1 概 述
 

 

    随着互联网的不休发展，Web2.0时期下的流媒体、在线视频、互动游戏、实时语音通讯、P2P利用等大量新型网络利用层出不穷，这些利用的数据包长度更幼,流量更大, 对网络安全设备有了更高的要求: 更高的吞吐量和更幼的时延。
 

 

    与此同时，网络的安全问题日益严沉，在盛开的网络环境中，网络天堑安全成为网络安全的沉要组成部门，交互式利用，Web迅雷等新利用，利用80盛劈头口，安全的风险更大！用户对网络的安全性的要求逐步演变为更深档次的安全检测、更细粒度的接见节造；褂，安全威胁伎俩更新的速度越来越快、新的利用不休涌现，好比最近几年出现的利用层HTTP Get攻击，耗竭资源的CC攻击等。
 

 

    做为网络天堑的安全防护设备，防火墙在用户网络安全防护方面成为越来越沉要的角色。用户对防火墙的机能、深度检测能力和急剧扩大升级能力等要求也越来越高。
然而传统的单核架构的防火墙无论是在机能上、还是在深度安全检测上已经无法满足用户的需要。
 

 

    而从前以高机能著称的ASIC架构防火墙，其处置作为由芯片来进行。这些芯片的职能相对单一，要升级守护的开发周期很长，并且一旦成为产品无法对主题芯片进行升级；同时也无法在芯片级做到矫捷的深度安全检测；无法满足用户对深度安全检测和急剧升级的需要。
 

 

    NP架构防火墙，由于选取多核并行处置引擎, 在机能方面突破了传统单核架构的瓶颈，在易升级方面比ASIC防火墙也向前迈进了一大步。但相对而言，微码编程较为复杂，升级周期长，同时其代码空间受芯片存储空间限度，升级能力受到肯定的限度。
在这种需要布景下，融合高机能、深度安全检测、易扩大升级的下一代多核防火墙应运而生。
 

 

2 防火墙产品的技术发展趋向

 

2.1 高机能的多核架构硬件平台
 

 

单核架构――机能无法突破

 

    传统单核架构下受CPU、中断、总线、内存接见等多处瓶颈牵造，系统机能达到极限，无法满足业界对防火墙机能的需要：
 

 

    由于工艺设计、功耗、散热等问题，CPU频率不能无限提升，从而CPU处置机能存在瓶颈；
 

 

    单核下数据从网卡到CPU之间的传输机造是靠“中断”来实现的，中断机造导致在有大量数据包的必要处置的情况下，接管发送数据机能受限于单核CPU的中断处置能力；
 

 

    传统单核架构下大部门选取内部共享I/O总线，限度了整体吞吐；
 

 

    传统单核架构下选取串行单内存通路，内存接见能力受到限度，也限度了系统的整体机能。
 

 

ASIC架构 ――机能较高，但矫捷性不够、无法扩大

 

    以前国表的大部门高端防火墙设计都选取了ASIC架构，由于它的数据转发机能高，并且开发周期长，一度成为国内厂商的技术门槛。
 

 

    基于ASIC架构的防火墙从架构上改进了传统中断机造，数据通过网络接口进入系统后，不需经过主CPU处置，而是由集成在系统中的ASIC芯片直接处置，实现防火墙的职能，如路由、NAT、防火墙规定匹配等，因而，其机能得到了大幅度的提升: 机能大部门能够达到64 Bytes幼包千兆线速。
 

 

    但问题是，这种防火墙在设计时，就必须将安全职能固化进ASIC芯片中，所以它的矫捷性不够，若是想要增添新的职能或进行系统升级，开发周期较长，对技术的要求也很高，而在产品化后底子无法升级。此表，用ASIC开发复杂的职能，如垃圾邮件过滤、深度内容过滤、网络监控、病毒防护等，险些不成实现。
 

 

NP架构――机能较高、扩大难题

 

    国内很多辅导厂商为了添补防火墙机能的不及，不休进行技术研发，推出了基于NP架构的防火墙，以解决传统单核架构机能不及和ASIC架构不够矫捷的问题。
 

 

    NP是专门为网络设备处置网络流量而设计的处置器，其系统结构和指令集对于数据处置都做了专门的优化，同时辅助一些协处置器实现搜索、查表等职能，能够对网络流量进行急剧的并发处置。硬件结构设计选取高速的接口技术和总线规范，拥有较高的I/O能力。这是一种硬件加快的齐全可编程的架构，软硬件都易于升级，因而产品的性命周期更长。
 

 

    NP的利益在于它是通过专门的指令集和配套的软件开发系统提供壮大的编程能力，因而便于开发利用，可扩大性强，并且研造周期比ASIC短，研发成本相对ASIC较低。
 

 

    但是，由于利用开发、职能扩大受到NP代码空间的限度，基于NP技术的防火墙的扩大性要相对弱一些。同时，由于选取微码编程，开起事度较大，周期较长。
 

 

多核架构――高机能、易扩大

 

    多核技术则是近年来新出现的处置器技术架构，它一出现，就被以为是解决信息安全产品职能与机能之间矛盾的一大硬件法宝。2008年国内表很多辅导厂商，都先后推出了其多核安全产品。
 

 

    多核架构不仅仅是更换为多核CPU处置器，它是融合多项技术突破的一整套系统架构：
 

 

    ♦ 多核CPU处置器，突破了机能对频率的绝对依赖，在同样的空间内实现更多的推算功效；
 

 

