渠道培訓(xùn)之防火墻理論

主持人開場致歡迎詞聯(lián)想網(wǎng)御董事長兼齊艦熱烈歡迎各位客戶參加聯(lián)想網(wǎng)御技術(shù)培訓(xùn)課程聯(lián)想網(wǎng)御北京分部客戶培訓(xùn)

防火墻理論2009年7月中辦27號文件信息保障的主要工作我國信息安全保障的主要工作（三個方面，九項(xiàng)工作）第一個方面就是關(guān)于建立健全信息安全責(zé)任制就是要加強(qiáng)信息安全的領(lǐng)導(dǎo)，建立健全信息安全責(zé)任制第二個方面就是基礎(chǔ)性工作第一：實(shí)行信息安全等級保護(hù)，重視信息安全風(fēng)險評估。第二：是加強(qiáng)以密碼技術(shù)為基礎(chǔ)的信息安全保護(hù)和網(wǎng)絡(luò)信任體系建設(shè)。第三：就是建設(shè)和完善信息安全監(jiān)控體系。第四：就是重視信息安全應(yīng)急處理工作第三個方面是支撐性工作第一是加強(qiáng)信息安全技術(shù)研究開發(fā)，推進(jìn)信息安全產(chǎn)業(yè)發(fā)展。第二是加強(qiáng)信息安全法制建設(shè)和標(biāo)準(zhǔn)化建設(shè)。第三是加強(qiáng)信息安全人才培養(yǎng)，增強(qiáng)全民信息安全意識。第四是保證信息安全的資金目錄

防火墻基礎(chǔ)介紹

防火墻產(chǎn)品體系聯(lián)想網(wǎng)御信息安全

防火墻典型應(yīng)用與選型

目錄防火墻的基本概念防火墻的發(fā)展歷程防火墻功能解析防火墻性能解析目錄防火墻的基本概念防火墻的發(fā)展歷程防火墻功能解析防火墻性能解析網(wǎng)絡(luò)內(nèi)部、外部泄密拒絕服務(wù)攻擊邏輯炸彈特洛伊木馬黑客攻擊計(jì)算機(jī)病毒后門、隱蔽通道蠕蟲垃圾郵件——防火墻基本概念網(wǎng)絡(luò)面臨的威脅——防火墻基本概念防火墻的引入Internet

邊界點(diǎn)安全威脅防火墻——防火墻基本概念防火墻的概念：在信任網(wǎng)絡(luò)與非信任網(wǎng)絡(luò)之間，通過預(yù)定義的安全策略，對內(nèi)外網(wǎng)通信強(qiáng)制實(shí)施訪問控制的安全應(yīng)用設(shè)備。導(dǎo)入防火墻的技術(shù)原理：將不信任網(wǎng)絡(luò)對信任網(wǎng)絡(luò)的安全威脅強(qiáng)制到單一安全控制點(diǎn)。防火墻的原則：一切未被允許的就是禁止的！防火墻基本概念——防火墻基本概念防火墻能做什么保障授權(quán)合法用戶的通信與訪問禁止未經(jīng)授權(quán)的非法通信與訪問記錄經(jīng)過防火墻的通信活動防火墻不能做什么不能主動防范新的安全威脅不能防范來自網(wǎng)絡(luò)內(nèi)部的攻擊不能控制不經(jīng)防火墻的通信與訪問防火墻基本概念目錄防火墻基本概念防火墻的發(fā)展歷程防火墻功能解析防火墻性能解析軟件技術(shù)變革應(yīng)用代理包過濾狀態(tài)檢測深度檢測通用嵌入式專用專業(yè)基于三層/四層的過濾實(shí)現(xiàn)簡單，速度快安全性低，初級技術(shù)個人終端系統(tǒng)穩(wěn)定、安全、健壯性差防火墻的技術(shù)變革是簡短的、快速的.基于應(yīng)用層的代理轉(zhuǎn)發(fā)可以檢查應(yīng)用層協(xié)議處理速度慢，兼容性差內(nèi)核小、效率高、易擴(kuò)成熟度、可移植性差引入狀態(tài)表規(guī)范3層和4層行為處理快，安全性較高網(wǎng)絡(luò)處理時時性高根據(jù)用戶需求定制多級安全檢測

