20131028-天清漢馬USG-FW-P系列防火墻技術(shù)白皮書-V6.0

啟明星辰天清漢馬USG-FW-P系列防火墻技術(shù)白皮書北京啟明星辰信息技術(shù)有限公司 通信地址：北京市海淀區(qū)中關(guān)村南大街6號(hào)中電信息大廈8層（郵編：100086）電話：010－82166999傳真：010－82166998網(wǎng)址：服務(wù)熱線：400-810-7766（24小時(shí)）天清漢馬USG-FW-P系列防火墻技術(shù)白皮書二零一三年十月北京啟明星辰信息技術(shù)有限公司 通信地址：北京市海淀區(qū)中關(guān)村南大街6號(hào)中電信息大廈8層（郵編：100086）電話：010－82166999傳真：010－82166998網(wǎng)址：服務(wù)熱線：400-810-7766（24小時(shí)）目錄TOC\o"1-4"\h\z\u1 概述 12 天清漢馬USG防火墻產(chǎn)品特點(diǎn)與技術(shù)優(yōu)勢(shì) 72.1 智能的VSP通用安全平臺(tái) 72.2 高效的USE統(tǒng)一安全引擎 82.3 高可靠的MRP多重冗余協(xié)議 92.4 完備的關(guān)聯(lián)安全標(biāo)準(zhǔn) 172.5 基于應(yīng)用的內(nèi)容識(shí)別控制 152.5.1 智能匹配技術(shù) 152.5.2 多線程掃描技術(shù) 152.5.3 應(yīng)用感控技術(shù) 162.6 精確細(xì)致的WEB過濾技術(shù) 162.7 可信架構(gòu)主動(dòng)云防御技術(shù) 錯(cuò)誤!未定義書簽。2.8 IPv6包狀態(tài)過濾技術(shù) 183 天清漢馬USG防火墻產(chǎn)品主要功能 224 典型組網(wǎng) 294.1 政府行業(yè) 294.1.1 電子政務(wù)網(wǎng) 294.1.2 政府專網(wǎng) 304.2 教育行業(yè) 314.2.1 高教校園網(wǎng) 314.2.2 中/基教教育城域網(wǎng) 324.3 企業(yè)市場(chǎng) 334.3.1 中小企業(yè) 334.3.2 大型企業(yè) 34北京啟明星辰信息安全技術(shù)有限公司網(wǎng)址：

地址：北京市海淀區(qū)東北旺西路8號(hào)中關(guān)村軟件園21號(hào)樓啟明星辰大廈一層(100093)完善的防火墻特性支持基于源IP、目的IP、源端口、目的端口、時(shí)間、服務(wù)、用戶、文件、網(wǎng)址、關(guān)鍵字、郵件地址、腳本、MAC地址等方式進(jìn)行訪問控制支持流量管理、連接數(shù)控制、IP+MAC綁定、用戶認(rèn)證等支持虛擬防火墻：可以將接口劃分給不同的虛擬防火墻，每個(gè)虛擬防火墻具有獨(dú)立的管理員、安全域、資源對(duì)象、安全策略、NAT規(guī)則、靜態(tài)路由等配置同終端無縫結(jié)合：支持同天珣內(nèi)網(wǎng)安全管理系統(tǒng)聯(lián)動(dòng)，將防火墻防御能力推進(jìn)到桌面終端高網(wǎng)絡(luò)適用性支持透明、路由和NAT模式部署支持靜態(tài)路由、策略路由、RIP/OSPF/BGP動(dòng)態(tài)路由，支持等價(jià)路由ECMP和加權(quán)路由WCMP，支持組播路由支持STP，可以同二層網(wǎng)絡(luò)設(shè)備進(jìn)行生成樹計(jì)算支持IGMPSnooping，優(yōu)化在橋模式下的組播流量支持私有HA和VRRP支持IPv6：支持IPv4、IPv6雙棧運(yùn)行、靜態(tài)IPv6路由、手工隧道、6to4隧道和ISATAP隧道。支持鏈路聚合，可通過手動(dòng)方式、IEEE802.3ad靜態(tài)LACP方式創(chuàng)建聚合鏈路；通過鏈路聚合可以增加鏈路帶寬，并起到負(fù)載均衡和鏈路備份的作用支持802.11B,802.11G協(xié)議，可以擴(kuò)展WIFI模塊以提供WIFI接入，支持設(shè)備作為WiFi熱點(diǎn)（即AP），為客戶機(jī)提供無線安全接入服務(wù)支持3G(CDMA2000)協(xié)議，可以擴(kuò)展3G模塊以提供3G上行網(wǎng)絡(luò)接入高穩(wěn)定性和可靠性產(chǎn)品具有高性能，同時(shí)多核之間互為備份，可靠性高支持私有協(xié)議HA和VRRP，實(shí)現(xiàn)雙機(jī)熱備和冗余支持雙操作系統(tǒng)和多配置文件，最大支持10個(gè)配置文件備份全面的VPN支持多VPN支持：IPSec、L2TP、SSLVPN、GRE豐富的應(yīng)用：專用VPN客戶端、USBKEY、動(dòng)態(tài)口令卡、圖形認(rèn)證碼靈活的部署：Hub-Spoken、Full-Mesh、DVPN、網(wǎng)關(guān)－網(wǎng)關(guān)的SSLVPN支持對(duì)IPAD、IPHONE等移動(dòng)終端的VPN接入完善的上網(wǎng)行為管理功能采用獨(dú)立的上網(wǎng)行為管理庫，通過互聯(lián)網(wǎng)實(shí)現(xiàn)每周更新。P2P控制：對(duì)Emule、BitTorrent、Maze、Kazaa等進(jìn)行阻斷、限速IM控制：基于黑白名單的IM登錄控制、文件傳輸阻止、查毒；支持主流IM軟件如QQ、MSN、雅虎通、Gtalk、Skype流媒體控制：對(duì)流媒體應(yīng)用進(jìn)行阻斷或限速，支持Kamunppfilm、PPLive、PPStream、QQ直播、TVAnts、沸點(diǎn)網(wǎng)絡(luò)電視、貓撲播霸等網(wǎng)絡(luò)游戲控制：對(duì)常見網(wǎng)絡(luò)游戲如魔獸世界、征途、QQ游戲大廳、聯(lián)眾游戲大廳等的阻斷股票軟件控制：對(duì)常用股票軟件如同花順、大參考、大智慧等的阻斷強(qiáng)大的日志報(bào)表功能記錄內(nèi)容豐富：可對(duì)防火墻日志、攻擊日志、病毒日志、帶寬使用日志、Web訪問日志、Mail發(fā)送日志、關(guān)鍵資產(chǎn)訪問日志、用戶登錄日志等進(jìn)行記錄日志快速查詢：可對(duì)IP地址、端口、時(shí)間、危急程度、日志內(nèi)容關(guān)鍵字等進(jìn)行查詢報(bào)表貼近需求：根據(jù)用戶具體需求，定制報(bào)表內(nèi)容、定制報(bào)名名稱、定制企業(yè)LOGO，并可形成多種格式的報(bào)表文件。方便的集中管理功能通過集中管理與數(shù)據(jù)分析中心實(shí)現(xiàn)對(duì)多臺(tái)設(shè)備的統(tǒng)一管理、實(shí)時(shí)監(jiān)控、集中升級(jí)和拓?fù)湔故尽?/p>

