-天清漢馬USG-FW-P系列防火墻技術(shù)白皮書-V.

天清漢馬USG-FW-P系列防火墻 技術(shù)白皮書二零一三年十月目 錄1概述12天清漢馬USG防火墻產(chǎn)品特點與技術(shù)優(yōu)勢22.1智能的VSP通用安全平臺22.2高效的USE統(tǒng)一安全引擎32.3高可靠的MRP多重冗余協(xié)議42.4完備的關(guān)聯(lián)安全標準52.5基于應用的內(nèi)容識別控制6智能匹配技術(shù)6多線程掃描技術(shù)7應用感控技術(shù)72.6精確細致的WEB過濾技術(shù)82.7可信架構(gòu)主動云防御技術(shù)82.8IPv6包狀態(tài)過濾技術(shù)93天清漢馬USG防火墻產(chǎn)品主要功能104典型組網(wǎng)174.1政府行業(yè)17電子政務網(wǎng)17政府專網(wǎng)184.2教育行業(yè)19高教校園網(wǎng)19中/基教教育城域網(wǎng)204.3企業(yè)市場21中小企業(yè)21大型企業(yè)221 概述誕生20多年來，網(wǎng)絡已經(jīng)在全球經(jīng)濟中扎根發(fā)芽，蓬勃成長為參天大樹，對各個行業(yè)的發(fā)展起著舉足輕重的作用。隨著時間的推移，網(wǎng)絡的安全問題也日益嚴重，在開放的網(wǎng)絡環(huán)境中，網(wǎng)絡邊界安全成為網(wǎng)絡安全的重要組成部分。在網(wǎng)絡安全的術(shù)語里，有一個名詞叫做“安全域”，其主要作用就是將網(wǎng)絡按照業(yè)務、保護等級、行為等方面劃分出不同的邊界，定義出各自的安全領(lǐng)域。舉個簡單的例子，在PC上安裝了相關(guān)的殺毒軟件，PC本身就是一個最簡單的安全域。對于單位用戶，安全域往往由若干網(wǎng)絡設備和用戶主機構(gòu)成，其邊界安全主要在于與互聯(lián)網(wǎng)的邊界、與其他業(yè)務網(wǎng)絡的邊界等。防火墻是解決網(wǎng)絡邊界安全的重要設備，它主要工作在網(wǎng)絡層之下，通過對協(xié)議、地址和服務端口的識別和控制達到防范入侵的目的，可以有效的防范基于業(yè)務端口的攻擊。天清漢馬USG防火墻是北京啟明星辰信息安全技術(shù)憑借在信息安全領(lǐng)域多年的經(jīng)驗積累，總結(jié)分析用戶的切身需求，推出新一代的P系列防火墻產(chǎn)品。天清漢馬USG防火墻采用高性能的硬件架構(gòu)和一體化的軟件設計，除了實現(xiàn)了狀態(tài)檢測防火墻功能，還同時支持VPN、上網(wǎng)行為管理、抗拒絕服務攻擊（Anti-DoS）、內(nèi)容過濾、AV、入侵防御等多種安全技術(shù)，同時全面支持QoS、高可用性（HA）、日志審計等功能，為網(wǎng)絡邊界提供了全面實時的安全防護。天清漢馬USG防火墻可直接通過功能許可激活的方式，獲得包括防病毒（AV）、入侵防御（IPS）、防垃圾郵件（Anti-Spam）和內(nèi)網(wǎng)安全功能。天清漢馬USG防火墻產(chǎn)品線豐富，可以為政府、教育、金融、企業(yè)、能源、運營商等用戶提供所需要的全系列的安全防護產(chǎn)品。2 產(chǎn)品綜述2.1 產(chǎn)品綜述天清漢馬下一代p系列USG防火墻是集防火墻、VPN、上網(wǎng)行為管理AC、內(nèi)容過濾、防病毒、入侵防護等多種安全技術(shù)于一身，高性能、綠色低碳，同時全面支持各種路由協(xié)議、QoS、高可用性（HA）、日志審計等功能，為網(wǎng)絡邊界提供了全面實時的安全防護，幫助用戶抵御日益復雜的安全威脅。天清漢馬USG防火墻采用了一體化的設計方案，在一個產(chǎn)品中協(xié)調(diào)統(tǒng)一地實現(xiàn)了接入安全需要考慮的方方面面。采用天清漢馬USG防火墻，可以從整體上解決了接入安全的問題。用戶可不必考慮產(chǎn)品部署、兼容性等困惑，也不再因為多個產(chǎn)品難于維護管理而苦惱，天清漢馬USG防火墻是低成本、高效率、易管理的理想解決方案。天清漢馬USG防火墻產(chǎn)品線豐富，可以為政府、教育、金融、企業(yè)、能源、運營商等用戶提供所需要的全系列的安全防護產(chǎn)品。自從天清漢馬USG防火墻推向市場以來，很快就憑借其強大的功能和在實際應用中優(yōu)異表現(xiàn)，贏得了眾多機構(gòu)和用戶的廣泛贊譽。2.2 特點說明天清漢馬USG防火墻具有如下特點：l 完善的防火墻特性² 支持基于源IP、目的IP、源端口、目的端口、時間、服務、用戶、文件、網(wǎng)址、關(guān)鍵字、郵件地址、腳本、MAC地址等方式進行訪問控制² 支持流量管理、連接數(shù)控制、IP+MAC綁定、用戶認證等² 支持虛擬防火墻：可以將接口劃分給不同的虛擬防火墻，每個虛擬防火墻具有獨立的管理員、安全域、資源對象、安全策略、NAT規(guī)則、靜態(tài)路由等配置² 同終端無縫結(jié)合：支持同天珣內(nèi)網(wǎng)安全管理系統(tǒng)聯(lián)動，將防火墻防御能力推進到桌面終端l 高網(wǎng)絡適用性² 支持透明、路由和NAT模式部署² 支持靜態(tài)路由、策略路由、RIP/OSPF/BGP動態(tài)路由，支持等價路由ECMP和加權(quán)路由WCMP，支持組播路由² 支持STP，可以同二層網(wǎng)絡設備進行生成樹計算² 支持IGMP Snooping，優(yōu)化在橋模式下的組播流量² 支持私有HA和VRRP² 支持IPv6：支持IPv4、IPv6雙棧運行、靜態(tài)IPv6路由、手工隧道、6to4隧道和ISATAP隧道。² 支持鏈路聚合，可通過手動方式、IEEE802.3ad 靜態(tài)LACP方式創(chuàng)建聚合鏈路；通過鏈路聚合可以增加鏈路帶寬，并起到負載均衡和鏈路備份的作用² 支持802.11B,802.11G協(xié)議，可以擴展WIFI模塊以提供WIFI接入，支持設備作為WiFi熱點（即AP），為客戶機提供無線安全接入服務² 支持3G(CDMA2000)協(xié)議，可以擴展3G模塊以提供3G上行網(wǎng)絡接入l 高穩(wěn)定性和可靠性² 產(chǎn)品具有高性能，同時多核之間互為備份，可靠性高² 支持私有協(xié)議HA和VRRP，實現(xiàn)雙機熱備和冗余² 支持雙操作系統(tǒng)和多配置文件，最大支持10個配置文件備份l 全面的VPN支持² 多VPN支持： IPSec、L2TP、SSL VPN、GRE² 豐富的應用：專用VPN客戶端、USBKEY、動態(tài)口令卡、圖形認證碼² 靈活的部署：Hub-Spoken、Full-Mesh、DVPN、網(wǎng)關(guān)網(wǎng)關(guān)的SSL VPN² 支持對IPAD、IPHONE等移動終端的VPN接入l 完善的上網(wǎng)行為管理功能² 采用獨立的上網(wǎng)行為管理庫，通過互聯(lián)網(wǎng)實現(xiàn)每周更新。 ² P2P控制：對Emule、BitTorrent、Maze、Kazaa等進行阻斷、限速² IM控制：基于黑白名單的IM登錄控制、文件傳輸阻止、查毒；支持主流IM軟件如QQ、MSN、雅虎通、Gtalk、Skype² 流媒體控制：對流媒體應用進行阻斷或限速，支持Kamun ppfilm 、PPLive、PPStream、QQ直播、TVAnts、沸點網(wǎng)絡電視、貓撲播霸等² 網(wǎng)絡游戲控制：對常見網(wǎng)絡游戲如魔獸世界、征途、QQ游戲大廳、聯(lián)眾游戲大廳等的阻斷² 股票軟件控制：對常用股票軟件如同花順、大參考、大智慧等的阻斷l(xiāng) 強大的日志報表功能² 記錄內(nèi)容豐富：可對防火墻日志、攻擊日志、病毒日志、帶寬使用日志、Web訪問日志、Mail發(fā)送日志、關(guān)鍵資產(chǎn)訪問日志、用戶登錄日志等進行記錄² 日志快速查詢：可對IP地址、端口、時間、危急程度、日志內(nèi)容關(guān)鍵字等進行查詢² 報表貼近需求：根據(jù)用戶具體需求，定制報表內(nèi)容、定制報名名稱、定制企業(yè)LOGO，并可形成多種格式的報表文件。l 方便的集中管理功能² 通過集中管理與數(shù)據(jù)分析中心實現(xiàn)對多臺設備的統(tǒng)一管理、實時監(jiān)控、集中升級和拓撲展示。3 體系架構(gòu)說明3.1 產(chǎn)品構(gòu)成天清漢馬USG防火墻主要由兩部分組成：USG防火墻設備和天清集中管理與數(shù)據(jù)分析中心。USG防火墻設備：即部署在網(wǎng)絡出口，融合多種安全能力，針對惡意攻擊、非法活動和網(wǎng)絡資源濫用等威脅，實現(xiàn)精確防控的高可靠、高性能、易管理的網(wǎng)關(guān)安全設備。天清集中管理與數(shù)據(jù)分析中心：主要功能分為集中管理功能與數(shù)據(jù)分析功能，集中管理是對USG防火墻設備的集中管理、統(tǒng)一監(jiān)控和升級中心，通過它可以集中配置、監(jiān)控和管理所管轄的多臺USG防火墻設備，并按照一定的規(guī)則組織成層次結(jié)構(gòu)，方便管理員對于整網(wǎng)USG防火墻設備的監(jiān)控維護工作；數(shù)據(jù)分析中心是USG防火墻設備海量信息的后臺處理中心。主要完成USG防火墻設備日志和流量信息的存儲、分析、審計和處理功能。3.2 軟件結(jié)構(gòu)防火墻作為網(wǎng)關(guān)類產(chǎn)品，究竟什么樣的軟件結(jié)構(gòu)更有利于提升整體性能？那么首先需要知道什么是性能消耗的關(guān)鍵業(yè)務單元。啟明星辰通過對網(wǎng)關(guān)類產(chǎn)品單一分析處理引擎的詳細分析和試驗驗證，得出網(wǎng)關(guān)類產(chǎn)品性能消耗50來自于模式匹配，25來自于協(xié)議重組、25來自于報文重組的結(jié)論。圖1. 網(wǎng)關(guān)分析處理引擎性能消耗分析如何融合分析處理引擎，合并性能消耗關(guān)鍵業(yè)務單元成為防火墻產(chǎn)品軟件結(jié)構(gòu)設計首要考慮的問題?；谘芯繑?shù)據(jù)，啟明星辰在天清漢馬USG防火墻的軟件結(jié)構(gòu)設計上引入了一體化的設計理念。即將防火墻、VPN、內(nèi)容過濾和流量管理等各項功能的分析處理引擎進行一體化設計，以達到性能最優(yōu)的目的。天清漢馬USG防火墻本著安全高效原則，采用“檢測與控制相分離，引擎特征相統(tǒng)一”的一體化設計思想：人機界面、報文接收模塊、報文處理模塊、報文發(fā)送模塊和支撐庫。網(wǎng)絡報文首先通過報文接收模塊進行預處理后進入報文處理模塊，在報文處理模塊，防火墻進行23層過濾，VPN負責接入控制；其次模塊匹配引擎和行為分析引擎分別根據(jù)統(tǒng)一特征庫和行為知識庫進行匹配查找；最后，對于合法報文直接交由報文發(fā)送模塊進行報文轉(zhuǎn)發(fā)，對于非法報文，送交相應的處理引擎進行處理。整個過程的日志信息和數(shù)據(jù)流量信息送集中管理與數(shù)據(jù)分析中心監(jiān)控和備案，管理中心負責整體的配置和調(diào)整。4 關(guān)鍵技術(shù)天清漢馬USG防火墻采用了多種創(chuàng)新技術(shù)，為確保多種安全能力的融合，性能的持續(xù)恒定起到了重要作用。4.1 智能的VSP通用安全平臺天清漢馬USG防火墻采用創(chuàng)新的VSP（VersatileSecurity Platform）這是網(wǎng)御慣用的說法，查一下原先USG的說法是什么樣的保持一致通用安全平臺，將實時操作系統(tǒng)、網(wǎng)絡處理、安全應用等技術(shù)完美地結(jié)合在一起，使防火墻產(chǎn)品具備了高智能、高性能、高安全性、高健壯性、 高擴展性等特點。圖也是網(wǎng)御的圖VSP面向網(wǎng)絡吞吐和安全處理，采用基于組件的多平面架構(gòu)，整個系統(tǒng)分為控制平面、數(shù)據(jù)平面、系統(tǒng)服務平面和硬件抽象平面，通過控制平面和數(shù)據(jù)平面的分離，不同于Linux，F(xiàn)reeBSD等通用操作系統(tǒng)追求均衡的方向，集中主要資源于網(wǎng)絡吞吐和安全處理，使系統(tǒng)具有極強的實時性和網(wǎng)絡吞吐能力。由于系統(tǒng)功能與資源管理分別工作在不同的平面，各平面和模塊之間共同遵循標準接口函數(shù)，系統(tǒng)具有高度靈活性和可擴展性。通過將硬件驅(qū)動與資源管理獨立為一個單獨的硬件抽象平面模塊，對上層軟件提供統(tǒng)一調(diào)用接口，對下層硬件統(tǒng)一定義驅(qū)動標準，適應多種不同規(guī)格的硬件架構(gòu)，實現(xiàn)與多種專用芯片的無縫融合，可充分利用從IXP，PowerPC到NP、多核多線程CPU、內(nèi)容加速芯片等各種先進硬件平臺的優(yōu)勢，使天清漢馬USG防火墻在性能方面一路領(lǐng)先。4.2 高效的整合內(nèi)容引擎天清漢馬USG防火墻使用高效的ICE（Integrated content engine）整合內(nèi)容引擎。