防火墙_产品技术白皮书_V1.0

技术白皮书

东软公司 网络安全事业部

目录

一、 前言 ..................................................................................................................................... 1 二、 NETEYE防火墙产品概述 ................................................................................................... 2

应用背景 ................................................................................................................................ 2 产品概述 ................................................................................................................................ 3 三、 NETEYE防火墙产品优势 ................................................................................................... 3

3.1 NetEye防火墙产品软件系统架构 ................................................................................. 3 3.2 NetEye防火墙产品技术优势 ......................................................................................... 4

3.2.1 强大、稳定、高效的基础防火墙功能 ............................................................... 5 3.2.2 灵活、可扩展的虚拟系统技术 .......................................................................... 6 3.2.3 业界领先的DPI智能应用识别技术 .................................................................. 7 3.2.4 基于NEL核心技术的入侵防御功能 ................................................................. 7 3.2.5 完善的流量分析解决方案 ................................................................................. 7 3.3 NetEye防火墙系列产品主要功能 ................................................................................. 9

3.3.1 包过滤规则对域名的支持 ................................................................................. 9 3.3.2 VPN隧道冗余技术 ........................................................................................... 9 3.3.3 接口冗余 ........................................................................................................ 10 3.3.4 Unnumbered IP ............................................................................................. 10 3.3.5 强大的病毒扫描功能 ...................................................................................... 10 3.3.6 强大的反垃圾邮件引擎................................................................................... 11 3.3.7 细粒度的协议限制及协议异常检测 ................................................................ 12 3.3.8 互联网域名访问加速机制 ............................................................................... 12 3.3.9 强大的攻击防御能力 ...................................................................................... 13 3.3.10 应用控制 ........................................................................................................ 13 3.3.11 PPPOE支持 .................................................................................................. 14 3.3.12 安全集中管理 ................................................................................................. 14 3.3.13 产品可用性与易用度 ...................................................................................... 15

东软公司 网络安全事业部 目录1

一、 前言

本文档适用于沈阳东软系统集成工程有限公司（以下简称东软公司、东软或者本公司）制造的NetEye防火墙系列产品的销售工作，力图从产品技术角度提供必要的参考说明。

本文档主要内容包括NetEye防火墙产品体系构架、功能特色和技术参数等方面的相关数据，便于阅读者快速掌握NetEye防火墙产品的基本概况，提高对项目需求判断和设备选型的正确率。

同时，需要指出的一点是，本文档所包含的各项数据，尤其是产品技术型号、指标参数，均为现阶段的一般性数据，仅供阅读者了解、理解NetEye防火墙产品的普遍情况使用。考虑到东软公司经营管理策略、技术研发进度和特定项目需求等因素，在实际供货时，所有数据指标均有可能发生更新变化，并将通过随机标准文档予以说明。

本文档使用权及解释权归东软公司所有，并由东软公司网络安全事业部编纂维护。未经东软公司书面明确允许/授权，本文档禁止任何个人或机构用于商业/非商业用途，如复制、修改、引用、索引等。

本文档的任何阅读者缺省负有对本文档及其所含数据的保密义务，或者将本文档即时销毁。

东软公司 网络安全事业部 正文1

二、 NetEye防火墙产品概述

应用背景

安全网关的“3G”（3 generation）时代来临。

随着网络与信息技术的发展，尤其是互联网的广泛普及和应用，网络正逐步改变着人类的生活和工作方式。越来越多的政府、企业组织建立了依赖于网络的业务信息系统，比如电子政务、电子商务、网上银行、网络办公等，对社会的各行各业产生了巨大深远的影响，信息安全的重要性也在不断提升。

