XXXX安全加固解决方案.docx
《XXXX安全加固解决方案.docx》由会员分享,可在线阅读,更多相关《XXXX安全加固解决方案.docx(11页珍藏版)》请在冰豆网上搜索。
XXXX安全加固解决方案
XXXX安全加固解决方案
CORPORATIONLIMITED二零一零年七月目录第一章概述
21、1方案名称
31、2方案简介
31、3方案建设目标
31、4方案设计原则
31、4、1技术的先进性和成熟性
41、4、2高度的安全性
41、4、3实用性
41、4、4扩展性和可维护性
41、4、5高性能
51、4、6可靠性
51、4、7可管理性
51、4、8投资保护6第二章XXXX安全需求分析
62、1XXXX网络需求简述
62、2XXXX安全需求分析8第三章安全方案具体设计8第四章产品介绍
84、1HHHH网阀流量优化系统
94、2HHHH防火墙1
34、3HHHH入侵检测系统27
4、4服务器审计系统、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、31
4、5HHHHWEB应用防护系统、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、31
4、6HHHHARP防御系统、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、32第五章关于HHHH40第一章概述
1、1方案名称本方案全名为《XXXX安全加固解决方案》。
1、2方案简介XXXX日常办公业务的正常开展,与网络系统的可用性、稳定性、实时性和抗攻击、抗干扰能力是密不可分的。
在目前已有的网络基础上,XXXX打算再利用成熟的网络安全技术,建设信息安全系统,提供更加稳定的网络信息平台,以支撑不断发展的业务及不断扩大的业务规模,从而提升网络的使用价值,并在以后的实际应用中不断扩充网络承载的业务类型的需要。
HHHH计算机股份有限公司有幸能够参与XXXX信息安全工作,将努力发挥自身在整体安全集成、产品整合、安全服务等方面的优势,为XXXX网络系统进行整体、全面的规划和设计。
根据XXXX提出的需求,提供网络当中的部分安全加固建议。
1、3方案建设目标根据XXXX提出的需求,方案需解决以下五部份问题:
1、内网流量监控系统
2、防火墙一台
3、内网办公服务器群的入侵检测系统一台。
4、内网办公服务器群的审计系统。
能发现屏蔽针对服务器的恶意攻击或非法登录等等。
5、网络分析管理工具(需能做到网络接口监控,WLAN监控等),若有网络故障及ARP病毒等或木马引起的网络堵塞能做到迅速定位及排查。
1、4方案设计原则在XXXX网络安全设计过程中,一定要从日常使用的各种系统的应用、网络的应用、服务器的应用、工作站的互连性、网络的可用性及网络的性能上,以及特殊应用的高度安全要求方面做更周详的考虑,并且能够适应今后相当长一段时间内应用的发展。
功能和性能是设计另一个系统最基本的依据,在设计中不但要考虑满足今天的应用,而且要考虑到今后相当长一段时间内的发展。
当然,高性能与高可靠性是以高投入为代价的,最终的方案一定是高性能,高可靠性,高性价比的最优组合。
在本系统设计中,天网盈通科技有限公司基于以下基本原则:
1、4、1技术的先进性和成熟性设计的先进性是将信息安全看成一个系统工程,不但要设计到它的产生还要设计它的发展和未来,将着眼点放在目前的应用系统及现有的技术并考虑以最小的代价来适应网络技术的不断的发展,使现有系统能够与业务需求同步增长,在系统规模急骤扩张中亦不需要重新进行系统规划与设计,并能够顺利、平稳地向更新的技术过渡。
由于信息技术的进步非常迅速,XXXX必须采用尽可能先进的技术,以跟上本领域的发展节拍。
但同时要考虑所采用技术和设备的成熟性,亦即要采用依据国际或公认标准的技术和产品。
