1 RG-WALL2000防火墙简介
 

 

    RG-WALL2000是一种针对大型企业与电折服务运营商而设计的业界当先的集成多种安全职能的千兆线速硬件防火墙。
 

 

    得益于创新的系统结构、定造化芯片、内置于芯片中的深度内容扫描器以及TCP/UDP/ICMP 状态包过滤器，RG-WALL2000系统能够在提供壮大的安全职能并维持300万个并发衔接地情况下，依然可能对分歧大幼的包维持千兆线速吞吐能力。其职能蕴含防火墙、基于IPSec 的VPN，内容过滤，利用代理等。
 

 

    这些个性使得它可以为大型企业和服务提供商的网络提供安全防护服务。利用档次化软件系统中的利用代理和入侵检测系统，RG-WALL2000系统可以为网络系统提供给用层的防护能力。
 

 

    RG-WALL2000安整系统还提供了具备优良兼容性的高机能IPSec VPN，在使用HMAC-96-MD5/SHA-1、3DES-CBC 认证、加密算法并选择ESP封装和谈和隧路模式的情况下，RG-WALL2000系统也可能提供200M的吞吐量。利用RG-WALL2000系统，IT治理人员可能以较低的总体占有成本在网络系统中急剧、单一地部署接见节造、VPN以及入侵防御能力。

 

1.1 职能个性
 

 

    维持300万个并发衔接的情况下，依然可能对64-1518字节大幼的包维持千兆线速吞吐能力。
 

    占有集成多沉安全职能的专用芯片，其职能蕴含状态包过滤、内容查抄、VPN等职能。
支持急剧反映的网络入侵攻击检测，硬件数据处置和数据流统计日志，有力阻止网络攻击。
 

    占有高度兼容性的内置硬件IPSec VPN引擎，并支持NAT穿越。
 

    支持站点到站点，移动用户接入等多种VPN组网方式，满足用户对VPN的利用需要。
 

    能适应与支持各类网络环境，如桥、路由、混合以及VLAN模式。
 

    支持P2P,IM利用的节造
 

    支持RTSP、H.323、IRC、MMS、FTP、SQLNet、PPTP等多种动态端口和谈，充分满足企业要求。
 

    支持动态路由、战术路由，充分满足企业需要。
 

    为服务质量（QoS）提供精确与矫捷的带宽治理：每个以太网络接口可设置四个队列，节造粒度为1Kbps。
 

    系统的治理平台和网络数据处置平台分离，系统治理配置不影响系统的网络机能，而网络负载也不影响系统的治理配置，因而在提供高机能的同时也保障了系统治理的靠得住性。
 

    秒级双机热备切换，保险网络接见节造持续运行。
 

    提供全面又轻便的治理系统：支持串口治理，以及基于SSL的Web、SSH等治理方式。

 

1.2 产品规格

 

个性	RG-WALL2000
物理个性	尺寸	426*440*89 (mm)
	沉量	11.5kg
	机架式	是
	电源	220v, 0.8A，双电源备份
系统	接口	4 *10/100/1000  4*SPF
		1 个 console
		2 个 10/100 FE (备份口)
	网络处置器	利用安全ASIC+通用CPU
	操作系统	SEC OS（专用安全操作系统）
	电源	双电源热备
	显示LCD	五键节造
	系统升级	能够远程或本地设定
网络模式	桥	支持
	路由	支持
	混合	支持
	NAT	SNAT, DNAT, NAPT(MIP,VIP)
	备份	双机热备份
机能	防火墙吞吐量	8Gbps
	最大并发衔接数	300万
	最大新建衔接速度	每秒100,000 个
	VLAN数量	128 （每接口）
	VPN 硬件IPSec 隧路数	1000
	VPN 吞吐量 ESP隧路模式	3DES-CBC:200 Mbps; DES:400Mbps; AES: 400Mbps
	数据包延长功夫	5-13微秒
网络个性	路由和谈	静态路由, RIP, OSPF,BGP
	战术路由	支持
	VLAN	802.1Q
	IP地址获得	指定，或者DHCP
用户认证	用户数据存储	本地数据库
	Triple AAA	支持
远程数据库（Radius）	认证方式	用户名/密码；一次性口令；智能卡（可。
	治理员分级	治理员、审计员、操作员

