《联想网御KingGuard防火墙白皮书.doc》由会员分享,可在线阅读,更多相关《联想网御KingGuard防火墙白皮书.doc(61页珍藏版)》请在三一办公上搜索。
1、KingGuard万兆产品白皮书 Leadsec-KingGuard V2.0l 电信标准,稳定可靠:符合电信标准、通过欧洲CE安规和电磁兼容认证l 超强性能,海量并发:单台可满足210万用户规模的网络出口安全防护l 智能选路,适合国情:是多网络出口智能选择、负载分担、冗余备份的解决方案l 带宽管理,丰富高效:多达2万用户的流量控制,百种应用的流量控制l 流量清洗,抵御攻击:支持提取攻击证据和多种抗攻击算法,同时算法进行优化l 流量可视,一目了然:支持立体三维图表统计,帮用户了解应用流量分布、一目了然l 接口模块,灵活匹配:多达48个千兆光电接口的灵活匹配,具备4个万兆接口目 录1引言11.1
2、多核芯片的划时代意义11.2建立通用安全平台的重要性与必要性41.3KingGuard诞生的重大意义52产品架构62.1硬件结构形态62.2软件整体框架73产品特色93.1电信标准,稳定可靠93.2超强性能,海量并发93.3智能选路适合国情103.4带宽管理丰富高效113.5接口模块灵活匹配114技术优势144.1电信级网关硬件设计144.2通用安全网关平台(VSP)技术144.3WindRunner矩阵式并行处理技术154.4绿色环保网关节能技术164.5SmartRoute智能路由技术174.6精细化带宽控制技术174.7高可靠性集群技术174.8高性能异常流量清洗技术185主要功能205
3、.1工作模式205.2网络连接205.3防火墙功能215.4抗攻击能力265.5内容过滤295.6VPN功能295.7QoS功能355.8证书管理375.9高可靠性385.10调试手段395.11安全管理426产品规格447部署方案457.1桥接模式457.2NAT模式457.3多出口选择模式467.4主备模式477.5负载分担模式478运行环境/标准499典型应用509.1高校509.2IDC539.3小区宽带5510产品殊荣5711产品图示5812公司简介591 引言1.1 多核芯片的划时代意义随着网络的发展,人们对网络设备性能和丰富业务特性的要求越来越高,如何解决这个问题?要解决这个问题
4、,很自然地首先会想到提高硬件处理能力。回首硬件处理器发展的历史,我们不难总结出人类追求硬件高性能的轨迹。n 提高单处理器的主频处理器主频、内存访问速度以及IO访问速度的发展十分不平衡。处理器的主频每两年就要翻一番,内存访问的速度要每六年才能提高一倍,而IO访问的速度要提高一倍的话需要八年的时间。IO访问发展的滞后性导致了很大的性能瓶颈,单纯依靠提高处理器主频来提升整个系统的性能会造成投资的浪费,因为大部分时间CPU都在等待内存或者IO访问的返回才能继续下一步的工作。高频单核处理器的高功耗导致不适合大量集中使用,因为在系统设计时,要提高处理器主频,功耗是必须考虑的问题。性能功耗比(Perform
5、ance Per Watt)对于整个系统的设计非常重要。n 网络处理器网络处理器是更加接近ASIC的处理器,设计者期望其能够达到或接近ASIC的性能,同时又提供灵活的编程能力。但是由于受限于一定的微码空间,网络处理器一定程度上降低了整个系统对于修改或者升级等需求方面的响应速度,同时也限制了复杂应用的设计。n 多核多线程处理器从用户角度看,他们真正需要的是一种编程简单,针对市场需求升级容易,而且能提供强大吞吐量的产品。于是多核多线程处理器就是在这样的一个市场需求背景下诞生的。多核处理器的诞生来自于在追求提高主频时无法解决的散热问题。之所以需要多核,这是由技术局限性所决定的。之前,一直坚持芯片不断
