01-藍(lán)盾高性能萬兆防火墻技術(shù)白皮書

藍(lán)盾萬兆高性能防火墻技術(shù)白皮書電信級架構(gòu)專用智能安全芯片多核（128）并行處理廣東天海威數(shù)碼技術(shù)有限公司藍(lán)盾防萬兆高性能防火墻技術(shù)白皮書廣東天海威數(shù)碼技術(shù)有限公司第1頁共30頁目錄TOC\o"1-3"第1章產(chǎn)品簡介 21.1系統(tǒng)組成 3第2章防火墻體系架構(gòu)分析 42.1體系架構(gòu)的演變 42.2基于FDT指標(biāo)的體系架構(gòu)分布 62.3藍(lán)盾第三代ISS集成安全體系架構(gòu) 7第3章藍(lán)盾芯片級硬件防火墻體系架構(gòu) 93.1高速安全處理單元SPU 113.2安全處理芯片 113.3安全處理芯片處理流程 143.4高速背板總線及高速管理通道 153.5軟件系統(tǒng) 15第4章產(chǎn)品特性 174.1強(qiáng)大的攻擊防范能力 174.2增強(qiáng)的防火墻過濾功能 174.3IDS聯(lián)動(dòng) 184.4AllInOne集成功能 194.5支持多種功能模式 204.6NAT應(yīng)用 214.7安全保障的VPN應(yīng)用 221.2防火墻雙機(jī)熱備份 224.8完備的流量監(jiān)控 224.9靈活便捷的維護(hù)管理 234.10支持多種以太網(wǎng)接口 244.11詳盡統(tǒng)一的日志 244.12可靠的產(chǎn)品設(shè)計(jì) 25第5章系統(tǒng)結(jié)構(gòu) 265.1產(chǎn)品外觀 26產(chǎn)品前視圖 26產(chǎn)品后視圖 26產(chǎn)品頂視圖 275.2產(chǎn)品性能指標(biāo) 275.3功能特性列表 27產(chǎn)品簡介隨著網(wǎng)絡(luò)帶寬和各種應(yīng)用的高速增長，對防火墻產(chǎn)品的處理性能提出了更高的要求。X86架構(gòu)的防火墻采用通用CPU和PCI總線接口，往往會(huì)受到PCI總線的帶寬及CPU處理能力的限制；NP、ASIC架構(gòu)的防火墻雖然解決了帶寬問題，但對高層業(yè)務(wù)應(yīng)用支持較差。作為專門設(shè)計(jì)網(wǎng)絡(luò)安全產(chǎn)品的廣東天海威數(shù)碼技術(shù)有限公司利用自身的優(yōu)勢，結(jié)合我國的網(wǎng)絡(luò)安全現(xiàn)狀，成功研制出了基于電信級架構(gòu)，專用智能安全芯片及多核（128）并行處理能力的萬兆級高性能防火墻，既成功解決了帶寬問題，全雙工吞吐量FDT最大支持高達(dá)12Gbps，又實(shí)現(xiàn)了高層應(yīng)用業(yè)務(wù)的全面支持能力。藍(lán)盾萬兆高性能防火墻采用自主研發(fā)的BluedonSec?、BluedonCrypt?安全處理芯片和P4-MCPU以及自主產(chǎn)權(quán)操作系統(tǒng)Bluedon?的ISS（IntegratedSecuritySystem）集成安全系統(tǒng)架構(gòu)，全面提升防火墻產(chǎn)品的報(bào)文過濾檢測、攻擊檢測、加解密、NAT特性、VPN特性等各方面性能的同時(shí)；并可實(shí)現(xiàn)安全業(yè)務(wù)的全方面拓展，其靈活的模塊化結(jié)構(gòu)綜合報(bào)文過濾、狀態(tài)檢測、數(shù)據(jù)加解密功能、VPN業(yè)務(wù)、NAT業(yè)務(wù)、流量監(jiān)管、攻擊防范、安全審計(jì)以及用戶管理認(rèn)證等安全功能于一體，實(shí)現(xiàn)業(yè)務(wù)功能的按需定制和快速服務(wù)、響應(yīng)升級，構(gòu)建新一代安全體系架構(gòu)和安全產(chǎn)品。藍(lán)盾萬兆高性能防火墻為19英寸1U或2U標(biāo)準(zhǔn)機(jī)箱，機(jī)箱上帶有console口、HA接口，并可最多擴(kuò)展至8GE或8GE＋32FE，藍(lán)盾萬兆高性能防火墻可提供單或雙電源供電?？梢园惭b兩塊交流或兩塊直流電源模塊，實(shí)現(xiàn)雙路供電及電源的冗余備份，并支持電源模塊/多功能接口模塊熱插拔。藍(lán)盾萬兆高性能防火墻采用集成的軟件和硬件平臺(tái)，采用了專有的、實(shí)時(shí)的操作系統(tǒng)，可以根據(jù)用戶下發(fā)的策略靈活劃分安全區(qū)域，不僅能設(shè)置為預(yù)定義的受信區(qū)、非受信區(qū)或者DMZ(demilitarizedzone)區(qū)，還可以自定義為其他安全級別的區(qū)域。當(dāng)數(shù)據(jù)在不同安全級別區(qū)域、不同接口以及不同安全區(qū)之間轉(zhuǎn)發(fā)的時(shí)候，防火墻將對所有轉(zhuǎn)發(fā)經(jīng)過的數(shù)據(jù)報(bào)文進(jìn)行全面的過濾、檢測。藍(lán)盾萬兆高性能防火墻是新一代高速狀態(tài)檢測防火墻，不僅支持豐富的協(xié)議（如HTTP、FTP、SMTP、H.323、IPsec等），而且還支持有害命令和不法協(xié)議的檢測功能。提供高速的策略過濾、基于高速硬件過濾檢測的防攻擊、針對具體協(xié)議應(yīng)用的狀態(tài)檢測、靜態(tài)和動(dòng)態(tài)黑名單過濾、不同策略業(yè)務(wù)的流控等特性。藍(lán)盾萬兆高性能防火墻提供的豐富統(tǒng)計(jì)分析功能和分級分類的詳細(xì)日志輸出為用戶進(jìn)一步跟蹤非法事件提供了必要的保障。系統(tǒng)組成藍(lán)盾萬兆高性能防火墻主要由以下幾部分子系統(tǒng)組成：藍(lán)盾萬兆高性能防火墻（硬件平臺(tái)）：是一個(gè)基于天海威公司自主知識(shí)產(chǎn)權(quán)國內(nèi)首款專用安全處理芯片Bluedon?的硬件防火墻平臺(tái)，其最大處理性能可達(dá)到12Gbps全雙工線速吞吐量，同時(shí)配置P-M1.7G的CPU進(jìn)行安全業(yè)務(wù)的管理，該款防火墻的核心安全處理芯片和系統(tǒng)CPU均達(dá)到業(yè)界頂級的處理能力Bluedon?（操作系統(tǒng)）：基于自主知識(shí)產(chǎn)權(quán)的專用安全操作系統(tǒng)，與Bluedon?專用安全處理芯片配合實(shí)現(xiàn)高速處理性能的同時(shí)，并可在其平臺(tái)上更大空間的擴(kuò)展多業(yè)務(wù)、“AllInOne”的特性。藍(lán)盾萬兆高性能防火墻應(yīng)用管理平臺(tái)（軟件）：是一個(gè)可運(yùn)行于Windows98、Windows2000、WindowsXP系統(tǒng)下，用于對處于不同網(wǎng)絡(luò)中的多個(gè)藍(lán)盾萬兆高性能防火墻進(jìn)行管理配置的WebUI管理軟件。日志管理器Net-view（軟件）：是一個(gè)可運(yùn)行于Windows98、Windows2000、WindowsXP系統(tǒng)下，用于對藍(lán)盾萬兆高性能防火墻提供的訪問日志信息進(jìn)行可視化審計(jì)的管理軟件。藍(lán)盾萬兆高性能防火墻技術(shù)白皮書防火墻體系架構(gòu)分析體系架構(gòu)的演變防火墻在經(jīng)過幾年繁榮的發(fā)展下，已經(jīng)形成了多種類型的體系架構(gòu)，并且?guī)追N體系架構(gòu)的設(shè)備并存互補(bǔ)，并不斷演變升級。從第一代的PC機(jī)軟件，到工控機(jī)、PC-Box，到MIPS架構(gòu)，到第二代的NP、ASIC架構(gòu)，到第三代的專用安全處理芯片背板交換架構(gòu)，以及“AllInOne”集成安全體系架構(gòu)，為了對更廣泛業(yè)務(wù)、更高性能的支持，各個(gè)不同廠家全力發(fā)揮，推動(dòng)了整個(gè)技術(shù)以及市場的發(fā)展。目前，防火墻產(chǎn)品的三代體系架構(gòu)主要為：第一代架構(gòu)：主要是以單一CPU作為整個(gè)系統(tǒng)業(yè)務(wù)和管理的核心，CPU有X86、PowerPC、MIPS等多類型，產(chǎn)品主要表現(xiàn)形式是PC機(jī)、工控機(jī)、PC-Box或RISC-Box等等；第二代架構(gòu)：以NP或ASIC作為業(yè)務(wù)處理的主要核心，對一般安全業(yè)務(wù)進(jìn)行加速，嵌入式CPU為管理核心，產(chǎn)品主要表現(xiàn)形式為Box等；第三代架構(gòu)：以高速安全處理芯片作為業(yè)務(wù)處理的主要核心，采用高性能CPU發(fā)揮多種安全業(yè)務(wù)的高層應(yīng)用，產(chǎn)品主要表項(xiàng)形式為高可靠、電信級、背板交換的機(jī)架式設(shè)備，容量大性能高，各單元及系統(tǒng)靈活可擴(kuò)展、可升級、可維護(hù)。