DPtech防火墙技术白皮书

DPtech FW1000系列防火墙

技术白皮书

杭州迪普科技有限公司

2013年8月

目录

1、概述3

2、产品简介3

3、迪普科技防火墙特色技术4

3.1DPtech FW1000防火墙数据转发流程4

3.2丰富的网络特性5

3.3大策略下的高性能、低时延处理能力6

3.4攻击防范技术（IPv4/IPv6）7

3.5防火墙高可靠性9

3.6防火墙全面VPN支持11

3.7防火墙虚拟化技术13

3.7.1虚拟防火墙技术13

3.7.2VSM虚拟化技术17

3.7.3 N:M虚拟化技术19

1、概述

在应用需求的不断推动下，网络技术得到了飞速发展；而网络技术的进步则又反过来推动应用的发展，应用与网络之间是相辅相成、相互促进的。随着万兆到核心/千兆到桌面、Web2.0、虚拟化、物联网、网络音频/视频、P2P、云计算等各种新应用、新业务层出不穷，传统的基于端口进行应用识别和访问控制的防火墙，已远远无法满足各种新应用下安全防护的需求。为解决此类难题，迪普科技推出了基于全新多核处理器架构的FW1000系列下一代应用防火墙。

DPtech FW1000开创了应用防火墙的先河。基于迪普科技自主知识产权的APP-X硬件平台和ConPlat OS安全操作系统，并配备专业的入侵防御特征库、病毒库、应用协议库、URL库，是目前业界性能最高的应用防火墙。无以伦比的高可用性、高性能和高可靠性，使得FW1000系列可以放心规模部署于数据中心、大型园区网等各种复杂场景；另外，功能丰富并可按需扩展的应用防火墙方案，也简化了网络的安全架构，并大大降低了企业网络总体拥有成本。

2、产品简介

DPtech FW1000系列是迪普公司面向大中型企业、学校、数据中心以及运营商开发的新一代应用防火墙产品，是一种应用级的高性能防火墙，工作在网络边界层，根据安全策略对来自不同区域的数据进行安全控制，同时支持IPv4和IPv6环境，具备业界最高性能，网络无瓶颈，拥有全面的安全防护，可确保网络稳定运行，产品VPN全内置，提供最高性价比，灵活组网能力，可适应各种网络环境。

3、迪普科技防火墙特色技术

3.1DPtech FW1000防火墙数据转发流程

防火墙的用途是通过允许、拒绝、重定向通过防火墙的数据量，提供对一个组织的不同网络之间服务访问的控制和审计，包括基于用户和协议的策略定义、URL过滤、协议识别等特性，DPtech FW1000 防火墙设备同时支持包过滤和应用级防火墙要求。

防火墙根据网络中各点的安全规则策略，有选择的在不同网络间发送信息流，默认安全规则策略拒绝所有入站和出站的信息流，仅授权的管理员具有改变安全规则策略的权限。典型的包过滤策略由源地址、目的地址、传输层协议、源端口、目的端口、应用协议决定，并以数据包达到或者离开接口为基准。

迪普防火墙采用安全域的控制方式在包过滤处进行整体调用，默认规则为：

1、高安全域可以访问低安全域。

2、低安全域不可访问高安全域。

3、相同安全级别的不同安全域，相互间禁止访问。

4、同一个安全域下面的不同接口，接口间可相互访问。

防火墙内部数据转发简要流程图如下： 入接口驱动收包

是否已存在的session ？

是否有目的NAT ？

是否有目的网段的路由？状态监测包过滤、攻击防御是否放通？是否有源NAT 转换？

NO

NO

NO 丢包处理

NO 丢包处理

NO 走三层转发

Yes 做DNAT 转换Yes Yes

Yes

ARP 请求出接口下一跳二层地址走防火墙快速转发匹配快速转发表项出接口驱动发包

Yes

User-ID 、APP-ID 、协议识别等应用层策略是否放通？NO 丢包处理

Yes （审计策略）

图1 防火墙内部转发流程图 防火墙数据转发流程依据上述顺序进行，先查找会话表项，然后再目的NAT 转换，路由查找，包过滤规则，攻击防火墙策略、应用层匹配规则，审计策略，最后查询源NAT 从设备转发出去。

3.2丰富的网络特性

ConPlat 软件平台支持丰富的网络特性，既包括STP 、VLAN 、ARP 等二层特性、也包括BGP 、OSPFv2/v3、MPLS 等IPv4/IPv6的三层特性。

DPtech FW1000网络特性：

●支持透明组网模式、路由组网模式、混合组网模式

●支持IPv4/IPv6协议栈，具备完善丰富的IPv6协议栈过渡以及隧道技术

●Access、Trunk VLAN、端口聚合、端口镜像

●策略路由、静态路由、组播IPv4/6路由(IGMP、PIM、MSDP、组播VPN)

●IPv4路由（支持RIP v1/2、OSPF、IS-IS、BGP、Guard路由）

●IPv6路由（支持RIPng、OSPFv3、Guard路由）、IPv6隧道技术

●支持完善的MPLS VPN

●支持DNS、DHCP、ARP、BFD、STP、QOS

●支持WIFI模块、3G上网卡

迪普防火墙丰富的网络特性为用户提供了灵活组网能力，可适应各种类型的网络环境，支持路由模式、透明模式、混合模式组网，可适应各种复杂应用组网环境。

3.3海量策略数下的高性能、低时延处理能力

迪普防火墙包过滤、NAT匹配采用决策树算法把安全策略编译成快速匹配表项，报文经过设备时提取五元组一次性送入快速匹配表项进行策略匹配，可以一次性查找到相应的匹配，形成单数据流并行处理的体系结构，即便防火墙在有海量策略数的情况下，依旧可保持高性能、低时延的处理能力，满足管理员对设备超高处理性能与低传输延迟的需求，让安全防护设备从此不再成为网络传输的瓶颈。