天清漢馬USG防火墻技術(shù)白皮書V.

《天清漢馬USG防火墻技術(shù)白皮書V.》由會(huì)員分享，可在線閱讀，更多相關(guān)《天清漢馬USG防火墻技術(shù)白皮書V.（21頁(yè)珍藏版）》請(qǐng)?jiān)谘b配圖網(wǎng)上搜索。

1、天清漢馬USG防火墻 技術(shù)白皮書 二零一一年十一月 版 權(quán) 聲 明 北京啟明星辰信息安全技術(shù)版權(quán)所有，并保留對(duì)本文檔及本聲明的最終解釋權(quán)和修改權(quán)。 本文檔中出現(xiàn)的任何文字?jǐn)⑹?、文檔格式、插圖、照片、方法、過(guò)程等內(nèi)容，除另有特別注明外，其著作權(quán)或其他相關(guān)權(quán)利均屬于北京啟明星辰信息安全技術(shù)。未經(jīng)北京啟明星辰信息安全技術(shù)書面同意，任何人不得以任何方式或形式對(duì)本手冊(cè)內(nèi)的任何部分進(jìn)行復(fù)制、摘錄、備份、修改、傳播、翻譯成其它語(yǔ)言、將其全部或部分用于商業(yè)用途。 “天清漢馬”為啟明星辰信息技術(shù)的注冊(cè)商標(biāo)，不得侵犯。 免責(zé)條款 本文檔依據(jù)現(xiàn)有信息制作，其內(nèi)容如有更改，恕不另行通知。 北京啟

2、明星辰信息安全技術(shù)在編寫該文檔的時(shí)候已盡最大努力保證其內(nèi)容準(zhǔn)確可靠，但北京啟明星辰信息安全技術(shù)不對(duì)本文檔中的遺漏、不準(zhǔn)確、或錯(cuò)誤導(dǎo)致的損失和損害承擔(dān)責(zé)任。 信息反饋 如有任何寶貴意見，請(qǐng)反饋： 信箱：北京市海淀區(qū)東北旺西路8號(hào)中關(guān)村軟件園21號(hào)樓啟明星辰大廈 ：100094 ：010-82779088 ：010-82779000 您可以訪問啟明星辰網(wǎng)站：獲得最新技術(shù)和產(chǎn)品信息。目 錄 1概述3 2產(chǎn)品綜述4 2.1產(chǎn)品綜述4 2.2特點(diǎn)說(shuō)明4 3體系架構(gòu)說(shuō)明6 3.1產(chǎn)品構(gòu)成6 3.2硬件結(jié)構(gòu)6 3.3軟件結(jié)構(gòu)8 3.4管理結(jié)構(gòu)9 4關(guān)鍵技

3、術(shù)11 4.1多核智能駕馭技術(shù)11 4.2事件關(guān)聯(lián)分析技術(shù)與歸并處理機(jī)制12 4.3高速深層檢測(cè)技術(shù)12 4.4智能內(nèi)容過(guò)濾技術(shù)15 4.5數(shù)據(jù)監(jiān)控NetFlow技術(shù)17 4.6非法連接過(guò)濾技術(shù)18 5典型組網(wǎng)19 5.1政府行業(yè)19 電子政務(wù)網(wǎng)19 政府專網(wǎng)20 5.2教育行業(yè)22 高教校園網(wǎng)22 中/基教教育城域網(wǎng)23 5.3企業(yè)市場(chǎng)24 中小企業(yè)24 大型企業(yè)25 1 概述 誕生20多年來(lái)，網(wǎng)絡(luò)已經(jīng)在全球經(jīng)濟(jì)中扎根發(fā)芽，蓬勃成長(zhǎng)為參天大樹，對(duì)各個(gè)行業(yè)的發(fā)展起著舉足輕重的作用。隨著時(shí)間的推移，網(wǎng)絡(luò)的安全問題也日益嚴(yán)重，在開放的網(wǎng)絡(luò)環(huán)境中，網(wǎng)絡(luò)邊界安全

4、成為網(wǎng)絡(luò)安全的重要組成部分。在網(wǎng)絡(luò)安全的術(shù)語(yǔ)里，有一個(gè)名詞叫做“安全域”，其主要作用就是將網(wǎng)絡(luò)按照業(yè)務(wù)、保護(hù)等級(jí)、行為等方面劃分出不同的邊界，定義出各自的安全領(lǐng)域。舉個(gè)簡(jiǎn)單的例子，在PC上安裝了相關(guān)的殺毒軟件，PC本身就是一個(gè)最簡(jiǎn)單的安全域。對(duì)于單位用戶，安全域往往由若干網(wǎng)絡(luò)設(shè)備和用戶主機(jī)構(gòu)成，其邊界安全主要在于與互聯(lián)網(wǎng)的邊界、與其他業(yè)務(wù)網(wǎng)絡(luò)的邊界等。 防火墻是解決網(wǎng)絡(luò)邊界安全的重要設(shè)備，它主要工作在網(wǎng)絡(luò)層之下，通過(guò)對(duì)協(xié)議、地址和服務(wù)端口的識(shí)別和控制達(dá)到防范入侵的目的，可以有效的防范基于業(yè)務(wù)端口的攻擊。 天清漢馬USG防火墻是北京啟明星辰信息安全技術(shù)憑借在信息安全領(lǐng)域多年的經(jīng)驗(yàn)積累，總結(jié)分

5、析用戶的切身需求，推出新一代的防火墻產(chǎn)品。天清漢馬USG防火墻采用高性能的硬件架構(gòu)和一體化的軟件設(shè)計(jì)，除了實(shí)現(xiàn)了狀態(tài)檢測(cè)防火墻功能，還同時(shí)支持VPN、外聯(lián)控制、抗拒絕服務(wù)攻擊（Anti-DoS）、內(nèi)容過(guò)濾、NetFlow、虛擬防火墻等多種安全技術(shù)，同時(shí)全面支持QoS、高可用性（HA）、日志審計(jì)等功能，為網(wǎng)絡(luò)邊界提供了全面實(shí)時(shí)的安全防護(hù)。 天清漢馬USG防火墻可通過(guò)軟件升級(jí)的方式，獲得對(duì)完整的UTM特性的支持，包括防病毒（AV）、入侵防御（IPS）、防垃圾郵件（Anti-Spam）和內(nèi)網(wǎng)安全功能。 天清漢馬USG防火墻產(chǎn)品線豐富，可以為政府、教育、金融、企業(yè)、能源、運(yùn)營(yíng)商等用戶提供所需要的全

6、系列的安全防護(hù)產(chǎn)品。 2 產(chǎn)品綜述 2.1 產(chǎn)品綜述 天清漢馬USG防火墻采用了業(yè)界最先進(jìn)的基于MIPS64的多核硬件架構(gòu)和一體化的軟件設(shè)計(jì)，集防火墻、VPN、上網(wǎng)行為管理、抗拒絕服務(wù)攻擊（Anti-DoS）、內(nèi)容過(guò)濾、NetFlow、虛擬防火墻等多種安全技術(shù)于一身，高性能、綠色低碳，同時(shí)全面支持各種路由協(xié)議、QoS、高可用性（HA）、日志審計(jì)等功能，為網(wǎng)絡(luò)邊界提供了全面實(shí)時(shí)的安全防護(hù)，幫助用戶抵御日益復(fù)雜的安全威脅。 天清漢馬USG防火墻采用了一體化的設(shè)計(jì)方案，在一個(gè)產(chǎn)品中協(xié)調(diào)統(tǒng)一地實(shí)現(xiàn)了接入安全需要考慮的方方面面。采用天清漢馬USG防火墻，可以從整體上解決了接入安全的問題。用戶可不