三代體系架構(gòu)分析對比安全設(shè)備體系架構(gòu)第一代體系架構(gòu)（之X86/PPC架構(gòu)）第一代體系架構(gòu)（之MIPS架構(gòu)）第二代體系架構(gòu)（之NP架構(gòu)）第二代體系架構(gòu)（之ASIC架構(gòu)）第三代ISS集成安全體系架構(gòu)平臺(tái)架構(gòu)包括PC機(jī)、工控機(jī)、嵌入式平臺(tái)、PC-Box等硬件平臺(tái)基于MIPSCPU的Box式硬件平臺(tái)主要為NP＋嵌入式CPU主要為ASIC＋嵌入式CPU專用安全處理芯片＋高性能CPU＋背板交換機(jī)架式架構(gòu)安全處理核心X86CPU或PowerPcCPUMIPSCPUNPASIC專用安全處理芯片安全處理核心特性ALU運(yùn)算單元，需要指令進(jìn)行調(diào)度，可多進(jìn)程、串行流水線調(diào)度操作多個(gè)ALU處理單元，甚至可達(dá)到8～16個(gè)，ALU可并行處理提升整體的性能，對于不同的處理單元由上層軟件編碼指令控制處理采用4~8個(gè)類似ALU的微碼處理核，需要編碼指令進(jìn)行調(diào)度，一切業(yè)務(wù)的支持和應(yīng)用依賴微處理核的指令執(zhí)行性能；支持業(yè)務(wù)代碼量以及指令量的上升將線性的影響NP處理性能；主要針對IP報(bào)文4層以下處理不需要編碼指令調(diào)度，不取決于指令執(zhí)行性能；可針對不同的功能模塊如防攻擊、過濾、狀態(tài)檢測、NAT等由不同的固化加速模塊處理，不同的加速模塊可并行處理不取決于指令執(zhí)行性能，具備成百上千個(gè)特定處理功能模塊，相當(dāng)于成百上千個(gè)核同時(shí)運(yùn)行；可以最多支持128個(gè)報(bào)文的并行進(jìn)程處理，并且不同的功能模塊如防攻擊、過濾、狀態(tài)檢測、NAT、VPN等由不同的固化加速引擎模塊處理，即使是防攻擊的小功能處理如圣誕樹、Teardrop、LandAttack等也由不同的固化加速引擎處理安全處理核心優(yōu)劣勢核心單一、等待指令周期的進(jìn)程和線程調(diào)度操作，不具備對報(bào)文處理的固化引擎；通用CPU，特性不專一，效率低下精簡指令集，可以象X86CPU一樣靈活應(yīng)用，通過多個(gè)ALU單元提升整體性能，不具備對報(bào)文處理的固化引擎；特性不專一，但性能較通用CPU略高對報(bào)文四層以內(nèi)的處理有部分固化模塊引擎可提高性能，四層以上尤其安全特性性能受限于可編程的核處理能力，對高層安全業(yè)務(wù)的處理能力不比X86CPU好多少，如快速策略匹配、防攻擊、狀態(tài)檢測等業(yè)務(wù)功能由固化的加速模塊并行處理，性能高，但芯片功能不可更改，靈活性差，對新業(yè)務(wù)的適應(yīng)能力差，流片時(shí)間長費(fèi)用高，不適宜于芯片技術(shù)能力和資金力量薄弱的企業(yè)每個(gè)細(xì)小業(yè)務(wù)功能都由固化的加速引擎模塊處理，數(shù)百的功能模塊可完全并行線速處理，對于報(bào)文的2到7層的任何業(yè)務(wù)處理毫不受限，可針對快速策略匹配、防攻擊、狀態(tài)檢測、加解密、NAT等功能完全定制線速處理模塊安全處理核心優(yōu)勢應(yīng)用領(lǐng)域多業(yè)務(wù)處理、復(fù)雜的控制操作，對NAT、加解密、IDS、防病毒等可靈活應(yīng)用多業(yè)務(wù)處理、復(fù)雜的控制操作，對NAT、加解密、IDS、防病毒等可靈活應(yīng)用對報(bào)文四層信息以內(nèi)的處理靈活、性能較高，如報(bào)文路由轉(zhuǎn)發(fā)、報(bào)文管理調(diào)度、部分Qos業(yè)務(wù)；但對防攻擊、加解密、IDS、防病毒等幾乎不可處理；對報(bào)文五層信息以內(nèi)的處理性能非常高，如路由轉(zhuǎn)發(fā)、狀態(tài)檢測、應(yīng)用代理、報(bào)文管理、策略過濾、防攻擊等，但對防病毒、行為級的IDS需要和CPU配合以提高性能，適用于成本低、產(chǎn)量大的低端安全產(chǎn)品安全業(yè)務(wù)處理靈活、性能非常高，如路由轉(zhuǎn)發(fā)、狀態(tài)檢測、應(yīng)用代理、報(bào)文管理、策略過濾、NAT、加解密、防攻擊等，但對防病毒、行為級的IDS需要和CPU配合應(yīng)用以提高性能管理核心X86CPU或PowerPcCPU，業(yè)務(wù)與管理采用同一CPU處理，性能受限MIPSCPU，業(yè)務(wù)與管理采用同一個(gè)處理單元嵌入式PowerPC等CPU，業(yè)務(wù)平面與管理平面分離，擴(kuò)展性和可靠性較好嵌入式PowerPC等CPU，業(yè)務(wù)平面與管理平面分離，擴(kuò)展性和可靠性較好采用高性能的X86CPU或MIPSCPU，業(yè)務(wù)平面與管理平面分離，擴(kuò)展性和可靠性非常好，業(yè)務(wù)應(yīng)用能力強(qiáng)軟件應(yīng)用Windows上層安全應(yīng)用程序或基于Linux/XBSD等操作系統(tǒng)內(nèi)核OS基于Linux/XBSD以及其他專用的操作系統(tǒng)內(nèi)核OS配合NP的微碼/驅(qū)動(dòng)程序和基于Linux/XBSD以及其他專用操作系統(tǒng)內(nèi)核OS配合ASIC芯片的驅(qū)動(dòng)程序和基于Linux/XBSD以及其他專用操作系統(tǒng)內(nèi)核OS配合專用安全處理芯片的驅(qū)動(dòng)程序和基于Linux/XBSD以及其他專用操作系統(tǒng)內(nèi)核OS操作系統(tǒng)層次及復(fù)雜度基于Windows等操作系統(tǒng)上層應(yīng)用，層次復(fù)雜、效率低下；而基于Linux/XBSD的操作系統(tǒng)內(nèi)核OS性能相對較高，但局限于CPU的理論處理能力基于Linux/XBSD以及其他專用的操作系統(tǒng)內(nèi)核OS性能和效率相對較高由微碼控制、驅(qū)動(dòng)程序、操作系統(tǒng)Kernel和控制層等多個(gè)層面協(xié)同工作，復(fù)雜度增加，性能相對較高由驅(qū)動(dòng)程序、操作系統(tǒng)內(nèi)核OS構(gòu)成，控制直接、效率最高由驅(qū)動(dòng)程序、操作系統(tǒng)內(nèi)核OS構(gòu)成，控制直接、效率最高軟件開發(fā)難度最簡單，容易移植應(yīng)用成熟特性復(fù)雜，有些需要專用的操作系統(tǒng)微碼開發(fā)復(fù)雜、控制不靈活較簡單，但是驅(qū)動(dòng)程序配置需要對芯片有較深入的了解較簡單，但是驅(qū)動(dòng)程序配置需要對芯片有較深入的了解架構(gòu)總體評價(jià)靈活，業(yè)務(wù)支持能力強(qiáng)，但性能低下，64字節(jié)全雙工線速吞吐量FDT在百兆級別靈活，業(yè)務(wù)支持能力強(qiáng)，性能相對較好，但在進(jìn)行安全業(yè)務(wù)及IP報(bào)文處理時(shí)，64字節(jié)全雙工線速吞吐量FDT在1Gbps級別報(bào)文L2~L4層（TCP層及以下）初級處理能力較高，無法支持大量L4層以上的業(yè)務(wù)并行處理，即使能夠支持，性能受指令數(shù)量和執(zhí)行效率影響將線性下降；嵌入式CPU及操作系統(tǒng)的復(fù)雜性導(dǎo)致對高層安全應(yīng)用業(yè)務(wù)支持較差性能非常高，對于大多數(shù)安全處理的瓶頸，均可由固化的功能模塊來大幅度提升性能；由于ASIC的固化性及嵌入式CPU的效率低、靈活性差等因素，對高層安全應(yīng)用業(yè)務(wù)支持較差靈活高性能，針對安全定制，從L2～L7均可編程定制，對于任何安全處理的瓶頸，均可采用固化功能模塊引擎提升性能，其多類型防攻擊、加解密、多流多策略處理性能尤其突出；由于采用通用的高性能CPU可靈活高效的支持安全應(yīng)用業(yè)務(wù)適用領(lǐng)域中低端、SOHO、終端UTM中端應(yīng)用、UTM中高端應(yīng)用，強(qiáng)調(diào)報(bào)文轉(zhuǎn)發(fā)能力、安全業(yè)務(wù)應(yīng)用單薄的領(lǐng)域中高端應(yīng)用，強(qiáng)調(diào)報(bào)文轉(zhuǎn)發(fā)能力、安全業(yè)務(wù)應(yīng)用單薄的領(lǐng)域中高端應(yīng)用，整合交換、NAT、防火墻、加解密、防攻擊、IPS、內(nèi)容過濾于一體的高性能設(shè)備，中高端UTM，既突出性能又突出業(yè)務(wù)能力基于FDT指標(biāo)的體系架構(gòu)分布隨著Internet以及IDC、辦公網(wǎng)絡(luò)的高速發(fā)展，客戶對防火墻的性能要求也越來越高，防火墻作為一個(gè)重要的網(wǎng)絡(luò)安全設(shè)備，在網(wǎng)絡(luò)中的位置是非常重要的也是非常關(guān)鍵的；防火墻作為網(wǎng)絡(luò)流量必經(jīng)設(shè)備，必須突破性能的瓶頸，其處理性能和帶寬應(yīng)該大于實(shí)際流量帶寬。