天清汉马USG-FW-P系列防火墙技术白皮书

时间：2020-12-25 15:06:59 来源：蒲公英阅读网 本文已影响人

相关热词搜索：白皮书 防火墙 系列

　天清汉马 USG-FW- P 系列防火墙

　 技术白皮书

　二零一六年四月

　目

　录 1

　概述 ................................................................................................................... 错误!未定义书签。

　2

　产品综述 ............................................................................................................ 错误!未定义书签。

　2.1

　产品综述 .............................................................................................................. 错误! 未定义书签。

　2.2

　特点说明 .............................................................................................................. 错误! 未定义书签。

　3

　体系架构说明 ..................................................................................................... 错误!未定义书签。

　3.1

　产品构成 .............................................................................................................. 错误! 未定义书签。

　3.2

　软件结构 .............................................................................................................. 错误! 未定义书签。

　4

　关键技术 ............................................................................................................ 错误!未定义书签。

　4.1

　智能的 VSOS 安全平台 ........................................................................................ 错误! 未定义书签。

　4.2

　高效的整合内容引擎 ........................................................................................... 错误! 未定义书签。

　4.3

　高可靠多重冗余协议 ........................................................................................... 错误! 未定义书签。

　4.4

　事件关联分析技术与归并处理机制 ................................................................... 错误! 未定义书签。

　4.5

　高速深层检测技术 ............................................................................................... 错误! 未定义书签。

　4.6

　非法连接过滤技术 ............................................................................................... 错误! 未定义书签。

　4.7

　智能内容过滤技术 ............................................................................................... 错误! 未定义书签。

　4.8

　基于应用的识别控制 ........................................................................................... 错误! 未定义书签。

　4.8.1

　智能匹配技术 ............................................................................................. 错误! 未定义书签。

　4.8.2

　多线程扫描技术 ......................................................................................... 错误! 未定义书签。

　4.8.3

　应用感控技术 ............................................................................................. 错误! 未定义书签。

　4.9

　精确细致的 WEB 过滤技术 ................................................................................. 错误! 未定义书签。

　4.10

　完备的关联安全标准 ................................................................................. 错误! 未定义书签。

　4.11

　IP V 6 包状态过滤技术 ................................................................................. 错误! 未定义书签。

　5

　产品亮点 ............................................................................................................ 错误!未定义书签。

　5.1

　智能联动，协同防御 ........................................................................................... 错误! 未定义书签。

　5.2

　一键式配置，便捷定义安全级别 ....................................................................... 错误! 未定义书签。

　5.3

　全开启性能，高效应用防护 ............................................................................... 错误! 未定义书签。

　5.4

　支持虚拟计算和复杂的 VPN 组网环境 .............................................................. 错误! 未定义书签。

　5.5

　针对文件类型的细粒度流量管理控制 ............................................................... 错误! 未定义书签。

　5.6

　抗 DDOS 攻击，净化网络流量，提高政务网通信效率 .................................... 错误! 未 定义书签。

　5.7

　支持细粒度数据库访问控制，严防脱库攻击，保证核心数据安全 ............... 错误! 未定义书签。

　5.8

　增强型上网行为管理，信息内容过滤便于管理 ............................................... 错误! 未定义书签。

　5.9

　支持 APT 云防御体系，有效应对未知病毒 APT 高级持续攻击 ....................... 错误! 未定义书签。

　5.10

　可升级开通数据监控审计中心，泄密行为和攻击趋势一目了然 .......... 错误! 未定义书签。

　6

　天清汉马 USG 防火墙产品主要功能 .................................................................. 错误!未定义书签。

　7

　典型组网 ............................................................................................................ 错误!未定义书签。

　7.1

　政府行业 .............................................................................................................. 错误! 未定义书签。

　7.1.1

　电子政务网 ................................................................................................. 错误! 未定义书签。

　7.1.2

　政府专网 ..................................................................................................... 错误! 未定义书签。

　7.2

　教育行业 .............................................................................................................. 错误! 未定义书签。

　7.2.1

　高教校园网 ................................................................................................. 错误! 未定义书签。

　7.2.2

　中/基教教育城域网.................................................................................... 错误! 未定义书签。

　7.3

　企业市场 .............................................................................................................. 错误! 未定义书签。

　7.3.1

　中小企业 ..................................................................................................... 错误! 未定义书签。

　7.3.2

　大型企业 ..................................................................................................... 错误! 未定义书签。

　1 概述 诞生 20 多年来，网络已经在全球经济中扎根发芽，蓬勃成长为参天大树，对各个行业的发展起着举足轻重的作用。随着时间的推移，网络的安全问题也日益严重，在开放的网络环境中，网络边界安全成为网络安全的重要组成部分。在网络安全的术语里，有一个名词叫做“安全域”，其主要作用就是将网络按照业务、保护等级、行为等方面划分出不同的边界，定义出各自的安全领域。举个简单的例子，在 PC 上安装了相关的杀毒软件，PC 本身就是一个最简单的安全域。对于单位用户，安全域往往由若干网络设备和用户主机构成，其边界安全主要在于与互联网的边界、与其他业务网络的边界等。

