dptech fw1000 系列防火墙技术白皮书.pdf

杭州迪普科技有限公司文档秘级:对外公开 版权所有，侵权必究All rights reservedPage 1 DPtechDPtech FW1000FW1000 系列防火墙系列防火墙 技术白皮书技术白皮书 杭州迪普科技有限公司杭州迪普科技有限公司 2013 年年 8 月月 杭州迪普科技有限公司文档秘级:对外公开 版权所有，侵权必究All rights reservedPage 2 目目录录 1、概述3 2、产品简介3 3、 迪普科技防火墙特色技术4 3.1DPtech FW1000 防火墙数据转发流程4 3.2 丰富的网络特性5 3.3 大策略下的高性能、低时延处理能力6 3.4 攻击防范技术（IPv4/IPv6）7 3.5 防火墙高可靠性9 3.6 防火墙全面 VPN 支持11 3.7 防火墙虚拟化技术13 3.7.1 虚拟防火墙技术13 3.7.2VSM 虚拟化技术17 3.7.3 N:M 虚拟化技术19 杭州迪普科技有限公司文档秘级:对外公开 版权所有，侵权必究All rights reservedPage 3 1、概述、概述 在应用需求的不断推动下，网络技术得到了飞速发展；而网络技术的进步则 又反过来推动应用的发展，应用与网络之间是相辅相成、相互促进的。

随着万兆 到核心/千兆到桌面、Web2.0、虚拟化、物联网、网络音频/视频、P2P、云计算 等各种新应用、新业务层出不穷，传统的基于端口进行应用识别和访问控制的防 火墙，已远远无法满足各种新应用下安全防护的需求为解决此类难题，迪普科 技推出了基于全新多核处理器架构的 FW1000系列下一代应用防火墙 DPtech FW1000开创了应用防火墙的先河基于迪普科技自主知识产权的 APP-X 硬件平台和 ConPlat OS 安全操作系统，并配备专业的入侵防御特征库、 病毒库、应用协议库、URL 库，是目前业界性能最高的应用防火墙无以伦比的 高可用性、高性能和高可靠性，使得 FW1000系列可以放心规模部署于数据中心、 大型园区网等各种复杂场景；另外，功能丰富并可按需扩展的应用防火墙方案， 也简化了网络的安全架构，并大大降低了企业网络总体拥有成本 2、产品简介、产品简介 DPtech FW1000 系列是迪普公司面向大中型企业、 学校、数据中心以及运 营商开发的新一代应用防火墙产品，是一种应用级的高性能防火墙，工作在网络 边界层，根据安全策略对来自不同区域的数据进行安全控制，同时支持 IPv4 和 IPv6 环境，具备业界最高性能，网络无瓶颈，拥有全面的安全防护，可确保网 络稳定运行，产品 VPN 全内置，提供最高性价比，灵活组网能力，可适应各种网 络环境。

杭州迪普科技有限公司文档秘级:对外公开 版权所有，侵权必究All rights reservedPage 4 3 3、、迪普迪普科技防火墙科技防火墙特色特色技术技术 3.1DPtechDPtech FW1000FW1000 防火墙数据转发流程防火墙数据转发流程 防火墙的用途是通过允许、拒绝、重定向通过防火墙的数据量，提供对一个 组织的不同网络之间服务访问的控制和审计，包括基于用户和协议的策略定义、 URL 过滤、协议识别等特性，DPtech FW1000 防火墙设备同时支持包过滤和应用 级防火墙要求 防火墙根据网络中各点的安全规则策略，有选择的在不同网络间发送信息 流， 默认安全规则策略拒绝所有入站和出站的信息流，仅授权的管理员具有改变 安全规则策略的权限典型的包过滤策略由源地址、目的地址、传输层协议、 源 端口、目的端口、应用协议决定，并以数据包达到或者离开接口为基准 迪普防火墙采用安全域的控制方式在包过滤处进行整体调用，默认规则为： 1、高安全域可以访问低安全域 2、低安全域不可访问高安全域 3、相同安全级别的不同安全域，相互间禁止访问 4、同一个安全域下面的不同接口，接口间可相互访问。

