进行审核和过滤的应用和服务类型包括:
电信级
对网络服务供应商来说,保护网络安全免受攻击是至关重要的,因此对于防火墙的选择必须慎重。天网防火墙电信级是专为ICP(互联网内容供应商)网站以及IDC数据中心设计的大容量高性能防火墙,它能支持大量的峰值访问与并发连接数,适应各类型ICP网站和IDC数据中心的复杂的业务与数据交换的需求。它包括了基本的
防火墙系统的各种优秀功能,外加强大的功能模块,还可扩展成
双机热备份功能,使系统瞬间自动切换不正常的防火墙系统,全面保护网络服务供应商免受非法攻击。
推荐型号:天网防火墙电信级FW5010 ICP型; FW5060 IDC型
对于小型的网站我们建议使用FW5010 ICP型,对于大型的ICP网站或者IDC数据中心等ISP
网络运营商我们建议使用FW5060 IDC型,相对于ICP型,提供更强大的处理能力,并带有
负载均衡功能和
双机热备份功能。
值得一提的是,目前DoS及DdoS攻击严重威胁着各ICP网站的安全,而天网独特的DoS防御网关能高效地把这类攻击拒之门外,诸多成功案例已经证明天网防火墙电信级的确是各类网站和数据中心的保护神。
功能
基本系统功能,包括:
1、 自行开发的优良的防火墙内核
2、 基于状态检测的包过滤功能
3、 具有包过滤功能的虚拟网桥功能
4、 具有TCP标志位检测功能
5、 具有双向的网络地址转换功能
6、 具有流量统计与流量限制功能
7、 可通过界面升级,操作方便
8、 具有DoS防御网关技术,能有效的防止各种类型的DoS攻击
9、 支持一个网络端口绑定多个IP地址,从而支持多个子网和多种IP应用。
10、 支持IP与MAC地址绑定,有效地管理IP地址资源
11、 具有实时系统监控功能,能观察系统的运行状态及网络连接状况
12、 具有实时报警功能,通过拨打电话和Email的方式报警
13、 具有系统操作记录,可以记录系统管理员的所有操作情况 ■
网络黑洞用于阻挡非法的网络探测
■网络数据记录
用于记录通过防火墙的数据类型和流量,该模块需要在一台PC机上安装一个客户端软件进行数据收集、分析和处理,还可以把分析结果导入数据库,实现自动处理。
典型网络方案:
某大型ICP网站准备使用十台服务器对外提供Web服务,使用四台服务器作为Smtp服务器,两台服务器作为P0P3服务器,对外进行服务,估计将有2325M的流入数据量和1214M的外流数据量:
网络结构
根据该大型ICP站点当前的网络需求,我们建议使用基于 天网防火墙电信级FW5060 IDC型的安全解决方案。
为了保证站点的稳定性、
容错性,本方案使用天网防火墙ICP型两台,通过防火墙的
双机热备份功能保证不间断正常运作,并把整个网络划分为物理上相互独立的两个
网段:
公共网段(Public Network)
私有网段(Private Network)
其中,公共网段提供面向Internet的广域网连接和接受互联网用户访问的支持;私有网段安放十台Web
服务器、四台Smtp服务器和两台P0P3服务器,提供Web和电子邮件应用服务。
安全策略
目的:
划分安全区域
制订安全策略,包括用户访问控制,定义访问级别,确定服务类型。
审核和过滤,仅符合安全策略的访问和响应过程可以通过,拒绝其他访问请求。
根据对用户需求的分析,北京站点的网络可以划分为以下几个安全区域:
内部网段
外部网段
分属两个安全区域的网段通过天网防火墙进行互连。
现有需要进行审核和过滤的应用和服务类型包括:
千兆级
随着
网络技术突飞猛进,中国的网络基础建设的扩大。目前,
网络骨干已经进入
光纤时代,除了电信的骨干,政府以及大型企业已经开始普及光纤,而基于光纤的
千兆性能的防火墙产品成为关键。本公司早在1999年处就着手天网千兆防火墙的开发,通过吸取国外同行的优秀经验,加上国内顶尖技术人员的智慧,终于在2000年4月成功推出中国第一台千兆级别防火墙,其卓越性能马上得到用户的认同。2002年,在原先天网防火墙千兆级的基础上,发展出天网防火墙千兆级FW8060旗舰级,使用全新的硬件系统和软件核心,使天网防火墙达到了一个全新的高度,强大的功能与性能能够满足最苛刻的用户的要求。 集合了优异的网络性能与系统性能的天网防火墙
千兆级,利用优化的内核实现了极高效的硬件数据交换能力和系统
并行处理能力的有机结合,支持百万级别的