　防火墙是解决网络边界安全的重要设备，它主要工作在网络层之下，通过对协议、地址和服务端口的识别和控制达到防范入侵的目的，可以有效的防范基于业务端口的攻击。

　天清汉马USG防火墙是北京启明星辰信息安全技术有限公司凭借在信息安全领域多年的经验积累，总结分析用户的切身需求，推出新一代的 P 系列防火墙产品。天清汉马 USG 防火墙采用高性能的硬件架构和一体化的软件设计，除了实现了状态检测防火墙功能，还同时支持 VPN、上网行为管理、抗拒绝服务攻击（Anti-DoS）、内容过滤、AV、入侵防御等多种安全技术，同时全面支持 QoS、高可用性（HA）、日志审计等功能，为网络边界提供了全面实时的安全防护。

　天清汉马 USG 防火墙可直接通过功能许可激活的方式，获得包括防病毒（AV）、入侵防御（IPS）、防垃圾邮件（Anti-Spam）和内网安全功能。

　天清汉马 USG 防火墙产品线丰富，可以为政府、教育、金融、企业、能源、运营商等用户提供所需要的全系列的安全防护产品。

　2 产品综述 2.1 产品综 述 天清汉马下一代 p 系列 USG 防火墙是集防火墙、VPN、上网行为管理 AC、内容过滤、防病毒、入侵防护等多种安全技术于一身，高性能、绿色低碳，同时全面支持各种路由协议、QoS、高可用性（HA）、日志审计等功能，为网络边界提供了全面实时的安全防护，帮助用户抵御日益复杂的安全威胁。

　天清汉马 USG 防火墙采用了一体化的设计方案，在一个产品中协调统一地实现了接入安全需要考虑的方方面面。采用天清汉马 USG 防火墙，可以从整体上解决了接入安全的问题。用户可不必考虑产品部署、兼容性等困惑，也不再因为多个产品难于维护管理而苦恼，天清汉马 USG 防火墙是低成本、高效率、易管理的理想解决方案。

　天清汉马 USG 防火墙产品线丰富，可以为政府、教育、金融、企业、能源、运营商等用户提供所需要的全系列的安全防护产品。

　自从天清汉马 USG 防火墙推向市场以来，很快就凭借其强大的功能和在实际应用中优异表现，赢得了众多机构和用户的广泛赞誉。

　2.2 特点说明 天清汉马 USG 防火墙具有如下特点：

　 完善的 防火墙 特性  支持基于源 IP、目的 IP、源端口、目的端口、时间、服务、用户、文件、网址、关键字、邮件地址、脚本、MAC 地址等方式进行访问控制  支持流量管理、连接数控制、IP+MAC 绑定、用户认证等  支持虚拟防火墙：可以将接口划分给不同的虚拟防火墙，每个虚拟防火墙具有独立的管理员、安全域、资源对象、安全策略、NAT 规则、静态路由等配置  同终端无缝结合：支持同天珣内网安全管理系统联动，将防火墙防御能力推进到桌面终端

　高 高 网络适用性  支持透明、路由和 NAT 模式部署  支持静态路由、策略路由、RIP/OSPF/BGP 动态路由，支持等价路由 ECMP 和加权路由 WCMP，支持组播路由  支持 STP，可以同二层网络设备进行生成树计算  支持 IGMP Snooping，优化在桥模式下的组播流量  支持私有 HA 和 VRRP  支持 IPv6：支持 IPv4、IPv6 双栈运行、静态 IPv6 路由、手工隧道、6to4 隧道和ISATAP 隧道。

　 支持链路聚合，可通过手动方式、IEEE802.3ad 静态 LACP 方式创建聚合链路；通过链路聚合可以增加链路带宽，并起到负载均衡和链路备份的作用  支持 802.11B,802.11G 协议，可以扩展 WIFI 模块以提供 WIFI 接入，支持设备作为 WiFi 热点（即 AP），为客户机提供无线安全接入服务  支持 3G 协议，可以扩展 3G 模块以提供 3G 上行网络接入

　高稳定性和可靠性  产品具有高性能，同时多核之间互为备份，可靠性高  支持私有协议 HA 和 VRRP，实现双机热备和冗余  支持双操作系统和多配置文件，最大支持 10 个配置文件备份

　 全面的 的 VPN 支持  多 VPN 支持：

　IPSec、L2TP、SSL VPN、GRE  丰富的应用：专用 VPN 客户端、USBKEY、动态口令卡、图形认证码  灵活的部署：Hub-Spoken、Full-Mesh、DVPN、网关－网关的 SSL VPN  支持对 IPAD、IPHONE 等移动终端的 VPN 接入

　完善的 上网行为管理功能  采用独立的上网行为管理库，通过互联网实现每周更新。

　 P2P 控制：对 Emule、BitTorrent、Maze、Kazaa 等进行阻断、限速  IM 控制：基于黑白名单的 IM 登录控制、文件传输阻止、查毒；支持主流 IM 软件如、MSN、雅虎通、Gtalk、Skype  流媒体控制：对流媒体应用进行阻断或限速，支持 Kamun ppfilm 、PPLive、PPStream、直播、TVAnts、沸点网络电视、猫扑播霸等  网络游戏控制：对常见网络游戏如魔兽世界、征途、游戏大厅、联众游戏大厅等的阻断  股票软件控制：对常用股票软件如同花顺、大参考、大智慧等的阻断

　强大的日志报表功能  记录内容丰富：可对防火墙日志、攻击日志、病毒日志、带宽使用日志、Web访问日志、Mail 发送日志、关键资产访问日志、用户登录日志等进行记录  日志快速查询：可对 IP 地址、端口、时间、危急程度、日志内容关键字等进行查询  报表贴近需求：根据用户具体需求，定制报表内容、定制报名名称、定制企业LOGO，并可形成多种格式的报表文件。

