动态状态包过滤
包过滤是指防火墙通过检查IP报头信息来判断数据包的源地址、目的地址和应用协议。传统的包过滤技术单一地通过检查报头信息来和静态的规则列表匹配，从而判断是允许还是拒绝。而动态状态包过滤技术优于基本的包过滤技术，判断数据通过的规则是依靠数据动态的连接状况来决定的。

动态的判断规则支持比包过滤的静态规则更有保障。具有两种包过滤引擎是 WatchGuard?系统主要特点之一。WatchGuard公司的动态状态包过滤提供一个非常巩固的安全保障，保护内网用户和限制内网用户访问非安全的系统。

VPN 支持

虚拟私有网（Virtual Private Networks)是一种非常切实有效的方法，让你的公司机构在互联网上安全加密的相互通讯。WatchGuard VPN使用3DES (168位)超强加密算法来实现隧道加密，并且通过IPSec 隧道路由可以减少管理多个VPN隧道的复杂性。

WatchGuard 提供移动用户VPN和分之机构VPN支持。

移动用户 VPN

WatchGuard 移动用户VPN为出差员工和远程办公人员提供安全的连接到企业内网。它可以通过使用互联网从而减少昂贵的长途费用。移动用户VPN还可以消除对modem迟和远程接入服务器的维护工作。

支持两种移动用户 VPN类型：PPTP客户端和移动用户VPN客户端

PPTP客户端
PPTP客户端是Firebox?X系列产品的标准配备，它遵循标准的点对点隧道协议（Point-to-Point Tunneling Protocol）。在远程主机和Firebox 产品之间建立一条虚拟的“隧道”，保证通过互联网安全地传输数据。另外，PPTP客户端的使用不需要额外的软件支持，Microsoft? Windows 95/98/2000/XP 以及Windows NT 4.0 workstations 都支持并带有客户端软件。

PPTP 隧道的建立是使用Windows 系统的拨号网络来实现的。远程用户的身份验证协议使用的是MS-CHAP，用户名/密码是由Firebox 产品配置维护的。MS-CHAP是质询握手身份验证协议，它保障客户端的密码安全地在互联网中传输。

一旦隧道建立，在 Firebox产品和远程客户之间传输的所有数据都是通过远程访问服务加密协议（RSA RC4）来加密。Firebox 产品依照配置策略来解密和过滤每个数据包，同时可以对所有远程VPN流量进行日志统计分析。

移动用户 VPN客户端
移动用户VPN客户端是使用IPSec协议通过DES或3DES-CBC来加密进入的数据，并且通过MD5或SHA-1来鉴别数据。网络管理员定制一些安全配置策略并连同移动用户VPN客户端软件一起发布给每一个远程工作人员。一旦客户端软件安装后，所有远程工作人员就可以安全地访问企业的内部网络资源。移动用户VPN客户端软件还包括一套个人软件防火墙，防止一些非授权用户通过远程工作人员的电脑访问企业的内部网络资源。

移动用户 VPN客户端软件可以运行于Windows 98/2000/XP或Windows NT workstation，所有Firebox系列产品支持，包括SOHO。（作为SOHO 产品的选件，最大支持5用户）

分支机构 VPN

WatchGuard的分之机构VPN是Firebox系统的标准配置，保障你的办公室和商业伙伴之间安全地通讯，支持IPSec和互联网密钥交换协议（IKE）两种加密协议。

IPSec
WatchGuard的分之机构VPN使用的目前主流技术，支持IETF (Internet Engineering Task Force)定义的IPSec协议。IPSec分之机构VPN可以在Firebox和其他支持IPSec协议的设备之间建立一条加密的隧道。

IPSec包括两个子协议来解决如何处理数据传输当中的数据完整和机密性。AH（Authentication Header）认证报头协议控制数据的完整性；ESP（Encapsulated Security Payload）安全载荷封装协议则处理包括数据完整性和机密性的问题。

每一个由 IPSec建立的VPN隧道都会被分配给一个特别的安全参数（SPI），用来和其它的VPN隧道区分。SPI是一个随机的32位数字，通过它表示使用了何种加密协议、算法、密钥以及它的期限。

你可以指定每个 VPN隧道通过何种数据流量，通过不同的路由策略来区分。例如，用户可以使用DES来加密从用户销售部门的VPN数据，而使用高安全性的3DES来加密从财务部门传出的VPN数据。

