东软NetEye高性能防火墙(FW-Rocket)

资料下载

随着网络业务系统应用越来越广泛,系统也越来越庞大,面对服务对象越来越多,这给安全设备提出了更高的挑战。高性能不仅仅是高吞吐量,还体现在数百万级并发连接数和数十万级以上的每秒新建连接数上。万兆核心网络是企业未来网络基础设施建设的必然趋势,这一趋势也必然催生出万兆安全设备特别是高性能万兆防火墙的诞生。

东软NetEye高性能防火墙以其独特的“FPGA+多核”架构迎接万兆核心时代的来临,产品不仅具有万兆级的吞吐量,而且在并发连接数和每秒新建连接数上有着无可比拟的性能优势。作为高性能安全网关,产品集防火墙、VPN、DoS/DDoS攻击防御、入侵防御、防病毒、反垃圾邮件、URL过滤、应用协议识别与控制等多项尖端安全技术于一身,为用户提供一体化、因需而御的解决方案。

  • 引领未来的高速芯片处理技术

    作为国内领先的安全厂商,东软不懈努力,通过持续的技术创新为用户不断提供更高性价比的网络安全产品。东软在基于FPGA(Field-Programmable Gate Array,现场可编程门阵列)的防火墙技术领域进行了多年的前瞻性技术研究和储备,并承担此课题的国家级科研和产业化项目,突破了一系列关键技术难题,取得了多项具有自主知识产权的核心技术。随着市场的发展和技术的进步,具有更好可编程性和更高性能的FPGA芯片技术已经成为是有网络安全产品的首选,为用户提供了更加稳定、成熟、高性能的防火墙产品。

    先进的“FPGA+多核”硬件架构

    东软网络安全业务线充分依托东软集团在软硬件开发上的优势,在FPGA芯片的开发和研究上一直处于业界领先地位。东软创造性地将多核CPU技术与FPGA结合起来,既满足了性能的需求,又使功能的灵活性大大优于单纯的FPGA技术,达到性能与功能的和谐统一,将FPGA的优势发挥到了极致。

    东软NetEye高性能防火墙产品由高速交换矩阵、高速处理芯片和多核处理器三能层系统架构组成。对数据的处理采用双主处理模式,即多核处理器和FPGA均作为主处理器。为充分发挥FPGA的优势,利用FPGA技术实现完整的TCP/IP协议处理,包括ARP模块、IP处理模块、TCP处理模块、包分类模块、内存管理模块、事件管理模块等模块和策略匹配等均由FPGA芯片快速处理,使其充分发挥芯片硬件加速优势。对于事件调度、报表生成、高级复杂应用协议等则交由多核处理器完成。从而实现控制层、转发层、数据层的分工协作和并行处理。

    具有自主知识产权的多核多平台并行安全操作系统

    东软NetEye高性能防火墙采用多核多平台并行安全操作系统,具备高性能分布式计算能力。将网络数据的处理逻辑分布到各个节点,FPGA芯片和通用处理芯片实现并行处理。基于多核多平台并行体系结构将网络处理计算进行有效分割,以并发流水线方式进行高速处理。产品充分发挥了通用处理芯片的灵活性的优势和FPGA芯片硬件加速的优势,使得产品性能得到了几何级的提升,同时具备灵活、高弹性的功能扩展能力。

    TCP/IP协议层的功能如路由功能、NAT功能、QoS、VPN功能、DDOS 攻击防御、包过滤等功能由FPGA芯片完成。多核处理器则会有充足的资源来实现防病毒、反垃圾邮件、URL过滤、入侵防御和深度检测等高级安全防护功能,可为用户网络提供全方位,多层次的快速安全保障。

  • 东软NetEye 高性能防火墙产品凭借创造性的多核多平台并行处理技术,大大提高了防火墙的性能。产品高性能不仅体现在系统的吞吐量上,而且还体现在最大并发连接数和每秒新建连接数上,最大超过400万的并发连接数,完全能够满足金融、高校、政府和大型企业的需要;每秒超过25万的HTTP新建连接数,完全能够承载大量突发性业务。

    东软NetEye 高性能防火墙产品具备丰富的基础功能,包括:

    基于状态检测技术的访问控制

    产品采用基于状态检测处理机制,可以根据数据包的源地址、目标地址、协议类型、源端口、目标端口、网络接口和VLAN标记等对通过防火墙的数据包进行严密的访问控制,实现了高性能、可扩展、透明的对应用层协议的支持和保护。

    网络地址转换(NAT)

    产品支持多种NAT转换:包括静态转换、动态转换、端口映射、地址映射 (Mapped IP)。

    完善的路由能力

    产品支持静态路由、策略路由、动态路由(支持RIP 、OSPF和BGP)。普通防火墙的路由策略只能根据单个IP包中的源地址进行判断,防火墙产品内置多个路由表,便于用户根据实际网络需要进行合理的路由选择,用户可以根据源IP地址、服务、入口接口和ToS值来细化路由选择,部署使用更加灵活。完善的路由功能在保证网络资源得到有效利用的同时,极大地降低了网络日常运行费用。

    多播协议支持

    产品实现了对多播相关协议的支持,包括互联网组管理协议IGMP,DVMRP等。由于Rocket设备具有极低的时延,可以保证多播应用的顺畅和实时性。同时产品还可以对多播数据的传送范围加以限制,提升多播应用安全的同时降低不必要的网络资源占用。