　方便的集中管理功能  通过集中管理与数据分析中心实现对多台设备的统一管理、实时监控、集中升级和拓扑展示。

　3 体系架构说明 3.1 产品构成 天清汉马 USG 防火墙主要由两部分组成：USG 防火墙设备和天清集中管理与数据分析中心。

　USG 防火墙设备：即部署在网络出口，融合多种安全能力，针对恶意攻击、非法活动和网络资源滥用等威胁，实现精确防控的高可靠、高性能、易管理的网关安全设备。

　天清集中管理与数据分析中心：主要功能分为集中管理功能与数据分析功能，集中管理是对 USG 防火墙设备的集中管理、统一监控和升级中心，通过它可以集中配置、监控和管理所管辖的多台 USG 防火墙设备，并按照一定的规则组织成层次结构，方便管理员对于整网 USG 防火墙设备的监控维护工作；数据分析中心是 USG 防火墙设备海量信息的后台处理中心。主要完成 USG 防火墙设备日志和流量信息的存储、分析、审计和处理功能。

　3.2 软件结构 防火墙作为网关类产品，究竟什么样的软件结构更有利于提升整体性能？那么首先需要知道什么是性能消耗的关键业务单元。启明星辰通过对网关类产品单一分析处理引擎的详细分析和试验验证，得出网关类产品性能消耗 50％来自于模式匹配，25％来自于协议重组、25％来自于报文重组的结论。

　图1. 网关分析处理引擎性能消耗分析 如何融合分析处理引擎，合并性能消耗关键业务单元成为防火墙产品软件结构设计首要考虑的问题。

　基于研究数据，启明星辰在天清汉马 USG 防火墙的软件结构设计上引入了一体化的设计理念。即将防火墙、VPN、内容过滤和流量管理等各项功能的分析处理引擎进行一体化设计，以达到性能最优的目的。

　天清汉马 USG 防火墙本着安全高效原则，采用“ 检测与控制相分离，引擎特征相统一”的一体化设计思想：人机界面、报文接收模块、报文处理模块、报文发送模块和支撑库。网络报文首先通过报文接收模块进行预处理后进入报文处理模块，在报文处理模块，防火墙进行 2－3 层过滤，VPN 负责接入控制；其次模块匹配引擎和行为分析引擎分别根据统一特征库和行为知识库进行匹配查找；最后，对于合法报文直接交由报文发送模块进行报文转发，对于非法报文，送交相应的处理引擎进行处理。整个过程的日志信息和数据流量信息送集中管理与数据分析中心监控和备案，管理中心负责整体的配置和调整。

　4 关键技术 天清汉马 USG 防火墙采用了多种创新技术，为确保多种安全能力的融合，性能的持续恒定起到了重要作用。

　4.1 智能的 VSOS 安全平台 天清汉马 USG 防病毒网关采用启明星辰自主研发的专用安全操作系统 VSOS，该系统参照国际标准，基于完善的体系结构设计，将实时操作系统、网络处理、安全应用等技术完美地结合在一起，具有高效、智能、安全、健壮、易扩展等特点。

　VSOS 面向网络吞吐和安全处理，采用基于组件的多平面架构，整个系统分为控制平面、数据平面、系统服务平面和硬件抽象平面，通过控制平面和数据平面的分离，不同于 Linux，FreeBSD 等通用操作系统追求均衡的方向，集中主要资源于网络吞吐和安全处理，使系统具有极强的实时性和网络吞吐能力。

　VSOS 通过将系统功能与资源管理分别工作在不同的平面，各平面和模块之间共同遵循标准接口函数，使系统具有高度灵活性和可扩展性。

　通过将硬件驱动与资源管理独立为一个单独的硬件抽象平面模块，对上层软件提供统一调用接口，对下层硬件统一定义驱动标准，适应多种不同规格的硬件架构，实现与多种专用芯片的无缝融合，可充分利用从 IXP，PowerPC 到 NP、多核多线程 CPU、内容加速芯片等各种先进硬件平台的优势，使天清汉马 USG 防火墙在性能方面一路领先。

　4.2 高效的 整合内容引擎 天清汉马 USG 防火墙使用高效的 ISE（ Integrated security engine ）整合内容引擎。它将状态包过滤、VPN、IDS、内容过滤、用户认证等多个子系统集成于单一平台，构造统一架构，综合并优化各子系统，去除冗余，简化数据处理流程，实现统一的安全引擎处理机制。

　专用硬件平台VSOS2.6系统平台ISE一体化安全引擎IPSecVPNSSLVPN流量呈现带宽管理主动防御准入认证入侵防护行为管理反垃圾邮件威胁特征库漏洞扫描病毒防护VPN 流量控制 访问控制 应用防护监控 日志 报警 配置 升级 HA CLI 整合内容引擎克服了传统上各个引擎独自为战的缺点，通过高效的引擎集成技术，将各个安全功能有机地整合为一体，状态检测、协议分析机、深度过滤、内容检测等引擎协同工作，对于监测的数据包，一次性拆包即可完成 2-7 层的检测，同时采用基于摘要索引的内容处理加速算法，有效地提高了引擎的处理效率。

　ISE 通过多协议融合分析技术和事件关联再分析技术，综合内容实体，时间因素，提高了安全事件的检测率。

　ISE 采用标准化技术，对内提供统一服务接口，使安全功能易于扩展，充分满足安全需求的快速发展；对外实现安全策略的统一配置，给用户带来可管理的等级化安全。

　4.3 高可靠多重冗余协议 利用电信骨干网可靠性运营维护专业经验，天清汉马 USG 防火墙通过创新的多重冗余协议，在物理层、链路层、网络层、实体层等多个层面实现多元化冗余设计，有效地保障天清汉马 USG 防火墙在用户网络应用中的高可用性。

