近些年来，防火墙作为安全防护的必备产品，已经在网络安全市场中占据了重要位置，做网络的几乎没有不知道防火墙这个名词。历经多年的市场考验，可以说国内的防火墙产品已经逐渐走向成熟化，功能极大丰富、性能大幅提升这些方面的进步，充分说明了我国的技术已经与国外的技术距离快速缩小。同时，我们的用户在防火墙选择方面也逐渐的理性化，不再象20世纪90年代时期，花高价，买低性能的防火墙产品了，对于选择防火墙，以电信行业为首的用户，除了功能、性能方面的选择外，更注重产品的架构的选择。我们说先进的软件架构能够给防火墙带来强大的扩展能力，便于产品在未来发展中，不断根据市场需求完善产品的功能。优秀的防火墙产品不是以产品功能多少取胜，而是取决于产品开发者的思路是否正确，我们说国外产品Juniper、checkpoint之所以到目前仍然是占据市场主导的厂商，正是跟他们正确的思路息息相关的。一个正确产品发展思路体现在产品的软件基础架构之上。硬件是一直保持快速发展的，产品性能将会随着硬件不断的发展而提升，从赛扬、奔腾到目前的多核等等，产品的硬件性能已经发生了翻天覆地的变化，但为什么有很多防火墙厂商相继倒闭呢？笔者认为，开发者的思路是产品的成败关键因素。

　　就软件架构而言，东软的NetEye5200在业界是领先的。我们采用的是三层交换与虚拟防火墙技术相融合的基础软件架构。

　　首先简单介绍一下三层交换技术：

　　三层交换技术，简单说就是“一次路由，后续转发”，具体过程如下图所示：

图1 三层交换技术

　　当数据流到达防火墙的时候，第一个包先进行路由选择并转发，同时将目标方向定位到接口层面，后续的数据包直接送至指定的接口，完全基于二层（链路层）进行转发。

　　这种技术带来的好处是：

　　1） 降低对数据包转发所造成的延迟，并且能够从软件层面大幅提升产品的性能，这使得产品能够胜任具有视频应用的网络之中；
　　2） 可象交换机一样创建多个VLAN，并实现路由、交换、混合模式（Hybrid ），构建1000个以上的VLAN，拥有这个特性的产品，在业界也是屈指可数的。通过多种工作模式，能够使产品被方便的植入到已有网络之中。

　　其次，我们在简单介绍一下虚拟防火墙系统：

图2 虚拟防火墙技术

　　虚拟防火墙技术是指能够将一台物理防火墙，从逻辑上划分为多台虚拟的防火墙设备，这些虚拟防火墙设备彼此路由表、策略、ARP表等等均是彼此完全独立的，并且可以根据实际需要，将诸如内存、存储介质等物理资源划分到不同的虚拟防火墙系统。好处也是显而易见的：

　　1） 增强防火墙安全性，如图2所示，当游戏服务器遭受到攻击的时候，其它两个虚拟防火墙系统所保护的邮件服务器和WEB服务器是不受干扰的，真正做到了对不同服务器进行安全防护的要求，这在普通防火墙中是无法实现的；
　　2） 简化管理，普通管理员可以根据不同IP地址进行虚拟系统的管理，高级管理员可以通过管理界面切换到其它的虚拟系统中来；
　　3） 简化网络结构，任何一个虚拟系统内网都可以是同一个网段的，甚至于IP重复也彼此不受任何影响；
　　4） 一机多用，最大程度节省了用户投资。

　　以上是三层交换和虚拟防火墙技术的简单介绍，我们主要想描述的不是两种技术本身，我们重点是想向各位读者展现的是这两种技术的完全融合，通过两种技术的完全融合构建了一个高效、易于扩展的防火墙基础架构。

　　国内安全圈子中有许多产品号称支持虚拟防火墙技术，事实上大多是一种简单的实现，不可真正谓之虚拟防火墙技术。最直观的揭露就是那些伪虚拟防火墙技术无法实现对内存资源的分配，无法实现基于VLAN来划分虚拟防火墙系统。

　　东软的集成架构能够完成多种网络环境组合，如下图所示：

图3 NetEye防火墙基础架构

　　防火墙不仅可以工作在路由、交换、混杂模式下，更能够基于三层交换技术，在每个虚拟防火墙系统中实现路由、交换、混杂模式，这是最难能可贵的基础架构。举例个例子，如下图所示的网络拓扑，要求2点：

