"守护神"(StopHacker)--是一个综合性的计算机网络安全产品。它包括三个方面的内容:即内网安全控制管理、外网防火墙和VPN技术。该产品通过对操作系统内核安全性分析,植入自主开发的安全防护模块程序实现网络安全防护的目的。"守护神"集内网安全控制、外网防护、端到端的隧道加密功能为一体,能有效地监测并阻止来自网络内外的黑客对网内信息资源与设施的攻击,从而实现双重安全保障。
StopHacker系统的特点:安全加固与系统裁减通过更改Linux核心代码和提供附加的工具,增强了系统存取控制策略,保证防火墙系统程序不会受其它错误或恶意程序的破坏,去除了所有无关的服务和应用,采用模块化结构,可根据用户需求,只装载必要的功能模块,进一步提高了系统效率。
双机热备份和负载平衡为了进一步提高网络系统的可靠性,需要避免出现单点失效的情况。防火墙通常作为连接外部网络(不信任网络)和内部网络(信任网络)的唯一出口,防火墙的失效将导致整个网络通讯的中断。普方德防火墙(STOPHACKER)提供了双机热备份功能,可以将两台设备并行使用,当一台故障时,自动由另外一台备份防火墙提供服务。同时,STOPHACKER在无需其他设备(如四层交换机)的情况下,可以自动在两台防火墙之间提供负载平衡功能,通过使用ECM(Equal Cost Multipath)技术,两台互为热备的防火墙设备可以同时并行运行,自动在内网接口处平衡流量。通过使用负载平衡技术,可以大大提高防火墙的效率。
透明网桥模式在某些环境中,网络结构不允许更动。为了适应各种复杂的网络环境和需求。STOPHACKER提供了透明网桥模式,简化了系统安装和配置。
状态过滤包过滤型防火墙的过滤规则用于禁止可疑的、不安全的或恶意的连接,而允许合法的、必须的连接。由于通讯是双向的,因此决定连接的发起者是非常重要的。对于TCP协议,通过检查该数据包的特定字段,可以决定这是一个初始连接报文还是响应报文。但是对于UDP数据报,没有可供检查的字段。某些特定的应用层协议(如主动FTP)也会存在这种情况。通过使用状态过滤技术(Stateful filter), STOPHACKER在处理这种数据报时,会首先记住一些必要的数据包(状态),当新的报文到达时,会根据以前的状态进行检查,已决定该报文是一个初始连接报文、响应报文或者非法报文,然后根据过滤规则进行过滤。使用状态过滤技术,可以有效的过滤UDP,ICMP协议以及主动FTP协议,同时,还可以记录所有非法的或者伪造的数据包。
虚拟主机技术使用虚拟主机技术,可以对内部网络主机进行负载平衡。虚拟主机(Virtual Server)使用PNAT技术,将对外部同一个IP地址的某一端口的访问转换为对内部多台主机的相同或不同端口的访问,转换过程使用ECM技术,从而达到负载平衡的效果。
其它功能与特点
1、硬件防火墙,速度非常快。
2、支持IE等配置,配置方便。
3、使用非Inter CPU降低功耗,减少发热。
4、支持MAC地址绑定,提高内部网络的安全性。