    ♦ 高效中断分配机造，使得每个核上的中断次数大大削减，大大提高数据包处置能力，降低对单包的处置功夫限度；
 

 

    ♦ 从表部的共享式总线变为内部高速总线和点对点高速总线，如16速PCI-E总线数据处置能力能够达到64Gbps；
 

 

    ♦ 并行多通路的高速内存接见技术，如四通路DDR II 667 MHZ内存接口能够达到21.1Gbps，突破内存接见速度限度；
 

 

    多核架构在以上技术上的突破，突破了单核架构下的机能瓶颈，使得其处置机能大幅提高，轻松超过ASIC和NP。
 

 

    同时，多核架构继承了通用CPU架构相对ASIC和NP架构的所有优势：
 

 

    1、软件开发周期短；
 

 

    2、易升级;
 

 

    3、高矫捷性。
 

 

    因而，多核架构能满足安全产品高机能、低功耗、高矫捷性、易升级的要求，更能适应安全产品向深层过滤发展、支持更多利用和谈的发展趋向。
 

 

2.2 高效一体化的多核并行操作系统

 

    有了多核的硬件架构，还必须在全线多核并行操作系统的共同下，能力充分阐扬多核的优势。我们能够从下面的分析看到一个高效的并行操作系统对于系统机能的影响。
衡量一个多核并行系统设计能力的数学模型为驰名的Amdahl定律：

 

Amdahl定律：
 

 

其中三个影响加快比的关键成分是：S暗示系统设计中串行执行的比例；n暗示多核的处置器个数，H(n)暗示系统开销。
 

 

    例如：串行比例3%，32个核，H(n)＝0,理论最高机能 speedup＝16.58倍
 

    串行比例30%，32个核，H(n)＝0,理论最高机能 speedup＝3.11倍
 

 

也就是说，若是数据处置流程的算法设计很差，机能相差将5.33倍！

 

    例如：串行比例30%，2个核，H(n)＝0,理论最高机能 speedup＝1.54倍
 

    串行比例30%，2个核，H(n)=40%,现实机能 speedup＝0.95倍
 

 

也就是说，若是多核之间的并行系统开销设计很差，机能可能让多核不如单核！

 

    由此可见，在安全并行操作系统中，能否有效降低串行执行比例和降低交互开销决定了能否充分阐扬多核的机能，其中的关键在于：合理划分工作、削减核间通讯。
整个系统工作能够按数据、职能等多个维度划分为若干子工作，别离由分歧的核来执行这些子工作。
 

 

    合理的工作分化规划使得分歧工作相对独立，既降低了串行执行比例，也削减了核间通讯的需要。此表，削减核间通讯的技术还蕴含异步并杏注无锁编程等技术。
 

 

    异步并行技术与同步并行技术相对应。后者是同步处置的通常模式，指的是一个核执行工作到某个时刻必须与其它核进行数据互换，而后能力持续进行；前者是对同步处置的优化，数据互换不用严格在某个时刻进行，能够集中进行数据互换，从而削减交互的次数和功夫。
 

 

    无锁编程是削减核间通讯的另一个思路，通过精心设计的数据结构，两个核能够齐全不进行工作同步，同时又能协同进行工作。

 

2.3 向利用层过滤发展、支持更多利用和谈
 

 

    当前，攻击行为出现多档次化，已经逐步从传统的Synflood、Udpflood、端口扫描等网络层攻击发展到HTTP Get、CC蹬爪用层回绝服务攻击，这些新的利用层攻击数据量和衔接频率都不高，使用传统的检测伎俩底子无法检测和招架。只有对内容进行深度检测和分析，能力发现并有效防御。
 

 

    同时，新的网络利用层出不穷，网络中已经不单单是传统的HTTP、MAIL、FTP蹬爪用和谈数据了，网络视频、流媒体、在线游戏、即时通讯、P2P下载蹬爪用已经成为了网络中的“绝对主力”。这些新的利用不仅仅占用了大量的网络带宽，造成网络拥塞，更可怕的是迅雷等即时通讯软件和谈以及其他利用于互联网的和谈已经成为了恶意者执行攻击的承载和谈。
 

 

    因而，对这些新的利用和谈进行细粒度的节造，并对这些和谈进行齐全的内容过滤越来越必要。好比，鉴别并限度P2P占用的带宽、衔接数，以限度其对网络资源的过渡占用；对各类利用和谈进行深度检测并限度其操作权限，预防其成为黑客攻击的载体。
 

 

2.4 从工具转变为副手
 

 

    当前网络情况下，网络安全问题日益严沉，要求网络治理员对内部网络进行严格、精密的治理和限度。而网络结构越来越复杂，网络接入方式越来越矫捷，网络内部主机越来越多，新的利用层出不穷，对表提供的服务也越来越丰硕，这给网络治理员带来了前所未有的压力。
 

 

    一方面，内部网络不休的有主机或者服务器参与，网络治理员要凭据内部主机情况，实时调整战术，对于一个大的网络，要求各个部门传递新增或者脱离的主机，底子无法保障实时性，而对于那些时时有一时用户参与或者脱离的网络，其工作量对于网络治理员也是无法接受的。
 

 