　 基于多出口负载均衡的链路备份。链路层支持多 WAN 口出口，实现多出口间的负载均衡和备份，任何一条链路的故障瘫痪不会影响网络的正常运行。

　 基于 d 802.3ad 标准的端口聚合。物理端口支持 802.3ad 标准，可实现多物理端口聚合，帮助用户做到“零投资”带宽倍增。

　 基于状态自动探测的双机热备。当主系统发生故障或对应线路的网络故障时，备份机可自动检测并切换到主状态，接管主系统的工作，切换时间小于 1 秒钟。

　 基于状态增量同步的多机集群。支持主动负载均衡、会话保护和接管以及主动配置同步等功能，尤其是采用国内首创的“状态增量同步技术”解决多台防火墙之间的状态一致性问题，实现了业务在多台防火墙之间的平滑任意分布和切换，解决了采用 VRRP 协议和动态路由协议带来的“业务续断问题”，最多可以支持高达 8 台的防火墙集群。

　4.4 事件关联分析技术与归并处理机制 对用户的多个网络行为进行关联，是提高检测精度的有效手段。比如一个用户首先对 HTTP 服务进行了慢速 CGI 扫描，服务端反馈的结果证明其运行了可能含有漏洞的某个 CGI，之后该用户又发送了包含 ShellCode 的请求，从这两次行为分别看，每个都不能绝对的将其界定为恶意行为，如果将两个行为联系起来，则基本可以确定该行为的高风险等级。

　针对大规模的监测系统应用中可能出现一个网络异常行为在多个监测点作为事件报告而形成事件洪流的问题，数据关联性分析模块首次提出并采用了基于统计分析的二次事件分析技术，能够对不同时间、不同地点、不同事件的大量信息进行统一处理，简洁、准确地报告出正确的网络安全事件。

　4.5 高速深层检测技术  高精度应用层协议分析 协议分析是深度检测必不可少的环节，它可以减少特征匹配的计算量，提高匹配精

　度。但是深度的协议分析本身也需要相当大的计算量，如何既保证特征匹配和文件还原所需的分析精确度，又不占用过多的资源，是高速环境下必须面对的课题。我们将主要通过以下两方面来解决这一问题， 1) 基于攻击研究和特征知识库选择分析深度。协议分析不需要的无限制的精细，否则入侵防御系统将变成一个低效的应用代理系统，协议分析应该建立在对网络攻击研究的基础上，对特征知识库中需要的协议信息进行分析，这点的实现关键集中在攻击研究上，软件实现中可通过编译时的条件控制和运行时对特征库进行扫描设置相应开关完成； 2) 高效协议自识别算法。对于非周知端口的通信，需要通过内容识别其所属的协议类型。这一内容识别的过程类似于攻击检测的特征识别过程，可以通过多阶段分析和匹配算法的选择降低计算开销。

　 多模匹配算法选择 由于在一个报文的匹配中，最为耗时的匹配运算是在报文中匹配多个串模式。过去的几十年中学术界提出了若干的多模匹配算法，并且在工业界得到了很好的应用，比如AC 算法、WM 算法在软件检测系统中证明了其优秀的性能。在以往的多模匹配算法通常是在理论分析的基础上，在 IA32 架构和随机数据源上进行实验选择，且算法一经确定就固化在软件中。实际这样得出的算法不能保证在所有的处理器架构和数据源条件下都保证是已知算法中最优的。

　现在在学术界存在多种多串并行匹配的算法，在商业产品中应用较多有Aho-Corasick、Wu-Manber 和 ExB 算法或它们的变种。

　根据研究发现，所有这些算法的性能分析全部是基于理想的存储模型，忽略访存的性能开销。由于存储器速度远低于处理器速度，两者相差一个数量级以上，为避免存储器效能低造成系统整体的效能低下，绝大多数系统采用多级存储结构，增加少量的高速缓存隐藏存储器的性能瓶颈。但是在多串匹配算法中，数据结构非常庞大，并且匹配过程中不断在非连续的地址间跳转，此时高速缓存的命中率大幅下降，不考虑访存开销显然已不能反映各算法在实际应用中的效能。

　实际上不存在一种普适的算法能够在各种情况下都有最佳表现，同样的算法可能在不同的数据源、特征集、处理器结构上性能相差甚远。我们将结合具体的硬件（处理器）架构和匹配规则的分布类型，将其抽象为与匹配算法效能相关的若干关键参数，计算出当前适用的最优算法。具体采用动态和静态两种方式实现自适应选择。如下图， 算法统一调用模块静态特征统计模块静态算法选择决策模块算法调度模块ACBMACBM改进1ACBM改进2WMWM改进1匹配算法库模块自适应配置文件反馈事件队列静态自适应模块动态自适应模块匹配文本规则树配置动态算法选择决策模块动态特征统计模块匹配结果配置管理层面 控制层面 服务层面 图2. 自适应示意图 静态自适应在系统初始化时进行，统计各协议变量特征及相关匹配模式特征，结合备选多模式匹配算法的性能特征，为规则匹配树节点选择最优的多模式匹配算法。控制参数包括处理器类型、主频、Cache Line 长度、L2Cache 容量、存储器时延、最短模式长度、次短模式长度、模式数量、模式字符集大小、同前缀模式数量等等。动态自适应在系统运行过程中采样统计影响算法效率的网络数据，如果统计值显示当前网络数据趋势稳定，则进行动态算法选择，确定是否有大幅超过当前算法效率的算法模块存在，并进行调用。

