网御超五防火墙产品白皮书.docx

联想网御超五系列防火墙
网蘑:
联想网御科技（北京）有限公司
fenoi/o 联管
产品白皮书
1序言 3
2、 防火墙技术的发展 5
6
7
3、 联想防火墙产品解决方案 8
4、网御超五系列防火墙产品介绍 9
9
9
9
11
12
13
15
18
18
19
5、典型应用 20
网缶
1、序言
互联网的发展已经深入到社会生活的各个方面。对个人而言，互联网改变了 人们 的生活方式；对企业而言，互联网改变了企业传统的营销方式及其内部管理 机制。虽 然一切便利都源于互联网，但是一切安全隐患也来自互联网。 互联网设 计之初，只
考虑到相互的兼容和互通，并没有考虑到随之而来的一系列安全问题， 伴随互联网的
迅速发展，网络安全问题越来越严峻。
那么，影响网络安全的主要因素有哪些呢？从技术的角度归纳起来， 主要有
以下几点：
黑客的攻击
黑客技术不再是一种高深莫测的技术，并逐渐被越来越多的人掌握。目前， 世界 上有20多万个免费的黑客网站，这些站点从系统漏洞入手，介绍网络攻击 的方法和
各种攻击软件的使用，这样，系统和站点遭受攻击的可能性就变大了。 加上现在还缺
乏针对网络犯罪卓有成效的反击和跟踪手段， 这些都使得黑客攻击
具有隐蔽性好、“杀伤力”强的特点，构成了网络安全的主要威胁。
网络的缺陷
因特网在设计之初对共享性和开放性的强调，使得其在安全性方面存在先天 的不 足。其赖以生存的TCP/IP协议族在设计理念上更多的是考虑该网络不会因 局部故障 而影响信息的传输，基本没有考虑安全问题，故缺乏应有的安全机制。 因此它在控制
不可信连接、分辨非法访问、辨别身份伪装等方面存在着很大的缺 陷，从而构成了对 网络安全的重要隐患。
软件及系统的漏洞或“后门”
随着软件及网络系统规模的不断增大，系统中的安全漏洞或“后门”也不可 避免 的存在，比如我们常用的操作系统，无论是 Windows还是UNIX几乎都存在 或多或少 的安全漏洞，众多的服务器、浏览器、桌面软件等等都被发现存在很多 安全隐患。任 何一个软件系统都可能会因为程序员的一个疏忽或设计中的一个缺 陷等原因留下漏洞。 这也成为网络的不安全因素之一。
正因为如此，针对以上的各种不安全因素，防火墙 就 作为信息安全的门户
应运而生了。
2、防火墙技术的发展
防火墙产品经历了多年的发展，目前主要有两种开发模型：其一是在基于
In tel Pe ntium? 系列CPlff台下进行开发；其二是基于 ASIC的硬件平台的开发。 第一 种开发模型具有快速升级能力，可以保证产品能够及时跟上用户需求；第二 种开发模型
带来了性能的极大提升，可以保证产品不会成为网络瓶颈。虽然两种开发模型都具有各 自的优势，但它的劣势也同样十分突出，尤其是在互联网高速 发展的今天，其各自的劣
势已经成为两类产品的发展障碍。
一方面，由于局域网技术以及广域网技术的发展，目前骨干网络的带宽已
经发展到了 10G(OC-192以上，也许只需要2到3年的时间就会发展到40G (OC-768的 水平。回顾过去近10年互联网的发展，我们不得不承认摩尔定律
在互联网世界已经被打破一一处理器的速度每 18个月翻一番，但互联网骨干连
接的带宽每12个月就要翻一番。也就是说，基于通用处理器平台的网络产品开 发者将会
遇到性能上的障碍，在 OC-192的情况下，转发一个报文要求时间小于 35ns,而在OC-768 情况下要求时间小于8ns，即使我们使用Intel最新的P4 上要求。通过计算我们可以发现，当单向网络带宽要求 超过OC-12 (665兆)时，CPU^
已经显得力不从心了。这时，当巨量(常常是 高达800M以上)的DD湃攻击包涌来时，这 种体系结构的防火墙就无能为力了。
而另一方面，基于ASIC技术的开发者遇到了完全相反的困难。我们知道 ASIC技术
主要就是为了解决转