网御防火墙

网御防火墙是网御自主研发的核心产品。1999年联想研究院设计并开发完成第一代防火墙产品。网御防火墙产品历经简单包过滤防火墙、状态包过滤防火墙、深度内容过滤和完全内容检测防火墙等发展阶段,并集成了防火墙、VPN、入侵检测与防御、防蠕虫病毒、上网行为管理、流量整形等众多功能。

网御防火墙
  • 系统简介
  • 产品功能介绍
网御防火墙是网御自主研发的核心产品。1999年联想研究院设计并开发完成第一代防火墙产品。网御防火墙产品历经简单包过滤防火墙、状态包过滤防火墙、深度内容过滤和完全内容检测防火墙等发展阶段,并集成了防火墙、VPN、入侵检测与防御、防蠕虫病毒、上网行为管理、流量整形等众多功能。目前已广泛应用在税务、公安、政府、部委、能源、交通、军队、电信、金融、企业等各行业,并为其网络和应用提供安全保障。
网御防火墙PowerV系列,共计80余款,从大型骨干网络的安全防护到小型办公室网络的安全接入都有相应的防火墙产品。PowerV防火墙基于创新的多核架构,ASIC系列具有强劲的小包处理性能,64字节小包达到40Gbps,即万兆线速,是国内为数不多的高性能防火墙之一;最新发布的Power V高性能防火墙,整机吞吐达到320Gbps,并发5000万。PowerV防火墙具备强大的安全功能,是集防火墙、IPSEC VPN、SSL VPN、漏洞扫描、主动防御、入侵检测与防护系统、防网络病毒、内容检测与过滤、上网行为管理、带宽管理、高可用性等众多功能于一身的多威胁统一管理的综合防火墙。PowerV低端产品,基于“免维护、零管理成本”的设计理念,集成防火墙、VPN、主动防御及交换机等功能,具备简单易用的特点。

产品概述

网御防火墙是网御自主研发的核心产品。1999年联想研究院设计并开发完成第一代防火墙产品。网御防火墙产品历经简单包过滤防火墙、状态包过滤防火墙、深度内容过滤和完全内容检测防火墙等发展阶段,并集成了防火墙、VPN、入侵检测与防御、防蠕虫病毒、上网行为管理、流量整形等众多功能。目前已广泛应用在税务、公安、政府、部委、能源、交通、军队、电信、金融、企业等各行业,并为其网络和应用提供安全保障。

网御防火墙PowerV系列,共计80余款,从大型骨干网络的安全防护到小型办公室网络的安全接入都有相应的防火墙产品。PowerV防火墙基于创新的多核架构,ASIC系列具有强劲的小包处理性能,64字节小包达到40Gbps,即万兆线速,是国内为数不多的高性能防火墙之一;最新发布的Power V高性能防火墙,整机吞吐达到320Gbps,并发5000万。PowerV防火墙具备强大的安全功能,是集防火墙、IPSEC VPN、SSL VPN、漏洞扫描、主动防御、入侵检测与防护系统、防网络病毒、内容检测与过滤、上网行为管理、带宽管理、高可用性等众多功能于一身的多威胁统一管理的综合防火墙。PowerV低端产品,基于“免维护、零管理成本”的设计理念,集成防火墙、VPN、主动防御及交换机等功能,具备简单易用的特点。

网御防火墙产品主要功能

访问控制

▪  基于状态检测的动态包过滤

▪  支持仅通过一条策略即可对同一主机源会话、目的会话的分别管理和限制,支持设定网段内共享的或者任一地址的并发连接限制

▪  支持应用层访问控制,包括P2P软件、IM软件、炒股软件、网游软件等

▪  基于主机的带宽管理,支持仅通过一条策略即可实现对指定的IP地址组里每IP用户进行上下行限速,也可以只对单个IP进行上下行限速

网络适应性

▪  支持透明、路由、混合三种工作模式

▪  支持静态路由,动态路由(OSPF/v3、RIP/RIPng等),VLAN间路由,单臂路由,组播路由等

▪  内置ISP地址列表,可轻松完成基于ISP的策略路由

▪  支持多出口环境下的复杂策略路由,策略路由条数200条以上

▪  服务器负载均衡支持轮询、加权值、最小连接、源/目的地址Hash等10种算法

IPv6/IPv4双协议栈

▪  支持IPv6地址、地址组配置

▪  支持持IPv6安全控制策略设置,能针对IPV6的目的/源地址、目的/源服务端口、服务、扩展头属性等条件进行安全访问规则的设置

▪  支持IPv6静态路由

▪  支持IPv6/IPv4翻译策略技术,包括支持静态NAT-PT、动态NAT-PT、NAPT-PT技术

▪  支持双栈、6to4隧道实现IPv6网络与IPv4网络访问


网御防火墙产品特点与技术优势

智能的VSP通用安全平台

网御防火墙采用创新的VSP(Versatile Security Platform)通用安全平台,将实时操作系统、网络处理、安全应用等技术完美地结合在一起,使防火墙产品具备了高智能、高性能、高安全性、高健壮性、 高扩展性等特点。