并发连接。能够支持上万用户的网络请求,完全能满足各种宽带网络应用服务的大流量数据应用要求。 推荐型号:天网防火墙千兆级FW8010骨干型;天网防火墙千兆级FW8060旗舰级
基于千兆的优异性能:
■千兆级别基于状态的包过滤功能
■千兆级别的NAT连接功能
■提供千兆级别的
虚拟专网性能,支持超过2万条IPSEC安全隧道
■支持百万级别并发用户连接
License
Type Description
SNFW-FT-LOG 网络数据记录
性能列表:
千兆级别的基于3DES加密的虚拟专网性能
千兆级别的基于状态的包过滤功能
支持超过50万条的并发用户连接
支持超过4万条的访问控制设置
所支持的标准包括ARP、TCP/IP、UDP、IPSEC、3DES等
支持超过2万条IPSEC安全隧道
典型方案
电子商务应用安全解决方案
现在的电子商务站点需要支持数以万计的
并发连接,网络安全设备需要支持大量的用户连接并对上万个请求同时进行回应。今天,基于传统商业操作系统的
软件防火墙并不能提供这种规模的服务。许多站点依靠额外的
网络设备来在多个防火墙之间达到
负载平衡。多
防火墙系统的管理是困难的,因为管理员要在各台防火墙之间做到同步。
千兆双机热备份,其软件可以保持正在进行的
并发连接。这就保证了即使系统出现故障,连接仍然可以保持,消费者不会因受到损失而转向别的站点。
今天,热门的电子商务公司大多把他们的web主机分散放置,以向顾客提供快速的反应。他们都把精神集中到核心业务上,对于web
主机设备要求提供包括安全服务在内的网络服务。
千兆防火墙提供可控制的防火墙和VPN安全服务。其多用户体系结构的
虚拟主机系统提供了便利的方法来管理一个系统内的多个用户。每一个虚拟主机系统可以有基于各自独立用户的一套政策。每一个虚拟主机系统的通信可以通过在防火墙和交换机之间配置IEEE802.1qVLAN标志,安全的传送到客户端,从而提供一个秘密、安全的连接。
企业的安全解决方案
企业的安全需要处理大规模的
并发连接的能力。企业一般设有多台
服务器以供
远程站点访问或
远程用户访问,这些服务器提供e-mail、web、ftp、NFS或其他
应用程序服务,这都需要支持大规模的并发连接。另外,随着越来越多的商业应用通过
IP网络提供,用
千兆以太网连接起来的服务器群,也需要内部防火墙保护。企业本身的Internet连接数也随着越来越多的服务通过Internet提供而大量增加,一个站点有多个T3或OC3连接需要保护是毫不奇怪的。例如企业需要用自己的Internet线路连接到其他大型网络来进行视频会议或大型的服务器/
主机数据库查询,还需要支持高速度的VPN。还需要支持大量的VPN隧道以连接他们的分公司和远程办公室,代替昂贵的
帧中继服务。还有就是那些在家工作的雇员,这些雇员通过最新的宽带技术访问公司的网络。
个人版
概况
天网防火墙个人版(简称为天网防火墙)是由天网安全实验室研发制作给
个人计算机使用的网络安全工具。它根据系统管理者设定的安全规则(Security Rules)把守网络,提供强大的
访问控制、应用选通、
信息过滤等功能。它可以帮你抵挡网络入侵和攻击,防止信息泄露,保障用户机器的网络安全。天网防火墙把网络分为本地网和互联网,可以针对来自不同网络的信息,设置不同的安全方案,它适合于任何方式连接上网的个人用户。
开发历程
天网在自99年推出天网个人版防火墙V1.0后,连续推出了V2.0、V2.5等更新版本,现在最新版本为V3.0.0版。到目前为止,天网安全阵线已经接受了超过2千万次下载天网
个人防火墙的请求,累计各大授权下在站点的下载量,天网防火墙各版本已经进入到千百万国内互联网用户的个人电脑桌面上了,为中国无数的网民提供了安全保障。
荣誉认证
天网防火墙个人版通过了“中国国家安全部”、“中国公安部”、“中国国家保密局”及“中国国家信息安全测评认证中心”信息安全产品最新检验标准认证,并可使用于中国政府机构和军事机关及对外发行的个人版防火墙软件。
版本介绍
天网防火墙2006充值版
更新日期:2008.6.11
平台:Win NT/2000/XP
文件大小:5.35 MB
天网防火墙2006零售版
更新日期:2008.6.11
平台:Win NT/2000/XP
文件大小:4.67 MB
天网防火墙2006试用版
更新日期:2008.6.11
平台:Win NT/2000/XP
文件大小:4.23 MB
无需注册,安装即可使用!
