1、天清汉马 USG-FW- P 系列防火墙技术白皮书二零一三年十月启明星辰天清汉马 USG-FW-P 系列防火墙技术白皮书北京启明星辰信息技术有限公司通信地址:北京市海淀区中关村南大街 6 号中电信息大厦 8 层(邮编:100086 )电 话:01082166999传 真:01082166998网 址:服务热线:400-810-7766(24 小时)目 录1 概述 .12 天清汉马 USG 防火墙产品特点与技术优势 .22.1 智能的 VSP 通用安全平台 .22.2 高效的 USE 统一安全引擎 .32.3 高可靠的 MRP 多重冗余协议 .42.4 完备的关联安全标准 .52.5 基于应用的
2、内容识别控制 .62.5.1 智能匹配技术 .62.5.2 多线程扫描技术 .72.5.3 应用感控技术 .72.6 精确细致的 WEB 过滤技术 .82.7 可信架构主动云防御技术 .82.8 IPV6 包状态过滤技术 .93 天清汉马 USG 防火墙产品主要功能 .104 典型组网 .174.1 政府行业 .174.1.1 电子政务网 .174.1.2 政府专网 .184.2 教育行业 .194.2.1 高教校园网 .194.2.2 中/基教教育城域网 .204.3 企业市场 .214.3.1 中小企业 .214.3.2 大型企业 .22启明星辰天清汉马 USG-FW-P 系列防火墙技术白
3、皮书北京启明星辰信息安全技术有限公司网址:地址:北京市海淀区东北旺西路 8 号中关村软件园 21 号楼启明星辰大厦一层 (100093)1 概述诞生 20 多年来,网络已经在全球经济中扎根发芽,蓬勃成长为参天大树,对各个行业的发展起着举足轻重的作用。随着时间的推移,网络的安全问题也日益严重,在开放的网络环境中,网络边界安全成为网络安全的重要组成部分。在网络安全的术语里,有一个名词叫做“安全域” ,其主要作用就是将网络按照业务、保护等级、行为等方面划分出不同的边界,定义出各自的安全领域。举个简单的例子,在 PC 上安装了相关的杀毒软件,PC 本身就是一个最简单的安全域。对于单位用户,安全域往往由
4、若干网络设备和用户主机构成,其边界安全主要在于与互联网的边界、与其他业务网络的边界等。防火墙是解决网络边界安全的重要设备,它主要工作在网络层之下,通过对协议、地址和服务端口的识别和控制达到防范入侵的目的,可以有效的防范基于业务端口的攻击。天清汉马 USG 防火墙是北京启明星辰信息安全技术有限公司凭借在信息安全领域多年的经验积累,总结分析用户的切身需求,推出新一代的 P 系列防火墙产品。天清汉马 USG 防火墙采用高性能的硬件架构和一体化的软件设计,除了实现了状态检测防火墙功能,还同时支持 VPN、上网行为管理、抗拒绝服务攻击(Anti-DoS ) 、内容过滤、AV、入侵防御等多种安全技术,同时
5、全面支持 QoS、高可用性(HA) 、日志审计等功能,为网络边界提供了全面实时的安全防护。天清汉马 USG 防火墙可直接通过功能许可激活的方式,获得包括防病毒(AV) 、入侵防御(IPS ) 、防垃圾邮件( Anti-Spam)和内网安全功能。天清汉马 USG 防火墙产品线丰富,可以为政府、教育、金融、企业、能源、运营商等用户提供所需要的全系列的安全防护产品。启明星辰天清汉马 USG-FW-P 系列防火墙技术白皮书北京启明星辰信息安全技术有限公司网址:地址:北京市海淀区东北旺西路 8 号中关村软件园 21 号楼启明星辰大厦一层 (100093)2 产品综述2.1 产品综述天清汉马下一代 p 系
6、列 USG 防火墙是集防火墙、 VPN、上网行为管理 AC、内容过滤、防病毒、入侵防护等多种安全技术于一身,高性能、绿色低碳,同时全面支持各种路由协议、QoS、高可用性(HA) 、日志审计等功能,为网络边界提供了全面实时的安全防护,帮助用户抵御日益复杂的安全威胁。天清汉马 USG 防火墙采用了一体化的设计方案,在一个产品中协调统一地实现了接入安全需要考虑的方方面面。采用天清汉马 USG 防火墙,可以从整体上解决了接入安全的问题。用户可不必考虑产品部署、兼容性等困惑,也不再因为多个产品难于维护管理而苦恼,天清汉马 USG 防火墙是低成本、高效率、易管理的理想解决方案。天清汉马 USG 防火墙产品
