联想网御强五系列防火墙产品白皮书.doc

网御强五系列防火墙产品白皮书联想网御强五系列防火墙产品白皮书联想网御科技（北京）有限公司版权信息版权所有 20012005，联想网御科技(北京)有限公司本文档中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属联想网御科技(北京)有限公司所有，受国家有关产权及版权法保护。如何个人、机构未经联想网御科技(北京)有限公司的书面授权许可，不得以任何方式复制或引用本文档的任何片段。商标信息联想，网御，Legend，Lenovo，leadsec等标识及其组合是联想网御科技(北京)有限公司拥有的商标，受商标法和有关国际公约的保护。第三方信息本文档中所涉及到的产品名称和商标，属于各自公司或组织所有。联想网御科技（北京）有限公司Lenovo Security Technologies Inc.北京市海淀区中关村南大街6号中电信息大厦8层 1000868/F Zhongdian Information Tower No.6 Zhongguancun South Street, Haidian District, Beijing电话(TEL)真(FAX)术热线(Customer Hotline)子信箱(E-mail)：目 录1、序言52、防火墙的发展历程73、网御防火墙强五系列产品型号84、网御防火墙强五系列产品简介94.1简介94.2系统架构94.3工作模式105、网御防火墙强五系列产品特点115.1强安全性115.2强适用性135.3强可靠性165.4强扩展性185.5强管理性186、网御防火墙强五系列主要功能216.1网络支持216.2包过滤访问控制216.3地址转换226.4内容过滤226.5带宽管理226.6身份认证226.7抵抗攻击236.8应用代理236.9 VPN虚拟专用网246.10 HA高可靠246.11 IDS与联动246.12 LB负载均衡256.13管理功能257、网御防火墙强五系列典型应用267.1高可靠全链路冗余应用环境267.2高可靠半链路冗余应用环境277.3旁路环境下双机热备环境287.4骨干网内网分隔环境297.5混合模式接入环境307.6支持VLAN环境327.7多DMZ区保护环境337.8动态IP分配环境347.9多出口环境357.10端口映射环境367.11 VPN普通点对点接入环境377.12星型VPN拓扑环境387.13动态IP VPN环境397.14 VPN支持NAT穿越环境397.15带宽保证环境401、序言互联网的发展已经深入到社会生活的各个方面。对个人而言，互联网改变了人们的生活方式；对企业而言，互联网改变了企业传统的营销方式及其内部管理机制。虽然一切便利都源于互联网，但是一切安全隐患也来自互联网。互联网设计之初，只考虑到相互的兼容和互通，并没有考虑到随之而来的一系列安全问题，伴随互联网的迅速发展，网络安全问题越来越严峻。计算机网络犯罪所造成的经济损失令人吃惊。仅在美国每年因计算机犯罪所造成的直接经济损失就达150亿美元。在全球平均每二十秒就发生一次网上入侵事件。1998年起，一连串的网络非法入侵改变了中国网络安全犯罪“一片空白”的历史。据公安部的资料，近期每年中国破获电脑黑客案件数百起，利用计算机网络进行的各类违法行为在中国以每年30的速度递增。与计算机病毒相类似，黑客攻击方法的种类不断增加，总数已达近千种。那么，影响网络安全的主要因素有哪些呢？从技术的角度归纳起来，主要有以下几点：黑客的攻击 黑客技术不再是一种高深莫测的技术，并逐渐被越来越多的人掌握。目前，世界上有20多万个免费的黑客网站，这些站点从系统漏洞入手，介绍网络攻击的方法和各种攻击软件的使用，这样，系统和站点遭受攻击的可能性就变大了。加上现在还缺乏针对网络犯罪卓有成效的反击和跟踪手段，这些都使得黑客攻击具有隐蔽性好，“杀伤力”强的特点，构成了网络安全的主要威胁。网络的缺陷 因特网在设计之初对共享性和开放性的强调，使得其在安全性方面存在先天的不足。