-天清漢馬USG-FW-P系列防火墻技術(shù)白皮書-V.

上傳人:wj****e 文檔編號(hào):69758860 上傳時(shí)間:2022-04-06 格式:DOC 頁數(shù):26 大?。?72.50KB
收藏 版權(quán)申訴 舉報(bào) 下載
-天清漢馬USG-FW-P系列防火墻技術(shù)白皮書-V._第1頁
第1頁 / 共26頁
-天清漢馬USG-FW-P系列防火墻技術(shù)白皮書-V._第2頁
第2頁 / 共26頁
-天清漢馬USG-FW-P系列防火墻技術(shù)白皮書-V._第3頁
第3頁 / 共26頁

下載文檔到電腦,查找使用更方便

5 積分

下載資源

還剩頁未讀,繼續(xù)閱讀

資源描述:

《-天清漢馬USG-FW-P系列防火墻技術(shù)白皮書-V.》由會(huì)員分享,可在線閱讀,更多相關(guān)《-天清漢馬USG-FW-P系列防火墻技術(shù)白皮書-V.(26頁珍藏版)》請(qǐng)?jiān)谘b配圖網(wǎng)上搜索。

1、天清漢馬USG-FW-P系列防火墻 技術(shù)白皮書二零一三年十月目 錄1概述12天清漢馬USG防火墻產(chǎn)品特點(diǎn)與技術(shù)優(yōu)勢22.1智能的VSP通用安全平臺(tái)22.2高效的USE統(tǒng)一安全引擎32.3高可靠的MRP多重冗余協(xié)議42.4完備的關(guān)聯(lián)安全標(biāo)準(zhǔn)52.5基于應(yīng)用的內(nèi)容識(shí)別控制6智能匹配技術(shù)6多線程掃描技術(shù)7應(yīng)用感控技術(shù)72.6精確細(xì)致的WEB過濾技術(shù)82.7可信架構(gòu)主動(dòng)云防御技術(shù)82.8IPv6包狀態(tài)過濾技術(shù)93天清漢馬USG防火墻產(chǎn)品主要功能104典型組網(wǎng)174.1政府行業(yè)17電子政務(wù)網(wǎng)17政府專網(wǎng)184.2教育行業(yè)19高教校園網(wǎng)19中/基教教育城域網(wǎng)204.3企業(yè)市場21中小企業(yè)21大型企業(yè)221

2、 概述誕生20多年來,網(wǎng)絡(luò)已經(jīng)在全球經(jīng)濟(jì)中扎根發(fā)芽,蓬勃成長為參天大樹,對(duì)各個(gè)行業(yè)的發(fā)展起著舉足輕重的作用。隨著時(shí)間的推移,網(wǎng)絡(luò)的安全問題也日益嚴(yán)重,在開放的網(wǎng)絡(luò)環(huán)境中,網(wǎng)絡(luò)邊界安全成為網(wǎng)絡(luò)安全的重要組成部分。在網(wǎng)絡(luò)安全的術(shù)語里,有一個(gè)名詞叫做“安全域”,其主要作用就是將網(wǎng)絡(luò)按照業(yè)務(wù)、保護(hù)等級(jí)、行為等方面劃分出不同的邊界,定義出各自的安全領(lǐng)域。舉個(gè)簡單的例子,在PC上安裝了相關(guān)的殺毒軟件,PC本身就是一個(gè)最簡單的安全域。對(duì)于單位用戶,安全域往往由若干網(wǎng)絡(luò)設(shè)備和用戶主機(jī)構(gòu)成,其邊界安全主要在于與互聯(lián)網(wǎng)的邊界、與其他業(yè)務(wù)網(wǎng)絡(luò)的邊界等。防火墻是解決網(wǎng)絡(luò)邊界安全的重要設(shè)備,它主要工作在網(wǎng)絡(luò)層之下,通過

3、對(duì)協(xié)議、地址和服務(wù)端口的識(shí)別和控制達(dá)到防范入侵的目的,可以有效的防范基于業(yè)務(wù)端口的攻擊。天清漢馬USG防火墻是北京啟明星辰信息安全技術(shù)憑借在信息安全領(lǐng)域多年的經(jīng)驗(yàn)積累,總結(jié)分析用戶的切身需求,推出新一代的P系列防火墻產(chǎn)品。天清漢馬USG防火墻采用高性能的硬件架構(gòu)和一體化的軟件設(shè)計(jì),除了實(shí)現(xiàn)了狀態(tài)檢測防火墻功能,還同時(shí)支持VPN、上網(wǎng)行為管理、抗拒絕服務(wù)攻擊(Anti-DoS)、內(nèi)容過濾、AV、入侵防御等多種安全技術(shù),同時(shí)全面支持QoS、高可用性(HA)、日志審計(jì)等功能,為網(wǎng)絡(luò)邊界提供了全面實(shí)時(shí)的安全防護(hù)。天清漢馬USG防火墻可直接通過功能許可激活的方式,獲得包括防病毒(AV)、入侵防御(IPS

4、)、防垃圾郵件(Anti-Spam)和內(nèi)網(wǎng)安全功能。天清漢馬USG防火墻產(chǎn)品線豐富,可以為政府、教育、金融、企業(yè)、能源、運(yùn)營商等用戶提供所需要的全系列的安全防護(hù)產(chǎn)品。2 產(chǎn)品綜述2.1 產(chǎn)品綜述天清漢馬下一代p系列USG防火墻是集防火墻、VPN、上網(wǎng)行為管理AC、內(nèi)容過濾、防病毒、入侵防護(hù)等多種安全技術(shù)于一身,高性能、綠色低碳,同時(shí)全面支持各種路由協(xié)議、QoS、高可用性(HA)、日志審計(jì)等功能,為網(wǎng)絡(luò)邊界提供了全面實(shí)時(shí)的安全防護(hù),幫助用戶抵御日益復(fù)雜的安全威脅。天清漢馬USG防火墻采用了一體化的設(shè)計(jì)方案,在一個(gè)產(chǎn)品中協(xié)調(diào)統(tǒng)一地實(shí)現(xiàn)了接入安全需要考慮的方方面面。采用天清漢馬USG防火墻,可以從整

5、體上解決了接入安全的問題。用戶可不必考慮產(chǎn)品部署、兼容性等困惑,也不再因?yàn)槎鄠€(gè)產(chǎn)品難于維護(hù)管理而苦惱,天清漢馬USG防火墻是低成本、高效率、易管理的理想解決方案。天清漢馬USG防火墻產(chǎn)品線豐富,可以為政府、教育、金融、企業(yè)、能源、運(yùn)營商等用戶提供所需要的全系列的安全防護(hù)產(chǎn)品。自從天清漢馬USG防火墻推向市場以來,很快就憑借其強(qiáng)大的功能和在實(shí)際應(yīng)用中優(yōu)異表現(xiàn),贏得了眾多機(jī)構(gòu)和用戶的廣泛贊譽(yù)。2.2 特點(diǎn)說明天清漢馬USG防火墻具有如下特點(diǎn):l 完善的防火墻特性 支持基于源IP、目的IP、源端口、目的端口、時(shí)間、服務(wù)、用戶、文件、網(wǎng)址、關(guān)鍵字、郵件地址、腳本、MAC地址等方式進(jìn)行訪問控制 支持流量

6、管理、連接數(shù)控制、IP+MAC綁定、用戶認(rèn)證等 支持虛擬防火墻:可以將接口劃分給不同的虛擬防火墻,每個(gè)虛擬防火墻具有獨(dú)立的管理員、安全域、資源對(duì)象、安全策略、NAT規(guī)則、靜態(tài)路由等配置 同終端無縫結(jié)合:支持同天珣內(nèi)網(wǎng)安全管理系統(tǒng)聯(lián)動(dòng),將防火墻防御能力推進(jìn)到桌面終端l 高網(wǎng)絡(luò)適用性 支持透明、路由和NAT模式部署 支持靜態(tài)路由、策略路由、RIP/OSPF/BGP動(dòng)態(tài)路由,支持等價(jià)路由ECMP和加權(quán)路由WCMP,支持組播路由 支持STP,可以同二層網(wǎng)絡(luò)設(shè)備進(jìn)行生成樹計(jì)算 支持IGMP Snooping,優(yōu)化在橋模式下的組播流量 支持私有HA和VRRP 支持IPv6:支持IPv4、IPv6雙棧運(yùn)行、

7、靜態(tài)IPv6路由、手工隧道、6to4隧道和ISATAP隧道。 支持鏈路聚合,可通過手動(dòng)方式、IEEE802.3ad 靜態(tài)LACP方式創(chuàng)建聚合鏈路;通過鏈路聚合可以增加鏈路帶寬,并起到負(fù)載均衡和鏈路備份的作用 支持802.11B,802.11G協(xié)議,可以擴(kuò)展WIFI模塊以提供WIFI接入,支持設(shè)備作為WiFi熱點(diǎn)(即AP),為客戶機(jī)提供無線安全接入服務(wù) 支持3G(CDMA2000)協(xié)議,可以擴(kuò)展3G模塊以提供3G上行網(wǎng)絡(luò)接入l 高穩(wěn)定性和可靠性 產(chǎn)品具有高性能,同時(shí)多核之間互為備份,可靠性高 支持私有協(xié)議HA和VRRP,實(shí)現(xiàn)雙機(jī)熱備和冗余 支持雙操作系統(tǒng)和多配置文件,最大支持10個(gè)配置文件備份l

