联想网御的多核并行计算网络安全平台

本期特稿２０１０年４月，ＩＴ界又—个热点新闻：处理器领域“多核”硝烟再起。

ＡＭＤ公一Ｊ宣布很快便会将１２核处理器产品推出上市，而Ｉｎｔｅｌ公司已推出８核的处理器产品与之对抗。

相比市场上已经较为普及的双核、４核产品而言。

这种核心数目超过６核的处理器产品主要呵向的是高价、高端的服务器电脑产品，这类产品对处理器的并行处理能力要求较高。

ｒｒ基础没备的每一次升级也就意味着与之相关的行业要做出及时的调整和反应。

一般而言，处理器的核心数目越多，处理并行任务时效率也会更高。

与之相呼应的是，易用性和安全性往往不能兼而得之，这也预示着安全领域面临着更大的隐患，需要并行化更高，功能更加强大的安全产品加以保护才能更充分地使多核的优势显现出来。

如今，性能和安全之间的关系成了更多用户关注的重点，但这经常是一对矛盾：客户本着效率和效益的角度，总是希望不断提升性能，提供更快的访问和响应、处理更多的在线业务、获得更好的用户体验，但同时。

性能的增加必然带来更多的安全问题。

安全设备在性能方面提升的需求也相应增加，“多核”的概念也出现在了安全领域，这其实并不是一个新鲜的名词，但是多核在安会中的应用和产品化、用户的需求和感受对大多数人来说都还蒙着一层迷雾。

多核应用成为主流自从人们认识到单核的功耗限制了其性能的提高，转而用多核的方式来达到性能的提升的，多核便开始影响我们的计算领域，甚至有人说，多核时代正式来临。

多核为企业级用户带来更多的体验、更低的功耗、更高的效率。

本刊记者白洁究竟什么是多核，多核给安全带来哪屿新的挑战？网御神州安全网关事业部总经理王刚表示，狭义上讲，多核是指多核ＣＰＵ，即ＣＰＵ在物理上有多个核，多核技术就是把多个芯片集成在一个封装内的技术，可以看作是硬件上的并行。

而实际上，多核不仅仅是多核ＣＰＵ，从硬件角度上讲，多核是多核ＣＰＵ、高效中断分配机制、高速总线、并行多通道内存访ｌ’口Ｊ技术等技术融合所带来的硬件架构；从软件上讲，王刚认为多核应当指的是多核并行软件处理机制，因为不仅不同的应用需要跑在不同的核上，更加需要相同的应用跑在不同的核上，因此，多核ｌ＇日Ｊ的智能调度对于提升多核效能显得尤为重要。

联想网御主动云防御系统信息安全威胁多样化和复杂化的趋势日益明显，现有单一的安全防护体系及被动的策略难以有效应对。

联想网御集成所有已部署的病毒/攻击检测计算资源形成主动云防御系统，为用户提供高效的整体网络安全解决方案。

一、主动云防护系统示意图二、基于安全设备云的安全防护主动云防御系统主要包含3个部分：安全防护集群、安全检测集群、主动云防御服务器。

安全防护集群由连接到主动云防护系统中的所有安全设备组成，负责从服务器下载并执行安全防护列表；安全检测集群主要由分布式部署的UTM、IPS、AVG 等设备和恶意网站探测服务器组成，负责实时检测攻击、病毒、木马等恶意行为，并上传到服务器，安全检测集群中设备也可能属于安全防护集群；主动云防御服务器负责采集信息，并自动验证、归并为安全防护列表下发到安全防护集群。

整个系统工作流程可以划分为安全防护列表收集流程和安全防护列表过滤流程，其中，安全防护列表收集流程执行在恶意网站探测服务器、UTM、IPS、AVG设备群、主动云防御服务器上，具体工作流程如下：恶意网站探测服务器采用网络爬虫的方式，遍历各个网站上的页面，并下载页面上链接指向的文件资源，然后利用商用病毒检测工具进行多重检测，如果在某个文件中检测到病毒，则把该文件对应链接的URL信息和病毒名称传送到主动云防御服务器。

AVG和UTM设备中的病毒检测模块，对通过该设备的网络流量进行分析和应用报文重组，然后进行病毒检测，如果发现病毒，则把该病毒对应的URL存入事件归并与关联模块中的事件队列中。

