1 概 述
 

 

    随着互联网的一直生长，Web2.0时代下的流媒体、在线视频、互动游戏、实时语音通讯、P2P应用等大宗新型网络应用层出不穷，这些应用的数据包长度更小,流量更大, 对网络清静装备有了更高的要求: 更高的吞吐量和更小的时延。
 

 

    与此同时，网络的清静问题日益严重，在开放的网络情形中，网络界线清静成为网络清静的主要组成部分，交互式应用，Web迅雷等新应用，使用80开放端口，清静的危害更大！用户对网络的清静性的要求逐渐演变为更深条理的清静检测、更细粒度的会见控制Ｉ杏，清静威胁手段更新的速率越来越快、新的应用一直涌现，好比最近几年泛起的应用层HTTP Get攻击，耗竭资源的CC攻击等。
 

 

    做为网络界线的清静防护装备，防火墙在用户网络清静防护方面成为越来越主要的角色。用户对防火墙的性能、深度检测能力和快速扩展升级能力等要求也越来越高。
然而古板的单核架构的防火墙无论是在性能上、照旧在深度清静检测上已经无法知足用户的需求。
 

 

    罢了往以高性能著称的ASIC架构防火墙，其处置惩罚行动由芯片来举行。这些芯片的功效相对简朴，要升级维护的开发周期很长，并且一旦成为产品无法对焦点芯片举行升级；同时也无法在芯片级做到无邪的深度清静检测；无法知足用户对深度清静检测和快速升级的需求。
 

 

    NP架构防火墙，由于接纳多核并行处置惩罚引擎, 在性能方面突破了古板单核架构的瓶颈，在易升级方面比ASIC防火墙也向前迈进了一大步。但相对而言，微码编程较为重大，升级周期长，同时其代码空间受芯片存储空间限制，升级能力受到一定的限制。
在这种需求配景下，融合高性能、深度清静检测、易扩展升级的下一代多核防火墙应运而生。
 

 

2 防火墙产品的手艺生长趋势

 

2.1 高性能的多核架构硬件平台
 

 

单核架构――性能无法突破

 

    古板单核架构下受CPU、中止、总线、内存会见等多处瓶颈牵制，系统性能抵达极限，无法知足业界对防火墙性能的需求：
 

 

    由于工艺设计、功耗、散热等问题，CPU频率不可无限提升，从而CPU处置惩罚性能保存瓶颈；
 

 

    单核下数据从网卡到CPU之间的传输机制是靠“中止”来实现的，中止机制导致在有大宗数据包的需要处置惩罚的情形下，吸收发送数据性能受限于单核CPU的中止处置惩罚能力；
 

 

    古板单核架构下大部分接纳内部共享I/O总线，限制了整体吞吐；
 

 

    古板单核架构下接纳串行单内存通道，内存会见能力受到极大限制，也限制了系统的整体性能。
 

 

ASIC架构 ――性能较高，但无邪性不敷、无法扩展

 

    以前外洋的大部分高端防火墙设计都接纳了ASIC架构，由于它的数据转发性能高，并且开发周期长，一度成为海内厂商的手艺门槛。
 

 

    基于ASIC架构的防火墙从架构上刷新了古板中止机制，数据通过网络接口进入系统后，不需经由主CPU处置惩罚，而是由集成在系统中的ASIC芯片直接处置惩罚，完成防火墙的功效，如路由、NAT、防火墙规则匹配等，因此，其性能获得了大幅度的提升: 性能大部分可以抵达64 Bytes小包千兆线速。
 

 

    但问题是，这种防火墙在设计时，就必需将清静功效固化进ASIC芯片中，以是它的无邪性不敷，若是想要增添新的功效或举行系统升级，开发周期较长，敌手艺的要求也很高，而在产品化后基础无法升级。别的，用ASIC开发重大的功效，如垃圾邮件过滤、深度内容过滤、网络监控、病毒防护等，险些不可实现。
 

 

NP架构――性能较高、扩展难题

 

    海内许多向导厂商为了填补防火墙性能的缺乏，一直举行手艺研发，推出了基于NP架构的防火墙，以解决古板单核架构性能缺乏和ASIC架构不敷无邪的问题。
 

 

    NP是专门为网络装备处置惩罚网络流量而设计的处置惩罚器，其系统结构和指令集关于数据处置惩罚都做了专门的优化，同时辅助一些协处置惩罚器完成搜索、查表等功效，可以对网络流量举行快速的并发处置惩罚。硬件结构设计接纳高速的接口手艺和总线规范，具有较高的I/O能力。这是一种硬件加速的完全可编程的架构，软硬件都易于升级，因此产品的生命周期更长。
 

 

    NP最大的优点在于它是通过专门的指令集和配套的软件开发系统提供强盛的编程能力，因而便于开发应用，可扩展性强，并且研制周期比ASIC短，研发成内情对ASIC较低。
 

 

    可是，由于应用开发、功效扩展受到NP代码空间的限制，基于NP手艺的防火墙的扩展性要相对弱一些。同时，由于接纳微码编程，开举事度较大，周期较长。
 

 

多核架构――高性能、易扩展

 

    多核手艺则是近年来新泛起的处置惩罚器手艺架构，它一泛起，就被以为是解决信息清静产品功效与性能之间矛盾的一大硬件法宝。2008年海内外许多向导厂商，都先后推出了其多核清静产品。
 

 

    多核架构不但仅是替换为多核CPU处置惩罚器，它是融合多项手艺突破的一整套系统架构：
 

 

