RG-WALL1600系列防火墙核心级多核 技术白皮书

1 概 述
 

 

    随着互联网的不断发展，Web2.0时代下的流媒体、在线视频、互动游戏、实时语音通信、P2P应用等大量新型网络应用层出不穷，这些应用的数据包长度更小,流量更大, 对网络安全设备有了更高的要求: 更高的吞吐量和更小的时延。
 

 

    与此同时，网络的安全问题日益严重，在开放的网络环境中，网络边界安全成为网络安全的重要组成部分，交互式应用，Web迅雷等新应用，利用80开放端口，安全的风险更大！用户对网络的安全性的要求逐渐演变为更深层次的安全检测、更细粒度的访问控制。还有，安全威胁手段更新的速度越来越快、新的应用不断涌现，比如最近几年出现的应用层HTTP Get攻击，耗竭资源的CC攻击等。
 

 

    做为网络边界的安全防护设备，防火墙在用户网络安全防护方面成为越来越重要的角色。用户对防火墙的性能、深度检测能力和快速扩展升级能力等要求也越来越高。
然而传统的单核架构的防火墙无论是在性能上、还是在深度安全检测上已经无法满足用户的需求。
 

 

    而过去以高性能著称的ASIC架构防火墙，其处理动作由芯片来进行。这些芯片的功能相对简单，要升级维护的开发周期很长，而且一旦成为产品无法对核心芯片进行升级；同时也无法在芯片级做到灵活的深度安全检测；无法满足用户对深度安全检测和快速升级的需求。
 

 

    NP架构防火墙，由于采用多核并行处理引擎, 在性能方面突破了传统单核架构的瓶颈，在易升级方面比ASIC防火墙也向前迈进了一大步。但相对而言，微码编程较为复杂，升级周期长，同时其代码空间受芯片存储空间限制，升级能力受到一定的限制。
在这种需求背景下，融合高性能、深度安全检测、易扩展升级的下一代多核防火墙应运而生。
 

 

2 防火墙产品的技术发展趋势

 

2.1 高性能的多核架构硬件平台
 

 

单核架构――性能无法突破

 

    传统单核架构下受CPU、中断、总线、内存访问等多处瓶颈牵制，系统性能达到极限，无法满足业界对防火墙性能的需求：
 

 

    由于工艺设计、功耗、散热等问题，CPU频率不能无限提升，从而CPU处理性能存在瓶颈；
 

 

    单核下数据从网卡到CPU之间的传输机制是靠“中断”来实现的，中断机制导致在有大量数据包的需要处理的情况下，接收发送数据性能受限于单核CPU的中断处理能力；
 

 

    传统单核架构下大部分采用内部共享I/O总线，限制了整体吞吐；
 

 

    传统单核架构下采用串行单内存通道，内存访问能力受到极大限制，也限制了系统的整体性能。
 

 

ASIC架构 ――性能较高，但灵活性不够、无法扩展

 

    以前国外的大部分高端防火墙设计都采用了ASIC架构，因为它的数据转发性能高，并且开发周期长，一度成为国内厂商的技术门槛。
 

 

    基于ASIC架构的防火墙从架构上改进了传统中断机制，数据通过网络接口进入系统后，不需经过主CPU处理，而是由集成在系统中的ASIC芯片直接处理，完成防火墙的功能，如路由、NAT、防火墙规则匹配等，因此，其性能得到了大幅度的提升: 性能大部分可以达到64 Bytes小包千兆线速。
 

 

    但问题是，这种防火墙在设计时，就必须将安全功能固化进ASIC芯片中，所以它的灵活性不够，如果想要增添新的功能或进行系统升级，开发周期较长，对技术的要求也很高，而在产品化后根本无法升级。此外，用ASIC开发复杂的功能，如垃圾邮件过滤、深度内容过滤、网络监控、病毒防护等，几乎不可实现。
 

 

NP架构――性能较高、扩展困难

 

    国内许多领导厂商为了弥补防火墙性能的不足，不断进行技术研发，推出了基于NP架构的防火墙，以解决传统单核架构性能不足和ASIC架构不够灵活的问题。
 

 

    NP是专门为网络设备处理网络流量而设计的处理器，其体系结构和指令集对于数据处理都做了专门的优化，同时辅助一些协处理器完成搜索、查表等功能，可以对网络流量进行快速的并发处理。硬件结构设计采用高速的接口技术和总线规范，具有较高的I/O能力。这是一种硬件加速的完全可编程的架构，软硬件都易于升级，因此产品的生命周期更长。
 

 

    NP最大的优点在于它是通过专门的指令集和配套的软件开发系统提供强大的编程能力，因而便于开发应用，可扩展性强，而且研制周期比ASIC短，研发成本相对ASIC较低。
 

 

    但是，由于应用开发、功能扩展受到NP代码空间的限制，基于NP技术的防火墙的扩展性要相对弱一些。同时，由于采用微码编程，开发难度较大，周期较长。
 

 

多核架构――高性能、易扩展

 

    多核技术则是近年来新出现的处理器技术架构，它一出现，就被认为是解决信息安全产品功能与性能之间矛盾的一大硬件法宝。2008年国内外许多领导厂商，都先后推出了其多核安全产品。
 

 

    多核架构不仅仅是更换为多核CPU处理器，它是融合多项技术突破的一整套体系架构：
 

 

