网路问题必须网路解决。众所周知，单一路由器不可能对区域网路进行全面的保护，防火墙、防毒墙、防毒软体等都涉及不到网路协定病毒的攻击，双绑措施、免疫补丁、区域网路火墙等制止不了恶性病毒的发作。普通路由器功能无论如何修修补补，对于网路的稳定、高速、安全、可管理性能的提高终将力所不及、束手无策。免疫墙路由器将接入路由、免疫驱动和免疫专有协定进行连线，以完整的系统对区域网路进行全面管理，天衣无缝，稳定畅通，成功打造出能够以命相托的可靠的企业网路。

免疫墙路由器是欣全向公司高度创新的科技突破。以多WAN和带机能力区分，“欣向”全系列免疫墙路由器将为千千万万中国企业带来新一代的组网革命。

·免疫墙路由器是目前唯一能管区域网路的路由器，是融合了区域网路安全和管理功能的宽频接入设备

·比传统路由器组网效果：更稳定、更高速、更安全、可管理

·什幺是免疫墙：

“免疫”如“病毒”一样，都是借用了生物医学的名词，它指的是人体所具有的“生理防御、自身稳定与免疫监视”的特定功能。“免疫墙”就是使企业网路具有抵御电脑病毒能力的一种技术手段。免疫网路的作用就是使网路通过安装免疫墙达到稳定健壮的效果。

·谁需要免疫墙路由器：免疫墙路由器是基础组网设备，所有宽频接入的企业用户都需要。

尤其是，一、信息化发展程度高的企业，网路的稳定可靠对其业务影响大。政府办公、合资独资企业、旅游外贸公司等

二、有套用痛点的企业，开放式上网环境，无法管理流动电脑和人员的上网，如酒店、教育网、证券交易所等

·乙太网有协定漏洞：不稳定的网路基础架构。网路病毒泛滥，它可以不受控制地侵入到区域网路中进行攻击和欺骗，防不胜防；所以，区域网路系统安全是企业网路普遍发生掉线、卡滞、被盗号等故障的最主要原因。而目前没有其他手段可以阻止。

·乙太网不擅长管理：对网路套用的管理是乙太网的弱项。网内终端用户无节制的下载，造成频宽的滥用，影响整个网路的顺畅运行。所以，企业网路存在难管理、效率低下的先天缺陷。严重时，造成整个网路运行瘫痪。

·现有方案无法解决

VPN安全路由器，是特定功能的接入设备，负责数据传输安全

防火墙安全路由器，是融合简易防火墙的接入设备，负责网路边界安全

自防御网路方案：突出在网路準入规则及用户访问许可权上，负责终端身份的安全

上网行为管理方案：针对的是企业员工的行为管理，是公司行政管理的网路化手段。起到提高工作效率、保护信息安全和资产管理的作用。

防火墙、防毒墙、垃圾邮件过滤、IDS和IPS等网路安全手段：属于特定安全功能的网关产品，作用于网路边界

免疫墙路由器：宽频接入的基础设备，负责区域网路系统安全和管理，解决目前80%的企业网稳定性、可靠性问题。

·第一代路由器——软体代理伺服器，就是在PC上安装SyGate、WinGate或WinRoute等等这类软体，运行在标準的PC作业系统上

·第二代路由器——硬体接入路由器，它是从传统边缘路由器移植过来的。

·第三代路由器——协定管理路由器，除了接入共享外，还承担了整个区域网路的系统安全和行为管理的职责。

·网路问题网路解决——免疫墙路由器的技术思路

传统路由方案作为一款单一设备，解决不了企业网目前的问题。免疫墙路由器通过四个方面紧紧管控整个区域网路，达到比前二代路由方案更稳定、更高速、更安全、可管理的套用效果。

1、 拓展到网路的最末端。免疫墙路由器对区域网路中的每一台终端进行管控，没有免疫身份的终端不允许上网，阻止了从区域网路终端发起的攻击，并对区域网路终端进行行为策略管理，与此同时保护每一台终端的安全，全面净化网路环境。

