渠道培訓(xùn)之防火墻理論

主持人開場(chǎng)致歡迎詞聯(lián)想網(wǎng)御董事長(zhǎng)兼齊艦熱烈歡迎各位客戶參加聯(lián)想網(wǎng)御技術(shù)培訓(xùn)課程聯(lián)想網(wǎng)御北京分部客戶培訓(xùn)

防火墻理論2009年7月中辦27號(hào)文件信息保障的主要工作我國(guó)信息安全保障的主要工作（三個(gè)方面，九項(xiàng)工作）第一個(gè)方面就是關(guān)于建立健全信息安全責(zé)任制就是要加強(qiáng)信息安全的領(lǐng)導(dǎo)，建立健全信息安全責(zé)任制第二個(gè)方面就是基礎(chǔ)性工作第一：實(shí)行信息安全等級(jí)保護(hù)，重視信息安全風(fēng)險(xiǎn)評(píng)估。第二：是加強(qiáng)以密碼技術(shù)為基礎(chǔ)的信息安全保護(hù)和網(wǎng)絡(luò)信任體系建設(shè)。第三：就是建設(shè)和完善信息安全監(jiān)控體系。第四：就是重視信息安全應(yīng)急處理工作第三個(gè)方面是支撐性工作第一是加強(qiáng)信息安全技術(shù)研究開發(fā)，推進(jìn)信息安全產(chǎn)業(yè)發(fā)展。第二是加強(qiáng)信息安全法制建設(shè)和標(biāo)準(zhǔn)化建設(shè)。第三是加強(qiáng)信息安全人才培養(yǎng)，增強(qiáng)全民信息安全意識(shí)。第四是保證信息安全的資金目錄

防火墻基礎(chǔ)介紹

防火墻產(chǎn)品體系聯(lián)想網(wǎng)御信息安全

防火墻典型應(yīng)用與選型

目錄防火墻的基本概念防火墻的發(fā)展歷程防火墻功能解析防火墻性能解析目錄防火墻的基本概念防火墻的發(fā)展歷程防火墻功能解析防火墻性能解析網(wǎng)絡(luò)內(nèi)部、外部泄密拒絕服務(wù)攻擊邏輯炸彈特洛伊木馬黑客攻擊計(jì)算機(jī)病毒后門、隱蔽通道蠕蟲垃圾郵件——防火墻基本概念網(wǎng)絡(luò)面臨的威脅——防火墻基本概念防火墻的引入Internet

邊界點(diǎn)安全威脅防火墻——防火墻基本概念防火墻的概念：在信任網(wǎng)絡(luò)與非信任網(wǎng)絡(luò)之間，通過預(yù)定義的安全策略，對(duì)內(nèi)外網(wǎng)通信強(qiáng)制實(shí)施訪問控制的安全應(yīng)用設(shè)備。導(dǎo)入防火墻的技術(shù)原理：將不信任網(wǎng)絡(luò)對(duì)信任網(wǎng)絡(luò)的安全威脅強(qiáng)制到單一安全控制點(diǎn)。防火墻的原則：一切未被允許的就是禁止的！防火墻基本概念——防火墻基本概念防火墻能做什么保障授權(quán)合法用戶的通信與訪問禁止未經(jīng)授權(quán)的非法通信與訪問記錄經(jīng)過防火墻的通信活動(dòng)防火墻不能做什么不能主動(dòng)防范新的安全威脅不能防范來自網(wǎng)絡(luò)內(nèi)部的攻擊不能控制不經(jīng)防火墻的通信與訪問防火墻基本概念目錄防火墻基本概念防火墻的發(fā)展歷程防火墻功能解析防火墻性能解析軟件技術(shù)變革應(yīng)用代理包過濾狀態(tài)檢測(cè)深度檢測(cè)通用嵌入式專用專業(yè)基于三層/四層的過濾實(shí)現(xiàn)簡(jiǎn)單，速度快安全性低，初級(jí)技術(shù)個(gè)人終端系統(tǒng)穩(wěn)定、安全、健壯性差防火墻的技術(shù)變革是簡(jiǎn)短的、快速的.基于應(yīng)用層的代理轉(zhuǎn)發(fā)可以檢查應(yīng)用層協(xié)議處理速度慢，兼容性差內(nèi)核小、效率高、易擴(kuò)成熟度、可移植性差引入狀態(tài)表規(guī)范3層和4層行為處理快，安全性較高網(wǎng)絡(luò)處理時(shí)時(shí)性高根據(jù)用戶需求定制多級(jí)安全檢測(cè)

