中软华泰根据当前信息安全领域防火墙技术的发展现状以及国内信息安全市场的需求，经过多年的潜心研究，成功的推出了具有自主知识产权的中软HuaTech-2000系列防火墙系统，该系列防火墙系统均采用高效的硬件平台以及经过安全加固的专用操作系统内核，实现了高效数据交换能力和系统并行处理能力进行有效的结合，经过3年的市场检验，成为用户公认的高处理能力和高安全性的防火墙系统。HuaTech-2000防火墙分百兆和千兆两大系列，即可以应用于中小型企事业单位、学校、政府机关办公网等小规模网络，也可以适应需要进行大量数据交换、处理复杂应用的环境，如电子商务站点、金融系统网络、电信骨干交换网络、军队以及校园骨干交换网络等。HuaTech-2000防火墙主要实现了规则控制、状态检测功能、时间段访问控制功能、代理功能、地址绑定功能、VPN虚拟专用网、双向地址转换功能、双机热备功能和完整的日志审记等功能，支持安全管理中心的远程集中式的统一管理。完全能够满足各种宽带网络应用服务的数据处理要求，并且能适应更多的高要求的应用环境。它的容错特性、双机热备份以及带宽管理和控制功能等多种安全功能能够为用户网络提供强大的安全保护。

一、中软HuaTech-2000系列防火墙系统

1、集多种功能于一身的安全设备产品

提供集成式的安全解决方案，包括状态检测防火墙、应用层内容过滤、IDS入侵检测以及IPSec VPN信息加密传输，为用户提供全面的综合解决方案，从而节约附加软件及许可证的高昂费用。

2、高性能的综合解决方案

采用专用的硬件平台以及经过安全加固的操作系统，能加速防火墙、IDS入侵检测以及VPN加密传输的处理速度，实现高可用性以及最大化的综合安全防护。

3、便于升级及扩容

采用模块化设计思路，可以根据用户的需求添加额外的功能模块，支持远程升级服务。同时，产品支持与第三方IDS入侵检测系统以及病毒扫描系统的联动。

4、易于实施及管理

在完成策略制定的前提下，只需要数分钟就可以完成防火墙系统的配置并开通运行。同时，产品支持远程集中统一管理以及完善的日志审计功能。

二、产品特点

1、高性能

中软HuaTech－2000系列防火墙系统采用的是高速中央处理器，其它硬件均采用专用集成化设计，系
统集成度高。通过紧密耦合的结构设计以及专门针对网络处理进行的优化造就了高速的数据处理能力。百兆防火墙的最大并发连接数可达50万，千兆防火墙的最大并发连接数可达100万。完全可以满足行业用户对数据处理能力的要求。

2、高可靠性

（1）中软HuaTech-2000防火墙系统是建立在安全操作系统基础上。通过对操作系统内核的大规模
裁减，剔除了原有的不安全模块，并增加了自主开发的安全加固模块。通过对操作系统的改造，大大加强了系统内核的稳定性与抗攻击能力，从根本上避免了因操作系统故障而导致的防火墙工作异常与安全漏洞。

（2）为了消除可能发生的单点故障，中软HuaTech-2000防火墙系统提供了双机热备份功能，主备
防火墙可在几秒钟的时间内自动切换。同时，防火墙系统支持HA双主模式，允许两台或多台设备同时处理业务数据并保持全面同步以提供更高的并发连接和提供更高的可靠性。

（3）在硬件设计上中软HuaTech-2000防火墙系统支持电源冗余模式，可以避免由于电源故障导致的单点故障。系统的平均故障间隔时间（MTBF）在100,000小时以上，完全能够满足骨干网络对设备可靠性的要求。

3、高安全性

（1）Dos拒绝服务攻击几乎是从互联网络的诞生以来伴随着互联网络的发展而一直存在也不断发展和升级。在未来几年中Dos攻击仍是因特网上最常用和最难防范的攻击手法之一。中软HuaTech-2000防火墙内核系统能够对各种攻击进行有效防范，如syn flood、ping of death、teardrop、ping flood、land、smurf等攻击类型，有效保护内部服务器。

（2）集成IPSec VPN功能，支持DES、3DES加密算法， SHA-1、MD5验证，可以实现网关到网关、网关到客户端的数据加密通信。

（3）全面的身份验证功能，可有效控制对网络资源的访问，支持OTP、RADIUS等认证方式。

（4）支持与第三方入侵检测系统联动，能够及时响应入侵检测系统发出的报警信息，从而在第一时间发现并有效处理攻击行为。

（5）支持与第三方病毒扫描系统的联动。

三、产品功能描述

1、多端口结构，多协议支持

防火墙提供了三个或三个以上的独立的网络接口，将受保护网络从物理上分隔开来，不但提高了安全级别，更方便了防火墙与网络之间的连接；该防火墙除了支持标准的TCP/IP协议，还支持802.1q 和 H.323 等各种不同层次的协议标准。

