曙光公司网络安全产品

80
63
ห้องสมุดไป่ตู้60
49
40 20 报文长度 0
19
0 1518
主流服务器网卡 19
曙光NetFirm网 0 卡
0
600 49 0
0
200 63 0
68
0 60 68 0
包长为 600 字节时主流服务器网卡已经开始丢包； 曙光 NetFirm 网卡在 60 字节的最小包时，仍能线速 捕包
随着报文长度减小，主流服务器网卡捕包的 CPU 占用持续 升高，在包长为 600 字节时，已经占用了 49%的 CPU 资源； 而使用 NetFirm 的 CPU 占用始终为 0
功能特性： ✓ 系统关键部件采用热备保证系统的可靠性 ✓ 支持 IPMI 标准管理硬件平台 ✓ 支持 SNMP 网管协议对设备进行管理 ✓ 强大的灵活和掩码 ACL 规则匹配 ✓ 支持特征串匹配 ✓ 支持基于规则的分流和流量复制 ✓ 支持光路的旁路保护
主要部件： ✓ PPB40 业务处理板，完成核心的流量接入
应用 领域
曙光 NetFirm 智能加速卡是电信运营商、安全部门、科研院所的最佳选择，可用于骨干网数据监控、校园网 内容审计、用户数据分析、城域网信息安全处理等高速网络应用中。 某用户需要从高速骨干网上捕包，进行实时数据分析，应用程序为多进程/线程应用，使用普通网卡捕包时， 由应用软件进行报文过滤和分发，每台服务器处理的原始流量为 2Gbps。而采用曙光 NetFirm，处理能力达 到 4Gbps
CA内 内 内内内内 内内内内内内
内内内内内
HPC
内内内
内内内内内
Internet
内内内 内内内内内
NiKey
内内内内1 内内内内
NiKey 内内内内n
NiKey 内内内内
内内内内内
CluSec 高性能计算安全方案，基于安全认证服务器和曙光 VPN 网关，结合智能密码钥匙 NiKey 和曙光安全应 用软件，可满足 HPC 环境下的数据安全、身份认证、CA 认证/签名等安全应用，打造全面的安全防护方案。
化安全解决方案。可用于云计算中心、电子政务、电子商务领域构建 PKI 体系及安全中心。 身份认证：曙光自主研发 CA、签名系统，可对关键敏感数据进行签名与验证，保证数据的真实性、 完整性、合法性，实现身份安全认证等功能。 文件加密：支持文件加密存储，防止存储设备因丢失、维修等情况下数据泄密。 单机登录：配合 Nikey，实现双因子认证功能，保证单机登录系统安全 SSH 登录：通过 Nikey 强制认证机制，确保系统 SSH 登录管理安全。
曙光网络安全产品系列
1
曙光 NetFirm 智能加速网卡
产品特点：
高速收发包：采用 FPGA 高速芯片，支持零 CPU 占用、负 载均衡的高速收发报文，可充分发挥服务器的性能。
网口流量聚合：在硬件上实现多个网口流量的链路层聚 合，可以保证报文达到应用时保持线上顺序。
增值特点：芯片级的五元组分类处理，芯片级的 TCP 连 接管理、乱序报文重排、连接阻断及报文转发。
口和传输层协议的五元组规则匹配 ✓ 支持掩码五元组和灵活五元组规则 ✓ 单板最大支持 50 万掩码规则和 200 万条灵
活五元组规则 特征串规则匹配，匹配深度为 1～80 字节，匹配 宽度为 1～80 字节 ✓ 最大支持 256 个分流组，每个分流组最大支
持 256 个端口号 ✓ 支持机箱内部跨板卡分流，最大转发延迟不
金属外壳，小巧便携。可应用于电子政务、电子商务、 云计算中心、数字图书馆、网游、网银等身份安全认 证。
系统内置加密芯片，配备自主研发嵌入式操 作系统，提供数据加密、数据完整性、数字签名、 访问控制等安全功能。支持 SM1、SM2、SM3、DES、 3DES、AES、RSA1024，RSA2048、SHA-1 等加密算 法，提供丰富的二次开发接口和完善的例程，方 便用户软件开发。
防火墙
TLFW-1000L
TLFW-1000E/1000M
负载均衡
DCLB-1100L
DCLB-1200
基于龙芯的防火墙。
专为行业用户设计的企业
