电厂管理信息系统

SoincWALL 防火墙简介

1. SonicWALL 防火墙简介

SonicWALL 就是采用全状态检测技术的防火墙。

SonicWALL 公司1991年成立于美国加州硅谷，公司股票在NASDAQ上市，股票代码：SNWL。SONICWALL公司致力于网络安全产品的开发、研制、生产和销售，其著名的SonicWALL系列防火墙，采用企业级防火墙的技术，并提供各种企业级功能，功能强大、齐全，价格低廉，是目前世界上性能价格比最高的网络防火墙产品。

SonicWALL 系列防火墙包括TELE2、SOHO2/10、SOHO2/50、XPRS2、PRO、PRO-VX。SONICWALL系列防火墙以优异的性能和极具竞争力的价格倍受中小企业、电子商务公司和ISP公司的青睐，自问世以来就不断荣获各类专业媒体和权威的大奖（详情请访问：www.sonicwall.com），并被COMPAQ公司选用到NON--STOP互联网解决方案中。到目前为止，已有近120000台的SONICWALL网络安全设备在世界范围内被使用，成为全球销量最大，应用最广泛的网络安全硬件产品。

2. 产品功能和技术

1. 防火墙

• 采用最先进的第三代防火墙技术
• 软件终生免费升级
• 支持DDN、xDSL、Cable Modem、ISDN等多种上网方式
• 双向NAT网络地址转换，端口映射
• DHCP和MAC地址捆绑
• 支持三个DNS服务器
• 支持各种应用服务协议：HTTP、FTP、SMTP、Telnet等
• MD5身份认证
• 入侵检测与报警：能够自动识别攻击和入侵，通过E-MAIL或Call机报警
• 详细的系统日志和访问日志管理，支持WEB TRENDS

1. 网页内容过滤

• IP地址过滤
• 关键字段过滤
• URL过滤
• 分不同用户和时间段过滤
• 过滤Active X、Cookies、Java等程序文件
• 支持第三方（美国CyberNOT）的不良网站清单过滤
• 访问审计日志

1. VPN

• 标准的IPSec VPN
• 加密算法：DES、3DES、ACR4
• 密钥管理：IKE、Manual Keys
• 身份认证：RADIUS、MD5
• 支持最大的并发用户数：不同型号支持从5个到1000个
• 支持PKI和“数字证书”等高级身份认证方式
• 支持Site to Site和 Client to Site模式
• 兼容其他VPN产品，如Check Point Firewall-1、CISCO PIX、Axent Raptor、Nortel Contivity

1. 网络防病毒

• 采用Network Associates的先进防病毒技术
• 强制执行的防病毒安全策略
• 强制升级最新病毒码的安全策略
• 防范“特洛伊木马”程式的攻击
• 实现防病毒工作的“零维护”

1. 高可靠性

SonicWALL PRO和PRO VX提供的高可靠性功能，支持防火墙的双机冗余热备份，最大程度保证网络连接的可靠性。

2. 自动免费升级

• 全球唯一提供终生免费升级
• 自动搜寻最新版本的软件
• 保证用户坦然面对最新的攻击手段和安全威胁

1. 全球管理

• 对分布在全球各地的SonicWALL进行远程集中管理
• 可以管理多达1000台设备
• 可以进行分组管理和单独管理
• 管理VPN
• 建立监控平台和报警中心

1. 负载均衡和SSL认证加速

• 提供内置和外置两种形式
• 负载均衡产品可以对20台服务器进行负载均衡
• SSL加速产品可以将SSL身份认证的速度提高50倍

3.产品特点

1. 安全、稳定

• ICSA（国际计算机安全协会）、中国公安部双重认证
• 特殊的硬件结构、稳定可靠，满足7×24小时工作的严格要求
• 专有的实时操作系统，固化于硬件中，抗攻击能力强
• 基于密码技术的管理员身份认证
• DMZ网络隔离端口
• 防范各种DoS和DDoS攻击
• 检测攻击并报警
• 终身免费升级，用户坦然面对最新的安全威胁
• IPSec VPN
• 支持数字证书高级身份认证方式
• 面向Internet的强制性网络防病毒
• 实际证明：全球有12万台Sonicwall正在被使用中

