《-天清汉马USG-FW-P系列防火墙技术白皮书-V.》由会员分享,可在线阅读,更多相关《-天清汉马USG-FW-P系列防火墙技术白皮书-V.(26页珍藏版)》请在金锄头文库上搜索。
1、天清汉马USG-FW-P系列防火墙 技术白皮书二零一三年十月目 录1概述12天清汉马USG防火墙产品特点与技术优势22.1智能的VSP通用安全平台22.2高效的USE统一安全引擎32.3高可靠的MRP多重冗余协议42.4完备的关联安全标准52.5基于应用的内容识别控制6智能匹配技术6多线程扫描技术7应用感控技术72.6精确细致的WEB过滤技术82.7可信架构主动云防御技术82.8IPv6包状态过滤技术93天清汉马USG防火墙产品主要功能104典型组网174.1政府行业17电子政务网17政府专网184.2教育行业19高教校园网19中/基教教育城域网204.3企业市场21中小企业21大型企业221
2、 概述诞生20多年来,网络已经在全球经济中扎根发芽,蓬勃成长为参天大树,对各个行业的发展起着举足轻重的作用。随着时间的推移,网络的安全问题也日益严重,在开放的网络环境中,网络边界安全成为网络安全的重要组成部分。在网络安全的术语里,有一个名词叫做“安全域”,其主要作用就是将网络按照业务、保护等级、行为等方面划分出不同的边界,定义出各自的安全领域。举个简单的例子,在PC上安装了相关的杀毒软件,PC本身就是一个最简单的安全域。对于单位用户,安全域往往由若干网络设备和用户主机构成,其边界安全主要在于与互联网的边界、与其他业务网络的边界等。防火墙是解决网络边界安全的重要设备,它主要工作在网络层之下,通过
3、对协议、地址和服务端口的识别和控制达到防范入侵的目的,可以有效的防范基于业务端口的攻击。天清汉马USG防火墙是北京启明星辰信息安全技术凭借在信息安全领域多年的经验积累,总结分析用户的切身需求,推出新一代的P系列防火墙产品。天清汉马USG防火墙采用高性能的硬件架构和一体化的软件设计,除了实现了状态检测防火墙功能,还同时支持VPN、上网行为管理、抗拒绝服务攻击(Anti-DoS)、内容过滤、AV、入侵防御等多种安全技术,同时全面支持QoS、高可用性(HA)、日志审计等功能,为网络边界提供了全面实时的安全防护。天清汉马USG防火墙可直接通过功能许可激活的方式,获得包括防病毒(AV)、入侵防御(IPS
4、)、防垃圾邮件(Anti-Spam)和内网安全功能。天清汉马USG防火墙产品线丰富,可以为政府、教育、金融、企业、能源、运营商等用户提供所需要的全系列的安全防护产品。2 产品综述2.1 产品综述天清汉马下一代p系列USG防火墙是集防火墙、VPN、上网行为管理AC、内容过滤、防病毒、入侵防护等多种安全技术于一身,高性能、绿色低碳,同时全面支持各种路由协议、QoS、高可用性(HA)、日志审计等功能,为网络边界提供了全面实时的安全防护,帮助用户抵御日益复杂的安全威胁。天清汉马USG防火墙采用了一体化的设计方案,在一个产品中协调统一地实现了接入安全需要考虑的方方面面。采用天清汉马USG防火墙,可以从整
5、体上解决了接入安全的问题。用户可不必考虑产品部署、兼容性等困惑,也不再因为多个产品难于维护管理而苦恼,天清汉马USG防火墙是低成本、高效率、易管理的理想解决方案。天清汉马USG防火墙产品线丰富,可以为政府、教育、金融、企业、能源、运营商等用户提供所需要的全系列的安全防护产品。自从天清汉马USG防火墙推向市场以来,很快就凭借其强大的功能和在实际应用中优异表现,赢得了众多机构和用户的广泛赞誉。2.2 特点说明天清汉马USG防火墙具有如下特点:l 完善的防火墙特性 支持基于源IP、目的IP、源端口、目的端口、时间、服务、用户、文件、网址、关键字、邮件地址、脚本、MAC地址等方式进行访问控制 支持流量
