1028天清漢馬USGFWP系列防火墻技術(shù)白皮書V6.0

《1028天清漢馬USGFWP系列防火墻技術(shù)白皮書V6.0》由會員分享，可在線閱讀，更多相關(guān)《1028天清漢馬USGFWP系列防火墻技術(shù)白皮書V6.0（37頁珍藏版）》請在裝配圖網(wǎng)上搜索。

1、. 天清漢馬USG-FW- P系列防火墻 技術(shù)白皮書 二零一三年十月 .. 目 錄 1 概述 1 2 天清漢馬USG防火墻產(chǎn)品特點與技術(shù)優(yōu)勢 2 2.1 智能的VSP通用安全平臺 2 2.2 高效的USE統(tǒng)一安全引擎 3 2.3 高可靠的MRP多重冗余協(xié)議 4 2.4 完備的關(guān)聯(lián)安全標(biāo)準(zhǔn) 5 2.5 基于應(yīng)用的內(nèi)容識別控制 6 2.5.1 智能匹配技術(shù) 6 2.5.2 多線程掃描技術(shù) 7 2.5.3 應(yīng)用感控技術(shù) 7 2.6 精確細(xì)致的WEB過濾技術(shù) 8 2.7 可信架構(gòu)主動

2、云防御技術(shù) 8 2.8 IPv6包狀態(tài)過濾技術(shù) 9 3 天清漢馬USG防火墻產(chǎn)品主要功能 10 4 典型組網(wǎng) 17 4.1 政府行業(yè) 17 4.1.1 電子政務(wù)網(wǎng) 17 4.1.2 政府專網(wǎng) 18 4.2 教育行業(yè) 19 4.2.1 高教校園網(wǎng) 19 4.2.2 中/基教教育城域網(wǎng) 20 4.3 企業(yè)市場 21 4.3.1 中小企業(yè) 21 4.3.2 大型企業(yè) 22 .. 1 概述 誕生20多年來，網(wǎng)絡(luò)已經(jīng)在全球經(jīng)濟中扎根發(fā)芽，蓬勃成長為參天大樹，對各個行業(yè)的發(fā)展起著舉足輕重的作用。隨著時間的推移，網(wǎng)絡(luò)的安全問題也日益嚴(yán)重，在開放的網(wǎng)絡(luò)環(huán)境中，網(wǎng)絡(luò)邊界安全成為

3、網(wǎng)絡(luò)安全的重要組成部分。在網(wǎng)絡(luò)安全的術(shù)語里，有一個名詞叫做“安全域”，其主要作用就是將網(wǎng)絡(luò)按照業(yè)務(wù)、保護等級、行為等方面劃分出不同的邊界，定義出各自的安全領(lǐng)域。舉個簡單的例子，在PC上安裝了相關(guān)的殺毒軟件，PC本身就是一個最簡單的安全域。對于單位用戶，安全域往往由若干網(wǎng)絡(luò)設(shè)備和用戶主機構(gòu)成，其邊界安全主要在于與互聯(lián)網(wǎng)的邊界、與其他業(yè)務(wù)網(wǎng)絡(luò)的邊界等。 防火墻是解決網(wǎng)絡(luò)邊界安全的重要設(shè)備，它主要工作在網(wǎng)絡(luò)層之下，通過對協(xié)議、地址和服務(wù)端口的識別和控制達到防范入侵的目的，可以有效的防范基于業(yè)務(wù)端口的攻擊。 天清漢馬USG防火墻是北京啟明星辰信息安全技術(shù)有限公司憑借在信息安全領(lǐng)域多年的經(jīng)驗積累，總

4、結(jié)分析用戶的切身需求，推出新一代的P系列防火墻產(chǎn)品。天清漢馬USG防火墻采用高性能的硬件架構(gòu)和一體化的軟件設(shè)計，除了實現(xiàn)了狀態(tài)檢測防火墻功能，還同時支持VPN、上網(wǎng)行為管理、抗拒絕服務(wù)攻擊（Anti-DoS）、內(nèi)容過濾、AV、入侵防御等多種安全技術(shù)，同時全面支持QoS、高可用性（HA）、日志審計等功能，為網(wǎng)絡(luò)邊界提供了全面實時的安全防護。 天清漢馬USG防火墻可直接通過功能許可激活的方式，獲得包括防病毒（AV）、入侵防御（IPS）、防垃圾郵件（Anti-Spam）和內(nèi)網(wǎng)安全功能。 天清漢馬USG防火墻產(chǎn)品線豐富，可以為政府、教育、金融、企業(yè)、能源、運營商等用戶提供所需要的全系列的安全防護產(chǎn)

5、品。 2 產(chǎn)品綜述 2.1 產(chǎn)品綜述 天清漢馬下一代p系列USG防火墻是集防火墻、VPN、上網(wǎng)行為管理AC、內(nèi)容過濾、防病毒、入侵防護等多種安全技術(shù)于一身，高性能、綠色低碳，同時全面支持各種路由協(xié)議、QoS、高可用性（HA）、日志審計等功能，為網(wǎng)絡(luò)邊界提供了全面實時的安全防護，幫助用戶抵御日益復(fù)雜的安全威脅。 天清漢馬USG防火墻采用了一體化的設(shè)計方案，在一個產(chǎn)品中協(xié)調(diào)統(tǒng)一地實現(xiàn)了接入安全需要考慮的方方面面。采用天清漢馬USG防火墻，可以從整體上解決了接入安全的問題。用戶可不必考慮產(chǎn)品部署、兼容性等困惑，也不再因為多個產(chǎn)品難于維護管理而苦惱，天清漢馬USG防火墻是低成本、高

6、效率、易管理的理想解決方案。 天清漢馬USG防火墻產(chǎn)品線豐富，可以為政府、教育、金融、企業(yè)、能源、運營商等用戶提供所需要的全系列的安全防護產(chǎn)品。 自從天清漢馬USG防火墻推向市場以來，很快就憑借其強大的功能和在實際應(yīng)用中優(yōu)異表現(xiàn)，贏得了眾多機構(gòu)和用戶的廣泛贊譽。 2.2 特點說明 天清漢馬USG防火墻具有如下特點： l 完善的防火墻特性 2 支持基于源IP、目的IP、源端口、目的端口、時間、服務(wù)、用戶、文件、網(wǎng)址、關(guān)鍵字、郵件地址、腳本、MAC地址等方式進行訪問控制 2 支持流量管理、連接數(shù)控制、IP+MAC綁定、用戶認(rèn)證等 2 支持虛擬防火墻：可以將接口劃分給不同的虛擬防火墻

7、，每個虛擬防火墻具有獨立的管理員、安全域、資源對象、安全策略、NAT規(guī)則、靜態(tài)路由等配置 2 同終端無縫結(jié)合：支持同天珣內(nèi)網(wǎng)安全管理系統(tǒng)聯(lián)動，將防火墻防御能力推進到桌面終端 l 高網(wǎng)絡(luò)適用性 2 支持透明、路由和NAT模式部署 2 支持靜態(tài)路由、策略路由、RIP/OSPF/BGP動態(tài)路由，支持等價路由ECMP和加權(quán)路由WCMP，支持組播路由 2 支持STP，可以同二層網(wǎng)絡(luò)設(shè)備進行生成樹計算 2 支持IGMP Snooping，優(yōu)化在橋模式下的組播流量 2 支持私有HA和VRRP 2 支持IPv6：支持IPv4、IPv6雙棧運行、靜態(tài)IPv6路由、手工隧道、6to4隧道和ISAT

8、AP隧道。 2 支持鏈路聚合，可通過手動方式、IEEE802.3ad 靜態(tài)LACP方式創(chuàng)建聚合鏈路；通過鏈路聚合可以增加鏈路帶寬，并起到負(fù)載均衡和鏈路備份的作用 2 支持802.11B,802.11G協(xié)議，可以擴展WIFI模塊以提供WIFI接入，支持設(shè)備作為WiFi熱點（即AP），為客戶機提供無線安全接入服務(wù) 2 支持3G(CDMA2000)協(xié)議，可以擴展3G模塊以提供3G上行網(wǎng)絡(luò)接入 l 高穩(wěn)定性和可靠性 2 產(chǎn)品具有高性能，同時多核之間互為備份，可靠性高 2 支持私有協(xié)議HA和VRRP，實現(xiàn)雙機熱備和冗余 2 支持雙操作系統(tǒng)和多配置文件，最大支持10個配置文件備份 l 全面

