fenoi/o 联管联想网御超五系列防火墙产品白皮书网歡联想网御科技（北京）有限公司1序言 (3)2、防火墙技术的发展 (5)2.1网络处理器的基本结构 (6)2.2网络处理器的特点 (7)3、联想防火墙产品解决方案 (8)4、网御超五系列防火墙产品介绍 (9)4.1产品概述 (9)4.2产品特点 (9)4.2.1高性能 (9)4.2.2高安全 (11)4.2.3高可用 (12)4.2.4高可控 (13)4.3主要功能 (15)4.4产品指标 (18)4.4.1性能指标 (18)4.4.2产品规范 (19)5、典型应用 (20)1、序言互联网的发展已经深入到社会生活的各个方面。

对个人而言，互联网改变了人们的生活方式；对企业而言，互联网改变了企业传统的营销方式及其内部管理机制。

虽然一切便利都源于互联网，但是一切安全隐患也来自互联网。

互联网设计之初，只考虑到相互的兼容和互通，并没有考虑到随之而来的一系列安全问题，伴随互联网的迅速发展，网络安全问题越来越严峻。

那么，影响网络安全的主要因素有哪些呢？从技术的角度归纳起来，主要有以下几点：黑客的攻击黑客技术不再是一种高深莫测的技术，并逐渐被越来越多的人掌握。

目前，世界上有20多万个免费的黑客网站，这些站点从系统漏洞入手，介绍网络攻击的方法和各种攻击软件的使用，这样，系统和站点遭受攻击的可能性就变大了。

加上现在还缺乏针对网络犯罪卓有成效的反击和跟踪手段，这些都使得黑客攻击具有隐蔽性好、“杀伤力”强的特点，构成了网络安全的主要威胁。

网络的缺陷因特网在设计之初对共享性和开放性的强调，使得其在安全性方面存在先天的不足。

其赖以生存的TCP/IP协议族在设计理念上更多的是考虑该网络不会因局部故障而影响信息的传输，基本没有考虑安全问题，故缺乏应有的安全机制。

因此它在控制不可信连接、分辨非法访问、辨别身份伪装等方面存在着很大的缺陷，从而构成了对网络安全的重要隐患。

软件及系统的漏洞或“后门”随着软件及网络系统规模的不断增大，系统中的安全漏洞或“后门”也不可避免的存在，比如我们常用的操作系统，无论是 Windows还是UNIX几乎都存在或多或少的安全漏洞，众多的服务器、浏览器、桌面软件等等都被发现存在很多安全隐患。

任何一个软件系统都可能会因为程序员的一个疏忽或设计中的一个缺陷等原因留下漏洞。

这也成为网络的不安全因素之一。

正因为如此，针对以上的各种不安全因素，防火墙就作为信息安全的门户, 应运而生了。

2、防火墙技术的发展防火墙产品经历了多年的发展，目前主要有两种开发模型：其一是在基于In tel Pe ntium?系列CPU平台下进行开发；其二是基于ASIC的硬件平台的开发。

第一种开发模型具有快速升级能力，可以保证产品能够及时跟上用户需求；第二种开发模型带来了性能的极大提升，可以保证产品不会成为网络瓶颈。

虽然两种开发模型都具有各自的优势，但它的劣势也同样十分突出，尤其是在互联网高速发展的今天，其各自的劣势已经成为两类产品的发展障碍。

一方面，由于局域网技术以及广域网技术的发展，目前骨干网络的带宽已经发展到了 10G(OC-192以上，也许只需要 2到3年的时间就会发展到 40G (OC-768的水平。

回顾过去近10年互联网的发展，我们不得不承认摩尔定律在互联网世界已经被打破一一处理器的速度每18个月翻一番，但互联网骨干连接的带宽每12个月就要翻一番。

也就是说，基于通用处理器平台的网络产品开发者将会遇到性能上的障碍，在OC-192的情况下，转发一个报文要求时间小于35ns,而在OC-768情况下要求时间小于8ns,即使我们使用Intel最新的P4 3.0G 赫兹的CPU也无法达到以上要求。