其赖以生存的TCP/IP协议族在设计理念上更多的是考虑该网络不会因局部故障而影响信息的传输，基本没有考虑安全问题，故缺乏应有的安全机制。因此它在控制不可信连接、分辨非法访问、辨别身份伪装等方面存在着很大的缺陷，从而构成了对网络安全的重要隐患。软件及系统的漏洞或“后门” 随着软件及网络系统规模的不断增大，系统中的安全漏洞或“后门”也不可避免的存在，比如我们常用的操作系统，无论是Windows还是UNIX几乎都存在或多或少的安全漏洞，众多的服务器、浏览器、桌面软件等等都被发现存在很多安全隐患。任何一个软件系统都可能会因为程序员的一个疏忽或设计中的一个缺陷等原因留下漏洞。这也成为网络的不安全因素之一。正因为如此，针对以上的各种不安全因素，防火墙作为信息安全的门户，就应运而生了。2、防火墙的发展历程随着国际和国内近年来对安全的理解和要求不断提高，各个不同行业以及应用对防火墙产品的差异化要求也不断显现出来。对于核心数据业务来说，用户在要求高安全性的同时更关注防火墙产品的稳定性、性能、高可用性和核心业务的可管理性，而对于另外一部分企业办公网络来说，客户在要求高安全的同时，同时更关注稳定性、支撑企业整体应用的高可用性。联想信息安全业务根据这种变化和需求提供两条不同的防火墙产品线：Super V 电信级系列产品和Power V企业级系列产品满足这两种不同的产品需求。对于企业级安全产品来说，不仅仅在安全性、可靠性方面的要求很高，而且更重要的是企业级产品需要支撑各种各样例如数据库访问、企业MSN等复杂的企业应用。3、网御防火墙强五系列产品型号产品型号网络处理能力并发连接数MTBF（小时）千兆GBIC10/100BaseTPower V-300系列304600Mbps按要求定制80，000无44、网御防火墙强五系列产品简介4.1简介网御防火墙Power V系列产品是联想集团历经1年半投入1000余万并通过联想长期以来对企业级产品的理解和把握专为企业级用户打造并具有完全自主知识产权的新一代防火墙产品， 具有强安全性、强适用性、强可靠性、强扩展性和强管理性等强五特性。网御防火墙Power V系列使用先进的核外处理技术，结合强大的P IV级硬件处理能力和先进的DDR内存访问处理机制，使得Power V系列产品具有无比高效的处理能力，从而使得防火墙在吞吐率、延迟、抗攻击能力等各方面达到了一个新阶段，更加有效的保障了企业的安全和带宽投资。实现了高处理能力与高性能、高安全性的有机结合，完全能够满足需要进行大量数据处理与交换的应用环境，成为您构建信息安全方案的理想选择。4.2系统架构网御防火墙Power V主要由硬件平台、专用操作系统、防火墙安全软件等三个部分组成。硬件平台根据用户使用环境的不同，选取专用安全平台或基于高性能服务器架构进行设计；专用操作系统为自主研发的安全实时嵌入式操作系统；防火墙安全应用软件采用分层模块化设计，针对不同的应用环境和不同的安全策略，可以配置不同的功能模块。4.3工作模式联想网御全系列产品均采用联想新一代多安全域设计，Power V系列产品多达8口的硬件设计可以使多安全域需求得到完全的满足，完全突破了传统的内网、外网、停火区的理念，可以根据企业内部不同的部门设置不同的互通安全规则，使得不仅在内网与外网的安全得到保障，同时保障了企业内部不同部门之间的安全需求。联想网御防火墙Power V支持全透明交换工作模式，与网御防火墙Power V可连接各个网络之间构成一个统一的交换式物理子网，子网内部还可以有自己的第二级路由器。除安全管理以外，防火墙本身的工作不需要IP地址，为隐式全透明防火墙。这样一方面大大降低了防火墙自身受到攻击的可能性，另一方面也使系统安装变得十分简单，不再需要改变原有的网络拓扑结构和各主机与设备的网络设置，即不需要重新划分网段和调整网络结构。同时强化了对虚拟局域网（VLAN）和生成树协议（STP）的支持。联想网御防火墙Power V同时支持路由工作模式，与网御防火墙Power V可连接不同的物理网段。防火墙接口可以通过配置别名设备，可以使得一个物理接口上绑定多个IP地址。