    ♦ 多核CPU处理器，打破了性能对频率的绝对依赖，在同样的空间内实现更多的计算功效；
 

 

    ♦ 高效中断分配机制，使得每个核上的中断次数大大减少，大大提高数据包处理能力，降低对单包的处理时间限制；
 

 

    ♦ 从外部的共享式总线变为内部高速总线和点对点高速总线，如16速PCI-E总线数据处理能力可以达到64Gbps；
 

 

    ♦ 并行多通道的高速内存访问技术，如四通道DDR II 667 MHZ内存接口可以达到21.1Gbps，突破内存访问速率限制；
 

 

    多核架构在以上技术上的突破，打破了单核架构下的性能瓶颈，使得其处理性能大幅提高，轻松超越ASIC和NP。
 

 

    同时，多核架构继承了通用CPU架构相对ASIC和NP架构的所有优势：
 

 

    1、软件开发周期短；
 

 

    2、易升级;
 

 

    3、高灵活性。
 

 

    因此，多核架构最能满足安全产品高性能、低功耗、高灵活性、易升级的要求，更能适应安全产品向深层过滤发展、支持更多应用协议的发展趋势。
 

 

2.2 高效一体化的多核并行操作系统

 

    有了多核的硬件架构，还必须在全线多核并行操作系统的配合下，才能充分发挥多核的优势。我们可以从下面的分析看到一个高效的并行操作系统对于系统性能的影响。
衡量一个多核并行系统设计能力的数学模型为著名的Amdahl定律：

 

Amdahl定律：
 

 

其中三个影响加速比的关键因素是：S表示系统设计中串行执行的比例；n表示多核的处理器个数，H(n)表示系统开销。
 

 

    例如：串行比例3%，32个核，H(n)＝0,理论最高性能 speedup＝16.58倍
 

    串行比例30%，32个核，H(n)＝0,理论最高性能 speedup＝3.11倍
 

 

也就是说，如果数据处理流程的算法设计很差，性能相差将5.33倍！

 

    例如：串行比例30%，2个核，H(n)＝0,理论最高性能 speedup＝1.54倍
 

    串行比例30%，2个核，H(n)=40%,实际性能 speedup＝0.95倍
 

 

也就是说，如果多核之间的并行系统开销设计很差，性能可能让多核不如单核！

 

    由此可见，在安全并行操作系统中，能否有效降低串行执行比例和降低交互开销决定了能否充分发挥多核的性能，其中的关键在于：合理划分任务、减少核间通信。
整个系统任务可以按数据、功能等多个维度划分为若干子任务，分别由不同的核来执行这些子任务。
 

 

    合理的任务分解方案使得不同任务相对独立，既降低了串行执行比例，也减少了核间通信的需求。此外，减少核间通信的技术还包括异步并行、无锁编程等技术。
 

 

    异步并行技术与同步并行技术相对应。后者是同步处理的一般模式，指的是一个核执行任务到某个时刻必须与其它核进行数据交换，然后才能继续进行；前者是对同步处理的优化，数据交换不必严格在某个时刻进行，可以集中进行数据交换，从而减少交互的次数和时间。
 

 

    无锁编程是减少核间通信的另一个思路，通过精心设计的数据结构，两个核可以完全不进行任务同步，同时又能协同进行工作。

 

2.3 向应用层过滤发展、支持更多应用协议
 

 

    当前，攻击行为呈现多层次化，已经逐步从传统的Synflood、Udpflood、端口扫描等网络层攻击发展到HTTP Get、CC等应用层拒绝服务攻击，这些新的应用层攻击数据量和连接频率都不高，使用传统的检测手段根本无法检测和抵御。只有对内容进行深度检测和分析，才能发现并有效防御。
 

 

    同时，新的网络应用层出不穷，网络中已经不单单是传统的HTTP、MAIL、FTP等应用协议数据了，网络视频、流媒体、在线游戏、即时通信、P2P下载等应用已经成为了网络中的“绝对主力”。这些新的应用不仅仅占用了大量的网络带宽，造成网络拥塞，更可怕的是迅雷等即时通讯软件协议以及其他应用于互联网的协议已经成为了恶意者实施攻击的承载协议。
 

 

    于是，对这些新的应用协议进行细粒度的控制，并对这些协议进行完全的内容过滤越来越必要。比如，识别并限制P2P占用的带宽、连接数，以限制其对网络资源的过渡占用；对各种应用协议进行深度检测并限制其操作权限，避免其成为黑客攻击的载体。
 

 

2.4 从工具转变为助手
 

 

    当前网络状况下，网络安全问题日益严重，要求网络管理员对内部网络进行严格、精细的管理和限制。而网络结构越来越复杂，网络接入方式越来越灵活，网络内部主机越来越多，新的应用层出不穷，对外提供的服务也越来越丰富，这给网络管理员带来了前所未有的压力。
 

 

    一方面，内部网络不断的有主机或者服务器加入，网络管理员要根据内部主机情况，实时调整策略，对于一个大的网络，要求各个部门通报新增或者离开的主机，根本无法保证实时性，而对于那些经常有临时用户加入或者离开的网络，其工作量对于网络管理员也是无法承受的。
 

 

