网神SecGate3600下一代极速防火墙NSG5500系列产品白皮书【V9101】

1网神SecGate3600下一代极速防火墙产品白皮书网神SecGate3600下一代极速防火墙本文档解释权归网神信息技术（北京）股份有限公司产品部所有网神信息技术（北京）股份有限公司产品概述目前市场上主流的防火墙为状态检测防火墙，基于会话状态和五元组来过滤数据。在性能有限的基础上，最大化的实现了对会话的控制。但是对于承载在数据包应用层中的木马、病毒、垃圾邮件、广告、应用程序等则无法识别。在云计算、大数据热门的今天，B/S架构和web2.0的普及使用，让用户受到的攻击越来越多样化和深层次。现有传统防火墙已经力不从心。传统的UTM产品，即便是多核的，由于采用SMP架构，并行计算仍然存在瓶颈，所以UTM虽然集合了防火墙、入侵防护、防病毒功能于一身，但在功能全面开启的情况下，相信用户也能切身感受到由于产品的性能跟不上，正常的业务数据转发延迟被大大提高，甚至影响正常访问，权衡之下，只能放弃UTM的部分功能；或者花更多的钱，买性能更高的UTM产品。在中大型企业、金融和电信行业，部分用户甚至不太愿意使用UTM产品，就是担心UTM产品成为自己网络中的“单行道”。下一代防火墙保留了状态检测防火墙的优点，具有性能的同时具备内容过滤、入侵防御、流量管理、用户认证等多种应用层过滤技术于一身，弥补了状态检测防火墙的不足。为用户提供了更全面的深度过滤功能，有效识别来自应用层的威胁。网神下一代极速防火墙NSG系列，围绕用户的真实需求，通过全新的AMP+多核架构和设计理念，在融合了下一代防火墙功能特点的基础上，实现了高性能极速转发、智能定位与管控、应用精细识别、多种应用层过滤技术、虚拟防火墙定制化安全及立体可视化监控等一系列特有功能；应用层和网络层安全模块的并行调度，提升了应用层处理性能；系统引擎与安全引擎的用户态设计，避免了在大流量下数据报文分析对防火墙性能的影响，有效提高了整机运行速度；友好的扁平化风格界面，配合直观的功能模块设计，帮助用户更加方便的进行网络管理。可以说，网神下一代极速防火墙NSG系列在有效解决应用层瓶颈和多样化威胁的基础上，为自身系统调度保证了足够的冗余空间，让防火墙的整体处理性能有了革命性的飞跃，为用户提供了完美的网络安全解决方案。4网神SecGate3600下一代极速防火墙2产品特点领先的下一代SecOS安全协议栈完全自主知识产权的网神第三代SecOS操作系统，实现防火墙的控制层和数据转发层分离，全模块化设计，实现独立的安全协议栈，突破传统防火墙性能转发能力，消除了因操作系统漏洞带来的安全性问题，以及操作系统升级、维护对防火墙功能的影响。同时也减少了因为硬件平台的更换带来的重复开发问题。由于采用先进的设计理念，使该SecOS具有更高的安全性、开放性、扩展性和可移植性。下一代并行处理系统：高性能、集成化、单引擎网神下一代极速防火墙完全自主研发单引擎一次性性数据包拆分和物理多核下并行虚拟计算处理技术，实现数据包在4-7层高性能转发。实现应用层识别、用户身份识别、以及内容识别，通过识别技术实现各功能模块联动，有效阻止来自应用层的威胁攻击。同时，应用趋势和全栈数据可见性，识别应用和在应用层上执行独立于端口和协议，而不是根据纯端口、纯协议和纯服务的网络安全策略，用户可以根据安全要求等级，自动识别应用以及针对应用风险等级实现控制与阻断。深度的网络行为关联分析、智能安全防护网神下一代极速防火墙的整套安全防御体系都是基于网络用户行为实时分析、动态实时防护设计。