7、必考慮產(chǎn)品部署、兼容性等困惑，也不再因?yàn)槎鄠€(gè)產(chǎn)品難于維護(hù)管理而苦惱，天清漢馬USG防火墻是低成本、高效率、易管理的理想解決方案。 天清漢馬USG防火墻產(chǎn)品線豐富，可以為政府、教育、金融、企業(yè)、能源、運(yùn)營(yíng)商等用戶提供所需要的全系列的安全防護(hù)產(chǎn)品。 自從天清漢馬USG防火墻推向市場(chǎng)以來(lái)，很快就憑借其強(qiáng)大的功能和在實(shí)際應(yīng)用中優(yōu)異表現(xiàn)，贏得了眾多機(jī)構(gòu)和用戶的廣泛贊譽(yù)。 2.2 特點(diǎn)說(shuō)明 天清漢馬USG防火墻具有如下特點(diǎn)： l 完善的防火墻特性 2 支持基于源IP、目的IP、源端口、目的端口、時(shí)間、服務(wù)、用戶、文件、網(wǎng)址、關(guān)鍵字、郵件地址、腳本、MAC地址等方式進(jìn)行訪問控制 2 支持流量管

8、理、連接數(shù)控制、IP+MAC綁定、用戶認(rèn)證等 2 支持虛擬防火墻：可以將接口劃分給不同的虛擬防火墻，每個(gè)虛擬防火墻具有獨(dú)立的管理員、安全域、資源對(duì)象、安全策略、NAT規(guī)則、靜態(tài)路由等配置 2 同終端無(wú)縫結(jié)合：支持同天珣內(nèi)網(wǎng)安全管理系統(tǒng)聯(lián)動(dòng)，將防火墻防御能力推進(jìn)到桌面終端 l 高網(wǎng)絡(luò)適用性 2 支持透明、路由和NAT模式部署 2 支持靜態(tài)路由、策略路由、RIP/OSPF/BGP動(dòng)態(tài)路由，支持等價(jià)路由ECMP和加權(quán)路由WCMP，支持組播路由 2 支持STP，可以同二層網(wǎng)絡(luò)設(shè)備進(jìn)行生成樹計(jì)算 2 支持IGMP Snooping，優(yōu)化在橋模式下的組播流量 2 支持私有HA和VRRP

9、2 支持IPv6：支持IPv4、IPv6雙棧運(yùn)行、靜態(tài)IPv6路由、手工隧道、6to4隧道和ISATAP隧道。 2 支持鏈路聚合，可通過(guò)手動(dòng)方式、IEEE802.3ad 靜態(tài)LACP方式創(chuàng)建聚合鏈路；通過(guò)鏈路聚合可以增加鏈路帶寬，并起到負(fù)載均衡和鏈路備份的作用 l 高穩(wěn)定性和可靠性 2 采用多核MIPS架構(gòu)，產(chǎn)品具有高性能，同時(shí)多核之間互為備份，可靠性高 2 支持私有協(xié)議HA和VRRP，實(shí)現(xiàn)雙機(jī)熱備和冗余 2 支持雙操作系統(tǒng)和多配置文件，最大支持10個(gè)配置文件備份 l 全面的VPN支持 2 多VPN支持：IPSec、L2TP、SSL VPN、GRE 2 豐富的應(yīng)用：專用VPN客

10、戶端、USBKEY、動(dòng)態(tài)口令卡、圖形認(rèn)證碼 2 靈活的部署：Hub-Spoken、Full-Mesh、DVPN、網(wǎng)關(guān)－網(wǎng)關(guān)的SSL VPN 2 支持對(duì)IPAD、IPHONE等移動(dòng)終端的VPN接入 l 完善的上網(wǎng)行為管理功能 2 采用獨(dú)立的上網(wǎng)行為管理庫(kù)，通過(guò)互聯(lián)網(wǎng)實(shí)現(xiàn)每周更新。 2 P2P控制：對(duì)Emule、BitTorrent、Maze、Kazaa等進(jìn)行阻斷、限速 2 IM控制：基于黑白名單的IM登錄控制、文件傳輸阻止、查毒；支持主流IM軟件如QQ、MSN、雅虎通、Gtalk、Skype 2 流媒體控制：對(duì)流媒體應(yīng)用進(jìn)行阻斷或限速，支持Kamun ppfilm 、PPLive

11、、PPStream、QQ直播、TVAnts、沸點(diǎn)網(wǎng)絡(luò)電視、貓撲播霸等 2 網(wǎng)絡(luò)游戲控制：對(duì)常見網(wǎng)絡(luò)游戲如魔獸世界、征途、QQ游戲大廳、聯(lián)眾游戲大廳等的阻斷 2 股票軟件控制：對(duì)常用股票軟件如同花順、大參考、大智慧等的阻斷 l 強(qiáng)大的日志報(bào)表功能 2 記錄內(nèi)容豐富：可對(duì)防火墻日志、攻擊日志、病毒日志、帶寬使用日志、Web訪問日志、Mail發(fā)送日志、關(guān)鍵資產(chǎn)訪問日志、用戶登錄日志等進(jìn)行記錄 2 日志快速查詢：可對(duì)IP地址、端口、時(shí)間、危急程度、日志內(nèi)容關(guān)鍵字等進(jìn)行查詢 2 報(bào)表貼近需求：根據(jù)用戶具體需求，定制報(bào)表內(nèi)容、定制報(bào)名名稱、定制企業(yè)LOGO，并可形成多種格式的報(bào)表文件。 l

12、方便的集中管理功能 2 通過(guò)集中管理與數(shù)據(jù)分析中心實(shí)現(xiàn)對(duì)多臺(tái)設(shè)備的統(tǒng)一管理、實(shí)時(shí)監(jiān)控、集中升級(jí)和拓?fù)湔故尽? 3 體系架構(gòu)說(shuō)明 3.1 產(chǎn)品構(gòu)成 天清漢馬USG防火墻主要由兩部分組成：USG防火墻設(shè)備和天清集中管理與數(shù)據(jù)分析中心。 USG防火墻設(shè)備：即部署在網(wǎng)絡(luò)出口，融合多種安全能力，針對(duì)惡意攻擊、非法活動(dòng)和網(wǎng)絡(luò)資源濫用等威脅，實(shí)現(xiàn)精確防控的高可靠、高性能、易管理的網(wǎng)關(guān)安全設(shè)備。 天清集中管理與數(shù)據(jù)分析中心：主要功能分為集中管理功能與數(shù)據(jù)分析功能，集中管理是對(duì)USG防火墻設(shè)備的集中管理、統(tǒng)一監(jiān)控和升級(jí)中心，通過(guò)它可以集中配置、監(jiān)控和管理所管轄的多臺(tái)USG防火墻設(shè)備，并按照一定的規(guī)則組

13、織成層次結(jié)構(gòu)，方便管理員對(duì)于整網(wǎng)USG防火墻設(shè)備的監(jiān)控維護(hù)工作；數(shù)據(jù)分析中心是USG防火墻設(shè)備海量信息的后臺(tái)處理中心。主要完成USG防火墻設(shè)備日志和流量信息的存儲(chǔ)、分析、審計(jì)和處理功能。 3.2 硬件結(jié)構(gòu) 隨著Internet的迅速普及，一方面全球范圍內(nèi)的網(wǎng)絡(luò)病毒、黑客攻擊、操作系統(tǒng)漏洞、垃圾郵件等網(wǎng)絡(luò)安全問題層出不窮，且變化越來(lái)越快，危害越來(lái)越大；另一方面，隨著網(wǎng)絡(luò)應(yīng)用的增加，對(duì)網(wǎng)絡(luò)帶寬提出了更高的要求。那么安全網(wǎng)關(guān)作為保障網(wǎng)絡(luò)安全的第一道防線，究竟何種硬件架構(gòu)最適合防火墻產(chǎn)品？ 要滿足未來(lái)信息安全產(chǎn)品適應(yīng)信息高速膨脹的發(fā)展趨勢(shì)，提升開放平臺(tái)的硬件性能，即是必然趨勢(shì)也是滿足未來(lái)應(yīng)用需求