联想网御防火墙Power V还支持集群工作模式，可以通过多达四台防火墙的集群提高整个网络系统的可靠性，降低出现网络中断的风险。5、网御防火墙强五系列产品特点5.1强安全性 主动型包过滤技术传统的包过滤防火墙和应用网关防火墙都是被动的在相应的层上等待到达该层的数据包，然后决定是允许还是禁止，并不能根据用户策略主动地控制数据包的流动，而主动式防火墙技术，可以根据安全策略主动地控制数据包在不同协议层之间传递，为用户提供透明、安全、高效的防火墙。图1 主动式防火墙技术原理图联想网御防火墙Power V采用主动式防火墙技术，在链路层截获数据包，然后送给主动式状态包过滤器，在这里根据用户的安全策略决定该如何处理该数据包。如果策略是转发，防火墙直接将该数据包从链路层转发，并不上传网络层，提高了效率；如果策略是NAT、路由转发和应用代理，则将状态信息保存在数据包中，然后直接送到网络层。在网络层并不再进行安全策略检查，而是根据保存的状态信息，决定数据包是NAT、路由转发还是需要送往应用层处理。我们可以清楚的看到主动式防火墙在链路层就已经知道了数据包的流向，并在链路层开始分流，和传统的防火墙必须到达网络层才能决定相比，减少了许多不必要的处理，提高了网络的处理性能，并且将包过滤和应用代理有机的结合起来，可以为用户提供一个全透明、安全、高效防火墙。 增强型抗攻击技术对拒绝服务攻击的防范，可以防范以下攻击类型：Syn Flood ，Ping Flood ， Udp Flood ，Teardrop ， Sweep ， Land ， Ping of Death ， Smurf ，碎片攻击、WINNUKE，圣诞树攻击等。配合防火墙上的IDS功能，可以抵抗更多种类的攻击。 入侵检测与防范内置的入侵检测模块，可选择配置不同的攻击特征码。攻击特征码分类，可以根据大类进行特征码选择。攻击的特征库在包括扫描攻击、SMTP攻击、HTTP攻击、FTP攻击等。提供攻击特征码的升级和特征码的自定义。防火墙支持与其他入侵检测设备的互动。可以根据入侵检测报告的地址和端口，进行策略的自动更新。可与启明星晨、中科网威、北方计算等的IDS联动。提供专门的协议和API，保证可以接受任何主流入侵检测厂商的报告信息。 内容过滤HTTP内容过滤，包括URL过滤，特殊代码的剥离MAIL过滤，包括收发件人的过滤，主题过滤，收件人数量，邮件大小过滤。5.2强适用性 强网络适用性联想网御防火墙Power V系列对各种网络环境均能提供良好的支持1. 总体网络环境适用性联想网御Power V系列产品不仅支持以单一的路由器、交换机等设备搭建的网络，还支持以多路由、多交换搭建的复杂网络环境，并能够以纯路由、透明、双链路、单边路由、跨接、双向NAT、双active负载均衡、activestandby等各种不同模式接入，从而保证在任何复杂度的网络应用环境中顺畅自如的使用。例如：图2 全链路冗余简图在以上拓扑中，正常情况下两台防火墙都处于工作状态，利用生成树协议阻断形成环路的端口。当由于任何一点网络故障、硬件故障等情况时，防火墙能够自动切换端口工作状态，从而保证了网络的正常使用。切换过程不需要人为操作和其他系统的参与。2. IP设置强适用性对于IP设置方面，支持每个网络接口多个IP地址的设定，支持网络接口模式的设定。支持ADSL的拨号连接，自动以ADSL获得的地址为公网地址，用此地址对内部IP做地址转换。3. 路由支持强适用性对于路由支持方面，静态路由的支持，用户可以手工的配置基于目的地址的静态路由，输入的信息包括网络地址、掩码地址、下一跳地址与网络接口。同时支持策略路由。支持基于源地址和服务级别的策略路由，策略路由的优先级优于目的地址路由。4. NAT需求强适用性对于地址转换方面，支持动态地址转换，包括多对一的地址转换，多对多的地址转换。静态地址转换，包括对内部的服务器，提供一对一的地址转换。端口转换，包括内部多个服务器提供不同服务，转换成外部的一个地址，同时提供多种服务。双向地址转换，两边是对等网络，但是都需要跟对方隐藏自己的内部IP地址，之间互访就可以采用双向的地址转换。