網御防火墻 Power V6000-F2510E

| 需求分析

防火墻作為網絡安全體系中重要的一環(huán)，承載著最基礎、最重要的安全職責。作為網絡防護的第一道防線，針對防火墻的要求也越來越高。包過濾、狀態(tài)檢測等基礎技術已經不能滿足現(xiàn)有網絡安全需求。隨著檢測與阻斷傳輸攻擊特征/病毒特征、阻止敏感數(shù)據(jù)泄露、阻止暴力破解、針對應用進行管控、多體系聯(lián)動等網絡威脅防護概念的提出，防火墻也需要與時俱進，才能應對這些網絡威脅。另外，隨著大數(shù)據(jù)、私有云的使用日益廣泛，云環(huán)境下數(shù)據(jù)傳輸如何防護，現(xiàn)有防護方式能否滿足要求也成為防火墻必須考慮的因素。

| 產品簡介

網御防火墻是網御自主研發(fā)的核心產品。1999年聯(lián)想研究院設計并開發(fā)完成第一代防火墻產品。網御防火墻產品歷經簡單包過濾防火墻、狀態(tài)包過濾防火墻、深度內容過濾和完全內容檢測防火墻等發(fā)展階段，并集成了防火墻、VPN、入侵檢測與防御、防病毒、上網行為管理、核心資產管控、防爆力破解、敏感信息防泄漏、高級流量清洗、工業(yè)控制協(xié)議防護、輿情監(jiān)控、防注入攻擊等眾多功能。目前已廣泛應用在稅務、公安、政府、部委、能源、交通、軍隊、電信、金融、企業(yè)等各行業(yè)，并為其網絡和應用提供安全保障。

| 核心功能

● 網絡適應性

支持透明模式、路由模式、混合模式并支持多種透明代理模式，可適應不同網絡環(huán)境。支持RIP、OSPF等動態(tài)路由、組播路由；支持IPv6/IPv4雙棧運行；

集中管控：通過集中管理中心實現(xiàn)對多臺設備的統(tǒng)一管理、實時監(jiān)控、集中升級和拓撲展示。通過集中管理軟件，可收集不同防火墻日志信息，形成日志統(tǒng)計信息。并根據(jù)網絡攻擊變化態(tài)勢形成策略聯(lián)動，及時通過防火墻進行攻擊阻斷；

抗DDOS：Syn Flood，Ping Flood，Udp Flood，Teardrop，Sweep，Land，Ping of Death， Smurf，碎片攻擊、WINNUKE，圣誕樹攻擊等；支持DNS重傳檢測、支持HTTP GET報文源IP限速閾值；

多系統(tǒng)聯(lián)動：支持ISM桌面管理系統(tǒng)聯(lián)動，當桌面終端用戶通過ISM聯(lián)動服務器核查后，方可訪問外部網絡。當終端核查失敗后，防火墻會自動封堵核查失敗用戶。支持IDS系統(tǒng)聯(lián)動，當IDS識別到網絡攻擊后，會同步攻擊源IP給防火墻，防火墻可以及時阻斷攻擊來源；

防爆力破解：支持針對FTP，SMTP，POP3，IMAP，TELNET，TDS，NNTP，RLOGIN協(xié)議的暴力破解防護。

全球資源定義：支持將各國家和地區(qū)定義為地址對象，便于統(tǒng)一管理。默認具備中國大陸地區(qū)地址，便于阻止非中國大陸地區(qū)訪問；

敏感信息防泄漏：針對眾多的泄密事件，數(shù)據(jù)防泄密功能應需而生，防火墻作為出口設備，可以成為數(shù)據(jù)逃逸出網前的最后一道屏障。網御防火墻支持針對數(shù)據(jù)的敏感識別，當發(fā)現(xiàn)進出網絡設備中保護敏感數(shù)據(jù)（銀行卡、電話號碼等）時，可根據(jù)預置條件將數(shù)據(jù)阻斷并記錄日志；

上網行為管理：支持對DHCP、PPTP、SNMP、NTP、Syslog、RTSP、DSN、FTP、POP3、SMTP、NetBios、Socks等30種進行協(xié)議控制，并且支持SQL Server、MySQL、Oracle、DB2、Sybase、PostgreSQL、MongoDB等7種數(shù)據(jù)庫識別和操作管控，避免被遠程入侵數(shù)據(jù)庫；具有與傳統(tǒng)的基于端口和IP協(xié)議不同的方式進行應用識別的能力，并執(zhí)行訪問控制策略。結合帶寬管理功能，可為不同應用配置不同帶寬。支持工業(yè)控制協(xié)議識別和協(xié)議一致性校驗，可有效保護工業(yè)控制系統(tǒng)。

