收藏
下载资源

联想网御FW-GL 防火墙产品白皮书

上传人:ji****72 文档编号:45935881 上传时间:2018-06-20 格式:PDF 页数:10 大小:362.70KB
返回 下载 相关 举报
联想网御FW-GL 防火墙产品白皮书_第1页
第1页 / 共10页
联想网御FW-GL 防火墙产品白皮书_第2页
第2页 / 共10页
联想网御FW-GL 防火墙产品白皮书_第3页
第3页 / 共10页
联想网御FW-GL 防火墙产品白皮书_第4页
第4页 / 共10页
联想网御FW-GL 防火墙产品白皮书_第5页
第5页 / 共10页
点击查看更多>>
资源描述

《联想网御FW-GL 防火墙产品白皮书》由会员分享,可在线阅读,更多相关《联想网御FW-GL 防火墙产品白皮书(10页珍藏版)》请在金锄头文库上搜索。

1、 联想网御 2000 FW-GL 防火墙 产品白皮书 联想网御 2000 FW-GL 防火墙 产品白皮书 联想集团 信息安全服务事业部 联想集团 信息安全服务事业部 联想网御 2000 FW-GL 防火墙产品白皮书 1目 录 目 录 1 产品定位. 2 2 设计理念. 2 3 产品特点. 2 4 技术特点. 3 5 产品特性. 5 6 功能简介. 6 7 典型应用. 8 联想网御 2000 FW-GL 防火墙产品白皮书 21 产品定位产品定位 联想网御 FW-GL 防火墙是基于 NP(Network Processor 网络处理器)架构的千兆线速 硬件防火墙。 它工作于千兆光纤主干网络通信环境

2、, 是高通信流量网络中构建信息安全系统 的核心设备,可广泛应用于电信、金融、电力、交通等行业的信息高速公路之中。 2 设计理念设计理念 随着千兆网络上数据吞吐量的不断膨胀, 越来越多的网络主干转移到了千兆的通信平台 上,并且随着信息化的提高,经常需要在网络中传输视频、语音、多媒体等信息,这样必须 使用带宽高的网络,防火墙既要为用户提供完备的安全防护,又不能成为网络的瓶颈。联想 基于对客户需求的深刻理解, 依托在防火墙技术上的多年积累和不断创新, 以网络拓扑适应 能力强、数据吞吐处理性能高、产品功能丰富易用和产品运行稳定可靠为主要设计原则,基 于 NP 架构自主研制开发并推出了联想网御 2000

3、 FW-GL 防火墙。 3 产品特点产品特点 ? 采用基于 NP 架构的第三代防火墙技术,千兆线速无瓶颈,可支撑网络中大数据流的吞 吐 采用基于 NP 架构的第三代防火墙技术,千兆线速无瓶颈,可支撑网络中大数据流的吞 吐 作为应用于网络主干的防火墙, 其数据处理和吞吐能力一定要强, 以免成为网络通 讯的瓶颈。联想网御 2000 FW-GL 防火墙基于 NP(网络处理器)架构,是真正的硬件级 防火墙,由专用芯片进行包处理工作,千兆状态下的网络吞吐率达到线速,完全可以支 撑千兆主干网络中大数据流吞吐。 ? 自主知识产权的内核,系统安全性和抗攻击能力强 自主知识产权的内核,系统安全性和抗攻击能力强

4、防火墙产品作为网络信息安全系统的一个组成部分, 首先它自身必须是 “安全” 的, 才能最大程度地抵御外来入侵。联想网御 2000 FW-GL 防火墙采用自主知识产权的内 核,产品运行的密闭性好,防火墙本身的系统安全性和抗攻击能力强,为用户提供了一 个可信赖的安全平台。 ? 多种工作模式,网络拓扑适应能力强 多种工作模式,网络拓扑适应能力强 联想网御 2000 FW-GL 防火墙支持透明模式和路由模式,可以根据用户实际网络拓 扑,选择使用相应的工作模式。通过与之配合的防火墙虚拟网关技术,大大提高了联想 网御 2000 FW-GL 防火墙的适应性、安全性和高性能。 ? 虚拟网关技术,保证用户的不同