8、 全面的VPN支持 多VPN支持: IPSec、L2TP、SSL VPN、GRE 豐富的應(yīng)用:專用VPN客戶端、USBKEY、動(dòng)態(tài)口令卡、圖形認(rèn)證碼 靈活的部署:Hub-Spoken、Full-Mesh、DVPN、網(wǎng)關(guān)網(wǎng)關(guān)的SSL VPN 支持對(duì)IPAD、IPHONE等移動(dòng)終端的VPN接入l 完善的上網(wǎng)行為管理功能 采用獨(dú)立的上網(wǎng)行為管理庫,通過互聯(lián)網(wǎng)實(shí)現(xiàn)每周更新。 P2P控制:對(duì)Emule、BitTorrent、Maze、Kazaa等進(jìn)行阻斷、限速 IM控制:基于黑白名單的IM登錄控制、文件傳輸阻止、查毒;支持主流IM軟件如QQ、MSN、雅虎通、Gtalk、Skype 流媒體控制:對(duì)流媒體應(yīng)

9、用進(jìn)行阻斷或限速,支持Kamun ppfilm 、PPLive、PPStream、QQ直播、TVAnts、沸點(diǎn)網(wǎng)絡(luò)電視、貓撲播霸等 網(wǎng)絡(luò)游戲控制:對(duì)常見網(wǎng)絡(luò)游戲如魔獸世界、征途、QQ游戲大廳、聯(lián)眾游戲大廳等的阻斷 股票軟件控制:對(duì)常用股票軟件如同花順、大參考、大智慧等的阻斷l(xiāng) 強(qiáng)大的日志報(bào)表功能 記錄內(nèi)容豐富:可對(duì)防火墻日志、攻擊日志、病毒日志、帶寬使用日志、Web訪問日志、Mail發(fā)送日志、關(guān)鍵資產(chǎn)訪問日志、用戶登錄日志等進(jìn)行記錄 日志快速查詢:可對(duì)IP地址、端口、時(shí)間、危急程度、日志內(nèi)容關(guān)鍵字等進(jìn)行查詢 報(bào)表貼近需求:根據(jù)用戶具體需求,定制報(bào)表內(nèi)容、定制報(bào)名名稱、定制企業(yè)LOGO,并可形成

10、多種格式的報(bào)表文件。l 方便的集中管理功能 通過集中管理與數(shù)據(jù)分析中心實(shí)現(xiàn)對(duì)多臺(tái)設(shè)備的統(tǒng)一管理、實(shí)時(shí)監(jiān)控、集中升級(jí)和拓?fù)湔故尽? 體系架構(gòu)說明3.1 產(chǎn)品構(gòu)成天清漢馬USG防火墻主要由兩部分組成:USG防火墻設(shè)備和天清集中管理與數(shù)據(jù)分析中心。USG防火墻設(shè)備:即部署在網(wǎng)絡(luò)出口,融合多種安全能力,針對(duì)惡意攻擊、非法活動(dòng)和網(wǎng)絡(luò)資源濫用等威脅,實(shí)現(xiàn)精確防控的高可靠、高性能、易管理的網(wǎng)關(guān)安全設(shè)備。天清集中管理與數(shù)據(jù)分析中心:主要功能分為集中管理功能與數(shù)據(jù)分析功能,集中管理是對(duì)USG防火墻設(shè)備的集中管理、統(tǒng)一監(jiān)控和升級(jí)中心,通過它可以集中配置、監(jiān)控和管理所管轄的多臺(tái)USG防火墻設(shè)備,并按照一定的規(guī)則組織

11、成層次結(jié)構(gòu),方便管理員對(duì)于整網(wǎng)USG防火墻設(shè)備的監(jiān)控維護(hù)工作;數(shù)據(jù)分析中心是USG防火墻設(shè)備海量信息的后臺(tái)處理中心。主要完成USG防火墻設(shè)備日志和流量信息的存儲(chǔ)、分析、審計(jì)和處理功能。3.2 軟件結(jié)構(gòu)防火墻作為網(wǎng)關(guān)類產(chǎn)品,究竟什么樣的軟件結(jié)構(gòu)更有利于提升整體性能?那么首先需要知道什么是性能消耗的關(guān)鍵業(yè)務(wù)單元。啟明星辰通過對(duì)網(wǎng)關(guān)類產(chǎn)品單一分析處理引擎的詳細(xì)分析和試驗(yàn)驗(yàn)證,得出網(wǎng)關(guān)類產(chǎn)品性能消耗50來自于模式匹配,25來自于協(xié)議重組、25來自于報(bào)文重組的結(jié)論。圖1. 網(wǎng)關(guān)分析處理引擎性能消耗分析如何融合分析處理引擎,合并性能消耗關(guān)鍵業(yè)務(wù)單元成為防火墻產(chǎn)品軟件結(jié)構(gòu)設(shè)計(jì)首要考慮的問題?;谘芯繑?shù)據(jù),啟

12、明星辰在天清漢馬USG防火墻的軟件結(jié)構(gòu)設(shè)計(jì)上引入了一體化的設(shè)計(jì)理念。即將防火墻、VPN、內(nèi)容過濾和流量管理等各項(xiàng)功能的分析處理引擎進(jìn)行一體化設(shè)計(jì),以達(dá)到性能最優(yōu)的目的。天清漢馬USG防火墻本著安全高效原則,采用“檢測與控制相分離,引擎特征相統(tǒng)一”的一體化設(shè)計(jì)思想:人機(jī)界面、報(bào)文接收模塊、報(bào)文處理模塊、報(bào)文發(fā)送模塊和支撐庫。網(wǎng)絡(luò)報(bào)文首先通過報(bào)文接收模塊進(jìn)行預(yù)處理后進(jìn)入報(bào)文處理模塊,在報(bào)文處理模塊,防火墻進(jìn)行23層過濾,VPN負(fù)責(zé)接入控制;其次模塊匹配引擎和行為分析引擎分別根據(jù)統(tǒng)一特征庫和行為知識(shí)庫進(jìn)行匹配查找;最后,對(duì)于合法報(bào)文直接交由報(bào)文發(fā)送模塊進(jìn)行報(bào)文轉(zhuǎn)發(fā),對(duì)于非法報(bào)文,送交相應(yīng)的處理引擎進(jìn)

13、行處理。整個(gè)過程的日志信息和數(shù)據(jù)流量信息送集中管理與數(shù)據(jù)分析中心監(jiān)控和備案,管理中心負(fù)責(zé)整體的配置和調(diào)整。4 關(guān)鍵技術(shù)天清漢馬USG防火墻采用了多種創(chuàng)新技術(shù),為確保多種安全能力的融合,性能的持續(xù)恒定起到了重要作用。4.1 智能的VSP通用安全平臺(tái)天清漢馬USG防火墻采用創(chuàng)新的VSP(VersatileSecurity Platform)這是網(wǎng)御慣用的說法,查一下原先USG的說法是什么樣的保持一致通用安全平臺(tái),將實(shí)時(shí)操作系統(tǒng)、網(wǎng)絡(luò)處理、安全應(yīng)用等技術(shù)完美地結(jié)合在一起,使防火墻產(chǎn)品具備了高智能、高性能、高安全性、高健壯性、 高擴(kuò)展性等特點(diǎn)。圖也是網(wǎng)御的圖VSP面向網(wǎng)絡(luò)吞吐和安全處理,采用基于組件的

14、多平面架構(gòu),整個(gè)系統(tǒng)分為控制平面、數(shù)據(jù)平面、系統(tǒng)服務(wù)平面和硬件抽象平面,通過控制平面和數(shù)據(jù)平面的分離,不同于Linux,F(xiàn)reeBSD等通用操作系統(tǒng)追求均衡的方向,集中主要資源于網(wǎng)絡(luò)吞吐和安全處理,使系統(tǒng)具有極強(qiáng)的實(shí)時(shí)性和網(wǎng)絡(luò)吞吐能力。由于系統(tǒng)功能與資源管理分別工作在不同的平面,各平面和模塊之間共同遵循標(biāo)準(zhǔn)接口函數(shù),系統(tǒng)具有高度靈活性和可擴(kuò)展性。通過將硬件驅(qū)動(dòng)與資源管理獨(dú)立為一個(gè)單獨(dú)的硬件抽象平面模塊,對(duì)上層軟件提供統(tǒng)一調(diào)用接口,對(duì)下層硬件統(tǒng)一定義驅(qū)動(dòng)標(biāo)準(zhǔn),適應(yīng)多種不同規(guī)格的硬件架構(gòu),實(shí)現(xiàn)與多種專用芯片的無縫融合,可充分利用從IXP,PowerPC到NP、多核多線程CPU、內(nèi)容加速芯片等各種先

