產品概述

網御防火墻是網御自主研發的核心產品。1999年聯想研究院設計并開發完成第一代防火墻產品。網御防火墻產品歷經簡單包過濾防火墻、狀態包過濾防火墻、深度內容過濾和完全內容檢測防火墻等發展階段，并集成了防火墻、VPN、入侵檢測與防御、防蠕蟲病毒、上網行為管理、流量整形等眾多功能。目前已廣泛應用在稅務、公安、政府、部委、能源、交通、軍隊、電信、金融、企業等各行業，并為其網絡和應用提供安全保障。

網御防火墻PowerV系列，共計80余款，從大型骨干網絡的安全防護到小型辦公室網絡的安全接入都有相應的防火墻產品。PowerV防火墻基于創新的多核架構，ASIC系列具有強勁的小包處理性能，64字節小包達到40Gbps，即萬兆線速，是國內為數不多的高性能防火墻之一；最新發布的Power V高性能防火墻，整機吞吐達到320Gbps，并發5000萬。PowerV防火墻具備強大的安全功能，是集防火墻、IPSEC VPN、SSL VPN、漏洞掃描、主動防御、入侵檢測與防護系統、防網絡病毒、內容檢測與過濾、上網行為管理、帶寬管理、高可用性等眾多功能于一身的多威脅統一管理的綜合防火墻。PowerV低端產品，基于“免維護、零管理成本”的設計理念，集成防火墻、VPN、主動防御及交換機等功能，具備簡單易用的特點。

網御防火墻產品主要功能

訪問控制

?  基于狀態檢測的動態包過濾

?  支持僅通過一條策略即可對同一主機源會話、目的會話的分別管理和限制，支持設定網段內共享的或者任一地址的并發連接限制

?  支持應用層訪問控制，包括P2P軟件、IM軟件、炒股軟件、網游軟件等

?  基于主機的帶寬管理，支持僅通過一條策略即可實現對指定的IP地址組里每IP用戶進行上下行限速，也可以只對單個IP進行上下行限速

網絡適應性

?  支持透明、路由、混合三種工作模式

?  支持靜態路由，動態路由（OSPF/v3、RIP/RIPng等），VLAN間路由，單臂路由，組播路由等

?  內置ISP地址列表，可輕松完成基于ISP的策略路由

?  支持多出口環境下的復雜策略路由，策略路由條數200條以上

?  服務器負載均衡支持輪詢、加權值、最小連接、源/目的地址Hash等10種算法

IPv6/IPv4雙協議棧

?  支持IPv6地址、地址組配置

?  支持持IPv6安全控制策略設置，能針對IPV6的目的/源地址、目的/源服務端口、服務、擴展頭屬性等條件進行安全訪問規則的設置

?  支持IPv6靜態路由

?  支持IPv6/IPv4翻譯策略技術，包括支持靜態NAT-PT、動態NAT-PT、NAPT-PT技術

?  支持雙棧、6to4隧道實現IPv6網絡與IPv4網絡訪問

網御防火墻產品特點與技術優勢

智能的VSP通用安全平臺

網御防火墻采用創新的VSP（Versatile Security Platform）通用安全平臺，將實時操作系統、網絡處理、安全應用等技術完美地結合在一起，使防火墻產品具備了高智能、高性能、高安全性、高健壯性、 高擴展性等特點。

VSP面向網絡吞吐和安全處理，采用基于組件的多平面架構，整個系統分為控制平面、數據平面、系統服務平面和硬件抽象平面，通過控制平面和數據平面的分離，不同于Linux，FreeBSD等通用操作系統追求均衡的方向，集中主要資源于網絡吞吐和安全處理，使系統具有極強的實時性和網絡吞吐能力。

由于系統功能與資源管理分別工作在不同的平面，各平面和模塊之間共同遵循標準接口函數，系統具有高度靈活性和可擴展性。

通過將硬件驅動與資源管理獨立為一個單獨的硬件抽象平面模塊，對上層軟件提供統一調用接口，對下層硬件統一定義驅動標準，適應多種不同規格的硬件架構，實現與多種專用芯片的無縫融合，可充分利用從IXP，PowerPC到NP、多核多線程CPU、內容加速芯片等各種先進硬件平臺的優勢，使網御防火墻在性能方面一路領先。