1、4、2高度的安全性XXXX信息安全系统网络系统中要充分考虑安全机制,严防非法用户进入系统,严格规范使用权限,杜绝用户非法操作,防范非法用户的入侵,避免数据信息遗失或被篡改。
1、4、3实用性本网络的首要目标是完成网络可用性的基本需要和网络安全方面加固,所购入设备坚持经济实用的原则,根据实际需要选择,在保证系统先进性和前提下,尽量利用已有的软、硬件资源,以尽可能节省资金的投入。
应从实际出发满足当前应用需求为主,注重系统的综合功能和总体性能。
1、4、4扩展性和可维护性网络的扩展能力包括两方面内容,即网络处理能力的扩展和网络技术向更新的技术的升级。
在用户端应选用模块化产品,使其具有很好的开放性,可以分方便的扩充网络的容量,以便于维护。
1、4、5高性能由于当前的应用对网络的带宽和时延、服务质量提出了越来越高的要求,因此,设备的选型和设计,采用经过实验测试的高性能的设备,并能够提供一定的服务质量的保证,让关键和重要的应用有充分的带宽和服务质量保证。
1、4、6可靠性系统设备具有较强的容错功能、热交换存储能力,具有数据备份,系统日志,故障处理等系统功能,以备系统出现故障时能及时做出反应并能迅速恢复系统工作。
1、4、7可管理性针对XXXX工作节点众多,安全漏洞的发生机率也相对频繁,因此,对可管理性方面提出了更高的要求,设备均采用硬件设备,B/S架构,方便管理和维护。
目的在于减少系统运营管理方面的工作量,提高管理的效率,保证网络安全的各项工作能够顺利实现。
1、4、8投资保护在保证系统能够安全、可靠运行的前提下,最大限度地降低系统造价,保护原有的计算机设备投资,与原有安全系统做到无缝结合,并能够相互弥补,发挥整体优势。
售后上为XXXX提供产品培训服务及软硬件维护服务等,以确保:
1、XXXX安全系统能够流畅地实施,实现最初的设计目标;
2、有关安全知识能够全部传授给相关的管理人员,以便于日后管理能够独立操作、维护和管理这一网络;
3、一旦网络发生故障,有关人员能在限定的时间内修复。
第二章XXXX安全需求分析
2、1XXXX网络需求简述
1、内网流量监控系统
2、防火墙
3、内网办公服务器群的入侵检测系统。
4、内网办公服务器群的审计系统。
能发现针对服务器的恶意攻击或非法登录,以及对服务器操作记录等等。
5、网络分析管理工具(需能做到网络接口监控,WLAN监控等),若有网络故障及ARP病毒等或木马引起的网络堵塞能做到迅速定位及排查。
2、2XXXX安全需求分析
1、内网流量监控系统:
建议:
由XXXX办公网络拓扑可以看出,在中油网,铁通和电信各有一条链路接出口,内部矿区有一条内部链路接入总厂办公网络。
要求对内网所有通过这两个中油出口和矿区的接入口的主机进行网络流量的监控,记录,管理控制,并达到对网络带宽的优化,提高带宽的利用效率。
提供3台HHHH网阀流量监优化系统(硬件设备)来解决以上问题。
2、防火墙(1台)建议:
提供1台HHHH防火墙
3、内网办公服务器群的入侵检测系统。
建议:
提供1台HHHH入侵检测系统。
4、内网办公服务器群的审计系统。
能发现屏蔽针对服务器的恶意攻击或非法登录等等。
建议:
提供内网审计系统由于服务器集群内有WEB服务器,建议提供1台HHHHWEB应用防护系统。
5、网络分析管理工具(需能做到网络接口监控,WLAN监控等),若有网络故障及ARP病毒等或木马引起的网络堵塞能做到迅速定位及排查。
建议:
提供HHHHARP防御系统。
第三章安全方案具体设计拓扑图如上图所示,建议如下:
1、HHHH网阀流量优化系统3台
2、HHHH防火墙1台
3、HHHH入侵检测1台;
4、服务器审计1套
5、HHHHWEB应用防护1台
6、HHHHARP防御系统来进行安全防御加固。
第四章产品介绍
4、1流量优化系统针对以上各信息中心、网络管理专业人士的实际需求,在充分研究网络管理和网络管理工程师的行为模式后,推出的最易于操作使用的网阀。