基于下一跳路由的地址转换，可以根据下一跳的路由选择地址转换的策略，这主要针对于网络多出口的情况。5. 透明和混和需求强适用性对于透明模式和混和接入模式，支持透明工作模式，支持多口网桥。在组合成桥的多个网口上，防火墙可以为网桥配置IP地址。支持混合工作模式，支持路由模式、NAT模式和透明模式共存的情况。6. vlan支持强适用性支持VLAN路由和VLAN TRUNK，无论在透明交换模式还是路由或NAT模式都可以完全根据网络环境要求设置VLAN访问策略。 强应用适用性企业级网络的最大特点是多种多样的复杂网络应用环境，从某种意义上讲，对于企业级防火墙的要求已经超越了传统的包过滤型防火墙的需求，而是应用级防火墙的要求，通过联想信息安全多年来的积累，联想新一代Power V 系列防火墙产品有效的在保障产品安全性和性能的基础上极大的丰富了防火墙产品针对不同网络应用的安全访问控制，从而既保障了产品的安全特性又保障了企业应用的顺畅进行。 联想防火墙Power V系列产品可以从以下几个方面满足企业复杂应用的安全保障：1. 应用代理联想网御Power V系列产品可以支持HTTP代理、TELNET代理、FTP代理、SMTP代理、POP3代理、DNS代理、ICMP代理、自定义代理等多种复杂的应用代理，从而保障企业用户的安全应用需求2. 基于动态协议的复杂应用联想网御Power V系列产品可以支持H.323 、RTSP、UPnP等各种多媒体协议支持。H.323协议是网上视频音频应用的主要协议。同时对这些协议的支持可以实现真正的状态检测，保证没有多余的端口打开。另外还支持例如FTP，TFTP，Oracle的通信协议（TNS）等其他复杂协议。3. 强协议可用性联想网御防火墙Power V系列支持多种基于非IP协议的应用：例如IPX , NETBEUI等。防火墙可以支持非IP协议的通过，并可以分别设置不同协议允许或者禁止通过。5.3强可靠性联想网御防火墙支持例如支持主从、集群、状态同步等多种高可靠方式。对于防火墙产品的高可靠方案来说，以下两点至关重要：故障切换：主机故障切换，当主防火墙发生故障的时候，如防火墙掉电、死机。备份防火墙可以自动检测到，并且切换到主状态，接管主防火墙的工作。网络故障切换，当主防火墙发生网络故障，比如主防火墙的网口出现故障或主防火墙连接的网线出现故障，备份防火墙可以自动检测到，并且切换到主状态，接管主防火墙的工作。消除单点故障，单台防火墙可以采用冗余接口的配置，可以将两个接口绑定在一起，一个充当主接口，另外一个充当备份接口。状态信息的同步，主机中的状态信息，可以在备机上体现，保证切换对用户的透明性，连接不需要重新发起。可以做到虚拟IP地址，虚拟MAC地址。多台防火墙共享虚拟的IP地址和MAC地址，当出现防火墙切换的时候，不存在IP地址、MAC地址的变化，最大限度地对内部主机透明。网御防火墙Power V支持LFRP（Lenovo Firewall Redundant Protocol）即联想防火墙冗余协议。这是一种在联想网御防火墙设备上实现的、可提供高可用性(HA) 服务的专有协议，该协议支持心跳信号通讯，主动负载均衡，会话保护和接管以及主动配置同步等功能。利用24台支持LFRP协议的联想网御防火墙，可以构建一个高可用性的防火墙集群。消除防火墙作为网络设备，存在的单点故障隐患，能够胜任对可靠性要求很高的用户环境，如电信、银行、证券、大型企业等。如图所示：两台支持LFRP协议的联想防火墙构成了一个HA集群，两台防火墙同时处理网络数据，一台防火墙出现故障后，另一台防火墙会接管出现故障防火墙的所有网络连接，防火墙的单点故障被消除了。图3 两台支持LFRP协议防火墙构成的HA集群5.4强扩展性随着信息安全需求和网络攻防技术的飞速发展，企业用户对防火墙产品软件和硬件的可扩展性提出了非常高的要求。