东软防火墙NetEye FW5000系列技术白皮书

NetEye Firewall 5000 Series
东软防火墙
NetEye FW5000系列
技术白皮书
目录
应用背景 (3)
东软NetEye FW5000系列的技术特点 (4)
面向关键业务提供全面可用性保证 (4)
优异的网络适应性 (5)
充分适应特殊应用环境要求 (6)
支持基于策略的透明VPN (7)
强大的攻击防御能力 (7)
东软NetEye FW5000系列防火墙主要功能 (8)
基于状态检测技术的访问控制 (8)
网络地址转换（NAT） (8)
IP与MAC地址绑定 (9)
支持VLAN Trunk (9)
支持 Radius 、XAUTH、Web等认证协议 (10)
支持NTP (10)
SCM安全集中管理 (11)
服务器负载均衡 (12)
并发连接数限制 (12)
对多播协议的支持 (12)
可视化管理 (12)
强大便利的向导功能 (13)
支持SNMP (13)
2
应用背景
网络和信息安全基础设施己经和电力、水力一样，成为国家稳定和发展
的关键基础设施。

因此，保证关键行业的业务应用和信息资产安全显得日益
紧迫和重要。

在这些应用环境中，业务服务器、核心骨干设备以及内网的安
全性和可用性一旦遭到破坏，后果不堪设想，因此必须采用高性能的防火墙
设备加以严密保护。

政府、金融、电信、电力等行业对网络安全的强劲需求
推动了防火墙技术的不断发展。

本白皮书将说明东软NetEye FW5000系列
防火墙如何帮助客户满足关键网络骨干节点的安全防护和性能保障要求。

关键行业骨干节点的边界安全防护有着共同的特点，最主要的就是对防
火墙的性能、稳定性、网络适应性和应用适应性有着严苛的要求。

以性能的
要求为例，一些大型商业银行数据中心的服务器数量高达上千台，仅备份网
络的带宽就达 2.5G；大型政府网站的对外服务处理的查询量高达每秒
20000次以上，而响应时间的要求是5秒以下。

因此，理想的防火墙设备应
该能够提供最佳的安全性、性能、网络适应性和应用适应性，达到以下标准：
l将高安全性放在首要地位，可抵御各种网络入侵和攻击，在瞬间做出安
全和流量路由决策，即使在处理数Gbps的网络流量时也能做到这一点；
l支持多样化的部署方式，具备面向复杂应用环境的功能特性，适应复杂
且变化迅速的业务需求；
l采用高性能的硬件架构，提供最佳的产品性价比，提高行业安全项目建
设的投资回报率。

东软NetEye FW5000系列防火墙采用全新设计，将强大的处理能力和
安全性增强的操作系统完美结合，具有卓越的性能，能提供高达每秒数G
流量的处理能力，同时具备最佳的网络适应性、应用适应性和全面的高可用
特性，能为从小型百兆网络到大型千兆骨干网络的安全防护建设提供最佳的
解决方案。

3
4 东软NetEye FW5000系列的技术特点
面向关键业务提供全面可用性保证
东软NetEye FW5000系列防火墙提供了从网络链路探测直至设备自身高可靠性硬件设计等多方面的冗余特性，为关键业务的不间断运行提供可靠保证，充分适应网上银行、电力调度、证券交易、电信BOSS系统等稳定性要求极为严格的应用环境。

l链路负载均衡与链路探测
东软NetEye FW5000系列防火墙具有基于路由的负载均衡功能，当防火墙外部存在多条链路时，防火墙可以按照管理员预先制定的策略将来自于内网的流量分流到多条链路上，
如下图所示：
除链路负载均衡功能之外，东软NetEye FW5000系列防火墙还可以通过探测不同ISP的链路工作状态，自动将故障链路的流量转移到其它链路上去，从而消除ISP连接故障对业务的影响。

