Power V防火墻產品白皮書V2.0-2010-9-28

聯(lián)想網御防火墻產品白皮書PAGEPAGE8防火墻產品白皮書Leadsec-FWV2.0應用識別、綠色上網：應用識別、綠色上網：防火墻具備基于應用的內容識別控制功能，精確控制P2P下載、IM通訊、網游炒股軟件，同時支持精細的WEB分類庫過濾功能。協(xié)同安全、全面防護：防火墻遵循安全關聯(lián)標準協(xié)議，通過終端安全聯(lián)動，與內網管理軟件協(xié)同防護，構建立體安全保障體系。多重冗余、安全可靠：防火墻支持多重冗余協(xié)議(MRP)，實現端口聚合、鏈路備份、負載均衡、雙機熱備，保障了設備的高可靠性。ASIC加速、小包10G；專用ASIC硬件架構，64字節(jié)小包達到10Gbps。漏掃防掛、應用安全；具備漏洞掃描（安保專家），能對內網主機和服務器進行主動式掃描，主動云防御功能內置惡意URL地址庫，防范掛馬網站、釣魚網站以及僵尸網絡。型號齊全、規(guī)格靈活：通過在產品、技術、服務及解決方案的持續(xù)創(chuàng)新，防火墻全系列80余款型號，滿足各領域各種需求，并可通過定制軟硬件模塊，靈活擴展。版權信息?版權所有2001－2009，聯(lián)想網御科技(北京)有限公司本文檔中出現的任何文字敘述、文檔格式、插圖、照片、方法、過程等內容，除另有特別注明，版權均屬聯(lián)想網御科技(北京)有限公司所有，受國家有關產權及版權法保護。如何個人、機構未經聯(lián)想網御科技(北京)有限公司的書面授權許可，不得以任何方式復制或引用本文檔的任何片段。商標信息聯(lián)想網御，Legend，Lenovo，Leadsec等標識及其組合是聯(lián)想網御科技(北京)有限公司擁有的商標，受商標法和有關國際公約的保護。第三方信息本文檔中所涉及到的產品名稱和商標，屬于各自公司或組織所有。聯(lián)想網御科技（北京）有限公司LenovoSecurityTechnologiesInc.北京市海淀區(qū)中關村南大街6號中電信息大廈8層1000868/FZhongdianInformationTowerNo.6ZhongguancunSouthStreet,HaidianDistrict,Beijing電話(TEL)真(FAX)術熱線(CustomerHotline)子信箱(E-mail)：infosec@公司網站：目錄序言 1第一章產品概述 2第二章聯(lián)想網御防火墻產品特點與技術優(yōu)勢 31、 智能的VSP通用安全平臺 32、 高效的USE統(tǒng)一安全引擎 53、 高可靠的MRP多重冗余協(xié)議 64、 完備的關聯(lián)安全標準（CSC:CorrelativeSecurityCriterion） 75、 基于應用的內容識別控制 7 智能匹配技術 8 多線程掃描技術 86、 精確細致的WEB分類過濾 87、 可信架構主動云防御技術 9第三章聯(lián)想網御防火墻產品主要功能 10第四章聯(lián)想網御防火墻的典型應用 151. 高可靠全鏈路冗余應用環(huán)境 152. 旁路環(huán)境下雙機熱備環(huán)境 163. 骨干網內網分隔環(huán)境 174. 混合模式接入環(huán)境 185. 支持VLAN環(huán)境 196. 多出口環(huán)境 20第五章產品殊榮 22第六章公司簡介 23序言隨著信息化建設的深入推進，近些年信息安全正在發(fā)生著翻天覆地的變化。之前的很長一段時間里，IT人員的工作主要是搭建網絡基礎平臺，用戶對信息安全的需求則主要是對基礎設施進行安全防護，安全產品給信息系統(tǒng)帶來的價值無法衡量，有時甚至變成一種心理安慰，這一時期可以稱之為“信息安全1.0時代”。而隨著信息化發(fā)展的逐漸深入，信息化建設將風險推向前臺。