自動簽名檢測虛擬化、協(xié)同性提高軟件平臺設(shè)計(jì)能力應(yīng)用層表示層會話層傳輸層網(wǎng)絡(luò)層鏈路層物理層應(yīng)用層表示層會話層傳輸層網(wǎng)絡(luò)層鏈路層物理層網(wǎng)絡(luò)層鏈路層物理層優(yōu)點(diǎn)：速度快，性能高對應(yīng)用程序透明缺點(diǎn)：安全性低不能根據(jù)狀態(tài)信息進(jìn)行控制不能處理網(wǎng)絡(luò)層以上的信息伸縮性差維護(hù)不直觀簡單包過濾技術(shù)介紹應(yīng)用層層層網(wǎng)絡(luò)接口層TCP101010101101010101TCP101010101IP101010101TCP101010101IP應(yīng)用層層層網(wǎng)絡(luò)接口層TCP101010101IP101010101TCPTCP101010101IPETH101010101只檢查報頭101001001001010010000011100111101111011001001001010010000011100111101111011簡單包過濾防火墻的工作原理簡單包過濾防火墻不檢查數(shù)據(jù)區(qū)簡單包過濾防火墻不建立連接狀態(tài)表前后報文無關(guān)應(yīng)用層控制很弱防火墻：包過濾技術(shù)檢查項(xiàng)包的源地址包的目的地址源端口IP包檢測包頭檢查路由安全策略：過濾規(guī)則路由表包過濾防火墻轉(zhuǎn)發(fā)符合不符合丟棄應(yīng)用層表示層會話層傳輸層網(wǎng)絡(luò)層鏈路層物理層應(yīng)用層表示層會話層傳輸層網(wǎng)絡(luò)層鏈路層物理層應(yīng)用代理技術(shù)介紹應(yīng)用層表示層會話層傳輸層網(wǎng)絡(luò)層鏈路層物理層優(yōu)點(diǎn)：安全性高提供應(yīng)用層的安全缺點(diǎn)：性能差伸縮性差只支持有限的應(yīng)用不透明應(yīng)用層層層網(wǎng)絡(luò)接口層TCP101010101101010101TCP101010101IP101010101TCP101010101IP應(yīng)用層層層網(wǎng)絡(luò)接口層TCP101010101IP101010101TCPTCP101010101IPETH101010101只檢查數(shù)據(jù)101001001001010010000011100111101111011001001001010010000011100111101111011應(yīng)用代理防火墻的工作原理不檢查、報頭不建立連接狀態(tài)表網(wǎng)絡(luò)層保護(hù)比較弱防火墻：應(yīng)用網(wǎng)關(guān)應(yīng)用層表示層會話層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層應(yīng)用層表示層會話層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層應(yīng)用層表示層會話層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層客戶端防火墻（代理網(wǎng)關(guān)）服務(wù)器想從內(nèi)部網(wǎng)訪問外部的服務(wù)器？我?guī)湍惆l(fā)請求吧。應(yīng)用層表示層會話層傳輸層網(wǎng)絡(luò)層鏈路層物理層應(yīng)用層表示層會話層傳輸層網(wǎng)絡(luò)層鏈路層物理層狀態(tài)檢測技術(shù)介紹應(yīng)用層表示層會話層傳輸層網(wǎng)絡(luò)層鏈路層物理層安全性高能夠檢測所有進(jìn)入防火墻網(wǎng)關(guān)的數(shù)據(jù)包根據(jù)通信和應(yīng)用程序狀態(tài)確定是否允許包的通行性能高在數(shù)據(jù)包進(jìn)入防火墻時就進(jìn)行識別和判斷伸縮性好可以識別不同的數(shù)據(jù)包已經(jīng)支持豐富的應(yīng)用，包括應(yīng)用、數(shù)據(jù)庫應(yīng)用、多媒體應(yīng)用等用戶可方便添加新應(yīng)用對用戶、應(yīng)用程序透明抽取各層的狀態(tài)信息建立動態(tài)狀態(tài)表應(yīng)用層層層網(wǎng)絡(luò)接口層TCP101010101101010101TCP101010101IP101010101TCP101010101IP應(yīng)用層層層網(wǎng)絡(luò)接口層TCP101010101IP101010101TCPTCP101010101IPETH101010101只檢查報頭101001001001010010000011100111101111011001001001010010000011100111101111011狀態(tài)檢測包過濾防火墻的工作原理不檢查數(shù)據(jù)區(qū)建立連接狀態(tài)表前后報文相關(guān)應(yīng)用層控制很弱建立連接狀態(tài)表包檢測包頭下一步處理安全策略：過濾規(guī)則會話連接狀態(tài)緩存表狀態(tài)檢測包過濾防火墻符合不符合丟棄狀態(tài)檢測包過濾符合檢查項(xiàng)包的源、目的地址、端口會話的連接狀態(tài)上下文信息應(yīng)用層層層網(wǎng)絡(luò)接口層TCP開始攻擊開始攻擊TCP開始攻擊IP開始攻擊主服務(wù)器硬盤數(shù)據(jù)TCP開始攻擊IP應(yīng)用層層層網(wǎng)絡(luò)接口層TCP開始攻擊IP開始攻擊TCPTCP開始攻擊IPETH開始攻擊主服務(wù)器硬盤數(shù)據(jù)檢查多個報文組成的會話101001001001010010000011100111101111011001001001010010000011100111101111011深度內(nèi)容檢測防火墻的工作原理建立連接狀態(tài)表TCP主服務(wù)器IPTCP硬盤數(shù)據(jù)IP開始攻擊重寫會話主服務(wù)器硬盤數(shù)據(jù)報文1報文2報文3網(wǎng)絡(luò)層保護(hù)強(qiáng)應(yīng)用層保護(hù)戧會話保護(hù)很強(qiáng)上下文相關(guān)前后報文有聯(lián)系防火墻核心技術(shù)比較綜合安全性網(wǎng)絡(luò)層保護(hù)應(yīng)用層保護(hù)應(yīng)用層透明整體性能處理對象簡單包過濾防火墻狀態(tài)檢測包過濾防火墻應(yīng)用代理防火墻深度內(nèi)容檢測防火墻

單個包報頭

單個包報頭

單個包數(shù)據(jù)

