-天清漢馬USG-FW-P系列防火墻技術(shù)白皮書-V.

《-天清漢馬USG-FW-P系列防火墻技術(shù)白皮書-V.》由會(huì)員分享，可在線閱讀，更多相關(guān)《-天清漢馬USG-FW-P系列防火墻技術(shù)白皮書-V.（26頁珍藏版）》請(qǐng)?jiān)谘b配圖網(wǎng)上搜索。

1、天清漢馬USG-FW-P系列防火墻 技術(shù)白皮書二零一三年十月目 錄1概述12天清漢馬USG防火墻產(chǎn)品特點(diǎn)與技術(shù)優(yōu)勢22.1智能的VSP通用安全平臺(tái)22.2高效的USE統(tǒng)一安全引擎32.3高可靠的MRP多重冗余協(xié)議42.4完備的關(guān)聯(lián)安全標(biāo)準(zhǔn)52.5基于應(yīng)用的內(nèi)容識(shí)別控制6智能匹配技術(shù)6多線程掃描技術(shù)7應(yīng)用感控技術(shù)72.6精確細(xì)致的WEB過濾技術(shù)82.7可信架構(gòu)主動(dòng)云防御技術(shù)82.8IPv6包狀態(tài)過濾技術(shù)93天清漢馬USG防火墻產(chǎn)品主要功能104典型組網(wǎng)174.1政府行業(yè)17電子政務(wù)網(wǎng)17政府專網(wǎng)184.2教育行業(yè)19高教校園網(wǎng)19中/基教教育城域網(wǎng)204.3企業(yè)市場21中小企業(yè)21大型企業(yè)221

2、 概述誕生20多年來，網(wǎng)絡(luò)已經(jīng)在全球經(jīng)濟(jì)中扎根發(fā)芽，蓬勃成長為參天大樹，對(duì)各個(gè)行業(yè)的發(fā)展起著舉足輕重的作用。隨著時(shí)間的推移，網(wǎng)絡(luò)的安全問題也日益嚴(yán)重，在開放的網(wǎng)絡(luò)環(huán)境中，網(wǎng)絡(luò)邊界安全成為網(wǎng)絡(luò)安全的重要組成部分。在網(wǎng)絡(luò)安全的術(shù)語里，有一個(gè)名詞叫做“安全域”，其主要作用就是將網(wǎng)絡(luò)按照業(yè)務(wù)、保護(hù)等級(jí)、行為等方面劃分出不同的邊界，定義出各自的安全領(lǐng)域。舉個(gè)簡單的例子，在PC上安裝了相關(guān)的殺毒軟件，PC本身就是一個(gè)最簡單的安全域。對(duì)于單位用戶，安全域往往由若干網(wǎng)絡(luò)設(shè)備和用戶主機(jī)構(gòu)成，其邊界安全主要在于與互聯(lián)網(wǎng)的邊界、與其他業(yè)務(wù)網(wǎng)絡(luò)的邊界等。防火墻是解決網(wǎng)絡(luò)邊界安全的重要設(shè)備，它主要工作在網(wǎng)絡(luò)層之下，通過

3、對(duì)協(xié)議、地址和服務(wù)端口的識(shí)別和控制達(dá)到防范入侵的目的，可以有效的防范基于業(yè)務(wù)端口的攻擊。天清漢馬USG防火墻是北京啟明星辰信息安全技術(shù)憑借在信息安全領(lǐng)域多年的經(jīng)驗(yàn)積累，總結(jié)分析用戶的切身需求，推出新一代的P系列防火墻產(chǎn)品。天清漢馬USG防火墻采用高性能的硬件架構(gòu)和一體化的軟件設(shè)計(jì)，除了實(shí)現(xiàn)了狀態(tài)檢測防火墻功能，還同時(shí)支持VPN、上網(wǎng)行為管理、抗拒絕服務(wù)攻擊（Anti-DoS）、內(nèi)容過濾、AV、入侵防御等多種安全技術(shù)，同時(shí)全面支持QoS、高可用性（HA）、日志審計(jì)等功能，為網(wǎng)絡(luò)邊界提供了全面實(shí)時(shí)的安全防護(hù)。天清漢馬USG防火墻可直接通過功能許可激活的方式，獲得包括防病毒（AV）、入侵防御（IPS

4、）、防垃圾郵件（Anti-Spam）和內(nèi)網(wǎng)安全功能。天清漢馬USG防火墻產(chǎn)品線豐富，可以為政府、教育、金融、企業(yè)、能源、運(yùn)營商等用戶提供所需要的全系列的安全防護(hù)產(chǎn)品。2 產(chǎn)品綜述2.1 產(chǎn)品綜述天清漢馬下一代p系列USG防火墻是集防火墻、VPN、上網(wǎng)行為管理AC、內(nèi)容過濾、防病毒、入侵防護(hù)等多種安全技術(shù)于一身，高性能、綠色低碳，同時(shí)全面支持各種路由協(xié)議、QoS、高可用性（HA）、日志審計(jì)等功能，為網(wǎng)絡(luò)邊界提供了全面實(shí)時(shí)的安全防護(hù)，幫助用戶抵御日益復(fù)雜的安全威脅。天清漢馬USG防火墻采用了一體化的設(shè)計(jì)方案，在一個(gè)產(chǎn)品中協(xié)調(diào)統(tǒng)一地實(shí)現(xiàn)了接入安全需要考慮的方方面面。采用天清漢馬USG防火墻，可以從整

5、體上解決了接入安全的問題。用戶可不必考慮產(chǎn)品部署、兼容性等困惑，也不再因?yàn)槎鄠€(gè)產(chǎn)品難于維護(hù)管理而苦惱，天清漢馬USG防火墻是低成本、高效率、易管理的理想解決方案。天清漢馬USG防火墻產(chǎn)品線豐富，可以為政府、教育、金融、企業(yè)、能源、運(yùn)營商等用戶提供所需要的全系列的安全防護(hù)產(chǎn)品。自從天清漢馬USG防火墻推向市場以來，很快就憑借其強(qiáng)大的功能和在實(shí)際應(yīng)用中優(yōu)異表現(xiàn)，贏得了眾多機(jī)構(gòu)和用戶的廣泛贊譽(yù)。2.2 特點(diǎn)說明天清漢馬USG防火墻具有如下特點(diǎn)：l 完善的防火墻特性 支持基于源IP、目的IP、源端口、目的端口、時(shí)間、服務(wù)、用戶、文件、網(wǎng)址、關(guān)鍵字、郵件地址、腳本、MAC地址等方式進(jìn)行訪問控制 支持流量

6、管理、連接數(shù)控制、IP+MAC綁定、用戶認(rèn)證等 支持虛擬防火墻：可以將接口劃分給不同的虛擬防火墻，每個(gè)虛擬防火墻具有獨(dú)立的管理員、安全域、資源對(duì)象、安全策略、NAT規(guī)則、靜態(tài)路由等配置 同終端無縫結(jié)合：支持同天珣內(nèi)網(wǎng)安全管理系統(tǒng)聯(lián)動(dòng)，將防火墻防御能力推進(jìn)到桌面終端l 高網(wǎng)絡(luò)適用性 支持透明、路由和NAT模式部署 支持靜態(tài)路由、策略路由、RIP/OSPF/BGP動(dòng)態(tài)路由，支持等價(jià)路由ECMP和加權(quán)路由WCMP，支持組播路由 支持STP，可以同二層網(wǎng)絡(luò)設(shè)備進(jìn)行生成樹計(jì)算 支持IGMP Snooping，優(yōu)化在橋模式下的組播流量 支持私有HA和VRRP 支持IPv6：支持IPv4、IPv6雙棧運(yùn)行、

7、靜態(tài)IPv6路由、手工隧道、6to4隧道和ISATAP隧道。 支持鏈路聚合，可通過手動(dòng)方式、IEEE802.3ad 靜態(tài)LACP方式創(chuàng)建聚合鏈路；通過鏈路聚合可以增加鏈路帶寬，并起到負(fù)載均衡和鏈路備份的作用 支持802.11B,802.11G協(xié)議，可以擴(kuò)展WIFI模塊以提供WIFI接入，支持設(shè)備作為WiFi熱點(diǎn)（即AP），為客戶機(jī)提供無線安全接入服務(wù) 支持3G(CDMA2000)協(xié)議，可以擴(kuò)展3G模塊以提供3G上行網(wǎng)絡(luò)接入l 高穩(wěn)定性和可靠性 產(chǎn)品具有高性能，同時(shí)多核之間互為備份，可靠性高 支持私有協(xié)議HA和VRRP，實(shí)現(xiàn)雙機(jī)熱備和冗余 支持雙操作系統(tǒng)和多配置文件，最大支持10個(gè)配置文件備份l