    另一方面，随着电子政务、网上办公、电子商务等信息化建设，网络中新的服务和利用不休涌现， 必要治理员一向的增长安全战术，以开启越来越多的对表利用端口。然而，一些利用会同时使用多个端口，并且这些端口会不休的变动。统计各类新利用和使用的端口给治理员带来了巨大的工作量，更为严沉的是，从统计新的利用和端口，到最终调整安全战术必要很长的功夫，这将会大大降低网上办公效能，对于那些商衣粪利用，则会给用户带来巨大的经济损失。
 

 

    综上所述，在当前严格的网络安全局势下，新的主机、新的服务不休的参与和变动，给网络治理员带来了巨大的工作量，并且由于无法实时调整安全战术，网络治理员们在其它业务部门中的中意度大幅降落，这所有已使得他们不胜沉负。防火墙作为沉要的网络天堑接见节造设备，必要从易用性上做的更多，必要可能援手网络治理员实时相识内网网络情况和随时的变动，并可能援手他们实时、动态的调整安全战术。这样能够大大削减网络治理员的工作量，也就是说防火墙对于用户在逐步从复杂的工具转变为易用的副手。

 

3 RG-WALL1600系列主题级多核产品介绍
 

 

    RG-WALL1600系列多核产品是iSlot官方网站网络经过多年研发，基于高机能、高不变性的多核处置器架构硬件平台和多核并行操作系统新一代RG-SecOS推出的全线多核下一代防火墙产品。在产品机能、职能、不变性、易升级、易用性治理等方面都有了显著的突破，可能带给用户全新的使用感触。
 

千兆中低端	千兆中高端	万兆高端系列
2核架构	2－4核架构	4－8核架构
配置单一、多样的用户行为治理、美满的VPN接入	深度内容安全、易扩大、网络适应性强	高机能、高靠得住性、超强抗DDOS攻击
适于中幼型企业、当局、教育等网络环境，规模在1000台以下主机环境。	适于大中型企业、当局、教育等网络环境，规模在5000台以下主机环境。	适于网络运营商、大型数据中心和大型企业纵向网络。
拥有专业的安全防御与内容；ぶ澳；支持基于Web的无客户端用户认证和用户行为治理；全面的VPN支持，蕴含IPSec VPN、SSL VPN、PPTP/L2TP VPN,尤其基于路由的VPN和VPN隧路备份, 大大简化多级VPN互联的部署, 加强靠得住性。	拥有超强的性价比，优异的网络机能和扩大能力；端口密度高并且配置矫捷，合用领域广，尤其在在多出口和多安全区环境；具备深度内容过滤和防御职能， 精准的P2P节造和IM限度，确保安全无忧；实时的HA状态同步和VPN SA同步,多沉软件和硬件冗余；ぜ际醣Ｕ喜返母呖康米⌒。	具备业界高效的防火墙/VPN机能和优良的抗DDOS攻击能力， 在确保用户对高靠得住性和高机能要求的同时， 以更高的易升级和可治理能力满足用户万兆网络下的安全防护需要。

 

产品特色

 

1 壮大的处置机能，用户网络更顺畅

 

    基于多核架构和多核并行操作系统新一代RG-SecOS的匹配；机能大幅提升；双核架构相比单核，吞吐量同比提高30%-70%；8核架构达到万兆线速。
 

 

2 99.99%的系统高不变性，用户业务永不宕机
 

 

    多核架构实现安全工作的物理分离，确保主题处置不受滋扰；多核间监控备份机造，确保主题处置工作的越发不变运行；
 

 

3 深度内容安全，用户业务安全无忧
 

 

    多核间相互分工合作，一部门核进行高速数据转发，实现对HTTP/FTP/DNS/TELNET/POP3/SMTP等13种利用和谈的预处置；另表一部门核实现急剧数据包沉组还原内容，进行深度安全检测？墒迪执罅髁肯碌纳疃饶谌菁觳，实现P2P/IM和谈鉴别与限度、入侵防护、病毒防护等深度安全职能；
 

 

4 贴心的安全副手，用户使用更方便

 

    系统集成壮大的安全副手，可能凭据必要对内网主机、服务、端口、系统及版本进行探测，实时获取内网情况，并能够凭据扫描了局轻松设置对象及安全战术，大大降低了配置、守护的复杂度；
 

 

5 壮大的网络自适应设计，用户部署更轻松

 

    支持通明桥接、路由以及桥和路由自适应鉴别模式，支持多条路由负载平衡，支持基于利用（ARP/PING/TCP/ HTTP）和链路质量的链路探测，支持多条ADSL拨号及自动负载平衡，支持多纯通明桥与接口联动，支持 基于路由的双VPN隧路备份。
 

 

4 RG-WALL1600系列多核产品技术优势

 

4.1 多核并行操作系统新一代RG-SecOS
 

 

    iSlot官方网站网络多核并行操作系统新一代RG-SecOS是在屡获大奖的第一代安全操作系统RG-SecOS的基础上，经过2年功夫研发成功的。其在多核并行处置和统一架构方面获得了很大的突破，并获得了国度版权局宣告的国内第一个多核并行OS著述权证书。
 

 

    首先，在多核并行处置方面，iSlot官方网站网络多核并行操作系统新一代RG-SecOS 实现了在驾驭更多处置器核、削减串行比例、降低系统开销三个主题关键成分上都获得了沉大突破，重要的三大创新点是：
 

 

    第一：智能的CPU核工作调度的负载平衡技术，真正实现了能够矫捷适应2核，4核和8核，甚至更多（N核）的统一架构；
 

 

