高陽信安DS2000-Biz防火牆解決方案

　　企業建網站，最痛苦的是莫過於有限的經費和無限的效能要求。網站設計者對硬體得投入總是慎之有慎:小型機太貴了，不如用PC做負載平衡;對外提供的服務多，還是多買幾台PC，每兩台提供一種服務，整體效能和可靠性都有保證;安全不能不考慮，防火牆至少要有一台。北京某企業門戶網站正是按照這個想法開始建設，決定提供WEB、FTP下載、線上點播等服務，並預定了開通日期。

　　網站系統聯調階段，猛然發現，當初考慮欠妥，只有一個公網的IP地址能用，要提供的服務卻有一大堆。而且，大部分防火牆所宣稱的“負載平衡”，並非是網路層的“負載平衡”，而是基於代理，只能支援WEB，不支援其他業務，尤其是網站苦心開發多年，賴以生存的特色服務。若不是意外發現了高陽信安的DS2000-Biz防火牆，當初做設計的小夥子就面臨下崗了。

　　高陽信安的DS2000-Biz防火牆外表上和大多數防火牆沒有多大區別，提供了外網、內網介面，對外提供服務的伺服器都放置在DMZ區。說明書很簡潔，內容卻非常詳細，按照手冊的要求略作配置，防火牆就工作了。

　　簡單的設定了幾條安全規則後，注意力集中在瞭解決網路地址問題上。可是，在DS2000-Biz的設定軟體中，可以發現，問題的解決異乎尋常的簡單。首先將公網的IP地址賦予外網連接埠。然後，設定動態地址轉換，將內網的位址區段映射到公網的IP地址，內網的使用者已經能正常的訪問INTERNET了。將公網的IP地址的80連接埠分配給WWW服務，依次填入2台WWW伺服器在DMZ區的IP地址，找一台膝上型電腦撥接，用瀏覽器訪問一下，正常。在後台可以看到，2台WWW伺服器都工作了，負載基本相同。

　　FTP伺服器的負載平衡設定與此相識，很簡單。同樣測試了一下，工作情況良好。其實，FTP服務的負載平衡很難實現。因為WWW服務是不需連線的，每個請求發向哪一台伺服器沒有影響;但FTP服務不同，防火牆必須　“記住”每一條串連，並“保持”住。DS2000-Biz防火牆在這方面的智能化程度較高，使用者省去許多煩惱。

　　解決了FTP伺服器之後，線上點播服務也順利實現。DS2000-Biz防火牆通過複用唯一的一個公網IP地址，全部實現了公司內部上網和對外提供多種服務的要求，而且，相互之間絲毫沒有衝突，基於網路層的“負載平衡”工作流程暢，一切是如此輕鬆。

　　一切安裝完畢後，安全檢測必不可少。PIN掃描、SYN　攻擊、IP片段攻擊，無論是WIN　NT還是最近流行的LINUX都該倒下了，可是處於DS2000-Biz防火牆保護下的伺服器居然沒有反應。再輪番用ISS、SAINT掃描、類比攻擊，依然沒有發現漏洞。防火牆的狀態監測可以清楚的看到每一次攻擊的行為，使在一旁做類比攻擊的哥們很泄氣。