防火墙(英文：firewall)是一项协助确保信息安全的设备，会依照特定的规则，允许或是限制传输的数据通过。防火墙可以是一台专属的硬件也可以是架设在一般硬件上的一套软件。

防火墙的定义

为什么使用防火墙?

防火墙的类型

安智防火墙

安智防火墙的特点

设计特点

状态检测的包过滤机制和灵活的访问控制机制

广泛的网络及应用环境支持

多种工作模式应用

网络地址转换功能

透明的应用代理

支持策略路由

多端口的自适应

智能的内容过滤

防止非法用户接入

强大的抗攻击能力，内置入侵检测IDS系统

支持透明接入

多层过滤功能

VPN功能特性

用户访问控制

流量镜像

动态域名支持

服务隐藏

完善的系统管理功能

日志审计功能

高可用性

易用性设计

多链路负载均衡和路由备份

防火墙的定义

所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法，它是一种计算机硬件和软件的结合，使Internet与Intranet之间建立起一个安全网关（Security Gateway），从而保护内部网免受非法用户的侵入，防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成， 防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件(其中硬件防火墙用的较少，例如国防部以及大型机房等地才用,因为它价格昂贵)。该计算机流入流出的所有网络通信均要经过此防火墙。 防火墙 英语为firewall《英汉证券投资词典》的解释为：金融机构内部将银行业务与证券业务严格区分开来的法律屏障，旨在防止可能出现的内幕消息共享等不公平交易出现。使用防火墙比喻不要引火烧身。

在网络中，所谓“防火墙”，是指一种将内部网和公众访问网(如Internet)分开的方法，它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度，它能允许你“同意”的人和数据进入你的网络，同时将你“不同意”的人和数据拒之门外，最大限度地阻止网络中的黑客来访问你的网络。换句话说，如果不通过防火墙，公司内部的人就无法访问Internet，Internet上的人也无法和公司内部的人进行通信。

为什么使用防火墙?

防火墙具有很好的保护作用。入侵者必须首先穿越防火墙的安全防线，才能接触目标计算机。你可以将防火墙配置成许多不同保护级别。高级别的保护可能会禁止一些服务，如视频流等，但至少这是你自己的保护选择。

防火墙的类型

一个个人防火墙, 通常软件应用过滤信息进入或留下。一台电脑和一个传统防火墙通常跑在一台专用的网络设备或电脑被安置在两个或更多网络或DMZs (解除军事管制区域) 界限。 这样防火墙过滤所有信息进入或留下被连接的网络。 后者定义对应于"防火墙" 的常规意思在网络, 和下面会谈谈这类型防火墙。 以下是两个主要类防火墙: 网络层防火墙和 应用层防火墙。 这两类型防火墙也许重叠; 的确, 单一系统会两个一起实施。 网络层防火墙 网络层防火墙可视为一种 IP 封包过滤器，运作在底层的 TCP/IP 协议堆栈上。我们可以以枚举的方式，只允许符合特定规则的封包通过，其余的一概禁止穿越防火墙。这些规则通常可以经由管理员定义或修改，不过某些防火墙设备可能只能套用内置的规则。 我们也能以另一种较宽松的角度来制定防火墙规则，只要封包不符合任何一项“否定规则”就予以放行。现在的操作系统及网络设备大多已内置防火墙功能。 较新的防火墙能利用封包的多样属性来进行过滤，例如：来源 IP 地址、来源端口号、目的 IP 地址或端口号、服务类型(如 WWW 或是 FTP)。也能经由通信协议、TTL 值、来源的网域名称或网段...等属性来进行过滤。 应用层防火墙 应用层防火墙是在 TCP/IP 堆栈的“应用层”上运作，您使用浏览器时所产生的数据流或是使用 FTP 时的数据流都是属于这一层。应用层防火墙可以拦截进出某应用程序的所有封包，并且封锁其他的封包(通常是直接将封包丢弃)。理论上，这一类的防火墙可以完全阻绝外部的数据流进到受保护的机器里。 防火墙借由监测所有的封包并找出不符规则的内容，可以防范电脑蠕虫或是木马程序的快速蔓延。不过就实现而言，这个方法既烦且杂(软件有千千百百种啊)，所以大部分的防火墙都不会考虑以这种方法设计。 XML 防火墙是一种新型态的应用层防火墙。 代理服务 代理服务设备(可能是一台专属的硬件，或只是普通机器上的一套软件)也能像应用程序一样回应输入封包(例如连接要求)，同时封锁其他的封包，达到类似于防火墙的效果。 代理由外在网络使窜改一个内部系统更加困难, 并且一个内部系统误用不一定会导致一个安全漏洞可开采从防火墙外面(只要应用代理剩下的原封和适当地被配置) 。 相反地, 入侵者也许劫持一个公开可及的系统和使用它作为代理人为他们自己的目的; 代理人然后伪装作为那个系统对其它内部机器。 当对内部地址空间的用途加强安全, 破坏狂也许仍然使用方法譬如IP 欺骗试图通过小包对目标网络。 防火墙经常有网络地址转换(NAT) 的功能, 并且主机被保护在防火墙之后共同地使用所谓的“私人地址空间”, 依照被定义在[RFC 1918] 。 管理员经常设置了这样情节在努力(无定论的有效率) 假装内部地址或网络。 防火墙的适当的配置要求技巧和智能。 它要求管理员对网络协议和电脑安全有深入的了解。 因小差错可使防火墙不能作为安全工具.

