防火墙系统(NSG系列)技术白皮书

能士精品防火墙技术白皮书NESEC110-H SeriesNESEC110-M SeriesNESEC110-L SeriesVersion4.2有“能士”就有安全！四川川大能士信息安全有限公司SCU-NESEC INFOSEC CO., LTD.公司信息四川川大能士信息安全有限公司SCU-NESEC INFOSEC CO., LTD.成都市一环路南一段24号四川大学科技创新中心201邮编：610065电话：（86-028）66712184 66711475传真：（86-028）85403488网址： E-mail：cd@北京能士信息安全技术有限公司BEIJING NESEC INFOSEC TECHNOLOGY CO., LTD.北京市北三环西路43号当代青云大厦1504室邮编：100086电话：（86-010）88356851传真：（86-010）62135979转8032E-mail：bj@深圳市能士信息安全有限公司SHENZHEN NESEC INFOSEC CO., LTD.深圳市福田区八卦路众鑫大厦2209-2210邮编：518209电话：（86-0755）25887808 25884162传真：（86-0755）25884172E-mail：sz@服务与支持若您需要更详细的服务与技术支持，或有相关问题需要咨询解答，请按以下方式联系我们。

电话：（86-028）66712045 66712047传真：（86-028）85403488E-mail：support@版本说明本技术白皮书中所涉及到的相关说明、技术指标、硬件参数等内容随着产品硬件、软件的不断升级可能会发生改变，对此，能士公司保留修改的权利。

能士公司将不定期对本技术白皮书的内容进行更新，相关更新情况恕不另行通知，详情请向能士公司咨询。

能士千兆防火墙相关介绍、指标、参数请参见《能士千兆防火墙技术白皮书》。

版权声明本技术白皮书版权归四川川大能士信息安全有限公司所有，未经能士公司书面许可，任何单位或个人不得改变（包括删除、修改、增加等操作）本技术白皮书中的内容，否则，能士公司将追究相应责任。

深信服下一代防火墙NGAF方案白皮书目录一、企业级网络安全建设需要什么 (4)1.传统割裂的各种安全产品？ (4)2.“雇佣兵”式的安全服务？ (5)3.企业级的网络安全到底需要什么？ (5)二、深信服下一代防火墙的定位 (6)1.适用于国内环境的下一代防火墙 (6)2.我们不仅交付产品，还为您持续输送安全能力 (7)三、深信服下一代防火墙为企业安全赋能 (7)1.看懂安全现状和风险 (7)1.1业务安全状况可视 (7)1.2威胁危害效果可视 (8)1.3安全事件实时通报 (9)2.持续对抗新型威胁 (10)2.1产品快速迭代应对已知威胁 (10)2.2完整的APT攻击检测链 (11)2.3云检测平台应对未知威胁 (12)3.简化安全运营 (13)3.1任务化的风险管理 (13)3.2全网安全统一管控 (14)3.3威胁情报预警与处置 (15)3.4风险评估与策略联动 (15)3.5智能联动封锁机制 (16)四、高效稳定的底层架构设计 (16)1.分离平面设计 (16)2.多核并行处理 (17)3.单次解析架构 (17)4.跳跃式扫描技术 (18)5.Sangfor Regex正则引擎 (18)6.产品性能评测报告 (19)五、深信服下一代防火墙品牌优势 (19)1.市场引领者 (19)2.专业权威的认可 (20)3.专业安全攻防团队 (21)4.产品可靠稳定 (21)六、典型场景和案例 (22)典型应用场景 (22)典型应用案例 (23)七、部分客户列表 (25)近年来，越来越多的网络安全事件告诉我们，安全风险比以往更加难以察觉。

随着网络安全形势逐渐恶化，网络攻击愈加频繁，用户对自己的网络安全建设是否合规、完善并没有把握。

该如何加强安全建设？安全建设的核心问题是什么？采用何种安全防护手段更为合适？安全建设该如何体现价值？这些问题已成为困扰用户安全建设的关键问题。

一、企业级网络安全建设需要什么传统组合方案问题多1.传统割裂的各种安全产品？传统产品组合方案缺陷一：不同的安全设备看到的是不同的攻击类型，信息是割裂的，难以对安全日志进行统一分析；安全设备在有攻击时才能发现问题，在没有攻击的情况下，就无法看到业务漏洞，但这并不代表业务漏洞不存在；即使发现了攻击，也无法判断业务系统是否真正存在安全漏洞，还是无法指导用户进行安全建设。