自動(dòng)簽名檢測(cè)虛擬化、協(xié)同性提高軟件平臺(tái)設(shè)計(jì)能力應(yīng)用層表示層會(huì)話層傳輸層網(wǎng)絡(luò)層鏈路層物理層應(yīng)用層表示層會(huì)話層傳輸層網(wǎng)絡(luò)層鏈路層物理層網(wǎng)絡(luò)層鏈路層物理層優(yōu)點(diǎn)：速度快，性能高對(duì)應(yīng)用程序透明缺點(diǎn)：安全性低不能根據(jù)狀態(tài)信息進(jìn)行控制不能處理網(wǎng)絡(luò)層以上的信息伸縮性差維護(hù)不直觀簡(jiǎn)單包過濾技術(shù)介紹應(yīng)用層層層網(wǎng)絡(luò)接口層TCP101010101101010101TCP101010101IP101010101TCP101010101IP應(yīng)用層層層網(wǎng)絡(luò)接口層TCP101010101IP101010101TCPTCP101010101IPETH101010101只檢查報(bào)頭101001001001010010000011100111101111011001001001010010000011100111101111011簡(jiǎn)單包過濾防火墻的工作原理簡(jiǎn)單包過濾防火墻不檢查數(shù)據(jù)區(qū)簡(jiǎn)單包過濾防火墻不建立連接狀態(tài)表前后報(bào)文無關(guān)應(yīng)用層控制很弱防火墻：包過濾技術(shù)檢查項(xiàng)包的源地址包的目的地址源端口IP包檢測(cè)包頭檢查路由安全策略：過濾規(guī)則路由表包過濾防火墻轉(zhuǎn)發(fā)符合不符合丟棄應(yīng)用層表示層會(huì)話層傳輸層網(wǎng)絡(luò)層鏈路層物理層應(yīng)用層表示層會(huì)話層傳輸層網(wǎng)絡(luò)層鏈路層物理層應(yīng)用代理技術(shù)介紹應(yīng)用層表示層會(huì)話層傳輸層網(wǎng)絡(luò)層鏈路層物理層優(yōu)點(diǎn)：安全性高提供應(yīng)用層的安全缺點(diǎn)：性能差伸縮性差只支持有限的應(yīng)用不透明應(yīng)用層層層網(wǎng)絡(luò)接口層TCP101010101101010101TCP101010101IP101010101TCP101010101IP應(yīng)用層層層網(wǎng)絡(luò)接口層TCP101010101IP101010101TCPTCP101010101IPETH101010101只檢查數(shù)據(jù)101001001001010010000011100111101111011001001001010010000011100111101111011應(yīng)用代理防火墻的工作原理不檢查、報(bào)頭不建立連接狀態(tài)表網(wǎng)絡(luò)層保護(hù)比較弱防火墻：應(yīng)用網(wǎng)關(guān)應(yīng)用層表示層會(huì)話層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層應(yīng)用層表示層會(huì)話層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層應(yīng)用層表示層會(huì)話層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層客戶端防火墻（代理網(wǎng)關(guān)）服務(wù)器想從內(nèi)部網(wǎng)訪問外部的服務(wù)器？我?guī)湍惆l(fā)請(qǐng)求吧。應(yīng)用層表示層會(huì)話層傳輸層網(wǎng)絡(luò)層鏈路層物理層應(yīng)用層表示層會(huì)話層傳輸層網(wǎng)絡(luò)層鏈路層物理層狀態(tài)檢測(cè)技術(shù)介紹應(yīng)用層表示層會(huì)話層傳輸層網(wǎng)絡(luò)層鏈路層物理層安全性高能夠檢測(cè)所有進(jìn)入防火墻網(wǎng)關(guān)的數(shù)據(jù)包根據(jù)通信和應(yīng)用程序狀態(tài)確定是否允許包的通行性能高在數(shù)據(jù)包進(jìn)入防火墻時(shí)就進(jìn)行識(shí)別和判斷伸縮性好可以識(shí)別不同的數(shù)據(jù)包已經(jīng)支持豐富的應(yīng)用，包括應(yīng)用、數(shù)據(jù)庫(kù)應(yīng)用、多媒體應(yīng)用等用戶可方便添加新應(yīng)用對(duì)用戶、應(yīng)用程序透明抽取各層的狀態(tài)信息建立動(dòng)態(tài)狀態(tài)表應(yīng)用層層層網(wǎng)絡(luò)接口層TCP101010101101010101TCP101010101IP101010101TCP101010101IP應(yīng)用層層層網(wǎng)絡(luò)接口層TCP101010101IP101010101TCPTCP101010101IPETH101010101只檢查報(bào)頭101001001001010010000011100111101111011001001001010010000011100111101111011狀態(tài)檢測(cè)包過濾防火墻的工作原理不檢查數(shù)據(jù)區(qū)建立連接狀態(tài)表前后報(bào)文相關(guān)應(yīng)用層控制很弱建立連接狀態(tài)表包檢測(cè)包頭下一步處理安全策略：過濾規(guī)則會(huì)話連接狀態(tài)緩存表狀態(tài)檢測(cè)包過濾防火墻符合不符合丟棄狀態(tài)檢測(cè)包過濾符合檢查項(xiàng)包的源、目的地址、端口會(huì)話的連接狀態(tài)上下文信息應(yīng)用層層層網(wǎng)絡(luò)接口層TCP開始攻擊開始攻擊TCP開始攻擊IP開始攻擊主服務(wù)器硬盤數(shù)據(jù)TCP開始攻擊IP應(yīng)用層層層網(wǎng)絡(luò)接口層TCP開始攻擊IP開始攻擊TCPTCP開始攻擊IPETH開始攻擊主服務(wù)器硬盤數(shù)據(jù)檢查多個(gè)報(bào)文組成的會(huì)話101001001001010010000011100111101111011001001001010010000011100111101111011深度內(nèi)容檢測(cè)防火墻的工作原理建立連接狀態(tài)表TCP主服務(wù)器IPTCP硬盤數(shù)據(jù)IP開始攻擊重寫會(huì)話主服務(wù)器硬盤數(shù)據(jù)報(bào)文1報(bào)文2報(bào)文3網(wǎng)絡(luò)層保護(hù)強(qiáng)應(yīng)用層保護(hù)戧會(huì)話保護(hù)很強(qiáng)上下文相關(guān)前后報(bào)文有聯(lián)系防火墻核心技術(shù)比較綜合安全性網(wǎng)絡(luò)層保護(hù)應(yīng)用層保護(hù)應(yīng)用層透明整體性能處理對(duì)象簡(jiǎn)單包過濾防火墻狀態(tài)檢測(cè)包過濾防火墻應(yīng)用代理防火墻深度內(nèi)容檢測(cè)防火墻

單個(gè)包報(bào)頭

單個(gè)包報(bào)頭

單個(gè)包數(shù)據(jù)