尤其是隨著信息化的發(fā)展，更多的工作平臺、業(yè)務平臺都搬上網絡，網絡從傳輸“數據”進化到傳輸“鈔票”，有時甚至是關系國家安全、社會責任等國計民生的重大內容，信息安全正式進入了2.0時代。在“信息安全2.0時代”，應用與數據安全的保障是擺在信息安全廠商面前最迫切的課題，作為信息安全的基礎設施產品--—防火墻也面臨著新的機遇與挑戰(zhàn)。聯(lián)想網御防火墻適應用戶的需求，在不斷提高性能的同時，功能上包括基于應用的識別控制，深層內容過濾等方面都取得了重要突破，為用戶構建完整的應用與數據安全解決方案，全方位保障業(yè)務的安全運行提供了有力的手段。

第一章產品概述聯(lián)想網御防火墻是聯(lián)想網御自主研發(fā)的核心產品。1999年聯(lián)想研究院設計并開發(fā)完成第一代防火墻產品。聯(lián)想網御防火墻產品歷經簡單包過濾防火墻、狀態(tài)包過濾防火墻、深度內容過濾和完全內容檢測防火墻等發(fā)展階段，并集成了防火墻、VPN、入侵檢測與防御、防蠕蟲病毒、上網行為管理、流量整形等眾多功能。目前已廣泛應用在稅務、公安、政府、部委、能源、交通、軍隊、電信、金融、企業(yè)等各行業(yè)，并為其網絡和應用提供安全保障。聯(lián)想網御防火墻分為多核系列，超五系列、AISC系列、強五系列和精五系列，共計80余款，從大型骨干網絡的安全防護到小型辦公室網絡的安全接入都有相應的防火墻產品。超五防火墻基于創(chuàng)新的多核架構，使國內性能最高的萬兆級防火墻。ASIC系列具有強勁的小包處理性能，64字節(jié)小包達到10Gbps，是國內為數不多的高性能防火墻之一；強五防火墻具備強大的安全功能，是集防火墻、IPSECVPN、SSLVPN、漏洞掃描、主動防御、入侵檢測與防護系統(tǒng)、防網絡病毒、內容檢測與過濾、綠色上網、帶寬管理、高可用性等眾多功能于一身的多威脅統(tǒng)一管理的綜合防火墻。精五防火墻面向中小型企業(yè)和單位，基于“免維護、零管理成本”的設計理念，集成防火墻、VPN、主動防御及交換機等功能，具備簡單易用的特點。今天，作為國內信息安全產業(yè)的佼佼者，聯(lián)想網御通過對信息安全產業(yè)發(fā)展趨勢的敏銳判斷，率先開始了在應用與數據安全領域的布局，通過在產品、技術、服務及解決方案的全面創(chuàng)新，為用戶提供真正有價值的信息安全整體防護方案，搶先布局“信息安全2.0”時代。

第二章聯(lián)想網御防火墻產品特點與技術優(yōu)勢智能的VSP通用安全平臺聯(lián)想網御防火墻采用創(chuàng)新的VSP（VersatileSecurityPlatform）通用安全平臺，將實時操作系統(tǒng)、網絡處理、安全應用等技術完美地結合在一起，使防火墻產品具備了高智能、高性能、高安全性、高健壯性、高擴展性等特點。圖一VSP通用安全平臺系統(tǒng)結構圖圖一VSP通用安全平臺系統(tǒng)結構圖VSP面向網絡吞吐和安全處理，采用基于組件的多平面架構，整個系統(tǒng)分為控制平面、數據平面、系統(tǒng)服務平面和硬件抽象平面，通過控制平面和數據平面的分離，不同于Linux，FreeBSD等通用操作系統(tǒng)追求均衡的方向，集中主要資源于網絡吞吐和安全處理，使系統(tǒng)具有極強的實時性和網絡吞吐能力。由于系統(tǒng)功能與資源管理分別工作在不同的平面，各平面和模塊之間共同遵循標準接口函數，系統(tǒng)具有高度靈活性和可擴展性。通過將硬件驅動與資源管理獨立為一個單獨的硬件抽象平面模塊，對上層軟件提供統(tǒng)一調用接口，對下層硬件統(tǒng)一定義驅動標準，適應多種不同規(guī)格的硬件架構，實現與多種專用芯片的無縫融合，可充分利用從IXP，PowerPC到NP、多核多線程CPU、內容加速芯片等各種先進硬件平臺的優(yōu)勢，使聯(lián)想網御防火墻在性能方面一路領先。