15、進(jìn)硬件平臺(tái)的優(yōu)勢,使天清漢馬USG防火墻在性能方面一路領(lǐng)先。4.2 高效的整合內(nèi)容引擎天清漢馬USG防火墻使用高效的ICE(Integrated content engine)整合內(nèi)容引擎。它將狀態(tài)包過濾、VPN、IDS、內(nèi)容過濾、用戶認(rèn)證等多個(gè)子系統(tǒng)集成于單一平臺(tái),構(gòu)造統(tǒng)一架構(gòu),綜合并優(yōu)化各子系統(tǒng),去除冗余,簡化數(shù)據(jù)處理流程,實(shí)現(xiàn)統(tǒng)一的安全引擎處理機(jī)制。圖也是網(wǎng)御的整合內(nèi)容引擎克服了傳統(tǒng)上各個(gè)引擎獨(dú)自為戰(zhàn)的缺點(diǎn),通過高效的引擎集成技術(shù),將各個(gè)安全功能有機(jī)地整合為一體,狀態(tài)檢測、協(xié)議分析機(jī)、深度過濾、內(nèi)容檢測等引擎協(xié)同工作,對(duì)于監(jiān)測的數(shù)據(jù)包,一次性拆包即可完成2-7層的檢測,同時(shí)采用基于摘要索

16、引的內(nèi)容處理加速算法,有效地提高了引擎的處理效率。ICE通過多協(xié)議融合分析技術(shù)和事件關(guān)聯(lián)再分析技術(shù),綜合內(nèi)容實(shí)體,時(shí)間因素,提高了安全事件的檢測率。ICE采用標(biāo)準(zhǔn)化技術(shù),對(duì)內(nèi)提供統(tǒng)一服務(wù)接口,使安全功能易于擴(kuò)展,充分滿足安全需求的快速發(fā)展;對(duì)外實(shí)現(xiàn)安全策略的統(tǒng)一配置,給用戶帶來可管理的等級(jí)化安全。4.3 高可靠多重冗余協(xié)議網(wǎng)御慣用說法利用電信骨干網(wǎng)可靠性運(yùn)營維護(hù)專業(yè)經(jīng)驗(yàn),天清漢馬USG防火墻通過創(chuàng)新的多重冗余協(xié)議,在物理層、鏈路層、網(wǎng)絡(luò)層、實(shí)體層等多個(gè)層面實(shí)現(xiàn)多元化冗余設(shè)計(jì),有效地保障天清漢馬USG防火墻在用戶網(wǎng)絡(luò)應(yīng)用中的高可用性。圖也是網(wǎng)御的2個(gè)都用Super V-7318的圖片代替l 基于

17、多出口負(fù)載均衡的鏈路備份。鏈路層支持多WAN口出口,實(shí)現(xiàn)多出口間的負(fù)載均衡和備份,任何一條鏈路的故障癱瘓不會(huì)影響網(wǎng)絡(luò)的正常運(yùn)行。l 基于802.3ad標(biāo)準(zhǔn)的端口聚合。物理端口支持802.3ad標(biāo)準(zhǔn),可實(shí)現(xiàn)多物理端口聚合,幫助用戶做到“零投資”帶寬倍增。l 基于狀態(tài)自動(dòng)探測的雙機(jī)熱備。當(dāng)主系統(tǒng)發(fā)生故障或?qū)?yīng)線路的網(wǎng)絡(luò)故障時(shí),備份機(jī)可自動(dòng)檢測并切換到主狀態(tài),接管主系統(tǒng)的工作,切換時(shí)間小于1秒鐘。l 基于狀態(tài)增量同步的多機(jī)集群。支持主動(dòng)負(fù)載均衡、會(huì)話保護(hù)和接管以及主動(dòng)配置同步等功能,尤其是采用國內(nèi)首創(chuàng)的“狀態(tài)增量同步技術(shù)”解決多臺(tái)防火墻之間的狀態(tài)一致性問題,實(shí)現(xiàn)了業(yè)務(wù)在多臺(tái)防火墻之間的平滑任意分布和

18、切換,解決了采用VRRP協(xié)議和動(dòng)態(tài)路由協(xié)議帶來的“業(yè)務(wù)續(xù)斷問題”,最多可以支持高達(dá)8臺(tái)的防火墻集群。4.4 事件關(guān)聯(lián)分析技術(shù)與歸并處理機(jī)制對(duì)用戶的多個(gè)網(wǎng)絡(luò)行為進(jìn)行關(guān)聯(lián),是提高檢測精度的有效手段。比如一個(gè)用戶首先對(duì) 服務(wù)進(jìn)行了慢速CGI掃描,服務(wù)端反饋的結(jié)果證明其運(yùn)行了可能含有漏洞的某個(gè)CGI,之后該用戶又發(fā)送了包含ShellCode的請(qǐng)求,從這兩次行為分別看,每個(gè)都不能絕對(duì)的將其界定為惡意行為,如果將兩個(gè)行為聯(lián)系起來,則基本可以確定該行為的高風(fēng)險(xiǎn)等級(jí)。針對(duì)大規(guī)模的監(jiān)測系統(tǒng)應(yīng)用中可能出現(xiàn)一個(gè)網(wǎng)絡(luò)異常行為在多個(gè)監(jiān)測點(diǎn)作為事件報(bào)告而形成事件洪流的問題,數(shù)據(jù)關(guān)聯(lián)性分析模塊首次提出并采用了基于統(tǒng)計(jì)分析的

19、二次事件分析技術(shù),能夠?qū)Σ煌瑫r(shí)間、不同地點(diǎn)、不同事件的大量信息進(jìn)行統(tǒng)一處理,簡潔、準(zhǔn)確地報(bào)告出正確的網(wǎng)絡(luò)安全事件。4.5 高速深層檢測技術(shù)n 高精度應(yīng)用層協(xié)議分析協(xié)議分析是深度檢測必不可少的環(huán)節(jié),它可以減少特征匹配的計(jì)算量,提高匹配精度。但是深度的協(xié)議分析本身也需要相當(dāng)大的計(jì)算量,如何既保證特征匹配和文件還原所需的分析精確度,又不占用過多的資源,是高速環(huán)境下必須面對(duì)的課題。我們將主要通過以下兩方面來解決這一問題,1) 基于攻擊研究和特征知識(shí)庫選擇分析深度。協(xié)議分析不需要的無限制的精細(xì),否則入侵防御系統(tǒng)將變成一個(gè)低效的應(yīng)用代理系統(tǒng),協(xié)議分析應(yīng)該建立在對(duì)網(wǎng)絡(luò)攻擊研究的基礎(chǔ)上,對(duì)特征知識(shí)庫中需要的協(xié)

20、議信息進(jìn)行分析,這點(diǎn)的實(shí)現(xiàn)關(guān)鍵集中在攻擊研究上,軟件實(shí)現(xiàn)中可通過編譯時(shí)的條件控制和運(yùn)行時(shí)對(duì)特征庫進(jìn)行掃描設(shè)置相應(yīng)開關(guān)完成;2) 高效協(xié)議自識(shí)別算法。對(duì)于非周知端口的通信,需要通過內(nèi)容識(shí)別其所屬的協(xié)議類型。這一內(nèi)容識(shí)別的過程類似于攻擊檢測的特征識(shí)別過程,可以通過多階段分析和匹配算法的選擇降低計(jì)算開銷。n 多模匹配算法選擇由于在一個(gè)報(bào)文的匹配中,最為耗時(shí)的匹配運(yùn)算是在報(bào)文中匹配多個(gè)串模式。過去的幾十年中學(xué)術(shù)界提出了若干的多模匹配算法,并且在工業(yè)界得到了很好的應(yīng)用,比如AC算法、WM算法在軟件檢測系統(tǒng)中證明了其優(yōu)秀的性能。在以往的多模匹配算法通常是在理論分析的基礎(chǔ)上,在IA32架構(gòu)和隨機(jī)數(shù)據(jù)源上進(jìn)行

21、實(shí)驗(yàn)選擇,且算法一經(jīng)確定就固化在軟件中。實(shí)際這樣得出的算法不能保證在所有的處理器架構(gòu)和數(shù)據(jù)源條件下都保證是已知算法中最優(yōu)的?,F(xiàn)在在學(xué)術(shù)界存在多種多串并行匹配的算法,在商業(yè)產(chǎn)品中應(yīng)用較多有Aho-Corasick、Wu-Manber和ExB算法或它們的變種。根據(jù)研究發(fā)現(xiàn),所有這些算法的性能分析全部是基于理想的存儲(chǔ)模型,忽略訪存的性能開銷。由于存儲(chǔ)器速度遠(yuǎn)低于處理器速度,兩者相差一個(gè)數(shù)量級(jí)以上,為避免存儲(chǔ)器效能低造成系統(tǒng)整體的效能低下,絕大多數(shù)系統(tǒng)采用多級(jí)存儲(chǔ)結(jié)構(gòu),增加少量的高速緩存隱藏存儲(chǔ)器的性能瓶頸。但是在多串匹配算法中,數(shù)據(jù)結(jié)構(gòu)非常龐大,并且匹配過程中不斷在非連續(xù)的地址間跳轉(zhuǎn),此時(shí)高速緩存的