● HA功能

雙機熱備（主動-被動模式）：集群中所有節(jié)點的任意對應的業(yè)務網口IP和MAC地址都分別相同。其中一臺安全網關（優(yōu)先級=1）為主節(jié)點，處于主動工作中，負責處理所有的網絡數(shù)據(jù)流以及整個集群的控管；其它安全網關節(jié)點為從節(jié)點，處于熱備中，不處理網絡數(shù)據(jù)（但處理主節(jié)點廣播發(fā)出的同步狀態(tài)表信號）。一旦主節(jié)點發(fā)生故障，優(yōu)先級次之的從節(jié)點升為主節(jié)點，接管原來主節(jié)點的工作，保證網絡正常通信。

● 訪問控制

提供基于狀態(tài)檢查的動態(tài)包過濾。包過濾規(guī)則決定了特定的網絡包能否通過安全網關，同時它也提供相關的選項以保護網絡免受攻擊。安全策略的基本要素是匹配條件和動作。匹配條件包括源地址，目的地址，服務，流入安全域，流出安全域，時間范圍等。此外，還支持認證用戶/用戶組，協(xié)議控制等防護策略和流量控制策略的配置。策略的動作有：允許，禁止和郵件延遲審計。以此實現(xiàn)對經過設備的數(shù)據(jù)流進行有效的管理和控制。

支持入侵防護，應用識別和防病毒特征庫升級，每一接入鏈路部署相對獨立可配置的安全邊界實現(xiàn)訪問控制，端口攔截，入侵防護，惡意代碼防護和日志記錄等功能。

支持虛擬防火墻功能：支持虛擬防火墻的創(chuàng)建、啟動、關閉、刪除功能；虛擬防火墻可獨立管理，獨立保存配置；虛擬防火墻具備獨立會話管理、NAT、路由等功能。

| 產品優(yōu)勢

● 智能的VSP通用安全平臺

網御防火墻采用創(chuàng)新的VSP（Versatile Security Platform）通用安全平臺，將實時操作系統(tǒng)、網絡處理、安全應用等技術完美地結合在一起，使防火墻產品具備了高智能、高性能、高安全性、高健壯性、 高擴展性等特點。

VSP面向網絡吞吐和安全處理，采用基于組件的多平面架構，整個系統(tǒng)分為控制平面、數(shù)據(jù)平面、系統(tǒng)服務平面和硬件抽象平面，通過控制平面和數(shù)據(jù)平面的分離，不同于Linux，F(xiàn)reeBSD等通用操作系統(tǒng)追求均衡的方向，集中主要資源于網絡吞吐和安全處理，使系統(tǒng)具有極強的實時性和網絡吞吐能力。

由于系統(tǒng)功能與資源管理分別工作在不同的平面，各平面和模塊之間共同遵循標準接口函數(shù)，系統(tǒng)具有高度靈活性和可擴展性。

通過將硬件驅動與資源管理獨立為一個單獨的硬件抽象平面模塊，對上層軟件提供統(tǒng)一調用接口，對下層硬件統(tǒng)一定義驅動標準，適應多種不同規(guī)格的硬件架構，實現(xiàn)與多種專用芯片的無縫融合，可充分利用從IXP，PowerPC到NP、多核多線程CPU、內容加速芯片等各種先進硬件平臺的優(yōu)勢，使網御防火墻在性能完善。

● 高效的USE統(tǒng)一安全引擎

網御防火墻具有高效的USE（Uniform Security Engine）統(tǒng)一安全引擎。它將狀態(tài)包過濾、VPN、IDS、內容過濾、用戶認證等多個子系統(tǒng)集成于單一平臺，構造統(tǒng)一架構，綜合并優(yōu)化各子系統(tǒng)，去除冗余，簡化數(shù)據(jù)處理流程，實現(xiàn)統(tǒng)一的安全引擎處理機制。

統(tǒng)一安全引擎克服了傳統(tǒng)上各個安全引擎獨自為戰(zhàn)的缺點，通過高效的引擎集成技術，將各個安全功能有機地整合為一體，狀態(tài)檢測、協(xié)議分析機、深度過濾、內容檢測等引擎協(xié)同工作，對于監(jiān)測的數(shù)據(jù)包，一次性拆包即可完成2-7層的檢測，基于摘要索引的內容處理加速算法，有效地提高了引擎的處理效率。

