Eudemon系列防火墙技术白皮书.doc

Eudemon系列防火墙技术白皮书l 内部公开Eudemon系列防火墙技术白皮书Huawei Technologies Co., Ltd. 华为技术有限公司 Catalog 目 录1概述61.1网络中存在的问题61.2防火墙产品介绍71.3防火墙的定义81.4防火墙设备的使用指南82防火墙设备的技术原则92.1防火墙的可靠性设计92.2防火墙的性能模型102.3网络隔离122.4访问控制122.5基于流的状态检测技术132.6业务支撑能力142.7地址转换能力142.8攻击防范能力152.9防火墙的组网适应能力152.10VPN业务162.11防火墙管理系统162.12防火墙的日志系统163Eudemon系列防火墙的特点163.1高可靠的电信级防火墙163.1.1系统可靠性173.1.2高可靠的硬件体系173.1.3健壮的软件体系183.1.4完善的链路备份技术183.1.5完备的双机备份技术183.1.6真正的状态热备份193.2性能卓越的防火墙193.2.1先进的硬件加速系统193.2.2优异的转发性能和业务处理能力203.2.3优异的真实处理能力203.3灵活的安全区域管理213.3.1基于安全区域的隔离213.3.2可管理的安全区域213.3.3基于安全区域的策略控制223.3.4丰富的业务支撑233.4安全策略控制233.4.1灵活的规则设定233.4.2基于时间段的规则管理243.4.3高速策略匹配243.4.4MAC地址和IP地址绑定243.4.5动态策略管理黑名单技术243.5基于状态检测的防火墙253.5.1基于会话管理的核心技术253.5.2ASPF技术263.5.3状态检测技术的优势263.6业务支撑能力273.6.1针对业务处理的难点273.6.2对多通道协议支持完善的安全保护283.6.3针对各种业务的数据流管理293.6.4业务支持的完整性293.6.5支持完善的多媒体业务293.6.6支持组播业务303.6.7支持QoS业务303.7流量监管服务303.7.1针对用户的流量监控313.7.2针对用户的连接监控313.7.3P2P业务的流量监管313.8地址转换服务323.8.1优异的地址转换性能323.8.2灵活的地址转换管理333.8.3强大的内部服务器支持333.8.4强大的业务支撑343.8.5对注册服务支持良好353.8.6无数目限制的PAT方式转换363.8.7支持多接口负载分担363.9攻击防范能力373.9.1优秀的Dos防御能力的必要条件373.9.2丰富的Dos防御手段383.9.3高级的TCP代理防御体系383.9.4ARP攻击防御393.9.5扫描攻击防范393.9.6畸形报文防范393.10智能蠕虫病毒的防范403.10.1蠕虫病毒的原理403.10.2防范蠕虫病毒的基本方法403.10.3智能防范蠕虫病毒的基本要求413.10.4扫描防范功能423.10.5后续的策略防范423.11IDS联动组网433.11.1灵活的组网模型433.11.2高可靠的主动防御模型433.11.3安全灵活的联动接口433.12优秀的组网适应能力433.12.1支持丰富的接口类型433.12.2高密度的端口支持443.12.3丰富的路由协议和路由管理443.12.4多种工作模式443.12.5接入服务453.12.6多种认证手段453.12.7多ISP组网适应能力453.13完善的VPN功能453.14完善的管理系统463.15日志系统463.15.1日志服务器463.15.2两种日志输出方式473.15.3多种日志信息474组网案例484.1安全防范组网484.2地址转换组网494.3NGN安全防范组网494.4双机热备份组网504.5多出口负载分担和备份组网514.6流量监控组网52 Eudemon系列防火墙技术白皮书Keywords 关键词：Eudemon系列防火墙、网络安全、VPNAbstract 摘 要：本文详细介绍了防火墙设备的技术特点、工作原理等，并提供了防火墙选择过程的一些需要关注的技术问题。同时本文对Eudemon系列防火墙的技术特点、支持特性等做了一个比较详细的介绍。List of abbreviations 缩略语清单： Abbreviations缩略语Full spelling 英文全名Chinese explanation 中文解释VPNVirtual Private Network虚拟私有网AAAAuthentication, Authorization, Accounting验证，授权，计费ASPFApplication Specific Packet Filter基于应用层规范的包过滤DoSDenial of Service拒绝服务，一种常见的网络攻击手段IDSIntrusion Detective System入侵检测系统 1 概述1.1 网络中存在的问题网络为人们提供了极大的便利。但由于构成Internet的TCP/IP协议本身缺乏安全性，网络安全成为必须面对的一个实际问题。