    ♦ 多核CPU处置惩罚器，突破了性能对频率的绝对依赖，在同样的空间内实现更多的盘算功效；
 

 

    ♦ 高效中止分派机制，使得每个核上的中止次数大大镌汰，大大提高数据包处置惩罚能力，降低对单包的处置惩罚时间限制；
 

 

    ♦ 从外部的共享式总线变为内部高速总线和点对点高速总线，如16速PCI-E总线数据处置惩罚能力可以抵达64Gbps；
 

 

    ♦ 并行多通道的高速内存会见手艺，如四通道DDR II 667 MHZ内存接口可以抵达21.1Gbps，突破内存会见速率限制；
 

 

    多核架构在以上手艺上的突破，突破了单核架构下的性能瓶颈，使得其处置惩罚性能大幅提高，轻松逾越ASIC和NP。
 

 

    同时，多核架构继续了通用CPU架构相对ASIC和NP架构的所有优势：
 

 

    1、软件开发周期短；
 

 

    2、易升级;
 

 

    3、高无邪性。
 

 

    因此，多核架构最能知足清静产品高性能、低功耗、高无邪性、易升级的要求，更能顺应清静产品向深层过滤生长、支持更多应用协议的生长趋势。
 

 

2.2 高效一体化的多核并行操作系统

 

    有了多核的硬件架构，还必需在全线多核并行操作系统的配合下，才华充分验展多核的优势。我们可以从下面的剖析看到一个高效的并行操作系统关于系统性能的影响。
权衡一个多核并行系统设计能力的数学模子为著名的Amdahl定律：

 

Amdahl定律：
 

 

其中三个影响加速比的要害因素是：S体现系统设计中串行执行的比例；n体现多核的处置惩罚器个数，H(n)体现系统开销。
 

 

    例如：串行比例3%，32个核，H(n)＝0,理论最高性能 speedup＝16.58倍
 

    串行比例30%，32个核，H(n)＝0,理论最高性能 speedup＝3.11倍
 

 

也就是说，若是数据处置惩罚流程的算法设计很差，性能相差将5.33倍！

 

    例如：串行比例30%，2个核，H(n)＝0,理论最高性能 speedup＝1.54倍
 

    串行比例30%，2个核，H(n)=40%,现实性能 speedup＝0.95倍
 

 

也就是说，若是多核之间的并行系统开销设计很差，性能可能让多核不如单核！

 

    由此可见，在清静并行操作系统中，能否有用降低串行执行比例和降低交互开销决议了能否充分验展多核的性能，其中的要害在于：合理划分使命、镌汰核间通讯。
整个系统使命可以按数据、功效等多个维度划分为若干子使命，划分由差别的核来执行这些子使命。
 

 

    合理的使命剖析计划使得差别使命相对自力，既降低了串行执行比例，也镌汰了核间通讯的需求。别的，镌汰核间通讯的手艺还包括异步并行、无锁编程等手艺。
 

 

    异步并行手艺与同步并行手艺相对应。后者是同步处置惩罚的一样平常模式，指的是一个核执行使命到某个时刻必需与其它核举行数据交流，然后才华继续举行；前者是对同步处置惩罚的优化，数据交流不必严酷在某个时刻举行，可以集中举行数据交流，从而镌汰交互的次数和时间。
 

 

    无锁编程是镌汰核间通讯的另一个思绪，通过全心设计的数据结构，两个核可以完全不举行使命同步，同时又能协同举行事情。

 

2.3 向应用层过滤生长、支持更多应用协议
 

 

    目今，攻击行为泛起多条理化，已经逐步从古板的Synflood、Udpflood、端口扫描等网络层攻击生长到HTTP Get、CC等应用层拒绝效劳攻击，这些新的应用层攻击数据量和毗连频率都不高，使用古板的检测手段基础无法检测和抵御。只有对内容举行深度检测和剖析，才华发明并有用防御。
 

 

    同时，新的网络应用层出不穷，网络中已经不但单是古板的HTTP、MAIL、FTP等应用协议数据了，网络视频、流媒体、在线游戏、即时通讯、P2P下载等应用已经成为了网络中的“绝对主力”。这些新的应用不但仅占用了大宗的网络带宽，造成网络拥塞，更恐怖的是迅雷等即时通讯软件协议以及其他应用于互联网的协议已经成为了恶意者实验攻击的承载协议。
 

 

    于是，对这些新的应用协议举行细粒度的控制，并对这些协议举行完全的内容过滤越来越须要。好比，识别并限制P2P占用的带宽、毗连数，以限制其对网络资源的过渡占用；对种种应用协议举行深度检测并限制其操作权限，阻止其成为黑客攻击的载体。
 

 

2.4 从工具转变为助手
 

 

    目今网络状态下，网络清静问题日益严重，要求网络治理员对内部网络举行严酷、细腻的治理和限制。而网络结构越来越重大，网络接入方法越来越无邪，网络内部主机越来越多，新的应用层出不穷，对外提供的效劳也越来越富厚，这给网络治理员带来了亘古未有的压力。
 

 

    一方面，内部网络一直的有主机或者效劳器加入，网络治理员要凭证内部主机情形，实时调解战略，关于一个大的网络，要求各个部分转达新增或者脱离的主机，基础无法包管实时性，而关于那些经常有暂时用户加入或者脱离的网络，其事情量关于网络治理员也是无法遭受的。
 

 