联想网御Power V系列产品通过精心设计，在软件设计方面采用了业绩先进的安全功能模块化和核心模块核外化技术，从管理控制单元到核心安全过滤单元均实现单独模块化设计，可以随着安全需求在各个安全层面上不断升级更新，保障用户的安全投资利益，同时随着网络环境拓扑复杂程度和企业内部不同安全区域划分需求的不断增加，对防火墙的网络接口数和可扩展能力提出了极高的能力，联想网御防火墙Power V百兆高端最多可支持多达8个百兆以太网口并支持外接模块，极大的方便了用户的使用。5.5强管理性随着网络规模的不断增加和防火墙部署数量的不断增多，对于防火墙的管理问题日渐重要，既要实现单个防火墙的分级管理同时还需实现不同防火墙的集中管理成为防火墙管理系统的重要问题，联想网御有机的结合了多种管理方式，能够最大限度的满足客户不同的管理需求：WEB方式管理：网御防火墙支持HTTPS+IKEY的方式管理。防火墙管理基础是管理员IKEY认证与SSL通信加密。命令行方式管理：支持串口命令行管理，SSH命令行管理。集中管理：防火墙具备集中管理的功能，可以通过联想的集中管理工具和Leadsec Manager进行集中管理。集中管理包括拓扑生成、全局集中日志审计、全局集中监控。联想网御防火墙Power V的集中式安全管理系统，以统一的策略和集成的平台对受控网络进行安全配置和管理。集中管理员通过集中管理中心可以对全局网络中的防火墙完成集中、统一的配置、管理和系统监视工作。这种管理模式对于拥有多台联想网御安全设备的大型企业网络的安全管理尤为重要。它一方面提高了网络安全规则的一致性，增进网络的安全性，另一方面也为管理员提供了方便的配置和诊断工具，使管理员可以腾出更多精力的关注更高级的安全管理工作。LeadSec Manager管理系统提供了设备自动发现功能，通过对网络的探询或侦听可以生成和维护全局设备列表；通过该列表，管理员可以进行集中的安全配置和管理，此时采用SSL协议来保证通信的安全性。LeadSec Manager系统支持对安全设备运行状态的实施监控。它利用SNMP协议从安全设备端收集运行状态数据，经过一定的运算和处理以可视化图表和数字的形式呈现给管理员，使管理员及时准确的了解设备当前的运行状态。本系统支持对单台和多台设备的同时监视。LeadSec Manager系统中包括一个实时安全事件报警子系统。它从网络上监听SNMP Trap形式的报警报文，经过快速处理后实时的以醒目的方式（如声音、视觉）呈现给管理员。LeadSec Manager系统中还包括集中的日志查询系统和管理员操作审计系统，分别可以对防火墙的日志进行集中查询和对管理员的操作进行审计。分级管理：多级管理员的分类，包括超级用户管理员（能够对防火墙的所有信息进行更改），策略管理员（仅能对指定的安区域的策略进行管理），审计管理员（只能浏览防火墙的相关信息）等，防火墙可以设置同时只允许一个管理员登陆。日志管理：所有的防火墙事件都有相关的日志记录。日志分为多个功能分组，如包过滤日志、系统日志、内容过滤日志、VPN日志、HA日志、攻击日志等等，每种日志都要有自己固定的格式，条理清楚，可读性强。日志的接收有两种：本机接收和日志服务器接收。日志格式支持WEBTRENDS模式。日志的审计是防火墙的另一个重要方面，基本的日志审计功能可以在防火墙本机上完成，另外复杂功能也可以通过独立的日志服务器来完成。日志的审计功能包括对防火墙系统事件和网络事件的统计、查询、分析等。6、网御防火墙强五系列主要功能6.1网络支持 具有各种网络接口配置，具有多个10/100自适应网络接口以及千兆接口，百兆高端（Power V-400系列）标配为4个，可扩展为8个 支持网络接口的启用和禁用，支持网络接口模式的设定（10M、100M、1000M；全双工和半双工），可以显示网口目前的状态和统计流量 支持ADSL的拨号连接及自动重拨，可在中断以后自动重拨 支持防火墙作为DHCP服务器、DHCP Relay、DHCP客户端 支持静态路由、策略路由 支持纯路由工作模式、透明工作模式、混合工作模式、NAT工作模式 支持不同VLAN的转发、相同VLAN的透明控制、支持VLAN TRUNK6.2包过滤访问控制 支持状态检测 支持所有IP数据报的过滤 支持所有非IP协议如IPX , NETBEUI等 