衡量防火墻的性能指標(biāo)主要包括吞吐量、報(bào)文轉(zhuǎn)發(fā)率、最大并發(fā)連接數(shù)、每秒新建連接數(shù)，其中吞吐量和報(bào)文轉(zhuǎn)發(fā)率是目前關(guān)系到防火墻應(yīng)用和發(fā)展的主要指標(biāo)，一般采用FDT（FullDuplexThroughput）來衡量，指64字節(jié)數(shù)據(jù)包的全雙工吞吐量，該指標(biāo)既包括吞吐量指標(biāo)也涵蓋了報(bào)文轉(zhuǎn)發(fā)率指標(biāo)。FDT與端口容量的區(qū)別：端口容量指物理端口的容量總和。如果防火墻接了2個(gè)千兆端口，端口容量為2Gb，但實(shí)際的防火墻處理能力只有200Mb，則FDT實(shí)際應(yīng)該是200Mb。FDT與HDT的區(qū)別：HDT指半雙工吞吐量(HalfDuplexThroughput)。對于一個(gè)網(wǎng)絡(luò)接口，可以同時(shí)收發(fā)數(shù)據(jù)。一個(gè)千兆口可以同時(shí)以1Gb的速度收和發(fā)。按FDT來說，就是1Gb；按HDT來說，就是2Gb。有些防火墻的廠商所說的吞吐量，往往是HDT。一般來說，即使有多個(gè)網(wǎng)絡(luò)接口，防火墻的核心處理往往也只有一個(gè)處理器完成，要么是CPU，要么是安全處理芯片或NP、ASIC等。對于防火墻應(yīng)用，應(yīng)該充分強(qiáng)調(diào)64字節(jié)數(shù)據(jù)的整機(jī)全雙工吞吐量，該指標(biāo)主要由CPU或安全處理芯片、NP、ASIC等核心處理單元的處理能力和防火墻體系架構(gòu)來決定。對于不同的體系架構(gòu)，其FDT適應(yīng)的范圍是不一樣的，如對于第一代單CPU體系架構(gòu)其理論最大FDT不超過200Mbps，對于中高端的防火墻應(yīng)用，必須采用第二代或第三代ISS體系架構(gòu)，而天海威公司的ISS第三代安全體系架構(gòu)充分繼承了大容量GSR路由器、交換機(jī)的架構(gòu)特點(diǎn)，可以在支持多安全業(yè)務(wù)的基礎(chǔ)上，充分發(fā)揮高吞吐量、高報(bào)文轉(zhuǎn)發(fā)率的能力。下圖是不同體系架構(gòu)業(yè)務(wù)特性、性能對比分布圖：體系架構(gòu)業(yè)務(wù)特性、性能對比分布圖藍(lán)盾第三代ISS集成安全體系架構(gòu)廣東天海威數(shù)碼技術(shù)有限公司擁有國內(nèi)高性能體系架構(gòu)設(shè)計(jì)經(jīng)驗(yàn)的資深專家團(tuán)隊(duì)，在反復(fù)論證研究下，根據(jù)未來國內(nèi)國際市場對于高性能多業(yè)務(wù)安全的需求，推出了第三代ISS（IntegratedSecuritySystem）集成安全體系架構(gòu)，充分考慮吸收了不同硬件架構(gòu)的優(yōu)勢并提出了新的創(chuàng)新。天海威公司突破了目前國內(nèi)傳統(tǒng)安全廠家在高性能硬件技術(shù)、自主產(chǎn)權(quán)硬件平臺(tái)、自主知識(shí)產(chǎn)權(quán)芯片技術(shù)“零”的理解和研究，推出了自主研發(fā)的Bluedon?、BluedonCrypt?安全芯片和P4-MCPU以及自主產(chǎn)權(quán)操作系統(tǒng)Bluedon?的ISS（IntegratedSecuritySystem）集成安全系統(tǒng)架構(gòu)，全面提升防火墻產(chǎn)品的報(bào)文過濾檢測、攻擊檢測、加解密、NAT特性、VPN特性等各方面性能的同時(shí)；并可實(shí)現(xiàn)安全業(yè)務(wù)的全方面拓展，其靈活的模塊化結(jié)構(gòu)綜合報(bào)文過濾、狀態(tài)檢測、數(shù)據(jù)加解密功能、VPN業(yè)務(wù)、NAT業(yè)務(wù)、流量監(jiān)管、攻擊防范、安全審計(jì)以及用戶管理認(rèn)證等安全功能于一體，實(shí)現(xiàn)業(yè)務(wù)功能的按需定制和快速服務(wù)、響應(yīng)升級，構(gòu)建新一代安全體系架構(gòu)和安全產(chǎn)品。藍(lán)盾ISS（IntegratedSecuritySystem）體系架構(gòu)的主要特點(diǎn)：采用結(jié)構(gòu)化芯片技術(shù)設(shè)計(jì)的專用安全處理芯片Bluedon?、BluedonCrypt?作為安全業(yè)務(wù)的處理核心，大幅提升吞吐量、轉(zhuǎn)發(fā)率、加解密等處理能力；其中結(jié)構(gòu)化芯片技術(shù)可編程定制線速處理模塊，以快速滿足客戶需求；采用高性能通用CPU作為設(shè)備的管理中心和上層業(yè)務(wù)拓展平臺(tái)，可以平滑高效靈活的移植并支持上層安全應(yīng)用業(yè)務(wù)，提升系統(tǒng)的應(yīng)用業(yè)務(wù)處理能力；采用大容量交換背板承載大量的業(yè)務(wù)總線和管理通道，其中千兆Serdes業(yè)務(wù)總線和PCI管理通道物理分離，不僅業(yè)務(wù)層次劃分清晰便于管理，而且性能互不受限；采用電信級機(jī)架式設(shè)計(jì)，無論是SPU安全處理單元、MPU主處理單元及其他各類板卡、電源、機(jī)框等模塊在可擴(kuò)展、可拔插、防輻射、防干擾、冗余備份、可升級等方面做了全方位考慮，真正的實(shí)現(xiàn)了安全設(shè)備的電信級可靠性和可用性；不僅達(dá)到了安全業(yè)務(wù)的高性能而且實(shí)現(xiàn)了”AllinOne”，站在客戶角度解決了多業(yè)務(wù)、多設(shè)備的整合，避免了單點(diǎn)設(shè)備故障和安全故障，大大降低了管理復(fù)雜度；此外通過背板及線路接口單元LIU擴(kuò)展可提供高密度的業(yè)務(wù)接口，BDFWH-G5000-K整機(jī)最多可達(dá)到8GE或8GE＋32FE。

藍(lán)盾芯片級硬件防火墻體系架構(gòu)藍(lán)盾芯片級硬件防火墻體系架構(gòu)在以下幾方面做了全面的突破：采用自主研發(fā)的安全處理芯片Bluedon?可以全面提升防火墻設(shè)備的安全處理能力；研制以安全處理芯片Bluedon?為核心的安全處理單元SPU，完成安全業(yè)務(wù)的高性能硬件處理；包括安全處理單元SPU以及系統(tǒng)硬件平臺(tái)，采用電信級的可靠設(shè)計(jì)，在防干擾、防輻射、冗余性、熱插拔、擴(kuò)展性、散熱性、可靠性等全方位進(jìn)行電信級設(shè)計(jì)；采用高性能的通用P-M1.7GCPU為核心構(gòu)成MPU主控制單元，增強(qiáng)安全業(yè)務(wù)的擴(kuò)展性和靈活性；采用大容量的背板交換能力，提供分離的高速業(yè)務(wù)千兆Serdes總線和高帶寬的管理通道。提供高密度的業(yè)務(wù)接口，可以通過LIU線卡接口單元擴(kuò)展，整機(jī)最多可達(dá)到8GE或8GE＋32FE。藍(lán)盾硬件防火墻體系架構(gòu)框圖天海威公司的ISS體系架構(gòu)具備鮮明的特點(diǎn)，主要為以下：采用以安全處理芯片Bluedon?為核心的高速硬件處理模塊實(shí)現(xiàn)包過濾、狀態(tài)檢測、NAT、VPN加解密、防攻擊、路由轉(zhuǎn)發(fā)處理、流控等功能，目前設(shè)備可實(shí)現(xiàn)8Gbps全雙工線速處理能力。在具有高運(yùn)算性能的CPU平臺(tái)上運(yùn)行內(nèi)容過濾、防病毒、IDS等上層應(yīng)用軟件模塊，提供豐富的安全功能。業(yè)務(wù)處理采用大容量的背板交換能力，提供分離的高速業(yè)務(wù)千兆Serdes總線和高帶寬的管理通道。CPU平臺(tái)通過該管理通道下發(fā)配置、控制、管理等信息到安全處理單元SPU；SPU可通過該通道把控制報(bào)文、協(xié)議報(bào)文以及其它需要軟件處理的報(bào)文上交給高性能CPU平臺(tái)處理。藍(lán)盾萬兆高性能防火墻采用高密度集成設(shè)計(jì)，可在1U(單電源)/2U（雙電源）的機(jī)箱內(nèi)提供最多8GE或8GE＋32FE的高密度接口，其中部分千兆電接口可以10/100/1000自適應(yīng)；并且用戶也可以根據(jù)實(shí)際組網(wǎng)業(yè)務(wù)需求選擇部分或全部安全處理功能模塊（如接口擴(kuò)展模塊、VPN加解密模塊、內(nèi)容過濾模塊、防病毒模塊等，可以以硬件擴(kuò)展模塊和軟件LICENSE兩種方式提供）；保證用戶最小的投入，最大的安全回報(bào)，以真正的“客戶需求”為己任。