个性	RG-WALL2000
日志与监控	日志	本地数据库，日志服务器, SYSLOG
	本地存储容量	闪存容量达128MB
	审计	可凭据要求定造查问
	告警方式	电子邮件，LCD显示
接见节造	包过滤	硬件支持
	状态包审查	硬件支持
	利用代理	Email, FTP, HTTP, Telnet
	内容过滤	URL, 邮件过滤,KeyWord过滤
	接见节造规定治理	以利用组分类治理
	支持的动态端口和谈	RTSP, H.323, IRC, MMS, FTP, SQL*NET, PPTP
	P2P,IM利用节造	BT,Edonkey,mute,QQ,MSN,YahooMessage,AOL
VPN	IKE	RFC 2408, 2409, 2412
	Ipsec	RFC 2401, 2402, 2403, 2404, 2406
	IPSec模式	隧路模式，传输模式, AH, ESP, AH+ESP
	Ipsec/IKE穿越NAT	支持
	加密算法	DES, 3DES, AES
	认证算法	MD5, SHA-1
	移动用户接入	支持
	点到点VPN	支持
	对端动态IP地址	支持
证书	证书体式	X.509 V3
	证书撤销列表体式	X.509 V2
	证书验证	本地
入侵检测	SYN Flooding, UDP Flood, Ping Flood, UDP Scan,  TCP Scan (TCP SYN Scan, TCP FIN Scan, TCP X’mas Scan),  Ping Sweep Jolt2 Attack,  Land-based Attack, Teardrop Attack, Ping of Death Attack,  Smurf Attack, ARP Attack(APR Spoof, ARP Flood)	支持
流量治理 (QoS)	最大频宽	支持
	保障频宽	支持
	优先级	4 级
	治理粒度	最幼1Kbps
	QoS设定	以用户、以利用划分

 

个性	RG-WALL2000
机能监控	CPU利用率	支持
	内存使用率	支持
	会话资源使用率	支持
	接口流量监控	使用率, 偷换率, 均匀包大幼, total packets transferred, total dropped
	防火墙规定流量监控	每规定处置数据包的累计
	VPN 流量监控	当前VPN数量, 以每隧路的数据推算
设备治理	CLI	本地串口，SSH
	Web	支持SSL
	SNMP	支持尺度SNMP v2/v3
	MIB库	尺度MIB

 

2 RG-WALL2000架构

 

2.1 架构综述
 

 

    在防火墙产品设计领域中，重要划分为以下三种：基于x86的软件防火墙，基于NP(网络处置器)的硬件防火墙和基于ASIC(专用集成芯片)的硬件防火墙。
 

 

基于x86的软件防火墙 -- 软件防火墙通过通常CPU来运行安全法式。所罕见据流都通过硬件总线中断由软件TCP/IP和谈栈来处置。由于每一次硬件中断都必要分享在运行安全利用法式的CPU资源, 因而整个防火墙系统会变得缓慢。
 

 

基于NP(网络处置器)的硬件防火墙 -- 此类硬件防火墙使用网络处置器来提供各类数据传输和安全利用职能。由于目前的网络处置器都为急剧转发数据而设计，因而当内置好多安全利用法式的时辰系统的整体机能就会降落好多。
 

 

基于ASIC(专用集成芯片)的硬件防火墙 — 此类硬件防火墙使用专用的ASIC芯片来实现数据转发和各类安全职能，ASIC芯片及其丰硕的硬件资源保障了防火墙拥有无与匹敌的高机能。同时, 此类防火墙的高可编程系统结构也能很好地适应目前动态变动的网络安全要求。
 

 

2.2 基于ASIC的硬件
 

 

    RG-WALL2000是一个定造的基于ASIC的硬件防火墙。它由一颗高度可编程的专用集成芯片和一个全面的安全软件仓库组成。因而，RG-WALL2000不仅达到了安全职能的要求，并且提供了高机能的处置能力。
 

 

2.2.1 ASIC芯片的重要职能有：

 

    状态检测
 

    路由或桥模式数据转发
 

    接见节造战术
 

    敏感字内容匹配
 

    带宽治理
 

    服务分类
 

    由于其职能系统与治理系统分离，因而系统治理不影响网络数据流的处置工作。其硬件架构特点保障了对任何长度数据包的千兆线速处置能力。
 

    RG-WALL2000内置了全面的安全软件仓库。该软件层蕴含：
 

    敦睦易用的Web UI 节造界面
 

    iSlot官方网站自主开发的安全shell 号令行，蕴含各类配置号令
 

    定造的安全内核
 

    面向审计/日志的syslog内核
 

 

2.2.2 系统架构
 

 

    RG-WALL2000的设计理想选取面向对象步骤，以在怪异的治理架构内达到单一，矫捷与全面为指标，而又不失安全性。
 

 

    在安全与机能之间寻找平衡点总是部署IT系统的一大挑战。RG-WALL2000使用创新的系统架构已达到最高安全性而又不影响优越的机能。
 

 

    图2-1显示了系统架构，该架构表接以太网卡，DDR 和SDRAM； 全数的以太网MAC (媒体接见节造) 均内置于Sentinel芯片内，因而削减了传统网络接口卡步骤所带来的技术和资金成本。网络数据流尽可能在Sentinel处置器中进行直接处置，而治理和节造系统则在软件系统中实现。同样，数据平面也可借助PCI 接口把数据或汇报传送至治理平面。

 

    图2-1 给出了各类安全职能在系统分歧部门中的散布情况。从图2-1能够看出，在ASIC部门蕴含三个重要的职能？椋
 

    Ethernet MAC。
 

    这部门处置数据与以太网物理层的传输。
 

    智能防御系统(IntelliDefense System) (美国专利待批)。
 

 

    这个部门重要是接见节造与数据流划分职能？，可能对数据包进行实时包头内容匹配，状态检测，会话治理，以及基于敏感字的深度内容过滤，还能通过使用ACL(接见节造规定列表)来加强安全战术治理。同时，能够进行数据流治理，QOS，以及告警、数据统计等职能。
 

