1 分布式体系结构保护内网安全

    EverLink DFW是采用分布式双层构架来工作的主机系统安全管理平台，分布式的系统构架能够满足不同形态和规模的网络，能够适应网络结构和规模的变化，系统的灵活性得到充分的体现。分布式的安全思路是在保证每个节点安全的前提上，达到整个网络的安全，某个节点的脆弱环节不会导致整个网络的安全遭到破坏。而传统的网关型防火墙只能在整个网络的某个环节起到保护的作用。网关型防火墙对于来自内网的攻击行为与木马程序是无法控制的，但是分布式防火墙由于工作在每台电脑上，所有无论是来自内网还是外网的攻击行为，EverLink DFW都可以做有效的防护。因此，创新的分布式的体系架构对于内网和移动办公的防黑和防木马、防病毒都起到很好的防护作用，这对于构建一个安全的办公环境是必不可少的一条。

    当前企业网、政务网通常都将安全防范的重点集中在网络边界和服务器上，如防病毒、防火墙、入侵检测、网络安全管理、数据加密、访问控制等等，却忽略了客户机和桌面PC的保护。而在大多数办公网络中，很多重要的企业机密信息往往保存在相关职能人员的PC机上。事实上也的确大量存在着某些内部人员恶意窥探或滥用自己工作职责范围之外的信息，如技术机密、财务信息、人事档案等。当前Internet上黑客工具随处可得，利用这些工具，可以轻易地在对内部人员完全开放的公司内部网络上窃取任何机密信息。而一般公司很难再为财务、人事等这样重要的部门单独都配备一套硬件防火墙，来保护尤为重要的机密数据。

    显然，客户机或桌面PC机成了网络安全体系中最脆弱的环节，成为体系中最大的安全隐患。此外，一般企业部署的边界式硬件防火墙对特洛伊木马和恶意脚本等网络控件不进行过滤，没有任何防护的内部PC机和服务器完全暴露于外部危险之下。

    对于移动办公用户，目前几乎可以在任何时间、任何地点接入internet，在家办公时可以通过小区或拨号上网，出差时可以在宾馆、网吧或协作单位上网……各种网络错综复杂，如果移动办公时手提电脑不幸中了黑客的陷阱，那么不知情的用户带着手提电脑回到公司时，很快就会将公司的内部网络感染，破坏整个公司的安全体系，使得公司花大力配置的企业级集中式防火墙形同虚设。

    因此，分布式防火墙是内网防黑和保护移动办公的一个利器。

2 多个安全模块可供选择

    EverLink DFW的不同的安全功能是由不同的安全模块来完成的。DFW 的安全功能包括：

    ·包过滤

    ·协议状态的过滤

    ·木马过滤

    ·入侵检测

    ·用户定制的安全策略

    ·实时网络状态监控

    ·日志

    ·策略文件本地加密存储

    ·通信数据网络加密传输

    这些安全功能大部分是可以配置为是否激活的，激活相应的模块以获得对应得功能。大部分模块基本上没有人机交互操作，相对而言用户不容易体会的它的存在，因此可以保证，产品对最终用户的易用性。部分模块由于应用的需要人机交互的操作相对较多一点，比如对话框、询问用户下一步如何处理等。

3 集中管理

    EverLink DFW采用独特的集中管理方式，对所有节点的管理可以通过统一的安全策略管理服务器来完成。中央策略管理服务器是一个集成的管理环境，负责给各个节点分发安全策略，记录客户端的工作状态，记录客户端强制复制的日志，记录服务器日志，并可以生成，指派，扫描和检查所有的客户端安全策略。其中策略管理，用户管理，日志管理是三个比较重要的功能。

    EverLink DFW通过集中管理控制中心，统一制定和分发安全策略，真正做到多主机统一管理，最终用户“零”负担。

    同时，通过不同的集中管理控制策略的制定，还可以对最终用户的上网行为进行控制。

4 中央控制策略动态更新

    管理员在管理服务器更新安全策略之后，会在很短的时间内动态分发到各个客户端节点，只要客户端的机器空闲，客户端就会自动从统一策略服务器更新策略，用户也可以手动启动安全策略更新程序。客户端将会自动加载这些新的安全策略。安全策略在网络传输的过程中是以加密的形式完成的，不会被黑客窃听安全策略的具体内容。

    同时本软件的客户端在从设计上保证，客户端所自行采用的安全策略只能比统一分发的中央控制策略的安全级别更高，不可以低于统一分发的中央控制策略的安全级别。

5 安全策略信息本地加密存储

    无论在中央服务器端还是在各客户端，所有的安全策略文件以及日志，用户等信息都是以加密的形式存储的，不必担心这些重要信息的泄漏。同时文件访问操作会做安全校验，如果文件内容被修改或破坏，系统就会发现这些不安全的因素，管理员可以及时补救，以防止黑客篡改防火墙的日志和安全策略。用于用户数据库、安全策略库以及日志提供备份和恢复操作，备份操作中使用数据压缩技术，更节省存储空间。

6 全面的安全策略规则配置模板

    对于大多数非专业人士，信息安全是个非常模糊的东西，看不见也摸不着，但信息安全问题却在影响着人们的日常办公环境。为了能够更好地发挥EverLink DFW的功能，我们提供了更为全面的安全策略规则配置模板， 在这些模板的基础上，用户可以通过删除，修改，添加与整理安全策略来得到满足自己需求的安全策略配置。

7 弥补操作系统的漏洞

    众所周知，操作系统自身存在许多安全漏洞，运行在其上的应用软件无一不受到威胁。分布式防火墙也运行在该主机上，所以其运行机制是分布式防火墙的关键技术之一。为自身的安全和彻底堵住操作系统的漏洞，分布式防火墙的安全监测核心引擎要以嵌入操作系统内核的形态运行，直接接管网卡，在把所有数据包进行检查后再提交操作系统。不能实现这种嵌入式运行模式的分布式防火墙由于受到操作系统安全性的制约，存在着明显的安全隐患。

8 主机驻留

    分布式防火墙的重要特征是驻留在被保护的主机上，因此可以针对该主机上运行的具体应用和对外提供的服务设定针对性很强的安全策略。因此，安全策略不仅仅停留在网络与网络之间，而是推广延伸到网络的每个角落，弥补了网关型防火墙安全管理上的空白。

9 安全保障机制严谨

    分布式防火墙还采用了以下严密的安全保障机制。比如：为防止客户机下载缺省假冒的策略采用了安全策略校验码；对于用户的本地安全策略进行加密存储 ，保证不被随意修改；另外还采用了错误日志强制记录技术，防止使用者或者黑客篡改出错日志。

10 性能稳定 运行平稳

    与国内外的优秀的防火墙性能比较发现，EverLink DFW性能相当稳定，运行平稳，没有非常剧烈的震荡。如下图：

·系统性能的保证
    DFW运行在被保护的各个主机节点上，消除了结构性瓶颈问题，提高了系统性能。

·系统的扩展性
    随系统扩充提供了安全防护无限扩充的能力。