特征
严密的实时监控
对所有来自外部机器的访问请求进行过滤,发现非授权的访问请求后立即拒绝,随时保护用户系统的信息安全。
灵活的安全规则
设置了一系列安全规则,允许特定主机的相应服务,拒绝其它主机的访问要求。用户还可以根据自已的实际情况,添加、删除、修改安全规则,保护本机安全。
应用程序规则设置
新版的天网防火墙增加对应用程序
数据包进行底层分析拦截功能,它可以控制应用程序发送和接收数据包的类型、
通讯端口,并且决定拦截还是通过,这是目前其它很多
软件防火墙不具有的功能。
详细的访问记录
示所有被拦截的访问记录,包括访问的时间、来源、类型、代码等都详细地记录下来,你可以清楚地看到是否有入侵者想连接到你的机器,从而制定更有效的防护规则。
完善的报警系统
设置了完善的声音报警系统,当出现异常情况的时候,系统会发出预警信号,从而让用户作好防御措施。
独创的“扩展”级别
根据当前网络安全环境,针对新出现的
蠕虫病毒和木马,制定相应的防御规则库并快速更新,让用户无需自己配置就可以使用最新安全规则。
功能
天网防火墙采用优化的3.0内核引擎,优化了数据检测算法,使数据处理速度更快,确保在处理大批量数据时依然能应对自如;与此同时,天网防火墙个人版一如既往地保持了系统资源占用率低的优点,以最低的资源消耗换取最高的网络安全。
在专业市场里,天网防火墙是国内第一个通过国家公安部认证的软硬件一体化防火墙,其中包括中央电视台、人民日报社、广东邮政、21CN等等企事业单位。在国内用户中有着良好的口碑和极高的品牌认知度,占有同类产品中最大的市场份额。
综合来说,天网防火墙2006版包含了以下十大功能:
一、 严密的实时监控
防火墙会监控来自外部的安全威胁,过滤掉所有未授权的连接,时刻保护统安全。
二、 灵活的安全规则
通过防火墙的规则设置面板,可以方便地对防火墙规则进行增加、删除和修改,你可以根据自身需要去制定相应的规则,如果自己不会制定规则,只需要把防火墙安全级别调整到“扩展”级别即可,官方会根据网络安全环境不定时帮你升级最新规则库。
三、 便利的应用程序规则设置
拒绝任何未经授权的
内部程序连接网络,从而阻断了所有病毒木马泄露秘密信息。
四、 详细的访问记录和完善的报警系统
遇到安全威胁即发出报警,并记录下攻击来源及其攻击类型等信息,让你可以在第一时间掌握系统的安全情况。
五、 独创的扩展安全级别
官方会实时地根据网络安全情况,有针对性地发布最新的病毒木马防御规则,让你无需对防火墙进行繁琐的设置,只要把安全级别调成“扩展”级别即可,每当有最新规则,防火墙会自动联网升级,省时又省心。
六、 完善的密码保护措施
作为防御攻击的安全类软件,最担心的就是配置被篡改或者防火墙被病毒黑客关闭,使系统失去保护。有了密码保护,凡是查看、修改、关闭防火墙,均需要提供密码,这样就防止了病毒或黑客恶意关闭防火墙以制造安全漏洞了。
七、 稳定的进程保护
进程保护可以使防火墙的进程享受超越系统级的安全待遇,保护防火墙的进程不被恶意关闭,让你的防火墙如你的系统一样无懈可击!