9、的VPN支持 2 多VPN支持： IPSec、L2TP、SSL VPN、GRE 2 豐富的應(yīng)用：專用VPN客戶端、USBKEY、動態(tài)口令卡、圖形認(rèn)證碼 2 靈活的部署：Hub-Spoken、Full-Mesh、DVPN、網(wǎng)關(guān)－網(wǎng)關(guān)的SSL VPN 2 支持對IPAD、IPHONE等移動終端的VPN接入 l 完善的上網(wǎng)行為管理功能 2 采用獨立的上網(wǎng)行為管理庫，通過互聯(lián)網(wǎng)實現(xiàn)每周更新。 2 P2P控制：對Emule、BitTorrent、Maze、Kazaa等進行阻斷、限速 2 IM控制：基于黑白名單的IM登錄控制、文件傳輸阻止、查毒；支持主流IM軟件如QQ、MSN、雅虎通、G

10、talk、Skype 2 流媒體控制：對流媒體應(yīng)用進行阻斷或限速，支持Kamun ppfilm 、PPLive、PPStream、QQ直播、TVAnts、沸點網(wǎng)絡(luò)電視、貓撲播霸等 2 網(wǎng)絡(luò)游戲控制：對常見網(wǎng)絡(luò)游戲如魔獸世界、征途、QQ游戲大廳、聯(lián)眾游戲大廳等的阻斷 2 股票軟件控制：對常用股票軟件如同花順、大參考、大智慧等的阻斷 l 強大的日志報表功能 2 記錄內(nèi)容豐富：可對防火墻日志、攻擊日志、病毒日志、帶寬使用日志、Web訪問日志、Mail發(fā)送日志、關(guān)鍵資產(chǎn)訪問日志、用戶登錄日志等進行記錄 2 日志快速查詢：可對IP地址、端口、時間、危急程度、日志內(nèi)容關(guān)鍵字等進行查詢 2 報

11、表貼近需求：根據(jù)用戶具體需求，定制報表內(nèi)容、定制報名名稱、定制企業(yè)LOGO，并可形成多種格式的報表文件。 l 方便的集中管理功能 2 通過集中管理與數(shù)據(jù)分析中心實現(xiàn)對多臺設(shè)備的統(tǒng)一管理、實時監(jiān)控、集中升級和拓?fù)湔故尽? 3 體系架構(gòu)說明 3.1 產(chǎn)品構(gòu)成 天清漢馬USG防火墻主要由兩部分組成：USG防火墻設(shè)備和天清集中管理與數(shù)據(jù)分析中心。 USG防火墻設(shè)備：即部署在網(wǎng)絡(luò)出口，融合多種安全能力，針對惡意攻擊、非法活動和網(wǎng)絡(luò)資源濫用等威脅，實現(xiàn)精確防控的高可靠、高性能、易管理的網(wǎng)關(guān)安全設(shè)備。 天清集中管理與數(shù)據(jù)分析中心：主要功能分為集中管理功能與數(shù)據(jù)分析功能，集中管理是對USG防火

12、墻設(shè)備的集中管理、統(tǒng)一監(jiān)控和升級中心，通過它可以集中配置、監(jiān)控和管理所管轄的多臺USG防火墻設(shè)備，并按照一定的規(guī)則組織成層次結(jié)構(gòu)，方便管理員對于整網(wǎng)USG防火墻設(shè)備的監(jiān)控維護工作；數(shù)據(jù)分析中心是USG防火墻設(shè)備海量信息的后臺處理中心。主要完成USG防火墻設(shè)備日志和流量信息的存儲、分析、審計和處理功能。 3.2 軟件結(jié)構(gòu) 防火墻作為網(wǎng)關(guān)類產(chǎn)品，究竟什么樣的軟件結(jié)構(gòu)更有利于提升整體性能？那么首先需要知道什么是性能消耗的關(guān)鍵業(yè)務(wù)單元。啟明星辰通過對網(wǎng)關(guān)類產(chǎn)品單一分析處理引擎的詳細(xì)分析和試驗驗證，得出網(wǎng)關(guān)類產(chǎn)品性能消耗50％來自于模式匹配，25％來自于協(xié)議重組、25％來自于報文重組的結(jié)論。

13、圖1. 網(wǎng)關(guān)分析處理引擎性能消耗分析 如何融合分析處理引擎，合并性能消耗關(guān)鍵業(yè)務(wù)單元成為防火墻產(chǎn)品軟件結(jié)構(gòu)設(shè)計首要考慮的問題。 基于研究數(shù)據(jù)，啟明星辰在天清漢馬USG防火墻的軟件結(jié)構(gòu)設(shè)計上引入了一體化的設(shè)計理念。即將防火墻、VPN、內(nèi)容過濾和流量管理等各項功能的分析處理引擎進行一體化設(shè)計，以達到性能最優(yōu)的目的。 天清漢馬USG防火墻本著安全高效原則，采用“檢測與控制相分離，引擎特征相統(tǒng)一”的一體化設(shè)計思想：人機界面、報文接收模塊、報文處理模塊、報文發(fā)送模塊和支撐庫。網(wǎng)絡(luò)報文首先通過報文接收模塊進行預(yù)處理后進入報文處理模塊，在報文處理模塊，防火墻進行2－3層過濾，VPN負(fù)責(zé)接入控制；其

14、次模塊匹配引擎和行為分析引擎分別根據(jù)統(tǒng)一特征庫和行為知識庫進行匹配查找；最后，對于合法報文直接交由報文發(fā)送模塊進行報文轉(zhuǎn)發(fā)，對于非法報文，送交相應(yīng)的處理引擎進行處理。整個過程的日志信息和數(shù)據(jù)流量信息送集中管理與數(shù)據(jù)分析中心監(jiān)控和備案，管理中心負(fù)責(zé)整體的配置和調(diào)整。 4 關(guān)鍵技術(shù) 天清漢馬USG防火墻采用了多種創(chuàng)新技術(shù)，為確保多種安全能力的融合，性能的持續(xù)恒定起到了重要作用。 4.1 智能的VSP通用安全平臺 天清漢馬USG防火墻采用創(chuàng)新的VSP（Versatile Security Platform）這是網(wǎng)御慣用的說法，查一下原先

15、USG的說法是什么樣的保持一致 通用安全平臺，將實時操作系統(tǒng)、網(wǎng)絡(luò)處理、安全應(yīng)用等技術(shù)完美地結(jié)合在一起，使防火墻產(chǎn)品具備了高智能、高性能、高安全性、高健壯性、 高擴展性等特點。 圖也是網(wǎng)御的圖 VSP面向網(wǎng)絡(luò)吞吐和安全處理，采用基于組件的多平面架構(gòu)，整個系統(tǒng)分為控制平面、數(shù)據(jù)平面、系統(tǒng)服務(wù)平面和硬件抽象平面，通過控制平面和數(shù)據(jù)平面的分離，不同于Linux，F(xiàn)reeBSD等通用操作系統(tǒng)追求均衡的方向，集中主要資源于網(wǎng)絡(luò)吞吐和安全處理，使系統(tǒng)具有極強的實時性和網(wǎng)絡(luò)吞吐能力。 由于系統(tǒng)功能與資源管理分別工作在不同的平面，各平面和模塊之間共同遵循標(biāo)準(zhǔn)接口函數(shù)，系統(tǒng)具有高度靈活性和可擴展性。

16、 通過將硬件驅(qū)動與資源管理獨立為一個單獨的硬件抽象平面模塊，對上層軟件提供統(tǒng)一調(diào)用接口，對下層硬件統(tǒng)一定義驅(qū)動標(biāo)準(zhǔn)，適應(yīng)多種不同規(guī)格的硬件架構(gòu)，實現(xiàn)與多種專用芯片的無縫融合，可充分利用從IXP，PowerPC到NP、多核多線程CPU、內(nèi)容加速芯片等各種先進硬件平臺的優(yōu)勢，使天清漢馬USG防火墻在性能方面一路領(lǐng)先。 4.2 高效的整合內(nèi)容引擎 天清漢馬USG防火墻使用高效的ICE（Integrated content engine）整合內(nèi)容引擎。它將狀態(tài)包過濾、VPN、IDS、內(nèi)容過濾、用戶認(rèn)證等多個子系統(tǒng)集成于單一平臺，構(gòu)造統(tǒng)一架構(gòu)，綜合并優(yōu)化各子系統(tǒng)，去除冗余，簡化數(shù)據(jù)處理流程，實現(xiàn)統(tǒng)