网络上存在着各种类型的攻击方式，例如：窃听报文 攻击者使用报文获取设备，从传输的数据流中获取数据并进行分析，以获取用户名/口令或者是敏感的数据信息。IP地址欺骗 攻击者通过改变自己的IP地址来伪装成内部网用户或可信任的外部网络用户，发送特定的报文以扰乱正常的网络数据传输，或者是伪造一些可接受的路由报文（如发送ICMP的特定报文）来更改路由信息，以窃取信息。源路由攻击 报文发送方通过在IP报文的Option域中指定该报文的路由，使报文有可能被发往一些受保护的网络。地址端口扫描 通过探测防火墙在侦听的端口，来发现系统的漏洞；或者事先知道主机的系统软件的某个版本存在漏洞，通过查询特定端口，判断是否存在该漏洞。然后利用这些漏洞对主机进行攻击，使得主机整个DOWN掉或无法正常运行。拒绝服务攻击 （Deny of service） 攻击者的目的是阻止合法用户对资源的访问。比如通过发送大量报文使得网络带宽资源被消耗。由于拒绝式服务攻击，现在的方式越来越简单，已经成为网络上公害之一。应用层攻击 有多种形式，包括探测应用软件的漏洞、“特洛依木马”等。蠕虫病毒的传播 随着电子邮件、Internet的普及，蠕虫病毒的传播已经逐步成为了Internet上的最大的公害之一。因为网络的普及，蠕虫病毒的传播速度非常之快，通过网络可以迅速的传播的世界的各个角落。蠕虫病毒传播的时候会消耗大量的网络带宽，造成整个网络的繁忙以及各种网络设备的不堪负重。另外，网络本身的可靠性与线路安全也是值得关注的问题。随着网络应用的日益普及，尤其是在一些敏感场合（如电子商务）的应用，网络安全成为日益迫切的需求。同时网络安全也是一个复杂的课题，网络安全包含了网络通信的各个层面，涉及到主机系统安全、线路安全、协议安全、通信安全等各个领域。同时，安全就意味着“不开放”，而互联网的设计初衷就是造就一个开放的通信环境，因此网络安全技术还需要在安全防范和网络开放之间找到一个平衡点。针对每种层次，需要采用不同的安全技术和方式加强系统的保护。例如：针对主机系统安全可以采用安装个人版PC防火墙、防病毒软件等主机专业软件来提高主机系统的安全性，同时需要针对操作系统的漏洞经常对操作系统打补丁及时解决操作系统的漏洞；针对线路安全可以考虑对重要的网络设备提供一个安全可靠的运行环境，防止网络设备被盗用，同时采用可靠、安全的通信线路等；针对协议安全可以多关注各种协议可能出现的漏洞，启用各种协议的安全防范措施，采用认证等方式保证协议运行的可靠，尽量避免使用安全性较差的通信协议等。从上面的讨论可以看出，网络安全是一个综合性的学科，包括各种技术、管理方式、安全法规、人的安全意识等各个方面。本文是集中讨论了防火墙设备的安全特性，防火墙主要是用在网络中集中解决安全问题的一个设备。防火墙对解决安全问题具有一些很强的优势，是网络安全整体解决方案中非常重要的一个部件。1.2 防火墙产品介绍随着Internet的日益普及，许多LAN（内部网络）已经直接可以接入Internet网络，这种开放式的网络同时带来了许多不安全的隐患。在开放网络式的网络上，我们的周围存在着许多不能信任的计算机（包括在一个LAN之间），这些计算机对我们私有的一些敏感信息造成了很大的威胁。传统的口令保护等已经不能安全的保护一些重要的信息，而安全技术就是为了解决这样一个问题，在开放式的网络环境中保护我们自己的私有数据的安全，同时还兼顾网络的开放性。因此安全技术是随着网络的更新和发展不断进步的，是融合了多种学科和技术手段的一种综合性技术。防火墙技术是安全技术中的一个具体体现。这里讨论的硬件防火墙就是将各种安全技术融合在一起，采用专用的硬件结构，选用高速的CPU、嵌入式的操作系统，支持各种高速接口（LAN接口），用来保护私有网络（计算机）的安全，这样的设备我们称为硬件防火墙。硬件防火墙可以独立于操作系统（HP-UNIX、SUN OS、AIX、NT等）、计算机设备（IBM6000、HP、PC）运行。它用来集中解决网络安全问题，可以适合各种场合，同时能够提供高效率的“过滤”。同时它应该可以提供包括访问控制、身份验证、数据加密、VPN技术、地址转换等安全特性，用户可以根据自己的网络环境的需要配置复杂的安全策略，阻止一些非法的访问，保护自己的网络安全。现代的防火墙体系不应该只是一个“入口的屏障”，防火墙应该是几个网络的接入控制点，所有经过被防火墙保护的网络的数据流都应该首先经过防火墙，形成一个信息进入的关口，因此防火墙不但可以保护内部网络在Internet中的安全，同时可以保护若干主机在一个内部网络中的安全。在每一个被防火墙分割的网络内部中，所有的计算机之间是被认为“可信任的”，它们之间的通信不受防火墙的干涉。而在各个被防火墙分割的网络之间，必须按照防火墙规定的“策略”进行互相的访问。1.3 防火墙的定义简单的说，防火墙是保护一个网络免受“不信任”的网络的攻击，但是同时还必须允许两个网络之间可以进行合法的通信。防火墙应该具有如下一些基本特征： 经过防火墙保护的网络之间的通信必须都经过防火墙。 