一次會(huì)話1001001001TCPIP1001001001TCPIPX86架構(gòu)嵌入式架構(gòu)架構(gòu)架構(gòu)多核架構(gòu)防火墻突破高性能的極限就是對(duì)防火墻硬件結(jié)構(gòu)的調(diào)整.性能架構(gòu)架構(gòu)多核架構(gòu)可擴(kuò)展性（易）X86架構(gòu)硬件演進(jìn)嵌入式架構(gòu)硬件平臺(tái)技術(shù)分析86基于X86的平臺(tái)主要提供商，X86特點(diǎn)：軟件開發(fā)比較靈活便于快速推出產(chǎn)品投資少發(fā)熱比較大受總線帶寬的限制難以滿足高速環(huán)境概述以通用處理器（如：x86）為設(shè)備核心通用擔(dān)負(fù)數(shù)據(jù)查找、連接控制和路由更新處理等全部工作優(yōu)勢(shì)數(shù)據(jù)處理全部由軟件實(shí)現(xiàn)，容易實(shí)現(xiàn)通過軟件升級(jí)完成系統(tǒng)升級(jí)劣勢(shì)受處理器處理能力限制，很難實(shí)現(xiàn)更高帶寬和更高吞吐率；穩(wěn)定性差，不適合高端設(shè)備——防火墻發(fā)展歷程基于通用處理器體系結(jié)構(gòu)防火墻發(fā)展歷程硬件平臺(tái)技術(shù)分析-其他嵌入式基于其他嵌入的平臺(tái)包括、、……嵌入式特點(diǎn)：產(chǎn)品穩(wěn)定低功耗，低成本軟件比較靈活開發(fā)環(huán)境需要投資受總線帶寬的限制硬件平臺(tái)技術(shù)分析基于的平臺(tái)采用廠家、特點(diǎn)：性價(jià)比比較高產(chǎn)品穩(wěn)定可以滿足高性能要求靈活性不高投資非常大門檻高——防火墻發(fā)展歷程概述采用專用集成電路（）實(shí)現(xiàn)硬件轉(zhuǎn)發(fā)及流量控制數(shù)據(jù)包交由完成處理代碼固化在芯片中優(yōu)勢(shì)基于硬件的數(shù)據(jù)處理提供了很高的數(shù)據(jù)包轉(zhuǎn)發(fā)速率劣勢(shì)由于代碼固化在芯片中，導(dǎo)致系統(tǒng)升級(jí)異常困難產(chǎn)品開發(fā)周期較長(zhǎng)，芯片定制一次性投入較大，在其市場(chǎng)未達(dá)一定規(guī)模時(shí)，價(jià)格相對(duì)較高對(duì)于類似路由、高層業(yè)務(wù)流識(shí)別及高層應(yīng)用協(xié)議的動(dòng)態(tài)變化性難于應(yīng)對(duì)基于體系結(jié)構(gòu)防火墻發(fā)展歷程硬件平臺(tái)技術(shù)分析基于的平臺(tái)提供廠家、、、特點(diǎn)：能獲得比較高的性能產(chǎn)品穩(wěn)定有一定的靈活性靈活性不高軟件開發(fā)難度大網(wǎng)絡(luò)處理器（）是一種可編程的?。诘捏w系結(jié)構(gòu)是在前兩種體系結(jié)構(gòu)的基礎(chǔ)上，綜合了各自的優(yōu)勢(shì)而推出的一種新型的體系結(jié)構(gòu)。主要被用于：非常適合高速網(wǎng)絡(luò)安全產(chǎn)品處理線速數(shù)據(jù)進(jìn)行協(xié)議分析和數(shù)據(jù)分類；進(jìn)行深度數(shù)據(jù)包分析；——防火墻發(fā)展歷程基于網(wǎng)絡(luò)處理器的體系結(jié)構(gòu)防火墻發(fā)展歷程硬件平臺(tái)技術(shù)分析-多核架構(gòu)多核架構(gòu)優(yōu)勢(shì)新建會(huì)話能力強(qiáng)，可達(dá)到20萬支撐更高更多的網(wǎng)絡(luò)接口，448控制/數(shù)據(jù)層面分離高負(fù)載時(shí)仍然可以進(jìn)行正常的管理操作忙碌時(shí)不影響已建立的會(huì)話數(shù)據(jù)轉(zhuǎn)發(fā)多核芯片特點(diǎn)2×，8×，4×內(nèi)部數(shù)據(jù)交換128集成加解密引擎，支持、3多種算法支持C語言開發(fā)，編程靈活硬件平臺(tái)多核芯片..12/21/202433超強(qiáng)性能、海量并發(fā)64個(gè)8×8矩陣式并行處理系統(tǒng)智能的調(diào)度系統(tǒng)每含8處理核每核主頻1.2每個(gè)核具備4個(gè)虛擬每臺(tái)設(shè)備具備64個(gè)同時(shí)進(jìn)行運(yùn)算（＝線程）UNITBUNITA吞吐：20G并發(fā)：1000萬每秒新建：20萬：500萬：5G硬件平臺(tái)技術(shù)分析-多核架構(gòu)12/21/2024CPU矩陣A1A8A3A2A4A5A6A7B1B8B3B2B4B5B6B7C1C8C3C2C4C5C6C7D1D8D3D2D4D5D6D7E1E8E3E2E4E5E6E7F1F8F3F2F4F5F6F7G1G8G3G2G4G5G6G7H1H8H3H2H4H5H6H7流量分組并行處理DATADATA隊(duì)列調(diào)度預(yù)處理解密策略匹配內(nèi)容過濾封裝加密隊(duì)列操作路由查詢?nèi)罩居涗浟魉€處理步驟64個(gè)8×8矩陣式并行處理技術(shù)智能的調(diào)度系統(tǒng)吞吐：20G并發(fā)：1000萬每秒新建：20萬：500萬：5G硬件平臺(tái)技術(shù)分析-多核架構(gòu)12/21/2024隊(duì)列調(diào)度預(yù)處理解密策略匹配內(nèi)容過濾封裝加密隊(duì)列操作路由查詢?nèi)罩居涗浧胀ò^濾流水線1流水線2空閑隊(duì)列加解密＋內(nèi)容過濾隊(duì)列調(diào)度發(fā)現(xiàn)3顆占用率為零,將其釋放隊(duì)列調(diào)度發(fā)現(xiàn)占用率很高,申請(qǐng)空閑進(jìn)入隊(duì)列64個(gè)8×8矩陣式并行處理技術(shù)智能的調(diào)度系統(tǒng)吞吐：20G并發(fā)：1000萬每秒新建：20萬：500萬：5G硬件平臺(tái)技術(shù)分析-多核架構(gòu)各種結(jié)構(gòu)的比較性能功能通用處理器架構(gòu)網(wǎng)絡(luò)處理器架構(gòu)架構(gòu)多核架構(gòu)防火墻硬件的發(fā)展其他嵌入式架構(gòu)目錄防火墻基本概念防火墻的發(fā)展歷程防火墻功能解析防火墻性能解析防火墻的作用Intranet通過部署防火墻，可以實(shí)現(xiàn)比、路由器更為強(qiáng)大、有效的訪問控制功能；大大提高抗攻擊的能力禁止訪問禁止訪問防火墻功能解析——防火墻功能解析——防火墻功能解析安全區(qū)劃分防火墻

防火墻功能解析安全區(qū)1（內(nèi)網(wǎng)）安全區(qū)2（外網(wǎng)）安全區(qū)3（、）透明接入網(wǎng)絡(luò)A網(wǎng)絡(luò)B192.168.024192.168.024透明模式下，這里不用配置地址透明模式下，這里不用配置地址透明模式下，網(wǎng)絡(luò)A和網(wǎng)絡(luò)B不用做任何調(diào)整——防火墻功能解析防火墻功能解析路由、接入網(wǎng)絡(luò)A192.168.024/24202.16.126202.16.126路由模式下，防火墻的內(nèi)外網(wǎng)接口必須配置不同的地址——防火墻功能解析防火墻功能解析混合接入防火墻區(qū)內(nèi)網(wǎng)1內(nèi)網(wǎng)2網(wǎng)橋NAT——防火墻功能解析防火墻功能解析CD基本的訪問控制技術(shù)

1010010101規(guī)則匹配成功基于源地址基于目的地址基于源端口基于目的端口基于時(shí)間基于用戶基于流量基于文件基于網(wǎng)址基于地址Internet公開服務(wù)器可以使用私有地址隱藏內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)WWWFTPMAILDNS：80：80：21：21：53：53：25：25(端口映射)net4HostA受保護(hù)網(wǎng)絡(luò)HostCHostD15防火墻Eth2：3Eth0：數(shù)據(jù)IP報(bào)頭數(shù)據(jù)IP報(bào)頭源地址：1目地址：4源地址：目地址：4隱藏了內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)內(nèi)部網(wǎng)絡(luò)可以使用私有地址公開地址不足的網(wǎng)絡(luò)可以使用這種方式提供復(fù)用功能(地址轉(zhuǎn)換)netHostABCD00-50-0471600-50-047100-50-0471600-50-0471與地址綁定后，不允許B假冒A的地址上網(wǎng)防火墻允許A上網(wǎng)跨路由器與（用戶）的綁定策略路由功能中國(guó)教育網(wǎng)A：B：C：內(nèi)網(wǎng)根據(jù)源、目地址來進(jìn)行路由主機(jī)B直接連接主機(jī)A通過教育網(wǎng)上分級(jí)帶寬管理Internet