體系架構(gòu)說明產(chǎn)品構(gòu)成天清漢馬USG防火墻主要由兩部分組成：USG防火墻設(shè)備和天清集中管理與數(shù)據(jù)分析中心。USG防火墻設(shè)備：即部署在網(wǎng)絡(luò)出口，融合多種安全能力，針對(duì)惡意攻擊、非法活動(dòng)和網(wǎng)絡(luò)資源濫用等威脅，實(shí)現(xiàn)精確防控的高可靠、高性能、易管理的網(wǎng)關(guān)安全設(shè)備。天清集中管理與數(shù)據(jù)分析中心：主要功能分為集中管理功能與數(shù)據(jù)分析功能，集中管理是對(duì)USG防火墻設(shè)備的集中管理、統(tǒng)一監(jiān)控和升級(jí)中心，通過它可以集中配置、監(jiān)控和管理所管轄的多臺(tái)USG防火墻設(shè)備，并按照一定的規(guī)則組織成層次結(jié)構(gòu)，方便管理員對(duì)于整網(wǎng)USG防火墻設(shè)備的監(jiān)控維護(hù)工作；數(shù)據(jù)分析中心是USG防火墻設(shè)備海量信息的后臺(tái)處理中心。主要完成USG防火墻設(shè)備日志和流量信息的存儲(chǔ)、分析、審計(jì)和處理功能。軟件結(jié)構(gòu)防火墻作為網(wǎng)關(guān)類產(chǎn)品，究竟什么樣的軟件結(jié)構(gòu)更有利于提升整體性能？那么首先需要知道什么是性能消耗的關(guān)鍵業(yè)務(wù)單元。啟明星辰通過對(duì)網(wǎng)關(guān)類產(chǎn)品單一分析處理引擎的詳細(xì)分析和試驗(yàn)驗(yàn)證，得出網(wǎng)關(guān)類產(chǎn)品性能消耗50％來自于模式匹配，25％來自于協(xié)議重組、25％來自于報(bào)文重組的結(jié)論。網(wǎng)關(guān)分析處理引擎性能消耗分析如何融合分析處理引擎，合并性能消耗關(guān)鍵業(yè)務(wù)單元成為防火墻產(chǎn)品軟件結(jié)構(gòu)設(shè)計(jì)首要考慮的問題?；谘芯繑?shù)據(jù)，啟明星辰在天清漢馬USG防火墻的軟件結(jié)構(gòu)設(shè)計(jì)上引入了一體化的設(shè)計(jì)理念。即將防火墻、VPN、內(nèi)容過濾和流量管理等各項(xiàng)功能的分析處理引擎進(jìn)行一體化設(shè)計(jì)，以達(dá)到性能最優(yōu)的目的。天清漢馬USG防火墻本著安全高效原則，采用“檢測(cè)與控制相分離，引擎特征相統(tǒng)一”的一體化設(shè)計(jì)思想：人機(jī)界面、報(bào)文接收模塊、報(bào)文處理模塊、報(bào)文發(fā)送模塊和支撐庫。網(wǎng)絡(luò)報(bào)文首先通過報(bào)文接收模塊進(jìn)行預(yù)處理后進(jìn)入報(bào)文處理模塊，在報(bào)文處理模塊，防火墻進(jìn)行2－3層過濾，VPN負(fù)責(zé)接入控制；其次模塊匹配引擎和行為分析引擎分別根據(jù)統(tǒng)一特征庫和行為知識(shí)庫進(jìn)行匹配查找；最后，對(duì)于合法報(bào)文直接交由報(bào)文發(fā)送模塊進(jìn)行報(bào)文轉(zhuǎn)發(fā)，對(duì)于非法報(bào)文，送交相應(yīng)的處理引擎進(jìn)行處理。整個(gè)過程的日志信息和數(shù)據(jù)流量信息送集中管理與數(shù)據(jù)分析中心監(jiān)控和備案，管理中心負(fù)責(zé)整體的配置和調(diào)整。關(guān)鍵技術(shù)天清漢馬USG防火墻采用了多種創(chuàng)新技術(shù)，為確保多種安全能力的融合，性能的持續(xù)恒定起到了重要作用。智能的VSP通用安全平臺(tái)天清漢馬USG防火墻采用創(chuàng)新的VSP（VersatileSecurityPlatform）這是網(wǎng)御慣用的說法，查一下原先USG的說法是什么樣的保持一致通用安全平臺(tái)，將實(shí)時(shí)操作系統(tǒng)、網(wǎng)絡(luò)處理、安全應(yīng)用等技術(shù)完美地結(jié)合在一起，使防火墻產(chǎn)品具備了高智能、高性能、高安全性、高健壯性、高擴(kuò)展性等特點(diǎn)。這是網(wǎng)御慣用的說法，查一下原先USG的說法是什么樣的保持一致圖也是網(wǎng)御的圖圖也是網(wǎng)御的圖VSP面向網(wǎng)絡(luò)吞吐和安全處理，采用基于組件的多平面架構(gòu)，整個(gè)系統(tǒng)分為控制平面、數(shù)據(jù)平面、系統(tǒng)服務(wù)平面和硬件抽象平面，通過控制平面和數(shù)據(jù)平面的分離，不同于Linux，F(xiàn)reeBSD等通用操作系統(tǒng)追求均衡的方向，集中主要資源于網(wǎng)絡(luò)吞吐和安全處理，使系統(tǒng)具有極強(qiáng)的實(shí)時(shí)性和網(wǎng)絡(luò)吞吐能力。由于系統(tǒng)功能與資源管理分別工作在不同的平面，各平面和模塊之間共同遵循標(biāo)準(zhǔn)接口函數(shù)，系統(tǒng)具有高度靈活性和可擴(kuò)展性。通過將硬件驅(qū)動(dòng)與資源管理獨(dú)立為一個(gè)單獨(dú)的硬件抽象平面模塊，對(duì)上層軟件提供統(tǒng)一調(diào)用接口，對(duì)下層硬件統(tǒng)一定義驅(qū)動(dòng)標(biāo)準(zhǔn)，適應(yīng)多種不同規(guī)格的硬件架構(gòu)，實(shí)現(xiàn)與多種專用芯片的無縫融合，可充分利用從IXP，PowerPC到NP、多核多線程CPU、內(nèi)容加速芯片等各種先進(jìn)硬件平臺(tái)的優(yōu)勢(shì)，使天清漢馬USG防火墻在性能方面一路領(lǐng)先。高效的整合內(nèi)容引擎天清漢馬USG防火墻使用高效的ICE（Integratedcontentengine）整合內(nèi)容引擎。它將狀態(tài)包過濾、VPN、IDS、內(nèi)容過濾、用戶認(rèn)證等多個(gè)子系統(tǒng)集成于單一平臺(tái)，構(gòu)造統(tǒng)一架構(gòu)，綜合并優(yōu)化各子系統(tǒng)，去除冗余，簡(jiǎn)化數(shù)據(jù)處理流程，實(shí)現(xiàn)統(tǒng)一的安全引擎處理機(jī)制。圖也是網(wǎng)御的圖也是網(wǎng)御的整合內(nèi)容引擎克服了傳統(tǒng)上各個(gè)引擎獨(dú)自為戰(zhàn)的缺點(diǎn)，通過高效的引擎集成技術(shù)，將各個(gè)安全功能有機(jī)地整合為一體，狀態(tài)檢測(cè)、協(xié)議分析機(jī)、深度過濾、內(nèi)容檢測(cè)等引擎協(xié)同工作，對(duì)于監(jiān)測(cè)的數(shù)據(jù)包，一次性拆包即可完成2-7層的檢測(cè)，同時(shí)采用基于摘要索引的內(nèi)容處理加速算法，有效地提高了引擎的處理效率。