只有经过各种配置的策略验证过的合法数据包才可以通过防火墙。 防火墙本身必须具有很强的抗攻击、渗透能力，同时防火墙本身应该具有很强的高可靠性。 防火墙可以保护内部网络的安全，可以使受保护的网络避免遭到外部网络的攻击。硬件防火墙应该可以支持若干个网络接口，这些接口用来连接几个网络。在这些网络中进行的连接都必须经过硬件防火墙，防火墙来控制这些连接对连接进行验证、过滤。 防火墙具有明确的网络隔离功能，通过防火墙可以将一个完全平等的网络分隔成若干个逻辑区域，各个逻辑区域之间的访问是不对等的。通过防火墙的这种非常明确的网络隔离特性以及访问的不对等性可以保护特定网络，给企业内部网带来高可靠的安全保护。因此，在重要的场合需要部署专业防火墙，以用来提供更可靠的安全保护。 通过防火墙可以主动隔断网络上的一些攻击行为。1.4 防火墙设备的使用指南 防火墙设备放在整个网络中的汇聚点，如果被保护网络的通信流量有可能会绕过防火墙，则防火墙设备不能对该网络起到安全防范的功能。因此，在使用防火墙设备的时候，需要保证被防火墙保护的网络流量必须全部经过防火墙。 默认情况下，防火墙的规则一般是禁止所有的访问。在防火墙设备接入到网络中之后，一定需要按照网络的实际需要配置各种安全策略。防火墙策略的有效性、多样性、灵活性等是考察防火墙的一个重要指标，另外在复杂的网络环境有可能会使用非常多的规则，需要考察防火墙本身规则的容量和在大规则下的转发性能等因素。 防火墙本身的安全性也是选择防火墙的一个重要标准。防火墙的安全性能取决于防火墙是否基于安全的操作系统和是否采用专用的硬件平台，安全的操作系统从软件方面保证了防火墙本身的安全可靠，专用的硬件平台保证防火墙可以经受长时间运行的考验。防火墙设备属于一个基础网络设备，一定要保证防火墙可以长时间不间断运行，其硬件可靠性是非常关键的。 在防火墙实施之前，需要先根据网络的实际情况确定需要解决的问题，选择性能、功能均能满足的防火墙设备。在性能和功能的平衡过程中，对性能指标一定要特别关注，因为在实际运行的过程中防火墙的性能是非常重要的，如果性能低下会造成网络的堵塞、故障频繁，这样的网络是没有安全性可谈。性能指标体现了防火墙的可用性能，同时也体现了企业用户使用防火墙产品的代价，用户无法接受过高的代价。如果防火墙对网络造成较大的延时，还会给用户造成较大的损失。 现在的主流防火墙设备都是基于状态检测的防火墙设备，这类防火墙设备对业务应用是敏感的。涉及音频、视频等的一些多媒体业务，协议比较复杂，经常会因为对协议的状态处理不当造成加入防火墙之后会造成业务不通，或者是为了保证业务的畅通就需要打开很多不必要的端口，造成安全性非常低。因此针对状态防火墙一定要考察防火墙设备对业务的适应性能力，避免引入了防火墙设备导致对正常业务造成影响。 防火墙应该具有和IDS等其他网络安全产品协同工作的能力，因为依靠防火墙设备进行完善、全面的“深层检测”从技术上是不可行的（深层检测主要指的针对特定的业务进行细致的划分，例如针对邮件的附件进行病毒检测，在上网的过程中扫描木马等攻击性程序等等），应用层的“深层检测”是一件非常复杂的工程，需要CPU具有非常强大的计算能力，依靠现在的硬件技术是不可能在防火墙这样的网络节点设备上提供很强大的“深层检测”技术。因此，在防火墙上需要优先实现强大、高效、灵活的控制能力，而依靠IDS、病毒网关等特定专业设备针对不同的报文类型完成相应的深层检测，通过各种设备的协同工作提供完善、可靠、高性能的安全解决方案是更好的方法。2 防火墙设备的技术原则2.1 防火墙的可靠性设计防火墙本身是一个重要的网络设备，而且其位置一般都是作为网络的出口。防火墙的位置和功能决定了防火墙设备应该具有非常高的可靠性。保证防火墙的高可靠性主要依靠如下几点技术来保证： 高可靠的硬件设计，硬件设计是任何网络设备可靠运行的基础。网络设备不同于普通PC等个人、家用系统，网络设备必须要求可以24小时不间断正常工作，对其主板、CPU、风扇、板卡等各种硬件设备都是一个严格的考验。为了可以保证防火墙设备可以长时间不间断工作，必须保证防火墙本身具有一个优秀的硬件结构体系。 双机备份技术。由于防火墙设备位置的特殊性为了提供更可靠的运行保证，一般防火墙都应该提供双机备份技术。双机备份是采用两台独立的、型号一致的防火墙设备共同工作，提供更可靠的工作环境。完善的双机备份环境可以有两种工作模式：第一种是，两台设备中只有一台防火墙在工作，当发生意外故障的时候另外一台防火墙接替工作。第二种是，两台设备都在工作，当一台发生意外故障的时候，另外一台自动接替所有的工作。 链路备份技术。链路备份是为了防止因为物理链路故障而导致服务的终止，实现链路备份的具体技术可能有多样。一般最终实现的具体形式是：提供两条链路同时提供服务，当链路都正常的时候可以选择两条链路一起工作起到负载均衡的作用，当某条链路坏的时候，流量全部自动切换到另外一条链路上。实现链路备份，应该要求防火墙能提供各种路由协议、各种路由管理功能。基于路由提供的链路备份技术可以非常好的使用在各种场合，通过多条链路的互相备份提供更可靠的服务。 