中科神威防火墙NSFW6000技术白皮书.docx
- 文档编号:2947233
- 上传时间:2022-11-16
- 格式:DOCX
- 页数:15
- 大小:277.75KB
中科神威防火墙NSFW6000技术白皮书.docx
《中科神威防火墙NSFW6000技术白皮书.docx》由会员分享,可在线阅读,更多相关《中科神威防火墙NSFW6000技术白皮书.docx(15页珍藏版)》请在冰豆网上搜索。
中科神威防火墙NSFW6000技术白皮书
中科神威防火墙NSFW-6000
技术白皮书
北京中科网威信息技术有限公司
声明
北京中科网威信息技术有限公司
所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本书内容的部分或全部,并不得以任何形式传播。
1.公司简介
北京中科网威信息技术有限公司创立于1999年,前身是中科院高能物理研究所的“网威安全工作室”。
公司是国内自主可控网络安全产业的领军企业,拥有武器装备科研生产保密资格、装备承制单位资格、信息安全风险评估等资质证书,长期服务于军队、党政、军工等重要行业用户。
同时也是中国信息产业商会信息安全产业分会副理事长单位、中关村可信计算产业联盟副理事长单位、自主可信专委会主任委员、北京市软件企业、北京市高新技术企业、中关村科技园区高新技术企业。
从2010年开始,中科网威积极布局基于国产CPU的安全产品研发,通过深度参与国家并行计算机工程技术研究中心、国家高性能集成电路(上海)设计中心的产品合作,我们成功打破了国外CPU对国内网络安全产品的控制与垄断,并为此打造了一个全新的产品品牌——中科神威。
“自主可控”是中科神威系列安全产品研发的核心指导原则。
中科网威在国内信息安全市场率先开辟自主可控创新之路,以网络安全产品“国产化、自主可控”为己任,始终坚守,一路向前,勇做领跑者,必将为中国信息安全产业做出更大贡献!
2.产品概述
作为防火墙国家标准的编写单位,中科网威在防火墙产品的研发上一直力求创新和领先,先后推出了国内首款基于网络处理器的千兆防火墙产品、国内首个应用于安全产品的基于多核芯片的硬件平台,十余年来在安全产品研发中积累了丰富的经验,取得了多项技术成果。
在此基础上,中科网威借鉴近年来芯片技术的最新发展,应用国产申威处理器,于2014年4月正式推出高自主可控的中科神威防火墙NSFW-6000。
中科神威防火墙NSFW-6000的硬软件完全由中科网威自主设计,其中硬件平台的核心处理器采用了目前国内性能最好的第三代申威处理器中最适合防火墙应用的申威SW411高性能4核处理器,该处理器采用40nm生产工艺,主频1.6GHz,每秒浮点运算次数高达102G,采用64位自主精简指令集,对溢出式攻击和恶意代码有天然的免疫能力。
同时采用的为配合申威处理器而专门研制的申威国产IO套片集成了PCI-E交换功能、桥片功能和I/O功能,支持多种通用高速接口和低速接口并具有片上智能维护系统,可以替代非国产的桥片和I/O芯片,提高了整个硬件平台的国产化程度,也使整个主板的设计更加紧凑、兼容。
中科神威防火墙NSFW-6000在移植中科网威成熟防火墙产品各项功能的基础上,又结合申威处理器指令集对中科网威自主研发的NPOS操作系统进行了一系列优化,最终产品的吞吐量、数据延迟、新建并发连接等各项性能指标均达到了现有基于非国产处理器的千兆防火墙产品水平,是中国第一家获颁千兆销售许可证的基于国产处理器的防火墙产品。
中科神威防火墙NSFW-6000可以满足所有层面的用户不同应用场景的需求,为用户提供了集,高性能、高安全性、高可管理性、高自主可控和低功耗于一体的边界防护解决方案,充分体现了中科网威在长期的安全产品研发与推广过程中对网络安全业务和用户需求的深刻理解。
3.产品软硬件设计
3.1硬件平台设计
作为网络安全国家标准的编写单位,中科网威在网络安全产品的研发上一直力求创新和领先。
中科网威借鉴近年来国内芯片技术的最新发展,推出了新一代的以国产处理器芯片为核心,以完全自主研发的安全平台为基础的系列高性能网络安全产品。
