網御防火墻 Power V6000-F3810E
| 需求分析
防火墻作為網絡安全體系中重要的一環,承載著最基礎、最重要的安全職責。作為網絡防護的第一道防線,針對防火墻的要求也越來越高。包過濾、狀態檢測等基礎技術已經不能滿足現有網絡安全需求。隨著檢測與阻斷傳輸攻擊特征/病毒特征、阻止敏感數據泄露、阻止暴力破解、針對應用進行管控、多體系聯動等網絡威脅防護概念的提出,防火墻也需要與時俱進,才能應對這些網絡威脅。另外,隨著大數據、私有云的使用日益廣泛,云環境下數據傳輸如何防護,現有防護方式能否滿足要求也成為防火墻必須考慮的因素。
| 產品簡介
網御防火墻是網御自主研發的核心產品。1999年聯想研究院設計并開發完成第一代防火墻產品。網御防火墻產品歷經簡單包過濾防火墻、狀態包過濾防火墻、深度內容過濾和完全內容檢測防火墻等發展階段,并集成了防火墻、VPN、入侵檢測與防御、防病毒、上網行為管理、核心資產管控、防爆力破解、敏感信息防泄漏、高級流量清洗、工業控制協議防護、輿情監控、防注入攻擊等眾多功能。目前已廣泛應用在稅務、公安、政府、部委、能源、交通、軍隊、電信、金融、企業等各行業,并為其網絡和應用提供安全保障。
| 核心功能
● 網絡適應性
支持透明模式、路由模式、混合模式并支持多種透明代理模式,可適應不同網絡環境。支持RIP、OSPF等動態路由、組播路由;支持IPv6/IPv4雙棧運行;
集中管控:通過集中管理中心實現對多臺設備的統一管理、實時監控、集中升級和拓撲展示。通過集中管理軟件,可收集不同防火墻日志信息,形成日志統計信息。并根據網絡攻擊變化態勢形成策略聯動,及時通過防火墻進行攻擊阻斷;
抗DDOS:Syn Flood,Ping Flood,Udp Flood,Teardrop,Sweep,Land,Ping of Death, Smurf,碎片攻擊、WINNUKE,圣誕樹攻擊等;支持DNS重傳檢測、支持HTTP GET報文源IP限速閾值;
多系統聯動:支持ISM桌面管理系統聯動,當桌面終端用戶通過ISM聯動服務器核查后,方可訪問外部網絡。當終端核查失敗后,防火墻會自動封堵核查失敗用戶。支持IDS系統聯動,當IDS識別到網絡攻擊后,會同步攻擊源IP給防火墻,防火墻可以及時阻斷攻擊來源;
防爆力破解:支持針對FTP,SMTP,POP3,IMAP,TELNET,TDS,NNTP,RLOGIN協議的暴力破解防護。
全球資源定義:支持將各國家和地區定義為地址對象,便于統一管理。默認具備中國大陸地區地址,便于阻止非中國大陸地區訪問;
敏感信息防泄漏:針對眾多的泄密事件,數據防泄密功能應需而生,防火墻作為出口設備,可以成為數據逃逸出網前的最后一道屏障。網御防火墻支持針對數據的敏感識別,當發現進出網絡設備中保護敏感數據(銀行卡、電話號碼等)時,可根據預置條件將數據阻斷并記錄日志;
上網行為管理:支持對DHCP、PPTP、SNMP、NTP、Syslog、RTSP、DSN、FTP、POP3、SMTP、NetBios、Socks等30種進行協議控制,并且支持SQL Server、MySQL、Oracle、DB2、Sybase、PostgreSQL、MongoDB等7種數據庫識別和操作管控,避免被遠程入侵數據庫;具有與傳統的基于端口和IP協議不同的方式進行應用識別的能力,并執行訪問控制策略。結合帶寬管理功能,可為不同應用配置不同帶寬。支持工業控制協議識別和協議一致性校驗,可有效保護工業控制系統。
● HA功能
雙機熱備(主動-被動模式):集群中所有節點的任意對應的業務網口IP和MAC地址都分別相同。其中一臺安全網關(優先級=1)為主節點,處于主動工作中,負責處理所有的網絡數據流以及整個集群的控管;其它安全網關節點為從節點,處于熱備中,不處理網絡數據(但處理主節點廣播發出的同步狀態表信號)。一旦主節點發生故障,優先級次之的從節點升為主節點,接管原來主節點的工作,保證網絡正常通信。