6、小型化的路线是不断提高主频,如今已经能够达到4GHz。但因为处理器的电路“线宽”正在不断地减少,进入到纳米级。一个芯片上可以集成将近10亿个的“晶体管”,但是散热却成了大问题。芯片中的电路越来越小,芯片中的电流非常容易泄露到其他电路上。电流泄露使芯片的能耗将增长30% ,它还会使芯片温度过高和不稳定。设计既降低能耗,又能运行更快捷的处理器芯片成为工程师亟待解决的问题。 多核技术于是为工程师们打开了另一扇门把更多的CPU压在一个芯片当中以提高整个芯片处理交易事务的能力。以双核为例,就是在一块CPU基板上集成两个处理器核心,通过并行总线将各处理器核心连接起来。“根据功耗的公式,功耗是与电压的平方乘
7、以频率的数值成正比的。而电压又是与频率成正比,所以功耗是与频率的3次方成正比。当要求处理的二进制比特数越多,计算速度越快的时候,电压自然就要求越高。所以,这个时候,要控制功耗,就要降低核的频率。所以,在这样的情况下,用增加核的数量,降低每个核的频率来解决散热问题,这便成为一个解决问题的方案。目前业界比较成功的多核芯片要数RMI和Cavium两家公司。那么为什么说多核技术是处理器实现高性能、高吞吐率的惟一解决方案?1) 从“核”的角度现在业界普遍认为,多核多线程是解决内存及IO延迟的唯一可行方案。比如RMI公司XLR产品系列的多线程技术可以充分的利用访问内存或者IO时所必须等待的时间来达到高性能
8、。举例来说:假如XLR处理器Core0中的vCPU1在某一时刻对内存进行读操作,由于内存比CPU要慢得多,所以vCPU1需要等待该读操作的返回,在这个时候,Core0中的vCPU2假如处于就绪状态就可以立刻执行,如果vCPU2也遇到访问外设或者内存的操作,那么Core0中的vCPU3或者vCPU4就可能会被调度执行。由于每个vCPU都具有各自独立的寄存器组,所以调度切换十分高效,从而尽可能的发挥了CPU的处理性能,屏蔽了访问慢设备所需等待的时间。2) 内部总线内部总线的设计对于一个芯片的性能影响是非常大的,而对于具有多核的SoC处理器就更为重要了。因为各个核之间,核与外部接口之间的通讯效率对系
9、统的整个性能至关重要。比如XLR采用了RMI公司独特的FMN(Fast Message Network)技术用来把XLR中的多个核、多个网络接口、DMA、安全引擎连接起来。FMN是64bit宽度的消息环,带宽核的主频64bit. (举例:1.5Ghz的XLR,FMN的带宽为96Gbps)。FMN可以使得各个核,核与接口(网络接口,安全引擎,DMA)之间在同一时间各自并行的传递数据,避免了通常的总线所必须的“仲裁”阶段,使得效率极大的提高。XLR中的内存分布互连技术(Memory Distributed Interconnect,MDI),采用点对点方式(无需仲裁),提供最大3.84Tbps的带
10、宽。3) 硬件加速引擎一般多核芯片都会集成一些针对比较耗费资源处理的硬件加速引擎。比如XLR内置的网络加速器可以对从网络接口进入XLR的数据包进行高速预处理。拿以太网包举例,XLR的网络加速器可以对以太网包2层、3层、4层的内容进行辨析,提取特征串,自动完成校验和验证,把包DMA(Direct Memory Access)到内存,构造以太网包描述符(Descriptor),然后可以基于多种策略把以以太网描述符快速均衡的分流到指定的vCPU。整个过程自动完成,不需要CPU的参与。XLR内建的安全引擎,硬件支持AES,DES/3DES,SHA-1,SHA-256,MD5算法,可以提供10Gbps的
11、加密解密运算能力。所以,多核多线程是未来处理器的发展方向。回首处理器的发展历程,并行技术从指令级的超标量发展到线程级的超线程或者并发多线程,再到今天处理器级的多内核,整个过程历历在目。Intel、 Sun、IBM等大公司目前已经投身到多核或者多线程技术的浪潮之中。当今的网络应用日趋复杂,对性能的要求不断提高,无论是需求推动技术,还是技术激发了新的需求,并行技术都将是未来信息基础设施建设的必然选择。以XLR为代表的多核多线程技术,必将给信息基础设施的高速发展带来新的动力。1.2 建立通用安全平台的重要性与必要性然而,对于通过多核多线程技术来满足追求高性能的需求,在业界看来,可能会是一条艰辛的路。