一次會話1001001001TCPIP1001001001TCPIPX86架構(gòu)嵌入式架構(gòu)架構(gòu)架構(gòu)多核架構(gòu)防火墻突破高性能的極限就是對防火墻硬件結(jié)構(gòu)的調(diào)整.性能架構(gòu)架構(gòu)多核架構(gòu)可擴(kuò)展性（易）X86架構(gòu)硬件演進(jìn)嵌入式架構(gòu)硬件平臺技術(shù)分析86基于X86的平臺主要提供商，X86特點(diǎn)：軟件開發(fā)比較靈活便于快速推出產(chǎn)品投資少發(fā)熱比較大受總線帶寬的限制難以滿足高速環(huán)境概述以通用處理器（如：x86）為設(shè)備核心通用擔(dān)負(fù)數(shù)據(jù)查找、連接控制和路由更新處理等全部工作優(yōu)勢數(shù)據(jù)處理全部由軟件實(shí)現(xiàn)，容易實(shí)現(xiàn)通過軟件升級完成系統(tǒng)升級劣勢受處理器處理能力限制，很難實(shí)現(xiàn)更高帶寬和更高吞吐率；穩(wěn)定性差，不適合高端設(shè)備——防火墻發(fā)展歷程基于通用處理器體系結(jié)構(gòu)防火墻發(fā)展歷程硬件平臺技術(shù)分析-其他嵌入式基于其他嵌入的平臺包括、、……嵌入式特點(diǎn)：產(chǎn)品穩(wěn)定低功耗，低成本軟件比較靈活開發(fā)環(huán)境需要投資受總線帶寬的限制硬件平臺技術(shù)分析基于的平臺采用廠家、特點(diǎn)：性價比比較高產(chǎn)品穩(wěn)定可以滿足高性能要求靈活性不高投資非常大門檻高——防火墻發(fā)展歷程概述采用專用集成電路（）實(shí)現(xiàn)硬件轉(zhuǎn)發(fā)及流量控制數(shù)據(jù)包交由完成處理代碼固化在芯片中優(yōu)勢基于硬件的數(shù)據(jù)處理提供了很高的數(shù)據(jù)包轉(zhuǎn)發(fā)速率劣勢由于代碼固化在芯片中，導(dǎo)致系統(tǒng)升級異常困難產(chǎn)品開發(fā)周期較長，芯片定制一次性投入較大，在其市場未達(dá)一定規(guī)模時，價格相對較高對于類似路由、高層業(yè)務(wù)流識別及高層應(yīng)用協(xié)議的動態(tài)變化性難于應(yīng)對基于體系結(jié)構(gòu)防火墻發(fā)展歷程硬件平臺技術(shù)分析基于的平臺提供廠家、、、特點(diǎn)：能獲得比較高的性能產(chǎn)品穩(wěn)定有一定的靈活性靈活性不高軟件開發(fā)難度大網(wǎng)絡(luò)處理器（）是一種可編程的?。诘捏w系結(jié)構(gòu)是在前兩種體系結(jié)構(gòu)的基礎(chǔ)上，綜合了各自的優(yōu)勢而推出的一種新型的體系結(jié)構(gòu)。主要被用于：非常適合高速網(wǎng)絡(luò)安全產(chǎn)品處理線速數(shù)據(jù)進(jìn)行協(xié)議分析和數(shù)據(jù)分類；進(jìn)行深度數(shù)據(jù)包分析；——防火墻發(fā)展歷程基于網(wǎng)絡(luò)處理器的體系結(jié)構(gòu)防火墻發(fā)展歷程硬件平臺技術(shù)分析-多核架構(gòu)多核架構(gòu)優(yōu)勢新建會話能力強(qiáng)，可達(dá)到20萬支撐更高更多的網(wǎng)絡(luò)接口，448控制/數(shù)據(jù)層面分離高負(fù)載時仍然可以進(jìn)行正常的管理操作忙碌時不影響已建立的會話數(shù)據(jù)轉(zhuǎn)發(fā)多核芯片特點(diǎn)2×，8×，4×內(nèi)部數(shù)據(jù)交換128集成加解密引擎，支持、3多種算法支持C語言開發(fā)，編程靈活硬件平臺多核芯片..12/21/202433超強(qiáng)性能、海量并發(fā)64個8×8矩陣式并行處理系統(tǒng)智能的調(diào)度系統(tǒng)每含8處理核每核主頻1.2每個核具備4個虛擬每臺設(shè)備具備64個同時進(jìn)行運(yùn)算（＝線程）UNITBUNITA吞吐：20G并發(fā)：1000萬每秒新建：20萬：500萬：5G硬件平臺技術(shù)分析-多核架構(gòu)12/21/2024CPU矩陣A1A8A3A2A4A5A6A7B1B8B3B2B4B5B6B7C1C8C3C2C4C5C6C7D1D8D3D2D4D5D6D7E1E8E3E2E4E5E6E7F1F8F3F2F4F5F6F7G1G8G3G2G4G5G6G7H1H8H3H2H4H5H6H7流量分組并行處理DATADATA隊(duì)列調(diào)度預(yù)處理解密策略匹配內(nèi)容過濾封裝加密隊(duì)列操作路由查詢?nèi)罩居涗浟魉€處理步驟64個8×8矩陣式并行處理技術(shù)智能的調(diào)度系統(tǒng)吞吐：20G并發(fā)：1000萬每秒新建：20萬：500萬：5G硬件平臺技術(shù)分析-多核架構(gòu)12/21/2024隊(duì)列調(diào)度預(yù)處理解密策略匹配內(nèi)容過濾封裝加密隊(duì)列操作路由查詢?nèi)罩居涗浧胀ò^濾流水線1流水線2空閑隊(duì)列加解密＋內(nèi)容過濾隊(duì)列調(diào)度發(fā)現(xiàn)3顆占用率為零,將其釋放隊(duì)列調(diào)度發(fā)現(xiàn)占用率很高,申請空閑進(jìn)入隊(duì)列64個8×8矩陣式并行處理技術(shù)智能的調(diào)度系統(tǒng)吞吐：20G并發(fā)：1000萬每秒新建：20萬：500萬：5G硬件平臺技術(shù)分析-多核架構(gòu)各種結(jié)構(gòu)的比較性能功能通用處理器架構(gòu)網(wǎng)絡(luò)處理器架構(gòu)架構(gòu)多核架構(gòu)防火墻硬件的發(fā)展其他嵌入式架構(gòu)目錄防火墻基本概念防火墻的發(fā)展歷程防火墻功能解析防火墻性能解析防火墻的作用Intranet通過部署防火墻，可以實(shí)現(xiàn)比、路由器更為強(qiáng)大、有效的訪問控制功能；大大提高抗攻擊的能力禁止訪問禁止訪問防火墻功能解析——防火墻功能解析——防火墻功能解析安全區(qū)劃分防火墻

防火墻功能解析安全區(qū)1（內(nèi)網(wǎng)）安全區(qū)2（外網(wǎng)）安全區(qū)3（、）透明接入網(wǎng)絡(luò)A網(wǎng)絡(luò)B192.168.024192.168.024透明模式下，這里不用配置地址透明模式下，這里不用配置地址透明模式下，網(wǎng)絡(luò)A和網(wǎng)絡(luò)B不用做任何調(diào)整——防火墻功能解析防火墻功能解析路由、接入網(wǎng)絡(luò)A192.168.024/24202.16.126202.16.126路由模式下，防火墻的內(nèi)外網(wǎng)接口必須配置不同的地址——防火墻功能解析防火墻功能解析混合接入防火墻區(qū)內(nèi)網(wǎng)1內(nèi)網(wǎng)2網(wǎng)橋NAT——防火墻功能解析防火墻功能解析CD基本的訪問控制技術(shù)

1010010101規(guī)則匹配成功基于源地址基于目的地址基于源端口基于目的端口基于時間基于用戶基于流量基于文件基于網(wǎng)址基于地址Internet公開服務(wù)器可以使用私有地址隱藏內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)WWWFTPMAILDNS：80：80：21：21：53：53：25：25(端口映射)net4HostA受保護(hù)網(wǎng)絡(luò)HostCHostD15防火墻Eth2：3Eth0：數(shù)據(jù)IP報頭數(shù)據(jù)IP報頭源地址：1目地址：4源地址：目地址：4隱藏了內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)內(nèi)部網(wǎng)絡(luò)可以使用私有地址公開地址不足的網(wǎng)絡(luò)可以使用這種方式提供復(fù)用功能(地址轉(zhuǎn)換)netHostABCD00-50-0471600-50-047100-50-0471600-50-0471與地址綁定后，不允許B假冒A的地址上網(wǎng)防火墻允許A上網(wǎng)跨路由器與（用戶）的綁定策略路由功能中國教育網(wǎng)A：B：C：內(nèi)網(wǎng)根據(jù)源、目地址來進(jìn)行路由主機(jī)B直接連接主機(jī)A通過教育網(wǎng)上分級帶寬管理Internet