l以太网通道
以太网通道是将多块以太网卡的带宽组合起来形成更大带宽通道的聚合技术。

对于TCP/IP的较高层协议来讲，这个聚合起来的设备看起来是一个逻辑上单独的以太网接口设备。

东软NetEye FW5000系列防火墙
支持以太网通道功能，可以将多条链路的带宽叠加起来，这样多条链路被用
于单条高速数据通道，网络环境中部分链路的故障不影响其它链路的带宽聚
合，大大提高了网络的可靠性，同时提供了一种更为经济的链路带宽扩容途
径。

l连接表同步
东软NetEye FW5000系列防火墙具备先进的连接表同步功能，互相备
份的防火墙实时同步彼此所有连接信息，避免了由于防火墙切换导致业务连
接中断的问题，充分保证业务系统的稳定运行。

优异的网络适应性
l虚拟防火墙
东软NetEye FW5000系列防火墙提供虚拟防火墙功能，管理员可以将
一台防火墙在逻辑上划分成多台虚拟防火墙，每台虚拟防火墙都可以看成是
完全独立的防火墙设备，拥有独立的管理员、安全策略、路由策略、用户认
证数据库等等。

各台虚拟防火墙的安全策略之间互不影响，比如如果两个接
口属于不同的虚拟防火墙，那么两个接口相连网络内的主机甚至可以使用相
同的IP地址。

电信运营商、电力调度、教育等行业网络环境比较复杂，虚拟防火墙可
以有效降低网络安全防护所需的投资预算，满足一些特殊部署要求，并大大
降低管理维护成本。

以高校网络为例，采用虚拟防火墙功能，管理员可以为
不同院系分别划分出一个单独的虚拟防火墙，该虚拟防火墙的安全策略可以
由院系的网络管理员根据实际需求自主设定，灵活调整；校级管理员只需要
设置学校内网与外网之间的安全策略以及各院系之间的安全策略即可，极大
地减轻了校级管理员日常维护的负担。

l策略路由功能
普通防火墙的路由策略只能根据单个IP包中的源地址进行判断，东软
NetEye FW5000系列防火墙具备策略路由功能，可以根据更多属性设定路
由策略，部署使用更加灵活。

以高校为例，如果是由内部访问外网，可以根
5
6 据预先制定的策略，访问免费地址使用教育网出口，访问其它地址使用电信出口。

这种方案在保证网络资源得到有效利用的同时，降低了网络日常运行费用。

l三层交换模式
通常防火墙主要有两种工作模式：透明模式和路由模式。

为了适应某些特殊应用环境的部署要求，又出现了混合工作模式的概念。

大多数防火墙都只能工作在一种模式下，而且需要预先在界面上设定，配置灵活性较差。

当防火墙接口数比较多时，配置会变得极为复杂。

东软NetEye FW5000系列防火墙采用全新的三层交换技术消除了原来复杂的工作模式概念，带来了极大的部署和配置的灵活性。

三层交换技术将二层交换和三层路由的优势结合成为一个有机的整体，利用第三层协议中的信息来加强第二层交换功能，并在第三层实现了数据包的高速转发。

东软NetEye FW5000系列防火墙中三层交换技术的采用使得VLAN、TRUNK、Channel等技术能够很方便地在防火墙上实施。

更重要的是，从此抛弃了模式设置的操作，减轻了管理员配置维护的负担：比如说要实现几个接口间的二层交换，只需要在防火墙上设置一个VLAN，然后将这些接口添加到这个VLAN内，则VLAN内的接口就实现了传统的透明模式；如果要实现接口间的路由模式，可以配置两个或多个VLAN，VLAN间配置路由，这种情况下VLAN间采用的是三层交换技术，在完成了路由功能的同时，极大地提升了转发性能。

充分适应特殊应用环境要求
l长连接设置
银行等业务环境中有一些特殊应用，如远程报表传送、跨行对帐等等，这些业务必须一天或者更长时间都是一个会话，但中间可能长时间没有任何数据传输。