深信服下一代防火墙NGAF技术白皮书深信服科技有限公司二零一三年四月目录一、概述 (4)二、为什么需要下一代防火墙 (4)2.1 网络发展的趋势使防火墙以及传统方案失效 (4)2.2 现有方案缺陷分析 (5)2.2.1 单一的应用层设备是否能满足？ (5)2.2.2 “串糖葫芦式的组合方案” (5)2.2.3 UTM统一威胁管理 (5)三、下一代防火墙标准 (6)3.1 Gartner定义下一代防火墙 (6)3.2 适合国内用户的下一代防火墙标准 (7)四、深信服下一代应用防火墙—NGAF (8)4.1 产品设计理念 (8)4.2 产品功能特色 (9)4.2.1更精细的应用层安全控制 (9)4.2.2全面的应用安全防护能力 (12)4.2.3独特的双向内容检测技术 (17)4.2.4涵盖传统安全功能 (18)4.2.5智能的网络安全防御体系 (19)4.2.6更高效的应用层处理能力 (20)4.3 产品优势技术【】 (20)4.3.1深度内容解析 (20)4.3.2双向内容检测 (20)4.3.3分离平面设计 (21)4.3.4单次解析架构 (22)4.3.5多核并行处理 (23)4.3.6智能联动技术 (23)五、解决方案与部属 (24)5.1 基于业务场景的安全建设方案选择 (24)5.1.1互联网出口-内网终端上网 (24)5.1.2互联网出口-服务器对外发布 (24)5.1.3广域网边界安全隔离 (25)5.1.4数据中心 (25)5.2 部署方式 (26)5.2.1路由部署 (26)5.2.2透明部署 (26)5.2.3虚拟网线部署 (26)5.2.4旁路部署 (26)5.2.5混合部署 (26)5.2.6链路聚合 (26)六、关于深信服 (26)一、概述防火墙自诞生以来，在网络安全防御系统中就建立了不可替代的地位。

作为边界网络安全的第一道关卡防火墙经历了包过滤技术、代理技术和状态监视技术的技术革命，通过ACL 访问控制策略、NAT地址转换策略以及抗网络攻击策略有效的阻断了一切未被明确允许的包通过，保护了网络的安全。

NXG 防火墙系列产品 技术白皮书三 星 计 算 机 安 全 公 司三星计算机安全公司目录一、概述 ................................................................ 4 二、体系结构 .......................................................... 5 三、产品的主要特性 ................................................. 61、NXG 系列固有的独创性分类算法（Classification Algorithm）.......................................................................... 72、专有的 VPN 硬件加密加速卡保证最高的性能 .................... 9 3、以数据包为单位的 Load-Balancing ............................. 9 4、通信终端设备(Modem)的故障恢复............................... 10 5、NXG 系列防火墙、VPN 的 HA/LB 功能架构 ....................... 101) NXG 系列防火墙 HA 功能的技术特点 ................................ 116、支持 OSPF 动态路由协议 ......................................... 12 7、支持 DNS 分离 ..................................................... 12 8．产品的其它功能及特点.......................................... 121) 数据包状态检测过滤............................................... 12 2) 完备的入侵检测和防御功能 ........................................ 15 3) 支持动态 IP ....................................................... 17 4) 支持 DHCP Server ................................................. 17 5) 支持 ADSL 接入.................................................... 17 6) 支持 H.323 协议 .................................................. 17 7) 内容过滤 .......................................................... 17 8) 支持 VLAN ......................................................... 18 9) 提供流量控制服务 ................................................. 18 10) 策略时间表...................................................... 18 11) IP 地址和 MAC 地址绑定 ......................................... 18 12) 支持与防病毒网关联动 .......................................... 192三星计算机安全公司13) 14) 15) 16) 17) 18) 19) 20) 21) 22) 23)NAT 地址转换 ................................................... 19 反向地址映射 ................................................... 19 多重区域保护 ................................................... 19 VPN 功能 ........................................................ 20 多种接入模式 ................................................... 20 丰富的日志审计 ................................................. 20 分级管理 ........................................................ 21 基于对象名称过滤 ............................................... 21 预定义服务...................................................... 21 集中远程管理 ................................................... 21 支持 SNMP 协议 .................................................. 223三星计算机安全公司一、概述目前市场上存在着各种各样的网络安全工具， 而技术最成熟、 最早产品化的就是防火墙， 由于防火墙技术的针对性很强，它已成为实现 Internet 网络安全的最重要的保障之一。

