网御防火墙技术白皮书V精编Word格式文档下载.docx

1、网御防火墙适应用户的需求，在不断提高性能的同时，功能上包括基于应用的识别控制，深层内容过滤等方面都取得了重要突破，为用户构建完整的应用与数据安全解决方案，全方位保障业务的安全运行提供了有力的手段。1产品概述网御防火墙是网御自主研发的核心产品。1999年联想研究院设计并开发完成第一代防火墙产品。网御防火墙产品历经简单包过滤防火墙、状态包过滤防火墙、深度内容过滤和完全内容检测防火墙等发展阶段，并集成了防火墙、VPN、入侵检测与防御、防蠕虫病毒、上网行为管理、流量整形等众多功能。目前已广泛应用在税务、公安、政府、部委、能源、交通、军队、电信、金融、企业等各行业，并为其网络和应用提供安全保障。网御防火

2、墙分为多核金刚万兆系列，超五系列、AISC系列、强五系列和精五系列，共计80余款，从大型骨干网络的安全防护到小型办公室网络的安全接入都有相应的防火墙产品。超五防火墙基于创新的多核架构，使国内性能最高的万兆级防火墙。ASIC系列具有强劲的小包处理性能，64字节小包达到10Gbps，是国内为数不多的高性能防火墙之一；强五防火墙具备强大的安全功能，是集防火墙、IPSECVPN、SSLVPN、漏洞扫描、主动防御、入侵检测与防护系统、防网络病毒、内容检测与过滤、绿色上网、带宽管理、高可用性等众多功能于一身的多威胁统一管理的综合防火墙。精五防火墙面向中小型企业和单位，基于“免维护、零管理成本”的设计理念，

3、集成防火墙、VPN、主动防御及交换机等功能，具备简单易用的特点。今天，作为国内信息安全产业的佼佼者，网御通过对信息安全产业发展趋势的敏锐判断，率先开始了在应用与数据安全领域的布局，通过在产品、技术、服务及解决方案的全面创新，为用户提供真正有价值的信息安全整体防护方案，抢先布局“信息安全2.0”时代。2网御防火墙产品特点与技术优势智能的VSP通用安全平台网御防火墙采用创新的VSP（VersatileSecurityPlatform）通用安全平台，将实时操作系统、网络处理、安全应用等技术完美地结合在一起，使防火墙产品具备了高智能、高性能、高安全性、高健壮性、高扩展性等特点。VSP面向网络吞吐和安全

4、处理，采用基于组件的多平面架构，整个系统分为控制平面、数据平面、系统服务平面和硬件抽象平面，通过控制平面和数据平面的分离，不同于Linux，FreeBSD等通用操作系统追求均衡的方向，集中主要资源于网络吞吐和安全处理，使系统具有极强的实时性和网络吞吐能力。由于系统功能与资源管理分别工作在不同的平面，各平面和模块之间共同遵循标准接口函数，系统具有高度灵活性和可扩展性。通过将硬件驱动与资源管理独立为一个单独的硬件抽象平面模块，对上层软件提供统一调用接口，对下层硬件统一定义驱动标准，适应多种不同规格的硬件架构，实现与多种专用芯片的无缝融合，可充分利用从IXP，PowerPC到NP、多核多线程CPU、

5、内容加速芯片等各种先进硬件平台的优势，使网御防火墙在性能方面一路领先。高效的USE统一安全引擎网御防火墙具有高效的USE（UniformSecurityEngine）统一安全引擎。它将状态包过滤、VPN、IDS、内容过滤、用户认证等多个子系统集成于单一平台，构造统一架构，综合并优化各子系统，去除冗余，简化数据处理流程，实现统一的安全引擎处理机制。统一安全引擎克服了传统上各个安全引擎独自为战的缺点，通过高效的引擎集成技术，将各个安全功能有机地整合为一体，状态检测、协议分析机、深度过滤、内容检测等引擎协同工作，对于监测的数据包，一次性拆包即可完成2-7层的检测，同时采用联想的专利技术-基于摘要索引

6、的内容处理加速算法，有效地提高了引擎的处理效率。USE通过多协议融合分析技术和事件关联再分析技术，综合内容实体，时间因素，提高了安全事件的检测率。USE采用标准化技术，对内提供统一服务接口，使安全功能易于扩展，充分满足安全需求的快速发展；对外实现安全策略的统一配置，给用户带来可管理的等级化安全。高可靠的MRP多重冗余协议基于网御拥有的高可靠设计专利技术，利用电信骨干网可靠性运营维护专业经验，网御防火墙通过自有的MRP多重冗余协议，在物理层、链路层、网络层、实体层等多个层面实现多元化冗余设计，有效地保障网御防火墙在用户网络应用中的高可用性。基于多出口负载均衡的链路备份。链路层支持多WAN口出口，