此外，藍(lán)盾萬兆高性能防火墻采用專用安全處理芯片和ISS系統(tǒng)架構(gòu)，提供平滑的軟硬件升級功能，充分保護(hù)用戶的前期投資以及后期擴(kuò)容?；谧灾餮邪l(fā)的安全處理芯片Bluedon?采用結(jié)構(gòu)化ASIC技術(shù)，為國際領(lǐng)先的可編程安全引擎芯片，可以定期的升級和更新安全數(shù)據(jù)，及時(shí)提供更全面的防攻擊以及過濾等安全手段，較之傳統(tǒng)的ASIC技術(shù)能夠更靈活的滿足客戶需求。藍(lán)盾硬件防火墻結(jié)構(gòu)框圖藍(lán)盾萬兆高性能防火墻采用標(biāo)準(zhǔn)19英寸結(jié)構(gòu)機(jī)箱，采用1U(單電源)/2U（雙電源）的高密度電信級設(shè)計(jì)，整體設(shè)計(jì)架構(gòu)秉承電信級GSR、大容量交換機(jī)體系架構(gòu)。其中大容量的背板設(shè)計(jì)可以有效的解決模塊化設(shè)計(jì)、可插拔、擴(kuò)展性、可靠性等方面的問題，利于系統(tǒng)在電源、MPU、SPU以及LIU接口卡等多個(gè)方面的擴(kuò)展，對于提升系統(tǒng)性能向10Gbps、20Gbps以上發(fā)展提供了背板冗余。而結(jié)構(gòu)模塊化的設(shè)計(jì)可以幫助用戶在故障發(fā)生的情況下把損失降到最低，并可采用熱插拔達(dá)到組件更換；而且模塊化設(shè)計(jì)的系統(tǒng)有利于用戶保護(hù)網(wǎng)絡(luò)投資、提升可維護(hù)性、可擴(kuò)展性和可升級性。此外，采用雙電源冗余備份、雙側(cè)風(fēng)扇導(dǎo)流散熱的結(jié)構(gòu)設(shè)計(jì)方式，對于系統(tǒng)的長時(shí)間不間斷穩(wěn)定運(yùn)行提供了有力的保障。而且無論是背板設(shè)計(jì)還是MPU、SPU、LIU等板卡設(shè)計(jì)，均采用電信級設(shè)計(jì)規(guī)范和標(biāo)準(zhǔn)，在防輻射、防干擾、屏蔽性等方面表現(xiàn)突出。高速安全處理單元SPU以安全處理芯片Bluedon?為核心的安全處理單元SPU，完成安全業(yè)務(wù)的高性能硬件處理；包括安全處理單元SPU以及系統(tǒng)硬件平臺(tái)，采用電信級的可靠設(shè)計(jì)，在防干擾、防輻射、冗余性、熱插拔、擴(kuò)展性、散熱性、可靠性等全方位進(jìn)行電信級設(shè)計(jì)；高速硬件安全處理單元SPU主要由安全處理芯片、規(guī)則內(nèi)容線速匹配協(xié)處理器、表項(xiàng)存儲(chǔ)器、報(bào)文緩存存儲(chǔ)器等組成。模塊的核心是安全處理芯片Bluedon?，該芯片在MPU主處理單元平臺(tái)的協(xié)同配合下完成主要的安全處理功能（如包過濾、狀態(tài)過濾、VPN、NAT等）。安全處理單元SPU視圖上圖為安全處理單元SPU視圖，為6U寬度、4U深度的板卡設(shè)計(jì)，采用電信級通用的設(shè)計(jì)標(biāo)準(zhǔn)和規(guī)范，可以看出在布局結(jié)構(gòu)、散熱、供電、熱插拔、模塊化等方面做了全面的考慮。藍(lán)盾防火墻的每塊SPU處理性能可以達(dá)到8Gbps的雙向全線速小包吞吐量FDT，而且兩塊SPU可以采用背板互連的方式進(jìn)行級聯(lián)，性能可以輕松達(dá)到12Gbps的無阻塞FDT，是目前國內(nèi)具備自主知識(shí)產(chǎn)權(quán)單機(jī)性能最高的防火墻硬件平臺(tái)。安全處理芯片SPU主要包括安全處理芯片Bluedon?、外圍協(xié)處理器、存儲(chǔ)器以及PHY器件，其核心主要是高速的安全處理芯片Bluedon?，通過核心安全處理芯片與外圍芯片的配合完成高安全、高可靠、高性能的報(bào)文過濾、檢測、加解密、NAT及轉(zhuǎn)發(fā)等功能。為了避免一般安全業(yè)務(wù)以及報(bào)文轉(zhuǎn)發(fā)處理的表項(xiàng)查找瓶頸，藍(lán)盾安全處理芯片Bluedon?采用了自主知識(shí)產(chǎn)權(quán)的專用安全處理和查找算法，其中表項(xiàng)搜索引擎SE（SearchEngine）模塊對報(bào)文的查找請求處理時(shí)，對于不同表項(xiàng)查找的應(yīng)用分別利用到SRAM/SDRAM/規(guī)則協(xié)處理器等多類不同器件的優(yōu)勢，SE模塊存在128個(gè)并行進(jìn)程可同時(shí)處理128個(gè)報(bào)文的查找處理請求，此時(shí)一個(gè)報(bào)文的處理可能又需要多至十?dāng)?shù)次查找線程處理，而查找進(jìn)程和線程又是完全并行操作的，大大的提升了Bluedon?的整體處理能力，相對于一般安全平臺(tái)CPU以及NP的指令串行處理的架構(gòu)，至少提升了幾倍～幾十倍的處理性能，僅僅查表搜索算法能力相當(dāng)于幾十個(gè)高端CPU的處理性能，這也是天海威公司硬件架構(gòu)防火墻的高性能核心所在。此外對于報(bào)文分析、防攻擊、報(bào)文過濾、狀態(tài)檢測、NAT、VPN等各類業(yè)務(wù)分別由不同的引擎模塊完成，互不干涉、互不牽制，可以完全并行處理，充分發(fā)揮多流水線并行處理的架構(gòu)優(yōu)勢，這也是天海威公司安全處理芯片架構(gòu)防火墻4us低延時(shí)、8Gbps小包全雙工線速吞吐量，并且性能不受表項(xiàng)數(shù)量、規(guī)則數(shù)、轉(zhuǎn)發(fā)流數(shù)目影響限制的根本原因。Bluedon?安全處理芯片的片內(nèi)主要功能模塊及其完成的功能如下：a)、報(bào)文分析模塊：報(bào)文分析模塊進(jìn)行報(bào)文分析，首先進(jìn)行報(bào)文的合法性檢測，然后進(jìn)行協(xié)議識(shí)別，根據(jù)其協(xié)議類型和報(bào)文、流分類等信息進(jìn)行不同的處理流程，如果報(bào)文需要進(jìn)行NAT處理，提取報(bào)文報(bào)頭的NAT信息送交NAT處理模塊和搜索引擎模塊處理；如果報(bào)文需要進(jìn)行VPN處理，提取報(bào)文報(bào)頭的VPN信息送交VPN處理模塊和搜索引擎模塊處理；如果報(bào)文需要進(jìn)行入侵檢測以及過濾、基于連接的狀態(tài)檢測，則提取報(bào)文報(bào)頭的相關(guān)二層到七層信息送交入侵檢測處理模塊、過濾及狀態(tài)檢測模塊和搜索引擎模塊處理。報(bào)文分析模塊在提取報(bào)文信息進(jìn)行控制流處理過程的同時(shí)，把原始數(shù)據(jù)報(bào)文直接送交到緩存管理模塊進(jìn)行緩存和隊(duì)列調(diào)度、QOS管制。b)、入侵檢測模塊：支持入侵檢測功能，該模塊可自動(dòng)防范常見的數(shù)十種網(wǎng)絡(luò)攻擊和掃描窺探，提供典型攻擊的防范和報(bào)警，達(dá)到線速檢測過濾，避免對內(nèi)網(wǎng)以及防火墻本身的攻擊。此外，該模塊可與過濾及狀態(tài)檢測模塊、或外部IDS系統(tǒng)對接實(shí)現(xiàn)聯(lián)動(dòng)，通過實(shí)時(shí)告警信息和日志數(shù)據(jù)，用戶可以分析和確認(rèn)黑客攻擊行為，實(shí)現(xiàn)早期防范。該模塊收到報(bào)文分析模塊送交的報(bào)文控制標(biāo)簽信息后，進(jìn)行處理分析，并提取過濾及狀態(tài)檢測查表信息送交搜索引擎查表模塊處理。當(dāng)報(bào)文數(shù)據(jù)流需要進(jìn)行IDS入侵檢測系統(tǒng)進(jìn)行分析時(shí)，對相應(yīng)報(bào)文打上交CPU處理標(biāo)簽，由緩存管理模塊上交報(bào)文給CPU處理c)、過濾及狀態(tài)檢測模塊：該模塊實(shí)現(xiàn)報(bào)文過濾，不僅提供基本的報(bào)文過濾、會(huì)話狀態(tài)檢測，而且支持基于應(yīng)用級的狀態(tài)過濾，可實(shí)現(xiàn)對TCP、UDP、FTP、HTTP、SMTP、H.323等應(yīng)用協(xié)議的狀態(tài)檢測過濾。在收到上級模塊送交的報(bào)文標(biāo)簽信息后，提取報(bào)文的查表過濾信息（如源地址、目的地址、源端口、目的端口、協(xié)議類型、連接控制信息等）送交搜索引擎查表模塊進(jìn)行查表，以判斷該報(bào)文是丟棄還是通過，實(shí)現(xiàn)基于報(bào)文和連接的多重過濾。