“安全威胁是复杂多变的，这就要求我们的安全设备为客户提供的防护是全方位的，同时是一个可自我调整的有机体”，这就是金山防火墙（Kingsoft FireWall）的设计理念，她虽然还被称之为防火墙，但从应用角度上看，她所能充当众多的安全角色已经远远超过了普通防火墙的意义范畴。金山防火墙的设计理念基于金山独有的P2DR安全模型理论，突破了传统的防火墙静态防御技术，组成了以企业安全策略为核心，以防护、检测、响应为动态防护圈的坚而有韧的主动安全体系，是一个极富生命活力的有机体。

　　金山防火墙基于专门设计的硬件平台，以金山安全实验室自行定制的安全操作系统KSOS为核心，高度集成了防火墙、ASIC VPN、入侵检测、带宽管理、防拒绝服务网关、多媒体通信安全、认证授权、内容安全控制、ADSL/ISDN接入安全、高可用性配置能力等众多安全角色，提供高度安全、可信和健壮的安全解决方案，真正实现了单一设备对网络的全方位防护。

　　金山防火墙家族产品能为各种规模的客户提供全面、实时的安全，支持宽带接入与千兆级主干网络流量，满足从远程用户/SOHO、小型办公室，到企业分支机构、电子商务站点、大型企业总部，再到电信级、网络服务运营商、数据中心网络环境的安全需求。金山防火墙采用的“Fast Forwarding”、“Smart Polling”技术显著的提高了状态检测的处理速度，在众多的行业测评中被誉为业界最快的防火墙，有效的解决了安全性与高性能之间的矛盾。金山防火墙是专用的免维护安全设备，即插即保护，可轻松部署到您的网络环境中，管理配置简洁方便，是即实用又好用的防火墙。

二、功能特色：
　　 金山防火墙基于专门设计的硬件平台，以金山安全实验室自行定制的安全操作系统KSOS为核心，高度集成了防火墙、ASICVPN、入侵检测、带宽管理、防拒绝服务网关、多媒体通信安全、认证授权、内容安全控制、ADSL/ISDN接入安全、高可用性配置能力等众多安全角色，提供高度安全、可信和健壮的安全解决方案，真正实现了单一设备对网络的全方位防护。

　　完整的混合模式支持
　　策略路由
　　VPN的NAT穿越
　　内置入侵检测模块
　　便捷的管理方式
　　带宽管理
　　独特的Anti-DoS网关防御技术
　　多样化身份认证解决方案
　　基于安全域的访问控制
　　灵巧安全网关架构
　　满足小型企业特殊功能要求
　　内容安全
　　无缝虚拟专网与动态IPSec网关
　　支持802.1QVLANTrunk协议

三、产品型号

　　金山防火墙宽广的产品线

·KingsoftFirewallKF-1003
　3端口的KingsoftFirewallKF-1003专为中小型单位、智能家庭、远程分支机构等灵活规模的以太网环境而设计的高性能安全防护系统，以小巧、易用、结合多种安全功为原则，使复杂的的安全实施得以简化并快速部署。充分考虑小网络用户特点，支持ADSL拨号上网，内置DHCP服务器，集成防火墙、抗攻击、VPN、流量分配、WebUI管理。

·KingsoftFirewallKF-1803/2204/2205
　KingsoftFirewallKF-1803/2204/2205专为中小企业和公司分支机构规模的网络而设计，以简洁、快速配置为原则，使复杂的的安全实施得以简化。她充分考虑中小型用户特点，支持PPPOE与DHCP，集成防火墙、VPN、IDS、带宽管理功能，为那些希望以合理价格实现安全的中小企业提供了一站式的经济完整的解决方案。

·KingsoftFirewallKF-3004/4006
　KingsoftFirewallKF-3004/4006是当今可应用最广的防火墙，它集成4或者6个10/100M自感应端口，在传统防火墙内、外、DMZ的基础上增加了一到三个物理端口供灵活配置，用户可根据需要将其设定成IDS镜像口、带外管理口或HA心跳口，或不做任何配置默认作为流量通讯过滤口使用。KingsoftFirewallKF-3004/4006含盖了KingsoftFirewallKF-1803产品的所有特性。