最后定时向主动云防御服务器提交已归并的病毒名称、URL等信息。

AVG和UTM设备中的入侵检测模块，对通过该设备的网络流量进行协议分析和统计，判断该流量中是否包含入侵攻击行为，如果发现入侵攻击，则把该攻击对应的攻击名称、地址等信息存入事件归并与关联模块中的事件队列中。

最后定时向主动云防御服务器提交已归并的入侵攻击名称、地址等信息。

主动云防御服务器收集上述3种病毒和攻击信息，首先进行合并，剔出重复冗余的信息，然后进行校验，剔出老化或失效的地址、误报信息、内部网络地址等无效信息，最后整理成包含病毒或木马的URL列表和发起攻击的地址和服务端口的安全防护列表。

生产厂商：Check Poin产品销售对象：UT M-1全面安全硬件设备是一款包括了所有的安全防护功能，能够以一种简单、经济、有效的方式满足用户网络安全防护所有需求的解决方案。

Check Point 的核心U TM 平台包括一个Stateful-ins pectio n 防火墙、IP Sec VPN 、防病毒网关和反间谍软件、入侵防御、一个Web 应用防火墙及其它功能。

这个全新U TM-1全面安全系列还增加了邮件安全保护，使得它们以一个极具吸引力的价格，为用户提供范围广泛的安全保护、配套支持及服务，保护中型网络抵御各种互联网攻击产品功能和性能描述●　基于内容的反垃圾邮件——拥有一个独特基于模式的引擎，它能侦测各种先进的垃圾邮件，例如基于图像及外文的垃圾邮件●　互联网协议保护——通过在连接层拦截大部分垃圾邮件，而不需要再进一步检查发信人的信誉来作侦测●　拦截/允许列表——令系统管理员可以通过定制一个列表，阻截已知的电子邮件攻击者及接受可信的发信人生产厂商：联想网御产品销售对象：行业/部门高端用户，适合对产品性能有较高要求的用户。

目前，该产品在公安部门已经有很多成功应用案例产品功能和性能描述●　双重ASIC 架构带来的高性能联想网御以强大的研发能力，突破了芯片设计和内容处理上的技术难点，在VSP 平台上实现了业界最先进的双重ASIC 处理技术：网络处理ASIC 芯片：具备基本的防火墙引擎，负责处理数据包的转发；防火墙安全策略；VPN 加密；NAT 转换；虚拟网关；动态路由等功能。

内容处理ASIC 芯片：包含一个具有专利的内容处理引擎，负责处理防病毒；入侵检测和防护；垃圾邮件检查；Web 内容检查过滤。

最多可支持14个千兆网络接口，吞吐量高达10G ，可以满足电信级骨干网络的性能要求。

●　专用安全操作系统VSP （通用安全平台）VSP 是联想网御自主研发的专用安全操作系统，该系统参照国际标准，基于完善的体系结构设计，将实时操作系统、网络处理、安全应用等技术完美地结合在一起，具有高效、智能、安全、健壮、易扩展等特点●　统一安全引擎USE （Uniform Security En g ine ）U SE 通过高效的引擎集成技术，将各个安全功能有机地整合为一体，状态检测、IPS 、反病毒、反垃圾邮件、高层协议分析机、深度内容检测等引擎并行处理，协同工作，对于监测的数据包，一次性拆包即可完成2-7层的检测，有效地提高了系统效率。