它將狀態(tài)包過濾、VPN、IDS、內(nèi)容過濾、用戶認證等多個子系統(tǒng)集成于單一平臺，構(gòu)造統(tǒng)一架構(gòu)，綜合并優(yōu)化各子系統(tǒng)，去除冗余，簡化數(shù)據(jù)處理流程，實現(xiàn)統(tǒng)一的安全引擎處理機制。圖也是網(wǎng)御的整合內(nèi)容引擎克服了傳統(tǒng)上各個引擎獨自為戰(zhàn)的缺點，通過高效的引擎集成技術(shù)，將各個安全功能有機地整合為一體，狀態(tài)檢測、協(xié)議分析機、深度過濾、內(nèi)容檢測等引擎協(xié)同工作，對于監(jiān)測的數(shù)據(jù)包，一次性拆包即可完成2-7層的檢測，同時采用基于摘要索引的內(nèi)容處理加速算法，有效地提高了引擎的處理效率。ICE通過多協(xié)議融合分析技術(shù)和事件關(guān)聯(lián)再分析技術(shù)，綜合內(nèi)容實體，時間因素，提高了安全事件的檢測率。ICE采用標準化技術(shù)，對內(nèi)提供統(tǒng)一服務接口，使安全功能易于擴展，充分滿足安全需求的快速發(fā)展；對外實現(xiàn)安全策略的統(tǒng)一配置，給用戶帶來可管理的等級化安全。4.3 高可靠多重冗余協(xié)議網(wǎng)御慣用說法利用電信骨干網(wǎng)可靠性運營維護專業(yè)經(jīng)驗，天清漢馬USG防火墻通過創(chuàng)新的多重冗余協(xié)議，在物理層、鏈路層、網(wǎng)絡層、實體層等多個層面實現(xiàn)多元化冗余設計，有效地保障天清漢馬USG防火墻在用戶網(wǎng)絡應用中的高可用性。圖也是網(wǎng)御的2個都用Super V-7318的圖片代替l 基于多出口負載均衡的鏈路備份。鏈路層支持多WAN口出口，實現(xiàn)多出口間的負載均衡和備份，任何一條鏈路的故障癱瘓不會影響網(wǎng)絡的正常運行。l 基于802.3ad標準的端口聚合。物理端口支持802.3ad標準，可實現(xiàn)多物理端口聚合，幫助用戶做到“零投資”帶寬倍增。l 基于狀態(tài)自動探測的雙機熱備。當主系統(tǒng)發(fā)生故障或?qū)€路的網(wǎng)絡故障時，備份機可自動檢測并切換到主狀態(tài)，接管主系統(tǒng)的工作，切換時間小于1秒鐘。l 基于狀態(tài)增量同步的多機集群。支持主動負載均衡、會話保護和接管以及主動配置同步等功能，尤其是采用國內(nèi)首創(chuàng)的“狀態(tài)增量同步技術(shù)”解決多臺防火墻之間的狀態(tài)一致性問題，實現(xiàn)了業(yè)務在多臺防火墻之間的平滑任意分布和切換，解決了采用VRRP協(xié)議和動態(tài)路由協(xié)議帶來的“業(yè)務續(xù)斷問題”，最多可以支持高達8臺的防火墻集群。4.4 事件關(guān)聯(lián)分析技術(shù)與歸并處理機制對用戶的多個網(wǎng)絡行為進行關(guān)聯(lián)，是提高檢測精度的有效手段。比如一個用戶首先對 服務進行了慢速CGI掃描，服務端反饋的結(jié)果證明其運行了可能含有漏洞的某個CGI，之后該用戶又發(fā)送了包含ShellCode的請求，從這兩次行為分別看，每個都不能絕對的將其界定為惡意行為，如果將兩個行為聯(lián)系起來，則基本可以確定該行為的高風險等級。針對大規(guī)模的監(jiān)測系統(tǒng)應用中可能出現(xiàn)一個網(wǎng)絡異常行為在多個監(jiān)測點作為事件報告而形成事件洪流的問題，數(shù)據(jù)關(guān)聯(lián)性分析模塊首次提出并采用了基于統(tǒng)計分析的二次事件分析技術(shù)，能夠?qū)Σ煌瑫r間、不同地點、不同事件的大量信息進行統(tǒng)一處理，簡潔、準確地報告出正確的網(wǎng)絡安全事件。4.5 高速深層檢測技術(shù)n 高精度應用層協(xié)議分析協(xié)議分析是深度檢測必不可少的環(huán)節(jié)，它可以減少特征匹配的計算量，提高匹配精度。但是深度的協(xié)議分析本身也需要相當大的計算量，如何既保證特征匹配和文件還原所需的分析精確度，又不占用過多的資源，是高速環(huán)境下必須面對的課題。我們將主要通過以下兩方面來解決這一問題，1) 基于攻擊研究和特征知識庫選擇分析深度。協(xié)議分析不需要的無限制的精細，否則入侵防御系統(tǒng)將變成一個低效的應用代理系統(tǒng)，協(xié)議分析應該建立在對網(wǎng)絡攻擊研究的基礎上，對特征知識庫中需要的協(xié)議信息進行分析，這點的實現(xiàn)關(guān)鍵集中在攻擊研究上，軟件實現(xiàn)中可通過編譯時的條件控制和運行時對特征庫進行掃描設置相應開關(guān)完成；2) 高效協(xié)議自識別算法。對于非周知端口的通信，需要通過內(nèi)容識別其所屬的協(xié)議類型。這一內(nèi)容識別的過程類似于攻擊檢測的特征識別過程，可以通過多階段分析和匹配算法的選擇降低計算開銷。n 多模匹配算法選擇由于在一個報文的匹配中，最為耗時的匹配運算是在報文中匹配多個串模式。過去的幾十年中學術(shù)界提出了若干的多模匹配算法，并且在工業(yè)界得到了很好的應用，比如AC算法、WM算法在軟件檢測系統(tǒng)中證明了其優(yōu)秀的性能。在以往的多模匹配算法通常是在理論分析的基礎上，在IA32架構(gòu)和隨機數(shù)據(jù)源上進行實驗選擇，且算法一經(jīng)確定就固化在軟件中。實際這樣得出的算法不能保證在所有的處理器架構(gòu)和數(shù)據(jù)源條件下都保證是已知算法中最優(yōu)的?，F(xiàn)在在學術(shù)界存在多種多串并行匹配的算法，在商業(yè)產(chǎn)品中應用較多有Aho-Corasick、Wu-Manber和ExB算法或它們的變種。根據(jù)研究發(fā)現(xiàn)，所有這些算法的性能分析全部是基于理想的存儲模型，忽略訪存的性能開銷。由于存儲器速度遠低于處理器速度，兩者相差一個數(shù)量級以上，為避免存儲器效能低造成系統(tǒng)整體的效能低下，絕大多數(shù)系統(tǒng)采用多級存儲結(jié)構(gòu)，增加少量的高速緩存隱藏存儲器的性能瓶頸。但是在多串匹配算法中，數(shù)據(jù)結(jié)構(gòu)非常龐大，并且匹配過程中不斷在非連續(xù)的地址間跳轉(zhuǎn)，此時高速緩存的命中率大幅下降，不考慮訪存開銷顯然已不能反映各算法在實際應用中的效能。實際上不存在一種普適的算法能夠在各種情況下都有最佳表現(xiàn)，同樣的算法可能在不同的數(shù)據(jù)源、特征集、處理器結(jié)構(gòu)上性能相差甚遠。我們將結(jié)合具體的硬件（處理器）架構(gòu)和匹配規(guī)則的分布類型，將其抽象為與匹配算法效能相關(guān)的若干關(guān)鍵參數(shù)，計算出當前適用的最優(yōu)算法。