·KingsoftFirewallKF-10008
　KingsoftFirewallKF-10008防火墙她们专为要求千兆位吞吐性能大型企业网络设计,它采用1U专用千兆安全服务器平台，8口的配置，采用先进的安全域结构，提供了复杂网络多子网之间的安全控制方案。

·KingsoftFirewallKF-30006
　KingsoftFirewallKF-30006专为千兆位流量的网络服务运营商，大型数据中心等电信级骨干网络而设计,采用2U专用千兆安全服务器平台，完全模块化可扩展结构，具有热插拔特性的冗余部件为您提供最大的不间断运行时间。

　　这是最为普通的企业环境金山防火墙部署案例。利用防金山火墙将网络分为三个安全区域，企业内部网络，外部网络和服务器专网(DMZ区)。内部网络一般采用私有的IP地址，DMZ的服务器可以采用公网地址，也可以采用私有地址，但是需要在防火墙上做相应的地址转换来保证外部用户对服务器的正常访问。一般常用的安全策略是：外部网络不允许访问内部网络，内部网络用户可以根据不同的权限访问Internet资源；内部用户和外部用户只允许访问DMZ区指定服务器的指定服务。具体的环境如下图：

　　ADSL接入的部署ADSL接入是一种经济实惠的Internet接入方式，金山防火墙提供了对ADSL接入，也就是PPPOE拨号的支持。用防火墙代替原有的拨号客户端来连接ADSLModem，实现自动拨号的功能，可以配置防火墙自动做一条动态的地址转换，实现内部的多个用户通过一条ADSL实现对互联网的访问。这样防火墙配置的一般策略为只允许内部网络访问外部网络的指定服务。具体的环境如下图：

　　网络多出口部署我们经常会碰到企业的局域网有多个出口，比如Internet出口，总部出口等。金山防火墙支持将DMZ接口做为一个外网接口，支持多出口的接入。例如我们可以将防火墙的外网口接Internet接入服务器，将DMZ口接入总部接入的服务器，利用路由的选择来分流去往两个区域的流量，可以将缺省的网关指向Internet处的路由器，添加相应的去往总部网络方向的路由策略。然后针对不同的网络之间的数据通讯，采用相应的安全策略。另外的一种多出口的接入方式也可以两个防火墙的方式，分别对于与相应的链路，这种方式也可以利用路由的选择来实现。具体的环境如下图：

　　单台防火墙实现多出口的接入：

　　两台防火墙实现多出口的接入：

　　高可靠性配置的部署高可靠性网络的部署是为了避免因为网络的故障和设备的停工造成的损失。金山防火墙支持全面的高可靠性解决方案，包括防火墙之间的冗余配置和整体链路的冗余配置。配置防火墙冗余总共需要三套IP地址，其中每个防火墙有一套自己真实的地址(内部地址，外部地址和DMZ区地址)，另外两个防火墙还共享一套虚拟的地址，而真正起作用的正是这套真实的地址，内部用户的网关以及外部的一些相关的路由设置都需要指向这个虚拟的地址。金山防火墙的心跳传输也非常灵活，可以采用单独的网口进行心跳，也可以采用某一条网络连接。具体的环境如下图：

　　防火墙本身的冗余配置：

　　整体链路的冗余配置：

　　分布式网络环境的部署分布式的环境一般分为一个中心节点和多个分支节点，金山防火墙支持对这种结构的整体的配置。一般来说，中心节点采用性能高的金山防火墙KF-3004防火墙，可以采用双机热备份的模式，保证网络的可靠性；对于较大的有专线接入的分支节点，可以采用金山防火墙KF-2204防火墙，一方面保证该分支网络的边界安全，另外也可以通过VPN功能实现与总部的信息通讯的安全；对于没有专线的分支节点，可以采用金山防火墙自带的对子网拨号的VPN功能，也能够实现与总部之间的安全通讯。