8、 全面的VPN支持 多VPN支持： IPSec、L2TP、SSL VPN、GRE 豐富的應(yīng)用：專用VPN客戶端、USBKEY、動(dòng)態(tài)口令卡、圖形認(rèn)證碼 靈活的部署：Hub-Spoken、Full-Mesh、DVPN、網(wǎng)關(guān)網(wǎng)關(guān)的SSL VPN 支持對(duì)IPAD、IPHONE等移動(dòng)終端的VPN接入l 完善的上網(wǎng)行為管理功能 采用獨(dú)立的上網(wǎng)行為管理庫，通過互聯(lián)網(wǎng)實(shí)現(xiàn)每周更新。 P2P控制：對(duì)Emule、BitTorrent、Maze、Kazaa等進(jìn)行阻斷、限速 IM控制：基于黑白名單的IM登錄控制、文件傳輸阻止、查毒；支持主流IM軟件如QQ、MSN、雅虎通、Gtalk、Skype 流媒體控制：對(duì)流媒體應(yīng)

9、用進(jìn)行阻斷或限速，支持Kamun ppfilm 、PPLive、PPStream、QQ直播、TVAnts、沸點(diǎn)網(wǎng)絡(luò)電視、貓撲播霸等 網(wǎng)絡(luò)游戲控制：對(duì)常見網(wǎng)絡(luò)游戲如魔獸世界、征途、QQ游戲大廳、聯(lián)眾游戲大廳等的阻斷 股票軟件控制：對(duì)常用股票軟件如同花順、大參考、大智慧等的阻斷l(xiāng) 強(qiáng)大的日志報(bào)表功能 記錄內(nèi)容豐富：可對(duì)防火墻日志、攻擊日志、病毒日志、帶寬使用日志、Web訪問日志、Mail發(fā)送日志、關(guān)鍵資產(chǎn)訪問日志、用戶登錄日志等進(jìn)行記錄 日志快速查詢：可對(duì)IP地址、端口、時(shí)間、危急程度、日志內(nèi)容關(guān)鍵字等進(jìn)行查詢 報(bào)表貼近需求：根據(jù)用戶具體需求，定制報(bào)表內(nèi)容、定制報(bào)名名稱、定制企業(yè)LOGO，并可形成

10、多種格式的報(bào)表文件。l 方便的集中管理功能 通過集中管理與數(shù)據(jù)分析中心實(shí)現(xiàn)對(duì)多臺(tái)設(shè)備的統(tǒng)一管理、實(shí)時(shí)監(jiān)控、集中升級(jí)和拓?fù)湔故尽? 體系架構(gòu)說明3.1 產(chǎn)品構(gòu)成天清漢馬USG防火墻主要由兩部分組成：USG防火墻設(shè)備和天清集中管理與數(shù)據(jù)分析中心。USG防火墻設(shè)備：即部署在網(wǎng)絡(luò)出口，融合多種安全能力，針對(duì)惡意攻擊、非法活動(dòng)和網(wǎng)絡(luò)資源濫用等威脅，實(shí)現(xiàn)精確防控的高可靠、高性能、易管理的網(wǎng)關(guān)安全設(shè)備。天清集中管理與數(shù)據(jù)分析中心：主要功能分為集中管理功能與數(shù)據(jù)分析功能，集中管理是對(duì)USG防火墻設(shè)備的集中管理、統(tǒng)一監(jiān)控和升級(jí)中心，通過它可以集中配置、監(jiān)控和管理所管轄的多臺(tái)USG防火墻設(shè)備，并按照一定的規(guī)則組織

11、成層次結(jié)構(gòu)，方便管理員對(duì)于整網(wǎng)USG防火墻設(shè)備的監(jiān)控維護(hù)工作；數(shù)據(jù)分析中心是USG防火墻設(shè)備海量信息的后臺(tái)處理中心。主要完成USG防火墻設(shè)備日志和流量信息的存儲(chǔ)、分析、審計(jì)和處理功能。3.2 軟件結(jié)構(gòu)防火墻作為網(wǎng)關(guān)類產(chǎn)品，究竟什么樣的軟件結(jié)構(gòu)更有利于提升整體性能？那么首先需要知道什么是性能消耗的關(guān)鍵業(yè)務(wù)單元。啟明星辰通過對(duì)網(wǎng)關(guān)類產(chǎn)品單一分析處理引擎的詳細(xì)分析和試驗(yàn)驗(yàn)證，得出網(wǎng)關(guān)類產(chǎn)品性能消耗50來自于模式匹配，25來自于協(xié)議重組、25來自于報(bào)文重組的結(jié)論。圖1. 網(wǎng)關(guān)分析處理引擎性能消耗分析如何融合分析處理引擎，合并性能消耗關(guān)鍵業(yè)務(wù)單元成為防火墻產(chǎn)品軟件結(jié)構(gòu)設(shè)計(jì)首要考慮的問題?；谘芯繑?shù)據(jù)，啟

12、明星辰在天清漢馬USG防火墻的軟件結(jié)構(gòu)設(shè)計(jì)上引入了一體化的設(shè)計(jì)理念。即將防火墻、VPN、內(nèi)容過濾和流量管理等各項(xiàng)功能的分析處理引擎進(jìn)行一體化設(shè)計(jì)，以達(dá)到性能最優(yōu)的目的。天清漢馬USG防火墻本著安全高效原則，采用“檢測與控制相分離，引擎特征相統(tǒng)一”的一體化設(shè)計(jì)思想：人機(jī)界面、報(bào)文接收模塊、報(bào)文處理模塊、報(bào)文發(fā)送模塊和支撐庫。網(wǎng)絡(luò)報(bào)文首先通過報(bào)文接收模塊進(jìn)行預(yù)處理后進(jìn)入報(bào)文處理模塊，在報(bào)文處理模塊，防火墻進(jìn)行23層過濾，VPN負(fù)責(zé)接入控制；其次模塊匹配引擎和行為分析引擎分別根據(jù)統(tǒng)一特征庫和行為知識(shí)庫進(jìn)行匹配查找；最后，對(duì)于合法報(bào)文直接交由報(bào)文發(fā)送模塊進(jìn)行報(bào)文轉(zhuǎn)發(fā)，對(duì)于非法報(bào)文，送交相應(yīng)的處理引擎進(jìn)

13、行處理。整個(gè)過程的日志信息和數(shù)據(jù)流量信息送集中管理與數(shù)據(jù)分析中心監(jiān)控和備案，管理中心負(fù)責(zé)整體的配置和調(diào)整。4 關(guān)鍵技術(shù)天清漢馬USG防火墻采用了多種創(chuàng)新技術(shù)，為確保多種安全能力的融合，性能的持續(xù)恒定起到了重要作用。4.1 智能的VSP通用安全平臺(tái)天清漢馬USG防火墻采用創(chuàng)新的VSP（VersatileSecurity Platform）這是網(wǎng)御慣用的說法，查一下原先USG的說法是什么樣的保持一致通用安全平臺(tái)，將實(shí)時(shí)操作系統(tǒng)、網(wǎng)絡(luò)處理、安全應(yīng)用等技術(shù)完美地結(jié)合在一起，使防火墻產(chǎn)品具備了高智能、高性能、高安全性、高健壯性、 高擴(kuò)展性等特點(diǎn)。圖也是網(wǎng)御的圖VSP面向網(wǎng)絡(luò)吞吐和安全處理，采用基于組件的

14、多平面架構(gòu)，整個(gè)系統(tǒng)分為控制平面、數(shù)據(jù)平面、系統(tǒng)服務(wù)平面和硬件抽象平面，通過控制平面和數(shù)據(jù)平面的分離，不同于Linux，F(xiàn)reeBSD等通用操作系統(tǒng)追求均衡的方向，集中主要資源于網(wǎng)絡(luò)吞吐和安全處理，使系統(tǒng)具有極強(qiáng)的實(shí)時(shí)性和網(wǎng)絡(luò)吞吐能力。由于系統(tǒng)功能與資源管理分別工作在不同的平面，各平面和模塊之間共同遵循標(biāo)準(zhǔn)接口函數(shù)，系統(tǒng)具有高度靈活性和可擴(kuò)展性。通過將硬件驅(qū)動(dòng)與資源管理獨(dú)立為一個(gè)單獨(dú)的硬件抽象平面模塊，對(duì)上層軟件提供統(tǒng)一調(diào)用接口，對(duì)下層硬件統(tǒng)一定義驅(qū)動(dòng)標(biāo)準(zhǔn)，適應(yīng)多種不同規(guī)格的硬件架構(gòu)，實(shí)現(xiàn)與多種專用芯片的無縫融合，可充分利用從IXP，PowerPC到NP、多核多線程CPU、內(nèi)容加速芯片等各種先

15、進(jìn)硬件平臺(tái)的優(yōu)勢，使天清漢馬USG防火墻在性能方面一路領(lǐng)先。4.2 高效的整合內(nèi)容引擎天清漢馬USG防火墻使用高效的ICE（Integrated content engine）整合內(nèi)容引擎。它將狀態(tài)包過濾、VPN、IDS、內(nèi)容過濾、用戶認(rèn)證等多個(gè)子系統(tǒng)集成于單一平臺(tái)，構(gòu)造統(tǒng)一架構(gòu)，綜合并優(yōu)化各子系統(tǒng)，去除冗余，簡化數(shù)據(jù)處理流程，實(shí)現(xiàn)統(tǒng)一的安全引擎處理機(jī)制。圖也是網(wǎng)御的整合內(nèi)容引擎克服了傳統(tǒng)上各個(gè)引擎獨(dú)自為戰(zhàn)的缺點(diǎn)，通過高效的引擎集成技術(shù)，將各個(gè)安全功能有機(jī)地整合為一體，狀態(tài)檢測、協(xié)議分析機(jī)、深度過濾、內(nèi)容檢測等引擎協(xié)同工作，對(duì)于監(jiān)測的數(shù)據(jù)包，一次性拆包即可完成2-7層的檢測，同時(shí)采用基于摘要索