具體采用動態(tài)和靜態(tài)兩種方式實現(xiàn)自適應選擇。如下圖，圖2. 自適應示意圖靜態(tài)自適應在系統(tǒng)初始化時進行，統(tǒng)計各協(xié)議變量特征及相關(guān)匹配模式特征，結(jié)合備選多模式匹配算法的性能特征，為規(guī)則匹配樹節(jié)點選擇最優(yōu)的多模式匹配算法?？刂茀?shù)包括處理器類型、主頻、Cache Line長度、L2Cache容量、存儲器時延、最短模式長度、次短模式長度、模式數(shù)量、模式字符集大小、同前綴模式數(shù)量等等。動態(tài)自適應在系統(tǒng)運行過程中采樣統(tǒng)計影響算法效率的網(wǎng)絡數(shù)據(jù)，如果統(tǒng)計值顯示當前網(wǎng)絡數(shù)據(jù)趨勢穩(wěn)定，則進行動態(tài)算法選擇，確定是否有大幅超過當前算法效率的算法模塊存在，并進行調(diào)用。n 最優(yōu)規(guī)則樹特征匹配的過程不僅包括串匹配，還有對諸如地址、端口、協(xié)議類型等等許多協(xié)議字段的匹配。為了方便，我們將多個協(xié)議字段構(gòu)成的模式稱為多數(shù)據(jù)類型模式，與上面提到的串模式進行區(qū)分，串模式可以認為是多數(shù)據(jù)類型模式的一個子集。在以往的工作中，我們受AC算法的啟發(fā)，將其擴展到多數(shù)據(jù)類型模式匹配，即將多個模式中的相同協(xié)議字段歸并，構(gòu)建一個或多個樹型模式結(jié)構(gòu)，達到一次匹配多個模式的目的。與串匹配不同的是，多數(shù)據(jù)類型模式中，每種數(shù)據(jù)類型的單次匹配開銷是不同的，在實際運行中的命中幾率也是不同的。同樣是樹型數(shù)據(jù)結(jié)構(gòu)，其最佳效率和最差效率相差可能在一個數(shù)量級以上，如果能將低命中率、低匹配開銷的工作盡可能提前，將會接近最佳的匹配效率。4.6 智能內(nèi)容過濾技術(shù)內(nèi)容分析子系統(tǒng)要充分發(fā)揮當前處理器所具備的多核能力。一個大的原則就是數(shù)據(jù)交換過程中盡量避免核間和核內(nèi)的臨界鎖以及字符串拷貝，所以數(shù)據(jù)的生產(chǎn)者和消費者應該使用一個大的緩沖區(qū)來交換數(shù)據(jù)。傳統(tǒng)的做法就是把這個緩沖區(qū)變成一個環(huán)形隊列，捕包程序和協(xié)議棧程序分別持有一個寫指針和讀指針，只要兩個指針不互相超越就可以。在協(xié)議棧單線程的情況下這種方法沒有問題，但是在多核情況下，為了充分發(fā)揮硬件的計算能力，必須把內(nèi)容分析過濾子系統(tǒng)多線程化（并行化）。但是上述數(shù)據(jù)交換方式在內(nèi)容分析多線程的情況下就出現(xiàn)了問題。當協(xié)議棧多線程的時候，必須使用專門的線程實現(xiàn)捕包程序捕獲的數(shù)據(jù)包的分發(fā)，也就是把數(shù)據(jù)包分發(fā)到相應的線程進行處理。這樣問題也就出現(xiàn)了：那個環(huán)形緩沖區(qū)的讀指針不再正確。這是因為，為了避免拷貝操作，分發(fā)線程并沒有將捕包程序捕獲的數(shù)據(jù)進行拷貝以后再分發(fā)，而是直接對其指針進行操作，在這種情況下，分發(fā)程序是不知道協(xié)議棧什么時候能夠分析完成并釋放緩沖區(qū)的，因而分發(fā)程序不可以直接簡單增加環(huán)形隊列的讀指針來申明當前緩沖區(qū)以消費完成，可以寫入新的數(shù)據(jù)。又由于協(xié)議棧分析時多線程同時進行，沒有辦法確定每一數(shù)據(jù)包分析完成的時間，這樣很難確定環(huán)形緩沖區(qū)的讀指針了。為此，天清漢馬USG防火墻采用了如下的解決方法：依然遵循數(shù)據(jù)交換的大原則，依然采用大的緩沖區(qū)來交換數(shù)據(jù)，但是對緩沖區(qū)的形式作一個變換。最初定義的是直接在緩沖區(qū)上定義讀寫指針將緩沖區(qū)當成環(huán)形隊列使用，現(xiàn)在不同是緩沖區(qū)不再是一個環(huán)形隊列，而被分成了獨立的兩部分：空閑緩沖區(qū)隊列和已使用緩沖區(qū)隊列。注意這里提到的兩個緩沖區(qū)不是具體的數(shù)據(jù)緩沖區(qū)，而是保存數(shù)據(jù)緩沖區(qū)數(shù)據(jù)單元指針的指針列表。捕包程序在捕獲一個數(shù)據(jù)包之前，從空閑緩沖區(qū)隊列的頭部取下一個空的存儲單元（為了提高訪問速度，采用內(nèi)存邊界對齊的數(shù)據(jù)單元，比如說2k字節(jié)一個單元），將從網(wǎng)卡讀入的數(shù)據(jù)拷貝到這個緩沖區(qū)以后，捕包程序?qū)⑦@個緩沖單元掛到已使用緩沖隊列的尾部。分析線程在從緩沖區(qū)取數(shù)據(jù)的時候從已使用緩沖隊列的頭部取下一個數(shù)據(jù)單元進行消費，消費完成以后直接將這個數(shù)據(jù)單元掛到待發(fā)送緩沖區(qū)隊列就可以了，這樣既避免的鎖定，也避免了內(nèi)存拷貝。而且可以充分利用緩沖區(qū)的空間。上述過程構(gòu)成了本方案的多目標分發(fā)機制?；诙嗄繕朔职l(fā)的多線程連接級并行的內(nèi)容分析子系統(tǒng)本質(zhì)上是同時運行多個邏輯上獨立的并行內(nèi)容分析協(xié)議棧，結(jié)構(gòu)框如圖示。圖3. 并行內(nèi)容分析協(xié)議棧并行協(xié)議棧通過一個數(shù)據(jù)分發(fā)器將捕包系統(tǒng)捕獲的網(wǎng)絡數(shù)據(jù)包按照IP包首的源地址和目的地址對分發(fā)到相應的線程進行處理，并通過一個發(fā)送單元收集器完成數(shù)據(jù)單元的發(fā)送，數(shù)據(jù)發(fā)送完畢以后將發(fā)送單元占用的數(shù)據(jù)單元返回給空閑存儲單元隊列供數(shù)據(jù)捕獲系統(tǒng)使用，讓捕包系統(tǒng)重復利用這些單元，實現(xiàn)捕包到分析的零拷貝過程。每一個內(nèi)容分析線程均有一個私有的協(xié)議棧狀態(tài)表和兩個數(shù)據(jù)隊列索引，其中協(xié)議棧狀態(tài)表是協(xié)議棧在進行IP協(xié)議、TCP協(xié)議已經(jīng)上層應用協(xié)議還原的時候用來保存上下文信息和暫存數(shù)據(jù)使用，而兩個數(shù)據(jù)隊列索引則分別用來存儲待分析的數(shù)據(jù)塊和已分析塊。