Internet Key Exchange (IKE)
每一个VPN隧道都会被分配一对密钥，通过密钥的频繁交换来保障隧道建立时的安全性。当隧道的数目越来越多时，众多密钥的管理也变成一项繁琐的工作。IKE会自动进行密钥协商过程，决定何时交换密钥，何时转换密钥。WatchGuard支最新的IPSec标准，使用IKE协议进行动态密钥协商。使用IKE增强了建立VPN隧道的安全性。

网络地址转换 (NAT)

动态地址转换 NAT （ Firebox X和SOHO产品均支持）可以通过NAT来隐藏内部的私有网络地址，内部所有访问互联网的数据都共用网关上唯一的公网地址。返回的数据根据临时的端口映射到内部相应的地址。动态地址转换的性能是由产品核心级包过滤引擎或应用代理配置完成的。

隐藏内网地址具有以下的优点：

• 从安全方面考虑，它可以拒绝外部数据直接进入到用户的网络。
• 从网络管理方面考虑，他可以让用户使用保留的私网 IP地址，节省有限的IP地址资源。
• 从维护方面考虑，当用户更换网络服务提供商时（ ISP），不需要修改他们的公网IP地址。

静态地址转换 NAT 允许用户内网中的主机获得公网地址对外服务。静态 NAT将外部公网IP地址映射到内网提供响应服务的主机的端口上。

例如，使用 SMTP端口映射，Firebox 可以让内网中的一台服务器作为对外服务的邮件服务器，Firebox 的外网口地址映射到内网的主机上，只要Firebox 收到TCP端口是25的SMTP数据包，就转发到内部的主机上。

通过对 Firebox 产品外网口地址设置别名，静态NAT允许用户转发相同端口的数据到不同的内部主机上。

One-to-One NAT 是一种全局地址翻译策略，改写和重定向发送到一段地址范围。这种地址翻译可以让用户完全隐蔽自己的网络地址。

One-to-One NAT 为用户提供特殊的地址段来代理真实的网络地址。每一个NAT 策略都包括四个配置信息：

• 接口类型 (External, Trusted, Optional, IPSec).
• NAT地址
• 真实 IP地址
• 需要 NAT转换的主机数目

认证

确切的认证功能可以识别用户身份和定义用户及用户组策略。WatchGuard? Firebox X 产品提供5种认证方式：

• Windows NT 服务器
• RADIUS?-认证服务器（RFC 2138）.
• SecurID 认证
• CRYPTOCard 认证
• WatchGuard 内置认证服务器

认证工作通过浏览器来完成，用户首先查询 Firebox的后台认证程序，然后反馈给用户一个小窗口，用户输入用户名和密码信息来进行认证。所有的信息都是通过加密在事先配置好的认证服务器上验证。用户不需要每次建立连接时都进行认证，用户名和密码不会用明文传输。

当使用动态 IP地址分配时，认证工作是非常重要的。当用户需要使用某些服务时，必须对他们的身份进行验证。WatchGuard Firebox产品提供基于服务的认证，在配置中设定基于某种服务对用户进行身份验证。

WatchGuard还支持其它标准的认证技术，例如SecurID、CRYPTOCard、CRYPTOAdmin和RB-1 Tokens认证。这些提供了安全的网络接入认证。

WatchGuard Firebox系列产品内置的认证服务器可以满足一些小的应用环境。针对用户名、用户组、和密码，在配置中做相应的认证机制。

病毒防御

VirusScan AsaP是目前最快的基于Web环境的企业级防毒软件之一。所有Firebox和Vclass系列产品都包括初始VirusScan ASaP 软件许可。VirusScan ASaP 为用户提供以下功能：

全天候病毒防护
一旦你在McAfee的官方网站上进行注册，即可享受24x7的病毒防护。VirusScan AsaP即会监视你的桌面PC环境，并且不会影响到网络响应时间。其他所有升级、报告和警报的工作都由McAfee管理。

报告管理
基于Web的病毒扫描报告将会显示企业内部一些具体内容，例如共有多少病毒被发现并被清除，以及系统被覆盖的状况和病毒发作的趋势。

优秀的防毒技术
产品是基于McAfee的病毒防御和病毒扫描技术， VirusScan ASaP 一旦发现文件被病毒侵入，会立即通知用户，并且提供两种处理方式，是删除文件还是清除病毒代码。