支持多媒体协议H323点对点通信，支持MSN中的语音通信（使用了SIP协议），支持通用的UPnP协议，支持RTSP协议 支持其他复杂动态协议FTP、TFTP、Oracle的通信协议（TNS）等 支持时间对象管理，支持系统时钟设置和时钟手工与自动同步 支持源地址、目的地址的对象管理和组管理，支持服务的对象管理和组管理 支持策略的日志记录选项、用户身份认证选项、VPN通道选项 支持TCP/UDP长连接选项可以设定长连接的时间，包括不限时 支持IP/MAC的地址绑定，支持IP/MAC地址的自动获取6.3地址转换 支持动态地址转换，支持地址池 支持静态地址转换 支持端口转换，支持动态服务的映射，允许用户内部服务对外开放 支持反向IP映射，允许用户内部IP主机对外开放 支持双向地址转换（一般应用于两边权限对等网络中），即源地址和目的地址的同时转换 支持策略（基于协议、目的地址）地址转换6.4内容过滤 支持HTTP协议的URL过滤、特殊代码的剥离（如JAVA,JAVASCRIPT，ACTIVEX等）、网页中的关键字过滤 支持SMTP和POP3协议的收件人过滤、发件人过滤、主题过滤、收件人数量过滤、附件大小和名称过滤 支持FTP协议命令过滤和线程控制6.5带宽管理 支持基于IP地址、应用协议的带宽管理 支持最小保证带宽和最大限制带宽 支持带宽优先级设定 支持VPN带宽的分配，支持闲置带宽的充分利用6.6身份认证 支持内置的认证数据库 支持Radius认证服务器 与PKI/PMI技术的结合，可以利用CA对客户端和防火墙颁发证书，并且通过PMI系统进行权限的管理。防火墙通过识别内部用户的证书，赋给用户相关的权限，用户通过这个权限能够通过防火墙进行相关的访问控制6.7抵抗攻击 防火墙本身不开服务，管理端口仅对相应的管理主机开放，管理端口具有抗FLOOD攻击的能力 防火墙自身不存在扫描漏洞 对于目前测试普遍采用的几种攻击，可以防范，包括：Syn Flood、Ping Flood、Udp Flood、Teardrop、Sweep、Land、Ping of Death、Smurf 支持抗其他的攻击如：碎片攻击、WINNUKE、圣诞树攻击、Null、Syn/ack、Ack、Fin扫描攻击、源路由攻击、地址欺骗等 在防范遇到攻击的同时，正常的服务可以保证6.8应用代理 HTTP代理 TELNET代理 FTP代理 SMTP代理 POP3代理 DNS代理 ICMP代理 SOCKS自定义代理 MSN代理 自定义代理6.9 VPN虚拟专用网 加密算法的选择，支持3DES、AES等算法，国产专用算法请选用SJW44产品（属联想VPN产品线） 认证算法的选择，支持MD5、sha1等 支持封装模式的选择ESP、AH、AH+ESP 支持IKE认证方式的选择（预共享密钥、PKI证书模式） 支持静态和动态IP网关之间的VPN通讯 支持VPN连接的星型结构和网状结构 支持客户端到网关的VPN通讯：PPTP、L2TP 支持NAT穿越 符合标准的IPSEC协议，能够跟主流的VPN设备进行互联，如CISCO、CHECKPOINT、NETSCREEN、WIN2000等 支持VPN隧道的策略管理和带宽管理6.10 HA高可靠 支持主从、集群、状态同步三种HA高可用方式 支持在掉电源、防火墙死机、网口故障、网线故障、网络链路不通等情况下的HA切换，切换时间小于3秒 支持端口冗余，同一台防火墙两个端口间可互为备份 支持配置手工、自动同步和命令同步 支持虚拟IP地址和虚拟MAC地址，当出现防火墙切换的时候，不存在IP地址、MAC地址的变化，最大限度的对内部主机透明6.11 IDS与联动 支持内置入侵检测特征库，可选择启用检测的攻击类型 支持攻击特征码的升级 支持入侵特征码的自定义 支持入侵响应的方式包括阻断、报警等 支持与安氏、启明星晨、金诺、联想、中科网威、北方计算等主流IDS联动6.12 LB负载均衡 支持动态负载均衡算法，针对对外提供的服务进行均衡，将访问均摊给内部服务器 支持防火墙集群，机群间进行负载均衡6.13管理功能 支持HTTPS+IKEY的方式管理 支持串口命令行管理 支持SSH命令行管理 防火墙具备集中管理的功能，可以通过联想的集中管理工具或Leadsec Manager进行集中管理。