是一款快速部署、易于操作的网络管理硬件设备,定位于一站式保障网络畅通。
为复杂多变的网络故障提供快速、有效的解决办法。
它能够全面监测和管理企业IT网络使用情况,确保IT网络系统运行能够获得理想的效果,有效避免由于网络故障和性能低下造成的损失。
的主要功能归纳为:
察看网络使用状况统计员工上网行为诊断网络瓶颈所在封杀工作无关应用限制下载软件流量保障关键业务畅通平息各种网络危机通过可以发现网络中的拥塞点所在,并能通过端点带宽限制、拥塞点端口禁止等功能确保正常关键业务不受影响,稳定运行。
能够用户帮助了解网络上有什么应用程序在执行,每一个程序效能又如何,占用带宽多少,是否合理,对不合理的带宽应用,提供了直观方便的管理限制手段。
能够智能网络流量监控,可以帮助用户全面了解网络状况,包含网络效率、各种应用流量等。
的专业流量优化技术可以有效控制各种应用流量,从而实现应用性能控制要求。
完善的报告帮助了解控制结果。
由于采用了透明桥设计,因而在网络中加入该设备时不用考虑原网络拓扑,只需要在原网关后直接加入,当然也无须改变原网络拓扑,用户网络升级非常方便快捷。
使用产品后,可以立竿见影起到优化网络流量的效果。
体系架构结合防火墙、流量控制、网络行为监控审计等多种产品的功能,定位于网络畅通保障,通过CAMOR架构帮助用户完成网络梳理。
收集:
企业网络的种种设备都产生各种流量。
从来源、去向、内容等多维收集流量中的信息。
分析:
从人员、应用、设备等多种角度解读分析网络流量,分析后的结果传送给管理引擎。
管理:
可以方便的把公司网络管理规章制度转换为网络规则。
可以有条理的梳理网络流量。
优化:
把网络中的流量划分为不同大小和优先级的带宽。
把公司的组织结构和关键应用映射到不同的带宽中。
保障公司中VIP人群的网络体验,保障关键业务的网络带宽。
对网络中突发的病毒蠕虫、DDOS等恶性带宽占用事件及时定位故障,确保正常业务不受影响。
报表:
提供直观、丰富的报表内容,帮助用户掌握网络情况。
主要功能分类名称描述网络信息收集实时网络流速显示实时显示网络的上传速度和下载速度,自动刷新自动获得网络中的计算机信息自动收集网络中的计算机的机器名、IP地址、MAC地址等信息,可编辑分类实时上网行为监控实时显示网络中每个人上网的目的地、协议、流量、速度等内容,自动刷新网络状况分析网络中应用情况分析分析网络中带宽都被那些应用占据用户使用情况分析分析网络中那些用户消耗的带宽最访问网站情况分析分析消耗最多的那些应用和用户都是访问哪些网站消耗的P2P使用情况分析分析网络中那些用户使用P2P最频繁网络状况系统会诊找到网络瓶颈。
从而制定有效措施改善。
内网行为管理IP和MAC地址绑定设定计算机IP地址和MAC地址的对应关系,杜绝IP地址冲突现象上网行为控制阻止游戏、炒股等与工作无关的上网行为上网时间限制按时间限制部分上网行为,例如上班时间不允许玩游戏上网用户分级管理可以设置用户为不同权限等级上网行为分级控制不同等级用户可独立设置上网权限黑名单设置把占用网络带宽,影响其他人正常通讯的计算机加入黑名单,限制上网限制5分钟设置对临时无意中占用网络带宽,影响其他人正常通讯的计算机,限制其五分钟上网后恢复正常网络带宽优化VIP用户带宽保障保障VIP用户的带宽,让VIP用户时刻畅通关键业务带宽保障保障关键业务的带宽,让关键业务时刻畅通应用带宽限制限制BT下载等特定网络应用所占用的带宽网络故障响应异常流量抑制防范未知蠕虫木马等突发事件对网络的影响故障定位及时发现网络拥塞点高可用性双机热备支持双机热备链路监测自动监测ISP接入链路是否正常网关监测自动监测出口网关是否正常硬件BYPASS故障自愈,设备或系统出现故障时,不会隔断网络的运行网络异常防御封锁P2P应用可封锁BT、Emule等P2P软件封锁即时通信应用可封锁防MSN、QQ、Yahoo、Skype等聊天软件封锁股票软件、网络游戏可封锁常见股票软件、网络游戏网络异常检测网络异常检测及防拒绝服务攻击连接阀值限制限制过多并发连接管理功能集中管理支持多台设备集中管控管理员权限分级不同角色的权限不同日志报表系统状态显示系统状态信息本地日志可本地保存日志信息远程Syslog日志日志记录至远程Syslog服务器定期备份和恢复维护数据库内容定期报表邮件定期发生报表产品特点一站式保障网络通畅用户反映上网不畅已经成为网络管理的焦点问题。