2、状态检测与包过滤技术

状态检测技术是防火墙针对用户建立的连接维护状态连接表，并根据状态表信息转发或拒绝数据包，它比普通的包过滤有着更好的网络性能和安全性。

中软HuaTech-2000包过滤模块处于防火墙主机操作系统的网络结构中的数据链路层与IP层之间，支持以太网、令牌环网、DEC net等不同的网络数据格式。通过对完整的网络封包，包括IP、TCP、UDP及ICMP等，在网络层进行检查和过滤。

3、时间段访问控制

中软HuaTech-2000系列防火墙在访问规则中加入时间段访问控制，只有在规则设定的时间段内符合访问控制策略的数据报文才可能通过防火墙，便于管理员制定更细致的策略规则。

4、地址绑定技术

每一块网卡都具有一个唯一的物理标识号码，也就是网卡的MAC地址，由于MAC地址的唯一性，决定了某一台主机的合法IP地址与其网卡的MAC地址绑定起来的对应关系是唯一的，中软HuaTech-2000系列防火墙具有地址绑定功能，可以通过建立起来的合法IP地址与MAC地址的对应关系识破非法用户盗用合法IP地址的阴谋，并拒绝该连接请求。

5、双向网络地址转换技术

中软HuaTech-2000系列防火墙支持源地址转换（SNAT），可以有效地隐藏内部网络的IP地址，同时解决IP地址紧缺问题。

中软HuaTech-2000系列防火墙支持目的地址转换（DNAT）。利用这种技术可以在防火墙的外网口上绑定多个公有IP地址与局域网上的相应服务器的相对应，当外面的主机访问防火墙的外网口的某个IP地址时，防火墙将来自外部的服务请求转发到局域网内的真正的服务器上。这样可以实现在隐藏网络内部信息的同时向外提供信息服务。

中软HuaTech-2000系列防火墙的源地址转换（SNAT）以及目的地址转换（DNAT）均支持端口映射功能（PAT）。

6、流量控制

流量不足是网络管理者遇到的最麻烦的问题之一，由于一些用户使用FTP之类大量消耗网络资源的应用，占用了大部分流量，影响了其他用户正常使用网络。对于专线用户，这个问题尤为严重。中软HuaTech-2000系列防火墙具有基于IP地址的流量控制功能，可以有效的控制网络内指定IP主机所使用的网络流量，便于统计、计费等管理工作的开展。

7、带宽控制

带宽管理技术（Quality of Service  QoS）是一种高层次的网络管理技术，它可以对网络实时的传输速度进行测量，对网络拥塞情况进行监测并按照预先定义的优先级别，保证关键业务的网络带宽占用，从而避免了当网络产生瓶颈时，对一些关键业务的影响。中软HuaTech-2000系列防火墙支持带宽控制，通过合理配置、分配带宽资源，使网络资源得到合理、充分的使用。

8、应用代理

中软HuaTech－2000系列防火墙的应用代理功能隐藏了内部网络结构，因为内部网的任意主机对外的最终请求都是由防火墙发出的，使外部不可信网络的主机并不知道与内部网络的哪个用户通信，而且还在一定程度上解决了IP地址紧缺的问题。中软HuaTech－2000系列防火墙支持的代理有：HTTP代理、FTP代理、SMTP代理。

9、VLAN

为了建立起安全的、独立的广播域或者组播域，可以将交换机上的端口组合成一个一个的虚拟局域网（VLAN）。限制广播包的传播范围和降低广播包的影响，优化网络拓扑结构，提升网络段化的层次和安全性。中软HuaTech-2000型防火墙支持基于802.1Q协议的VLAN，支持VLAN下的数据策略控制。中软HuaTech-2000型防火墙VLAN有两种运行模式，路由模式和透明网桥模式。在路由模式下，可以替代路由器实现不同VLAN间的路由；在网桥模式下，还可以支持VLAN TRUNKING。

10、动态路由

动态路由是网络中的路由器之间相互通信，传递路由信息，利用收到的路由信息更新路由器表的过程。它能实时地适应网络结构的变化。如果路由更新信息表明发生了网络变化，路由选择软件就会重新计算路由，并发出新的路由更新信息。这些信息通过各个网络，引起各路由器重新激活其路由算法，并更新各自的路由表以动态地反映网络拓扑变化。动态路由技术在当前网络规模不断扩大，拓扑结构不断复杂化的今天尤为重要。增加了多层次的设备冗余，从而为多个ISP提供了更高的恢复性能和更强大的支持。中软HuaTech-2000系列防火墙支持基于RIP(Routing information Protocol)、OSPF(Open Shortest Path First)以及BGP（Border Gateway Protocol）的高级动态路由。