20世纪末以来，防火墙技术的发展，历经了包过滤技术、应用层检测技术两个时代，每一次进步，都源于技术的创新。

包过滤技术可以有效的抵御DOS/DDOS攻击，而应用层检测技术可以在一定程度上提升对网络应用的安全防护能力。近年来，企业所面临的安全问题越来越复杂，安全威胁正在飞速增长，尤其混合威胁的风险，如黑客攻击、蠕虫病毒、木马后门、间谍软件、僵尸网络、DDoS攻击、垃圾邮件、网络资源滥用（P2P下载、IM即时通讯）等，极大地困扰着用户，给企业的信息网络造成严重的破坏。此时，传统的防火墙已经无法有效的起到网络安全防护作用。如果简单的用堆叠的手段将反垃圾邮件网关、WAF网关、IPS等产品一并部署到用户网络中，既增加用户的投资，同时更会极大降低网络的稳定性。为了解决上述问题，东软在最新版本的NetEye防火墙中推出了丰富的功能模块，有效的解决了安全产品堆叠所带来的问题，在确保网络稳定的前提下，极大的提升安全防护能力。

东软公司 网络安全事业部 正文2

产品概述

针对日趋复杂的应用安全威胁和混合型网络攻击，东软网络安全适时推出NetEye防火墙系列产品以满足用户的安全需求。NetEye防火墙系列产品是东软拥有自主知识产权的新一代安全产品，其设计目标旨在完成传统防火墙访问控制功能基础上，为用户网络提供防病毒、反垃圾邮件、URL过滤、入侵防御和深度检测等应用级别的安全防护。NetEye防火墙系列产品采用虚拟化技术，将NEL核心专利技术融入产品，使得本产品具备安全实用、高效过滤、检测准确的特点。NetEye防火墙系列产品弥补了传统防火墙、防毒墙、入侵检测系统和反垃圾邮件网关等单一产品的不足，提供动态的、深度的、主动的安全防御，为企业提供了一个全新的立体的网络安全解决方案。

三、 NetEye防火墙产品优势

3.1 NetEye防火墙产品软件系统架构

东软NetEye防火墙采用统一的、灵活的和高扩展性的安全产品系统架构。在传统的防火墙功能基础上，高效集成了应用层安全防护功能。NetEye防火墙系列产品可以实现防病毒、反垃圾邮件、URL过滤、入侵防御和深度检测等高级安全防护功能，可为用户网络提供全方位，多层次的安全保障。

东软公司 网络安全事业部 正文3

3.2 NetEye防火墙产品技术优势

NetEye防火墙系列产品具有高性能、高安全性、高可靠性和易操作性等特性。产品支持防病毒、反垃圾邮件及URL过滤功能，同时具备深度入侵防御、精细流量控制，以及细粒度的协议控制及协议异常检测等多项功能，能够为用户提供全面的安全网络体验。

强大、稳定、高效的基础防火墙功能 灵活、可扩展的虚拟系统技术 业界领先的DPI智能应用识别技术 基于NEL核心技术的入侵检测 完善的流量分析解决方案

东软公司 网络安全事业部 正文4

3.2.1 强大、稳定、高效的基础防火墙功能

基于状态检测技术的访问控制

NetEye防火墙系列产品采用基于状态检测处理机制，可以根据数据包的源地址、目标地址、协议类型、源端口、目标端口、网络接口和VLAN标记等对通过防火墙的数据包进行严密的访问控制，实现了高性能、可扩展、透明的对应用层协议的支持和保护。

网络地址转换（NAT）

NetEye防火墙系列产品支持多种NAT转换：包括静态转换、动态转换、端口映射、地址映射 (Mapped IP)。灵活的NAT地址转换功能不但可以帮助用户节省IP资源，同时也可以隐藏内网上主机的真实IP地址，从而提高网络的安全性。

完善的路由能力

NetEye防火墙系列产品支持静态路由、策略路由、动态路由（支持RIP 、OSPF和BGP）。普通防火墙的路由策略只能根据单个IP包中的源地址进行判断，NetEye防火墙产品内置多个路由表，便于用户根据实际网络需要进行合理的路由选择，用户可以根据源IP地址、服务、入口接口和ToS值来细化路由选择，部署使用更加灵活。以高校为例，如果是由内部访问外网，可以根据预先制定的策略，访问免费地址使用教育网出口，访问其它地址使用电信出口。这种方案在保证网络资源得到有效利用的同时，降低了网络日常运行费用。