22、命中率大幅下降,不考慮訪存開銷顯然已不能反映各算法在實(shí)際應(yīng)用中的效能。實(shí)際上不存在一種普適的算法能夠在各種情況下都有最佳表現(xiàn),同樣的算法可能在不同的數(shù)據(jù)源、特征集、處理器結(jié)構(gòu)上性能相差甚遠(yuǎn)。我們將結(jié)合具體的硬件(處理器)架構(gòu)和匹配規(guī)則的分布類型,將其抽象為與匹配算法效能相關(guān)的若干關(guān)鍵參數(shù),計(jì)算出當(dāng)前適用的最優(yōu)算法。具體采用動(dòng)態(tài)和靜態(tài)兩種方式實(shí)現(xiàn)自適應(yīng)選擇。如下圖,圖2. 自適應(yīng)示意圖靜態(tài)自適應(yīng)在系統(tǒng)初始化時(shí)進(jìn)行,統(tǒng)計(jì)各協(xié)議變量特征及相關(guān)匹配模式特征,結(jié)合備選多模式匹配算法的性能特征,為規(guī)則匹配樹節(jié)點(diǎn)選擇最優(yōu)的多模式匹配算法??刂茀?shù)包括處理器類型、主頻、Cache Line長度、L2Cache

23、容量、存儲(chǔ)器時(shí)延、最短模式長度、次短模式長度、模式數(shù)量、模式字符集大小、同前綴模式數(shù)量等等。動(dòng)態(tài)自適應(yīng)在系統(tǒng)運(yùn)行過程中采樣統(tǒng)計(jì)影響算法效率的網(wǎng)絡(luò)數(shù)據(jù),如果統(tǒng)計(jì)值顯示當(dāng)前網(wǎng)絡(luò)數(shù)據(jù)趨勢穩(wěn)定,則進(jìn)行動(dòng)態(tài)算法選擇,確定是否有大幅超過當(dāng)前算法效率的算法模塊存在,并進(jìn)行調(diào)用。n 最優(yōu)規(guī)則樹特征匹配的過程不僅包括串匹配,還有對(duì)諸如地址、端口、協(xié)議類型等等許多協(xié)議字段的匹配。為了方便,我們將多個(gè)協(xié)議字段構(gòu)成的模式稱為多數(shù)據(jù)類型模式,與上面提到的串模式進(jìn)行區(qū)分,串模式可以認(rèn)為是多數(shù)據(jù)類型模式的一個(gè)子集。在以往的工作中,我們受AC算法的啟發(fā),將其擴(kuò)展到多數(shù)據(jù)類型模式匹配,即將多個(gè)模式中的相同協(xié)議字段歸并,構(gòu)建一個(gè)

24、或多個(gè)樹型模式結(jié)構(gòu),達(dá)到一次匹配多個(gè)模式的目的。與串匹配不同的是,多數(shù)據(jù)類型模式中,每種數(shù)據(jù)類型的單次匹配開銷是不同的,在實(shí)際運(yùn)行中的命中幾率也是不同的。同樣是樹型數(shù)據(jù)結(jié)構(gòu),其最佳效率和最差效率相差可能在一個(gè)數(shù)量級(jí)以上,如果能將低命中率、低匹配開銷的工作盡可能提前,將會(huì)接近最佳的匹配效率。4.6 智能內(nèi)容過濾技術(shù)內(nèi)容分析子系統(tǒng)要充分發(fā)揮當(dāng)前處理器所具備的多核能力。一個(gè)大的原則就是數(shù)據(jù)交換過程中盡量避免核間和核內(nèi)的臨界鎖以及字符串拷貝,所以數(shù)據(jù)的生產(chǎn)者和消費(fèi)者應(yīng)該使用一個(gè)大的緩沖區(qū)來交換數(shù)據(jù)。傳統(tǒng)的做法就是把這個(gè)緩沖區(qū)變成一個(gè)環(huán)形隊(duì)列,捕包程序和協(xié)議棧程序分別持有一個(gè)寫指針和讀指針,只要兩個(gè)指針

25、不互相超越就可以。在協(xié)議棧單線程的情況下這種方法沒有問題,但是在多核情況下,為了充分發(fā)揮硬件的計(jì)算能力,必須把內(nèi)容分析過濾子系統(tǒng)多線程化(并行化)。但是上述數(shù)據(jù)交換方式在內(nèi)容分析多線程的情況下就出現(xiàn)了問題。當(dāng)協(xié)議棧多線程的時(shí)候,必須使用專門的線程實(shí)現(xiàn)捕包程序捕獲的數(shù)據(jù)包的分發(fā),也就是把數(shù)據(jù)包分發(fā)到相應(yīng)的線程進(jìn)行處理。這樣問題也就出現(xiàn)了:那個(gè)環(huán)形緩沖區(qū)的讀指針不再正確。這是因?yàn)椋瑸榱吮苊饪截惒僮?,分發(fā)線程并沒有將捕包程序捕獲的數(shù)據(jù)進(jìn)行拷貝以后再分發(fā),而是直接對(duì)其指針進(jìn)行操作,在這種情況下,分發(fā)程序是不知道協(xié)議棧什么時(shí)候能夠分析完成并釋放緩沖區(qū)的,因而分發(fā)程序不可以直接簡單增加環(huán)形隊(duì)列的讀指針來申

26、明當(dāng)前緩沖區(qū)以消費(fèi)完成,可以寫入新的數(shù)據(jù)。又由于協(xié)議棧分析時(shí)多線程同時(shí)進(jìn)行,沒有辦法確定每一數(shù)據(jù)包分析完成的時(shí)間,這樣很難確定環(huán)形緩沖區(qū)的讀指針了。為此,天清漢馬USG防火墻采用了如下的解決方法:依然遵循數(shù)據(jù)交換的大原則,依然采用大的緩沖區(qū)來交換數(shù)據(jù),但是對(duì)緩沖區(qū)的形式作一個(gè)變換。最初定義的是直接在緩沖區(qū)上定義讀寫指針將緩沖區(qū)當(dāng)成環(huán)形隊(duì)列使用,現(xiàn)在不同是緩沖區(qū)不再是一個(gè)環(huán)形隊(duì)列,而被分成了獨(dú)立的兩部分:空閑緩沖區(qū)隊(duì)列和已使用緩沖區(qū)隊(duì)列。注意這里提到的兩個(gè)緩沖區(qū)不是具體的數(shù)據(jù)緩沖區(qū),而是保存數(shù)據(jù)緩沖區(qū)數(shù)據(jù)單元指針的指針列表。捕包程序在捕獲一個(gè)數(shù)據(jù)包之前,從空閑緩沖區(qū)隊(duì)列的頭部取下一個(gè)空的存儲(chǔ)單元

27、(為了提高訪問速度,采用內(nèi)存邊界對(duì)齊的數(shù)據(jù)單元,比如說2k字節(jié)一個(gè)單元),將從網(wǎng)卡讀入的數(shù)據(jù)拷貝到這個(gè)緩沖區(qū)以后,捕包程序?qū)⑦@個(gè)緩沖單元掛到已使用緩沖隊(duì)列的尾部。分析線程在從緩沖區(qū)取數(shù)據(jù)的時(shí)候從已使用緩沖隊(duì)列的頭部取下一個(gè)數(shù)據(jù)單元進(jìn)行消費(fèi),消費(fèi)完成以后直接將這個(gè)數(shù)據(jù)單元掛到待發(fā)送緩沖區(qū)隊(duì)列就可以了,這樣既避免的鎖定,也避免了內(nèi)存拷貝。而且可以充分利用緩沖區(qū)的空間。上述過程構(gòu)成了本方案的多目標(biāo)分發(fā)機(jī)制?;诙嗄繕?biāo)分發(fā)的多線程連接級(jí)并行的內(nèi)容分析子系統(tǒng)本質(zhì)上是同時(shí)運(yùn)行多個(gè)邏輯上獨(dú)立的并行內(nèi)容分析協(xié)議棧,結(jié)構(gòu)框如圖示。圖3. 并行內(nèi)容分析協(xié)議棧并行協(xié)議棧通過一個(gè)數(shù)據(jù)分發(fā)器將捕包系統(tǒng)捕獲的網(wǎng)絡(luò)數(shù)據(jù)包按

28、照IP包首的源地址和目的地址對(duì)分發(fā)到相應(yīng)的線程進(jìn)行處理,并通過一個(gè)發(fā)送單元收集器完成數(shù)據(jù)單元的發(fā)送,數(shù)據(jù)發(fā)送完畢以后將發(fā)送單元占用的數(shù)據(jù)單元返回給空閑存儲(chǔ)單元隊(duì)列供數(shù)據(jù)捕獲系統(tǒng)使用,讓捕包系統(tǒng)重復(fù)利用這些單元,實(shí)現(xiàn)捕包到分析的零拷貝過程。每一個(gè)內(nèi)容分析線程均有一個(gè)私有的協(xié)議棧狀態(tài)表和兩個(gè)數(shù)據(jù)隊(duì)列索引,其中協(xié)議棧狀態(tài)表是協(xié)議棧在進(jìn)行IP協(xié)議、TCP協(xié)議已經(jīng)上層應(yīng)用協(xié)議還原的時(shí)候用來保存上下文信息和暫存數(shù)據(jù)使用,而兩個(gè)數(shù)據(jù)隊(duì)列索引則分別用來存儲(chǔ)待分析的數(shù)據(jù)塊和已分析塊。這樣,任何一個(gè)協(xié)議棧線程在進(jìn)行數(shù)據(jù)操作的時(shí)候都不會(huì)和其他協(xié)議棧線程共享數(shù)據(jù)塊,避免協(xié)分析線程間的臨界鎖,提供整個(gè)系統(tǒng)的計(jì)算吞吐量。