　 最优规则树 特征匹配的过程不仅包括串匹配，还有对诸如地址、端口、协议类型等等许多协议字段的匹配。为了方便，我们将多个协议字段构成的模式称为多数据类型模式，与上面提到的串模式进行区分，串模式可以认为是多数据类型模式的一个子集。在以往的工作中，我们受 AC 算法的启发，将其扩展到多数据类型模式匹配，即将多个模式中的相同

　协议字段归并，构建一个或多个树型模式结构，达到一次匹配多个模式的目的。

　与串匹配不同的是，多数据类型模式中，每种数据类型的单次匹配开销是不同的，在实际运行中的命中几率也是不同的。同样是树型数据结构，其最佳效率和最差效率相差可能在一个数量级以上，如果能将低命中率、低匹配开销的工作尽可能提前，将会接近最佳的匹配效率。

　4.6 非法连接过滤技术 将系统获取的网络数据按标准的以太数据结构、IP 数据结构、TCP/UDP 数据结构，并进行 TCP 的会话查找，每条会话相对应源和目的 MAC 地址、源和目的 IP 地址、源和目的端口地址、连接次数等。

　将上述所获的网络连接信息放入网络连接知识库中，该缓冲区按照索引标识、源和目的地址进行合并存放，即相同的源和目的地址将该连接的发生次数进行累计计算。

　当某一连接被释放，主动要求释放连接的一端发送 TCP FIN 数据包，监视整个连接的释放过程，如释放正常完成，在知识库中找到相对应的 TCP 会话，将连接发生的次数减 1。这样可以始终保证知识库中存放的是发生频率最高的连接。

　该算法会以 1 秒钟为单位时间，进行流量的统计，如果上 1 秒钟的流量大于事先约定的阀值，那么立即进入流量识别模式，如果连接请求可以在知识库搜索到，则直接放行，并记录放行的数据包数，否则以上 1 秒钟的流量作为样本，计算放行的概率。

　作为拒绝服务攻击的主要手段 SYN Flood 攻击效果尤为显著，通常 SYN Flood 的防范方式为应用 SYN Cookie 机制。它的原理是:在 TCP 服务器收到 TCP SYN 包时，不分配一个专门的数据区，而是根据这个 SYN 包计算出一个 cookie 值，并加载在所回应的SYN/ACK 包中，在收到 TCP ACK 包时，TCP 服务器在根据那个 cookie 值检查这个 TCP ACK 包的合法性。如果合法，再分配专门的数据区进行处理未来的 TCP 连接。

　 4.7 智能内容过滤技术

　内容分析子系统要充分发挥当前处理器所具备的多核能力。一个大的原则就是数据交换过程中尽量避免核间和核内的临界锁以及字符串拷贝，所以数据的生产者和消费者应该使用一个大的缓冲区来交换数据。传统的做法就是把这个缓冲区变成一个环形队列，捕包程序和协议栈程序分别持有一个写指针和读指针，只要两个指针不互相超越就可以。在协议栈单线程的情况下这种方法没有问题，但是在多核情况下，为了充分发挥硬件的计算能力，必须把内容分析过滤子系统多线程化（并行化）。

　但是上述数据交换方式在内容分析多线程的情况下就出现了问题。当协议栈多线程的时候，必须使用专门的线程实现捕包程序捕获的数据包的分发，也就是把数据包分发到相应的线程进行处理。这样问题也就出现了：那个环形缓冲区的读指针不再正确。这是因为，为了避免拷贝操作，分发线程并没有将捕包程序捕获的数据进行拷贝以后再分发，而是直接对其指针进行操作，在这种情况下，分发程序是不知道协议栈什么时候能够分析完成并释放缓冲区的，因而分发程序不可以直接简单增加环形队列的读指针来申明当前缓冲区以消费完成，可以写入新的数据。又由于协议栈分析时多线程同时进行，没有办法确定每一数据包分析完成的时间，这样很难确定环形缓冲区的读指针了。

　为此，天清汉马 USG 防火墙采用了如下的解决方法：依然遵循数据交换的大原则，依然采用大的缓冲区来交换数据，但是对缓冲区的形式作一个变换。最初定义的是直接在缓冲区上定义读写指针将缓冲区当成环形队列使用，现在不同是缓冲区不再是一个环形队列，而被分成了独立的两部分：空闲缓冲区队列和已使用缓冲区队列。注意这里提到的两个缓冲区不是具体的数据缓冲区，而是保存数据缓冲区数据单元指针的指针列表。

　捕包程序在捕获一个数据包之前，从空闲缓冲区队列的头部取下一个空的存储单元（为了提高访问速度，采用内存边界对齐的数据单元，比如说 2k 字节一个单元），将从网卡读入的数据拷贝到这个缓冲区以后，捕包程序将这个缓冲单元挂到已使用缓冲队列的尾部。分析线程在从缓冲区取数据的时候从已使用缓冲队列的头部取下一个数据单元进行消费，消费完成以后直接将这个数据单元挂到待发送缓冲区队列就可以了，这样既避免的锁定，也避免了内存拷贝。而且可以充分利用缓冲区的空间。上述过程构成了本