ICE通過多協(xié)議融合分析技術(shù)和事件關(guān)聯(lián)再分析技術(shù)，綜合內(nèi)容實(shí)體，時(shí)間因素，提高了安全事件的檢測(cè)率。ICE采用標(biāo)準(zhǔn)化技術(shù)，對(duì)內(nèi)提供統(tǒng)一服務(wù)接口，使安全功能易于擴(kuò)展，充分滿足安全需求的快速發(fā)展；對(duì)外實(shí)現(xiàn)安全策略的統(tǒng)一配置，給用戶帶來可管理的等級(jí)化安全。高可靠多重冗余協(xié)議網(wǎng)御慣用說法網(wǎng)御慣用說法利用電信骨干網(wǎng)可靠性運(yùn)營(yíng)維護(hù)專業(yè)經(jīng)驗(yàn)，天清漢馬USG防火墻通過創(chuàng)新的多重冗余協(xié)議，在物理層、鏈路層、網(wǎng)絡(luò)層、實(shí)體層等多個(gè)層面實(shí)現(xiàn)多元化冗余設(shè)計(jì)，有效地保障天清漢馬USG防火墻在用戶網(wǎng)絡(luò)應(yīng)用中的高可用性。圖也是網(wǎng)御的2個(gè)都用SuperV-7318的圖片代替圖也是網(wǎng)御的2個(gè)都用SuperV-7318的圖片代替基于多出口負(fù)載均衡的鏈路備份。鏈路層支持多WAN口出口，實(shí)現(xiàn)多出口間的負(fù)載均衡和備份，任何一條鏈路的故障癱瘓不會(huì)影響網(wǎng)絡(luò)的正常運(yùn)行?；?02.3ad標(biāo)準(zhǔn)的端口聚合。物理端口支持802.3ad標(biāo)準(zhǔn)，可實(shí)現(xiàn)多物理端口聚合，幫助用戶做到“零投資”帶寬倍增?；跔顟B(tài)自動(dòng)探測(cè)的雙機(jī)熱備。當(dāng)主系統(tǒng)發(fā)生故障或?qū)?yīng)線路的網(wǎng)絡(luò)故障時(shí)，備份機(jī)可自動(dòng)檢測(cè)并切換到主狀態(tài)，接管主系統(tǒng)的工作，切換時(shí)間小于1秒鐘?；跔顟B(tài)增量同步的多機(jī)集群。支持主動(dòng)負(fù)載均衡、會(huì)話保護(hù)和接管以及主動(dòng)配置同步等功能，尤其是采用國(guó)內(nèi)首創(chuàng)的“狀態(tài)增量同步技術(shù)”解決多臺(tái)防火墻之間的狀態(tài)一致性問題，實(shí)現(xiàn)了業(yè)務(wù)在多臺(tái)防火墻之間的平滑任意分布和切換，解決了采用VRRP協(xié)議和動(dòng)態(tài)路由協(xié)議帶來的“業(yè)務(wù)續(xù)斷問題”，最多可以支持高達(dá)8臺(tái)的防火墻集群。事件關(guān)聯(lián)分析技術(shù)與歸并處理機(jī)制對(duì)用戶的多個(gè)網(wǎng)絡(luò)行為進(jìn)行關(guān)聯(lián)，是提高檢測(cè)精度的有效手段。比如一個(gè)用戶首先對(duì)HTTP服務(wù)進(jìn)行了慢速CGI掃描，服務(wù)端反饋的結(jié)果證明其運(yùn)行了可能含有漏洞的某個(gè)CGI，之后該用戶又發(fā)送了包含ShellCode的請(qǐng)求，從這兩次行為分別看，每個(gè)都不能絕對(duì)的將其界定為惡意行為，如果將兩個(gè)行為聯(lián)系起來，則基本可以確定該行為的高風(fēng)險(xiǎn)等級(jí)。針對(duì)大規(guī)模的監(jiān)測(cè)系統(tǒng)應(yīng)用中可能出現(xiàn)一個(gè)網(wǎng)絡(luò)異常行為在多個(gè)監(jiān)測(cè)點(diǎn)作為事件報(bào)告而形成事件洪流的問題，數(shù)據(jù)關(guān)聯(lián)性分析模塊首次提出并采用了基于統(tǒng)計(jì)分析的二次事件分析技術(shù)，能夠?qū)Σ煌瑫r(shí)間、不同地點(diǎn)、不同事件的大量信息進(jìn)行統(tǒng)一處理，簡(jiǎn)潔、準(zhǔn)確地報(bào)告出正確的網(wǎng)絡(luò)安全事件。高速深層檢測(cè)技術(shù)高精度應(yīng)用層協(xié)議分析協(xié)議分析是深度檢測(cè)必不可少的環(huán)節(jié)，它可以減少特征匹配的計(jì)算量，提高匹配精度。但是深度的協(xié)議分析本身也需要相當(dāng)大的計(jì)算量，如何既保證特征匹配和文件還原所需的分析精確度，又不占用過多的資源，是高速環(huán)境下必須面對(duì)的課題。我們將主要通過以下兩方面來解決這一問題，基于攻擊研究和特征知識(shí)庫選擇分析深度。協(xié)議分析不需要的無限制的精細(xì)，否則入侵防御系統(tǒng)將變成一個(gè)低效的應(yīng)用代理系統(tǒng)，協(xié)議分析應(yīng)該建立在對(duì)網(wǎng)絡(luò)攻擊研究的基礎(chǔ)上，對(duì)特征知識(shí)庫中需要的協(xié)議信息進(jìn)行分析，這點(diǎn)的實(shí)現(xiàn)關(guān)鍵集中在攻擊研究上，軟件實(shí)現(xiàn)中可通過編譯時(shí)的條件控制和運(yùn)行時(shí)對(duì)特征庫進(jìn)行掃描設(shè)置相應(yīng)開關(guān)完成；高效協(xié)議自識(shí)別算法。對(duì)于非周知端口的通信，需要通過內(nèi)容識(shí)別其所屬的協(xié)議類型。這一內(nèi)容識(shí)別的過程類似于攻擊檢測(cè)的特征識(shí)別過程，可以通過多階段分析和匹配算法的選擇降低計(jì)算開銷。多模匹配算法選擇由于在一個(gè)報(bào)文的匹配中，最為耗時(shí)的匹配運(yùn)算是在報(bào)文中匹配多個(gè)串模式。過去的幾十年中學(xué)術(shù)界提出了若干的多模匹配算法，并且在工業(yè)界得到了很好的應(yīng)用，比如AC算法、WM算法在軟件檢測(cè)系統(tǒng)中證明了其優(yōu)秀的性能。在以往的多模匹配算法通常是在理論分析的基礎(chǔ)上，在IA32架構(gòu)和隨機(jī)數(shù)據(jù)源上進(jìn)行實(shí)驗(yàn)選擇，且算法一經(jīng)確定就固化在軟件中。實(shí)際這樣得出的算法不能保證在所有的處理器架構(gòu)和數(shù)據(jù)源條件下都保證是已知算法中最優(yōu)的?，F(xiàn)在在學(xué)術(shù)界存在多種多串并行匹配的算法，在商業(yè)產(chǎn)品中應(yīng)用較多有Aho-Corasick、Wu-Manber和ExB算法或它們的變種。根據(jù)研究發(fā)現(xiàn)，所有這些算法的性能分析全部是基于理想的存儲(chǔ)模型，忽略訪存的性能開銷。由于存儲(chǔ)器速度遠(yuǎn)低于處理器速度，兩者相差一個(gè)數(shù)量級(jí)以上，為避免存儲(chǔ)器效能低造成系統(tǒng)整體的效能低下，絕大多數(shù)系統(tǒng)采用多級(jí)存儲(chǔ)結(jié)構(gòu)，增加少量的高速緩存隱藏存儲(chǔ)器的性能瓶頸。