造成这个问题的原因多种多样。
例如病毒蠕虫爆发,内部员工BT下载占用带宽,ARP欺骗爆发等等。
每种问题的解决对保障网络畅通来说都是头疼医头,脚痛医脚。
HHHH聚焦于解决影响用户使用网络感受的种种问题。
提供一站式的网络畅通保障解决方案,有效避免网络故障和性能低下造成的损失。
能够主动监测和预警网络不畅问题,仿佛一面"健康透视镜",随时监视网络环境的状态和性能,对即将发生的影响网络畅通的故障和危机,实时向IT管理人员发出预警。
提供专业规范的告警管理机制,灵活配置的告警策略。
多种的告警方式能及时通知网络管理员处理问题。
智能化管理网络应用一款快速部署、易于操作的网络管理硬件设备,它能够全面监测企业网络环境的流量使用状况,确保网络系统运行能够获得理想的效果,有效避免由于网络故障和性能低下造成的损失。
实现了智能化没有烦琐复杂的专业设置界面。
无需冗长的培训课程,整个产品没有一处需要专业知识设置数值的地方。
用户不需要高深的背景知识就可以对网络中的各种情况了如指掌,并能轻松掌控网络。
通过自动监测网络中的人、网络行为、计算机的使用状况,直观地展示出网络中所发生的一切,并通过Web界面实时地观察状态。
提供强大、灵活的三维管理功能,采用组织结构、员工和机器、时间、网络行为、流量大小、动作(限制/保障)的人性化流量控制方案,企业的网络管理规章制度可以方便的转换为的管理规则。
用技术手段贯彻企业规章制度,从而保证重要业务服务的正常运行,规范员工工作行为。
可以能够组织结构、机器、上网行为、时间等多种条件组合,灵活控制用户上网行为,包括IM即时通讯、P2P下载、在线视频、网络流媒体、股票软件及网络游戏等行为,有效管理网络资源的使用。
可以系统分析评估出影响网络畅通的根本原因,帮助网络管理员确定确定瓶颈所在。
使IT投资更有效率。
支持大型分布式解决方案,通过与上级安全管理平台的集联,轻松解决用户分布式监控的问题;可以统一处理汇总信息,对整个网络运行全过程各种数据统一汇总、分析、报表。
可信赖实施安全设备专门设计了安全、可靠、高效的硬件运行平台。
硬件平台采用严格的设计和工艺标准,保证了高可靠性,使得系统的不稳定性与不安全性减至最少;独特的硬件体系结构大大提升了处理能力、吞吐量。
特别定制的操作系统,在提供给网络引擎强健的性能与稳定性的同时,本身具备了超强的安全性。
鉴于网关产品部署位置的敏感性,内置硬件BYPASS功能。
在设备出现软件、硬件及电源故障时快速、自动切换到直通状态,形成网络自愈,,保障网络可用性,不影响用户网络的稳定运行。
4、2HHHH防火墙HHHH防火墙是HHHH计算机公司研发的网络安全新产品,它借鉴了多个品牌防火墙的优点,结合了市场的需求。
HHHH系列防火墙功能强大,兼具防火墙和流量控制、VPN、流量管理等功能于一体。
它安装非常容易,能通过Web浏览器或CLI(命令行)来修改和配置。
HHHH系列防火墙结构紧凑,可放置在桌面或安装在标准机架上,是具有最佳性能与价格比的网络安全产品之一。
目前,HHHH系列防火墙都是在HHHH的安全操作系统平台上开发出来的硬件防火墙系列产品。
遵循同样的企业标准生产。
各自面对不同的目标市场。
防火墙系统结构HHHH系列防火墙系统主要由网络核心、应用程序、管理界面组成。
网络核心网络核心主要负责建立IP网络层。