高效的USE統(tǒng)一安全引擎聯(lián)想網御防火墻具有高效的USE（UniformSecurityEngine）統(tǒng)一安全引擎。它將狀態(tài)包過濾、VPN、IDS、內容過濾、用戶認證等多個子系統(tǒng)集成于單一平臺，構造統(tǒng)一架構，綜合并優(yōu)化各子系統(tǒng)，去除冗余，簡化數據處理流程，實現統(tǒng)一的安全引擎處理機制。圖二USE統(tǒng)一安全引擎圖二USE統(tǒng)一安全引擎統(tǒng)一安全引擎克服了傳統(tǒng)上各個安全引擎獨自為戰(zhàn)的缺點，通過高效的引擎集成技術，將各個安全功能有機地整合為一體，狀態(tài)檢測、協(xié)議分析機、深度過濾、內容檢測等引擎協(xié)同工作，對于監(jiān)測的數據包，一次性拆包即可完成2-7層的檢測，同時采用聯(lián)想的專利技術基于摘要索引的內容處理加速算法，有效地提高了引擎的處理效率。USE通過多協(xié)議融合分析技術和事件關聯(lián)再分析技術，綜合內容實體，時間因素，提高了安全事件的檢測率。USE采用標準化的技術，對內提供統(tǒng)一服務接口，使安全功能易于擴展，充分滿足安全需求的快速發(fā)展；對外實現安全策略的統(tǒng)一配置，給用戶帶來可管理的等級化安全。高可靠的MRP多重冗余協(xié)議基于聯(lián)想擁有的大型計算機高可靠設計專利技術，利用電信骨干網可靠性運營維護專業(yè)經驗，聯(lián)想網御防火墻通過自有的MRP多重冗余協(xié)議，在物理層、鏈路層、網絡層、實體層等多個層面實現多元化冗余設計，有效地保障聯(lián)想網御防火墻在用戶網絡應用中的高可用性。圖三MRP多重冗余協(xié)議2個都用SuperV-7318的圖片代替圖三MRP多重冗余協(xié)議2個都用SuperV-7318的圖片代替基于多出口負載均衡的鏈路備份。鏈路層支持多WAN口出口，實現多出口間的負載均衡和備份，任何一條鏈路的故障癱瘓不會影響網絡的正常運行。基于802.3ad標準的端口聚合。物理端口支持802.3ad標準，可實現多物理端口聚合，幫助用戶做到“零投資”帶寬倍增?；跔顟B(tài)自動探測的雙機熱備。當主系統(tǒng)發(fā)生故障或對應線路的網絡故障時，備份機可自動檢測并切換到主狀態(tài)，接管主系統(tǒng)的工作，切換時間小于1秒鐘。基于狀態(tài)增量同步的多機集群。支持主動負載均衡、會話保護和接管以及主動配置同步等功能，尤其是采用國內首創(chuàng)的“狀態(tài)增量同步技術”解決多臺防火墻之間的狀態(tài)一致性問題，實現了業(yè)務在多臺防火墻之間的平滑任意分布和切換，解決了采用VRRP協(xié)議和動態(tài)路由協(xié)議帶來的“業(yè)務續(xù)斷問題”，最多可以支持高達8臺的防火墻集群。完備的關聯(lián)安全標準（CSC:CorrelativeSecurityCriterion）聯(lián)想網御以“面向業(yè)務的安全架構”為技術理念，以“統(tǒng)一安全，立體防御”為設計目標，參照國際標準，系統(tǒng)地開發(fā)了安全管理協(xié)議、安全聯(lián)動協(xié)議、安全審計協(xié)議等協(xié)議族，構成了完備的關聯(lián)安全標準。聯(lián)想網御防火墻系列全面支持CSC標準，一方面可以保證安全管理中心可以通過安全管理協(xié)議全面掌控防火墻的運行，另一方面通過統(tǒng)一的事件格式、事件等級、發(fā)送協(xié)議，使安全審計中心只要遵從安全審計協(xié)議即可以對防火墻的安全事件進行集中、可視化審計。