《网御防火墙技术白皮书v4.5-20130531》由会员分享,可在线阅读,更多相关《网御防火墙技术白皮书v4.5-20130531(25页珍藏版)》请在金锄头文库上搜索。
1、网御防火墙技术白皮书 V3.0 北京网御星云信息技术有限公司 网御防火墙技术白皮书 北京网御星云信息技术有限公司 通信地址:北京市海淀区中关村南大街 6 号中电信息大厦 8 层(邮编:100086) 电 话:01082166999 传 真:01082166998 网 址: 服务热线:400-810-7766(24 小时) 目 录 1序言序言1 2产品概述产品概述.2 3网御防火墙产品特点与技术优势网御防火墙产品特点与技术优势 .3 3.1 智能的 VSP 通用安全平台3 3.2 高效的 USE 统一安全引擎4 3.3 高可靠的 MRP 多重冗余协议.5 3.4 完备的关联安全标准 6 3.5
2、基于应用的内容识别控制 7 3.5.1 智能匹配技术.7 3.5.2 多线程扫描技术.7 3.5.3 应用感控技术.8 3.6 精确细致的 WEB 过滤技术.8 3.7 可信架构主动云防御技术 9 3.8 IPV6 包状态过滤技术 9 4网御防火墙产品主要功能网御防火墙产品主要功能.10 5网御防火墙的典型应用网御防火墙的典型应用 17 5.1 高可靠全链路冗余应用环境 17 5.2 骨干网内网分隔环境18 5.3 混合模式接入环境18 5.4 多出口环境19 6产品殊荣产品殊荣.21 网御防火墙技术白皮书 北京网御星云信息技术有限公司1 通信地址:北京市海淀区中关村南大街 6 号中电信息大厦
3、 8 层(邮编:100086) 电 话:01082166999 传 真:01082166998 网 址: 服务热线:400-810-7766(24 小时) 1序言序言 随着信息化建设的深入推进,近些年信息安全正在发生着翻天覆地的变化。之前 的很长一段时间里,IT 人员的工作主要是搭建网络基础平台,用户对信息安全的需求 则主要是对基础设施进行安全防护,安全产品给信息系统带来的价值无法衡量,有时 甚至变成一种心理安慰,这一时期可以称之为“信息安全 1.0 时代”。而随着信息化发展 的逐渐深入,信息化建设将风险推向前台。尤其是随着信息化的发展,更多的工作平 台、业务平台都搬上网络,网络从传输“数据”
4、进化到传输“钞票”,有时甚至是关系国家 安全、社会责任等国计民生的重大内容,信息安全正式进入了 2.0 时代。 在“信息安全 2.0 时代”,应用与数据安全的保障是摆在信息安全厂商面前最迫切的 课题,作为信息安全的基础设施产品-防火墙也面临着新的机遇与挑战。网御防火墙 适应用户的需求,在不断提高性能的同时,功能上包括基于应用的识别控制,深层内 容过滤等方面都取得了重要突破,为用户构建完整的应用与数据安全解决方案,全方 位保障业务的安全运行提供了有力的手段。 网御防火墙技术白皮书 北京网御星云信息技术有限公司2 通信地址:北京市海淀区中关村南大街 6 号中电信息大厦 8 层(邮编:100086)
5、 电 话:01082166999 传 真:01082166998 网 址: 服务热线:400-810-7766(24 小时) 2产品概述产品概述 网御防火墙是网御自主研发的核心产品。1999 年联想研究院设计并开发完成第一 代防火墙产品。网御防火墙产品历经简单包过滤防火墙、状态包过滤防火墙、深度内 容过滤和完全内容检测防火墙等发展阶段,并集成了防火墙、VPN、入侵检测与防御、 防蠕虫病毒、上网行为管理、流量整形等众多功能。目前已广泛应用在税务、公安、 政府、部委、能源、交通、军队、电信、金融、企业等各行业,并为其网络和应用提 供安全保障。 网御防火墙分为多核金刚万兆系列,超五系列、AISC 系