八、 多彩的皮肤
防火墙内置多套皮肤供你选择,不同的皮肤代表你不同的心情,彰显自由个性。
针对密集的攻击,天网防火墙会自动判断并将攻击源加入列表,静默该攻击源。你可以选择静默时间,或者将该来源从黑名单中移除。一旦攻击源被加入静默列表,所有来自这里的攻击一律屏蔽,因而无需再记录繁杂日志及重复发出烦人的报警,不会扰乱你的工作,也节省了系统资源。
十、 及时的资讯通信息
天网资讯通每天提供各类实用的安全技巧和安全新闻,让你在享受系统保护的同时,还能不断学习各种安全知识。授人以鱼,不如授人以渔!相信你在不知不觉之中,也能成为一个网络安全高手。
在线检测
安全隐患,并且根据检测结果判断您系统的安全性,引导您进一步加强系统安全。注意:该测试只针对标准IE环境。
测试过程中可能会有防火墙拦截引起的警报,请不必为此惊慌。
检测项目
木马检测 对目前常见的木马端口进行扫描,查看木马端口是否被打开。
系统安全性检测 该项检测功能升级中,敬请期待!!!
端口扫描检测 扫描本机易受攻击端口的开放情况,并根据结果给出相关建议。
信息泄漏检测 检测您的
电脑系统是否存在信息泄漏的危险性。
评估说明
极度危险 您的网络安全状况非常糟糕,有很严重的安全问题,建议您马上进行信息泄漏检查和系统安全性检查。
一般危险 您并没有做好安全措施,人们可以轻易得到您计算机的相关信息,建议进行系统安全性检查。
比较安全 您非常重视
计算机安全,并且做好了安全措施,建议进行网络
探测检查。
连接超时 您的网络太慢或者您的网络受到防火墙的保护,建议您再试一下信息泄漏检查。
使用方法
安装及注册
天网防火墙个人版是以一个
可执行文件网页上,填妥包括用户名、密码、真实姓名、电子邮件等必要的信息之后,注册码便会在不久之后发送到你的电子信箱之中了。你只需要利用你填写的用户名和天网提供的注册码便可以完成注册了。当然,在登陆的过程中,你也可以顺便利用天网的在线检测功能检测一下你的计算机的安全情况。在你未完成注册之前,也只需要将天网防火墙最小化,它便不会再来烦你了。
界面
设置
天网防火墙提供了普通设置和高级设置两种。前者主要是提供给普通用户使用的,而后者则是提供给对于网络安全有着相当了解的黑客级用户的。你究竟选择哪一种就取决于你对自己的定位了。不过笔者对于两种设置都会有比较详细的介绍的。无论是哪一种设置,天网防火墙都提供局域网安全设置和互联网安全设置两种。前面的设置对于我们这种利用
调制解调器拨号上网的普通用户来说意义不大,所以下面的介绍全部以互联网安全设置为准。不过好在两种设置的内容完全一致,问题也不太大。
普通设置
特洛依木马的客户端程序,也不会受到入侵者的控制。你可以用浏览器访问WWW,但无法使用ICQ、OICQ等软件。如果你需要使用ICQ类服务,或者安装有FTP Server、HTTP Server的话,那么请不要选择此选项。在中这个选项的时候,天网防火墙关闭了所有TCP端口服务,但UDP端口服务还开放着,别人无法通过端口的漏洞来入侵你的电脑。这个选项阻挡了几乎所有的
蓝屏攻击和信息泄露问题而且不会影响普通
网络软件的使用,是笔者推荐的选项。在低这个选项的时候,天网防火墙阻挡了某些常用的蓝屏攻击和信息泄露问题,但不能够阻挡BO等后门、特洛依木马软件,不推荐使用。如果你是高级用户,需要自定义配置的话,那么请设置为自定义选项,并进入高级设置。
高级设置
ICMP:关闭时无法进行PING的操作,即别人无法用PING的方法来确定你的存在。当有ICMP数据流进入机器时,除了正常情况外一般是有人利用专门软件进攻你的机器,这是一种在Internet上比较常见的攻击方式之一。主要分为Flood攻击和Nuke攻击两类。ICMP Flood攻击通过产生大量的ICMP数据流以消耗您的计算机的CPU资源和网络的有效带宽,使得您的计算机服务不能正常处理数据,进行正常运作;ICMP Nuke攻击通过Windows的内部