 

    VPN处置引擎。这个部门提供了IPSec VPN处置能力（选取3DES与AES加密算法）。
它使用一组有很高并行处置能力的RISC核阵列，若是批改RISC处置器里的微码，就能来适应分歧和谈，从而达到最大的矫捷性。它也支持隧路模式的IPSec VPN(AH/ESP/AH+ESP),并支持NAT穿越。RG-WALL2000的VPN处置引擎是一个独立的基于硬件的职能？，并且有很好的兼容性，可能同NetScreen,Cisco等产品实现互联互通。该处置引擎也能够对IKE协商后成立的SA进行治理。
 

 

    从图2-2能够看到重要的网络接见节造、路由转发和VPN处置职能都在ASIC内实现，上层软件部门则处置治理界面、利用代理、安全战术映射、IKE、SNPM和谈栈、告警数据库等治理和高层利用职能。在通过Sentinel系统驱动把指令写入ASIC后，治理系统或利用代理便能凭据利用需要节造系统的数据平面。 

 

    为维持千兆线速处置能力，ASIC 的接见节造与数据转发职能？槭褂昧肆魉吆筒⑿写χ眉际，从而保障了防火墙在开启全数职能？，且处置一千个IPSec VPN 隧路时，机能也不会降落。
 

 

    所有查表运作都使用一种类似于TCAM的技术，以确保处置功夫且不受表格大幼影响。即便有300万并发衔接，仍能实现千兆线速的机能。
 

 

    由于每一个包的处置功夫固定，因而数据平面内的数据包处置延长功夫也是固定的，且不受规定或并发衔接几多的影响。 经过测试，幼包（64字节）的延长功夫是约莫5微秒，而大包（1500字节）是13微秒。其它分歧长度数据包的处置功夫均在此领域中。
使用ASIC硬件作为安全平台的主题，RG-WALL2000可能在复杂利用环境中维持全天候千兆线速机能。
 

 

2.2.3 内置的硬件安全和谈处置引擎
 

 

    图2-3 给出了这个处置引擎在ASIC中的地位以及它与路由、接见节造？橹涞墓叵。我们能够看出，由于VPN处置引擎现实上是旁路于整个路由、接见节造蹊径的，所以VPN？椴换嵊跋炻酚伞⒔蛹谠觳棵诺拇χ没。
 

 

    当发送的数据包必要进行IPSec处置时，安全战术就会解析数据包并将其路由到内部VPN处置引擎中，加密后的密文包和明文包都要经过路由、接见节造？榻惺莸慕蛹谠旌吐酚勺。同样，接管的密文包进行IPSec处置也不会降低防火墙的机能，由于密文包在解密之前就会在硬件平台中进行分类，并转发到IPSec引擎中处置，而不会梗塞明文包正常的接见节造和路由转发处置。
 

 

    目前的RG-WALL2000版本，整个IPSec VPN处置引擎在选取3DES算法时其数据处置能力可高达200Mbps，而选取AES算法时可高达400Mbps。VPN重要用于将网络安全衔接延长至Internet或其他公共网络，因而VPN引擎重要通过WAN口来处置数据。通常情况下，大无数大型企业(占有2万左右个员工)的现代化IT网络通常拥有155M ATM衔接带宽用来接见互联网，因而，150M的3DES VPN机能足以满足各类企业的VPN利用需要。 

 

2.2.4 单一易用的治理系统
 

 

    在数据安全的领导准则下，对设备、系统的安全战术治理是决定安全技术能否正确执行的关键成分，提供单一易用又靠得住的安全治理步骤是防火墙/VPN网关产品必不成少的。 RG-WALL2000内部的治理系统分成三层，如图2-4所示。

 

    最底层是配置服务器，掌管将配置数据写入到ASIC或系统内核；中央层提供一个统一的配置界面，将Web或号令行指令传递给配置服务器；最上面一层是用户使用的号令行和Web配置页面。
 

 

    思考到要对网络设备和网络安全战术进行统一治理，RG-WALL2000提供了基于SNMP和SOCKET两种远程治理方式。用户可通过SNMP或者SOCKET接口，通过iSlot官方网站发的治理平台亦可对 RG-WALL2000进行治理。
 

 

3 RG-WALL2000个性详解

 

3.1 超强机能

 

3.1.1 千兆线速吞吐能力
 

 

    近年来随着网络技术的遍及，各人已经意识到网络安全的沉要性，防火墙的部署已经不再局限于用于广域网络天堑的防护。内部门歧子网之间的接见节造也已成为网络治理员沉点思考的问题。由于千兆互换机、路由器、服务器与网卡的日益遍及，与不必要太高处置能力的广域网络接口相比，企业内部网络有着更高的处置能力需要。
 

 

    此表，企业也正朝着IT集中化的方向发展，这就要求防火墙拥有千兆线速机能来处置内部网络主题节点上的数据流，而不会成为整个网络机能的瓶颈。
 

 

    如图3-1所示，能够很清澈地看到，在各类长度包的情况下，RG-WALL2000可能对双向数据流实现100%千兆线速转发。

 