財務(wù)部子網(wǎng)采購部子網(wǎng)出口帶寬512K區(qū)保留256K分配70K帶寬分配90K帶寬分配96K帶寬區(qū)域內(nèi)部網(wǎng)絡(luò)總帶寬512K內(nèi)網(wǎng)256K256K70K90K96K+++財務(wù)子網(wǎng)采購子網(wǎng)生產(chǎn)子網(wǎng)生產(chǎn)部子網(wǎng)應(yīng)用代理是防火墻中一個重要的功能，啟用代理可以針對特定應(yīng)用進(jìn)行更細(xì)粒度的控制，包括內(nèi)容過濾等?？蛻舳朔?wù)器2：防火墻對客戶端的訪問進(jìn)行控制1：客戶端訪問服務(wù)器需先訪問防火墻3：防火墻代替客戶端向服務(wù)器發(fā)送請求代理服務(wù)認(rèn)證技術(shù)認(rèn)證是所有防火墻的基礎(chǔ)。認(rèn)證技術(shù)：操作系統(tǒng)口令：;；；第三方的插件；認(rèn)證模式：用戶認(rèn)證客戶認(rèn)證會話認(rèn)證認(rèn)證服務(wù)CDBA受保護(hù)網(wǎng)絡(luò)Internet黑客發(fā)起攻擊發(fā)送通知報文驗(yàn)證報文并采取措施發(fā)送響應(yīng)報文識別出攻擊行為阻斷連接或者報警等與安全聯(lián)動口口12支持的交換機(jī)口口1212同一交換機(jī)的不同之間通訊不同交換機(jī)的同一之間通訊不支持的防火墻無法在這種環(huán)境下工作不支持的防火墻無法在這種環(huán)境下工作防火墻對協(xié)議的支持（主機(jī)）（網(wǎng)關(guān)）在服務(wù)器和外部網(wǎng)絡(luò)之間部署代理服務(wù)器通過代理服務(wù)器發(fā)送報文，在收到客戶端的包后，防火墻代替服務(wù)器向客戶端發(fā)送包，如果客戶端在一段時間內(nèi)沒有應(yīng)答或中間的網(wǎng)絡(luò)設(shè)備發(fā)回了錯誤消息，防火墻則丟棄此狀態(tài)信息如果客戶端的到達(dá)，防火墻代替客戶端向服務(wù)器發(fā)送包，并完成后續(xù)的握手最終建立客戶端到服務(wù)器的連接。通過這種技術(shù)，保證每個包源的真實(shí)有效性，確保服務(wù)器不被虛假請求浪費(fèi)資源，從而徹底防范對服務(wù)器的攻擊。

抗攻擊算法抗攻擊算法算法當(dāng)流量達(dá)到一定的數(shù)量限度時，所采取的一種通過降低性能，保證服務(wù)的不得已的方法。具體過程是：當(dāng)流量達(dá)到一定的閥值的時候，開始按照一定的算法丟棄后續(xù)的報文，保持主機(jī)的處理能力，這樣對于用戶而言，許多合法的請求可能被主機(jī)隨機(jī)丟棄，但是有部分請求還是可以得到服務(wù)器響應(yīng)，保證服務(wù)不間斷運(yùn)行的。

1518180153818025181803351818015181801518180連接表丟棄連接丟棄連接抗攻擊帶寬限制和保證帶寬限制和保證通過對報文種類、來源等各種特性設(shè)置閥值參數(shù)，保證主要服務(wù)穩(wěn)定可靠的資源供給。保證在高強(qiáng)度攻擊環(huán)境下一定的連接保持率和新連接發(fā)起成功率內(nèi)部網(wǎng)絡(luò)1518180153818025181803351818015181801518180Internet服務(wù)器3服務(wù)器1服務(wù)器2服務(wù)器負(fù)載均衡高可用性（）技術(shù)是為解決防火墻單點(diǎn)故障點(diǎn)，提供無縫的故障恢復(fù)，保障企業(yè)網(wǎng)絡(luò)的關(guān)鍵應(yīng)用。如：雙機(jī)熱備、集群（）技術(shù)等。Internet內(nèi)部網(wǎng)絡(luò)

高可用性技術(shù)防火墻雙機(jī)熱備內(nèi)部網(wǎng)外網(wǎng)或者不信任域001122狀態(tài)同步心跳線

檢測的狀態(tài)發(fā)現(xiàn)出故障，立即接管其工作正常情況下由主防火墻工作主防火墻出故障以后，接管它的工作

通過協(xié)議可以交換兩臺防火墻的狀態(tài)信息當(dāng)一臺防火墻故障時，這臺防火墻的連接不需要重新建立就可以透明的遷移到另一臺防火墻上，用戶不會察覺到目錄防火墻基本概念防火墻的發(fā)展歷程防火墻功能解析防火墻性能解析并發(fā)連接數(shù)定義：指穿越防火墻的主機(jī)之間或主機(jī)與防火墻之間能同時建立的最大連接數(shù)衡量標(biāo)準(zhǔn)：并發(fā)連接數(shù)的測試主要用來測試被測防火墻建立和維持連接的性能，同時也能通過并發(fā)連接數(shù)的大小體現(xiàn)被測防火墻對來自于客戶端的連接請求的響應(yīng)能力。理解細(xì)化：是防火墻能夠同時處理的點(diǎn)對點(diǎn)會話連接的最大數(shù)目，它反映防火墻對多個連接的訪問控制能力和連接狀態(tài)跟蹤能力。這個參數(shù)的大小可以直接影響到防火墻所能支持的最大信息點(diǎn)數(shù)并發(fā)連接數(shù)可以用來衡量穿越防火墻的主機(jī)之間能同時建立的最大連接數(shù)吞吐量定義：在不丟包的情況下能夠達(dá)到的最大速率衡量標(biāo)準(zhǔn)：吞吐量作為衡量防火墻性能的重要指標(biāo)之一,吞吐量小就會造成網(wǎng)絡(luò)新的瓶頸，以至影響到整個網(wǎng)絡(luò)的性能*$^&*&^#**(&6000B測試儀101100101000011111001010010001001000以最大速率發(fā)包直到出現(xiàn)丟包時的最大值防火墻吞吐量小就會成為網(wǎng)絡(luò)的瓶頸100M60M數(shù)據(jù)包首先排隊(duì)待防火墻檢查后轉(zhuǎn)發(fā)延時定義：入口處輸入幀最后1個比特到達(dá)至出口處輸出幀的第一個比特輸出所用的時間間隔衡量標(biāo)準(zhǔn)：防火墻的時延能夠體現(xiàn)它處理數(shù)據(jù)的速度101010010010010010106000B測試儀101100101000011111001010010001001000最后1個比特到達(dá)第一個比特輸出時間間隔101010011100111010101001110011101010010010100100010100010101010100100100100100100010造成數(shù)據(jù)包延遲到達(dá)目標(biāo)地丟包率定義：在連續(xù)負(fù)載的情況下，防火墻設(shè)備由于資源不足應(yīng)轉(zhuǎn)發(fā)但卻未轉(zhuǎn)發(fā)的幀百分比衡量標(biāo)準(zhǔn)：防火墻的丟包率對其穩(wěn)定性、可靠性有很大的影響Smartbits6000B測試儀發(fā)送了1000個包防火墻由于資源不足只轉(zhuǎn)發(fā)了800個包丟包率=（1000-800）/1000=20%1001010100101001000100100110010101001010010001001001背靠背定義：從空閑狀態(tài)開始，以達(dá)到傳輸介質(zhì)最小合法間隔極限的傳輸速率發(fā)送相當(dāng)數(shù)量的固定長度的幀，當(dāng)出現(xiàn)第一個幀丟失時，發(fā)送的幀數(shù)。衡量標(biāo)準(zhǔn)：背靠背的測試結(jié)果能體現(xiàn)出防火墻的緩沖容量，網(wǎng)絡(luò)上經(jīng)常有一些應(yīng)用會產(chǎn)生大量的突發(fā)數(shù)據(jù)包（如、備份、路由更新等），而且這樣的數(shù)據(jù)包的丟失可能會產(chǎn)生更多的數(shù)據(jù)包，強(qiáng)大的緩沖能力可以減少這種突發(fā)對網(wǎng)絡(luò)造成的影響。6000B測試儀少量包沒有數(shù)據(jù)包增多峰值包減少包數(shù)量（N)時間（T）背靠背指標(biāo)體現(xiàn)防火墻對突發(fā)數(shù)據(jù)的處理能力軟件發(fā)展：包過濾、應(yīng)用代理、狀態(tài)檢測、深度內(nèi)容過濾硬件發(fā)展：X86、嵌入式、、、多核接入方式：透明、路由、混合實(shí)現(xiàn)技術(shù)：安全區(qū)劃分、、策略路由、認(rèn)證技術(shù)、代理技術(shù)、高可用技術(shù)、支持性能指標(biāo)：并發(fā)連接數(shù)、吞吐量、時延、背靠背、丟包率第一章小節(jié)知識點(diǎn)回顧目錄