17、一的安全引擎處理機制。 圖也是網(wǎng)御的 整合內(nèi)容引擎克服了傳統(tǒng)上各個引擎獨自為戰(zhàn)的缺點，通過高效的引擎集成技術(shù)，將各個安全功能有機地整合為一體，狀態(tài)檢測、協(xié)議分析機、深度過濾、內(nèi)容檢測等引擎協(xié)同工作，對于監(jiān)測的數(shù)據(jù)包，一次性拆包即可完成2-7層的檢測，同時采用基于摘要索引的內(nèi)容處理加速算法，有效地提高了引擎的處理效率。 ICE通過多協(xié)議融合分析技術(shù)和事件關(guān)聯(lián)再分析技術(shù)，綜合內(nèi)容實體，時間因素，提高了安全事件的檢測率。 ICE采用標(biāo)準(zhǔn)化技術(shù)，對內(nèi)提供統(tǒng)一服務(wù)接口，使安全功能易于擴展，充分滿足安全需求的快速發(fā)展；對外實現(xiàn)安全策略的統(tǒng)一配置，給用戶帶來可管理的等級化安全。 4.3 高可靠

18、多重冗余協(xié)議網(wǎng)御慣用說法 利用電信骨干網(wǎng)可靠性運營維護專業(yè)經(jīng)驗，天清漢馬USG防火墻通過創(chuàng)新的多重冗余協(xié)議，在物理層、鏈路層、網(wǎng)絡(luò)層、實體層等多個層面實現(xiàn)多元化冗余設(shè)計，有效地保障天清漢馬USG防火墻在用戶網(wǎng)絡(luò)應(yīng)用中的高可用性。圖也是網(wǎng)御的 2個都用Super V-7318的圖片代替 l 基于多出口負(fù)載均衡的鏈路備份。鏈路層支持多WAN口出口，實現(xiàn)多出口間的負(fù)載均衡和備份，任何一條鏈路的故障癱瘓不會影響網(wǎng)絡(luò)的正常運行。 l 基于802.3ad標(biāo)準(zhǔn)的端口聚合。物理端口支持802.3ad標(biāo)準(zhǔn)，可實現(xiàn)多物理端口聚合，幫助用戶做到“零投資”帶寬倍增。 l 基于狀態(tài)自動探測的雙機熱備。

19、當(dāng)主系統(tǒng)發(fā)生故障或?qū)?yīng)線路的網(wǎng)絡(luò)故障時，備份機可自動檢測并切換到主狀態(tài)，接管主系統(tǒng)的工作，切換時間小于1秒鐘。 l 基于狀態(tài)增量同步的多機集群。支持主動負(fù)載均衡、會話保護和接管以及主動配置同步等功能，尤其是采用國內(nèi)首創(chuàng)的“狀態(tài)增量同步技術(shù)”解決多臺防火墻之間的狀態(tài)一致性問題，實現(xiàn)了業(yè)務(wù)在多臺防火墻之間的平滑任意分布和切換，解決了采用VRRP協(xié)議和動態(tài)路由協(xié)議帶來的“業(yè)務(wù)續(xù)斷問題”，最多可以支持高達8臺的防火墻集群。 4.4 事件關(guān)聯(lián)分析技術(shù)與歸并處理機制 對用戶的多個網(wǎng)絡(luò)行為進行關(guān)聯(lián)，是提高檢測精度的有效手段。比如一個用戶首先對HTTP服務(wù)進行了慢速CGI掃描，服務(wù)端反饋的結(jié)果證明其

20、運行了可能含有漏洞的某個CGI，之后該用戶又發(fā)送了包含ShellCode的請求，從這兩次行為分別看，每個都不能絕對的將其界定為惡意行為，如果將兩個行為聯(lián)系起來，則基本可以確定該行為的高風(fēng)險等級。 針對大規(guī)模的監(jiān)測系統(tǒng)應(yīng)用中可能出現(xiàn)一個網(wǎng)絡(luò)異常行為在多個監(jiān)測點作為事件報告而形成事件洪流的問題，數(shù)據(jù)關(guān)聯(lián)性分析模塊首次提出并采用了基于統(tǒng)計分析的二次事件分析技術(shù)，能夠?qū)Σ煌瑫r間、不同地點、不同事件的大量信息進行統(tǒng)一處理，簡潔、準(zhǔn)確地報告出正確的網(wǎng)絡(luò)安全事件。 4.5 高速深層檢測技術(shù) n 高精度應(yīng)用層協(xié)議分析 協(xié)議分析是深度檢測必不可少的環(huán)節(jié)，它可以減少特征匹配的計算量，提高匹配精度。但是深度

21、的協(xié)議分析本身也需要相當(dāng)大的計算量，如何既保證特征匹配和文件還原所需的分析精確度，又不占用過多的資源，是高速環(huán)境下必須面對的課題。我們將主要通過以下兩方面來解決這一問題， 1) 基于攻擊研究和特征知識庫選擇分析深度。協(xié)議分析不需要的無限制的精細(xì)，否則入侵防御系統(tǒng)將變成一個低效的應(yīng)用代理系統(tǒng)，協(xié)議分析應(yīng)該建立在對網(wǎng)絡(luò)攻擊研究的基礎(chǔ)上，對特征知識庫中需要的協(xié)議信息進行分析，這點的實現(xiàn)關(guān)鍵集中在攻擊研究上，軟件實現(xiàn)中可通過編譯時的條件控制和運行時對特征庫進行掃描設(shè)置相應(yīng)開關(guān)完成； 2) 高效協(xié)議自識別算法。對于非周知端口的通信，需要通過內(nèi)容識別其所屬的協(xié)議類型。這一內(nèi)容識別的過程類似于攻擊檢測的

22、特征識別過程，可以通過多階段分析和匹配算法的選擇降低計算開銷。 n 多模匹配算法選擇 由于在一個報文的匹配中，最為耗時的匹配運算是在報文中匹配多個串模式。過去的幾十年中學(xué)術(shù)界提出了若干的多模匹配算法，并且在工業(yè)界得到了很好的應(yīng)用，比如AC算法、WM算法在軟件檢測系統(tǒng)中證明了其優(yōu)秀的性能。在以往的多模匹配算法通常是在理論分析的基礎(chǔ)上，在IA32架構(gòu)和隨機數(shù)據(jù)源上進行實驗選擇，且算法一經(jīng)確定就固化在軟件中。實際這樣得出的算法不能保證在所有的處理器架構(gòu)和數(shù)據(jù)源條件下都保證是已知算法中最優(yōu)的。 現(xiàn)在在學(xué)術(shù)界存在多種多串并行匹配的算法，在商業(yè)產(chǎn)品中應(yīng)用較多有Aho-Corasick、Wu-Manb

23、er和ExB算法或它們的變種。 根據(jù)研究發(fā)現(xiàn)，所有這些算法的性能分析全部是基于理想的存儲模型，忽略訪存的性能開銷。由于存儲器速度遠(yuǎn)低于處理器速度，兩者相差一個數(shù)量級以上，為避免存儲器效能低造成系統(tǒng)整體的效能低下，絕大多數(shù)系統(tǒng)采用多級存儲結(jié)構(gòu)，增加少量的高速緩存隱藏存儲器的性能瓶頸。但是在多串匹配算法中，數(shù)據(jù)結(jié)構(gòu)非常龐大，并且匹配過程中不斷在非連續(xù)的地址間跳轉(zhuǎn)，此時高速緩存的命中率大幅下降，不考慮訪存開銷顯然已不能反映各算法在實際應(yīng)用中的效能。 實際上不存在一種普適的算法能夠在各種情況下都有最佳表現(xiàn)，同樣的算法可能在不同的數(shù)據(jù)源、特征集、處理器結(jié)構(gòu)上性能相差甚遠(yuǎn)。我們將結(jié)合具體的硬件（處理器