1)主处理器介绍
中科神威防火墙NSFW-6000的硬件电路部分完全由中科网威自主设计。
其中核心处理器采用国家高性能集成电路设计中心研发的国产申威SW411高性能4核处理器。
具有完全自主产权的国产申威申威SW411高性能4核处理器是在国家“核高基”重大专项支持下,由国家高性能集成电路(上海)设计中心自主研发的,采用自主指令集且具有完成自主知识产权的处理器。
申威处理器经过三代近10年的研制,现已推出成熟申威SW411高性能4核处理器。
申威处理器已在国家超算济南中心的超级计算机以及神威太湖之光超级计算机中部署使用。
申威处理器采用非通用架构的自主指令集,对溢出式攻击和恶意代码攻击有天然免疫能力,其安全性更高。
2)硬件平台介绍
硬件平台的核心处理器采用了目前国内性能最好的第三代申威处理器中最适合防火墙应用的申威SW411高性能4核处理器,该处理器采用40nm生产工艺,主频1.6GHz,每秒浮点运算次数高达102G,采用64位自主精简指令集,对溢出式攻击和恶意代码有天然的免疫能力。
同时采用的为配合申威处理器而专门研制的申威国产IO套片集成了PCI-E交换功能、桥片功能和I/O功能,支持多种通用高速接口和低速接口并具有片上智能维护系统,可以替代非国产的桥片和I/O芯片,提高了整个硬件平台的国产化程度,也使整个主板的设计更加紧凑、兼容。
中科神威防火墙NSFW-6000硬件体系
3.2软件设计体系
中科神威防火墙NSFW-6000软件体系是在申威处理器的基础软件系统的基础上,以中科网威自主开发的NPOS为操作系统,优化并改进原有自主开发的防火墙,入侵检测等网络安全的软件系统。
该系列网络安全产品的软件系统则采用了基于框架的模块化设计,用户可根据需要选配所需的功能模块。
这种灵活的架构也可根据用户的特定需求定制特殊功能。
中科神威防火墙NSFW-6000软件体系
4.产品主要功能
4.1基于状态检测的访问控制
中科神威防火墙NSFW-6000采用全状态检测技术,不仅能够根据数据包的源地址、目标地址、协议类型、源端口、目标端口、VLAN标识、MAC地址等属性对数据包进行过滤,还能够根据传输方向、通信时间等进行数据包的访问控制。
中科神威防火墙NSFW-6000能够记录通过防火墙的所有连接的状态,进而通过对这些状态信息的实时跟踪实现更迅速也更安全的数据包过滤。
中科神威防火墙NSFW-6000支持路由模式、透明模式、混合模式三种访问控制策略的配置方式。
其中,路由模式起到通用路由交换的作用;透明模式工作于数据链路层,基于透明网桥结构实现,无需IP地址,使针对防火墙的攻击失去目标,增强了防火墙自身的安全;混合模式即路由模式和透明模式两者同时使用的方式。
4.2NAT地址转换
中科神威防火墙NSFW-6000具备完善的地址转换(NAT)功能,采用双向网络地址转换(双向NAT)技术,能够实现动态NAT、静态NAT,能够实现一对一、多对一、多对多的地址映射。
正向地址转换用于使用保留IP地址的内部网用户通过防火墙访问公众网中的地址时对源地址进行转换。
中科神威防火墙NSFW-6000支持依据源或目的地址指定转换地址的静态NAT方式和从地址缓冲池中随机选取转换地址的动态NAT方式,可以满足绝大多数网络环境的需求。
对公众网来说,访问全部是来自于防火墙转换后的地址,并不认为是来自内部网的某个地址,能够有效的隐藏内部网络的拓扑结构等信息。
同时内部网用户共享使用这些转换地址,自身使用保留IP地址就可以正常访问公众网,有效的解决了全局IP地址不足的问题。
内部网用户对公众网提供访问服务(如Web、FTP服务等)的服务器如果是保留IP地址,或者想隐藏服务器的真实IP地址,都可以使用中科神威防火墙NSFW-6000的地址映射来对目的地址进行转换。
公众网访问防火墙的反向转换地址,由内部网使用保留IP地址的服务器提供服务,同样既可以解决全局IP地址不足的问题,又能有效的隐藏内部服务器信息,对服务器进行保护。
中科神威防火墙NSFW-6000提供端口映射和IP映射两种反向地址转换方式,端口映射安全性更高、更节省全局IP地址,IP映射则更为灵活方便。