1. 高性能

• 独特的软硬件一体化结构，固化的实时操作系统，RISC CPU，100M网络接口
• 防火墙带宽从70M到100M
• VPN最大支持1000个并发通道，在168位加密算法下最大带宽45M
• 支持负载均衡和SSL认证加速，适用于复杂的网络环境和电子商务

1. 易用

• 完全的WEB图形化管理界面
• 预置的安全策略
• 详细的系统日志管理
• 远程管理
• 支持xDSL、Cable Modem等宽频上网方式

1. 超值之选

• 超值的价格
• 卓越的性能价格比
• 终生免费升级，使用成本最低

4. SonicWALL 防火墙技术介绍

1. 全状态检测防火墙

SonicWALL使用目前最先进的第三代防火墙技术 “Stateful packet inspection”全状态检测技术，与企业级防火墙Check Point和Cisco相同，能够检测网络协议中所有层的状态，有效阻止DoS、DDoS等各种攻击。有效的保护您的局域网和公用服务器免受来自Internet上的黑客和入侵者的攻击、破坏。

2. 自动免费升级

SonicWALL防火墙每周都会自动到SonicWALL网站查看有无最新的软件，当有新的软件发布时，SonicWALL将自动发送电子邮件给系统管理员，系统管理员看到邮件后到Sonicwall公司的网站上下载最新的防火墙软件。SonicWALL提供软件自动、终生免费升级。由于黑客的攻击方式不断推陈出新，现有的防火墙软件如果不及时升级，就很难防范新的攻击方式，所以SonicWALL防火墙软件的自动、终生免费升级最大程度的保护了用户的投资。

3. 面向对象可视化的规则编辑和管理工具

从本质上讲，防火墙仅仅是实现网络安全的工具，是否能起到对网络的保护作用，以及起到多大的作用在很大程度上取决于管理员是否能够正确地使用。完善的安全规则应该是一个全面的规则，SonicWALL防火墙在安全规则设置方面为使用者提供新型规则编辑方式。防火墙中的访问控制规则的编辑则是管理员实施其安全策略的关键手段。从网络防火墙的概念出现至今，防火墙的配置，特别是规则的制订和描述方法始终没有根本的变化，而这种方法过于晦涩难懂，非专业人员很难配置。特别是当规则数目稍多时，规则的含义和结果，以及其正确性的判断将变得十分困难。从而经常使防火墙成为网络故障的发源地，更严重的是一些故障隐患长期存在，难以发觉，而对入侵者大开方便之门。

SonicWALL 防火墙对这种配置方式做了彻底的摈弃，提出了全新的可视化的管理和配置概念。SonicWALL 的管理工具提供了友好的GUI界面，可以在网络的逻辑图上的对象进行访问控制的配置。用户可以直接指定所期望的控制结果，而控制结果在图上一目了然，不需要根据规则进行控制结果的推断。网络上的访问控制本质上是对网络上的对象所进行的角色的划分，用户可以根据实际的业务需要创建角色，并将角色赋予网络上的被控制的对象。系统还提供了大量适用于各种典型网络的缺省角色，如WWW服务器、E-mail 服务器、FTP服务器等，仅使用这些角色即可以完成适用于大多数网络的安全设置。

4. 支持DDN、xDSL、Cable Modem、ISDN和宽频等多种上网方式

SonicWALL 防火墙支持四种网络地址模式：Standard、NAT Enable、 NAT with DHCP Client 和NAT with PPPoE Client 。根据不同上网方式和注册IP地址数采用不同网络地址的模式。