d)、二層及三層轉(zhuǎn)發(fā)模塊：該模塊在系統(tǒng)采用不同的工作模式（如透明接入模式、路由模式、混合模式等等）時(shí)，提取報(bào)文路由轉(zhuǎn)發(fā)信息；如工作在路由模式，則提取報(bào)文目的IP地址信息；如工作在透明接入模式，則提取報(bào)文的目的MAC地址信息；送交到搜索引起查表模塊進(jìn)行線速查表，以確定目的轉(zhuǎn)發(fā)路徑，便于緩存管理模塊調(diào)度和報(bào)文編輯封裝處理模塊轉(zhuǎn)發(fā)報(bào)文。e)、NAT（NetworkAddressTranslation網(wǎng)絡(luò)地址翻譯）處理模塊：該模塊實(shí)現(xiàn)動(dòng)態(tài)地址轉(zhuǎn)換，支持多對一、多對多地址轉(zhuǎn)換，也支持靜態(tài)地址轉(zhuǎn)換，支持網(wǎng)絡(luò)內(nèi)部公私網(wǎng)地址混合編址，可自動(dòng)識(shí)別并進(jìn)行正確的地址轉(zhuǎn)換。收到報(bào)文分析模塊送交的報(bào)文控制標(biāo)簽信息后，進(jìn)行NAT處理分析，并提取NAT查表信息送交搜索引擎查表模塊處理。f)、VPN（VirtualPrivateNetwork虛擬私有用戶網(wǎng)絡(luò)）處理模塊：該模塊實(shí)現(xiàn)基于L2TP、GRE、IPSEC等協(xié)議的VPN功能，可提供高性能DES、3DES、AES、MD5、SHA-1/SHA-2等加解密功能，并且可實(shí)現(xiàn)密鑰的手動(dòng)配置和IKE自動(dòng)協(xié)商。該模塊在收到報(bào)文分析模塊送交的報(bào)文控制標(biāo)簽信息后，進(jìn)行VPN處理分析，并提取VPN查表信息送交搜索引擎查表模塊處理。g)、搜索引擎查表處理模塊：該模塊接收入侵檢測模塊、過濾及狀態(tài)檢測模塊、二層及三層轉(zhuǎn)發(fā)模塊、NAT處理模塊、VPN處理等模塊的查表請求；采用規(guī)則以及內(nèi)容匹配算法、NAT查表算法、路由轉(zhuǎn)發(fā)算法等完成報(bào)文查表請求，當(dāng)然，對于不同的算法特征或多種算法的混合實(shí)現(xiàn)過程采用不同的外部協(xié)處理器和RAM器件。h)、緩存管理模塊：該模塊從報(bào)文分析模塊接收到原始的數(shù)據(jù)報(bào)文進(jìn)行存儲(chǔ)，并等待從入侵檢測模塊、過濾及狀態(tài)檢測模塊、二層及三層轉(zhuǎn)發(fā)模塊、NAT處理模塊、VPN處理、搜索引擎查表等模塊送來的報(bào)文處理標(biāo)簽信息，進(jìn)行報(bào)文調(diào)度轉(zhuǎn)發(fā)。該模塊與調(diào)度處理模塊和緩存鏈表模塊共同配合完成原始報(bào)文在報(bào)文緩存RAM中的讀寫控制。i)、調(diào)度及QOS監(jiān)管模塊：該模塊完成對不同輸入輸出端口、不同轉(zhuǎn)發(fā)過濾信息的數(shù)據(jù)報(bào)文進(jìn)行調(diào)度和流量監(jiān)管，發(fā)送控制信息到緩存管理模塊，由緩存管理模塊把報(bào)文發(fā)送出去。j)、加解密處理模塊：該模塊通過硬件的加解密算法模塊，如DES、3DES、AES等；對應(yīng)該進(jìn)行加解密的數(shù)據(jù)報(bào)文、VPN隧道報(bào)文進(jìn)行相應(yīng)算法、算子的加密和解密，以保證報(bào)文在傳送過程中的正確可靠、不被竊取。k)、報(bào)文編輯封裝處理模塊：該模塊接收從緩存處理模塊送來的數(shù)據(jù)報(bào)文和從各個(gè)處理模塊、搜索查表引擎送來的查找控制、轉(zhuǎn)發(fā)信息，然后進(jìn)行報(bào)文的編輯修改；如NAT轉(zhuǎn)發(fā)報(bào)文，需要修改報(bào)文的源或目的IP地址為轉(zhuǎn)換后的報(bào)文地址；如路由轉(zhuǎn)發(fā)報(bào)文，需要修改報(bào)文的轉(zhuǎn)發(fā)地址信息和路徑信息；并進(jìn)行報(bào)文的重新封裝校驗(yàn)，然后發(fā)送給報(bào)文輸出處理模塊。以上各模塊均為固化的硬件處理模塊引擎，可完全并行處理，互相協(xié)作，不局限于CPU以及NP架構(gòu)的一個(gè)或幾個(gè)核心的編程處理，可以多至數(shù)百個(gè)不同功能的固化模塊，充分發(fā)揮多進(jìn)程多模塊并行處理能力。安全處理芯片處理流程從業(yè)務(wù)接口收進(jìn)來的數(shù)據(jù)包，首先由安全處理芯片Bluedon?進(jìn)行相應(yīng)的安全處理，（如入侵檢測、包過濾、狀態(tài)檢測過濾、NAT轉(zhuǎn)換、VPN加解密、轉(zhuǎn)發(fā)處理等），如需軟件協(xié)助處理，則通過高速通信總線上交給MPU主處理單元，由MPU主處理單元的CPU進(jìn)行高速運(yùn)算及處理。處理完的數(shù)據(jù)包，再通過安全處理芯片送出去。MPU主處理單元同時(shí)完成日志分析審計(jì)、病毒掃描、高可用性（HA）、配置界面、安全管理等功能。Bluedon報(bào)文處理流程該處理流程以及架構(gòu)優(yōu)勢：1、多核（128）并行流水線處理，性能數(shù)十倍提升；2、防攻擊檢測、狀態(tài)檢測、策略過濾、NAT、VPN、加解密、Qos等業(yè)務(wù)功能模塊獨(dú)立固化，并行成流水銜接，不區(qū)分快慢通道，提升吞吐量和新建連接速率，有效縮短報(bào)文處理時(shí)延；3、內(nèi)部存在數(shù)百個(gè)針對防攻擊、過濾、查找、檢測等固化引擎模塊，完全并行調(diào)度處理，不局限于單或多核CPU/NP的編程和進(jìn)程調(diào)度能力；4、所有報(bào)文經(jīng)過全部功能模塊過濾檢測等處理后方可轉(zhuǎn)發(fā)操作，避免安全漏洞；5、采用自主產(chǎn)權(quán)的多類型查找算法和匹配協(xié)處理器，達(dá)到8Gbps全雙工FDT最小報(bào)文線速流量無阻塞查找；高速背板總線及高速管理通道防火墻產(chǎn)品第一代和第二代架構(gòu)中，CPU的前端總線FSB、PCI總線、LocalBus總線在承擔(dān)系統(tǒng)配置管理信息交互的同時(shí)，也傳送大量的業(yè)務(wù)報(bào)文數(shù)據(jù)，形成吞吐量的帶寬傳輸瓶頸，盡管各個(gè)廠家在大力提升CPU外圍總線的吞吐能力并尋求技術(shù)突破，但業(yè)務(wù)吞吐能力并沒有質(zhì)的提高。這一點(diǎn)的區(qū)別也是目前通用架構(gòu)平臺(tái)（PC-Box或其他Box）與通信設(shè)備架構(gòu)平臺(tái)之間最大的區(qū)別，這些問題也是電信級、可靠性、高性能、大容量、可擴(kuò)展性架構(gòu)必然需要突破解決的問題。藍(lán)盾ISS體系架構(gòu)在這方面做了根本性的兩個(gè)變革：采用高速背板總線，提升業(yè)務(wù)交換能力，SPU與SPU之間、SPU與接口卡之間、SPU與主控卡之間的業(yè)務(wù)交換均采用1Gbps的Serdes總線，并且業(yè)務(wù)通道與管理通道物理隔離，互不干擾。CPU系統(tǒng)平臺(tái)與安全處理模塊SPU之間的管理通道是PCI－66M*64b總線，通過PCI總線實(shí)現(xiàn)了安全處理芯片Bluedon?與CPU平臺(tái)之間的控制報(bào)文以及配置管理信息的交互，該通道可提供高達(dá)12Gbps以上的通信帶寬，確保無阻塞的管理配置信息交換和軟硬件系統(tǒng)協(xié)同工作。軟件系統(tǒng)基于本體系架構(gòu)的網(wǎng)絡(luò)安全設(shè)備，其軟件系統(tǒng)層次圖如下圖所示：安全處理芯片軟件架構(gòu)圖上圖顯示了軟件系統(tǒng)的層次結(jié)構(gòu)，基于安全處理芯片驅(qū)動(dòng)（BluedonDriver）、物理層接口驅(qū)動(dòng)（PHYDriver）、TCP/IP協(xié)議棧（TCP/IPStack）構(gòu)建防火墻平臺(tái)（FirewallPlatform），提供表項(xiàng)管理、策略管理、配置功能。通過標(biāo)準(zhǔn)系統(tǒng)接口（SystemInterface）為應(yīng)用空間（ApplicationSpace）的安全應(yīng)用提供支持。應(yīng)用空間提供防火墻的高層功能，包括日志服務(wù)（LogServer）、高可用性（HAServer）、WebServer、用戶配置管理（ConfigServer）、VPN等功能。以下為系統(tǒng)各功能模塊的功能描述：a)、BluedonDriver：完成安全處理芯片Bluedon?初始化（驅(qū)動(dòng)控制）以及提供管理配置接口。b)、PHYDriver：完成PHY芯片初始化（驅(qū)動(dòng)控制）以及提供管理配置接口。c)、FirewallPlatform：該層為系統(tǒng)核心層，負(fù)責(zé)接收所有用戶配置信息，建立配置信息表項(xiàng)并在系統(tǒng)生存期對表項(xiàng)進(jìn)行維護(hù)。