防火墻基礎(chǔ)介紹防火墻產(chǎn)品體系聯(lián)想網(wǎng)御信息安全

防火墻典型應(yīng)用與選型

目錄引言全系列技術(shù)優(yōu)勢數(shù)據(jù)包處理流程功能性能優(yōu)勢點(diǎn)安全新動態(tài)網(wǎng)絡(luò)規(guī)模越來越大網(wǎng)絡(luò)應(yīng)用越來越豐富以政治、利益為代表的網(wǎng)絡(luò)攻擊傳播成為熱點(diǎn)僵尸網(wǎng)絡(luò)規(guī)模逐步擴(kuò)大以拒絕服務(wù)（）為主要手段的網(wǎng)絡(luò)攻擊時時考驗(yàn)客戶的網(wǎng)絡(luò)以垃圾信息為代表的非法內(nèi)容浪費(fèi)著網(wǎng)絡(luò)的資源安全進(jìn)入體系時代要求建造安全的整體網(wǎng)絡(luò)從點(diǎn)轉(zhuǎn)變到面的方式考慮安全問題各種整體的解決方案和技術(shù)體系被提出聯(lián)想網(wǎng)御：下一代安全架構(gòu)天融信：可信網(wǎng)絡(luò)架構(gòu)：自防御網(wǎng)絡(luò)華為：安全滲透網(wǎng)絡(luò)銳捷：全局安全網(wǎng)絡(luò)安全網(wǎng)關(guān)成為各體系化的基本配置各種安全網(wǎng)關(guān)是安全的基礎(chǔ)設(shè)施防火墻成為最主要的基礎(chǔ)邊界安全設(shè)備市場發(fā)展趨勢(2008)

(國內(nèi)防火墻比例):25%網(wǎng)絡(luò)安全總額:11.6億美元71市場發(fā)展趨勢2006年2008年$0.2$2.3$0.5$1.2$1.3$1.5等防火墻新興市場.IDC權(quán)威市場統(tǒng)計(jì)防毒墻等2008年聯(lián)想網(wǎng)御產(chǎn)品布局55%防火墻20%、防毒墻、4%IDS入侵檢測系統(tǒng)6%安全管理系統(tǒng)15%網(wǎng)閘及數(shù)據(jù)交換平臺2008年聯(lián)想網(wǎng)御產(chǎn)品銷量比防火墻系列仍為主力產(chǎn)品安全網(wǎng)關(guān)形態(tài)專業(yè)化的網(wǎng)關(guān)集成化的網(wǎng)關(guān)軟件網(wǎng)關(guān)硬件網(wǎng)關(guān)安全網(wǎng)關(guān)的發(fā)展趨勢（一）國際廠家一般都有專用的操作系統(tǒng)廠家操作系統(tǒng)（）

安全網(wǎng)關(guān)的發(fā)展趨勢（二）國際廠家一般都有專用的操作系統(tǒng)硬件化和芯片化成為趨勢發(fā)展趨勢趨勢主機(jī)軟件形態(tài)————〉硬件形態(tài)數(shù)據(jù)轉(zhuǎn)發(fā)軟件處理————〉芯片處理加密硬件加速芯片內(nèi)容過濾內(nèi)容搜索加速芯片協(xié)議處理解壓縮、語音解碼等芯片安全網(wǎng)關(guān)的發(fā)展趨勢（三）國際廠家一般都有專用的操作系統(tǒng)硬件化和芯片化成為趨勢硬件平臺多樣化X86多核嵌入式組合防火墻角色的演化由3-4層控制向應(yīng)用層控制發(fā)展由單純防外部攻擊向防外&控內(nèi)發(fā)展由單純提供控制功能向提供系列服務(wù)發(fā)展實(shí)際場景79帶寬在不斷的增加，但是還是感覺捉襟見肘網(wǎng)速怎么這么慢呀！半天打不開一個網(wǎng)頁高效需求－流量帶寬合理分配無節(jié)制，無秩序的P2P資源下載消耗著有限的帶寬資源。