    另一方面，随着电子政务、网上办公、电子商务等信息化建设，网络中新的效劳和应用一直涌现， 需要治理员一直的增添清静战略，以开启越来越多的对外应用端口。然而，一些应用会同时使用多个端口，并且这些端口会一直的转变。统计种种新应用和使用的端口给治理员带来了重大的事情量，更为严重的是，从统计新的应用和端口，到最终调解清静战略需要很长的时间，这将会大大降低网上办公效率，关于那些商业类应用，则会给用户带来重大的经济损失。
 

 

    综上所述，在目今严肃的网络清静形势下，新的主机、新的效劳一直的加入和转变，给网络治理员带来了重大的事情量，并且由于无法实时调解清静战略，网络治理员们在其它营业部分中的知足度大幅下降，这一切已使得他们不堪重负。防火墙作为最主要的网络界线会见控制装备，需要从易用性上做的更多，需要能够资助网络治理员实时相识内网网络状态和随时的转变，并能够资助他们实时、动态的调解清静战略。这样可以大大镌汰网络治理员的事情量，也就是说防火墙关于用户正在逐步从重大的工具转变为易用的助手。

 

3 RG-WALL1600系列焦点级多核产品先容
 

 

    RG-WALL1600系列多核产品是55世纪网络经由多年研发，基于高性能、高稳固性的多核处置惩罚器架构硬件平台和多核并行操作系统新一代RG-SecOS推出的全线多核下一代防火墙产品。在产品性能、功效、稳固性、易升级、易用性治理等方面都有了显着的突破，能够带给用户全新的使用感受。
 

千兆中低端	千兆中高端	万兆高端系列
2核架构	2－4核架构	4－8核架构
设置简朴、多样的用户行为治理、完善的VPN接入	深度内容清静、易扩展、网络顺应性强	高性能、高可靠性、超强抗DDOS攻击
适于中小型企业、政府、军队、教育等网络情形，规模在1000台以下主机情形。	适于大中型企业、政府、军队、教育等网络情形，规模在5000台以下主机情形。	适于网络运营商、大型数据中心和大型企业纵向网络。
具有专业的清静防御与内容；すπ；支持基于Web的无客户端用户认证和用户行为治理；周全的VPN支持，包括IPSec VPN、SSL VPN、PPTP/L2TP VPN,尤其基于路由的VPN和VPN隧道备份, 大大简化多级VPN互联的安排, 增强可靠性。	具有超强的性价比，优异的网络性能和扩展能力；端口密度高并且设置无邪，适用规模广，尤其在在多出口和多清静区情形；具备深度内容过滤和防御功效， 精准的P2P控制和IM限制，确保清静无忧；实时的HA状态同步和VPN SA同步,多重软件和硬件冗余；な忠瞻懿返母呖煽啃。	具备业界最高的防火墙/VPN性能和超强的抗DDOS攻击能力， 在确保用户对高可靠性和高性能要求的同时， 以更高的易升级和可治理能力知足用户万兆网络下的清静防护需求。

 

产品特色

 

1 强盛的处置惩罚性能，用户网络更顺畅

 

    基于多核架构和多核并行操作系统新一代RG-SecOS的完善匹配；性能大幅提升；双核架构相比单核，吞吐量同比提高30%-70%；8核架构抵达万兆线速。
 

 

2 99.99%的系统高稳固性，用户营业永不宕机
 

 

    多核架构实现清静使命的物理疏散，确保焦点处置惩罚不受滋扰；多核间监控备份机制，确保焦点处置惩罚使命的越发稳固运行；
 

 

3 深度内容清静，用户营业清静无忧
 

 

    多核间相互分工协作，一部分核举行高速数据转发，完成对HTTP/FTP/DNS/TELNET/POP3/SMTP等13种应用协议的预处置惩罚；另外一部分核实现快速数据包重组还原内容，举行深度清静检测？墒迪执罅髁肯碌纳疃饶谌菁觳，完成P2P/IM协议识别与限制、入侵防护、病毒防护等深度清静功效；
 

 

4 知心的清静助手，用户使用更利便

 

    系统集成强盛的清静助手，能够凭证需要对内网主机、效劳、端口、系统及版本举行探测，实时获取内网状态，并可以凭证扫描效果轻松设置工具及清静战略，大大降低了设置、维护的重漂后；
 

 

5 强盛的网络自顺应设计，用户安排更轻松

 

    支持透明桥接、路由以及桥和路由自顺应识别模式，支持多条路由负载平衡，支持基于应用（ARP/PING/TCP/ HTTP）和链路质量的链路探测，支持多条ADSL拨号及自动负载平衡，支持多纯透明桥与接口联动，支持 基于路由的双VPN隧道备份。
 

 

4 RG-WALL1600系列多核产品手艺优势

 

4.1 多核并行操作系统新一代RG-SecOS
 

 

    55世纪网络多核并行操作系统新一代RG-SecOS是在屡获大奖的第一代清静操作系统RG-SecOS的基础上，经由2年时间研发乐成的。其在多核并行处置惩罚和统一架构方面取得了很大的突破，并获得了国家版权局揭晓的海内第一个多核并行OS著作权证书。
 

 

    首先，在多核并行处置惩罚方面，55世纪网络多核并行操作系统新一代RG-SecOS 实现了在驾驭更多处置惩罚器核、镌汰串行比例、降低系统开销三个焦点要害因素上都取得了重大突破，最主要的三大立异点是：
 

 

    第一：智能的CPU核使命调理的负载平衡手艺，真正实现了可以无邪顺应2核，4核和8核，甚至更多（N核）的统一架构；
 

 

