天清汉马USG防火墙技术白皮书.doc

天清汉马USG防火墙技术白皮书二零一一年十一月版权声明北京启明星辰信息安全技术有限公司版权所有,并保留对本文档及本声明的最终解释权和修改权。本文档中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明外,其著作权或其他相关权利均属于北京启明星辰信息安全技术有限公司。未经北京启明星辰信息安全技术有限公司书面同意,任何人不得以任何方式或形式对本手册内的任何部分进行复制、摘录、备份、修改、传播、翻译成其它语言、将其全部或部分用于商业用途。“天清汉马”为启明星辰信息技术有限公司的注册商标,不得侵犯。免责条款本文档依据现有信息制作,其内容如有更改,恕不另行通知。北京启明星辰信息安全技术有限公司在编写该文档的时候已尽最大努力保证其内容准确可靠,但北京启明星辰信息安全技术有限公司不对本文档中的遗漏、不准确、或错误导致的损失和损害承担责任。信息反馈如有任何宝贵意见,请反馈:信箱:北京市海淀区东北旺西路8号中关村软件园21号楼启明星辰大厦邮编:电话:010-传真:010-您可以访问启明星辰网站:得最新技术和产品信息。目录1 概述 32 产品综述 产品综述 特点说明 43 体系架构说明 产品构成 硬件结构 软件结构 管理结构 94 关键技术 多核智能驾驭技术 事件关联分析技术与归并处理机制 高速深层检测技术 智能内容过滤技术 Flow技术 非法连接过滤技术 185 典型组网 政府行业 电子政务网 政府专网 教育行业 高教校园网 中/基教教育城域网 企业市场 中小企业 大型企业 25概述诞生20多年来,网络已经在全球经济中扎根发芽,蓬勃成长为参天大树,对各个行业的发展起着举足轻重的作用。随着时间的推移,网络的安全问题也日益严重,在开放的网络环境中,网络边界安全成为网络安全的重要组成部分。在网络安全的术语里,有一个名词叫做“安全域”,其主要作用就是将网络按照业务、保护等级、行为等方面划分出不同的边界,定义出各自的安全领域。举个简单的例子,在PC上安装了相关的杀毒软件,PC本身就是一个最简单的安全域。对于单位用户,安全域往往由若干网络设备和用户主机构成,其边界安全主要在于与互联网的边界、与其他业务网络的边界等。防火墙是解决网络边界安全的重要设备,它主要工作在网络层之下,通过对协议、地址和服务端口的识别和控制达到防范入侵的目的,可以有效的防范基于业务端口的攻击。天清汉马USG防火墙是北京启明星辰信息安全技术有限公司凭借在信息安全领域多年的经验积累,总结分析用户的切身需求,推出新一代的防火墙产品。天清汉马USG防火墙采用高性能的硬件架构和一体化的软件设计,除了实现了状态检测防火墙功能,还同时支持VPN、外联控制、抗拒绝服务攻击(Anti-DoS)、Flow、虚拟防火墙等多种安全技术,同时全面支持QoS、高可用性(HA)、日志审计等功能,为网络边界提供了全面实时的安全防护。天清汉马USG防火墙可通过软件升级的方式,获得对完整的UTM特性的支持,包括防病毒(AV)、入侵防御(IPS)、防垃圾邮件(Anti-Spam)和内网安全功能。天清汉马USG防火墙产品线丰富,可以为政府、教育、金融、企业、能源、运营商等用户提供所需要的全系列的安全防护产品。产品综述产品综述天清汉马USG防火墙采用了业界最先进的基于MIPS64的多核硬件架构和一体化的软件设计,集防火墙、VPN、上网行为管理、抗拒绝服务攻击(Anti-DoS)、Flow、虚拟防火墙等多种安全技术于一身,高性能、绿色低碳,同时全面支持各种路由协议、QoS、高可用性(HA)、日志审计等功能,为网络边界提供了全面实时的安全防护,帮助用户抵御日益复杂的安全威胁。天清汉马USG防火墙采用了一体化的设计方案,在一个产品中协调统一地实现了接入安全需要考虑的方方面面。采用天清汉马USG防火墙,可以从整体上解决了接入安全的问题。用户可不必考虑产品部署、兼容性等困惑,也不再因为多个产品难于维护管理而苦恼,天清汉马USG防火墙是低成本、高效率、易管理的理想解决方案。天清汉马USG防火墙产品线丰富,可以为政府、教育、金融、企业、能源、运营商等用户提供所需要的全系列的安全防护产品。自从天清汉马USG防火墙推向市场以来,很快就凭借其强大的功能和在实际应用中优异表现,赢得了众多机构和用户的广泛赞誉。特点说明天清汉马USG防火墙具有如下特点:完善的防火墙特性支持基于源IP、目的IP、源端口、目的端口、时间、服务、用户、文件、网址、关键字、邮件地址、脚本、MAC