• 如果ISP只提供单一有效（注册）IP地址、子网掩码、网关（路由）地址和DNS服务器地址，请选择第一种模式，采用NAT。
• 如果ISP提供二个或二个以上有效（注册）IP地址，选择第二种模式。如果有二个或二个以上有效（注册）IP地址请采用NAT或Standard模式。
• 如果ISP需要用户名和密码认证与安装登录软件，如使用宽频上网，请选择第三种模式，采用NAT with PPPoE Client。
• 如果是从ISP DHCP服务器动态获得IP地址的，请选择第四种模式。如果用户连接互联网的方式是采用ISDN、Cable Modem 和xDSL Modem等， SonicWALL 网络地址的模式采用NAT with DHCP Client。

1. 双向NAT功能

SonicWALL防火墙系统支持在内部网使用保留的IP地址，通过动态的地址转换功能实现对外部网的访问。

同时SonicWALL防火墙系统还以两种方式支持反向的NAT：一是静态地址映射，即提供外部地址和内部地址的一对一转换，使内部使用保留IP地址的主机既可以访问外部网络，也可以对外部提供服务。另一种是更灵活的方式，可以支持针对服务端口的一对多映射，即内部的多个机器可以通过一个外部有效地址访问外部网络，同时内部的多台机器可以分别映射到该地址的若干个端口。通过这些端口对外部提供医务，比如“202.118.6.100”是一个外部有效地址，内部的“192.168.1.*”网段的机器通过该地址访问外部网络。这种 NAT转换可以更有效地利用 IP地址资源，并且提供更好的安全性。

系统支持“内部网到外部网”的 NAT和反向 NAT，也就是说内部网主机可以采用保留地址，从而减少注册IP地址的使用，并提高整体的安全性。

2. 动态主机配置协议（DHCP）

SonicWALL 既可作为DHCP服务器，也可作为DHCP用户端。

• DHCP 服务器

• DHCP 用户端

1. 基于网络IP和MAC 地址绑定

每一块网卡都具有一个唯一标识号码，也就是指网卡的MAC地址，每一个网年的MAC地址都是同网卡�一对应。对于网络协议为TCP／IP的两台设备进行通讯时，网络接口具有网络IP地址，SonicWALL 提供将内部网络接口的IP地址同它的MAC地址进行绑定的功能，这样在SonicWALL防火墙内部就建立了网卡的 IP地址同网卡的 MAC地址�一对应的关系，因此通过SonicWALL 防火墙就实现了IP地址同网卡的MAC地址即网卡的绑定，使得即使盗用IP地址，也因MAC地址不匹配而盗用失败。在网络管理中IP地址盗用现象经常发生，不仅对网络的正常使用造成影响，同时由于被盗用的地址往往具有较高的权限，因而也对用户造成了大量的经济上的损失和潜在的安全隐患。SonicWALL 防火墙的IP／MAC地址绑定功能可以很好地解决这一问题，通过与硬件物理地址的绑定，使盗用的IP地址无法通过防火墙系统。

2. 三个DNS域名服务

由于通常情况下，公司的网络因为业务的需要分成内部网络和公共服务网络。内部网络是需要保密的，是不希望外部的人知道内部网络的信息的；而公共服务网络是提供一些公司的资料和信息给客户，因此它上面的部分信息对于外部应该是可以访问的。

客户通常不愿意记那些非常相似的IP地址，因此，我们需要提供一种能按照形象的主机名来访问主机的方法。那就是DNS（Domain Name Server）。同时由于安全的需要，我们必须要把内部网络的主机和公共服务网络的主机分隔开来，即对内DNS和对外DNS。这样外部的用户是不知道内部网络的具体信息的。由于不知道内部网络的信息，外部用户是访问不到内部网络的主机，更谈不上攻击了。做了这样的分隔以后，很明显安全性能提高了。SonicWALL 防火墙最多可以采用三个DNS域名服务器。

3. 支持各种应用服务协议

SonicWALL 支持各种应用服务协议，缺省服务协议包括HTTP、FTP、SMTP、POP3、DNS、PING和IKE。如果还需要其它服务协议，可以增加一个已知的服务协议，包括NNTP、IRC、Telnet、Lotus Notes、PPTP、IPSec、 H232、 T120、Quicktime、Filemaker、RealAudio、HTTPS、Authentication、Gopher、IMAP3、Napstar、NetBios、 PC Anywhere、Syslog、Timbuktu、LPR等；或自定义服务协议。

