网御防火墙 Power V6000-F2510E

| 需求分析

防火墙作为网络安全体系中重要的一环，承载着最基础、最重要的安全职责。作为网络防护的第一道防线，针对防火墙的要求也越来越高。包过滤、状态检测等基础技术已经不能满足现有网络安全需求。随着检测与阻断传输攻击特征/病毒特征、阻止敏感数据泄露、阻止暴力破解、针对应用进行管控、多体系联动等网络威胁防护概念的提出，防火墙也需要与时俱进，才能应对这些网络威胁。另外，随着大数据、私有云的使用日益广泛，云环境下数据传输如何防护，现有防护方式能否满足要求也成为防火墙必须考虑的因素。

| 产品简介

网御防火墙是网御自主研发的核心产品。1999年联想研究院设计并开发完成第一代防火墙产品。网御防火墙产品历经简单包过滤防火墙、状态包过滤防火墙、深度内容过滤和完全内容检测防火墙等发展阶段，并集成了防火墙、VPN、入侵检测与防御、防病毒、上网行为管理、核心资产管控、防爆力破解、敏感信息防泄漏、高级流量清洗、工业控制协议防护、舆情监控、防注入攻击等众多功能。目前已广泛应用在税务、公安、政府、部委、能源、交通、军队、电信、金融、企业等各行业，并为其网络和应用提供安全保障。

| 核心功能

● 网络适应性

支持透明模式、路由模式、混合模式并支持多种透明代理模式，可适应不同网络环境。支持RIP、OSPF等动态路由、组播路由；支持IPv6/IPv4双栈运行；

集中管控：通过集中管理中心实现对多台设备的统一管理、实时监控、集中升级和拓扑展示。通过集中管理软件，可收集不同防火墙日志信息，形成日志统计信息。并根据网络攻击变化态势形成策略联动，及时通过防火墙进行攻击阻断；

抗DDOS：Syn Flood，Ping Flood，Udp Flood，Teardrop，Sweep，Land，Ping of Death， Smurf，碎片攻击、WINNUKE，圣诞树攻击等；支持DNS重传检测、支持HTTP GET报文源IP限速阈值；

多系统联动：支持ISM桌面管理系统联动，当桌面终端用户通过ISM联动服务器核查后，方可访问外部网络。当终端核查失败后，防火墙会自动封堵核查失败用户。支持IDS系统联动，当IDS识别到网络攻击后，会同步攻击源IP给防火墙，防火墙可以及时阻断攻击来源；

防爆力破解：支持针对FTP，SMTP，POP3，IMAP，TELNET，TDS，NNTP，RLOGIN协议的暴力破解防护。

全球资源定义：支持将各国家和地区定义为地址对象，便于统一管理。默认具备中国大陆地区地址，便于阻止非中国大陆地区访问；

敏感信息防泄漏：针对众多的泄密事件，数据防泄密功能应需而生，防火墙作为出口设备，可以成为数据逃逸出网前的最后一道屏障。网御防火墙支持针对数据的敏感识别，当发现进出网络设备中保护敏感数据（银行卡、电话号码等）时，可根据预置条件将数据阻断并记录日志；

上网行为管理：支持对DHCP、PPTP、SNMP、NTP、Syslog、RTSP、DSN、FTP、POP3、SMTP、NetBios、Socks等30种进行协议控制，并且支持SQL Server、MySQL、Oracle、DB2、Sybase、PostgreSQL、MongoDB等7种数据库识别和操作管控，避免被远程入侵数据库；具有与传统的基于端口和IP协议不同的方式进行应用识别的能力，并执行访问控制策略。结合带宽管理功能，可为不同应用配置不同带宽。支持工业控制协议识别和协议一致性校验，可有效保护工业控制系统。

● HA功能

双机热备（主动-被动模式）：集群中所有节点的任意对应的业务网口IP和MAC地址都分别相同。其中一台安全网关（优先级=1）为主节点，处于主动工作中，负责处理所有的网络数据流以及整个集群的控管；其它安全网关节点为从节点，处于热备中，不处理网络数据（但处理主节点广播发出的同步状态表信号）。一旦主节点发生故障，优先级次之的从节点升为主节点，接管原来主节点的工作，保证网络正常通信。

● 访问控制

提供基于状态检查的动态包过滤。包过滤规则决定了特定的网络包能否通过安全网关，同时它也提供相关的选项以保护网络免受攻击。安全策略的基本要素是匹配条件和动作。匹配条件包括源地址，目的地址，服务，流入安全域，流出安全域，时间范围等。此外，还支持认证用户/用户组，协议控制等防护策略和流量控制策略的配置。策略的动作有：允许，禁止和邮件延迟审计。以此实现对经过设备的数据流进行有效的管理和控制。

支持入侵防护，应用识别和防病毒特征库升级，每一接入链路部署相对独立可配置的安全边界实现访问控制，端口拦截，入侵防护，恶意代码防护和日志记录等功能。

支持虚拟防火墙功能：支持虚拟防火墙的创建、启动、关闭、删除功能；虚拟防火墙可独立管理，独立保存配置；虚拟防火墙具备独立会话管理、NAT、路由等功能。

| 产品优势

● 智能的VSP通用安全平台

网御防火墙采用创新的VSP（Versatile Security Platform）通用安全平台，将实时操作系统、网络处理、安全应用等技术完美地结合在一起，使防火墙产品具备了高智能、高性能、高安全性、高健壮性、 高扩展性等特点。