7、实现多出口间的负载均衡和备份，任何一条链路的故障瘫痪不会影响网络的正常运行。基于802.3ad标准的端口聚合。物理端口支持802.3ad标准，可实现多物理端口聚合，帮助用户做到“零投资”带宽倍增。基于状态自动探测的双机热备。当主系统发生故障或对应线路的网络故障时，备份机可自动检测并切换到主状态，接管主系统的工作，切换时间小于1秒钟。基于状态增量同步的多机集群。支持主动负载均衡、会话保护和接管以及主动配置同步等功能，尤其是采用国内首创的“状态增量同步技术”解决多台防火墙之间的状态一致性问题，实现了业务在多台防火墙之间的平滑任意分布和切换，解决了采用VRRP协议和动态路由协议带来的“业务续断问题”

8、，最多可以支持高达8台的防火墙集群。完备的关联安全标准网御具备完备的关联安全标准即（CSC:CorrelativeSecurityCriterion），网御以“面向业务的安全架构”为技术理念，以“统一安全，立体防御”为设计目标，参照国际标准，系统地开发了安全管理协议、安全联动协议、安全审计协议等协议族，构成了完备的关联安全标准。网御防火墙系列全面支持CSC标准，一方面可以保证安全管理中心可以通过安全管理协议全面掌控防火墙的运行，另一方面通过统一的事件格式、事件等级、发送协议，使安全审计中心只要遵从安全审计协议即可以对防火墙的安全事件进行集中、可视化审计。同时，网御防火墙遵从安全联动协议，可以使

9、主机安全软件，入侵检测等系统以防火墙为核心构建深度安全防御体系，使网络安全从独立、单一防护的安全产品保护发展为立体、全面、动态的防护。基于应用的内容识别控制网御防火墙系列拥有目前最完善的应用识别特征库，通过智能分析技术，将P2P、IM、炒股软件和在线游戏等协议的应用行为、加密方式、处理动作等特点整理成库。当流量经过防火墙时，防火墙启动过滤引擎，对流量进行特征值的匹配。当过滤引擎搜索到与之匹配的特征码时，防火墙即可应用智能识别技术进行细粒度控制或一键封锁。如何快速而准确地识别各种上网行为，是决定防火墙性能的关键因素。网御防火墙从如下几个方面保障内容识别的高速与准确。智能匹配技术在特征库上的设置上

10、，网御防火墙按照所有上网行为的特点进行了分类，并对P2P、IM、炒股以及在线游戏等上网行为设置了不同的特征库。当数据包到达防火墙时，防火墙首先根据用户定制策略将其分配到其对应的特征库管道，如P2P下载行为的流量被输送到P2P特征库管道，即时通讯的流量则被输送到IM特征库管道。流量被分发到相应的特征库管道以后，再由相应的搜索引擎对流量进行扫描。这样既大大减少了搜索引擎检索的时间，又提高了过滤引擎的性能。多线程扫描技术网御防火墙采用多线程扫描技术，提高了引擎扫描的效率。比如当BT数据流和MSN数据流同时进入防火墙时，防火墙内容搜索引擎不是在检索完BT数据流以后再去检索MSN数据流，而是可以同时启动

11、BT搜索引擎和MSN搜索引擎。两个搜索引擎同时工作而互不影响。这种多线程处理机制同样适用于2种以上不同类型的数据流同时经过防火墙的情况，快速提升了搜索引擎的工作效率。应用感控技术网御新一代防火墙具有与传统的基于端口和IP协议不同的方式进行应用识别的能力，并执行访问控制策略。例如允许用户使用QQ的文本聊天、文件传输功能但不允许进行语音视频聊天，或者允许使用WebMail收发邮件但不允许附加文件等。应用识别带来的额外好处是可以合理优化带宽的使用情况，保证关键业务的畅通。虽然严格意义上来讲应用流量优化（俗称应用QoS）不是一个属于安全范畴的特性，但P2P下载、在线视频等网络滥用确实会导致业务中断等严

