DPtech-FW1000系列防火墙技术白皮书.docxVIP

DPtech FW1000系列防火墙技术白皮书 1、概述在应用需求的不断推动下，网络技术得到了飞速发展；而网络技术的进步则又反过来推动应用的发展，应用与网络之间是相辅相成、相互促进的。随着万兆到核心/千兆到桌面、Web2.0、虚拟化、物联网、网络音频/视频、P2P、云计算等各种新应用、新业务层出不穷，传统的基于端口进行应用识别和访问控制的防火墙，已远远无法满足各种新应用下安全防护的需求。为解决此类难题，迪普科技推出了基于全新多核处理器架构的FW1000系列下一代应用防火墙。DPtech FW1000开创了应用防火墙的先河。基于迪普科技自主知识产权的APP-X硬件平台和ConPlat OS安全操作系统，并配备专业的入侵防御特征库、病毒库、应用协议库、URL库，是目前业界性能最高的应用防火墙。无以伦比的高可用性、高性能和高可靠性，使得FW1000系列可以放心规模部署于数据中心、大型园区网等各种复杂场景；另外，功能丰富并可按需扩展的应用防火墙方案，也简化了网络的安全架构，并大大降低了企业网络总体拥有成本。2、产品简介DPtech FW1000系列是迪普公司面向大中型企业、 学校、数据中心以及运营商开发的新一代应用防火墙产品，是一种应用级的高性能防火墙，工作在网络边界层，根据安全策略对来自不同区域的数据进行安全控制，同时支持IPv4和IPv6环境，具备业界最高性能，网络无瓶颈，拥有全面的安全防护，可确保网络稳定运行，产品VPN全内置，提供最高性价比，灵活组网能力，可适应各种网络环境。3、迪普科技防火墙特色技术3.1DPtech FW1000防火墙数据转发流程防火墙的用途是通过允许、拒绝、重定向通过防火墙的数据量，提供对一个组织的不同网络之间服务访问的控制和审计，包括基于用户和协议的策略定义、URL过滤、协议识别等特性，DPtech FW1000 防火墙设备同时支持包过滤和应用级防火墙要求。防火墙根据网络中各点的安全规则策略，有选择的在不同网络间发送信息流，默认安全规则策略拒绝所有入站和出站的信息流，仅授权的管理员具有改变安全规则策略的权限。典型的包过滤策略由源地址、目的地址、传输层协议、源端口、目的端口、应用协议决定，并以数据包达到或者离开接口为基准。迪普防火墙采用安全域的控制方式在包过滤处进行整体调用，默认规则为：1、高安全域可以访问低安全域。2、低安全域不可访问高安全域。3、相同安全级别的不同安全域，相互间禁止访问。4、同一个安全域下面的不同接口，接口间可相互访问。防火墙内部数据转发简要流程图如下：?图1 防火墙内部转发流程图防火墙数据转发流程依据上述顺序进行，先查找会话表项，然后再目的NAT转换，路由查找，包过滤规则，攻击防火墙策略、应用层匹配规则，审计策略，最后查询源NAT从设备转发出去。3.2丰富的网络特性ConPlat软件平台支持丰富的网络特性，既包括STP、VLAN、ARP等二层特性、也包括BGP、OSPFv2/v3、MPLS等IPv4/IPv6的三层特性。DPtech FW1000网络特性：■ ?支持透明组网模式、路由组网模式、混合组网模式■??支持IPv4/IPv6协议栈，具备完善丰富的IPv6协议栈过渡以及隧道技术■ ?Access、Trunk VLAN、端口聚合、端口镜像?■ ?策略路由、静态路由、组播IPv4/6路由(IGMP、PIM、MSDP、组播VPN)■ ?IPv4路由（支持RIP v1/2、OSPF、IS-IS、BGP、Guard路由）■ ?IPv6路由（支持RIPng、OSPFv3、Guard路由）、IPv6隧道技术■ ?支持完善的MPLS VPN■ ?支持DNS、DHCP、ARP、BFD、STP、QOS?■ ?支持WIFI模块、3G上网卡迪普防火墙丰富的网络特性为用户提供了灵活组网能力，可适应各种类型的网络环境，支持路由模式、透明模式、混合模式组网，可适应各种复杂应用组网环境。3.3大策略下的高性能、低时延处理能力迪普防火墙包过滤、NAT匹配采用决策树算法把安全策略编译成快速匹配表项，报文经过设备时提取五元组一次性送入快速匹配表项进行策略匹配，可以一次性查找到相应的匹配，形成单数据流并行处理的体系结构，即便防火墙在有大策略的情况下，依旧可保持高性能、低时延的处理能力，满足管理员对设备超高处理性能与低传输延迟的需求，让安全防护设备从此不再成为网络传输的瓶颈。3.4攻击防范技术（IPv4/IPv6）攻击防范功能是DPtech防火墙的重要特性之一，是指通过分析报文的内容特征和行为特征判断报文是否具有攻击特性，并且对攻击行为采取措施以保护网络主机或者网络设备。防火墙的攻击防范功能能够检测拒绝服务型（Denial of Service，DoS）、扫描窥探型、畸形报文型等多种类型的攻击，并对攻击采取合理的防范措