16、引的內(nèi)容處理加速算法，有效地提高了引擎的處理效率。ICE通過多協(xié)議融合分析技術(shù)和事件關(guān)聯(lián)再分析技術(shù)，綜合內(nèi)容實(shí)體，時(shí)間因素，提高了安全事件的檢測率。ICE采用標(biāo)準(zhǔn)化技術(shù)，對(duì)內(nèi)提供統(tǒng)一服務(wù)接口，使安全功能易于擴(kuò)展，充分滿足安全需求的快速發(fā)展；對(duì)外實(shí)現(xiàn)安全策略的統(tǒng)一配置，給用戶帶來可管理的等級(jí)化安全。4.3 高可靠多重冗余協(xié)議網(wǎng)御慣用說法利用電信骨干網(wǎng)可靠性運(yùn)營維護(hù)專業(yè)經(jīng)驗(yàn)，天清漢馬USG防火墻通過創(chuàng)新的多重冗余協(xié)議，在物理層、鏈路層、網(wǎng)絡(luò)層、實(shí)體層等多個(gè)層面實(shí)現(xiàn)多元化冗余設(shè)計(jì)，有效地保障天清漢馬USG防火墻在用戶網(wǎng)絡(luò)應(yīng)用中的高可用性。圖也是網(wǎng)御的2個(gè)都用Super V-7318的圖片代替l 基于

17、多出口負(fù)載均衡的鏈路備份。鏈路層支持多WAN口出口，實(shí)現(xiàn)多出口間的負(fù)載均衡和備份，任何一條鏈路的故障癱瘓不會(huì)影響網(wǎng)絡(luò)的正常運(yùn)行。l 基于802.3ad標(biāo)準(zhǔn)的端口聚合。物理端口支持802.3ad標(biāo)準(zhǔn)，可實(shí)現(xiàn)多物理端口聚合，幫助用戶做到“零投資”帶寬倍增。l 基于狀態(tài)自動(dòng)探測的雙機(jī)熱備。當(dāng)主系統(tǒng)發(fā)生故障或?qū)?yīng)線路的網(wǎng)絡(luò)故障時(shí)，備份機(jī)可自動(dòng)檢測并切換到主狀態(tài)，接管主系統(tǒng)的工作，切換時(shí)間小于1秒鐘。l 基于狀態(tài)增量同步的多機(jī)集群。支持主動(dòng)負(fù)載均衡、會(huì)話保護(hù)和接管以及主動(dòng)配置同步等功能，尤其是采用國內(nèi)首創(chuàng)的“狀態(tài)增量同步技術(shù)”解決多臺(tái)防火墻之間的狀態(tài)一致性問題，實(shí)現(xiàn)了業(yè)務(wù)在多臺(tái)防火墻之間的平滑任意分布和

18、切換，解決了采用VRRP協(xié)議和動(dòng)態(tài)路由協(xié)議帶來的“業(yè)務(wù)續(xù)斷問題”，最多可以支持高達(dá)8臺(tái)的防火墻集群。4.4 事件關(guān)聯(lián)分析技術(shù)與歸并處理機(jī)制對(duì)用戶的多個(gè)網(wǎng)絡(luò)行為進(jìn)行關(guān)聯(lián)，是提高檢測精度的有效手段。比如一個(gè)用戶首先對(duì) 服務(wù)進(jìn)行了慢速CGI掃描，服務(wù)端反饋的結(jié)果證明其運(yùn)行了可能含有漏洞的某個(gè)CGI，之后該用戶又發(fā)送了包含ShellCode的請(qǐng)求，從這兩次行為分別看，每個(gè)都不能絕對(duì)的將其界定為惡意行為，如果將兩個(gè)行為聯(lián)系起來，則基本可以確定該行為的高風(fēng)險(xiǎn)等級(jí)。針對(duì)大規(guī)模的監(jiān)測系統(tǒng)應(yīng)用中可能出現(xiàn)一個(gè)網(wǎng)絡(luò)異常行為在多個(gè)監(jiān)測點(diǎn)作為事件報(bào)告而形成事件洪流的問題，數(shù)據(jù)關(guān)聯(lián)性分析模塊首次提出并采用了基于統(tǒng)計(jì)分析的

19、二次事件分析技術(shù)，能夠?qū)Σ煌瑫r(shí)間、不同地點(diǎn)、不同事件的大量信息進(jìn)行統(tǒng)一處理，簡潔、準(zhǔn)確地報(bào)告出正確的網(wǎng)絡(luò)安全事件。4.5 高速深層檢測技術(shù)n 高精度應(yīng)用層協(xié)議分析協(xié)議分析是深度檢測必不可少的環(huán)節(jié)，它可以減少特征匹配的計(jì)算量，提高匹配精度。但是深度的協(xié)議分析本身也需要相當(dāng)大的計(jì)算量，如何既保證特征匹配和文件還原所需的分析精確度，又不占用過多的資源，是高速環(huán)境下必須面對(duì)的課題。我們將主要通過以下兩方面來解決這一問題，1) 基于攻擊研究和特征知識(shí)庫選擇分析深度。協(xié)議分析不需要的無限制的精細(xì)，否則入侵防御系統(tǒng)將變成一個(gè)低效的應(yīng)用代理系統(tǒng)，協(xié)議分析應(yīng)該建立在對(duì)網(wǎng)絡(luò)攻擊研究的基礎(chǔ)上，對(duì)特征知識(shí)庫中需要的協(xié)

20、議信息進(jìn)行分析，這點(diǎn)的實(shí)現(xiàn)關(guān)鍵集中在攻擊研究上，軟件實(shí)現(xiàn)中可通過編譯時(shí)的條件控制和運(yùn)行時(shí)對(duì)特征庫進(jìn)行掃描設(shè)置相應(yīng)開關(guān)完成；2) 高效協(xié)議自識(shí)別算法。對(duì)于非周知端口的通信，需要通過內(nèi)容識(shí)別其所屬的協(xié)議類型。這一內(nèi)容識(shí)別的過程類似于攻擊檢測的特征識(shí)別過程，可以通過多階段分析和匹配算法的選擇降低計(jì)算開銷。n 多模匹配算法選擇由于在一個(gè)報(bào)文的匹配中，最為耗時(shí)的匹配運(yùn)算是在報(bào)文中匹配多個(gè)串模式。過去的幾十年中學(xué)術(shù)界提出了若干的多模匹配算法，并且在工業(yè)界得到了很好的應(yīng)用，比如AC算法、WM算法在軟件檢測系統(tǒng)中證明了其優(yōu)秀的性能。在以往的多模匹配算法通常是在理論分析的基礎(chǔ)上，在IA32架構(gòu)和隨機(jī)數(shù)據(jù)源上進(jìn)行

21、實(shí)驗(yàn)選擇，且算法一經(jīng)確定就固化在軟件中。實(shí)際這樣得出的算法不能保證在所有的處理器架構(gòu)和數(shù)據(jù)源條件下都保證是已知算法中最優(yōu)的?，F(xiàn)在在學(xué)術(shù)界存在多種多串并行匹配的算法，在商業(yè)產(chǎn)品中應(yīng)用較多有Aho-Corasick、Wu-Manber和ExB算法或它們的變種。根據(jù)研究發(fā)現(xiàn)，所有這些算法的性能分析全部是基于理想的存儲(chǔ)模型，忽略訪存的性能開銷。由于存儲(chǔ)器速度遠(yuǎn)低于處理器速度，兩者相差一個(gè)數(shù)量級(jí)以上，為避免存儲(chǔ)器效能低造成系統(tǒng)整體的效能低下，絕大多數(shù)系統(tǒng)采用多級(jí)存儲(chǔ)結(jié)構(gòu)，增加少量的高速緩存隱藏存儲(chǔ)器的性能瓶頸。但是在多串匹配算法中，數(shù)據(jù)結(jié)構(gòu)非常龐大，并且匹配過程中不斷在非連續(xù)的地址間跳轉(zhuǎn)，此時(shí)高速緩存的

22、命中率大幅下降，不考慮訪存開銷顯然已不能反映各算法在實(shí)際應(yīng)用中的效能。實(shí)際上不存在一種普適的算法能夠在各種情況下都有最佳表現(xiàn)，同樣的算法可能在不同的數(shù)據(jù)源、特征集、處理器結(jié)構(gòu)上性能相差甚遠(yuǎn)。我們將結(jié)合具體的硬件（處理器）架構(gòu)和匹配規(guī)則的分布類型，將其抽象為與匹配算法效能相關(guān)的若干關(guān)鍵參數(shù)，計(jì)算出當(dāng)前適用的最優(yōu)算法。具體采用動(dòng)態(tài)和靜態(tài)兩種方式實(shí)現(xiàn)自適應(yīng)選擇。如下圖，圖2. 自適應(yīng)示意圖靜態(tài)自適應(yīng)在系統(tǒng)初始化時(shí)進(jìn)行，統(tǒng)計(jì)各協(xié)議變量特征及相關(guān)匹配模式特征，結(jié)合備選多模式匹配算法的性能特征，為規(guī)則匹配樹節(jié)點(diǎn)選擇最優(yōu)的多模式匹配算法?？刂茀?shù)包括處理器類型、主頻、Cache Line長度、L2Cache