高效的USE統一安全引擎

網御防火墻具有高效的USE（Uniform Security Engine）統一安全引擎。它將狀態包過濾、VPN、IDS、內容過濾、用戶認證等多個子系統集成于單一平臺，構造統一架構，綜合并優化各子系統，去除冗余，簡化數據處理流程，實現統一的安全引擎處理機制。

統一安全引擎克服了傳統上各個安全引擎獨自為戰的缺點，通過高效的引擎集成技術，將各個安全功能有機地整合為一體，狀態檢測、協議分析機、深度過濾、內容檢測等引擎協同工作，對于監測的數據包，一次性拆包即可完成2-7層的檢測，有效地提高了引擎的處理效率。

USE通過多協議融合分析技術和事件關聯再分析技術，綜合內容實體，時間因素，提高了安全事件的檢測率。

USE采用標準化技術，對內提供統一服務接口，使安全功能易于擴展，充分滿足安全需求的快速發展；對外實現安全策略的統一配置，給用戶帶來可管理的等級化安全。

高可靠的MRP多重冗余協議

基于網御擁有的高可靠設計專利技術，利用電信骨干網可靠性運營維護專業經驗，網御防火墻通過自有的MRP多重冗余協議，在物理層、鏈路層、網絡層、實體層等多個層面實現多元化冗余設計，有效地保障網御防火墻在用戶網絡應用中的高可用性。

基于多出口負載均衡的鏈路備份

鏈路層支持多WAN口出口，實現多出口間的負載均衡和備份，任何一條鏈路的故障癱瘓不會影響網絡的正常運行。

基于802.3ad標準的端口聚合

物理端口支持802.3ad標準，可實現多物理端口聚合，幫助用戶做到“零投資”帶寬倍增。

基于狀態自動探測的雙機熱備

當主系統發生故障或對應線路的網絡故障時，備份機可自動檢測并切換到主狀態，接管主系統的工作，切換時間小于1秒鐘。

基于狀態增量同步的多機集群

支持主動負載均衡、會話保護和接管以及主動配置同步等功能，尤其是采用國內首創的“狀態增量同步技術”解決多臺防火墻之間的狀態一致性問題，實現了業務在多臺防火墻之間的平滑任意分布和切換，解決了采用VRRP協議和動態路由協議帶來的“業務續斷問題”，最多可以支持高達8臺的防火墻集群。

完備的關聯安全標準

網御具備完備的關聯安全標準即（CSC: Correlative Security Criterion），網御以“面向業務的安全架構”為技術理念，以“統一安全，立體防御”為設計目標，參照國際標準，系統地開發了安全管理協議、安全聯動協議、安全審計協議等協議族，構成了完備的關聯安全標準。

網御防火墻系列全面支持CSC標準，一方面可以保證安全管理中心可以通過安全管理協議全面掌控防火墻的運行，另一方面通過統一的事件格式、事件等級、發送協議，使安全審計中心只要遵從安全審計協議即可以對防火墻的安全事件進行集中、可視化審計。同時，網御防火墻遵從安全聯動協議，可以使主機安全軟件，入侵檢測等系統以防火墻為核心構建深度安全防御體系，使網絡安全從獨立、單一防護的安全產品保護發展為立體、全面、動態的防護。

基于應用的內容識別控制

網御防火墻系列擁有目前最完善的應用識別特征庫，通過智能分析技術，將P2P、IM、炒股軟件和在線游戲等協議的應用行為、加密方式、處理動作等特點整理成庫。當流量經過防火墻時，防火墻啟動過濾引擎，對流量進行特征值的匹配。當過濾引擎搜索到與之匹配的特征碼時，防火墻即可應用智能識別技術進行細粒度控制或一鍵封鎖。

如何快速而準確地識別各種上網行為，是決定防火墻性能的關鍵因素。網御防火墻從如下幾個方面保障內容識別的高速與準確。

智能匹配技術

在特征庫上的設置上，網御防火墻按照所有上網行為的特點進行了分類，并對P2P、IM、炒股以及在線游戲等上網行為設置了不同的特征庫。當數據包到達防火墻時，防火墻首先根據用戶定制策略將其分配到其對應的特征庫管道，如P2P下載行為的流量被輸送到P2P特征庫管道，即時通訊的流量則被輸送到IM特征庫管道。流量被分發到相應的特征庫管道以后，再由相應的搜索引擎對流量進行掃描。這樣既大大減少了搜索引擎檢索的時間，又提高了過濾引擎的性能。

