01-蓝盾高性能万兆防火墙技术白皮书.doc

蓝盾万兆高性能防火墙

技术白皮书

电信级架构

专用智能安全芯片

多核（128）并行处理

广东天海威数码技术有限公司

蓝盾防万兆高性能防火墙技术白皮书

广东天海威数码技术有限公司第PAGE1页共NUMPAGES30页

目录

TOC\o1-3第1章产品简介 2

1.1系统组成 3

第2章防火墙体系架构分析 4

2.1体系架构的演变 4

2.2基于FDT指标的体系架构分布 6

2.3蓝盾第三代ISS集成安全体系架构 7

第3章蓝盾芯片级硬件防火墙体系架构 9

3.1高速安全处理单元SPU 11

3.2安全处理芯片 11

3.3安全处理芯片处理流程 14

3.4高速背板总线及高速管理通道 15

3.5软件系统 15

第4章产品特性 17

4.1强大的攻击防范能力 17

4.2增强的防火墙过滤功能 17

4.3IDS联动 18

4.4AllInOne集成功能 19

4.5支持多种功能模式 20

4.6NAT应用 21

4.7安全保障的VPN应用 22

1.2防火墙双机热备份 22

4.8完备的流量监控 22

4.9灵活便捷的维护管理 23

4.10支持多种以太网接口 24

4.11详尽统一的日志 24

4.12可靠的产品设计 25

第5章系统结构 26

5.1产品外观 26

产品前视图 26

产品后视图 26

产品顶视图 27

5.2产品性能指标 27

5.3功能特性列表 27

产品简介

随着网络带宽和各种应用的高速增长，对防火墙产品的处理性能提出了更高的要求。X86架构的防火墙采用通用CPU和PCI总线接口，往往会受到PCI总线的带宽及CPU处理能力的限制；NP、ASIC架构的防火墙虽然解决了带宽问题，但对高层业务应用支持较差。

作为专门设计网络安全产品的广东天海威数码技术有限公司利用自身的优势，结合我国的网络安全现状，成功研制出了基于电信级架构，专用智能安全芯片及多核（128）并行处理能力的万兆级高性能防火墙，既成功解决了带宽问题，全双工吞吐量FDT最大支持高达12Gbps，又实现了高层应用业务的全面支持能力。

蓝盾万兆高性能防火墙采用自主研发的BluedonSec?、BluedonCrypt?安全处理芯片和P4-MCPU以及自主产权操作系统Bluedon?的ISS（IntegratedSecuritySystem）集成安全系统架构，全面提升防火墙产品的报文过滤检测、攻击检测、加解密、NAT特性、VPN特性等各方面性能的同时；并可实现安全业务的全方面拓展，其灵活的模块化结构综合报文过滤、状态检测、数据加解密功能、VPN业务、NAT业务、流量监管、攻击防范、安全审计以及用户管理认证等安全功能于一体，实现业务功能的按需定制和快速服务、响应升级，构建新一代安全体系架构和安全产品。

蓝盾万兆高性能防火墙为19英寸1U或2U标准机箱，机箱上带有console口、HA接口，并可最多扩展至8GE或8GE＋32FE，蓝盾万兆高性能防火墙可提供单或双电源供电。可以安装两块交流或两块直流电源模块，实现双路供电及电源的冗余备份，并支持电源模块/多功能接口模块热插拔。

蓝盾万兆高性能防火墙采用集成的软件和硬件平台，采用了专有的、实时的操作系统，可以根据用户下发的策略灵活划分安全区域，不仅能设置为预定义的受信区、非受信区或者DMZ(demilitarizedzone)区，还可以自定义为其他安全级别的区域。当数据在不同安全级别区域、不同接口以及不同安全区之间转发的时候，防火墙将对所有转发经过的数据报文进行全面的过滤、检测。

蓝盾万兆高性能防火墙是新一代高速状态检测防火墙，不仅支持丰富的协议（如HTTP、FTP、SMTP、H.323、IPsec等），而且还支持有害命令和不法协议的检测功能。提供高速的策略过滤、基于高速硬件过滤检测的防攻击、针对具体协议应用的状态检测、静态和动态黑名单过滤、不同策略业务的流控等特性。蓝盾万兆高性能防火墙提供的丰富统计分析功能和分级分类的详细日志输出为用户进一步跟踪非法事件提供了必要的保障。

系统组成

蓝盾万兆高性能防火墙主要由以下几部分子系统组成：

蓝盾万兆高性能防火墙（硬件平台）：是一个基于天海威公司自主知识产权国内首款专用安全处理芯片Bluedon?的硬件防火墙平台，其最大处理性能可达到12Gbps全双工线