通常的状态检测技术会因为超时导致连接中断，影响业务的正常运行。

东软NetEye FW5000系列防火墙为用户提供了长连接设置功能，既可以对应用按照正常的状态检测来进行，也可以针对特殊业务设定
能，既可以对应用按照正常的状态检测来进行，也可以针对特殊业务设定连
接超时时间，最长可达99，999，999秒（3.17年)，充分满足特殊应用环
境的要求。

支持基于策略的透明VPN
东软NetEye FW5000系列防火墙支持IPSec VPN，并且可以在透明模
式、路由模式和混合模式下均可以提供VPN功能。

VPN透明模式特别适用
于已建成的大型行业网络，如金融、电力调度、电信等等。

这些关键行业的
网络已经建成，系统庞大，而且业务系统不能因为网络的改造而受到任何影
响。

透明模式VPN可以在原有网络配置不改变的情况下，保证网络通讯的
安全性。

透明模式VPN设备的加入，就像加入一段网线，完全不用调整原
有网络，包括终端设备的网络配置，大大缩短VPN方案的建设和部署周期，
也降低维护的复杂性。

NetEye FW5000不仅支持多样化的VPN部署方式，还可以基于策略
建立VPN隧道。

支持IPSec NAT穿越，支持全网状/星型VPN拓扑以及远
程VPN接入，具备VPN隧道接力和VPN隧道嵌套功能。

由于VPN与防
火墙紧密集成，因此在可以对建立VPN隧道的双方进行访问控制，可以根
据VPN访问的IP地址、端口、协议等进行控制，保证了VPN互连网络的
安全性。

强大的攻击防御能力
东软NetEye FW5000系列防火墙能够识别和检测众多的网络攻击行为，
有效防范对网络和主机的扫描攻击、IP 欺骗攻击、源路由攻击、IP 碎片攻击、
以及SYN-flood、smurf attack、ping of death、teardrop attack、land
attack、ping sweep、ping flood、TFN（tribe flood network）等
DOS/DDOS攻击。

7
8
东软NetEye FW5000系列防火墙主要功能
基于状态检测技术的访问控制
东软NetEye FW5000系列防火墙采用基于状态检测处理机制，可以根据数据包的源地址、目标地址、协议类型、源端口、目标端口、网络接口和VLAN标记等对通过防火墙的数据包进行严密的访问控制，实现了高性能、可扩展、透明的对应用层协议的支持和保护。

网络地址转换（NAT）
东软NetEye FW5000系列防火墙支持多种NAT转换：包括静态转换、动态转换、端口映射、地址映射(Mapped IP)。

静态转换，指的是单对单的转换，即转换前地址和转换后地址存在固定的一对一对应关系。

动态地址转换：防火墙在进行动态地址转换时，对转换前的地址按照一定的策略从转换后的地址池中选择一个未使用的地址进行转换，这样，转换前后的地址不存在预先确定的对应关系。

端口映射，指的是内部主机的某个端口转换成外部某IP的固定端口，
并且外部主机能够通过访问内部主机经NAT转换后得到的有效IP地址的固
定端口，来访问内部主机提供的服务。

地址映射（MIP）是指一个IP 地址到另一个IP 地址的直接一对一映
射，可以将IP数据包中IP包头的初始源或目标IP地址映射成另一个静态的
IP地址。

地址映射与普通NAT的不同之处主要在于它是一个双向的转换：
会话可以由防火墙内部网络发起，也可以由外部网络发起。

在启用MIP功
能后，当会话由内部网络发起时，防火墙将更改内部地址为MIP转换地址
出去，当会话由外部网络发起时，防火墙将更改MIP转换地址为内部地址
进来，这一对称的双向转换不同于源和目标地址的转换。

MIP常用于将内网
或DMZ区域对外提供服务的主机NAT，防火墙利用MIP策略实现地址映射
功能。

IP与MAC地址绑定
在内部网络的管理过程中，经常会遇到内部网络用户擅自修改IP地址
的情况，导致内网地址资源的分配和使用上出现混乱，影响内部网络的正常
运行；甚至出现盗用他人IP地址在网上发布非法信息、攻击他人主机、破
坏网络安全等问题。