热备份技术。热备份指的是在发生故障产生设备切换或者是链路切换的时候完全不影响业务，这样的备份机制一般称为“热备份”。而如果因为故障等产生的备份行为发生的时候业务会中断，这样的备份机制应该称为“冷备份”或者“温备份”。在大部分介绍资料里面，热备份、温备份、冷备份的概念并没有严格的区分，许多厂商都是使用“热备份”概念来宣传的，但是从实际效果上看大部分备份机制并不是严格的热备份。从热备份的机制上可以知道，如果动态信息越多则热备份的实现机制越复杂，防火墙设备需要维护大量的规则信息、连接信息等，针对防火墙设备的热备份机制都会比较复杂，因此在考察防火墙的备份技术的时候，需要注意区分热备份和冷备份。防火墙设备的可靠性设计反映出了防火墙在设计方面的一种综合考虑，必须明确的是防火墙设备是一台重要的网络设备，其可靠性要求设计要求比较高，在选择防火墙设备的时候需要综合考虑其可靠性方面的设计。2.2 防火墙的性能模型前面已经提到防火墙的性能对于衡量一个防火墙设备来说非常重要，那么到底应该通过哪些指标来具体的衡量防火墙的性能呢？本小节主要讨论一下，衡量防火墙的性能的时候应该注意哪些方面。业界现在衡量防火墙的性能的时候，主要使用“吞吐量”这个指标。吞吐量主要是指防火墙在大包的情况下，尽量转发能通过防火墙的总的流量，一般使用BPS（比特每秒）为单位来衡量的，使用吞吐量作为衡量防火墙的性能指标非常片面，不能反映出防火墙的实际工作能力。除了吞吐量之外，在衡量防火墙性能的时候一定还要考察下面几个指标：1、小包转发能力防火墙的吞吐量在业界一般都是使用1K1.5K的大包衡量防火墙对报文的处理能力的。因网络流量大部分是200字节报文，因此需要考察防火墙小包转发下性能，防火墙的小包转发性能真实的反映了防火墙在实际环境下工作的转发性能指标。2、规则数目对转发效率的影响防火墙一般都是工作在大量的规则下，规则、业务的实施对转发性能有必然的影响，因此需要考察防火墙在大量规则下的转发效率，避免业务对防火墙性能影响太大，导致防火墙在实际环境下无法工作。3、每秒建立连接速度指的是每秒钟可以通过防火墙建立起来的完整TCP连接。由于防火墙的连接是动态产生的是根据当前通信状态而动态建立的一个信息表。每个会话在数据交换之前，在防火墙上都必须建立连接。如果防火墙建立连接速率较慢，在客户端反映是每次通信有较大延迟。因此支持的指标越大，转发速率越高。在受到攻击时，这个指标越大，抗攻击能力越强。这个指标越大，状态备份能力越强。 每秒新建连接速度是衡量防火墙功能能力的一个重要指标，该指标偏低的时候防火墙无法在实际的网络环境中体现优异的性能，尤其是遭受DOS攻击的时候，如果该指标偏低防火墙会停止工作。4、并发连接数目由于防火墙是针对连接进行处理报文的，并发连接数目是指的防火墙可以同时容纳的最大的连接数目，一个连接就是一个TCP/UDP的访问。5、延时延时测试是指在不丢包的前提下转发数据包所需要的时间，延时越小越好。延时在一些对实时性要求高的场合非常重要，例如语音、视频等业务。如果通过防火墙的延时太大，会造成声音失真、重要业务中断等情况发生，因此保持很小的延时是防火墙性能的一个重要指标。以上是衡量防火墙性能的一些基本数据，在实际选择防火墙的时候也可以根据具体的组网要求衡量一些其他的指标。由于防火墙本身是一个“处理复杂业务”的数据通信设备，涉及的性能指标比传统数据通信设备的多，在实际选择的时候一定要注意这一点，防火墙的性能指标同时反映了一台防火墙的综合指标，包括软件设计、硬件设计等各个方面，是选择防火墙设备的一个重要依据。2.3 网络隔离防火墙的本质功能就是隔离网络，通过防火墙可以把普通区域、重点区域等各种逻辑网络进行隔离，避免了不安全因素的扩散。在防火墙技术体系中，灵活的网络隔离特性是防火墙非常重要的一个特性，只有合理的划分了网络区域，安全策略也可以更有效的实施。防火墙是否具有合理的网络隔离，可以根据以下一些情况考察： 整个防火墙的网络隔离体系是否具有清晰的逻辑结构，使得防火墙可以适应不同的场合。例如，防火墙至少应该具有单独的DMZ区域。 网络区域应该可以和各种物理接口配合工作，并且不依赖于物理接口提供网络隔离的划分。如果依靠物理接口进行网络隔离，很明显不能满足各种方案的灵活实施，网络隔离是一个逻辑上面的概念，必须可以灵活设定才能更好的满足业务的实施。 网络隔离的时候，是不是考虑了针对隧道、VPN、VLAN接口等各种虚拟接口的实施。现在网络业务灵活多变，VPN、VLAN隔离是各种网络经常实施的一些业务，区域隔离必须考虑各种虚拟接口的实施以及和各种VPN、VLAN等业务的配合实施。 在整个体系当中，是否考虑防火墙本身的安全问题。防火墙是一个网络隔离的控制点，因此防火墙本身的安全问题是一个非常重要的问题，如果防火墙本身得不到保证，整个网络的安全性就无法保证。如何保证被防火墙分隔的网络中对防火墙本身的访问也必须是网络隔离中考虑的一个问题。