24、）架構(gòu)和匹配規(guī)則的分布類型，將其抽象為與匹配算法效能相關(guān)的若干關(guān)鍵參數(shù)，計算出當(dāng)前適用的最優(yōu)算法。具體采用動態(tài)和靜態(tài)兩種方式實現(xiàn)自適應(yīng)選擇。如下圖， 圖2. 自適應(yīng)示意圖 靜態(tài)自適應(yīng)在系統(tǒng)初始化時進行，統(tǒng)計各協(xié)議變量特征及相關(guān)匹配模式特征，結(jié)合備選多模式匹配算法的性能特征，為規(guī)則匹配樹節(jié)點選擇最優(yōu)的多模式匹配算法?？刂茀?shù)包括處理器類型、主頻、Cache Line長度、L2Cache容量、存儲器時延、最短模式長度、次短模式長度、模式數(shù)量、模式字符集大小、同前綴模式數(shù)量等等。動態(tài)自適應(yīng)在系統(tǒng)運行過程中采樣統(tǒng)計影響算法效率的網(wǎng)絡(luò)數(shù)據(jù)，如果統(tǒng)計值顯示當(dāng)前網(wǎng)絡(luò)數(shù)據(jù)趨勢穩(wěn)定，則進行動態(tài)算法選擇，

25、確定是否有大幅超過當(dāng)前算法效率的算法模塊存在，并進行調(diào)用。 n 最優(yōu)規(guī)則樹 特征匹配的過程不僅包括串匹配，還有對諸如地址、端口、協(xié)議類型等等許多協(xié)議字段的匹配。為了方便，我們將多個協(xié)議字段構(gòu)成的模式稱為多數(shù)據(jù)類型模式，與上面提到的串模式進行區(qū)分，串模式可以認(rèn)為是多數(shù)據(jù)類型模式的一個子集。在以往的工作中，我們受AC算法的啟發(fā)，將其擴展到多數(shù)據(jù)類型模式匹配，即將多個模式中的相同協(xié)議字段歸并，構(gòu)建一個或多個樹型模式結(jié)構(gòu)，達到一次匹配多個模式的目的。 與串匹配不同的是，多數(shù)據(jù)類型模式中，每種數(shù)據(jù)類型的單次匹配開銷是不同的，在實際運行中的命中幾率也是不同的。同樣是樹型數(shù)據(jù)結(jié)構(gòu)，其最佳效率和最差效率

26、相差可能在一個數(shù)量級以上，如果能將低命中率、低匹配開銷的工作盡可能提前，將會接近最佳的匹配效率。 4.6 智能內(nèi)容過濾技術(shù) 內(nèi)容分析子系統(tǒng)要充分發(fā)揮當(dāng)前處理器所具備的多核能力。一個大的原則就是數(shù)據(jù)交換過程中盡量避免核間和核內(nèi)的臨界鎖以及字符串拷貝，所以數(shù)據(jù)的生產(chǎn)者和消費者應(yīng)該使用一個大的緩沖區(qū)來交換數(shù)據(jù)。傳統(tǒng)的做法就是把這個緩沖區(qū)變成一個環(huán)形隊列，捕包程序和協(xié)議棧程序分別持有一個寫指針和讀指針，只要兩個指針不互相超越就可以。在協(xié)議棧單線程的情況下這種方法沒有問題，但是在多核情況下，為了充分發(fā)揮硬件的計算能力，必須把內(nèi)容分析過濾子系統(tǒng)多線程化（并行化）。 但是上述數(shù)據(jù)交換方式在內(nèi)容分析多線

27、程的情況下就出現(xiàn)了問題。當(dāng)協(xié)議棧多線程的時候，必須使用專門的線程實現(xiàn)捕包程序捕獲的數(shù)據(jù)包的分發(fā)，也就是把數(shù)據(jù)包分發(fā)到相應(yīng)的線程進行處理。這樣問題也就出現(xiàn)了：那個環(huán)形緩沖區(qū)的讀指針不再正確。這是因為，為了避免拷貝操作，分發(fā)線程并沒有將捕包程序捕獲的數(shù)據(jù)進行拷貝以后再分發(fā)，而是直接對其指針進行操作，在這種情況下，分發(fā)程序是不知道協(xié)議棧什么時候能夠分析完成并釋放緩沖區(qū)的，因而分發(fā)程序不可以直接簡單增加環(huán)形隊列的讀指針來申明當(dāng)前緩沖區(qū)以消費完成，可以寫入新的數(shù)據(jù)。又由于協(xié)議棧分析時多線程同時進行，沒有辦法確定每一數(shù)據(jù)包分析完成的時間，這樣很難確定環(huán)形緩沖區(qū)的讀指針了。 為此，天清漢馬USG防火墻采用

28、了如下的解決方法：依然遵循數(shù)據(jù)交換的大原則，依然采用大的緩沖區(qū)來交換數(shù)據(jù)，但是對緩沖區(qū)的形式作一個變換。最初定義的是直接在緩沖區(qū)上定義讀寫指針將緩沖區(qū)當(dāng)成環(huán)形隊列使用，現(xiàn)在不同是緩沖區(qū)不再是一個環(huán)形隊列，而被分成了獨立的兩部分：空閑緩沖區(qū)隊列和已使用緩沖區(qū)隊列。注意這里提到的兩個緩沖區(qū)不是具體的數(shù)據(jù)緩沖區(qū)，而是保存數(shù)據(jù)緩沖區(qū)數(shù)據(jù)單元指針的指針列表。 捕包程序在捕獲一個數(shù)據(jù)包之前，從空閑緩沖區(qū)隊列的頭部取下一個空的存儲單元（為了提高訪問速度，采用內(nèi)存邊界對齊的數(shù)據(jù)單元，比如說2k字節(jié)一個單元），將從網(wǎng)卡讀入的數(shù)據(jù)拷貝到這個緩沖區(qū)以后，捕包程序?qū)⑦@個緩沖單元掛到已使用緩沖隊列的尾部。分析線程在從

29、緩沖區(qū)取數(shù)據(jù)的時候從已使用緩沖隊列的頭部取下一個數(shù)據(jù)單元進行消費，消費完成以后直接將這個數(shù)據(jù)單元掛到待發(fā)送緩沖區(qū)隊列就可以了，這樣既避免的鎖定，也避免了內(nèi)存拷貝。而且可以充分利用緩沖區(qū)的空間。上述過程構(gòu)成了本方案的多目標(biāo)分發(fā)機制。 基于多目標(biāo)分發(fā)的多線程連接級并行的內(nèi)容分析子系統(tǒng)本質(zhì)上是同時運行多個邏輯上獨立的并行內(nèi)容分析協(xié)議棧，結(jié)構(gòu)框如圖示。 圖3. 并行內(nèi)容分析協(xié)議棧 并行協(xié)議棧通過一個數(shù)據(jù)分發(fā)器將捕包系統(tǒng)捕獲的網(wǎng)絡(luò)數(shù)據(jù)包按照IP包首的源地址和目的地址對分發(fā)到相應(yīng)的線程進行處理，并通過一個發(fā)送單元收集器完成數(shù)據(jù)單元的發(fā)送，數(shù)據(jù)發(fā)送完畢以后將發(fā)送單元占用的數(shù)據(jù)單元返回給空閑存儲單元

30、隊列供數(shù)據(jù)捕獲系統(tǒng)使用，讓捕包系統(tǒng)重復(fù)利用這些單元，實現(xiàn)捕包到分析的零拷貝過程。 每一個內(nèi)容分析線程均有一個私有的協(xié)議棧狀態(tài)表和兩個數(shù)據(jù)隊列索引，其中協(xié)議棧狀態(tài)表是協(xié)議棧在進行IP協(xié)議、TCP協(xié)議已經(jīng)上層應(yīng)用協(xié)議還原的時候用來保存上下文信息和暫存數(shù)據(jù)使用，而兩個數(shù)據(jù)隊列索引則分別用來存儲待分析的數(shù)據(jù)塊和已分析塊。這樣，任何一個協(xié)議棧線程在進行數(shù)據(jù)操作的時候都不會和其他協(xié)議棧線程共享數(shù)據(jù)塊，避免協(xié)分析線程間的臨界鎖，提供整個系統(tǒng)的計算吞吐量。 此處的多目標(biāo)分發(fā)機制具有如下特點： l 實現(xiàn)了內(nèi)容分析子模塊從數(shù)據(jù)分析過濾的零拷貝過程 l 避免了核間和核內(nèi)的臨界鎖，極大的提高了內(nèi)容分析子系統(tǒng)的