多播协议支持

NetEye防火墙系列产品实现了对多播相关协议的支持，包括互联网组管理协议IGMP，DVMRP等。由于NetEye防火墙设备具有极低的时延，可以保证多播应用的顺畅和实时性。同时NetEye防火墙还可以对多播数据的传送范围加以限制，提升多播应用安全的同时降低不必要的网络资源占用。

东软公司 网络安全事业部 正文5

3.2.2 灵活、可扩展的虚拟系统技术

虚拟系统技术是将一台独立的设备从逻辑上划分为多个彼此独立的设备。东软NetEye防火墙以虚拟系统技术为基础，在虚拟系统中集成了防病毒（Anti-Virus）、反垃圾邮件（Anti-Spam）、URL过滤和入侵防御等功能。东软NetEye防火墙支持基于虚拟系统级别带宽管理功能，允许用户设置每个虚拟系统的最大带宽、保证带宽和优先级。用户可以通过此功能，可以合理调整网络资源分配比例，大大提高网络资源利用率。

东软NetEye防火墙在虚拟系统中集成了VPN功能，每个虚拟系统都可以在网络中独立作为VPN网关进行部署。不仅丰富了用户构建虚拟专用网部署方案，而且大大为用户降低了部署虚拟专用网的成本。

在虚拟系统之间，东软NetEye防火墙实现了接口虚拟化和网络虚拟化。虚拟系统之间的通信无需借助外部三层设备，直接在虚拟系统之间通过虚拟接口，虚拟网络来实现虚拟系统间的互访。相比传统的虚拟防火墙技术，虚拟接口和虚拟网络技术的实现大大提升虚拟化技术的网络适应性，为用户网络安全提供高度灵活，扩展性强的部署方案。

东软公司 网络安全事业部 正文6

3.2.3 业界领先的DPI智能应用识别技术

NetEye防火墙系列产品采用了业界领先的DPI智能应用识别技术，支持细粒度的应用识别，可对办公、社交、P2P下载、即时通讯、娱乐等各类应用进行完全精准控制，并且让网络管理可视可控。区别于传统防火墙只能通过端口来识别应用的方式，DPI智能应用识别技术通过对报文的深度分析，可以识别出流量的真实应用类型，支持基于应用特征的识别与控制。

3.2.4 基于NEL核心技术的入侵防御功能

NEL是NetEye防火墙系列产品的核心检测技术（patent-pending：200610046168.1），该技术将引擎、协议分析和攻击检测分为三部分进行开发，然后再通过NEL将它们的工作结合起来，这样可以避免由一个或两个规模很大的开发小组来维护整个检测语言系统的开发工作。另外，NEL增加了检测技术的适应性，可以共享各类事件库，从而能够更多的检测出各类攻击。另外，由于NEL检测粒度非常精细，所以能够更加准确的判断网络工具行为。

3.2.5 完善的流量分析解决方案

Flow协议是具有三层交换技术的网络设备才能够支持的协议，而Flow记录能够提供传统SNMP MIB无法比拟的丰富信息，因此Flow数据被广泛用于高端网络流量测量技术的支撑，提供网络监控、流量图式分析、应用业务定位、网络规划、快速排错、安全分析(如DDOS)、域间记帐等数据挖掘功能。

NetEye防火墙系列产品为了与先进的流量分析设备具备良好的兼容性，提供了SFlow记录输出功能。防火墙在网络中作为一个sFlow Agent进行部署，通过抽样技术获取网络流

东软公司 网络安全事业部 正文7

量状态并将整理好的抽样信息发送给sFlow Collector。当发现异常流量时，SFlow Collector可以与防火墙进行联动，发出阻断异常流量的命令，最大化提升网络安全性。