全面病毒检测和清除 Comprehensive Virus Detection and Cleaning
VirusScan ASaP 能够检测并清除所有可能发生的病毒入侵，包括从软盘资料、数据下载、邮件附件、网络、CD介质和在线服务等都有可能成为病毒传播的途径。VirusScan AsaP将会扫描整个系统来清除病毒、蠕虫和木马程序，限制一些Java/ActiveX控件和恶意代码。变量检测技术会检测一些现有病毒的变种，强大的检测引擎能够检测出一些加密过的病毒。

更新
VirusScan ASaP 会定期更新病毒库，更新工作会每次重启时自动执行，或设定在预定时间里自动更新，另外支持手动更新和强迫更新的方式。

针对邮件和互联网的保护
VirusScan ASaP 是一个实时的病毒扫描器，对邮件的附件进行检测，限制一些Java/ActiveX控件，保障系统的安全性。

警报和响应
McAfee 提供一整套安全警报服务，你将会获得快速的事件响应速度，及时地报告最新的安全和病毒警报，可以根据客户需求来改变警报的级别。

AVERT支持
AVERT（Anti-Virus Emergency Response Team）反病毒紧急响应小组，世界著名的反病毒研究中心，在全球五大洲拥有65名高级研究工程师。

高安全性应用代理

Application Security Proxies
WatchGuard Firebox X系列产品既有使用高安全性的应用代理机制，也包括状态包过滤技术对进入用户网络的数据流进行检测，过滤出有威胁的内容。WatchGuard应用代理技术通过友好的视窗界面提供众多的安全特性和简单的配置管理。

代理技术是一种非常有效控制数据的方法。代理是建立与服务器和客户机之间，检查所有数据包内容，校验数据是否满足策略规则。为了实现这样的功能，代理会检查所有在服务器和客户机之间交流的数据载荷，并且修改和删除违反安全策略的内容。包过滤机制只会检查数据报头信息，而代理机制还会检查数据的内容，阻止恶意代码例如可执行文件， Java applets, ActiveX?控件和其它威胁信息。

代理通过检查数据应用层内容来确定数据对应的协议是否正确。例如，有些攻击手段包括伪造的特征，通过欺骗来完成。另外一种攻击方式是利用大量的数据来淹没用户的网络。代理机制能够完全彻底发现数据当中的不合法信息并且删除它们。

代理机制可以帮助用户更安全、有效的使用网络资源：

• 帮助用户完善他们的网络，避免一些普通的攻击种类。
• 帮助用户对外隐藏内部具体网络信息。
• 通过限制不必要的和不合适的数据进入，帮助用户获得更高的网络使用率。
• 阻止黑客利用用户的网络作为攻击的工具。
• 通过丰富的管理工具为用户提供简便的网络管理。

WatchGuard Firebox 的应用代理能够保护大多数用户的应用。包括有：

• SMTP 代理
• HTTP 代理
• FTP 代理
• DNS 代理

SMTP代理

SMTP代理通过检测所有进出企业网络的邮件来保证网络安全。SMTP代理可以提供以下服务：

• 过滤内容禁止可执行文件类型 通常蠕虫、病毒和木马程序都是通过邮件的附件来进行传播。 SMTP代理可以检测邮件内容，从而发现这些网络威胁并且过滤掉。
• 根据特定的邮件地址类型来允许或禁止邮件 每封邮件都包含有一个地址记录。如果有很多邮件从一个特殊的地址进入你的网络， SMTP代理会阻止所以来自这个地址的数据。大多数情况，代理能够检测黑客何时在使用地址欺骗并且能自动阻止欺骗邮件。
• 邮件报头过滤 报头包含一些传输数据，例如邮件的寄件人、收件人等信息。现在，黑客有很多种方法利用报头信息来攻击邮件服务器。 SMTP代理首先会确认一封邮件的报头是否是匹配正确的协议，拒绝包含畸形报头的邮件。
• 识别伪装的域名和信息 ID 用户发出和收到的邮件都包含有报头数据。报头数据可以泄露用户内网的工作信息，SMTP代理能够隐藏或修改这些信息，避免黑客的扫描入侵。
• 限制收件人的最大数量 针对垃圾邮件建立初步的防御措施，禁止收件人多达百人、千人的邮件。
• 限制邮件附件的大小 防止邮件服务器负载过大，并预防邮件炸弹攻击。
• 允许特定的邮件地址 满足互联网公认标准，禁止所有地址之外可以允许特殊的地址。