31、計算資源利用率 4.7 基于應(yīng)用的識別控制 天清漢馬USG防火墻系列擁有目前最完善的應(yīng)用識別特征庫，通過智能分析技術(shù)，將P2P、IM、炒股軟件和在線游戲等協(xié)議的應(yīng)用行為、加密方式、處理動作等特點整理成庫。當(dāng)流量經(jīng)過防火墻時，防火墻啟動過濾引擎，對流量進行特征值的匹配。當(dāng)過濾引擎搜索到與之匹配的特征碼時，防火墻即可應(yīng)用智能識別技術(shù)進行細(xì)粒度控制或一鍵封鎖。 如何快速而準(zhǔn)確地識別各種上網(wǎng)行為，是決定防火墻性能的關(guān)鍵因素。天清漢馬USG防火墻從如下幾個方面保障內(nèi)容識別的高速與準(zhǔn)確。 4.7.1 智能匹配技術(shù) 在特征庫上的設(shè)置上，天清漢馬USG防火墻按照所有上網(wǎng)行為的特點進行了分類，并對P2

32、P、IM、炒股以及在線游戲等上網(wǎng)行為設(shè)置了不同的特征庫。當(dāng)數(shù)據(jù)包到達防火墻時，防火墻首先根據(jù)用戶定制策略將其分配到其對應(yīng)的特征庫管道，如P2P下載行為的流量被輸送到P2P特征庫管道，即時通訊的流量則被輸送到IM特征庫管道。流量被分發(fā)到相應(yīng)的特征庫管道以后，再由相應(yīng)的搜索引擎對流量進行掃描。這樣既大大減少了搜索引擎檢索的時間，又提高了過濾引擎的性能。 4.7.2 多線程掃描技術(shù) 天清漢馬USG防火墻采用多線程掃描技術(shù)，提高了引擎掃描的效率。比如當(dāng)BT數(shù)據(jù)流和MSN數(shù)據(jù)流同時進入防火墻時，防火墻內(nèi)容搜索引擎不是在檢索完BT數(shù)據(jù)流以后再去檢索MSN數(shù)據(jù)流，而是可以同時啟動BT搜索引擎和MSN搜索

33、引擎。兩個搜索引擎同時工作而互不影響。這種多線程處理機制同樣適用于2種以上不同類型的數(shù)據(jù)流同時經(jīng)過防火墻的情況，快速提升了搜索引擎的工作效率。 4.7.3 應(yīng)用感控技術(shù) 啟明星辰新一代P系列防火墻具有與傳統(tǒng)的基于端口和IP協(xié)議不同的方式進行應(yīng)用識別的能力，并執(zhí)行訪問控制策略。例如允許用戶使用QQ的文本聊天、文件傳輸功能但不允許進行語音視頻聊天，或者允許使用WebMail收發(fā)郵件但不允許附加文件等。應(yīng)用識別帶來的額外好處是可以合理優(yōu)化帶寬的使用情況，保證關(guān)鍵業(yè)務(wù)的暢通。雖然嚴(yán)格意義上來講應(yīng)用流量優(yōu)化（俗稱應(yīng)用QoS）不是一個屬于安全范疇的特性，但P2P下載、在線視頻等網(wǎng)絡(luò)濫用確實會導(dǎo)致業(yè)務(wù)中

34、斷等嚴(yán)重安全事件。 圖是網(wǎng)御的 4.8 精確細(xì)致的WEB過濾技術(shù) 天清漢馬USG防火墻系列在內(nèi)容過濾庫的處理上力求收集齊全、分類準(zhǔn)確、更新及時。通過采用網(wǎng)站全智能搜索引擎技術(shù)收集互聯(lián)網(wǎng)站點，并進行智能分類、人工核驗的處理手段。目前天清漢馬USG防火墻支持50多種完善的URL類別，分別涉及色情、暴力、賭博、毒品、犯罪、病毒、體育、財經(jīng)、娛樂等網(wǎng)站分類，這50多個URL類別庫總共包含1000萬以上特征網(wǎng)站，具有分類全，覆蓋面廣的特點。另外，由于在互聯(lián)網(wǎng)上每天都有大量新網(wǎng)站出現(xiàn)，啟明星辰通過在線升級的方式，使URL庫中的網(wǎng)站處于持續(xù)的更新狀態(tài)。 4.9 完備的關(guān)聯(lián)安全標(biāo)準(zhǔn) 啟明星辰具

35、備完備的關(guān)聯(lián)安全標(biāo)準(zhǔn)即（CSC: Correlative Security Criterion），以“面向業(yè)務(wù)的安全架構(gòu)”為技術(shù)理念，以“統(tǒng)一安全，立體防御”為設(shè)計目標(biāo)，參照國際標(biāo)準(zhǔn)，系統(tǒng)地開發(fā)了安全管理協(xié)議、安全聯(lián)動協(xié)議、安全審計協(xié)議等協(xié)議族，構(gòu)成了完備的關(guān)聯(lián)安全標(biāo)準(zhǔn)。 天清漢馬USG防火墻系列全面支持CSC標(biāo)準(zhǔn)，一方面可以保證安全管理中心可以通過安全管理協(xié)議全面掌控防火墻的運行，另一方面通過統(tǒng)一的事件格式、事件等級、發(fā)送協(xié)議，使安全審計中心只要遵從安全審計協(xié)議即可以對防火墻的安全事件進行集中、可視化審計。同時，天清漢馬USG防火墻遵從安全聯(lián)動協(xié)議，可以使主機安全軟件，入侵檢測等系統(tǒng)以

36、防火墻為核心構(gòu)建深度安全防御體系，使網(wǎng)絡(luò)安全從獨立、單一防護的安全產(chǎn)品保護發(fā)展為立體、全面、動態(tài)的防護。 4.10 非法連接過濾技術(shù) 將系統(tǒng)獲取的網(wǎng)絡(luò)數(shù)據(jù)按標(biāo)準(zhǔn)的以太數(shù)據(jù)結(jié)構(gòu)、IP數(shù)據(jù)結(jié)構(gòu)、TCP/UDP數(shù)據(jù)結(jié)構(gòu)，并進行TCP的會話查找，每條會話相對應(yīng)源和目的MAC地址、源和目的IP地址、源和目的端口地址、連接次數(shù)等。 將上述所獲的網(wǎng)絡(luò)連接信息放入網(wǎng)絡(luò)連接知識庫中，該緩沖區(qū)按照索引標(biāo)識、源和目的地址進行合并存放，即相同的源和目的地址將該連接的發(fā)生次數(shù)進行累計計算。 當(dāng)某一連接被釋放，主動要求釋放連接的一端發(fā)送TCP FIN數(shù)據(jù)包，監(jiān)視整個連接的釋放過程，如釋放正常完成，在知識庫中找到相

37、對應(yīng)的TCP會話，將連接發(fā)生的次數(shù)減1。這樣可以始終保證知識庫中存放的是發(fā)生頻率最高的連接。 該算法會以1秒鐘為單位時間，進行流量的統(tǒng)計，如果上1秒鐘的流量大于事先約定的閥值，那么立即進入流量識別模式，如果連接請求可以在知識庫搜索到，則直接放行，并記錄放行的數(shù)據(jù)包數(shù)，否則以上1秒鐘的流量作為樣本，計算放行的概率。 作為拒絕服務(wù)攻擊的主要手段SYN Flood攻擊效果尤為顯著，通常SYN Flood的防范方式為應(yīng)用SYN Cookie機制。它的原理是:在TCP服務(wù)器收到TCP SYN包時，不分配一個專門的數(shù)據(jù)區(qū)，而是根據(jù)這個SYN包計算出一個cookie值，并加載在所回應(yīng)的SYN/ACK包中