图片
VSP面向网络吞吐和安全处理,采用基于组件的多平面架构,整个系统分为控制平面、数据平面、系统服务平面和硬件抽象平面,通过控制平面和数据平面的分离,不同于Linux,FreeBSD等通用操作系统追求均衡的方向,集中主要资源于网络吞吐和安全处理,使系统具有极强的实时性和网络吞吐能力。
由于系统功能与资源管理分别工作在不同的平面,各平面和模块之间共同遵循标准接口函数,系统具有高度灵活性和可扩展性。
通过将硬件驱动与资源管理独立为一个单独的硬件抽象平面模块,对上层软件提供统一调用接口,对下层硬件统一定义驱动标准,适应多种不同规格的硬件架构,实现与多种专用芯片的无缝融合,可充分利用从IXP,PowerPC到NP、多核多线程CPU、内容加速芯片等各种先进硬件平台的优势,使网御防火墙在性能方面一路领先。

高效的USE统一安全引擎

网御防火墙具有高效的USE(Uniform Security Engine)统一安全引擎。它将状态包过滤、VPN、IDS、内容过滤、用户认证等多个子系统集成于单一平台,构造统一架构,综合并优化各子系统,去除冗余,简化数据处理流程,实现统一的安全引擎处理机制。

图片
统一安全引擎克服了传统上各个安全引擎独自为战的缺点,通过高效的引擎集成技术,将各个安全功能有机地整合为一体,状态检测、协议分析机、深度过滤、内容检测等引擎协同工作,对于监测的数据包,一次性拆包即可完成2-7层的检测,有效地提高了引擎的处理效率。
USE通过多协议融合分析技术和事件关联再分析技术,综合内容实体,时间因素,提高了安全事件的检测率。
USE采用标准化技术,对内提供统一服务接口,使安全功能易于扩展,充分满足安全需求的快速发展;对外实现安全策略的统一配置,给用户带来可管理的等级化安全。

高可靠的MRP多重冗余协议

基于网御拥有的高可靠设计专利技术,利用电信骨干网可靠性运营维护专业经验,网御防火墙通过自有的MRP多重冗余协议,在物理层、链路层、网络层、实体层等多个层面实现多元化冗余设计,有效地保障网御防火墙在用户网络应用中的高可用性。

图片

基于多出口负载均衡的链路备份

链路层支持多WAN口出口,实现多出口间的负载均衡和备份,任何一条链路的故障瘫痪不会影响网络的正常运行。

基于802.3ad标准的端口聚合

物理端口支持802.3ad标准,可实现多物理端口聚合,帮助用户做到“零投资”带宽倍增。

基于状态自动探测的双机热备

当主系统发生故障或对应线路的网络故障时,备份机可自动检测并切换到主状态,接管主系统的工作,切换时间小于1秒钟。

基于状态增量同步的多机集群

支持主动负载均衡、会话保护和接管以及主动配置同步等功能,尤其是采用国内首创的“状态增量同步技术”解决多台防火墙之间的状态一致性问题,实现了业务在多台防火墙之间的平滑任意分布和切换,解决了采用VRRP协议和动态路由协议带来的“业务续断问题”,最多可以支持高达8台的防火墙集群。

完备的关联安全标准

网御具备完备的关联安全标准即(CSC: Correlative Security Criterion),网御以“面向业务的安全架构”为技术理念,以“统一安全,立体防御”为设计目标,参照国际标准,系统地开发了安全管理协议、安全联动协议、安全审计协议等协议族,构成了完备的关联安全标准。

图片

网御防火墙系列全面支持CSC标准,一方面可以保证安全管理中心可以通过安全管理协议全面掌控防火墙的运行,另一方面通过统一的事件格式、事件等级、发送协议,使安全审计中心只要遵从安全审计协议即可以对防火墙的安全事件进行集中、可视化审计。同时,网御防火墙遵从安全联动协议,可以使主机安全软件,入侵检测等系统以防火墙为核心构建深度安全防御体系,使网络安全从独立、单一防护的安全产品保护发展为立体、全面、动态的防护。

基于应用的内容识别控制

网御防火墙系列拥有目前最完善的应用识别特征库,通过智能分析技术,将P2P、IM、炒股软件和在线游戏等协议的应用行为、加密方式、处理动作等特点整理成库。当流量经过防火墙时,防火墙启动过滤引擎,对流量进行特征值的匹配。当过滤引擎搜索到与之匹配的特征码时,防火墙即可应用智能识别技术进行细粒度控制或一键封锁。