6、列、强五系列和精五系 列,共计 80 余款,从大型骨干网络的安全防护到小型办公室网络的安全接入都有相应 的防火墙产品。超五防火墙基于创新的多核架构,使国内性能最高的万兆级防火墙。 ASIC 系列具有强劲的小包处理性能,64 字节小包达到 10Gbps,是国内为数不多的高 性能防火墙之一;强五防火墙具备强大的安全功能,是集防火墙、IPSEC VPN、SSL VPN、漏洞扫描、主动防御、入侵检测与防护系统、防网络病毒、内容检测与过滤、 绿色上网、带宽管理、高可用性等众多功能于一身的多威胁统一管理的综合防火墙。 精五防火墙面向中小型企业和单位,基于“免维护、零管理成本”的设计理念,集成 防火墙、VP
7、N、主动防御及交换机等功能,具备简单易用的特点。 今天,作为国内信息安全产业的佼佼者,网御通过对信息安全产业发展趋势的敏 锐判断,率先开始了在应用与数据安全领域的布局,通过在产品、技术、服务及解决 方案的全面创新,为用户提供真正有价值的信息安全整体防护方案,抢先布局“信息安 全 2.0”时代。 网御防火墙技术白皮书 北京网御星云信息技术有限公司3 通信地址:北京市海淀区中关村南大街 6 号中电信息大厦 8 层(邮编:100086) 电 话:01082166999 传 真:01082166998 网 址: 服务热线:400-810-7766(24 小时) 3网御防火墙产品特点网御防火墙产品特点与
8、技术优势与技术优势 3.1 智能的智能的 VSP 通用安全平台通用安全平台 网御防火墙采用创新的 VSP(Versatile Security Platform)通用安全平台,将实 时操作系统、网络处理、安全应用等技术完美地结合在一起,使防火墙产品具备了高 智能、高性能、高安全性、高健壮性、 高扩展性等特点。 VSP 面向网络吞吐和安全处理,采用基于组件的多平面架构,整个系统分为控制 平面、数据平面、系统服务平面和硬件抽象平面,通过控制平面和数据平面的分离, 不同于 Linux,FreeBSD 等通用操作系统追求均衡的方向,集中主要资源于网络吞吐 和安全处理,使系统具有极强的实时性和网络吞吐能
9、力。 由于系统功能与资源管理分别工作在不同的平面,各平面和模块之间共同遵循标 网御防火墙技术白皮书 北京网御星云信息技术有限公司4 通信地址:北京市海淀区中关村南大街 6 号中电信息大厦 8 层(邮编:100086) 电 话:01082166999 传 真:01082166998 网 址: 服务热线:400-810-7766(24 小时) 准接口函数,系统具有高度灵活性和可扩展性。 通过将硬件驱动与资源管理独立为一个单独的硬件抽象平面模块,对上层软件提 供统一调用接口,对下层硬件统一定义驱动标准,适应多种不同规格的硬件架构,实 现与多种专用芯片的无缝融合,可充分利用从 IXP,PowerPC
10、到 NP、多核多线程 CPU、内容加速芯片等各种先进硬件平台的优势,使网御防火墙在性能方面一路领先。 3.2 高效的高效的 USE 统一安全引擎统一安全引擎 网御防火墙具有高效的 USE(Uniform Security Engine)统一安全引擎。它将状 态包过滤、VPN、IDS、内容过滤、用户认证等多个子系统集成于单一平台,构造统一 架构,综合并优化各子系统,去除冗余,简化数据处理流程,实现统一的安全引擎处 理机制。 统一安全引擎克服了传统上各个安全引擎独自为战的缺点,通过高效的引擎集成 网御防火墙技术白皮书 北京网御星云信息技术有限公司5 通信地址:北京市海淀区中关村南大街 6 号中电信
11、息大厦 8 层(邮编:100086) 电 话:01082166999 传 真:01082166998 网 址: 服务热线:400-810-7766(24 小时) 技术,将各个安全功能有机地整合为一体,状态检测、协议分析机、深度过滤、内容 检测等引擎协同工作,对于监测的数据包,一次性拆包即可完成 2-7 层的检测,同时 采用联想的专利技术-基于摘要索引的内容处理加速算法,有效地提高了引擎的处理 效率。 USE 通过多协议融合分析技术和事件关联再分析技术,综合内容实体,时间因素, 提高了安全事件的检测率。 USE 采用标准化技术,对内提供统一服务接口,使安全功能易于扩展,充分满足 安全需求的快速发