　方案的多目标分发机制。

　基于多目标分发的多线程连接级并行的内容分析子系统本质上是同时运行多个逻辑上独立的并行内容分析协议栈，结构框如图示。

　存储单元存储单元...存储单元数据捕获系统从空闲队列中取空闲存储单元填充数据以后挂到数据队列上数据分发线程从数据队列中取数据单元数据发送线程将待发送数据发送后数据单元返回给空闲队列内容还原与分析处理线程内容还原与分析处理线程空闲存储单元队列使用存储单元队列索引单元索引单元„索引单元索引单元索引单元„索引单元存储单元 图3. 并行内容分析协议栈 并行协议栈通过一个数据分发器将捕包系统捕获的网络数据包按照 IP 包首的源地址和目的地址对分发到相应的线程进行处理，并通过一个发送单元收集器完成数据单元的发送，数据发送完毕以后将发送单元占用的数据单元返回给空闲存储单元队列供数据捕获系统使用，让捕包系统重复利用这些单元，实现捕包到分析的零拷贝过程。

　每一个内容分析线程均有一个私有的协议栈状态表和两个数据队列索引，其中协议栈状态表是协议栈在进行 IP 协议、TCP 协议已经上层应用协议还原的时候用来保存上下文信息和暂存数据使用，而两个数据队列索引则分别用来存储待分析的数据块和已分析块。这样，任何一个协议栈线程在进行数据操作的时候都不会和其他协议栈线程共享数据块，避免协分析线程间的临界锁，提供整个系统的计算吞吐量。

　此处的多目标分发机制具有如下特点：

　 实现了内容分析子模块从数据分析过滤的零拷贝过程  避免了核间和核内的临界锁，极大的提高了内容分析子系统的计算资源利用率 4.8 基于应用的 识别控制 天清汉马 USG 防火墙系列拥有目前最完善的应用识别特征库，通过智能分析技术，将 P2P、IM、炒股软件和在线游戏等协议的应用行为、加密方式、处理动作等特点整理成库。当流量经过防火墙时，防火墙启动过滤引擎，对流量进行特征值的匹配。当过滤引擎搜索到与之匹配的特征码时，防火墙即可应用智能识别技术进行细粒度控制或一键封锁。

　如何快速而准确地识别各种上网行为，是决定防火墙性能的关键因素。天清汉马USG 防火墙从如下几个方面保障内容识别的高速与准确。

　4.8.1 智能匹配技术 在特征库上的设置上，天清汉马 USG 防火墙按照所有上网行为的特点进行了分类，并对 P2P、IM、炒股以及在线游戏等上网行为设置了不同的特征库。当数据包到达防火墙时，防火墙首先根据用户定制策略将其分配到其对应的特征库管道，如 P2P 下载行为的流量被输送到 P2P 特征库管道，即时通讯的流量则被输送到 IM 特征库管道。流量被分发到相应的特征库管道以后，再由相应的搜索引擎对流量进行扫描。这样既大大减少了搜索引擎检索的时间，又提高了过滤引擎的性能。

　4.8.2 多线程扫描技术 天清汉马 USG 防火墙采用多线程扫描技术，提高了引擎扫描的效率。比如当 BT 数据流和 MSN 数据流同时进入防火墙时，防火墙内容搜索引擎不是在检索完 BT 数据流以后再去检索 MSN 数据流，而是可以同时启动 BT 搜索引擎和 MSN 搜索引擎。两个搜索引擎同时工作而互不影响。这种多线程处理机制同样适用于 2 种以上不同类型的数据流同时经过防火墙的情况，快速提升了搜索引擎的工作效率。

　4.8.3 应用感控技术

　启明星辰新一代P系列防火墙具有与传统的基于端口和IP协议不同的方式进行应用识别的能力，并执行访问控制策略。例如允许用户使用的文本聊天、文件传输功能但不允许进行语音视频聊天，或者允许使用 WebMail 收发邮件但不允许附加文件等。应用识别带来的额外好处是可以合理优化带宽的使用情况，保证关键业务的畅通。虽然严格意义上来讲应用流量优化（俗称应用 QoS）不是一个属于安全范畴的特性，但 P2P 下载、在线视频等网络滥用确实会导致业务中断等严重安全事件。

　 4.9 精确细致的 WEB 过滤 技术 天清汉马 USG 防火墙系列在内容过滤库的处理上力求收集齐全、分类准确、更新及时。通过采用网站全智能搜索引擎技术收集互联网站点，并进行智能分类、人工核验的处理手段。目前天清汉马 USG 防火墙支持 50 多种完善的 URL 类别，分别涉及色情、暴力、赌博、毒品、犯罪、病毒、体育、财经、娱乐等网站分类，这 50 多个 URL 类别库总共包含 1000 万以上特征网站，具有分类全，覆盖面广的特点。另外，由于在互联网上每天都有大量新网站出现，启明星辰通过在线升级的方式，使 URL 库中的网站处于持续的更新状态。

　4.10 完备的 关联安全标准 启明星辰具备完备的关联安全标准即（CSC: Correlative Security Criterion），以“面向业务的安全架构”为技术理念，以“统一安全，立体防御”为设计目标，参照国际标准，系统地开发了安全管理协议、安全联动协议、安全审计协议等协议族，构成了完备的关联安全标准。