同時，聯(lián)想網御防火墻遵從安全聯(lián)動協(xié)議，可以使主機安全軟件，入侵檢測等系統(tǒng)以防火墻為核心構建深度安全防御體系，使網絡安全從獨立、單一防護的安全產品保護發(fā)展為立體、全面、動態(tài)的防護。基于應用的內容識別控制聯(lián)想網御防火墻系列擁有目前最完善的應用識別特征庫，通過智能分析技術，將P2P、IM、炒股軟件和在線游戲等協(xié)議的應用行為、加密方式、處理動作等特點整理成庫。當流量經過防火墻時，防火墻啟動過濾引擎，對流量進行特征值的匹配。當過濾引擎搜索到與之匹配的特征碼時，防火墻即可應用智能識別技術進行細粒度控制或一鍵封鎖。如何快速而準確地識別各種上網行為，是決定防火墻性能的關鍵因素。聯(lián)想網御防火墻從如下幾個方面保障內容識別的高速與準確。智能匹配技術在特征庫上的設置上，聯(lián)想網御防火墻按照所有上網行為的特點進行了分類，并對P2P、IM、炒股以及在線游戲等上網行為設置了不同的特征庫。當數據包到達防火墻時，防火墻首先根據用戶定制策略將其分配到其對應的特征庫管道，如P2P下載行為的流量被輸送到P2P特征庫管道，即時通訊的流量則被輸送到IM特征庫管道。流量被分發(fā)到相應的特征庫管道以后，再由相應的搜索引擎對流量進行掃描。這樣既大大減少了搜索引擎檢索的時間，又提高了過濾引擎的性能。多線程掃描技術聯(lián)想網御防火墻采用多線程掃描技術，提高了引擎掃描的效率。比如當BT數據流和MSN數據流同時進入防火墻時，防火墻內容搜索引擎不是在檢索完BT數據流以后再去檢索MSN數據流，而是可以同時啟動BT搜索引擎和MSN搜索引擎。兩個搜索引擎同時工作而互不影響。這種多線程處理機制同樣適用于2種以上不同類型的數據流同時經過防火墻的情況，快速提升了搜索引擎的工作效率。精確細致的WEB分類過濾聯(lián)想網御防火墻系列在內容過濾庫的處理上力求收集齊全、分類準確、更新及時。通過采用網站全智能搜索引擎技術收集互聯(lián)網站點，并進行智能分類、人工核驗的處理手段對網站進行分類。目前聯(lián)想網御防火墻支持50多種完善的URL類別，分別涉及色情、暴力、賭博、毒品、犯罪、病毒、體育、財經、娛樂等網站分類，這50多個URL類別庫總共包含1000萬以上特征網站，具有分類全，覆蓋面廣的特點。另外，由于在互聯(lián)網上每天都有大量新網站出現，聯(lián)想網御通過在線升級的方式，使URL庫中的網站處于持續(xù)的更新狀態(tài)?？尚偶軜嬛鲃釉品烙夹g聯(lián)想網御防火墻通過與已部署的防病毒網關、IPS、UTM等設備聯(lián)合抓取病毒源、攻擊檢測源和掛馬網站URL等特征，匯集至云防御服務器定時收納合并，云防御服務器動態(tài)更新病毒庫、攻擊特征庫、掛馬庫等并同步到所有聯(lián)想網御安全網關設備中，使其他設備具有防病毒、IPS、防掛馬等功能，同時使其具備更高的處理性能，共同形成整體可信架構云防御體系。

第三章聯(lián)想網御防火墻產品主要功能功能類別詳細描述多操作系統(tǒng)引導選項支持多系統(tǒng)引導，并可配置啟動順序容災備份支持系統(tǒng)分區(qū)備份，支持將系統(tǒng)A克隆至系統(tǒng)B配置恢復支持多個系統(tǒng)配置文件，可導入導出恢復配置訪問控制狀態(tài)檢測基于源/目的IP地址、MAC地址、域名、端口或協(xié)議、服務、網口、時間、用戶的訪問控制基于源/目的IP地址、端口、服務、網口、時間、應用等安全策略的帶寬控制可基于時間和安全域進行安全隔離，同一時間內網主機只能訪問DMZ區(qū)或者只能訪問外網透明代理實現基于策略的HTTP、FTP、TELNET、SMTP、POP3等透明代理和深度過濾IP/MAC綁定實現IP/MAC地址綁定，且支持IP/MAC地址對的自動探測和唯一性檢查AAA認證服務支持基于客戶端的本地認證、無客戶端軟件的WEB認證，支持RADIUS、TACACS/TACACS+、LDAP、域認證等安全認證方式。