天清汉马企业防火墙技术白皮书

天清汉马USG企业防火墙

技术白皮书

目录

1概述 (2)

2产品综述 (3)

2.1产品综述 (3)

2.2特点说明 (3)

3体系架构说明 (6)

3.1产品构成 (6)

3.2硬件结构 (6)

3.3软件结构 (8)

3.4管理结构 (9)

4关键技术 (11)

4.1多核智能驾驭技术 (11)

4.2事件关联分析技术与归并处理机制 (12)

4.3高速深层检测技术 (12)

4.4智能内容过滤技术 (14)

4.5数据监控NetFlow技术 (17)

4.6非法连接过滤技术 (18)

5典型组网 (19)

5.1政府行业 (19)

5.1.1电子政务网 (19)

5.1.2政府专网 (20)

5.2教育行业 (22)

5.2.1高教校园网 (22)

5.2.2中/基教教育城域网 (23)

5.3企业市场 (24)

5.3.1中小企业 (24)

5.3.2大型企业 (25)

1概述

诞生20多年来，网络已经在全球经济中扎根发芽，蓬勃成长为参天大树，对各个行业的发展起着举足轻重的作用。随着时间的推移，网络的安全问题也日益严重，在开放的网络环境中，网络边界安全成为网络安全的重要组成部分。在网络安全的术语里，有一个名词叫做“安全域”，其主要作用就是将网络按照业务、保护等级、行为等方面划分出不同的边界，定义出各自的安全领域。举个简单的例子，在PC上安装了相关的杀毒软件，PC本身就是一个最简单的安全域。对于单位用户，安全域往往由若干网络设备和用户主机构成，其边界安全主要在于与互联网的边界、与其他业务网络的边界等。

防火墙是解决网络边界安全的重要设备，它主要工作在网络层之下，通过对协议、地址和服务端口的识别和控制达到防范入侵的目的，可以有效的防范基于业务端口的攻击。

天清汉马USG防火墙是北京启明星辰信息安全技术有限公司凭借在信息安全领域多年的经验积累，总结分析用户的切身需求，推出新一代的防火墙产品。天清汉马USG防火墙采用高性能的硬件架构和一体化的软件设计，除了实现了状态检测防火墙功能，还同时支持VPN、外联控制、抗拒绝服务攻击（Anti-DoS）、内容过滤、NetFlow、虚拟防火墙等多种安全技术，同时全面支持QoS、高可用性（HA）、日志审计等功能，为网络边界提供了全面实时的安全防护。

天清汉马USG防火墙可通过软件升级的方式，获得对完整的UTM特性的支持，包括防病毒（A V）、入侵防御（IPS）、防垃圾邮件（Anti-Spam）和内网安全功能。

天清汉马USG防火墙产品线丰富，可以为政府、教育、金融、企业、能源、运营商等用户提供所需要的全系列的安全防护产品。

2产品综述

2.1产品综述

天清汉马USG防火墙采用了业界最先进的基于MIPS64的多核硬件架构和一体化的软件设计，集防火墙、VPN、上网行为管理、抗拒绝服务攻击（Anti-DoS）、内容过滤、NetFlow、虚拟防火墙等多种安全技术于一身，高性能、绿色低碳，同时全面支持各种路由协议、QoS、高可用性（HA）、日志审计等功能，为网络边界提供了全面实时的安全防护，帮助用户抵御日益复杂的安全威胁。

天清汉马USG防火墙采用了一体化的设计方案，在一个产品中协调统一地实现了接入安全需要考虑的方方面面。采用天清汉马USG防火墙，可以从整体上解决了接入安全的问题。用户可不必考虑产品部署、兼容性等困惑，也不再因为多个产品难于维护管理而苦恼，天清汉马USG防火墙是低成本、高效率、易管理的理想解决方案。

天清汉马USG防火墙产品线丰富，可以为政府、教育、金融、企业、能源、运营商等用户提供所需要的全系列的安全防护产品。

自从天清汉马USG防火墙推向市场以来，很快就凭借其强大的功能和在实际应用中优异表现，赢得了众多机构和用户的广泛赞誉。

2.2特点说明

天清汉马USG防火墙具有如下特点：

完善的防火墙特性

✧支持基于源IP、目的IP、源端口、目的端口、时间、服务、用户、文

件、网址、关键字、邮件地址、脚本、MAC地址等方式进行访问控制✧支持流量管理、连接数控制、IP+MAC绑定、用户认证等

✧支持虚拟防火墙：可以将接口划分给不同的虚拟防火墙，每个虚拟防火

墙具有独立的管理员、安全域、资源对象、安全策略、NAT规则、静态路由等配置

✧同终端无缝结合：支持同天珣内网安全管理系统联动，将防火墙防御能

力推进到桌面终端

高网络适用性

✧支持透明、路由和NAT模式部署

✧支持静态路由、策略路由、RIP/OSPF/BGP动态路由，支持等价路由

ECMP和加权路由WCMP，支持组播路由

✧支持STP，可以同二层网络设备进行生成树计算

✧支持IGMP Snooping，优化在桥模式下的组播流量

✧支持私有HA和VRRP

✧支持IPv6：支持IPv4、IPv6双栈运行、静态IPv6路由、手工隧道、6to4

隧道和ISATAP隧道。

✧支持链路聚合，可通过手动方式、IEEE802.3ad 静态LACP方式创建聚

合链路；通过链路聚合可以增加链路带宽，并起到负载均衡和链路备份的作用

高稳定性和可靠性

✧采用多核MIPS架构，产品具有高性能，同时多核之间互为备份，可靠

性高

✧支持私有协议HA和VRRP，实现双机热备和冗余

✧支持双操作系统和多配置文件，最大支持10个配置文件备份

全面的VPN支持

✧多VPN支持：IPSec、L2TP、SSL VPN、GRE

✧丰富的应用：专用VPN客户端、USBKEY、动态口令卡、图形认证码