而在安全事件发生以后，地址追寻和确定责任人的难度
会很大。

为了防止地址盗用，东软NetEye FW5000系列防火墙提供了IP与
MAC地址绑定的功能。

IP地址与MAC地址绑定规定某一IP只对应于某一
特定的网卡(每个网卡具有唯一的MAC地址)，即限定一个IP地址只能在一
台指定的机器上使用。

当某台机器通过防火墙访问其它安全域时，防火墙要
检查其发出的数据包的IP以及MAC是否与防火墙上的规定相符，如果相
符就放行，否则不允许通过防火墙，并将违规行为记录到日志中，从而大大
强化和规范了网络IP地址的管理。

支持VLAN Trunk
VLAN Trunk是一个在一个或多个交换端口与另一个网络设备(例如一
9
10 个路由器或一个交换机)之间的点到点连接(point-to-point link)。

Trunk 通过一个单独的物理线路负载多个VLAN的数据通信，并允许用户在整个网络内扩展多个VLAN。

东软NetEye FW5000系列防火墙支持VLAN Trunk，也就是说可以把防火墙架设在交换机与交换机或交换机与路由器之间，实现与Trunk 接口的对接。

防火墙还可以通过设置VLAN间的路由实现VLAN间的数据包转发，这样可以使系统具有更好的性能（因为包传输的路径更短了）和安全性（因为规则更加简洁和清晰）。

该功能大大增加了防火墙对网络拓扑的适应能力，保证了防火墙可以很方便地部署到各种网络环境。

支持 Radius 、XAUTH、Web等认证协议
Radius协议被广泛应用于ISP、IDC等环境中的认证与计费。

东软NetEye FW5000系列防火墙支持Radius认证和记帐，可以通过标准的Radius协议访问第三方认证和记账服务器，进行口令检验和计费。

通过对RADIUS协议的支持，东软NetEye FW5000系列防火墙可以与ISP、IDC 己有的认证和记账基础设施紧密集成，使得大规模用户的应用与管理变得方便快捷。

除了支持RADIUS、XAUTH等外部认证协议外，东软NetEye FW5000系列防火墙也可以使用本地数据库验证用户身份，本地认证数据库最大容量为50000，充分适应电信、工商、税务等行业外部用户数目众多的应用特点。

Web认证功能可以将IE作为认证手段,实现无客户端的基于用户的访问控制,能避免大量的客户端维护工作。

支持NTP
NTP，网络时间协议（Network Time Protocol），是一个跨越广域网或局域网的时间同步协议，通过NTP校时可以获得毫秒级的时间精度。

东软NetEye FW5000系列防火墙支持NTP校时，可以保证网络日志和攻击日志记录有很高的时间精度，便于分析和追查网络安全事件与攻击。

SCM安全集中管理
东软NetEye FW5000系列防火墙支持集中管理，大大降低了大型网络部署的维护难度和控制难度。

l日志审计管理
相对于传统一对一的网络安全管理模式，用户可以在一台SCM Console 上一次性完成对所有被管理设备的日志审计工作。

有效降低网络安全管理的复杂度，达到为企业减少网络安全管理成本的目的。

同时东软NetEye FW5000系列防火墙安全集中管理系统为用户提供的日志过滤和日志查询等工具能够大幅提升用户在处理日志审计时的工作效率，节省审计时间。

l网络安全状况实时监控
东软NetEye FW5000系列防火墙安全集中管理系统的实时监控功能为用户提供了一种集中监控网络安全情况的手段。

通过集中收集网络中所有防火墙上的数据，实时监控功能可以为用户提供所有防火墙和网络连通性的实时监控信息。

用户可以通过这套系统对网络当前的流量和使用率进行全面的统计和分析。

用户还可以通过此系统来生成不同的网络流量监控图表。

通过这项功能，用户可以最大程度的监控网络上的安全状况。

l报表生成
东软NetEye FW5000系列防火墙安全集中管理的报表生成功能以系统收集到的安全事件和实时监控信息为基础，可以为用户生成多种灵活、直观的历史报表。