14、的關(guān)鍵要素。在這樣一個(gè)開放性平臺(tái)應(yīng)用需求的驅(qū)動(dòng)力下，多核技術(shù)應(yīng)運(yùn)而生。這里所說(shuō)的多核并不是基于X86的2核、4核這樣的CPU，而是在網(wǎng)絡(luò)、安全設(shè)備上最新使用的基于MIPS64的多核SoC（System on Chip）處理器，此類多核SoC處理器目前可支持到16核，并隨著安全計(jì)算需求的不斷增加而繼續(xù)提升。 相比X86、NP、ASIC硬件平臺(tái)，SoC多核平臺(tái)的最大優(yōu)勢(shì)是保留了X86平臺(tái)的高靈活性（這一點(diǎn)對(duì)于安全設(shè)備的應(yīng)用層檢測(cè)非常關(guān)鍵），同時(shí)具備與ASIC平臺(tái)相當(dāng)?shù)母咛幚硇阅堋Ｍ瑫r(shí)，通過(guò)增加核數(shù)，使線性提升硬件計(jì)算能力成為了可能，更重要的是功耗也隨之得到了控制（圖2）。 圖1. 不同硬件架構(gòu)

15、比較 多核架構(gòu)在支撐靈活性和高性能的同時(shí)，帶來(lái)的另一個(gè)卓有成效的經(jīng)濟(jì)效益是低碳、節(jié)能。 對(duì)信息安全產(chǎn)品而言，減排、低功耗是實(shí)現(xiàn)“低碳經(jīng)濟(jì)”最主要的節(jié)能目標(biāo)。多核架構(gòu)的主要優(yōu)勢(shì)為一顆芯片上集成了多個(gè)核，核與核之間可以協(xié)同工作，同時(shí)在各個(gè)核周邊還集成了豐富的安全協(xié)處理硬件，如硬件加密、正則匹配和應(yīng)用加速等，高集成度的特點(diǎn)簡(jiǎn)化了整體硬件板卡的復(fù)雜度和能耗。同樣的應(yīng)用，對(duì)于X86通用硬件平臺(tái)，需要1顆甚至多顆高頻率CPU，同時(shí)需要南北橋芯片組、通過(guò)PCI擴(kuò)展的硬件加速板卡或應(yīng)用加速卡等，一系列配套芯片設(shè)計(jì)使能耗遠(yuǎn)遠(yuǎn)高于同檔次多核SoC專用硬件平臺(tái)。根據(jù)功耗對(duì)比測(cè)試，多核SoC硬件平臺(tái)實(shí)際功耗僅為同

16、檔次X86平臺(tái)的1/3左右。 在高效能、低炭排放的同時(shí)，多核架構(gòu)帶給信息安全產(chǎn)業(yè)的另一個(gè)優(yōu)勢(shì)為高質(zhì)量。高度集成的SoC處理器降低了硬件平臺(tái)的整體復(fù)雜度，硬件的簡(jiǎn)化促使故障率可以降低到1％以下（X86平臺(tái)故障率通常為5％以上），達(dá)到電信級(jí)標(biāo)準(zhǔn)。 圖2. 天清漢馬USG基于MIPS64的多核硬件架構(gòu) 為了滿足云計(jì)算的安全趨勢(shì)，2010年啟明星辰USG防火墻產(chǎn)品全面切換為基于MIPS64的多核SoC硬件架構(gòu)，為用戶網(wǎng)絡(luò)提供更加安全、高效、可靠、環(huán)保和節(jié)能的安全網(wǎng)關(guān)產(chǎn)品。 3.3 軟件結(jié)構(gòu) 防火墻作為網(wǎng)關(guān)類產(chǎn)品，究竟什么樣的軟件結(jié)構(gòu)更有利于提升整體性能？那么首先需要知道什么是性能消耗的關(guān)鍵業(yè)

17、務(wù)單元。啟明星辰通過(guò)對(duì)網(wǎng)關(guān)類產(chǎn)品單一分析處理引擎的詳細(xì)分析和試驗(yàn)驗(yàn)證，得出網(wǎng)關(guān)類產(chǎn)品性能消耗50％來(lái)自于模式匹配，25％來(lái)自于協(xié)議重組、25％來(lái)自于報(bào)文重組的結(jié)論。 圖3. 網(wǎng)關(guān)分析處理引擎性能消耗分析 如何融合分析處理引擎，合并性能消耗關(guān)鍵業(yè)務(wù)單元成為防火墻產(chǎn)品軟件結(jié)構(gòu)設(shè)計(jì)首要考慮的問題。 基于研究數(shù)據(jù)，啟明星辰在天清漢馬USG防火墻的軟件結(jié)構(gòu)設(shè)計(jì)上引入了一體化的設(shè)計(jì)理念。即將防火墻、VPN、內(nèi)容過(guò)濾和流量管理等各項(xiàng)功能的分析處理引擎進(jìn)行一體化設(shè)計(jì)，以達(dá)到性能最優(yōu)的目的。 天清漢馬USG防火墻本著安全高效原則，采用“檢測(cè)與控制相分離，引擎特征相統(tǒng)一”的一體化設(shè)計(jì)思想：人機(jī)界面、報(bào)文接

18、收模塊、報(bào)文處理模塊、報(bào)文發(fā)送模塊和支撐庫(kù)。網(wǎng)絡(luò)報(bào)文首先通過(guò)報(bào)文接收模塊進(jìn)行預(yù)處理后進(jìn)入報(bào)文處理模塊，在報(bào)文處理模塊，防火墻進(jìn)行2－3層過(guò)濾，VPN負(fù)責(zé)接入控制；其次模塊匹配引擎和行為分析引擎分別根據(jù)統(tǒng)一特征庫(kù)和行為知識(shí)庫(kù)進(jìn)行匹配查找；最后，對(duì)于合法報(bào)文直接交由報(bào)文發(fā)送模塊進(jìn)行報(bào)文轉(zhuǎn)發(fā)，對(duì)于非法報(bào)文，送交相應(yīng)的處理引擎進(jìn)行處理。整個(gè)過(guò)程的日志信息和數(shù)據(jù)流量信息送集中管理與數(shù)據(jù)分析中心監(jiān)控和備案，管理中心負(fù)責(zé)整體的配置和調(diào)整。 3.4 管理結(jié)構(gòu) 優(yōu)秀的管理系統(tǒng)是產(chǎn)品能否有效利用的關(guān)鍵，天清漢馬USG防火墻提供了靈活且豐富的管理系統(tǒng)。包括簡(jiǎn)潔的單機(jī)管理器，也包括適合網(wǎng)關(guān)批量部署的分布式的集中統(tǒng)