信安世纪应用安全网关NSAE全系列产品技术白皮书信安世纪科技有限公司INFOSEC TECHNOLOGIES CO.,LTD二零零八年知识产权声明本白皮书中的内容是信安世纪公司NSAE应用安全网关产品技术说明书。

本材料的相关权利归信安世纪公司所有。

白皮书中的任何部分未经本公司许可，不得转印、影印或复印及传播。

© 2007 信安世纪科技有限公司All rights reserved.NSAE应用安全网关产品技术白皮书信安世纪科技有限公司北京市西城区南礼士路二条甲1号月坛理想大厦6层电话：(86-10) 6802 5518传真：(86-10) 6802 5519邮编：100045网址：电子信箱：support@目录前言 (1)第1章产品概述 (1)1.1公司介绍 (1)1.2产品体系介绍 (3)1.3产品背景 (4)第2章产品简介 (6)2.1产品型号 (6)2.2产品应用 (9)第3章产品功能 (10)3.1功能特性 (10)3.1.1应用加速（SSL加速） (10)3.1.2服务器负载均衡（SLB） (13)3.1.3链路负载均衡（LLB） (18)3.1.4全局服务负载分担（GSLB） (21)3.1.5其他功能 (25)3.2部署方式 (29)3.3产品优势 (30)第4章技术特性 (33)4.1产品特性 (33)4.2硬件特性 (35)4.3性能特性 (36)第5章总结 (37)前言当前，无论在政府网、金融网、企业网、校园网还是在广域网如Internet上，业务量的发展都超出了过去最乐观的估计，用户大量的信息请求，不断更新的应用需求以及对业务不间断的持续访问，成为应用服务商解决互联网服务，获得用户认可的关键因素，即使按照当时最优条件配置建设的网络，面对不间断、快速的用户增长，服务器也会无法承担。

原有链路也会因为用户量的不断增大导致用户访问速度过慢，链路拥塞，网络故障频繁，尤其是各个网络的核心部分，其数据流量和计算强度之大，使得单一设备根本无法承担，而如何在完成同样功能的多个链路及网络设备之间实现合理的业务量分配，使之不至于出现一台设备过忙、而别的设备却未充分发挥处理能力的情况，就成为信息提供商及应用服务商必须克服的问题，负载均衡机制也因此应运而生。

技术白皮书网神SecGate 3600 NSG系列下一代安全网关（UTM）目录1产品概述 (3)2产品功能说明 (3)2.1自适应的网络接入模式 (3)2.2完善的状态包过滤 (4)2.3全面的NAT地址转换 (5)2.43G与Wi-Fi (5)2.5病毒过滤 (5)2.6反垃圾邮件 (6)2.7VPN功能 (7)2.8强大的抗攻击能力 (7)2.9应用程序控制 (7)2.10Web过滤 (8)2.11身份验证 (9)2.12即时通讯（IM） (9)2.13入侵防御IPS (9)2.14双机热备和高可用性HA (10)2.15智能分析报表 (10)2.16全面的系统监控 (11)2.17丰富安全的管理方式与灵活的权限设置 (11)2.18完善的系统升级与双系统保障 (11)2.19系统配置的导入导出 (12)3产品技术优势 (12)3.1领先的SecOSII安全协议栈 (12)3.2深度的网络行为关联分析 (13)3.3高效准确的网络杀毒、反垃圾邮件 (13)3.4主动的IPS攻击防护 (13)3.5灵活的网络拓扑自适应性 (14)4典型应用 (14)4.1拓扑一：网络出口综合安全防范 (14)4.2拓扑二：透明接入保护核心服务器 (15)4.3拓扑三、混合部署模式 (16)1产品概述网神SecGate 3600 NSG系列下一代安全网关（UTM）（简称:“网神NSG系列UTM产品”）是基于完全自主研发、经受市场检验的成熟稳定SecOSII操作系统, 并且在专业防火墙、VPN、IPS、IDS、防毒墙的多年产品经验积累基础上精心研发的, 专门为政府、军队分支机构、教育、大型企业的分支机构，中小型企业的互联网出口打造的集防火墙、身份认证、防病毒、抗DDoS攻击、VPN、内容过滤、反垃圾邮件、IPS、带宽管理等多项安全技术于一身并且内置完善的智能报表分析的主动防御综合UTM系统。