財(cái)務(wù)部子網(wǎng)采購(gòu)部子網(wǎng)出口帶寬512K區(qū)保留256K分配70K帶寬分配90K帶寬分配96K帶寬區(qū)域內(nèi)部網(wǎng)絡(luò)總帶寬512K內(nèi)網(wǎng)256K256K70K90K96K+++財(cái)務(wù)子網(wǎng)采購(gòu)子網(wǎng)生產(chǎn)子網(wǎng)生產(chǎn)部子網(wǎng)應(yīng)用代理是防火墻中一個(gè)重要的功能，啟用代理可以針對(duì)特定應(yīng)用進(jìn)行更細(xì)粒度的控制，包括內(nèi)容過濾等?？蛻舳朔?wù)器2：防火墻對(duì)客戶端的訪問進(jìn)行控制1：客戶端訪問服務(wù)器需先訪問防火墻3：防火墻代替客戶端向服務(wù)器發(fā)送請(qǐng)求代理服務(wù)認(rèn)證技術(shù)認(rèn)證是所有防火墻的基礎(chǔ)。認(rèn)證技術(shù)：操作系統(tǒng)口令：;；；第三方的插件；認(rèn)證模式：用戶認(rèn)證客戶認(rèn)證會(huì)話認(rèn)證認(rèn)證服務(wù)CDBA受保護(hù)網(wǎng)絡(luò)Internet黑客發(fā)起攻擊發(fā)送通知報(bào)文驗(yàn)證報(bào)文并采取措施發(fā)送響應(yīng)報(bào)文識(shí)別出攻擊行為阻斷連接或者報(bào)警等與安全聯(lián)動(dòng)口口12支持的交換機(jī)口口1212同一交換機(jī)的不同之間通訊不同交換機(jī)的同一之間通訊不支持的防火墻無法在這種環(huán)境下工作不支持的防火墻無法在這種環(huán)境下工作防火墻對(duì)協(xié)議的支持（主機(jī)）（網(wǎng)關(guān)）在服務(wù)器和外部網(wǎng)絡(luò)之間部署代理服務(wù)器通過代理服務(wù)器發(fā)送報(bào)文，在收到客戶端的包后，防火墻代替服務(wù)器向客戶端發(fā)送包，如果客戶端在一段時(shí)間內(nèi)沒有應(yīng)答或中間的網(wǎng)絡(luò)設(shè)備發(fā)回了錯(cuò)誤消息，防火墻則丟棄此狀態(tài)信息如果客戶端的到達(dá)，防火墻代替客戶端向服務(wù)器發(fā)送包，并完成后續(xù)的握手最終建立客戶端到服務(wù)器的連接。通過這種技術(shù)，保證每個(gè)包源的真實(shí)有效性，確保服務(wù)器不被虛假請(qǐng)求浪費(fèi)資源，從而徹底防范對(duì)服務(wù)器的攻擊。

抗攻擊算法抗攻擊算法算法當(dāng)流量達(dá)到一定的數(shù)量限度時(shí)，所采取的一種通過降低性能，保證服務(wù)的不得已的方法。具體過程是：當(dāng)流量達(dá)到一定的閥值的時(shí)候，開始按照一定的算法丟棄后續(xù)的報(bào)文，保持主機(jī)的處理能力，這樣對(duì)于用戶而言，許多合法的請(qǐng)求可能被主機(jī)隨機(jī)丟棄，但是有部分請(qǐng)求還是可以得到服務(wù)器響應(yīng)，保證服務(wù)不間斷運(yùn)行的。

1518180153818025181803351818015181801518180連接表丟棄連接丟棄連接抗攻擊帶寬限制和保證帶寬限制和保證通過對(duì)報(bào)文種類、來源等各種特性設(shè)置閥值參數(shù)，保證主要服務(wù)穩(wěn)定可靠的資源供給。保證在高強(qiáng)度攻擊環(huán)境下一定的連接保持率和新連接發(fā)起成功率內(nèi)部網(wǎng)絡(luò)1518180153818025181803351818015181801518180Internet服務(wù)器3服務(wù)器1服務(wù)器2服務(wù)器負(fù)載均衡高可用性（）技術(shù)是為解決防火墻單點(diǎn)故障點(diǎn)，提供無縫的故障恢復(fù)，保障企業(yè)網(wǎng)絡(luò)的關(guān)鍵應(yīng)用。如：雙機(jī)熱備、集群（）技術(shù)等。Internet內(nèi)部網(wǎng)絡(luò)

高可用性技術(shù)防火墻雙機(jī)熱備內(nèi)部網(wǎng)外網(wǎng)或者不信任域001122狀態(tài)同步心跳線

檢測(cè)的狀態(tài)發(fā)現(xiàn)出故障，立即接管其工作正常情況下由主防火墻工作主防火墻出故障以后，接管它的工作

通過協(xié)議可以交換兩臺(tái)防火墻的狀態(tài)信息當(dāng)一臺(tái)防火墻故障時(shí)，這臺(tái)防火墻的連接不需要重新建立就可以透明的遷移到另一臺(tái)防火墻上，用戶不會(huì)察覺到目錄防火墻基本概念防火墻的發(fā)展歷程防火墻功能解析防火墻性能解析并發(fā)連接數(shù)定義：指穿越防火墻的主機(jī)之間或主機(jī)與防火墻之間能同時(shí)建立的最大連接數(shù)衡量標(biāo)準(zhǔn)：并發(fā)連接數(shù)的測(cè)試主要用來測(cè)試被測(cè)防火墻建立和維持連接的性能，同時(shí)也能通過并發(fā)連接數(shù)的大小體現(xiàn)被測(cè)防火墻對(duì)來自于客戶端的連接請(qǐng)求的響應(yīng)能力。理解細(xì)化：是防火墻能夠同時(shí)處理的點(diǎn)對(duì)點(diǎn)會(huì)話連接的最大數(shù)目，它反映防火墻對(duì)多個(gè)連接的訪問控制能力和連接狀態(tài)跟蹤能力。這個(gè)參數(shù)的大小可以直接影響到防火墻所能支持的最大信息點(diǎn)數(shù)并發(fā)連接數(shù)可以用來衡量穿越防火墻的主機(jī)之間能同時(shí)建立的最大連接數(shù)吞吐量定義：在不丟包的情況下能夠達(dá)到的最大速率衡量標(biāo)準(zhǔn)：吞吐量作為衡量防火墻性能的重要指標(biāo)之一,吞吐量小就會(huì)造成網(wǎng)絡(luò)新的瓶頸，以至影響到整個(gè)網(wǎng)絡(luò)的性能*$^&*&^#**(&6000B測(cè)試儀101100101000011111001010010001001000以最大速率發(fā)包直到出現(xiàn)丟包時(shí)的最大值防火墻吞吐量小就會(huì)成為網(wǎng)絡(luò)的瓶頸100M60M數(shù)據(jù)包首先排隊(duì)待防火墻檢查后轉(zhuǎn)發(fā)延時(shí)定義：入口處輸入幀最后1個(gè)比特到達(dá)至出口處輸出幀的第一個(gè)比特輸出所用的時(shí)間間隔衡量標(biāo)準(zhǔn)：防火墻的時(shí)延能夠體現(xiàn)它處理數(shù)據(jù)的速度101010010010010010106000B測(cè)試儀101100101000011111001010010001001000最后1個(gè)比特到達(dá)第一個(gè)比特輸出時(shí)間間隔101010011100111010101001110011101010010010100100010100010101010100100100100100100010造成數(shù)據(jù)包延遲到達(dá)目標(biāo)地丟包率定義：在連續(xù)負(fù)載的情況下，防火墻設(shè)備由于資源不足應(yīng)轉(zhuǎn)發(fā)但卻未轉(zhuǎn)發(fā)的幀百分比衡量標(biāo)準(zhǔn)：防火墻的丟包率對(duì)其穩(wěn)定性、可靠性有很大的影響Smartbits6000B測(cè)試儀發(fā)送了1000個(gè)包防火墻由于資源不足只轉(zhuǎn)發(fā)了800個(gè)包丟包率=（1000-800）/1000=20%1001010100101001000100100110010101001010010001001001背靠背定義：從空閑狀態(tài)開始，以達(dá)到傳輸介質(zhì)最小合法間隔極限的傳輸速率發(fā)送相當(dāng)數(shù)量的固定長(zhǎng)度的幀，當(dāng)出現(xiàn)第一個(gè)幀丟失時(shí)，發(fā)送的幀數(shù)。衡量標(biāo)準(zhǔn)：背靠背的測(cè)試結(jié)果能體現(xiàn)出防火墻的緩沖容量，網(wǎng)絡(luò)上經(jīng)常有一些應(yīng)用會(huì)產(chǎn)生大量的突發(fā)數(shù)據(jù)包（如、備份、路由更新等），而且這樣的數(shù)據(jù)包的丟失可能會(huì)產(chǎn)生更多的數(shù)據(jù)包，強(qiáng)大的緩沖能力可以減少這種突發(fā)對(duì)網(wǎng)絡(luò)造成的影響。6000B測(cè)試儀少量包沒有數(shù)據(jù)包增多峰值包減少包數(shù)量（N)時(shí)間（T）背靠背指標(biāo)體現(xiàn)防火墻對(duì)突發(fā)數(shù)據(jù)的處理能力軟件發(fā)展：包過濾、應(yīng)用代理、狀態(tài)檢測(cè)、深度內(nèi)容過濾硬件發(fā)展：X86、嵌入式、、、多核接入方式：透明、路由、混合實(shí)現(xiàn)技術(shù)：安全區(qū)劃分、、策略路由、認(rèn)證技術(shù)、代理技術(shù)、高可用技術(shù)、支持性能指標(biāo)：并發(fā)連接數(shù)、吞吐量、時(shí)延、背靠背、丟包率第一章小節(jié)知識(shí)點(diǎn)回顧目錄