2.4 访问控制防火墙另外一个重要功能就是访问控制，在防火墙中主要涉及如下几种访问控制技术： IP访问控制列表IP访问控制列表主要是对IP报文的IP报头及所承载的上层协议（如TCP）报头的每个域进行控制，通常会用到IP报文的以下属性：u IP的源、目的地址及协议域；u TCP或UDP的源、目的端口；u ICMP码、ICMP的类型域；u TCP的标志域u 表示请求连接的单独的SYNu 表示连接确认的SYN/ACKu 表示正在使用的一个会话连接u 表示连接终断的FIN可以由这些域的各式各样的组合形成不同的规则。 二层的访问控制列表二层的访问控制列表主要利用了VLAN、MAC地址等二层信息，定义的访问控制规则，一个二层的访问控制列表，主要可以通过以下一些参数定义访问控制规则：u 以太网承载的报文协议类型，例如ip、arp、rarp等u 以太网的格式类型，例如ether_ii、802.3、802.3/802.2、802.3snap等u 报文类型，例如单播、广播、多播等u VLAN的标签 u 源VLAN IDu 源IP地址u 源地址通配符u 源接口信息u 目的VLAN IDu 目的IP地址u 目的地址通配符通过报文的特征定义一系列的规则，通过这些规则特征可以控制通过防火墙报文。访问控制特性是防火墙最重要的特性。由于在一些复杂场合，防火墙需要设定大量的规则，因此针对大量规则的性能指标也是衡量防火墙性能和功能的一个重要条件。2.5 基于流的状态检测技术在访问控制中应用的较多的是基于ACL的IP包过滤技术，这种技术简单可靠，但缺乏一定的灵活性。对于类似于应用FTP协议进行通信的多通道协议来说，配置防火墙则是困难的。FTP包含一个预知端口的TCP控制通道和一个动态协商的TCP数据通道，对于一般的防火墙来说，配置安全策略时无法预知数据通道的端口号，因此无法确定数据通道的入口。基于状态检测的技术可以解决这样的问题，通过对数据包的状态进行检测，可以动态的发现应该打开的端口，这样可以保证在通信的过程中动态的决定哪些数据包可以通过防火墙。基于流的状态检测技术可以提供更高的转发性能，因为基于ACL的包过滤技术是逐包检测的，这样当规则非常多的时候包过滤防火墙的性能会变得比较低下，而基于流的状态防火墙可以根据流的信息决定数据包是否可以通过防火墙，这样就可以利用流的状态信息决定对数据包的处理结果加快了转发性能。现在主流的防火墙产品基本上都采用了状态防火墙技术，因此在选择防火墙的时候应该优先考虑状态防火墙。2.6 业务支撑能力防火墙一般都是部署在一个网络业务的控制点，而网络安全解决方案的一个重要手段就是在“开放”和“安全”之间找到一个平衡点，因为防火墙本身的技术特点有时候会导致当引入防火墙设备到网络的时候会导致某些业务受到影响。为了满足网络的业务扩展能力的提高，在部署防火墙的时候需要考察防火墙的业务支撑能力。 基于流的状态检测特性是否考虑了对丰富业务的支持，随着网络带宽资源的丰富，各种基于宽带应用的业务日益丰富，在使用基于流的状态检测技术的同时一定得保证该技术对各种业务的支持能力。 具有对多媒体业务的支持能力，在宽带业务中多媒体业务占很大的比例，例如基于H.323、SIP、RTSP的语音视频业务，因此防火墙应该全面支持H.323、SIP、RTSP等多媒体业务。 防火墙必须支持强大的地址转换功能。由于现在IPV4的公有地址十分短缺，因此地址转换已经是提供业务的必须手段，由于防火墙的特殊位置，在防火墙上提供地址转换是最常用的业务之一。同时使用地址转换技术可以有效的屏蔽内部网络，也是一个保证网络安全的非常有效的手段之一。 防火墙需要支持必要的组播业务。 防火墙需要支持各种保证QoS（服务质量）的手段。2.7 地址转换能力随着Internet的发展，IP地址短缺问题已经成为了一个越来越严重的问题。在IPV6使用之前，地址转换（Network Address Translation）技术是解决这个问题的一个最主要的技术手段。地址转换主要是因为Internet地址短缺问题而提出的，利用地址转换可以使内部网络的用户访问外部网络（Internet），利用地址转换可以给内部网络提供一种“隐私”保护，同时也可以按照用户的需要提供给外部网络一定的服务，如：WWW、FTP、TELNET、SMTP、POP3等。地址转换技术实现的功能是上述的两个方面，一般称为“正向的地址转换”和“反向的地址转换”。在正向的地址转换中，具有只转换地址（NAT）和同时转换地址和端口（PAT）两种形式。现在地址短缺的问题在很多地方非常严重，由于防火墙的位置和技术特点，在防火墙上提供地址转换技术是非常合适的，因此在防火墙设备上提供完善的NAT服务是防火墙的一个非常必要的特性。2.8 攻击防范能力攻击防范的能力是防火墙的一个核心功能，防火墙必须具有高效、可靠的攻击防范的能力，防火墙需要具有如下基本功能防范能力： 防火墙必须具有针对Dos（拒绝式服务攻击）的防范能力。 防火墙必须具有各种畸形报文进行防范的能力，可以智能的识别出攻击包。 防火墙必须可以抵御各种扫描等窥探攻击。 防火墙必须的防御手段必须健全和丰富，因为Dos攻击手段种类比较多，因此必须具有丰富的防御手段，才可以保证真正的抵御Dos攻击。 