    另一方面，随着电子政务、网上办公、电子商务等信息化建设，网络中新的服务和应用不断涌现， 需要管理员不停的增加安全策略，以开启越来越多的对外应用端口。然而，一些应用会同时使用多个端口，而且这些端口会不断的变化。统计各种新应用和使用的端口给管理员带来了巨大的工作量，更为严重的是，从统计新的应用和端口，到最终调整安全策略需要很长的时间，这将会大大降低网上办公效率，对于那些商业类应用，则会给用户带来巨大的经济损失。
 

 

    综上所述，在当前严峻的网络安全形势下，新的主机、新的服务不断的加入和变化，给网络管理员带来了巨大的工作量，而且由于无法及时调整安全策略，网络管理员们在其它业务部门中的满意度大幅下降，这一切已使得他们不堪重负。防火墙作为最重要的网络边界访问控制设备，需要从易用性上做的更多，需要能够帮助网络管理员实时了解内网网络状况和随时的变化，并能够帮助他们及时、动态的调整安全策略。这样可以大大减少网络管理员的工作量，也就是说防火墙对于用户正在逐步从复杂的工具转变为易用的助手。

 

3 RG-WALL1600系列核心级多核产品介绍
 

 

    RG-WALL1600系列多核产品是锐捷网络经过多年研发，基于高性能、高稳定性的多核处理器架构硬件平台和多核并行操作系统新一代RG-SecOS推出的全线多核下一代防火墙产品。在产品性能、功能、稳定性、易升级、易用性管理等方面都有了明显的突破，能够带给用户全新的使用感受。
 

千兆中低端	千兆中高端	万兆高端系列
2核架构	2－4核架构	4－8核架构
配置简单、多样的用户行为管理、完善的VPN接入	深度内容安全、易扩展、网络适应性强	高性能、高可靠性、超强抗DDOS攻击
适于中小型企业、政府、军队、教育等网络环境，规模在1000台以下主机环境。	适于大中型企业、政府、军队、教育等网络环境，规模在5000台以下主机环境。	适于网络运营商、大型数据中心和大型企业纵向网络。
具有专业的安全防御与内容保护功能；支持基于Web的无客户端用户认证和用户行为管理；全面的VPN支持，包括IPSec VPN、SSL VPN、PPTP/L2TP VPN,尤其基于路由的VPN和VPN隧道备份, 大大简化多级VPN互联的部署, 增强可靠性。	具有超强的性价比，优异的网络性能和扩展能力；端口密度高而且配置灵活，适用范围广，尤其在在多出口和多安全区环境；具备深度内容过滤和防御功能， 精准的P2P控制和IM限制，确保安全无忧；实时的HA状态同步和VPN SA同步,多重软件和硬件冗余保护技术保证产品的高可靠性。	具备业界最高的防火墙/VPN性能和超强的抗DDOS攻击能力， 在确保用户对高可靠性和高性能要求的同时， 以更高的易升级和可管理能力满足用户万兆网络下的安全防护需求。

 

产品特色

 

1 强大的处理性能，用户网络更顺畅

 

    基于多核架构和多核并行操作系统新一代RG-SecOS的完美匹配；性能大幅提升；双核架构相比单核，吞吐量同比提高30%-70%；8核架构达到万兆线速。
 

 

2 99.99%的系统高稳定性，用户业务永不宕机
 

 

    多核架构实现安全任务的物理分离，确保核心处理不受干扰；多核间监控备份机制，确保核心处理任务的更加稳定运行；
 

 

3 深度内容安全，用户业务安全无忧
 

 

    多核间相互分工协作，一部分核进行高速数据转发，完成对HTTP/FTP/DNS/TELNET/POP3/SMTP等13种应用协议的预处理；另外一部分核实现快速数据包重组还原内容，进行深度安全检测。可实现大流量下的深度内容检测，完成P2P/IM协议识别与限制、入侵防护、病毒防护等深度安全功能；
 

 

4 贴心的安全助手，用户使用更方便

 

    系统集成强大的安全助手，能够根据需要对内网主机、服务、端口、系统及版本进行探测，实时获取内网状况，并可以根据扫描结果轻松设置对象及安全策略，大大降低了配置、维护的复杂度；
 

 

5 强大的网络自适应设计，用户部署更轻松

 

    支持透明桥接、路由以及桥和路由自适应识别模式，支持多条路由负载均衡，支持基于应用（ARP/PING/TCP/ HTTP）和链路质量的链路探测，支持多条ADSL拨号及自动负载均衡，支持多纯透明桥与接口联动，支持 基于路由的双VPN隧道备份。
 

 

4 RG-WALL1600系列多核产品技术优势

 

4.1 多核并行操作系统新一代RG-SecOS
 

 

    锐捷网络多核并行操作系统新一代RG-SecOS是在屡获大奖的第一代安全操作系统RG-SecOS的基础上，经过2年时间研发成功的。其在多核并行处理和统一架构方面取得了很大的突破，并获得了国家版权局颁发的国内第一个多核并行OS著作权证书。
 

 

    首先，在多核并行处理方面，锐捷网络多核并行操作系统新一代RG-SecOS 实现了在驾驭更多处理器核、减少串行比例、降低系统开销三个核心关键因素上都取得了重大突破，最主要的三大创新点是：
 

 

    第一：智能的CPU核任务调度的负载均衡技术，真正实现了可以灵活适应2核，4核和8核，甚至更多（N核）的统一架构；
 

 