29、此處的多目標(biāo)分發(fā)機(jī)制具有如下特點(diǎn):l 實(shí)現(xiàn)了內(nèi)容分析子模塊從數(shù)據(jù)分析過濾的零拷貝過程l 避免了核間和核內(nèi)的臨界鎖,極大的提高了內(nèi)容分析子系統(tǒng)的計(jì)算資源利用率4.7 基于應(yīng)用的識(shí)別控制天清漢馬USG防火墻系列擁有目前最完善的應(yīng)用識(shí)別特征庫,通過智能分析技術(shù),將P2P、IM、炒股軟件和在線游戲等協(xié)議的應(yīng)用行為、加密方式、處理動(dòng)作等特點(diǎn)整理成庫。當(dāng)流量經(jīng)過防火墻時(shí),防火墻啟動(dòng)過濾引擎,對(duì)流量進(jìn)行特征值的匹配。當(dāng)過濾引擎搜索到與之匹配的特征碼時(shí),防火墻即可應(yīng)用智能識(shí)別技術(shù)進(jìn)行細(xì)粒度控制或一鍵封鎖。如何快速而準(zhǔn)確地識(shí)別各種上網(wǎng)行為,是決定防火墻性能的關(guān)鍵因素。天清漢馬USG防火墻從如下幾個(gè)方面保障內(nèi)容識(shí)

30、別的高速與準(zhǔn)確。4.7.1 智能匹配技術(shù)在特征庫上的設(shè)置上,天清漢馬USG防火墻按照所有上網(wǎng)行為的特點(diǎn)進(jìn)行了分類,并對(duì)P2P、IM、炒股以及在線游戲等上網(wǎng)行為設(shè)置了不同的特征庫。當(dāng)數(shù)據(jù)包到達(dá)防火墻時(shí),防火墻首先根據(jù)用戶定制策略將其分配到其對(duì)應(yīng)的特征庫管道,如P2P下載行為的流量被輸送到P2P特征庫管道,即時(shí)通訊的流量則被輸送到IM特征庫管道。流量被分發(fā)到相應(yīng)的特征庫管道以后,再由相應(yīng)的搜索引擎對(duì)流量進(jìn)行掃描。這樣既大大減少了搜索引擎檢索的時(shí)間,又提高了過濾引擎的性能。4.7.2 多線程掃描技術(shù)天清漢馬USG防火墻采用多線程掃描技術(shù),提高了引擎掃描的效率。比如當(dāng)BT數(shù)據(jù)流和MSN數(shù)據(jù)流同時(shí)進(jìn)入防

31、火墻時(shí),防火墻內(nèi)容搜索引擎不是在檢索完BT數(shù)據(jù)流以后再去檢索MSN數(shù)據(jù)流,而是可以同時(shí)啟動(dòng)BT搜索引擎和MSN搜索引擎。兩個(gè)搜索引擎同時(shí)工作而互不影響。這種多線程處理機(jī)制同樣適用于2種以上不同類型的數(shù)據(jù)流同時(shí)經(jīng)過防火墻的情況,快速提升了搜索引擎的工作效率。4.7.3 應(yīng)用感控技術(shù)啟明星辰新一代P系列防火墻具有與傳統(tǒng)的基于端口和IP協(xié)議不同的方式進(jìn)行應(yīng)用識(shí)別的能力,并執(zhí)行訪問控制策略。例如允許用戶使用QQ的文本聊天、文件傳輸功能但不允許進(jìn)行語音視頻聊天,或者允許使用WebMail收發(fā)郵件但不允許附加文件等。應(yīng)用識(shí)別帶來的額外好處是可以合理優(yōu)化帶寬的使用情況,保證關(guān)鍵業(yè)務(wù)的暢通。雖然嚴(yán)格意義上來講

32、應(yīng)用流量優(yōu)化(俗稱應(yīng)用QoS)不是一個(gè)屬于安全范疇的特性,但P2P下載、在線視頻等網(wǎng)絡(luò)濫用確實(shí)會(huì)導(dǎo)致業(yè)務(wù)中斷等嚴(yán)重安全事件。 圖是網(wǎng)御的4.8 精確細(xì)致的WEB過濾技術(shù)天清漢馬USG防火墻系列在內(nèi)容過濾庫的處理上力求收集齊全、分類準(zhǔn)確、更新及時(shí)。通過采用網(wǎng)站全智能搜索引擎技術(shù)收集互聯(lián)網(wǎng)站點(diǎn),并進(jìn)行智能分類、人工核驗(yàn)的處理手段。目前天清漢馬USG防火墻支持50多種完善的URL類別,分別涉及色情、暴力、賭博、毒品、犯罪、病毒、體育、財(cái)經(jīng)、娛樂等網(wǎng)站分類,這50多個(gè)URL類別庫總共包含1000萬以上特征網(wǎng)站,具有分類全,覆蓋面廣的特點(diǎn)。另外,由于在互聯(lián)網(wǎng)上每天都有大量新網(wǎng)站出現(xiàn),啟明星辰通過在線升級(jí)

33、的方式,使URL庫中的網(wǎng)站處于持續(xù)的更新狀態(tài)。4.9 完備的關(guān)聯(lián)安全標(biāo)準(zhǔn)啟明星辰具備完備的關(guān)聯(lián)安全標(biāo)準(zhǔn)即(CSC: Correlative Security Criterion),以“面向業(yè)務(wù)的安全架構(gòu)”為技術(shù)理念,以“統(tǒng)一安全,立體防御”為設(shè)計(jì)目標(biāo),參照國際標(biāo)準(zhǔn),系統(tǒng)地開發(fā)了安全管理協(xié)議、安全聯(lián)動(dòng)協(xié)議、安全審計(jì)協(xié)議等協(xié)議族,構(gòu)成了完備的關(guān)聯(lián)安全標(biāo)準(zhǔn)。天清漢馬USG防火墻系列全面支持CSC標(biāo)準(zhǔn),一方面可以保證安全管理中心可以通過安全管理協(xié)議全面掌控防火墻的運(yùn)行,另一方面通過統(tǒng)一的事件格式、事件等級(jí)、發(fā)送協(xié)議,使安全審計(jì)中心只要遵從安全審計(jì)協(xié)議即可以對(duì)防火墻的安全事件進(jìn)行集中、可視化審計(jì)。同時(shí),

34、天清漢馬USG防火墻遵從安全聯(lián)動(dòng)協(xié)議,可以使主機(jī)安全軟件,入侵檢測等系統(tǒng)以防火墻為核心構(gòu)建深度安全防御體系,使網(wǎng)絡(luò)安全從獨(dú)立、單一防護(hù)的安全產(chǎn)品保護(hù)發(fā)展為立體、全面、動(dòng)態(tài)的防護(hù)。4.10 非法連接過濾技術(shù)將系統(tǒng)獲取的網(wǎng)絡(luò)數(shù)據(jù)按標(biāo)準(zhǔn)的以太數(shù)據(jù)結(jié)構(gòu)、IP數(shù)據(jù)結(jié)構(gòu)、TCP/UDP數(shù)據(jù)結(jié)構(gòu),并進(jìn)行TCP的會(huì)話查找,每條會(huì)話相對(duì)應(yīng)源和目的MAC地址、源和目的IP地址、源和目的端口地址、連接次數(shù)等。將上述所獲的網(wǎng)絡(luò)連接信息放入網(wǎng)絡(luò)連接知識(shí)庫中,該緩沖區(qū)按照索引標(biāo)識(shí)、源和目的地址進(jìn)行合并存放,即相同的源和目的地址將該連接的發(fā)生次數(shù)進(jìn)行累計(jì)計(jì)算。當(dāng)某一連接被釋放,主動(dòng)要求釋放連接的一端發(fā)送TCP FIN數(shù)據(jù)包

35、,監(jiān)視整個(gè)連接的釋放過程,如釋放正常完成,在知識(shí)庫中找到相對(duì)應(yīng)的TCP會(huì)話,將連接發(fā)生的次數(shù)減1。這樣可以始終保證知識(shí)庫中存放的是發(fā)生頻率最高的連接。該算法會(huì)以1秒鐘為單位時(shí)間,進(jìn)行流量的統(tǒng)計(jì),如果上1秒鐘的流量大于事先約定的閥值,那么立即進(jìn)入流量識(shí)別模式,如果連接請(qǐng)求可以在知識(shí)庫搜索到,則直接放行,并記錄放行的數(shù)據(jù)包數(shù),否則以上1秒鐘的流量作為樣本,計(jì)算放行的概率。作為拒絕服務(wù)攻擊的主要手段SYN Flood攻擊效果尤為顯著,通常SYN Flood的防范方式為應(yīng)用SYN Cookie機(jī)制。它的原理是:在TCP服務(wù)器收到TCP SYN包時(shí),不分配一個(gè)專門的數(shù)據(jù)區(qū),而是根據(jù)這個(gè)SYN包計(jì)算出一個(gè)

36、cookie值,并加載在所回應(yīng)的SYN/ACK包中,在收到TCP ACK包時(shí),TCP服務(wù)器在根據(jù)那個(gè)cookie值檢查這個(gè)TCP ACK包的合法性。如果合法,再分配專門的數(shù)據(jù)區(qū)進(jìn)行處理未來的TCP連接。4.11 IPv6包狀態(tài)過濾技術(shù)雖然IPv6在網(wǎng)絡(luò)廠商應(yīng)用較為廣泛,但在安全廠商中,支持IPv6的網(wǎng)絡(luò)安全產(chǎn)品(如防火墻、UTM、IPS等)還是較少,啟明星辰支持IPv6功能包括:IPv6環(huán)境下的狀態(tài)包過濾、靜態(tài)路由、OSPF動(dòng)態(tài)路由、FTP、ALG等基本安全控制,以及IPv6/v4 雙協(xié)議棧功能;設(shè)備在同一信息安全網(wǎng)絡(luò)中同時(shí)支持 IPv4 和IPv6協(xié)議的安全控制日漸得到關(guān)注。5 產(chǎn)品特點(diǎn)5.