防火墙必须具有优秀的处理性能，因为Dos攻击的一个重要特征就是网络流量突然增大，如果防火墙本身不具有优秀的处理能力，则防火墙在处理Dos攻击的同时本身就成为了网络的瓶颈，根本就不可能抵御Dos攻击。因为Dos攻击的一个重要目的就是使得网络瘫痪，网络上的关键设备点发生了阻塞，则Dos攻击的目的就达到了。 防火墙必须具有准确的识别攻击能力。很多防火墙在处理Dos攻击的时候，仅仅能保证防火墙后端的流量趋于网络可以接受的范围，但是不能保证准确的识别攻击报文。这样处理虽然可以保证网络流量的正常，可以保证服务器不会瘫痪，但是这样处理还是会阻挡正常用户上网、访问等的报文，因此虽然网络层面是正常的，但是真正的服务还是被拒绝了，因此还是不能达到真正的Dos攻击防御的目的。2.9 防火墙的组网适应能力由于网络部署的复杂性，要求防火墙本身应该具有优秀的组网适应能力，保证防火墙有利于更灵活的组建业务网络。优秀的组网能力主要反映在以下几个方面： 支持比较丰富的接口类型，接口类型的丰富可以满足物理连接层面上的组网适应能力。 支持路由协议，大部分防火墙都不支持动态路由协议，一般都是使用静态路由协议。但是在很多场合，支持动态路由协议可以有效的提高防火墙的组网适应能力。 防火墙应该支持透明模式。透明模式使得防火墙可以工作在二层方式下，当防火墙加入到网络中的时候可以不影响网络现在的拓扑。 支持各种虚拟接口，比如VLAN子接口、隧道接口等。防火墙一般可以提供的物理接口是有限的，为了可以使得防火墙可以适应更复杂的组网，防火墙设备应该支持虚拟接口，通过虚拟接口使得防火墙可以提供更复杂的组网支持。2.10 VPN业务防火墙由于处于企业网络的边缘，因此防火墙设备一般都可以提供VPN业务，通过防火墙强大的控制能力，可以通过防火墙建立企业之间的VPN连接服务。通过防火墙一般可以提供如下一些VPN服务： 通过防火墙提供企业分支机构之间的互联互通的VPN服务，一般可以提供IPSEC加密隧道提供非常可靠安全的VPN服务。 通过防火墙为企业移动办公人员提供VPN接入服务，这要求防火墙支持二层的VPN协议，现在最通用的二层VPN协议是L2TP，通过L2TP可以使得远程出差员工通过帐户、密码安全的接入到企业内部，提供VPN服务。 防火墙需要提供高效的加密服务。 防火墙应该支持完备的VPN协议，例如GRE、IPSEC、L2TP等。 各种VPN协议应该严格按照RFC或者相关标准实施，保证可以和其他厂商的VPN设备互联互通。2.11 防火墙管理系统 防火墙应该具有良好的人机界面，可以通过多种方式对防火墙设备进行管理。 防火墙设备应该具有方便的升级手段，可以实现热补丁等在线升级功能。 防火墙应该支持图形化管理方式，方便防火墙的配置和策略管理等功能。 防火墙应该支持远程维护、监控的手段。 远程登陆应该支持安全可靠的方式，例如支持通过SSH进行远程登陆。2.12 防火墙的日志系统系统日志提供了一种事后审计的方式，防火墙设备针对各种操作记录、攻击信息等情况应该可以提供详细的日志，并且可以提供日志查询、过滤等的手段，可以方面的进行日志查找、分析等功能。3 Eudemon系列防火墙的特点3.1 高可靠的电信级防火墙3.1.1 系统可靠性华为公司凭借在电信领域多年的技术积累，深刻的认识到可靠性设计对于一个网络设备的重要性。Eudemon系列防火墙从硬件到软件，从每个部件到整体构架都进行了深入的分析和考虑，在设计的每个环节都融入了可靠性的设计理念，保证从根本上为用户提供了安全可靠的网络环境，使得Eudemon系列防火墙成为了一款真正安全的电信级高可靠的防火墙设备。Eudemon系列防火墙的硬件平台全部采用高可靠的元器件设计，保证了防火墙的硬件平台可以24小时不间断工作，这方面的硬件设计是很多防火墙厂商无法保证的，通过对硬件平台精益求精的设计使得Eudemon系列防火墙有了一个稳定运行的基石。3.1.2 高可靠的硬件体系Eudemon系列防火墙采用3U标准机箱，机箱上带有Console口、AUX接口及两个固定的10/100M以太网口，其中AUX口可以帮助用户通过远程拨号方式登录设备进行故障检查、修改配置等。机箱上提供若干个扩展插槽（根据型号不同，插槽的数量也不同），用户可以根据网络环境的实际需要选择安装智能接口模块。Eudemon系列防火墙提供了两个电源槽位，可以安装两块交流或两块直流电源模块，实现双路供电及电源的冗余备份，并支持电源模块/风扇/多功能接口模块热插拔。支持在线更换硬件设备，硬件设备在线故障排除等功能。Eudemon系列防火墙的硬件可靠性设计是绝大多数防火墙设备无法保证的。业界大部分防火墙都是基于X86体系的工控机或者PC构架，该硬件结构是无法满足在可靠性要求较高的场合使用，因为基于X86体系的硬件结构无论是在器件选择、CPU散热、PCI总线、电源设计、风扇等方面都无法满足长时间不间断工作的要求，其很多设计理念是一种低成本的商用设计模式。当一个网络设备因为硬件故障而无法满足工作的时候对用户来说是灾难性的，因为更换部件就意味着长时间设备无法工作，导致的损失是无法估计的。