7、线丰富,可以为政府、教育、金融、企业、能源、运营商等用户提供所需要的全系列的安全防护产品。自从天清汉马 USG 防火墙推向市场以来,很快就凭借其强大的功能和在实际应用中优异表现,赢得了众多机构和用户的广泛赞誉。2.2 特点说明天清汉马 USG 防火墙具有如下特点:启明星辰天清汉马 USG-FW-P 系列防火墙技术白皮书北京启明星辰信息安全技术有限公司网址:地址:北京市海淀区东北旺西路 8 号中关村软件园 21 号楼启明星辰大厦一层 (100093)完善的防火墙特性 支持基于源 IP、目的 IP、源端口、目的端口、时间、服务、用户、文件、网址、关键字、邮件地址、脚本、MAC 地址等方式进行访问控
8、制 支持流量管理、连接数控制、IP+MAC 绑定、用户认证等 支持虚拟防火墙:可以将接口划分给不同的虚拟防火墙,每个虚拟防火墙具有独立的管理员、安全域、资源对象、安全策略、NAT 规则、静态路由等配置 同终端无缝结合:支持同天珣内网安全管理系统联动,将防火墙防御能力推进到桌面终端高网络适用性 支持透明、路由和 NAT 模式部署 支持静态路由、策略路由、RIP/OSPF/BGP 动态路由,支持等价路由 ECMP 和加权路由 WCMP,支持组播路由 支持 STP,可以同二层网络设备进行生成树计算 支持 IGMP Snooping,优化在桥模式下的组播流量 支持私有 HA 和 VRRP 支持 IPv
9、6:支持 IPv4、IPv6 双栈运行、静态 IPv6 路由、手工隧道、6to4 隧道和ISATAP 隧道。 支持链路聚合,可通过手动方式、IEEE802.3ad 静态 LACP 方式创建聚合链路;通过链路聚合可以增加链路带宽,并起到负载均衡和链路备份的作用 支持 802.11B,802.11G 协议,可以扩展 WIFI 模块以提供 WIFI 接入,支持设备作为 WiFi 热点(即 AP) ,为客户机提供无线安全接入服务 支持 3G(CDMA2000)协议,可以扩展 3G 模块以提供 3G 上行网络接入高稳定性和可靠性 产品具有高性能,同时多核之间互为备份,可靠性高 支持私有协议 HA 和 V
10、RRP,实现双机热备和冗余 支持双操作系统和多配置文件,最大支持 10 个配置文件备份启明星辰天清汉马 USG-FW-P 系列防火墙技术白皮书北京启明星辰信息安全技术有限公司网址:地址:北京市海淀区东北旺西路 8 号中关村软件园 21 号楼启明星辰大厦一层 (100093)全面的 VPN 支持 多 VPN 支持: IPSec、L2TP、SSL VPN、GRE 丰富的应用:专用 VPN 客户端、USBKEY、动态口令卡、图形认证码 灵活的部署:Hub-Spoken、Full-Mesh、DVPN 、网关网关的 SSL VPN 支持对 IPAD、IPHONE 等移动终端的 VPN 接入完善的上网行为
11、管理功能 采用独立的上网行为管理库,通过互联网实现每周更新。 P2P 控制:对 Emule、BitTorrent、Maze 、Kazaa 等进行阻断、限速 IM 控制:基于黑白名单的 IM 登录控制、文件传输阻止、查毒;支持主流 IM软件如 QQ、 MSN、雅虎通、Gtalk、Skype 流媒体控制:对流媒体应用进行阻断或限速,支持 Kamun ppfilm 、PPLive、PPStream 、QQ 直播、TVAnts 、沸点网络电视、猫扑播霸等 网络游戏控制:对常见网络游戏如魔兽世界、征途、QQ 游戏大厅、联众游戏大厅等的阻断 股票软件控制:对常用股票软件如同花顺、大参考、大智慧等的阻断强大
12、的日志报表功能 记录内容丰富:可对防火墙日志、攻击日志、病毒日志、带宽使用日志、Web访问日志、Mail 发送日志、关键资产访问日志、用户登录日志等进行记录 日志快速查询:可对 IP 地址、端口、时间、危急程度、日志内容关键字等进行查询 报表贴近需求:根据用户具体需求,定制报表内容、定制报名名称、定制企业LOGO,并可形成多种格式的报表文件。方便的集中管理功能 通过集中管理与数据分析中心实现对多台设备的统一管理、实时监控、集中升级和拓扑展示。启明星辰天清汉马 USG-FW-P 系列防火墙技术白皮书北京启明星辰信息安全技术有限公司网址:地址:北京市海淀区东北旺西路 8 号中关村软件园 21 号楼