但是在多串匹配算法中，數(shù)據(jù)結(jié)構(gòu)非常龐大，并且匹配過程中不斷在非連續(xù)的地址間跳轉(zhuǎn)，此時(shí)高速緩存的命中率大幅下降，不考慮訪存開銷顯然已不能反映各算法在實(shí)際應(yīng)用中的效能。實(shí)際上不存在一種普適的算法能夠在各種情況下都有最佳表現(xiàn)，同樣的算法可能在不同的數(shù)據(jù)源、特征集、處理器結(jié)構(gòu)上性能相差甚遠(yuǎn)。我們將結(jié)合具體的硬件（處理器）架構(gòu)和匹配規(guī)則的分布類型，將其抽象為與匹配算法效能相關(guān)的若干關(guān)鍵參數(shù)，計(jì)算出當(dāng)前適用的最優(yōu)算法。具體采用動(dòng)態(tài)和靜態(tài)兩種方式實(shí)現(xiàn)自適應(yīng)選擇。如下圖，自適應(yīng)示意圖靜態(tài)自適應(yīng)在系統(tǒng)初始化時(shí)進(jìn)行，統(tǒng)計(jì)各協(xié)議變量特征及相關(guān)匹配模式特征，結(jié)合備選多模式匹配算法的性能特征，為規(guī)則匹配樹節(jié)點(diǎn)選擇最優(yōu)的多模式匹配算法?？刂茀?shù)包括處理器類型、主頻、CacheLine長(zhǎng)度、L2Cache容量、存儲(chǔ)器時(shí)延、最短模式長(zhǎng)度、次短模式長(zhǎng)度、模式數(shù)量、模式字符集大小、同前綴模式數(shù)量等等。動(dòng)態(tài)自適應(yīng)在系統(tǒng)運(yùn)行過程中采樣統(tǒng)計(jì)影響算法效率的網(wǎng)絡(luò)數(shù)據(jù)，如果統(tǒng)計(jì)值顯示當(dāng)前網(wǎng)絡(luò)數(shù)據(jù)趨勢(shì)穩(wěn)定，則進(jìn)行動(dòng)態(tài)算法選擇，確定是否有大幅超過當(dāng)前算法效率的算法模塊存在，并進(jìn)行調(diào)用。最優(yōu)規(guī)則樹特征匹配的過程不僅包括串匹配，還有對(duì)諸如地址、端口、協(xié)議類型等等許多協(xié)議字段的匹配。為了方便，我們將多個(gè)協(xié)議字段構(gòu)成的模式稱為多數(shù)據(jù)類型模式，與上面提到的串模式進(jìn)行區(qū)分，串模式可以認(rèn)為是多數(shù)據(jù)類型模式的一個(gè)子集。在以往的工作中，我們受AC算法的啟發(fā)，將其擴(kuò)展到多數(shù)據(jù)類型模式匹配，即將多個(gè)模式中的相同協(xié)議字段歸并，構(gòu)建一個(gè)或多個(gè)樹型模式結(jié)構(gòu)，達(dá)到一次匹配多個(gè)模式的目的。與串匹配不同的是，多數(shù)據(jù)類型模式中，每種數(shù)據(jù)類型的單次匹配開銷是不同的，在實(shí)際運(yùn)行中的命中幾率也是不同的。同樣是樹型數(shù)據(jù)結(jié)構(gòu)，其最佳效率和最差效率相差可能在一個(gè)數(shù)量級(jí)以上，如果能將低命中率、低匹配開銷的工作盡可能提前，將會(huì)接近最佳的匹配效率。智能內(nèi)容過濾技術(shù)內(nèi)容分析子系統(tǒng)要充分發(fā)揮當(dāng)前處理器所具備的多核能力。一個(gè)大的原則就是數(shù)據(jù)交換過程中盡量避免核間和核內(nèi)的臨界鎖以及字符串拷貝，所以數(shù)據(jù)的生產(chǎn)者和消費(fèi)者應(yīng)該使用一個(gè)大的緩沖區(qū)來交換數(shù)據(jù)。傳統(tǒng)的做法就是把這個(gè)緩沖區(qū)變成一個(gè)環(huán)形隊(duì)列，捕包程序和協(xié)議棧程序分別持有一個(gè)寫指針和讀指針，只要兩個(gè)指針不互相超越就可以。在協(xié)議棧單線程的情況下這種方法沒有問題，但是在多核情況下，為了充分發(fā)揮硬件的計(jì)算能力，必須把內(nèi)容分析過濾子系統(tǒng)多線程化（并行化）。但是上述數(shù)據(jù)交換方式在內(nèi)容分析多線程的情況下就出現(xiàn)了問題。當(dāng)協(xié)議棧多線程的時(shí)候，必須使用專門的線程實(shí)現(xiàn)捕包程序捕獲的數(shù)據(jù)包的分發(fā)，也就是把數(shù)據(jù)包分發(fā)到相應(yīng)的線程進(jìn)行處理。這樣問題也就出現(xiàn)了：那個(gè)環(huán)形緩沖區(qū)的讀指針不再正確。這是因?yàn)?，為了避免拷貝操作，分發(fā)線程并沒有將捕包程序捕獲的數(shù)據(jù)進(jìn)行拷貝以后再分發(fā)，而是直接對(duì)其指針進(jìn)行操作，在這種情況下，分發(fā)程序是不知道協(xié)議棧什么時(shí)候能夠分析完成并釋放緩沖區(qū)的，因而分發(fā)程序不可以直接簡(jiǎn)單增加環(huán)形隊(duì)列的讀指針來申明當(dāng)前緩沖區(qū)以消費(fèi)完成，可以寫入新的數(shù)據(jù)。又由于協(xié)議棧分析時(shí)多線程同時(shí)進(jìn)行，沒有辦法確定每一數(shù)據(jù)包分析完成的時(shí)間，這樣很難確定環(huán)形緩沖區(qū)的讀指針了。為此，天清漢馬USG防火墻采用了如下的解決方法：依然遵循數(shù)據(jù)交換的大原則，依然采用大的緩沖區(qū)來交換數(shù)據(jù)，但是對(duì)緩沖區(qū)的形式作一個(gè)變換。最初定義的是直接在緩沖區(qū)上定義讀寫指針將緩沖區(qū)當(dāng)成環(huán)形隊(duì)列使用，現(xiàn)在不同是緩沖區(qū)不再是一個(gè)環(huán)形隊(duì)列，而被分成了獨(dú)立的兩部分：空閑緩沖區(qū)隊(duì)列和已使用緩沖區(qū)隊(duì)列。注意這里提到的兩個(gè)緩沖區(qū)不是具體的數(shù)據(jù)緩沖區(qū)，而是保存數(shù)據(jù)緩沖區(qū)數(shù)據(jù)單元指針的指針列表。捕包程序在捕獲一個(gè)數(shù)據(jù)包之前，從空閑緩沖區(qū)隊(duì)列的頭部取下一個(gè)空的存儲(chǔ)單元（為了提高訪問速度，采用內(nèi)存邊界對(duì)齊的數(shù)據(jù)單元，比如說2k字節(jié)一個(gè)單元），將從網(wǎng)卡讀入的數(shù)據(jù)拷貝到這個(gè)緩沖區(qū)以后，捕包程序?qū)⑦@個(gè)緩沖單元掛到已使用緩沖隊(duì)列的尾部。分析線程在從緩沖區(qū)取數(shù)據(jù)的時(shí)候從已使用緩沖隊(duì)列的頭部取下一個(gè)數(shù)據(jù)單元進(jìn)行消費(fèi)，消費(fèi)完成以后直接將這個(gè)數(shù)據(jù)單元掛到待發(fā)送緩沖區(qū)隊(duì)列就可以了，這樣既避免的鎖定，也避免了內(nèi)存拷貝。