帧长	合格率(%)	(01,01,01) to  (01,01,02)  (包/秒)	(01,01,02) to  (01,01,01)  (包/秒)	总共
		1GB -1GB	1GB -1GB
64	100.00	1488095	1488095	2976190
128	100.00	844595	844595	1689190
256	100.00	452899	452899	905798
512	100.00	234962	234962	469924
1024	100.00	119732	119732	239464
1514	100.00	81486	81486	162972

 

3.1.2 具备当先的低延长机能
 

 

    在全球网络设备市场中，由于网络多媒体利用（尤其是基于IP的语音和视频利用）越来越盛行，VoIP设备市场也在强劲增长。而多媒体利用区别于传统的邮件/Web等数据业务最沉要的一点，是对网络延长和抖动的要求越发严格。防火墙作为网络中的关键接见节造设备，其在执行接见节造的同时必须保障对各类大幼包的网络延时足够短和安稳，能力满足企业的现实利用需要。
 

 

    从业界驰名的出版物能够查到，分歧的防火墙产品(例如各类硬件防火墙)测得的包延时通常可能维持在数十个毫秒，而不幸的是，现有的其他好多防火墙产品只可能维持在数百毫秒的水平，甚至一些号称是千兆线速的防火墙包延时竟然也在100毫秒以上。如此大的包延时在网络多媒体利用中是绝对无法接受的。
 

 

    要解决防火墙所面对的多媒体利用要求与包延长太大的问题，RG-WALL2000以其新鲜的系统架构选取流水线设计、并行查表和并行处置技术，达到了如图3-2所示的低延长。
 

 

    从图3-2能够看出，Smartbits测试的Store & Forward延长功夫对分歧的包大幼根基上都维持在5微秒以内，Cut Through功夫偏大，是由于大包占用的传输和收发功夫较长。因而，RG-WALL2000可能满足语音/视频利用对于网络延长的要求。

 

Frame  Size	Rate  Tested(%)	(01,01,01)  to  (01,01,02)  (us)-CT	Average  (CT)	(01,01,01)  to  (01,01,02)  (us)-S&F	Average  (S&F)
		1GB -1GB		1GB -1GB
64	100.00	5.0	5.0	4.5	4.5
128	100.00	5.9	5.9	4.9	4.9
256	100.00	6.3	6.3	4.3	4.3
512	100.00	7.5	7.5	3.5	3.5
1024	100.00	12.5	12.5	4.4	4.4
1518	100.00	16.7	16.7	4.6	4.6

 

3.1.3 最大并发衔接数

 

    并发衔接数是指防火墙对无数据流的处置能力，是防火墙可能同时处置点对点衔接的最大数量。它反映出防火墙设备对多个衔接的接见节造能力和衔接状态跟踪能力，因而该机能指标直接影响防火墙所能处置的最大信息量，是电信运营商/ISP/IDC/教育网运营商为大量用户提供服务所依赖的关键技术指标之一。
 

 

    在软件防火墙或基于NP的防火墙中，每一个互连职能？槎急匾峙湟恍┠诖婵占淅创娲⑹。典型的基于Linux开发的防火墙，每个数据包所需的内存是300字节左右，支持100万并发衔接所需的内存空间为2.24G字节。但现实上目前市场上还没有一款能提供超过2G内存的防火墙产品。
 

 

    RG-WALL2000的数据平面选取流水线和并行处置技术，在流水线操作中每个数据包会凭据分歧处置需要使用分歧的？。现实上，一个衔接的存在是由于这个衔接的数据包得到某一条文则的允许，不然也没有必要成立衔接。因而在衔接表中并不必要存放数据包的IP地址或端口资料，由于这些资料可在规定里找到。
 

 

    经过上述分析，RG-WALL2000选取了hash和片上RAM等技术，使其能在较幼的存储空间存储300万的并发衔接。同时 RG-WALL2000在查表方面选取了类似TCAM的技术，以达到固定的查表速度。这样，保障了不论是检测一个衔接还是一百万个衔接的信息，数据包都能在预知的固按功夫内得四处置。这也是RG-WALL2000在职何利用情况下都能维持千兆线速处置能力的一个沉要成分。
 

 

3.2 防火墙？

 

3.2.1 电信级防火墙的治理与职能系统的设计
 

 

    硬件防火墙必要通用CPU或网络处置器来处置数据流或进行系统治理。若是洪水攻击产生在一个网口而吞没全数的资源，将大大削减系统治理的质量。在这种情况下，治理员将无法通过网络或串口来接见防火墙。而此时治理员却最必要查看日志和统计信息。
 

 

    思考到电信誉户对服务质量的刻薄要求，电信设备通常选取治理系统和职能系统分离的方式来保障设备的可治理性和可运作性。 RG-WALL2000在设计时切合该项要求，重要系统职能由Sentinel ASIC芯片处置，而少量治理工作由主机的CPU来实现。
 

 

    同时，治理接口与备份接口都直接同治理系统相连，不论网络若何忙乱，治理员都能随时获取系统内数据传输的情况。
 

 

3.2.2 基于智能防护系统 ( IntelliDefense System ) 的全面防火墙职能
 

 

