紫荆盾防火墙1000

(NetST 1000)
技术白皮书

北京清华得实科技股份有限公司

版权声明

　　产品文档是产品不可分割的部分，本产品以及产品相关文档版权属北京清华得实科技股份有限公司所有，未经过公司书面许可，任何单位和个人不得以任何理由或方式对本产品的内容任何部分进行复制，摘编，引用或翻译，并不得与非公司产品捆绑销售。

商标声明

　　""是北京清华得实科技股份有限公司的注册商标。

　　"NetST "是北京清华得实科技股份有限公司的产品注册名称。

　　www.th-dascom.com.cn是北京清华得实科技股份有限公司所属的网站域名。

　　本文档中所涉及到的产品名称和商标，属于各自公司或组织所有，绝无任何侵权之意。

信息更新

　　本产品最新版本信息，升级信息以及相关技术文档将在www.th-dascom.com.cn网站上及时推出，敬请留意。

信息反馈

　　北京清华得实科技股份有限公司欢迎您通过各种渠道为我们提供各方面的信息，您的问题和建议都会得到我们的重视和妥善处理。请将反馈信息投递到以下地址：

　　北京清华得实科技股份有限公司
　　地址：北京市海淀区上地东路9号得实大厦五层北区
　　电话：8610-62988822
　　传真：8610-82899313
　　邮编：100085
　　网站：http：//www.th-dascom.com.cn/
　　E-mail：NetST@th-dascom.com.cn
;

目录：
前言
第一部分 产品概述
第二部分 NetST 1000防火墙介绍
1.产品组成
2.硬件配置
3.产品型号说明
4.性能指标
5.认证情况
6.产品特色
6.1 最先进的技术
6.2 业界领先的抗攻击能力
6.3 独有的内容过滤功能
6.4 完善的访问控制功能
6.5 强大的多重地址转换和端口转换功能
6.6 强大的安全管理功能
6.7 高保密VPN功能
6.8 智能日志审计与状态监视
6.9 支持透明接入
6.10支持ADSL接入方式
6.11支持动态IP地址
6.12支持多个网络出口
6.13便捷的安全策略配置功能
6.14支持远程集中管理
6.15优秀的性价比
7.NetST 1000防火墙安全解决方案
7.1 产品自身的安全
7.2 网络层安全
7.3 应用层安全
7.4 安全管理，快速配置
7.5 策略管理
7.6 安全审计
第三部分 NetST 1000防火墙应用方案
1.NetST 1000防火墙应用方案
1.1 典型实例图
1.2 给用户带来的好处

前言

　　互联网的迅猛发展，给政府机构，企事业单位带来了革命性的改变，增强了获取信息的能力，加快了内部信息的交流和办事效率，提高了市场反应速度，使他们在激烈的竞争中处于有利地位，更具竞争力。 人们在享受Internet带来的方便与快捷的同时，也要面对Internet开放带来的数据安全的新挑战和新危险。近年来，在计算机网络上所进行的各种犯罪活动出现了逐年上升的趋势，并造成了十分巨大的经济损失。特别地，网络安全问题已成为当今发展电子商务的一个瓶颈。如何保护网络中的电子贸易与数据交换的安全性，保护机密信息不受黑客和间谍的入侵，成为网络安全的主要内容。 防火墙被设置在内部网络和外部网络之间，通过制定安全策略，可以监控内部网和Internet之间的活动，保证内部网络的安全。

　　NetST 1000防火墙在技术上取得了重大突破，不仅具有强大的防火墙功能，还集成了入侵检测，内容过滤，访问控制等功能，为部门和小型企事业单位提供全面的安全解决方案。

第一部分 产品概述

　　NetST 1000防火墙是为部门或小型企事业级用户提供快速，方便，灵活，有效的安全服务的网络安全设备，可以方便地在原有网络架构上构建自己的安全网络和安全通道。它是北京清华得实科技股份有限公司利用自身优势，通过对国内外防火墙产品的综合分析，针对我国网络的实际应用环境，结合国内用户的特点开发出来的具有自主知识产权的，符合我国安全政策的网络安全产品。经国内专家鉴定，其多项指标已经达到国际先进水平。

　　NetST 1000防火墙可以在网络层，传输层和应用层上进行数据的安全保护和过滤，具有强大的访问控制和内容过滤功能。

　　NetST 1000防火墙采用先进的软硬件体系结构，利用最先进的内核检测技术，入侵检测技术和内容过滤技术等，将高速的网络性能，高度的安全性能与简单易用的特点有机地结合在一起，是一套全面，高安全性，高性能的网络安全防护系统。