● 訪問控制
提供基于狀態檢查的動態包過濾。包過濾規則決定了特定的網絡包能否通過安全網關,同時它也提供相關的選項以保護網絡免受攻擊。安全策略的基本要素是匹配條件和動作。匹配條件包括源地址,目的地址,服務,流入安全域,流出安全域,時間范圍等。此外,還支持認證用戶/用戶組,協議控制等防護策略和流量控制策略的配置。策略的動作有:允許,禁止和郵件延遲審計。以此實現對經過設備的數據流進行有效的管理和控制。
支持入侵防護,應用識別和防病毒特征庫升級,每一接入鏈路部署相對獨立可配置的安全邊界實現訪問控制,端口攔截,入侵防護,惡意代碼防護和日志記錄等功能。
支持虛擬防火墻功能:支持虛擬防火墻的創建、啟動、關閉、刪除功能;虛擬防火墻可獨立管理,獨立保存配置;虛擬防火墻具備獨立會話管理、NAT、路由等功能。
| 產品優勢
● 智能的VSP通用安全平臺
網御防火墻采用創新的VSP(Versatile Security Platform)通用安全平臺,將實時操作系統、網絡處理、安全應用等技術完美地結合在一起,使防火墻產品具備了高智能、高性能、高安全性、高健壯性、 高擴展性等特點。
VSP面向網絡吞吐和安全處理,采用基于組件的多平面架構,整個系統分為控制平面、數據平面、系統服務平面和硬件抽象平面,通過控制平面和數據平面的分離,不同于Linux,FreeBSD等通用操作系統追求均衡的方向,集中主要資源于網絡吞吐和安全處理,使系統具有極強的實時性和網絡吞吐能力。
由于系統功能與資源管理分別工作在不同的平面,各平面和模塊之間共同遵循標準接口函數,系統具有高度靈活性和可擴展性。
通過將硬件驅動與資源管理獨立為一個單獨的硬件抽象平面模塊,對上層軟件提供統一調用接口,對下層硬件統一定義驅動標準,適應多種不同規格的硬件架構,實現與多種專用芯片的無縫融合,可充分利用從IXP,PowerPC到NP、多核多線程CPU、內容加速芯片等各種先進硬件平臺的優勢,使網御防火墻在性能完善。
● 高效的USE統一安全引擎
網御防火墻具有高效的USE(Uniform Security Engine)統一安全引擎。它將狀態包過濾、VPN、IDS、內容過濾、用戶認證等多個子系統集成于單一平臺,構造統一架構,綜合并優化各子系統,去除冗余,簡化數據處理流程,實現統一的安全引擎處理機制。
統一安全引擎克服了傳統上各個安全引擎獨自為戰的缺點,通過高效的引擎集成技術,將各個安全功能有機地整合為一體,狀態檢測、協議分析機、深度過濾、內容檢測等引擎協同工作,對于監測的數據包,一次性拆包即可完成2-7層的檢測,基于摘要索引的內容處理加速算法,有效地提高了引擎的處理效率。
USE通過多協議融合分析技術和事件關聯再分析技術,綜合內容實體,時間因素,提高了安全事件的檢測率。
USE采用標準化技術,對內提供統一服務接口,使安全功能易于擴展,充分滿足安全需求的快速發展;對外實現安全策略的統一配置,給用戶帶來可管理的等級化安全。
● 防火墻虛擬化:
在多租戶環境下,每個用戶都希望自己獨立管理防火墻設備,和其他用戶互不干擾。網御防火墻支持虛擬化防火墻功能,可部署于網絡出口,劃分出多個虛擬防火墻。每個防火墻都可以獨立占用計算資源(CPU、內存、網卡),每個防火墻都可保留獨立的路由、策略、資源配置、日志服務。在其他用戶啟停自己的防火墻時,不影響此防火墻正常使用。
● 完備的關聯處理機制
網御防火墻可以同SOC系統、IDS系統、漏洞掃描系統、桌面管理軟件等多種安全設備聯動。當SOC系統、IDS系統、桌面管理系統檢測到異常事件發生后,聯動機制將被觸發。防火墻可根據聯動設備發送的安全信息,進行同步阻斷。避免信息進一步泄露。網御防火墻可結合其他網絡安全設備,層層設防,多層聯動,形成多層次立體防護體系。