杭州迪普科技有限公司文档秘级:对外公开 版权所有，侵权必究All rights reservedPage 5 防火墙内部数据转发简要流程图如下： 图 1 防火墙内部转发流程图 防火墙数据转发流程依据上述顺序进行，先查找会话表项，然后再目的 NAT 转换，路由查找，包过滤规则，攻击防火墙策略、应用层匹配规则，审计策略， 最后查询源 NAT 从设备转发出去 3.2 丰富的网络特性丰富的网络特性 ConPlat 软件平台支持丰富的网络特性，既包括 STP、VLAN、ARP 等二层特 性、也包括 BGP、OSPFv2/v3、MPLS 等 IPv4/IPv6 的三层特性 杭州迪普科技有限公司文档秘级:对外公开 版权所有，侵权必究All rights reservedPage 6 DPtech FW1000 网络特性： 支持透明组网模式、路由组网模式、混合组网模式 支持 IPv4/IPv6 协议栈，具备完善丰富的 IPv6 协议栈过渡以及隧道技术 Access、Trunk VLAN、端口聚合、端口镜像 策略路由、静态路由、组播 IPv4/6 路由(IGMP、PIM、MSDP、组播 VPN) IPv4 路由（支持 RIP v1/2、OSPF、IS-IS、BGP、Guard 路由） IPv6 路由（支持 RIPng、OSPFv3、Guard 路由）、IPv6 隧道技术 支持完善的 MPLS VPN 支持 DNS、DHCP、ARP、BFD、STP、QOS 支持 WIFI 模块、3G 上网卡 迪普防火墙丰富的网络特性为用户提供了灵活组网能力，可适应各种类型的 网络环境，支持路由模式、透明模式、混合模式组网，可适应各种复杂应用组网 环境。

3.3 海量策略数下的高性能、低时延处理能力海量策略数下的高性能、低时延处理能力 迪普防火墙包过滤、 NAT 匹配采用决策树算法把安全策略编译成快速匹配表 项， 报文经过设备时提取五元组一次性送入快速匹配表项进行策略匹配，可以一 次性查找到相应的匹配，形成单数据流并行处理的体系结构，即便防火墙在有海 量策略数的情况下，依旧可保持高性能、低时延的处理能力，满足管理员对设备 超高处理性能与低传输延迟的需求， 让安全防护设备从此不再成为网络传输的瓶 颈 杭州迪普科技有限公司文档秘级:对外公开 版权所有，侵权必究All rights reservedPage 7 3.4 攻击防范技术（攻击防范技术（IPv4/IPv6）） 攻击防范功能是 DPtech 防火墙的重要特性之一，是指通过分析报文的内 容特征和行为特征判断报文是否具有攻击特性， 并且对攻击行为采取措施以保 护网络主机或者网络设备 防火墙的攻击防范功能能够检测拒绝服务型（Denial of Service，DoS）、 扫描窥探型、畸形报文型等多种类型的攻击，并对攻击采取合理的防范措施 攻击防范的具体功能包括黑名单过滤、报文攻击特征识别、流量异常检测和入 侵检测统计。

除了对传统的 IPv4 安全防范技术， 迪普防火墙对于 IPv6 的安全也拥有全 面防护，支持 IPv6 的包过滤、业务长连接、huge-icmp-pak、icmp-flood、 ip-sweep、ip-spoofing（l2/l3）、udp-flood、tear-drop、ip-fragment、 ping-of-death、port-scan、syn-flood、syn-proxy、tcp abnormal、 land-attack、NDP defender 等  DDoSDDoS 攻击攻击 在多种网络攻击类型中，DDoS 攻击是最常见的一种，因为这种攻击方式对 攻击技能要求不高，攻击者可以利用各种开放的攻击软件实施攻击行为，使用大 量的数据包攻击目标系统，让目标系统无法接受正常用户的请求，或者使目标主 机挂起不能正常工作DDoS 攻击和其它类型的攻击不同之处在于，攻击者并不 是去寻找进入目标网络的入口， 而是通过扰乱目标网络的正常工作来阻止合法用 户访问网络资源 防火墙通过攻击防范技术可主动防御各种常见的网络攻击， 保证网络在遭 受越来越频繁的攻击的情况下能够正常运行，从而实现防火墙的整体安全防 护。