    第二：分歧CPU处置核之间的多层急剧新闻网络（Fast Message Network，缩写FMNs）机造，实现了在2/4/8核上的Cache同步，急剧新闻通讯，达到了最幼系统开销H(n)的指标；
 

 

    第三：超立方多维并行算法：设计了数据，节造，治理和调度四维平面的环状超立方并行算法，选取无锁编程和散布式加快的专利技术，确保数据处置的串行执行比例S最幼。
 

 

    其次，在统一架构方面，iSlot官方网站网络多核并行操作系统新一代RG-SecOS实现了2核、4核、8核的轻松驾驭，并且能够轻松扩大到更多的处置器核上，可能很好的适应产业自身和上游芯片产业链的发展趋向。
 

 

4.2 全线高机能多核架构硬件平台

 

    RG-WALL1600系列多核产品选取全线多核架构，从2核、4核，到8核32硬件线程，产品覆盖从百兆高端、千兆、准万兆、到万兆级别，可能适应从中幼企业到大型数据中心的各类网络规模需要，真正实现了“多核布衣化”。
 

 

    其优势概括起来重要体此刻“更急剧、高不变、易扩大、可治理”等四个方面：
首先，多核架构下多个核可能做到并行处置，分管数据流量，可能充分提升系统机能，双核架构相比单核，吞吐量同比提高30%-70%，8核架构处置机能能够达到万兆线速。
 

 

    其次，多核架构下多核上工作处置越发独立，确保主题工作不受滋扰；同时多个核之间能够进行相互监控，当一个核上的工作出现故障时，其他核能够实时收受其处置的工作和数据，保障业务不会中断；从而实现设备越发不变的运行；
 

 

    第三，多核架构使得升级扩大变得更容易，不仅能升级特点库，也能升级处置引擎，升级更快且不受代码空间限度，可应对不休变动的未知威胁伎俩，可支持不休变动的新的利用限度。
 

 

    最后，多核架构下能够把专用的CPU核用于系统治理，使得高负载下的随时轻松治理变得可能， 确？伤媸毕嗍肚榭，可实时调整安全战术！
 

 

    更为沉要的是，iSlot官方网站网络具备国内信息安全领域自主研发的高端多核处置器硬件板级设计能力，不仅充分保障了设计的矫捷性，并且能够大大降低硬件成本，从而可以为用户提供按需扩大的高性价比产品。
 

 

4.3 内核级并行深杜爪用检测引擎
 

 

    分歧于其它安全厂商将深度内容检测放到利用层的做法， iSlot官方网站网络创新的将利用层数据深度内容过滤集成到了系统内核中，能够实此刻内核中实现病毒过滤、入侵防护过滤、垃圾邮件过滤、VPN加解密等，确保了利用层安全的高机能。
 

 

    同时，iSlot官方网站网络独创性的将整个系统工作按数据、职能等多个维度划分为若干子工作，别离由分歧的核来执行这些子工作，确保多核并行处置，预防系统瓶颈。
 

 

    1 数据分化，把分歧的数据报文交给分歧的核处置。好比，能够依照接管数据报文的接口来划分工作，分歧接口的数据报文由分歧的核处置，能够预防分歧网段的流量竞争处置器资源，也能够用来保险主题业务。另一种可能的规划是按和谈类型来分辨，由一到多个核处置HTTP和谈，其它核处置其它和谈。
 

 

    2 职能分化，把分歧的职能分配给分歧的核处置。好比，其中一个核专门掌管加解密报文处置，另一个核专门掌管病毒扫描等。
 

 

    3 静态调度，一样的核始终处置一样的工作。静态调度算法不涉及到工作切换，因而系统开销较幼，但存在职务分配不平正的情况。
 

 

    4 动态调度，统一个核可能处置分歧的工作。选取动态调度算法的系统能够凭据每个核的现实负载情况动态分配工作，这样能够很大限度的利用每个核的处置能力。
 

 

4.4 独创的智能高效搜索算法
 

 

    选取独创的分段直接寻址搜索算法MSDAL（Multi-Stage Direct Addressing Lookup Algorithm），解决了传统防火墙随着安全战术数的增长其机能逐步降落的问题，确保您在大量安全战术数量情况下仍能获取高效的网络机能！
 

 

4.5 壮大的网络自适应性设计
 

 

    iSlot官方网站网络适应于各类复杂网络拓扑，蕴含通明桥接、路由以及桥和路由齐全自适应鉴别模式。除此之表，还具备一下特色职能设计：
 

 

    1 支持多（≥6）路由负载平衡，可能很好的利用于多条网络出口的用户环境，节约用户带宽投资；
 

 

    2 支持基于利用（ARP/PING/TCP/ HTTP）和链路质量的链路探测，可能确保网络实时畅达；
 

 

    3 支持多（≥3）ADSL拨号及自动负载平衡，可能很好的利用于中幼企业ADSL拨号环境，可能为用户节约带宽投资；
 

 

    4 支持多纯通明子桥与接口联动，可能在不扭转用户拓扑的情况下，部署在多条通明环境中，大大削减用户调整拓扑的工作量；
 

 

    5 支持基于路由的双VPN隧路备份，iSlot官方网站网络独创的基于路由的VPN技术出格适合大型星型网络，可能大大降低部署的复杂度；而基于路由的双VPN隧路备份可能确保隧路实时可用，确保隧路的靠得住性；
 

 

    6 天生树和每VLAN天生树和谈（STP/PVST+）和虚构路由冗余和谈（VRRP），提供全面靠得住的二层链路备份和三层路由备份。
 

 