這樣，任何一個協(xié)議棧線程在進行數(shù)據(jù)操作的時候都不會和其他協(xié)議棧線程共享數(shù)據(jù)塊，避免協(xié)分析線程間的臨界鎖，提供整個系統(tǒng)的計算吞吐量。此處的多目標分發(fā)機制具有如下特點：l 實現(xiàn)了內(nèi)容分析子模塊從數(shù)據(jù)分析過濾的零拷貝過程l 避免了核間和核內(nèi)的臨界鎖，極大的提高了內(nèi)容分析子系統(tǒng)的計算資源利用率4.7 基于應用的識別控制天清漢馬USG防火墻系列擁有目前最完善的應用識別特征庫，通過智能分析技術(shù)，將P2P、IM、炒股軟件和在線游戲等協(xié)議的應用行為、加密方式、處理動作等特點整理成庫。當流量經(jīng)過防火墻時，防火墻啟動過濾引擎，對流量進行特征值的匹配。當過濾引擎搜索到與之匹配的特征碼時，防火墻即可應用智能識別技術(shù)進行細粒度控制或一鍵封鎖。如何快速而準確地識別各種上網(wǎng)行為，是決定防火墻性能的關(guān)鍵因素。天清漢馬USG防火墻從如下幾個方面保障內(nèi)容識別的高速與準確。4.7.1 智能匹配技術(shù)在特征庫上的設置上，天清漢馬USG防火墻按照所有上網(wǎng)行為的特點進行了分類，并對P2P、IM、炒股以及在線游戲等上網(wǎng)行為設置了不同的特征庫。當數(shù)據(jù)包到達防火墻時，防火墻首先根據(jù)用戶定制策略將其分配到其對應的特征庫管道，如P2P下載行為的流量被輸送到P2P特征庫管道，即時通訊的流量則被輸送到IM特征庫管道。流量被分發(fā)到相應的特征庫管道以后，再由相應的搜索引擎對流量進行掃描。這樣既大大減少了搜索引擎檢索的時間，又提高了過濾引擎的性能。4.7.2 多線程掃描技術(shù)天清漢馬USG防火墻采用多線程掃描技術(shù)，提高了引擎掃描的效率。比如當BT數(shù)據(jù)流和MSN數(shù)據(jù)流同時進入防火墻時，防火墻內(nèi)容搜索引擎不是在檢索完BT數(shù)據(jù)流以后再去檢索MSN數(shù)據(jù)流，而是可以同時啟動BT搜索引擎和MSN搜索引擎。兩個搜索引擎同時工作而互不影響。這種多線程處理機制同樣適用于2種以上不同類型的數(shù)據(jù)流同時經(jīng)過防火墻的情況，快速提升了搜索引擎的工作效率。4.7.3 應用感控技術(shù)啟明星辰新一代P系列防火墻具有與傳統(tǒng)的基于端口和IP協(xié)議不同的方式進行應用識別的能力，并執(zhí)行訪問控制策略。例如允許用戶使用QQ的文本聊天、文件傳輸功能但不允許進行語音視頻聊天，或者允許使用WebMail收發(fā)郵件但不允許附加文件等。應用識別帶來的額外好處是可以合理優(yōu)化帶寬的使用情況，保證關(guān)鍵業(yè)務的暢通。雖然嚴格意義上來講應用流量優(yōu)化（俗稱應用QoS）不是一個屬于安全范疇的特性，但P2P下載、在線視頻等網(wǎng)絡濫用確實會導致業(yè)務中斷等嚴重安全事件。 圖是網(wǎng)御的4.8 精確細致的WEB過濾技術(shù)天清漢馬USG防火墻系列在內(nèi)容過濾庫的處理上力求收集齊全、分類準確、更新及時。通過采用網(wǎng)站全智能搜索引擎技術(shù)收集互聯(lián)網(wǎng)站點，并進行智能分類、人工核驗的處理手段。目前天清漢馬USG防火墻支持50多種完善的URL類別，分別涉及色情、暴力、賭博、毒品、犯罪、病毒、體育、財經(jīng)、娛樂等網(wǎng)站分類，這50多個URL類別庫總共包含1000萬以上特征網(wǎng)站，具有分類全，覆蓋面廣的特點。另外，由于在互聯(lián)網(wǎng)上每天都有大量新網(wǎng)站出現(xiàn)，啟明星辰通過在線升級的方式，使URL庫中的網(wǎng)站處于持續(xù)的更新狀態(tài)。4.9 完備的關(guān)聯(lián)安全標準啟明星辰具備完備的關(guān)聯(lián)安全標準即（CSC: Correlative Security Criterion），以“面向業(yè)務的安全架構(gòu)”為技術(shù)理念，以“統(tǒng)一安全，立體防御”為設計目標，參照國際標準，系統(tǒng)地開發(fā)了安全管理協(xié)議、安全聯(lián)動協(xié)議、安全審計協(xié)議等協(xié)議族，構(gòu)成了完備的關(guān)聯(lián)安全標準。天清漢馬USG防火墻系列全面支持CSC標準，一方面可以保證安全管理中心可以通過安全管理協(xié)議全面掌控防火墻的運行，另一方面通過統(tǒng)一的事件格式、事件等級、發(fā)送協(xié)議，使安全審計中心只要遵從安全審計協(xié)議即可以對防火墻的安全事件進行集中、可視化審計。同時，天清漢馬USG防火墻遵從安全聯(lián)動協(xié)議，可以使主機安全軟件，入侵檢測等系統(tǒng)以防火墻為核心構(gòu)建深度安全防御體系，使網(wǎng)絡安全從獨立、單一防護的安全產(chǎn)品保護發(fā)展為立體、全面、動態(tài)的防護。4.10 非法連接過濾技術(shù)將系統(tǒng)獲取的網(wǎng)絡數(shù)據(jù)按標準的以太數(shù)據(jù)結(jié)構(gòu)、IP數(shù)據(jù)結(jié)構(gòu)、TCP/UDP數(shù)據(jù)結(jié)構(gòu)，并進行TCP的會話查找，每條會話相對應源和目的MAC地址、源和目的IP地址、源和目的端口地址、連接次數(shù)等。將上述所獲的網(wǎng)絡連接信息放入網(wǎng)絡連接知識庫中，該緩沖區(qū)按照索引標識、源和目的地址進行合并存放，即相同的源和目的地址將該連接的發(fā)生次數(shù)進行累計計算。當某一連接被釋放，主動要求釋放連接的一端發(fā)送TCP FIN數(shù)據(jù)包，監(jiān)視整個連接的釋放過程，如釋放正常完成，在知識庫中找到相對應的TCP會話，將連接發(fā)生的次數(shù)減1。這樣可以始終保證知識庫中存放的是發(fā)生頻率最高的連接。該算法會以1秒鐘為單位時間，進行流量的統(tǒng)計，如果上1秒鐘的流量大于事先約定的閥值，那么立即進入流量識別模式，如果連接請求可以在知識庫搜索到，則直接放行，并記錄放行的數(shù)據(jù)包數(shù)，否則以上1秒鐘的流量作為樣本，計算放行的概率。作為拒絕服務攻擊的主要手段SYN Flood攻擊效果尤為顯著，通常SYN Flood的防范方式為應用SYN Cookie機制。它的原理是:在TCP服務器收到TCP SYN包時，不分配一個專門的數(shù)據(jù)區(qū)，而是根據(jù)這個SYN包計算出一個cookie值，并加載在所回應的SYN/ACK包中，在收到TCP ACK包時，TCP服務器在根據(jù)那個cookie值檢查這個TCP ACK包的合法性。