防火墻基礎(chǔ)介紹防火墻產(chǎn)品體系聯(lián)想網(wǎng)御信息安全

防火墻典型應(yīng)用與選型

目錄引言全系列技術(shù)優(yōu)勢(shì)數(shù)據(jù)包處理流程功能性能優(yōu)勢(shì)點(diǎn)安全新動(dòng)態(tài)網(wǎng)絡(luò)規(guī)模越來越大網(wǎng)絡(luò)應(yīng)用越來越豐富以政治、利益為代表的網(wǎng)絡(luò)攻擊傳播成為熱點(diǎn)僵尸網(wǎng)絡(luò)規(guī)模逐步擴(kuò)大以拒絕服務(wù)（）為主要手段的網(wǎng)絡(luò)攻擊時(shí)時(shí)考驗(yàn)客戶的網(wǎng)絡(luò)以垃圾信息為代表的非法內(nèi)容浪費(fèi)著網(wǎng)絡(luò)的資源安全進(jìn)入體系時(shí)代要求建造安全的整體網(wǎng)絡(luò)從點(diǎn)轉(zhuǎn)變到面的方式考慮安全問題各種整體的解決方案和技術(shù)體系被提出聯(lián)想網(wǎng)御：下一代安全架構(gòu)天融信：可信網(wǎng)絡(luò)架構(gòu)：自防御網(wǎng)絡(luò)華為：安全滲透網(wǎng)絡(luò)銳捷：全局安全網(wǎng)絡(luò)安全網(wǎng)關(guān)成為各體系化的基本配置各種安全網(wǎng)關(guān)是安全的基礎(chǔ)設(shè)施防火墻成為最主要的基礎(chǔ)邊界安全設(shè)備市場(chǎng)發(fā)展趨勢(shì)(2008)

(國(guó)內(nèi)防火墻比例):25%網(wǎng)絡(luò)安全總額:11.6億美元71市場(chǎng)發(fā)展趨勢(shì)2006年2008年$0.2$2.3$0.5$1.2$1.3$1.5等防火墻新興市場(chǎng).IDC權(quán)威市場(chǎng)統(tǒng)計(jì)防毒墻等2008年聯(lián)想網(wǎng)御產(chǎn)品布局55%防火墻20%、防毒墻、4%IDS入侵檢測(cè)系統(tǒng)6%安全管理系統(tǒng)15%網(wǎng)閘及數(shù)據(jù)交換平臺(tái)2008年聯(lián)想網(wǎng)御產(chǎn)品銷量比防火墻系列仍為主力產(chǎn)品安全網(wǎng)關(guān)形態(tài)專業(yè)化的網(wǎng)關(guān)集成化的網(wǎng)關(guān)軟件網(wǎng)關(guān)硬件網(wǎng)關(guān)安全網(wǎng)關(guān)的發(fā)展趨勢(shì)（一）國(guó)際廠家一般都有專用的操作系統(tǒng)廠家操作系統(tǒng)（）

安全網(wǎng)關(guān)的發(fā)展趨勢(shì)（二）國(guó)際廠家一般都有專用的操作系統(tǒng)硬件化和芯片化成為趨勢(shì)發(fā)展趨勢(shì)趨勢(shì)主機(jī)軟件形態(tài)————〉硬件形態(tài)數(shù)據(jù)轉(zhuǎn)發(fā)軟件處理————〉芯片處理加密硬件加速芯片內(nèi)容過濾內(nèi)容搜索加速芯片協(xié)議處理解壓縮、語音解碼等芯片安全網(wǎng)關(guān)的發(fā)展趨勢(shì)（三）國(guó)際廠家一般都有專用的操作系統(tǒng)硬件化和芯片化成為趨勢(shì)硬件平臺(tái)多樣化X86多核嵌入式組合防火墻角色的演化由3-4層控制向應(yīng)用層控制發(fā)展由單純防外部攻擊向防外&控內(nèi)發(fā)展由單純提供控制功能向提供系列服務(wù)發(fā)展實(shí)際場(chǎng)景79帶寬在不斷的增加，但是還是感覺捉襟見肘網(wǎng)速怎么這么慢呀！半天打不開一個(gè)網(wǎng)頁(yè)高效需求－流量帶寬合理分配無節(jié)制，無秩序的P2P資源下載消耗著有限的帶寬資源。

真正需要及時(shí)信息的業(yè)務(wù)得不到有效的保障。高效需求－提高工作效率

某企業(yè)有多少員工？N＝100人每位員工平均的月薪？S＝2000元員工每天在網(wǎng)上浪費(fèi)？T＝1小時(shí)