联想网御内网安全管理系统联想网御内网安全管理系统是联想网御安全管理系统的重要组成部分，采用TTM可信终端管理技术，保护企业内部资源和网络的安全性。

内网安全管理系统，由终端管理系统、补丁管理系统和文件保密管理系统组成。

终端管理系统帮助用户实现桌面行为监管、外设和接口管理、准入控制、非法外联监控和终端资产管理功能。

补丁管理系统帮助用户实现系统漏洞分析、补丁自动分发、分发策略管理和分发流量控制功能。

文件保密管理系统帮助用户实现对文件、目录、磁盘和U盘的保密管理功能。

产品组成联想网御内网安全管理系统由服务器、客户端和控制台三部分组成。

●服务器：用于管理终端计算机的资产和系统信息、漏洞补丁数据、所应用的安全策略等，并向终端计算机的客户端发送监控指令等。

●客户端：安装在每台被管理的终端计算机上，用于收集终端计算机的数据信息，执行来自服务器模块的指令，完成对终端计算机的监控等。

●控制台：是对服务器进行操作的控制界面，用于监控每台安装有客户端的终端计算机，制定安全策略，下达对终端计算机的监控指令等。

产品优势终端隐患一网打尽系统采用底层监控技术对终端用户的外设接口使用行为进行控制，可以禁止使用USB存储设备、打印机、红外接口等外设和接口，同时支持对敏感文件进行加密，防止重要数据外泄。

系统支持对终端用户的程序使用、文件访问、上网行为、端口通信、网络共享、资产变更等行为进行监控、审计和管理，消除终端安全隐患。

系统补丁统一分发系统通过对终端计算机进行自动漏洞分析，统一向终端下发所需系统补丁，确保终端计算机方便快捷地修补系统漏洞，增强终端安全性。

系统支持补丁分发策略管理、分发流量控制、级联分发、自定义补丁管理、补丁增量更新、补丁回退等功能，帮助客户省时、省力、省带宽地完成对终端的"查遗补漏"。

安全策略强制执行系统以强制执行内部安全策略为核心，通过在服务器端统一编辑安全策略并下发到内部各终端计算机上强制执行，完成对终端计算机集中的安全防护和行为监管，防止用户对内部资源的非授权访问和重要信息外泄，提高终端自身安全性，实现终端从自主安全管理到强制安全管理的飞跃，保证内网用户行为的合规性。

联想网御VPN技术与产品特点1. 引言在当今数字化信息时代，随着互联网的快速发展，保障网络安全和数据隐私成为了企业和个人亟需解决的问题。

VPN（虚拟私人网络）技术应运而生，提供了一种安全可靠的远程访问解决方案。

联想网御作为一家知名的技术公司，也推出了自己的VPN产品，旨在为用户提供更好的网络安全保护。

本文将介绍联想网御VPN 技术的特点和产品亮点。

2. 联想网御VPN技术特点联想网御VPN技术以保障用户网络安全和数据隐私为核心，具备以下特点：2.1 加密传输联想网御VPN采用先进的加密算法，确保用户在传输过程中的隐私数据得到充分的保护。

通过建立虚拟的隧道，用户的数据能够在公共网络中进行加密传输，有效防止了黑客攻击和敏感信息泄漏的风险。

2.2 多平台支持联想网御VPN产品提供了多平台的支持，包括Windows、MacOS、Android 和iOS等主流操作系统。

用户可以在不同的设备上轻松使用VPN服务，方便快捷地保护自己的网络安全。

2.3 跨地域访问联想网御VPN产品具备跨地域访问的能力，能够帮助用户突破地理限制，实现对特定地区网络资源的访问。

无论用户身在何处，都可以通过联想网御VPN产品畅游互联网，享受无边界的网络自由。

2.4 抗封锁功能在某些地区或特定环境下，存在网络封锁的问题。

联想网御VPN产品内置了抗封锁功能，可以帮助用户绕过网络封锁，解除对特定网站或应用的限制，保证用户畅快地访问所需的网络资源。

2.5 高速稳定联想网御VPN产品拥有高速稳定的网络连接，通过优化网络链路和服务器配置，降低网络延迟，提高用户的上网体验。

无论用户进行在线游戏还是观看高清视频，都能够获得流畅的网络连接。

2.6 用户友好界面联想网御VPN产品采用直观简洁的用户界面设计，使用户可以快速上手并轻松配置VPN连接。

同时，提供了一系列的个性化设置选项，用户可以根据自己的需求进行调整，实现定制化的VPN服务。

3. 联想网御VPN产品特点3.1 稳定可靠联想网御VPN产品通过自建VPN服务器和强大的负载平衡技术，保证了产品的稳定性和可靠性。

联想网御深入推进“下一代安全架构”记者7月18日最新报道，继2007年4月联想网御成功发布“下一代安全架构”安全理念之后，近日，基于下一代安全架构三大核心之一的“业务导向的安全管理”体系，联想网御已形成安全设备管理系统、异常流量管理系统、终端管理系统、补丁管理系统、文件保密管理系统、安全审计系统和应用安全管理系统等全系列安全管理产品及应用方案，代表了目前在国内安全管理领域领先的理念和技术成果，成为渠道商和用户积极关注的热点之一。