23、容量、存儲(chǔ)器時(shí)延、最短模式長度、次短模式長度、模式數(shù)量、模式字符集大小、同前綴模式數(shù)量等等。動(dòng)態(tài)自適應(yīng)在系統(tǒng)運(yùn)行過程中采樣統(tǒng)計(jì)影響算法效率的網(wǎng)絡(luò)數(shù)據(jù)，如果統(tǒng)計(jì)值顯示當(dāng)前網(wǎng)絡(luò)數(shù)據(jù)趨勢穩(wěn)定，則進(jìn)行動(dòng)態(tài)算法選擇，確定是否有大幅超過當(dāng)前算法效率的算法模塊存在，并進(jìn)行調(diào)用。n 最優(yōu)規(guī)則樹特征匹配的過程不僅包括串匹配，還有對(duì)諸如地址、端口、協(xié)議類型等等許多協(xié)議字段的匹配。為了方便，我們將多個(gè)協(xié)議字段構(gòu)成的模式稱為多數(shù)據(jù)類型模式，與上面提到的串模式進(jìn)行區(qū)分，串模式可以認(rèn)為是多數(shù)據(jù)類型模式的一個(gè)子集。在以往的工作中，我們受AC算法的啟發(fā)，將其擴(kuò)展到多數(shù)據(jù)類型模式匹配，即將多個(gè)模式中的相同協(xié)議字段歸并，構(gòu)建一個(gè)

24、或多個(gè)樹型模式結(jié)構(gòu)，達(dá)到一次匹配多個(gè)模式的目的。與串匹配不同的是，多數(shù)據(jù)類型模式中，每種數(shù)據(jù)類型的單次匹配開銷是不同的，在實(shí)際運(yùn)行中的命中幾率也是不同的。同樣是樹型數(shù)據(jù)結(jié)構(gòu)，其最佳效率和最差效率相差可能在一個(gè)數(shù)量級(jí)以上，如果能將低命中率、低匹配開銷的工作盡可能提前，將會(huì)接近最佳的匹配效率。4.6 智能內(nèi)容過濾技術(shù)內(nèi)容分析子系統(tǒng)要充分發(fā)揮當(dāng)前處理器所具備的多核能力。一個(gè)大的原則就是數(shù)據(jù)交換過程中盡量避免核間和核內(nèi)的臨界鎖以及字符串拷貝，所以數(shù)據(jù)的生產(chǎn)者和消費(fèi)者應(yīng)該使用一個(gè)大的緩沖區(qū)來交換數(shù)據(jù)。傳統(tǒng)的做法就是把這個(gè)緩沖區(qū)變成一個(gè)環(huán)形隊(duì)列，捕包程序和協(xié)議棧程序分別持有一個(gè)寫指針和讀指針，只要兩個(gè)指針

25、不互相超越就可以。在協(xié)議棧單線程的情況下這種方法沒有問題，但是在多核情況下，為了充分發(fā)揮硬件的計(jì)算能力，必須把內(nèi)容分析過濾子系統(tǒng)多線程化（并行化）。但是上述數(shù)據(jù)交換方式在內(nèi)容分析多線程的情況下就出現(xiàn)了問題。當(dāng)協(xié)議棧多線程的時(shí)候，必須使用專門的線程實(shí)現(xiàn)捕包程序捕獲的數(shù)據(jù)包的分發(fā)，也就是把數(shù)據(jù)包分發(fā)到相應(yīng)的線程進(jìn)行處理。這樣問題也就出現(xiàn)了：那個(gè)環(huán)形緩沖區(qū)的讀指針不再正確。這是因?yàn)椋瑸榱吮苊饪截惒僮?，分發(fā)線程并沒有將捕包程序捕獲的數(shù)據(jù)進(jìn)行拷貝以后再分發(fā)，而是直接對(duì)其指針進(jìn)行操作，在這種情況下，分發(fā)程序是不知道協(xié)議棧什么時(shí)候能夠分析完成并釋放緩沖區(qū)的，因而分發(fā)程序不可以直接簡單增加環(huán)形隊(duì)列的讀指針來申

26、明當(dāng)前緩沖區(qū)以消費(fèi)完成，可以寫入新的數(shù)據(jù)。又由于協(xié)議棧分析時(shí)多線程同時(shí)進(jìn)行，沒有辦法確定每一數(shù)據(jù)包分析完成的時(shí)間，這樣很難確定環(huán)形緩沖區(qū)的讀指針了。為此，天清漢馬USG防火墻采用了如下的解決方法：依然遵循數(shù)據(jù)交換的大原則，依然采用大的緩沖區(qū)來交換數(shù)據(jù)，但是對(duì)緩沖區(qū)的形式作一個(gè)變換。最初定義的是直接在緩沖區(qū)上定義讀寫指針將緩沖區(qū)當(dāng)成環(huán)形隊(duì)列使用，現(xiàn)在不同是緩沖區(qū)不再是一個(gè)環(huán)形隊(duì)列，而被分成了獨(dú)立的兩部分：空閑緩沖區(qū)隊(duì)列和已使用緩沖區(qū)隊(duì)列。注意這里提到的兩個(gè)緩沖區(qū)不是具體的數(shù)據(jù)緩沖區(qū)，而是保存數(shù)據(jù)緩沖區(qū)數(shù)據(jù)單元指針的指針列表。捕包程序在捕獲一個(gè)數(shù)據(jù)包之前，從空閑緩沖區(qū)隊(duì)列的頭部取下一個(gè)空的存儲(chǔ)單元

27、（為了提高訪問速度，采用內(nèi)存邊界對(duì)齊的數(shù)據(jù)單元，比如說2k字節(jié)一個(gè)單元），將從網(wǎng)卡讀入的數(shù)據(jù)拷貝到這個(gè)緩沖區(qū)以后，捕包程序?qū)⑦@個(gè)緩沖單元掛到已使用緩沖隊(duì)列的尾部。分析線程在從緩沖區(qū)取數(shù)據(jù)的時(shí)候從已使用緩沖隊(duì)列的頭部取下一個(gè)數(shù)據(jù)單元進(jìn)行消費(fèi)，消費(fèi)完成以后直接將這個(gè)數(shù)據(jù)單元掛到待發(fā)送緩沖區(qū)隊(duì)列就可以了，這樣既避免的鎖定，也避免了內(nèi)存拷貝。而且可以充分利用緩沖區(qū)的空間。上述過程構(gòu)成了本方案的多目標(biāo)分發(fā)機(jī)制?；诙嗄繕?biāo)分發(fā)的多線程連接級(jí)并行的內(nèi)容分析子系統(tǒng)本質(zhì)上是同時(shí)運(yùn)行多個(gè)邏輯上獨(dú)立的并行內(nèi)容分析協(xié)議棧，結(jié)構(gòu)框如圖示。圖3. 并行內(nèi)容分析協(xié)議棧并行協(xié)議棧通過一個(gè)數(shù)據(jù)分發(fā)器將捕包系統(tǒng)捕獲的網(wǎng)絡(luò)數(shù)據(jù)包按

28、照IP包首的源地址和目的地址對(duì)分發(fā)到相應(yīng)的線程進(jìn)行處理，并通過一個(gè)發(fā)送單元收集器完成數(shù)據(jù)單元的發(fā)送，數(shù)據(jù)發(fā)送完畢以后將發(fā)送單元占用的數(shù)據(jù)單元返回給空閑存儲(chǔ)單元隊(duì)列供數(shù)據(jù)捕獲系統(tǒng)使用，讓捕包系統(tǒng)重復(fù)利用這些單元，實(shí)現(xiàn)捕包到分析的零拷貝過程。每一個(gè)內(nèi)容分析線程均有一個(gè)私有的協(xié)議棧狀態(tài)表和兩個(gè)數(shù)據(jù)隊(duì)列索引，其中協(xié)議棧狀態(tài)表是協(xié)議棧在進(jìn)行IP協(xié)議、TCP協(xié)議已經(jīng)上層應(yīng)用協(xié)議還原的時(shí)候用來保存上下文信息和暫存數(shù)據(jù)使用，而兩個(gè)數(shù)據(jù)隊(duì)列索引則分別用來存儲(chǔ)待分析的數(shù)據(jù)塊和已分析塊。這樣，任何一個(gè)協(xié)議棧線程在進(jìn)行數(shù)據(jù)操作的時(shí)候都不會(huì)和其他協(xié)議棧線程共享數(shù)據(jù)塊，避免協(xié)分析線程間的臨界鎖，提供整個(gè)系統(tǒng)的計(jì)算吞吐量。