第二部分 NetST 1000防火墙介绍

　　1.产品组成

　　NetST 1000防火墙(硬件)：是一个基于安全的操作系统平台的自主版权的高级通信保护控制系统。

　　NetSC 日志浏览系统(软件)：是一个与操作系统平台无关的，用于对NetST 1000防火墙提供的访问日志信息进行可视化浏览的软件。

　　2.硬件配置
　　接口数量：
　　a.四个10/100Base-TX以太网接口
　　b.一个终端控制口
　　接口规范：
　　a.网络接口：10/100BaseTX
　　b.终端控制口：RS-232C
　　电气性能：
　　a.电源：AC电源输入，200～250V(47～63Hz)。
　　b.环境规范：
　　运行温度：0℃～50℃
　　相对湿度：5%～90%，非冷凝
　　3.产品型号说明
　　北京清华得实NetST 系列安全平台可以满足多层次行业的需求，其产品主要有如下四个系列：
　　NetST 1000系列——部门或小型企业级高性价比防火墙。
　　NetST 2000系列——中小企业级防火墙。
　　NetST 3000系列——中型企业级高性能防火墙。
　　NetST 5000系列——大型骨干企业级高性能防火墙。

其中，NetST 1000防火墙详细说明如下表：
产品编号 产品名称 产品描述 产品组件
NetST 1000 紫荆盾--轻型防火墙
企业级防火墙，提供：
--专用硬件平台，具有4个以太接口;
--命令行配置管理工具;
--平台无关性的图形化日志浏览器。
具备以下特性：
--基于状态监测;
--全面的访问控制机制;
--增强的安全特性，具备防范拒绝服务攻击，端口扫描及IP欺骗等安全防范功能;
--支持动态IP地址(DHCP协议客户端);
--支持透明接入(或桥模式);
--支持多个网络出口;
--终端命令行配置管理方式支持中英文;
--增加了快速配置命令，用户可以在系统的指导下一步一步地完成系统的初步设置，使网络在防火墙的保护的安全的状态下工作。
--支持TCP/IP协议族的各种协议;
--支持NAT，支持基于用户的流量限制，支持IP与MAC绑定;
--身份验证;
--支持规则冲突检查;
--内容安全性：强有力的内容过滤功能;
--支持VPN和ADSL;
--与其他安全产品联动：支持与WebCM的无缝连接和互动。
NST-HD100
NST-JM100
4.性能指标
吞吐量不少于30M;
并发连接数超过15，000;
支持ADSL;

平均无故障时间超过50，000小时。
5.认证情况
公安部销售许可证号：XKC33129
中国人民解放军信息安全测评认证中心注册号：0051号
6.产品特色
NetST 1000防火墙功能全面，技术先进，可靠性强，安全性高，具体有以下特色：
6.1 最先进的技术
清华得实NetST 1000防火墙在体系结构上采用独有的软硬件一体化设计，根据软件和硬件之间的"协作"关系量身定制，充分发挥系统的潜力，保持较高的效率和稳定性。
NetST 1000防火墙引擎采用独创的内核检测技术，即基于操作系统内核的会话检测技术，在操作系统内核实现对应用层的访问控制，这样既成功地实现了对应用层的细粒度控制，又有效地保证了防火墙的性能。
NetST 1000系统支ADSL专线接入方式，可以方便的应用在宽带小型办公室，是具有良好性价比的一个系列的产品。
6.2 业界领先的抗攻击能力
NetST 1000防火墙采用安全增强和优化的操作系统，安全级别高，具有强抗攻击功能。
在2001年12月CCID进行的国内防火墙评测中，NetST 2000系列防火墙的抗攻击能力位于国内安全产品厂商之首。
NetST 1000防火在内核上实现内容过滤(如HTTP，SMTP，FTP，TELNET，SNMP)和入侵检测(IDS)功能，通过NetST 防火墙，可以抵御各种攻击类型：如Land-based Attack(路由器攻击)，Ping Flood(DoS攻击方式的一种)，Ping of Death(发送数据长度超过64K的非法ICMP报文攻击)，Ping Sweep(ICMP网络主机探测攻击)，Smurf Attack(最早的分布式DoS攻击)，Syn Flood(当前最流行的DoS(拒绝服务攻击)和DDoS(分布式拒绝服务攻击))和Teardrop Attack(常用的碎片攻击)等。
NetST 1000防火墙不但有内置的IDS功能，还可以和清华得实NetDT 网络入侵检测系统实现联动，这不但提高了安全性，而且保证了性能。
NetDT 是清华得实自主研究发网络入侵检测系统，该系统可以全面监视各个子网络的通信情况，及时捕获入侵行为，并针对网络上的可疑入侵行为，做出策略反应，及时告警和日志记录等。