集中管理包括拓扑生成、全局集中日志审计、全局集中监控。提供MIB，可以通过SNMP由其他的网管软件进行管理 支持配置编辑、保存、备份和恢复7、网御防火墙强五系列典型应用7.1高可靠全链路冗余应用环境电信网络和许多骨干网络的可靠性要求很高，不允许出现因为设备的故障造成网络的不可用，因此在电信网络和骨干网络中加入防火墙的时候也必须考虑到这个问题，下图为联想网御防火墙Power V在骨干网络中应用的例子。正常情况下两台防火墙均处于工作状态，可以分别承担相应链路的网络通讯。当其中一台防火墙发生意外宕机、网络故障、硬件故障等情况时，该防火墙的网络通讯自动切换到另外一台防火墙，从而保证了网络的正常使用。切换过程不需要人为操作和其他系统的参与，切换时间可以以秒计算。同时，防火墙之间的其中一条链路用于实现状态表传送，当一台防火墙故障时，这台防火墙上的连接可以透明的、完整的迁移到另一台防火墙上，用户不会觉察到有任何变化。防火墙之间的另外一条链路用于数据通讯，增加网络链路的冗余，增强可靠性。图4 高可靠全链路冗余应用环境7.2高可靠半链路冗余应用环境大企业网络和许多骨干网络也有非完全链路冗余的环境，下图为联想网御防火墙Power V在半链路冗余网络中应用的例子。正常情况下两台防火墙均处于工作状态，可以分别承担相应链路的网络通讯。当其中一台防火墙发生意外宕机、网络故障、硬件故障等情况时，该防火墙的网络通讯自动切换到另外一台防火墙，从而保证了网络的正常使用。切换过程不需要人为操作和其他系统的参与，切换时间可以以秒计算。同时，防火墙之间的链路用于实现状态表传送和配置同步，当一台防火墙故障时，这台防火墙上的连接可以透明的、完整的迁移到另一台防火墙上，用户不会觉察到有任何变化。图5 高可靠半链路冗余应用环境7.3旁路环境下双机热备环境本案例环境防火墙部署是在大型数据中心（IDC）经常使用的方案，利用交换机划分VLAN的功能，相当于将交换机模块根据不同的VLAN分成几个交换模块使用，一个VLAN连接在防火墙的外部接口和上联路由器的接口，另外几个VLAN连接内部网和防火墙的内部接口。所有外部流量从路由器接口进入交换机然后通过二层交换直接进入防火墙的外部接口，经过防火墙的内部接口后在进入交换机，最后进入内部核心网络。图6 旁路环境下双机热备环境7.4骨干网内网分隔环境据赛迪(CCID)统计报告，网络攻击有70%以上来自于企业内部，因此，保护公司网络的安全不仅要保护来自互联网的侵害而且要防止内部的攻击。网御防火墙Power V从3个到8个百兆接口可进行模块化扩展，除了可以用作多DMZ区设置外，还可以将内网进行多重隔离保护。通过防火墙将公司内部不同部门的网络或关键服务器划分为不同的网段，彼此隔离。这样不仅保护了企业内部网和关键服务器，使其不受来自Internet的攻击，也保护了各部门网络和关键服务器不受来自企业内部其它部门的网络的攻击。内网分隔的另一个目的是：防止问题的扩大。如果有人闯进您的一个部门，或者如果病毒开始蔓延，网段能够限制造成的损坏进一步扩大。图7 骨干网内网分隔环境7.5混合模式接入环境网御防火墙Power V支持各种接入模式，分别为：透明模式、路由模式和混合模式，并支持各种模式之上的NAT模式。n 透明工作模式：防火墙工作在透明模式下不影响原有网络设计和配置，用户不需要对保护网络主机属性进行重新设置，方便了用户的使用。n 路由工作模式：防火墙相当于静态路由器，提供静态路由功能。n 混合工作模式：防火墙在透明模式和路由模式同时工作，极大提高网络应用的灵活性。下图为企业的典型应用，需要防火墙支持混合工作模式，而许多防火墙不支持这种接入模式，给企业的应用带来不便。例如：某企业内网的地址为保留地址/24-0/24，企业的对外WWW服务器、MAIL服务器、DNS服务器的内部地址分别为0、01、02，防火墙的内端口地址为，防火墙外网地址为对于服务器和Internet之间防火墙可使用透明方式，内网与服务器或Internet之间可以使用NAT方式，方便灵活部署防火墙。