通过计算我们可以发现，当单向网络带宽要求超过OC-12 (665兆)时，CPU就已经显得力不从心了。

这时，当巨量(常常是高达800M以上)的DDO等攻击包涌来时，这种体系结构的防火墙就无能为力了。

而另一方面，基于ASIC技术的开发者遇到了完全相反的困难。

我们知道ASIC技术主要就是为了解决转发速度问题，完全由硬件来进行制定好的报文处理动作。

这样做可以明显提升防火墙的吞吐性能。

但对于网络安全设备来说，网络入侵攻击手段飞速变化，平均每3天就会有一种新的攻击手段或病毒诞生，因此，迅速升级至关重要。

而基于ASIC技术开发的防火墙产品因为是全硬件处理，升级维护的灵活性和扩展性不够，而且开发费用高，开发周期长，一般需要两年以上的时间，不利于网络安全产品功能的迅速升级。

为了解决CPU和ASIC所面临的困难，网络处理器 NP (Network Processor)技术从1999年开始兴起并且以前所未有的速度发展着。

最初该类技术由一些小公司所拥有，当大家开始认可并纷纷看好其前景时，一些巨型企业并购了这些小网缺5公司，他们中较为具有代表性的有IBM、INTEL、LUCENT MOTOROLACONEXANT 等。

这些巨型公司的介入使网络处理器进入了高速发展阶段。

我们现在可以说，是互联网带宽的发展以及应用协议的快速丰富促使了网络处理器概念及相关产品的产生。

2.1网络处理器的基本结构网络处理器是将计算、存储和媒体资源控制高度集成的，能够对报文进行深度匹配并以线速进行转发的技术，它符合如下定义：1）具有灵活的可编程能力，通用CPU的可编程性。

2）高速进行L2-L4+的数据处理能力。

3）高度集成的处理器：（1）微码编程的和/或硬件的加速引擎；（2）高效的存储器子系统控制器；（3）良好的数据流管理，内部通信支持能力；（4）存储器时延屏蔽技术。

基于以上定义，网络处理器一般包含如下部件：1）分段和重组各种协议数据单元用于对报文的拆分和重组。

2）协议识别和分类：根据数据帧内的协议类型、端口号、目的UPL或其他应用的专用协议信息技术识别每一数据帧，并进行分类。

3）数据修改：修改数据包的特定字段，形成新的数据包，如修改TTL字段，计算CRC加密/解密、压缩/解压缩等。

4）输入数据缓存：数据帧根据一定的策略被放入合适的队列待作进一步处理（例如划分优先级或流量整形）。

同时，根据流量控制和安全存取策略规则检查数据帧，决定转发或丢弃。

输出队列管理：包括输出控制和流量工程，一些协议就需要该功能，当有突发数据流到达出口线或光纤时，要对数据流整形。

可以规定不同信道或信息类型的数据流的优先级来满足不同的服务要求，用于保证系统的QoS2.2网络处理器的特点网络处理器具有如下特点：1）完全的可编程能力，可以支持各种网络互连应用；2）简单的编程模型，加快产品进入市场的时间；3）最大的系统灵活性，进而延长产品的生命周期；4）强大的处理能力，提供高性能和良好的可扩展性；5）开放的编程接口，获得更高的可用性；6）开发环境的第三方支持，推动产品不断更新换代。

虽然网络处理器的最初设计并不是完全针对防火墙产品，但其定义很多地方与防火墙产品的开发需求不谋而合。

1）相对于路由设备与交换设备，防火墙要求对报文进行更深层次的分析与控制，这与网络处理器的定义相符。

2）黑客行为的更新速度极快，网络处理器良好的可编程性可以使开发厂商迅速的升级其系统，可以使防火墙一直保持具有良好的抗攻击能力。

3）由于网络处理器采用开发式的框架结构，目前一些芯片厂商已经提供了很多协处理器（如内容匹配器等），通过这些协处理器与网络处理器的配合使用，可以使防火墙具有更好的性能和更加丰富的功能。