38、，在收到TCP ACK包時，TCP服務(wù)器在根據(jù)那個cookie值檢查這個TCP ACK包的合法性。如果合法，再分配專門的數(shù)據(jù)區(qū)進行處理未來的TCP連接。 4.11 IPv6包狀態(tài)過濾技術(shù) 雖然IPv6在網(wǎng)絡(luò)廠商應(yīng)用較為廣泛，但在安全廠商中，支持IPv6的網(wǎng)絡(luò)安全產(chǎn)品（如防火墻、UTM、IPS等）還是較少，啟明星辰支持IPv6功能包括：IPv6環(huán)境下的狀態(tài)包過濾、靜態(tài)路由、OSPF動態(tài)路由、FTP、ALG等基本安全控制，以及IPv6/v4 雙協(xié)議棧功能；設(shè)備在同一信息安全網(wǎng)絡(luò)中同時支持 IPv4 和IPv6協(xié)議的安全控制日漸得到關(guān)注。 5 產(chǎn)品特點 5.1 智能聯(lián)動，協(xié)同

39、防御 天清漢馬USG防火墻通過與已部署的防病毒網(wǎng)關(guān)、IPS、UTM等設(shè)備聯(lián)合抓取病毒源、攻擊檢測源和掛馬網(wǎng)站URL等特征，匯集至云防御服務(wù)器定時收納合并，云防御服務(wù)器動態(tài)更新病毒庫、攻擊特征庫、掛馬庫等并同步到所有啟明星辰安全網(wǎng)關(guān)設(shè)備中，使其他設(shè)備具有防病毒、IPS、防掛馬等功能，同時使其具備更高的處理性能，共同形成整體可信架構(gòu)云防御體系。 圖是網(wǎng)御的 5.2 一鍵式配置，便捷定義安全級別 專為減輕用戶管理負(fù)擔(dān)考慮的一鍵式配置，實現(xiàn)復(fù)雜設(shè)備的簡單管理，降低用戶的管理成本。 高－高安全等級：可定義嚴(yán)格的安全策略，如： 只開通業(yè)務(wù)系統(tǒng) 中－中安全等級：可定義較嚴(yán)格的

40、安全策略，如： 放寬至WEB和Email 低－低安全等級：可定義寬松的安全策略，如：僅對病毒進行過濾 5.3 全開啟性能，高效應(yīng)用防護 下一代防火墻的全開啟應(yīng)用性能是指同時開啟入侵防御和防病毒等主要安全模塊后的性能表現(xiàn)，所以想要突破下一代防火墻產(chǎn)品的應(yīng)用性能瓶頸就必須從優(yōu)化入侵檢測引擎和防病毒引擎兩部分入手。星辰具有業(yè)界領(lǐng)先的入侵檢測引擎和防病毒引擎，同時采用ASIC硬件架構(gòu)，使得USG防火墻應(yīng)用功能都打開整體性能下降小于30%。 6 天清漢馬USG防火墻產(chǎn)品主要功能 網(wǎng)絡(luò) 適應(yīng)性 接入模式 支持透明、路由、混合三種工作模式 支持DHCP Client、

41、DHCP Relay、DHCP Server 支持多透明橋，支持端口聚合 支持PPPoE接入，并具備自動斷線重連技術(shù)，支持多路ADSL撥號，充分利用網(wǎng)絡(luò)資源，整合帶寬 路由 支持靜態(tài)路由，動態(tài)路由，VLAN間路由，單臂路由，組播路由等 支持基于源/目的地址、接口、Metric、服務(wù)的策略路由 支持200個以上的路由表、30000個以上的路由策略選擇 ISP智能選路 內(nèi)置ISP地址列表，可輕松完成基于ISP的策略路由 NAT 支持雙向NAT、動態(tài)地址轉(zhuǎn)換和靜態(tài)地址轉(zhuǎn)換，并支持多對一、一對多和一對一等多種方式的地址轉(zhuǎn)換 IPV6網(wǎng)絡(luò) 支持IPV6穿越，可輕松適應(yīng)電信IPV6

42、及大學(xué)實驗室IPV6環(huán)境 VLAN 支持802.1Q和ISL VLAN封裝協(xié)議，支持兩種封裝的互換以及Vlan Trunk 帶寬管理 基于IP地址、服務(wù)、網(wǎng)口、時間等定義帶寬分配策略 支持最小保證帶寬和最大限制帶寬，支持分層的帶寬管理 動態(tài)協(xié)議 各種工作模式下均支持H.323（H.323 GK）、SIP、FTP、MMS、RTSP、XDMCP、TNS等多種動態(tài)協(xié)議 服務(wù)器負(fù)載均衡 支持多臺服務(wù)器負(fù)載均衡，并且支持服務(wù)器健康檢查機制 支持輪詢、加權(quán)值、最小連接、源/目的地址Hash、局部性最少鏈接等算法 訪問 控制 狀態(tài)檢測 基于源/目的IP地址、MAC地址、域名、端口

43、或協(xié)議、服務(wù)、網(wǎng)口、時間、用戶的訪問控制 基于源/目的IP地址、端口、服務(wù)、網(wǎng)口、時間、應(yīng)用等安全策略的帶寬控制 可基于時間和安全域進行安全隔離，同一時間內(nèi)網(wǎng)主機只能訪問DMZ區(qū)或者只能訪問外網(wǎng) 透明代理 實現(xiàn)基于策略的HTTP、FTP、TELNET、SMTP、POP3等透明代理和深度過濾 IP/MAC綁定 實現(xiàn)IP/MAC地址綁定，且支持IP/MAC地址對的自動探測和唯一性檢查 用戶認(rèn)證 支持基于客戶端的本地認(rèn)證、無客戶端軟件的WEB認(rèn)證，并支持Radius等第三方認(rèn)證 內(nèi)置動態(tài)令牌認(rèn)證服務(wù)器，支持基于動態(tài)令牌的雙因子認(rèn)證 VPN IPSec VPN 支持標(biāo)準(zhǔn)IPSe

44、c協(xié)議，能夠與CISCO、NETSCREEN等知名廠商的VPN設(shè)備互聯(lián)互通 支持預(yù)共享密鑰、證書等認(rèn)證方式且支持動態(tài)口令等擴展認(rèn)證 支持多出口VPN，且支持NAT穿越 支持隧道接力，并可通過隧道接力實現(xiàn)分級的樹狀VPN結(jié)構(gòu)部署 GRE/PPTP/L2TP 支持GRE、PPTP 、L2TP等VPN連接 SSL VPN 包含10個免費并發(fā)用戶許可 支持壓縮，緩存、協(xié)議優(yōu)化等應(yīng)用加速技術(shù),提高訪問速度 支持用戶終端安全檢查，及基于檢測結(jié)果的訪問控制 支持用戶賬號與終端特征綁定。 支持動態(tài)分配虛擬IP，支持虛擬IP與口令用戶或證書用戶進行綁定。 C/S應(yīng)用支持，支持TCP/IP

45、協(xié)議的應(yīng)用，包括：http，Email，F(xiàn)tp，Notes，Outlook，Oracle, SQL等應(yīng)用； 支持基于USBKey的證書認(rèn)證，實現(xiàn)對遠(yuǎn)程接入用戶的身份鑒別，并可根據(jù)用戶類型和分組進行授權(quán) 支持個性門戶（portal）定制化處理，可替換圖片、文字等 入侵 防護 入侵檢測技術(shù) 具有自主知識產(chǎn)權(quán)的檢測引擎，具備基于協(xié)議異常、會話狀態(tài)和七層應(yīng)用行為等的攻擊識別功能。 特征規(guī)則 內(nèi)置IPS特征庫，特征規(guī)則數(shù)量超過2,500條，并可自定義入侵攻擊和應(yīng)用軟件的特征。 協(xié)議分析 支持對HTTP、SMTP、POP3、FTP、Telnet、VLAN、MPLS、ARP、TCP、UD

46、P、RPC、GRE等多種協(xié)議的分析 防護攻擊類型 支持對DoS/DDoS、病毒、蠕蟲、木馬、間諜軟件、廣告軟件、可疑代碼、端口掃描、非法連接、SQL注入、XSS跨站腳本等多種攻擊的防護； 抗ARP攻擊 設(shè)備主動防護ARP攻擊，通過發(fā)送頻率有效定位ARP攻擊源 抗CC攻擊 有效防護CC各種攻擊方式，如直接攻擊，代理攻擊，僵尸網(wǎng)絡(luò)攻擊 連接管理 支持同一主機源會話、目的會話的分別管理 支持動態(tài)學(xué)習(xí)，支持動態(tài)協(xié)議數(shù)據(jù)會話的區(qū)分管理 支持連接排行榜 響應(yīng)方式 支持丟棄封包、切斷會話、限制帶寬、實時報警、記錄日志、郵件報警、聲音報警等多種響應(yīng)方式； 虛擬IPS 支持基于地址、