而且可以充分利用緩沖區(qū)的空間。上述過程構(gòu)成了本方案的多目標(biāo)分發(fā)機(jī)制。基于多目標(biāo)分發(fā)的多線程連接級(jí)并行的內(nèi)容分析子系統(tǒng)本質(zhì)上是同時(shí)運(yùn)行多個(gè)邏輯上獨(dú)立的并行內(nèi)容分析協(xié)議棧，結(jié)構(gòu)框如圖示。并行內(nèi)容分析協(xié)議棧并行協(xié)議棧通過一個(gè)數(shù)據(jù)分發(fā)器將捕包系統(tǒng)捕獲的網(wǎng)絡(luò)數(shù)據(jù)包按照IP包首的源地址和目的地址對(duì)分發(fā)到相應(yīng)的線程進(jìn)行處理，并通過一個(gè)發(fā)送單元收集器完成數(shù)據(jù)單元的發(fā)送，數(shù)據(jù)發(fā)送完畢以后將發(fā)送單元占用的數(shù)據(jù)單元返回給空閑存儲(chǔ)單元隊(duì)列供數(shù)據(jù)捕獲系統(tǒng)使用，讓捕包系統(tǒng)重復(fù)利用這些單元，實(shí)現(xiàn)捕包到分析的零拷貝過程。每一個(gè)內(nèi)容分析線程均有一個(gè)私有的協(xié)議棧狀態(tài)表和兩個(gè)數(shù)據(jù)隊(duì)列索引，其中協(xié)議棧狀態(tài)表是協(xié)議棧在進(jìn)行IP協(xié)議、TCP協(xié)議已經(jīng)上層應(yīng)用協(xié)議還原的時(shí)候用來保存上下文信息和暫存數(shù)據(jù)使用，而兩個(gè)數(shù)據(jù)隊(duì)列索引則分別用來存儲(chǔ)待分析的數(shù)據(jù)塊和已分析塊。這樣，任何一個(gè)協(xié)議棧線程在進(jìn)行數(shù)據(jù)操作的時(shí)候都不會(huì)和其他協(xié)議棧線程共享數(shù)據(jù)塊，避免協(xié)分析線程間的臨界鎖，提供整個(gè)系統(tǒng)的計(jì)算吞吐量。此處的多目標(biāo)分發(fā)機(jī)制具有如下特點(diǎn)：實(shí)現(xiàn)了內(nèi)容分析子模塊從數(shù)據(jù)分析過濾的零拷貝過程避免了核間和核內(nèi)的臨界鎖，極大的提高了內(nèi)容分析子系統(tǒng)的計(jì)算資源利用率基于應(yīng)用的識(shí)別控制天清漢馬USG防火墻系列擁有目前最完善的應(yīng)用識(shí)別特征庫，通過智能分析技術(shù)，將P2P、IM、炒股軟件和在線游戲等協(xié)議的應(yīng)用行為、加密方式、處理動(dòng)作等特點(diǎn)整理成庫。當(dāng)流量經(jīng)過防火墻時(shí)，防火墻啟動(dòng)過濾引擎，對(duì)流量進(jìn)行特征值的匹配。當(dāng)過濾引擎搜索到與之匹配的特征碼時(shí)，防火墻即可應(yīng)用智能識(shí)別技術(shù)進(jìn)行細(xì)粒度控制或一鍵封鎖。如何快速而準(zhǔn)確地識(shí)別各種上網(wǎng)行為，是決定防火墻性能的關(guān)鍵因素。天清漢馬USG防火墻從如下幾個(gè)方面保障內(nèi)容識(shí)別的高速與準(zhǔn)確。智能匹配技術(shù)在特征庫上的設(shè)置上，天清漢馬USG防火墻按照所有上網(wǎng)行為的特點(diǎn)進(jìn)行了分類，并對(duì)P2P、IM、炒股以及在線游戲等上網(wǎng)行為設(shè)置了不同的特征庫。當(dāng)數(shù)據(jù)包到達(dá)防火墻時(shí)，防火墻首先根據(jù)用戶定制策略將其分配到其對(duì)應(yīng)的特征庫管道，如P2P下載行為的流量被輸送到P2P特征庫管道，即時(shí)通訊的流量則被輸送到IM特征庫管道。流量被分發(fā)到相應(yīng)的特征庫管道以后，再由相應(yīng)的搜索引擎對(duì)流量進(jìn)行掃描。這樣既大大減少了搜索引擎檢索的時(shí)間，又提高了過濾引擎的性能。多線程掃描技術(shù)天清漢馬USG防火墻采用多線程掃描技術(shù)，提高了引擎掃描的效率。比如當(dāng)BT數(shù)據(jù)流和MSN數(shù)據(jù)流同時(shí)進(jìn)入防火墻時(shí)，防火墻內(nèi)容搜索引擎不是在檢索完BT數(shù)據(jù)流以后再去檢索MSN數(shù)據(jù)流，而是可以同時(shí)啟動(dòng)BT搜索引擎和MSN搜索引擎。兩個(gè)搜索引擎同時(shí)工作而互不影響。這種多線程處理機(jī)制同樣適用于2種以上不同類型的數(shù)據(jù)流同時(shí)經(jīng)過防火墻的情況，快速提升了搜索引擎的工作效率。應(yīng)用感控技術(shù)啟明星辰新一代P系列防火墻具有與傳統(tǒng)的基于端口和IP協(xié)議不同的方式進(jìn)行應(yīng)用識(shí)別的能力，并執(zhí)行訪問控制策略。例如允許用戶使用QQ的文本聊天、文件傳輸功能但不允許進(jìn)行語音視頻聊天，或者允許使用WebMail收發(fā)郵件但不允許附加文件等。應(yīng)用識(shí)別帶來的額外好處是可以合理優(yōu)化帶寬的使用情況，保證關(guān)鍵業(yè)務(wù)的暢通。雖然嚴(yán)格意義上來講應(yīng)用流量?jī)?yōu)化（俗稱應(yīng)用QoS）不是一個(gè)屬于安全范疇的特性，但P2P下載、在線視頻等網(wǎng)絡(luò)濫用確實(shí)會(huì)導(dǎo)致業(yè)務(wù)中斷等嚴(yán)重安全事件。圖是網(wǎng)御的圖是網(wǎng)御的精確細(xì)致的WEB過濾技術(shù)天清漢馬USG防火墻系列在內(nèi)容過濾庫的處理上力求收集齊全、分類準(zhǔn)確、更新及時(shí)。通過采用網(wǎng)站全智能搜索引擎技術(shù)收集互聯(lián)網(wǎng)站點(diǎn)，并進(jìn)行智能分類、人工核驗(yàn)的處理手段。目前天清漢馬USG防火墻支持50多種完善的URL類別，分別涉及色情、暴力、賭博、毒品、犯罪、病毒、體育、財(cái)經(jīng)、娛樂等網(wǎng)站分類，這50多個(gè)URL類別庫總共包含1000萬以上特征網(wǎng)站，具有分類全，覆蓋面廣的特點(diǎn)。另外，由于在互聯(lián)網(wǎng)上每天都有大量新網(wǎng)站出現(xiàn)，啟明星辰通過在線升級(jí)的方式，使URL庫中的網(wǎng)站處于持續(xù)的更新狀態(tài)。完備的關(guān)聯(lián)安全標(biāo)準(zhǔn)啟明星辰具備完備的關(guān)聯(lián)安全標(biāo)準(zhǔn)即（CSC:CorrelativeSecurityCriterion），以“面向業(yè)務(wù)的安全架構(gòu)”為技術(shù)理念，以“統(tǒng)一安全，立體防御”為設(shè)計(jì)目標(biāo)，參照國(guó)際標(biāo)準(zhǔn)，系統(tǒng)地開發(fā)了安全管理協(xié)議、安全聯(lián)動(dòng)協(xié)議、安全審計(jì)協(xié)議等協(xié)議族，構(gòu)成了完備的關(guān)聯(lián)安全標(biāo)準(zhǔn)。