真正需要及時信息的業(yè)務(wù)得不到有效的保障。高效需求－提高工作效率

某企業(yè)有多少員工？N＝100人每位員工平均的月薪？S＝2000元員工每天在網(wǎng)上浪費(fèi)？T＝1小時

則該企業(yè)每年將為此付出成本:30萬！虛擬娛樂，如網(wǎng)游、網(wǎng)聊、炒股等應(yīng)用，使員工沉迷其中，消耗大量工作時間。60%的企業(yè)互聯(lián)網(wǎng)訪問與工作無關(guān)！服務(wù)需求－應(yīng)用種類繁多網(wǎng)絡(luò)應(yīng)用越來越多，用戶通過防火墻了解和管理網(wǎng)絡(luò)中的應(yīng)用需求越來越大用戶受技術(shù)背景限制，迫切希望防火墻設(shè)備內(nèi)置各種應(yīng)用安全需求－屏蔽高風(fēng)險網(wǎng)站互聯(lián)網(wǎng)上網(wǎng)站眾多，在一些看似合法的網(wǎng)站背后可能隱藏著病毒、木馬、蠕蟲等危險因素…如何屏蔽高風(fēng)險網(wǎng)站，降低安全風(fēng)險？安全需求－規(guī)避法律、道德的風(fēng)險各類色情、暴力、反動等非法、負(fù)面網(wǎng)站的訪問會帶來一系列問題：引發(fā)政治問題觸犯道德底線導(dǎo)致法律糾紛信息安全問題定位緩慢：技術(shù)人員希望發(fā)現(xiàn)問題后可以快速定位根源，缺少有效的行為查詢使技術(shù)人員定位問題緩慢。內(nèi)容失控：有悖國情的互聯(lián)網(wǎng)訪問很可能在企業(yè)不知情的情況下產(chǎn)生極端不好的負(fù)面影響。外發(fā)隨意：多種多樣的外發(fā)信息可能混雜有害的內(nèi)容，目前大部分外發(fā)信息對管理層來說是蒙在鼓里的。目錄引言全系列技術(shù)優(yōu)勢數(shù)據(jù)包處理流程功能性能優(yōu)勢點(diǎn)防火墻專利技術(shù)專利名稱專利號通過串口直連使用界面管理網(wǎng)絡(luò)設(shè)備的方法01103338網(wǎng)關(guān)級計(jì)算機(jī)病毒防范的方法及其裝置01109178.9基于橋的二層交換式防火墻包過濾的方法02100655.5實(shí)現(xiàn)防火墻交換式透明代理的方法02100656.3防火墻設(shè)備可變頻率的確認(rèn)式故障報警方法02100563實(shí)現(xiàn)支持虛擬局域網(wǎng)防火墻的方法02100852.3防火墻入侵檢測與響應(yīng)的方法02100851.5基于狀態(tài)檢測的鏈路層過濾的方法02125740網(wǎng)絡(luò)安全設(shè)備多工作模式自適應(yīng)的方法02156503.1防火墻與入侵檢測聯(lián)動的方法02155686.5防火墻包過濾動態(tài)開關(guān)協(xié)議通信端口的方法03102385.1防火墻技術(shù)理念聯(lián)想網(wǎng)御防火墻先進(jìn)理念平臺品牌戰(zhàn)略引擎技術(shù)通用安全平臺VSP智能VSP通用安全平臺自主創(chuàng)新、專利技術(shù)完善的體系結(jié)構(gòu)設(shè)計(jì)網(wǎng)絡(luò)實(shí)時性處理可移植及成熟度高高性能、高健壯性、高擴(kuò)展性功能鏈接數(shù)據(jù)平面系統(tǒng)服務(wù)平面控制平面硬件抽象平面通用安全平臺硬件抽象平面無縫融合，到、、多核等各種先進(jìn)硬件平臺系統(tǒng)服務(wù)平面與各模塊共同遵循標(biāo)準(zhǔn)函數(shù)接口，具有高度靈活性和可擴(kuò)展性控制平面優(yōu)化配置管理，使得系統(tǒng)性能大幅提升數(shù)據(jù)平面集成統(tǒng)一安全引擎，將漏洞和風(fēng)險拒之門外平臺項(xiàng)目通用安全平臺嵌入式操作系統(tǒng)通用操作系統(tǒng)適用范圍網(wǎng)絡(luò)設(shè)備、安全設(shè)備專用的設(shè)備通用、服務(wù)器等網(wǎng)絡(luò)處理實(shí)時性高高低系統(tǒng)安全性強(qiáng)中差硬件適應(yīng)性好差中系統(tǒng)可擴(kuò)展性高差高對比和其他操作系統(tǒng)的比較通用安全平臺統(tǒng)一安全引擎USE高效USE統(tǒng)一安全引擎一次性協(xié)議分析高效協(xié)同安全模塊專利匹配算法高準(zhǔn)確檢測效率標(biāo)準(zhǔn)化引擎輸入輸出統(tǒng)一化安全中心功能鏈接過濾文件過濾郵件檢查攻擊檢測病毒檢測過濾P2P過濾有效提高系統(tǒng)處理性能性能是關(guān)鍵統(tǒng)一安全引擎集成于單一平臺，構(gòu)造統(tǒng)一架構(gòu)，綜合并優(yōu)化各子系統(tǒng)，去除冗余，簡化數(shù)據(jù)處理流程，實(shí)現(xiàn)統(tǒng)一的安全引擎處理機(jī)制。方便構(gòu)建可管理的等級化安全體系推進(jìn)安全策略統(tǒng)一管理提升系統(tǒng)功能可擴(kuò)展性統(tǒng)一安全引擎較差中便利管理性中低高準(zhǔn)確性較難困難容易擴(kuò)展性聯(lián)想網(wǎng)御USE統(tǒng)一安全引擎采用基于摘要索引的專利算法，提高了系統(tǒng)性能較差較高高效效率指標(biāo)引擎單引擎多引擎專利統(tǒng)一安全引擎優(yōu)勢明顯與其他引擎比較統(tǒng)一安全引擎多重冗余協(xié)議MRP可靠MRP多重冗余協(xié)議鏈路冗余端口聚合雙機(jī)備份多機(jī)集群功能鏈接狀態(tài)包過濾的核心：狀態(tài)表不管采用什么樣的技術(shù)實(shí)現(xiàn)的雙機(jī)熱備和負(fù)載均衡，多機(jī)之間的狀態(tài)不一致，必然造成切換時會話中斷或按簡單包過濾處理而損失安全性，也無法處理，動態(tài)應(yīng)用等問題。

