免疫牆路由器

網路問題必須網路解決。眾所周知，單一路由器不可能對區域網路進行全面的保護，防火牆、防毒牆、防毒軟體等都涉及不到網路協定病毒的攻擊，雙綁措施、免疫補丁、區域網路火牆等制止不了惡性病毒的發作。普通路由器功能無論如何修修補補，對於網路的穩定、高速、安全、可管理性能的提高終將力所不及、束手無策。免疫牆路由器將接入路由、免疫驅動和免疫專有協定進行連線，以完整的系統對區域網路進行全面管理，天衣無縫，穩定暢通，成功打造出能夠以命相托的可靠的企業網路。

免疫牆路由器是欣全向公司高度創新的科技突破。以多WAN和帶機能力區分，“欣向”全系列免疫牆路由器將為千千萬萬中國企業帶來新一代的組網革命。

·免疫牆路由器是目前唯一能管區域網路的路由器，是融合了區域網路安全和管理功能的寬頻接入設備

·比傳統路由器組網效果：更穩定、更高速、更安全、可管理

·什麼是免疫牆：

“免疫”如“病毒”一樣，都是借用了生物醫學的名詞，它指的是人體所具有的“生理防禦、自身穩定與免疫監視”的特定功能。“免疫牆”就是使企業網路具有抵禦電腦病毒能力的一種技術手段。免疫網路的作用就是使網路通過安裝免疫牆達到穩定健壯的效果。

·誰需要免疫牆路由器：免疫牆路由器是基礎組網設備，所有寬頻接入的企業用戶都需要。

尤其是，一、信息化發展程度高的企業，網路的穩定可靠對其業務影響大。政府辦公、合資獨資企業、旅遊外貿公司等

二、有套用痛點的企業，開放式上網環境，無法管理流動電腦和人員的上網，如酒店、教育網、證券交易所等

·乙太網有協定漏洞：不穩定的網路基礎架構。網路病毒泛濫，它可以不受控制地侵入到區域網路中進行攻擊和欺騙，防不勝防；所以，區域網路系統安全是企業網路普遍發生掉線、卡滯、被盜號等故障的最主要原因。而目前沒有其他手段可以阻止。

·乙太網不擅長管理：對網路套用的管理是乙太網的弱項。網內終端用戶無節制的下載，造成頻寬的濫用，影響整個網路的順暢運行。所以，企業網路存在難管理、效率低下的先天缺陷。嚴重時，造成整個網路運行癱瘓。

·現有方案無法解決

VPN安全路由器，是特定功能的接入設備，負責數據傳輸安全

防火牆安全路由器，是融合簡易防火牆的接入設備，負責網路邊界安全

自防禦網路方案：突出在網路準入規則及用戶訪問許可權上，負責終端身份的安全

上網行為管理方案：針對的是企業員工的行為管理，是公司行政管理的網路化手段。起到提高工作效率、保護信息安全和資產管理的作用。

防火牆、防毒牆、垃圾郵件過濾、IDS和IPS等網路安全手段：屬於特定安全功能的網關產品，作用於網路邊界

免疫牆路由器：寬頻接入的基礎設備，負責區域網路系統安全和管理，解決目前80%的企業網穩定性、可靠性問題。

·第一代路由器——軟體代理伺服器，就是在PC上安裝SyGate、WinGate或WinRoute等等這類軟體，運行在標準的PC作業系統上

·第二代路由器——硬體接入路由器，它是從傳統邊緣路由器移植過來的。

·第三代路由器——協定管理路由器，除了接入共享外，還承擔了整個區域網路的系統安全和行為管理的職責。

·網路問題網路解決——免疫牆路由器的技術思路

傳統路由方案作為一款單一設備，解決不了企業網目前的問題。免疫牆路由器通過四個方面緊緊管控整個區域網路，達到比前二代路由方案更穩定、更高速、更安全、可管理的套用效果。

1、 拓展到網路的最末端。免疫牆路由器對區域網路中的每一台終端進行管控，沒有免疫身份的終端不允許上網，阻止了從區域網路終端發起的攻擊，並對區域網路終端進行行為策略管理，與此同時保護每一台終端的安全，全面淨化網路環境。