安智防火墙

随着互联网和电子商务的不断发展，网络信息安全威胁越来越成为阻碍各个大中型企业、政府机关和行业用户信息化建设发展的关键因素。在安全领域中，越来越多的厂商寄希望于为客户提供大而全的解决方案。然而，我们都知道，从来就没有绝对的安全，安全的实现是和客户的投资成正比，同时设备的复杂必然带来新的问题。为了帮助客户在有限的投资下充分地享受网络安全带来的愉悦体验，而不是简单地为客户提供越来越复杂的产品，安智科技依托在网络安全领域的多年技术积累和实践经验，基于对网络安全的深刻理解，融合网络科技的最新成果和大量独创性专利技术，为客户倾心打造了可供客户自由选择的、性能好、功能全、使用简便、运行稳定的全系列AngellPRO防火墙。

AngellPRO防火墙是安智科技推出的一款企业级信息安全产品， 与同类产品相比， 不论在

技术的先进性还是各项通用技术指标方面均有较大程度的提高。

AngellPRO 防火墙是一款功能强大、 性能卓越的网络安全设备。 AngellPRO 防火墙基于高

速稳定的硬件平台，并采用经过安全加固的专用操作系统，具备极高的安全性和可靠性。

AngellPRO 防火墙除提供了强大的多级过滤功能外，还具备时间段控制访问、应用代理、

地址转换、MAC 地址绑定、入侵检测、完整的日志审计等功能。另外，用户可选择真正的透

明接入方式可以在不更改现有网络配置的情况下安装或卸载防火墙，并可使防火墙免遭黑客

攻击。

网络络安全是一个动态的过程，需要统一、动态的安全策略，更需要一个联动高效的安全解决方案。

安智科技在“集成联动”的技术理念基础上，提供包括AngellPRO系列防火墙在内的全套安全解决方案，为用户提供从边界到桌面，从局域网到广域网的高安全性保证，满足用户最挑剔和最严格的安全需求。

AngellPRO系列防火墙采用安智科技专有的安全操作系统，结合大量安全专有技术，提供了优秀的安全性和易用性。

安智防火墙的特点

系统状态，一目了然

AngellPRO防火墙提供了对防火墙系统状况指标的实时监控，帮助管理员随时监控防火墙的运行情况，预防突发事件的发生。同时AngellPRO防火墙提供了集中管理多台防火墙的功能，管理员可以从一个管理界面上完全掌握组织内所有防火墙的运行状况。

AngellPRO防火墙实时系统性能状态

AngellPRO防火墙实时接口速率状态

多态支持，随机应变

AngellPRO防火墙可以在同一台防火墙上实现网桥模式、透明代理模式、路由模式、NAT模式和混合模式等多种模式，轻松适应各种复杂网络结构的不同需求。同时AngellPRO防火墙摆脱了传统防火墙3个区域的限制，客户可以自由定义某个端口所处的区域，这样防火墙不仅可以用于内外网之间的保护，也可用于不同子网/部门之间的信息保护，更加适合于客户的需求。