47、服務(wù)等對象的邏輯虛擬IPS和基于物理端口的物理虛擬IPS。 防病毒 協(xié)議 支持HTTP,SMTP,FTP,PO3P,IMAP等多種協(xié)議下病毒防護，支持自定義非標(biāo)準(zhǔn)端口的HTTP,SMTP,FTP,POP3,IMAP協(xié)議中的病毒檢測 模式 支持路由、透明、混合等各種工作模式下的網(wǎng)絡(luò)病毒檢測，支持無IP地址的透明橋下的網(wǎng)絡(luò)病毒檢測模式，支持VPN 模式下的病毒掃描 支持快速掃描、全面掃描 病毒庫 采用國內(nèi)知名病毒廠商特征庫，可檢測不少于30萬種病毒，支持根據(jù)用戶需求自定義病毒特征 策略 支持根據(jù)不同的源IP地址、目的IP地址、服務(wù)、時間、接口、用戶等，采用不同的病毒防御策略

48、病毒防護模板 系統(tǒng)支持3種病毒防護模板，支持自定義病毒防護模板 壓縮文件 支持tar、gzip、rar、zip等壓縮格式的病毒掃描 斷點續(xù)傳 FTP使用斷點續(xù)傳工具傳輸時，支持病毒檢查 其他防病毒 支持過濾郵件病毒、文件病毒、惡意網(wǎng)頁代碼、木馬后門、蠕蟲等多種類型的病毒 支持對當(dāng)前主流的蠕蟲做檢測與阻斷，例如： RedCode、Slammer、sober等。 響應(yīng)方式 支持基于病毒防護規(guī)則設(shè)置阻斷、清除、記錄日志，發(fā)送電子郵件報警等。 應(yīng)用 監(jiān)控 支持協(xié)議 支持HTTP、SMTP、FTP，還支持POP3等多種應(yīng)用協(xié)議的分析識別和控制。支持協(xié)議命令進行識別和控制，支持

49、針對關(guān)鍵字、附件文件名、惡意JavaScript代碼等信息進行細(xì)粒度控制 P2P控制 識別和控制迅雷、BT、eDonkey、eMule等常見P2P下載軟件 識別和控制PPLive、QQLive、PPStream等常見P2P視頻播放軟件 IM控制 識別和控制QQ、MSN等常用IM軟件，阻斷IM軟件機密文件傳輸 網(wǎng)絡(luò)游戲 識別和控制魔獸、CS、征途、聯(lián)眾、天堂、夢幻西游、仙劍情緣、熱血江湖、勁舞團、誅仙、浩方、泡泡堂等多種在線游戲軟件 炒股軟件 識別和控制大智慧、同花順、國泰君安、證券之星、廣發(fā)證券、指南針、通達信、股票之星、華安證券、和訊報道、錢龍等多種炒股軟件 網(wǎng)頁分類

50、支持52類1700多萬種URL分類庫的訪問控制，可以對色情、反動等多種負(fù)面網(wǎng)站按類別進行選擇控制 反垃圾郵件 支持協(xié)議 支持SMTP, POP協(xié)議下的垃圾郵件檢測，支持禁止郵件Open Relay功能 支持郵件服務(wù)器地址黑名單、發(fā)件人關(guān)鍵字、主題關(guān)鍵字等要素的垃圾郵件過濾功能，能阻斷垃圾郵件源 響應(yīng)方式 支持設(shè)置中斷連接、記錄日志，在郵件中標(biāo)示垃圾郵件等動作 虛擬防火墻 劃分虛擬系統(tǒng) 可將一臺物理設(shè)備，劃分為多個虛擬防火墻系統(tǒng) 網(wǎng)口獨享與共享模式 采用獨享和共享網(wǎng)口模式，最大化復(fù)用防火墻資源 獨立資源 可擁有獨立的系統(tǒng)資源、管理員、安全策略、用戶認(rèn)證數(shù)據(jù)庫等 漏洞

51、 掃描 內(nèi)網(wǎng)主機漏洞掃描 后門、服務(wù)探測、文件共享、系統(tǒng)補丁、IE漏洞等主動式掃描 主動 防御 惡意站點防護 通過對訪問目標(biāo)URL過濾的方式，阻止對含木馬網(wǎng)/病毒網(wǎng)站、釣魚網(wǎng)站、僵尸網(wǎng)絡(luò)的訪問，要求內(nèi)置惡意URL地址庫，提供相關(guān)解決方案說明 關(guān)聯(lián)安全應(yīng)用 關(guān)聯(lián)安全 支持關(guān)聯(lián)安全標(biāo)準(zhǔn)(CSC) 可與終端管理系統(tǒng)協(xié)同工作，實現(xiàn)對終端的網(wǎng)絡(luò)準(zhǔn)入認(rèn)證控制，提供協(xié)同工作原理 管理 配置 系統(tǒng)管理 支持友好的Web圖形界面配置，支持遠(yuǎn)程SSH和串口命令行配置 支持?jǐn)?shù)字證書和電子鑰匙兩種管理員認(rèn)證方式，支持管理員權(quán)限分級 支持SNMP管理，與當(dāng)前通用的網(wǎng)絡(luò)管理平臺兼容 可進

52、行配置文件的備份、下載、恢復(fù)和上傳，可導(dǎo)出可讀的配置文件并進行打印存檔 系統(tǒng)監(jiān)控 支持對CPU、內(nèi)存、磁盤、網(wǎng)口、用戶在線狀態(tài)、連接數(shù)、路由表等信息的監(jiān)控 日志報警 支持設(shè)備內(nèi)存儲和專用事件分析服務(wù)器兩種日志管理方式 支持分級報警，支持SNMP Trap和郵件等報警方式 集中管理 可通過專用的集中管理系統(tǒng)實現(xiàn)對安全網(wǎng)關(guān)的集中設(shè)備監(jiān)控、集中日志審計、安全報警以及策略的分發(fā)等功能 可通過專用的集中管理系統(tǒng)，實現(xiàn)對網(wǎng)絡(luò)拓?fù)涞墓芾?，基于域的?quán)限分配和報表自動生成 可提供專用的軟件實現(xiàn)對安全網(wǎng)關(guān)接入用戶認(rèn)證的集中管理，至少可同時管理2048臺防火墻 支持策略的集中制定、修改與統(tǒng)一配發(fā)

53、，提供分級的策略管理功能 一鍵式管理 支持一鍵式網(wǎng)關(guān)策略配置和分級保護，具有易用、智能的管理配置方式，提供外置按鍵的配置的方式，每個按鍵均對應(yīng)一個已預(yù)設(shè)的策略模板，即使非專業(yè)的管理員，也可以方便的進行配置管理；支持安全等級保護的快捷配置方式 高可 用性 負(fù)載均衡 支持基于VRRP技術(shù)的熱備和負(fù)載均衡 支持多重冗余協(xié)議(MRP)，實現(xiàn)鏈路備份、端口備份、熱備份、集群備份等 支持防火墻多WAN口備份和負(fù)載均衡 支持基于802.3ad標(biāo)準(zhǔn)的多端口聚合，實現(xiàn)零成本擴展帶寬 通過狀態(tài)同步技術(shù)實現(xiàn)2～32臺防火墻的多機集群 雙機熱備 在NAT、路由、透明模式下支持A-A,A-S模式

54、，且切換時間小于1秒 可在熱備和集群工作模式下支持多臺防火墻的配置自動同步 升級 周期 病毒庫 支持病毒特征升級服務(wù)，日常病毒特征升級周期小于3天，緊急病毒特征升級周期小于2天 入侵庫 入侵防御特征升級服務(wù)周期小于3天 升級方式 支持靈活的升級方式，提供遠(yuǎn)程升級服務(wù)，支持包括主動、被動、定時、本地4種升級類型，定時升級服務(wù)支持按周，日，小時3類，支持用戶自定義升級服務(wù)器 7 典型組網(wǎng) 7.1 政府行業(yè) 7.1.1 電子政務(wù)網(wǎng) 電子政務(wù)網(wǎng)是各級政府為了加強信息化建設(shè)，通過互聯(lián)網(wǎng)或者租用專線的方式把下屬委、辦、局以及下一級政府單位的局域網(wǎng)進行互聯(lián)的網(wǎng)絡(luò)。不同地區(qū)電子