2、 深入到协定的最底层。免疫墙路由器对协定层的管理在路由器和终端网卡上同时展开。路由器的协定管理从NAT开始进行，而上网驱动则安装在每一个终端的网卡驱动层。所有上网数据都必须要通过这层驱动，任何套用无一漏网。它能够有效地防範ARP、IP分片、洪水包等协定型病毒，精确调整每台终端的上网频宽，管理P2P下载、qq、游戏等上网行为。

3、 盘查到外网的出入口。免疫墙路由器作为外网和区域网路连线的大门，是企业网的核心设备。不但有高速的转发效率，免疫墙路由器还强调对网关的保护和外网攻击的防範，它对来自内外网的ARP截获网关数据攻击，伪造IP等非法操作有先天免疫的能力。

4、 总览到区域网路的最全貌。免疫墙路由器提供了安装到区域网路伺服器上的一套免疫监控中心。它能够时时刻刻监控全网每一台终端的运行状况和路由器的工作过程，对包括内外网流量、异常攻击和被攻击、特殊的数据格式等等区域网路中发生的状况，按照要求及时拦截、记录、告警。监控中心与路由器和终端上网驱动三者联动，全面掌控区域网路运行，同时允许管理者进行区域网路终端的分组管理、频宽动态分配、制定上网许可权、全网策略分发等工作。

免疫墙路由器的区域网路稳定性能远高于普通路由器和单纯软体方案

·可靠的硬体设计

——欣向免疫墙路由器经过大量用户使用环境的成功验证，其中3万网咖用户全年24小时营业，历经数年，始终勤勤恳恳。通过FCC、UL等国际标準认定。

·保护环境，刬除网路病毒攻击

——木马、黑客病毒攻击是造成网路不稳定的罪魁祸首。免疫墙路由器能够阻断攻击源使网路病毒无法发作。通过对攻击的最有效防範，免疫墙路由器能够全面保持纯净的网路环境，保证区域网路网路设备超级稳定地工作。

免疫墙路由器具有高速通畅的套用保证，持久优异的性能表现令普通路由器望尘莫及

·快速NAT算法（Accelerate NAT，ANAT算法），极高的转发效率

——通过权威机构评测，出色的转发效能赢得PC magazine 2007《编辑选择奖》

·多WAN负载均衡（Load Balance），进行频宽的叠加。

——路宽了，车就跑得快了

·欣向弹性频宽管理（Flexibility Bandwidth Control）

——充分利用接入频宽，达到“人少时快，人多是均”的传输效果

·分组频宽管理（Group Bandwidth Control）

——为每一个IP频宽进行预分配，防止个别IP滥用频宽，影响网路其他终端数据传输。

·支持一网多线（Different Line Distinguish）

——网通走网通，电信走电信。。。自动选择最快路径，加速访问

免疫墙路由器关注区域网路的系统级安全，以解决乙太网协定漏洞为主要方向。不同于防火墙、防毒软体等，它的作用机理目前没有任何方案可以替代。

·系统健壮

——防止arp攻击、洪水包、tcp syn、ip分片、ddos等病毒对网路的破坏，避免路由、交换等网路设备因为攻击而系统崩溃，酿成网路灾难

·信息安全

——彻底杜绝Arp欺骗，通过路由arp先天免疫和终端看守式绑定技术，保护银行密码、qq、msn、游戏等重要帐号不被arp欺骗盗走。

·外网安全防护

——滤窗技术，迄今为止最高效的路由器外网防火墙，外网攻击和部分黑客行为被挡在路由之外。

安全和管理密不可分，没有有效的网路管理就不可能保证网路的安全畅通。免疫墙路由器可以对每一个终端的传输和行为进行控制，从网路最末端和最底层协定开始，全面把控网路运行的方方面面。

·分组管理

——可对每一个IP进行时间段、流量、控制和报警策略进行精细化控制，约束某个分组或终端按指定的时间段、以指定的最大流量上网

·身份控制

——免疫驱动可以自动安装到每一台终端，对没有安装免疫驱动的终端进行上网控制，保证全面的网路管理，严密防护没有死角

·集中监控，网路状况时时刻刻一目了然

—— 免疫墙路由器配合和监控中心，可以对每一个IP的内外网流量、攻击发生、防护策略等信息进行实时监控。通过监控中心，可以瞬间调整并分发控制策略，不必抓包查障，全网尽在掌握。