5 RG-WALL1600系列多核产品重要职能
 

安全防御能力	提供基于状态检测的智能包过滤
	支持SIP/H.323/H.323网守/FTP/SQL.Net/MMS/RTSP/TFTP等动态和谈
	支持802.1Q VLAN和谈
	支持双向NAT，支持源地址转换、端口映射、IP映射三种类型的NAT
	支持静态桥转颁发
	支持多纯通明子桥和接口联动
	支持IP/MAC地址绑定和自动探测
	支持新建衔接/并发衔接限度
	提供通明网关式利用代理
	提供HTTP/FTP/TELNET/SMTP/POP3/自界说代理等
	提供与利用服务无关的用户认证
	提供基于Web/Portal的无客户端认证
	有效招架各类DoS/DDoS攻击
	提供实时网络衔接监控和实时中断
	提供全面的内表网衔接监控
VPN	支持尺度IPSec VPN
	可能与使用尺度IPSec 的网关或客户端互联互通
	支持基于战术的VPN利用
	支持基于路由的VPN利用（出格合用于大型纵向网络环境）
	支持基于路由的双VPN隧路备份
	支持VPN的星型、网状等多种接入方式
	支持VPN的NAT穿越
	支持DHCP over IPSec VPN
	支持VPN远端状态探测DPD
	支持遵守VPN客户端提案方式
	支持PPTP/L2TP 拨号VPN
	支持X-AUTH扩大认证
	支持本地和RADIUS认证
	支持LDAP证书获取方式
	支持VPN证书一次导入导出
	支持SSL VPN
网络适应能力	支持通明/桥接/路由/混合模式
	可适应多种网络拓扑结构和VLAN Trunk环境
	支持战术路由
	支持基于服务的战术路由
	支持动态路由RIPv1/v2和OSPF
	提供主张地址路由、源地址路由和路由metric
	支持多（≥6条）路由负载平衡
	支持基于利用（ARP/PING/TCP/HTTP)和链路质量探测的多出口路由备份切换
	支持PPPOE和谈，提供ADSL接入方式
	支持多（≥3）条ADSL拨号和自动负载平衡
	提供QoS带宽治理
	支持DHCP服务器/中继/客户端
	支持DNS中继
	支持PPTP的NAT穿越
	支持数据包吩飕沉组职能
深度内容检测	支持对 URL 进行过滤、网页内容过滤、黑名单、白名单、可对允许接见的 URL 和不容接见的 URL 进行日志纪录、支持关键字导入，支持DNS中的URL过滤
	支持BT/eDonkey/Kazaa 等P2P 软件限度
	支持迅雷下载限度职能，能够对迅雷客户端软件和WEB迅雷进行有效的不容
	支持对即时通讯软件（MSN、QQ、Skype）限度
	支持新建/并发衔接限度，蕴含；ぶ骰⒈；し务、限度主机、限度服务
	防 MAC 糊弄和 IP 盗用
	可对SMTP和谈进行病毒过滤
	可对POP3和谈进行病毒过滤
	可限度文件最大容量、附件数量，可设置文件夹最大压缩层数
	支持病毒库升级
	可对多种常见网络蠕虫进行过滤
	支持多家IDS联动
	支持 Web利用和谈实时入侵防御阻断
	支持IPS特点库升级
高可用机能力	支持防火墙双机热备
	支持防火墙多机负载平衡
	支持端口链路备份和负载平衡
	支持服务器负载平衡
治理审计能力	内置安全副手，方便治理员相识内网情况，能够进行活动主机、开发服务探测、服务版本探测、操作系统探测等，并能凭据探测了局自动天生资源对象和安全战术
	支持RG-WALL1600系列Manager防火墙集中治理系统
	提供矫捷的软件升级方式
	提供壮大的日志治理和日志审计
	治理员身份认证支持电子钥匙认证或证书认证
	支持防火墙系统的实时监控
	支持实时衔接状态监控
	支持TCP状态统计，可能具体统计出TCP衔接总数和ESTABLISHED、LISTEN、SYN-SENT、SYN-RECV、FIN-WAIT、CLOSING、TIME-WAIT、CLOSE-WAIT、LAST-ACK、CLOSED 10种状态的衔接数数量及占总TCP衔接数的比例
	支持实时路由表查看
	支持当前配置查看
	支持IP地址矛盾检测
	支持桥转颁发查看
	支持中文对象名
	支持治理员分级治理
	支持配置向导
	支持系统导入导出配置
	支持Web界面导出调试信息职能

 

6 RG-WALL1600系列多核产品重要职能介绍

 

6.1 自适应的网络接入模式
 

 

    RG-WALL1600系列多核产品支持通明桥接、路由、混合（同时存在通明、路由的自适应接入）接入模式。当工作在通明模式时，RG-WALL1600系列防火墙类似于一个网桥，不必要用户对网络的拓扑做出任何调整；当工作在路由模式时，RG-WALL1600系列防火墙多核系列类似于一个路由器，能够提供战术路由职能；RG-WALL1600系列防火墙多核系列还能够工作在自适应的混合模式下，即防火墙的分歧端口有的在统一网段上（通明），有的在分歧网段上（路由），这样更方便用户在各类网络环境的接入。
 

 

6.2 美满的智能包过滤

 