　天清汉马 USG 防火墙系列全面支持 CSC 标准，一方面可以保证安全管理中心可以通过安全管理协议全面掌控防火墙的运行，另一方面通过统一的事件格式、事件等级、发送协议，使安全审计中心只要遵从安全审计协议即可以对防火墙的安全事件进行集中、可视化审计。同时，天清汉马 USG 防火墙遵从安全联动协议，可以使主机安全软件，入侵检测等系统以防火墙为核心构建深度安全防御体系，使网络安全从独立、单一防护的安全产品保护发展为立体、全面、动态的防护。

　 4.11 IPv6 包状态过滤技术 虽然 IPv6 在网络厂商应用较为广泛，但在安全厂商中，支持 IPv6 的网络安全产品

　（如防火墙、UTM、IPS 等）还是较少，启明星辰支持 IPv6 功能包括：IPv6 环境下的状态包过滤、静态路由、OSPF 动态路由、FTP、ALG 等基本安全控制，以及 IPv6/v4 双协议栈功能；设备在同一信息安全网络中同时支持 IPv4 和 IPv6 协议的安全控制日渐得到关注。

　 5 产品 亮点 5.1 智能联动，协同 防御 天清汉马 USG 防火墙通过与已部署的防病毒网关、IPS、UTM 等设备联合抓取病毒源、攻击检测源和挂马网站 URL 等特征，汇集至云防御服务器定时收纳合并，云防御服务器动态更新病毒库、攻击特征库、挂马库等并同步到所有启明星辰安全网关设备中，使其他设备具有防病毒、IPS、防挂马等功能，同时使其具备更高的处理性能，共同形成整

　体可信架构云防御体系。

　5.2 一键式配置 ，便捷定义安全级别 专为减轻用户管理负担考虑的一键式配置，实现复杂设备的简单管理，降低用户的管理成本。

　高－高安全等级：可定义严格的安全策略，如：

　 只开通业务系统

　中－中安全等级：可定义较严格的安全策略，如：

　 放宽至 WEB 和 Email 低－低安全等级：可定义宽松的安全策略，如：仅对病毒进行过滤

　5.3 全开启性能 ，高效应用防护 下一代防火墙的全开启应用性能是指同时开启入侵防御和防病毒等主要安全模块后的性能表现，所以想要突破下一代防火墙产品的应用性能瓶颈就必须从优化入侵检测

　引擎和防病毒引擎两部分入手。星辰具有业界领先的入侵检测引擎和防病毒引擎，同时采用 ASIC 硬件架构，使得 USG 防火墙应用功能都打开整体性能下降小于 30%。

　5.4 支持虚拟计算和复杂的 VPN 组网环境 支持 VEPA 协议，可以在云计算环境下实现虚拟机流量牵引过滤,支持同主机不同虚拟机、不同主机不同虚拟机等多种过滤方式；支持基于文件类型的策略路由，能够将预定义或者自定义的文件按照不同的分类进行智能选路；支持服务器负载均衡，要求支持轮流、权重轮流、最少连接、加权最少连接等算法，要求能够采用至少两种方法主动探测服务器的存活状态；完善的 DMVPN，支持隧道接力，并可通过隧道接力实现分级的树状 VPN 结构部署；支持隧道间路由，实现客户端到中心多网址、网段的访问

　5.5 针对文件类型的细粒度流量管理控制 支持基于源/目的 IP 地址、IP 地址段、端口、服务、网口、时间、应用等安全策略的带宽管理；基于主机的带宽管理，支持仅通过一条策略即可实现对指定的 IP 地址组里每 IP 用户进行上下行限速，也可以只对单个 IP 进行上下行限速；支持内、外网口的划分，支持设置虚拟线路，虚拟线路包含多个通道，能实现对每个通道进行流量控制；支持按照电影类型、图片类型、文本类型进行网络流量控制；支持按成人网站、Web 代理、人才招聘、门户网站、报刊杂志等网站分类的网络流量控制；支持对 P2P 下载、P2P视频、即时通讯、网络游戏等应用的网络流量控制 5.6 抗 抗 DDOS 攻击，净化网络流量，提高政务网通信效率 支持 HTTP Flood 攻击防御，能够根据源主机 GET、POST 速率等参数定义防御级别；

　支持抗地址欺骗攻击、抗源路由攻击、抗 Smurf 攻击、抗 LAND 攻击、抗 Winnuke 攻击、抗 Queso 扫描、抗 SYN/FIN 扫描、抗 NULL 扫描、抗圣诞树攻击、抗 FIN 扫描、抗 Fraggle 攻击；支持抗攻击流量清洗，并能够实时呈现攻击流量和感兴趣流量的比例；支持统计网络中攻击类型的比例，图形中能够呈现任意时间节点的攻击类型及每种攻击的攻击数、攻击流量大小 5.7 支持 细粒度数据库访问控制，严防脱库攻击，保证核心数据安全 支持识别 SQL Server、MySQL、Oracle、DB2 等主流数据库，支持禁止数据库登录，并可对数据库的 Create、alter、insert、update、delete、select、drop 等语句进行识别，支持用户名\SQL 指令黑白名单，数据库操作可基于用户、sql 命令、执行结果记录日志；支持协议命令进行识别和控制，支持针对网页正文关键字、附件文件名、恶意JavaScript 代码、BBS 关键字、微博内容及附件关键字等信息进行细粒度控制

　 5.8 增强型 上网行为管理，信息内容过滤便于管理 支持未知网页的自动识别与分类；支持根据用户添加的关键字自动分类未知网页；支持根据用户添加的网址自动分类未知网页；支持允许管理员手工调整智能学习结果；识别和控制常见文档类型的传输，包括但不限于电影类 rmvb、flv、swf 等文件，音乐类 mp3、wma、wav、ogg 等文件，且文档类型和分类库可自定义；协议分析更底层，如支持依据号码自定义白名单，处于免控列表中的号码则不受行为管理的控制