55、政務(wù)網(wǎng)在組網(wǎng)模式和建設(shè)思路上存在一定的差異化，但總體的網(wǎng)絡(luò)結(jié)構(gòu)如下： 圖4. 電子政務(wù)網(wǎng)總體結(jié)構(gòu)圖 電子政務(wù)網(wǎng)分為內(nèi)網(wǎng)和外網(wǎng)。 天清漢馬USG防火墻部署在各單位與外單位互聯(lián)的出口，防止來自其他單位的入侵攻擊等威脅，同時對電子政務(wù)內(nèi)網(wǎng)用戶相互間訪問進行控制與日志審計，可有效檢測和控制內(nèi)部員工越權(quán)行為，并向管理員發(fā)出告警。 電子政務(wù)外網(wǎng)在建設(shè)模型上與內(nèi)網(wǎng)相似，多數(shù)也是采用專線或裸光纖的方式建網(wǎng)，外網(wǎng)與Internet邏輯隔離。天清漢馬USG防火墻部署在各單位與互聯(lián)網(wǎng)的出口，用于防止來自互聯(lián)網(wǎng)的入侵威脅，并且可以作為邊緣接入路由器部署。 天清漢馬USG提供統(tǒng)一管理平臺，可以通過信息

56、中心統(tǒng)一管理全網(wǎng)的USG防火墻設(shè)備，并提供詳盡直觀的報表，能夠讓管理員迅速了解到整個網(wǎng)絡(luò)的存在的安全風(fēng)險和趨勢，為決定如何制定安全策略提供依據(jù)。 7.1.2 政府專網(wǎng) 政府專網(wǎng)是各部委與下屬單位信息互聯(lián)的網(wǎng)絡(luò)。 政府專網(wǎng)全部采用專線或裸光纖的方式構(gòu)建。專網(wǎng)的安全系統(tǒng)一般采用下級信任上級的方式來建設(shè)，即只需要考慮上級單位對下級單位訪問的安全防護。專網(wǎng)系統(tǒng)一般來說，只在一級單位設(shè)互聯(lián)網(wǎng)出口，各下屬單位的互聯(lián)網(wǎng)訪問都從總部出口。 在互聯(lián)網(wǎng)出口部署USG防火墻設(shè)備能夠?qū)λ袕幕ヂ?lián)網(wǎng)的進出的流量進行過濾，防止來之互聯(lián)網(wǎng)的入侵，并且對專網(wǎng)內(nèi)用戶訪問互聯(lián)網(wǎng)的內(nèi)容進行過濾和審計。 在每個政府單位和下

57、級單位的接口部署USG防火墻設(shè)備，可以有效防范來自下級單位的越權(quán)訪問和惡意攻擊。天清漢馬同時可以作為邊緣路由器接入網(wǎng)絡(luò)。 天清漢馬USG防火墻提供統(tǒng)一管理平臺，可以通過信息中心統(tǒng)一管理全網(wǎng)的USG防火墻設(shè)備，并提供詳盡直觀的報表，能夠讓管理員迅速了解到整個網(wǎng)絡(luò)的存在的安全風(fēng)險和趨勢，為決定如何制定安全策略提供依據(jù)。 圖5. 政府專網(wǎng)結(jié)構(gòu)示意圖 7.2 教育行業(yè) 7.2.1 高教校園網(wǎng) 高校校園網(wǎng)出口一般會和多個ISP互聯(lián)，同時和CERNET互聯(lián)。 USG防火墻設(shè)備部署在高校網(wǎng)絡(luò)出口，可以抵御來自互聯(lián)網(wǎng)的威脅，保護DMZ區(qū)服務(wù)器免受攻擊，以及學(xué)生對學(xué)校重要服務(wù)器的攻擊。同時，開啟

58、策略路由功能，網(wǎng)絡(luò)流量進行分流處理。對于高校出口帶寬占用率一直高居不下是一直困擾網(wǎng)管人員的問題，天清漢馬USG防火墻可以提供完整的帶寬管理解決方案。天清漢馬USG防火墻通過Netflow功能對網(wǎng)絡(luò)出口的流量進行統(tǒng)計，分析帶寬使用趨勢，同時對帶寬占用較大的P2P流量進行限制和封鎖，讓校園網(wǎng)出口的帶寬得到充分的利用。 對于校園網(wǎng)內(nèi)的各學(xué)生宿舍、圖書館、教學(xué)樓等單位，與學(xué)校網(wǎng)絡(luò)中心的接口通過透明模式接入天清漢馬USG防火墻，同時開啟網(wǎng)頁內(nèi)容過濾功能，防止學(xué)生訪問不良網(wǎng)站。 圖6. 高教校園網(wǎng)結(jié)構(gòu)示意圖 7.2.2 中/基教教育城域網(wǎng) 中基市場中，連接Internet通常有兩種方式，一種

59、為通過ISP與 Internet直接連接，另外一種為通過教育城域網(wǎng)與Internet統(tǒng)一連接。 對于前者，學(xué)校通常在網(wǎng)絡(luò)出口處部署一臺USG防火墻設(shè)備，防御來自互聯(lián)網(wǎng)的攻擊，同時開啟Web內(nèi)容過濾功能，防止學(xué)生利用利用網(wǎng)絡(luò)瀏覽不良網(wǎng)站。 對于后者，只需要在地區(qū)教委的Internet出口部署USG防火墻設(shè)備既可以防御來自互聯(lián)網(wǎng)的威脅，又可以做到對所轄區(qū)域?qū)W校訪問互聯(lián)網(wǎng)的流量進行統(tǒng)一管理，統(tǒng)一過濾各學(xué)校訪問不良網(wǎng)站的流量。 圖7. 中/基教校園網(wǎng)結(jié)構(gòu)示意圖 7.3 企業(yè)市場 7.3.1 中小企業(yè) 在全國范圍內(nèi)擁有分支機構(gòu)的中小企業(yè)網(wǎng)絡(luò)，大都通過互聯(lián)網(wǎng)來實現(xiàn)總部與分支機構(gòu)的互聯(lián)互通。

60、 圖8. 中小企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)示意圖 部署USG防火墻設(shè)備讓中小企業(yè)用戶可以在一個統(tǒng)一的架構(gòu)上建立自己的安全基礎(chǔ)設(shè)施，而以往困擾用戶的安全產(chǎn)品協(xié)調(diào)性、資金和技術(shù)匱乏和缺乏中小企業(yè)級安全解決方案等問題也能夠得到完全解決。 USG防火墻設(shè)備產(chǎn)品部署在總部和分支機構(gòu)網(wǎng)絡(luò)Internet出口，抵御來自互聯(lián)網(wǎng)攻擊威脅。同時可作為VPN網(wǎng)關(guān)，各分支機構(gòu)與總部之間開啟VPN隧道，保證相互間通信的保密性。SOHO員工和在外出差的員工可以在任何時候通過VPN客戶端與總部的天清漢馬USG防火墻建立VPN隧道，訪問公司內(nèi)部的資源，實現(xiàn)高效安全的網(wǎng)絡(luò)應(yīng)用。 7.3.2 大型企業(yè) 對于大型企業(yè)，網(wǎng)絡(luò)規(guī)模較大

61、、用戶數(shù)量多、業(yè)務(wù)系統(tǒng)較多，網(wǎng)絡(luò)建設(shè)類似于城域網(wǎng)。在安全建設(shè)方面也存在多點建設(shè)，除去在集團總部的互聯(lián)網(wǎng)出口需要安全防控外，各下屬單位也有安全防護需求。 圖9. 大型企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)示意圖 在總部互聯(lián)網(wǎng)出口部署的天清漢馬USG防火墻能夠抵御來自互聯(lián)網(wǎng)的入侵攻擊，同時為出差員工提供VPN接入，確保通信的保密性。 在各單位出口部署USG防火墻設(shè)備，可以有效控制不同部門之間的越權(quán)訪問。 天清漢馬USG防火墻提供統(tǒng)一管理平臺，可以通過信息中心統(tǒng)一管理全網(wǎng)的USG防火墻設(shè)備，并提供詳盡直觀的報表，能夠讓管理員迅速了解到整個網(wǎng)絡(luò)的存在的安全風(fēng)險和趨勢，為決定如何制定安全策略提供依據(jù)。 ..