高效运行，畅通无阻

AngellPRO防火墙高效的过滤算法，使得硬件性能发挥至极致，充分保证防火墙不会成为网络通讯的瓶颈。模块化的设计更解决了其他防火墙因为功能增多导致的性能降低的矛盾。

内置IDS，攘外安内

防火墙产品作为网络信息安全系统的一个组成部分，首先它自身必须是“安全”的，才能最大程度地抵御外来入侵。AngellPRO防火墙采用自主知识产权的产品内核，对外只向确定的管理控制台开放；特有的IDS算法，极大提高了防火墙自身的抗攻击能力，为用户提供了一个可信赖的安全平台。

条条大道，自由选择

AngellPRO防火墙提供了多种不同的管理界面和方法，既可以适应对网络一无所知的用户，也可以适应对技术的超级追求者。客户可以根据自己的需要任意选择。

集中管理，远程维护

AngellPRO防火墙支持集中式安全管理系统，以统一的策略和集成的平台对受控网络进行安全配置和管理。安全管理员通过集中管理系统可以对网络中的AngellPRO防火墙完成统一的配置、管理和系统监视，既提高了网络安全规则的一致性，增进网络的安全性，也有效地降低了管理的成本和难度。

准确定位，轻松追查

AngellPRO防火墙内置了多种帮助网络管理员分析和查找事件故障源的工具，可以帮助管理员轻松地锁定问题的来源，及时解决问题。

清静世界，拒绝垃圾

AngellPRO防火墙提供了基于内容的过滤功能，可以实现对网页内容、邮件内容、垃圾邮件等的有效智能过滤；灵活的关键字权重算法，既有效地过滤了非法的内容，又保证了合法信息的顺畅传输。

火眼金睛，真假自辨

AngellPRO防火墙提供了多种认证用户和控制用户随意使用内网资源的方式，例如IP和MAC的绑定，可以帮助限制用户的非法行为，使得管理员能够更加迅速地判断问题的所在。

尊重客户，人性设计

AngellPRO防火墙提供了很多人性化的设计，包括：多种网管工具、人性化的界面、和安智科技服务部门的直接联络渠道等，这些设计充分体现了安智科技对客户的重视和关怀。

保护投资，量身订制

AngellPRO防火墙提供了强大完善的功能、优秀的性能、高的稳定性和可靠性，及可灵活扩展的VPN 、SynProxy、双机热备、认证、计费等功能，客户可以根据实际网络情况和需求进行搭配选择。这样既保证了客户的网络安全，又避免了客户的无效投资，体现了优秀的性价比。

设计特点

先进的技术

AngellPRO防火墙采取了大量专有的技术，可以在防火墙内核实现对各种不同层次的访问控制。相比传统的包过滤和应用代理防火墙，AngellPRO防火墙不但提供了更加丰富的安全保证功能，同时更有效保证了防火墙的性能，而且保证了不对客户原有的网络环境做改动、更加方便实用。

最新的设计思想

系统采用面向对象的设计思想，可以对不同对象的组成资源，如地址、服务、URL、关键字、文件、邮件地址等直接进行控制，极大的提高了安全性，并保证了配置和配置更改的方便性。

独特的防火墙策略体系

AngellPRO防火墙摆脱了传统防火墙三个区域（信任区、非信任区和DMZ区）的限制，从核心上对防火墙的网络结构给予了重新规划，采用了多区域模式和更加自由的用户定义方式，使得用户可以根据自己的实际需求来自由定义端口的属性和不同端口间的访问策略。

状态检测的包过滤机制和灵活的访问控制机制

状态检测包过滤可以根据历史的连接信息，生成状态表，并据此对后续数据包进行动态的访问控制。这种方式的好处在于不需要对每个数据包进行规则检查，从而使性能得到了较大提高。同时由于状态表是动态的，因而可以有选择地、动态地开通1024号以上的端口，使得安全性得到进一步的提高。