    RG-WALL1600系列多核产品凭据数据包的源地址、指标地址、和谈类型、源端口、指标端口以及网络接口等对数据包进行接见节造，并且可能纪录通过防火墙的衔接状态，直接对分组里的数据进行处置；拥有完整的状态检测表追踪衔接会话状态，并且结合前后分组里的关系进行综合判断决定是否允许该数据包通过，通过衔接状态进行更迅速更安全的过滤。支持复杂动态和谈的状态包过滤，通过对和谈内容的实时辰析，动态盛开所需的端口，传输实现后实时关关端口，确保内网安全。
 

 

6.3 壮大的抗攻击能力
 

 

    齐全自主开发的RG-SecOS安全和谈栈，支持对常见攻击的检测和阻断，并能够实现针对ICMP、UDP、TCP的Flood攻击提交频度查抄与阈值分析，如针对ICMP Flood实现过滤类型与代码、频度、包长查抄，针对UDP Flood实现频度、包长查抄，针对Syn flood实现频度查抄。针对常见的SynFlood攻击，设置了SYN proxy以；つ诓客绾头阑鹎阶陨砻馐艽死嗟幕鼐务攻击，提供高安全性和高可用性。支持对以下攻击的检测：
 

 

    • TCP端口扫描 
 

    • UDP端口扫描
 

    • Syn Flood攻击
 

    • ICMP Flood攻击
 

    • UDP Flood攻击
 

    • Ping of death攻击
 

    • Ping sweep攻击
 

    • IP spoofing
 

    • Land 攻击
 

    • Tear drop 攻击
 

    • Filter IP source route option
 

    • WinNuke攻击
 

    • Syn fragments攻击
 

    • Syn and Fin bit set攻击
 

    • No flags in TCP攻击 
 

    • FIN with no ACK攻击
 

    • ICMP fragment攻击
 

    • Large ICMP
 

    • IP source route
 

    • IP record route
 

    • IP security options
 

    • IP timestamp
 

    • IP stream
 

    • IP bad options
 

    • Unknown protocols
 

 

6.4 全面的NAT地址转换

 

    • 支持动态地址转换，支持地址池，即一对一，一对多，多对多
 

    • 支持静态地址转换
 

    • 支持端口转换，支持动态服务的映射，允许用户内部服务对表盛开
 

    • 支持反向IP 映射，允许用户内部IP 主机对表盛开
 

    • 支持双向地址转换（通常利用于双方权限对等网络中），即源地址和主张地址的同时转换
 

    • 支持基于战术（基于和谈、主张地址）的地址转换
 

 

6.5 丰硕的预约义代理和自界说代理
 

 

    RG-WALL1600系列多核产品提供丰硕的代理职能。预约义代理蕴含：
 

 

    • HTTP代理可能对Java、JavaScript、ActiveX进行过滤
 

    • FTP代理可能对多线程、put和get号令过滤
 

    • SMTP代理可能对邮件大幼、接管人数限度，并按关键字对邮件主题、邮件正文和附件内容、附件名过滤
 

    • POP3代理可能对邮件大幼限度，并按关键字对邮件主题、附件名过滤
 

    • 支持基于TCP和谈的用户自界说代理，方便治理员使用
 

 

6.6 独创的高效安全规定搜索算法
 

 

    RG-WALL1600系列多核产品选取自主设计的分段直接寻址安全规定搜索算法MSDAL（Multi-Stage Direct Addressing Lookup Algorithm），解决了传统防火墙随着安全规定数的增长，其搜索速度呈线性递减的问题，确保在大规定数情况下以最短的功夫匹配到安全规定。
 

 

6.7 全面矫捷的衔接限度
 

 

    RG-WALL1600系列多核产品提供了四种衔接限度：；ぶ骰⒈；し务、限度主机、限度服务。衔接限度能够；し务器或服务器上提供的某项服务，限度对服务器过于频仍的接见。在划定的功夫内，若是某台主机接见服务器超过了所限度的次数，则会对该主机尝试阻断，在阻断功夫段内，回绝其对服务器的所有接见。也能够利用此职能对使用BT/电驴等衔接数量过大严沉影响网络流量的用户加以限度。
 

 

6.8 战术路由和链路聚合
 

 

    RG-WALL1600系列多核产品除通例的按主张IP方式的路由职能表，还支持按源IP方式的路由职能和路由负载平衡，支持多出口时链路聚合。按源IP方式是凭据源IP地址来决定下一跳地址。路由负载平衡指依照下一跳的权致反自动选择路由，从而充分利用用户的带宽资源，；び没蹲。另表，还能够支持基于和谈和端口进行源路由选择。
 

 

6.9 动态路由支持

 

    RG-WALL1600系列多核产品具备动态路由的职能，能够和路由器或路由互换机进行动态路由互连，甚至代替部蹊径由器，充分简化用户组网和节俭用户的整体组网投入
 

 

    • 支持 RIP V1/V2和谈
 

    • 支持 OSPF和谈
 

    • 支持路由和谈明文/MD5验证
 

    • 支持区域内，区域间路由
 

6.10 深度内容过滤
 

 

    • RG-WALL1600系列多核产品具备HTTP、FTP、SMTP、POP3和谈的内容过滤职能，；ぶ斩擞没Ш戏ㄓ行У厥褂酶骼嗤缱试
 

    • 支持对网页中的Java、Javascrip、ActiveX等幼法式的过滤
 

    • 支持对邮件的发收信人地址、人数、文件大幼过滤，及对邮件主题、正文、收发件人、附件名、附件内容等的关键自欹配过滤
 

    • 支持URL过滤，并支持黑/白名单过滤战术
 

 