另外，接收到配置信息后，還要根據(jù)配置信息驅(qū)動(dòng)FPE、PHY芯片或配置TCP/IP協(xié)議棧功能，完成系統(tǒng)的功能配置。d)、HAServer：HAServer通過標(biāo)準(zhǔn)TCP連接和另一臺(tái)防火墻的HAServer之間建立通信通道，完成兩臺(tái)設(shè)備之間心跳檢測和信息同步。系統(tǒng)初啟時(shí)，通過通信通道，完成兩臺(tái)設(shè)備之間的主從判定。如果系統(tǒng)工作為主設(shè)備，定時(shí)發(fā)送查詢信息，確認(rèn)從設(shè)備是否發(fā)生故障。沒有故障發(fā)生，則定時(shí)發(fā)送用戶配置信息和FPE動(dòng)態(tài)表項(xiàng)內(nèi)容到從設(shè)備，完成配置同步。如果系統(tǒng)工作為從設(shè)備，定時(shí)發(fā)送查詢信息，確認(rèn)主設(shè)備是否發(fā)生故障，如果發(fā)生故障，進(jìn)行主從切換。如果有主設(shè)備發(fā)來的配置信息，則根據(jù)配置信息對本機(jī)進(jìn)行配置。無論主設(shè)備還是從設(shè)備，獲取配置信息和完成系統(tǒng)配置工作都通過FirewallPlatform提供的標(biāo)準(zhǔn)系統(tǒng)接口完成。e)、ConfigServer：ConfigServer主要完成系統(tǒng)初始化時(shí)從配置文件讀取配置信息初始化防火墻系統(tǒng)及定時(shí)將用戶新配置的數(shù)據(jù)寫入配置文件。f)、LogServer：日志服務(wù)器主要處理防火墻系統(tǒng)的所有日志信息，將來自其它模塊的日志格式化緩存，并輸出到WebServer或日志審計(jì)服務(wù)器。g)、WebServer：WebServer模塊為系統(tǒng)提供基于WebUI管理配置系統(tǒng)的基礎(chǔ)。WebServer模塊的核心功能是提供https協(xié)議的通信支持；h)、VPN模塊：提供對VPN相關(guān)控制協(xié)議的支持，以實(shí)現(xiàn)IPsec、L2TP、GRE等協(xié)議的連接協(xié)商建立，并實(shí)現(xiàn)IKE密鑰的自動(dòng)協(xié)商處理。產(chǎn)品特性藍(lán)盾萬兆高性能防火墻提供高密度的的FE、GE以太網(wǎng)接口，以及豐富的可選配的多功能接口模塊，具備如下主要特點(diǎn)：強(qiáng)大的攻擊防范能力隨著Internet的廣泛應(yīng)用，網(wǎng)絡(luò)攻擊手段越來越高明，并且越加隱蔽。按照攻擊采用的方式，網(wǎng)絡(luò)攻擊大致可以分為：DoS（DenialofService，拒絕服務(wù)）攻擊、掃描窺探攻擊、其它攻擊。藍(lán)盾萬兆高性能防火墻提供強(qiáng)大的攻擊防范機(jī)制，對設(shè)備進(jìn)行安全保護(hù)，防止非法報(bào)文對內(nèi)部網(wǎng)絡(luò)造成危害。防范多種DoS攻擊：可以有效地檢測出這些類攻擊報(bào)文，避免攻擊行為，記錄日志。包括：SYNFlood攻擊、ICMPFlood、UDPFlood攻擊、Land攻擊、Smurf攻擊、Fraggle攻擊、WinNuke攻擊、ICMP重定向或不可達(dá)報(bào)文、TCP報(bào)文標(biāo)志位（如ACK、SYN、FIN等）不合法、PingofDeath攻擊、TearDrop攻擊等等。防范掃描窺探：藍(lán)盾萬兆高性能防火墻通過比較分析，可以靈活高效地檢測出這類掃描窺探報(bào)文，預(yù)先避免后續(xù)的攻擊行為?？煞乐沟膾呙韪Q探包括：地址掃描、端口掃描、IP源站選路選項(xiàng)、IP路由記錄選項(xiàng)、tracert窺探網(wǎng)絡(luò)結(jié)構(gòu)：Tracert利用TTL限定的ICMP或UDP報(bào)文，發(fā)現(xiàn)報(bào)文到達(dá)目的地所經(jīng)過的路徑，從而窺探網(wǎng)絡(luò)結(jié)構(gòu)。防范其它攻擊IPSpoofing攻擊：在基于IP地址驗(yàn)證的應(yīng)用中，入侵者通常偽造報(bào)文的源地址從而獲得對系統(tǒng)的訪問權(quán)。藍(lán)盾萬兆高性能防火墻可以通過高效的IP+MAC+物理端口綁定的方式，高速過濾IP地址和MAC地址不匹配的報(bào)文，從而有效避免IP地址假冒攻擊的行為，阻止入侵者仿冒偽造。增強(qiáng)的防火墻過濾功能傳統(tǒng)防火墻過濾更快捷的策略查找藍(lán)盾萬兆高性能防火墻采用自主知識(shí)產(chǎn)權(quán)的Bluedon?安全處理芯片和查找協(xié)處理器實(shí)現(xiàn)高速分類和查找算法，保持IP報(bào)文7元組及更多元內(nèi)容的策略查找的高速度，提高了系統(tǒng)整體性能。黑名單過濾惡意主機(jī)為了更快捷地發(fā)現(xiàn)并屏蔽某些惡意主機(jī)的攻擊行為，藍(lán)盾萬兆高性能防火墻提供主動(dòng)防御措施（即動(dòng)態(tài)、手工兩種方式維護(hù)黑名單列表），將某些報(bào)文源IP地址記錄在黑名單中，從而實(shí)現(xiàn)高速的報(bào)文過濾?；趹?yīng)用層的包過濾ASDF（ApplicationSpecificPacketDetectandFilter）主要基于應(yīng)用層的包過濾規(guī)范，作為一種高級通信過濾，它檢查應(yīng)用層協(xié)議信息并且監(jiān)控基于連接的應(yīng)用層協(xié)議狀態(tài)，為包過濾功能增加了智能檢查。通過檢查整個(gè)數(shù)據(jù)包，了解每個(gè)應(yīng)用程序的狀態(tài)信息。藍(lán)盾萬兆高性能防火墻提供如下ASDF安全過濾：基于TCP/UDP協(xié)議的通道及狀態(tài)檢測ASDF根據(jù)安全策略和連接狀態(tài)等信息，通過檢查包中的策略組（傳輸層協(xié)議、源地址、目的地址、源端口、目的端口、物理輸入接口、物理輸出接口）動(dòng)態(tài)地產(chǎn)生基于TCP/UDP連接的訪問控制列表，實(shí)現(xiàn)流量的動(dòng)態(tài)智能過濾功能。目前提供如下檢測：標(biāo)準(zhǔn)TCP、UDP報(bào)文檢測分片報(bào)文檢測FTP協(xié)議數(shù)據(jù)通道和協(xié)議狀態(tài)檢測SMTP協(xié)議狀態(tài)檢測HTTP協(xié)議狀態(tài)檢測端口到應(yīng)用的映射由于所有應(yīng)用層協(xié)議都使用一些系統(tǒng)預(yù)定義的（知名）端口號通信，為了防范惡意用戶進(jìn)行端口掃描，從而攻擊系統(tǒng)，系統(tǒng)管理員可以針對不同應(yīng)用，在系統(tǒng)定義的端口號之外指定一組新的端口號，外界主機(jī)與這些新端口號發(fā)起連接，從而隱藏內(nèi)部知名端口，從而提供良好的安全機(jī)制。目前支持兩類映射機(jī)制：通用端口映射和基于策略的主機(jī)端口映射。通用端口映射將用戶自定義端口號和應(yīng)用層協(xié)議建立映射關(guān)系，這樣目的端口號就決定了該報(bào)文類別。主機(jī)端口映射利用策略規(guī)則，將來自某些特定主機(jī)的報(bào)文、端口號和應(yīng)用協(xié)議之間建立映射關(guān)系。IDS聯(lián)動(dòng)藍(lán)盾萬兆高性能防火墻除了自身提供強(qiáng)勁的攻擊防范能力外，還能夠和專業(yè)的IDS（IntrusionDefectiveSystem）設(shè)備聯(lián)合組網(wǎng)，即IDS設(shè)備外置。由于IDS設(shè)備包含非常完備的攻擊行為信息，因此聯(lián)合組網(wǎng)將充分發(fā)揮IDS設(shè)備高效、全面的安全保障能力。所謂IDS聯(lián)動(dòng)，指IDS設(shè)備能自動(dòng)偵聽整個(gè)網(wǎng)絡(luò)中是否存在惡意攻擊、入侵或其他安全隱患行為，通過下發(fā)指令的方式（如動(dòng)態(tài)維護(hù)策略表項(xiàng)）通知藍(lán)盾萬兆高性能防火墻，由藍(lán)盾萬兆高性能防火墻對攻擊報(bào)文進(jìn)行丟棄或其它處理。采用IDS聯(lián)動(dòng)方式進(jìn)行攻擊防范，入侵檢測和攻擊處理兩個(gè)過程有效分離，充分發(fā)揮了各設(shè)備的優(yōu)勢，改善了系統(tǒng)性能。AllInOne集成功能藍(lán)盾萬兆高性能防火墻提供集成AllInOne功能，可作為大小型網(wǎng)絡(luò)的匯聚層設(shè)備，連接核心層和接入層，實(shí)現(xiàn)網(wǎng)絡(luò)分級互連。