如何快速而准确地识别各种上网行为,是决定防火墙性能的关键因素。网御防火墙从如下几个方面保障内容识别的高速与准确。

智能匹配技术
在特征库上的设置上,网御防火墙按照所有上网行为的特点进行了分类,并对P2P、IM、炒股以及在线游戏等上网行为设置了不同的特征库。当数据包到达防火墙时,防火墙首先根据用户定制策略将其分配到其对应的特征库管道,如P2P下载行为的流量被输送到P2P特征库管道,即时通讯的流量则被输送到IM特征库管道。流量被分发到相应的特征库管道以后,再由相应的搜索引擎对流量进行扫描。这样既大大减少了搜索引擎检索的时间,又提高了过滤引擎的性能。
多线程扫描技术
网御防火墙采用多线程扫描技术,提高了引擎扫描的效率。比如当BT数据流和MSN数据流同时进入防火墙时,防火墙内容搜索引擎不是在检索完BT数据流以后再去检索MSN数据流,而是可以同时启动BT搜索引擎和MSN搜索引擎。两个搜索引擎同时工作而互不影响。这种多线程处理机制同样适用于2种以上不同类型的数据流同时经过防火墙的情况,快速提升了搜索引擎的工作效率。
应用感控技术

网御新一代防火墙具有与传统的基于端口和IP协议不同的方式进行应用识别的能力,并执行访问控制策略。例如允许用户使用QQ的文本聊天、文件传输功能但不允许进行语音视频聊天,或者允许使用WebMail收发邮件但不允许附加文件等。应用识别带来的额外好处是可以合理优化带宽的使用情况,保证关键业务的畅通。虽然严格意义上来讲应用流量优化(俗称应用QoS)不是一个属于安全范畴的特性,但P2P下载、在线视频等网络滥用确实会导致业务中断等严重安全事件。 


网御防火墙的典型应用

高可靠全链路冗余应用环境

电信网络和许多骨干网络的可靠性要求很高,不允许出现因为设备的故障造成网络的不可用,因此在电信网络和骨干网络中加入防火墙的时候也必须考虑到这个问题,正常情况下两台防火墙均处于工作状态,可以分别承担相应链路的网络通讯。当其中一台防火墙发生意外宕机、网络故障、硬件故障等情况时,该防火墙的网络通讯自动切换到另外一台防火墙,从而保证了网络的正常使用。下图为网御防火墙在骨干网络中应用的例子。

图片

骨干网内网分隔环境

据赛迪(CCID)统计报告,网络攻击有70%以上来自于企业内部,因此,保护公司网络的安全不仅要保护来自互联网的侵害而且要防止内部的攻击。

网御防火墙从3个到8个百兆接口可进行模块化扩展,除了可以用作多DMZ区设置外,还可以将内网进行多重隔离保护。通过防火墙将公司内部不同部门的网络或关键服务器划分为不同的网段,彼此隔离。这样不仅保护了企业内部网和关键服务器,使其不受来自Internet的攻击,也保护了各部门网络和关键服务器不受来自企业内部其它部门的网络的攻击。内网分隔的另一个目的是:防止问题的扩大。如果有人闯进您的一个部门,或者如果病毒开始蔓延,网段能够限制造成的损坏进一步扩大。
图片

混合模式接入环境

网御防火墙支持各种接入模式,分别为:透明模式、路由模式和混合模式,并支持各种模式之上的NAT模式。

▪  透明工作模式:防火墙工作在透明模式下不影响原有网络设计和配置,用户不需要对保护网络主机属性进行重新设置,方便了用户的使用。

▪  路由工作模式:防火墙相当于静态路由器,提供静态路由功能。

▪  混合工作模式:防火墙在透明模式和路由模式同时工作,极大提高网络应用的灵活性。

下图为企业的典型应用,需要防火墙支持混合工作模式,而许多防火墙不支持这种接入模式,给企业的应用带来不便。例如:

某企业内网的地址为保留地址10.10.10.2/24-10.10.10.50/24,企业的对外WWW服务器、MAIL服务器、DNS服务器的内部地址分别为10.10.10.10、10.10.10.101、10.10.10.102,防火墙的内端口地址为10.10.10.1,防火墙外网地址为202.100.100.3
对于服务器和Internet之间防火墙可使用透明方式,内网与服务器或Internet之间可以使用NAT方式,方便灵活部署防火墙。

图片

多出口环境

某省大学现有教职工总数1000多人,在校学生总数10000多人。学校的校园网络建设比较发达,网络接口到每一个学生宿舍,因此上网用户非常多,校园内共有30多个合法的C类地址用于教职工网络,用1个私有的B类地址用于学生上网。校园共有三个出口——中国教育网、电信网和分校局域网,这时候接入防火墙的时候需要防火墙具有基于规则的路由功能,也就是说:不同主机或者目的地址在防火墙上的网关不同。

网御防火墙具有基于策略的路由功能,可以根据源地址、目标地址等设定不同的路由,从而可以满足用户具有多个出口的要求,满足学校的特定接入情况。

图片