网神NSG系列UTM产品可灵活部署在政府、教育、军队、大中小型企业及其分支机构的网络边界，为用户同时提供多种、多层次安全防御，保护用户网络免受病毒、蠕虫、木马、垃圾邮件以及未知的攻击等混合威胁的侵害，同时为用户节省了购买多个设备的高昂费用，可简便地统一管理各种安全模块及相关日志、报告，大大降低了设备的部署、管理和维护成本。

深信服下一代防火墙NGAF方案白皮书目录一、企业级网络安全建设需要什么 (4)1.传统割裂的各种安全产品？ (4)2.“雇佣兵”式的安全服务？ (5)3.企业级的网络安全到底需要什么？ (5)二、深信服下一代防火墙的定位 (6)1.适用于国内环境的下一代防火墙 (6)2.我们不仅交付产品，还为您持续输送安全能力 (7)三、深信服下一代防火墙为企业安全赋能 (7)1.看懂安全现状和风险 (7)1.1业务安全状况可视 (7)1.2威胁危害效果可视 (8)1.3安全事件实时通报 (9)2.持续对抗新型威胁 (10)2.1产品快速迭代应对已知威胁 (10)2.2完整的APT攻击检测链 (11)2.3云检测平台应对未知威胁 (12)3.简化安全运营 (13)3.1任务化的风险管理 (13)3.2全网安全统一管控 (14)3.3威胁情报预警与处置 (15)3.4风险评估与策略联动 (15)3.5智能联动封锁机制 (16)四、高效稳定的底层架构设计 (16)1.分离平面设计 (16)2.多核并行处理 (17)3.单次解析架构 (17)4.跳跃式扫描技术 (18)5.Sangfor Regex正则引擎 (18)6.产品性能评测报告 (19)五、深信服下一代防火墙品牌优势 (19)1.市场引领者 (19)2.专业权威的认可 (20)3.专业安全攻防团队 (21)4.产品可靠稳定 (21)六、典型场景和案例 (22)典型应用场景 (22)典型应用案例 (23)七、部分客户列表 (25)近年来，越来越多的网络安全事件告诉我们，安全风险比以往更加难以察觉。

随着网络安全形势逐渐恶化，网络攻击愈加频繁，用户对自己的网络安全建设是否合规、完善并没有把握。

该如何加强安全建设？安全建设的核心问题是什么？采用何种安全防护手段更为合适？安全建设该如何体现价值？这些问题已成为困扰用户安全建设的关键问题。

一、企业级网络安全建设需要什么传统组合方案问题多1.传统割裂的各种安全产品？传统产品组合方案缺陷一：不同的安全设备看到的是不同的攻击类型，信息是割裂的，难以对安全日志进行统一分析；安全设备在有攻击时才能发现问题，在没有攻击的情况下，就无法看到业务漏洞，但这并不代表业务漏洞不存在；即使发现了攻击，也无法判断业务系统是否真正存在安全漏洞，还是无法指导用户进行安全建设。

●版权声明Copyright © 2006-2011 网神信息技术（北京）股份有限公司（“网神”）版权所有，侵权必究。

未经网神书面同意，任何人、任何组织不得以任何方式擅自拷贝、发行、传播或引用本文档的任何内容。

●文档信息●版本变更记录目录1产品概述 (4)2产品特点 (4)3产品功能 (6)4产品型号与指标 (10)5产品形态 (16)6产品资质 (18)1产品概述网神SecGate 3600-G7-41WJ 防火墙（以下简称“防火墙”）是基于完全自主研发、经受市场检验的成熟稳定SecOS 操作系统, 并且在专业防火墙、VPN、IPS、IDS、防毒墙的多年产品经验积累基础上精心研发的, 专门为政府、军队、教育、大中小型企业及各分支机构的互联网出口打造的专业防火墙系统。