12、因为仅仅突破硬件工艺、技术的难题,对于整个系统的性能提升是远远不够的。还必须从软件角度考虑多个处理器的运行和使用模式,多个核之间的资源调配就成了提高效率的关键。在目前的算法条件下,还没有很好地控制两个以上处理器合理调配资源的方法。这并非因为无法实现更好的算法来充分调配处理器资源,而是因为目前多核处理器的算法普遍相对比较简单。算法无法知道具体的可用资源,并且因为成本问题没有充分考虑硬件搭配的一些意外情况,因而,以“同类”思想考虑的处理器在面对“异类”运算时就会变得效率低下,这在遇到特殊应用情况时会更加明显。 如何充分利用多个核的资源,如何有效调配多个核的资源就成为软件重点需要解决的问题。对于网络
13、通信设备,则更加关心的是提升网络报文处理能力。另外,处理器发展如此之快,软件如何适应?是不是每出现一款新的或者性能更高的处理器后,所有的软件都得重写或者移植修改?显然,答案是否定的!联想网御及时地把握了多核处理器给业界带来的划时代意义和机遇,也迎接了多核处理器给软件方面带来的巨大挑战。而且,目前的硬件架构多种多样,有传统的单核架构,有效率比较低下的SMP(Symmetrical Multi-Processing)架构,现在又出现所谓的CMP(Chip multiprocessors)多核架构,即使是多核架构,在各个芯片厂商在设计、特性方面都千差万别,网络设备提供商面对这样的情景怎么办?是针对每
14、款芯片都开发一套软件吗?是针对每种类型的硬件架构都开发一套软件系统吗?显然,这些方法都不合适。联想网御面对这一发展趋势,全力打造了一个面向网络安全的开发平台VSP(Versatile Security Platform),重点解决三个问题: 有效地调度多核资源来显著提升网络处理性能; 对数据报文进行高效的并行处理; 适应各种类型的硬件架构和多家厂商的多核芯片,上层软件无需做任何修改就可以运行; 方便与第三方合作,VSP平台提供很好的与第三方合作的机制,合作方不需要深入了解VSP的体系结构,就能够在VSP基础上进行开发。VSP平台在硬件、软件、管理三个方面都实现平台化,秉承稳定与效率并重的思想,
15、已为联想网御的产品发展做出了突出贡献,并使得联想网御的各方面技术能力得以沉淀,已经成为联想网御的核心竞争力。1.3 KingGuard诞生的重大意义联想网御安全网关金刚KingGuard是迄今为止业界处理性能最高的万兆安全网关产品,它首创在信息安全产品中应用矩阵式并行计算系统Windrunner,并填补了国内电信级万兆骨干网络安全防护产品的空白。 KingGuard安全网关以多核多线程平台为硬件基础,通过Windrunner矩阵式并行计算系统,建立在联想网御通用安全开发平台VSP基础上,网络处理能力可达40Gbps,可同时为2个万兆核心骨干网络做集中的安全防护,有效解决了目前10G网络无法得到
16、安全防护的问题,使网络管理员能够及时排查核心骨干网络安全问题,大大降低了网络维护成本。2 产品架构2.1 硬件结构形态联想网御安全网关全金刚系列采用了创新的新一代网络安全架构,硬件平台采用了64位高性能低功耗的多核多线程处理器(单颗高达32vCPU),CPU、内存、网络接口都是挂载在一个称之为FMN(Fast Message Network)的高速消息通道上,消息带宽可达到96G,满足外围设备与CPU高速交换数据的要求。同时系统还集成了专用的安全加解密引擎,支持AES、3DES多种算法,支持HT/PCIX总线接口,可以外接各种插卡。KingGuard安全网关在产品上分为KingGuard 90
17、00和 KingGuard 8000两大系列。KingGuard 9000(如下图所示),采用框架式硬件结构,机箱为标准的4U ATCA机箱,可支持2块可热插拔的数据业务板,板间可通过机箱背板进行数据交互。每个数据业务板上支持1块业务控制卡(含USB接口、console/aux口、面板灯、四千兆电口)、两块可热插拔的SPM卡(支持10口千兆或万兆卡)、双冗余可热插拔电源、可热插拔机箱风扇、可插拔除尘板。KingGuard 8000 (如下图所示),采用标准的2U电信级标准机箱,板载1块业务控制卡(含USB接口、console/aux口、面板灯、四千兆电口)、两块可热插拔的SPM卡(支持10口千