5、安全需求 虚拟网关技术,保证用户的不同安全需求 联想网御 2000 FW-GL 防火墙使用虚拟网关技术,在一台防火墙内最多可以模拟 500 个逻辑上完全独立的子防火墙, 每个子防火墙为一个特定的用户群单独定制安全服 务。 通过这一功能, 多个独立的机构或不同安全等级需求的部门可以共享一条高速的千 兆线路连接到网络,同时各自独立地定义自己的安全规则。 ? 防火墙功能丰富,配置简便,可实现在网络中的快速部署 防火墙功能丰富,配置简便,可实现在网络中的快速部署 联想网御 2000 FW-GL 防火墙基本功能丰富,满足用户网络不同的应用需求。全中 文标准 Windows 设置界面, 可以使用户快速熟悉

6、防火墙的使用和配置, 进一步降低了防 火墙应用的技术门槛;同时,按功能设计的简洁的设置方式,可快速地完成防火墙各种 应用设置,实现防火墙在用户网络中的快速部署。 ? 支持双机热备和端口冗余,进一步提高关键业务运行的可靠性 支持双机热备和端口冗余,进一步提高关键业务运行的可靠性 对于需要网络可靠性高的业务, 联想网御 2000 FW-GL 防火墙提供双机热备和端口 冗余功能,一旦主防火墙发生线路故障、死机或系统崩溃等现象,从端口或从防火墙将 立即取代主防火墙进行工作,同时从防火墙会及时向管理员发送报警信息。这样,对于联想网御 2000 FW-GL 防火墙产品白皮书 3网络主干的关键业务来说,防火

7、墙系统本身不会成为网络上的“单点故障点” ,进一步 提高了关键业务运行的可靠性。 ? 产品通过多方权威认证,稳定性、可靠性强,完全满足关键业务的安全运行需求 产品通过多方权威认证,稳定性、可靠性强,完全满足关键业务的安全运行需求 防火墙产品的稳定性和可靠性是用户十分关心的技术性能,联想网御 2000 FW-GL 防火墙的 MTBF (平均故障间隔时间) 大于 100,000 小时, 完全可以满足用户 724365 的安全运行需求;同时,联想网御 2000 FW-GL 防火墙顺利通过了国家信息安全评测认 证中心、国家保密局、公安部和中国人民解放军信息评测认证中心的严格评测认证,完 全具备满足用户

8、关键业务安全运行需求的能力。 4 技术特点技术特点 ? 创新性架构 创新性架构 联想网御 2000 FW-GL 防火墙是基于 NP(Network Processor)架构的新一代千兆防 火墙。它的创新性架构可适用于大流量、高速的千兆网络中,提供超越基于 ASIC 解决 方案的速度和良好的软件扩展性。网络处理器通过高性能的 LX 和 PCI 总线,内嵌的操 作系统,一个全新的策略匹配算法,保障了千兆网络线速的网络吞吐量。 联想网御 2000 FW-GL 防火墙保证了线速、 全双工的千兆流量, 并且可以防御 DDoS 拒绝服务攻击。此外它的创新性架构未来可以扩展到 10GB 的带宽。 联想网御

9、2000 FW-GL 防火墙同时提供了 2 个千兆网络接口和 2 个冗余接口, 一个 用于内部接口,一个用于外部接口。下图描述了联想网御 2000 FW-GL 防火墙的硬件架 构。 ? 虚拟网关 虚拟网关 对需要为客户提供单独安全服务的运营商,或者是下属有多个分支机构的大企业, 1 台联想网御 2000 FW-GL 防火墙可以提供最多 500 个独立的安全域,我们称之为虚拟 网关(Virtual Gateways,VGs) 。通过虚拟网关功能,可以在一台防火墙设备上模拟多 个逻辑上完全独立的防火墙。 每个虚拟网关为一个特定的用户群单独定制安全服务。 通 过这一功能,多个独立的机构可以共享一条高

10、速的千兆线路连接到公共网络(如 Internet) ,同时各自独立地定义自己的安全规则。 联想网御2000 FW-GL防火墙是目前唯一在国产防火墙中实现了这一功能的防火墙。 在这个功能基础上,防火墙对流量的配置和管理将会变得很简单,因为联想网御 2000 液晶显示器,日志硬盘 液晶显示器,日志硬盘 处理器 处理器 10/100 接口10/100 接口PCI总总1200 主 协处理器 1200 主 协处理器 中间件中间件 1200 从 协处理器 1200 从 协处理器 LX 总线总线主千兆端口主千兆端口从千兆端口从千兆端口主千兆端口主千兆端口 从千兆端口从千兆端口 联想网御 2000 FW-GL