37、1 智能聯(lián)動(dòng),協(xié)同防御天清漢馬USG防火墻通過與已部署的防病毒網(wǎng)關(guān)、IPS、UTM等設(shè)備聯(lián)合抓取病毒源、攻擊檢測源和掛馬網(wǎng)站URL等特征,匯集至云防御服務(wù)器定時(shí)收納合并,云防御服務(wù)器動(dòng)態(tài)更新病毒庫、攻擊特征庫、掛馬庫等并同步到所有啟明星辰安全網(wǎng)關(guān)設(shè)備中,使其他設(shè)備具有防病毒、IPS、防掛馬等功能,同時(shí)使其具備更高的處理性能,共同形成整體可信架構(gòu)云防御體系。圖是網(wǎng)御的5.2 一鍵式配置,便捷定義安全級(jí)別專為減輕用戶管理負(fù)擔(dān)考慮的一鍵式配置,實(shí)現(xiàn)復(fù)雜設(shè)備的簡單管理,降低用戶的管理成本。高高安全等級(jí):可定義嚴(yán)格的安全策略,如: 只開通業(yè)務(wù)系統(tǒng) 中中安全等級(jí):可定義較嚴(yán)格的安全策略,如: 放寬至WEB

38、和Email低低安全等級(jí):可定義寬松的安全策略,如:僅對(duì)病毒進(jìn)行過濾5.3 全開啟性能,高效應(yīng)用防護(hù)下一代防火墻的全開啟應(yīng)用性能是指同時(shí)開啟入侵防御和防病毒等主要安全模塊后的性能表現(xiàn),所以想要突破下一代防火墻產(chǎn)品的應(yīng)用性能瓶頸就必須從優(yōu)化入侵檢測引擎和防病毒引擎兩部分入手。星辰具有業(yè)界領(lǐng)先的入侵檢測引擎和防病毒引擎,同時(shí)采用ASIC硬件架構(gòu),使得USG防火墻應(yīng)用功能都打開整體性能下降小于30%。6 天清漢馬USG防火墻產(chǎn)品主要功能網(wǎng)絡(luò)適應(yīng)性接入模式支持透明、路由、混合三種工作模式支持DHCP Client、DHCP Relay、DHCP Server支持多透明橋,支持端口聚合支持PPPoE接入

39、,并具備自動(dòng)斷線重連技術(shù),支持多路ADSL撥號(hào),充分利用網(wǎng)絡(luò)資源,整合帶寬路由支持靜態(tài)路由,動(dòng)態(tài)路由,VLAN間路由,單臂路由,組播路由等支持基于源/目的地址、接口、Metric、服務(wù)的策略路由支持200個(gè)以上的路由表、30000個(gè)以上的路由策略選擇ISP智能選路內(nèi)置ISP地址列表,可輕松完成基于ISP的策略路由NAT支持雙向NAT、動(dòng)態(tài)地址轉(zhuǎn)換和靜態(tài)地址轉(zhuǎn)換,并支持多對(duì)一、一對(duì)多和一對(duì)一等多種方式的地址轉(zhuǎn)換IPV6網(wǎng)絡(luò)支持IPV6穿越,可輕松適應(yīng)電信IPV6及大學(xué)實(shí)驗(yàn)室IPV6環(huán)境VLAN支持802.1Q和ISL VLAN封裝協(xié)議,支持兩種封裝的互換以及Vlan Trunk帶寬管理基于IP地

40、址、服務(wù)、網(wǎng)口、時(shí)間等定義帶寬分配策略支持最小保證帶寬和最大限制帶寬,支持分層的帶寬管理動(dòng)態(tài)協(xié)議各種工作模式下均支持H.323(H.323 GK)、SIP、FTP、MMS、RTSP、XDMCP、TNS等多種動(dòng)態(tài)協(xié)議服務(wù)器負(fù)載均衡支持多臺(tái)服務(wù)器負(fù)載均衡,并且支持服務(wù)器健康檢查機(jī)制支持輪詢、加權(quán)值、最小連接、源/目的地址Hash、局部性最少鏈接等算法訪問控制狀態(tài)檢測基于源/目的IP地址、MAC地址、域名、端口或協(xié)議、服務(wù)、網(wǎng)口、時(shí)間、用戶的訪問控制基于源/目的IP地址、端口、服務(wù)、網(wǎng)口、時(shí)間、應(yīng)用等安全策略的帶寬控制可基于時(shí)間和安全域進(jìn)行安全隔離,同一時(shí)間內(nèi)網(wǎng)主機(jī)只能訪問DMZ區(qū)或者只能訪問外網(wǎng)透

41、明代理實(shí)現(xiàn)基于策略的 、FTP、TELNET、SMTP、POP3等透明代理和深度過濾IP/MAC綁定實(shí)現(xiàn)IP/MAC地址綁定,且支持IP/MAC地址對(duì)的自動(dòng)探測和唯一性檢查用戶認(rèn)證支持基于客戶端的本地認(rèn)證、無客戶端軟件的WEB認(rèn)證,并支持Radius等第三方認(rèn)證內(nèi)置動(dòng)態(tài)令牌認(rèn)證服務(wù)器,支持基于動(dòng)態(tài)令牌的雙因子認(rèn)證VPNIPSec VPN支持標(biāo)準(zhǔn)IPSec協(xié)議,能夠與CISCO、NETSCREEN等知名廠商的VPN設(shè)備互聯(lián)互通支持預(yù)共享密鑰、證書等認(rèn)證方式且支持動(dòng)態(tài)口令等擴(kuò)展認(rèn)證支持多出口VPN,且支持NAT穿越支持隧道接力,并可通過隧道接力實(shí)現(xiàn)分級(jí)的樹狀VPN結(jié)構(gòu)部署GRE/PPTP/L2TP

42、支持GRE、PPTP 、L2TP等VPN連接SSL VPN包含10個(gè)免費(fèi)并發(fā)用戶許可支持壓縮,緩存、協(xié)議優(yōu)化等應(yīng)用加速技術(shù),提高訪問速度支持用戶終端安全檢查,及基于檢測結(jié)果的訪問控制支持用戶賬號(hào)與終端特征綁定。支持動(dòng)態(tài)分配虛擬IP,支持虛擬IP與口令用戶或證書用戶進(jìn)行綁定。C/S應(yīng)用支持,支持TCP/IP協(xié)議的應(yīng)用,包括: ,Email,F(xiàn)tp,Notes,Outlook,Oracle, SQL等應(yīng)用;支持基于USBKey的證書認(rèn)證,實(shí)現(xiàn)對(duì)遠(yuǎn)程接入用戶的身份鑒別,并可根據(jù)用戶類型和分組進(jìn)行授權(quán)支持個(gè)性門戶(portal)定制化處理,可替換圖片、文字等入侵防護(hù)入侵檢測技術(shù)具有自主知識(shí)產(chǎn)權(quán)的檢測引

43、擎,具備基于協(xié)議異常、會(huì)話狀態(tài)和七層應(yīng)用行為等的攻擊識(shí)別功能。特征規(guī)則內(nèi)置IPS特征庫,特征規(guī)則數(shù)量超過2,500條,并可自定義入侵攻擊和應(yīng)用軟件的特征。協(xié)議分析支持對(duì) 、SMTP、POP3、FTP、Telnet、VLAN、MPLS、ARP、TCP、UDP、RPC、GRE等多種協(xié)議的分析防護(hù)攻擊類型支持對(duì)DoS/DDoS、病毒、蠕蟲、木馬、間諜軟件、廣告軟件、可疑代碼、端口掃描、非法連接、SQL注入、XSS跨站腳本等多種攻擊的防護(hù);抗ARP攻擊設(shè)備主動(dòng)防護(hù)ARP攻擊,通過發(fā)送頻率有效定位ARP攻擊源抗CC攻擊有效防護(hù)CC各種攻擊方式,如直接攻擊,代理攻擊,僵尸網(wǎng)絡(luò)攻擊連接管理支持同一主機(jī)源會(huì)話

44、、目的會(huì)話的分別管理支持動(dòng)態(tài)學(xué)習(xí),支持動(dòng)態(tài)協(xié)議數(shù)據(jù)會(huì)話的區(qū)分管理支持連接排行榜響應(yīng)方式支持丟棄封包、切斷會(huì)話、限制帶寬、實(shí)時(shí)報(bào)警、記錄日志、郵件報(bào)警、聲音報(bào)警等多種響應(yīng)方式;虛擬IPS支持基于地址、服務(wù)等對(duì)象的邏輯虛擬IPS和基于物理端口的物理虛擬IPS。防病毒協(xié)議支持 ,SMTP,FTP,PO3P,IMAP等多種協(xié)議下病毒防護(hù),支持自定義非標(biāo)準(zhǔn)端口的 ,SMTP,FTP,POP3,IMAP協(xié)議中的病毒檢測模式支持路由、透明、混合等各種工作模式下的網(wǎng)絡(luò)病毒檢測,支持無IP地址的透明橋下的網(wǎng)絡(luò)病毒檢測模式,支持VPN 模式下的病毒掃描支持快速掃描、全面掃描病毒庫采用國內(nèi)知名病毒廠商特征庫,可檢測