4. 互联网内容过滤


内容过滤允许管理员设置访问类别和内容控制，限制访问带有色情和种族偏见及不希望访问的网站。也可给特定用户一个密码来绕过过滤器，给他们不受限制地访问Internet。采用三种过滤方式：IP地址过滤、关键字段过滤和URL过滤；SONICWALL的内容过滤功能还可以过滤代理服务器上的网页内容，并对以上过滤功能的执行进行时间段选择。SONICWALL还可以自动检测和阻止危险格式的内容，如：Java、ActiveX、Cookie。SONICWALL支持CyberNOT不良网站清单，此清单是国际权威的不良网站清单，包括不良网站/页65000多个，并不断根据互联网站/页的最新情况作出更新，是互联网内容过滤的最佳方式。此清单可以按年付费，每周自动更新清单内容，确保对新的和重新设立的网站的访问限制

虚拟专用网(VPN)

通过VPN（Virtual Private Networking 虚拟专用网）功能， Sonicwall VPN安全地将公司的各个办公地点、移动和远程办公者、商业伙伴连接在一起。 Sonicwall VPN使用数据加密，使两个或更多的点或LAN之间通过Internet实现安全通信，而无需昂贵的专线。

Sonicwall VPN支持国际通行的IPSec、IKE技术标准，可与其他执行IPSec标准的VPN产品共同使用，如AXENT RAPTOR、Check point的Firewall-1、CISCO PIX等。加密方法有56 Bit的DES、56Bit的ARC4（欧洲通用标准）和168 bit的3DES。

Soniwall VPN 还有一个特殊的“Simple Tunnel Mode”功能，在两个远程地点之间建立一个不需加密的通道，支持不被防火墙支持的应用程序，如Microsoft NetMeeting和H.323 video conferencing。

企业可以通过在各个分支机构使用SONICWALL来建立完整的安全体系，防火墙、VPN和内容过滤。各地分公司的VPN还可以与总部已经安装的其他VPN产品共同使用，如CISCO、Check Point、Axent等

5. 防病毒

SONICWALL防病毒功能采用了Network Associates的myCIO.com技术，除了具备一般防病毒软件的功能外，还可以检测邮件附件中的病毒，其最大的特点是强制性的防病毒政策，能够自动搜索系统有否安装或安装了何种防病毒软件，强制阻止未采取防病毒措施的计算机访问互联网或从互联网接收电子邮件等。SONICWALL防病毒功能每周自动到防病毒网站搜寻有无最新的病毒码并及时提醒和强制用户下载最新的病毒码。通过SONICWALL的防病毒功能，用户可以实现整个网络的自动防病毒。（本功能需单独购买）

6. 防火墙系统提供双机热备份的功能


连接如阁所示

为了保证网络的高可用性，SonicWALL防火墙系统提供了双机热备份功能，即在同一个网络节点使用两个配置相同的防火墙。正常情况下一个处于工作状态，另一个处于备份状态，当工作状态的系统出现故障时，备份状态的防火墙自动切换到工作状态，并保证网络的正常使用。要保护网络的安全，防火墙本身首先要安全。即使防火墙没被黑客攻击，也会由于电力，原器件老化，异常死机等特殊原因发生故障，万一故障发生，网络的安全就无法保证。对于需要高度可靠性的用户，一定要选用有双机热备技术的防火墙。SonicWALL防火墙的双机热备功能可以使防火墙备用主机在极短时间完成整个切换过程，切换过程不需要人为操作和除两个防火墙以外的其他系统的参与。真正做到有备无患。只有SonicWALL PRO 和SonicWALL PRO VX 可以做双机热备份功能，而且要采用相同的型号。SonicWALL PRO本功能需单独购买，SonicWALL PRO VX已具备双机热备份功能。