　　1） 外网和DMZ之间采用相同网段，所以必须要工作在交换模式下；
　　2） 外网、DMZ与内网之间不是同一个网段，需要进行路由转发；

　　对于上述要求，防火墙必须要支持混杂模式才可以正常部署，NetEye5200系列产品完全可以胜任这种部署模式。

图4 混杂模式部署图

　　难能可贵的是，NetEye5200系列产品的每个虚拟防火墙均可以实现这种部署模式，极大增强的防火墙的网络适应性。另外，未来根据市场需求的不断变化，对于新增加的功能，NetEye防火墙集成基础架构能够很容易的让每个虚拟防火墙系统都自动增添主防火墙系统所添加的功能，而这一点是业界其它防火墙产品所望尘莫及的。

　　性格决定命运，思路决定发展，相信东软NetEye防火墙将会在未来发展中再创辉煌，引领业界防火墙产品的发展，为我们国家安全技术的发展贡献自己的力量。

　　该项服务本意是保护敏感数据(如私钥)的存储，以便防止未授权的服务、过程或用户对其的非法访问。简单理解就是系统单独为使用人员维护的一个安全的口令存储区域，这样便于管理也可以很好的防止其他进程和服务对里面的数据进行读取，但是事实非常遗憾，现在有太多的工具软件可以在本地利用特殊的系统接口对Protected Storage服务中的敏感数据进行直接读取，这样一旦系统本地遭受攻击或者感染木马程序，攻击者就可以不费吹灰之力获得本地的所有密码口令的列表，这产生的后果是非常可怕的，如 下图是CAIN这款软件对本地计算机Protected Storage进程区内容的直接读取。

　　所以我们建议读者对于重要个人计算机电脑上停止该项服务的工作，以更好的保障系统的安全性。

　　该服务停止后，类似的软件将再也无法获取我们的口令信息了。

Protected Storage服务被停止后CAIN就无法获取口令信息了

　　近日，由东软网络安全产品营销中心举办的网络安全技术集训在北京举行，此次集训是东软网络安全营销中心本年度举办的最大一次内部技术培训，来自网络安全产品线全国各地的售前、售后及产品经理近百余人共同度过了一周的集训期。

　　集训以“提升咨询能力 加深技术实力”为目标，针对技术人员的服务咨询能力和对产品的技术熟知度均提出了更高要求。为了使参会的技术人员能够迅速提升，集训采用交叉授课、实战演练及现场考核等多种方式，同时对于NetEye网络安全系列产品的实际调试及上机操作也使集训人员第一时间了解到NetEye核心产品的最新功能、技术参数及装机要求等内容。

　　在集训的调查中，参加培训的工程师分别表示此次收获颇丰，为各自备战本年度后期的工作打下了良好基础。

　　2008年5月23日东软NetEye安全团队携12年网络安全领域的成功经验及技术积累来到湖北十堰地区，与当地的新老用户一起进行了一次深入的技术沟通会议。本次会议不仅得到了东软安全合作多年的用户支持，更得到十堰地区政府的大力支持。

　　会议首先由十堰保密局何局长致辞，就湖北地区近几年信息安全产业发展情况做了介绍，并表示像东软这样有多年安全成功经验的厂商也为十堰地区网络安全产业起到了推波助澜的作用，东软安全整体解决方案和产品几年来一直广泛使用在十堰地区重要用户的信息系统中，并得到了非常高的评价。何局长希望东软安全能够继续发挥技术优势，为十堰市多做贡献。

　　之后东软软件股份有限公司网络安全市场总监路娜为与会嘉宾全面详细介绍了东软公司的17年的发展历史和未来的发展策略。并主要阐述了东软安全本次深入到二级城市当中的目的在于更好的了解非省会城市的信息安全建设中遇到的问题，收集东软安全多年来老用户在项目实施中的新需求。利用这次沟通平台将这些反馈意见汇总为后期东软安全能够为用户提供更好的服务提供决策依据。渠道总监肖俊宇对东软网络安全进行了详细的介绍，东软安全资深顾问江海腾对东软网络安全产品线及整体解决方案与嘉宾们进行了详细互动沟通，参会人员结合以往信息安全工作中遇到的技术及实际操作问题热烈的与东软工程师进行讨论，东软工程师与参会人员分享了东软安全的技术积累经验，为用户献计献策，会议在十分融洽的气氛中结束。

　　近日，在中国移动网络安全项目的入围选型中，东软NetEye FW4120系列三款型号的防火墙产品通过严格的测试与评定，最终成功入围。

　　近年来，东软已经通过多种方式为电信级用户提供了不同级别的安全服务支持。同时根据用户需求，东软结合在电信领域积累的多年行业经验推出了多款适用于电信级用户的网络安全产品。此次产品入围，进一步为东软为电信运营商提供强大的支撑，打造一个可靠、安全、稳定的高质量电信网络打下了坚实基础。