防火墙可灵活部署在政府、教育、军队、运营商、大中小型企业及其分支机构的网络边界，完整实现了状态检测包过滤防火墙、IPSec VPN、SSL VPN、URL过滤、绿色上网、流量控制、用户认证等综合安全功能。

基于成熟可靠的多核处理器硬件平台，并可以扩展使用硬件加速，性能超强。

2产品特点●领先的SecOS 安全协议栈完全自主知识产权的SecOS 实现防火墙的控制层和数据转发层分离，全模块化设计，实现独立的安全协议栈，消除了因操作系统漏洞带来的安全性问题，以及操作系统升级、维护对防火墙功能的影响。

同时也减少了因为硬件平台的更换带来的重复开发问题。

由于采用先进的设计理念，使该SecOS 具有更高的安全性、开放性、扩展性和可移植性。

●高性能与高安全的多核架构多核硬件架构与新一代多核并行安全操作系统SecOS 相配合，多个核并行处理，分担数据流量，极大的提升系统性能。

多核并行操作系统可实现驾驭更多处理器核、减少串行比例、降低系统开销。

保证同时开启防火墙、VPN、IPS、AV、P2P限制等功能系统依然运行平稳。

●深度的网络行为关联分析采用独立的安全协议栈，可以自由处理通过协议栈的网络数据。

360新一代大数据智慧防火墙技术白皮书目录1.产品概述 (2)2.产品特色 (2)3.技术优势 (5)4.典型应用 (8)1.产品概述在信息化飞速发展的今天，网络形势正发生着日新月异的演变，层出不穷的新型威胁冲击着现有的安全防护体系。

传统的安全设备，一是以本地规则库为核心，无法有效检测已知威胁；二是没有数据智能，无法感知未知威胁；三是没有联动智能，无法对网络进行协同防御。

面对诸如0-day、APT及未知威胁等越来越多样化和层次化的攻击，逐渐变得力不从心。

归根结底，现在的安全和产品体系还在用单机的、私有的思路来解决网络的、公有的已知威胁。

而面对未知的安全威胁，我们不能再孤军作战，而必须是协同共享。

360新一代大数据智慧防火墙是360网神自主创新的新一代防火墙安全系统，基于360网神NDR（基于网络的检测与响应）安全体系。

在强劲性能与更先进架构的支撑下，集成了防火墙、VPN、应用与身份识别、防病毒、入侵防御、虚拟系统、行为管理、应用层内容安全防护、威胁情报等综合安全防御功能，并完成了与360天眼、病毒云查杀、未知威胁感知分析等多项智能协同防御功能。

是专门为政府、军队、金融、教育、运营商、企业的网络出口打造的基于协同防御体系的下一代安全防御系统。

2.产品特色2.1革命性的性能提升随着网络技术的发展，防火墙需要支持对应用层的过滤和威胁防护，如何保障开启应用层过滤和威胁防护情况下能够高效、快速、稳定运行是新一代防火墙必须面对的问题。

区别于对称的多核处理结构，360新一代大数据智慧防火墙采用自主研发且优化后的异步处理结构AMP+，突破前者处理数据的瓶颈，更大程度上提升了防火墙的性能。

更高效的性能、更快速的转发速度是防火墙的基石，让集成的多种安全防护功能，在全面启用的情况下，仍然能轻松应对，保证极快的整体转发速度。

2.2应用层转发延迟有效降低360新一代大数据智慧防火墙采用完全自主研发的单引擎一次性数据包拆分和物理多核下并行虚拟计算处理技术，使得整个数据的处理，包括应用层数据的处理、入侵防护等高级功能，都在数据平面完成，不涉及数据包的拷贝，进程切换等问题，同时数据的处理在整个转发阶段都使用同一个会话，实现数据包在4-7层的高性能转发，有效降低应用层转发延迟。