    第二：不同CPU处理核之间的多层快速消息网络（Fast Message Network，缩写FMNs）机制，实现了在2/4/8核上的Cache同步，快速消息通信，达到了最小系统开销H(n)的目标；
 

 

    第三：超立方多维并行算法：设计了数据，控制，管理和调度四维平面的环状超立方并行算法，采用无锁编程和分布式加速的专利技术，确保数据处理的串行执行比例S最小。
 

 

    其次，在统一架构方面，锐捷网络多核并行操作系统新一代RG-SecOS实现了2核、4核、8核的轻松驾驭，而且可以轻松扩展到更多的处理器核上，能够很好的适应产业本身和上游芯片产业链的发展趋势。
 

 

4.2 全线高性能多核架构硬件平台

 

    RG-WALL1600系列多核产品采用全线多核架构，从2核、4核，到8核32硬件线程，产品覆盖从百兆高端、千兆、准万兆、到万兆级别，能够适应从中小企业到大型数据中心的各种网络规模需求，真正实现了“多核平民化”。
 

 

    其优势概括起来主要体现在“更快速、高稳定、易扩展、可管理”等四个方面：
首先，多核架构下多个核能够做到并行处理，分担数据流量，能够极大的提升系统性能，双核架构相比单核，吞吐量同比提高30%-70%，8核架构处理性能可以达到万兆线速。
 

 

    其次，多核架构下多核上任务处理更加独立，确保核心任务不受干扰；同时多个核之间可以进行相互监控，当一个核上的任务出现故障时，其他核可以及时接管其处理的任务和数据，保证业务不会中断；从而实现设备更加稳定的运行；
 

 

    第三，多核架构使得升级扩展变得更容易，不仅能升级特征库，也能升级处理引擎，升级更快且不受代码空间限制，可应对不断变化的未知威胁手段，可支持不断变化的新的应用限制。
 

 

    最后，多核架构下可以把专用的CPU核用于系统管理，使得高负载下的随时轻松管理变得可能， 确保可随时了解状况，可及时调整安全策略！
 

 

    更为重要的是，锐捷网络具备国内信息安全领域唯一的自主研发的高端多核处理器硬件板级设计能力，不仅充分保证了设计的灵活性，而且可以大大降低硬件成本，从而可以为用户提供按需扩展的高性价比产品。
 

 

4.3 内核级并行深度应用检测引擎
 

 

    不同于其它安全厂商将深度内容检测放到应用层的做法， 锐捷网络创新的将应用层数据深度内容过滤集成到了系统内核中，可以实现在内核中完成病毒过滤、入侵防护过滤、垃圾邮件过滤、VPN加解密等，确保了应用层安全的高性能。
 

 

    同时，锐捷网络独创性的将整个系统任务按数据、功能等多个维度划分为若干子任务，分别由不同的核来执行这些子任务，确保多核并行处理，避免系统瓶颈。
 

 

    1 数据分解，把不同的数据报文交给不同的核处理。比如，可以按照接收数据报文的接口来划分任务，不同接口的数据报文由不同的核处理，可以避免不同网段的流量竞争处理器资源，也可以用来保障核心业务。另一种可能的方案是按协议类型来区分，由一到多个核处理HTTP协议，其它核处理其它协议。
 

 

    2 功能分解，把不同的功能分配给不同的核处理。比如，其中一个核专门负责加解密报文处理，另一个核专门负责病毒扫描等。
 

 

    3 静态调度，相同的核永远处理相同的任务。静态调度算法不涉及到任务切换，因此系统开销较小，但存在任务分配不公平的情况。
 

 

    4 动态调度，同一个核可能处理不同的任务。采用动态调度算法的系统可以根据每个核的实际负载情况动态分配任务，这样可以最大限度的利用每个核的处理能力。
 

 

4.4 独创的智能高效搜索算法
 

 

    采用独创的分段直接寻址搜索算法MSDAL（Multi-Stage Direct Addressing Lookup Algorithm），解决了传统防火墙随着安全策略数的增加其性能逐渐下降的问题，确保您在大量安全策略数目情况下仍能获取最高的网络性能！
 

 

4.5 强大的网络自适应性设计
 

 

    锐捷网络适应于各种复杂网络拓扑，包括透明桥接、路由以及桥和路由完全自适应识别模式。除此之外，还具备一下特色功能设计：
 

 

    1 支持多（≥6）路由负载均衡，能够很好的应用于多条网络出口的用户环境，节约用户带宽投资；
 

 

    2 支持基于应用（ARP/PING/TCP/ HTTP）和链路质量的链路探测，能够确保网络实时通畅；
 

 

    3 支持多（≥3）ADSL拨号及自动负载均衡，能够很好的应用于中小企业ADSL拨号环境，能够为用户节约带宽投资；
 

 

    4 支持多纯透明子桥与接口联动，能够在不改变用户拓扑的情况下，部署在多条透明环境中，大大减少用户调整拓扑的工作量；
 

 

    5 支持基于路由的双VPN隧道备份，锐捷网络独创的基于路由的VPN技术特别适合大型星型网络，能够大大降低部署的复杂度；而基于路由的双VPN隧道备份能够确保隧道实时可用，确保隧道的可靠性；
 

 