6.11 深度动态和谈分析
 

 

    RG-WALL1600系列多核产品支持对网络动态和谈的深度分析，全面支持H.323、FTP、SQL.NET等动态和谈的过滤。
 

 

6.12 全面的VLAN支持
 

 

    RG-WALL1600系列多核产品可能支持802.1Q封装和谈；支持VLAN Trunk和谈，并能够对Trunk口中的VLAN ID进行过滤；支持VTP链路聚合和谈；支持天生树和谈STP和每VLAN的天生树和谈PVST+；在路由模式和桥？橄戮С諺LAN间路由，方便用户在旁路方式下的接入。
 

 

6.13 用户认证
 

 

    • RG-WALL1600系列多核产品提供和谈层用户认证系统，突破认证的服务种类限度，为包过滤、双向NAT、代理等接见节造提供用户认证职能
 

    • 支持用户和组治理，支持用户战术（源IP绑定、可接见主张IP和服务），支持对用户帐号的流量节造和功夫节造
 

    • 提供与尺度的radius服务器（PAP）联动的用户认证
 

    • 提供本地认证库：提供基于角色的用户战术，并与安全规定战术共同实现强接见节造，支持对用户帐号的流量节造和功夫节造，客户端能够批改密码，服务器端查抄用户在线状态，支持PAP 和S/Key认证和谈
 

 

6.14 IP/MAC地址绑定
 

 

    RG-WALL1600系列多核产品提供IP/MAC地址绑定查抄职能，预防IP地址盗用，能够设置绑定的默认战术，提供IP/MAC对的唯一性查抄。此表还提供地址对与网口的绑定职能，能够实时定位盗用合法IP/MAC地址对的犯法用户。
 

 

    RG-WALL1600系列多核产品提供IP/MAC自动探测职能，能够大大减轻治理员手工网络IP/MAC对的工作量。
 

 

6.15 矫捷的功夫调度
 

 

    RG-WALL1600系列多核产品可设定一次性或周期性的调度规定，对安全规定、用户安全战术等进行调度，给安全治理带来方便。
 

 

    RG-WALL1600系列多核产品的系统功夫能够设置为与时钟服务器的功夫同步，也能够设置为与治理主机的功夫同步。
 

 

6.16 与IDS联动
 

 

    RG-WALL1600系列多核产品支持与目前市场上大部门主流IDS产品的联动。
 

 

    当IDS联动产品发现入侵攻击行为时，会通知防火墙。若是防火墙相应网口启用了IDS自动阻断职能，则防火墙会按IDS通知的阻断方式、阻断功夫和入侵主机的有关信息，对入侵主机进行阻断。
 

 

    RG-WALL1600系列多核产品阻断方式蕴含：
 

 

    • 对“源IP地址”阻断

    • 对“源IP地址、主张IP地址、主张端口、和谈”阻断
 

    • 对“源IP地址、主张IP地址、和谈、方向（单向、双向、反向）”阻断
 

    • 防火墙阻断和谈蕴含：TCP / UDP / ICMP和所有和谈（any）
 

 

6.17 入侵检测IPS
 

 

    RG-WALL1600系列多核产品选取最新的监测引擎，高效急剧分析算法Ｄ芄皇凳庇行У姆⑾秩肭中形⒂枰宰柚；同时提供在线升级职能，提供最新的入侵特点。
RG-WALL1600系列防火墙能够检测以下常见入侵类型：
 

    • Atkresp
 

    • Backdoor
 

    • Info
 

    • Multimedia
 

    • p2p
 

    • porn
 

    • scan
 

    • virus
 

    • webcgi
 

    • webcf
 

    • webclient
 

    • webfp
 

    • webiis
 

    • webphp
 

    • webmisc
 

 

6.18 病毒过滤
 

 

    • RG-WALL1600系列多核产品选取最新的病毒过滤引擎，有效；び没У耐绨踩
 

    • 提供16万种常见病毒库
 

    • 提供在线升级，实时更新病毒库
 

    • 能够对：SMTP、POP3进行病毒检测和过滤
 

 

6.19 流量整形和带宽治理

 

    RG-WALL1600系列多核产品选取先进的拥塞节造算法、流量调度算法以及优先级列队机造，凭据用户界说的带宽战术（最大峰值带宽，最幼保障带宽和优先级），动态实现带宽分配的实季节造。拥有以下特点：
 

 

    • 最大限度带宽
 

 

    能够对用户IP地址、服务等通过防火墙的带宽进行限度，例如：限度某个用户对表接见最大带宽，或者接见某种服务的最大带宽。
 

 

    • 最幼保障带宽
 

 

    保障网络中沉要服务或者沉要用户的带宽不被其他服务或者用户占用，从而保障了沉要数据优先通过网络。
 

 

    • 优先级节造
 

 

    防火墙能够设定4个优先级（0-3），在拥塞情况下，能够进行越发详细的流量节造。
 

 

6.20 美满的DHCP支持

 

    • 支持DHCP客户端
 

 

    防火墙支持动态IP，其接口能够动态地获得IP地址，方便矫捷地接入用户的网络环境。
 

 

    • 支持DHCP server
 

 

    防火墙自身能够作为DHCP Server，为网络中推算机动态的分配IP地址，从而为企业的网络建设节约投资，同时方便网络的利用和IP地址的治理。
 

 