它的设计以安全性、高效性、可控制性为目标。
我们在系统设计时参考了NetBS
D、OpenBS
D、Linux、FreeBSD等系统的体系结构,吸取以上的系统的优点进行系统网络核心的优化处理,同时还针对CPU的计算核心进行了优化处理。
除此之外,防火墙系统本身的安全是整个系统与被防火墙所保护的网络安全的重要保证,为此我们全力检查系统可能存在的Bug,包括设计错误、编程粗心出错等错误,力求获得更高的安全性、稳定性。
以下是系统结构的主要特点:
l支持大量的并发连接。
作为防火墙系统,将会有大量的来自内部网络及外部网络的连接,我们设计的网络核心在百兆防火墙可支持1,200,000条以上的并发连接,千兆防火墙可达到4,000,000条。
l高性能的IPPacket处理。
IP包的处理能力,直接影响防火墙系统的性能,增加系统的网络流量负载能力。
所以我们以纯汇编编写这部分的程序,并充分使用CPU的能力,使程序效率平均提高20%,在某些情况下可以提高60%。
应用程序应用程序层主要负责加密、内容过滤、界面支撑等工作。
管理界面系统为管理员提供基于WEB界面的管理界面。
包括地址簿、安全策略、VPN设定、URL阻塞等。
安全控制规则包括以下要素,我们称之为安全策略,系统就是根据这个列表所定义的控制逻辑完成访问控制的。
序号设置列表中每项由唯一的序号,用以分辨项目。
系统支持项目分组,可以把某几项分组管理。
来源来源可以是主机、网络。
主机表示为单个IP或域名,网络表示为子网掩码(NetMask)。
目的地目的地可以是主机和网络。
服务服务标明来源和目的之间的通信协议或服务类型,可以从预先设定的通信协议或服务类型中选取(已经包括目前所有的通信协议和TCP/UDP服务类型),也可以自定义新的服务类型。
别名做NAT时可选,NAT使用的源IP地址动作当条件满足时本系统所采取的动作,包括接受、拒绝、接受并认证、通过VPN连接等。
监测选择当条件满足时是否纪录。
系统的这些记录,可以为系统管理员提供日志。
时刻表设定本条策略目的有效时间,实现计划任务。
防火墙安全特性产品的安全策略防火墙的安全策略是指具体地针对防火墙,负责制定具体的规章制度来实施网络服务访问策略。
在制定该策略前,必须了解这种防火墙的性能和缺点,TCP/IP本身所具有的易受攻击性和危险。
防火墙一般执行以下两种基本设计策略中的一种:
l除非明确不允许,否则允许某种服务。
l除非明确允许,否则将禁止某种服务。
执行第一种策略的防火墙在默认情况下允许所有的服务,除非管理员对某种服务明确表示禁止。
执行第二种策略的防火墙在默认情况下禁止所有的服务,除非管理员对某种服务明确表示允许。
HHHH系列防火墙实施限制性政策(第二种)。
产品的安全目标防火墙技术的核心思想是在不安全的网间网环境中构造一个相对安全的子网环境。
由于防火墙技术的针对性很强,它已成为实现Internet网络安全的重要保障之一。
目前防火墙技术的实现主要有两种手段:
一种是基于分组过滤技术(Packetfiltering);一种是基于代理技术(Proxy)。
HHHH系列防火墙产品是一种具有强大的信息分析功能、高效包过滤功能、多种反电子欺骗手段、多种安全措施综合运用的专用防火墙系统。
它运用了状态检测包过滤(StatefulInspection)技术,可以根据IP地址和TCP/IP协议制订相应的防火墙安全策略,以审查TCP/IP包,拒绝或授权访问。
用户可以按照自己的要求制定或修改防火墙安全策略。
例如,可以制定一条策略,只允许某一来自特定内部IP源地址的信息通过防火墙。
同时提供强大的访问控制、身份认证、网络地址转换(NetworkAddressTranslation)、虚拟专网(VPN)、流量控制等功能。
提供完善的安全性设置。
它集网络数据的监控和管理于一体,可以随时对网络数据的流动情况进行分析、监控和管理,以便及时制定相应保护内部网络数据的措施。