AngellPRO防火墙采用了一个检测模块(一个在网关上执行网络安全策略的软件引擎)。检测模块在不影响网络正常工作的前提下，采用抽取相关数据的方法对网络通信的各层实施监测，抽取部分数据(状态信息)并动态地保存起来，作为以后制定安全决策的参考。检测模块支持多种协议和应用程序，并可以很容易地实现应用和服务的扩充，可以快速实现基于源/目的IP地址、源MAC地址、服务/端口、用户、时间、组（网络，服务，用户，时间）的精细粒度的访问控制。

广泛的网络及应用环境支持

支持众多网络通信协议和应用协议，如DHCP 、VLAN 、802.1Q、 IPSec 、PPTP 、PPPoE协议等，使AngellPRO防火墙适用网络的范围更加广泛，保证用户的各种网络应用。

多种工作模式应用

1. 提供路由功能，支持端口路由和策略路由。

2. 提供包过滤网桥功能，在不改变用户网络拓扑的情况下，为用户提供最大的安全性，同时防火墙网口具有自动学习MAC 地址的功能。

3. 提供丰富全面的透明应用代理，覆盖大多数用户常用应用程序，包括HTTP、SMTP、POP3代理等。同时，多线程的代理提供较高性能的连接速度。

4. 支持多种方式的网络地址转换，包括正向NAT、反向NAT和静态地址绑定等多种模式。

5. 提供以上多种模式之间的混合运行。

网络地址转换功能

AngellPRO防火墙拥有强大的地址转换能力，同时支持正向地址转换、反向地址转换和静态地址映射，并支持一对一、多对一、多对多的动态地址转换功能，能为用户提供完整的地址转换解决方案。

正向地址转换用于使用保留IP 地址的内部网用户通过防火墙访问公众网中的地址时对源地址进行转换。对公众网来说，访问全部是来自于防火墙转换后的地址，并不认为是来自内部网的某个地址，能够有效的隐藏内部网络的拓扑结构等信息。同时内部网用户共享使用这些转换地址，自身使用保留IP 地址就可以正常访问公众网，有效的解决了全局IP 地址不足的问题。

内部网用户对公众网提供访问服务（如Web 、FTP 服务等）的服务器如果是保留IP 地址，或者想隐藏服务器的真实IP地址，都可以使用AngellPRO防火墙的反向地址转换来对目的地址进行转换。公众网访问防火墙的反向转换地址，由内部网使用保留IP 地址的服务器提供服务，同样既可以解决全局IP 地址不足的问题，又能有效的隐藏内部服务器信息，对服务器进行保护。

静态地址映射提供实现内部网络和外部网络的单个地址对单个地址或地址段对地址段的一对一地址映射，可以实现数据的双向流动。

透明的应用代理

AngellPRO防火墙提供对常用高层应用服务（HTTP 、SMTP 、POP3）的透明代理。用户不需要在自己的主机上作任何的有关代理服务器的设置，只需管理员在防火墙上配置相关的规则，用户通过防火墙进行的上述应用访问就会由防火墙进行代理。这些配置对终端用户来说完全是透明的，极大的方便了用户使用代理。同时AngellPRO防火墙还可以对具体服务或协议做更详细控制，如HTTP 对命令（GET 、POST 、PUT等）和URL过滤，关键字过滤、收/发信人进行控制等，这使得用户使用代理访问Internet 更为安全。

支持策略路由

策略路由可以根据客户指定的条件将不同来源的数据包发送到不同的路由接口，这样可以更加灵活地适应客户多Internet 出口的需求。比如对于某些教育系统的网络可能同时有两条互联网出口，一条是通过教育网的线路连接到Internet ，另外一条就是申请电信的线路直接连接到互联网。对于这种环境为了更好的利用带宽，让网络中的部分终端走教育网的出口，另外一部分终端走电信线路，这样可以很好的利用现有的带宽资源。

多端口的自适应

AngellPRO防火墙摆脱了传统防火墙对端口的限制。防火墙的端口不再局限于内网、DMZ和外网之分，而是可以任意指定、任意组合。这使得防火墙可以自由适应客户的网络情况，无拘无束。