12、展;对外实现安全策略的统一配置,给用户带来可管理的等级化安 全。 3.3 高可靠的高可靠的 MRP 多重冗余协议多重冗余协议 基于网御拥有的高可靠设计专利技术,利用电信骨干网可靠性运营维护专业经验, 网御防火墙通过自有的 MRP 多重冗余协议,在物理层、链路层、网络层、实体层等多 个层面实现多元化冗余设计,有效地保障网御防火墙在用户网络应用中的高可用性。 2 个都用 Super V-7318 的 图片代替 网御防火墙技术白皮书 北京网御星云信息技术有限公司6 通信地址:北京市海淀区中关村南大街 6 号中电信息大厦 8 层(邮编:100086) 电 话:01082166999 传 真:01082
13、166998 网 址: 服务热线:400-810-7766(24 小时) 基于多出口负载均衡的链路备份。基于多出口负载均衡的链路备份。链路层支持多 WAN 口出口,实现多出口间的 负载均衡和备份,任何一条链路的故障瘫痪不会影响网络的正常运行。 基于基于 802.3ad802.3ad 标准的端口聚合。标准的端口聚合。物理端口支持 802.3ad 标准,可实现多物理端 口聚合,帮助用户做到“零投资”带宽倍增。 基于状态自动探测的双机热备。基于状态自动探测的双机热备。当主系统发生故障或对应线路的网络故障时, 备份机可自动检测并切换到主状态,接管主系统的工作,切换时间小于 1 秒钟。 基于状态增量同步
14、的多机集群。基于状态增量同步的多机集群。支持主动负载均衡、会话保护和接管以及主动 配置同步等功能,尤其是采用国内首创的“状态增量同步技术”解决多台防火 墙之间的状态一致性问题,实现了业务在多台防火墙之间的平滑任意分布和切 换,解决了采用 VRRP 协议和动态路由协议带来的“业务续断问题” ,最多可以 支持高达 8 台的防火墙集群。 3.4 完备的关联安全标准完备的关联安全标准 网御具备完备的关联安全标准即(CSC: Correlative Security Criterion) ,网御以 “面向业务的安全架构”为技术理念,以“统一安全,立体防御”为设计目标,参照 国际标准,系统地开发了安全管理
15、协议、安全联动协议、安全审计协议等协议族,构 成了完备的关联安全标准。 网御防火墙技术白皮书 北京网御星云信息技术有限公司7 通信地址:北京市海淀区中关村南大街 6 号中电信息大厦 8 层(邮编:100086) 电 话:01082166999 传 真:01082166998 网 址: 服务热线:400-810-7766(24 小时) 网御防火墙系列全面支持 CSC 标准,一方面可以保证安全管理中心可以通过安全 管理协议全面掌控防火墙的运行,另一方面通过统一的事件格式、事件等级、发送协 议,使安全审计中心只要遵从安全审计协议即可以对防火墙的安全事件进行集中、可 视化审计。同时,网御防火墙遵从安全
16、联动协议,可以使主机安全软件,入侵检测等 系统以防火墙为核心构建深度安全防御体系,使网络安全从独立、单一防护的安全产 品保护发展为立体、全面、动态的防护。 3.5 基于应用的内容识别控制基于应用的内容识别控制 网御防火墙系列拥有目前最完善的应用识别特征库,通过智能分析技术,将 P2P、IM、炒股软件和在线游戏等协议的应用行为、加密方式、处理动作等特点整理成 库。当流量经过防火墙时,防火墙启动过滤引擎,对流量进行特征值的匹配。当过滤 引擎搜索到与之匹配的特征码时,防火墙即可应用智能识别技术进行细粒度控制或一 键封锁。 如何快速而准确地识别各种上网行为,是决定防火墙性能的关键因素。网御防火 墙从如下几个方面保障内容识别的高速与准确。 3.5.1 智能匹配技术智能匹配技术 网御防火墙技术白皮书 北京网御星云信息技术有限公司8 通信地址:北京市海淀区中关村南大街 6 号中电信息大厦 8 层(邮编:100086) 电 话:01082166999 传 真:01082166998