12、重安全事件。精确细致的WEB过滤技术网御防火墙系列在内容过滤库的处理上力求收集齐全、分类准确、更新及时。通过采用网站全智能搜索引擎技术收集互联网站点，并进行智能分类、人工核验的处理手段。目前网御防火墙支持50多种完善的URL类别，分别涉及色情、暴力、赌博、毒品、犯罪、病毒、体育、财经、娱乐等网站分类，这50多个URL类别库总共包含1000万以上特征网站，具有分类全，覆盖面广的特点。另外，由于在互联网上每天都有大量新网站出现，网御通过在线升级的方式，使URL库中的网站处于持续的更新状态。可信架构主动云防御技术网御防火墙通过与已部署的防病毒网关、IPS、UTM等设备联合抓取病毒源、攻击检测源和挂马

13、网站URL等特征，汇集至云防御服务器定时收纳合并，云防御服务器动态更新病毒库、攻击特征库、挂马库等并同步到所有网御安全网关设备中，使其他设备具有防病毒、IPS、防挂马等功能，同时使其具备更高的处理性能，共同形成整体可信架构云防御体系。IPv6包状态过滤技术虽然IPv6在网络厂商应用较为广泛，但在安全厂商中，支持IPv6的网络安全产品（如防火墙、UTM、IPS等）还是较少，网御星云支持IPv6功能包括：IPv6环境下的状态包过滤、静态路由、OSPF动态路由、FTP、ALG等基本安全控制，以及IPv6/v4双协议栈功能；设备在同一信息安全网络中同时支持IPv4和IPv6协议的安全控制日渐得到关注。

14、BYOD接入网御防火墙针对用户接入设备网络采用三维一体的方式进行管理控制，即终端接入控制、远程接入控制、移动接入控制、虚拟桌面统一派送、云端服务集中存取。网御防火墙为用户提供移动设备专用VPN接入控制应用，并可以针对不同用户身份以及使用设备性质，分配不同网络内容的访问权限、合理分配带宽占用，实现BYOD用户与企业网络内网的管理区别，保证企业网络的安全与畅通。高性能PPU是判断安全网关产品设备性能的重要指标，即每U平均性能,它衡量了安全网关产品单位体积所承载的网络性能。网御具有行业内少见的高性能防火墙产品，小包吞吐最大可达80G，PPU等于40G。最大程度上满足企业安全和性能、性能和体积、体积和

15、功耗、投入和产出的双赢。3网御防火墙产品主要功能功能类别详细描述多操作系统引导选项支持多系统引导，可在WEB上配置启动顺序容灾备份支持系统分区备份，支持将系统A克隆至系统B配置恢复支持多个系统配置文件，可导入导出恢复配置访问控制状态检测基于源/目的IP地址、MAC地址、域名、端口或协议、服务、网口、时间、用户的访问控制基于源/目的IP地址、端口、服务、网口、时间、应用等安全策略的带宽控制可基于时间和安全域进行安全隔离，同一时间内网主机只能访问DMZ区或者只能访问外网透明代理实现基于策略的HTTP、FTP、TELNET、SMTP、POP3等透明代理和深度过滤IP/MAC绑定实现IP/MAC地址绑

16、定，且支持IP/MAC地址对的自动探测和唯一性检查AAA认证服务支持基于客户端的本地认证、无客户端软件的WEB认证支持RADIUS、TACACS/TACACS+、LDAP、域认证等安全认证方式。支持认证保活功能。虚拟防火墙划分虚拟系统可将一台物理设备，划分为多个虚拟防火墙系统网口独享与共享模式采用独享和共享网口模式，最大化复用防火墙资源独立资源可拥有独立的系统资源、管理员、安全策略、用户认证数据库等漏洞扫描（安保专家）内网主机漏洞扫描后门、服务探测、文件共享、系统补丁、IE漏洞等主动式扫描主动防御Web监控与防篡改实时监控Web目录的变化情况，包括文件或文件夹的创建，修改，删除。脚本后门扫描根

17、据特征扫描能查出99%以上的脚本后门应用管控P2P下载控制识别和控制迅雷、BT、eDonkey、eMule等常见P2P下载软件P2P视频播放控制识别和控制PPLive、QQLive、PPStream、迅雷看看等常见P2P视频播放软件IM即时通讯软件控制识别和控制QQ、MSN等常用IM软件，一键式阻断IM机密文件传输在线游戏控制识别和控制魔兽、CounterStrike、征途、联众、浩方、泡泡堂等多种在线游戏软件炒股软件控制识别和控制大智慧、同花顺、国泰君安、证券之星、广发证券、指南针、通达信等多种炒股软件WEB分类过滤支持基于分类库的URL访问控制，可以对色情、反动等多种负面网站按类别进行选择