    6 生成树和每VLAN生成树协议（STP/PVST+）和虚拟路由冗余协议（VRRP），提供全面可靠的二层链路备份和三层路由备份。
 

 

5 RG-WALL1600系列多核产品主要功能
 

安全防御能力	提供基于状态检测的智能包过滤
	支持SIP/H.323/H.323网守/FTP/SQL.Net/MMS/RTSP/TFTP等动态协议
	支持802.1Q VLAN协议
	支持双向NAT，支持源地址转换、端口映射、IP映射三种类型的NAT
	支持静态桥转发表
	支持多纯透明子桥和接口联动
	支持IP/MAC地址绑定和自动探测
	支持新建连接/并发连接限制
	提供透明网关式应用代理
	提供HTTP/FTP/TELNET/SMTP/POP3/自定义代理等
	提供与应用服务无关的用户认证
	提供基于Web/Portal的无客户端认证
	有效抵御各种DoS/DDoS攻击
	提供实时网络连接监控和实时中断
	提供全面的内外网连接监控
VPN	支持标准IPSec VPN
	能够与使用标准IPSec 的网关或客户端互联互通
	支持基于策略的VPN应用
	支持基于路由的VPN应用（特别适用于大型纵向网络环境）
	支持基于路由的双VPN隧道备份
	支持VPN的星型、网状等多种接入方式
	支持VPN的NAT穿越
	支持DHCP over IPSec VPN
	支持VPN远端状态探测DPD
	支持遵守VPN客户端提案方式
	支持PPTP/L2TP 拨号VPN
	支持X-AUTH扩展认证
	支持本地和RADIUS认证
	支持LDAP证书获取方式
	支持VPN证书一次导入导出
	支持SSL VPN
网络适应能力	支持透明/桥接/路由/混合模式
	可适应多种网络拓扑结构和VLAN Trunk环境
	支持策略路由
	支持基于服务的策略路由
	支持动态路由RIPv1/v2和OSPF
	提供目的地址路由、源地址路由和路由metric
	支持多（≥6条）路由负载均衡
	支持基于应用（ARP/PING/TCP/HTTP)和链路质量探测的多出口路由备份切换
	支持PPPOE协议，提供ADSL接入方式
	支持多（≥3）条ADSL拨号和自动负载均衡
	提供QoS带宽管理
	支持DHCP服务器/中继/客户端
	支持DNS中继
	支持PPTP的NAT穿越
	支持数据包分片重组功能
深度内容检测	支持对 URL 进行过滤、网页内容过滤、黑名单、白名单、可对允许访问的 URL 和禁止访问的 URL 进行日志记录、支持关键字导入，支持DNS中的URL过滤
	支持BT/eDonkey/Kazaa 等P2P 软件限制
	支持迅雷下载限制功能，可以对迅雷客户端软件和WEB迅雷进行有效的禁止
	支持对即时通信软件（MSN、QQ、Skype）限制
	支持新建/并发连接限制，包括保护主机、保护服务、限制主机、限制服务
	防 MAC 欺骗和 IP 盗用
	可对SMTP协议进行病毒过滤
	可对POP3协议进行病毒过滤
	可限制文件最大容量、附件数量，可设置文件夹最大压缩层数
	支持病毒库升级
	可对多种常见网络蠕虫进行过滤
	支持多家IDS联动
	支持 Web应用协议实时入侵防御阻断
	支持IPS特征库升级
高可用性能力	支持防火墙双机热备
	支持防火墙多机负载均衡
	支持端口链路备份和负载均衡
	支持服务器负载均衡
管理审计能力	内置安全助手，方便管理员了解内网状况，可以进行活动主机、开发服务探测、服务版本探测、操作系统探测等，并能根据探测结果自动生成资源对象和安全策略
	支持RG-WALL1600系列Manager防火墙集中管理系统
	提供灵活的软件升级方式
	提供强大的日志管理和日志审计
	管理员身份认证支持电子钥匙认证或证书认证
	支持防火墙系统的实时监控
	支持实时连接状态监控
	支持TCP状态统计，能够详细统计出TCP连接总数和ESTABLISHED、LISTEN、SYN-SENT、SYN-RECV、FIN-WAIT、CLOSING、TIME-WAIT、CLOSE-WAIT、LAST-ACK、CLOSED 10种状态的连接数数量及占总TCP连接数的比例
	支持实时路由表查看
	支持当前配置查看
	支持IP地址冲突检测
	支持桥转发表查看
	支持中文对象名
	支持管理员分级管理
	支持配置向导
	支持系统导入导出配置
	支持Web界面导出调试信息功能

 

6 RG-WALL1600系列多核产品主要功能介绍

 

6.1 自适应的网络接入模式
 

 

    RG-WALL1600系列多核产品支持透明桥接、路由、混合（同时存在透明、路由的自适应接入）接入模式。当工作在透明模式时，RG-WALL1600系列防火墙类似于一个网桥，不需要用户对网络的拓扑做出任何调整；当工作在路由模式时，RG-WALL1600系列防火墙多核系列类似于一个路由器，可以提供策略路由功能；RG-WALL1600系列防火墙多核系列还可以工作在自适应的混合模式下，即防火墙的不同端口有的在同一网段上（透明），有的在不同网段上（路由），这样更方便用户在各种网络环境的接入。
 

 

6.2 完善的智能包过滤

 