智能的内容过滤

支持下列网络内容安全控制手段，包括：

HTTP/邮件关键字过滤

HTTP/邮件文件名过滤

URL过滤

16种媒体文件格式过滤

多达78种的文件类型过滤

发件人/收件人邮箱过滤

邮件附件文件类型过滤

http命令过滤（get、put、post）

Java scripts/Active-X 过滤封堵

Java小程序控制

Cookie过滤

防止非法用户接入

安智防火墙支持ARP监控和防非法接入，没有经过管理员允许接入的非法机器接入用户网路时，非法机器将不能够跨越防火墙和访问网络中的任何一台其他机器。

用户部署防非法接入时，安智防火墙可以部署成网关也可以作为一台普通主机一样接入到交换机，这两种方式部署均方便实现。

用户部署该功能简单方便，同时管理员监控接入机器也很方便易用，管理员切换一台机器的合法身份也非常简单。

强大的抗攻击能力，内置入侵检测IDS系统

提供强大的攻击入侵探测功能。能检测attack-responses、backdoor、chat、ddos、dns、dos、exploit、finger、ftp、icmp、misc、multimedia、netbios、oracle、p2p、policy、pop3、rpc、rservices、scan、shellcode、smtp、snmp、sql、telnet、tftp、virus、web-attacks、web-cgi、web-client、web-coldfusion、web-frontpage、web-iis、web-misc、web-php等上千种攻击。

提供基于状态的ICMP、UDP和TCP的FLOOD攻击检测。管理员可以设定各种数据包的速度阈值，超过阈值的连接将被认为是非法连接，这样就有效防止了黑客使用这些手段对主机造成的DDoS攻击。

防端口扫描。端口扫描是黑客经常利用的一种前期探测手段，用来发现目标主机的操作系统、提供的服务等内容，以便为下一步攻击作准备；AngellPRO防火墙采用特殊的加权算法，使得管理员可以识别复杂的端口扫描过程和正常的访问过程，这样既有效地解决了对攻击行为的及早预防，又能够保证正常流量的通行。

提供对空扫描、Nmap扫描、XMAS扫描和Nmap指纹扫描等扫描攻击的防范，将黑客的攻击扼杀在摇篮之中。以上这些扫描是一些特殊的扫描办法，用以发现客户的主机系统和漏洞；AngellPRO防火墙可以有效地防止这些扫描的发生。

SYN PROXY 对抗SYN FLOODING 攻击

AngellPRO防火墙不仅能够支持快速准确的数据包过滤，它还能够通过SYN PROXY代理来对抗SYN 的DoS 攻击。众所周知，SYN Floods攻击是一种通过不断发起到服务器的无效连接来耗费服务器的资源，达到服务器不能正常工作目的的一种DoS攻击方式。根据统计，该攻击是黑客最为经常使用的一种危害性极高的攻击方法。例如，在2000年黑客就是使用了SYN Floods攻击了互联网上Yahoo，亚玛逊等著名的网站，造成几千万美元的损失。

在TCP的连接的建立都必须经过“三次握手”的过程，连接的发起者向对方发送一个TCP的数据包，这个数据包包含一个初始的序列号，并把TCP的SYN标志位置位；接受者收到这个数据包之后，应该回应一个TCP数据包，并在其中包含了接受者自己的初始序列号，并把SYN、ACK这两个标志位同时置位，表明收到了SYN的请求并同时向发送者请求TCP连接。连接的发送者为了完成这个连接，必须对接受者的SYN包进行应答，即返回一个ACK置位的TCP数据包。在绝大多数操作系统TCP协议的实现代码中，连接的发送者在丢弃“半连接”的时候都必须等待60秒钟以便收到对方的ACK数据包。因此，如果攻击者向服务器发送大量的SYN请求包，但是并不对服务器的SYN－ACK数据包进行应答，那么服务器在丢弃这个半连接之前都需要等待60秒钟，这时候攻击者就可以以更快的速度向服务器发送SYN数据包，这样服务器将很快达到TCP连接的上限，因而无法对合法的TCP请求进行响应。这就是SYN的DoS攻击。