Eudemon系列防火墙在很多细节设计方面都充分考虑了网络设备的各种运行条件，例如Eudemon系列防火墙可以自动监控机箱、CPU温度，风扇自动调解速度，可以更好的适应各种恶劣的条件。在器件选择方面，Eudemon防火墙选择的都是高可靠的通信专业器件，保证了每个器件的可靠运行。Eudemon系列防火墙在PCI总线设计、内存访问、内部数据交换等各个方面都进行精细的设计，在数据转发模型中，CPU已经逐步不在是系统的瓶颈了，仅仅依靠CPU计算能力的提高不会对整个系统的性能提升带来效果，因此整机的硬件设计是保证高效转发的基石。Eudemon系列防火墙正是依靠硬件的可靠设计保证了防火墙本身的安全、可靠、高效。3.1.3 健壮的软件体系Eudemon系列防火墙采用华为公司自行开发的VRP操作系统作为其运行的核心组件，使得Eudemon防火墙天生就避免了各种通用操作系统的安全漏洞、病毒攻击等等各种软件不可靠因素。VRP操作系统是一个数据通信设备专用的平台，其软件构架设计就是为数据通信产品量身定制，综合考虑了数据通信技术的发展。VRP操作系统是一个不断进步和发展的系统，同时VRP在数据通信领域是一个领先的软件系统，已经支持了华为公司Quidway全系列的路由器、交换机设备，因此Eudemon系列防火墙不但具有可靠、安全的运行保证，同时针对安全技术的发展方面具有更良好的扩展空间，这就决定了Eudemon系列防火墙在新技术发展方面可以领先一步。Eudemon系列防火墙都可以提供在线热补丁技术，在系统不需要重新启动的情况下即可以为软件系统增加新的功能，提供软件系统的修补，完全可以满足电信级设备的软件安全要求。3.1.4 完善的链路备份技术Eudemon系列防火墙支持路由负载分担技术，可以支持通过多链路同时提供丰富的业务，例如可以支持通过多条链路提供地址转换服务，当某条链路发生物理故障，不影响用户使用，当链路恢复的时候，该链路又可以起到流量分担的作用。Eudemon系列防火墙可以支持丰富的路由协议，支持RIP、OSPF、BGP，通过路由协议也可以做到基于链路的负载均衡功能，通过一台防火墙可以和多台支持路由协议的设备进行冗余链路组网，给用户提供高可靠的运行环境。3.1.5 完备的双机备份技术Eudemon系列防火墙提供十分完备的双机备份技术，只要两台型号一致的防火墙即可以组建双机备份的工作环境。Eudemon系列防火墙的双机备份技术具有如下明显的优势和特点： 可靠、灵活的运行环境，Eudemon的双机备份技术不需要使用单独的连接电缆，使用普通的网线将两台设备相连即可，可以和业务口共用，也可以单独使用一个网口作为备份口，组网十分的灵活、可靠。 非常强的组网适应性。Eudemon的双机备份可以支持二层交换机、三层交换机、路由器等各种网络设备，可以适应所有的组网环境。再加上Eudemon防火墙强大的路由功能，在三层冗余备份技术方面也领先一步，可以依靠Eudemon防火墙组件可靠、灵活的网络。 对业务的透明支持。Eudemon防火墙的双机备份特性不需要针对业务进行一一配置，只要建立双机备份环境，所有的业务自然就都进入了双机环境，使用十分方便。 完备的工作环境。无论防火墙工作在什么模式，运行什么业务，均可以支持双机备份工作环境。在透明模式下，依然可以支持双机备份。 Eudemon防火墙的双机备份支持命令自动备份，用户的所有操作只需要在一台防火墙完成，不需要到另外一台防火墙再进行相应的配置。对用户而言，双机备份环境和一台防火墙是一样的操作，大大的方便了用户操作的简便。 Eudemon防火墙的双机备份可以支持两种运行模式：Active-Active，主备工作。在主备工作的环境下，只有一台防火墙在工作，如果发生故障自动切换，另外一台防火墙接替工作。在Active-Active的工作环境下两台防火墙同时工作，提供流量分担，当一台防火墙发生故障的时候，流量自动全部切换到另外一台防火墙上。 Eudemon防火墙的双机备份技术随软件一同提供，不需要单独购买任何硬件、软件模块，在现有的网络环境中扩展成双机备份环境很大程度上保护了用户现有的投资。3.1.6 真正的状态热备份Eudemon防火墙提供真正的热备份技术，保证倒换的时候业务不会发生中断。Eudemon防火墙提供HRP协议，使得各种业务可以透明的支持双机备份业务，并且在运行过程中实时的保证两台防火墙状态一致，这样当倒换发生的时候，业务保证不会中断。用户层是无法觉察出防火墙设备的倒换，这样就给用户提供了一种十分可靠的运行环境。3.2 性能卓越的防火墙3.2.1 先进的硬件加速系统由于防火墙的转发过程处理复杂，还需要支持丰富的业务，很容易造成系统的瓶颈。Eudemon系列防火墙为了提高系统转发能力，采用基于NP（网络处理器）的硬件加速构架，依靠NP和CPU的完美结合提供了十分优异的转发性能。在软件设计体系上，Eudemon防火墙将控制层面和转发层面的业务分离，让CPU处理控制层面的内容（例如配置、路由计算、链路状态检测等），而针对数据业务的处理全部都由NP来处理，这样的体系设计使得Eudemon防火墙将NP的处理能力发挥到了极限，使得Eudemon防火墙具有了十分优异的处理能力。