系统安全选项设置

6.3 独有的内容过滤功能
　　NetST 1000防火墙提供对可能的危险信息或容易挤占网络带宽的数据的过滤，如URL攻击检测，HTTP中携带的Java Applet，JavaScript，ActiveX脚本，Servlet，CGI，PHP，图像，音频视频，Flash文件，电子邮件附件的文件类型控制;FTP下载和上传文件的文件类型控制，FTP攻击检测等;还支持对PROXY的内容过滤，提供URL关键字过滤，HTTP，FTP，SMTP等内容过滤功能。
　　NetST 1000系列防火墙支持与WebCM的无缝连接，提供对URL的访问控制，对不良，非法的网站进行屏蔽过滤。WebCM是清华得实自主研发的Internet访问控制管理系统，该系统的主要功能是通过用户自定义的安全策略，实现对URL访问控制管理，URL访问情况的实时监视，URL访问日志的浏览和统计分析等功能。
6.4 完善的访问控制功能
　　为保证系统的安全性和提高防护能力，增强控制的灵活性，NetST 1000防火墙采用了多级过滤措施：以基于操作系统内核的会话检测技术为核心，在IP层提供基于状态检测的分组过滤，可以根据网络地址，网络协议以及TCP，UDP 端口进行过滤;在应用层通过重写通讯会话的部分或者全部提供对高层应用协议命令，网络地址段，网络地址与网络服务端口等的过滤;同时提供认证服务器进行用户级鉴别和过滤控制。NetST 1000防火墙的多级过滤形成了立体的全面的访问控制机制。
　　NetST 1000防火墙支持对上网时间段的控制：支持不同时段的不同安全策略。
　　NetST 1000防火墙支持带宽管理：NetST 1000具有粒度细致，方便灵活的带宽管理功能，可以防止用户滥用带宽。目前可以限制一组用户可以使用的最大带宽。管理员指定进行带宽管理的任意两个通讯对象，设立他们之间通讯的最大带宽。
　　NetST 1000防火墙支持用户自定义最大并发连接数，用户权限控制等功能。

访问控制策略配置
6.5 强大的多重地址转换和端口转换功能
　　NetST 1000防火墙通过多重地址转换(MAT)功能可以保护内部网络服务器的安全，也可以分散外部网络服务到不同的IP地址。
　　每当在内部网络的计算机要连上Internet时，NetST 1000防火墙可以通过网络地址转换(NAT)隐藏其IP地址，并以防火墙的外部IP地址来取代，外部用户无法得知你的内部网络的地址信息，进一步增强系统的安全性。
　　当DMZ或内部网络提供多台相同的网络服务时，NetST 1000防火墙通过多重地址转换技术利用不同的外部IP地址将网络服务映射到内部的服务器上。
　　NetST 1000防火墙通过端口转换，为服务指定端口服务，增强了系统的安全性。
6.6 强大的安全管理功能
　　NetST 1000防火墙提供了本地管理和远程管理两种方式：本地管理是指管理员通过防火墙的控制端口或防火墙提供的键盘和显示器对防火墙进行配置管理。远程管理是指管理员通过外部以太网口对防火墙进行管理。
　　NetST 1000防火墙提供了权限的分级管理机制，实现了如下功能同时一台防火墙可实现多人管理，减轻超级管理员的工作量。
　　日志审计和防火墙的告警有多个管理员进行管理，他们可以经常性的查看防火墙日志并检查防火墙策略中的缺陷以及可能遭到攻击的对象反馈给超级管理员。
　　普通管理员由于权限限制，对安全策略无法修改，对日志无法删除等限制，因此即使他们的管理水平有限，也不会给网络带来管理上的的安全漏洞。
　　NetST 1000系列防火墙支持多达6级的安全管理，管理员可以灵活设置多级登录权限，例如为管理人员设置特殊用户权限，特权用户登录到防火墙系统时可以拥有不同的功能选项。通过对访问权限的检查，可实现服务端口访问控制，协议访问控制以及基于IP包的服务类型和安全选项的访问控制。
　　注意：在Java管理控制台中也同样存在着用户的分级管理，admin超级管理员可以访问所有的防火墙而不受防火墙访问列表的限制(admin超级管理员用户可以手动禁用)，但是管理员和标准用户访问控制防火墙时都需要管理员用户的授权，同时用户还可以根据自身的需要自己定义多个用户分配不同的权限。
用户的分级管理
6.7 高保密VPN功能
　　与其它系列的紫荆盾防火墙一样，NetST 1000系列防火墙内建了VPN功能，当用户启动了防火墙的VPN功能后，就能够与VPN体系中的其它网关VPN，包括另外启动了VPN功能的NetST 防火墙互通，建立加密隧道进行加密通信，形成虚拟专用网在异地局域网间通过互联网提供安全可靠的网络使用环境。在功能上就相当于一台VPN网关与一台NetST 1000防火墙两台设备组合起来，在硬件上仅为一台设备，而且由于是内建的功能支持，功能间的结合更加平滑易用。
　　NetST 1000系列防火墙的VPN功能支持IPSec标准，支持标准X。509v3证书，使数据能够在公共网络安全地传播;使通信双方能够确认对方的身份，防止了基本身份伪装的入侵，并能与拨号的动态IP建立VPN连接。
　　此外，NetST 1000系列防火墙支持国家认可的硬件加密算法(硬件加密卡由华正天网公司提供)，