    三层交换模式

    采用三层交换技术消除了原来工作模式的复杂性,为部署和配置带来了极大的灵活性。该技术将二层交换和三层路由的优势结合成为一个有机的整体,利用第三层协议中的信息来加强第二层交换功能,并实现了三层数据包的高速转发。该技术的采用使得VLAN、Trunk、Channel等技术能够很方便地在设备上实施,减轻管理员配置维护的工作负担。

    高可用性

    东软NetEye 高性能防火墙产品提供从网络、应用至设备自身等多层面的冗余特性来保障用户业务的可靠性,保证关键业务的不间断运行。支持双冗余电源的热插拔设备及高可用保障。提供基于路由和NAT的负载均衡,保证网络和应用的可靠性。此外,产品支持虚拟路由冗余协议 (VRRP), 通过将两台设备配置为双机热备模式,从而实现状态切换。产品还可通过以太网通道支持链路聚合,可以为用户有效扩展链路带宽的同时提供链路级高可用保障。

    超强的抗攻击能力

    东软NetEye 高性能防火墙带有专业的抗DDoS攻击模块,具有超强的抗攻击能力。该模块集成于万兆防火墙产品,使用户能够以最高的性价比享受专业的DDoS攻击防护。针对DDoS攻击,该模块不同于传统安全设备采用超过阈值随机丢包的不负责任的防护算法。它在FPGA硬件上采用协议分析技术,对带有明显攻击特征的违反RFC标准的畸形数据包、攻击数据包直接进行丢弃,采用了自主研发的新一代智能统计、专有反向探测等防拒绝服务攻击算法,可以对流量型DDoS攻击如SYN FLOOD、TCP CONNECTION FLOOD、UDP FLOOD、ICMP FLOOD、FRAG FLOOD等各种常见的危害很大而又易于发起的攻击方法进行快速有效的识别,从而可以准确而实时地在大流量背景下识别并有效处理恶意的DDoS流量。

    完善的流量分析解决方案

    Flow协议是具有三层交换技术的网络设备才能够支持的协议,而Flow记录能够提供传统SNMP MIB无法比拟的丰富信息,因此Flow数据被广泛用于高端网络流量测量技术的支撑,提供网络监控、流量图式分析、应用业务定位、网络规划、快速排错、安全分析、域间记帐等数据挖掘功能。

    东软NetEye 高性能防火墙产品为了与先进的流量分析设备具备良好的兼容性,提供了SFlow记录输出功能。Rocket防火墙可以在网络中作为一个SFlow Agent进行部署,通过抽样技术获取网络流量状态并将整理好的抽样信息发送给SFlow Collector。当发现异常流量时,SFlow Collector可以与Rocket防火墙进行联动,发出阻断异常流量的命令,最大化提升网络安全性。

    完备的NEL核心技术

    NEL(NetEye Event Language)是东软NetEye 高性能防火墙产品的核心检测技术,该技术将引擎、协议分析和攻击检测分为三部分,然后再通过NEL将它们的工作结合起来。另外,NEL增加了检测技术的适应性,可以共享各类事件库,从而能够更多的检测出各类攻击。另外,由于NEL检测粒度非常精细,所以能够更加准确的判断网络工具行为。

    专业的Web应用防护

    东软NetEye 高性能防火墙产品针对Web应用有着专业的安全防护功能,基于NEL的检测规则库,能够对针对Web站点的蠕虫病毒、恶意扫描、SQL注入、跨站攻击等攻击进行有效防护。而且还结合URL过滤库,对钓鱼网站、网站挂马等进行高效过滤和防护。

    同时产品提供了自定义应用规则图形界面,能够方便高级用户针对各种攻击进行配置,为管理员在应对未知攻击时提供了方便强大的工具。

    专业的DNS防护模块

    东软安全有着长期为客户服务的经验,在DNS系统的防护方面积累了大量的经验,并具有完整的针对DNS系统解决方案,该解决方案不仅能够对DNS系统自身安全进行有效地防护,还能够对来自于外部的攻击进行防护。为保证客户DNS服务器的正常运行,东软将该解决方案智能地整合为DNS防护模块,提供动态、主动、深度地防御。该模块也被嵌入在东软NetEye 高性能防火墙产品中。基于NEL平台技术的NetEye DNS防御模块针对网络层、应用层的DNS攻击采用细粒度的协议限制和协议异常检测功能,能够主动防御已知和未知攻击,实时阻断针对DNS服务器的各种攻击。

    细粒度的协议限制和异常检测

    东软NetEye 高性能防火墙产品针对应用层协议提供了细粒度的协议限制功能和协议异常检测功能。由于应用层协议本身比较复杂,考虑到一些用户无法全面了解协议的每一个细节,特意设计了高、中、低三种默认防护级别。此外,为了满足高级用户的配置需要,防火墙也预留了协议细节的配置接口,高级用户可以根据具体网络情况自定义协议细节以满足用户个体的安全需求。

    考虑到攻击者常常通过发送针对特定应用协议的异常数据包来对被攻击者的信息进行收集,或发送大量异常协议数据包作为攻击手段对目标实施攻击。防火墙产品支持对应用级别协议进行异常检测,通过拒绝异常数据包来阻止这些非法的数据包,最大化保障网络安全。