东软公司 网络安全事业部 正文8

3.3 NetEye防火墙系列产品主要功能

3.3.1 包过滤规则对域名的支持

目前市场上大部分防火墙的包过滤已经支持了IP地址，IP地址范围以及IP地址对象的配置方式。但是在用户实际使用中常常会使用对于固定域名的访问控制，所以NetEye防火墙产品增加针对域名的安全控制策略。

包过滤支持域名在适用性方面和URL过滤功能是有区别的。URL过滤属于应用层功能特性，用户使用URL过滤的目的是针对访问内容的分类限制；包过滤规则属于3层访问控制策略，用于针对IP地址的访问控制，使用域名的控制方式主要是方便对可变地址服务器的控制，同时包过滤规则可以支持对指定域名的允许权限控制。

3.3.2 VPN隧道冗余技术

随着VPN技术的成熟和发展，虚拟专用网被得到企业用户的广泛认可。VPN也逐渐取代专线连接，成为远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的连接的首选安全解决方案。在VPN被广泛应用的同时，问题也随之而来。VPN网关具有单点故障的风险，我们如何在保证信息传输安全的同时为虚拟专用网提供高可用性机制呢？

NetEye防火墙产品在国内产品中率先引入了国际上流行的VPN高可用性机制---VPN冗余网关技术。用户可以选择连接不同VPN网关的几条隧道，建立一个隧道组。NetEye防火墙产品按照指定的选择算法选择优先级最高的可用隧道建立VPN连接。当出现故障导致优先级最高的可用隧道断开时，NetEye防火墙产品会按照优先级或指定的选择算法选出一个可用隧道，已建立的连接和新建立的连接都切换到新选择出的隧道。NetEye防火墙产品同时提供

东软公司 网络安全事业部 正文9

监控机制，若发现优先级更高的隧道恢复正常，则会话会立即被切换回优先级最高的隧道。这样几条可用隧道可以互为备份，可以提供VPN隧道冗余机制，最大化保证VPN业务实时连通和最优选择。NetEye防火墙产品提供了虚拟专用网级别的高可用性。

3.3.3 接口冗余

NetEye防火墙产品支持接口冗余功能，一个逻辑冗余接口是一个物理接口对。在正常情况下，由主接口负责网络数据的传输，当主接口发生故障，备用接口成为主接口并接管流量，从而保证通信不被中断，从而提供物理层的高可用性保障。

在默认情况下，NetEye防火墙产品的冗余接口故障转移取决于主物理接口的物理连接状态，也可以通过配置使冗余接口支持以链路连通性作为条件的故障切换。冗余接口功能提供了灵活的物理层路径冗余保护的同时，也提升了设备的网络适应能力。

3.3.4 Unnumbered IP

当隧道接口作为一个独立接口参与动态路由交换时，它需要一个IP地址作为标识。手工配置隧道接口的IP地址，造成IP地址资源的无谓消耗。此时Unnumbered IP机制允许隧道接口借用其他三层接口的IP地址作为自己的地址参与路由交换。这样既完成了隧道接口的路由交换，又节省了IP地址资源。

3.3.5 强大的病毒扫描功能

NetEye防火墙产品的防病毒扫描功能包含文件类型控制、文件类型特征识别、压缩文件的病毒防护、滴流技术、病毒库升级、防病毒引擎保护等；全面满足不同用户在不同场景下对病毒防护的需求，最大限度保证工作环境的安全。文件类型控制支持对特定文件类型定义

东软公司 网络安全事业部 正文10

防病毒动作（阻断、扫描和放行），默认识别文件类型超过50种；支持文件嵌套查杀级别不小于16，压缩文件内可扫描文件数不小于15000；滴流技术可避免扫描大文件时超时问题，最大限度保证链接的可持续性；NetEye防火墙产品还支持病毒库自动和手动升级，从而保证病毒库能够及时更新，保证用户安全。