天清漢馬USG防火墻系列全面支持CSC標(biāo)準(zhǔn)，一方面可以保證安全管理中心可以通過安全管理協(xié)議全面掌控防火墻的運(yùn)行，另一方面通過統(tǒng)一的事件格式、事件等級(jí)、發(fā)送協(xié)議，使安全審計(jì)中心只要遵從安全審計(jì)協(xié)議即可以對(duì)防火墻的安全事件進(jìn)行集中、可視化審計(jì)。同時(shí)，天清漢馬USG防火墻遵從安全聯(lián)動(dòng)協(xié)議，可以使主機(jī)安全軟件，入侵檢測(cè)等系統(tǒng)以防火墻為核心構(gòu)建深度安全防御體系，使網(wǎng)絡(luò)安全從獨(dú)立、單一防護(hù)的安全產(chǎn)品保護(hù)發(fā)展為立體、全面、動(dòng)態(tài)的防護(hù)。非法連接過濾技術(shù)將系統(tǒng)獲取的網(wǎng)絡(luò)數(shù)據(jù)按標(biāo)準(zhǔn)的以太數(shù)據(jù)結(jié)構(gòu)、IP數(shù)據(jù)結(jié)構(gòu)、TCP/UDP數(shù)據(jù)結(jié)構(gòu)，并進(jìn)行TCP的會(huì)話查找，每條會(huì)話相對(duì)應(yīng)源和目的MAC地址、源和目的IP地址、源和目的端口地址、連接次數(shù)等。將上述所獲的網(wǎng)絡(luò)連接信息放入網(wǎng)絡(luò)連接知識(shí)庫中，該緩沖區(qū)按照索引標(biāo)識(shí)、源和目的地址進(jìn)行合并存放，即相同的源和目的地址將該連接的發(fā)生次數(shù)進(jìn)行累計(jì)計(jì)算。當(dāng)某一連接被釋放，主動(dòng)要求釋放連接的一端發(fā)送TCPFIN數(shù)據(jù)包，監(jiān)視整個(gè)連接的釋放過程，如釋放正常完成，在知識(shí)庫中找到相對(duì)應(yīng)的TCP會(huì)話，將連接發(fā)生的次數(shù)減1。這樣可以始終保證知識(shí)庫中存放的是發(fā)生頻率最高的連接。該算法會(huì)以1秒鐘為單位時(shí)間，進(jìn)行流量的統(tǒng)計(jì)，如果上1秒鐘的流量大于事先約定的閥值，那么立即進(jìn)入流量識(shí)別模式，如果連接請(qǐng)求可以在知識(shí)庫搜索到，則直接放行，并記錄放行的數(shù)據(jù)包數(shù)，否則以上1秒鐘的流量作為樣本，計(jì)算放行的概率。作為拒絕服務(wù)攻擊的主要手段SYNFlood攻擊效果尤為顯著，通常SYNFlood的防范方式為應(yīng)用SYNCookie機(jī)制。它的原理是:在TCP服務(wù)器收到TCPSYN包時(shí)，不分配一個(gè)專門的數(shù)據(jù)區(qū)，而是根據(jù)這個(gè)SYN包計(jì)算出一個(gè)cookie值，并加載在所回應(yīng)的SYN/ACK包中，在收到TCPACK包時(shí)，TCP服務(wù)器在根據(jù)那個(gè)cookie值檢查這個(gè)TCPACK包的合法性。如果合法，再分配專門的數(shù)據(jù)區(qū)進(jìn)行處理未來的TCP連接。IPv6包狀態(tài)過濾技術(shù)雖然IPv6在網(wǎng)絡(luò)廠商應(yīng)用較為廣泛，但在安全廠商中，支持IPv6的網(wǎng)絡(luò)安全產(chǎn)品（如防火墻、UTM、IPS等）還是較少，啟明星辰支持IPv6功能包括：IPv6環(huán)境下的狀態(tài)包過濾、靜態(tài)路由、OSPF動(dòng)態(tài)路由、FTP、ALG等基本安全控制，以及IPv6/v4雙協(xié)議棧功能；設(shè)備在同一信息安全網(wǎng)絡(luò)中同時(shí)支持IPv4和IPv6協(xié)議的安全控制日漸得到關(guān)注。產(chǎn)品特點(diǎn)智能聯(lián)動(dòng)，協(xié)同防御天清漢馬USG防火墻通過與已部署的防病毒網(wǎng)關(guān)、IPS、UTM等設(shè)備聯(lián)合抓取病毒源、攻擊檢測(cè)源和掛馬網(wǎng)站URL等特征，匯集至云防御服務(wù)器定時(shí)收納合并，云防御服務(wù)器動(dòng)態(tài)更新病毒庫、攻擊特征庫、掛馬庫等并同步到所有啟明星辰安全網(wǎng)關(guān)設(shè)備中，使其他設(shè)備具有防病毒、IPS、防掛馬等功能，同時(shí)使其具備更高的處理性能，共同形成整體可信架構(gòu)云防御體系。圖是網(wǎng)御的圖是網(wǎng)御的一鍵式配置，便捷定義安全級(jí)別專為減輕用戶管理負(fù)擔(dān)考慮的一鍵式配置，實(shí)現(xiàn)復(fù)雜設(shè)備的簡(jiǎn)單管理，降低用戶的管理成本。高－高安全等級(jí)：可定義嚴(yán)格的安全策略，如：只開通業(yè)務(wù)系統(tǒng)中－中安全等級(jí)：可定義較嚴(yán)格的安全策略，如：放寬至WEB和Email低－低安全等級(jí)：可定義寬松的安全策略，如：僅對(duì)病毒進(jìn)行過濾全開啟性能，高效應(yīng)用防護(hù)下一代防火墻的全開啟應(yīng)用性能是指同時(shí)開啟入侵防御和防病毒等主要安全模塊后的性能表現(xiàn)，所以想要突破下一代防火墻產(chǎn)品的應(yīng)用性能瓶頸就必須從優(yōu)化入侵檢測(cè)引擎和防病毒引擎兩部分入手。星辰具有業(yè)界領(lǐng)先的入侵檢測(cè)引擎和防病毒引擎，同時(shí)采用ASIC硬件架構(gòu)，使得USG防火墻應(yīng)用功能都打開整體性能下降小于30%。