    RG-WALL1600系列多核产品根据数据包的源地址、目标地址、协议类型、源端口、目标端口以及网络接口等对数据包进行访问控制，而且能够记录通过防火墙的连接状态，直接对分组里的数据进行处理；具有完备的状态检测表追踪连接会话状态，并且结合前后分组里的关系进行综合判断决定是否允许该数据包通过，通过连接状态进行更迅速更安全的过滤。支持复杂动态协议的状态包过滤，通过对协议内容的实时分析，动态开放所需的端口，传输结束后实时关闭端口，确保内网安全。
 

 

6.3 强大的抗攻击能力
 

 

    完全自主开发的RG-SecOS安全协议栈，支持对常见攻击的检测和阻断，并可以实现针对ICMP、UDP、TCP的Flood攻击提交频度检查与阈值分析，如针对ICMP Flood完成过滤类型与代码、频度、包长检查，针对UDP Flood完成频度、包长检查，针对Syn flood完成频度检查。针对最常见的SynFlood攻击，设置了SYN proxy以保护内部网络和防火墙本身免受此类的拒绝服务攻击，提供高安全性和高可用性。支持对以下攻击的检测：
 

 

    • TCP端口扫描 
 

    • UDP端口扫描
 

    • Syn Flood攻击
 

    • ICMP Flood攻击
 

    • UDP Flood攻击
 

    • Ping of death攻击
 

    • Ping sweep攻击
 

    • IP spoofing
 

    • Land 攻击
 

    • Tear drop 攻击
 

    • Filter IP source route option
 

    • WinNuke攻击
 

    • Syn fragments攻击
 

    • Syn and Fin bit set攻击
 

    • No flags in TCP攻击 
 

    • FIN with no ACK攻击
 

    • ICMP fragment攻击
 

    • Large ICMP
 

    • IP source route
 

    • IP record route
 

    • IP security options
 

    • IP timestamp
 

    • IP stream
 

    • IP bad options
 

    • Unknown protocols
 

 

6.4 全面的NAT地址转换

 

    • 支持动态地址转换，支持地址池，即一对一，一对多，多对多
 

    • 支持静态地址转换
 

    • 支持端口转换，支持动态服务的映射，允许用户内部服务对外开放
 

    • 支持反向IP 映射，允许用户内部IP 主机对外开放
 

    • 支持双向地址转换（一般应用于两边权限对等网络中），即源地址和目的地址的同时转换
 

    • 支持基于策略（基于协议、目的地址）的地址转换
 

 

6.5 丰富的预定义代理和自定义代理
 

 

    RG-WALL1600系列多核产品提供丰富的代理功能。预定义代理包括：
 

 

    • HTTP代理能够对Java、JavaScript、ActiveX进行过滤
 

    • FTP代理能够对多线程、put和get命令过滤
 

    • SMTP代理能够对邮件大小、接收人数限制，并按关键字对邮件主题、邮件正文和附件内容、附件名过滤
 

    • POP3代理能够对邮件大小限制，并按关键字对邮件主题、附件名过滤
 

    • 支持基于TCP协议的用户自定义代理，方便管理员使用
 

 

6.6 独创的高效安全规则搜索算法
 

 

    RG-WALL1600系列多核产品采用自主设计的分段直接寻址安全规则搜索算法MSDAL（Multi-Stage Direct Addressing Lookup Algorithm），解决了传统防火墙随着安全规则数的增加，其搜索速率呈线性递减的问题，确保在大规则数情况下以最短的时间匹配到安全规则。
 

 

6.7 全面灵活的连接限制
 

 

    RG-WALL1600系列多核产品提供了四种连接限制：保护主机、保护服务、限制主机、限制服务。连接限制可以保护服务器或服务器上提供的某项服务，限制对服务器过于频繁的访问。在规定的时间内，如果某台主机访问服务器超过了所限制的次数，则会对该主机实行阻断，在阻断时间段内，拒绝其对服务器的所有访问。也可以应用此功能对使用BT/电驴等连接数目过大严重影响网络流量的用户加以限制。
 

 

6.8 策略路由和链路聚合
 

 

    RG-WALL1600系列多核产品除常规的按目的IP方式的路由功能外，还支持按源IP方式的路由功能和路由负载均衡，支持多出口时链路聚合。按源IP方式是根据源IP地址来决定下一跳地址。路由负载均衡指按照下一跳的权值来自动选择路由，从而充分利用用户的带宽资源，保护用户投资。另外，还可以支持基于协议和端口进行源路由选择。
 

 

6.9 动态路由支持

 

    RG-WALL1600系列多核产品具备动态路由的功能，可以和路由器或路由交换机进行动态路由互连，甚至替代部分路由器，极大的简化用户组网和节省用户的整体组网投入
 

 

    • 支持 RIP V1/V2协议
 

    • 支持 OSPF协议
 

    • 支持路由协议明文/MD5验证
 

    • 支持区域内，区域间路由
 

6.10 深度内容过滤
 

 

    • RG-WALL1600系列多核产品具备HTTP、FTP、SMTP、POP3协议的内容过滤功能，保护终端用户合法有效地使用各种网络资源
 

    • 支持对网页中的Java、Javascrip、ActiveX等小程序的过滤
 

    • 支持对邮件的发收信人地址、人数、文件大小过滤，及对邮件主题、正文、收发件人、附件名、附件内容等的关键字匹配过滤
 

    • 支持URL过滤，并支持黑/白名单过滤策略
 

 