在AngellPRO防火墙的SYN Proxy机制中，当一个TCP请求包到达目标服务器之前，防火墙代表服务器向请求方进行应答。而只有当三次握手完成后，防火墙才会在和服务器建立第二个连接，并为两个连接建立一个通道。在SYN Floods攻击发生时，防火墙应答攻击者的SYN包。由于三次握手的ACK包始终没有到达，防火墙终止掉这些半连接，而目标服务器没有收到这些SYN包，所以受到了保护。如果是一个正常的连接，在防火墙收到三次握手的ACK包后，防火墙代表请求方向服务器发起一个新的连接。在新的连接建立起来后，防火墙通过序列号转换将两个连接合并成一个。SYN Proxy要处理大量的半连接信息，处理方法有两个：有状态的和无状态的。有状态的方法是指防火墙采用高效的数据结构来记录半连接状态。常见的高效数据结构有AVL树、哈希表等。我们采用了哈希表，它的平均计算复杂度是O(N/M)；而无状态的方法是采用SYN Cookie，使用密码学的方法而不是存储器来记录半连接。只要半连接的个数超过了防火墙的管理员设置的允许的个数，SYN Proxy就会启动并高效地保护内部服务器。根据我们的测试，在AngellPRO防火墙的保护之下，内部的WWW服务器可以轻松地抵抗每秒钟70000个SYN的DoS攻击。

防火墙的SYN Proxy代理功能可以代理服务器完成TCP连接建立过程中的握手阶段，进而有效避免了非法用户使用SYN Floods攻击来发起向服务器的无效连接，成功解决了很多防火墙都无法解决的问题。

支持透明接入

将AngellPRO防火墙配置为透明工作模式，无需更改用户网络的拓扑结构就能接入用户网络中，用户网络中的主机也无需更改任何网络配置。透明接入极大的方便了防火墙的接入，同时并不降低网络的安全性。AngellPRO防火墙也能工作在透明模式和其他模式的混合模式下，更能适应各种不同网络环境的接入。

多层过滤功能

为保证系统的安全性和提高防护能力，增强控制的灵活性，AngellPRO防火墙采用了多层过滤措施。以基于OS内核的会话检测技术为核心，在IP 层提供基于状态检测的分组过滤，可以根据网络地址、网络协议以及TCP 、UDP 端口进行过滤；在应用层通过重写通讯会话的部分或者全部提供对高层应用协议命令、访问路径、内容、访问的文件资源的过滤；同时还直接支持第三方认证服务器提供用户级的鉴别和过滤控制。AngellPRO防火墙的多层过滤形成了立体、全面的访问控制机制。

VPN功能特性

AngellPRO防火墙内建了VPN功能模块，能够与其它VPN网关、Windows 客户端、其他启用了VPN 功能的AngellPRO防火墙互通，建立加密隧道进行加密通信，形成虚拟专用网，在异地局域网间通过互联网提供安全可靠的网络使用环境。

用户访问控制

支持普通用户的加密认证，只有经过认证的用户才能通过防火墙进行对外的访问。认证的方式包括防火墙本地认证、Radius认证、一次性口令认证和证书认证。

提供IP和MAC绑定功能，这使得普通用户不能随便地修改自己的IP地址，极大减少了管理员的管理工作量，提高了追查问题的准确度和速度。

提供DHCP功能，可以减少管理员维护内网结构的工作强度，为客户提供更加自由的感觉。同时防火墙也支持IP的固定分配；防火墙可以根据MAC地址或者将特定的IP和MAC绑定来实现访问控制。

提供带宽策略与防火墙有效地结合在一起，为用户保证网络安全的同时，也防止了某些用户或通讯大量占用带宽，避免造成网络阻塞甚至瘫痪。带宽策略的应用是针对某条访问策略进行，这样就保证了管理员可以针对不同的源/目标地址、端口、时间、协议等进行访问带宽的限制。

在线用户的查看，可以帮助管理员查看和禁止在线的用户。

防火墙提供防非法接入功能，防止未授权的网络用户使用计算机上网或访问内部网络资源

流量镜像

AngellPRO防火墙支持流量镜像功能，使用流量镜像功能防火墙用户可以将经过防火墙某些特定的流量镜像到防火墙的接口或者使用某一个IP的主机上，便于防火墙用户使用IDS或Sniffer等数据流量监控设备进行数据分析。

