版权声明
本文件所有内容受版权保护并且归金山公司所有。未经金山公司明确书面许可,不得以任何形式复制、传播本文件(全部或部分)。
金山及Kingsoft是金山公司的注册商标,本文中涉及到的其它产品名称和品牌为其相关公司或组织的商标或注册商标,特此鸣谢。
金山公司不对本文件的内容、使用,或本文件中说明的产品负担任何责任或保证,特别对有关商业机能和适用任何特殊目的的隐含性保证不负担任何责任。另外,金山公司保留修改本文件和本文件中所描述产品的权力。如有修改,恕不另行通知。
信息更新
本产品最新版本信息、升级信息以及相关技术文档将在金山公司www.kingsoft.com 网站上及时推出,敬请留意。
支持信息
如果希望得到关于金山公司产品的报价、产品信息以及技术支持,请查阅公司网站:www.kingsoft.com 。
设计思想
针对企业信息内容防护要求而设计的金山KingGate防火墙,充分考虑了企业网络环境和网关信息过滤的特殊需求。金山KingGate防火墙的总体设计原则体:
■ 实施简便,无须复杂的安装。
■ 简单易用,便于维护。
■ 无缝地接入企业网络,能够在企业网的网关处和部门级网络连接处实施。
■ 智能集成防火墙、VPN、带宽管理、流量跟踪,并且能够进行功能模块化配置。
■ 提供详细的系统检测日志。
■ 提供多种远程管理和控制方法。
设计原则
■ 安全操作系统
金山KingGate防火墙采用自主研发的操作系统,强化系统稳定性、安全性、可用性、可靠性。它成为金山KingGate防火墙的核心部件,外部到内部的攻击防范、访问控制、安全接入。
■ 灵活接入
金山KingGate防火墙为了满足灵活多变的网络环境,提供NAT、路由、网桥接入方式,满足用户的需求。
■ 动态特征码技术
金山KingGate防火墙在攻击防御上采用动态升级特征库的识别技术,不断分析新的安全威胁,并将防御/防护的技术动态载入系统,使系统具有抵抗风险的能力。并能主动防护。金山KingGate防火墙会自动从金山公司安全服务器上获取最新的特征码库。
■ Web管理模式
金山KingGate防火墙采用基于WEBGUI的管理方法设计,为用户提供了方便的管理手段。同时,金山KingGate防火墙在产品设计时,充分考虑了系统报告、报表对安全产品的重要性,确保能够通过产品的Web界面提供详尽的图形化统计数据并且能导出数据。
产品综述
金山KingGate防火墙是一个软硬件相结合的安全防火墙系统,系统整合防火墙、VPN、带宽管理、流量监控。
防火墙
金山KingGate防火墙广泛适用于企业、政府以及各个行业的用户,帮助客户在在网关位置或不同网络建立访问控制的屏障,用户可以根据防火墙的功能创建多样性的安全策略。防火墙具体功能如下:
工作模式
金山KingGate防火墙充分考虑到用户网络的多样性、复杂性,用户使用水平的参差不齐,功能做到通俗易懂、使用方便。支持:NAT、路由、网桥模式。用户可以根据自身需求实现基于一对一的NAT、一对多的NAT、多对一的NAT;支持常用的PPPOE、DHCP Client、静态IP多种外线连接方式。
链路支持
金山KingGate防火墙在NAT、路由默认情况下,启用一个WAN;用户可以根据自身需求创建多WAN接口,并可根据防火墙的Session、访问控制、策略路由创建基于多WAN的规则。
链路负载均衡
金山KingGate防火墙如果启用了多WAN的情况下,在防火墙规则、策略路由许可的情况下,系统根据流量状态可配置或自动决定选择WAN的出口,达到负载均衡。
链路冗余备份
金山KingGate防火墙如果启用了多WAN的情况下,在防火墙规则、策略路由许可的情况下,如因部分链路中断,系统自动将断网用户分配到链路可到达的WAN上,确保业务的顺利进行。
策略路由
金山KingGate防火墙无论在简单网络还是复杂网络,路由可配。在单一子网和多子网的静态路由、RIP、OSPF以及与三层设备间的路由配置。在启用多WAN的网络中,配置策略路由,用户可以根据数据访问的入口、访问源地址(主机地址、网络地址、任何地址)、访问的出口、访问目标地址(主机地址、网络地址、任何地址)实施策略路由。
访问控制
金山KingGate防火墙采用基于对象的管理方式,用户可以建立地址组策略、服务组策略、时间组策略,达到灵活的管理。用户可以根据自身需求创建细腻的访问控制策略。
用户认证
金山KingGate防火墙用户认证可以运行在网关、网桥的模式下,通过在系统上建立的本地帐号,达到对用户访问外部网络的控制。用户可以创建单一的本地帐号,也可以根据IP或MAC地址进行免认证。
入侵检测
金山KingGate防火墙内置基于状态检测的特征码,根据攻击的特征模式对网络报文进行匹配。通过与定义的入侵检测规则库进行匹配,发现潜在的攻击,对其进行拦截。
金山KingGate防火墙内置基于协议异常分析检测技术,针对网络协议自身的缺陷,利用网络协议的有序性,发现异常的序列。大大提入侵检测的准确度。
金山KingGate防火墙内置基于流量异常分析检测技术,通过网络流量分类统计的方法对被保护网络的流量进行检测,超过定义阀值的流量将被认为是非法流量。
