金山防毒墙

一、产品概述

金山 防毒墙采用专有易管理的安全操作平台，集成了高效稳定的金山“蓝芯”反病毒引擎，通过对多种协议的支持，处理来自外部网络的病毒、垃圾邮件和网络入侵行为，同时还具有防火墙、VPN、入侵检测及阻断等多种安全服务，是一款UTM产品的杰出代表。下图是金山防毒墙系统的架构说明图：

金山防毒墙系统架构说明图

　　 使用深度检测技术，保证了金山防毒墙系统，能够在网络的各个层面，对网络资源和数据实施防护功能。

二、功能特色：

　　金山防毒墙系列产品吸收了业界多年来在防火墙和IDS领域的设计和制作经验，硬件性能稳定可靠，软件功能丰富，网络适应能力强，是一款成熟的广受市场认同的AntivirusGateway类型的主流网络安全产品。

　　卓越的网络及应用环境适应能力

　　基于安全区段概念的安全策略

　　功能强大的网络控制描述语言

　　深度数据检测功能

　　DoS防护

　　提供基于IPSec协议、PPTP协议的VPN接入支持

　　功能丰富的网络地址转换（NetworkAddressTranslation）

　　内容安全的病毒过滤引擎

　　攻击检测和防御（IDP）引擎

　　功能丰富的GlobalManager管理系统

三、产品型号：

产品型号

产品型号 KU-25A KU-104/ 108 KU-104A/ 108A KU-204 /208 KU-204A /208A KU-604/ 604A KU-1006 /1006A KU-1200 /1200A 物理接口数 3 4/8 4/8 4/8 4/8 4 6 8 接口类型 Ethernet Ethernet Ethernet Ethernet Ethernet Ethernet Ethernet /SX/LX Ethernet /SX/LX 机箱规格 1U 1U 1U 1U 1U 1U 2U 2U 功率 / 输入电压 150W/220V 250W/220V 250W/220V 250W/220V 250W/220V 400W/220V 400W/220V 2*400W/220V 机箱物理尺寸 (CM) 42.6*4.4 *37 42.6*4.4 *37 42.6*4.4 *38 42.6*4.4 *39 42.6*4.4 *40 42.6*4.4 *41 42.6*8.8 *42 42.6*8.8 *43 工作温度要求 0-50 摄氏度 0-50 摄氏度 0-50 摄氏度 0-50 摄氏度 0-50 摄氏度 0-50 摄氏度 0-50 摄氏度 0-50 摄氏度 工作湿度要求 相对湿度 10 ％－ 90 ％非冷凝 相对湿度 10 ％－ 90 ％非冷凝 相对湿度 10 ％－ 91 ％非冷凝 相对湿度 10 ％－ 92 ％非冷凝 相对湿度 10 ％－ 93 ％非冷凝 相对湿度 10 ％－ 94 ％ 非冷凝 相对湿度 10 ％－ 95 ％ 非冷凝 相对湿度 10 ％－ 96 ％ 非冷凝 辐射标准 符合 FCC Part15, Class A, EN55022 ( CISPR22 , Class A ) CE Mark 符合 FCC Part15, Class A, EN55022 ( CISPR22 , Class A ) CE Mark 符合 FCC Part15, Class A, EN55022 ( CISPR23 , Class A ) CE Mark 符合 FCC Part15, Class A, EN55022 ( CISPR24 , Class A ) CE Mark 符合 FCC Part15, Class A, EN55022 ( CISPR25 , Class A ) CE Mark 符合 FCC Part15, Class A, EN55022 ( CISPR26 , Class A ) CE Mark 符合 FCC Part15, Class A, EN55022 ( CISPR27 , Class A ) CE Mark 符合 FCC Part15, Class A, EN55022 ( CISPR28 , Class A ) CE Mark

具体产品信息请联系金山公司获取 垂询热线 010-82326868

四、部署实例

　　普通企业环境

　　 这是最为普通的企业环境防毒墙部署案例。利用防毒墙将网络分为三个安全区域，企业内部网络，外部网络和服务器专网（DMZ区）。内部网络一般采用私有的IP地址，DMZ的服务器可以采用公网地址，也可以采用私有地址，但是需要在防毒墙上做相应的地址转换来保证外部用户对服务器的正常访问。一般常用的安全策略是：外部网络不允许访问内部网络，内部网络用户可以根据不同的权限访问Internet资源；内部用户和外部用户只允许访问DMZ区指定服务器的指定服务。

　　 具体的环境如下图：

　　 网络多出口部署我们经常会碰到企业的局域网有多个出口，比如Internet出口，总部出口等。金山防毒墙支持将DMZ接口做为一个外网接口，支持多出口的接入。例如我们可以将防毒墙的外网口接Internet接入服务器，将DMZ口接入总部接入的服务器，利用路由的选择来分流去往两个区域的流量，可以将缺省的网关指向Internet处的路由器，添加相应的去往总部网络方向的路由策略。然后针对不同的网络之间的数据通讯，采用相应的安全策略。另外的一种多出口的接入方式也可以两个防毒墙的方式，分别对于与相应的链路，这种方式也可以利用路由的选择来实现。具体的环境如下图：

　　 单台防毒墙实现多出口的接入：

　　两台防毒墙实现多出口的接入：

　　高可靠性配置的部署

　　 高可靠性网络的部署是为了避免因为网络的故障和设备的停工造成的损失。金山防毒墙支持全面的高可靠性解决方案，包括防火墙之间的冗余配置和整体链路的冗余配置。配置防火墙冗余总共需要三套IP地址，其中每个防毒墙有一套自己真实的地址（内部地址，外部地址和DMZ区地址），另外两个防毒墙还共享一套虚拟的地址，而真正起作用的正是这套真实的地址，内部用户的网关以及外部的一些相关的路由设置都需要指向这个虚拟的地址。具体的环境如下图：

　　 防毒墙本身的冗余配置：

　　 整体链路的冗余配置：

　　分布式网络环境的部署分布式的环境一般分为一个中心节点和多个分支节点，金山防毒墙支持对这种结构的整体的配置。一般来说，中心节点采用性能高的金山防毒墙，可以采用双机热备份的模式，保证网络的可靠性；对于较大的有专线接入的分支节点，可以采用性能稍低的金山防毒墙，一方面保证该分支网络的安全，另外也可以通过VPN功能实现与总部的信息通讯的安全；对于没有专线的分支节点，可以采用金山防毒墙自带的对子网拨号的VPN功能，也能够实现与总部之间的安全通讯。