联想网御基于从边界安全到全网安全、从平台安全到业务安全的发展思路，构建了以业务为导向的安全管理体系，在对企业的网络平台和终端系统进行统一的安全管理的基础上，进一步对企业的业务系统进行安全管理，可有效地保障企业业务系统的稳定运行，促进企业的健康发展。

该体系由核心技术、安全管理产品和应用解决方案组成。

联想网御业务导向的安全管理体系构建在三项核心技术之上，分别是关联安全标准（CSC：Correlative Security Criterion）、可信终端管理（TTM：Trusted Terminal Management）和应用安全仿真（ASE：Application Security Emulation）。

关联安全标准技术通过安全管理协议、安全联动协议、安全审计协议等关联安全协议实现了对多种类、多系列、多厂商的安全设备集中管理，完成了设备与设备之间、设备与终端之间、设备与应用之间的协同防御，并可以对网络中的各种安全设备和系统进行集中的、可视的综合审计，从而有效地帮助用户构建深度安全防御体系。

可信终端管理技术以解决计算机资源应用的可信问题，构建企业内部可信计算环境为目标，基于可信计算平台和可信网络接入理论，结合终端控制、保护、加密技术，实现企业内网可信接入控制，为终端计算平台提供可信保护，对终端计算机数据进行可信处理，对终端计算机行为进行可信管理，从而实现对终端计算机的可信管理。

2008.07专题研究法治空间65拟的，春节前夕发生的艳照门事件，就是因为以网络为传播媒介，严重侵害了当事人的隐私权，给受害人造成了严重的精神和财产损害。

3.侵害个人信息个人信息(in formation relating to individuals)，是一切可以识别的本人的信息的总和，这些信息包括了一个人的生理的、心理的、智力的、个体的、社会的、经济的、文化的、家庭的等等方面。

大陆法系一般认为个人有权决定其个人信息的使用，对于个人信息的保护属于一般人格权的范畴，德国1990年修改后的个人资料保护法第一章《一般条款》第1条规定:本法旨在保护个人的人格权，使其不因个人资料的处置而遭受侵害。

该法的目的是为了保护个人人格权在个人信息处理时免受侵害。

②网络以数字化方法进行数据处理，因此对个人信息保护产生严峻挑战，在网络中侵害个人信息的违法成本较低，对于受害人人格权的侵害后果往往比较严重。

最近，在全国人民众志成城全力抗击地震灾害之时，网络中出现辱骂灾区灾民的视频，众网友义愤填膺，在网上发布搜索令，很快便获得当事人的详细信息，并予以公布。

辱骂灾区灾民固然具有道德谴责性，但是搜索他人全部资料并在网络上公之于众的行为是对他人人格权的侵害。

4.侵害精神自由权匿名环境使得一些网友毫无立场地传播和支持与主流道德和法律观念相左的偏激的意见和批判，在互联网上形成具有一定影响力的舆论压力，这些舆论压力给相关当事人造成了巨大的心理压力和精神痛苦，侵害了当事人的精神自由权。

精神自由权也称作决定意思的自由。

在现代社会，公民按照自己的意志和利益从事正当的思维活动，观察社会现象，是进行正确的民事活动的前提，法律应当予以保障。

因而，精神自由权是公民按照自己的意志和利益，在法律规定的范围内，自主思维的权利，是公民自由支配自己内在思维活动的权利。

非法限制、妨碍公民的精神自由，即为侵权行为。

③由于网络的即时性和迅捷性，其对于人格权的侵害是非常严重的，尤其需要法律予以救济。

联想网御安全管理系统产品白皮书联想网御科技（北京）有限公司版权信息版权所有 2008－2012，联想网御科技(北京)有限公司本文档中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属联想网御科技(北京)有限公司所有，受国家有关产权及版权法保护。