    基于Sentinel的RG-WALL2000有一套统一的防火墙职能，并以多层安全防护模式执行。它集中了基于内核的利用代理来预防利用层威胁，基于硬件的状态过滤引擎来过滤TCP/UDP/ICMP包，和高速的硬件内容过滤引擎动态/静态检测数据包，以对付 L4 至 L7的威胁。这些职能在设计时都被确保能支持线速处置能力。
 

 

3.2.3 支持动态端口和谈以支吃祗业IT利用需要
 

 

    网络利用的融合是通讯业界钻营的长远指标。随着基于IP的多媒体利用的发展，如VoIP, Netmeeting以及各类P2P的即时通讯工具，好多企业都偏差通过部署根基的网络来融合、处置数据和语音/视频通讯。
 

 

    但大多诸如Skype等的P2P系统，以及大多媒体利用尺度，都是由IETF 和ITU 这样的国际尺度化组织依照国际的网络环境而界说的,并不适合没有足够公用IP地址的地域，也跟企业防火墙部署NAT来共享一两个公用IP的战术相矛盾。
 

 

    再者，多媒体通讯利用都偏差使用动态端口和谈，使用一个IP地址但动态占用分歧端口，这就使企业部署网络接见节造更为复杂。通过防火墙节造此类利用与和谈，网络治理员不能单一地为这些利用打开相应的端口，由于这样做会风险网络安全。
 

 

    为解决这个问题，RG-WALL2000为使用动态端口和谈的利用提供特殊的支持。固然数据平面的数据处置操作重要在ASIC芯片中实现，但RG-WALL2000的操作系统能协助ASIC芯片解析利用和谈，并参加实现如为某些利用打开相应端口、批改数据字段允很多媒体通讯等防火墙职能。通过这些调配数据平面和治理平面的机造，RG-WALL2000为企业综合的网络利用提供了一种很好的网络架构环境。
 

 

    RG-WALL2000支持RTSP, H.232, IRC, MMS, FTP，也支持用于Oracle数据库的动态和谈SQL*NET，所以企业网络齐全能够使用动态端口与自己的Oracle服务器相连。
 

 

3.2.4 最幼至1Kbps粒度的流量节造与服务质量
 

 

    当点对点通讯的需要量总和超过了网络现有的带宽时，网络节点可能治理与满足各类利用需要的能力就显得至关沉要了，这也是QOS技术存在和发展的基础。
 

 

    随着企业越来越依赖基于网络的各类利用，蕴含关键信息系统如VoIP和视频会议等，网络利用对网络的服务质量提出了具体的要求指标：最幼延长，最幼抖动和保障带宽。因而作为网络中的一个节造信息流的关键设备，防火墙必须可能对分歧利用进行带宽治理。
QOS，点对点利用不成短缺的职能要求，并非单独一台防火墙设备所能保障的，若是没有其他安全设备的共同，防火墙无法做到对延长与带宽的保障。因而在设计防火墙的时辰肯定要从网络主题的角度设想，思考到全数必要。有一点必须注定，若是防火墙自身的数据吞吐能力不能维持线速，延长功夫大而又不够不变，那么防火墙无论采取什么样的队列分类算法、平正调度算法都将无法保障QoS的正的确现。
 

 

    RG-WALL2000由于占有“全天候”的线速处置能力，低至5微秒的延长并且分歧包的抖动功夫不超过20%，因而它具备了对流量进行治理的基础前提。同时，借鉴了主题路由设备在队列治理方面的经验，RG-WALL2000也为系统治理员提供了矫捷的治理机造，以精确的分类提供保障带宽和最大带宽。在每个端口上 RG-WALL2000提供了4种分歧的优先级队列，从而可能满足企业将利用分为实时业务、关键业务、非关键业务、非业务类数据等级的需要。
 

 

    在分类上， RG-WALL2000可能凭据源MAC, TOS, 数据包长, IP和谈, 源和主张IP地址, TCP标志(ACK, RST, SYN, FIN), TCP源和主张端口, VLAN标志, VLAN用户优先级等信息对数据流进行分类.因而治理员能够极度精密、方便的界说哪些利用应该拥有高的优先级，保障几多带宽等。治理员界说好利用及其对网络服务的要求后，剩下实现服务的工作即可由 RG-WALL2000来实现。
 

 

    在队列治理方面， RG-WALL2000充分借鉴了高端路由互换设备的队列治理结构，在物理接口上执行流节造治理，从而保障数据能以不变的延长功夫进行转发。 RG-WALL2000为每个物理端口提供了4个分歧优先级的队列，每个队列的深度凭据平正队列算法和用户设置进行分配，从而预防低优先级、但高带宽需要的利用（如FTP，EMAIL）无法被满足，也充分提高了高优先级、幼带宽利用（如VoIP）对队列的利用效能。
 

 

    为部署保障带宽和最大带宽，RG-WALL2000提供了最幼1Kbps带宽治理粒度，网络治理员能有效地部署带宽治理，从而保障企业贵重的带宽资源可能被正确的利用。
 

 