29、此處的多目標(biāo)分發(fā)機(jī)制具有如下特點(diǎn)：l 實(shí)現(xiàn)了內(nèi)容分析子模塊從數(shù)據(jù)分析過濾的零拷貝過程l 避免了核間和核內(nèi)的臨界鎖，極大的提高了內(nèi)容分析子系統(tǒng)的計(jì)算資源利用率4.7 基于應(yīng)用的識(shí)別控制天清漢馬USG防火墻系列擁有目前最完善的應(yīng)用識(shí)別特征庫，通過智能分析技術(shù)，將P2P、IM、炒股軟件和在線游戲等協(xié)議的應(yīng)用行為、加密方式、處理動(dòng)作等特點(diǎn)整理成庫。當(dāng)流量經(jīng)過防火墻時(shí)，防火墻啟動(dòng)過濾引擎，對(duì)流量進(jìn)行特征值的匹配。當(dāng)過濾引擎搜索到與之匹配的特征碼時(shí)，防火墻即可應(yīng)用智能識(shí)別技術(shù)進(jìn)行細(xì)粒度控制或一鍵封鎖。如何快速而準(zhǔn)確地識(shí)別各種上網(wǎng)行為，是決定防火墻性能的關(guān)鍵因素。天清漢馬USG防火墻從如下幾個(gè)方面保障內(nèi)容識(shí)

30、別的高速與準(zhǔn)確。4.7.1 智能匹配技術(shù)在特征庫上的設(shè)置上，天清漢馬USG防火墻按照所有上網(wǎng)行為的特點(diǎn)進(jìn)行了分類，并對(duì)P2P、IM、炒股以及在線游戲等上網(wǎng)行為設(shè)置了不同的特征庫。當(dāng)數(shù)據(jù)包到達(dá)防火墻時(shí)，防火墻首先根據(jù)用戶定制策略將其分配到其對(duì)應(yīng)的特征庫管道，如P2P下載行為的流量被輸送到P2P特征庫管道，即時(shí)通訊的流量則被輸送到IM特征庫管道。流量被分發(fā)到相應(yīng)的特征庫管道以后，再由相應(yīng)的搜索引擎對(duì)流量進(jìn)行掃描。這樣既大大減少了搜索引擎檢索的時(shí)間，又提高了過濾引擎的性能。4.7.2 多線程掃描技術(shù)天清漢馬USG防火墻采用多線程掃描技術(shù)，提高了引擎掃描的效率。比如當(dāng)BT數(shù)據(jù)流和MSN數(shù)據(jù)流同時(shí)進(jìn)入防

31、火墻時(shí)，防火墻內(nèi)容搜索引擎不是在檢索完BT數(shù)據(jù)流以后再去檢索MSN數(shù)據(jù)流，而是可以同時(shí)啟動(dòng)BT搜索引擎和MSN搜索引擎。兩個(gè)搜索引擎同時(shí)工作而互不影響。這種多線程處理機(jī)制同樣適用于2種以上不同類型的數(shù)據(jù)流同時(shí)經(jīng)過防火墻的情況，快速提升了搜索引擎的工作效率。4.7.3 應(yīng)用感控技術(shù)啟明星辰新一代P系列防火墻具有與傳統(tǒng)的基于端口和IP協(xié)議不同的方式進(jìn)行應(yīng)用識(shí)別的能力，并執(zhí)行訪問控制策略。例如允許用戶使用QQ的文本聊天、文件傳輸功能但不允許進(jìn)行語音視頻聊天，或者允許使用WebMail收發(fā)郵件但不允許附加文件等。應(yīng)用識(shí)別帶來的額外好處是可以合理優(yōu)化帶寬的使用情況，保證關(guān)鍵業(yè)務(wù)的暢通。雖然嚴(yán)格意義上來講

32、應(yīng)用流量優(yōu)化（俗稱應(yīng)用QoS）不是一個(gè)屬于安全范疇的特性，但P2P下載、在線視頻等網(wǎng)絡(luò)濫用確實(shí)會(huì)導(dǎo)致業(yè)務(wù)中斷等嚴(yán)重安全事件。 圖是網(wǎng)御的4.8 精確細(xì)致的WEB過濾技術(shù)天清漢馬USG防火墻系列在內(nèi)容過濾庫的處理上力求收集齊全、分類準(zhǔn)確、更新及時(shí)。通過采用網(wǎng)站全智能搜索引擎技術(shù)收集互聯(lián)網(wǎng)站點(diǎn)，并進(jìn)行智能分類、人工核驗(yàn)的處理手段。目前天清漢馬USG防火墻支持50多種完善的URL類別，分別涉及色情、暴力、賭博、毒品、犯罪、病毒、體育、財(cái)經(jīng)、娛樂等網(wǎng)站分類，這50多個(gè)URL類別庫總共包含1000萬以上特征網(wǎng)站，具有分類全，覆蓋面廣的特點(diǎn)。另外，由于在互聯(lián)網(wǎng)上每天都有大量新網(wǎng)站出現(xiàn)，啟明星辰通過在線升級(jí)

33、的方式，使URL庫中的網(wǎng)站處于持續(xù)的更新狀態(tài)。4.9 完備的關(guān)聯(lián)安全標(biāo)準(zhǔn)啟明星辰具備完備的關(guān)聯(lián)安全標(biāo)準(zhǔn)即（CSC: Correlative Security Criterion），以“面向業(yè)務(wù)的安全架構(gòu)”為技術(shù)理念，以“統(tǒng)一安全，立體防御”為設(shè)計(jì)目標(biāo)，參照國際標(biāo)準(zhǔn)，系統(tǒng)地開發(fā)了安全管理協(xié)議、安全聯(lián)動(dòng)協(xié)議、安全審計(jì)協(xié)議等協(xié)議族，構(gòu)成了完備的關(guān)聯(lián)安全標(biāo)準(zhǔn)。天清漢馬USG防火墻系列全面支持CSC標(biāo)準(zhǔn)，一方面可以保證安全管理中心可以通過安全管理協(xié)議全面掌控防火墻的運(yùn)行，另一方面通過統(tǒng)一的事件格式、事件等級(jí)、發(fā)送協(xié)議，使安全審計(jì)中心只要遵從安全審計(jì)協(xié)議即可以對(duì)防火墻的安全事件進(jìn)行集中、可視化審計(jì)。同時(shí)，

34、天清漢馬USG防火墻遵從安全聯(lián)動(dòng)協(xié)議，可以使主機(jī)安全軟件，入侵檢測等系統(tǒng)以防火墻為核心構(gòu)建深度安全防御體系，使網(wǎng)絡(luò)安全從獨(dú)立、單一防護(hù)的安全產(chǎn)品保護(hù)發(fā)展為立體、全面、動(dòng)態(tài)的防護(hù)。4.10 非法連接過濾技術(shù)將系統(tǒng)獲取的網(wǎng)絡(luò)數(shù)據(jù)按標(biāo)準(zhǔn)的以太數(shù)據(jù)結(jié)構(gòu)、IP數(shù)據(jù)結(jié)構(gòu)、TCP/UDP數(shù)據(jù)結(jié)構(gòu)，并進(jìn)行TCP的會(huì)話查找，每條會(huì)話相對(duì)應(yīng)源和目的MAC地址、源和目的IP地址、源和目的端口地址、連接次數(shù)等。將上述所獲的網(wǎng)絡(luò)連接信息放入網(wǎng)絡(luò)連接知識(shí)庫中，該緩沖區(qū)按照索引標(biāo)識(shí)、源和目的地址進(jìn)行合并存放，即相同的源和目的地址將該連接的發(fā)生次數(shù)進(jìn)行累計(jì)計(jì)算。當(dāng)某一連接被釋放，主動(dòng)要求釋放連接的一端發(fā)送TCP FIN數(shù)據(jù)包

35、，監(jiān)視整個(gè)連接的釋放過程，如釋放正常完成，在知識(shí)庫中找到相對(duì)應(yīng)的TCP會(huì)話，將連接發(fā)生的次數(shù)減1。這樣可以始終保證知識(shí)庫中存放的是發(fā)生頻率最高的連接。該算法會(huì)以1秒鐘為單位時(shí)間，進(jìn)行流量的統(tǒng)計(jì)，如果上1秒鐘的流量大于事先約定的閥值，那么立即進(jìn)入流量識(shí)別模式，如果連接請(qǐng)求可以在知識(shí)庫搜索到，則直接放行，并記錄放行的數(shù)據(jù)包數(shù)，否則以上1秒鐘的流量作為樣本，計(jì)算放行的概率。作為拒絕服務(wù)攻擊的主要手段SYN Flood攻擊效果尤為顯著，通常SYN Flood的防范方式為應(yīng)用SYN Cookie機(jī)制。它的原理是:在TCP服務(wù)器收到TCP SYN包時(shí)，不分配一個(gè)專門的數(shù)據(jù)區(qū)，而是根據(jù)這個(gè)SYN包計(jì)算出一個(gè)

36、cookie值，并加載在所回應(yīng)的SYN/ACK包中，在收到TCP ACK包時(shí)，TCP服務(wù)器在根據(jù)那個(gè)cookie值檢查這個(gè)TCP ACK包的合法性。如果合法，再分配專門的數(shù)據(jù)區(qū)進(jìn)行處理未來的TCP連接。4.11 IPv6包狀態(tài)過濾技術(shù)雖然IPv6在網(wǎng)絡(luò)廠商應(yīng)用較為廣泛，但在安全廠商中，支持IPv6的網(wǎng)絡(luò)安全產(chǎn)品（如防火墻、UTM、IPS等）還是較少，啟明星辰支持IPv6功能包括：IPv6環(huán)境下的狀態(tài)包過濾、靜態(tài)路由、OSPF動(dòng)態(tài)路由、FTP、ALG等基本安全控制，以及IPv6/v4 雙協(xié)議棧功能；設(shè)備在同一信息安全網(wǎng)絡(luò)中同時(shí)支持 IPv4 和IPv6協(xié)議的安全控制日漸得到關(guān)注。5 產(chǎn)品特點(diǎn)5.