    第二：差别CPU处置惩罚核之间的多层快速新闻网络（Fast Message Network，缩写FMNs）机制，实现了在2/4/8核上的Cache同步，快速新闻通讯，抵达了最小系统开销H(n)的目的；
 

 

    第三：超立方多维并行算法：设计了数据，控制，治理和调理四维平面的环状超立方并行算法，接纳无锁编程和漫衍式加速的专利手艺，确保数据处置惩罚的串行执行比例S最小。
 

 

    其次，在统一架构方面，55世纪网络多核并行操作系统新一代RG-SecOS实现了2核、4核、8核的轻松驾驭，并且可以轻松扩展到更多的处置惩罚器核上，能够很好的顺应工业自己和上游芯片工业链的生长趋势。
 

 

4.2 全线高性能多核架构硬件平台

 

    RG-WALL1600系列多核产品接纳全线多核架构，从2核、4核，到8核32硬件线程，产品笼罩从百兆高端、千兆、准万兆、到万兆级别，能够顺应从中小企业到大型数据中心的种种网络规模需求，真正实现了“多核平民化”。
 

 

    其优势归纳综合起来主要体现在“更快速、高稳固、易扩展、可治理”等四个方面：
首先，多核架构下多个核能够做到并行处置惩罚，分担数据流量，能够极大的提升系统性能，双核架构相比单核，吞吐量同比提高30%-70%，8核架构处置惩罚性能可以抵达万兆线速。
 

 

    其次，多核架构下多核上使命处置惩罚越发自力，确保焦点使命不受滋扰；同时多个核之间可以举行相互监控，当一个核上的使命泛起故障时，其他核可以实时接受其处置惩罚的使命和数据，包管营业不会中止；从而实现装备越发稳固的运行；
 

 

    第三，多核架构使得升级扩展变得更容易，不但能升级特征库，也能升级处置惩罚引擎，升级更快且不受代码空间限制，可应对一直转变的未知威胁手段，可支持一直转变的新的应用限制。
 

 

    最后，多核架构下可以把专用的CPU核用于系统治理，使得高负载下的随时轻松治理变得可能， 确？伤媸毕嗍蹲刺，可实时调解清静战略！
 

 

    更为主要的是，55世纪网络具备海内信息清静领域唯一的自主研发的高端多核处置惩罚器硬件板级设计能力，不但充分包管了设计的无邪性，并且可以大大降低硬件本钱，从而可以为用户提供按需扩展的高性价比产品。
 

 

4.3 内核级并行深度应用检测引擎
 

 

    差别于其它清静厂商将深度内容检测放到应用层的做法， 55世纪网络立异的将应用层数据深度内容过滤集成到了系统内核中，可以实现在内核中完成病毒过滤、入侵防护过滤、垃圾邮件过滤、VPN加解密等，确保了应用层清静的高性能。
 

 

    同时，55世纪网络独创性的将整个系统使命按数据、功效等多个维度划分为若干子使命，划分由差别的核来执行这些子使命，确保多核并行处置惩罚，阻止系统瓶颈。
 

 

    1 数据剖析，把差别的数据报文交给差别的核处置惩罚。好比，可以凭证吸收数据报文的接口来划分使命，差别接口的数据报文由差别的核处置惩罚，可以阻止差别网段的流量竞争处置惩罚器资源，也可以用来包管焦点营业。另一种可能的计划是按协议类型来区分，由一到多个核处置惩罚HTTP协议，其它核处置惩罚其它协议。
 

 

    2 功效剖析，把差别的功效分派给差别的核处置惩罚。好比，其中一个核专门认真加解密报文处置惩罚，另一个核专门认真病毒扫描等。
 

 

    3 静态调理，相同的核永远处置惩罚相同的使命。静态调理算法不涉及到使命切换，因此系统开销较小，但保存使命分派不公正的情形。
 

 

    4 动态调理，统一个核可能处置惩罚差别的使命。接纳动态调理算法的系统可以凭证每个核的现实负载情形动态分派使命，这样可以最大限度的使用每个核的处置惩罚能力。
 

 

4.4 独创的智能高效搜索算法
 

 

    接纳独创的分段直接寻址搜索算法MSDAL（Multi-Stage Direct Addressing Lookup Algorithm），解决了古板防火墙随着清静战略数的增添其性能逐渐下降的问题，确保您在大宗清静战略数目情形下仍能获取最高的网络性能！
 

 

4.5 强盛的网络自顺应性设计
 

 

    55世纪网络顺应于种种重大网络拓扑，包括透明桥接、路由以及桥和路由完全自顺应识别模式。除此之外，还具备一下特色功效设计：
 

 

    1 支持多（≥6）路由负载平衡，能够很好的应用于多条网络出口的用户情形，节约用户带宽投资；
 

 

    2 支持基于应用（ARP/PING/TCP/ HTTP）和链路质量的链路探测，能够确保网络实时通畅；
 

 

    3 支持多（≥3）ADSL拨号及自动负载平衡，能够很好的应用于中小企业ADSL拨号情形，能够为用户节约带宽投资；
 

 

    4 支持多纯透明子桥与接口联动，能够在不改变用户拓扑的情形下，安排在多条透明情形中，大大镌汰用户调解拓扑的事情量；
 

 

    5 支持基于路由的双VPN隧道备份，55世纪网络独创的基于路由的VPN手艺特殊适合大型星型网络，能够大大降低安排的重漂后；而基于路由的双VPN隧道备份能够确保隧道实时可用，确保隧道的可靠性；
 