18、兆或万兆卡)、支持双冗余可热插拔电源、可插拔风扇和除尘板。 2.2 软件整体框架联想网御安全网关金刚KingGuard,软件架构采用联想网御自主研发的专用安全软件平台VSP V3.0版本,整体架构如图所示:n 控制平面(Control Plane)为VSP提供设备管理、认证计费、信息输出等服务。n 数据平面(Data Plane)数据平面是关系整个系统网络处理性能的关键部分。数据平面专门负责数据转发、安全过滤业务处理,TCP/IP协议栈的2、3、4层均在数据平面进行处理,每个CPU均实现了ipv4、IPV6、MPLS引擎,可以并行处理网络数据包。n 系统服务平面(System Service
19、Plane)主要为控制平面和数据平面提供统一的系统服务接口,如内存管理、文件系统管理、设备管理等。n 硬件抽象平面(Hardware Abstraction Plane)负责对各类硬件接口进行支持。3 产品特色3.1 电信标准,稳定可靠联想网御安全网关金刚KingGuard采用了电信级网关硬件设计技术,从每一个细节保证产品的稳定特性。超高性能的防火墙产品,通常都部署于高流量的骨干网络,因此其稳定性至关重要。有鉴于此,KingGuard安全网关自设计之初,就从硬件到软件,将稳定性的考虑贯彻到了每一个细节。在硬件设计上,KingGuard安全网关采用了电信级网关硬件设计技术。业务板、网络接口卡、电
20、源、风扇、防尘网均可随意热插拔;机箱内部环境温度受到实时监控,在内部环境温度过高时,能实时报警和启动保护措施;即使是一个小小的电源,也综合运用了冗余备份、交直流不停机切换、防掉线、防电源线反接、防雷、防过压、防过流、滤波等多项稳定性细节设计。在软件设计上,KingGuard安全网关贯彻了联想网御的MRP(Multi-Layers Redundant Protocol)多重冗余协议,全面支持对端口冗余、链路聚合、双机热备、状态同步、负载均衡和多级集群等技术的综合应用。KingGuard安全网关的无故障运行时间(MTBF)高达30年以上,有效的免除了客户的后顾之忧。即使是在技术最为要求苛刻的欧洲,
21、KingGuard安全网关仍然轻松的获得了欧洲CE认证,可以畅行无阻。3.2 超强性能,海量并发KingGuard安全网关拥有40G吞吐量、1000万并发连接数,每秒新建连接40万的惊人性能,超越市场上常见的高端防火墙近10倍,即使与国外厂商的最高端产品比较,仍然技高一筹,是国内市场上最高性能的防火墙产品。多核多硬件线程架构、深度过滤硬件加速引擎和矩阵式平行处理等国际最先进技术的成功应用,令KingGuard安全网关即使面对海量数据,仍然游刃有余。KingGuard安全网关最高可以同时配置4个万兆网络模块,并同时工作,是真万兆防火墙产品;而非只能提供多个千兆接口、无力支持万兆接口的“万兆级”防
22、火墙产品。与此同时,对于部分高端用户而言,虽然尚无万兆网需求,但是其应用具有超高并发(如大型门户网站)或者大流量下复杂应用(如高校出口)的特征,传统的高端千兆防火墙由于受到并发连接、特别是新建并发连接数性能的局限,在这种环境下无能为力,而KingGuard安全网关高达1000万的并发连接性能和40万的每秒新建连接,有效地填补了这一空白。3.3 智能选路适合国情在有多条运营商接入的用户,KingGuard安全网关能够根据目的地址,自动选择速度更快的运营商链路进行访问。需要使用KingGuard安全网关的高端用户,通常对于业务可用性都有极高的要求。在网络接入上,很多用户都采用了多运营商的接入方式来