    若是企业部署了1000Mbps网络互换环境，那么DMZ和LAN区域通常的工作线速都是1000M，但WAN区域通常不成能提供1000M线速的带宽，所以时时造成DMZ/LAN与WAN之间带宽的矛盾。因而RG-WALL2000必须能凭据各类利用分歧的优先级来治理企业的数据流。凭着其线速处置能力，不变且低至5微秒的延长，以及精密的带宽治理能力，RG-WALL2000可为企业整体网络的QOS提供优良的治理平台。
 

 

3.2.5 基于状态的包过滤
 

 

    RG-WALL2000能守护上层和谈的衔接状态，因而它能预防那些专门利用基于会话的和谈缝隙而形成的攻击。
 

 

    凭据每个TCP/UDP/ICMP 数据流的情况，是要采取转发，抛弃还是NAT等，来决定和执行有关的指令，都是在ASIC芯片上执行，不动用CPU资源。剩下为IPv4所界说的无衔接状态数据流，将遵循设置的规定而路由到主机CPU。
 

 

3.2.6 深度内容过滤

 

    RG-WALL2000的ASIC芯片内置一个内容匹配引擎（CME）。此引擎能从Layer-2至Layer-7，并基于包执行深度内容匹配。它也能在软件的协助下，执行动态内容匹配。CME 更能实时执行这些职能，又不影响线速。
 

 

3.2.7 基于MAC 地址的规定
 

 

    在内网，用户的IP地址能够方便地进行扭转，对于这种情况基于IP的规定往往无法覆盖。因而选取基于不易扭转的MAC 地址，更为靠得住。
 

 

3.2.8 颇具特色的抗攻击职能
 

 

    RG-WALL2000能在硬件内为源自Layer 2 至Layer 7的头信息作检验和执行模式匹配，且一次能匹配128个字节，垂度为16个字节。即，RG-WALL2000一方面能急剧地检验多至144个字节（128 + 16 = 144）的头信息，另一方面也能匹配具体的新闻头（从1到128字节长度的可编法式署名/模式字串），并能在了局上执行逻辑运算。
 

 

    CME也能把统一流的数据包拼合，从而阻止把署名散布到多个幼包的利用层攻击。在互联网环境，基于芯片内的CME分管通用CPU的工作来预防一些已知的攻击。
 

 

    RG-WALL2000除了防御常见的攻击伎俩，如：SYN FLOODING、UDP flood、Ping flood、UDP Scan、TCP Scan(TCP SYN Scan、TCP FIN Scan、TCP X'mas Scan)、Ping Sweep Jolt2 Attack、Land-based Attack、Teardrop Attack、Ping of Death Attack、Smurf Attack、ARP Attack(APR Spoof、ARP Flood) 之表，还能窥伺动态端口的攻击。
 

 

    而超过用户所界说的不寻；疃蚧嵩谟布内被检测到，从而维持线速，；ね。
 

 

3.2.9 利用代理软件在优化的系统空间运行

 

    有一些代理职能能在维持线速机能的情况下在主机内核OS运行。RG-WALL2000支持此类代理如FTP, HTTP, POP3, SMTP, 和TELNET，以及执行某些过滤职能如限度FTP工作里的 GET/PUT 指令。RG-WALL2000执行的通明代理保障其机能。
 

 

3.3 安全矫捷的治理方式
 

 

    RG-WALL2000支持号令行和Web两种治理方式，而在Web上使用SSL能够保障治理过程的安全性。若是使用号令行，能够直接通过串行接口接入或通过SSH从远程登录号令行界面。
为了保障治理的安全性，用户能够设定只允许从某些主机能力接见RG-WALL2000进行治理。这个特点能够预防从不安全区域来进行防火墙的治理。
 

 

    RG-WALL2000提供了切合业界尺度的SNMP接口，以方便第三方的网络治理系统监测。
 

 

3.4 简化治理的模板与别号设置
 

 

    治理“接见节造规定列表”一向以来都是网络治理员工作最沉的部门，也是最容易造成报答差错的处所。RG-WALL2000中提供了模板和别号设置，以预先界说治理对象，再界说有关接见节造的步骤，使治理员的工作变得越发轻松。该职能允许治理员在起头配置规定之前首先界说必要治理的对象，譬如将几台PC定名为一个组，或赐与几台服务器分歧的名称，在界说接见节造规定的时，即可直接引用这些对象，而不用记住这些对象的IP地址、子网掩码、必要提供服务的端标语等内容。
 

 

    利用模板概想，治理员可将规定分划为分歧类别，而后界说若何把已分类的规定和分歧组名衔接起来。
 

 

3.5 具备双机备份
 

 

    作为一个高速千兆线速的产品，RG-WALL2000重要利用在大型企业的主题网和电信城域网，因而对于设备的靠得住性要求很高。
 

 

    RG-WALL2000首先通过怪异的职能与治理系统分离的技术伎俩提高它的靠得住性，同时为治理系统提供双机热备份职能。这样治理系统的后端通讯不会因两台RG-WALL2000设备有分歧处置情况而受影响。
 

 