7. 全球管理

在总部或某一地点管理分布在全球的上千台SONICWALL防火墙设备，可以为不同地点的SONICWALL防火墙设备做不同的设置；建立报警中心，集中、实时的监控全球各地SONICWALL的运行状态和网络访问流量。（本功能需单独购买）

8. 负载均衡

拥有大量的访问量和用户是信息服务提供者的目标。但是大量的访问会给服务器带来沉重的负担，随着出色的Internet 应用服务不断增加，使用Internet人数不断增加。如果只有一台服务器，许多主机都同时访问它，就有可能出现延迟、死机、“文件未找到”、“服务器没有应答”、数据包丢失等现象。以往在解决这问题时，只能采用更强计算能力的服务器来替换原来的服务器，旧的服务器只能淘汰掉。并且，单台服务器的负载能力也是有限的，不可能无限扩展，同时，高档服务器的价格是随着服务器的性能呈现指数型上升。现在只要采用多台廉价服务器，动态分配协调工作，实现负载均衡则可以很好地解决这个问题。

SonicWALL 负载均衡功能根据选择特定负载均衡算法，合理分配带宽，以备外部网络的大量用户同时访问，缓解流量堵塞现象。

SonicWALL 负载均衡的算法有六种：

1. Least Connected （最少连接数）
2. Round Robin （轮询）
3. Fastest Response Time （最快响应时间）
4. Weighted Least Connected （带优先级的最少连接数）
5. Adaptive（适应）
6. Fixed（固定）

5. SonicWALL 防火墙参数

1. 产品外观



2. 技术参数

SonicWALL 有不同型号以符合企业不同的需求

5.3 硬件规格

SonicWALL SOHO2/TELE2 防火墙

SonicWALL XPRS2 防火墙

SonicWALL PRO/PRO-VX 防火墙

6．应用案例

1. 方案一 企事业单位典型案例

1. 设置隔离区(DMZ),把WEB服务器、邮件服务器、DNS服务器等放到该区,以便Internet网上用户访问。
2. 严禁Internet网上用户到公司内部网的访问。
3. 允许公司内部网通过地址转换方式(NAT)访问Internet。
4. 允许远程用户通过VPN访问公司内部网。

1. 方案二 SonicWALL 防火墙与其它VPN的结合案例

网络现状

某公司的总部在深圳，有接近100台PC，在北京分公司有60多台PC，上海分公司有20多台PC。三个分公司通过VPN连接，构成Intranet，但由于安全问题，所有计算机不允许通过DDN专线上网，如需收发外部邮件和访问Internet，只能拨号上网。

增加SonicWALL防火墙

上网方式给工作带来不便，而且不能充分利用互联网，现在公司决定内部所有计算机都能收发外部邮件和访问Internet，而且建立自己的WEB 服务器和Mail服务器，但同时要考虑安全问题，所以采用SonicWALL 防火墙。深圳总部和北京分公司采用SonicWALL XPRS2防火墙，上海分公司采用SOHO2/50防火墙，防火墙和VPN并列安装。网络结构图如下：

网络结构未作大的变动，而网络的安全性有了极大的改善，这是因为SonicWALL防火墙是专用设备，内置专用操作系统，操作系统内核紧凑，代码执行效率高，其内核不超过1Mbyte。把它放在连接外网的路由器后，再把公司的WEB server，Mail server放在DMZ区，有效地保护了这些服务器的安全，同时，严禁外网访问公司的内部网和通过内容过滤防止员工在工作时间访问和工作无关的网站。这样各分公司既可以安全传输和接受数据，又可以安全接受来自Internet 的电子邮件和浏览Internet。达到该公司的要求，既能收发内、外部邮件和访问Internet，而且允许Internet 访问WEB 服务器，同时也考虑了安全问题。

通过实施这方案，发现是可行的。这样不但安全，包括财务数据安全和防止黑客入侵局域网；购买软件的费用减少，而且网络维护简单，从而费用减少。