如果合法，再分配專門的數(shù)據(jù)區(qū)進行處理未來的TCP連接。4.11 IPv6包狀態(tài)過濾技術(shù)雖然IPv6在網(wǎng)絡廠商應用較為廣泛，但在安全廠商中，支持IPv6的網(wǎng)絡安全產(chǎn)品（如防火墻、UTM、IPS等）還是較少，啟明星辰支持IPv6功能包括：IPv6環(huán)境下的狀態(tài)包過濾、靜態(tài)路由、OSPF動態(tài)路由、FTP、ALG等基本安全控制，以及IPv6/v4 雙協(xié)議棧功能；設備在同一信息安全網(wǎng)絡中同時支持 IPv4 和IPv6協(xié)議的安全控制日漸得到關(guān)注。5 產(chǎn)品特點5.1 智能聯(lián)動，協(xié)同防御天清漢馬USG防火墻通過與已部署的防病毒網(wǎng)關(guān)、IPS、UTM等設備聯(lián)合抓取病毒源、攻擊檢測源和掛馬網(wǎng)站URL等特征，匯集至云防御服務器定時收納合并，云防御服務器動態(tài)更新病毒庫、攻擊特征庫、掛馬庫等并同步到所有啟明星辰安全網(wǎng)關(guān)設備中，使其他設備具有防病毒、IPS、防掛馬等功能，同時使其具備更高的處理性能，共同形成整體可信架構(gòu)云防御體系。圖是網(wǎng)御的5.2 一鍵式配置，便捷定義安全級別專為減輕用戶管理負擔考慮的一鍵式配置，實現(xiàn)復雜設備的簡單管理，降低用戶的管理成本。高高安全等級：可定義嚴格的安全策略，如： 只開通業(yè)務系統(tǒng) 中中安全等級：可定義較嚴格的安全策略，如： 放寬至WEB和Email低低安全等級：可定義寬松的安全策略，如：僅對病毒進行過濾5.3 全開啟性能，高效應用防護下一代防火墻的全開啟應用性能是指同時開啟入侵防御和防病毒等主要安全模塊后的性能表現(xiàn)，所以想要突破下一代防火墻產(chǎn)品的應用性能瓶頸就必須從優(yōu)化入侵檢測引擎和防病毒引擎兩部分入手。星辰具有業(yè)界領(lǐng)先的入侵檢測引擎和防病毒引擎，同時采用ASIC硬件架構(gòu)，使得USG防火墻應用功能都打開整體性能下降小于30%。6 天清漢馬USG防火墻產(chǎn)品主要功能網(wǎng)絡適應性接入模式支持透明、路由、混合三種工作模式支持DHCP Client、DHCP Relay、DHCP Server支持多透明橋，支持端口聚合支持PPPoE接入，并具備自動斷線重連技術(shù)，支持多路ADSL撥號，充分利用網(wǎng)絡資源，整合帶寬路由支持靜態(tài)路由，動態(tài)路由，VLAN間路由，單臂路由，組播路由等支持基于源/目的地址、接口、Metric、服務的策略路由支持200個以上的路由表、30000個以上的路由策略選擇ISP智能選路內(nèi)置ISP地址列表，可輕松完成基于ISP的策略路由NAT支持雙向NAT、動態(tài)地址轉(zhuǎn)換和靜態(tài)地址轉(zhuǎn)換，并支持多對一、一對多和一對一等多種方式的地址轉(zhuǎn)換IPV6網(wǎng)絡支持IPV6穿越，可輕松適應電信IPV6及大學實驗室IPV6環(huán)境VLAN支持802.1Q和ISL VLAN封裝協(xié)議，支持兩種封裝的互換以及Vlan Trunk帶寬管理基于IP地址、服務、網(wǎng)口、時間等定義帶寬分配策略支持最小保證帶寬和最大限制帶寬，支持分層的帶寬管理動態(tài)協(xié)議各種工作模式下均支持H.323（H.323 GK）、SIP、FTP、MMS、RTSP、XDMCP、TNS等多種動態(tài)協(xié)議服務器負載均衡支持多臺服務器負載均衡，并且支持服務器健康檢查機制支持輪詢、加權(quán)值、最小連接、源/目的地址Hash、局部性最少鏈接等算法訪問控制狀態(tài)檢測基于源/目的IP地址、MAC地址、域名、端口或協(xié)議、服務、網(wǎng)口、時間、用戶的訪問控制基于源/目的IP地址、端口、服務、網(wǎng)口、時間、應用等安全策略的帶寬控制可基于時間和安全域進行安全隔離，同一時間內(nèi)網(wǎng)主機只能訪問DMZ區(qū)或者只能訪問外網(wǎng)透明代理實現(xiàn)基于策略的 、FTP、TELNET、SMTP、POP3等透明代理和深度過濾IP/MAC綁定實現(xiàn)IP/MAC地址綁定，且支持IP/MAC地址對的自動探測和唯一性檢查用戶認證支持基于客戶端的本地認證、無客戶端軟件的WEB認證，并支持Radius等第三方認證內(nèi)置動態(tài)令牌認證服務器，支持基于動態(tài)令牌的雙因子認證VPNIPSec VPN支持標準IPSec協(xié)議，能夠與CISCO、NETSCREEN等知名廠商的VPN設備互聯(lián)互通支持預共享密鑰、證書等認證方式且支持動態(tài)口令等擴展認證支持多出口VPN，且支持NAT穿越支持隧道接力，并可通過隧道接力實現(xiàn)分級的樹狀VPN結(jié)構(gòu)部署GRE/PPTP/L2TP支持GRE、PPTP 、L2TP等VPN連接SSL VPN包含10個免費并發(fā)用戶許可支持壓縮，緩存、協(xié)議優(yōu)化等應用加速技術(shù),提高訪問速度支持用戶終端安全檢查，及基于檢測結(jié)果的訪問控制支持用戶賬號與終端特征綁定。支持動態(tài)分配虛擬IP，支持虛擬IP與口令用戶或證書用戶進行綁定。C/S應用支持，支持TCP/IP協(xié)議的應用，包括： ，Email，F(xiàn)tp，Notes，Outlook，Oracle, SQL等應用；支持基于USBKey的證書認證，實現(xiàn)對遠程接入用戶的身份鑒別，并可根據(jù)用戶類型和分組進行授權(quán)支持個性門戶（portal）定制化處理，可替換圖片、文字等入侵防護入侵檢測技術(shù)具有自主知識產(chǎn)權(quán)的檢測引擎，具備基于協(xié)議異常、會話狀態(tài)和七層應用行為等的攻擊識別功能。特征規(guī)則內(nèi)置IPS特征庫，特征規(guī)則數(shù)量超過2,500條，并可自定義入侵攻擊和應用軟件的特征。協(xié)議分析支持對 、SMTP、POP3、FTP、Telnet、VLAN、MPLS、ARP、TCP、UDP、RPC、GRE等多種協(xié)議的分析防護攻擊類型支持對DoS/DDoS、病毒、蠕蟲、木馬、間諜軟件、廣告軟件、可疑代碼、端口掃描、非法連接、SQL注入、XSS跨站腳本等多種攻擊的防護；抗ARP攻擊設備主動防護ARP攻擊，通過發(fā)送頻率有效定位ARP攻擊源抗CC攻擊有效防護CC各種攻擊方式，如直接攻擊，代理攻擊，僵尸網(wǎng)絡攻擊連接管理支持同一主機源會話、目的會話的分別管理支持動態(tài)學習，支持動態(tài)協(xié)議數(shù)據(jù)會話的區(qū)分管理支持連接排行榜響應方式支持丟棄封包、切斷會話、限制帶寬、實時報警、記錄日志、郵件報警、聲音報警等多種響應方式；虛擬IPS支持基于地址、服務等對象的邏輯虛擬IPS和基于物理端口的物理虛擬IPS。