支持認證保活功能。虛擬防火墻劃分虛擬系統(tǒng)可將一臺物理設備，劃分為多個虛擬防火墻系統(tǒng)網口獨享與共享模式采用獨享和共享網口模式，最大化復用防火墻資源獨立資源可擁有獨立的系統(tǒng)資源、管理員、安全策略、用戶認證數據庫等漏洞掃描（安保專家）內網主機漏洞掃描后門、服務探測、文件共享、系統(tǒng)補丁、IE漏洞等主動式掃描主動防御Web監(jiān)控與防篡改實時監(jiān)控Web目錄的變化情況，包括文件或文件夾的創(chuàng)建，修改，刪除。腳本后門掃描根據特征掃描能查出99%以上的腳本后門綠色上網P2P下載控制識別和控制迅雷、BT、eDonkey、eMule等常見P2P下載軟件P2P視頻播放控制識別和控制PPLive、QQLive、PPStream、迅雷看看等常見P2P視頻播放軟件IM即時通訊軟件控制識別和控制QQ、MSN等常用IM軟件，一鍵式阻斷IM機密文件傳輸在線游戲控制識別和控制魔獸、CounterStrike、征途、聯(lián)眾、浩方、泡泡堂等多種在線游戲軟件炒股軟件控制識別和控制大智慧、同花順、國泰君安、證券之星、廣發(fā)證券、指南針、通達信等多種炒股軟件WEB分類過濾支持基于分類庫的URL訪問控制，可以對色情、反動等多種負面網站按類別進行選擇控制支持50多種分類庫，1000萬級網址智能特征庫支持URL獨立特征庫，支持增量升級管理網絡適應性接入模式支持透明、路由、混合三種工作模式支持DHCPClient、DHCPRelay、DHCPServer支持PPPoE接入，提供多條ADSL線路同時撥號接入，并具備自動斷線重連技術支持多透明橋，支持端口聯(lián)動路由支持靜態(tài)路由，動態(tài)路由（OSPF、RIP等），VLAN間路由，單臂路由，組播路由等支持基于源/目的地址、接口、Metric、服務的策略路由支持多出口路由負載均衡支持ISP智能選路，內置多種ISP地址庫，優(yōu)化網絡帶寬；NAT支持雙向NAT、動態(tài)地址轉換和靜態(tài)地址轉換，并支持多對一、一對多和一對一等多種方式的地址轉換VLAN支持802.1Q和ISLVLAN封裝協(xié)議，支持兩種封裝的互換以及VlanTrunk帶寬管理基于IP地址、服務、網口、時間等定義帶寬分配策略支持最小保證帶寬和最大限制帶寬支持分層的帶寬管理動態(tài)協(xié)議在各種工作模式下均支持H.323（H.323GK）、SIP、FTP、MMS、RTSP、UPnP、XDMCP、TNS等多種動態(tài)協(xié)議VPNIPSecVPN支持標準IPSec協(xié)議，能夠與CISCO、NETSCREEN等知名廠商的VPN設備互聯(lián)互通支持預共享密鑰、證書等認證方式且支持X擴展認證支持3DES、DES、AES等加密算法支持AH和ESP封裝模式以及MD5、SHA1、SHA2等通用摘要算法支持DH1024、DH2048、RSA1024、RSA2048等非對稱加密算法支持多出口VPN，且支持NAT穿越支持隧道接力，并可通過隧道接力實現分級的樹狀VPN結構部署支持VPN隧道熱備份功能，保持隧道連接的可靠性GRE/PPTP/L2TP支持GRE、PPTP、L2TP等VPN連接SSLVPN支持壓縮，緩存、協(xié)議優(yōu)化等應用加速技術,提高訪問速度支持用戶終端安全檢查，及基于檢測結果的訪問控制支持用戶賬號與終端特征綁定。支持動態(tài)分配虛擬IP，支持虛擬IP與口令用戶或證書用戶進行綁定。