藍(lán)盾萬兆高性能防火墻第三代安全體系架構(gòu)ISS（IntegratedSecuritySystem集成安全系統(tǒng)架構(gòu)），可實(shí)現(xiàn)安全業(yè)務(wù)的全方面拓展，綜合報(bào)文過濾、狀態(tài)檢測、數(shù)據(jù)加解密功能、VPN業(yè)務(wù)、NAT業(yè)務(wù)、流量監(jiān)管、入侵檢測、攻擊防范、防病毒、安全審計(jì)以及用戶管理認(rèn)證等安全功能于一體，從業(yè)務(wù)和性能多個(gè)方面相比第一代（X86/工控機(jī)/嵌入式等PC－Box＋應(yīng)用軟件架構(gòu)）和第二代（嵌入式＋ASIC/NP架構(gòu)）防火墻而言；具備前兩代架構(gòu)產(chǎn)品所無法睥睨的特性：藍(lán)盾萬兆高性能防火墻將企業(yè)網(wǎng)絡(luò)連接到骨干網(wǎng)絡(luò)，提供靜態(tài)路由、RIP動(dòng)態(tài)路由，并為企業(yè)網(wǎng)內(nèi)部提供安全保障。這樣，作為安全設(shè)備的防火墻與路由設(shè)備融合為一體，解決了目前困擾安全界和數(shù)據(jù)通信領(lǐng)域的一大難題。藍(lán)盾萬兆高性能防火墻提供高密度的百兆、千兆以太網(wǎng)端口，并提供強(qiáng)大的LANSWITCH交換功能，以及VLAN、生成樹等功能，可取代原有交換機(jī)的位置，提供多類型的大量內(nèi)網(wǎng)接口。藍(lán)盾萬兆高性能防火墻采用高度靈活的模塊化結(jié)構(gòu)，綜合報(bào)文過濾、狀態(tài)檢測、VPN業(yè)務(wù)、NAT業(yè)務(wù)、入侵檢測、防病毒、安全審計(jì)以及用戶管理認(rèn)證等安全功能于一體。藍(lán)盾萬兆高性能防火墻在全面提供報(bào)文過濾、狀態(tài)檢測、VPN加解密、NAT特性等功能的同時(shí)，可實(shí)現(xiàn)數(shù)十倍性能的提升；并且全面展示“AllinOne”解決方案，單機(jī)構(gòu)建安全系統(tǒng)，實(shí)現(xiàn)多方面安全特性的有機(jī)融合和互補(bǔ)，避免安全解決方案的單點(diǎn)防御漏洞和網(wǎng)絡(luò)單點(diǎn)故障，有效彌補(bǔ)前幾代安全設(shè)備、網(wǎng)絡(luò)協(xié)調(diào)之間的安全漏洞和管理漏洞；藍(lán)盾萬兆高性能防火墻AllInOne集成特性優(yōu)勢采用藍(lán)盾萬兆高性能防火墻，安全解決方案組網(wǎng)簡單化，突破了以往網(wǎng)絡(luò)出口的帶寬瓶頸并大大增加網(wǎng)絡(luò)出口和整網(wǎng)的可靠性；并大大節(jié)省用戶的安全設(shè)備投資，有效降低管理、維護(hù)、運(yùn)營成本；用戶可以根據(jù)實(shí)際組網(wǎng)業(yè)務(wù)需求選擇部分或全部安全處理功能模塊（主要以軟件LICENSE方式）；保證用戶最小的投入，最大的安全回報(bào)，以真正的“客戶需求”為己任。此外，藍(lán)盾萬兆高性能防火墻采用專用安全處理芯片和ISS系統(tǒng)架構(gòu)，提供平滑的軟硬件升級功能，充分保護(hù)用戶的前期投資以及后期擴(kuò)容，可平滑升級，達(dá)到完美過渡。支持多種功能模式支持路由、橋接、NAT模式藍(lán)盾萬兆高性能防火墻支持多種功能模式，豐富了組網(wǎng)應(yīng)用：路由模式：藍(lán)盾萬兆高性能防火墻各接口具有確定的IP地址，內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的設(shè)備都清楚到該藍(lán)盾萬兆高性能防火墻的路由，這種方式適合網(wǎng)絡(luò)初建時(shí)，IP地址統(tǒng)一規(guī)劃有助于全網(wǎng)絡(luò)管理。橋接模式：也稱為透明模式。藍(lán)盾萬兆高性能防火墻各接口不配置IP地址，以透明方式嵌入到內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間，內(nèi)/外部網(wǎng)絡(luò)的設(shè)備都察覺不到該藍(lán)盾萬兆高性能防火墻的存在。這種方式無需重新規(guī)劃網(wǎng)絡(luò)中的IP地址和路由，同時(shí)可以使藍(lán)盾萬兆高性能防火墻免受外界入侵。NAT模式：內(nèi)部私有網(wǎng)絡(luò)通過NAT或PAT（PortAddressTranslation)方式進(jìn)行地址轉(zhuǎn)換，從而訪問公有網(wǎng)絡(luò)，也可以以撥號方式訪問Internet。同時(shí)，內(nèi)部網(wǎng)絡(luò)也能夠借助NAT轉(zhuǎn)換向外界提供“內(nèi)部服務(wù)器”，提供應(yīng)用程序網(wǎng)關(guān)功能，支持特殊協(xié)議。集成部分路由功能藍(lán)盾萬兆高性能防火墻除了具備防火墻功能，提供高效的安全保障能力外，還集成了部分路由能力，如靜態(tài)路由、RIP動(dòng)態(tài)路由，使得防火墻的組網(wǎng)應(yīng)用更加靈活。NAT應(yīng)用地址轉(zhuǎn)換NAT（NetworkAddressTranslation）功能主要用于將內(nèi)部網(wǎng)絡(luò)地址轉(zhuǎn)換為外部網(wǎng)絡(luò)（Internet）地址，同時(shí)也可以提供“內(nèi)部服務(wù)器”功能。地址轉(zhuǎn)換地址轉(zhuǎn)換技術(shù)引入地址池的概念，在轉(zhuǎn)換時(shí)，藍(lán)盾萬兆高性能防火墻從地址池中根據(jù)一定的規(guī)則選擇一個(gè)IP地址做為轉(zhuǎn)換后的源地址，完成地址轉(zhuǎn)換。這個(gè)選擇的過程對用戶來講是透明的，用戶只需要將他具有的IP地址配置成相應(yīng)的地址池就可以了。地址轉(zhuǎn)換包括兩種形式：只使用地址進(jìn)行轉(zhuǎn)換（NAT）使用地址和端口（TCP/UDP協(xié)議的端口信息）的形式進(jìn)行轉(zhuǎn)換（PAT）虛擬主機(jī)（VIP應(yīng)用）通過PAT方式為內(nèi)網(wǎng)主機(jī)提供一個(gè)公網(wǎng)IP地址＋端口，當(dāng)外部用戶訪問該合法地址（即對應(yīng)的公網(wǎng)IP地址＋端口）時(shí)，PAT網(wǎng)關(guān)就將訪問送到了內(nèi)部服務(wù)器，這樣就為外部網(wǎng)絡(luò)提供了“內(nèi)部服務(wù)器”的具體服務(wù)。內(nèi)部服務(wù)器（MIP應(yīng)用，主機(jī)映射）內(nèi)部服務(wù)器是一種“反向”的地址轉(zhuǎn)換，通過配置參數(shù)，使得某些私有地址的內(nèi)部主機(jī)可以被外部網(wǎng)絡(luò)訪問。內(nèi)部網(wǎng)絡(luò)的服務(wù)器是一臺(tái)配置了私有地址的機(jī)器，可以通過NAT為這臺(tái)主機(jī)映射一個(gè)合法的公網(wǎng)IP地址，隱藏內(nèi)部主機(jī)的IP地址，保證內(nèi)網(wǎng)服務(wù)器的安全性，達(dá)到內(nèi)部主機(jī)映射，訪問一個(gè)開放的公網(wǎng)主機(jī)地址即可訪問真正的內(nèi)部服務(wù)器，獲取服務(wù)。（此時(shí)，僅僅提供主機(jī)IP地址的映射，并不對端口進(jìn)行重新分配映射）內(nèi)網(wǎng)隱藏為了避免外部用戶對內(nèi)網(wǎng)的不法窺探，藍(lán)盾萬兆高性能防火墻能夠根據(jù)用戶需求配置NAT特性隱藏內(nèi)部網(wǎng)絡(luò)，無論是私到私的映射、私到公還是公到公的映射都可以實(shí)現(xiàn)，映射規(guī)則完全由用戶指定，靈活應(yīng)用。支持多種NATALG支持多種NATALG（ApplationLayerGateway），包括FTP、PPTP、DNS、NBT（NetBIOSoverTCP）、ILS（InternetLocatorService）、ICMP、H323等協(xié)議的NATALG，以及IPsec的NAT穿越。藍(lán)盾萬兆高性能防火墻通過支持特殊協(xié)議的NATALG，使設(shè)備有良好的擴(kuò)充性，且整體構(gòu)架的升級繼承性相當(dāng)方便，很容易支持新的協(xié)議。安全保障的VPN應(yīng)用IPSec提供一整套網(wǎng)絡(luò)安全協(xié)議，可為通訊雙方提供數(shù)據(jù)的完整性、來源的可靠性、防止數(shù)據(jù)被竊聽、反重放等服務(wù)。有了IPSec保障，數(shù)據(jù)通過公共網(wǎng)絡(luò)傳輸時(shí)就不用擔(dān)心被監(jiān)視、篡改和偽造。這使得VPN（VirtualPrivateNetwork，虛擬專用網(wǎng)絡(luò)），包括內(nèi)部網(wǎng)、外部網(wǎng)以及遠(yuǎn)端用戶之間的訪問更加安全，同時(shí)確保VPN網(wǎng)絡(luò)與下層承載網(wǎng)絡(luò)之間資源使用的分層管理，及VPN網(wǎng)絡(luò)內(nèi)外之間的信息隔離，既提高了網(wǎng)絡(luò)資源利用率，又確保了雙方安全通訊。