6.8 智能日志审计与状态监视
　　NetST 1000防火墙提供了非常强大的日志功能，用户可以根据需要对不同的通讯会话记录不同的日志。
日志浏览器界面
　　NetST 1000防火墙的日志记录包括如下几个部分：通讯日志，应用层命令日志，访问日志，内容日志。通讯日志即传统的防火墙日志，负责记录通讯时间，源地址，目的地址，源端口，目的端口，字节数，是否允许通过。通讯日志信息用来进行常用的流量分析已经足够，但是用来进行安全性分析还远远不够;应用层命令日志在通讯日志的基础之上记录下各个应用层命令及其参数，如HTTP请求及ULR信息;访问日志则是在应用层命令日志的基础之上记录下用户对网络资源的访问，它和应用层命令日志的区别是：应用层命令日志可以记录下大量的数据，有些用户可能不需要，如协商通信参数过程等。例如针对FTP协议，访问日志只记录下读，写文件的动作;内容日志则是在访问日志的基础之上记录下用户传输的内容，如用户发送的邮件，用户取下的网页等。

　　NetST 1000防火墙可以根据用户的不同需要对不同的访问策略做不同的日志，例如有一条访问策略允许外界用户取FTP 服务器上的文件，如果做访问日志，用户就可以知道到底是哪些文件被取走了。
　　NetST 1000防火墙可对通过防火墙的数据包进行实时监测，对网络事件进行完整的记录，生成日志文件，并且可根据用户的需要和策略，灵活配置和支持开放的日志服务器，与NetSC日志服务器无缝连接，提供电子邮件报警功能。
　　在日志管理界面中，管理员可以实时监测系统状态，如系统负载，系统使用情况，用户的连接状态等，方便及时地了解系统的状态，并且在必要的时候采取相应的行动。
日志审计统计界面
　　NetST 1000防火墙的的日志浏览器具有平台无关性，支持对多个防火墙的控制和管理，具有灵活的查询功能和文件管理功能。
6.9 支持透明接入
　　NetST 1000防火墙支持透明接入，适用于复杂网络结构和应用的接入。
　　NetST 1000防火墙的透明接入是在防火墙配置为透明工作模式时，用户无需更改网络的拓扑结构就能接入到用户网络中，用户网络中的主机也无需更改任何网络配置就能通过防火墙进行访问(条件是在防火墙规则允许的情况下)。透明接入极大的方便了防火墙的接入，同时并不降低网络的安全性。
6.10支持ADSL接入方式
　　NetST 1000防火墙不仅能够支持DDN，ISDN等接入方式，还可以支持ADSL等宽带接入方式。非常灵活，能够满足多种应用环境。
6.11支持动态IP地址
　　NetST 1000防火墙支持运行DHCP协议的动态主机，让用户在管理方便的同时不损失安全性。对于使用DHCP服务器来动态分配IP地址的网络环境，很难使用IP地址来进行访问控制，因为网络中的主机没有固定的静态IP地址，此时的解决方式有两种：一种是让防火墙自己来充当DHCP服务器进行IP地址的分配，此时防火墙自身可以知道主机的动态IP地址，从而进行访问控制，但是在这种方式下，防火墙内部必须开启DHCP服务，这不仅会增加防火墙的额外负荷，更为严重的是防火墙自身启动过多的服务会影响自身的安全性。