通过报表，用户可以从一个总体角度来了解网络安全的状况。

l按设备划分管理域
为了满足用户对不同网络安全设备的不同管理需求，东软NetEye FW5000系列防火墙安全集中管理系统实行了按设备划分管理域的概念。

核心理念是：不同的用户可以和与其相关的设备和设备组进行绑定。

同时，用户被赋予了对这些设备不同的访问权限。

通过这种方式SCM系统可以实现将指定设备或设备组和访问权限划分给特定的用户，以达到对设备和其访问
权限的区域化管理。

服务器负载均衡
东软NetEye FW5000系列防火墙支持基于Round Robin算法的服务器负载均衡功能，可以将外部访问请求（如Web访问）动态的分配到内部多台服务器上，解决单台服务器的性能瓶颈问题。

同时东软NetEye FW5000系列防火墙具备服务器探测功能，可以探测服务器的工作状态，自动将访问故障服务器的请求转移到正常的服务器，保证关键服务的可用性。

并发连接数限制
东软NetEye FW5000系列防火墙支持基于IP或IP地址范围的并发连接数限制，可以对网络用户的并发连接数量进行控制。

这一功能可以阻止病毒或蠕虫在内网迅速传播，并降低P2P应用对网络资源的占用。

对多播协议的支持
东软NetEye FW5000系列防火墙实现了对多播相关协议的支持，包括互联网组管理协议IGMP，DVMRP等。

由于东软NetEye FW5000系列防火墙设备具有极低的时延，可以保证多播应用的顺畅和实时性。

同时东软NetEye FW5000系列防火墙还可以对多播数据的传送范围加以限制，提升多播应用安全的同时降低不必要的网络资源占用。

可视化管理
东软NetEye FW5000系列防火墙具有强大的设备监控功能，管理员可以实时监控防火墙的工作状态，包括接口的工作状态和工作模式、接口流量信息、VPN隧道状态、VPN隧道流量、CPU利用率、内存利用率等硬件信息，从而使管理员可以随时对网络和防火墙的状态有详尽了解，及
时发现并排除网络问题，保障应用的稳定运行。

东软NetEye FW5000系列防火墙可以通过Dashboard功能来显示设备的当前状况，用最简洁直观的的表现形式显示防火墙各组件工作状态，快速反馈信息给管理人员。

强大便利的向导功能
图形界面的防火墙配置较为复杂，比较容易出现纰漏，东软NetEye 5000系列防火墙具备的配置向导可以最大限度保证不出现低级的操作错误，保证一次性快速完成。

防火墙里配置较为复杂的功能模块是虚拟系统、双机热备、VPN、DNAT、多链路ISP。

为了减少配置量和降低配置难度，东软NetEye FW5000系列防火墙提供完整的配置向导辅助配置人员完成是相关配置。

支持SNMP
东软NetEye FW5000系列防火墙支持SNMPv1/v2/v3等不同版本，与当前通用的网络管理平台兼容，如HP Openview、Cisco works等，可以通过这些管理平台对防火墙的运行状况进行监控，并接收防火墙通过SNMP TRAP发送的报警信息。

为了避免由于SNMP的安全缺陷而导致防火墙自身安全受到威胁，东软NetEye FW5000系列防火墙仅允许网管系统查询信息，而不允许改变安全设置，同时，管理员也可以设定有哪些信息可供网管平台查询。

的行为都将被追究法律责任。

未经版权所有者的书面许可，不得将本文档的任何部分或全部以任何形式、采用任何手段( 电子的或机械的，包括照相复制或录制)、为任何目的，进行复制或传播。

Copyright © 2001-2009 沈阳东软系统集成工程有限公司。

所有权利保留，侵权必究。

沈阳东软系统集成工程有限公司不对因使用本文档所造成的任何损失承担任何责任。

2009年1月。