迈普防火墙系列.DOC

迈普防火墙系列 技术说明书 四川迈普数据通信股份有限公司 2002-10  目 录 前 言 3 1 迈普防火墙设计原则 4 2 迈普防火墙功能特点及应用 4 2.1 硬件体系结构 4 2.2 支持透明、路由两种工作模式 5 2.3 多种过滤技术 6 2.4 NAT功能 7 2.5 双机热备份，进行线路冗余 9 2.6 流量管理 10 2.7 支持VLAN，进行内网不同安全域的细分 10 2.8 用户认证 12 2.9 审计和日志 13 2.10 基于身份认证、角色划分的系统管理 14 2.11 MPSec FW支持多个接口 15 2.12 MPSec FW支持隧道功能，组建VPN虚拟专网 16 2.13 安全域 17 3 迈普防火墙能够检测发现、防范的系统漏洞和攻击行为（包括类型、名称、危害等级、详细描述、解决方案建议） 18 4 迈普防火墙功能列表和技术指标 24 4.1 技术指标(针对MPSec FW520) 24 5 产品性能自测情况报告 27 5.1 转发率 27 5.2 并发连接数测试 28 5.3 安全性测试 29 6 缩略语表 31  前 言 MPSec系列是四川迈普数据通信股份有限公司推出的系列网络安全产品，包括防火墙、VPN网关、安全路由器以及证书管理系统（Certificate Management System:CMS）迈普防火墙的设计原则 MPSec FW系列防火墙是基于状态检测的包过滤防火墙产品，包括MPSec FW520和MPSec FW505两款设备，分别应用于不同级别的网络。该产品利用树型规则组织结构避免了以往防火墙产品按顺序检查过滤规则效率不高的弊端，从而提高了该产品的处理效率。MPSec FW支持基于IPSec的VPN功能，能够同MPSec-Router以及MPSec-CMS配合组建完美的VPN网络，实现用户组网和通信安全的整体解决方案；MPSec FW支持本地管理和远程管理两种管理方式，在远程管理方式下，MPSec FW采用SSH或基于SSL的HTTP保证远程管理的安全性；MPSec FW支持基于证书以及一次性口令的用户认证；MPSec FW作为一种访问控制执行工具能够实现网络边界的完整保护。 迈普防火墙功能特点及应用 迈普防火墙做为一个功能强大的防火墙系统，是由许多功能结合在一起，协同运作的，包括透明方式和路由方式下的状态检测包过滤功能、VPN、配置管理、PPPOE拨号、DHCP、NAT、流量管理、热备份、VLAN、系统日志、用户管理等。 硬件体系结构 MPSec FW520防火墙硬件选用研扬公司提供的1U工业控制计算机，采用Intel系列芯片，支持Intel FC-370PⅢ，内部采用Intel815E芯片组，支持133外频。板载两个10/100M自适应以太网口，82559芯片。另外，可通过PCI总线可扩展3个以太网口，也为82559芯片。主板上支持并、串、USB等接口。系统预留一个PCI总线插槽，可扩展迈普公司自主研发PCI加密卡。 该PCI加密卡为迈普公司自主研发，支持国密办批准的SSP02A加密算法。通过采用硬件方式实现各种加密算法，MPSec FW有效地提高了系统的处理能力，将CPU从繁重的加密运算中解脱出来。 下表是MPSec FW520中应用加密卡的测试结果。其单位为Mbps。 表格 1 加密性能指标 SSP02A DES 3DES AES MD5 SHA1 RSA签名（1024） （次/秒） RSA验证（1024） （次/秒） MPSec FW520 80 88 38 140 190 165 150 250 400 3000 5000 8000 PCI加密卡中设计和实现的加密算法在加密报文格式方面遵循业界国内、国际标准： PKCS #1 RSA Cryptography Standard PKCS #3 Diffie-Hellman Key Agreement Standard PKCS #5 Password-Based Cryptography Standard PKCS #11 Cryptographic Token Interface Standard FIPS 186-2 Digital Signature Standard FIPS 46-3 Data Encryption Standard FIPS 81 Des Modes Of Operation FIPS 140-2 Security Requirements For Cryptographic Modules FIPS 180-1 Secure Hash Standard RFC 1321 The MD5 Message-Digest Algorithm