USE通過多協(xié)議融合分析技術和事件關聯(lián)再分析技術，綜合內容實體，時間因素，提高了安全事件的檢測率。

USE采用標準化技術，對內提供統(tǒng)一服務接口，使安全功能易于擴展，充分滿足安全需求的快速發(fā)展；對外實現(xiàn)安全策略的統(tǒng)一配置，給用戶帶來可管理的等級化安全。

● 防火墻虛擬化：

在多租戶環(huán)境下，每個用戶都希望自己獨立管理防火墻設備，和其他用戶互不干擾。網御防火墻支持虛擬化防火墻功能，可部署于網絡出口，劃分出多個虛擬防火墻。每個防火墻都可以獨立占用計算資源（CPU、內存、網卡），每個防火墻都可保留獨立的路由、策略、資源配置、日志服務。在其他用戶啟停自己的防火墻時，不影響此防火墻正常使用。

● 完備的關聯(lián)處理機制

網御防火墻可以同SOC系統(tǒng)、IDS系統(tǒng)、漏洞掃描系統(tǒng)、桌面管理軟件等多種安全設備聯(lián)動。當SOC系統(tǒng)、IDS系統(tǒng)、桌面管理系統(tǒng)檢測到異常事件發(fā)生后，聯(lián)動機制將被觸發(fā)。防火墻可根據(jù)聯(lián)動設備發(fā)送的安全信息，進行同步阻斷。避免信息進一步泄露。網御防火墻可結合其他網絡安全設備，層層設防，多層聯(lián)動，形成多層次立體防護體系。

● 高可靠的MRP多重冗余協(xié)議

基于網御擁有的高可靠技術，利用電信骨干網可靠性運營維護專業(yè)經驗，網御防火墻通過自有的MRP多重冗余協(xié)議，在物理層、鏈路層、網絡層、實體層等多個層面實現(xiàn)多元化冗余設計，有效地保障網御防火墻在用戶網絡應用中的高可用性。

基于多出口負載均衡的鏈路備份。鏈路層支持多WAN口出口，實現(xiàn)多出口間的負載均衡和備份，任何一條鏈路的故障癱瘓不會影響網絡的正常運行。

基于802.3ad標準的端口聚合。物理端口支持802.3ad標準，可實現(xiàn)多物理端口聚合，幫助用戶做到“零投資”帶寬倍增。

基于狀態(tài)自動探測的雙機熱備。當主系統(tǒng)發(fā)生故障或對應線路的網絡故障時，備份機可自動檢測并切換到主狀態(tài)，接管主系統(tǒng)的工作，切換時間小于1秒鐘。

基于狀態(tài)增量同步的多機集群。支持主動負載均衡、會話保護和接管以及主動配置同步等功能，尤其是采用國內首創(chuàng)的“狀態(tài)增量同步技術”解決多臺防火墻之間的狀態(tài)一致性問題，實現(xiàn)了業(yè)務在多臺防火墻之間的平滑任意分布和切換，解決了采用VRRP協(xié)議和動態(tài)路由協(xié)議帶來的“業(yè)務續(xù)斷問題”，最多可以支持高達8臺的防火墻集群。

| 典型應用

某教育系統(tǒng)網絡中，設計有DMZ區(qū)的大量服務器（包括視頻、課件、文件、材料服務器），各學校用戶通過教育網鏈路訪問DMZ區(qū)的資源。部分上網流量通過防火墻直接接入互聯(lián)網。網絡要求內網到DMZ區(qū)的訪問必須低延時、高吞吐，以保證內網用戶在線播放課件的需求。且要求內網用戶訪問互聯(lián)網時必須通過認證，不允許非授權用戶訪問互聯(lián)網。另外在數(shù)據(jù)轉發(fā)過程中需要進行病毒防護、入侵防護、敏感信息識別和阻斷。

網御防火墻通過配置ASIC芯片網卡，使得內網到服務器直接基本實現(xiàn)100%線速轉發(fā)，在線速轉發(fā)的同時，只增加納秒級的時延。網御防火墻的IPS和AV模塊也可識別到內網用戶訪問服務器資源和互聯(lián)網資源過程中，傳輸流量中包含的攻擊流量或者病毒文件。有效降低了內網爆發(fā)大規(guī)模病毒的風險。另外，敏感數(shù)據(jù)防泄漏模塊也有效的阻止了內網用戶在向外傳遞信息中，攜帶的敏感數(shù)據(jù)。阻止了數(shù)據(jù)外泄。

| 規(guī)格描述