联想网御 - zqyjhg - 网易博客

网御超五(SuperV)系列

联想网御超五系列防火墙是网御系列产品中的重要一员。它基于NP架构，无阻塞系统带宽为3-4Gbps，是国内第一款无操作系统、多机集群且真正实现数据包内容过滤的防火墙，其技术水平已达国际标准，具有超级性能、超级安全、超级可用、超级可控、超级可扩等五个超级特性，联想网御拥有完全自主知识产权。可广泛应用于电信、金融、电力、交通、政府等行业的千兆骨干网络环境。

超级性能

采用先进的网络处理器芯片架构，实现了新一代防火墙的体系架构，以独创的并流处理技术实现了全双工状态下3-4G的吞吐率。其优异的性能把最大利益反馈给了最终用户。

超级安全

凭借强大的处理能力和完善的抗攻击模块，能够抵御各种常见的网络攻击。同时防火墙无操作系统，大大减少了防火墙本身的安全漏洞，提升了安全性和抗攻击能力。

超级可用

具有多项电信骨干网络设备特性，确保电信级网络应用的可靠性。支持多机负载均衡与双机热备份，使整个防火墙系统达到了极高的可用性和性能。

超级可控

提供国内唯一的基于硬件的带宽管理，充分保证了QoS的实现。具备完善的日志管理和强审计功能，实现了对防火墙系统的有效管理。

超级可扩

在网络安全不断变化与发展中，可及时升级防火墙在芯片中的核心安全模块，真正做到随时随地的安全

网御超五(SuperV)系列


安全性	访问控制	提供基于网络接口的安全功能控制，包括： ■工作模式选择 ■策略路由选择 ■IP/MAC绑定检查 ■IP/MAC绑定缺省策略 ■抗攻击检查配置 ■VLAN及trunk支持 ■非IP协议策略：允许或禁止
		基于状态检测的动态包过滤，实现基于源IP地址、目的IP地址、源端口、目的端口、协议、时间、流量、用户认证、URL过滤的数据包快速过滤
		实现H.323、FTP、SQLnet等动态协议的安全过滤
		通过用户策略规则与安全策略规则配合，实现基于用户角色的安全控制
		支持双向NAT，包括NAT、端口映射、IP地址映射，支持动态地址转换（地址池）和静态地址转换，支持多对一、一对多和一对一等多种方式的地址转换，在反向NAT方式下，支持最多8台服务器的负载均衡
		支持规则的时间控制，支持一次性与周期两类控制
		支持应用层代理（如基于TCP的HTTP、SMTP、FTP、TELNET、POP3、通用代理）和传输层代理（如基于TCP和UDP的socks代理）
		支持HTTP、FTP和SMTP、POP3协议的深度内容过滤：
		■实现包过滤方式下URL过滤 ■实现HTTP应用透明代理方式下，网页中 ■java,javascrip,activeX等小程序过滤实现SMTP应用透明代理、POP3应用透明代理方式下，邮件的发收信人地址、人数、文件大小过滤，提供对邮件主题、正文、收发件人、附件名、附件内容等的关键字匹配过滤
		支持IP/MAC地址绑定，提供IP/MAC自动学习机制
	防御功能	识别和防范常见的Flooding和DOS/DDOS网络攻击，包括Land Attack、Tear Drop Attack、IP Source Route、Ping Of Death、Winnuke Attack、ICMP Flood、UDP Flood、IP Spoofing、Syn Flood
		对ICMP、UDP、TCP的Flood攻击提交频度检查与阀值分析
		针对最常见的SynFlood攻击，设置了SYN proxy以保护内部网络和防火墙本身免受此类的拒绝服务攻击
		支持多种IDS产品联动
		支持多种自动响应阻断功能
		具备实时报警功能，具备多种报警形式（邮件、trap信息、日志记录）
	用户认证	支持包过滤、NAT、代理等访问控制功能下的用户认证
		支持基于硬件（电子钥匙）的用户认证
		支持用户和组管理
		支持标准的radius服务器，支持PAP认证协议
		支持本地认证库： ■提供基于角色的用户策略，并与安全规则策略配合完成强访问控制 ■支持对用户帐号的流量控制和时间控制 ■客户端可以修改密码 ■服务器端检查用户在线状态 ■支持PAP 和S/Key认证协议 ■支持导出/导入用户认证配置和本地服务器的账号数据库
	网络适应性	适应多种网络拓扑结构，支持透明模式、路由模式、混合模式
		在透明模式和路由模式下，支持VLAN trunk协议处理和VLAN间的路由转发
		在透明模式和路由模式下，支持动态包过滤、双向NAT、透明代理、动态协议过滤
		支持源地址路由和目的地址路由
		全面支持VLAN： ■支持802.1q协议、识别并处理VLAN数据包 ■支持trunk协议、VTP协议、STP生成树协议、BPDU协议 ■在路由模式、透明模式和混合模式下，均可无缝接入已划分VLAN的网络环境，并完成VLAN之间的访问控制、VLAN间路由、VLAN 中的包过滤和双向NAT功能 ■支持VLAN环境下的H.323、FTP、SQLnet等动态协议包过滤、双向NAT等功能
		支持多种非IP协议如DHCP、ADSL、IPX、RIP、ISL、802.1Q、Spanning tree、DECnet、NETBEUI、IPSEC、PPTP、AppleTalk、H.323、BOOTP、VOD、RIP、OSPF、BGP4、IPX等协议透传
可用性（HA）		支持主－被（主从热备）模式、主－主（负载均衡）模式
		支持系统故障切换
		支持设备状态探测
		支持链路状态探测
		防火墙会话保护
		新HA成员主动同步配置
		提供日志和报警
		可支持4节点的防火墙负载均衡
		提供web & console两种配置管理方式
		冗余电源
管理性	流量管理	基于硬件技术的QOS带宽管理
		根据IP、协议、网络接口、时间定义带宽分配置策略
		最小保证带宽
		最大限制带宽
		优先级控制
	系统管理	提供WEB图形配置管理界面／命令行配置管理方式
		提供基于SSH和SSL的安全管理
		支持SNMP协议，可以与网御集中安全管理系统无缝联动，集中安全管理系统能够对防火墙进行实时监控、日志审计、设备发现
		管理员身份认证：支持电子钥匙双因子认证、CA证书等方式
		提供多个管理员权限：超级管理员、配置管理员、审计管理员、策略管理员
		防火墙实时监控
		日志管理和日志审计
		配置信息可以导入与导出，支持恢复初始化配置信息
		支持远程维护和系统升级