防病毒協(xié)議支持 ,SMTP,FTP,PO3P,IMAP等多種協(xié)議下病毒防護，支持自定義非標準端口的 ,SMTP,FTP,POP3,IMAP協(xié)議中的病毒檢測模式支持路由、透明、混合等各種工作模式下的網(wǎng)絡病毒檢測，支持無IP地址的透明橋下的網(wǎng)絡病毒檢測模式，支持VPN 模式下的病毒掃描支持快速掃描、全面掃描病毒庫采用國內(nèi)知名病毒廠商特征庫，可檢測不少于30萬種病毒，支持根據(jù)用戶需求自定義病毒特征策略支持根據(jù)不同的源IP地址、目的IP地址、服務、時間、接口、用戶等，采用不同的病毒防御策略病毒防護模板系統(tǒng)支持3種病毒防護模板，支持自定義病毒防護模板壓縮文件支持tar、gzip、rar、zip等壓縮格式的病毒掃描斷點續(xù)傳FTP使用斷點續(xù)傳工具傳輸時，支持病毒檢查其他防病毒支持過濾郵件病毒、文件病毒、惡意網(wǎng)頁代碼、木馬后門、蠕蟲等多種類型的病毒支持對當前主流的蠕蟲做檢測與阻斷，例如： RedCode、Slammer、sober等。響應方式支持基于病毒防護規(guī)則設置阻斷、清除、記錄日志，發(fā)送電子郵件報警等。應用監(jiān)控支持協(xié)議支持 、SMTP、FTP，還支持POP3等多種應用協(xié)議的分析識別和控制。支持協(xié)議命令進行識別和控制，支持針對關(guān)鍵字、附件文件名、惡意JavaScript代碼等信息進行細粒度控制P2P控制識別和控制迅雷、BT、eDonkey、eMule等常見P2P下載軟件識別和控制PPLive、QQLive、PPStream等常見P2P視頻播放軟件IM控制識別和控制QQ、MSN等常用IM軟件，阻斷IM軟件機密文件傳輸網(wǎng)絡游戲識別和控制魔獸、CS、征途、聯(lián)眾、天堂、夢幻西游、仙劍情緣、熱血江湖、勁舞團、誅仙、浩方、泡泡堂等多種在線游戲軟件炒股軟件識別和控制大智慧、同花順、國泰君安、證券之星、廣發(fā)證券、指南針、通達信、股票之星、華安證券、和訊報道、錢龍等多種炒股軟件網(wǎng)頁分類支持52類1700多萬種URL分類庫的訪問控制，可以對色情、反動等多種負面網(wǎng)站按類別進行選擇控制反垃圾郵件支持協(xié)議支持SMTP, POP協(xié)議下的垃圾郵件檢測，支持禁止郵件Open Relay功能支持郵件服務器地址黑名單、發(fā)件人關(guān)鍵字、主題關(guān)鍵字等要素的垃圾郵件過濾功能，能阻斷垃圾郵件源響應方式支持設置中斷連接、記錄日志，在郵件中標示垃圾郵件等動作虛擬防火墻劃分虛擬系統(tǒng)可將一臺物理設備，劃分為多個虛擬防火墻系統(tǒng)網(wǎng)口獨享與共享模式采用獨享和共享網(wǎng)口模式，最大化復用防火墻資源獨立資源可擁有獨立的系統(tǒng)資源、管理員、安全策略、用戶認證數(shù)據(jù)庫等漏洞掃描內(nèi)網(wǎng)主機漏洞掃描后門、服務探測、文件共享、系統(tǒng)補丁、IE漏洞等主動式掃描主動防御惡意站點防護通過對訪問目標URL過濾的方式，阻止對含木馬網(wǎng)/病毒網(wǎng)站、釣魚網(wǎng)站、僵尸網(wǎng)絡的訪問，要求內(nèi)置惡意URL地址庫，提供相關(guān)解決方案說明關(guān)聯(lián)安全應用關(guān)聯(lián)安全支持關(guān)聯(lián)安全標準(CSC)可與終端管理系統(tǒng)協(xié)同工作，實現(xiàn)對終端的網(wǎng)絡準入認證控制，提供協(xié)同工作原理管理配置系統(tǒng)管理支持友好的Web圖形界面配置，支持遠程SSH和串口命令行配置支持數(shù)字證書和電子鑰匙兩種管理員認證方式，支持管理員權(quán)限分級支持SNMP管理，與當前通用的網(wǎng)絡管理平臺兼容可進行配置文件的備份、下載、恢復和上傳，可導出可讀的配置文件并進行打印存檔系統(tǒng)監(jiān)控支持對CPU、內(nèi)存、磁盤、網(wǎng)口、用戶在線狀態(tài)、連接數(shù)、路由表等信息的監(jiān)控日志報警支持設備內(nèi)存儲和專用事件分析服務器兩種日志管理方式支持分級報警，支持SNMP Trap和郵件等報警方式集中管理可通過專用的集中管理系統(tǒng)實現(xiàn)對安全網(wǎng)關(guān)的集中設備監(jiān)控、集中日志審計、安全報警以及策略的分發(fā)等功能可通過專用的集中管理系統(tǒng)，實現(xiàn)對網(wǎng)絡拓撲的管理，基于域的權(quán)限分配和報表自動生成可提供專用的軟件實現(xiàn)對安全網(wǎng)關(guān)接入用戶認證的集中管理，至少可同時管理2048臺防火墻支持策略的集中制定、修改與統(tǒng)一配發(fā)，提供分級的策略管理功能一鍵式管理支持一鍵式網(wǎng)關(guān)策略配置和分級保護，具有易用、智能的管理配置方式，提供外置按鍵的配置的方式，每個按鍵均對應一個已預設的策略模板，即使非專業(yè)的管理員，也可以方便的進行配置管理；支持安全等級保護的快捷配置方式高可用性負載均衡支持基于VRRP技術(shù)的熱備和負載均衡支持多重冗余協(xié)議(MRP)，實現(xiàn)鏈路備份、端口備份、熱備份、集群備份等支持防火墻多WAN口備份和負載均衡支持基于802.3ad標準的多端口聚合，實現(xiàn)零成本擴展帶寬通過狀態(tài)同步技術(shù)實現(xiàn)232臺防火墻的多機集群雙機熱備在NAT、路由、透明模式下支持A-A,A-S模式，且切換時間小于1秒可在熱備和集群工作模式下支持多臺防火墻的配置自動同步升級周期病毒庫支持病毒特征升級服務，日常病毒特征升級周期小于3天，緊急病毒特征升級周期小于2天入侵庫入侵防御特征升級服務周期小于3天升級方式支持靈活的升級方式，提供遠程升級服務，支持包括主動、被動、定時、本地4種升級類型，定時升級服務支持按周，日，小時3類，支持用戶自定義升級服務器 7 典型組網(wǎng)7.1 政府行業(yè)7.1.1 電子政務網(wǎng)電子政務網(wǎng)是各級政府為了加強信息化建設，通過互聯(lián)網(wǎng)或者租用專線的方式把下屬委、辦、局以及下一級政府單位的局域網(wǎng)進行互聯(lián)的網(wǎng)絡。不同地區(qū)電子政務網(wǎng)在組網(wǎng)模式和建設思路上存在一定的差異化，但總體的網(wǎng)絡結(jié)構(gòu)如下：圖4. 