Eudemon防火墙的这种设计体系在业界防火墙结构体系中是最先进的，它避免了基于ASIC芯片的硬件设计过于固化的缺点，可以通过软件升级系统提供更丰富的业务。同时可以提供十分优异的转发性能，由于加速体系的先进，Eudemon系列防火墙的性能指标在业界同类产品中遥遥领先。3.2.2 优异的转发性能和业务处理能力首先，Eudemon系列防火墙的转发能力十分强劲。Eudemon1000千兆防火墙的64小包的处理能力可以达到1000MBPS，可以提供在任意端口之间提供千兆的线速转发，其优异的转发性能是无与伦比的。Eudemon系列防火墙的所有业务处理能力都采用硬件加速功能实现，这样保证在任何业务运行的情况下，Eudemon系列防火墙都可以保持优异的性能。Eudemon系列防火墙支持2万条策略规则，在2万条策略规则全部使用的情况下，其转发性能依然和1条规则下的一样。由于使用了硬件加速功能，Eudemon系列防火墙的转发性能和并发连接数目无关，即使在Eudemon防火墙中存在数十万连接的情况下，防火墙依然保持强劲的转发性能，这样就使得防火墙可以在实际工作的环境中依然发挥优异的处理性能。3.2.3 优异的真实处理能力现在业界提供的绝大多数防火墙都是采用状态防火墙技术，状态防火墙技术一般是通过五元组标识一个流（一个完整的TCP或者UDP访问是一个流），在防火墙的处理过程中始终会维护一个基于流的会话数据，而该会话数据的触发建立过程一般称为“防火墙的首包处理过程”。由于采用了基于状态检测的技术，在一个数据流建立之后的后续匹配过程中就不需要再进行一系列复杂的报文检验（例如不需要针对策略进行包过滤），这样的技术体系为硬件加速、Cache技术等业务加速模型方面提供了技术上的保证。从上面介绍的状态防火墙基本技术原理中，我们不难发现“防火墙的首包处理过程”一定是状态防火墙的一个处理瓶颈，因为硬件加速、Cache等各种普通加速技术只能针对基于流的会话表建立以后才可以实施。因此，如果防火墙对首包处理过程不当，将会非常容易造成防火墙在实际使用场合下的性能急剧下降，这点是防火墙业界都必须面对的一个问题。但是，在防火墙的实际测试过程中，“防火墙的首包处理过程”的实际处理性能很容易被忽视，为什么容易被用户忽视呢？因为业界防火墙提供的性能宣传数据一般都只有吞吐量。针对吞吐量的性能测试过程中，一般的测试方法都是使用测试仪器定义了一个1500字节的UDP报文测试防火墙的转发性能，在这样的测试模型中，无论防火墙转发了多少报文实际上都是仅仅进行了一次“防火墙首包处理过程”，这样通过防火墙的性能转发数据就把防火墙的首包处理过程的缺陷给隐藏了，这样也就很容易造成了防火墙在实验室测试的性能很高，但是在用户的实际使用过程中很慢。因此在专业的防火墙测试过程中，必须提供一个性能指标叫做“每秒建立连接速度”，该指标可以真实的衡量“防火墙的首包处理过程”。Eudemon系列防火墙采用基于NP技术的加速单元专门处理首包过程，而业界绝大部分防火墙只能使用CPU来完成防火墙的首包处理，这样就导致了部分防火墙虽然也采用ASIC或者NP的硬件结构，可以达到较高的吞吐量，但是首包处理性能仍然很低，一般的防火墙的“每秒建立连接速度”的指标只有1万条/秒，而Eudemon1000防火墙的“每秒建立连接速度”的指标可以到达10万条/秒（该指标已经达到了测试仪器的极限，实际处理能力可以达到15万条/秒以上）。防火墙的每秒建立连接速度对防火墙的性能、功能的发挥都有至关重要的作用，在后面的“Dos攻击防范”、“智能蠕虫病毒防御”等相关小节，还会针对防火墙的实际处理效果进行进一步的阐述。3.3 灵活的安全区域管理3.3.1 基于安全区域的隔离Eudemon系列防火墙的安全隔离设计是基于安全区域来划分的，这样的设计模型为用户在实际使用防火墙的时候提供了十分良好的管理模型。防火墙的核心功能是网络隔离，并且这种网络隔离技术不是简单的依靠网络接口来划分的，因为网络的实际拓扑是千差万别的，使用固定接口来进行网络隔离不能适应网络的实际要求。Eudemon系列防火墙提供了基于安全区域的隔离模型，每个安全区域可以按照网络的实际组网加入任意的接口，因此Eudemon的安全管理模型是不会受到网络拓扑的影响。3.3.2 可管理的安全区域业界很多防火墙一般都提供受信安全区域（trust）、非受信安全区域（untrust）、非军事化区域（DMZ）三个独立的安全区域，这样的保护模型可以适应大部分的组网要求，但是在一些安全策略要求较高的场合，这样的保护模型还是不能满足要求。Eudemon防火墙默认提供四个安全区域：trust、untrust、DMZ、local，在提供三个最常用的安全逻辑区域的基础上还新增加了本地逻辑安全区域，本地安全区域可以定义到防火墙本身的报文，保证了防火墙本身的安全防护，使得对防火墙本身的安全保护得到加强。例如，通过对本地安全区域的报文控制，可以很容易的防止不安全区域对防火墙