    并且 RG-WALL2000为后端信息提供了2个独立的10/100M 以太口，这个接口直接挂接在治理系统，以确保两个RG-WALL2000系统在进行实时同步处置。为确保后备设备的安全，主设备将会使用心跳机造来更新, 证实和加密信息。备份设备则一向的感应主设备的情况，如它的链接情况，端口运作情况，OS情况等参数来决定是否有任何异常状态。一旦发现主设备工作状态出现异常，那么从系统将在秒级功夫内收受网络系统。
 

 

3.6 RG-WALL2000 IPSec VPN？

 

3.6.1 全面、兼容的和谈支持
 

 

    RG-WALL2000对切合RFC尺度界说的AH，ESP，AH＋ESP和谈进行了优化，同时能矫捷地利用隧路模式。而基于VPN与IKE的软件（主机OS的IPSEC）也让用户能执行RFC界说的 IPSec 套件以及远程VPN拨号衔接服务器。再者，RG-WALL2000与其它IPSec产品优良的兼容性也已得到全面验证。这种优良的兼容性使用户在部署 RG-WALL2000时能够尽量；ぴ械淖试。
 

3.6.2 满足大型企业利用的高机能VPN
 

 

    RG-WALL2000选取3DES/AES算法时提供了200～400Mbps 的密文流，并且不影响防火墙的整体带宽。RG-WALL2000也支持1000个专用SA，足以满足大型企业对于VPN通路数主张要求。无论启用一个SA还是启用全数SA，总体的密文流机能都维持在150Mbps。当然治理员也可在防火墙的QOS部门设定某一个SA的可用带宽。
 

 

3.6.3 矫捷的密钥治理与用户认证
 

 

    在成立两方的VPN隧路时，最根基也是最沉要的要求就是对双方进行身份认证。 RG-WALL2000支持通过手工方式或利用IKE和谈来自动配置SA。若使用IKE和谈配置，可选取共享密钥或证书两种方式。通过Web页面，网络治理员可远程装置本地证书和信赖的CA证书，也可导入对方的证书。优良的伸缩性让各类分歧技术布景的治理员能急剧地成立企业的VPN。
 

 

3.6.4 虚构专用网和Internet的隔离
 

 

    从图3-3能够明显的看到，VPN数据流仅仅是 RG-WALL2000处置的数据流的一种，因而在启用VPN的时辰并不会故障衔接Internet的其它处置带宽。并且由于优良的QOS能力，RG-WALL2000也保障VPN的使用不会因Web接见，FTP下载等非业务利用而被抢用。因而RG-WALL2000能够有效地把VPN和Internet隔离。

 

1.1.1 集成化的VPN和接见节造
 

 

    当在周边网关执行分歧安全措施时，构建IPSec VPN 常因NAPT和VLAN存在而变得比力难题。
 

 

    在构建或沉新配置此类安全战术过程中会破费相当大的人力。RG-WALL2000能够很好地支持VPN和NAT的穿越，上述两难问题在RG-WALL2000上都能得到优良的解决。
 

 

3.6.5 RG-WALL2000在分歧拓扑结构都能达到高集成化
 

 

    分歧的安全措施能够遵循用户的具体需要部署，不会由于要遵从分歧技术而造成额表的工作量。这是由于不论在什么拓扑结构，利用高机能的Sentinel ASIC芯片都能够很方便实现高效能的IPSec VPN和防火墙接见节造。
 

 

    从图3-3能够看出，所有VPN数据包城市被接见节造逻辑所处置，而明文流加密前后都经过VPN引擎处置。即接见节造（ACL）散布在VPN隧路表部。这保障了防火墙接见节造会验证解密的VPN包，并保障VPN包在进入企业网络前遵守其安全战术。这样，ACL连同身份认证，即可保障在 RG-WALL2000的VPN中只有合法的数据包。
 

 

IPSec VPN中实现QoS
 

 

    由于所有VPN包都经过状态检测？，因而所有传输的QOS分类都由ASIC节造。这暗示VPN数据流在沉要运作下都能享受足够的带宽。企业也能够遵呼利用或用户分歧的要求，合理地分配企业带宽。
 

 

    不论是内部数据流（加密传输）或表部数据流（明文传输），数据流在IPSec 引擎里都享有低延长。
 

 

    RG-WALL2000里的 IPSec VPN 拥有优良的低延长机能，能够满足当今各类典型的利用，而RG-WALL2000优良的低延长机能是靠ASIC并行处置能力实现的。RG-WALL2000为那些必要强加密；さ恼镜慵湎谓犹峁┳愎坏拇χ媚芰，也提供低延长以克服通常通用CPU加密机能方面的不及。典型利用如多媒体规划（即IPSec ；さ腣oIP，IPSec ；て笠的谕募词毙畔⒌龋。
 

 

    RG-WALL2000的低延长个机能改善了企业内网环境里站点间安全多媒体的内容传输。RG-WALL2000内嵌的QoS 能有效地为内网站点间分配通讯带宽。
 

 

    以下是RG-WALL2000防火墙职能（有接见节造的VPN）的Smartbits 6000 延长测试成就。其VPN 根基机能测试成就如图3-4所示：

 

