国内领先的网络安全解决方案提供商东软近日宣布,为了满足关键行业骨干网络的信息安全保障需求,近日,东软率先推出了采用Intel IXP2400高性能网络处理芯片的NetEye千兆NP防火墙 5200。该产品具有多个网络接口,可提供千兆线速全双工的网络数据包过滤能力,可同时保护多个千兆网络,适用于大型金融机构、电信运营商的数据中心以及电力、教育等行业核心骨干节点。
该产品是东软历时3年,经过600多个人月的研发和测试,向用户奉献的一款精品。NetEye FW 5200采用高性能的NP平台及分布式系统架构,可提供卓越的扩展性和部署灵活性。其高性能NP处理芯片内部集成了多个RISC处理器,专门用于处理高速数据流,可对数据包实施线速的分析、检测和转发等处理。
之所以采用NP技术,东软网络安全事业部产品经理徐松泉介绍说:“以往大多数千兆线速防火墙均采用ASIC技术,但ASIC对数据包的处理局限在2~4层。随着网络的发展,防火墙需要能够对2~7层的数据分组实现复杂的安全控制、QOS保证、负载均衡等处理,ASIC己难以满足要求,而对2~7层数据分组的线速处理恰恰是NP的优势。从技术发展和演进来看,NP是一种更为成熟和先进的硬件平台。”NP平台采用一个可编程的网络处理器就完成了以前由多个ASIC才能完成的端口处理、路由查找、存储器管理、包转发、内容过滤等工作,降低硬件成本的同时,进一步提升了产品的可靠性。而且NP可编程的特性使产品的功能升级更为方便,增强了对网络和安全技术发展的适应性,使得产品具有更长的生命周期。
NetEye FW 5200具有如下主要技术特色:
东软流过滤技术和INTEL先进NP平台的完美结合
NetEye FW 5200采用Intel的IXP2400高性能网络处理芯片, IXP2400芯片具有强大的处理能力,可以用于网络接入、网络骨干设备,支持从第2层到第7层各种业务,包括:防火墙、入侵检测、VPN等安全控制功能;进行分组分类,识别关键业务流,保证QOS;执行协议转换,支持多种传输媒体接入;在OC-48 等高速链路上实现聚合流的分类识别、转发和安全处理。
东软在IXP2400平台下结合NetEye“流过滤”技术所具有的深度防御能力,实现了千兆线速防火墙在检测性能和检测深度方面新的突破:NetEye FW 5200在提供千兆线速全双工的网络数据包处理和过滤能力的同时,可以对HTTP、SMTP等常见应用进行协议级检查和控制;NetEye FW 5200中的TCP/IP协议栈是东软自主知识产权的防火墙专用协议栈,全部采用微码实现,除了可以有效抵御针对协议栈指纹特征的网络扫描外,还具有更高的处理性能和更强的深度检测能力;基于“流过滤”技术,NetEye FW 5200提供了隐藏或改写Banner信息的功能,可以有效防止攻击者对应用系统的扫描和攻击。
虚拟防火墙
NetEye FW 5200提供了虚拟防火墙功能,管理员可将一台防火墙在逻辑上划分成多台虚拟防火墙,每台虚拟防火墙都可以被看成是一台完全独立的防火墙设备,可拥有独立的管理员、安全策略、用户认证数据库等。每个虚拟防火墙能够实现防火墙的全部功能。由于电信运营商、电力调度、教育等行业网络应用环境比较复杂,这种方式可以有效降低网络安全防护所需的投资预算,满足用户的某些特殊需要,并使部署和管理维护变得更加容易。
千兆位以太网通道
NetEye FW 5200支持千兆以太网通道功能,不仅可以起到容错作用,更是链路带宽扩容的一条重要途径。它可在1000M以太网端口间实现,用于将多条并行链路的带宽叠加起来。这样,多条链路被用于单条高速数据通道,通道中部分线路的故障不会影响其它线路的带宽聚合,从而保证了网络的可靠性。同时,以太网通道技术也提升了防火墙的可扩展性,可以充分利用现有设备实现高速数据传输。
高可用性
NetEye FW 5200还提供了其它多种方式的高可用特性,包括多机集群备份、负载均衡等。多机集群备份通过专有协议,实现了连接表同步功能,使得互相备份的防火墙都保存网络中的所有连接信息。当网络中部分链路出现故障时,连接不会因为数据包转移到其他防火墙上而导致连接断开,充分保证了应用系统的稳定运行。
支持策略路由、策略NAT、动态路由
普通防火墙的路由策略只能根据单个IP包中的源地址进行判断,在使用时并不方便。NetEye FW 5200提供了更加灵活的策略路由实现方案,可以根据更多属性设定路由策略。比如在高校应用中,如果是由内部访问外网,可以根据预先制定的策略,访问免费地址使用教育网出口,访问非免费地址使用电信出口,而外网的访问,则通过教育网出口返回数据包。这种方案既有效地避免了不必要的国际流量,又能使外网正常访问校园网内资源,保证网络资源得到有效利用的同时,降低了网络的日常运行费用。
另外,NetEye FW 5200具有丰富的网络特性,包括策略NAT,对动态路由协议RIP、OSPF、BGP的支持等,可以充分适应复杂网络环境部署的要求。
强大的深度检测和攻击防御能力
NetEye FW 5200可以对数据包进行深层检测和协议级控制,提供对HTTP、SMTP等常见协议的过滤和控制能力,保证基于H.323、SIP等协议的视频语音应用的安全。它采用先进的队列调度算法,使得QoS队列调度效率与队列数目的无关,有效保障多业务条件下的服务质量(QoS)。
东软此次率先推出的基于IXP2400架构的NetEye FW 5200,在国内同类产品中处于领先位置,是我国自主知识产权信息安全产品的又一硕果。自1996年东软成立网络安全实验室开始,东软NetEye品牌一直稳健发展,9年里东软在网络安全行业不断创新,致力于为用户提供先进的安全技术和周到满意的服务,东软NetEye千兆NP防火墙5200再次体现了东软在信息安全领域强大的技术实力和深厚的行业积累。