《SonicWALL技术支持.docx》由会员分享,可在线阅读,更多相关《SonicWALL技术支持.docx(6页珍藏版)》请在三一办公上搜索。
1、SonicWALL技术支持Q: SonicWALL 如何做到安全无虑? A: SonicWALL 使用一种全状态检测的技术, 来决定资料是否可以通过防火墙到内部网络,同时 SonicWALL 也支持网络地址转换 可将多个内部私有网络的IP 地址 通过一正式的 Internet IP 传送到 Internet。如此更增加了安全性。因为内部 IP 不会传到 Internet。SonicWALL 也预设自动侦测并阻挡 Denial of Service (DoS) 攻击,例如: Ping of Death, SYN Flood, LAND Attack, IP Spoofing, 等等。 Q: 什么
2、叫全状态检测 (Stateful packet inspection)? A: SonicWALL 的安全决策是根据 Internet sessions 的源头。只有属于安全的内部网络使用者开启的Session, SonicWALL才允许其资料由 Internet 进来, 任何由 Internet 外面主动发起的通讯要求一律阻拦。采用全状态检测的防火墙管理容易,对于 包过滤或代理防火墙等技术资源不足的组织,非常适用。 Q. 为什么 SonicWALL 不使用包过滤做为防火墙的机制 ? A: 传统的 包过滤 要同时做到有效而且安全是相当不容易的, 包过滤很容易被 IP spoofing 给骗过,
3、 firewall 会把外界的伪造 IP 包当成内部 IP 包, 而被轻易闯入。有些通讯协议, 如 DNS, FTP 会无法通过包过滤,,造成防火墙必须要让步, 开放一些漏洞.。SonicWALL 使用全状态检测来决定那些包可以透过防火墙进入内部网络, 为了要响应内部网络使用者所开启Session 的所有资料,SonicWALL默认允许这些资料由 Internet 进来, 其它传输的资料一律阻隔。 Q. 为什么 SonicWALL 不使用代理( Proxy )做为防火墙的机制? A: 应用层代理服务器, 以检查应用层来保护网络, 不幸的是这种上层检验需要极大的处理能力。因此经常造成无法接受的效
4、率问题。除此之外, 每一种应用模式, 如HTTP, FTP, SMTP 或 POP3 都需要安装, 并设定一种不同的代理程序, 若有新的应用, 可能无法支持。此外, 每一个使用 者的网络都须重新设定, 而且因为应用代理程序仅追踪应用状态, 而非包或连结状态, 可能造成安全上的漏洞。 Q. 什么是服务拒绝攻击(DoS, Denial of Service attack), SonicWALL 是如何防范, 保护网络? A: 此种攻击的目的不是要窃取信息,而是要使某个设备或网络无法正常运作,如此使用者将 无法存取网络资源, 例如: TearDrop, 一种Internet 上常用的 DoS 骇客工
5、具能让Internet 远程未受保护的Windows 计算机菪机。大多数的 Internet 攻击均是利用主机作业 系统的 TCP 堆栈(stack)的弱点。 SonicWALL 可以防范以下的DoS 攻击: SYN Flooding Ping of Death LAND attacks Smurf attacks IP Spoofing TearDrop Bonk/Boink/Nestea 通常, 防火墙本身最易受 DoS 攻击, 像 Windows 或 UNIX based 的管理者必须 经常注意补丁程序的发表,用来防止本身和网络免受新的 DoS 的攻击. 相较下对于针对 OS 缺点来攻击
6、的 DoS 对 SonicWALL 就起不了作用了, 这也就是为何 SonicWALL 不受 LAND 和 TearDrop 类型的攻击。 Q: 什么是DMZ 我为何需要它 ? A: SonicWALL XPRS2/PRO/PRO-VX 包含了第三个 Ethernet 端口, 称为 DMZ 端口 (De-Militarized Zone). 将所有的 Internet Servers 如 Web , FTP , 放在 DMZ 端口, 如此一来, 内部 网络和 Internet 的使用者都可存取, 同时也免于受到 DoS 的攻击。 Q: SonicWALL 有多安全? A: 经过一系列严格的攻击
7、及入侵测试,SonicWALL 已荣获国际级防火墙认证机构 ICSA(International Computer Security Association) 测试通过, 管理者可以信赖 SonicWALL在这个国际权威的中立安全机构完成的测试和认可,在送交ICSA测试之前, SonicWALL的工程师执行一连串的测试以确定SonicWALL必可荣获ICSA认证通过,测试结果显示无任何安全漏洞,测试结果请参考 Q: 内容过滤名单是从那里来的? A: SonicWALL 使用由 Microsystems, Inc.授权的 CyberNOT过滤清单, 这个过滤清单是由 Microsystem 的C