18、控制支持50多种分类库，1000万级网址智能特征库支持URL独立特征库，支持增量升级管理网络适应性接入模式支持透明、路由、混合三种工作模式支持DHCPClient、DHCPRelay、DHCPServer支持PPPoE接入，提供多条ADSL线路同时拨号接入，并具备自动断线重连技术支持多透明桥，支持端口联动路由支持静态路由，动态路由（OSPF、RIP等），VLAN间路由，单臂路由，组播路由等支持基于源/目的地址、接口、Metric、服务的策略路由支持多出口路由负载均衡支持ISP智能选路，内置多种ISP地址库，优化网络带宽；NAT支持双向NAT、动态地址转换和静态地址转换，并支持多对一、一对多和一

19、对一等多种方式的地址转换VLAN支持802.1Q和ISLVLAN封装协议，支持两种封装的互换以及VlanTrunk带宽管理基于IP地址、服务、网口、时间等定义带宽分配策略支持最小保证带宽和最大限制带宽支持分层的带宽管理动态协议在各种工作模式下均支持H.323（H.323GK）、SIP、FTP、MMS、RTSP、UPnP、XDMCP、TNS等多种动态协议无线接入3G支持3G（CDMA2000）协议，支持用户通过3G提供上行网络接入WIFI支持802.11B,802.11G协议，支持设备作为WiFi热点（即AP），为客户机提供无线安全接入服务IPv6地址设置支持IPv6地址、地址组配置路由策略支持

20、IPv6安全控制策略设置，能针对IPV6的目的/源地址、目的/源服务端口、服务、扩展头属性等条件进行安全访问规则的设置。支持IPv6静态路由双协议栈支持IPv6/IPv4翻译策略技术，包括支持静态NAT-PT、动态NAT-PT、NAPT-PT技术支持双栈、6to4隧道实现IPv6网络与IPv4网络访问VPNIPSecVPN支持标准IPSec协议，能够与CISCO、NETSCREEN等知名厂商的VPN设备互联互通支持预共享密钥、证书等认证方式且支持X扩展认证支持3DES、DES、AES等加密算法支持AH和ESP封装模式以及MD5、SHA1、SHA2等通用摘要算法支持DH1024、DH2048、R

21、SA1024、RSA2048等非对称加密算法支持多出口VPN，且支持NAT穿越支持隧道接力，并可通过隧道接力实现分级的树状VPN结构部署支持VPN隧道热备份功能，保持隧道连接的可靠性GRE/PPTP/L2TP支持GRE、PPTP、L2TP等VPN连接SSLVPN支持压缩，缓存、协议优化等应用加速技术,提高访问速度支持用户终端安全检查，及基于检测结果的访问控制支持用户账号与终端特征绑定。支持动态分配虚拟IP，支持虚拟IP与口令用户或证书用户进行绑定。C/S应用支持，支持TCP/IP协议的应用，包括：http，Email，Ftp，Notes，Outlook，Oracle,SQL等应用；支持基于US

22、BKey的证书认证，实现对远程接入用户的身份鉴别，并可根据用户类型和分组进行授权VRC客户端VPN客户端可与所有支持标准IPSec协议的VPN网关互联互通支持基于USBKey的证书认证方式IPSecVPN客户端支持MicrosoftWindows2000/XP、Vista等操作系统入侵检测与防御入侵检测集成基于统一安全引擎（USE）的IDS模块，具备1600种以上攻击特征库规则遵循关联安全标准（CSC）实现与IDS的联动蠕虫防护支持基于摘要索引的内容加速算法（DCA算法）的蠕虫病毒过滤采用基于TCP连接数管理的侦测技术，对感染蠕虫病毒的异常主机进行定位实现对blaster，nachi，nimd

23、a，codered，sasser，slapper，sqlexp，zotob等主流蠕虫病毒的识别、过滤和拦截抗DDoS/DoS攻击可识别和防御synflood、Pingflood、udpflood、teardrop、sweep、land-base、pingofdeath、smurf、winnuke、CC攻击、圣诞树、碎片等多种攻击内容过滤网页过滤支持对网页关键字和Java、JavaScript、ActiveX进行过滤邮件过滤支持对邮件地址、主题、正文、附件名、附件内容等进行关键字匹配过滤支持对中转垃圾邮件进行识别和过滤FTP过滤支持对FTP上传和下载文件的控制关联安全应用关联安全支持关联安全标准