蓝盾万兆高性能防火墙技术白皮书⏹电信级架构⏹专用智能安全芯片⏹多核（128）并行处理广东天海威数码技术有限公司目录第1章产品简介 (2)1.1 系统组成 (3)第2章防火墙体系架构分析 (4)2.1 体系架构的演变 (4)2.2 基于FDT指标的体系架构分布 (6)2.3 蓝盾第三代ISS集成安全体系架构 (7)第3章蓝盾芯片级硬件防火墙体系架构 (9)3.1 高速安全处理单元SPU (11)3.2 安全处理芯片 (11)3.3 安全处理芯片处理流程 (14)3.4 高速背板总线及高速管理通道 (15)3.5 软件系统 (15)第4章产品特性 (17)4.1 强大的攻击防范能力 (17)4.2 增强的防火墙过滤功能 (17)4.3 IDS联动 (18)4.4 All In One集成功能 (19)4.5 支持多种功能模式 (20)4.6 NAT应用 (21)4.7 安全保障的VPN应用 (22)1.2 防火墙双机热备份 (22)4.8 完备的流量监控 (22)4.9 灵活便捷的维护管理 (23)4.10 支持多种以太网接口 (24)4.11 详尽统一的日志 (24)4.12 可靠的产品设计 (25)第5章系统结构 (26)5.1 产品外观 (26)产品前视图 (26)产品后视图 (26)产品顶视图 (27)5.2 产品性能指标 (27)5.3 功能特性列表 (27)第1章产品简介随着网络带宽和各种应用的高速增长，对防火墙产品的处理性能提出了更高的要求。

X86架构的防火墙采用通用CPU和PCI总线接口，往往会受到PCI 总线的带宽及CPU处理能力的限制；NP、ASIC架构的防火墙虽然解决了带宽问题，但对高层业务应用支持较差。

作为专门设计网络安全产品的广东天海威数码技术有限公司利用自身的优势，结合我国的网络安全现状，成功研制出了基于电信级架构，专用智能安全芯片及多核（128）并行处理能力的万兆级高性能防火墙，既成功解决了带宽问题，全双工吞吐量FDT最大支持高达12Gbps，又实现了高层应用业务的全面支持能力。

NGAF 下一代防火墙方案白皮书目录1.概述 (4)2.深信服下一代防火墙核心价值 (5)2.1.全程保护 (5)2.2.全程可视 (7)3.主要功能介绍 (8)3.1.系统架构设计 (8)3.2.基础防火墙特性 (11)3.3.事前风险预知 (13)3.4.事中安全防护 (18)3.5.事后检测及响应 (31)4.部署模式 (33)4.1.网关模式 (33)4.2.网桥模式 (34)4.3.旁路模式 (36)4.4.双机模式 (37)5.市场表现 (39)5.1.高速增长，年复合增长超70% (39)5.2.众多权威机构一致认可 (40)5.3.为客户需求而持续创新 (40)6.关于深信服 (40)1.概述近几年来，随着互联网+、业务数字化转型的深入推进，各行各业都在加速往互联网化、数字化转型。

业务越来越多的向公众、合作伙伴，第三方机构等开放，在数字化业务带给我们高效和便捷的同时，信息暴露面的增加，网络边界的模糊化以及黑客攻击的产业化使得网络安全事件相较以往成指数级的增加，面对应对层出不穷的新型安全事件如网站被篡改，被挂黑链，0 day 漏洞利用，数据窃取，僵尸网络，勒索病毒等等，传统安全建设模式已经捉襟见肘，面临着巨大的挑战。

问题一：传统信息安全建设，以事中防御为主。

缺乏事前的风险预知，事后的持续检测及响应能力传统意义上的安全建设无论采用的是多安全产品叠加方案还是采用 UTM/NGFW+WAF 的整合类产品解决方案，关注的重点都在于如何防护资产在被攻击过程中不被黑客入侵成功，但是并不具备对于资产的事前风险预知和事后检测响应的能力，从业务风险的生命周期来看，仅仅具备事中的防护是不完整的，如果能在事前做好预防措施以及在时候提高检测和响应的能力，安全事件发生产生的不良影响会大幅度降低，所以未来，融合安全将是安全建设发展的趋势。

问题二：传统安全建设是拼凑的事中防御，缺乏有效的联动分析和防御机制传统安全建设方案，搜集到的都是不同产品碎片化的攻击日志信息，只能简单的统计报表展示，并不能结合业务形成有效的资产安全状态分析。