19、一管理中心；既提供了設(shè)備配置管理能力，又提供了強(qiáng)大的數(shù)據(jù)分析能力。產(chǎn)品的管理結(jié)構(gòu)具體如下圖： 圖4. 天清漢馬USG管理結(jié)構(gòu)示意圖 天清漢馬USG防火墻提供集中管理和單機(jī)管理相結(jié)合的雙重管理機(jī)制。在USG防火墻設(shè)備軟件中集成了Web Server和Manage agent功能，Web Server提供本地單機(jī)方式的Web管理；Manage agent提供集中管理和數(shù)據(jù)分析中心的信息采集和發(fā)送任務(wù)。整個(gè)傳輸過(guò)程采用SSL加密機(jī)制。 天清漢馬USG防火墻的雙重管理結(jié)構(gòu)實(shí)現(xiàn)了“管理分層，功能分級(jí)”的管理思想，一方面USG防火墻設(shè)備自身的Web Server提供了單機(jī)的Web管理機(jī)制，用于進(jìn)行詳

20、細(xì)的功能設(shè)置；集中管理功能通過(guò)內(nèi)置在USG防火墻設(shè)備中的Manage agent獲取系統(tǒng)狀態(tài)信息、流量信息和版本信息，用于進(jìn)行整體的設(shè)備狀態(tài)顯示。同時(shí)以分組的方式管理設(shè)備，以組為單位進(jìn)行遠(yuǎn)程統(tǒng)一配置、升級(jí)等操作，并可以將管理的USG防火墻設(shè)備按照一定的規(guī)則進(jìn)行組織成層次結(jié)構(gòu)，便于用戶邏輯的標(biāo)識(shí)所管理的設(shè)備。 4 關(guān)鍵技術(shù) 天清漢馬USG防火墻采用了多種專利技術(shù)和創(chuàng)新技術(shù)，為確保多種安全能力的融合，性能的持續(xù)恒定起到了重要作用。 4.1 多核智能駕馭技術(shù) 新一代的防火墻產(chǎn)品具有3大技術(shù)特點(diǎn)：吞吐密集、運(yùn)算密集、應(yīng)用層特性匹配密集。這3大特點(diǎn)對(duì)硬件平臺(tái)提出了極大的挑戰(zhàn)，也正是基于此，防火墻

21、過(guò)去飽嘗性能瓶頸之苦。目前，X86平臺(tái)常見的多核處理器是4核，而SoC多核平臺(tái)已最高可達(dá)16核，單從CPU內(nèi)核的數(shù)量上就已經(jīng)高出4倍。不僅如此，Cavium多核芯片專為信息安全產(chǎn)品應(yīng)用量身內(nèi)置了一系列專用硬件，使得最終構(gòu)建出的產(chǎn)品在性能、穩(wěn)定性上很易于達(dá)到電信級(jí)標(biāo)準(zhǔn)。 吞吐密集：針對(duì)信息安全產(chǎn)品應(yīng)用特點(diǎn)，Cavium多核CPU設(shè)計(jì)了高達(dá)640Gbps的內(nèi)部總線帶寬，是目前4核 X86CPU最高總線帶寬的6倍，充分保障高性能的可實(shí)現(xiàn)。片內(nèi)集成了收發(fā)包模塊，千兆、萬(wàn)兆等的線速接口器件，與總線直連，充分保障各業(yè)務(wù)接口的線速性能和系統(tǒng)并行度，并最大限度的減少CPU在此方面的開銷。不同于X86架構(gòu)下需

22、要用北橋、內(nèi)存控制器實(shí)現(xiàn)內(nèi)存操作，Cavium多核CPU片內(nèi)集成了DDR2/RLDRAM2內(nèi)存控制器，避免了內(nèi)存成為平臺(tái)性能的瓶頸。 運(yùn)算密集：Cavium多核CPU可支持高達(dá)16個(gè)CPU核，每CPU核既可用于處理不同的業(yè)務(wù)又可統(tǒng)一調(diào)度協(xié)同運(yùn)算，共同為運(yùn)算提供澎湃動(dòng)力。每CPU核集成了一個(gè)專門針對(duì)包處理應(yīng)用特點(diǎn)而開發(fā)的指令集，可通過(guò)指令直接進(jìn)行位域操作、面向字節(jié)的操作等，不必再向X86架構(gòu)下的多條指令實(shí)現(xiàn)一個(gè)功能，結(jié)合RISC CPU短指令集對(duì)于多分支執(zhí)行的優(yōu)勢(shì)，設(shè)備對(duì)于面向包處理的復(fù)雜應(yīng)用層業(yè)務(wù)的運(yùn)算效率提高了2-3倍。 雖然SOC多核硬件平臺(tái)具備強(qiáng)大的性能優(yōu)勢(shì)，但X86平臺(tái)屬于通用硬件

23、平臺(tái)，具有開發(fā)難度小的優(yōu)勢(shì)，而SoC多核平臺(tái)屬于專用硬件平臺(tái)，駕馭難度相當(dāng)高。尤其是計(jì)算性能的提升，是否能隨核數(shù)的增多而達(dá)到線性的增長(zhǎng)。這其中需要在多核硬件的基礎(chǔ)上作大量的原創(chuàng)性設(shè)計(jì)。 啟明星辰從2006年開始踏入多核領(lǐng)域，從平臺(tái)選型、平臺(tái)預(yù)研到最終的產(chǎn)品化交付，共經(jīng)歷了兩年半的時(shí)間。在此過(guò)程中經(jīng)過(guò)不斷的摸索與嘗試終攻克了一系列難題，最終成功駕馭了多核計(jì)算。 4.2 事件關(guān)聯(lián)分析技術(shù)與歸并處理機(jī)制 對(duì)用戶的多個(gè)網(wǎng)絡(luò)行為進(jìn)行關(guān)聯(lián)，是提高檢測(cè)精度的有效手段。比如一個(gè)用戶首先對(duì) 服務(wù)進(jìn)行了慢速CGI掃描，服務(wù)端反饋的結(jié)果證明其運(yùn)行了可能含有漏洞的某個(gè)CGI，之后該用戶又發(fā)送了包含Shel

24、lCode的請(qǐng)求，從這兩次行為分別看，每個(gè)都不能絕對(duì)的將其界定為惡意行為，如果將兩個(gè)行為聯(lián)系起來(lái)，則基本可以確定該行為的高風(fēng)險(xiǎn)等級(jí)。 針對(duì)大規(guī)模的監(jiān)測(cè)系統(tǒng)應(yīng)用中可能出現(xiàn)一個(gè)網(wǎng)絡(luò)異常行為在多個(gè)監(jiān)測(cè)點(diǎn)作為事件報(bào)告而形成事件洪流的問題，數(shù)據(jù)關(guān)聯(lián)性分析模塊首次提出并采用了基于統(tǒng)計(jì)分析的二次事件分析技術(shù)，能夠?qū)Σ煌瑫r(shí)間、不同地點(diǎn)、不同事件的大量信息進(jìn)行統(tǒng)一處理，簡(jiǎn)潔、準(zhǔn)確地報(bào)告出正確的網(wǎng)絡(luò)安全事件。 4.3 高速深層檢測(cè)技術(shù) n 高精度應(yīng)用層協(xié)議分析 協(xié)議分析是深度檢測(cè)必不可少的環(huán)節(jié)，它可以減少特征匹配的計(jì)算量，提高匹配精度。但是深度的協(xié)議分析本身也需要相當(dāng)大的計(jì)算量，如何既保證特征匹配和文件還