曙光负载均衡支持 TCP/IP 等主流网络协议，具备服务
从软件到硬件、从系统到芯片完 级千兆防火墙，可满足大中型企 器负载均衡、链路负载均衡、单一服务接口、应用动态冗余、
广泛使用于计算机文件保护、电子邮件系统安全 保密、办公自动化安全保密、数据库保护、网络 加密等。
安全认证服务器
安全认证服务器配置了曙光天机加密芯片和 NiKey 智能钥匙及安全应用软件，有效地提高服务器的
安全等级，为用户提供符合国密办标准的数据安全加密、身份认证、CA 认证/签名、单机/远程登录等一体
和处理 ✓ CPB 控制板，完成系统的控制管理 ✓ SCB 交换板，支持 480Gbps 的流量交换 ✓ RTM24GE 后 IO 扩展接口板，支持 24 个 GE
扩展接口，用于流量的负载均衡输出 ✓ RTM12XGE 后 IO 扩展接口板，支持 12 个
10GE 扩展接口，用于流量的负载均衡输 出 ✓ OPB 光保护板，用于保护串接光路
VideoSpeed-C110 高清转码加速卡
VideoConta-S100 视频内容分析软件
全高半长，PCI-E 接口，尺寸小，低功耗，适用性强，可灵活定制
面向广电、安全领域，实现高性能的多路高清视频编解码、转码实时处理。 面向安全监管、视频监控领域，可提供实时、准确的视频内容分析，能够识别特定静 态或者动态目标，包括台标识别、文字识别、特定标识、敏感图像判定等功能。
在线重构硬件芯片：可以在线升级网卡芯片的功能，方 便用户需求变化时进行系统升级。
定制化开发：可根据用户业务需求，定制开发特定加速 功能，帮助用户达成业务目标。
面临的问题： 网络带宽发展迅速，Gilder 定律表明，网络
带宽每 9 个月增长一倍 骨干网流量巨大，依靠普通网卡进行数据处
理，需要占用更多服务器 CPU 资源 简单的扩展设备，会带来空间、能耗、投资
电信级网络设备，ATCA 机箱（高级电信计算机架构）
型号规格 5U（6 槽位）和 12U（14 槽位）
接口 处理性能
支持协议
五元组 规则匹配 特征串 匹配 分流转发 流量复制 链路保护 电源模块 功耗
支持 GE/10GE/2.5GPOS/10GPOS 接口的输入
✓ 单板 40Gbps 处理能力和 320G 交换能力 ✓ 整机最大 480Gbps 处理能力和 4Tbps 处理能
力 ✓ POS 接口支持 SDH/SONET 接口类型，同时支
持 PPP、HDLC 两种链路协议解析 ✓ 支持 4 层 MPLS、4 层 VLAN 标签协议的解析 ✓ 支持 PPPOE 链路协议解析 ✓ 网络层同时支持 IPv4/IPv6 双栈协议分析 ✓ 传输层支持 TCP/UDP/ICMP/IGMP 协议解析 ✓ 支持基于源 IP、目的 IP、源端口、目的端
1U 机架
6 个千兆电口， 4 个 SFP 光口， 2U 机架，冗余电源
并发会话数 120 万
并发连接数数 180 万
安全产品资质
销售许可证
中国国家信息安全 产品认证证书
涉密信息系统产品 检测证书
军用信息安全产品 认证证书
6
HPC 安全解决方案
内内内内内
内内内内内 内内内内内内内 内内内
内内内内
内内内内内内内 内内内
超过 1ms 支持流量复制转发，每个报文最大支持复制次数 为 256 次，平均支持流量复制两份 ✓ 支持设备出现软件故障时对链路进行电路
保护 ✓ 支持设备出现硬件故障（掉电故障等）时对
链路进行光路保护
1+1 冗余可插拔电源模块
单板最大功耗 250W
3
VideoSpeed 视频加速系统
VideoSpeed 是曙光自主研发的众核运算加速设备，采用硬件编解 码，不占用服务器资源，可实现音视频的高速编解码。 采用 TilePro64 众核芯片，64 核心，700Mhz 主频。支持多路多格
整体应用方案
4
身份安全/加密认证 智能密钥 Nikey180
天机加密芯片 Tjcard