利用藍(lán)盾萬兆高性能防火墻可以構(gòu)建多種VPN網(wǎng)絡(luò)。IntranetVPN通過公用網(wǎng)絡(luò)互連企業(yè)各個(gè)分支機(jī)構(gòu)，作為傳統(tǒng)專線網(wǎng)絡(luò)或其它企業(yè)網(wǎng)的擴(kuò)展及替代形式；AccessVPN為SOHO等小型用戶搭建通過PSTN/ISDN網(wǎng)絡(luò)訪問公司總部資源的安全通路；ExtranetVPN將企業(yè)網(wǎng)絡(luò)延伸至合作伙伴與客戶處，使不同企業(yè)間通過公網(wǎng)進(jìn)行安全、私有的通訊。防火墻雙機(jī)熱備份藍(lán)盾萬兆高性能防火墻提供雙機(jī)熱備份功能，即兩臺(tái)或多臺(tái)藍(lán)盾萬兆高性能防火墻設(shè)備形成一個(gè)熱備份組，其中一臺(tái)設(shè)備作為主設(shè)備承擔(dān)防火墻工作，其他作為備份設(shè)備，備份主設(shè)備的配置以及運(yùn)行狀態(tài)，同時(shí)監(jiān)視主設(shè)備的運(yùn)行狀況。當(dāng)主設(shè)備發(fā)生異常時(shí)，備份設(shè)備可以自動(dòng)切換成主設(shè)備并接替工作。根據(jù)用戶配置防火墻熱備份分為兩種：命令熱備份主、備防火墻設(shè)備之間只進(jìn)行用戶配置命令的熱備份，熱備份功能由配置管理模塊統(tǒng)一進(jìn)行處理。狀態(tài)熱備份熱備份組的設(shè)備之間除了由配置管理模塊進(jìn)行配置熱備份之外，還要進(jìn)行運(yùn)行狀態(tài)數(shù)據(jù)的熱備份。從而確保用戶數(shù)據(jù)流不會(huì)因?yàn)橹?、備防火墻倒換而中斷。不同接口模塊可以定義不同的狀態(tài)熱備份數(shù)據(jù)。支持防火墻策略、ASDF、流量監(jiān)控、NAT轉(zhuǎn)換等的雙機(jī)熱備份。完備的流量監(jiān)控所謂流量監(jiān)控，主要是通過對系統(tǒng)數(shù)據(jù)流量和連接狀況進(jìn)行監(jiān)視，在發(fā)現(xiàn)異常情況時(shí)采取適當(dāng)?shù)奶幚泶胧瑥亩行У胤乐咕W(wǎng)絡(luò)受到外界的攻擊。流量監(jiān)控分為流量監(jiān)管功能和統(tǒng)計(jì)分析功能。流量監(jiān)管功能藍(lán)盾萬兆高性能防火墻流量監(jiān)管功能，主要采用了令牌桶及Hash等技術(shù)，可根據(jù)用戶策略定義數(shù)據(jù)流，并通過對數(shù)據(jù)流進(jìn)行控制與管理，可以有效、靈活地防止ICP、IDC等網(wǎng)絡(luò)遭受流量攻擊。防火墻流量監(jiān)管技術(shù)實(shí)現(xiàn)的主要功能如下：可根據(jù)用戶策略定義數(shù)據(jù)流，通過指定單一數(shù)據(jù)流的平均流量、突發(fā)長度，檢測匹配該數(shù)據(jù)流的任一源、目的地址的流量，不滿足要求則丟棄；可根據(jù)用戶策略定義數(shù)據(jù)流，通過指定總數(shù)據(jù)流的平均流量、突發(fā)長度，檢測匹配數(shù)據(jù)流的所有地址的數(shù)據(jù)總流量，不滿足要求則丟棄；對于不符合已定義數(shù)據(jù)流類型的報(bào)文，根據(jù)缺省的單一數(shù)據(jù)流的平均流量和突發(fā)長度，或者總的平均流量和突發(fā)長度進(jìn)行流量檢測，不滿足要求則丟棄；定期實(shí)時(shí)檢測各數(shù)據(jù)流信息，對于大數(shù)據(jù)流的異常情況進(jìn)行告警；對數(shù)據(jù)流信息進(jìn)行老化處理，如果長時(shí)間無數(shù)據(jù)到達(dá)，則清除該數(shù)據(jù)流信息；對指定報(bào)文進(jìn)行速率限制。統(tǒng)計(jì)分析監(jiān)測內(nèi)部、外部網(wǎng)絡(luò)的連接狀況，對輸入和輸出的IP報(bào)文進(jìn)行全局統(tǒng)計(jì)，包括：總的會(huì)話和流量的相關(guān)信息；應(yīng)用層協(xié)議相關(guān)信息；丟棄報(bào)文的相關(guān)信息；攻擊報(bào)文的相關(guān)信息；對IP報(bào)文按域及端口進(jìn)行入方向的統(tǒng)計(jì)；對IP報(bào)文按域及端口進(jìn)行出方向的統(tǒng)計(jì)；對IP報(bào)文按IP地址進(jìn)行入方向的統(tǒng)計(jì)；對IP報(bào)文按IP地址進(jìn)行出方向的統(tǒng)計(jì)；支持對TCP報(bào)文的RST、FIN報(bào)文詳盡的分類統(tǒng)計(jì)；以及其他根據(jù)用戶策略配置的統(tǒng)計(jì)信息等；靈活便捷的維護(hù)管理圖形化界面的防火墻管理藍(lán)盾萬兆高性能防火墻提供圖形化防火墻管理界面，方便用戶進(jìn)行本地集中維護(hù)管理設(shè)備。診斷維護(hù)防火墻具備一定的診斷維護(hù)功能。其它維護(hù)管理手段此外，還可以通過Console口維護(hù)藍(lán)盾萬兆高性能防火墻。支持多種以太網(wǎng)接口藍(lán)盾萬兆高性能防火墻支持多種以太網(wǎng)接口：10/100MFE以太網(wǎng)接口支持SFP(SmallPackagePlugModule，也稱為MiniGBIC)模塊支持1000MGE電口支持1000MGE短距多模光口支持1000MGE長距單模光口即使在用戶組網(wǎng)應(yīng)用之后，可根據(jù)網(wǎng)絡(luò)需要，靈活的更換電口、光口、多模、單模的GE接口詳盡統(tǒng)一的日志藍(lán)盾萬兆高性能防火墻針對所有經(jīng)過防火墻的數(shù)據(jù)流，創(chuàng)建基于流狀態(tài)的信息表，通過二進(jìn)制或Syslog（文本）的方式輸出日志，從而提供完整、統(tǒng)一的日志信息描述。安全日志可記錄入侵者對防火墻以及內(nèi)網(wǎng)的DOS攻擊、以及未授權(quán)訪問；作為攻擊報(bào)文將被IDS入侵檢測模塊和策略報(bào)文過濾模塊實(shí)時(shí)過濾，并提供告警信息。可通過Syslog方式輸出告警，告警信息包括攻擊來源（源地址）和攻擊種類等。對于Flood類的攻擊，日志將記錄攻擊的目的地址。流量監(jiān)控日志藍(lán)盾萬兆高性能防火墻根據(jù)安全域、IP地址等參數(shù)進(jìn)行流量監(jiān)控，判斷速率或連接數(shù)目是否達(dá)到上限或下限值，當(dāng)達(dá)到上限時(shí)觸發(fā)告警并記錄日志，從而有效監(jiān)控流量；當(dāng)達(dá)到下限時(shí)，也觸發(fā)告警，指示系統(tǒng)恢復(fù)正常。連接日志（NAT日志和ASDF流日志）主要記錄基于TCP/UDP/FTP/SMTP/HTTP的連接的狀態(tài)檢測以及NAT連接轉(zhuǎn)換和VPN操作的日志，日志內(nèi)容中包含一個(gè)完整流的源地址、源端口、目的地址、目的端口、連接狀態(tài)等信息，及流的開始和結(jié)束時(shí)間、流的狀態(tài)信息等。對于使用NAT功能的流還標(biāo)識(shí)了地址轉(zhuǎn)換之后的地址和端口信息。事件日志記錄用戶以及管理員對防火墻的實(shí)時(shí)操作動(dòng)作，包括對安全策略、NAT信息、入侵檢測、認(rèn)證等等信息的配置、管理、操作等等，作為一個(gè)高安全設(shè)備，不僅僅需要記錄分析外部的不安全因素，也要實(shí)時(shí)記錄管理員的操作，便于問題事故的有效分析。黑名單日志藍(lán)盾萬兆高性能防火墻對于在檢測中發(fā)現(xiàn)的非法用戶，自動(dòng)將該用戶的源IP地址加入到黑名單中，并產(chǎn)生一條黑名單日志，該日志記錄主機(jī)地址、加入原因等信息。多種統(tǒng)計(jì)信息記錄流統(tǒng)計(jì)信息，了解防火墻運(yùn)行狀況。這些流統(tǒng)計(jì)信息包括：總的連接數(shù)目、當(dāng)前連接及半連接數(shù)目、最高峰值及丟棄報(bào)文數(shù)目。記錄各種攻擊報(bào)文的數(shù)目，了解攻擊事件的發(fā)生情況。可靠的產(chǎn)品設(shè)計(jì)全球化設(shè)計(jì)藍(lán)盾萬兆高性能防火墻按照中國、北美、歐洲、澳洲、日本等國家和地區(qū)的國際標(biāo)準(zhǔn)和國家標(biāo)準(zhǔn)設(shè)計(jì)，滿足這些國家和地區(qū)的EMC、安規(guī)等認(rèn)證及入網(wǎng)需求。藍(lán)盾萬兆高性能防火墻按照UL、CE、FCC