6.11 深度动态协议分析
 

 

    RG-WALL1600系列多核产品支持对网络动态协议的深度分析，全面支持H.323、FTP、SQL.NET等动态协议的过滤。
 

 

6.12 全面的VLAN支持
 

 

    RG-WALL1600系列多核产品能够支持802.1Q封装协议；支持VLAN Trunk协议，并可以对Trunk口中的VLAN ID进行过滤；支持VTP链路聚合协议；支持生成树协议STP和每VLAN的生成树协议PVST+；在路由模式和桥模块下均支持VLAN间路由，方便用户在旁路方式下的接入。
 

 

6.13 用户认证
 

 

    • RG-WALL1600系列多核产品提供协议层用户认证系统，突破认证的服务种类限制，为包过滤、双向NAT、代理等访问控制提供用户认证功能
 

    • 支持用户和组管理，支持用户策略（源IP绑定、可访问目的IP和服务），支持对用户帐号的流量控制和时间控制
 

    • 提供与标准的radius服务器（PAP）联动的用户认证
 

    • 提供本地认证库：提供基于角色的用户策略，并与安全规则策略配合完成强访问控制，支持对用户帐号的流量控制和时间控制，客户端可以修改密码，服务器端检查用户在线状态，支持PAP 和S/Key认证协议
 

 

6.14 IP/MAC地址绑定
 

 

    RG-WALL1600系列多核产品提供IP/MAC地址绑定检查功能，防止IP地址盗用，可以设置绑定的默认策略，提供IP/MAC对的唯一性检查。此外还提供地址对与网口的绑定功能，可以及时定位盗用合法IP/MAC地址对的非法用户。
 

 

    RG-WALL1600系列多核产品提供IP/MAC自动探测功能，可以大大减轻管理员手工收集IP/MAC对的工作量。
 

 

6.15 灵活的时间调度
 

 

    RG-WALL1600系列多核产品可设定一次性或周期性的调度规则，对安全规则、用户安全策略等进行调度，给安全管理带来方便。
 

 

    RG-WALL1600系列多核产品的系统时间可以设置为与时钟服务器的时间同步，也可以设置为与管理主机的时间同步。
 

 

6.16 与IDS联动
 

 

    RG-WALL1600系列多核产品支持与目前市场上大部分主流IDS产品的联动。
 

 

    当IDS联动产品发现入侵攻击行为时，会通知防火墙。如果防火墙相应网口启用了IDS自动阻断功能，则防火墙会按IDS通知的阻断方式、阻断时间和入侵主机的相关信息，对入侵主机进行阻断。
 

 

    RG-WALL1600系列多核产品阻断方式包括：
 

 

    • 对“源IP地址”阻断

    • 对“源IP地址、目的IP地址、目的端口、协议”阻断
 

    • 对“源IP地址、目的IP地址、协议、方向（单向、双向、反向）”阻断
 

    • 防火墙阻断协议包括：TCP / UDP / ICMP和所有协议（any）
 

 

6.17 入侵检测IPS
 

 

    RG-WALL1600系列多核产品采用最新的监测引擎，高效快速分析算法。可以及时有效的发现入侵行为并予以阻止；同时提供在线升级功能，提供最新的入侵特征。
RG-WALL1600系列防火墙可以检测以下常见入侵类型：
 

    • Atkresp
 

    • Backdoor
 

    • Info
 

    • Multimedia
 

    • p2p
 

    • porn
 

    • scan
 

    • virus
 

    • webcgi
 

    • webcf
 

    • webclient
 

    • webfp
 

    • webiis
 

    • webphp
 

    • webmisc
 

 

6.18 病毒过滤
 

 

    • RG-WALL1600系列多核产品采用最新的病毒过滤引擎，有效保护用户的网络安全
 

    • 提供16万种常见病毒库
 

    • 提供在线升级，实时更新病毒库
 

    • 可以对：SMTP、POP3进行病毒检测和过滤
 

 

6.19 流量整形和带宽管理

 

    RG-WALL1600系列多核产品采用先进的拥塞控制算法、流量调度算法以及优先级排队机制，根据用户定义的带宽策略（最大峰值带宽，最小保证带宽和优先级），动态实现带宽分配的实时控制。具有以下特点：
 

 

    • 最大限制带宽
 

 

    可以对用户IP地址、服务等通过防火墙的带宽进行限制，例如：限制某个用户对外访问最大带宽，或者访问某种服务的最大带宽。
 

 

    • 最小保证带宽
 

 

    保证网络中重要服务或者重要用户的带宽不被其他服务或者用户占用，从而保证了重要数据优先通过网络。
 

 

    • 优先级控制
 

 

    防火墙可以设定4个优先级（0-3），在拥塞情况下，可以进行更加细致的流量控制。
 

 

6.20 完善的DHCP支持

 

    • 支持DHCP客户端
 

 

    防火墙支持动态IP，其接口可以动态地获得IP地址，方便灵活地接入用户的网络环境。
 

 

    • 支持DHCP server
 

 

    防火墙自身可以作为DHCP Server，为网络中计算机动态的分配IP地址，从而为企业的网络建设节约投资，同时方便网络的应用和IP地址的管理。
 

 