另一种方式是防火墙自身不充当DHCP服务器，而是作为DHCP客户机，防火墙开机后自动获取IP地址，以实现对动态IP的支持功能。NetST 1000防火墙使用的是后一种方式来解决对DHCP环境的支持的。
6.12支持多个网络出口
　　NetST 1000防火墙采用一种特殊的路由技术，支持多个网络出口，可以很好地适应有多个网络出口的环境。比如对于某些教育系统的网络可能同时有两条互联网出口，一条是通过教育网的线路连接到Internet，另外一条就是申请电信的线路直接连接到互联网。对于这种环境为了更好的利用带宽，让网络中的部分终端走教育网的出口，另外一部分终端走电信线路，这样可以很好地利用现有的带宽资源，不会造成带宽的浪费。
6.13便捷的安全策略配置功能
　　系统安全管理员可以通过控制终端集中管理，配置，维护防火墙安全策略。
　　NetST 1000防火墙还增加了快速配置命令，在用户不太了解防火墙的配置时，运行快速配置命令，就可以在系统的指导下一步一步地完成系统的初步设置，使网络在防火墙的保护的安全的状态下工作。
　　NetST 1000防火墙提供强大而完备的在线帮助功能，终端命令行配置管理方式支持中英文。此外，系统还支持规则检查，自动检测用户的安全策略规则冲突。
6.14 支持远程集中管理
　　NetST 1000系列防火墙可通过安全的认证及管理信息的加密传输实现多防火墙设备的集中管理，实现统一的安全策略布署，保证整个系统的安全策略的一致性，提高整个系统的安全强度。NetST 1000系列防火墙的主要配置和管理都是通过JAVA控制管理台来完成的，JAVA控制管理台具有平台无关性，非常便于安装和使用。
6.15 优秀的性价比
　　NetST 1000防火墙强大完善的功能，优秀的性能，高的稳定性和可靠性，体现了该产品的高性价比，可有效地保护客户投资。
7.NetST 1000防火墙安全解决方案
7.1 产品自身的安全
　　系统核心的安全：NetST 1000防火墙采用了稳定，高效的系统内核，并对内核进行了优化和加强，同时对TCP/IP内核进行了优化和加强，从而抵御DoS攻击。
　　管理操作的安全性：NetST 提供专用管理接口，并设置系列安全措施，管理员对系统的操作行为是唯一的，有限的，并严格安全审计，使得管理操作更安全。
7.2 网络层安全
　　NetST 1000防火墙网络层安全主要解决网络互联时在网络通信层的安全问题：网络进出控制，防止黑客入侵(入侵检测)。
15
7.2.1 包过滤
　　包过滤是在通讯协议的网络层上，对符合事先设置的安全规则定义的IP包进行包过滤，将不符合事先设置的，安全规则定义的IP包进行排除。