則該企業(yè)每年將為此付出成本:30萬！虛擬娛樂，如網(wǎng)游、網(wǎng)聊、炒股等應(yīng)用，使員工沉迷其中，消耗大量工作時(shí)間。60%的企業(yè)互聯(lián)網(wǎng)訪問與工作無關(guān)！服務(wù)需求－應(yīng)用種類繁多網(wǎng)絡(luò)應(yīng)用越來越多，用戶通過防火墻了解和管理網(wǎng)絡(luò)中的應(yīng)用需求越來越大用戶受技術(shù)背景限制，迫切希望防火墻設(shè)備內(nèi)置各種應(yīng)用安全需求－屏蔽高風(fēng)險(xiǎn)網(wǎng)站互聯(lián)網(wǎng)上網(wǎng)站眾多，在一些看似合法的網(wǎng)站背后可能隱藏著病毒、木馬、蠕蟲等危險(xiǎn)因素…如何屏蔽高風(fēng)險(xiǎn)網(wǎng)站，降低安全風(fēng)險(xiǎn)？安全需求－規(guī)避法律、道德的風(fēng)險(xiǎn)各類色情、暴力、反動(dòng)等非法、負(fù)面網(wǎng)站的訪問會(huì)帶來一系列問題：引發(fā)政治問題觸犯道德底線導(dǎo)致法律糾紛信息安全問題定位緩慢：技術(shù)人員希望發(fā)現(xiàn)問題后可以快速定位根源，缺少有效的行為查詢使技術(shù)人員定位問題緩慢。內(nèi)容失控：有悖國(guó)情的互聯(lián)網(wǎng)訪問很可能在企業(yè)不知情的情況下產(chǎn)生極端不好的負(fù)面影響。外發(fā)隨意：多種多樣的外發(fā)信息可能混雜有害的內(nèi)容，目前大部分外發(fā)信息對(duì)管理層來說是蒙在鼓里的。目錄引言全系列技術(shù)優(yōu)勢(shì)數(shù)據(jù)包處理流程功能性能優(yōu)勢(shì)點(diǎn)防火墻專利技術(shù)專利名稱專利號(hào)通過串口直連使用界面管理網(wǎng)絡(luò)設(shè)備的方法01103338網(wǎng)關(guān)級(jí)計(jì)算機(jī)病毒防范的方法及其裝置01109178.9基于橋的二層交換式防火墻包過濾的方法02100655.5實(shí)現(xiàn)防火墻交換式透明代理的方法02100656.3防火墻設(shè)備可變頻率的確認(rèn)式故障報(bào)警方法02100563實(shí)現(xiàn)支持虛擬局域網(wǎng)防火墻的方法02100852.3防火墻入侵檢測(cè)與響應(yīng)的方法02100851.5基于狀態(tài)檢測(cè)的鏈路層過濾的方法02125740網(wǎng)絡(luò)安全設(shè)備多工作模式自適應(yīng)的方法02156503.1防火墻與入侵檢測(cè)聯(lián)動(dòng)的方法02155686.5防火墻包過濾動(dòng)態(tài)開關(guān)協(xié)議通信端口的方法03102385.1防火墻技術(shù)理念聯(lián)想網(wǎng)御防火墻先進(jìn)理念平臺(tái)品牌戰(zhàn)略引擎技術(shù)通用安全平臺(tái)VSP智能VSP通用安全平臺(tái)自主創(chuàng)新、專利技術(shù)完善的體系結(jié)構(gòu)設(shè)計(jì)網(wǎng)絡(luò)實(shí)時(shí)性處理可移植及成熟度高高性能、高健壯性、高擴(kuò)展性功能鏈接數(shù)據(jù)平面系統(tǒng)服務(wù)平面控制平面硬件抽象平面通用安全平臺(tái)硬件抽象平面無縫融合，到、、多核等各種先進(jìn)硬件平臺(tái)系統(tǒng)服務(wù)平面與各模塊共同遵循標(biāo)準(zhǔn)函數(shù)接口，具有高度靈活性和可擴(kuò)展性控制平面優(yōu)化配置管理，使得系統(tǒng)性能大幅提升數(shù)據(jù)平面集成統(tǒng)一安全引擎，將漏洞和風(fēng)險(xiǎn)拒之門外平臺(tái)項(xiàng)目通用安全平臺(tái)嵌入式操作系統(tǒng)通用操作系統(tǒng)適用范圍網(wǎng)絡(luò)設(shè)備、安全設(shè)備專用的設(shè)備通用、服務(wù)器等網(wǎng)絡(luò)處理實(shí)時(shí)性高高低系統(tǒng)安全性強(qiáng)中差硬件適應(yīng)性好差中系統(tǒng)可擴(kuò)展性高差高對(duì)比和其他操作系統(tǒng)的比較通用安全平臺(tái)統(tǒng)一安全引擎USE高效USE統(tǒng)一安全引擎一次性協(xié)議分析高效協(xié)同安全模塊專利匹配算法高準(zhǔn)確檢測(cè)效率標(biāo)準(zhǔn)化引擎輸入輸出統(tǒng)一化安全中心功能鏈接過濾文件過濾郵件檢查攻擊檢測(cè)病毒檢測(cè)過濾P2P過濾有效提高系統(tǒng)處理性能性能是關(guān)鍵統(tǒng)一安全引擎集成于單一平臺(tái)，構(gòu)造統(tǒng)一架構(gòu)，綜合并優(yōu)化各子系統(tǒng)，去除冗余，簡(jiǎn)化數(shù)據(jù)處理流程，實(shí)現(xiàn)統(tǒng)一的安全引擎處理機(jī)制。方便構(gòu)建可管理的等級(jí)化安全體系推進(jìn)安全策略統(tǒng)一管理提升系統(tǒng)功能可擴(kuò)展性統(tǒng)一安全引擎較差中便利管理性中低高準(zhǔn)確性較難困難容易擴(kuò)展性聯(lián)想網(wǎng)御USE統(tǒng)一安全引擎采用基于摘要索引的專利算法，提高了系統(tǒng)性能較差較高高效效率指標(biāo)引擎單引擎多引擎專利統(tǒng)一安全引擎優(yōu)勢(shì)明顯與其他引擎比較統(tǒng)一安全引擎多重冗余協(xié)議MRP可靠MRP多重冗余協(xié)議鏈路冗余端口聚合雙機(jī)備份多機(jī)集群功能鏈接狀態(tài)包過濾的核心：狀態(tài)表不管采用什么樣的技術(shù)實(shí)現(xiàn)的雙機(jī)熱備和負(fù)載均衡，多機(jī)之間的狀態(tài)不一致，必然造成切換時(shí)會(huì)話中斷或按簡(jiǎn)單包過濾處理而損失安全性，也無法處理，動(dòng)態(tài)應(yīng)用等問題。