VSP面向网络吞吐和安全处理，采用基于组件的多平面架构，整个系统分为控制平面、数据平面、系统服务平面和硬件抽象平面，通过控制平面和数据平面的分离，不同于Linux，FreeBSD等通用操作系统追求均衡的方向，集中主要资源于网络吞吐和安全处理，使系统具有极强的实时性和网络吞吐能力。

由于系统功能与资源管理分别工作在不同的平面，各平面和模块之间共同遵循标准接口函数，系统具有高度灵活性和可扩展性。

通过将硬件驱动与资源管理独立为一个单独的硬件抽象平面模块，对上层软件提供统一调用接口，对下层硬件统一定义驱动标准，适应多种不同规格的硬件架构，实现与多种专用芯片的无缝融合，可充分利用从IXP，PowerPC到NP、多核多线程CPU、内容加速芯片等各种先进硬件平台的优势，使网御防火墙在性能完善。

● 高效的USE统一安全引擎

网御防火墙具有高效的USE（Uniform Security Engine）统一安全引擎。它将状态包过滤、VPN、IDS、内容过滤、用户认证等多个子系统集成于单一平台，构造统一架构，综合并优化各子系统，去除冗余，简化数据处理流程，实现统一的安全引擎处理机制。

统一安全引擎克服了传统上各个安全引擎独自为战的缺点，通过高效的引擎集成技术，将各个安全功能有机地整合为一体，状态检测、协议分析机、深度过滤、内容检测等引擎协同工作，对于监测的数据包，一次性拆包即可完成2-7层的检测，基于摘要索引的内容处理加速算法，有效地提高了引擎的处理效率。

USE通过多协议融合分析技术和事件关联再分析技术，综合内容实体，时间因素，提高了安全事件的检测率。

USE采用标准化技术，对内提供统一服务接口，使安全功能易于扩展，充分满足安全需求的快速发展；对外实现安全策略的统一配置，给用户带来可管理的等级化安全。

● 防火墙虚拟化：

在多租户环境下，每个用户都希望自己独立管理防火墙设备，和其他用户互不干扰。网御防火墙支持虚拟化防火墙功能，可部署于网络出口，划分出多个虚拟防火墙。每个防火墙都可以独立占用计算资源（CPU、内存、网卡），每个防火墙都可保留独立的路由、策略、资源配置、日志服务。在其他用户启停自己的防火墙时，不影响此防火墙正常使用。

● 完备的关联处理机制

网御防火墙可以同SOC系统、IDS系统、漏洞扫描系统、桌面管理软件等多种安全设备联动。当SOC系统、IDS系统、桌面管理系统检测到异常事件发生后，联动机制将被触发。防火墙可根据联动设备发送的安全信息，进行同步阻断。避免信息进一步泄露。网御防火墙可结合其他网络安全设备，层层设防，多层联动，形成多层次立体防护体系。

● 高可靠的MRP多重冗余协议

基于网御拥有的高可靠技术，利用电信骨干网可靠性运营维护专业经验，网御防火墙通过自有的MRP多重冗余协议，在物理层、链路层、网络层、实体层等多个层面实现多元化冗余设计，有效地保障网御防火墙在用户网络应用中的高可用性。

基于多出口负载均衡的链路备份。链路层支持多WAN口出口，实现多出口间的负载均衡和备份，任何一条链路的故障瘫痪不会影响网络的正常运行。

基于802.3ad标准的端口聚合。物理端口支持802.3ad标准，可实现多物理端口聚合，帮助用户做到“零投资”带宽倍增。

基于状态自动探测的双机热备。当主系统发生故障或对应线路的网络故障时，备份机可自动检测并切换到主状态，接管主系统的工作，切换时间小于1秒钟。

基于状态增量同步的多机集群。支持主动负载均衡、会话保护和接管以及主动配置同步等功能，尤其是采用国内首创的“状态增量同步技术”解决多台防火墙之间的状态一致性问题，实现了业务在多台防火墙之间的平滑任意分布和切换，解决了采用VRRP协议和动态路由协议带来的“业务续断问题”，最多可以支持高达8台的防火墙集群。

| 典型应用

某教育系统网络中，设计有DMZ区的大量服务器（包括视频、课件、文件、材料服务器），各学校用户通过教育网链路访问DMZ区的资源。部分上网流量通过防火墙直接接入互联网。网络要求内网到DMZ区的访问必须低延时、高吞吐，以保证内网用户在线播放课件的需求。且要求内网用户访问互联网时必须通过认证，不允许非授权用户访问互联网。另外在数据转发过程中需要进行病毒防护、入侵防护、敏感信息识别和阻断。

网御防火墙通过配置ASIC芯片网卡，使得内网到服务器直接基本实现100%线速转发，在线速转发的同时，只增加纳秒级的时延。网御防火墙的IPS和AV模块也可识别到内网用户访问服务器资源和互联网资源过程中，传输流量中包含的攻击流量或者病毒文件。有效降低了内网爆发大规模病毒的风险。另外，敏感数据防泄漏模块也有效的阻止了内网用户在向外传递信息中，携带的敏感数据。阻止了数据外泄。

| 规格描述