    • 支持DHCP Relay
 

 

    防火墙支持DHCP Relay。放置于DHCP Server和DHCP Client之间，既有效的保护DHCP Server同时便于用户网络的部署。
 

 

6.21 双机热备和高可用性HA
 

 

    为了保证网络的高可用性与高可靠性，针对电信级的要求，RG-WALL1600系列防火墙提供了双机热备份功能，当一台防火墙发生意外宕机、网络故障、硬件故障等情况时，另一台防火墙自动切换到工作状态，从而保证了网络的正常使用。切换过程不需要人为操作和其他系统的参与，当发生切换时防火墙上的连接可以透明地、完整地迁移到另一台防火墙上，用户不会觉察到。
 

 

6.22 全面的系统监控
 

 

    RG-WALL1600系列多核产品提供全面的系统状态监控，可以让管理员清楚地了解网络中接口流量统计、最大连接数量的IP、各种TCP状态的连接数及占总TCP连接数的比例等信息，并且能够及时发现被网络蠕虫病毒感染的主机，配合连接限制，进行实时阻断。
 

 

6.23 便捷的配置向导

 

    RG-WALL1600系列多核产品提供便捷的配置向导功能，管理员可以根据初始配置向导轻松完成防火墙的配置。
 

 

6.24 贴心的安全助手
 

 

    RG-WALL1600系列多核产品提供内置的安全助手功能，能够帮助管理员清楚的了解内网主机运行情况，可以实现：
 

 

    • 活动主机探测
 

    • 开放服务探测
 

    • 服务版本探测
 

    • 操作系统探测
 

 

    并且可以根据探测结果自动生产地址资源、静态ARP、IP/MAC绑定等安全策略。
 

 

6.25 对象名称定义和引用

 

    RG-WALL1600系列多核产品将单个地址、一段网络、IP地址的范围、地址组、带宽策略、时间调度策略、URL列表等设置为一个对象名称。安全规则基于对象名称过滤，使规则具有很强的可读性，同时提高了配置管理员的工作效率，使配置更具灵活性。
 

 

6.26 丰富、安全的管理方式
 

 

    RG-WALL1600系列多核产品提供Web管理方式（通过网口）、CLI命令行管理方式（通过串口），同时还支持远程拨号（PPP）管理方式。上述三种管理方式是一直打开的。另外，防火墙还提供通过SSH登录对防火墙以命令行方式进行远程管理的功能，此管理方式管理员有权进行添加和删除。
 

 

6.27 分级权限的安全管理
 

 

    RG-WALL1600系列多核产品提供分级安全管理机制，系统分为超级管理员、配置管理员、策略管理员、审计管理员四个等级。通过管理员身份认证（电子钥匙认证或证书认证）、管理主机限制、防火墙管理IP限制、防火墙管理方式定义（web管理/命令行管理/SSH方式/PPP+SSH连接）、配置信息加密（支持SSL协议和SSH协议），提供方便且安全的配置管理。
 

 

6.28 完善的系统升级

 

    随着技术的飞速发展和安全需求的不断延伸，RG-WALL1600系列多核产品会适时地进行软件版本升级。RG-WALL1600系列防火墙的软件升级直接通过管理界面进行，用户只需选择新的升级软件包并重启防火墙即可方便地完成软件升级。
 

 

6.29 系统配置的导入导出
 

 

    RG-WALL1600系列多核产品的导入导出功能便于管理员对整个防火墙的配置进行备份，在需要的时候，可以离线调整后，重新导入防火墙即可即时生效。导出的配置信息可以保存在管理主机上做备份，导出的文件格式可以选择加密或不加密。
 

 

    同时，RG-WALL1600系列多核产品还支持部分配置的单独导入、导出，比如：时间资源、地址资源、服务资源、安全策略。目的是方便管理员根据自己的需要导出所需配置。
 

 

6.30 全面的日志审计和日志服务器

 

    RG-WALL1600系列多核产品各功能模块都可以提供标准格式的日志记录。默认情况下，日志存储在防火墙本地，也可以将日志直接发往日志服务器。随机提供的日志服务器软件可以实现强大的存储和审计功能，方便管理员对日志进行查询和管理。
 

 

7 RG-WALL1600系列多核产品典型应用环境

 

7.1 拓扑一：多出口链路聚合
 

 

    RG-WALL1600系列多核产品能够很方便地对内部网、DMZ区和互联网进行访问控制，有效保障内部网络安全。对于多出口的网络，RG-WALL1600系列防火墙提供了链路聚合功能，通过设置策略路由，可以让不同的用户走不同的出口，也可以多条链路间自动按权重进行负载均衡，有效地利用网络带宽，保护用户投资。

 

 

7.2 拓扑二：全冗余的高可用性
 

 

    RG-WALL1600系列多核产品提供了HA（High Availability，高可用性）功能。典型工作在为Active-Standby模式，即主防火墙工作在Active状态，从防火墙工作在Standby状态。当主防火墙发生意外宕机，或者网络链路发生故障时，从防火墙自动切换到Active状态，从而保证了关键业务的正常运转。
 

 

    RG-WALL1600系列防火墙的HA功能具有很强的网络适应性，支持生成树和每VLAN生成树协议（STP/PVST+）和虚拟路由冗余协议（VRRP），提供全面可靠的二层链路备份和三层路由备份。