通过云计算中心自动收集安全威胁信息并快速寻找解决方案，及时更新攻击防护规则库并以动态的方式实时部署到各用户设备中，保证用户的安全防护策略得到及时、准确的动态更新，防范以多种形态出现的新恶意软件和攻击类型、APT、0-day等攻击所带来的日益增长的威胁。对称路由保证来回路径一致下一代极速防火墙提供对称路由功能。用户可以通过启用接口的对称路由功能，实现用户从哪里进来访问的数据，从哪里再返回出去。例如：用户内网对外提供一个http服务，同时用户申请了联通和电信两个出口。当联通的用户从联通出口进来访问http服务时，对称路由功能可以让服务器返回给用户的应答数据也从联通出口出去。当电信的用户从电信出口进来访问http服务时，对称路由功能可以让服务器返回给用户的应答数据也从电信出口出去。保证数据5网神SecGate3600下一代极速防火墙来回路径的一致性。安全高效的IPv6核心技术网神下一代极速防火墙NSG系列支持IPv6路由、IPv6安全策略及NAT64、DNS64等IPv6核心功能。不仅支持全IPv6环境，同时，还支持IPv6环境访问IPv4资源。另一方面，得益于网神完全自主研发的AMP+架构与第三代SecOS操作系统的支撑，网神下一代极速防火墙NSG系列在IPv6性能上媲美IPv4性能。主动的IPS攻击防护内置多种规则库，可以分别针对HTTP、FTP、SMTP、POP3、DNS等协议进行防护，并可自定义特征签名。发现攻击或者入侵后会自动阻断并记录日志；并且可以有效的抵御各种常见的DOS/DDOS攻击，能够保证关键服务器的正常应用。同时具备在线升级功能，提供最新的入侵特征。基于终端动态QoS控制传统防火墙和UTM产品大多采用静态地址的流量控制，虽然某种程度上解决了用户带宽不足的问题，但是无法解决当前应用的控制，以及网络带宽不能高效率使用的问题。网神NSG系列下一代极速防火墙结合用户的实际需求，不仅能实现静态的QoS控制，同时根据用户实际业务，实现基于用户身份不同、应用与业务不同、以及终端设备的地域不同实现动态QoS控制，不仅能感知用户业务动态变化，而且能够将用户带宽高效率利用。安全隔离的虚拟系统网神下一代极速防火墙NSG系列支持通过虚拟系统功能，将下一代极速防火墙虚拟成多个相互隔离并独立运行的虚拟防火墙系统，每一个虚拟系统都可以为用户提供定制化的安全防护功能，并可配备独立的管理员账号。在用户网络不断扩展时，通过虚拟系统功能不仅能有效降低用户网络的复杂度，还能提高网络的灵活性。当这些相互隔离并独立运行的虚拟防火墙系统需要通讯时，可以通过下一代极速防火墙提供的虚拟接口实现，而不需要通过物理链路将它们进行连接。多维度报表分析展示根据网神下一代极速防火墙NSG系列产生的日志，用户可以直接在防火墙上生成报表，并支持根据地址、端口、应用、用户、区域多个维度来展示报表。报表分析可以作为用户审计6网神SecGate3600下一代极速防火墙安全事件，制作安全态势报表的依据。同时，网神下一代极速防火墙NSG提供完善的SNMP服务，支持通过SNMP服务器或者网神SOC中心对防火墙进行信息收集、集中管理及策略下发。