37、1 智能聯(lián)動(dòng)，協(xié)同防御天清漢馬USG防火墻通過與已部署的防病毒網(wǎng)關(guān)、IPS、UTM等設(shè)備聯(lián)合抓取病毒源、攻擊檢測源和掛馬網(wǎng)站URL等特征，匯集至云防御服務(wù)器定時(shí)收納合并，云防御服務(wù)器動(dòng)態(tài)更新病毒庫、攻擊特征庫、掛馬庫等并同步到所有啟明星辰安全網(wǎng)關(guān)設(shè)備中，使其他設(shè)備具有防病毒、IPS、防掛馬等功能，同時(shí)使其具備更高的處理性能，共同形成整體可信架構(gòu)云防御體系。圖是網(wǎng)御的5.2 一鍵式配置，便捷定義安全級(jí)別專為減輕用戶管理負(fù)擔(dān)考慮的一鍵式配置，實(shí)現(xiàn)復(fù)雜設(shè)備的簡單管理，降低用戶的管理成本。高高安全等級(jí)：可定義嚴(yán)格的安全策略，如： 只開通業(yè)務(wù)系統(tǒng) 中中安全等級(jí)：可定義較嚴(yán)格的安全策略，如： 放寬至WEB

38、和Email低低安全等級(jí)：可定義寬松的安全策略，如：僅對(duì)病毒進(jìn)行過濾5.3 全開啟性能，高效應(yīng)用防護(hù)下一代防火墻的全開啟應(yīng)用性能是指同時(shí)開啟入侵防御和防病毒等主要安全模塊后的性能表現(xiàn)，所以想要突破下一代防火墻產(chǎn)品的應(yīng)用性能瓶頸就必須從優(yōu)化入侵檢測引擎和防病毒引擎兩部分入手。星辰具有業(yè)界領(lǐng)先的入侵檢測引擎和防病毒引擎，同時(shí)采用ASIC硬件架構(gòu)，使得USG防火墻應(yīng)用功能都打開整體性能下降小于30%。6 天清漢馬USG防火墻產(chǎn)品主要功能網(wǎng)絡(luò)適應(yīng)性接入模式支持透明、路由、混合三種工作模式支持DHCP Client、DHCP Relay、DHCP Server支持多透明橋，支持端口聚合支持PPPoE接入

39、，并具備自動(dòng)斷線重連技術(shù)，支持多路ADSL撥號(hào)，充分利用網(wǎng)絡(luò)資源，整合帶寬路由支持靜態(tài)路由，動(dòng)態(tài)路由，VLAN間路由，單臂路由，組播路由等支持基于源/目的地址、接口、Metric、服務(wù)的策略路由支持200個(gè)以上的路由表、30000個(gè)以上的路由策略選擇ISP智能選路內(nèi)置ISP地址列表，可輕松完成基于ISP的策略路由NAT支持雙向NAT、動(dòng)態(tài)地址轉(zhuǎn)換和靜態(tài)地址轉(zhuǎn)換，并支持多對(duì)一、一對(duì)多和一對(duì)一等多種方式的地址轉(zhuǎn)換IPV6網(wǎng)絡(luò)支持IPV6穿越，可輕松適應(yīng)電信IPV6及大學(xué)實(shí)驗(yàn)室IPV6環(huán)境VLAN支持802.1Q和ISL VLAN封裝協(xié)議，支持兩種封裝的互換以及Vlan Trunk帶寬管理基于IP地

40、址、服務(wù)、網(wǎng)口、時(shí)間等定義帶寬分配策略支持最小保證帶寬和最大限制帶寬，支持分層的帶寬管理動(dòng)態(tài)協(xié)議各種工作模式下均支持H.323（H.323 GK）、SIP、FTP、MMS、RTSP、XDMCP、TNS等多種動(dòng)態(tài)協(xié)議服務(wù)器負(fù)載均衡支持多臺(tái)服務(wù)器負(fù)載均衡，并且支持服務(wù)器健康檢查機(jī)制支持輪詢、加權(quán)值、最小連接、源/目的地址Hash、局部性最少鏈接等算法訪問控制狀態(tài)檢測基于源/目的IP地址、MAC地址、域名、端口或協(xié)議、服務(wù)、網(wǎng)口、時(shí)間、用戶的訪問控制基于源/目的IP地址、端口、服務(wù)、網(wǎng)口、時(shí)間、應(yīng)用等安全策略的帶寬控制可基于時(shí)間和安全域進(jìn)行安全隔離，同一時(shí)間內(nèi)網(wǎng)主機(jī)只能訪問DMZ區(qū)或者只能訪問外網(wǎng)透

41、明代理實(shí)現(xiàn)基于策略的 、FTP、TELNET、SMTP、POP3等透明代理和深度過濾IP/MAC綁定實(shí)現(xiàn)IP/MAC地址綁定，且支持IP/MAC地址對(duì)的自動(dòng)探測和唯一性檢查用戶認(rèn)證支持基于客戶端的本地認(rèn)證、無客戶端軟件的WEB認(rèn)證，并支持Radius等第三方認(rèn)證內(nèi)置動(dòng)態(tài)令牌認(rèn)證服務(wù)器，支持基于動(dòng)態(tài)令牌的雙因子認(rèn)證VPNIPSec VPN支持標(biāo)準(zhǔn)IPSec協(xié)議，能夠與CISCO、NETSCREEN等知名廠商的VPN設(shè)備互聯(lián)互通支持預(yù)共享密鑰、證書等認(rèn)證方式且支持動(dòng)態(tài)口令等擴(kuò)展認(rèn)證支持多出口VPN，且支持NAT穿越支持隧道接力，并可通過隧道接力實(shí)現(xiàn)分級(jí)的樹狀VPN結(jié)構(gòu)部署GRE/PPTP/L2TP

42、支持GRE、PPTP 、L2TP等VPN連接SSL VPN包含10個(gè)免費(fèi)并發(fā)用戶許可支持壓縮，緩存、協(xié)議優(yōu)化等應(yīng)用加速技術(shù),提高訪問速度支持用戶終端安全檢查，及基于檢測結(jié)果的訪問控制支持用戶賬號(hào)與終端特征綁定。支持動(dòng)態(tài)分配虛擬IP，支持虛擬IP與口令用戶或證書用戶進(jìn)行綁定。C/S應(yīng)用支持，支持TCP/IP協(xié)議的應(yīng)用，包括： ，Email，F(xiàn)tp，Notes，Outlook，Oracle, SQL等應(yīng)用；支持基于USBKey的證書認(rèn)證，實(shí)現(xiàn)對(duì)遠(yuǎn)程接入用戶的身份鑒別，并可根據(jù)用戶類型和分組進(jìn)行授權(quán)支持個(gè)性門戶（portal）定制化處理，可替換圖片、文字等入侵防護(hù)入侵檢測技術(shù)具有自主知識(shí)產(chǎn)權(quán)的檢測引

43、擎，具備基于協(xié)議異常、會(huì)話狀態(tài)和七層應(yīng)用行為等的攻擊識(shí)別功能。特征規(guī)則內(nèi)置IPS特征庫，特征規(guī)則數(shù)量超過2,500條，并可自定義入侵攻擊和應(yīng)用軟件的特征。協(xié)議分析支持對(duì) 、SMTP、POP3、FTP、Telnet、VLAN、MPLS、ARP、TCP、UDP、RPC、GRE等多種協(xié)議的分析防護(hù)攻擊類型支持對(duì)DoS/DDoS、病毒、蠕蟲、木馬、間諜軟件、廣告軟件、可疑代碼、端口掃描、非法連接、SQL注入、XSS跨站腳本等多種攻擊的防護(hù)；抗ARP攻擊設(shè)備主動(dòng)防護(hù)ARP攻擊，通過發(fā)送頻率有效定位ARP攻擊源抗CC攻擊有效防護(hù)CC各種攻擊方式，如直接攻擊，代理攻擊，僵尸網(wǎng)絡(luò)攻擊連接管理支持同一主機(jī)源會(huì)話