23、提高网络可用性。而中国网络的一个独特现象是,当访问者和被访问服务器使用不同运营商网络时,由于访问数据流需要绕行不同运营商的网络交换中心,访问速度会大幅下降。仅仅只有多根运营商接入链路是不能解决这个问题的。例如,尽管用户A和服务器B都在同一个省,但是A的接入提供商为电信,B的接入提供商为联通,此时A到B的访问很有可能要绕行北京的电信和联通的交换中心,从而严重地影响了访问速度。当用户A采用了电信和联通的双接入链路时,在通常情况下,从A到B的访问会部分采用联通线路,部分采用电信线路,造成内部访问速度的不平衡。而采用了KingGuard安全网关后,当A访问B时,网关能够智能的分析出B属于联通网络,而将
24、所有的访问都通过联通的接入链路进行,从而大大的提高了访问效率。3.4 带宽管理丰富高效KingGuard安全网关既能够针对用户也能够针对应用进行高效率的带宽管理。KingGuard安全网关综合采用了CAR(Committed Access Rate,约定访问速率)、FIFO(First In First Out,先进先出)、PQ(Priority Queuing,优先队列)、CQ(Custom Queuing,定制队列)、WFQ(Weighted Fair Queuing,加权公平队列)、HSQ(hiberarchy Shared Queuing,分级可共享队列)、RED(Random Ear
25、ly Detection,随机早期检测)、WRED(Weighted Random Early Detection,加权随机早期检测)等多重算法对带宽进行高效精准的管理。既可以针对用户进行,例如设置某部门或者某IP的带宽限制,也可以针对应用进行,例如对网络中的WEB访问、P2P下载、实时通讯等流量进行带宽限制。可以有效地帮助用户规划网络资源。为了更充分发挥网络的使用效率,KingGuard安全网关还提供了独特的分层可共享带宽管理机制,首先对带宽进行分层管理,确认每用户/应用的带宽,然后在网络有闲暇时,需要使用的用户/应用可以借用其他用户/应用的带宽,实现带宽资源的共享和充分利用。3.5 接口模
26、块灵活匹配KingGuard安全网关可以支持从4个万兆接口到48个千兆接口的接口组合,适应不同用户的网络情况。KingGuard9000系列提供8个固定千兆接口和4块扩展接口版。每块扩展接口板上,可以提供1个万兆接口,或者10个千兆光电接口的任意组合下表为 KingGuard9202常规接口组合表。万兆口千兆电口千兆光口48038103180282021810228018301182012810138008400183002820038100480以上为常规组合,实质上,根据客户需求,各种接口完全可以任意搭配。例如我们也可以组合出诸如2个万兆,17个千兆电口,11个千兆光口这样的特殊接口组合。
27、或者留一块接口板不插,组合出诸如0个万兆、18个千兆电口、20个千兆光口这样的特殊组合。KingGuard 8000系列产品为4个千兆电口和2块扩展接口版。每块扩展接口板上,可以提供1个万兆接口,或者10个千兆光电接口的任意组合。其常规接口组合为:万兆口千兆电口千兆光口240141011400420014100240当然也能够通过接口板上的接口组合,提供诸如0个万兆接口、7个千兆电口、17个千兆光口这种特殊组合形式。4 技术优势4.1 电信级网关硬件设计联想网御安全网关金刚KingGuard是联想网御继2005年推出多NP架构万兆防火墙以来的第二代万兆级安全产品,采用世界领先的多核多线程处理,
28、KingGuard安全网关产品上所有的电容、电感等材料全部选用业界工业级最高规格的产品,以确保整个产品的高可用度。同时为了满足电信设备高可靠性要求,采用模块化设计,硬件上,电源、网络接口、风扇、数据业务板等重要组件均支持热插拔,电源支持双冗余交流电源(或直流电源);在软件设计上,KingGuard安全网关所有功能模块化设计,同时支持联想网御的MRP多重冗余协议,全面支持对端口冗余、链路聚合、双机热备、状态同步、负载均衡和多级集群等技术的综合应用。KingGuard安全网关支持实时监控系统温度和系统健康状态的功能,并支持异常自恢复功能。KingGuard安全网关发现温度超过预警温度时自动报警,温