13、启明星辰大厦一层 (100093)3 体系架构说明3.1 产品构成天清汉马 USG 防火墙主要由两部分组成:USG 防火墙设备和天清集中管理与数据分析中心。USG 防火墙设备:即部署在网络出口,融合多种安全能力,针对恶意攻击、非法活动和网络资源滥用等威胁,实现精确防控的高可靠、高性能、易管理的网关安全设备。天清集中管理与数据分析中心:主要功能分为集中管理功能与数据分析功能,集中管理是对 USG 防火墙设备的集中管理、统一监控和升级中心,通过它可以集中配置、监控和管理所管辖的多台 USG 防火墙设备,并按照一定的规则组织成层次结构,方便管理员对于整网 USG 防火墙设备的监控维护工作;数据分析中
14、心是 USG 防火墙设备海量信息的后台处理中心。主要完成 USG 防火墙设备日志和流量信息的存储、分析、审计和处理功能。3.2 软件结构防火墙作为网关类产品,究竟什么样的软件结构更有利于提升整体性能?那么首先需要知道什么是性能消耗的关键业务单元。启明星辰通过对网关类产品单一分析处理引擎的详细分析和试验验证,得出网关类产品性能消耗 50来自于模式匹配,25来自于协议重组、25来自于报文重组的结论。图 1. 网关分析处理引擎性能消耗分析如何融合分析处理引擎,合并性能消耗关键业务单元成为防火墙产品软件结构设启明星辰天清汉马 USG-FW-P 系列防火墙技术白皮书北京启明星辰信息安全技术有限公司网址:
15、地址:北京市海淀区东北旺西路 8 号中关村软件园 21 号楼启明星辰大厦一层 (100093)计首要考虑的问题。基于研究数据,启明星辰在天清汉马 USG 防火墙的软件结构设计上引入了一体化的设计理念。即将防火墙、VPN、内容过滤和流量管理等各项功能的分析处理引擎进行一体化设计,以达到性能最优的目的。天清汉马 USG 防火墙本着安全高效原则,采用“检测与控制相分离,引擎特征相统一”的一体化设计思想:人机界面、报文接收模块、报文处理模块、报文发送模块和支撑库。网络报文首先通过报文接收模块进行预处理后进入报文处理模块,在报文处理模块,防火墙进行 23 层过滤,VPN 负责接入控制;其次模块匹配引擎和
16、行为分析引擎分别根据统一特征库和行为知识库进行匹配查找;最后,对于合法报文直接交由报文发送模块进行报文转发,对于非法报文,送交相应的处理引擎进行处理。整个过程的日志信息和数据流量信息送集中管理与数据分析中心监控和备案,管理中心负责整体的配置和调整。Comment LJJ1: 这是网御惯用的说法,查一下原先 USG的说法是什么样的保持一致Comment LJJ2: 图也是网御的图启明星辰天清汉马 USG-FW-P系列防火墙技术白皮书北京启明星辰信息安全技术有限公司网址:地址:北京市海淀区东北旺西路 8号中关村软件园 21号楼启明星辰大厦一层 (100093)4 关键技术天清汉马 USG防火墙采用
17、了多种创新技术,为确保多种安全能力的融合,性能的持续恒定起到了重要作用。4.1智能的 VSP通用安全平台天清汉马 USG防火墙采用创新的 VSP(Versatile Security Platform)通用安全平台,将实时操作系统、网络处理、安全应用等技术完美地结合在一起,使防火墙产品具备了高智能、高性能、高安全性、高健壮性、 高扩展性等特点。VSP面向网络吞吐和安全处理,采用基于组件的多平面架构,整个系统分为控制平面、数据平面、系统服务平面和硬件抽象平面,通过控制平面和数据平面的分离,不同于 Linux,FreeBSD 等通用操作系统追求均衡的方向,集中主要资源于网络吞吐启明星辰天清汉马 U
18、SG-FW-P 系列防火墙技术白皮书北京启明星辰信息安全技术有限公司网址:地址:北京市海淀区东北旺西路 8 号中关村软件园 21 号楼启明星辰大厦一层 (100093)和安全处理,使系统具有极强的实时性和网络吞吐能力。由于系统功能与资源管理分别工作在不同的平面,各平面和模块之间共同遵循标准接口函数,系统具有高度灵活性和可扩展性。通过将硬件驱动与资源管理独立为一个单独的硬件抽象平面模块,对上层软件提供统一调用接口,对下层硬件统一定义驱动标准,适应多种不同规格的硬件架构,实现与多种专用芯片的无缝融合,可充分利用从 IXP,PowerPC 到 NP、多核多线程CPU、内容加速芯片等各种先进硬件平台的优势,使天清汉马 USG 防火墙在性能方面一路领先。4.2 高效的整合内容引擎天清汉马 USG 防火墙使用高效的 ICE(Integrated content engine)整合内容引擎。它将状态包过滤、VPN 、 IDS、内容过滤、用户认证等多个子系统集成于单一平台,构造统一架构,综合并优化各子系统,去除冗余,简化数据处理流程,实现统一的安全引擎处理机制。