25、原所需的分析精確度，又不占用過(guò)多的資源，是高速環(huán)境下必須面對(duì)的課題。我們將主要通過(guò)以下兩方面來(lái)解決這一問題， 1) 基于攻擊研究和特征知識(shí)庫(kù)選擇分析深度。協(xié)議分析不需要的無(wú)限制的精細(xì)，否則入侵防御系統(tǒng)將變成一個(gè)低效的應(yīng)用代理系統(tǒng)，協(xié)議分析應(yīng)該建立在對(duì)網(wǎng)絡(luò)攻擊研究的基礎(chǔ)上，對(duì)特征知識(shí)庫(kù)中需要的協(xié)議信息進(jìn)行分析，這點(diǎn)的實(shí)現(xiàn)關(guān)鍵集中在攻擊研究上，軟件實(shí)現(xiàn)中可通過(guò)編譯時(shí)的條件控制和運(yùn)行時(shí)對(duì)特征庫(kù)進(jìn)行掃描設(shè)置相應(yīng)開關(guān)完成； 2) 高效協(xié)議自識(shí)別算法。對(duì)于非周知端口的通信，需要通過(guò)內(nèi)容識(shí)別其所屬的協(xié)議類型。這一內(nèi)容識(shí)別的過(guò)程類似于攻擊檢測(cè)的特征識(shí)別過(guò)程，可以通過(guò)多階段分析和匹配算法的選擇降低計(jì)算開銷。

26、 n 多模匹配算法選擇 由于在一個(gè)報(bào)文的匹配中，最為耗時(shí)的匹配運(yùn)算是在報(bào)文中匹配多個(gè)串模式。過(guò)去的幾十年中學(xué)術(shù)界提出了若干的多模匹配算法，并且在工業(yè)界得到了很好的應(yīng)用，比如AC算法、WM算法在軟件檢測(cè)系統(tǒng)中證明了其優(yōu)秀的性能。在以往的多模匹配算法通常是在理論分析的基礎(chǔ)上，在IA32架構(gòu)和隨機(jī)數(shù)據(jù)源上進(jìn)行實(shí)驗(yàn)選擇，且算法一經(jīng)確定就固化在軟件中。實(shí)際這樣得出的算法不能保證在所有的處理器架構(gòu)和數(shù)據(jù)源條件下都保證是已知算法中最優(yōu)的。 現(xiàn)在在學(xué)術(shù)界存在多種多串并行匹配的算法，在商業(yè)產(chǎn)品中應(yīng)用較多有Aho-Corasick、Wu-Manber和ExB算法或它們的變種。 根據(jù)研究發(fā)現(xiàn)，所有這些算法的

27、性能分析全部是基于理想的存儲(chǔ)模型，忽略訪存的性能開銷。由于存儲(chǔ)器速度遠(yuǎn)低于處理器速度，兩者相差一個(gè)數(shù)量級(jí)以上，為避免存儲(chǔ)器效能低造成系統(tǒng)整體的效能低下，絕大多數(shù)系統(tǒng)采用多級(jí)存儲(chǔ)結(jié)構(gòu)，增加少量的高速緩存隱藏存儲(chǔ)器的性能瓶頸。但是在多串匹配算法中，數(shù)據(jù)結(jié)構(gòu)非常龐大，并且匹配過(guò)程中不斷在非連續(xù)的地址間跳轉(zhuǎn)，此時(shí)高速緩存的命中率大幅下降，不考慮訪存開銷顯然已不能反映各算法在實(shí)際應(yīng)用中的效能。 實(shí)際上不存在一種普適的算法能夠在各種情況下都有最佳表現(xiàn)，同樣的算法可能在不同的數(shù)據(jù)源、特征集、處理器結(jié)構(gòu)上性能相差甚遠(yuǎn)。我們將結(jié)合具體的硬件（處理器）架構(gòu)和匹配規(guī)則的分布類型，將其抽象為與匹配算法效能相關(guān)的若干

28、關(guān)鍵參數(shù)，計(jì)算出當(dāng)前適用的最優(yōu)算法。具體采用動(dòng)態(tài)和靜態(tài)兩種方式實(shí)現(xiàn)自適應(yīng)選擇。如下圖， 圖5. 自適應(yīng)示意圖 靜態(tài)自適應(yīng)在系統(tǒng)初始化時(shí)進(jìn)行，統(tǒng)計(jì)各協(xié)議變量特征及相關(guān)匹配模式特征，結(jié)合備選多模式匹配算法的性能特征，為規(guī)則匹配樹節(jié)點(diǎn)選擇最優(yōu)的多模式匹配算法。控制參數(shù)包括處理器類型、主頻、Cache Line長(zhǎng)度、L2Cache容量、存儲(chǔ)器時(shí)延、最短模式長(zhǎng)度、次短模式長(zhǎng)度、模式數(shù)量、模式字符集大小、同前綴模式數(shù)量等等。動(dòng)態(tài)自適應(yīng)在系統(tǒng)運(yùn)行過(guò)程中采樣統(tǒng)計(jì)影響算法效率的網(wǎng)絡(luò)數(shù)據(jù)，如果統(tǒng)計(jì)值顯示當(dāng)前網(wǎng)絡(luò)數(shù)據(jù)趨勢(shì)穩(wěn)定，則進(jìn)行動(dòng)態(tài)算法選擇，確定是否有大幅超過(guò)當(dāng)前算法效率的算法模塊存在，并進(jìn)行調(diào)用。 n

29、最優(yōu)規(guī)則樹 特征匹配的過(guò)程不僅包括串匹配，還有對(duì)諸如地址、端口、協(xié)議類型等等許多協(xié)議字段的匹配。為了方便，我們將多個(gè)協(xié)議字段構(gòu)成的模式稱為多數(shù)據(jù)類型模式，與上面提到的串模式進(jìn)行區(qū)分，串模式可以認(rèn)為是多數(shù)據(jù)類型模式的一個(gè)子集。在以往的工作中，我們受AC算法的啟發(fā)，將其擴(kuò)展到多數(shù)據(jù)類型模式匹配，即將多個(gè)模式中的相同協(xié)議字段歸并，構(gòu)建一個(gè)或多個(gè)樹型模式結(jié)構(gòu)，達(dá)到一次匹配多個(gè)模式的目的。 與串匹配不同的是，多數(shù)據(jù)類型模式中，每種數(shù)據(jù)類型的單次匹配開銷是不同的，在實(shí)際運(yùn)行中的命中幾率也是不同的。同樣是樹型數(shù)據(jù)結(jié)構(gòu)，其最佳效率和最差效率相差可能在一個(gè)數(shù)量級(jí)以上，如果能將低命中率、低匹配開銷的工作盡可能

30、提前，將會(huì)接近最佳的匹配效率。 4.4 智能內(nèi)容過(guò)濾技術(shù) 內(nèi)容分析子系統(tǒng)要充分發(fā)揮當(dāng)前處理器所具備的多核能力。一個(gè)大的原則就是數(shù)據(jù)交換過(guò)程中盡量避免核間和核內(nèi)的臨界鎖以及字符串拷貝，所以數(shù)據(jù)的生產(chǎn)者和消費(fèi)者應(yīng)該使用一個(gè)大的緩沖區(qū)來(lái)交換數(shù)據(jù)。傳統(tǒng)的做法就是把這個(gè)緩沖區(qū)變成一個(gè)環(huán)形隊(duì)列，捕包程序和協(xié)議棧程序分別持有一個(gè)寫指針和讀指針，只要兩個(gè)指針不互相超越就可以。在協(xié)議棧單線程的情況下這種方法沒有問題，但是在多核以及SMP情況下，為了充分發(fā)揮硬件的計(jì)算能力，必須把內(nèi)容分析過(guò)濾子系統(tǒng)多線程化（并行化）。 但是上述數(shù)據(jù)交換方式在內(nèi)容分析多線程的情況下就出現(xiàn)了問題。當(dāng)協(xié)議棧多線程的時(shí)候，必須使用專