3产品功能访问控制网络接入方式可以支持路由、透明、混合接入模式支持静态，DHCP接入方式安全规则控制支持基于源IP地址、目的IP地址、时间、用户、应用、服务、区域、安全域、物理接口、VPN隧道等多种方式进行访问控制支持基于国家区域及国内省际区域的访问控制支持动态端口协议：H.323、SIP、FTP、SQL*NET、TFTP、PPTP等；支持对MSN、QQ、WebQQ、米聊PC版、阿里旺旺、百度Hi、雅虎通、飞信等的即时通信应用限制；(选配)支持对阿里通、KC网络电话、UUCall网络电话、酷宝网络电话等网络电话类应用做限制；（选配）支持对常见的在线视频应用，如优酷、优酷客户端、腾讯视频、新浪视频、搜狐视频、奇艺视频（网页版）、PPTV、QQLive、快播等软件和网站应用控制；(选配)支持对常见的在线音频应用，如QQ音乐、多米音乐、酷狗电台、百度音乐等软件和网站应用控制；（选配）支持对应用软件更新的控制，包括windows系统更新、360安全卫士更新、360杀毒更新、360软件下载更新、驱动精灵更新、瑞星软件更新、以及卡巴斯基杀毒等软件的更新(选配)支持对代理软件，翻墙工具的识别和管控(选配)可对BT、网际快车、盛大下载器、QQ旋风等多种文件共享应用限制；(选配)7网神SecGate3600下一代极速防火墙可对网易邮箱、QQ邮箱、新浪邮箱、阿里云邮箱等邮件应用做限制可对金牛财顺、中投卓越、同花顺、股票悄悄看等股票证券类应用做限制可对招商银行、建设银行、农业银行、工商银行、民生银行、中国银行、浦发银行等网络银行做限制支持对暗黑3、跑跑卡丁车、征途、植物OL、完美世界、浩方对战平台等网游或对战平台等游戏的禁止及流量控制;(选配)支持使用ARP对接入的IP/MAC进行、双向静态地址绑定，防止ARP攻击防ARP欺骗与攻击网络地址转换能力可以支持源、目的地址/端口转换、双向地址转换；支持一对一，一对多，多对一地址转换方式支持根据路由自动选择的地址转换方式（byroute）支持fullconeNAT支持动态、静态地址转换网络管理网络适应能力接口支持路由模式、交换模式（Access、Trunk、Bridge）、VLANID，同交换机互联可承载多VLAN链路，支持802.1q协议支持VLAN接口，子接口、桥接口功能支持聚合接口，聚合接口支持路由和交换两种工作模式，Channel模式支持轮询、热备、802.3ad，802.3ad支持3种负载算法：根据源目的mac组合、根据mac和ip组合、根据ip和TCP/UDP端口组合支持隧道接口，可实现隧道接口overOSPF支持接口镜像，可将接口发送或接收的流量镜像至其余指定接口支持静态/动态ARP表维护，静态/动态MAC表维护，支持人工干预8网神SecGate3600下一代极速防火墙支持MAC地址自定义支持DHCP服务器、客户端，支持DHCP地址绑定（根据MAC地址静态分配IP地址），支持DHCP域名服务器（WINS、SMTP、POP3）路由功能支持静态路由，支持静态路由状态监控支持静态、动态多播路由，实现多播路由下稀疏模式和多播路由监控支持策略路由，可基于源目的地址、网关ip、下一跳接口、用户、服务、应用实现策略路由，支持策略路由状态监控支持策略路由优先级调整，可根据不同应用场景调整策略路由默认优先级支持ISP路由，内置ISP信息，实现ISP智能选路支持动态路由（RIPv1、v2，OSPF，BGP）支持对称路由，用于实现来回路径一致功能支持路由负载均衡：可进行基本网关配置，支持4种均衡方式：最优路径、流量、会话、主机最优路径方式可进行链路带宽、繁忙占用比例、探测地址和最优链路出接口的配置支持3种链路健康探测类型：ICMP、TCP、HTTP支持组播流量的透传和转发IPv6功能支持IPv6地址配置、IPv6邻居的动态管理和静态配置支持NAT64和DNS64支持IPv6下的静态路由及安全策略配置虚拟系统可支持254个虚拟系统（具体数目视型号而定）支持虚系统接口，用于虚系统之间通信支持系统资源（CPU、内存和存储空间）的分配9网神SecGate3600下一代极速防火墙支持基础防火墙