協(xié)議可以保證多臺(tái)設(shè)備之間的狀態(tài)一致性多重冗余協(xié)議內(nèi)部網(wǎng)001122心跳線0#1#狀態(tài)同步多重冗余協(xié)議可靠性體系1多重冗余協(xié)議的可靠性體系2目錄引言全系列技術(shù)優(yōu)勢(shì)數(shù)據(jù)包處理流程功能性能優(yōu)勢(shì)點(diǎn)防火墻數(shù)據(jù)包處理流程VPN解密抗攻擊IP/MAC綁定目的地址轉(zhuǎn)換路由查找用戶信息查找安全規(guī)則檢查深層內(nèi)容過濾源地址轉(zhuǎn)換QosVPN加密虛線框表示客觀存在的”潛規(guī)則”，可能對(duì)界面配置的規(guī)則產(chǎn)生影響紅色框內(nèi)的部分為每個(gè)包檢查，其他框?yàn)槭状芜B接檢查匹配代理規(guī)則轉(zhuǎn)入本機(jī)處理；匹配隱藏內(nèi)部服務(wù)、阻斷和黑名單等規(guī)則直接丟棄數(shù)據(jù)包防火墻規(guī)則順序圖防火墻規(guī)則根據(jù)作用順序分為代理、端口映射、映射、包過濾、規(guī)則五類。目錄引言全系列技術(shù)優(yōu)勢(shì)數(shù)據(jù)包處理流程功能性能優(yōu)勢(shì)點(diǎn)聯(lián)想網(wǎng)御防火墻產(chǎn)品線介紹SuperV系列：國(guó)內(nèi)首創(chuàng)NP/ASIC架構(gòu)千兆線速防火墻CCID評(píng)測(cè)表明國(guó)內(nèi)外產(chǎn)品綜合排名第一經(jīng)過5年半精心錘煉的國(guó)產(chǎn)千兆線速產(chǎn)品PowerV系列:多威脅統(tǒng)一管理的多功能安全網(wǎng)關(guān)基于內(nèi)核認(rèn)證的用戶安全準(zhǔn)入控制部署了3萬多臺(tái)套的高可用防火墻SmartV系列:集成防火墻、VPN、交換機(jī)功能于一身具有機(jī)架型和桌面型兩種設(shè)備部署方案適合小型企業(yè)及各類大集團(tuán)的分支機(jī)構(gòu)網(wǎng)御防火墻電信/金融大中型企業(yè)用戶SOHO小企業(yè)/分支機(jī)構(gòu)網(wǎng)御防火墻SuperV7000系列網(wǎng)御防火墻SuperV5000系列網(wǎng)御防火墻PowerV4000系列網(wǎng)御防火墻PowerV3000系列網(wǎng)御防火墻PowerV1000系列網(wǎng)御防火墻PowerV500系列網(wǎng)御防火墻PowerV400系列網(wǎng)御防火墻PowerV300系列網(wǎng)御防火墻PowerV200系列網(wǎng)御防火墻PowerV124系列網(wǎng)御防火墻PowerV160系列網(wǎng)御防火墻SmartV100系列網(wǎng)御防火墻SmartV80系列網(wǎng)御防火墻SmartV60系列網(wǎng)御防火墻SmartV40系列網(wǎng)御防火墻SmartV20系列3條產(chǎn)品線16個(gè)系列50種產(chǎn)品型號(hào)網(wǎng)絡(luò)吞吐并發(fā)連接百兆接口千兆接口市場(chǎng)定位V系列20~100M10~60萬1+4(20~60)3+4(80~100)－級(jí)160200M80萬3+8－百兆低端220500M120萬40~4百兆低端320700M140萬40~4百兆中端420900M160萬－4~8百兆線速5201.1G180萬－4~10百兆線速10203.5G200萬－21048千兆低端30205G220萬－(2~10)6千兆中低端40206G250萬－(2~10)6千兆中端50207G300萬－10(4~6)千兆高端70208G400萬－10(4~6)電信級(jí)800010G500萬－24或24萬兆900020G500~1000萬－48或4(4~8)萬兆聯(lián)想網(wǎng)御防火墻全線產(chǎn)品聯(lián)想網(wǎng)御防火墻全線產(chǎn)品照片超五系列(多核架構(gòu))(和混合架構(gòu))強(qiáng)五系列(X86架構(gòu))精五系列(嵌入式架構(gòu))金剛系列(多核架構(gòu))199820012003200520072008聯(lián)想研究院成立信息安全研究所聯(lián)想第一款防火墻網(wǎng)御FW2000發(fā)布聯(lián)想發(fā)布國(guó)內(nèi)第一款千兆線速NP架構(gòu)防火墻！同年，IDC報(bào)告聯(lián)想成為中國(guó)防火墻市場(chǎng)國(guó)內(nèi)品牌第一??！聯(lián)想發(fā)布覆蓋NP平臺(tái)，X86平臺(tái)、IXP嵌入式平臺(tái)的SuperV/PowerV/SmartV三大系列防火墻，建立了業(yè)內(nèi)最完善的防火墻產(chǎn)品線！聯(lián)想發(fā)布基于多核CPU架構(gòu)萬兆線速防火墻，領(lǐng)先業(yè)界！聯(lián)想網(wǎng)御防火墻發(fā)展歷程特性與優(yōu)勢(shì)(1)－細(xì)節(jié)成就專業(yè)并發(fā)連接數(shù)控制功能與復(fù)用多出口策略路由安全聯(lián)動(dòng)集中管理策略分發(fā)負(fù)載均衡和多機(jī)集群獨(dú)特細(xì)節(jié)功能點(diǎn)細(xì)節(jié)成就專業(yè)細(xì)節(jié)功能點(diǎn)－并發(fā)連接數(shù)控制精確到單個(gè)連接控制動(dòng)態(tài)學(xué)習(xí)功能會(huì)話統(tǒng)計(jì)方式連接狀態(tài)分類查詢?cè)?目的連接排行榜細(xì)節(jié)功能點(diǎn)－功能與功能復(fù)用支持國(guó)密辦專用算法2獨(dú)有的隧道接力功能，可通過隧道接力實(shí)現(xiàn)分級(jí)的樹狀結(jié)構(gòu)部署客戶端兼容系統(tǒng)安全可靠的細(xì)節(jié)功能點(diǎn)－多出口路由多出口策略路由鏈路探測(cè)多出口自動(dòng)選路，減少跨延時(shí)動(dòng)態(tài)路由（、等），間路由，單臂路由，組播路由等核心網(wǎng)絡(luò)聯(lián)想網(wǎng)御120防火墻辦公區(qū)策略路由112安全聯(lián)動(dòng)內(nèi)網(wǎng)安全管理軟件聯(lián)動(dòng)入侵檢測(cè)設(shè)備聯(lián)動(dòng)遵循安全關(guān)聯(lián)標(biāo)準(zhǔn)內(nèi)外網(wǎng)安全管理統(tǒng)一解決方案細(xì)節(jié)功能點(diǎn)－安全聯(lián)動(dòng)管理界面簡(jiǎn)潔清晰，美觀大方防火墻策略分發(fā)，并實(shí)現(xiàn)對(duì)設(shè)備監(jiān)控、集中日志審計(jì)、安全報(bào)警實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)拓?fù)涞墓芾?