31、門的線程實(shí)現(xiàn)捕包程序捕獲的數(shù)據(jù)包的分發(fā)，也就是把數(shù)據(jù)包分發(fā)到相應(yīng)的線程進(jìn)行處理。這樣問題也就出現(xiàn)了：那個(gè)環(huán)形緩沖區(qū)的讀指針不再正確。這是因?yàn)?，為了避免拷貝操作，分發(fā)線程并沒有將捕包程序捕獲的數(shù)據(jù)進(jìn)行拷貝以后再分發(fā)，而是直接對(duì)其指針進(jìn)行操作，在這種情況下，分發(fā)程序是不知道協(xié)議棧什么時(shí)候能夠分析完成并釋放緩沖區(qū)的，因而分發(fā)程序不可以直接簡(jiǎn)單增加環(huán)形隊(duì)列的讀指針來(lái)申明當(dāng)前緩沖區(qū)以消費(fèi)完成，可以寫入新的數(shù)據(jù)。又由于協(xié)議棧分析時(shí)多線程同時(shí)進(jìn)行，沒有辦法確定每一數(shù)據(jù)包分析完成的時(shí)間，這樣很難確定環(huán)形緩沖區(qū)的讀指針了。 為此，天清漢馬USG防火墻采用了如下的解決方法：依然遵循數(shù)據(jù)交換的大原則，依然采用大的

32、緩沖區(qū)來(lái)交換數(shù)據(jù)，但是對(duì)緩沖區(qū)的形式作一個(gè)變換。最初定義的是直接在緩沖區(qū)上定義讀寫指針將緩沖區(qū)當(dāng)成環(huán)形隊(duì)列使用，現(xiàn)在不同是緩沖區(qū)不再是一個(gè)環(huán)形隊(duì)列，而被分成了獨(dú)立的兩部分：空閑緩沖區(qū)隊(duì)列和已使用緩沖區(qū)隊(duì)列。注意這里提到的兩個(gè)緩沖區(qū)不是具體的數(shù)據(jù)緩沖區(qū)，而是保存數(shù)據(jù)緩沖區(qū)數(shù)據(jù)單元指針的指針列表。 捕包程序在捕獲一個(gè)數(shù)據(jù)包之前，從空閑緩沖區(qū)隊(duì)列的頭部取下一個(gè)空的存儲(chǔ)單元（為了提高訪問速度，采用內(nèi)存邊界對(duì)齊的數(shù)據(jù)單元，比如說(shuō)2k字節(jié)一個(gè)單元），將從網(wǎng)卡讀入的數(shù)據(jù)拷貝到這個(gè)緩沖區(qū)以后，捕包程序?qū)⑦@個(gè)緩沖單元掛到已使用緩沖隊(duì)列的尾部。分析線程在從緩沖區(qū)取數(shù)據(jù)的時(shí)候從已使用緩沖隊(duì)列的頭部取下一個(gè)數(shù)據(jù)單元

33、進(jìn)行消費(fèi)，消費(fèi)完成以后直接將這個(gè)數(shù)據(jù)單元掛到待發(fā)送緩沖區(qū)隊(duì)列就可以了，這樣既避免的鎖定，也避免了內(nèi)存拷貝。而且可以充分利用緩沖區(qū)的空間。上述過(guò)程構(gòu)成了本方案的多目標(biāo)分發(fā)機(jī)制。 基于多目標(biāo)分發(fā)的多線程連接級(jí)并行的內(nèi)容分析子系統(tǒng)本質(zhì)上是同時(shí)運(yùn)行多個(gè)邏輯上獨(dú)立的并行內(nèi)容分析協(xié)議棧，結(jié)構(gòu)框如圖示。 圖6. 并行內(nèi)容分析協(xié)議棧 并行協(xié)議棧通過(guò)一個(gè)數(shù)據(jù)分發(fā)器將捕包系統(tǒng)捕獲的網(wǎng)絡(luò)數(shù)據(jù)包按照IP包首的源地址和目的地址對(duì)分發(fā)到相應(yīng)的線程進(jìn)行處理，并通過(guò)一個(gè)發(fā)送單元收集器完成數(shù)據(jù)單元的發(fā)送，數(shù)據(jù)發(fā)送完畢以后將發(fā)送單元占用的數(shù)據(jù)單元返回給空閑存儲(chǔ)單元隊(duì)列供數(shù)據(jù)捕獲系統(tǒng)使用，讓捕包系統(tǒng)重復(fù)利用這些單元，實(shí)現(xiàn)捕包

34、到分析的零拷貝過(guò)程。 每一個(gè)內(nèi)容分析線程均有一個(gè)私有的協(xié)議棧狀態(tài)表和兩個(gè)數(shù)據(jù)隊(duì)列索引，其中協(xié)議棧狀態(tài)表是協(xié)議棧在進(jìn)行IP協(xié)議、TCP協(xié)議已經(jīng)上層應(yīng)用協(xié)議還原的時(shí)候用來(lái)保存上下文信息和暫存數(shù)據(jù)使用，而兩個(gè)數(shù)據(jù)隊(duì)列索引則分別用來(lái)存儲(chǔ)待分析的數(shù)據(jù)塊和已分析塊。這樣，任何一個(gè)協(xié)議棧線程在進(jìn)行數(shù)據(jù)操作的時(shí)候都不會(huì)和其他協(xié)議棧線程共享數(shù)據(jù)塊，避免協(xié)分析線程間的臨界鎖，提供整個(gè)系統(tǒng)的計(jì)算吞吐量。 此處的多目標(biāo)分發(fā)機(jī)制具有如下特點(diǎn)： l 實(shí)現(xiàn)了內(nèi)容分析子模塊從數(shù)據(jù)分析過(guò)濾的零拷貝過(guò)程 l 避免了核間和核內(nèi)的臨界鎖，極大的提高了內(nèi)容分析子系統(tǒng)的計(jì)算資源利用率 4.5 數(shù)據(jù)監(jiān)控NetFlow技術(shù) 在對(duì)

35、網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行分析統(tǒng)計(jì)方面，NetFlow是一項(xiàng)關(guān)鍵技術(shù)，它能根據(jù)客戶的要求總結(jié)流量統(tǒng)計(jì)數(shù)據(jù)，而這些數(shù)據(jù)對(duì)網(wǎng)絡(luò)安全的管理、規(guī)劃是非常有用的。它的價(jià)值在于： u 無(wú)需探針（probe）就能進(jìn)行IP流量的流分析，而且對(duì)設(shè)備的性能影響很??； u 提供極為豐富和寶貴的數(shù)據(jù)，這些數(shù)據(jù)可用于網(wǎng)絡(luò)安全的管理和規(guī)劃； u 將網(wǎng)絡(luò)中的數(shù)據(jù)包識(shí)別為網(wǎng)絡(luò)流的形式，從而無(wú)需再單獨(dú)處理每個(gè)數(shù)據(jù)包，僅僅處理網(wǎng)絡(luò)流中的第一個(gè)包即可。后面的包都作為該網(wǎng)絡(luò)流的一部分。這種流線型的包處理方式提高了網(wǎng)絡(luò)服務(wù)的能力。 NetFlow系統(tǒng)由流采集器、流收集器、NetFlow數(shù)據(jù)分析器三個(gè)部分組成，由于流采集器僅僅采集IP數(shù)據(jù)流的