网御超五(SuperV)系列

产品型号

SuperV-7410

SuperV-7318

SuperV-5410

SuperV-5318

接口说明

千兆接口

4个

3个

4个

3个

百兆接口

0个

8个

0个

8个

配置管理专用10/100M快速以太网络接口

1个

HA专用10/100M快速以太网络接口

1个

异步串行管理接口

1个

远程配置管理接口

1个

硬件特性

机箱

标准2U机箱

双冗余电源

支持

模块化结构设计

支持

环境特性

电源：100V~250V交流、双冗余电源

运行温度：0℃~45℃

相对湿度：0~95%

电磁兼容性认证：FCC A级

网御超五(SuperV)系列

超级性能

网御超五系列防火墙通过网络处理器芯片的多微处理器、多层协议解析和强大的芯片级编程功能，保证在宽带环境下对数据包的线速安全过滤，并能够随时方便地进行系统升级和维护。

快速内存访问机制

采用On-Chip-SRAM 片内快速内存存储，保证处理器芯片对数据的高速访问存取。当数据报文抵达防火墙后，数据保存在NP芯片的高速内存中，防火墙功能处理不做任何拷贝，有效避免了性能降低。

三级并行处理机制

采用多元IP流分类技术、并行流处理技术、安全模块组件技术、基于硬件的快速搜索算法，实现了多引擎并发线速过滤。

处理器级的并行：网络处理器内嵌16个并行高速核心处理器、85个硬件协处理器和硬件分类处理器，使防火墙具有空前的高性能和广泛应用的处理能力。

线程级并行：采用并行线程处理技术，设计32个专用的防火墙处理线程，保证每一时刻防火墙能够一次并行处理32个frame。

指令级并行：将防火墙功能分解为多个安全功能组件，并利用专用功能协处理器完成对数据帧的流水处理。

基于硬件的快速搜索算法

网御超五系列防火墙在硬件上采用专用硬件查表协处理器来提高查找速度；在软件上根据特点采用不同的分类算法优化、树型结构存储等技术来提高查表速度。

状态表倍速检测技术：针对已建立连接，对数据包（请求和回应的数据包）的状态检查一次完成，保证每秒响应并发连接2万个时小包线速。对流经防火墙的数据包进行基于IP地址、网络接口、服务、用户、时间等状态的动态过滤，完整实现基于RFC 2544的状态检测规范。

非线性快速规则匹配算法：网御超五系列防火墙实现了基于专用处理器的非线性快速规则匹配算法，可以用更快的速度实现数据流分类和安全规则策略的匹配，保证防火墙每一次发起的安全规则查找在极短的时间内完成，与快速状态表配合保证防火墙线速处理的延时最小。

NAT动态端口复用算法：通过动态离散地选择可用端口，实现端口复用，保证了各种网络数据包和数据连接在不规则状态下的端口释放后立即可用，可适用于复杂的大型网络。

超级安全

网御超五系列防火墙采用了先进的系统架构和完善的抗攻击模块，重新改写了TCP/IP内核，增加了人工智能的机制，能够自动适应网络状况，自动将"恶意的"攻击数据流从"善意的"合法客户的数据流中过滤掉。可以实现对ICMP、UDP、TCP的Flood攻击提交频度检查与阀值分析。