，基于域的?quán)限分配和報(bào)表自動(dòng)生成，以及設(shè)備的歷史狀況回放對(duì)多臺(tái)分級(jí)的認(rèn)證防火墻進(jìn)行統(tǒng)一管理和分組授權(quán)113細(xì)節(jié)功能點(diǎn)－集中管理細(xì)節(jié)功能點(diǎn)－負(fù)載均衡智能鏈路探測(cè)，無需人工干預(yù)輪詢、最少連接、響應(yīng)速度等多種負(fù)載均衡算法支持基于會(huì)話的負(fù)載均衡（同一會(huì)話走同一條路由）基于802.3標(biāo)準(zhǔn)的多端口聚合，實(shí)現(xiàn)零成本擴(kuò)展帶寬通過狀態(tài)同步技術(shù)實(shí)現(xiàn)2～32臺(tái)防火墻的多機(jī)集群115P2P下載軟件控制娛樂視頻播放控制即時(shí)通訊軟件控制在線游戲控制炒股軟件控制技術(shù)先進(jìn)，特征碼識(shí)別應(yīng)用識(shí)別控制特性與優(yōu)勢(shì)(2)－應(yīng)用識(shí)別控制復(fù)雜應(yīng)用控制應(yīng)用識(shí)別控制－P2P下載P2P下載控制細(xì)粒度控制主流P2P下載軟件：迅雷5、、、、、、酷狗、脫兔、超級(jí)旋風(fēng)等高效協(xié)同處理的統(tǒng)一安全引擎特征分析精細(xì)度高、內(nèi)核匹配速率快識(shí)別率高、立竿見影分布式異步處理機(jī)制（），不影響性能應(yīng)用識(shí)別控制－視頻播放P2P視頻播放控制對(duì)、、、、迅雷看看、沸點(diǎn)、等P2P視頻播放軟件進(jìn)行識(shí)別控制對(duì)視頻播放軟件進(jìn)行帶寬管理控制可以制定精細(xì)化的P2P視頻控制管理策略：即最大化P2P在工作中應(yīng)用，最小化P2P在娛樂中應(yīng)用應(yīng)用識(shí)別控制－控制即時(shí)通訊軟件控制對(duì)20088.1等多種聊天軟件進(jìn)行精確控制可阻斷、淘寶旺旺、新浪、、百度、雅虎等主流即時(shí)通訊軟件一鍵式阻斷軟件機(jī)密文件傳輸支持對(duì)使用權(quán)和使用時(shí)間的監(jiān)控管理精確控制到單個(gè)應(yīng)用識(shí)別控制－網(wǎng)游控制網(wǎng)游控制識(shí)別和控制魔獸、、征途、聯(lián)眾、天堂、夢(mèng)幻西游、仙劍情緣、熱血江湖、勁舞團(tuán)、誅仙、浩方、泡泡堂等多種在線游戲軟件應(yīng)用識(shí)別控制－炒股控制炒股軟件控制識(shí)別和控制大智慧、同花順、國(guó)泰君安、證券之星、廣發(fā)證券、指南針、通達(dá)信、股票之星、華安證券、和訊報(bào)道、錢龍等多種炒股軟件應(yīng)用識(shí)別控制－專業(yè)技術(shù)025支持基于用戶、時(shí)間段、應(yīng)用協(xié)議的帶寬分配管理策略支持自定義帶寬通道，以及對(duì)應(yīng)的優(yōu)先級(jí)、速率上限和下限的設(shè)定根據(jù)業(yè)務(wù)需要對(duì)應(yīng)用劃分通道122特性與優(yōu)勢(shì)(3)－過濾國(guó)際領(lǐng)先的中文過濾系統(tǒng)應(yīng)用協(xié)議分析策略獨(dú)有預(yù)搜索引擎采用高速辨認(rèn)技術(shù)，縮短匹配時(shí)間分類庫(kù)過濾過濾－分類庫(kù)最先進(jìn)的基于行為結(jié)果的預(yù)分類模式全部人工校驗(yàn)，保證分類正確率中文分類數(shù)據(jù)庫(kù)52大類，1000萬條種類包括色情、反動(dòng)、暴力、毒品、賭博等多種負(fù)面網(wǎng)站基本覆蓋中國(guó)大陸網(wǎng)站智能分類引擎客戶定期自動(dòng)更新，保證實(shí)效性升級(jí)包處理方式、方便實(shí)用過濾－應(yīng)用策略定制提供用戶定制的過濾策略郵件報(bào)警功能、實(shí)時(shí)狀態(tài)分析用戶自定義過濾列表樹狀協(xié)議，分級(jí)控制，粒度精細(xì)基于協(xié)議特征值以及行為特征識(shí)別，而非傳統(tǒng)或端口多層次應(yīng)用協(xié)議分析、確?？刂频男Ч蜏?zhǔn)確度精細(xì)特征庫(kù)125無約束的網(wǎng)頁(yè)訪問預(yù)置庫(kù)＋靈活的自定義＋及時(shí)的升級(jí)＝健康的行為基于預(yù)搜索引擎的過濾機(jī)制，先匹配大類，再進(jìn)行細(xì)粒度過濾網(wǎng)址匹配文件類型URL預(yù)分類庫(kù)用戶自定義基于預(yù)搜索引擎技術(shù)策略加載后bad過濾－搜索引擎過濾－高速辨認(rèn)技術(shù)智能透視分析技術(shù) 在網(wǎng)絡(luò)中，應(yīng)用層數(shù)據(jù)被分拆封裝在多個(gè)數(shù)據(jù)包中傳輸，為了獲得完整的內(nèi)容，必須把連續(xù)的多個(gè)包“拆封”重新組合起來。聯(lián)想網(wǎng)御專有的智能透視分析技術(shù)，能夠智能判斷哪些包可以放過，哪些包需要暫留重組，減少了包處理的數(shù)量，從而提高數(shù)據(jù)流的分析效率過濾－智能技術(shù)智能分析引擎數(shù)據(jù)流數(shù)據(jù)包智能分析128特性與優(yōu)勢(shì)(4)－新硬件硬件平臺(tái)更新?lián)Q代網(wǎng)口模塊化擴(kuò)展硬件加速卡、加密卡等擴(kuò)展穩(wěn)定性、可靠性增強(qiáng)性能大幅度提升新硬件平臺(tái)新硬件－平臺(tái)更換硬件平臺(tái)更新?lián)Q代百兆防火墻200/300/400系列可擴(kuò)展到8個(gè)電口500系列可擴(kuò)展到12個(gè)電口可將硬件規(guī)格調(diào)整為2U機(jī)箱/雙冗余電源千兆防火墻1000系列可將硬件規(guī)格調(diào)整為2U機(jī)箱/雙冗余電源3626/4626網(wǎng)絡(luò)接口規(guī)格可以定制調(diào)整為210電3A26/4A26/5A26/7A26網(wǎng)絡(luò)接口規(guī)格可以定制調(diào)整或擴(kuò)展為： 214電;146電;1010電;186電;1014電 通過后續(xù)努力，力爭(zhēng)最大端口數(shù)達(dá)到28-32口8000可以擴(kuò)展到24個(gè)千兆口或4個(gè)千兆口加2個(gè)萬兆口新硬件－性能提升穩(wěn)定性、可靠性增強(qiáng)加固式硬件設(shè)計(jì)，可靠運(yùn)行時(shí)間網(wǎng)絡(luò)處理性能大幅度提