天清汉马USG企业防火墙技术白皮书目录1概述 (2)2产品综述 (3)2.1产品综述 (3)2.2特点说明 (3)3体系架构说明 (6)3.1产品构成 (6)3.2硬件结构 (6)3.3软件结构 (8)3.4管理结构 (9)4关键技术 (11)4.1多核智能驾驭技术 (11)4.2事件关联分析技术与归并处理机制 (12)4.3高速深层检测技术 (12)4.4智能内容过滤技术 (14)4.5数据监控NetFlow技术 (17)4.6非法连接过滤技术 (18)5典型组网 (19)5.1政府行业 (19)5.1.1电子政务网 (19)5.1.2政府专网 (20)5.2教育行业 (22)5.2.1高教校园网 (22)5.2.2中/基教教育城域网 (23)5.3企业市场 (24)5.3.1中小企业 (24)5.3.2大型企业 (25)1概述诞生20多年来，网络已经在全球经济中扎根发芽，蓬勃成长为参天大树，对各个行业的发展起着举足轻重的作用。

随着时间的推移，网络的安全问题也日益严重，在开放的网络环境中，网络边界安全成为网络安全的重要组成部分。

在网络安全的术语里，有一个名词叫做“安全域”，其主要作用就是将网络按照业务、保护等级、行为等方面划分出不同的边界，定义出各自的安全领域。

举个简单的例子，在PC上安装了相关的杀毒软件，PC本身就是一个最简单的安全域。

对于单位用户，安全域往往由若干网络设备和用户主机构成，其边界安全主要在于与互联网的边界、与其他业务网络的边界等。

防火墙是解决网络边界安全的重要设备，它主要工作在网络层之下，通过对协议、地址和服务端口的识别和控制达到防范入侵的目的，可以有效的防范基于业务端口的攻击。

天清汉马USG防火墙是北京启明星辰信息安全技术有限公司凭借在信息安全领域多年的经验积累，总结分析用户的切身需求，推出新一代的防火墙产品。

天清汉马USG防火墙采用高性能的硬件架构和一体化的软件设计，除了实现了状态检测防火墙功能，还同时支持VPN、外联控制、抗拒绝服务攻击（Anti-DoS）、内容过滤、NetFlow、虚拟防火墙等多种安全技术，同时全面支持QoS、高可用性（HA）、日志审计等功能，为网络边界提供了全面实时的安全防护。

网御强五系列防火墙产品白皮书SANY标准化小组 #QS8QHH-HHGX8Q8-GNHHJ8-HHMHGN#联想网御强五UTM系列防火墙产品白皮书联想网御科技（北京）有限公司版权信息版权所有 2001－2006，联想网御科技(北京)有限公司本文档中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属联想网御科技(北京)有限公司所有，受国家有关产权及版权法保护。

如何个人、机构未经联想网御科技(北京)有限公司的书面授权许可，不得以任何方式复制或引用本文档的任何片段。

商标信息联想网御，Legend，Lenovo，leadsec等标识及其组合是联想网御科技(北京)有限公司拥有的商标，受商标法和有关国际公约的保护。

第三方信息本文档中所涉及到的产品名称和商标，属于各自公司或组织所有。

联想网御科技（北京）有限公司Lenovo Security Technologies Inc.北京市海淀区中关村南大街6号中电信息大厦8层 1000868/F Zhongdian Information Tower Zhongguancun South Street,Haidian District, Beijing电话(TEL)：0传真(FAX)：0技术热线(Customer Hotline)：0电子信箱(E-mail)：公司网站：目录1、序言近几年来，随着信息化建设的飞速发展，信息安全的内容也越来越广泛，用户对安全设备和安全产品的要求也越来越高。

尽管防火墙、IDS等传统安全产品在不断的发展和自我完善，但是道高一尺魔高一丈，黑客们不仅专门针对安全设备开发各种工具来伪装攻击、逃避检测，在攻击和入侵的形式上也与应用相结合越来越紧密。

