NetRock-20 网络防火墙

  系统配置

  功能详细说明

    状态检测包过滤——NetRock防火墙采用了基于状态检测的包过滤技术，实现了快速的基于源/目的IP地址、服务、用户和时间的细粒度访问控制。通过记录新建应用连接，状态检测检查预先设置的安全规则，允许符合规则的连接通过，并在系统中记录下该连接的相关信息，生成状态表。对该连接的后续数据包，只要符合状态检查表，就可以快速通过。这种方式的好处在于：由于不需要对每个数据包进行规则检查，而是通过专门设计的算法实现同一连接的后续数据包（通常是大量的数据包）直接进入状态检查，从而整体提升系统性能。

    流量整形——带宽管理模块提供了针对带宽资源的分配控制能力，对所有网络流量划分优先级以保证关键任务的服务质量，从而确保有限的带宽资源不会因为非关键应用的过度占用而影响关键任务的服务质量。带宽管理策略可以按照接口、方向、优先级等来对流量进行分级以满足企业不同层面的需求。NetRock防火墙同时通过专有的P2P流量控制技术可以轻松实现对P2P流量的限制和带宽控制。

    路由模式、透明模式及混合模式——在大型网络中，网络建设是先于网络安全的建设。当用户打算进行网络安全建设时，往往会存在一些关键应用是依赖于网络拓扑的，所以这些关键应用间是必须采用透明模式的，而其他的则应该采用更灵活的路由模式，这样将会导致在同一个网络设备上会存在透明模式和路由模式共存的情况，如果这两个部分不能互通，这将会导致应为引入安全而导致人工割裂了用户的整个网络。NetRock防火墙提供混合模式，以保证不会因为引入安全需求而导致割裂用户网络的整体性。

    IEEE 802.1Q的VLAN——提供对IEEE 802.1Q的支持，极大的扩展了NetRock防火墙的适应能力，使其与三层交换机配合得天衣无缝，增强了NetRock防火墙在网络中的布置灵活性。同时NetRock防火墙还提供对透明模式下的IEEE 802.1Q数据报得透明处理，极大地方便了用户。

    静态路由——在中小型网络中，路由和防火墙如果整合成一台设备，那么可以最大的降低网络设施的投入成本。更重要的，通过把两台设备的功能整合在一台智能设备上，可以降低网络的延时，保证语音、视频等应用的最优配置。

    管理方式——NetRock防火墙提供了多种配置方式，包括基于Telnet和Console的命令行管理方式、普通的WEB管理方式、基于SSL的WEB管理方式和基于SNMP V2的网管平台。

    功能强大的NAT——在IP地址短缺的今天，NAT成了网络设备必不可少的一项功能。NetRock防火墙提供丰富的NAT支持，支持1:1的地址映射、N:M方式的地址转换和PAT方式的地址转换。

    认证和授权——NetRock防火墙本身提供一个内建认证数据库，以满足基本的认证需求，同时支持Radius等多种方式外部认证数据库，使其能更好地适应用户的不同规格的需求。

    接入控制和计费——NetRock防火墙提供了网络接入控制和计费功能，可以实现对企业内部用户上网权限的分配和管理。其中可选的计费功能可以使NetRock防火墙具备宽带接入设备的能力。

    系统监控——NetRock防火墙提供实时监控系统的CPU利用率、各个物理接口的使用情况和链路情况，能够监控系统中的所有并发连接和某条策略授权的所有连接的创建时间、持续时间、上行/下行流量、网络层信息等。

    地址对象——为了改善NetRock防火墙的可管理性，引入了地址对象的概念。地址对象涵盖的范围包括一台主机、一个子网或者是一个地址范围，还是以上几种地址对象集合。通过对地址对象的使用，可以在网络地址更改时最小的改动设备上的地址相关配置。

    多协议支持——基于状态的NetRock防火墙在跟踪连接状态时，为了能够正常的处理单会话多连接的应用，NetRock防火墙能够对多种应用层协议提供支持。目前NetRock防火墙支持FTP、TFTP、IRC、MMS、H.323、ORACLE等特殊协议。

    多种接入能力——NetRock防火墙提供对DHCP Relay、DHCP Server、PPPoE的全面支持，使防火墙具有良好的适应能力，以满足不同网络布置的需求，降低系统管理开销。

    日志和审计——提供配置日志、事件日志和流量日志等多种日志，有利于用户进行日志分析，支持根据用户的需求将日志保存在NetRock防火墙内部的日志内存，或者发送到远程的标准syslog日志主机的功能。