29、度超过最高额定温度时会自动关机几分钟降温后自启动;监控系统健康状态,当检测到系统宕机,两分钟内会自动重启系统,恢复系统的正常运行。KingGuard安全网关整机经过科学建模和结构化设计,除了保证高效率通风降温之外,还有效的屏蔽了电磁辐射。凭借出色的硬件设计,KingGuard安全网关获得了欧洲CE安规和电磁兼容认证。4.2 通用安全网关平台(VSP)技术KingGuard安全网关采用了联想网御自主研发的专用安全软件平台VSP(Versatile Security Platform)。该平台以国际标准为参照,基于先进的体系结构设计,集实时操作系统、网络处理、安全应用等技术于一身,具有高效、智能、
30、安全、健壮、易扩展等特点,是联想网御网关类产品使用的通用平台。VSP面向网络吞吐和安全处理。不同于Linux、FreeBSD等通用操作系统对均衡问题的处理方法,它通过对控制平面和数据平面的分离,将主要资源集中于数据平面,然后进行网络吞吐和安全处理,从而使系统具有极强的实时性和网络吞吐能力。VSP借鉴微内核设计,基于消息机制,仅将最基本的操作系统功能置于微内核中,而将其余服务和应用程序都放在微内核之上,以确保任何服务和应用的问题都不会造成整个系统的崩溃VSP将对硬件的支持模块化、抽象化,以适用多种硬件平台、多种硬件架构的需求。采用VSP平台技术的安全产品可以很方便的移植到多个硬件平台上,而上层软
31、件无需修改,满足用户不同要求与定位的产品需求。4.3 WindRunner矩阵式并行处理技术联想网御安全网关金刚KingGuard采用高性能的多核架构(即一颗芯片上集成多颗CPU处理器),为了实现多种安全功能的高性能,KingGuard安全网关采用了国内首创的WindRunner矩阵式并行处理技术,WindRunner将多颗CPU排成矩阵,在对网络数据流进行策略匹配、抗攻击、内容过滤、加解密、QOS、日志等多项业务处理时,采用并行计算和流水线两个维度进行并行处理,确保了高安全的前提下的高性能处理。KingGuard安全网关的单块接口板最高处理性能可到达吞吐速率20Gbps和每秒20万的新建连接
32、速率。4.4 绿色环保网关节能技术联想网御安全网关金刚KingGuard在节能、减排、无铅化上使用了多项绿色技术,是全新一代的绿色安全网关。它采用完全RoHS技术,通过联想网御的RoHS设计、绿色供应链系统、化学物质管理体系确保产品绿色环保达标。在架构上KingGuard安全网关采用了高性能低功耗的多核架构,单块接口板吞吐性能可达20Gbps,但电源功耗却远远低于传统IA架构网关。KingGuard安全网关还采用了自主研发的网关安全节能技术Power-Safe,通过对安全网关的温度高低、风扇转速、CPU利用率、网络流量的实时监控,通过降低风扇转速、调低CPU电压、关闭利用率不高的CPU等方法,
33、有效降低安全网关实际运行中的能源消耗,达到节能减排的目的。4.5 SmartRoute智能路由技术联想网御安全网关金刚KingGuard为了满足多出口网络的需要,采用了集支持多ISP智能选路技术、多出口负载均衡/备份技术、策略路由技术、静态路由技术等多项路由技术于一身的SmartRoute智能路由技术。多ISP智能选路技术是在系统内预置了多家ISP的地址方案,可针对不同的出口设置ISP方案,当内网用户访问外网时,安全网关可以根据目的地址选择正确的ISP出口,提高访问速度。多出口负载均衡技术可以针对不同出口设置权重,系统在选择流量出口时进行负载均衡,充分利用已有的带宽资源。多出口备份技术是将多个