電子政務網(wǎng)總體結(jié)構(gòu)圖電子政務網(wǎng)分為內(nèi)網(wǎng)和外網(wǎng)。天清漢馬USG防火墻部署在各單位與外單位互聯(lián)的出口，防止來自其他單位的入侵攻擊等威脅，同時對電子政務內(nèi)網(wǎng)用戶相互間訪問進行控制與日志審計，可有效檢測和控制內(nèi)部員工越權(quán)行為，并向管理員發(fā)出告警。電子政務外網(wǎng)在建設模型上與內(nèi)網(wǎng)相似，多數(shù)也是采用專線或裸光纖的方式建網(wǎng)，外網(wǎng)與Internet邏輯隔離。天清漢馬USG防火墻部署在各單位與互聯(lián)網(wǎng)的出口，用于防止來自互聯(lián)網(wǎng)的入侵威脅，并且可以作為邊緣接入路由器部署。天清漢馬USG提供統(tǒng)一管理平臺，可以通過信息中心統(tǒng)一管理全網(wǎng)的USG防火墻設備，并提供詳盡直觀的報表，能夠讓管理員迅速了解到整個網(wǎng)絡的存在的安全風險和趨勢，為決定如何制定安全策略提供依據(jù)。7.1.2 政府專網(wǎng)政府專網(wǎng)是各部委與下屬單位信息互聯(lián)的網(wǎng)絡。政府專網(wǎng)全部采用專線或裸光纖的方式構(gòu)建。專網(wǎng)的安全系統(tǒng)一般采用下級信任上級的方式來建設，即只需要考慮上級單位對下級單位訪問的安全防護。專網(wǎng)系統(tǒng)一般來說，只在一級單位設互聯(lián)網(wǎng)出口，各下屬單位的互聯(lián)網(wǎng)訪問都從總部出口。在互聯(lián)網(wǎng)出口部署USG防火墻設備能夠?qū)λ袕幕ヂ?lián)網(wǎng)的進出的流量進行過濾，防止來之互聯(lián)網(wǎng)的入侵，并且對專網(wǎng)內(nèi)用戶訪問互聯(lián)網(wǎng)的內(nèi)容進行過濾和審計。在每個政府單位和下級單位的接口部署USG防火墻設備，可以有效防范來自下級單位的越權(quán)訪問和惡意攻擊。天清漢馬同時可以作為邊緣路由器接入網(wǎng)絡。天清漢馬USG防火墻提供統(tǒng)一管理平臺，可以通過信息中心統(tǒng)一管理全網(wǎng)的USG防火墻設備，并提供詳盡直觀的報表，能夠讓管理員迅速了解到整個網(wǎng)絡的存在的安全風險和趨勢，為決定如何制定安全策略提供依據(jù)。圖5. 政府專網(wǎng)結(jié)構(gòu)示意圖7.2 教育行業(yè)7.2.1 高教校園網(wǎng)高校校園網(wǎng)出口一般會和多個ISP互聯(lián)，同時和CERNET互聯(lián)。USG防火墻設備部署在高校網(wǎng)絡出口，可以抵御來自互聯(lián)網(wǎng)的威脅，保護DMZ區(qū)服務器免受攻擊，以及學生對學校重要服務器的攻擊。同時，開啟策略路由功能，網(wǎng)絡流量進行分流處理。對于高校出口帶寬占用率一直高居不下是一直困擾網(wǎng)管人員的問題，天清漢馬USG防火墻可以提供完整的帶寬管理解決方案。天清漢馬USG防火墻通過Netflow功能對網(wǎng)絡出口的流量進行統(tǒng)計，分析帶寬使用趨勢，同時對帶寬占用較大的P2P流量進行限制和封鎖，讓校園網(wǎng)出口的帶寬得到充分的利用。 對于校園網(wǎng)內(nèi)的各學生宿舍、圖書館、教學樓等單位，與學校網(wǎng)絡中心的接口通過透明模式接入天清漢馬USG防火墻，同時開啟網(wǎng)頁內(nèi)容過濾功能，防止學生訪問不良網(wǎng)站。圖6. 高教校園網(wǎng)結(jié)構(gòu)示意圖7.2.2 中/基教教育城域網(wǎng)中基市場中，連接Internet通常有兩種方式，一種為通過ISP與 Internet直接連接，另外一種為通過教育城域網(wǎng)與Internet統(tǒng)一連接。對于前者，學校通常在網(wǎng)絡出口處部署一臺USG防火墻設備，防御來自互聯(lián)網(wǎng)的攻擊，同時開啟Web內(nèi)容過濾功能，防止學生利用利用網(wǎng)絡瀏覽不良網(wǎng)站。對于后者，只需要在地區(qū)教委的Internet出口部署USG防火墻設備既可以防御來自互聯(lián)網(wǎng)的威脅，又可以做到對所轄區(qū)域?qū)W校訪問互聯(lián)網(wǎng)的流量進行統(tǒng)一管理，統(tǒng)一過濾各學校訪問不良網(wǎng)站的流量。圖7. 中/基教校園網(wǎng)結(jié)構(gòu)示意圖7.3 企業(yè)市場7.3.1 中小企業(yè)在全國范圍內(nèi)擁有分支機構(gòu)的中小企業(yè)網(wǎng)絡，大都通過互聯(lián)網(wǎng)來實現(xiàn)總部與分支機構(gòu)的互聯(lián)互通。圖8. 中小企業(yè)網(wǎng)絡結(jié)構(gòu)示意圖部署USG防火墻設備讓中小企業(yè)用戶可以在一個統(tǒng)一的架構(gòu)上建立自己的安全基礎設施，而以往困擾用戶的安全產(chǎn)品協(xié)調(diào)性、資金和技術(shù)匱乏和缺乏中小企業(yè)級安全解決方案等問題也能夠得到完全解決。USG防火墻設備產(chǎn)品部署在總部和分支機構(gòu)網(wǎng)絡Internet出口，抵御來自互聯(lián)網(wǎng)攻擊威脅。同時可作為VPN網(wǎng)關(guān)，各分支機構(gòu)與總部之間開啟VPN隧道，保證相互間通信的保密性。SOHO員工和在外出差的員工可以在任何時候通過VPN客戶端與總部的天清漢馬USG防火墻建立VPN隧道，訪問公司內(nèi)部的資源，實現(xiàn)高效安全的網(wǎng)絡應用。7.3.2 大型企業(yè)對于大型企業(yè)，網(wǎng)絡規(guī)模較大、用戶數(shù)量多、業(yè)務系統(tǒng)較多，網(wǎng)絡建設類似于城域網(wǎng)。在安全建設方面也存在多點建設，除去在集團總部的互聯(lián)網(wǎng)出口需要安全防控外，各下屬單位也有安全防護需求。圖9. 大型企業(yè)網(wǎng)絡結(jié)構(gòu)示意圖在總部互聯(lián)網(wǎng)出口部署的天清漢馬USG防火墻能夠抵御來自互聯(lián)網(wǎng)的入侵攻擊，同時為出差員工提供VPN接入，確保通信的保密性。在各單位出口部署USG防火墻設備，可以有效控制不同部門之間的越權(quán)訪問。天清漢馬USG防火墻提供統(tǒng)一管理平臺，可以通過信息中心統(tǒng)一管理全網(wǎng)的USG防火墻設備，并提供詳盡直觀的報表，能夠讓管理員迅速了解到整個網(wǎng)絡的存在的安全風險和趨勢，為決定如何制定安全策略提供依據(jù)。