天清漢馬USG防火墻產(chǎn)品主要功能網(wǎng)絡(luò)適應(yīng)性接入模式支持透明、路由、混合三種工作模式支持DHCPClient、DHCPRelay、DHCPServer支持多透明橋，支持端口聚合支持PPPoE接入，并具備自動(dòng)斷線重連技術(shù)，支持多路ADSL撥號(hào)，充分利用網(wǎng)絡(luò)資源，整合帶寬路由支持靜態(tài)路由，動(dòng)態(tài)路由，VLAN間路由，單臂路由，組播路由等支持基于源/目的地址、接口、Metric、服務(wù)的策略路由支持200個(gè)以上的路由表、30000個(gè)以上的路由策略選擇ISP智能選路內(nèi)置ISP地址列表，可輕松完成基于ISP的策略路由NAT支持雙向NAT、動(dòng)態(tài)地址轉(zhuǎn)換和靜態(tài)地址轉(zhuǎn)換，并支持多對(duì)一、一對(duì)多和一對(duì)一等多種方式的地址轉(zhuǎn)換IPV6網(wǎng)絡(luò)支持IPV6穿越，可輕松適應(yīng)電信IPV6及大學(xué)實(shí)驗(yàn)室IPV6環(huán)境VLAN支持802.1Q和ISLVLAN封裝協(xié)議，支持兩種封裝的互換以及VlanTrunk帶寬管理基于IP地址、服務(wù)、網(wǎng)口、時(shí)間等定義帶寬分配策略支持最小保證帶寬和最大限制帶寬，支持分層的帶寬管理動(dòng)態(tài)協(xié)議各種工作模式下均支持H.323（H.323GK）、SIP、FTP、MMS、RTSP、XDMCP、TNS等多種動(dòng)態(tài)協(xié)議服務(wù)器負(fù)載均衡支持多臺(tái)服務(wù)器負(fù)載均衡，并且支持服務(wù)器健康檢查機(jī)制支持輪詢、加權(quán)值、最小連接、源/目的地址Hash、局部性最少鏈接等算法訪問控制狀態(tài)檢測(cè)基于源/目的IP地址、MAC地址、域名、端口或協(xié)議、服務(wù)、網(wǎng)口、時(shí)間、用戶的訪問控制基于源/目的IP地址、端口、服務(wù)、網(wǎng)口、時(shí)間、應(yīng)用等安全策略的帶寬控制可基于時(shí)間和安全域進(jìn)行安全隔離，同一時(shí)間內(nèi)網(wǎng)主機(jī)只能訪問DMZ區(qū)或者只能訪問外網(wǎng)透明代理實(shí)現(xiàn)基于策略的HTTP、FTP、TELNET、SMTP、POP3等透明代理和深度過濾IP/MAC綁定實(shí)現(xiàn)IP/MAC地址綁定，且支持IP/MAC地址對(duì)的自動(dòng)探測(cè)和唯一性檢查用戶認(rèn)證支持基于客戶端的本地認(rèn)證、無客戶端軟件的WEB認(rèn)證，并支持Radius等第三方認(rèn)證內(nèi)置動(dòng)態(tài)令牌認(rèn)證服務(wù)器，支持基于動(dòng)態(tài)令牌的雙因子認(rèn)證VPNIPSecVPN支持標(biāo)準(zhǔn)IPSec協(xié)議，能夠與CISCO、NETSCREEN等知名廠商的VPN設(shè)備互聯(lián)互通支持預(yù)共享密鑰、證書等認(rèn)證方式且支持動(dòng)態(tài)口令等擴(kuò)展認(rèn)證支持多出口VPN，且支持NAT穿越支持隧道接力，并可通過隧道接力實(shí)現(xiàn)分級(jí)的樹狀VPN結(jié)構(gòu)部署GRE/PPTP/L2TP支持GRE、PPTP、L2TP等VPN連接SSLVPN包含10個(gè)免費(fèi)并發(fā)用戶許可支持壓縮，緩存、協(xié)議優(yōu)化等應(yīng)用加速技術(shù),提高訪問速度支持用戶終端安全檢查，及基于檢測(cè)結(jié)果的訪問控制支持用戶賬號(hào)與終端特征綁定。支持動(dòng)態(tài)分配虛擬IP，支持虛擬IP與口令用戶或證書用戶進(jìn)行綁定。C/S應(yīng)用支持，支持TCP/IP協(xié)議的應(yīng)用，包括：http，Email，F(xiàn)tp，Notes，Outlook，Oracle,SQL等應(yīng)用；支持基于USBKey的證書認(rèn)證，實(shí)現(xiàn)對(duì)遠(yuǎn)程接入用戶的身份鑒別，并可根據(jù)用戶類型和分組進(jìn)行授權(quán)支持個(gè)性門戶（portal）定制化處理，可替換圖片、文字等入侵防護(hù)入侵檢測(cè)技術(shù)具有自主知識(shí)產(chǎn)權(quán)的檢測(cè)引擎，具備基于協(xié)議異常、會(huì)話狀態(tài)和七層應(yīng)用行為等的攻擊識(shí)別功能。特征規(guī)則內(nèi)置IPS特征庫，特征規(guī)則數(shù)量超過2,500條，并可自定義入侵攻擊和應(yīng)用軟件的特征。協(xié)議分析支持對(duì)HTTP、SMTP、POP3、FTP、Telnet、VLAN、MPLS、ARP、TCP、UDP、RPC、GRE等多種協(xié)議的分析防護(hù)攻擊類型支持對(duì)DoS/DDoS、病毒、蠕蟲、木馬、間諜軟件、廣告軟件、可疑代碼、端口掃描、非法連接、SQL注入、XSS跨站腳本等多種攻擊的防護(hù)；抗ARP攻擊設(shè)備主動(dòng)防護(hù)ARP攻擊，通過發(fā)送頻率有效定位ARP攻擊源抗CC攻擊有效防護(hù)CC各種攻擊方式，如直接攻擊，代理攻擊，僵尸網(wǎng)絡(luò)攻擊連接管理支持同一主機(jī)源會(huì)話、目的會(huì)話的分別管理支持動(dòng)態(tài)學(xué)習(xí)，支持動(dòng)態(tài)協(xié)議數(shù)據(jù)會(huì)話的區(qū)分管理支持連接排行榜響應(yīng)方式支持丟棄封包、切斷會(huì)話、限制帶寬、實(shí)時(shí)報(bào)警、記錄日志、郵件報(bào)警、聲音報(bào)警等多種響應(yīng)方式；虛擬IPS支持基于地址、服務(wù)等對(duì)象的邏輯虛擬IPS和基于物理端口的物理虛擬IPS。防病毒協(xié)議支持HTTP,SMTP,FTP,PO3P,IMAP等多種協(xié)議下病毒防護(hù)，支持自定義非標(biāo)準(zhǔn)端口的HTTP,SMTP,FTP,POP3,IMAP協(xié)議中的病毒檢測(cè)模式支持路由、透明、混合等各種工作模式下的網(wǎng)絡(luò)病毒檢測(cè)，支持無IP地址的透明橋下的網(wǎng)絡(luò)病毒檢測(cè)模式，支持VPN模式下的病毒掃描支持快速掃描、全面掃描病毒庫采用國(guó)內(nèi)知名病毒廠商特征庫，可檢測(cè)不少于30萬種病毒，支持根據(jù)用戶需求自定義病毒特征策略支持根據(jù)不同的源IP地址、目的IP地址、服務(wù)、時(shí)間、接口、用戶等，采用不同的病毒防御策略病毒防護(hù)模板系統(tǒng)支持3種病毒防護(hù)模板，支持自定義病毒防護(hù)模板壓縮文件支持tar、gzip、rar、zip等壓縮格式的病毒掃描斷點(diǎn)續(xù)傳FTP使用斷點(diǎn)續(xù)傳工具傳輸時(shí)，支持病毒檢查其他防病毒支持過濾郵件病毒、文件病毒、惡意網(wǎng)頁代碼、木馬后門、蠕蟲等多種類型的病毒支持對(duì)當(dāng)前主流的蠕蟲做檢測(cè)與阻斷，例如：RedCode、Slammer、sober等。響應(yīng)方式支持基于病毒防護(hù)規(guī)則設(shè)置阻斷、清除、記錄日志，發(fā)送電子郵件報(bào)警等。應(yīng)用監(jiān)控支持協(xié)議支持HTTP、SMTP、FTP，還支持POP3等多種應(yīng)用協(xié)議的分析識(shí)別和控制。