对于采用服务器允许的合法协议发起的 DDoS 攻击，攻击防范采用基于行 为模式的异常检测算法，能够精确识别攻击流量和正常流量，有效阻断攻击流 量，同时保证正常流量通过，避免对正常流量产生拒绝服务攻击防范能够检 测到的流量异常攻击类型包括 SYN Flood、ICMP Flood、UDP Flood 等 杭州迪普科技有限公司文档秘级:对外公开 版权所有，侵权必究All rights reservedPage 8 DDoS 攻击也可以存在于 IPv6 Internet 上由感染木马的计算机组成的大 型网络成为僵尸网络，他们的攻击可以聚焦到一个受害者IPv6 的使用不会改 变僵尸网络的生成和运行， 不幸的是， 僵尸网络将仍然存在于 IPv6 网络上 IPv6 将允许 Internet 包含比 IPv4 Internet 更多的设备，如果这样多的设备都发起 一次 DDoS 攻击的情形，相比如今在 IPv4 Internet 上的攻击而言，结果将更具 毁灭性 迪普防火墙支持 DDoS 指纹识别技术，可针对网络中的 IPv4/IPv6 流量进行 自动学习，形成用户流量指纹特征，如果网络有攻击出现异常攻击流量，DDoS 将快速识别异常流量，阻断攻击流量或者对攻击流量进行限速处理，实现 DDoS 攻击防御的智能化、简洁化。

同时用户还可以手动配置指纹识别的特征，对特定 的流量进行识别，如 TCP 可配置参数有报文长度、报文 ID、TTL、源 IP、目的 IP、序列号、确认号、源端口、目的端口、flag 标记以及自定义特征，可对于 已知的攻击特征可进行有效手动识别与防护  扫描窥探攻击扫描窥探攻击 扫描窥探攻击利用 PING 扫描（包括 ICMP 和 TCP）标识网络上存在的活动 主机，从而可以准确地定位潜在目标的位置；利用 TCP 和 UDP 端口扫描检测出 目标操作系统和启用的服务类型 攻击者通过扫描窥探就能大致了解目标系统 提供的服务种类和潜在的安全漏洞，为进一步侵入目标系统做好准备迪普防 火墙能够有效的防御 IP 地址扫描、端口扫描、漏洞扫描等扫描窥探攻击  畸形报文攻击畸形报文攻击 畸形报文攻击是通过向目标系统发送有缺陷的 IP 报文，如分片重叠的 IP 报文、TCP 标志位非法的报文，使得目标系统在处理这样的 IP 报文时崩溃， 给目标系统带来损失迪普防火墙通过特征识别技术，能够精确识别出数十种 攻击特征报文， 能够对 LAND 攻击 、 死亡之 Ping、 IP 分片重叠攻击、 UDP Fraggle 攻击、WinNuke 攻击、TcpFlag 攻击、ICMP 不可达报文 、ICMP 重定向报文、 ICMP Smurf 攻击、源路由选项 IP 报文、路由记录选项 IP 报文、超大 ICMP 报 文等畸形报文攻击进行防护。

杭州迪普科技有限公司文档秘级:对外公开 版权所有，侵权必究All rights reservedPage 9 3.5 防火墙高可靠性防火墙高可靠性 DPtech FW1000 具备完善的双机热备技术，包括普通双机热备、高级双机热 备、非对称双机热备、静默双机热备等  普通双机热备普通双机热备 提供配置同步的双机功能，实时相互备份防火墙的配置，包括 IP 地址对象/ 组、服务对象/组、包过滤策略、路由等  高级双机热备高级双机热备 在提供备份配置的基础上， 实时同步两台防火墙的会话， 一旦主备发生切换， 有状态连接的应用访问可继续进行，无需重新连接  非对称双机热备非对称双机热备 可配置备份与会话备份，同时支持业务流量非对称的双主部署模式对于 ALG 的会话实时同步，对多通道应用层业务提供支持 普通、高级以及非对称双机热备主备切换可配合协议来实现，如 VRRP 协议、。