協(xié)議可以保證多臺設(shè)備之間的狀態(tài)一致性多重冗余協(xié)議內(nèi)部網(wǎng)001122心跳線0#1#狀態(tài)同步多重冗余協(xié)議可靠性體系1多重冗余協(xié)議的可靠性體系2目錄引言全系列技術(shù)優(yōu)勢數(shù)據(jù)包處理流程功能性能優(yōu)勢點(diǎn)防火墻數(shù)據(jù)包處理流程VPN解密抗攻擊IP/MAC綁定目的地址轉(zhuǎn)換路由查找用戶信息查找安全規(guī)則檢查深層內(nèi)容過濾源地址轉(zhuǎn)換QosVPN加密虛線框表示客觀存在的”潛規(guī)則”，可能對界面配置的規(guī)則產(chǎn)生影響紅色框內(nèi)的部分為每個包檢查，其他框?yàn)槭状芜B接檢查匹配代理規(guī)則轉(zhuǎn)入本機(jī)處理；匹配隱藏內(nèi)部服務(wù)、阻斷和黑名單等規(guī)則直接丟棄數(shù)據(jù)包防火墻規(guī)則順序圖防火墻規(guī)則根據(jù)作用順序分為代理、端口映射、映射、包過濾、規(guī)則五類。目錄引言全系列技術(shù)優(yōu)勢數(shù)據(jù)包處理流程功能性能優(yōu)勢點(diǎn)聯(lián)想網(wǎng)御防火墻產(chǎn)品線介紹SuperV系列：國內(nèi)首創(chuàng)NP/ASIC架構(gòu)千兆線速防火墻CCID評測表明國內(nèi)外產(chǎn)品綜合排名第一經(jīng)過5年半精心錘煉的國產(chǎn)千兆線速產(chǎn)品PowerV系列:多威脅統(tǒng)一管理的多功能安全網(wǎng)關(guān)基于內(nèi)核認(rèn)證的用戶安全準(zhǔn)入控制部署了3萬多臺套的高可用防火墻SmartV系列:集成防火墻、VPN、交換機(jī)功能于一身具有機(jī)架型和桌面型兩種設(shè)備部署方案適合小型企業(yè)及各類大集團(tuán)的分支機(jī)構(gòu)網(wǎng)御防火墻電信/金融大中型企業(yè)用戶SOHO小企業(yè)/分支機(jī)構(gòu)網(wǎng)御防火墻SuperV7000系列網(wǎng)御防火墻SuperV5000系列網(wǎng)御防火墻PowerV4000系列網(wǎng)御防火墻PowerV3000系列網(wǎng)御防火墻PowerV1000系列網(wǎng)御防火墻PowerV500系列網(wǎng)御防火墻PowerV400系列網(wǎng)御防火墻PowerV300系列網(wǎng)御防火墻PowerV200系列網(wǎng)御防火墻PowerV124系列網(wǎng)御防火墻PowerV160系列網(wǎng)御防火墻SmartV100系列網(wǎng)御防火墻SmartV80系列網(wǎng)御防火墻SmartV60系列網(wǎng)御防火墻SmartV40系列網(wǎng)御防火墻SmartV20系列3條產(chǎn)品線16個系列50種產(chǎn)品型號網(wǎng)絡(luò)吞吐并發(fā)連接百兆接口千兆接口市場定位V系列20~100M10~60萬1+4(20~60)3+4(80~100)－級160200M80萬3+8－百兆低端220500M120萬40~4百兆低端320700M140萬40~4百兆中端420900M160萬－4~8百兆線速5201.1G180萬－4~10百兆線速10203.5G200萬－21048千兆低端30205G220萬－(2~10)6千兆中低端40206G250萬－(2~10)6千兆中端50207G300萬－10(4~6)千兆高端70208G400萬－10(4~6)電信級800010G500萬－24或24萬兆900020G500~1000萬－48或4(4~8)萬兆聯(lián)想網(wǎng)御防火墻全線產(chǎn)品聯(lián)想網(wǎng)御防火墻全線產(chǎn)品照片超五系列(多核架構(gòu))(和混合架構(gòu))強(qiáng)五系列(X86架構(gòu))精五系列(嵌入式架構(gòu))金剛系列(多核架構(gòu))199820012003200520072008聯(lián)想研究院成立信息安全研究所聯(lián)想第一款防火墻網(wǎng)御FW2000發(fā)布聯(lián)想發(fā)布國內(nèi)第一款千兆線速NP架構(gòu)防火墻！同年，IDC報告聯(lián)想成為中國防火墻市場國內(nèi)品牌第一?。÷?lián)想發(fā)布覆蓋NP平臺，X86平臺、IXP嵌入式平臺的SuperV/PowerV/SmartV三大系列防火墻，建立了業(yè)內(nèi)最完善的防火墻產(chǎn)品線！聯(lián)想發(fā)布基于多核CPU架構(gòu)萬兆線速防火墻，領(lǐng)先業(yè)界！聯(lián)想網(wǎng)御防火墻發(fā)展歷程特性與優(yōu)勢(1)－細(xì)節(jié)成就專業(yè)并發(fā)連接數(shù)控制功能與復(fù)用多出口策略路由安全聯(lián)動集中管理策略分發(fā)負(fù)載均衡和多機(jī)集群獨(dú)特細(xì)節(jié)功能點(diǎn)細(xì)節(jié)成就專業(yè)細(xì)節(jié)功能點(diǎn)－并發(fā)連接數(shù)控制精確到單個連接控制動態(tài)學(xué)習(xí)功能會話統(tǒng)計(jì)方式連接狀態(tài)分類查詢源/目的連接排行榜細(xì)節(jié)功能點(diǎn)－功能與功能復(fù)用支持國密辦專用算法2獨(dú)有的隧道接力功能，可通過隧道接力實(shí)現(xiàn)分級的樹狀結(jié)構(gòu)部署客戶端兼容系統(tǒng)安全可靠的細(xì)節(jié)功能點(diǎn)－多出口路由多出口策略路由鏈路探測多出口自動選路，減少跨延時動態(tài)路由（、等），間路由，單臂路由，組播路由等核心網(wǎng)絡(luò)聯(lián)想網(wǎng)御120防火墻辦公區(qū)策略路由112安全聯(lián)動內(nèi)網(wǎng)安全管理軟件聯(lián)動入侵檢測設(shè)備聯(lián)動遵循安全關(guān)聯(lián)標(biāo)準(zhǔn)內(nèi)外網(wǎng)安全管理統(tǒng)一解決方案細(xì)節