 

    6 天生树和每VLAN天生树协议（STP/PVST+）和虚拟路由冗余协议（VRRP），提供周全可靠的二层链路备份和三层路由备份。
 

 

5 RG-WALL1600系列多核产品主要功效
 

清静防御能力	提供基于状态检测的智能包过滤
	支持SIP/H.323/H.323网守/FTP/SQL.Net/MMS/RTSP/TFTP等动态协议
	支持802.1Q VLAN协议
	支持双向NAT，支持源地点转换、端口映射、IP映射三种类型的NAT
	支持静态桥转揭晓
	支持多纯透明子桥和接口联动
	支持IP/MAC地点绑定和自动探测
	支持新建毗连/并发毗连限制
	提供透明网关式应用署理
	提供HTTP/FTP/TELNET/SMTP/POP3/自界说署理等
	提供与应用效劳无关的用户认证
	提供基于Web/Portal的无客户端认证
	有用抵御种种DoS/DDoS攻击
	提供实时网络毗连监控和实时中止
	提供周全的内外网毗连监控
VPN	支持标准IPSec VPN
	能够与使用标准IPSec 的网关或客户端互联互通
	支持基于战略的VPN应用
	支持基于路由的VPN应用（特殊适用于大型纵向网络情形）
	支持基于路由的双VPN隧道备份
	支持VPN的星型、网状等多种接入方法
	支持VPN的NAT穿越
	支持DHCP over IPSec VPN
	支持VPN远端状态探测DPD
	支持遵守VPN客户端提案方法
	支持PPTP/L2TP 拨号VPN
	支持X-AUTH扩展认证
	支持外地和RADIUS认证
	支持LDAP证书获取方法
	支持VPN证书一次导入导出
	支持SSL VPN
网络顺应能力	支持透明/桥接/路由/混淆模式
	可顺应多种网络拓扑结构和VLAN Trunk情形
	支持战略路由
	支持基于效劳的战略路由
	支持动态路由RIPv1/v2和OSPF
	提供目的地点路由、源地点路由和路由metric
	支持多（≥6条）路由负载平衡
	支持基于应用（ARP/PING/TCP/HTTP)和链路质量探测的多出口路由备份切换
	支持PPPOE协议，提供ADSL接入方法
	支持多（≥3）条ADSL拨号和自动负载平衡
	提供QoS带宽治理
	支持DHCP效劳器/中继/客户端
	支持DNS中继
	支持PPTP的NAT穿越
	支持数据包分片重组功效
深度内容检测	支持对 URL 举行过滤、网页内容过滤、黑名单、白名单、可对允许会见的 URL 和榨取会见的 URL 举行日志纪录、支持要害字导入，支持DNS中的URL过滤
	支持BT/eDonkey/Kazaa 等P2P 软件限制
	支持迅雷下载限制功效，可以对迅雷客户端软件和WEB迅雷举行有用的榨取
	支持对即时通讯软件（MSN、QQ、Skype）限制
	支持新建/并发毗连限制，包括；ぶ骰⒈；ばЮ汀⑾拗浦骰⑾拗菩Ю
	防 MAC 诱骗和 IP 盗用
	可对SMTP协议举行病毒过滤
	可对POP3协议举行病毒过滤
	可限制文件最大容量、附件数目，可设置文件夹最大压缩层数
	支持病毒库升级
	可对多种常见网络蠕虫举行过滤
	支持多家IDS联动
	支持 Web应用协议实时入侵防御阻断
	支持IPS特征库升级
高可用性能力	支持防火墙双机热备
	支持防火墙多机负载平衡
	支持端口链路备份和负载平衡
	支持效劳器负载平衡
治理审计能力	内置清静助手，利便治理员相识内网状态，可以举行运动主机、开发效劳探测、效劳版本探测、操作系统探测等，并能凭证探测效果自动天生资源工具和清静战略
	支持RG-WALL1600系列Manager防火墙集中治理系统
	提供无邪的软件升级方法
	提供强盛的日志治理和日志审计
	治理员身份认证支持电子钥匙认证或证书认证
	支持防火墙系统的实时监控
	支持实时毗连状态监控
	支持TCP状态统计，能够详细统计出TCP毗连总数和ESTABLISHED、LISTEN、SYN-SENT、SYN-RECV、FIN-WAIT、CLOSING、TIME-WAIT、CLOSE-WAIT、LAST-ACK、CLOSED 10种状态的毗连数数目及占总TCP毗连数的比例
	支持实时路由表审查
	支持目今设置审查
	支持IP地点冲突检测
	支持桥转揭晓审查
	支持中文工签字
	支持治理员分级治理
	支持设置向导
	支持系统导入导出设置
	支持Web界面导出调试信息功效

 

6 RG-WALL1600系列多核产品主要功效先容

 

6.1 自顺应的网络接入模式
 

 

    RG-WALL1600系列多核产品支持透明桥接、路由、混淆（同时保存透明、路由的自顺应接入）接入模式。当事情在透明模式时，RG-WALL1600系列防火墙类似于一个网桥，不需要用户对网络的拓扑做出任何调解；当事情在路由模式时，RG-WALL1600系列防火墙多核系列类似于一个路由器，可以提供战略路由功效；RG-WALL1600系列防火墙多核系列还可以事情在自顺应的混淆模式下，即防火墙的差别端口有的在统一网段上（透明），有的在差别网段上（路由），这样更利便用户在种种网络情形的接入。
 

