网御超五防火墙产品白皮书

fenoi/o 联管

联想网御超五系列防火墙

产品白皮书

网歡

联想网御科技（北京）有限公司

1序言 (3)

2、防火墙技术的发展 (5)

2.1网络处理器的基本结构 (6)

2.2网络处理器的特点 (7)

3、联想防火墙产品解决方案 (8)

4、网御超五系列防火墙产品介绍 (9)

4.1产品概述 (9)

4.2产品特点 (9)

4.2.1高性能 (9)

4.2.2高安全 (11)

4.2.3高可用 (12)

4.2.4高可控 (13)

4.3主要功能 (15)

4.4产品指标 (18)

4.4.1性能指标 (18)

4.4.2产品规范 (19)

5、典型应用 (20)

1、序言

互联网的发展已经深入到社会生活的各个方面。对个人而言，互联网改变了人们的生活方式；对企业而言，互联网改变了企业传统的营销方式及其内部管理机制。虽然一切便利都源于互联网，但是一切安全隐患也来自互联网。互联网设计之初，只

考虑到相互的兼容和互通，并没有考虑到随之而来的一系列安全问题，伴随互联网的迅速发展，网络安全问题越来越严峻。

那么，影响网络安全的主要因素有哪些呢？从技术的角度归纳起来，主要有

以下几点：

黑客的攻击

黑客技术不再是一种高深莫测的技术，并逐渐被越来越多的人掌握。目前，世界上有20多万个免费的黑客网站，这些站点从系统漏洞入手，介绍网络攻击的方法和

各种攻击软件的使用，这样，系统和站点遭受攻击的可能性就变大了。加上现在还缺乏针对网络犯罪卓有成效的反击和跟踪手段，这些都使得黑客攻击

具有隐蔽性好、“杀伤力”强的特点，构成了网络安全的主要威胁。

网络的缺陷

因特网在设计之初对共享性和开放性的强调，使得其在安全性方面存在先天的不足。其赖以生存的TCP/IP协议族在设计理念上更多的是考虑该网络不会因局部故障

而影响信息的传输，基本没有考虑安全问题，故缺乏应有的安全机制。因此它在控制不可信连接、分辨非法访问、辨别身份伪装等方面存在着很大的缺陷，从而构成了对网络安全的重要隐患。

软件及系统的漏洞或“后门”

随着软件及网络系统规模的不断增大，系统中的安全漏洞或“后门”也不可避免的存在，比如我们常用的操作系统，无论是 Windows还是UNIX几乎都存在或多或少的安全漏洞，众多的服务器、浏览器、桌面软件等等都被发现存在很多安全隐患。任何一个软件系统都可能会因为程序员的一个疏忽或设计中的一个缺陷等原因留下漏洞。这也成为网络的不安全因素之一。

正因为如此，针对以上的各种不安全因素，防火墙就

作为信息安全的门户, 应运而生了。

2、防火墙技术的发展

防火墙产品经历了多年的发展，目前主要有两种开发模型：其一是在基于

In tel Pe ntium?系列CPU平台下进行开发；其二是基于ASIC的硬件平台的开发。第一种开发模型具有快速升级能力，可以保证产品能够及时跟上用户需求；第二种开发模型带来了性能的极大提升，可以保证产品不会成为网络瓶颈。虽然两种开发模型都具有各自的优势，但它的劣势也同样十分突出，尤其是在互联网高速发展的今天，其各自的劣势已经成为两类产品的发展障碍。

一方面，由于局域网技术以及广域网技术的发展，目前骨干网络的带宽已

经发展到了 10G(OC-192以上，也许只需要 2到3年的时间就会发展到 40G (OC-768的水平。回顾过去近10年互联网的发展，我们不得不承认摩尔定律

在互联网世界已经被打破一一处理器的速度每18个月翻一番，但互联网骨干连

接的带宽每12个月就要翻一番。也就是说，基于通用处理器平台的网络产品开发者将会遇到性能上的障碍，在OC-192的情况下，转发一个报文要求时间小于35ns,而在OC-768情况下要求时间小于8ns,即使我们使用Intel最新的P4 3.0G 赫兹的CPU也无法达到以上要求。通过计算我们可以发现，当单向网络带宽要求超过OC-12 (665兆)时，CPU就已经显得力不从心了。这时，当巨量(常常是高达800M以上)的DDO等攻击包涌来时，这种体系结构的防火墙就无能为力了。

而另一方面，基于ASIC技术的开发者遇到了完全相反的困难。我们知道ASIC技术主要就是为了解决转发速度问题，完全由硬件来进行制定好的报文处理动作。这样做可以明显提升防火墙的吞吐性能。但对于网络安全设备来说，网

络入侵攻击手段飞速变化，平均每3天就会有一种新的攻击手段或病毒诞生，因此，迅速升级至关重要。而基于ASIC技术开发的防火墙产品因为是全硬件处理，升级维护的灵活性和扩展性不够，而且开发费用高，开发周期长，一般需要两年以上的时间，不利于网络安全产品功能的迅速升级。

为了解决CPU和ASIC所面临的困难，网络处理器 NP (Network Processor)

技术从1999年开始兴起并且以前所未有的速度发展着。最初该类技术由一些小公司所拥有，当大家开始认可并纷纷看好其前景时，一些巨型企业并购了这些小

网缺5公司，他们中较为具有代表性的有IBM、INTEL、LUCENT MOTOROLACONEXANT 等。这些巨型公司的介入使网络处理器进入了高速发展阶段。我们现在可以说，是互联网带宽的发展以及应用协议的快速丰富促使了网络处理器概念及相关产品的产生。

2.1网络处理器的基本结构

网络处理器是将计算、存储和媒体资源控制高度集成的，能够对报文进行深度匹配并以线速进行转发的技术，它符合如下定义：

1）具有灵活的可编程能力，通用CPU的可编程性。

2）高速进行L2-L4+的数据处理能力。

3）高度集成的处理器：

（1）微码编程的和/或硬件的加速引擎；

（2）高效的存储器子系统控制器；

（3）良好的数据流管理，内部通信支持能力；

（4）存储器时延屏蔽技术。

基于以上定义，网络处理器一般包含如下部件：

1）分段和重组各种协议数据单元用于对报文的拆分和重组。

2）协议识别和分类：根据数据帧内的协议类型、端口号、目的UPL或其他应用的专用协议信息技术识别每一数据帧，并进行分类。

3）数据修改：修改数据包的特定字段，形成新的数据包，如修改TTL字段，计算CRC加密/解密、压缩/解压缩等。

4）输入数据缓存：数据帧根据一定的策略被放入合适的队列待作进一步处理（例如划分优先级或流量整形）。同时，根据流量控制和安全存取策略

规则检查数据帧，决定转发或丢弃。

输出队列管理：包括输出控制和流量工程，一些协议就需要该功能，当有突发数据流到达出口线或光纤时，要对数据流整形。可以规定不同信道或信息类型的数据流的优先级来满足不同的服务要求，用于保证系统的QoS