镜像接口：将特定的流量镜像到防火墙的接口上

镜像网关：将特定的流量镜像到某一台拥有IP地址的设备上

动态域名支持

AngellPRO防火墙支持动态域名功能。越来越多的网络用户使用非固定IP地址的网络接入方式实现上网（如ADSL等），这对防火墙的管理以及用户搭建网络服务器构成了一定的影响，使用动态域名功能，网络用户只需要在互联网上申请一个动态域名，用户便可以使用动态域名实现对防火墙的管理以及服务器的访问。

安智防火墙支持三种动态域名系统，分别是花生壳、希网和本公司自主研发的域名系统。

花生壳：由上海贝锐信息科技有限公司提供的一套动态域名系统。

希网：由希网网络公司提供的一套动态域名系统

安智DDNS：由西安安智科技有限公司自主研发的一套专门针对于AngellPRO防火墙的动态域名系统

服务隐藏

AngellPRO防火墙支持服务隐藏功能。使用服务隐藏功能AngellPRO防火墙可以将某些重要的服务器在网络上隐藏起来，一般情况下，互联网的用户不能访问到该服务器所提供的服务，只有当某特定的用户运行本公司提供的一套客户端系统并且执行某一特定的端口序列后，该用户才能访问到服务器上提供的服务。这项功能适用于对保密性要求比较高的防火墙用户使用。

完善的系统管理功能

支持面向对象的管理

面向对象的管理，使得管理员对访问策略的制定和企业资源的分类可以分别独立进行，保证了当企业网络或内部资源发生变化时，不需要对防火墙的配置做太多的变化，就可以轻松适应，避免了管理员的重复操作。

多种管理途径

提供即插即用的功能，特别适用于缺乏专有管理员的小型组织，不需要做任何的配置。

提供配置向导，特别适合于对安全不熟悉的网络管理员，只需跟随向导的提示，即可轻松实现较高的安全要求。

提供纯中文的图形化防火墙管理界面，特别适合于喜欢windows界面的安全管理员，可以实现所有的防火墙管理功能；同时提供防火墙配置的在线备份和恢复以及防火墙软件的在线升级功能。

提供命令行管理界面，特别适合于喜欢UNIX、LINUX以及CISCO字符界面配置的管理员，上千条的管理命令，足以帮助管理员适应非常复杂的网络结构，保证系统的绝对安全。

液晶显示（LCD）配置界面（高端设备提供），可以帮助管理员直接通过液晶面板察看防火墙的运行状态。

提供远程管理SSH和Telnet管理防火墙功能，可以帮助管理员对防火墙进行远程维护，避免人力的浪费。

提供集中管理功能，特别适合于具有多台防火墙的组织，可以集中控制组织的安全状况，同时减少对管理员数量和质量的要求。充分实现了分布部署、集中管理。

多级管理用户

防火墙管理系统中有超级管理员，系统配置员，系统操作员；日志管理系统中有日志管理员、日志查看员两个级别；不同管理级别的划分可以帮助组织有效地实行分级的管理和制约。

提供SNMP管理功能

这保证了防火墙可以与当前通用的网络管理平台兼容，如HP Openview 、Cisco works 等，方便管理和维护。可以通过这些管理平台对防火墙的运行状况进行监控，并接收通过SNMP Trap 发送的报警信息，帮助网络管理员找出并纠正TCP/IP 互联网中的故障。为了避免由于SNMP 本身的安全性上的缺陷而导致防火墙本身的安全性受到威胁，系统仅允许网管系统查询信息，而不允许改变防火墙的配置。

提供在线设备监控

可实时监控防火墙的性能信息和连接信息，可在线断开非法连接

支持远程集中管理

可通过安全的认证及管理信息的加密传输实现全局防火墙设备的集中管理。实现统一的安全策略布署，保证整个系统的安全策略的一致性，提高整个系统的安全强度。

AngellPRO防火墙的主要配置和管理都是基于GUI方式的，管理主机只需安装专门的管理软件，就可以在不同主机、不同地域对防火墙进行配置和管理。

配置文件备份与恢复

AngellPRO防火墙提供简单方便的配置文件管理，管理员可进行配置文件的备份和恢复。用户可以随时手工备份防火墙的配置文件，可以将备份结果下载到本地管理主机中保存，也可以将备份上载回防火墙进行恢复还原。