支持協(xié)議命令進(jìn)行識(shí)別和控制，支持針對(duì)關(guān)鍵字、附件文件名、惡意JavaScript代碼等信息進(jìn)行細(xì)粒度控制P2P控制識(shí)別和控制迅雷、BT、eDonkey、eMule等常見P2P下載軟件識(shí)別和控制PPLive、QQLive、PPStream等常見P2P視頻播放軟件IM控制識(shí)別和控制QQ、MSN等常用IM軟件，阻斷IM軟件機(jī)密文件傳輸網(wǎng)絡(luò)游戲識(shí)別和控制魔獸、CS、征途、聯(lián)眾、天堂、夢(mèng)幻西游、仙劍情緣、熱血江湖、勁舞團(tuán)、誅仙、浩方、泡泡堂等多種在線游戲軟件炒股軟件識(shí)別和控制大智慧、同花順、國(guó)泰君安、證券之星、廣發(fā)證券、指南針、通達(dá)信、股票之星、華安證券、和訊報(bào)道、錢龍等多種炒股軟件網(wǎng)頁分類支持52類1700多萬種URL分類庫的訪問控制，可以對(duì)色情、反動(dòng)等多種負(fù)面網(wǎng)站按類別進(jìn)行選擇控制反垃圾郵件支持協(xié)議支持SMTP,POP協(xié)議下的垃圾郵件檢測(cè)，支持禁止郵件OpenRelay功能支持郵件服務(wù)器地址黑名單、發(fā)件人關(guān)鍵字、主題關(guān)鍵字等要素的垃圾郵件過濾功能，能阻斷垃圾郵件源響應(yīng)方式支持設(shè)置中斷連接、記錄日志，在郵件中標(biāo)示垃圾郵件等動(dòng)作虛擬防火墻劃分虛擬系統(tǒng)可將一臺(tái)物理設(shè)備，劃分為多個(gè)虛擬防火墻系統(tǒng)網(wǎng)口獨(dú)享與共享模式采用獨(dú)享和共享網(wǎng)口模式，最大化復(fù)用防火墻資源獨(dú)立資源可擁有獨(dú)立的系統(tǒng)資源、管理員、安全策略、用戶認(rèn)證數(shù)據(jù)庫等漏洞掃描內(nèi)網(wǎng)主機(jī)漏洞掃描后門、服務(wù)探測(cè)、文件共享、系統(tǒng)補(bǔ)丁、IE漏洞等主動(dòng)式掃描主動(dòng)防御惡意站點(diǎn)防護(hù)通過對(duì)訪問目標(biāo)URL過濾的方式，阻止對(duì)含木馬網(wǎng)/病毒網(wǎng)站、釣魚網(wǎng)站、僵尸網(wǎng)絡(luò)的訪問，要求內(nèi)置惡意URL地址庫，提供相關(guān)解決方案說明關(guān)聯(lián)安全應(yīng)用關(guān)聯(lián)安全支持關(guān)聯(lián)安全標(biāo)準(zhǔn)(CSC)可與終端管理系統(tǒng)協(xié)同工作，實(shí)現(xiàn)對(duì)終端的網(wǎng)絡(luò)準(zhǔn)入認(rèn)證控制，提供協(xié)同工作原理管理配置系統(tǒng)管理支持友好的Web圖形界面配置，支持遠(yuǎn)程SSH和串口命令行配置支持?jǐn)?shù)字證書和電子鑰匙兩種管理員認(rèn)證方式，支持管理員權(quán)限分級(jí)支持SNMP管理，與當(dāng)前通用的網(wǎng)絡(luò)管理平臺(tái)兼容可進(jìn)行配置文件的備份、下載、恢復(fù)和上傳，可導(dǎo)出可讀的配置文件并進(jìn)行打印存檔系統(tǒng)監(jiān)控支持對(duì)CPU、內(nèi)存、磁盤、網(wǎng)口、用戶在線狀態(tài)、連接數(shù)、路由表等信息的監(jiān)控日志報(bào)警支持設(shè)備內(nèi)存儲(chǔ)和專用事件分析服務(wù)器兩種日志管理方式支持分級(jí)報(bào)警，支持SNMPTrap和郵件等報(bào)警方式集中管理可通過專用的集中管理系統(tǒng)實(shí)現(xiàn)對(duì)安全網(wǎng)關(guān)的集中設(shè)備監(jiān)控、集中日志審計(jì)、安全報(bào)警以及策略的分發(fā)等功能可通過專用的集中管理系統(tǒng)，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)拓?fù)涞墓芾?，基于域的?quán)限分配和報(bào)表自動(dòng)生成可提供專用的軟件實(shí)現(xiàn)對(duì)安全網(wǎng)關(guān)接入用戶認(rèn)證的集中管理，至少可同時(shí)管理2048臺(tái)防火墻支持策略的集中制定、修改與統(tǒng)一配發(fā)，提供分級(jí)的策略管理功能一鍵式管理支持一鍵式網(wǎng)關(guān)策略配置和分級(jí)保護(hù)，具有易用、智能的管理配置方式，提供外置按鍵的配置的方式，每個(gè)按鍵均對(duì)應(yīng)一個(gè)已預(yù)設(shè)的策略模板，即使非專業(yè)的管理員，也可以方便的進(jìn)行配置管理；支持安全等級(jí)保護(hù)的快捷配置方式高可用性負(fù)載均衡支持基于VRRP技術(shù)的熱備和負(fù)載均衡支持多重冗余協(xié)議(MRP)，實(shí)現(xiàn)鏈路備份、端口備份、熱備份、集群備份等支持防火墻多WAN口備份和負(fù)載均衡支持基于802.3ad標(biāo)準(zhǔn)的多端口聚合，實(shí)現(xiàn)零成本擴(kuò)展帶寬通過狀態(tài)同步技術(shù)實(shí)現(xiàn)2～32臺(tái)防火墻的多機(jī)集群雙機(jī)熱備在NAT、路由、透明模式下支持A-A,A-S模式，且切換時(shí)間小于1秒可在熱備和集群工作模式下支持多臺(tái)防火墻的配置自動(dòng)同步升級(jí)周期病毒庫支持病毒特征升級(jí)服務(wù)，日常病毒特征升級(jí)周期小于3天，緊急病毒特征升級(jí)周期小于2天入侵庫入侵防御特征升級(jí)服務(wù)周期小于3天升級(jí)方式支持靈活的升級(jí)方式，提供遠(yuǎn)程升級(jí)服務(wù)，支持包括主動(dòng)、被動(dòng)、定時(shí)、本地4種升級(jí)類型，定時(shí)升級(jí)服務(wù)支持按周，日，小時(shí)3類，支持用戶自定義升級(jí)服務(wù)器典型組網(wǎng)政府行業(yè)電子政務(wù)網(wǎng)電子政務(wù)網(wǎng)是各級(jí)政府為了加強(qiáng)信息化建設(shè)，通過互聯(lián)網(wǎng)或者租用專線的方式把下屬委、辦、局以及下一級(jí)政府單位的局域網(wǎng)進(jìn)行互聯(lián)的網(wǎng)絡(luò)。不同地區(qū)電子政務(wù)網(wǎng)在組網(wǎng)模式和建設(shè)思路上存在一定的差異化，但總體的網(wǎng)絡(luò)結(jié)構(gòu)如下：電子政務(wù)網(wǎng)總體結(jié)構(gòu)圖電子政務(wù)網(wǎng)分為內(nèi)網(wǎng)和外網(wǎng)。天清漢馬USG防火墻部署在各單位與外單位互聯(lián)的出口，防止來自其他單位的入侵攻擊等威脅，同時(shí)對(duì)電子政務(wù)內(nèi)網(wǎng)用戶相互間訪問進(jìn)行控制與日志審計(jì)，可有效檢測(cè)和控制內(nèi)部員工越權(quán)行為，并向管理員發(fā)出告警。電子政務(wù)外網(wǎng)在建設(shè)模型上與內(nèi)