4）由于网络处理器的提供者都为大规模企业，其提供的产品的品质可以得到保证，这使防火墙设备开发商可以专注于安全功能的开发。

如果防火墙产品以网络处理器作为其平台，就可以解决通用CPU平台的防火墙和基于ASIC平台防火墙在性能上和功能上的瓶颈，这样的防火墙产品将同时具有采用ASIC 纯硬件方案的高性能与软件解决方案的快速升级能力。

可以认为,基于网络处理器开发的防火墙产品是新一代防火墙产品发展的必然趋势。

3、联想防火墙产品解决方案全球每年因为网络攻击和入侵行为而导致的经济损失高达数百亿元之巨，我国也不断发生网络安全事故。

联想集团根据多年来在信息安全领域的研究，认为网络环境需要整体的安全防范，防火墙和其他网络安全设备的分布式部署以及全面、系统的管理机制是保障网络安全的关键。

网络安全设备的部署不仅需要在网关级部署防火墙产品和其他信息安全产品，在分支接口以及关键服务器群、关键部门也需要部署相应级别的安全设备。

联想网御防火墙系列产品正是从这个角度出发，不断研发和完善产品线，保障在各种应用环境和安全级别下的网络安全。

联想网御系列防火墙产品已经被广泛应用于全国各行各业的网络安全方案之中，为广大用户提供了专业可信赖的安全防范措施和服务。

但是，随着网络宽带技术和应用的飞速增长以及类似于DDO帶攻击手段不断增强，普通的基于传统In tel 等通用处理器的防火墙设备已经无法胜任高流量下的安全防范。

根据技术权威部门分析，基于In tel Pen tium ?等通用处理器开发的防火墙在千兆环境下的吞吐率最高达到300M 左右，因此，只适合做大型网络的分支网络安全防范，而在高流量的网关和关键业务汇接点则需要千兆线速级的产品，在业务流量没有损失的情况下保障系统不受侵害。

以前，该类产品一直由国外基于ASIC技术的产品所垄断，联想集团通过艰苦的研发，推出了完全自主产权的基于NP技术的高端千兆线速防火墙一一网御超五系列防火墙，一举打破了国外产品在高端领域的技术垄断地位，填补了国内高端线速安全产品的空白。

4、网御超五系列防火墙产品介绍4.1产品概述联想网御超五系列防火墙是联想信息安全系列产品中的重要一员，属于硬件型千兆线速防火墙，基于 NP架构，可达到4G处理能力（从64byte至1518byte 任何包长下均达到双向千兆 100%吞吐率），具有超级性能、超级安全、超级可用、超级可控、超级可靠等“超5”特性，具有完全自主知识产权。

它拥有先进的体系结构、强大的数据吞吐能力和并发响应能力、严谨的安全机制、灵活的升级方式和方便的配置管理方式。

它在防火墙硬件板级设计、防火墙安全体系结构、安全芯片之微码、配置管理操作系统、配套的管理软件等方面都有重大创新。

网御超五系列防火墙可广泛应用于电信、金融、电力、交通、政府等行业的千兆骨干网络环境。

4.2产品特点4.2.1高性能网御超五系列防火墙采用4G的NP芯片，是基于国际先进的网络处理器芯片（NPU技术设计的纯硬件防火墙，实现了新一代的防火墙体系架构。

它通过网络处理器芯片的多微处理器、多层协议解析和强大的芯片级编程功能，保证在宽带环境下对数据包的线速安全过滤，并能够随时方便地进行系统升级和维护。

其优秀的性能和软硬件扩展性与兼容性，把最大利益反馈给最终的网络安全用户。

测试结果表明，千兆环境下数据流量非常大时，网御超五系列防火墙仍可实现64字节数据包双工的线速安全过滤，丢包率为0。