8、yberNOT Oversight 委员会所管理维护的, 委员会的成员来自广泛的社会,政治及公民组织,包括全国有色人种促进协会(NAACP),男女同性恋反伤害联盟(GLAAD),卫道媒体,女权团体,教师联盟,专利商标局(PTO),以及一位教育督察,一位社会工作者,一位心理学家,和一位部长。 Q: 在内容过滤名单中有多少网站是被禁止的? A: 目前在 CyberNOT 清单中包含超过 65,000 笔记录, 每周大约有 500 笔新增或更改。 每笔记录可能阻隔多个网站。例如, 阻挡 alt.sex 新闻讨论区,就阻挡数百个新闻讨论区。 Q: 那些类型的网站是被禁止的? A: 内容过滤清单分成以下
9、几大类:暴力/亵渎(Violence/Profanity),半裸(Partial Nudity),全裸(Full Nudity),性行为(Sexual Acts), 粗俗描述(Gross Depictions),恶魔/膜拜(Satanic/Cult),禁药(Drug Culture),激进/极端主义者(Militant/Extremist), 性教育(Sex Education),可疑/非法赌博(Questionable/Illegal Gambling),酒类及烟草(Alcohol & Tobacco)。 Q: 不同内部使用者可否有不同存取限制? A: SonicWALL 允许设定部份使用者
10、不受内容过滤清单限制。例如, 学校中, 管理者可以设定教师不受 限制, 可以到任何网站, 其它人则不行。 Q: 当内容过滤名单的订阅过期了怎么办? A: 过滤器仍可自最后更新日期继续使用 30 天, 超过30天后, 所有过滤列表功能将停止, 但是以关键词, 或自定义的过滤功能仍可使用。 Q: 最多使用者数目为多少? A: SonicWALL SOHO2/10 支持网络上10 用户; SonicWALL SOHO2/50 最多支持 50 个用户; SonicWALL XPRS2/PRO/PRO-VX 没有结点限制。对 SonicWALL 而言, 真正的限制是在于 Internet 连结的带宽,
11、和同时多少人在使用 Internet。 Q. SonicWALL 要安装在网络的什么位置 ? A: 一般的环境下, SonicWALL 安装在 Internet router 和局域网络间。这种放置方式保障 SonicWALL 可以分析所有进出 Internet的资料。不需要更改现有 Internet router 的设定. SonicWALL 也可以放在 Intranet 网络部门之间, 作为部门间的安全防护。 Q. 当安装 SonicWall 后, 网络上结点的 IP 组态需要更改吗? A: SonicWALL 对使用者而言是透明的, 不需要做重新设定。 Q: SonicWALL 可以搭配
12、 Cable 和 xDSL Modem吗? A: 是的。SonicWALL 可以直接与 Cable 或 xDSL Modem 的 一台相连接。 此外 SonicWALL 可作为 DHCP 的 Client , 而这是大部分 Cable 和 xDSL Modem 所要求的。 Q: SonicWALL 可以设定让在远程的员工存取内部网络的数据库吗? 如果可以, 如何做? A: 使用者可以存取内部网络的资源, 只要他们从 Internet 先登录到 SonicWALL。登录需要用户名和密码, 透过浏览器传送到 SonicWALL , 透过 MD5-based 加密机制。一旦登录成功。远程的使用者就能
13、够以一般方式使用内部 IP 资源. 一旦超过预设终止时间 没动作, 这个连结将会被终止。 Q: 我的 Router 已内含有防火墙功能了, 我还需要买 SonicWALL 吗? A: 许多 router 在激活防火墙或封包过滤功能, 都遇到效能不佳的问题, Route-based 的 防火墙大都非常难以维护及设定, 而且成本也较 SonicWALL 高出很多。而且大部分的 route-based 的防火墙都没有对 公用存取服务器提供 DMZ 端口给与额外的保护。 Q: 为何 SonicWALL 比其它防火墙产品成本低? A: SonicWALL 是建构在一专有的架构上, 使用一内含的实时操作系
14、统,不须要其它产品所需要的惊人的内存或处理能力, 也因此, SonicWALL 可以在较低的花费下提供更强固的网络安全性。 Q: SonicWALL 是一种router吗? A: 在广义的定义下, SonicWALL 是一种 Ethernet router. 然而, 因为它有太多额外的功能 使它不仅是一简单的 router。 Q. SonicWALL 支持 IPX 或 AppleTalk 吗? A: 不。 SonicWALL 被设计用来保护 IP 网络不受 Internet 上不正常的攻击 , 仅使用 IP 作为 它的协议。 Q: SonicWALL 支持 100Mb Ethernet? A:支持。全部产品支持10/100自适应网络。 Q: SonicWALL 支持 VPN? A: SonicWALL 已加入 Point to Point Tunneling Protocol (PPTP) 的支持, 及有支持 IPSec VPN 的 SonicWALL 升级版本, SonicWALL PRO/PRO-VX 内含 IPSec VPN 功能。