 

6.2 完善的智能包过滤

 

    RG-WALL1600系列多核产品凭证数据包的源地点、目的地点、协议类型、源端口、目的端口以及网络接口等对数据包举行会见控制，并且能够纪录通过防火墙的毗连状态，直接对分组里的数据举行处置惩罚；具有完整的状态检测表追踪毗连会话状态，并且团结前后分组里的关系举行综合判断决议是否允许该数据包通过，通过毗连状态举行更迅速更清静的过滤。支持重大动态协议的状态包过滤，通过对协议内容的实时剖析，动态开放所需的端口，传输竣事后实时关闭端口，确保内网清静。
 

 

6.3 强盛的抗攻击能力
 

 

    完全自主开发的RG-SecOS清静协议栈，支持对常见攻击的检测和阻断，并可以实现针对ICMP、UDP、TCP的Flood攻击提交频度检查与阈值剖析，如针对ICMP Flood完成过滤类型与代码、频度、包长检查，针对UDP Flood完成频度、包长检查，针对Syn flood完成频度检查。针对最常见的SynFlood攻击，设置了SYN proxy以；つ诓客绾头阑鹎阶约好馐艽死嗟木芫Ю凸セ，提供高清静性和高可用性。支持对以下攻击的检测：
 

 

    • TCP端口扫描 
 

    • UDP端口扫描
 

    • Syn Flood攻击
 

    • ICMP Flood攻击
 

    • UDP Flood攻击
 

    • Ping of death攻击
 

    • Ping sweep攻击
 

    • IP spoofing
 

    • Land 攻击
 

    • Tear drop 攻击
 

    • Filter IP source route option
 

    • WinNuke攻击
 

    • Syn fragments攻击
 

    • Syn and Fin bit set攻击
 

    • No flags in TCP攻击 
 

    • FIN with no ACK攻击
 

    • ICMP fragment攻击
 

    • Large ICMP
 

    • IP source route
 

    • IP record route
 

    • IP security options
 

    • IP timestamp
 

    • IP stream
 

    • IP bad options
 

    • Unknown protocols
 

 

6.4 周全的NAT地点转换

 

    • 支持动态地点转换，支持地点池，即一对一，一对多，多对多
 

    • 支持静态地点转换
 

    • 支持端口转换，支持动态效劳的映射，允许用户内部效劳对外开放
 

    • 支持反向IP 映射，允许用户内部IP 主机对外开放
 

    • 支持双向地点转换（一样平常应用于双方权限对等网络中），即源地点和目的地点的同时转换
 

    • 支持基于战略（基于协议、目的地点）的地点转换
 

 

6.5 富厚的预界说署理和自界说署理
 

 

    RG-WALL1600系列多核产品提供富厚的署理功效。预界说署理包括：
 

 

    • HTTP署理能够对Java、JavaScript、ActiveX举行过滤
 

    • FTP署理能够对多线程、put和get下令过滤
 

    • SMTP署理能够对邮件巨细、吸收人数限制，并按要害字对邮件主题、邮件正文和附件内容、附件名过滤
 

    • POP3署理能够对邮件巨细限制，并按要害字对邮件主题、附件名过滤
 

    • 支持基于TCP协议的用户自界说署理，利便治理员使用
 

 

6.6 独创的高效清静规则搜索算法
 

 

    RG-WALL1600系列多核产品接纳自主设计的分段直接寻址清静规则搜索算法MSDAL（Multi-Stage Direct Addressing Lookup Algorithm），解决了古板防火墙随着清静规则数的增添，其搜索速率呈线性递减的问题，确保在大规则数情形下以最短的时间匹配到清静规则。
 

 

6.7 周全无邪的毗连限制
 

 

    RG-WALL1600系列多核产品提供了四种毗连限制：；ぶ骰⒈；ばЮ汀⑾拗浦骰⑾拗菩Ю。毗连限制可以；ばЮ推骰蛐Ю推魃咸峁┑哪诚钚Ю，限制对效劳器过于频仍的会见。在划定的时间内，若是某台主时机见效劳器凌驾了所限制的次数，则会对该主机实验阻断，在阻断时间段内，拒绝其对效劳器的所有会见。也可以应用此功效对使用BT/电驴等毗连数目过大严重影响网络流量的用户加以限制。
 

 

6.8 战略路由和链路聚合
 

 

    RG-WALL1600系列多核产品除通例的按目的IP方法的路由功效外，还支持按源IP方法的路由功效和路由负载平衡，支持多出口时链路聚合。按源IP方法是凭证源IP地点来决议下一跳地点。路由负载平衡指凭证下一跳的权值来自动选择路由，从而充分使用用户的带宽资源，；び没蹲。另外，还可以支持基于协媾和端口举行源路由选择。
 

 

6.9 动态路由支持

 

    RG-WALL1600系列多核产品具备动态路由的功效，可以和路由器或路由交流机举行动态路由互连，甚至替换部蹊径由器，极大的简化用户组网和节约用户的整体组网投入
 

 

    • 支持 RIP V1/V2协议
 

    • 支持 OSPF协议
 

    • 支持路由协议明文/MD5验证
 

    • 支持区域内，区域间路由
 

6.10 深度内容过滤
 

 