    • 支持DHCP Relay
 

 

    防火墙支持DHCP Relay。搁置于DHCP Server和DHCP Client之间，寂仔用的；HCP Server同时便于用户网络的部署。
 

 

6.21 双机热备和高可用性HA
 

 

    为了保障网络的高可用性与高靠得住性，针对电信级的要求，RG-WALL1600系列防火墙提供了双机热备份职能，当一台防火墙产生意表宕机、网络故障、硬件故障等情况时，另一台防火墙自动切换到工作状态，从而保障了网络的正常使用。切换过程不必要报答操作和其他系统的参加，当产生切换时防火墙上的衔接能够通明地、齐全地迁徙到另一台防火墙上，用户不会发觉到。
 

 

6.22 全面的系统监控
 

 

    RG-WALL1600系列多核产品提供全面的系统状态监控，能够让治理员明显地相识网络中接口流量统计、最大衔接数量的IP、各类TCP状态的衔接数及占总TCP衔接数的比例等信息，并且可能实时发现被网络蠕虫病毒习染的主机，共同衔接限度，进行实时阻断。
 

 

6.23 便捷的配置向导

 

    RG-WALL1600系列多核产品提供便捷的配置向导职能，治理员能够凭据初始配置向导轻松实现防火墙的配置。
 

 

6.24 贴心的安全副手
 

 

    RG-WALL1600系列多核产品提供内置的安全副手职能，可能援手治理员明显的相识内网主机运行情况，能够实现：
 

 

    • 活动主机探测
 

    • 盛开服务探测
 

    • 服务版本探测
 

    • 操作系统探测
 

 

    并且能够凭据探测了局自动出产地址资源、静态ARP、IP/MAC绑定等安全战术。
 

 

6.25 对象名称界说和引用

 

    RG-WALL1600系列多核产品将单个地址、一段网络、IP地址的领域、地址组、带宽战术、功夫调度战术、URL列表等设置为一个对象名称。安全规定基于对象名称过滤，使规定拥有很强的可读性，同时提高了配置治理员的工作效能，使配置更具矫捷性。
 

 

6.26 丰硕、安全的治理方式
 

 

    RG-WALL1600系列多核产品提供Web治理方式（通过网口）、CLI号令行治理方式（通过串口），同时还支持远程拨号（PPP）治理方式。上述三种治理方式是一向打开的。另表，防火墙还提供通过SSH登录对防火墙以号令行方式进行远程治理的职能，此治理方式治理员有权进行增长和删除。
 

 

6.27 分级权限的安全治理
 

 

    RG-WALL1600系列多核产品提供分级安全治理机造，系统分为超等治理员、配置治理员、战术治理员、审计治理员四个等级。通过治理员身份认证（电子钥匙认证或证书认证）、治理主机限度、防火墙治理IP限度、防火墙治理方式界说（web治理/号令行治理/SSH方式/PPP+SSH衔接）、配相信息加密（支持SSL和谈和SSH和谈），提供方便且安全的配置治理。
 

 

6.28 美满的系统升级

 

    随着技术的飞速发展和安全需要的不休延长，RG-WALL1600系列多核产品会当令地进行软件版本升级。RG-WALL1600系列防火墙的软件升级直接通过治理界面进行，用户只需选择新的升级软件包并沉启防火墙即可方便地实现软件升级。
 

 

6.29 系统配置的导入导出
 

 

    RG-WALL1600系列多核产品的导入导出职能便于治理员对整个防火墙的配置进行备份，在必要的时辰，能够离线调整后，沉新导入防火墙即可即时生效。导出的配相信息能够保留在治理主机上做备份，导出的文件体式能够选择加密或不加密。
 

 

    同时，RG-WALL1600系列多核产品还支持部门配置的单独导入、导出，好比：功夫资源、地址资源、服务资源、安全战术。主张是方便治理员凭据自己的必要导出所需配置。
 

 

6.30 全面的日志审计和日志服务器

 

    RG-WALL1600系列多核产品各职能？槎寄芄惶峁┏叨忍迨降娜罩炯吐。默认情况下，日志存储在防火墙本地，也能够将日志直接发昔日志服务器。随机提供的日志服务器软件能够实现壮大的存储和审计职能，方便治理员对日志进行查问和治理。
 

 

7 RG-WALL1600系列多核产品典型利用环境

 

7.1 拓扑一：多出口链路聚合
 

 

    RG-WALL1600系列多核产品可能很方便地对内部网、DMZ区和互联网进行接见节造，有效保险内部网络安全。对于多出口的网络，RG-WALL1600系列防火墙提供了链路聚合职能，通过设置战术路由，能够让分歧的用户走分歧的出口，也能够多条链路间自动按权沉进行负载平衡，有效地利用网络带宽，；び没蹲。

 

 

7.2 拓扑二：全冗余的高可用性
 

 

    RG-WALL1600系列多核产品提供了HA（High Availability，高可用性）职能。典型工作在为Active-Standby模式，即主防火墙工作在Active状态，从防火墙工作在Standby状态。当主防火墙产生意表宕机，或者网络链路产生故障时，从防火墙自动切换到Active状态，从而保障了关键业务的正常运行。
 

 

    RG-WALL1600系列防火墙的HA职能拥有很强的网络适应性，支持天生树和每VLAN天生树和谈（STP/PVST+）和虚构路由冗余和谈（VRRP），提供全面靠得住的二层链路备份和三层路由备份。