44、、目的會(huì)話的分別管理支持動(dòng)態(tài)學(xué)習(xí)，支持動(dòng)態(tài)協(xié)議數(shù)據(jù)會(huì)話的區(qū)分管理支持連接排行榜響應(yīng)方式支持丟棄封包、切斷會(huì)話、限制帶寬、實(shí)時(shí)報(bào)警、記錄日志、郵件報(bào)警、聲音報(bào)警等多種響應(yīng)方式；虛擬IPS支持基于地址、服務(wù)等對(duì)象的邏輯虛擬IPS和基于物理端口的物理虛擬IPS。防病毒協(xié)議支持 ,SMTP,FTP,PO3P,IMAP等多種協(xié)議下病毒防護(hù)，支持自定義非標(biāo)準(zhǔn)端口的 ,SMTP,FTP,POP3,IMAP協(xié)議中的病毒檢測模式支持路由、透明、混合等各種工作模式下的網(wǎng)絡(luò)病毒檢測，支持無IP地址的透明橋下的網(wǎng)絡(luò)病毒檢測模式，支持VPN 模式下的病毒掃描支持快速掃描、全面掃描病毒庫采用國內(nèi)知名病毒廠商特征庫，可檢測

45、不少于30萬種病毒，支持根據(jù)用戶需求自定義病毒特征策略支持根據(jù)不同的源IP地址、目的IP地址、服務(wù)、時(shí)間、接口、用戶等，采用不同的病毒防御策略病毒防護(hù)模板系統(tǒng)支持3種病毒防護(hù)模板，支持自定義病毒防護(hù)模板壓縮文件支持tar、gzip、rar、zip等壓縮格式的病毒掃描斷點(diǎn)續(xù)傳FTP使用斷點(diǎn)續(xù)傳工具傳輸時(shí)，支持病毒檢查其他防病毒支持過濾郵件病毒、文件病毒、惡意網(wǎng)頁代碼、木馬后門、蠕蟲等多種類型的病毒支持對(duì)當(dāng)前主流的蠕蟲做檢測與阻斷，例如： RedCode、Slammer、sober等。響應(yīng)方式支持基于病毒防護(hù)規(guī)則設(shè)置阻斷、清除、記錄日志，發(fā)送電子郵件報(bào)警等。應(yīng)用監(jiān)控支持協(xié)議支持 、SMTP、FTP

46、，還支持POP3等多種應(yīng)用協(xié)議的分析識(shí)別和控制。支持協(xié)議命令進(jìn)行識(shí)別和控制，支持針對(duì)關(guān)鍵字、附件文件名、惡意JavaScript代碼等信息進(jìn)行細(xì)粒度控制P2P控制識(shí)別和控制迅雷、BT、eDonkey、eMule等常見P2P下載軟件識(shí)別和控制PPLive、QQLive、PPStream等常見P2P視頻播放軟件IM控制識(shí)別和控制QQ、MSN等常用IM軟件，阻斷IM軟件機(jī)密文件傳輸網(wǎng)絡(luò)游戲識(shí)別和控制魔獸、CS、征途、聯(lián)眾、天堂、夢幻西游、仙劍情緣、熱血江湖、勁舞團(tuán)、誅仙、浩方、泡泡堂等多種在線游戲軟件炒股軟件識(shí)別和控制大智慧、同花順、國泰君安、證券之星、廣發(fā)證券、指南針、通達(dá)信、股票之星、華安證券、

47、和訊報(bào)道、錢龍等多種炒股軟件網(wǎng)頁分類支持52類1700多萬種URL分類庫的訪問控制，可以對(duì)色情、反動(dòng)等多種負(fù)面網(wǎng)站按類別進(jìn)行選擇控制反垃圾郵件支持協(xié)議支持SMTP, POP協(xié)議下的垃圾郵件檢測，支持禁止郵件Open Relay功能支持郵件服務(wù)器地址黑名單、發(fā)件人關(guān)鍵字、主題關(guān)鍵字等要素的垃圾郵件過濾功能，能阻斷垃圾郵件源響應(yīng)方式支持設(shè)置中斷連接、記錄日志，在郵件中標(biāo)示垃圾郵件等動(dòng)作虛擬防火墻劃分虛擬系統(tǒng)可將一臺(tái)物理設(shè)備，劃分為多個(gè)虛擬防火墻系統(tǒng)網(wǎng)口獨(dú)享與共享模式采用獨(dú)享和共享網(wǎng)口模式，最大化復(fù)用防火墻資源獨(dú)立資源可擁有獨(dú)立的系統(tǒng)資源、管理員、安全策略、用戶認(rèn)證數(shù)據(jù)庫等漏洞掃描內(nèi)網(wǎng)主機(jī)漏洞掃描后

48、門、服務(wù)探測、文件共享、系統(tǒng)補(bǔ)丁、IE漏洞等主動(dòng)式掃描主動(dòng)防御惡意站點(diǎn)防護(hù)通過對(duì)訪問目標(biāo)URL過濾的方式，阻止對(duì)含木馬網(wǎng)/病毒網(wǎng)站、釣魚網(wǎng)站、僵尸網(wǎng)絡(luò)的訪問，要求內(nèi)置惡意URL地址庫，提供相關(guān)解決方案說明關(guān)聯(lián)安全應(yīng)用關(guān)聯(lián)安全支持關(guān)聯(lián)安全標(biāo)準(zhǔn)(CSC)可與終端管理系統(tǒng)協(xié)同工作，實(shí)現(xiàn)對(duì)終端的網(wǎng)絡(luò)準(zhǔn)入認(rèn)證控制，提供協(xié)同工作原理管理配置系統(tǒng)管理支持友好的Web圖形界面配置，支持遠(yuǎn)程SSH和串口命令行配置支持?jǐn)?shù)字證書和電子鑰匙兩種管理員認(rèn)證方式，支持管理員權(quán)限分級(jí)支持SNMP管理，與當(dāng)前通用的網(wǎng)絡(luò)管理平臺(tái)兼容可進(jìn)行配置文件的備份、下載、恢復(fù)和上傳，可導(dǎo)出可讀的配置文件并進(jìn)行打印存檔系統(tǒng)監(jiān)控支持對(duì)CPU、

49、內(nèi)存、磁盤、網(wǎng)口、用戶在線狀態(tài)、連接數(shù)、路由表等信息的監(jiān)控日志報(bào)警支持設(shè)備內(nèi)存儲(chǔ)和專用事件分析服務(wù)器兩種日志管理方式支持分級(jí)報(bào)警，支持SNMP Trap和郵件等報(bào)警方式集中管理可通過專用的集中管理系統(tǒng)實(shí)現(xiàn)對(duì)安全網(wǎng)關(guān)的集中設(shè)備監(jiān)控、集中日志審計(jì)、安全報(bào)警以及策略的分發(fā)等功能可通過專用的集中管理系統(tǒng)，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)拓?fù)涞墓芾恚谟虻臋?quán)限分配和報(bào)表自動(dòng)生成可提供專用的軟件實(shí)現(xiàn)對(duì)安全網(wǎng)關(guān)接入用戶認(rèn)證的集中管理，至少可同時(shí)管理2048臺(tái)防火墻支持策略的集中制定、修改與統(tǒng)一配發(fā)，提供分級(jí)的策略管理功能一鍵式管理支持一鍵式網(wǎng)關(guān)策略配置和分級(jí)保護(hù)，具有易用、智能的管理配置方式，提供外置按鍵的配置的方式，每個(gè)按鍵

50、均對(duì)應(yīng)一個(gè)已預(yù)設(shè)的策略模板，即使非專業(yè)的管理員，也可以方便的進(jìn)行配置管理；支持安全等級(jí)保護(hù)的快捷配置方式高可用性負(fù)載均衡支持基于VRRP技術(shù)的熱備和負(fù)載均衡支持多重冗余協(xié)議(MRP)，實(shí)現(xiàn)鏈路備份、端口備份、熱備份、集群備份等支持防火墻多WAN口備份和負(fù)載均衡支持基于802.3ad標(biāo)準(zhǔn)的多端口聚合，實(shí)現(xiàn)零成本擴(kuò)展帶寬通過狀態(tài)同步技術(shù)實(shí)現(xiàn)232臺(tái)防火墻的多機(jī)集群雙機(jī)熱備在NAT、路由、透明模式下支持A-A,A-S模式，且切換時(shí)間小于1秒可在熱備和集群工作模式下支持多臺(tái)防火墻的配置自動(dòng)同步升級(jí)周期病毒庫支持病毒特征升級(jí)服務(wù)，日常病毒特征升級(jí)周期小于3天，緊急病毒特征升級(jí)周期小于2天入侵庫入侵防御特