    • RG-WALL1600系列多核产品具备HTTP、FTP、SMTP、POP3协议的内容过滤功效，；ぶ斩擞没д庇杏玫厥褂弥种滞缱试
 

    • 支持对网页中的Java、Javascrip、ActiveX等小程序的过滤
 

    • 支持对邮件的发收信人地点、人数、文件巨细过滤，及对邮件主题、正文、收发件人、附件名、附件内容等的要害字匹配过滤
 

    • 支持URL过滤，并支持黑/白名单过滤战略
 

 

6.11 深度动态协议剖析
 

 

    RG-WALL1600系列多核产品支持对网络动态协议的深度剖析，周全支持H.323、FTP、SQL.NET等动态协议的过滤。
 

 

6.12 周全的VLAN支持
 

 

    RG-WALL1600系列多核产品能够支持802.1Q封装协议；支持VLAN Trunk协议，并可以对Trunk口中的VLAN ID举行过滤；支持VTP链路聚合协议；支持天生树协议STP和每VLAN的天生树协议PVST+；在路由模式和桥？橄戮С諺LAN间路由，利便用户在旁路方法下的接入。
 

 

6.13 用户认证
 

 

    • RG-WALL1600系列多核产品提供协议层用户认证系统，突破认证的效劳种类限制，为包过滤、双向NAT、署理等会见控制提供用户认证功效
 

    • 支持用户和组治理，支持用户战略（源IP绑定、可会见目的IP和效劳），支持对用户帐号的流量控制和时间控制
 

    • 提供与标准的radius效劳器（PAP）联动的用户认证
 

    • 提供外地认证库：提供基于角色的用户战略，并与清静规则战略配合完成强会见控制，支持对用户帐号的流量控制和时间控制，客户端可以修改密码，效劳器端检查用户在线状态，支持PAP 和S/Key认证协议
 

 

6.14 IP/MAC地点绑定
 

 

    RG-WALL1600系列多核产品提供IP/MAC地点绑定检查功效，避免IP地点盗用，可以设置绑定的默认战略，提供IP/MAC对的唯一性检查。别的还提供地点对与网口的绑定功效，可以实时定位盗用正当IP/MAC地点对的不法用户。
 

 

    RG-WALL1600系列多核产品提供IP/MAC自动探测功效，可以大大减轻治理员手工网络IP/MAC对的事情量。
 

 

6.15 无邪的时间调理
 

 

    RG-WALL1600系列多核产品可设定一次性或周期性的调理规则，对清静规则、用户清静战略等举行调理，给清静治理带来利便。
 

 

    RG-WALL1600系列多核产品的系统时间可以设置为与时钟效劳器的时间同步，也可以设置为与治理主机的时间同步。
 

 

6.16 与IDS联动
 

 

    RG-WALL1600系列多核产品支持与现在市场上大部分主流IDS产品的联动。
 

 

    当IDS联动产品发明入侵攻击行为时，会通知防火墙。若是防火墙响应网口启用了IDS自动阻断功效，则防火墙会按IDS通知的阻断方法、阻断时间和入侵主机的相关信息，对入侵主机举行阻断。
 

 

    RG-WALL1600系列多核产品阻断方法包括：
 

 

    • 对“源IP地点”阻断

    • 对“源IP地点、目的IP地点、目的端口、协议”阻断
 

    • 对“源IP地点、目的IP地点、协议、偏向（单向、双向、反向）”阻断
 

    • 防火墙阻断协议包括：TCP / UDP / ICMP和所有协议（any）
 

 

6.17 入侵检测IPS
 

 

    RG-WALL1600系列多核产品接纳最新的监测引擎，高效快速剖析算法？梢允凳庇杏玫姆⒚魅肭中形⒂枰宰柚；同时提供在线升级功效，提供最新的入侵特征。
RG-WALL1600系列防火墙可以检测以下常见入侵类型：
 

    • Atkresp
 

    • Backdoor
 

    • Info
 

    • Multimedia
 

    • p2p
 

    • porn
 

    • scan
 

    • virus
 

    • webcgi
 

    • webcf
 

    • webclient
 

    • webfp
 

    • webiis
 

    • webphp
 

    • webmisc
 

 

6.18 病毒过滤
 

 

    • RG-WALL1600系列多核产品接纳最新的病毒过滤引擎，有用；び没У耐缜寰
 

    • 提供16万种常见病毒库
 

    • 提供在线升级，实时更新病毒库
 

    • 可以对：SMTP、POP3举行病毒检测和过滤
 

 

6.19 流量整形和带宽治理

 

    RG-WALL1600系列多核产品接纳先进的拥塞控制算法、流量调理算法以及优先级排队机制，凭证用户界说的带宽战略（最大峰值带宽，最小包管带宽和优先级），动态实现带宽分派的实时控制。具有以下特点：
 

 

    • 最大限制带宽
 

 

    可以对用户IP地点、效劳等通过防火墙的带宽举行限制，例如：限制某个用户对外会见最大带宽，或者会见某种效劳的最大带宽。
 

 

    • 最小包管带宽
 

 

    包管网络中主要效劳或者主要用户的带宽不被其他效劳或者用户占用，从而包管了主要数据优先通过网络。
 

 

    • 优先级控制
 

 

    防火墙可以设定4个优先级（0-3），在拥塞情形下，可以举行越发详尽的流量控制。
 

 

6.20 完善的DHCP支持

 

    • 支持DHCP客户端
 

 

    防火墙支持动态IP，其接口可以动态地获得IP地点，利便无邪地接入用户的网络情形。
 

 

    • 支持DHCP server
 

 

    防火墙自身可以作为DHCP Server，为网络中盘算无邪态的分派IP地点，从而为企业的网络建设节约投资，同时利便网络的应用和IP地点的治理。
 

 