11、组播路由

在现在的网络应用中，音频或视频流媒体服务越来越多的应用到组播技术。采用组播技术，单台服务器能够同时对多台主机发送连续实时数据流。中软HuaTech-2000系列防火墙支持组播路由技术，防火墙系统可以判断区分网络中的广播或组播业务，并根据所配置的策略决定组播数据的通过与否，以满足用户的特殊需求。

12、内容过滤（色情防堵）

中软HuaTech-2000系列防火墙支持内容过滤功能和色情防堵功能，能够实现对应用层内容的检测，提高网络的安全性。内容过滤是在HTTP, FTP和SMTP等协议层根据过滤条件对信息流进行控制，HTTP过滤内容包括URL、Java Applet、JavaScript、ActiveX、Servlet、CGI、PHP、img等；电子邮件过滤的内容包括subject、to、from和text域等；FTP过滤可以发现并封堵下载和上载文件内容中可能包含的危险信息，如病毒、色情或非法关键字等，限制非法操作命令。

13、用户认证

中软HuaTech-2000系列防火墙管理程序通过提供给用户专门客户端认证软件，利用用户名，用户口令和IP地址等鉴别用户。中软HuaTech-2000型防火墙还支持基于RADIUS协议的用户认证，防火墙系统本身实现了RADIUS服务和转发功能，可以进行RADIUS本地认证，或将用户网络访问服务认证信息发送给中央（第三方）RADIUS服务器，并根据返回的认证信息对用户进行授权。

14、入侵检测

为了不影响防火墙系统的运行效率，中软HuaTech-2000系列防火墙本身集成了轻量级的入侵检测系统。可以发现并阻止常见的攻击、非法扫描以及网络误用。中软HuaTech-2000系列防火墙还提供接口，支持与第三方的IDS入侵检测系统联动。

15、病毒扫描

在任何网络环境下，计算机病毒都有着不可估量的威胁性和破坏力，因此计算机病毒的防范是网络安全性建设中重要的一环。中软HuaTech-2000系列防火墙提供接口支持与指定的第三方的病毒扫描服务器联动。

16、VPN功能

虚拟专用网（VPN）是在公众网上建立虚拟企业内部网络，保障在公众网上企业内部信息通过VPN隧道进行安全传输，减少企业组建物理网络的成本，同时保证数据的安全。中软HuaTech－2000系列防火墙VPN支持网关到网关与网关到客户端两种工作模式，采用安全加密算法（3DES、DES等）和验证算法（SHA-1、MD5），支持数字证书（x.509），自动或手动IKE验证。

17、双机热备功能

中软HuaTech-2000系列防火墙支持双机热备功能，从而提高系统的稳定性和可靠性。两台防火墙分为防火墙主机和防火墙从机，在防火墙主机工作的同时，防火墙从机实时监控防火墙主机的工作状态，这时所有对内部网络的保护工作由防火墙主机完成。当防火墙主机工作异常时，防火墙从机能够及时发现问题并立即接替防火墙主机的工作，并报警通知网络管理员。待防火墙主机故障排除并接入网络后，防火墙主机接管对内网的保护工作，防火墙从机则切换为监视状态，继续侦测防火墙主机的状态。

18、负载均衡功能

中软HuaTech-2000系列防火墙的负载均衡技术采用的是通过网络地址转换（Network Address Translation）将一组服务器构成一个高性能的、高可用性的虚拟服务器，我们称之为VS/NAT技术（Virtual Server via Network Address Translation）。通过网络地址转换，调度器重写请求报文的目标地址，根据预设的调度算法，将请求分派给后端的真实服务器；真实服务器的响应报文通过调度器时，报文的源地址被重写，再返回给客户，完成整个负载调度过程。

19、较强的抗攻击能力

作为一种网络安全防护设备，防火墙在网络中自然成为众多攻击者的首要目标。中软HuaTech-2000系列防火墙系统具有强大的攻击防御能力。系统支持多种安全措施，可以防范Internet环境中针对防火墙的各种攻击，如：抗IP假冒攻击，DoS拒绝服务攻击、抗口令字探寻攻击，抗SYN FLOOD以及端口扫描（Port Scan）等。

20、日志审计

中软HuaTech-2000系列防火墙专用的日志审计系统支持分布式的集中管理，所记录的内容不但包括了防火墙本身运行的系统日志，还包含了运行日志，代理日志，入侵检测日志，流量统计日志，管理日志，双机热备日志，IDS互动信息，状态信息共八大类日志，并可使用相关的配置程序进行日志浏览与审计。

21、集中管理

中软HuaTech-2000系列防火墙可以通过GUI、Console、Web、SSH与SNMP等多种方式进行管理与配置。作为中软HuaTech Unit Security安全管理平台的一部分，防火墙GUI安全管理中心支持对本地或异地多台防火墙设备进行分布式管理。从而实现了安全管理中心对远程防火墙设备的集中统一管理。