图8 混合模式接入环境7.6支持VLAN环境VLAN(Virtual Local Area Network)中文一般译为虚拟局域网络，是一种在交换机上通过端口、地址等方式划分虚拟网络的技术。在没有配置路由的情况下，不同VLAN之间是不能进行通讯的，目前的网络环境中，许多企业也通过VLAN进行网络安全保护，例如：将财务部门划为一个VLAN等。下图为一个企业划分VLAN的示意图：图9 支持VLAN环境此企业划分了4个VLAN，并且通过路由器作VLAN之间的路由。此时如果加入防火墙，就需要防火墙支持VLAN。否则防火墙会将VLAN之间通讯、VLAN之间路由的信息丢掉。而现实中许多防火墙都不支持VLAN，这样就不能通过防火墙保护网络。网御防火墙Power V能够支持802.1Q和ISL封装协议，也就是说可以把防火墙架设在划分VLAN的交换机与交换机或交换机与路由器之间，可以通过防火墙作VLAN之间的路由，可以通过防火墙有效的保护网络。7.7多DMZ区保护环境目前市面上大多数防火墙只有3个物理接口（有的可扩但需要加钱），因此企业在部署防火墙的时候一个接口接外网，一个接内网，第三个接口接一个DMZ区，把企业的对外服务器放在此区域中。这时会有一些安全隐患，例如：企业的WWW Server的数据库服务器，如果把这台数据库服务器放在DMZ区，那么当黑客突破DMZ区的时候，这台数据库服务器也会面临着危险；如果把这台数据库服务器放在内网，那么，WWW Server需要数据的时候，就要倒内网中取数据，这也违背了DMZ区不能主动发起连接访问内网的基本规则。同样在银行证券网络中，因为存在着多台前置机要去其他各个行业（例如：电信网络）进行通讯，因此也要对连接不同行业的前置机进行保护（放在防火墙的不同端口）。网御防火墙Power V从3个到8个百兆接口可进行模块化扩展，这样可以进行多DMZ区设置。而且对接口属于哪个区域可以根据用户的情况进行定义，例如上面所说的情况如果使用网御防火墙Power V可以迎刃而解。如图所示：图10 多DMZ区保护环境7.8动态IP分配环境目前许多企业通过城域网、宽带等方式接入Internet，其IP地址为动态分配的。这时候安装防火墙的时候，需要防火墙支持动态IP才能对数据包进行访问控制。而目前许多防火墙不支持这一点。网御防火墙Power V支持动态IP，其接口可以动态的获得IP地址，方便灵活的接入用户的网络环境。同时还可以通过防火墙作内部网络的路由，减少用户的投资。图11 动态IP分配环境7.9多出口环境XXXX大学现有教职工总数1000多人，在校学生总数10000多人。学校的校园网络建设比较发达，网络接口到每一个学生宿舍，因此上网用户非常多，校园内共有30多个合法的C类地址用于教职工网络，用1个私有的B类地址用于学生上网。校园共有三个出口中国教育网、电信网和分校局域网，这时候接入防火墙的时候需要防火墙具有基于规则的路由功能，也就是说：不同主机或者目的地址在防火墙上的网关不同。网御防火墙Power V具有基于策略的路由功能，可以根据源地址、目标地址等设定不同的路由，从而可以满足用户具有多个出口的要求，满足学校的特定接入情况。图12 多出口环境7.10端口映射环境XXXX网站在电信局的机房进行托管，加入防火墙后想隐藏服务器的真实IP 地址；同时还要在不增加IP的情况下远程管理防火墙。这需要防火墙作端口的映射既：访问这个地址的HTTP服务、FTP服务转到服务器上，其他服务是访问防火墙本身。这样可以既保证用户网络灵活部署的同时更大程度上保证服务器的安全。图17 端口映射环境7.11 VPN普通点对点接入环境随着网络的发展，公司总部与分部之间的通讯也日益增加，于是通过VPN的组网方式为企业提供了一种低成本的网络基础设施，并增加了企业网络功能，扩大了其专用网的范围。同时，VPN保证数据的机密性、完整性和不可否认性。点对点接入是VPN 比较常见的一种接入模式，他适用于数量不多的企业之间进行互连