    • 支持DHCP Relay
 

 

    防火墙支持DHCP Relay。安排于DHCP Server和DHCP Client之间，既有用的；HCP Server同时便于用户网络的安排。
 

 

6.21 双机热备和高可用性HA
 

 

    为了包管网络的高可用性与高可靠性，针对电信级的要求，RG-WALL1600系列防火墙提供了双机热备份功效，当一台防火墙爆发意外宕机、网络故障、硬件故障等情形时，另一台防火墙自动切换到事情状态，从而包管了网络的正常使用。切换历程不需要人为操作和其他系统的加入，当爆发切换时防火墙上的毗连可以透明地、完整地迁徙到另一台防火墙上，用户不会觉察到。
 

 

6.22 周全的系统监控
 

 

    RG-WALL1600系列多核产品提供周全的系统状态监控，可以让治理员清晰地相识网络中接口流量统计、最大毗连数目的IP、种种TCP状态的毗连数及占总TCP毗连数的比例等信息，并且能够实时发明被网络蠕虫病毒熏染的主机，配合毗连限制，举行实时阻断。
 

 

6.23 便捷的设置向导

 

    RG-WALL1600系列多核产品提供便捷的设置向导功效，治理员可以凭证初始设置向导轻松完成防火墙的设置。
 

 

6.24 知心的清静助手
 

 

    RG-WALL1600系列多核产品提供内置的清静助手功效，能够资助治理员清晰的相识内网主机运行情形，可以实现：
 

 

    • 运动主机探测
 

    • 开放效劳探测
 

    • 效劳版本探测
 

    • 操作系统探测
 

 

    并且可以凭证探测效果自动生产地点资源、静态ARP、IP/MAC绑定等清静战略。
 

 

6.25 工签字称界说和引用

 

    RG-WALL1600系列多核产品将单个地点、一段网络、IP地点的规模、地点组、带宽战略、时间调理战略、URL列表等设置为一个工签字称。清静规则基于工签字称过滤，使规则具有很强的可读性，同时提高了设置治理员的事情效率，使设置更具无邪性。
 

 

6.26 富厚、清静的治理方法
 

 

    RG-WALL1600系列多核产品提供Web治理方法（通过网口）、CLI下令行治理方法（通过串口），同时还支持远程拨号（PPP）治理方法。上述三种治理方法是一直翻开的。另外，防火墙还提供通过SSH登录对防火墙以下令行方法举行远程治理的功效，此治理方法治理员有权举行添加和删除。
 

 

6.27 分级权限的清静治理
 

 

    RG-WALL1600系列多核产品提供分级清静治理机制，系统分为超等治理员、设置治理员、战略治理员、审计治理员四个品级。通过治理员身份认证（电子钥匙认证或证书认证）、治理主机限制、防火墙治理IP限制、防火墙治理方法界说（web治理/下令行治理/SSH方法/PPP+SSH毗连）、设置信息加密（支持SSL协媾和SSH协议），提供利便且清静的设置治理。
 

 

6.28 完善的系统升级

 

    随着手艺的飞速生长和清静需求的一直延伸，RG-WALL1600系列多核产品会适时地举行软件版本升级。RG-WALL1600系列防火墙的软件升级直接通过治理界面举行，用户只需选择新的升级软件包并重启防火墙即可利便地完成软件升级。
 

 

6.29 系统设置的导入导出
 

 

    RG-WALL1600系列多核产品的导入导出功效便于治理员对整个防火墙的设置举行备份，在需要的时间，可以离线调解后，重新导入防火墙即可即时生效。导出的设置信息可以生涯在治理主机上做备份，导出的文件名堂可以选择加密或不加密。
 

 

    同时，RG-WALL1600系列多核产品还支持部分设置的单独导入、导出，好比：时间资源、地点资源、效劳资源、清静战略。目的是利便治理员凭证自己的需要导出所需设置。
 

 

6.30 周全的日志审计和日志效劳器

 

    RG-WALL1600系列多核产品各功效？槎伎梢蕴峁┍曜济玫娜罩炯吐。默认情形下，日志存储在防火墙外地，也可以将日志直接发昔日志效劳器。随机提供的日志效劳器软件可以实现强盛的存储和审计功效，利便治理员对日志举行盘问和治理。
 

 

7 RG-WALL1600系列多核产品典范应用情形

 

7.1 拓扑一：多出口链路聚合
 

 

    RG-WALL1600系列多核产品能够很利便地对内部网、DMZ区和互联网举行会见控制，有用包管内部网络清静。关于多出口的网络，RG-WALL1600系列防火墙提供了链路聚合功效，通过设置战略路由，可以让差别的用户走差别的出口，也可以多条链路间自动按权重举行负载平衡，有用地使用网络带宽，；び没蹲。

 

 

7.2 拓扑二：全冗余的高可用性
 

 

    RG-WALL1600系列多核产品提供了HA（High Availability，高可用性）功效。典范事情在为Active-Standby模式，即主防火墙事情在Active状态，从防火墙事情在Standby状态。当主防火墙爆发意外宕机，或者网络链路爆发故障时，从防火墙自动切换到Active状态，从而包管了要害营业的正常运转。
 

 

    RG-WALL1600系列防火墙的HA功效具有很强的网络顺应性，支持天生树和每VLAN天生树协议（STP/PVST+）和虚拟路由冗余协议（VRRP），提供周全可靠的二层链路备份和三层路由备份。