C/S應用支持，支持TCP/IP協(xié)議的應用，包括：http，Email，Ftp，Notes，Outlook，Oracle,SQL等應用；支持基于USBKey的證書認證，實現對遠程接入用戶的身份鑒別，并可根據用戶類型和分組進行授權VRC客戶端VPN客戶端可與所有支持標準IPSec協(xié)議的VPN網關互聯(lián)互通支持基于USBKey的證書認證方式IPSecVPN客戶端支持MicrosoftWindows2000/XP、Vista等操作系統(tǒng)入侵檢測與防御入侵檢測集成基于統(tǒng)一安全引擎（USE）的IDS模塊，具備1600種以上攻擊特征庫規(guī)則遵循關聯(lián)安全標準(CSC)實現與IDS的聯(lián)動蠕蟲防護支持基于摘要索引的內容加速算法（DCA算法）的蠕蟲病毒過濾采用基于TCP連接數管理的偵測技術，對感染蠕蟲病毒的異常主機進行定位實現對blaster，nachi，nimda，codered，sasser，slapper，sqlexp，zotob等主流蠕蟲病毒的識別、過濾和攔截抗DDoS/DoS攻擊可識別和防御synflood、Pingflood、udpflood、teardrop、sweep、land-base、pingofdeath、smurf、winnuke、CC攻擊、圣誕樹、碎片等多種攻擊內容過濾網頁過濾支持對網頁關鍵字和Java、JavaScript、ActiveX進行過濾郵件過濾支持對郵件地址、主題、正文、附件名、附件內容等進行關鍵字匹配過濾支持對中轉垃圾郵件進行識別和過濾FTP過濾支持對FTP上傳和下載文件的控制關聯(lián)安全應用關聯(lián)安全支持關聯(lián)安全標準(CSC)可實現與IDS等設備的聯(lián)動可實現與內網安全管理系統(tǒng)(ISM)的聯(lián)動管理配置系統(tǒng)管理支持友好的Web圖形界面配置支持快速配置向導，增強系統(tǒng)配置易用性支持遠程SSH和串口命令行配置支持數字證書和電子鑰匙兩種管理員認證方式，支持管理員權限分級支持SNMP管理，與當前通用的網絡管理平臺兼容可導出可讀的配置文件并進行打印存檔可進行配置文件的備份、下載、恢復和上傳系統(tǒng)監(jiān)控支持對CPU、內存、磁盤、網口、用戶在線狀態(tài)、連接數、路由表等信息的監(jiān)控日志報警支持設備內存儲和專用事件分析服務器兩種日志管理方式日志采用中文方式，可讀性強，并采用顏色區(qū)分日志級別可支持日志回滾操作，保存或覆蓋最初日志信息；支持分級報警，支持SNMPTrap和郵件等報警方式集中管理可通過專用的集中管理系統(tǒng)實現對防火墻的集中設備監(jiān)控、集中日志審計、安全報警以及防火墻、VPN部分策略的分發(fā)等功能可通過專用的集中管理系統(tǒng)，實現對網絡拓撲的管理，基于域的權限分配和報表自動生成，以及設備的歷史狀況回放可提供專用的軟件實現對防火墻接入用戶認證的集中管理，至少可同時管理2048臺防火墻高可用性負載均衡支持多重冗余協(xié)議(MRP)，實現鏈路備份、端口備份、熱備份、集群備份等支持服務器負載均衡，支持輪詢、加權輪叫、源地址HASH、目的地址HASH、最少連接、加權最少鏈接等多種調度算法支持防火墻多WAN口備份和負載均衡支持基于802.3ad標準的多端口聚合，實現零成本擴展帶寬通過狀態(tài)同步技術實現2～32臺防火墻的多機集群雙機熱備在NAT、路由、透明模式下支持A-A,A-S模式，且切換時間小于1秒可在熱備和集群工作模式下支持多臺防火墻的配置自動同步VRRP協(xié)議支持多臺設備的熱備和負載均衡支持虛擬MAC技術，對客戶端完全透明