11、 防火墙产品白皮书 4FW-GL 防火墙是一台真正的线速(wire-speed)设备。在其他环境下,网关/防火墙设 备没有足够的带宽来支持所有的请求, 只能为不同的数据流定义传输的优先级别来解决 拥塞问题。联想网御 2000 FW-GL 防火墙进/出均达到千兆速率,不存在这一问题。 同时,每个 VG 都有独立的管理界面,在标准的浏览器界面中输入联想网御 2000 FW-GL 防火墙的管理 IP 地址,VG 的登录界面会自动出现。想要同时配置所有的 VG,需 要通过专用的配置网络接口(浏览器)或者串口(命令行)来进行。虚拟网关可以被配 置成透明模式或者 NAT/路由模式。根据虚拟网关的配置,来自

12、不可信网络的流量会直 接流到具有相应的目标 IP 地址或者 VLAN 号的虚拟防火墙上。 从受保护网络到不可信任 网络的流量,基于相应的源 IP 地址或 VLAN 号,也会通过适当的虚拟防火墙才能流出。 ? 快速策略匹配 快速策略匹配 联想网御 2000 FW-GL 防火墙的另一个优点是它独特的快速策略匹配法则。传统的 防火墙策略或访问控制列表是基于源或目的地址、协议、服务、时刻表来进行允许或阻 断的。这样做,防火墙必须每次从头开始搜索整个控制列表,找到符合这一条目的策略 来应用。 随着策略表的增大, 防火墙不可避免的将降低速度。 尽管我们可以使用一个更快的 处理器或是专门定做的一个硬件处理器

13、, 但还是不能完全消除影响, 从而这里成为网络 的一个明显瓶颈。 联想 FW-GL 的快速策略匹配法则可以很好的解决这个问题, 下表很好的比较了传统 的防火墙查找策略和我们独特的法则查找之间的速度。 VG1 VG2VG3VG4VG5千兆路由器千兆交换机千兆路由器千兆交换机 用户用户 1 服务器群服务器群 A 划分划分 5 个个 VG 的网御的网御 FW-GL用户用户 2 用户用户 3用户用户 4用户用户 n Internet服务器群服务器群 B服务器群服务器群 C服务器群服务器群 D使用网御使用网御 FW-GL 划 分划 分 5 个个 VG,在一个 共享的环境中分别保 护,在一个 共享的环境中

14、分别保 护 5 个客户群的网络 安全。个客户群的网络 安全。 联想网御 2000 FW-GL 防火墙产品白皮书 5规则数目(条) 1000 2000 4000 线性搜索 1024 2048 4096 快速策略查找 10 11 12 另外,联想网御 2000 FW-GL 防火墙同时提供一个专用的动态协议处理器可以用更 快的速度实现动态协议匹配。一个专门的基于多网络协议的架构、专注的系统核心、快 速策略查找法则、专用的动态协议处理器,可以使联想网御 2000 FW-GL 防火墙完全胜 任千兆线速线路。 ? 冗余性和可靠性 冗余性和可靠性 联想网御 2000 FW-GL 防火墙为诸如大型企业、重要行业、运营商这样需要不停顿 服务的环境而设计。联想网御 2000 FW-GL 防火墙提供部件级的冗余,具有冗余端口架 构,主从端口之间可以进行任务的失败转移(Fail Over) 。同时,联想网御 2000 FW-GL 防火墙还具有双路热插拔电源(AC/DC 可选) ,冗余的风扇单元,可以为用户提供最佳 的服务保障。此外,它还支持主-从结构双机热备的高可用模式,主/从机之间可以进行 任务的失败转移。特性包括: ? 冗余的 GBIC 输入/输出接口; ? 可热插拔的风扇托架(标配为 1 组风扇) ; ? 日志硬盘为 2 块,为作 RAID-1 镜像的热插拔 SCSI 硬盘; ? 闪存(Fl

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 行业资料 > 其它行业文档

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号