日志审计功能

一个安全防护体系中，审计系统的作用是记录安全系统发生的事件、状态的改变历史、通过该节点的符合安全策略的访问和不符合安全策略的企图，使管理员可以随时审核系统的安全效果、追踪危险事件、调整安全策略。进行信息审计的前提是必须有足够的多的日志信息。

AngellPRO防火墙提供了非常强大的日志功能，总计包括五种日志内容：连接日志、攻击日志、代理日志、认证日志和配置日志，并且可以对日志的备份、维护、恢复等都提供了自动化的工具完成。

AngellPRO防火墙日志管理系统界面

基于防火墙日志信息，系统又提供了防火墙日志的审计和报表功能。几十种标准报表完全适应大多数组织的需求；饼形图和详细的日志纪录，可以有效地帮助组织分析相关的安全事件，明察秋毫。

AngellPRO防火墙日志系统统计界面

AngellPRO防火墙支持日志的防火墙本地存储、远端日志服务器存储、备份存储等存储方式。

除此以外，AngellPRO防火墙还提供了不同的日志内容、不同事件级别采取不同报警方式的功能。系统提供的告警方式包括：

声音报警

邮件通知

windows消息

用户终端

系统缓冲区

高可用性

双机热备

支持两台防火墙之间的双机备份有效地保证了可靠性。

在同一个网络节点使用两个配置相同的防火墙。正常情况下一个处于工作状态，为主防火墙，另一个处于备份状态，为从防火墙。当主防火墙发生意外宕机、网络故障、硬件故障等情况时，主从防火墙自动切换工作状态，从防火墙代替主防火墙正常工作，从而保证了网络的正常使用。切换过程不需要人为操作和其他系统的参与，切换时间可以用秒计算。同时AngellPRO防火墙还保证了当一台防火墙故障时，这台防火墙上的连接不需要重新建立就可以透明地迁移到另一台防火墙上，用户不会觉察到。

端口冗余

AngellPRO防火墙端口冗余技术，进行端口冗余时，构成逻辑组的防火墙物理端口同时工作，在保证了系统安全性的同时提高了网络可用带宽。当逻辑组中的防火墙物理端口出现故障或者网络链路中断时，端口冗余功能自动启用，保证了用户网络无间断运行，实现了用户网络系统的高可用性。

易用性设计

提供多种网管工具，帮助管理员有效追查指定事件的来向，甚至包括对方的联系方式，进而彻底查出问题的源头。

提供了直接和安智科技的售后服务部门联系的方式，帮助管理员在遇到问题的时候可以直接求助于原厂商，获得更多的技术帮助。

随机提供防火墙配置教材光盘一张，管理员可以通过光盘一步一步地学习防火墙的相关知识。

人性化配置管理界面设计使得防火墙在保证安全、严谨的同时，不失活泼和轻松的感觉，充分体现了安智科技“自由生活从安全开始”的理念。

多链路负载均衡和路由备份

AngellPro防火墙支持多个出口的负载均衡，也即在一个防火墙中连接多个网络出口链路，防火墙在这多个出口之间自动进行流量的分配，达到链路负载均衡的效果。

同时AngellPro防火墙也可以支持备份路由，即支持多个同样的路由设置，一旦主要路由失效或者检测到该路由不可达后，防火墙会自动走备份路由。

这个功能对有多个出口的单位或者拥有线路备份的用户相当有效，用户可以做到出口流量的负载均衡或者链路的备份，增加系统的可靠性和安全性，但不增加系统的成本和其他费用。防火墙在线仿真（特别适合网络安全实验室和培训）　安智防火墙支持多用户在线仿真，管理员可以根据实验需要产生多个仿真用户，多个仿真用户可以同时以GUI、WEB、SSH、TELNET和console等方式登录到防火墙进行全面配置，每个用户使用的均是自己的防火墙，全面仿真真实环境，这对于网络安全实验室环境和培训环境特别好，支持多人同时操作，互不干扰。