　5.9 支持 APT 云防御体系，有效应对未知病毒 APT 高级持续攻击

　支持多台网关设备（≥1）与私有云的协同工作，网关根据私有云的检测结果对经过网关的数据报文进行实时访问控制，增强网关的病毒检测能力；不依赖于攻击、恶意代码等特征库进行检测，对于未知漏洞攻击、木马、病毒具有检测能力；对于首次未检测到的目标可在后续学习过程中检测到，即能够在不更新特征库的情况下可获得不断增强网关设备的检测能力；支持对 zip、7z、lzh 等压缩文件类型，exe、dll、com 等可执行文件类型，doc、xls、pdf 等文档文件类型，以及用户自定义文件类型实现静态/动态检测

　5.10 可升级开通数据监控审计中心，泄密行为和攻击趋势一目了然 支持对 SQL Server、MySQL、Oracle、DB2、Sybase、Informix 等行为审计记录；支持通过 HTTP、FTP、TELNET 到数据库的行为审计记录；支持数据库操作内容的审计，包括地址、端口、用户名、数据库名、表名、字段名、sql 语句、操作行为、操作结果。支持基于扩展名过滤含指定文件类型的邮件外发行为；支持识别删除文件扩展名的邮件附件外发行为并报警；支持识别篡改文件扩展名的邮件附件外发行为并报警；支持识别附件压缩包内文件类型的邮件外发行为并报警；支持识别附件为加密文件的邮件外发行为并报警。支持 SMTP、POP3 的邮件具体内容；包括主题、正文、附件等；必须能审计用户使用邮件客户端外发 SSL 加密邮件的邮件内容 支持审计用户通过 HTTP、FTP、Email 等方式外发的文件内容；必须能审计记录无后缀名的文件外发行为；必须能将压缩包解压后识别文件类型并记录；必须能对加密文件

　外发行为识别并记录；必须支持 HTTP 的上传、下载的审计记录，包括用户、客户端 IP、MAC 地址、服务器 IP、时间、文件名、主机名等；必须支持 FTP 的上传、下载的审计记录。支持对终端发生的危险行为(木马、间谍软件、垃圾邮件发送)进行统计和报表输出；能统计并输出含有篡改/删除扩展名、压缩/加密后外发文件行为的报表

　 6 天清汉马 USG 防火墙 产品主要功能 网络 适应性 接入模式 支持透明、路由、混合三种工作模式 支持 DHCP Client、DHCP Relay、DHCP Server 支持多透明桥，支持端口聚合 支持PPPoE接入，并具备自动断线重连技术，支持多路ADSL拨号，充分利用网络资源，整合带宽 路由 支持静态路由，动态路由，VLAN 间路由，单臂路由，组播路由等 支持基于源/目的地址、接口、Metric、服务的策略路由 支持 200 个以上的路由表、30000 个以上的路由策略选择 ISP 智能选路 内置 ISP 地址列表，可轻松完成基于 ISP 的策略路由 NAT 支持双向 NAT、动态地址转换和静态地址转换，并支持多对一、一对多和一对一等多种方式的地址转换 IPV6 网络 支持 IPV6 穿越，可轻松适应电信 IPV6 及大学实验室 IPV6环境 VLAN 支持 802.1Q 和 ISL VLAN 封装协议，支持两种封装的互换以及 Vlan Trunk 带宽管理 基于 IP 地址、服务、网口、时间等定义带宽分配策略 支持最小保证带宽和最大限制带宽，支持分层的带宽管理 动态协议 各种工作模式下均支持 H.323（H.323 GK）、SIP、FTP、MMS、RTSP、XDMCP、TNS 等多种动态协议 服务器负载均衡 支持多台服务器负载均衡，并且支持服务器健康检查机制 支持轮询、加权值、最小连接、源/目的地址 Hash、局部性最少链接等算法

　访问 控制 状态检测 基于源/目的 IP 地址、MAC 地址、域名、端口或协议、服务、网口、时间、用户的访问控制 基于源/目的 IP 地址、端口、服务、网口、时间、应用等安全策略的带宽控制 可基于时间和安全域进行安全隔离，同一时间内网主机只能访问 DMZ 区或者只能访问外网 透明代理 实现基于策略的 HTTP、FTP、TELNET、SMTP、POP3 等透明代理和深度过滤 IP/MAC 绑定 实现 IP/MAC 地址绑定，且支持 IP/MAC 地址对的自动探测和唯一性检查 用户认证 支持基于客户端的本地认证、无客户端软件的 WEB 认证，并支持 Radius 等第三方认证 内置动态令牌认证服务器，支持基于动态令牌的双因子认证 VPN IPSec VPN 支持标准 IPSec 协议，能够与 CISCO、NETSCREEN 等知名厂商的 VPN 设备互联互通 支持预共享密钥、证书等认证方式且支持动态口令等扩展认证 支持多出口 VPN，且支持 NAT 穿越 支持隧道接力，并可通过隧道接力实现分级的树状 VPN 结构部署 GRE/PPTP/L2TP 支持 GRE、PPTP 、L2TP 等 VPN 连接 SSL VPN 包含 10 个免费并发用户许可 支持压缩，缓存、协议优化等应用加速技术,提高访问速度 支持用户...