36、統(tǒng)計(jì)信息，更深入的分析由NetFlow數(shù)據(jù)分析器來(lái)完成，所以在網(wǎng)絡(luò)上啟用流采集功能后，對(duì)設(shè)備轉(zhuǎn)發(fā)數(shù)據(jù)包的性能影響不大，在網(wǎng)絡(luò)流量較大時(shí)，流采集器也能正常工作。例如啟明星辰的天清漢馬USG防火墻支持流采集器的功能，而安全管理平臺(tái)則集成了流收集器和NetFlow數(shù)據(jù)分析器的功能，因此，利用啟明星辰的天清漢馬USG防火墻和安全管理平臺(tái)，就能構(gòu)建一個(gè)完整的NetFlow系統(tǒng)（以下簡(jiǎn)稱“啟明星辰NetFlow系統(tǒng)”）。 天清漢馬USG防火墻輸出報(bào)文主要由兩部分組成：報(bào)頭和Flowset。Flowset是輸出報(bào)文中緊隨報(bào)頭的部分，包含著收集器必須解析和翻譯的信息。 Flowset有兩種類型：模版Flow

37、set和數(shù)據(jù)Flowset。模版Flowset描述了數(shù)據(jù)Flowset中使用的字段。每個(gè)數(shù)據(jù)Flowset則包含了一個(gè)或多個(gè)流的統(tǒng)計(jì)數(shù)據(jù)。當(dāng)一個(gè)NetFlow收集器接收到一個(gè)模版Flowset，它會(huì)存儲(chǔ)這個(gè)Flowset和輸出源地址，這樣當(dāng)它收到后繼的數(shù)據(jù)Flowset時(shí)，如果數(shù)據(jù)Flowset對(duì)應(yīng)于此模版Flowset ID和源地址，那么它就能根據(jù)此模版Flowset定義的字段解析出這些數(shù)據(jù)。 圖7. 數(shù)據(jù)字段分析圖 上圖最左邊是輸出報(bào)文的結(jié)構(gòu)框架，右邊則詳細(xì)描述了各部分的內(nèi)容（通過(guò)不同顏色來(lái)標(biāo)識(shí)）。 不難看出，NetFlow輸出報(bào)文中包含許多有價(jià)值的流量統(tǒng)計(jì)數(shù)據(jù)，這些流信息充分揭示了

38、有關(guān)網(wǎng)絡(luò)使用的“4W”問題： Which：哪一個(gè)用戶（IP）使用了網(wǎng)絡(luò)？ What：網(wǎng)絡(luò)流量的類型是什么？ When：在什么時(shí)間使用網(wǎng)絡(luò)，使用了多長(zhǎng)時(shí)間？ Where：網(wǎng)絡(luò)流量流向何處？ 利用NetFlow數(shù)據(jù)分析器對(duì)這些數(shù)據(jù)進(jìn)行統(tǒng)計(jì)分析，就能從中提取出網(wǎng)絡(luò)流量特征，從而為網(wǎng)絡(luò)管理員提供一張豐富而詳盡的網(wǎng)絡(luò)利用視圖，為做網(wǎng)絡(luò)安全管理與規(guī)劃提供了事實(shí)依據(jù)。 4.6 非法連接過(guò)濾技術(shù) 將系統(tǒng)獲取的網(wǎng)絡(luò)數(shù)據(jù)按標(biāo)準(zhǔn)的以太數(shù)據(jù)結(jié)構(gòu)、IP數(shù)據(jù)結(jié)構(gòu)、TCP/UDP數(shù)據(jù)結(jié)構(gòu)，并進(jìn)行TCP的會(huì)話查找，每條會(huì)話相對(duì)應(yīng)源和目的MAC地址、源和目的IP地址、源和目的端口地址、連接次數(shù)等。 將上述所獲的

39、網(wǎng)絡(luò)連接信息放入網(wǎng)絡(luò)連接知識(shí)庫(kù)中，該緩沖區(qū)按照索引標(biāo)識(shí)、源和目的地址進(jìn)行合并存放，即相同的源和目的地址將該連接的發(fā)生次數(shù)進(jìn)行累計(jì)計(jì)算。 當(dāng)某一連接被釋放，主動(dòng)要求釋放連接的一端發(fā)送TCP FIN數(shù)據(jù)包，監(jiān)視整個(gè)連接的釋放過(guò)程，如釋放正常完成，在知識(shí)庫(kù)中找到相對(duì)應(yīng)的TCP會(huì)話，將連接發(fā)生的次數(shù)減1。這樣可以始終保證知識(shí)庫(kù)中存放的是發(fā)生頻率最高的連接。 該算法會(huì)以1秒鐘為單位時(shí)間，進(jìn)行流量的統(tǒng)計(jì)，如果上1秒鐘的流量大于事先約定的閥值，那么立即進(jìn)入流量識(shí)別模式，如果連接請(qǐng)求可以在知識(shí)庫(kù)搜索到，則直接放行，并記錄放行的數(shù)據(jù)包數(shù)，否則以上1秒鐘的流量作為樣本，計(jì)算放行的概率。 作為拒絕服務(wù)攻擊的主

40、要手段SYN Flood攻擊效果尤為顯著，通常SYN Flood的防范方式為應(yīng)用SYN Cookie機(jī)制。它的原理是:在TCP服務(wù)器收到TCP SYN包時(shí)，不分配一個(gè)專門的數(shù)據(jù)區(qū)，而是根據(jù)這個(gè)SYN包計(jì)算出一個(gè)cookie值，并加載在所回應(yīng)的SYN/ACK包中，在收到TCP ACK包時(shí)，TCP服務(wù)器在根據(jù)那個(gè)cookie值檢查這個(gè)TCP ACK包的合法性。如果合法，再分配專門的數(shù)據(jù)區(qū)進(jìn)行處理未來(lái)的TCP連接。 5 典型組網(wǎng) 5.1 政府行業(yè) 5.1.1 電子政務(wù)網(wǎng) 電子政務(wù)網(wǎng)是各級(jí)政府為了加強(qiáng)信息化建設(shè)，通過(guò)互聯(lián)網(wǎng)或者租用專線的方式把下屬委、辦、局以及下一級(jí)政府單位的局域網(wǎng)進(jìn)行互聯(lián)的網(wǎng)

41、絡(luò)。不同地區(qū)電子政務(wù)網(wǎng)在組網(wǎng)模式和建設(shè)思路上存在一定的差異化，但總體的網(wǎng)絡(luò)結(jié)構(gòu)如下： 圖8. 電子政務(wù)網(wǎng)總體結(jié)構(gòu)圖 電子政務(wù)網(wǎng)分為內(nèi)網(wǎng)和外網(wǎng)。 天清漢馬USG防火墻部署在各單位與外單位互聯(lián)的出口，防止來(lái)自其他單位的入侵攻擊等威脅，同時(shí)對(duì)電子政務(wù)內(nèi)網(wǎng)用戶相互間訪問進(jìn)行控制與日志審計(jì)，可有效檢測(cè)和控制內(nèi)部員工越權(quán)行為，并向管理員發(fā)出告警。 電子政務(wù)外網(wǎng)在建設(shè)模型上與內(nèi)網(wǎng)相似，多數(shù)也是采用專線或裸光纖的方式建網(wǎng)，外網(wǎng)與Internet邏輯隔離。天清漢馬USG防火墻部署在各單位與互聯(lián)網(wǎng)的出口，用于防止來(lái)自互聯(lián)網(wǎng)的入侵威脅，并且可以作為邊緣接入路由器部署。 天清漢馬USG提供統(tǒng)一管理平臺(tái)，可以