51、征升級(jí)服務(wù)周期小于3天升級(jí)方式支持靈活的升級(jí)方式，提供遠(yuǎn)程升級(jí)服務(wù)，支持包括主動(dòng)、被動(dòng)、定時(shí)、本地4種升級(jí)類型，定時(shí)升級(jí)服務(wù)支持按周，日，小時(shí)3類，支持用戶自定義升級(jí)服務(wù)器 7 典型組網(wǎng)7.1 政府行業(yè)7.1.1 電子政務(wù)網(wǎng)電子政務(wù)網(wǎng)是各級(jí)政府為了加強(qiáng)信息化建設(shè)，通過互聯(lián)網(wǎng)或者租用專線的方式把下屬委、辦、局以及下一級(jí)政府單位的局域網(wǎng)進(jìn)行互聯(lián)的網(wǎng)絡(luò)。不同地區(qū)電子政務(wù)網(wǎng)在組網(wǎng)模式和建設(shè)思路上存在一定的差異化，但總體的網(wǎng)絡(luò)結(jié)構(gòu)如下：圖4. 電子政務(wù)網(wǎng)總體結(jié)構(gòu)圖電子政務(wù)網(wǎng)分為內(nèi)網(wǎng)和外網(wǎng)。天清漢馬USG防火墻部署在各單位與外單位互聯(lián)的出口，防止來自其他單位的入侵攻擊等威脅，同時(shí)對(duì)電子政務(wù)內(nèi)網(wǎng)用戶相互間訪

52、問進(jìn)行控制與日志審計(jì)，可有效檢測和控制內(nèi)部員工越權(quán)行為，并向管理員發(fā)出告警。電子政務(wù)外網(wǎng)在建設(shè)模型上與內(nèi)網(wǎng)相似，多數(shù)也是采用專線或裸光纖的方式建網(wǎng)，外網(wǎng)與Internet邏輯隔離。天清漢馬USG防火墻部署在各單位與互聯(lián)網(wǎng)的出口，用于防止來自互聯(lián)網(wǎng)的入侵威脅，并且可以作為邊緣接入路由器部署。天清漢馬USG提供統(tǒng)一管理平臺(tái)，可以通過信息中心統(tǒng)一管理全網(wǎng)的USG防火墻設(shè)備，并提供詳盡直觀的報(bào)表，能夠讓管理員迅速了解到整個(gè)網(wǎng)絡(luò)的存在的安全風(fēng)險(xiǎn)和趨勢，為決定如何制定安全策略提供依據(jù)。7.1.2 政府專網(wǎng)政府專網(wǎng)是各部委與下屬單位信息互聯(lián)的網(wǎng)絡(luò)。政府專網(wǎng)全部采用專線或裸光纖的方式構(gòu)建。專網(wǎng)的安全系統(tǒng)一般采

53、用下級(jí)信任上級(jí)的方式來建設(shè)，即只需要考慮上級(jí)單位對(duì)下級(jí)單位訪問的安全防護(hù)。專網(wǎng)系統(tǒng)一般來說，只在一級(jí)單位設(shè)互聯(lián)網(wǎng)出口，各下屬單位的互聯(lián)網(wǎng)訪問都從總部出口。在互聯(lián)網(wǎng)出口部署USG防火墻設(shè)備能夠?qū)λ袕幕ヂ?lián)網(wǎng)的進(jìn)出的流量進(jìn)行過濾，防止來之互聯(lián)網(wǎng)的入侵，并且對(duì)專網(wǎng)內(nèi)用戶訪問互聯(lián)網(wǎng)的內(nèi)容進(jìn)行過濾和審計(jì)。在每個(gè)政府單位和下級(jí)單位的接口部署USG防火墻設(shè)備，可以有效防范來自下級(jí)單位的越權(quán)訪問和惡意攻擊。天清漢馬同時(shí)可以作為邊緣路由器接入網(wǎng)絡(luò)。天清漢馬USG防火墻提供統(tǒng)一管理平臺(tái)，可以通過信息中心統(tǒng)一管理全網(wǎng)的USG防火墻設(shè)備，并提供詳盡直觀的報(bào)表，能夠讓管理員迅速了解到整個(gè)網(wǎng)絡(luò)的存在的安全風(fēng)險(xiǎn)和趨勢，為決

54、定如何制定安全策略提供依據(jù)。圖5. 政府專網(wǎng)結(jié)構(gòu)示意圖7.2 教育行業(yè)7.2.1 高教校園網(wǎng)高校校園網(wǎng)出口一般會(huì)和多個(gè)ISP互聯(lián)，同時(shí)和CERNET互聯(lián)。USG防火墻設(shè)備部署在高校網(wǎng)絡(luò)出口，可以抵御來自互聯(lián)網(wǎng)的威脅，保護(hù)DMZ區(qū)服務(wù)器免受攻擊，以及學(xué)生對(duì)學(xué)校重要服務(wù)器的攻擊。同時(shí)，開啟策略路由功能，網(wǎng)絡(luò)流量進(jìn)行分流處理。對(duì)于高校出口帶寬占用率一直高居不下是一直困擾網(wǎng)管人員的問題，天清漢馬USG防火墻可以提供完整的帶寬管理解決方案。天清漢馬USG防火墻通過Netflow功能對(duì)網(wǎng)絡(luò)出口的流量進(jìn)行統(tǒng)計(jì)，分析帶寬使用趨勢，同時(shí)對(duì)帶寬占用較大的P2P流量進(jìn)行限制和封鎖，讓校園網(wǎng)出口的帶寬得到充分的利用。

55、 對(duì)于校園網(wǎng)內(nèi)的各學(xué)生宿舍、圖書館、教學(xué)樓等單位，與學(xué)校網(wǎng)絡(luò)中心的接口通過透明模式接入天清漢馬USG防火墻，同時(shí)開啟網(wǎng)頁內(nèi)容過濾功能，防止學(xué)生訪問不良網(wǎng)站。圖6. 高教校園網(wǎng)結(jié)構(gòu)示意圖7.2.2 中/基教教育城域網(wǎng)中基市場中，連接Internet通常有兩種方式，一種為通過ISP與 Internet直接連接，另外一種為通過教育城域網(wǎng)與Internet統(tǒng)一連接。對(duì)于前者，學(xué)校通常在網(wǎng)絡(luò)出口處部署一臺(tái)USG防火墻設(shè)備，防御來自互聯(lián)網(wǎng)的攻擊，同時(shí)開啟Web內(nèi)容過濾功能，防止學(xué)生利用利用網(wǎng)絡(luò)瀏覽不良網(wǎng)站。對(duì)于后者，只需要在地區(qū)教委的Internet出口部署USG防火墻設(shè)備既可以防御來自互聯(lián)網(wǎng)的威脅，又可

56、以做到對(duì)所轄區(qū)域?qū)W校訪問互聯(lián)網(wǎng)的流量進(jìn)行統(tǒng)一管理，統(tǒng)一過濾各學(xué)校訪問不良網(wǎng)站的流量。圖7. 中/基教校園網(wǎng)結(jié)構(gòu)示意圖7.3 企業(yè)市場7.3.1 中小企業(yè)在全國范圍內(nèi)擁有分支機(jī)構(gòu)的中小企業(yè)網(wǎng)絡(luò)，大都通過互聯(lián)網(wǎng)來實(shí)現(xiàn)總部與分支機(jī)構(gòu)的互聯(lián)互通。圖8. 中小企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)示意圖部署USG防火墻設(shè)備讓中小企業(yè)用戶可以在一個(gè)統(tǒng)一的架構(gòu)上建立自己的安全基礎(chǔ)設(shè)施，而以往困擾用戶的安全產(chǎn)品協(xié)調(diào)性、資金和技術(shù)匱乏和缺乏中小企業(yè)級(jí)安全解決方案等問題也能夠得到完全解決。USG防火墻設(shè)備產(chǎn)品部署在總部和分支機(jī)構(gòu)網(wǎng)絡(luò)Internet出口，抵御來自互聯(lián)網(wǎng)攻擊威脅。同時(shí)可作為VPN網(wǎng)關(guān)，各分支機(jī)構(gòu)與總部之間開啟VPN隧道，保證

57、相互間通信的保密性。SOHO員工和在外出差的員工可以在任何時(shí)候通過VPN客戶端與總部的天清漢馬USG防火墻建立VPN隧道，訪問公司內(nèi)部的資源，實(shí)現(xiàn)高效安全的網(wǎng)絡(luò)應(yīng)用。7.3.2 大型企業(yè)對(duì)于大型企業(yè)，網(wǎng)絡(luò)規(guī)模較大、用戶數(shù)量多、業(yè)務(wù)系統(tǒng)較多，網(wǎng)絡(luò)建設(shè)類似于城域網(wǎng)。在安全建設(shè)方面也存在多點(diǎn)建設(shè)，除去在集團(tuán)總部的互聯(lián)網(wǎng)出口需要安全防控外，各下屬單位也有安全防護(hù)需求。圖9. 大型企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)示意圖在總部互聯(lián)網(wǎng)出口部署的天清漢馬USG防火墻能夠抵御來自互聯(lián)網(wǎng)的入侵攻擊，同時(shí)為出差員工提供VPN接入，確保通信的保密性。在各單位出口部署USG防火墻設(shè)備，可以有效控制不同部門之間的越權(quán)訪問。天清漢馬USG防火墻提供統(tǒng)一管理平臺(tái)，可以通過信息中心統(tǒng)一管理全網(wǎng)的USG防火墻設(shè)備，并提供詳盡直觀的報(bào)表，能夠讓管理員迅速了解到整個(gè)網(wǎng)絡(luò)的存在的安全風(fēng)險(xiǎn)和趨勢，為決定如何制定安全策略提供依據(jù)。