如何个人、机构未经联想网御科技(北京)有限公司的书面授权许可，不得以任何方式复制或引用本文档的任何片段。

商标信息网御、联想网御、leadsec等标识及其组合是联想网御科技(北京)有限公司拥有的商标，受商标法和有关国际公约的保护。

第三方信息本文档中所涉及到的产品名称和商标，属于各自公司或组织所有。

联想网御科技（北京）有限公司Lenovo Security Technologies Inc.北京市海淀区中关村南大街6号中电信息大厦8层1000868/F Zhongdian Information Tower No.6 Zhongguancun South Street,Haidian District, Beijing电话(TEL)：传真(FAX)：010-技术热线(Customer Hotline)：400-810-7766，电子信箱(E-mail)：1引言1.1传统安全管理系统重点解决的用户需求安全管理系统（SOC，Security Operations Center）是继网管系统（NOC,Network Operation Center）之后，在管理领域兴起的新一代产品。

网管系统强调对客户网络进行集中化、全方位的监控、分析与响应，实现体系化的网络运行维护，安全管理系统则结合网管的功能，从安全的角度去管理整个网络和系统。

传统安全管理系统被定义为：以资产为核心，以安全事件管理为关键流程，采用安全域划分的思想，建立一套实时的资产风险模型，协助管理员进行事件分析、风险分析、预警管理和应急响应处理的集中安全管理系统。

当今，企业和政府中大量运用了信息技术和网络技术来构筑业务运行的基础设施，但是黑客、蠕虫病毒、后门漏洞等安全威胁的存在，使得用户的关键业务暴露在危险之中。

联想网御安全设备管理系统联想网御安全设备管理系统作为综合性的设备管理软件，遵循CSC关联安全标准，对防火墙、VPN、IDS、网闸、UTM等各类安全设备和路由器、交换机等网络设备的运行状态进行集中监控和告警管理，并可以对设备的安全策略进行集中配置、分发和管理，协助用户实时掌握设备工作状态和安全状况，确保用户网络的安全运行和管理的一致性。

产品组成联想网御安全设备管理系统是联想网御安全管理系统的重要子系统，由管理中心和控制台组成。

∙管理中心：服务器端软件，接收控制台的操作请求，执行管理操作并返回结果。

管理中心主要完成设备监视、拓扑管理、告警收集与分析、策略管理、设备升级等后台设备管理工作。

∙控制台：管理控制软件，向管理中心发送操作请求并显示操作执行结果。

联想网御安全设备管理系统组成图直观清晰的管理方式系统支持拓扑图管理方式，用户可以将本单位按照组织结构划分为多个管理域，每个管理域呈现为一个地图页面，用户可以导入本地地图图片，调整设备显示与地理实际分布一致，直观的显示网络部署和设备情况。

系统还支持告警面板、设备树、状态红绿灯等直观的管理方式。

全面实时的监视信息系统能够实时监视设备的名称、版本、类型、描述等基本信息，CPU资源、内存资源、磁盘资源、网络接口、IPSEC隧道信息、IP连接信息、PPTP/L2TP信息、在线用户等运行信息，以及告警、日志等事件信息。

丰富的告警信息处理系统可以采用多种方式进行告警处理，例如客户端声音告警、弹出窗口告警、电子邮件告警、手机短信息告警等。

在进行告警处理的同时，管理界面上也会显示醒目的异常图标。

丰富的告警方式可保证管理员及时得到系统的异常信息并进行相应处理，从而减少系统异常可能造成的负面影响和损失。

强大的策略管理功能系统可以对网御防火墙产品的代理规则、安全选项等进行统一的策略编辑、下发和管理，支持基于单个设备和基于管理域的两种管理模式。

系统支持通过图形化界面编辑和下发VPN策略，建立VPN隧道，并且提供了全网VPN设备集中监控功能。

多核并行处理AMP+架构破解下一代防火墙性能瓶颈近年来，伴随着互联网的高速普及和社会化发展，用户不仅仅是信息的浏览者，同时也是信息的制造者。

这些信息所带来的价值，让更多的黑客们不再仅仅局限于传统的破坏式攻击，更多转为了通过系统漏洞针对有价值信息的篡改、窃取。

而这些攻击手段已经是传统状态防火墙所不能拦截防御的。

作为安全防护的第一道防线，下一代防火墙的出现，不仅继承了传统状态防火墙的全部功能，同时具备多种应用层过滤技术，以面对用户日益增长的业务流量和隐藏在应用层之中的攻击。