网御超五系列防火墙通过对数据流进行监控和分析并识别DoS/DDoS传输流构成，发现并过滤即将到来的DoS/DDoS攻击的一部分数据包。它可以在第一时间发现DoS/DDoS攻击并自动做出回应，使用户有机会免遭它的打击。

超级可用

LFRP（ Lenovo Firewall Redundant Protocol V1.0）：采用了业界领先的自主知识产权的冗余协议族（LFRP）

心跳协议：防火墙集群中各节点通过心跳协议来实时检测各台防火墙的工作状态和动态控管防火墙集群。

会话保护协议：向用户提供了业界领先的链路层实时会话同步技术。

链路/设备失效探测协议：支持链路失效探测和设备失效探测，有效防止网络数据包的丢失。

支持对称对话的主动负载均衡技术

网络处理器（NP）中嵌入了动态负载均衡模块，该模块根据当前集群节点个数和各节点优先级，对网络数据包进行动态负载均衡，不需要昂贵的负载均衡器就可以拥有优秀的性能价格比和扩展性。

超级可控

硬件实现QoS的方法也很多，其中通过网络处理器（NP）则是最为理想的一种。网络处理器器件内部通常由若干个微码处理器和若干硬件协处理器组成，多个微码处理器在网络处理器内部并行处理，通过预先编制的微码来控制处理流程。而对于一些复杂的标准操作(如内存操作、路由表查找算法、QoS的拥塞控制算法、流量调度算法等)则采用硬件协处理器来进一步提高处理性能，从而实现了业务灵活性和高性能的有机结合。NP可实现复杂的拥塞管理、队列调度、流分类和QoS功能，并具有极高的查找、转发性能，真正实现"硬件流控"。

网御超五系列防火墙内置高达4Gb带宽的网络处理器（NP）芯片，在NP上设计多个独立的硬件流控通道，对不同的带宽策略数据报文采用独立的硬件流控通道Qos队列，完成并行流量分配处理，保证防火墙能够根据系统网络中流量的变化自适应调整各受控流量带宽，同时保证对数据报文的高速转发和较低的延时。通过基于NP硬件的高效带宽分配算法，不仅能够根据用户定义的带宽策略（最大峰值带宽，最小保证带宽和优先级），结合当前网络处理器的流量信息，动态实现带宽分配的实时控制，而且可以内建预测模型，对下一时刻的分配带宽进行预测优化，实现了对带宽的连续精确实时控制。管理员可自定义多种不同的带宽控制策略，并通过安全规则对基于源IP 地址、目的IP地址、协议、服务、方向、时间段的不同业务流进行精细粒度的带宽策略管理，通过对每一个粒度元素设定可以满足对最精细流量控制的要求。

网御超五(SuperV)系列

典型应用一：校园网高流量环境

近年来，随着学生宿舍、教职工家属等接入校园网后，网络规模急剧增大。同时，校园网络的应用水平也在不断提高。规模的壮大和应用水平的提高决定了校园网是一个高流量的应用环境。

另外，校园网已经在我国的教育系统广泛使用，在广大教育工作者和学生们享受它带来的方便的同时，校园网的信息安全问题也日益突出。在DDOS攻击在互联网上活动猖獗的时候，大部分攻击都是利用校园网的主机进行的。黑客利用这些主机在管理上的松懈来达到发动攻击的目的，同时也隐藏了自己。因此，校园网要求高带宽的同时，也要求高安全以及强大的抗DDOS攻击能力。

网御超五系列防火墙的超强性能、超强安全性和超强抗DDOS攻击能力能够满足校园网的安全需求。

典型应用二：电信网高可靠环境

电信网络的实时性比较强，不允许出现因为设备的故障造成网络中断，因此在电信网络中加入防火墙的时候也必须考虑到这个问题。

在下面这个方案中，网络出口的两台网御超五系列防火墙同时处于工作状态，同时可采取集群工作模式，因此能够自动检测防火墙故障，并且具备会话保护技术，保证某一台防火墙一旦发生问题后，其上的网络流量负载可以迅速切换到其它防火墙上，而用户丝毫不会察觉到瞬间的服务暂停和延迟。从而保证提供系统7×24正常运行的高可用性。

典型应用三：XXXXX企业多子网环境

据赛迪(CCID)统计报告，网络攻击有70%以上来自于企业内部，因此，保护公司网络的安全不仅要保护来自互联网的侵害而且要防止内部的攻击。

网御超五系列防火墙的标配为3个千兆光纤接口和8个百兆10/100M自适应接口，除了可以用作多DMZ区设置外，还可以将内网进行多重隔离保护。通过防火墙将公司内部不同部门的网络或关键服务器划分为不同的网段，彼此隔离。这样不仅保护了企业内部网和关键服务器，使其不受来自Internet的攻击，也保护了各部门网络和关键服务器不受来自企业内部其它部门的网络攻击。内网分隔的另一个目的是：防止问题的扩大。即使一个部门受到攻击，网段的分隔能够限制破坏进一步扩大。