6、管理、连接数控制、IP+MAC绑定、用户认证等 支持虚拟防火墙:可以将接口划分给不同的虚拟防火墙,每个虚拟防火墙具有独立的管理员、安全域、资源对象、安全策略、NAT规则、静态路由等配置 同终端无缝结合:支持同天珣内网安全管理系统联动,将防火墙防御能力推进到桌面终端l 高网络适用性 支持透明、路由和NAT模式部署 支持静态路由、策略路由、RIP/OSPF/BGP动态路由,支持等价路由ECMP和加权路由WCMP,支持组播路由 支持STP,可以同二层网络设备进行生成树计算 支持IGMP Snooping,优化在桥模式下的组播流量 支持私有HA和VRRP 支持IPv6:支持IPv4、IPv6双栈运行、
7、静态IPv6路由、手工隧道、6to4隧道和ISATAP隧道。 支持链路聚合,可通过手动方式、IEEE802.3ad 静态LACP方式创建聚合链路;通过链路聚合可以增加链路带宽,并起到负载均衡和链路备份的作用 支持802.11B,802.11G协议,可以扩展WIFI模块以提供WIFI接入,支持设备作为WiFi热点(即AP),为客户机提供无线安全接入服务 支持3G(CDMA2000)协议,可以扩展3G模块以提供3G上行网络接入l 高稳定性和可靠性 产品具有高性能,同时多核之间互为备份,可靠性高 支持私有协议HA和VRRP,实现双机热备和冗余 支持双操作系统和多配置文件,最大支持10个配置文件备份l
8、 全面的VPN支持 多VPN支持: IPSec、L2TP、SSL VPN、GRE 丰富的应用:专用VPN客户端、USBKEY、动态口令卡、图形认证码 灵活的部署:Hub-Spoken、Full-Mesh、DVPN、网关网关的SSL VPN 支持对IPAD、IPHONE等移动终端的VPN接入l 完善的上网行为管理功能 采用独立的上网行为管理库,通过互联网实现每周更新。 P2P控制:对Emule、BitTorrent、Maze、Kazaa等进行阻断、限速 IM控制:基于黑白名单的IM登录控制、文件传输阻止、查毒;支持主流IM软件如QQ、MSN、雅虎通、Gtalk、Skype 流媒体控制:对流媒体应
9、用进行阻断或限速,支持Kamun ppfilm 、PPLive、PPStream、QQ直播、TVAnts、沸点网络电视、猫扑播霸等 网络游戏控制:对常见网络游戏如魔兽世界、征途、QQ游戏大厅、联众游戏大厅等的阻断 股票软件控制:对常用股票软件如同花顺、大参考、大智慧等的阻断l 强大的日志报表功能 记录内容丰富:可对防火墙日志、攻击日志、病毒日志、带宽使用日志、Web访问日志、Mail发送日志、关键资产访问日志、用户登录日志等进行记录 日志快速查询:可对IP地址、端口、时间、危急程度、日志内容关键字等进行查询 报表贴近需求:根据用户具体需求,定制报表内容、定制报名名称、定制企业LOGO,并可形成
10、多种格式的报表文件。l 方便的集中管理功能 通过集中管理与数据分析中心实现对多台设备的统一管理、实时监控、集中升级和拓扑展示。3 体系架构说明3.1 产品构成天清汉马USG防火墙主要由两部分组成:USG防火墙设备和天清集中管理与数据分析中心。USG防火墙设备:即部署在网络出口,融合多种安全能力,针对恶意攻击、非法活动和网络资源滥用等威胁,实现精确防控的高可靠、高性能、易管理的网关安全设备。天清集中管理与数据分析中心:主要功能分为集中管理功能与数据分析功能,集中管理是对USG防火墙设备的集中管理、统一监控和升级中心,通过它可以集中配置、监控和管理所管辖的多台USG防火墙设备,并按照一定的规则组织