Frame Size	Rate  Tested(%)	(01,02,01)  to  (01,02,02)  (us)-CT	Average  (CT)	(01,02,01)  to  (01,02,02)  (us)-S&F	Average  (S&F)
		1GB -1GB		1GB -1GB
64	2.00	59.1	59.1	58.5	58.5
128	2.00	66.7	66.7	65.6	65.6
256	2.00	96.0	96.0	93.9	93.9
512	2.00	156.1	156.1	152.0	152.0
1024	2.00	240.2	240.2	232.1	232.1
1280	2.00	281.6	281.6	271.4	271.4
1518	2.00	615.7	615.7	603.5	603.5

 

3.7 壮大适应环境能力

 

3.7.1 多种工作模式能够适应各类网络环境：利用案例

 

    在防火墙业界，一谈到网络模式，通；嵯氲剑和髂Ｊ娇稍诓慌ぷ钟新酚山峁瓜路奖悴渴；路由模式是一衷煺遍的网络模式；混合模式则能够实现矫捷的网络部署。然而此刻NAT和VLAN也被列为新的网络模式。在企业越来越依赖IT系统的今天，防火墙不仅必须可能支持各类分歧的网络模式，更沉要的是也要能满足企业组建网络和执行接见节造的要求。图3-5给出了一个企业IT系统的典型组网模式。 

    从上图能够看到，接见企业的Internet用户都巴望削减在维持IP地址方面的用度，因而占有DNAT(MIP,VIP职能是防火墙所必备的根基要求。而营销和技术人员由于必要通过Internet与客户联系，因而SNAT也成了对防火墙的根基要求。
 

 

    再者，企业内部门歧部门都占有各自的贸易奥秘资料，譬如企业不仅愿掌管研发的员工相识企业的客户以及财政信息，同时也不仅愿营销人员过多的相识研发的信息，因而企业能够选取VLAN来划分分歧部门的内网；而IT数据集中治理的趋向令所有的服务器都集中在一个机房里。
 

 

    这种环境下，处于网络主题节点的防火墙就必须可能支持VLAN路由职能；研发成员则但愿旁路防火墙，以便更快的能接见CVS服务器，因而通过通明网桥衔接统一子网内的分歧物理端口也成了一个根基的要求。
 

 

    总结上述的要求，防火墙必要可能同时支持路由/桥接/VLAN（路由、中继电路）/NAT职能，而 RG-WALL2000在设计时充分思考了这些复杂的网络环境要求。其互换个性保障任何端口在执行接见节造职能的同时，也能实现通明模式互换。
 

 

    RG-WALL2000 每个端口都能够支持128个VLAN，因而它天然能够支持VLAN 中继链路。同时其ASIC芯片内部有一个三层的流水线路由？，能够维持物理接口之间以及VLAN之间的路由关系。 NAT也是流水线结构上的一个尺度？，不论端口之间选取何种网络衔接模式，NAT总能正常工作，蕴含1：1的映射以及N：M多端口映射。
 

 

    深刻理解了各类网络需要之后，RG-WALL2000的设计齐全可能适应各类分歧的复杂网络环境。
 

 

3.7.2 利用星状拓扑网络支持异地分支机构互联 VPN
 

 

    从图3-5能够看到，分支机构都只有一条隧路衔接到企业总部，分支机构之间的通讯则会在总部的VPN上实现互换。这种职能便于治理员治理，同时也能够在总部执行集中节造。这种情况尤其适合当分支机构没有固定IP地址或者处于NAT设备后面的时辰。
 

 

3.7.3 利用网状拓扑网络支持分支与总机构互联VPN
 

 

    每一个分支都能与总机构或其他分支衔接。与星状拓扑分歧的是，这种拓扑能解除处置延长。但它也必要VPN设备来处置大量的VPN隧路。当分支在企业内增长，VPN隧路的治理也相对大幅度的增长，以至到无法治理的水平。
 

 

3.7.4 移动办公VPN

 

    移动办公因网络部署最新的发展，已成为越来越盛行的趋向。对于IPSec兼容利用软件 （蕴含，但不局限于Windows）的用户, RG-WALL2000使部署移动VPN越发简易化。
 

 

3.7.5 在动态IP地址环境下成立VPN

 

    在宽频网络的发展趋向下，好多家庭都已选取ADSL或公共宽频接入互联网，为SOHO办公提供了方便前提。但这些宽频网络大多选取动态分配的IP地址。因而企业总部或分支机构的VPN网关必须能支持动态IP地址能力衔接。
 

 

    RG-WALL2000矫捷的职能让企业员工从任何地址都能接入企业内部网络，提高工作效能，改善客户中意度。
 

 

    RG-WALL2000的ASIC芯片在其和谈处置引擎内置了NAT，以减低总体延长功夫，并为移动用户与分支机构提供更有效的衔接能力。
 

 

3.7.6 在VPN中部署VoIP

 

    固然VoIP尺度，不论是H.323还是SIP，都没有穿越NAT的解决规划，但通过VPN来部署企业平散布式的VoIP是一个极度单一的解决规划。RG-WALL2000提供的是低延长VPN，能够增长VoIP会话的质量。使成立安全而又节约通话用度的企业VoIP系统成为现实。