4.3流量管理
流量控制方面,中科神威防火墙NSFW-6000支持逻辑带宽划分、智能化带宽管理和流量整形,以实现QoS保障功能。
可用带宽按IP群组进行划分,保证各IP群组不会争用有限的带宽资源;通过设定基于流的最小保证、最大限制带宽、突发带宽、优先级以及公平策略,保证重要业务和实时业务能够优先使用带宽;可按IP地址、端口和协议类型,采用基于拥塞控制算法的队列技术对指定流进行整形。
中科神威防火墙NSFW-6000采用以下几个关键技术来实现流量控制:
Ø流量分类:
对双向通过的流量按照用户配置进行分类,包括对不同优先级的报文进行分类,将其投递进不同的队列(queue)等待处理。
Ø拥塞控制:
使用拥塞控制算法,预判断出可能发生拥塞的内部端口,在发生拥塞之前,将低优先级的报文丢弃,保证主要通信的通信质量和整体的稳定性。
Ø流/报文优先级:
每条流都有其优先级,在内部端口出,根据优先级放行报文,高优先级的报文总是先于低优先级的报文通过,保证用户的重要服务质量。
Ø带宽预分配:
对不同实时性或者重要性的流基于优先级机制,分配不同的带宽,包括最小保证带宽,最大带宽和上限带宽。
当流量达到限制带宽时,不再发送该流的任何报文。
流量统计方面,中科神威防火墙NSFW-6000支持通过IP地址、网络服务、时间和协议类型等参数或它们的组合进行流量统计;能够实时或者以报表的形式输出流量统计结果。
4.4VPN
虚拟专用网(VPN)指的是在公用网络(如Internet)中建立专用的数据通信网络的技术。
VPN提供了通过互联网在远程计算机间实现安全通信的方法。
中科神威防火墙NSFW-6000既可以利用因特网IP通道为用户提供具有保密性、安全性、低成本、配置简单等特性的VPN服务,也可以为移动的用户提供一个安全访问公司内部资源的途径,用户可以从外部虚拟拨号,从而进入公司内部网络。
中科神威防火墙NSFW-6000提供对IPSecVPN和SSLVPN等连接方式的完整支持。
Ø支持IPSecVPN连接
基于IPSec协议的中科神威防火墙NSFW-6000VPN完全兼容并符合RFCIPSec标准,从而保证了和其它支持IPSec的系统和设备的互联互通。
NSFW-6000中科神威防火墙的IPSecVPN主要具备以下特性:
⏹支持标准的IPSec协议。
⏹支持Gateway-to-Gateway网关至网关模式虚拟专网。
⏹支持手动密钥(Presharekey)管理方式。
⏹支持自动密钥(X.509V3数字证书)管理方式。
⏹支持密钥生存周期可定制。
⏹支持完美前向保密。
⏹支持多种加密与认证算法:
◆加密算法:
DES、3DES、AES、CAST等。
◆认证算法:
MD5、SHA1
◆认证方式:
支持本地和第三方Radius认证。
Ø支持SSLVPN连接
SSLVPN指采用SSL协议来实现远程接入的一种新型VPN技术。
SSL协议是传输层安全协议,SSL协议位于TCP/IP协议与各种应用层协议之间,为数据通讯提供安全支持,提供服务器认证、客户认证数据完整性和数据保密性。
对于内、外部应用来说,使用SSL可保证信息的真实性、完整性和保密性。
神威防火墙SSLVPN使用通用网络协议使它成为IPsec等协议的理想替代,尤其是在ISP过滤某些特定VPN协议的情况下。
中科神威防火墙NSFW-6000的SSLVPN支持NAT透明穿越、星型部署、Client-to-Gateway动态拨号用户等多种方式灵活部署,极大地拓展中科神威防火墙NSFW-6000的应用范围,中科神威防火墙NSFW-6000特有的网桥模式下的SSLVPN部署使其更具有极佳的灵活性。
中科神威防火墙NSFW-6000可以同时支持SSLVPN对等体、SSLVPN客户端、IPsecVPN对等体同时连接,适应多种复杂环境,互为补充,灵活部署,为用户的选择提供了极大的空间。
中科神威防火墙NSFW-6000SSLV
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 神威 防火墙 NSFW6000 技术 白皮书