nxg防火墙系列产品技术白皮书.pdfVIP

NXG 防火墙系列产品 技术白皮书 三 星 计 算 机 安 全 公 司 三星计算机安全公司 目录 一、概述 4 二、体系结构 5 三、产品的主要特性 6 1、NXG 系列固有的独创性分类算法（Classification Algorithm） 7 2、专有的 VPN 硬件加密加速卡保证最高的性能 9 3、以数据包为单位的 Load-Balancing 9 4、通信终端设备(Modem)的故障恢复 10 5、NXG 系列防火墙、VPN 的 HA/LB 功能架构 10 1) NXG 系列防火墙 HA 功能的技术特点 11 6、支持 OSPF 动态路由协议 12 7、支持 DNS 分离 12 8．产品的其它功能及特点 12 1) 数据包状态检测过滤 12 2) 完备的入侵检测和防御功能 15 3) 支持动态 IP 17 4) 支持 DHCP Server 17 5) 支持 ADSL 接入 17 6) 支持 H.323 协议 17 7) 内容过滤 17 8) 支持 VLAN 18 9) 提供流量控制服务 18 10) 策略时间表 18 11) IP 地址和MAC 地址绑定 18 12) 支持与防病毒网关联动 19 2 三星计算机安全公司 13) NAT 地址转换 19 14) 反向地址映射 19 15) 多重区域保护 19 16) VPN 功能 20 17) 多种接入模式 20 18) 丰富的日志审计 20 19) 分级管理 21 20) 基于对象名称过滤 21 21) 预定义服务 21 22) 集中远程管理 21 23) 支持 SNMP 协议 22 3 三星计算机安全公司 一、概述 目前市场上存在着各种各样的网络安全工具，而技术最成熟、最早产品化的就是防火墙， 由于防火墙技术的针对性很强，它已成为实现Internet 网络安全的最重要的保障之一。 NXG 防火墙是三星防火墙系列中的最新版本，该系统在性能，可靠性，管理性等方面 较 secuiWALL 系列防火墙大大提高，达到了运营级的水准，是一个“运营级的防火墙”。该 系统在状态包过滤的基础上，采用了专门设计的 TCP 协议栈实现对应用协议信息流的过滤， 能够实现在透明方式下对应用层协议的控制。系统的整体结构严格按照国家应用级防火墙的 最新标准设计，具备完善的身份鉴别、访问控制和审计能力。经国家权威部门检测，NXG 系 列防火墙符合 GB/T 18019-1999（包过滤防火墙安全技术要求）和 GB/T 18020-1999（应用 级防火墙安全技术要求）两个标准的技术要求。 NXG 系列防火墙是三星防火墙的第二代产品，内核层保证从数据链路层到应用层的完全 高性能过滤。系统的主要模块工作在操作系统的内核模式下，并对协议的处理进行了优化， 其性能为线速防火墙，其千兆版本的处理能力超过 150 万的并发连接，完全满足高速、对性 能要求苛刻网络的应用。 系统达到了高可靠性和高可用性，从硬件体系结构的设计，系统内关键部件的冗余到仅 需要一秒的双机热备自动切换，保证网络永不间断。 NXG 防火墙系统一般安装在可信网络和不可信网络的边界上，所有进出受控网络的流 量集中在这一点上，要求防火墙系统故障率越低越好，一旦发生故障必须能迅速恢复。NXG 不但能够提供多机热备功能，并且还能提供多种负载均衡的功能。 NXG 可以在多种模式下实现 HA 。NXG 支持路由模式和网桥模式的网络结构，在路由 模式下支持 Active-Active 的 HA 结构；在网桥模式下可以实现 Ative －StandBy 以及 Active-Active 的HA 结构。使用 Acti