ICAP技术主要用于NetEye防火墙系列产品同分布式病毒服务器集群之间的数据通信。NetEye防火墙系列产品内置一个ICAP Client，将其获取的所有数据按照ICAP约定的格式封装好，发送给支持ICAP协议的分布式病毒服务器集群进行病毒扫描。ICAP技术的的使用将病毒扫描的工作交由分布式病毒服务器集群进行“云”查杀，降低了NetEye防火墙产品设备的负荷，节约了系统资源，大大提升了设备性能和稳定性。

目前NetEye防火墙产品支持对HTTP协议数据流进行ICAP封装，采用分布式病毒服务器集群进行病毒扫描。

3.3.6 强大的反垃圾邮件引擎

NetEye防火墙产品的防垃圾邮件包括自动扫描和手动配置过滤功能，全面满足不同用户的不同需求。自动扫描功能采用了业界领先的“服务器端加用户设备端”的整体架构。服务器能够将来自于全球的邮件来源历史和最新的发件人信誉数据进行汇总分析；采用先进的循环模式检测技术自动从鸟瞰图中汇总所有发件人信息，并实时区分合法发件人、有效发件人、垃圾邮件等。服务器端能跟踪超过数千万个IP地址的流量，且每周实时对数十亿封邮件进行分类。用户设备端将联合服务器端进行邮件扫描，能最大程度防御网络中的垃圾邮件。相对于传统的单机内容过滤模式，NetEye防火墙产品的垃圾邮件扫描功能可以做到：过滤更加准确，响应速度更快，在真正做到一劳永逸的解决网络垃圾邮件的问题的同时降低了设备的负载，优化了系统资源分配，大大提升设备的稳定性和工作效率。同时手动可配置项包括针对IP地址、邮件地址、关键词建立黑白名单，达到传统垃圾邮件过滤的功能。

东软公司 网络安全事业部 正文11

3.3.7 细粒度的协议限制及协议异常检测

NetEye防火墙产品针对应用层协议提供了细粒度的协议限制功能和协议异常检测功能, 支持的协议包括：HTTP、SMTP、POP3、IMAP和DNS等。由于应用层协议本身比较复杂，考虑到一些用户无法全面了解协议的每一个细节，特意设计了高、中、低三种默认防护级别。此外，为了满足高级用户的配置需要，NetEye防火墙也预留了协议细节的配置接口，高级用户可以根据具体网络情况自定义协议细节以满足用户个体的安全需求。

考虑到攻击者常常通过发送针对特定应用协议的异常数据包来对被攻击者的信息进行收集，或发送大量异常协议数据包作为攻击手段对目标实施攻击。NetEye防火墙产品支持对应用级别协议进行异常检测，通过拒绝异常数据包来阻止这些非法的数据包，最大化保障网络安全。

3.3.8 互联网域名访问加速机制

随着互联网的进一步发展，人们对网络浏览速度的要求也越来越高。在网络访问过程中域名解析服务也成为影响网络访问速度的原因之一。NetEye防火墙系列产品提供了互联网域名访问加速机制，在NetEye防火墙上将内网用户的DNS请求的解析结果进行动态的收集，存储在防火墙上的DNS缓冲区中。当网络中的用户再次请求这个域名时，NetEye防火墙会提取缓存中的结果快速进行应答，避免再次向Internet转发DNS解析请求数据包，从而大大提升了域名解析效率，提高网络访问速度。此外，NetEye防火墙还提供了静态缓存机制，DNS中继代理功能和主机DNS解析服务等一套完善的域名解析服务体系，提高网络访问速度的同时可以为用户提供安全、稳定、高效的域名服务解决方案。

东软公司 网络安全事业部 正文12

3.3.9 强大的攻击防御能力

NetEye防火墙系列产品能够识别和检测众多的网络攻击行为，有效防范对网络和主机的扫描攻击、IP 欺骗攻击、源路由攻击、IP 碎片攻击、以及SYN-flood、smurf attack、ping of death、teardrop attack、land attack、ping sweep、ping flood、TFN（tribe flood network）等DOS/DDOS攻击。