·行为管理

—— 顺应企业网路管理规章制度，允许封锁QQ、MSN、网路银行、股票买卖、游戏等非正当业务行为，同时进行监控审计

免疫墙路由器是一个功能性、方案性的产品。技术的严密性，管理的完整性确保了免疫墙路由器具有区域网路系统安全和上网行为管理，在上网的稳定、高速、安全、可管理能力上，远远超过了现阶段所有普通路由。

免疫墙路由器由通过免疫驱动对区域网路进行全面管理控制。与普通路由不同，它採用了独特的驱动控制架构，所有功能的实现都是基于这个完整的技术体系。

免疫墙路由器硬体、免疫墙路由器配置和监控中心、免疫墙路由器免疫驱动和专有控制协定为免疫墙路由器整体系统架构组成，如图所示：

　图 免疫墙路由器系统架构

免疫墙路由器硬体及嵌入式软体系统为免疫墙路由器共享及内外网接口转发部分，主要控制内外网数据共享互动，其内置欣向独有专利的快速NAT技术保证高速的共享NAT转发，LAN-WAN实现了线速转发。

滤窗技术为目前除专有硬体级专业防火墙外最高效的防火墙技术，保证了对外网攻击的防御。

欣向第四代多WAN技术的负载均衡保证了接入的高效冗余。实现最优频宽汇聚效果及线路优选。

路由器对区域网路终端上网数据的处理分为免疫终端和非免疫终端两个控制单元，对非免疫终端实施特殊的管理策略（比如禁止其上网），从而保证整网安全管理的实施，保证网路安全稳定。

对于没有安装免疫墙路由器免疫客户端的终端网路访问指向到免疫服务端进行免疫客户端的自动安装，从而保证免疫系统架构实施的完整性和可靠性。

a、终端自动下载安装

所有网路访问经由免疫墙路由器硬体部分时，都会进行是否装有免疫驱动的确认，如果没有安装，则被路由器重定向到免疫墙路由器配置和监控中心，由下载伺服器的安装下载控制项进行免疫驱动的自动安装，从而实现各主机的安全管理和控制。

对于没有进行免疫驱动安装的终端，可以进行禁止其上网或是控制其上网许可权的设定。

b、监控中心以及显示

免疫墙路由器配置和监控中心主要提供对区域网路所有免疫驱动的分组管理、网路安全行为控制策略的定製、网路频宽（区域网路流量和公网流量分别控制，迄今为止最细緻的频宽管理）控制、上网行为控制。实时显示免疫驱动各终端的流量状况、访问细节、频宽状态、发起的网路异常访问细节。实时显示免疫墙路由器免疫驱动的日誌信息，进行日誌的存档，全网终端尽在免疫墙路由器配置和监控中心。

免疫墙路由器免疫驱动从路由器配置和监控中心获取管理规则，从驱动级进行管理规则的执行，确保本机网路数据的安全可靠，确保本机上网行为的许可权。

免疫墙路由器免疫驱动是全网管理的执行单元，控制到终端的管理方式保证了全网所有终端的安全和行为许可权。

区域网路所有终端的免疫驱动安装均由免疫墙路由器进行重定向至免疫下载伺服器，从而进行免疫驱动的自动下载和安装；

区域网路终端是否为免疫受控信息都在路由器，并依此进行非免疫驱动主机的上网控制。

区域网路免疫驱动实时上传本机访问信息、攻击状况至免疫服务端，实时控制，实时汇总。

免疫墙路由器配置和监控中心保证策略执行，共同执行网路整体安全和管理。

免疫墙路由器各个组成部分协同配合，都是以专有协定，一个整体系统协调管理，细緻到终端，管理到全网。

按照以上体系架构实施的免疫墙路由器能够保证全网的部署简易、控制严格、人性化管理、从而真正的实现通过免疫墙路由器彻底实现网路的稳定、高速、安全和可管理！

免疫墙路由器是唯一在宽频接入端起到安全管理的作用，同时能够深入到整个区域网路的每一个终端进行控制和保护。同时，在区域网路中的监控中心，对整个区域网路的运行进行统计、显示、控制、告警、策略分发等工作，全网的状态时时刻刻一目了然。这样，网路的稳定性、高速通畅性才能得到根本的保障。