7.2.2 网络地址转换
　　NetST 1000防火墙提供的网络地址转换功能，实现内外网络采用两套IP地址。NetST 1000同时支持隐藏性地址转换和静态地址转换，对所有内部客户端提供公网连接。
　　NetST 1000防火墙通过多重地址转换(MAT)功能可以保护内部网络服务器的安全，也可以分散外部网络服务到不同的IP地址。
7.2.3 TCP/UDP端口映射
　　当内部网络中具有假IP地址的多台主机需要对外提供服务时，系统提供将一台真IP地址主机的多个端口，映射到内部多台主机不同端口的功能。用户访问真IP地址主机的相应端口，即可访问内部主机提供的服务。它的好处是解决了企业IP地址不足的问题，更重要的是，隐藏了提供服务主机的网址，从而保证服务主机的安全。
7.2.4 入侵检测与告警
　　NetST 1000防火墙提供了内置的入侵检测和告警功能。当检测到带有恶意攻击特性的请求，并且与入侵特征库匹配时，即开启入侵报警模块，通知管理员。
　　管理员收到警报后可以及时的对恶意访问做出相应的防范处理。
　　NetST 1000防火墙还可以与IDS系统联动，增强系统安全性，提高系统性能。
7.2.5 地址绑定
　　IP与MAC地址绑定是比较通用的网络安全防范措施，保护内部网中的主机的IP地址不被盗用。NetST 1000防火墙能够对指定接口所连接的网络中主机的IP和MAC地址进行绑定，防止IP盗用，并对非法IP的访问提供详细的记录，以便管理员查看。NetST 1000防火墙的IP与MAC地址绑定提供两种安全策略供用户选择：默认允许/禁止不在IP和MAC地址对应表中的IP包通过。管理员指定进行绑定操作的接口并配置绑定表，再选择IPMAC绑定选项，则绑定接口上接收到的报文其源MAC地址与源IP地址如果不能匹配，就会被防火墙丢弃，这使得盗用的IP不能访问网络，从而实现绑定。
16
7.3 应用层安全
7.3.1 内容过滤
内容过滤对企业来说是非常重要的安全策略。
NetST 1000防火墙提供对可能的危险信息或容易挤占网络带宽的数据的过滤，如URL攻击检测，HTTP中携带的Java Applet，JavaScript，ActiveX脚本，Servlet，CGI，PHP，图像，音频视频，Flash文件，电子邮件附件的文件类型控制;FTP下载和上传文件的文件类型控制，FTP攻击检测等;还支持对PROXY的内容过滤，提供了URL关键字，HTTP，FTP，SMTP等内容过滤功能;此外，通过和清华得WebCM结合，可以实现100多万个基于URL 分类网址的超强过滤。
7.3.2 带宽管理
NetST 1000防火墙具有粒度细致，方便灵活的带宽管理功能，可以防止用户滥用带宽。
NetST 1000防火墙提供了两种带宽管理的方法：基于IP地址段的协议，服务等对象的带宽管理和用户认证的带宽管理。
(1)基于IP地址段的协议，服务等对象的带宽管理。对每个对象设置最大访问带宽。当用户超过带宽时，系统将限制此对象的访问请求。
(2)用户认证的带宽管理。管理的对象是单个用户，对每个用户分别设定最大访问带宽。
7.3.3 应用代理
NetST 1000防火墙提供HTTP，FTP等协议的代理，用户可以在非常安全的情况下，进行网络访问。
7.4 安全管理，快速配置
NetST 1000防火墙提供快速安装功能，只要在快速配置中设定好网络设备的基本信息，如各网卡IP地址，缺省路由，需保护的区域。根据防火墙提供的配置向导，系统自动建立一套常用并且较完善的安全规则。这个过程可以在五分钟内完成设置，简化了安装过程，减少因系统安装带来的网络停顿时间。
17
7.5 策略管理
系统为您提供了三种策略管理的方式：预置策略，基本策略管理和高级策略管理。 (1)系统中预置了多种访问策略，当系统自动识别用户的网段结构后，为用户动态地添加相应的预置访问规则。

(2)基本策略管理。为了降低配置安全规则的难度，采用主机和规则组的管理方式，这种方式使你不必直接面对IP地址，让非专业技术人员可以轻易地完成网络安全规则的配置工作。
(3)高级策略管理。当管理员需要配置非常复杂的安全策略且无法通过基本策略管理实现时，系统提供的高级策略管理功能可以帮助您。
7.6 安全审计
NetST 1000防火墙能根据用户制定的安全策略记录敏感通信事件(包过滤日志，入侵检测日志和管理员日志)，同时也能提供网络使用情况的统计资料，为管理员提供安全审计功能。
　　NetST 1000防火墙提供了外挂的NetSC安全日志审计系统。管理员在日志服务器上安装NetST 1000防火墙的日志审计系统，配置好数据库，并在防火墙上指定审计主机信息，防火墙就能够不断的将访问日志信息传送给日志服务器，管理员即可在日志浏览器上对防火墙的访问日志进行审计查询。
NetST 1000防火墙的安全日志审计系统符合国家标准。

第三部分 NetST 1000防火墙应用方案
1.NetST 1000防火墙应用方案
1.1 典型实例图
NetST 1000防火墙应用方案如图1所示。
图1 NetST 1000防火墙应用方案
1.2 给用户带来的好处
NetST 1000防火墙通过NAT功能将内网IP地址转换成公网IP地址，访问Internet;
建立DMZ区，利用服务重定向功能实现保护WWW，DNS，Mail服务器;防DoS等攻击和入侵检测保证了网站的安全;
安全策略配置向导帮助用户快速进行安全配置与管理

标签：