● 高可靠的MRP多重冗余協議
基于網御擁有的高可靠技術,利用電信骨干網可靠性運營維護專業經驗,網御防火墻通過自有的MRP多重冗余協議,在物理層、鏈路層、網絡層、實體層等多個層面實現多元化冗余設計,有效地保障網御防火墻在用戶網絡應用中的高可用性。
基于多出口負載均衡的鏈路備份。鏈路層支持多WAN口出口,實現多出口間的負載均衡和備份,任何一條鏈路的故障癱瘓不會影響網絡的正常運行。
基于802.3ad標準的端口聚合。物理端口支持802.3ad標準,可實現多物理端口聚合,幫助用戶做到“零投資”帶寬倍增。
基于狀態自動探測的雙機熱備。當主系統發生故障或對應線路的網絡故障時,備份機可自動檢測并切換到主狀態,接管主系統的工作,切換時間小于1秒鐘。
基于狀態增量同步的多機集群。支持主動負載均衡、會話保護和接管以及主動配置同步等功能,尤其是采用國內首創的“狀態增量同步技術”解決多臺防火墻之間的狀態一致性問題,實現了業務在多臺防火墻之間的平滑任意分布和切換,解決了采用VRRP協議和動態路由協議帶來的“業務續斷問題”,最多可以支持高達8臺的防火墻集群。
| 典型應用
某教育系統網絡中,設計有DMZ區的大量服務器(包括視頻、課件、文件、材料服務器),各學校用戶通過教育網鏈路訪問DMZ區的資源。部分上網流量通過防火墻直接接入互聯網。網絡要求內網到DMZ區的訪問必須低延時、高吞吐,以保證內網用戶在線播放課件的需求。且要求內網用戶訪問互聯網時必須通過認證,不允許非授權用戶訪問互聯網。另外在數據轉發過程中需要進行病毒防護、入侵防護、敏感信息識別和阻斷。
網御防火墻通過配置ASIC芯片網卡,使得內網到服務器直接基本實現100%線速轉發,在線速轉發的同時,只增加納秒級的時延。網御防火墻的IPS和AV模塊也可識別到內網用戶訪問服務器資源和互聯網資源過程中,傳輸流量中包含的攻擊流量或者病毒文件。有效降低了內網爆發大規模病毒的風險。另外,敏感數據防泄漏模塊也有效的阻止了內網用戶在向外傳遞信息中,攜帶的敏感數據。阻止了數據外泄。
產品型號 | Power V6000-F3810E |
CPU物理核數 | 8核,不支持超線程 |
界面顯示CPU核數 | 8核 |
實配網絡接口 | 12個千兆電口,8個千兆光口,4個10G光口,1個擴展槽位 |
最大千兆網絡接口 | 28個 |
最大萬兆網絡接口 | 12個 |
機箱規格 | 2U |
Console口(RJ45) | 1 |
USB | 2個 |
Bypass(需定制) | NA |
硬盤 | 默認配置一塊64G SSD硬盤 |
最大整機吞吐量 | 40Gbps |
IPS吞吐量(GoodPut,HTTP 512K頁面) | 6Gbps |
防病毒吞吐量(GoodPut,HTTP 512K頁面) | 6Gbps |
應用層吞吐量(GoodPut,HTTP 512K頁面,純防火墻) | 8Gbps |
整機HTTP應用層處理能力 (GoodPut,HTTP 512K頁面,防火墻+APP識別+IPS+AV) | 5Gbps |
SSL VPN用戶數 | 默認帶200個授權 |
SSLVPN 并發數 | 2000 |
VPN IPSec 隧道數 | 20000 |
VPN AES加密吞吐量 | 1G |
每秒新建連接數 | 22W |
最大并發連接數 | 1000W |
虛擬防火墻數量 | 500 |
MTBF | 8萬小時 |
尺寸(長*寬*高) | 500mm*435mm*89mm |
功耗 | 120W |
電源規格 | 冗余電源、AC 100-240V@50-60Hz |
工作溫度 | “-5~45℃” |
重量 | 10KG |