多線程掃描技術

網御防火墻采用多線程掃描技術，提高了引擎掃描的效率。比如當BT數據流和MSN數據流同時進入防火墻時，防火墻內容搜索引擎不是在檢索完BT數據流以后再去檢索MSN數據流，而是可以同時啟動BT搜索引擎和MSN搜索引擎。兩個搜索引擎同時工作而互不影響。這種多線程處理機制同樣適用于2種以上不同類型的數據流同時經過防火墻的情況，快速提升了搜索引擎的工作效率。

應用感控技術

網御新一代防火墻具有與傳統的基于端口和IP協議不同的方式進行應用識別的能力，并執行訪問控制策略。例如允許用戶使用QQ的文本聊天、文件傳輸功能但不允許進行語音視頻聊天，或者允許使用WebMail收發郵件但不允許附加文件等。應用識別帶來的額外好處是可以合理優化帶寬的使用情況，保證關鍵業務的暢通。雖然嚴格意義上來講應用流量優化（俗稱應用QoS）不是一個屬于安全范疇的特性，但P2P下載、在線視頻等網絡濫用確實會導致業務中斷等嚴重安全事件。 

網御防火墻的典型應用

高可靠全鏈路冗余應用環境

電信網絡和許多骨干網絡的可靠性要求很高，不允許出現因為設備的故障造成網絡的不可用，因此在電信網絡和骨干網絡中加入防火墻的時候也必須考慮到這個問題，正常情況下兩臺防火墻均處于工作狀態，可以分別承擔相應鏈路的網絡通訊。當其中一臺防火墻發生意外宕機、網絡故障、硬件故障等情況時，該防火墻的網絡通訊自動切換到另外一臺防火墻，從而保證了網絡的正常使用。下圖為網御防火墻在骨干網絡中應用的例子。

骨干網內網分隔環境

據賽迪(CCID)統計報告，網絡攻擊有70%以上來自于企業內部，因此，保護公司網絡的安全不僅要保護來自互聯網的侵害而且要防止內部的攻擊。

網御防火墻從3個到8個百兆接口可進行模塊化擴展，除了可以用作多DMZ區設置外，還可以將內網進行多重隔離保護。通過防火墻將公司內部不同部門的網絡或關鍵服務器劃分為不同的網段，彼此隔離。這樣不僅保護了企業內部網和關鍵服務器，使其不受來自Internet的攻擊，也保護了各部門網絡和關鍵服務器不受來自企業內部其它部門的網絡的攻擊。內網分隔的另一個目的是：防止問題的擴大。如果有人闖進您的一個部門，或者如果病毒開始蔓延，網段能夠限制造成的損壞進一步擴大。

混合模式接入環境

網御防火墻支持各種接入模式，分別為：透明模式、路由模式和混合模式，并支持各種模式之上的NAT模式。

?  透明工作模式：防火墻工作在透明模式下不影響原有網絡設計和配置，用戶不需要對保護網絡主機屬性進行重新設置，方便了用戶的使用。

?  路由工作模式：防火墻相當于靜態路由器，提供靜態路由功能。

?  混合工作模式：防火墻在透明模式和路由模式同時工作，極大提高網絡應用的靈活性。

下圖為企業的典型應用，需要防火墻支持混合工作模式，而許多防火墻不支持這種接入模式，給企業的應用帶來不便。例如：

某企業內網的地址為保留地址10.10.10.2/24-10.10.10.50/24，企業的對外WWW服務器、MAIL服務器、DNS服務器的內部地址分別為10.10.10.10、10.10.10.101、10.10.10.102，防火墻的內端口地址為10.10.10.1，防火墻外網地址為202.100.100.3

對于服務器和Internet之間防火墻可使用透明方式，內網與服務器或Internet之間可以使用NAT方式，方便靈活部署防火墻。

多出口環境

某省大學現有教職工總數1000多人，在校學生總數10000多人。學校的校園網絡建設比較發達，網絡接口到每一個學生宿舍，因此上網用戶非常多，校園內共有30多個合法的C類地址用于教職工網絡，用1個私有的B類地址用于學生上網。校園共有三個出口——中國教育網、電信網和分校局域網，這時候接入防火墻的時候需要防火墻具有基于規則的路由功能，也就是說：不同主機或者目的地址在防火墻上的網關不同。

網御防火墻具有基于策略的路由功能，可以根據源地址、目標地址等設定不同的路由，從而可以滿足用戶具有多個出口的要求，滿足學校的特定接入情況。