24、（CSC）可实现与IDS等设备的联动可实现与内网安全管理系统（ISM）的联动管理配置系统管理支持友好的Web图形界面配置支持快速配置向导，增强系统配置易用性支持远程SSH和串口命令行配置支持数字证书和电子钥匙两种管理员认证方式，支持管理员权限分级支持SNMP管理，与当前通用的网络管理平台兼容可导出可读的配置文件并进行打印存档可进行配置文件的备份、下载、恢复和上传系统监控支持对CPU、内存、磁盘、网口、用户在线状态、连接数、路由表等信息的监控日志报警支持设备内存储和专用事件分析服务器两种日志管理方式日志采用中文方式，可读性强，并采用颜色区分日志级别可支持日志回滚操作，保存或覆盖最初日志信息；支持

25、分级报警，支持SNMPTrap和邮件等报警方式集中管理可通过专用的集中管理系统实现对防火墙的集中设备监控、集中日志审计、安全报警以及防火墙、VPN部分策略的分发等功能可通过专用的集中管理系统，实现对网络拓扑的管理，基于域的权限分配和报表自动生成，以及设备的历史状况回放可提供专用的软件实现对防火墙接入用户认证的集中管理，至少可同时管理2048台防火墙高可用性负载均衡支持多重冗余协议（MRP），实现链路备份、端口备份、热备份、集群备份等支持服务器负载均衡，支持轮询、加权轮叫、源地址HASH、目的地址HASH、最少连接、加权最少链接等多种调度算法支持防火墙多WAN口备份和负载均衡支持基于802.3a

26、d标准的多端口聚合，实现零成本扩展带宽通过状态同步技术实现232台防火墙的多机集群双机热备在NAT、路由、透明模式下支持A-A,A-S模式，且切换时间小于1秒可在热备和集群工作模式下支持多台防火墙的配置自动同步VRRP协议支持多台设备的热备和负载均衡支持虚拟MAC技术，对客户端完全透明网御防火墙的典型应用高可靠全链路冗余应用环境电信网络和许多骨干网络的可靠性要求很高，不允许出现因为设备的故障造成网络的不可用，因此在电信网络和骨干网络中加入防火墙的时候也必须考虑到这个问题，正常情况下两台防火墙均处于工作状态，可以分别承担相应链路的网络通讯。当其中一台防火墙发生意外宕机、网络故障、硬件故障等情况时

27、，该防火墙的网络通讯自动切换到另外一台防火墙，从而保证了网络的正常使用。下图为网御防火墙在骨干网络中应用的例子。骨干网内网分隔环境据赛迪（CCID）统计报告，网络攻击有70%以上来自于企业内部，因此，保护公司网络的安全不仅要保护来自互联网的侵害而且要防止内部的攻击。网御防火墙从3个到8个百兆接口可进行模块化扩展，除了可以用作多DMZ区设置外，还可以将内网进行多重隔离保护。通过防火墙将公司内部不同部门的网络或关键服务器划分为不同的网段，彼此隔离。这样不仅保护了企业内部网和关键服务器，使其不受来自Internet的攻击，也保护了各部门网络和关键服务器不受来自企业内部其它部门的网络的攻击。内网分隔的

28、另一个目的是：防止问题的扩大。如果有人闯进您的一个部门，或者如果病毒开始蔓延，网段能够限制造成的损坏进一步扩大。混合模式接入环境网御防火墙支持各种接入模式，分别为：透明模式、路由模式和混合模式，并支持各种模式之上的NAT模式。透明工作模式：防火墙工作在透明模式下不影响原有网络设计和配置，用户不需要对保护网络主机属性进行重新设置，方便了用户的使用。路由工作模式：防火墙相当于静态路由器，提供静态路由功能。混合工作模式：防火墙在透明模式和路由模式同时工作，极大提高网络应用的灵活性。下图为企业的典型应用，需要防火墙支持混合工作模式，而许多防火墙不支持这种接入模式，给企业的应用带来不便。例如：某企业内网

29、的地址为保留地址.2/24，企业的对外WWW服务器、MAIL服务器、DNS服务器的内部地址分别为的内端口地址为对于服务器和Internet之间防火墙可使用透明方式，内网与服务器或Internet之间可以使用NAT方式，方便灵活部署防火墙。多出口环境某省大学现有教职工总数1000多人，在校学生总数10000多人。学校的校园网络建设比较发达，网络接口到每一个学生宿舍，因此上网用户非常多，校园内共有30多个合法的C类地址用于教职工网络，用1个私有的B类地址用于学生上网。校园共有三个出口中国教育网、电信网和分校局域网，这时候接入防火墙的时候需要防火墙具有基于规则的路由功能，也就是说：不同主机或者目的地址在防火墙上的网关不同。网御防火墙具有基于策略的路由功能，可以根据源地址、目标地址等设定不同的路由，从