2、 深入到協定的最底層。免疫牆路由器對協定層的管理在路由器和終端網卡上同時展開。路由器的協定管理從NAT開始進行，而上網驅動則安裝在每一個終端的網卡驅動層。所有上網數據都必須要通過這層驅動，任何套用無一漏網。它能夠有效地防範ARP、IP分片、洪水包等協定型病毒，精確調整每台終端的上網頻寬，管理P2P下載、qq、遊戲等上網行為。

3、 盤查到外網的出入口。免疫牆路由器作為外網和區域網路連線的大門，是企業網的核心設備。不但有高速的轉發效率，免疫牆路由器還強調對網關的保護和外網攻擊的防範，它對來自內外網的ARP截獲網關數據攻擊，偽造IP等非法操作有先天免疫的能力。

4、 總覽到區域網路的最全貌。免疫牆路由器提供了安裝到區域網路伺服器上的一套免疫監控中心。它能夠時時刻刻監控全網每一台終端的運行狀況和路由器的工作過程，對包括內外網流量、異常攻擊和被攻擊、特殊的數據格式等等區域網路中發生的狀況，按照要求及時攔截、記錄、告警。監控中心與路由器和終端上網驅動三者聯動，全面掌控區域網路運行，同時允許管理者進行區域網路終端的分組管理、頻寬動態分配、制定上網許可權、全網策略分發等工作。

免疫牆路由器的區域網路穩定性能遠高於普通路由器和單純軟體方案

·可靠的硬體設計

——欣向免疫牆路由器經過大量用戶使用環境的成功驗證，其中3萬網咖用戶全年24小時營業，歷經數年，始終勤勤懇懇。通過FCC、UL等國際標準認定。

·保護環境，剷除網路病毒攻擊

——木馬、黑客病毒攻擊是造成網路不穩定的罪魁禍首。免疫牆路由器能夠阻斷攻擊源使網路病毒無法發作。通過對攻擊的最有效防範，免疫牆路由器能夠全面保持純淨的網路環境，保證區域網路網路設備超級穩定地工作。

免疫牆路由器具有高速通暢的套用保證，持久優異的性能表現令普通路由器望塵莫及

·快速NAT算法（Accelerate NAT，ANAT算法），極高的轉發效率

——通過權威機構評測，出色的轉發效能贏得PC magazine 2007《編輯選擇獎》

·多WAN負載均衡（Load Balance），進行頻寬的疊加。

——路寬了，車就跑得快了

·欣向彈性頻寬管理（Flexibility Bandwidth Control）

——充分利用接入頻寬，達到“人少時快，人多是均”的傳輸效果

·分組頻寬管理（Group Bandwidth Control）

——為每一個IP頻寬進行預分配，防止個別IP濫用頻寬，影響網路其他終端數據傳輸。

·支持一網多線（Different Line Distinguish）

——網通走網通，電信走電信。。。自動選擇最快路徑，加速訪問

免疫牆路由器關注區域網路的系統級安全，以解決乙太網協定漏洞為主要方向。不同於防火牆、防毒軟體等，它的作用機理目前沒有任何方案可以替代。

·系統健壯

——防止arp攻擊、洪水包、tcp syn、ip分片、ddos等病毒對網路的破壞，避免路由、交換等網路設備因為攻擊而系統崩潰，釀成網路災難

·信息安全

——徹底杜絕Arp欺騙，通過路由arp先天免疫和終端看守式綁定技術，保護銀行密碼、qq、msn、遊戲等重要帳號不被arp欺騙盜走。

·外網安全防護

——濾窗技術，迄今為止最高效的路由器外網防火牆，外網攻擊和部分黑客行為被擋在路由之外。

安全和管理密不可分，沒有有效的網路管理就不可能保證網路的安全暢通。免疫牆路由器可以對每一個終端的傳輸和行為進行控制，從網路最末端和最底層協定開始，全面把控網路運行的方方面面。

·分組管理

——可對每一個IP進行時間段、流量、控制和報警策略進行精細化控制，約束某個分組或終端按指定的時間段、以指定的最大流量上網

·身份控制

——免疫驅動可以自動安裝到每一台終端，對沒有安裝免疫驅動的終端進行上網控制，保證全面的網路管理，嚴密防護沒有死角

·集中監控，網路狀況時時刻刻一目了然

—— 免疫牆路由器配合和監控中心，可以對每一個IP的內外網流量、攻擊發生、防護策略等信息進行實時監控。通過監控中心，可以瞬間調整並分發控制策略，不必抓包查障，全網盡在掌握。