HTTP代理

HTTP代理通过监视所有Web流量来保证访问的安全性。目前，绝大多数的Web服务器通过80端口接受数据，HTTP代理会阻止企图通过其它端口进入内网的数据，并且通过对数据内容的过滤来保障Web服务器和客户机的安全。HTTP代理可以提供以下服务：

• 强制 Web数据流符合现有的Web协议标准 很多黑客采用发送畸形数据包的方式，通过伪造 Web页面的代码，或者向浏览器程序发送不可预料的数据来进行攻击。如果Proxy 监测到不符合表针的Web数据流， Proxy将强行终止该连接。
• MIME内容类型过滤 MIME类型是告诉Web浏览器如何表达文件内容，例如，用图片显示图形文件，播放一段.wav的声音文件，用文本格式显示.txt文件等等。许多Web攻击就会隐藏或伪装数据的MIME类型，HTTP代理会及时发现并阻止这样的数据。
• Java和ActiveX控件过滤 程序员通常使用 Java和ActiveX来创建一个运行在浏览器当中的小程序。（举个例子，如果有员工访问了一个成人网站，网站会通过一个ActiveX脚本程序会在员工的浏览器上自动打开一个新的链接）HTTP代理可以设置阻止Java和ActiveX的应用。
• 内容过滤 为了提供工作效率，企业一般不希望员工在工作时间访问一些网站。 HTTP代理会限制员工在工作时间的访问内容，根据网站内容分类，屏蔽掉一些网站。
• 删除未知的报头 HTTP proxy会强行剥离不标准的HTTP报头。Proxy 不是基于特征对攻击进行识别，而是直接去除不符合规则的任何数据流，从而防止采用未知技术发起的攻击。
• 禁止 cookies HTTP代理可以限制cookies的应用，保护用户网络的私密性。
• 限制客户连接信息 HTTP代理可以限制一些用户信息在互联网上显示，例如用户的操作系统版本，浏览器名称和版本，以及最近访问网站的记录等等。

FTP代理

通常，有很多企业需要通过互联网传输一些数据。当传输的数据很小时，可以通过邮件的方式来完成，而遇到大的文件则经常使用FTP来传输。FTP代理是控制管理通过FTP传输的数据流。这样，用户的FTP服务器就常会受到威胁攻击，包括会被企图上传一些授权的文件用来攻击其它FTP服务器，或者是内部用户企图穿过防火墙向外部泄露一些机密的文件。FTP代理可以限制一些FTP命令，也可以将某些文件数据设置为“只读”，避免重要文件被修改。用户还可以定义超时设置，快速断开空闲和挂起的连接。

DNS代理

DNS域名系统（Domain Name System），就是可以让你通过在浏览器中输入www.watchguard.com 就可以访问到我们网站。DNS会将主机之间通讯使用的IP地址翻译成域名。实际上，DNS就是一个关于域名索引的数据库。

因为需要更高的技术水平，所以目前基于 DNS的攻击还不是非常普遍。但是，一旦攻击成功，骇客会获得全部的控制权。所以，WatchGuard 运用创新的DNS代理技术来防护。

• 确保协议一致 highly technical exploit can turn the transport layer that conveys DNS requests and answers into a toxic tool. DNS攻击会生成一个畸形的数据包来传输恶意代码，而DNS代理会检查DNS请求的报头信息，一旦发现有协议不一致的异常数据，就立即丢弃。
• 选择性过滤内容报头 Filtering header content selectively DNS代理会监视DNS请求数据的报头信息，并过滤掉报头类型、种类、长度异常的请求。

H.323代理

H.323代理控制点对点的多媒体连接，例如CU-SeeMe，NetMeeting，Web cameras等通讯应用。通常使用H.323应用时，需要开放很多端口，如果没有任何防护措施，长时间开放端口会给网络安全带来很大的威胁。而H.323代理只会开放少量必须的端口，并且在会话结束时立即关闭相应端口。另外，会拒绝会话中没有获得认证的数据。

RTSP Proxy

处理RealPlayer 的会话，工作原理同H.323代理相似。