攻击防范
支持强大的防御攻击功能,提供DoS/Ddos、Land、Franggle、WinNuke 、Ping of Death 、IP Spoofing 、SYS Flood、ICMP? Flood 、UDP Flood、ARP 欺骗等恶性攻击,确保内部网络安全。
其他功能
金山KingGate防火墙提供DHCP Server功能、IP与MAC地址绑定、批量IP与MAC地址绑定。
VPN
IPsec VPN
金山KingGate防火墙支持基本的VPN功能。提供基于IPSEC通用协议的VPN功能,提供了通过Internet连接两个局域网的功能。通过完善的加密协议,两个局域网之间的通讯将被完全加密,从而保证了通讯的保密性。
IPsec VPN可以针对Sites to Sites建立VPN,支持动态域名的隧道建立、支持动态IP的隧道建立、支持静态IP的隧道建立。
PPTP VPN
金山KingGate防火墙提供PPTP的VPN,可以为远程移动用户创建虚拟帐号,同时可以将IP与帐号绑定,提高访问的安全性,指定的用户帐号仅能使用指定的IP地址。
PPTP VPN在拨号建立后,能够监视帐号的状态:在线、离线。
L2TP VPN
金山KingGate防火墙提供L2TP的VPN,可以为远程移动用户创建虚拟帐号,同时可以将IP与帐号绑定,提高访问的安全性,指定的用户帐号仅能使用指定的IP地址。
L2TP VPN在拨号建立后,能够监视帐号的状态:在线、离线。
即时通讯控制
MSN控制
金山KingGate防火墙针对MSN可能带来的信息泄漏隐患,提供了基于MSN的过滤功能。采用MSN透明代理的方式,金山KingGate防火墙能够在保证内部终端用户正常使用MSN的同时,对通过MSN 发送的信息进行监控和过滤,同时能够阻止用户通过MSN发送文件。对于MSN通讯,用户可以设置基于IP地址的黑白名单。对于在黑名单上的用户,使用MSN将被禁止,所有来自于这个用户的MSN通讯将被拦截。对于在白名单上的用户,MSN 通讯将不会被过滤和记录。
QQ控制
金山KingGate防火墙针对QQ的管理,监控QQ上线/下线时间、IP、帐号、登陆状态。
金山KingGate防火墙记录QQ的聊天内容,金山公司在在桌面端提供QQ代理程序,通过代理程序对QQ聊天过程中的信息进行采集,代理程序与系统进行联动,在系统上显示QQ的聊天内容。
P2P控制
金山KingGate防火墙针对P2P的管理,采用基于对象的方式实现,通过动态特征码技术识别P2P应用,同时通过流量控制方式进一步控制P2P软件。目前,支持QQLive、PPLive、PPStream、QVOD、沸点网络电视、POCO等控制,支持BT、电驴、迅雷、超级旋风、跑跑卡丁车等控制。
带宽管理
金山KingGate防火墙提供采用深度检测技术和行为分析技术,可提供按地址组、时间段、协议组方法进行流量分配。同时,提供多级带宽管理,目前定义三级;提供最大带宽控制、最小带宽保障。
金山KingGate防火墙可实时显示网络的流量状态,根据IP显示、TCP(HTTP、SMTP、POP3、FTP等),UDP、ICMP、其他协议的流量,准确定位网络流量异常用户;可按天、周、月定期显示协议的流量报表。生成IP、协议的TOPN排名。
金山KingGate防火墙是针对企业网关信息过滤需求设计。针对用户的网络的特点,金山KingGate防火墙在应用时有两种应用方案:
网关模式:金山KingGate防火墙提供多个网络接口负责不同子网。LAN:定义为内网;WAN:定义为外网;DMZ定义为非军事管理区。在这种模式下,客户可以定义多个LAN、多个WAN、多个DMZ,详细情况因客户选择型号的不同,接口的数量也不同。对被保护的网络进行全面过滤。
多链路多子网部署
多链路多子网部署
多子网VPN互联
网桥模式:金山KingGate防火墙提供在网桥下,提供内网和外网的定义,内网、外网接口的选择可以由用户自由选择。内网口和外网口连接的是同一网段的两个部分。管理用户需要为金山KingGate防火墙配置一个网桥IP。这个IP也是属于金山KingGate防火墙连接的这个网段的。通常情况下,被部署在防火墙或路由器的后面。
透明网桥部署
更稳定系统
金山KingGate防火墙自主研发操作系统,凭借多年的行业产品经验,从系统存储架构、系统安全架构、系统应用架构、系统可靠架构方面,全力打造稳定的防火墙系统。全面提供从网络级、系统级、应用级的多种系统保护措施,提供系统容错能力。
性能卓越
金山KingGate防火墙采用多核处理技术,从硬件本身进一步提高系统的性能和处理速度。同时,进一步提升系统处理能力。使得系统整体性能大幅提升。
控制与监控
金山KingGate防火墙提供全面的访问控制、攻击防范、安全接入,能够准确、细腻地控制用户的访问,同时依靠监控机制,能够实时监控系统的状态,用户的访问状态,清楚了解流过系统的各项数据。
运维简单灵活
金山KingGate防火墙采用人性化的管理界面,实施/运维分简单。用户可以通过多种方式对系统进行管理,如:WEBGUI、SSH、Console等方式。