第四章聯(lián)想網御防火墻的典型應用高可靠全鏈路冗余應用環(huán)境電信網絡和許多骨干網絡的可靠性要求很高，不允許出現因為設備的故障造成網絡的不可用，因此在電信網絡和骨干網絡中加入防火墻的時候也必須考慮到這個問題，下圖為聯(lián)想網御防火墻在骨干網絡中應用的例子。正常情況下兩臺防火墻均處于工作狀態(tài)，可以分別承擔相應鏈路的網絡通訊。當其中一臺防火墻發(fā)生意外宕機、網絡故障、硬件故障等情況時，該防火墻的網絡通訊自動切換到另外一臺防火墻，從而保證了網絡的正常使用。切換過程不需要人為操作和其他系統(tǒng)的參與，切換時間可以以秒計算。同時，防火墻之間的其中一條鏈路用于實現狀態(tài)表傳送，當一臺防火墻故障時，這臺防火墻上的連接可以透明的、完整的遷移到另一臺防火墻上，用戶不會覺察到有任何變化。防火墻之間的另外一條鏈路用于數據通訊，增加網絡鏈路的冗余，增強可靠性。旁路環(huán)境下雙機熱備環(huán)境本案例環(huán)境防火墻部署是在大型數據中心（IDC）經常使用的方案，利用交換機劃分VLAN的功能，相當于將交換機模塊根據不同的VLAN分成幾個交換模塊使用，一個VLAN連接在防火墻的外部接口和上聯(lián)路由器的接口，另外幾個VLAN連接內部網和防火墻的內部接口。所有外部流量從路由器接口進入交換機然后通過二層交換直接進入防火墻的外部接口，經過防火墻的內部接口后在進入交換機，最后進入內部核心網絡。骨干網內網分隔環(huán)境據賽迪(CCID)統(tǒng)計報告，網絡攻擊有70%以上來自于企業(yè)內部，因此，保護公司網絡的安全不僅要保護來自互聯(lián)網的侵害而且要防止內部的攻擊。聯(lián)想網御防火墻從3個到8個百兆接口可進行模塊化擴展，除了可以用作多DMZ區(qū)設置外，還可以將內網進行多重隔離保護。通過防火墻將公司內部不同部門的網絡或關鍵服務器劃分為不同的網段，彼此隔離。這樣不僅保護了企業(yè)內部網和關鍵服務器，使其不受來自Internet的攻擊，也保護了各部門網絡和關鍵服務器不受來自企業(yè)內部其它部門的網絡的攻擊。內網分隔的另一個目的是：防止問題的擴大。如果有人闖進您的一個部門，或者如果病毒開始蔓延，網段能夠限制造成的損壞進一步擴大?；旌夏Ｊ浇尤氕h(huán)境聯(lián)想網御防火墻支持各種接入模式，分別為：透明模式、路由模式和混合模式，并支持各種模式之上的NAT模式。透明工作模式：防火墻工作在透明模式下不影響原有網絡設計和配置，用戶不需要對保護網絡主機屬性進行重新設置，方便了用戶的使用。路由工作模式：防火墻相當于靜態(tài)路由器，提供靜態(tài)路由功能?；旌瞎ぷ髂Ｊ剑悍阑饓υ谕该髂Ｊ胶吐酚赡Ｊ酵瑫r工作，極大提高網絡應用的靈活性。下圖為企業(yè)的典型應用，需要防火墻支持混合工作模式，而許多防火墻不支持這種接入模式，給企業(yè)的應用帶來不便。例如：某企業(yè)內網的地址為保留地址/24-0/24，企業(yè)的對外WWW服務器、MAIL服務器、DNS服務器的內部地址分別為0、01、02，防火墻的內端口地址為，防火墻外網地址為對于服務器和Internet之間防火墻可使用透明方式，內網與服務器或Internet之間可以使用NAT方式，方便靈活部署防火墻。支持VLAN環(huán)境VLAN(VirtualLocalAreaNetwork)中文一般譯為虛擬局域網絡，是一種在交換機上通過端口、地址等方式劃分虛擬網絡的技術。在沒有配置路由的情況下，不同VLAN之間是不能進行通訊的，目前的網絡環(huán)境中，許多企業(yè)也通過VLAN進行網絡安全保護，例如：將財務部門劃為一個VLAN等。下圖為一個企業(yè)劃分VLAN的示意圖：此企業(yè)劃分了4個VLAN，并且通過路由器作VLAN之間的路由。此時如果加入防火墻，就需要防火墻支持VLAN。否則防火墻會將VLAN之間通訊、VLAN之間路由的信息丟掉。而現實中許多防火墻都不支持VLAN，這樣就不能通過防火墻保護網絡。聯(lián)想網御防火墻PowerV能夠支持802.1Q和ISL封裝協(xié)議，也就是說可以把防火墻架設在劃分VLAN的交換機與交換機或交換機與路由器之間，可以通過防火墻作VLAN之間的路由，可以通過防火墻有效的保護網絡。多出口環(huán)境XXXX大學現有教職工總數1000多人，在校學生總數10000多人。學校的校園網絡建設比較發(fā)達，