42、通過(guò)信息中心統(tǒng)一管理全網(wǎng)的USG防火墻設(shè)備，并提供詳盡直觀的報(bào)表，能夠讓管理員迅速了解到整個(gè)網(wǎng)絡(luò)的存在的安全風(fēng)險(xiǎn)和趨勢(shì)，為決定如何制定安全策略提供依據(jù)。 5.1.2 政府專網(wǎng) 政府專網(wǎng)是各部委與下屬單位信息互聯(lián)的網(wǎng)絡(luò)。 政府專網(wǎng)全部采用專線或裸光纖的方式構(gòu)建。專網(wǎng)的安全系統(tǒng)一般采用下級(jí)信任上級(jí)的方式來(lái)建設(shè)，即只需要考慮上級(jí)單位對(duì)下級(jí)單位訪問的安全防護(hù)。專網(wǎng)系統(tǒng)一般來(lái)說(shuō)，只在一級(jí)單位設(shè)互聯(lián)網(wǎng)出口，各下屬單位的互聯(lián)網(wǎng)訪問都從總部出口。 在互聯(lián)網(wǎng)出口部署USG防火墻設(shè)備能夠?qū)λ袕幕ヂ?lián)網(wǎng)的進(jìn)出的流量進(jìn)行過(guò)濾，防止來(lái)之互聯(lián)網(wǎng)的入侵，并且對(duì)專網(wǎng)內(nèi)用戶訪問互聯(lián)網(wǎng)的內(nèi)容進(jìn)行過(guò)濾和審計(jì)。 在每個(gè)政府

43、單位和下級(jí)單位的接口部署USG防火墻設(shè)備，可以有效防范來(lái)自下級(jí)單位的越權(quán)訪問和惡意攻擊。天清漢馬同時(shí)可以作為邊緣路由器接入網(wǎng)絡(luò)。 天清漢馬USG防火墻提供統(tǒng)一管理平臺(tái)，可以通過(guò)信息中心統(tǒng)一管理全網(wǎng)的USG防火墻設(shè)備，并提供詳盡直觀的報(bào)表，能夠讓管理員迅速了解到整個(gè)網(wǎng)絡(luò)的存在的安全風(fēng)險(xiǎn)和趨勢(shì)，為決定如何制定安全策略提供依據(jù)。 圖9. 政府專網(wǎng)結(jié)構(gòu)示意圖 5.2 教育行業(yè) 5.2.1 高教校園網(wǎng) 高校校園網(wǎng)出口一般會(huì)和多個(gè)ISP互聯(lián)，同時(shí)和CERNET互聯(lián)。 USG防火墻設(shè)備部署在高校網(wǎng)絡(luò)出口，可以抵御來(lái)自互聯(lián)網(wǎng)的威脅，保護(hù)DMZ區(qū)服務(wù)器免受攻擊，以及學(xué)生對(duì)學(xué)校重要服務(wù)器的攻擊。同時(shí)，

44、開啟策略路由功能，網(wǎng)絡(luò)流量進(jìn)行分流處理。對(duì)于高校出口帶寬占用率一直高居不下是一直困擾網(wǎng)管人員的問題，天清漢馬USG防火墻可以提供完整的帶寬管理解決方案。天清漢馬USG防火墻通過(guò)Netflow功能對(duì)網(wǎng)絡(luò)出口的流量進(jìn)行統(tǒng)計(jì)，分析帶寬使用趨勢(shì)，同時(shí)對(duì)帶寬占用較大的P2P流量進(jìn)行限制和封鎖，讓校園網(wǎng)出口的帶寬得到充分的利用。 對(duì)于校園網(wǎng)內(nèi)的各學(xué)生宿舍、圖書館、教學(xué)樓等單位，與學(xué)校網(wǎng)絡(luò)中心的接口通過(guò)透明模式接入天清漢馬USG防火墻，同時(shí)開啟網(wǎng)頁(yè)內(nèi)容過(guò)濾功能，防止學(xué)生訪問不良網(wǎng)站。 圖10. 高教校園網(wǎng)結(jié)構(gòu)示意圖 5.2.2 中/基教教育城域網(wǎng) 中基市場(chǎng)中，連接Internet通常有兩種方式，一

45、種為通過(guò)ISP與 Internet直接連接，另外一種為通過(guò)教育城域網(wǎng)與Internet統(tǒng)一連接。 對(duì)于前者，學(xué)校通常在網(wǎng)絡(luò)出口處部署一臺(tái)USG防火墻設(shè)備，防御來(lái)自互聯(lián)網(wǎng)的攻擊，同時(shí)開啟Web內(nèi)容過(guò)濾功能，防止學(xué)生利用利用網(wǎng)絡(luò)瀏覽不良網(wǎng)站。 對(duì)于后者，只需要在地區(qū)教委的Internet出口部署USG防火墻設(shè)備既可以防御來(lái)自互聯(lián)網(wǎng)的威脅，又可以做到對(duì)所轄區(qū)域?qū)W校訪問互聯(lián)網(wǎng)的流量進(jìn)行統(tǒng)一管理，統(tǒng)一過(guò)濾各學(xué)校訪問不良網(wǎng)站的流量。 圖11. 中/基教校園網(wǎng)結(jié)構(gòu)示意圖 5.3 企業(yè)市場(chǎng) 5.3.1 中小企業(yè) 在全國(guó)范圍內(nèi)擁有分支機(jī)構(gòu)的中小企業(yè)網(wǎng)絡(luò)，大都通過(guò)互聯(lián)網(wǎng)來(lái)實(shí)現(xiàn)總部與分支機(jī)構(gòu)的互聯(lián)互通。

46、 圖12. 中小企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)示意圖 部署USG防火墻設(shè)備讓中小企業(yè)用戶可以在一個(gè)統(tǒng)一的架構(gòu)上建立自己的安全基礎(chǔ)設(shè)施，而以往困擾用戶的安全產(chǎn)品協(xié)調(diào)性、資金和技術(shù)匱乏和缺乏中小企業(yè)級(jí)安全解決方案等問題也能夠得到完全解決。 USG防火墻設(shè)備產(chǎn)品部署在總部和分支機(jī)構(gòu)網(wǎng)絡(luò)Internet出口，抵御來(lái)自互聯(lián)網(wǎng)攻擊威脅。同時(shí)可作為VPN網(wǎng)關(guān)，各分支機(jī)構(gòu)與總部之間開啟VPN隧道，保證相互間通信的保密性。SOHO員工和在外出差的員工可以在任何時(shí)候通過(guò)VPN客戶端與總部的天清漢馬USG防火墻建立VPN隧道，訪問公司內(nèi)部的資源，實(shí)現(xiàn)高效安全的網(wǎng)絡(luò)應(yīng)用。 5.3.2 大型企業(yè) 對(duì)于大型企業(yè)，網(wǎng)絡(luò)規(guī)模較大、用戶數(shù)量多、業(yè)務(wù)系統(tǒng)較多，網(wǎng)絡(luò)建設(shè)類似于城域網(wǎng)。在安全建設(shè)方面也存在多點(diǎn)建設(shè)，除去在集團(tuán)總部的互聯(lián)網(wǎng)出口需要安全防控外，各下屬單位也有安全防護(hù)需求。 圖13. 大型企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)示意圖 在總部互聯(lián)網(wǎng)出口部署的天清漢馬USG防火墻能夠抵御來(lái)自互聯(lián)網(wǎng)的入侵攻擊，同時(shí)為出差員工提供VPN接入，確保通信的保密性。 在各單位出口部署USG防火墻設(shè)備，可以有效控制不同部門之間的越權(quán)訪問。 天清漢馬USG防火墻提供統(tǒng)一管理平臺(tái)，可以通過(guò)信息中心統(tǒng)一管理全網(wǎng)的USG防火墻設(shè)備，并提供詳盡直觀的報(bào)表，能夠讓管理員迅速了解到整個(gè)網(wǎng)絡(luò)的存在的安全風(fēng)險(xiǎn)和趨勢(shì)，為決定如何制定安全策略提供依據(jù)。