·行為管理

—— 順應企業網路管理規章制度，允許封鎖QQ、MSN、網路銀行、股票買賣、遊戲等非正當業務行為，同時進行監控審計

免疫牆路由器是一個功能性、方案性的產品。技術的嚴密性，管理的完整性確保了免疫牆路由器具有區域網路系統安全和上網行為管理，在上網的穩定、高速、安全、可管理能力上，遠遠超過了現階段所有普通路由。

免疫牆路由器由通過免疫驅動對區域網路進行全面管理控制。與普通路由不同，它採用了獨特的驅動控制架構，所有功能的實現都是基於這個完整的技術體系。

免疫牆路由器硬體、免疫牆路由器配置和監控中心、免疫牆路由器免疫驅動和專有控制協定為免疫牆路由器整體系統架構組成，如圖所示：

　圖 免疫牆路由器系統架構

免疫牆路由器硬體及嵌入式軟體系統為免疫牆路由器共享及內外網接口轉發部分，主要控制內外網數據共享互動，其內置欣向獨有專利的快速NAT技術保證高速的共享NAT轉發，LAN-WAN實現了線速轉發。

濾窗技術為目前除專有硬體級專業防火牆外最高效的防火牆技術，保證了對外網攻擊的防禦。

欣向第四代多WAN技術的負載均衡保證了接入的高效冗餘。實現最優頻寬匯聚效果及線路優選。

路由器對區域網路終端上網數據的處理分為免疫終端和非免疫終端兩個控制單元，對非免疫終端實施特殊的管理策略（比如禁止其上網），從而保證整網安全管理的實施，保證網路安全穩定。

對於沒有安裝免疫牆路由器免疫客戶端的終端網路訪問指向到免疫服務端進行免疫客戶端的自動安裝，從而保證免疫系統架構實施的完整性和可靠性。

a、終端自動下載安裝

所有網路訪問經由免疫牆路由器硬體部分時，都會進行是否裝有免疫驅動的確認，如果沒有安裝，則被路由器重定向到免疫牆路由器配置和監控中心，由下載伺服器的安裝下載控制項進行免疫驅動的自動安裝，從而實現各主機的安全管理和控制。

對於沒有進行免疫驅動安裝的終端，可以進行禁止其上網或是控制其上網許可權的設定。

b、監控中心以及顯示

免疫牆路由器配置和監控中心主要提供對區域網路所有免疫驅動的分組管理、網路安全行為控制策略的定製、網路頻寬（區域網路流量和公網流量分別控制，迄今為止最細緻的頻寬管理）控制、上網行為控制。實時顯示免疫驅動各終端的流量狀況、訪問細節、頻寬狀態、發起的網路異常訪問細節。實時顯示免疫牆路由器免疫驅動的日誌信息，進行日誌的存檔，全網終端盡在免疫牆路由器配置和監控中心。

免疫牆路由器免疫驅動從路由器配置和監控中心獲取管理規則，從驅動級進行管理規則的執行，確保本機網路數據的安全可靠，確保本機上網行為的許可權。

免疫牆路由器免疫驅動是全網管理的執行單元，控制到終端的管理方式保證了全網所有終端的安全和行為許可權。

區域網路所有終端的免疫驅動安裝均由免疫牆路由器進行重定向至免疫下載伺服器，從而進行免疫驅動的自動下載和安裝；

區域網路終端是否為免疫受控信息都在路由器，並依此進行非免疫驅動主機的上網控制。

區域網路免疫驅動實時上傳本機訪問信息、攻擊狀況至免疫服務端，實時控制，實時匯總。

免疫牆路由器配置和監控中心保證策略執行，共同執行網路整體安全和管理。

免疫牆路由器各個組成部分協同配合，都是以專有協定，一個整體系統協調管理，細緻到終端，管理到全網。

按照以上體系架構實施的免疫牆路由器能夠保證全網的部署簡易、控制嚴格、人性化管理、從而真正的實現通過免疫牆路由器徹底實現網路的穩定、高速、安全和可管理！

免疫牆路由器是唯一在寬頻接入端起到安全管理的作用，同時能夠深入到整個區域網路的每一個終端進行控制和保護。同時，在區域網路中的監控中心，對整個區域網路的運行進行統計、顯示、控制、告警、策略分發等工作，全網的狀態時時刻刻一目了然。這樣，網路的穩定性、高速通暢性才能得到根本的保障。