这些都使传统的安全设备在保护网络安全上越来越难。

混合攻击带来的新挑战随着红色代码、Nimda等有里程碑式的病毒出现，改写了病毒形态和病毒的历史，病毒已经不再只具有破坏力。

专注安全追求卓越AngellPRO防火墙技术白皮书本资料将定期更新，如欲获取最新相关信息，请访问安智科技网站，，您的意见和建议请发送至：西安安智科技有限公司Angelltech Corporation地址：西安雁翔路99号西安交大科技园博源大厦二层邮编：710054电话：( 86- 029 ) 83399618传真：( 86- 029 ) 83399620邮箱：services@本白皮书中的内容是安智科技AngellPRO防火墙。

本材料的相关权力归西安安智科技所有。

白皮书中的任何部分未经本公司许可，不得转印、影印或复印。

© 2004 西安安智科技有限公司All rights reserved.目录一产品概述 (3)二设计理念 (3)三产品线概述 (3)四产品特点 (4)五功能特性 (6)5．1设计特点 (6)5．2状态检测的包过滤机制和灵活的访问控制机制 (7)5．3广泛的网络及应用环境支持 (7)5．4多种工作模式应用 (7)5．5网络地址转换功能 (7)5．6透明的应用代理 (8)5．7支持策略路由 (8)5．8多端口的自适应 (9)5．9智能的内容过滤 (9)5．10强大的抗攻击能力 (9)5．11支持透明接入 (11)5．12多层过滤功能 (11)5．13VPN功能特性 (12)5．14访问用户控制 (12)5．15完善的系统管理功能 (12)5．16日志审计功能 (14)5．17高可用性 (15)5．18易用性设计 (16)六AngellPRO防火墙功能列表 (16)七典型应用 (16)7．1企业级应用 (19)7．2高可靠性双机热备应用 (19)八关于安智 (20)一产品概述AngellPRO防火墙是面向政府机关、企业和一般行业用户的网络信息系统推出的防火墙系列产品，可广泛应用于百兆、千兆网络环境中信息安全系统的构建。

与同类产品相比，AngellPRO防火墙不论在技术的先进性还是各项通用技术指标方面均有较大程度的提高。

KILL防火墙KFW V2.0产品技术白皮书北京冠群金辰软件有限公司目录一概述 (3)二产品特性 (3)三产品功能 (4)四产品性能指标 (7)4.1百兆防火墙系列 (7)4.2千兆防火墙系列 (7)一概述KILL防火墙V2.0是北京冠群金辰公司最新推出的高安全性硬件防火墙产品，它采用高性能硬件平台，加固了操作系统内核、优化了网络协议分析和处理性能。

此外，还提供状态检测包过滤、应用代理、动态路由、入侵检测防护、IPSec VPN、SSL VPN、抗DDoS攻击、深度内容检测、带宽管理和流量控制等功能。

KILL防火墙系列产品广泛应用于政府、公安、军队、企业、电信、金融等行业的网络环境。

KILL防火墙系统有效的解决并改善了传统防火墙产品在性能及功能上存在的缺陷，综合了防火墙、VPN和IDS等多种功能，具有更高的安全性、系统稳定性、更加显著的功能特性和优异的网络性能，同时具备广泛的适应能力。

二产品特性高安全性KILL防火墙具备强大的抗攻击能力，例如：防Syn Flood、Ack Flood、UDP Flood、TCP 连接耗尽攻击、Land攻击、Ping of Death、TearDrop、Smurf、Ping Flood、Jolt2等攻击。

KILL防火墙采用专用的安全系统内核，消除了采用通用操作系统造成的防火墙自身的安全隐患，保障了防火墙自身的安全性。

高稳定性KILL防火墙采用高质量的硬件平台和经过严格检验的软件质量检验，使KILL防火墙在保障安全性的同时，稳定性有了很大的提高。

高性能KILL防火墙型号涵盖高中低端各种性能的产品，可满足不同规模用户的需要，最高级别的设备可达到接近万兆处理性能。

KILL防火墙产品方面具备先进成熟的技术，同等硬件平台上其性能高于同类产品。

灵活的部署方式KILL防火墙可部署在企业网络边界和内部网段。

提供强大的NAT/反向NAT、PAT等功能，可配置为路由模式、混合模式、透明模式等多种方式，适应大多数网络结构与应用需求。