智能密码钥匙 NiKey180 是 USB Key 解决方案， 采用 8 位国产安全芯片，自主开发 COS，实现 RSA、 DES、3DES、AES、SM1 算法，支持 Key 内生成 RSA 密 钥对。硬件实现数字签名，私钥永不出 Key。产品提 供 CSP 接口以及底层动态库，通过非对称密钥技术实 现可靠的身份认证和数据加密，广泛用于 PKI 体系。
的膨胀
NetFirm 能做什么？ 在高速骨干网上，部署着大量服务器，针对
网络数据包进行审计、检测等，NetFirm 卡 可实现高效能网络数据处理，打破普通网卡 的瓶颈。 采用 NetFirm 减轻应用软件的负担，使服务 器更加高效地进行业务处理，提升服务器的 整体性能。 解决机房膨胀：节省机房空间、降低用户投 资和能耗
基于龙芯的万兆防火墙
结合曙光 FPGA 技术和众核技术，形成龙芯万 兆性能的高端防火墙产品。将自主安全与高速处理 完美结合起来。产品具有多种形态，适合从千兆网 络环境到万兆骨干网的高端应用。
基于龙芯的负载均衡
提供高智能、高适应性的解决方案， 优化信息系统，实现完善的应用交付，产 品不仅仅支持虚拟化扩展，还可以支持云 安全管理下的统一协调管理。
产品 型号
NetFirm-C304： 4 个网口，可配置成千兆 以太或 2.5GPOS
NetFirm-C313: 1 个万兆以太网口，3 个可配置成千兆 以太或 2.5GPOS 的网卡
NetFirm-C320: 2 个万兆网口，可配置成以太或 POS
2
FlowFirm 安全一体机
随着互联网应用的快速发展，骨干网带宽呈爆炸式增长，并且安全问题日益严重，针对网络流量进行 异常流量分析已经非常必要。曙光公司推出的 FlowFirm 产品能够实现对 IP 骨干网、城域网以及云计算中 心的数据接入、分析和控制。FlowFirm 硬件平台采用标准的 ATCA 架构，易于扩展和移植；核心处理模块 采用曙光自主研发的高速网络处理芯片 NetFirm 和 Netlogic 多核处理器，提供针对大流量的数据接入、 数据采集、协议分析、流量过滤、流量采样和负载均衡等综合功能。
L440-cc
i650-cc
龙腾服务器平台 X86 服务器平台
龙芯 3 号处理器 intel 处理器
4U 塔式
5U 塔式
Nikey 密钥，天机加密芯片，安全应 用软件
智能密钥 Nikey 销售许可证
密码销售许可证
5
龙腾防火墙 / 负载均衡
完全自主可控的网络安全产品
采用龙芯 3 号处理器，实现了从软件到硬件、从芯片到系统完全自主知识产权，消除了采用国外 CPU 处理器的安全隐患，是政府、军队、航天、国防等战略部门的的最佳选择。
带宽（万pps） CPU占用（百分比）
主流服务器网卡 300
曙光NetFirm网卡 298
应
200
用
111
案
100 16 16 38 40 34
20
例
0 报文长度 1518 600 200 60
主流服务器网卡 16
38
34
20
曙光NetFirm网 16 卡
40 111 298
主流服务器网卡 曙光NetFirm网卡
全自主可控。
业、政府、教育等骨干网络应用。 双机热备等丰富功能。
龙芯 3 号处理器， 4 个千兆电口，2 个 SFP 光口
1U 机架
并发连接数 100 万，吞吐量 1G
最多支持 10 个接口， 可扩 4 个 SFP 光口，
1U 机架/2U 机架
吞吐量 3G-6G
龙芯 3 号处理器， 4 个千兆电口，2 个 SFP 光口，
云安全解决方案
曙光以 CloudFirm 为核心，保障身份安全、网络安全、数据安全、内容安全等动态联动。 实现主动防御、重点防护、协调机动等云计算的安全防护。
7
封底 ----------------------------------------------------
8
式多分辨率音视频并行解码，可以同时并行处理几十路音视频解 码，支持数千路并发会话。 丰富视频格式支持：解码格式支持：如 MPEG1、MPEG2、MPEG4，
H264，H263，vp6，flv，avi，asf 等常见格式；音频支持 MP3、
MP2 等格式；
VideoSpeed-C100 音视频解码加速卡