(jié)功能點(diǎn)－安全聯(lián)動管理界面簡潔清晰，美觀大方防火墻策略分發(fā)，并實(shí)現(xiàn)對設(shè)備監(jiān)控、集中日志審計(jì)、安全報警實(shí)現(xiàn)對網(wǎng)絡(luò)拓?fù)涞墓芾恚谟虻臋?quán)限分配和報表自動生成，以及設(shè)備的歷史狀況回放對多臺分級的認(rèn)證防火墻進(jìn)行統(tǒng)一管理和分組授權(quán)113細(xì)節(jié)功能點(diǎn)－集中管理細(xì)節(jié)功能點(diǎn)－負(fù)載均衡智能鏈路探測，無需人工干預(yù)輪詢、最少連接、響應(yīng)速度等多種負(fù)載均衡算法支持基于會話的負(fù)載均衡（同一會話走同一條路由）基于802.3標(biāo)準(zhǔn)的多端口聚合，實(shí)現(xiàn)零成本擴(kuò)展帶寬通過狀態(tài)同步技術(shù)實(shí)現(xiàn)2～32臺防火墻的多機(jī)集群115P2P下載軟件控制娛樂視頻播放控制即時通訊軟件控制在線游戲控制炒股軟件控制技術(shù)先進(jìn)，特征碼識別應(yīng)用識別控制特性與優(yōu)勢(2)－應(yīng)用識別控制復(fù)雜應(yīng)用控制應(yīng)用識別控制－P2P下載P2P下載控制細(xì)粒度控制主流P2P下載軟件：迅雷5、、、、、、酷狗、脫兔、超級旋風(fēng)等高效協(xié)同處理的統(tǒng)一安全引擎特征分析精細(xì)度高、內(nèi)核匹配速率快識別率高、立竿見影分布式異步處理機(jī)制（），不影響性能應(yīng)用識別控制－視頻播放P2P視頻播放控制對、、、、迅雷看看、沸點(diǎn)、等P2P視頻播放軟件進(jìn)行識別控制對視頻播放軟件進(jìn)行帶寬管理控制可以制定精細(xì)化的P2P視頻控制管理策略：即最大化P2P在工作中應(yīng)用，最小化P2P在娛樂中應(yīng)用應(yīng)用識別控制－控制即時通訊軟件控制對20088.1等多種聊天軟件進(jìn)行精確控制可阻斷、淘寶旺旺、新浪、、百度、雅虎等主流即時通訊軟件一鍵式阻斷軟件機(jī)密文件傳輸支持對使用權(quán)和使用時間的監(jiān)控管理精確控制到單個應(yīng)用識別控制－網(wǎng)游控制網(wǎng)游控制識別和控制魔獸、、征途、聯(lián)眾、天堂、夢幻西游、仙劍情緣、熱血江湖、勁舞團(tuán)、誅仙、浩方、泡泡堂等多種在線游戲軟件應(yīng)用識別控制－炒股控制炒股軟件控制識別和控制大智慧、同花順、國泰君安、證券之星、廣發(fā)證券、指南針、通達(dá)信、股票之星、華安證券、和訊報道、錢龍等多種炒股軟件應(yīng)用識別控制－專業(yè)技術(shù)025支持基于用戶、時間段、應(yīng)用協(xié)議的帶寬分配管理策略支持自定義帶寬通道，以及對應(yīng)的優(yōu)先級、速率上限和下限的設(shè)定根據(jù)業(yè)務(wù)需要對應(yīng)用劃分通道122特性與優(yōu)勢(3)－過濾國際領(lǐng)先的中文過濾系統(tǒng)應(yīng)用協(xié)議分析策略獨(dú)有預(yù)搜索引擎采用高速辨認(rèn)技術(shù)，縮短匹配時間分類庫過濾過濾－分類庫最先進(jìn)的基于行為結(jié)果的預(yù)分類模式全部人工校驗(yàn)，保證分類正確率中文分類數(shù)據(jù)庫52大類，1000萬條種類包括色情、反動、暴力、毒品、賭博等多種負(fù)面網(wǎng)站基本覆蓋中國大陸網(wǎng)站智能分類引擎客戶定期自動更新，保證實(shí)效性升級包處理方式、方便實(shí)用過濾－應(yīng)用策略定制提供用戶定制的過濾策略郵件報警功能、實(shí)時狀態(tài)分析用戶自定義過濾列表樹狀協(xié)議，分級控制，粒度精細(xì)基于協(xié)議特征值以及行為特征識別，而非傳統(tǒng)或端口多層次應(yīng)用協(xié)議分析、確保控制的效果和準(zhǔn)確度精細(xì)特征庫125無約束的網(wǎng)頁訪問預(yù)置庫＋靈活的自定義＋及時的升級＝健康的行為基于預(yù)搜索引擎的過濾機(jī)制，先匹配大類，再進(jìn)行細(xì)粒度過濾網(wǎng)址匹配文件類型URL預(yù)分類庫用戶自定義基于預(yù)搜索引擎技術(shù)策略加載后bad過濾－搜索引擎過濾－高速辨認(rèn)技術(shù)智能透視分析技術(shù) 在網(wǎng)絡(luò)中，應(yīng)用層數(shù)據(jù)被分拆封裝在多個數(shù)據(jù)包中傳輸，為了獲得完整的內(nèi)容，必須把連續(xù)的多個包“拆封”重新組合起來。聯(lián)想網(wǎng)御專有的智能透視分析技術(shù)，能夠智能判斷哪些包可以放過，哪些包需要暫留重組，減少了包處理的數(shù)量，從而提高數(shù)據(jù)流的分析效率過濾－智能技術(shù)智能分析引擎數(shù)據(jù)流數(shù)據(jù)包智能分析128特性與優(yōu)勢(4)－新硬件硬件平臺更新?lián)Q代網(wǎng)口模塊化擴(kuò)展硬件加速卡、加密卡等擴(kuò)展穩(wěn)定性、可靠性增強(qiáng)性能大幅度提升新硬件平臺新硬件－平臺更換硬件平臺更新?lián)Q代百兆防火墻200/300/400系列可擴(kuò)展到8個電口500系列可擴(kuò)展到12個電口可將硬件規(guī)格調(diào)整為2U機(jī)箱/雙冗余電源千兆防火墻1000系列可將硬件規(guī)格調(diào)整為2U機(jī)箱/雙冗余電源3626/4626網(wǎng)絡(luò)接口規(guī)格可以定制調(diào)整為210電3A26/4A26/5A26/7A26網(wǎng)絡(luò)接口規(guī)格可以定制調(diào)整或擴(kuò)展為： 214電;146電;1010電;186電;1014電 通過后續(xù)努力，力爭最大端口數(shù)達(dá)到28-32口8000可以擴(kuò)展到24個千兆口或4個千兆口加2個萬兆口新硬件－性能提升穩(wěn)定性、可靠性增強(qiáng)加固式硬件設(shè)計(jì)，可靠運(yùn)行時間網(wǎng)絡(luò)處理性能大幅度提