依赖于多核技术的成熟和硬件的高速发展，大部分的下一代防火墙产品可以采用多核架构并通过硬件的堆叠来提升产品处理速度及整机性能，但传统的多核架构由于设计上的不足，因此靠硬件的堆叠仍然无法解决软件层次上的瓶颈问题，同时还会提高整机的成本及能耗。

网神下一代极速防火墙团队充分调研市场上主要的防火墙产品及下一代防火墙多采用的SMP架构后，总结出传统SMP架构下产品的三大不足。

同时通过改进传统多核SMP架构产品的三大不足，网神下一代极速防火墙团队研发出更加优化的多核并行处理AMP+架构，让网神下一代极速防火墙实现了CPU利用的最大化，并提升了应用层处理速度，极大的缩短了整机转发延迟。

· 改进一：异步并发的无锁化工作体系SMP架构下产品，CPU在进行数据处理时，会被系统重要资源(如逻辑资源)占用，原本在处理的数据进度会因为系统的保护机制而被锁定(有锁化)。

有锁化最直接的表现就是数据处理时间变长，转发延迟增大。

网神下一代极速防火墙采用的多核AMP+架构，严格限制了系统重要资源定义。

CPU不再会频繁被重要资源占用，最大限度的保证了处理过程的不间断。

异步并发的无锁化工作体系让数据处理的时间大大缩短，转发延迟也大大降低。

· 改进二：更优化的网口数据收发处理技术SMP架构下产品，会将网口的数据收发处理与CPU进行绑定。

当多个网口存在数据收发时，CPU就能实现并行处理。

国产厂商硬件防火墙对比解析综述防火墙从形式上可分为软件防火墙和硬件防火墙。

此次，我们主要介绍硬件防火墙。

防火墙一般是通过网线连接于外部网络接口与内部服务器或企业网络之间的设备。

它又分为普通硬件级别防火墙和“芯片”级硬件防火墙两种。

所谓“芯片”级硬件防火墙，是指在专门设计的硬件平台，其搭建的软件也是专门开发的，并非流行的操作系统，因此可以达到较好的安全性能保障。

目前，在这一层面我们介绍国内几家厂商，天融信、启明星辰、联想网御、华为、安氏领信等厂商。

此次，我们将以100~500人的规模为应用对象，对各厂商的适应的“芯片”级硬件防火墙进行对比分析，分别从厂商概述、产品定位、应用领域、产品特点和功能、运行环境、典型应用、产品推荐和市场价格等多方面进行横向对比分析。

其实，选购和讨论硬件防火墙并不能单纯以规模来判断，还应该考虑防火墙产品结构、数据吞吐量和工作位置、性能级别、应用功能等诸多因素。

一、厂商概述国内硬件防火墙的品牌较多，但较早一批专注于信息安全的厂商却不多，尤其是“芯片”级的防火墙更少了。

如果以架构划分，芯片级防火墙基于专门的硬件平台，专有的ASIC芯片使它们比其他种类的防火墙速度更快，处理能力更强，性能更高，因此漏洞相对比较少。

不过价格相对较贵，做这类防火墙的国内厂商并不多，如天融信。

另外一种方式是以X86平台为代表的通用CPU芯片，是目前使用较广泛的一种方式。

这类型厂商较多，如启明星辰、联想网御、华为等。

一般而言，产品价格相对上一种较低。

第三类就是网络处理器(NP)，一般只被用于低端路由器、交换机等数据通信产品，由于开发难度和开发成本低，开发周期短等原因，因此，进入这一门槛的标准相对较低，也拥有部分客户群体。

1. 天融信以ASIC平台产品为主国产份额第一天融信的自主防火墙系统，首次提出TOPSEC联动技术体系。

网络卫士防火墙历经了包过滤、应用代理、核检测等技术阶段。

目前，以安全操作系统 TOS为基础，开发了NGFW4000-UF及NGFW4000系列，融合了防火墙、防病毒、入侵检测、VPN、身份认证等多种安全解决方案。