11、成层次结构,方便管理员对于整网USG防火墙设备的监控维护工作;数据分析中心是USG防火墙设备海量信息的后台处理中心。主要完成USG防火墙设备日志和流量信息的存储、分析、审计和处理功能。3.2 软件结构防火墙作为网关类产品,究竟什么样的软件结构更有利于提升整体性能?那么首先需要知道什么是性能消耗的关键业务单元。启明星辰通过对网关类产品单一分析处理引擎的详细分析和试验验证,得出网关类产品性能消耗50来自于模式匹配,25来自于协议重组、25来自于报文重组的结论。图1. 网关分析处理引擎性能消耗分析如何融合分析处理引擎,合并性能消耗关键业务单元成为防火墙产品软件结构设计首要考虑的问题。基于研究数据,启
12、明星辰在天清汉马USG防火墙的软件结构设计上引入了一体化的设计理念。即将防火墙、VPN、内容过滤和流量管理等各项功能的分析处理引擎进行一体化设计,以达到性能最优的目的。天清汉马USG防火墙本着安全高效原则,采用“检测与控制相分离,引擎特征相统一”的一体化设计思想:人机界面、报文接收模块、报文处理模块、报文发送模块和支撑库。网络报文首先通过报文接收模块进行预处理后进入报文处理模块,在报文处理模块,防火墙进行23层过滤,VPN负责接入控制;其次模块匹配引擎和行为分析引擎分别根据统一特征库和行为知识库进行匹配查找;最后,对于合法报文直接交由报文发送模块进行报文转发,对于非法报文,送交相应的处理引擎进
13、行处理。整个过程的日志信息和数据流量信息送集中管理与数据分析中心监控和备案,管理中心负责整体的配置和调整。4 关键技术天清汉马USG防火墙采用了多种创新技术,为确保多种安全能力的融合,性能的持续恒定起到了重要作用。4.1 智能的VSP通用安全平台天清汉马USG防火墙采用创新的VSP(VersatileSecurity Platform)这是网御惯用的说法,查一下原先USG的说法是什么样的保持一致通用安全平台,将实时操作系统、网络处理、安全应用等技术完美地结合在一起,使防火墙产品具备了高智能、高性能、高安全性、高健壮性、 高扩展性等特点。图也是网御的图VSP面向网络吞吐和安全处理,采用基于组件的
14、多平面架构,整个系统分为控制平面、数据平面、系统服务平面和硬件抽象平面,通过控制平面和数据平面的分离,不同于Linux,FreeBSD等通用操作系统追求均衡的方向,集中主要资源于网络吞吐和安全处理,使系统具有极强的实时性和网络吞吐能力。由于系统功能与资源管理分别工作在不同的平面,各平面和模块之间共同遵循标准接口函数,系统具有高度灵活性和可扩展性。通过将硬件驱动与资源管理独立为一个单独的硬件抽象平面模块,对上层软件提供统一调用接口,对下层硬件统一定义驱动标准,适应多种不同规格的硬件架构,实现与多种专用芯片的无缝融合,可充分利用从IXP,PowerPC到NP、多核多线程CPU、内容加速芯片等各种先
15、进硬件平台的优势,使天清汉马USG防火墙在性能方面一路领先。4.2 高效的整合内容引擎天清汉马USG防火墙使用高效的ICE(Integrated content engine)整合内容引擎。它将状态包过滤、VPN、IDS、内容过滤、用户认证等多个子系统集成于单一平台,构造统一架构,综合并优化各子系统,去除冗余,简化数据处理流程,实现统一的安全引擎处理机制。图也是网御的整合内容引擎克服了传统上各个引擎独自为战的缺点,通过高效的引擎集成技术,将各个安全功能有机地整合为一体,状态检测、协议分析机、深度过滤、内容检测等引擎协同工作,对于监测的数据包,一次性拆包即可完成2-7层的检测,同时采用基于摘要索引的内容处理加速算法,有效地提高了引擎的处理效率。ICE通过多协议融合分析技术和事件关联再分析技术,综合内容实体,时间因素,提高了安全事件的检测率。ICE采用标准化技术,对内提供统一服务接口,使安全功能易于扩展,充分满足安全需求的快速发展;对外实现安全策略的统一配置,给用户带来可管理的等级化安全。4.3 高可靠多重冗余协议网御惯用说法利用电信骨干网可靠性运营维护专业经验,天清汉马USG防火墙通过创新的多重冗余协议,在物理层、链路层、网络层、实体层等多个层面实现多元化冗余设计,有效