3.3.10 应用控制

传统防火墙通过端口来识别应用，进行策略控制。如果一个应用使用非知名端口进行通信，则可能逃避防火墙的检测。NetEye防火墙系列产品通过对报文的深度分析，可以识别出流量的真实应用类型，从而实现对特定应用的限制，提供预定义识别库，包含即时通信、P2P下载、网络电视与流媒体、网络游戏、炒股软件、远程登录、加密代理等。

东软公司 网络安全事业部 正文13

3.3.11 PPPOE支持

随着网络普及，PPPOE成为最为流行的广域网接入方式之一，尤其对于一些中小企业用户和个人，PPPOE技术以其接入快捷，管理方便等诸多优点被用户广泛接受。一些大型用户也会选择采用PPPOE作为备用链路。NetEye防火墙产品综合市场需求，在着眼高端安全市场的同时需要满足中小企业用户的安全需求，支持了PPPOE接入方式，同时支持自动拨号和按需拨号两种模式。

考虑到物理层的高可用性需求，冗余接口支持PPPOE连接，最大限度保证链路通畅。除了物理层的高可用性，NetEye防火墙产品的HA功能也对PPPOE功能进行了支持，HA除了对PPPOE的配置进行同步之外（动态获得的IP地址和DNS），还对拨号成功后的状态信息进行了同步。在发生主备切换时，系统保证PPPOE的连接不被中断，最小化意外情况对网络连通性的影响。

3.3.12 安全集中管理

NetEye防火墙系列产品支持集中管理，大大降低了大型网络部署的维护难度和控制难度。日志审计管理相对于传统一对一的网络安全管理模式，用户可以在一台SCM Console 上一次性完成对所有被管理设备的日志审计工作。有效降低网络安全管理的复杂度，达到为企业减少网络安全管理成本的目的。同时NetEye防火墙安全集中管理系统为用户提供的日志过滤和日志查询等工具能够大幅提升用户在处理日志审计时的工作效率，节省审计时间。

网络安全状况实时监控

NetEye防火墙系列产品安全集中管理系统的实时监控功能为用户提供了一种集中监控网络安全情况的手段。通过集中收集网络中所有防火墙上的数据，实时监控功能可以为用户提供所有防火墙和网络连通性的实时监控信息。用户可以通过这套系统对网络当前的流量和

东软公司 网络安全事业部 正文14

使用率进行全面的统计和分析。用户还可以通过此系统来生成不同的网络流量监控图表。通过这项功能，用户可以最大程度的监控网络上的安全状况。

报表生成

NetEye防火墙系列产品安全集中管理的报表生成功能以系统收集到的安全事件和实时监控信息为基础，可以为用户生成多种灵活、直观的历史报表。通过报表，用户可以从一个总体角度来了解网络安全的状况。

按设备划分管理域

为了满足用户对不同网络安全设备的不同管理需求，NetEye防火墙系列产品安全集中管理系统实行了按设备划分管理域的概念。核心理念是：不同的用户可以和与其相关的设备和设备组进行绑定。同时，用户被赋予了对这些设备不同的访问权限。通过这种方式SCM系统可以实现将指定设备或设备组和访问权限划分给特定的用户，以达到对设备和其访问权限的区域化管理。

3.3.13 产品可用性与易用度

在增强产品功能的同时，NetEye防火墙产品也更为关注用户的使用感受，加大力度提升产品的可用性和易用度。在了解用户对以往产品的意见和建议，充分考虑用户使用习惯后，NetEye防火墙产品提供了完善的策略管理，配置向导，系统的备份和恢复和一键式技术支持等可用性易用性优化措施。

NetEye防火墙产品支持策略分页显示，避免成百上千条策略混乱地堆叠在一个页面中，解决了用户策略查询速度缓慢，维护和管理比较困难的问题。在此基础上，我们还可以根据名称、安全域、IP地址和服务等条件的策略查询功能，用户可以在成百上千条规则中快速定位。此外， NetEye防火墙产品还提供策略备份与恢复功能。

东软公司 网络安全事业部 正文15