安全漏洞,使得连接到互联网络的计算机在遭受攻击的时候出现
系统崩溃的情况,不能再正常运作。也就是我们常说的蓝屏炸弹。该协议对于普通用户来说,是很少使用到的,建议关掉此功能。
IGMP:和ICMP差不多的协议,除了可以利用来发送蓝屏炸弹外,还会被后门软件利用。当有IGMP数据流进入你的机器时,有可能是DDOS的宿主向你的机器发送IGMP控制的信息,如果你的机器上有DDOS的Slave软件,这个软件在接收到这个信息后将会对指定的网站发动攻击,这个时候你的机器就成了黑客的帮凶。
TCP监听:关闭时,你机器上所有的TCP端口服务功能都将失效。这是一种对付特洛依木马客户端程序的有效方法,因为这些程序也一种服务程序,由于关闭了TCP端口的服务功能,外部几乎不可能与这些程序进行通讯。而且,对于普通用户来说,在互联网上只是用于WWW浏览,关闭此功能不会影响用户的操作。但要注意,如果你的机器要执行一些服务程序,如FTP
SERVER,HTTP SERVER时,一定要使该功能正常,而且,如果你用ICQ来接受文件,也一定要将该功能正常,否则,你将无法收到别人的ICQ信息。另外,关闭了此功能后,也可以防止大部分的
端口扫描。
UDP监听:失效时,你机器上所有的UDP服务功能都将失效。不过好象通过UDP方式来进行蓝屏攻击比较少见,但有可能会被用来进行激活特洛依木马的客户端程序。注意,如果你使用了ICQ,就不可以关闭此功能。
NETBIOS:有人在尝试使用微软网络共享服务端口(139)端口连接到您的计算机,如果您没有做好安全措施,可能是在你自己不知道和并没有允许的情况下,你的计算机里的私人文件就会在网络上被任何人在任何地方进行打开、修改或删除等操作。将NETBIOS设置为失效时,你机器上所有共享服务功能都将关闭,别人在
资源管理器中将看不到你的共享资源。注意:如果在失效前,别人已经打开了你的资源,那么他仍然可以访问那些资源,直到他断开了这次连接。建议:在局域网中打开该功能,在互联网关闭。
好了,介绍完了所有的选项,至于哪些开,那些关就完全由你决定了。千万要记住,只用进行了正确的设置之后防火墙才会发挥出所有的功能,如果设置不当的话,那么防火墙也只是聋子的耳朵--摆设。
安全记录
当你运行了防火墙并且想检测一下它的效果的话,便可以查看一下天网防火墙的安全记录。在安全记录中,天网防火墙会提供它发现的所有进入数据流的来源IP地址、使用的协议、端口、针对数据进行的操作、时间等基本信息。如果你需要更为详尽的解释的话,可以双击相应的记录,天网防火墙会利用浏览器调用天网网站上的相应信息。从中你可以获得大量的互连网络安全信息。在笔者的试用过程中,短短半个小时里,天网便截获了十几条进攻的数据流,绝大多数都是特洛依木马类的进攻,可见网络之险恶。
缺点
天网防火墙的确是一个出色的网络安全软件,特别是针对普通用户的设置上。有了它之后,完全可以抛弃其它的诸如LockDown等安全软件。而且娇小的身躯、低廉的价格(根本不需要)实在是为我等普通用户量身定做的。
相比其他产品,天网在业界的口碑已经很好 。如果说缺点,那么不提供后门、特洛伊木马软件的检测和清除可能是一个,虽然即使我们的机器里有这些软件,在天网防火墙的保护之下也无法逞能,但在机器里潜伏着感觉总是怪怪的。所以希望天网防火墙的下一个版本能够提供此项功能。此外,最好帮助文档最好也做在软件一起,省去上网查询的麻烦。