可靠性高、不易遭到攻击破坏。
HHHH防火墙功能我们将HHHH系列防火墙的功能分为三部分介绍:
基本功能、增强功能和辅助功能。
具备了全部基本功能的防火墙实际上已经同时具备了包过滤和应用代理两类防火墙的功能,已经是一台功能相当完备的防火墙。
但安全管理、详细的日志、攻击检测等功能提供了更高的可用性,而流量控制、系统日志、时间表、流量统计等功能可使用户更有效地使用网络。
增强功能包含了一些更先进的功能和为了方便管理而增加的功能。
辅助功能则是一些为了协调网络应用、增强鲁棒性等而增加的。
防火墙是内部网络连接外部网络的唯一出口,管理员利用这道出口,可以监测通过它的数据,并进行允许/禁止等动作,并作出相关记录和报告。
必须注意的是,防火墙必须按照实际应用合理配置,在安全和开放之间取得合理的妥协。
不正确的配置会导致安全漏洞,而过于严格的配置则会导致用户的不满,因而自行开辟新的出口,导致新的安全隐患。
防火墙可以在一定程度上保护网络,但并不完全。
对于内部网络的设备(计算机、路由器、交换机等)也应该进行合理的、必要的自我保护;对于信息,有必要的时候应该进行加密。
还应当注意的是,防火墙并非只在网络连接Internet时才用到,任何一个网络要和其他网络连接时,都应该考虑到防火墙。
比如财务部网络要连接企业大网、银行网络通过专网连接其他银行等。
1、1基本功能包过滤TCP/IP的数据包是由包头和数据构成的,包头包括协议(TCP/UDP/ICMP)、源地址、目的地址、源端口(服务)、目的端口等信息,包过滤是防火墙基于网络层的安全方式,它通过对所有流经防火墙的信息包内的包头信息检查,以实现对网络的安全控制。
防火墙针对TCP/IP数据包做处理,因此称为网络级,根据上面所列参数进行过滤(比如地址1的任意端口到地址2的80端口的TCP包被禁止,表示禁止地址1的计算机连接地址2的计算机的www服务),因此称为包过滤。
包过滤的速度很快,当然功能就相对较普通,因此高级的防火墙功能需要应用级的功能。
状态检测的包过滤利用状态表跟踪每一个网络会话的状态,对每一个包的检查不仅根据规则表,更考虑了数据包是否符合会话所处的状态。
因而提供了更完整的对传输层的控制能力。
同时由于一系列优化技术的采用,状态检测包过滤的性能也明显优于简单包过滤产品,尤其是在一些规则复杂的大型网络上。
它能阻止畸形报文和拒绝服务,防止外部IPSpoofing,可禁止员工上班时间查阅工作无关信息。
HHHH系列防火墙产品可以提供完善的包过滤策略选项,以方便地设定访问控制策略。
NAT内部网络一般使用专为内部网保留的IP地址,这部分IP地址是无法直接连接Internet的,因此不能直接对外部网络进行访问,这可以通过网络地址转换(NAT)得到完满的解决。
当用户需要对外访问时,防火墙将用户的IP转换为防火墙外部口的IP,并将得到的响应再转换回用户的IP发给用户,使用户得以访问外部网络。
正向NAT是基于网络层的安全应用,它通过把内部网络的信息包内的源地址修改为防火墙的外部端口地址传向外部网络,同时隐蔽了内部IP地址,节约合法IP和费用。
如果需要在Intranet提供让外部访问的服务(如WWW、FTP等),反向NAT可以为Intranet里的服务器建立静态映射,外部用户可以直接访问该服务器。
这样Intranet就可以与Internet双向通信。
也可以将内部多个IP和Port映射为一个外部IP的多个Port,这样的好处是:
l节省外部IP,因为可以将多个内部IP/端口映射到同一个外部IP的多个端口上,这使每个合法InternetIP可以映射64K个内部网主机,并发访问为64K条。
l保证服务单一性,就是内部计算机只提供想提供的服务(端口),而屏蔽了该计算机的其他服务。
HHHH防火墙同时支持正向地址转
升级会员 