网络及应用环境适应能力
支持众多网络通信协议和应用协议,如802.1Q VLAN、PPPoE、802.1Q、Spanning tree、IPSec、H.323、MMS、RTSP、ORACLE SQL*NET、SIP等协议,适用网络的范围更加广泛,保证了用户的网络应用。当金山防毒墙处于透明模式工作时,相当于一个二层交换机。这种特性使金山防毒墙具有了较好的环境适应能力,使用户无需改变网络拓扑结构,就可以实现全方面的安全解决方案,降低因为增加网络安全设备而导致的管理开销。
基于安全区段概念的安全策略
金山防毒墙基于安全区段进行安全策略的定制和部署,将从接口层面的访问控制上升到安全区段层面。从体系结构上继承了传统防火墙的网络安全区段划分概念,也做了很多突破,它默认各个安全区段间的安全级别是一样的,它们之间的安全差异由用户来定制,为安全策略的定制和部署提供了很大的灵活性,同时也避免了僵硬的将网络划分为内部,外部和DMZ区的传统方式,使得用户能够进一步控制内部不同网络之间的安全区段。金山防毒墙通过在这些安全区段间部署独立的安全策略,可以限制不同网络间的访问行为。
功能强大的网络控制描述语言
采用了基于对象的网络流量控制和描述语言,用户可以自行定义地址对象、服务对象、时间对象和访问控制行为,并且可以将已定义的对象分组;安全策略的描述基于对象元素,使之更加接近自然语言的描述方式,大大减少了维护和运营成本,让网络安全技术更加平易近人。
深度数据检测功能
金山防毒墙采用了深度数据检测功能,以状态检测技术为核心,提供从链路层到应用层信息安全的全面控制。在链路层提供基于MAC地址的过滤控制功能。在网络层和传输层提供基于状态检测的IP分组过滤,可以根据网络地址、网络协议以及TCP 、UDP 端口进行过滤,并进行完整的协议状态分析。
DoS防护
金山防毒墙系统的网络协议栈能够自动屏蔽掉分片攻击,如Ping of Death,Tear Drop等,同时也能根据用户设置的Anti-DoS策略检测并防御以下类型的攻击行为,并提供攻击行为计数器和详尽的攻击记录日志信息:
Land
ICMP Flood
UDP Flood
Port Scan
Address Sweep
Syn-Flood。
提供基于IPSec协议、PPTP协议的VPN接入支持
基于IPSec协议的金山防毒墙完全兼容并符合IPSec标准协议,从而保证了和其它支持IPSec的系统相互连接,构建IPSec网络。支持手工和自动密钥(Pre-share key/X.509 CA证书)两种管理方式,并支持DES、3DES、AES、Blowfish、Two fish、Serpent等多种加密算法和MD5、SHA1、SHA2_256、SHA2_512多种认证算法。
金山防毒墙的IPSec VPN模块支持IPSec流量的NAT穿越、星型部署、动态对等方等多种部署方式,极大的拓展了金山防毒墙的应用范围,特有的透明模式下IPSec VPN部署使其更具有较好的灵活性。
基于PPTP的金山防毒墙 VPN严格遵循行业标准,其PPTP支持MS-CHAP和MS-CHAP V2身份认证协议,同时支持MPPE 40,128位加密算法。
功能丰富的网络地址转换(Network Address Translation)
NAT是网络设备必不可少的功能之一,金山防毒墙提供丰富的NAT支持,支持MIP类型的地址映射、动态地址池的源IP地址转换、Conduit方式的目标地址转换和Round Robin方式的服务器负载均衡。
内容安全处理功能
金山防毒墙系统的内容安全引擎提供了针对Http协议和FTP协议的数据流量病毒过滤功能,同时还专门对邮件系统的SMTP和POP3协议数据流量提供了病毒和垃圾邮件过滤过滤功能,从而达到了更高层次的安全防护能力。支持的邮件处理方式包括:隔离,删除,警告,放行,拒绝接收等。
攻击检测和防御(IDP)功能
金山防毒墙融合了攻击检测和防御处理引擎,攻击检测的处理方式基于数据流连接和网络流量特征库,并且在配置概念上和防火墙模块相类似,可以直接使用系统已经定义的各种地址对象和服务对象,定义攻击防护的目标主机或网络,以及发现攻击行为后的处理方式。攻击检测和防御处理引擎在软件架构上,和防火墙模块之间保持联动,一旦发现攻击行为,可根据用户设置的攻击检测行为,及时切断相应的网络流量,有效的避免了内部网络敏感服务器受到网络攻击。
功能丰富的Global Manager管理系统
金山防毒墙提供了功能强大的GUI Global Manager系统,该系统基于Windows运行。使用Kingsoft Global Manager,用户可以在一台管理服务器上,同时管理多台金山防毒墙主机。Kingsoft Global Manager提供以下功能对金山防毒墙设备进行管理:
对多台不同地域的金山防毒墙设备进行统一管理和配置
收集并审计分析多台金山防毒墙设备发送的日志信息,包括事件日志,配置日志,安全日志和负载日志
对多台金山防毒墙设备进行统一的固件升级,病毒库升级和IDP特征库升级
实时监控多台金山防毒墙设备的运行状态和负载信息
三、金山防水墙
金山防水墙系统采用集成化网络安全防卫思想,遵循P2DR安全模型,应用集成防卫的理论与技术,采用分布式的体系结构,通过安全策略的设计及集中的安全控制管理平台,提供一套功能强大的安全管理控制系统;在降低网络安全管理成本的同时,能有效的保护网络和主机系统的安全,防止内部的信息泄漏。
金山防水墙系统分为安全策略管理系统和涉密文档管理系统两个子系统,共包含病毒预控、防非法接入、防内部攻击、防内容泄密、内容过滤、设备管理、外联防护、远程监控、用户行为管理、资产管理、数据还原、涉密文件管理等功能。两个子系统针对方向和侧重点有所不同,用户可根据自己的需求自行选择系统进行部署,满足实际应用。
具体功能说明如下:
病毒预控
提供对网络病毒、木马程序的控制,防止终端主机受到感染,确保主机系统的安全。该功能的实现主要依靠金山防水墙系统的分布式防火墙功能来实现,其提供了基于IP、TCP、UDP、ICMP和IGMP等协议、端口、访问方向、源目的地址等的灵活控制,有效防止了网络病毒和木马程序借用特定协议、特定端口进行感染和入侵终端主机。
金山防水墙系统建立了一套完整的补丁程序安装情况检测机制,能够随时检测出终端主机当前的补丁安装情况,通过远程监控和资产管理(软件管理)能够方便直观的检测出终端主机系统补丁的详细情况。目前,该补丁检测机制能够检测Windows操作系统、IE、Microsoft Office、Microsoft SQL等主流软件的补丁安装情况。提供对操作系统补丁、应用软件补丁的管理,自动化实现对补丁软件的分发和安装。