45、不少于30萬種病毒,支持根據(jù)用戶需求自定義病毒特征策略支持根據(jù)不同的源IP地址、目的IP地址、服務(wù)、時(shí)間、接口、用戶等,采用不同的病毒防御策略病毒防護(hù)模板系統(tǒng)支持3種病毒防護(hù)模板,支持自定義病毒防護(hù)模板壓縮文件支持tar、gzip、rar、zip等壓縮格式的病毒掃描斷點(diǎn)續(xù)傳FTP使用斷點(diǎn)續(xù)傳工具傳輸時(shí),支持病毒檢查其他防病毒支持過濾郵件病毒、文件病毒、惡意網(wǎng)頁代碼、木馬后門、蠕蟲等多種類型的病毒支持對(duì)當(dāng)前主流的蠕蟲做檢測與阻斷,例如: RedCode、Slammer、sober等。響應(yīng)方式支持基于病毒防護(hù)規(guī)則設(shè)置阻斷、清除、記錄日志,發(fā)送電子郵件報(bào)警等。應(yīng)用監(jiān)控支持協(xié)議支持 、SMTP、FTP

46、,還支持POP3等多種應(yīng)用協(xié)議的分析識(shí)別和控制。支持協(xié)議命令進(jìn)行識(shí)別和控制,支持針對(duì)關(guān)鍵字、附件文件名、惡意JavaScript代碼等信息進(jìn)行細(xì)粒度控制P2P控制識(shí)別和控制迅雷、BT、eDonkey、eMule等常見P2P下載軟件識(shí)別和控制PPLive、QQLive、PPStream等常見P2P視頻播放軟件IM控制識(shí)別和控制QQ、MSN等常用IM軟件,阻斷IM軟件機(jī)密文件傳輸網(wǎng)絡(luò)游戲識(shí)別和控制魔獸、CS、征途、聯(lián)眾、天堂、夢幻西游、仙劍情緣、熱血江湖、勁舞團(tuán)、誅仙、浩方、泡泡堂等多種在線游戲軟件炒股軟件識(shí)別和控制大智慧、同花順、國泰君安、證券之星、廣發(fā)證券、指南針、通達(dá)信、股票之星、華安證券、

47、和訊報(bào)道、錢龍等多種炒股軟件網(wǎng)頁分類支持52類1700多萬種URL分類庫的訪問控制,可以對(duì)色情、反動(dòng)等多種負(fù)面網(wǎng)站按類別進(jìn)行選擇控制反垃圾郵件支持協(xié)議支持SMTP, POP協(xié)議下的垃圾郵件檢測,支持禁止郵件Open Relay功能支持郵件服務(wù)器地址黑名單、發(fā)件人關(guān)鍵字、主題關(guān)鍵字等要素的垃圾郵件過濾功能,能阻斷垃圾郵件源響應(yīng)方式支持設(shè)置中斷連接、記錄日志,在郵件中標(biāo)示垃圾郵件等動(dòng)作虛擬防火墻劃分虛擬系統(tǒng)可將一臺(tái)物理設(shè)備,劃分為多個(gè)虛擬防火墻系統(tǒng)網(wǎng)口獨(dú)享與共享模式采用獨(dú)享和共享網(wǎng)口模式,最大化復(fù)用防火墻資源獨(dú)立資源可擁有獨(dú)立的系統(tǒng)資源、管理員、安全策略、用戶認(rèn)證數(shù)據(jù)庫等漏洞掃描內(nèi)網(wǎng)主機(jī)漏洞掃描后

48、門、服務(wù)探測、文件共享、系統(tǒng)補(bǔ)丁、IE漏洞等主動(dòng)式掃描主動(dòng)防御惡意站點(diǎn)防護(hù)通過對(duì)訪問目標(biāo)URL過濾的方式,阻止對(duì)含木馬網(wǎng)/病毒網(wǎng)站、釣魚網(wǎng)站、僵尸網(wǎng)絡(luò)的訪問,要求內(nèi)置惡意URL地址庫,提供相關(guān)解決方案說明關(guān)聯(lián)安全應(yīng)用關(guān)聯(lián)安全支持關(guān)聯(lián)安全標(biāo)準(zhǔn)(CSC)可與終端管理系統(tǒng)協(xié)同工作,實(shí)現(xiàn)對(duì)終端的網(wǎng)絡(luò)準(zhǔn)入認(rèn)證控制,提供協(xié)同工作原理管理配置系統(tǒng)管理支持友好的Web圖形界面配置,支持遠(yuǎn)程SSH和串口命令行配置支持?jǐn)?shù)字證書和電子鑰匙兩種管理員認(rèn)證方式,支持管理員權(quán)限分級(jí)支持SNMP管理,與當(dāng)前通用的網(wǎng)絡(luò)管理平臺(tái)兼容可進(jìn)行配置文件的備份、下載、恢復(fù)和上傳,可導(dǎo)出可讀的配置文件并進(jìn)行打印存檔系統(tǒng)監(jiān)控支持對(duì)CPU、

49、內(nèi)存、磁盤、網(wǎng)口、用戶在線狀態(tài)、連接數(shù)、路由表等信息的監(jiān)控日志報(bào)警支持設(shè)備內(nèi)存儲(chǔ)和專用事件分析服務(wù)器兩種日志管理方式支持分級(jí)報(bào)警,支持SNMP Trap和郵件等報(bào)警方式集中管理可通過專用的集中管理系統(tǒng)實(shí)現(xiàn)對(duì)安全網(wǎng)關(guān)的集中設(shè)備監(jiān)控、集中日志審計(jì)、安全報(bào)警以及策略的分發(fā)等功能可通過專用的集中管理系統(tǒng),實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)拓?fù)涞墓芾恚谟虻臋?quán)限分配和報(bào)表自動(dòng)生成可提供專用的軟件實(shí)現(xiàn)對(duì)安全網(wǎng)關(guān)接入用戶認(rèn)證的集中管理,至少可同時(shí)管理2048臺(tái)防火墻支持策略的集中制定、修改與統(tǒng)一配發(fā),提供分級(jí)的策略管理功能一鍵式管理支持一鍵式網(wǎng)關(guān)策略配置和分級(jí)保護(hù),具有易用、智能的管理配置方式,提供外置按鍵的配置的方式,每個(gè)按鍵

50、均對(duì)應(yīng)一個(gè)已預(yù)設(shè)的策略模板,即使非專業(yè)的管理員,也可以方便的進(jìn)行配置管理;支持安全等級(jí)保護(hù)的快捷配置方式高可用性負(fù)載均衡支持基于VRRP技術(shù)的熱備和負(fù)載均衡支持多重冗余協(xié)議(MRP),實(shí)現(xiàn)鏈路備份、端口備份、熱備份、集群備份等支持防火墻多WAN口備份和負(fù)載均衡支持基于802.3ad標(biāo)準(zhǔn)的多端口聚合,實(shí)現(xiàn)零成本擴(kuò)展帶寬通過狀態(tài)同步技術(shù)實(shí)現(xiàn)232臺(tái)防火墻的多機(jī)集群雙機(jī)熱備在NAT、路由、透明模式下支持A-A,A-S模式,且切換時(shí)間小于1秒可在熱備和集群工作模式下支持多臺(tái)防火墻的配置自動(dòng)同步升級(jí)周期病毒庫支持病毒特征升級(jí)服務(wù),日常病毒特征升級(jí)周期小于3天,緊急病毒特征升級(jí)周期小于2天入侵庫入侵防御特

51、征升級(jí)服務(wù)周期小于3天升級(jí)方式支持靈活的升級(jí)方式,提供遠(yuǎn)程升級(jí)服務(wù),支持包括主動(dòng)、被動(dòng)、定時(shí)、本地4種升級(jí)類型,定時(shí)升級(jí)服務(wù)支持按周,日,小時(shí)3類,支持用戶自定義升級(jí)服務(wù)器 7 典型組網(wǎng)7.1 政府行業(yè)7.1.1 電子政務(wù)網(wǎng)電子政務(wù)網(wǎng)是各級(jí)政府為了加強(qiáng)信息化建設(shè),通過互聯(lián)網(wǎng)或者租用專線的方式把下屬委、辦、局以及下一級(jí)政府單位的局域網(wǎng)進(jìn)行互聯(lián)的網(wǎng)絡(luò)。不同地區(qū)電子政務(wù)網(wǎng)在組網(wǎng)模式和建設(shè)思路上存在一定的差異化,但總體的網(wǎng)絡(luò)結(jié)構(gòu)如下:圖4. 電子政務(wù)網(wǎng)總體結(jié)構(gòu)圖電子政務(wù)網(wǎng)分為內(nèi)網(wǎng)和外網(wǎng)。天清漢馬USG防火墻部署在各單位與外單位互聯(lián)的出口,防止來自其他單位的入侵攻擊等威脅,同時(shí)對(duì)電子政務(wù)內(nèi)網(wǎng)用戶相互間訪

52、問進(jìn)行控制與日志審計(jì),可有效檢測和控制內(nèi)部員工越權(quán)行為,并向管理員發(fā)出告警。電子政務(wù)外網(wǎng)在建設(shè)模型上與內(nèi)網(wǎng)相似,多數(shù)也是采用專線或裸光纖的方式建網(wǎng),外網(wǎng)與Internet邏輯隔離。天清漢馬USG防火墻部署在各單位與互聯(lián)網(wǎng)的出口,用于防止來自互聯(lián)網(wǎng)的入侵威脅,并且可以作為邊緣接入路由器部署。天清漢馬USG提供統(tǒng)一管理平臺(tái),可以通過信息中心統(tǒng)一管理全網(wǎng)的USG防火墻設(shè)備,并提供詳盡直觀的報(bào)表,能夠讓管理員迅速了解到整個(gè)網(wǎng)絡(luò)的存在的安全風(fēng)險(xiǎn)和趨勢,為決定如何制定安全策略提供依據(jù)。7.1.2 政府專網(wǎng)政府專網(wǎng)是各部委與下屬單位信息互聯(lián)的網(wǎng)絡(luò)。政府專網(wǎng)全部采用專線或裸光纖的方式構(gòu)建。專網(wǎng)的安全系統(tǒng)一般采

53、用下級(jí)信任上級(jí)的方式來建設(shè),即只需要考慮上級(jí)單位對(duì)下級(jí)單位訪問的安全防護(hù)。專網(wǎng)系統(tǒng)一般來說,只在一級(jí)單位設(shè)互聯(lián)網(wǎng)出口,各下屬單位的互聯(lián)網(wǎng)訪問都從總部出口。在互聯(lián)網(wǎng)出口部署USG防火墻設(shè)備能夠?qū)λ袕幕ヂ?lián)網(wǎng)的進(jìn)出的流量進(jìn)行過濾,防止來之互聯(lián)網(wǎng)的入侵,并且對(duì)專網(wǎng)內(nèi)用戶訪問互聯(lián)網(wǎng)的內(nèi)容進(jìn)行過濾和審計(jì)。在每個(gè)政府單位和下級(jí)單位的接口部署USG防火墻設(shè)備,可以有效防范來自下級(jí)單位的越權(quán)訪問和惡意攻擊。天清漢馬同時(shí)可以作為邊緣路由器接入網(wǎng)絡(luò)。天清漢馬USG防火墻提供統(tǒng)一管理平臺(tái),可以通過信息中心統(tǒng)一管理全網(wǎng)的USG防火墻設(shè)備,并提供詳盡直觀的報(bào)表,能夠讓管理員迅速了解到整個(gè)網(wǎng)絡(luò)的存在的安全風(fēng)險(xiǎn)和趨勢,為決

54、定如何制定安全策略提供依據(jù)。圖5. 政府專網(wǎng)結(jié)構(gòu)示意圖7.2 教育行業(yè)7.2.1 高教校園網(wǎng)高校校園網(wǎng)出口一般會(huì)和多個(gè)ISP互聯(lián),同時(shí)和CERNET互聯(lián)。USG防火墻設(shè)備部署在高校網(wǎng)絡(luò)出口,可以抵御來自互聯(lián)網(wǎng)的威脅,保護(hù)DMZ區(qū)服務(wù)器免受攻擊,以及學(xué)生對(duì)學(xué)校重要服務(wù)器的攻擊。同時(shí),開啟策略路由功能,網(wǎng)絡(luò)流量進(jìn)行分流處理。對(duì)于高校出口帶寬占用率一直高居不下是一直困擾網(wǎng)管人員的問題,天清漢馬USG防火墻可以提供完整的帶寬管理解決方案。天清漢馬USG防火墻通過Netflow功能對(duì)網(wǎng)絡(luò)出口的流量進(jìn)行統(tǒng)計(jì),分析帶寬使用趨勢,同時(shí)對(duì)帶寬占用較大的P2P流量進(jìn)行限制和封鎖,讓校園網(wǎng)出口的帶寬得到充分的利用。

55、 對(duì)于校園網(wǎng)內(nèi)的各學(xué)生宿舍、圖書館、教學(xué)樓等單位,與學(xué)校網(wǎng)絡(luò)中心的接口通過透明模式接入天清漢馬USG防火墻,同時(shí)開啟網(wǎng)頁內(nèi)容過濾功能,防止學(xué)生訪問不良網(wǎng)站。圖6. 高教校園網(wǎng)結(jié)構(gòu)示意圖7.2.2 中/基教教育城域網(wǎng)中基市場中,連接Internet通常有兩種方式,一種為通過ISP與 Internet直接連接,另外一種為通過教育城域網(wǎng)與Internet統(tǒng)一連接。對(duì)于前者,學(xué)校通常在網(wǎng)絡(luò)出口處部署一臺(tái)USG防火墻設(shè)備,防御來自互聯(lián)網(wǎng)的攻擊,同時(shí)開啟Web內(nèi)容過濾功能,防止學(xué)生利用利用網(wǎng)絡(luò)瀏覽不良網(wǎng)站。對(duì)于后者,只需要在地區(qū)教委的Internet出口部署USG防火墻設(shè)備既可以防御來自互聯(lián)網(wǎng)的威脅,又可

56、以做到對(duì)所轄區(qū)域?qū)W校訪問互聯(lián)網(wǎng)的流量進(jìn)行統(tǒng)一管理,統(tǒng)一過濾各學(xué)校訪問不良網(wǎng)站的流量。圖7. 中/基教校園網(wǎng)結(jié)構(gòu)示意圖7.3 企業(yè)市場7.3.1 中小企業(yè)在全國范圍內(nèi)擁有分支機(jī)構(gòu)的中小企業(yè)網(wǎng)絡(luò),大都通過互聯(lián)網(wǎng)來實(shí)現(xiàn)總部與分支機(jī)構(gòu)的互聯(lián)互通。圖8. 中小企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)示意圖部署USG防火墻設(shè)備讓中小企業(yè)用戶可以在一個(gè)統(tǒng)一的架構(gòu)上建立自己的安全基礎(chǔ)設(shè)施,而以往困擾用戶的安全產(chǎn)品協(xié)調(diào)性、資金和技術(shù)匱乏和缺乏中小企業(yè)級(jí)安全解決方案等問題也能夠得到完全解決。USG防火墻設(shè)備產(chǎn)品部署在總部和分支機(jī)構(gòu)網(wǎng)絡(luò)Internet出口,抵御來自互聯(lián)網(wǎng)攻擊威脅。同時(shí)可作為VPN網(wǎng)關(guān),各分支機(jī)構(gòu)與總部之間開啟VPN隧道,保證

57、相互間通信的保密性。SOHO員工和在外出差的員工可以在任何時(shí)候通過VPN客戶端與總部的天清漢馬USG防火墻建立VPN隧道,訪問公司內(nèi)部的資源,實(shí)現(xiàn)高效安全的網(wǎng)絡(luò)應(yīng)用。7.3.2 大型企業(yè)對(duì)于大型企業(yè),網(wǎng)絡(luò)規(guī)模較大、用戶數(shù)量多、業(yè)務(wù)系統(tǒng)較多,網(wǎng)絡(luò)建設(shè)類似于城域網(wǎng)。在安全建設(shè)方面也存在多點(diǎn)建設(shè),除去在集團(tuán)總部的互聯(lián)網(wǎng)出口需要安全防控外,各下屬單位也有安全防護(hù)需求。圖9. 大型企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)示意圖在總部互聯(lián)網(wǎng)出口部署的天清漢馬USG防火墻能夠抵御來自互聯(lián)網(wǎng)的入侵攻擊,同時(shí)為出差員工提供VPN接入,確保通信的保密性。在各單位出口部署USG防火墻設(shè)備,可以有效控制不同部門之間的越權(quán)訪問。天清漢馬USG防火墻提供統(tǒng)一管理平臺(tái),可以通過信息中心統(tǒng)一管理全網(wǎng)的USG防火墻設(shè)備,并提供詳盡直觀的報(bào)表,能夠讓管理員迅速了解到整個(gè)網(wǎng)絡(luò)的存在的安全風(fēng)險(xiǎn)和趨勢,為決定如何制定安全策略提供依據(jù)。

展開閱讀全文
溫馨提示:
1: 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
2: 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
3.本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
5. 裝配圖網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

相關(guān)資源

更多
正為您匹配相似的精品文檔
關(guān)于我們 - 網(wǎng)站聲明 - 網(wǎng)站地圖 - 資源地圖 - 友情鏈接 - 網(wǎng)站客服 - 聯(lián)系我們

copyright@ 2023-2025  zhuangpeitu.com 裝配圖網(wǎng)版權(quán)所有   聯(lián)系電話:18123376007

備案號(hào):ICP2024067431號(hào)-1 川公網(wǎng)安備51140202000466號(hào)


本站為文檔C2C交易模式,即用戶上傳的文檔直接被用戶下載,本站只是中間服務(wù)平臺(tái),本站所有文檔下載所得的收益歸上傳人(含作者)所有。裝配圖網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)上載內(nèi)容本身不做任何修改或編輯。若文檔所含內(nèi)容侵犯了您的版權(quán)或隱私,請(qǐng)立即通知裝配圖網(wǎng),我們立即給予刪除!