34、出口线路之间设定备份关系,当主出口线路发生故障时,可以在短时间内将网络流量迁移到备份出口线路上,从而达到线路冗余的目的。4.6 精细化带宽控制技术联想网御安全网关金刚KingGuard可以对网络进行精细化的带宽控制,其主要采用的技术主要包括应用协议识别、按应用协议对流量进行管理、实时流量监控。联想网御经过多年的技术积累,已经掌握了近千种应用协议特征,尤其是对国内特有的一些应用,如Thunder(迅雷)、eMule(电骡)、eDonkey(电驴)、bitComet、QQ、PPlive、PPStream等应用协议可以有效识别。根据源地址、目的地址、服务、时间等条件设定不同的流量控制策略,对网络中大
35、量的P2P流量进行合理的限制与规划,对于视频会议系统、邮件等关键业务的带宽进行有效的保障。通过实时查看网络流量分布趋势图、分布图等,满足用户多种流量监控的需求,为网络管理员进行流量管理提供有力的依据。4.7 高可靠性集群技术联想网御的高可靠性集群技术采用自主研发的高可用性专有协议LSRP(联想网御冗余协议LeadSec Redundant Protocol)实现,支持双机热备(Active-Standby)和负载均衡(Active-Active)两种模式。LSRP协议提供了一套完整的HA解决方案,具有以下特点:n 集群( Cluster)特性:集群中所有节点协同工作,对用户来说可以看成一个运行
36、的整体。n 优秀的高可用性: LSRP技术包括链路冗余协议以及设备/链路失效探测协议,并且支持多种网络拓扑结构的HA系统,保证了即使突发性的节点离线或者周端设备失效,网络仍然可以正常通信,并且整个过程对用户来说是透明的。n 主动的负载均衡技术:使防火墙用户不需要外加价格昂贵的负载均衡器,多个安全网关设备采用VRRP协议协同工作,进行网络负载均衡;n 配置同步: 管理员可以手工进行各集群节点的配置同步,当有新节点加入集群时,会发送要求同步配置的信号给集群中的主节点,主动进行配置参数的同步。另外,在集群正常运行过程中,管理员对任一集群节点配置进行的更改,都会实时的传递给其他节点,保证了各集群节点配
37、置保持一致。n 会话保护:安全网关在运行过程中关键业务数据,如会话信信息等都需要实时地同步到其他节点,这样保证了即使突发性的集群节点离线或者周端设备失效,现有的会话也不会丢失,而是快速、平滑地迁移到其它可用节点上。n 路径监控:路径的连通是影响HA状态变迁的重要条件,HA路径监控可以实时监控集群中节点设备的连接状况,一旦发生变更HA状态在1秒钟内发生变迁,保障网络连通高可靠性。4.8 高性能异常流量清洗技术联想网御安全网关金刚KingGuard可对应用型攻击、流量型攻击、普通常见型攻击、蠕虫型攻击、常用黑客工具攻击五类攻击进行有效抵御和清洗。其实现的主要采用报文频率统计、攻击报文特征匹配、SY
38、N代理等技术,同时结合Windrunner并行处理技术,充分发挥多核架构的性能优势,使得KingGuard安全网关具有较高的异常流量清洗能力,满足电信、政府、教育等对网络中病毒、拒绝服务攻击等异常流量的需求。KingGuard安全网关对网络异常流量的清洗支持串接和旁路两种方式,旁路方式采用Detector和BGP流量迁移技术,Dector发现网络中的异常流量后,将包含有异常流量通过BGP路由迁移到KingGuard安全网关上,在清洗掉异常攻击报文后KingGuard安全网关将正常流量回注到网络,采用旁路方式部署,可以有效减少网络的单点故障风险。5 主要功能5.1 工作模式n 支持路由、透明、混
39、合工作模式KingGuard安全网关的所有接口都可以工作在三种模式,包括路由模式、透明模式和混合模式。通过把接口加入到桥接口中,很方便地实现混合模式转发。n 支持策略路由、静态路由、动态路由与单纯依照IP报文的目的地址查找路由表进行转发不同,策略路由是一种依据用户制定的策略进行路由选择的机制。KingGuard安全网关的策略路由通过与PCP(报文分类策略,Packet Classify Policy)关联,支持基于到达报文的源地址、地址长度、协议、接收接口等信息,灵活地指定路由。一条策略路由由报文行为和报文路由表两部分组成,检查报文运行行为是否允许后,查找路由的路由表。同时,支持OSPF、BG
40、P等动态路由。5.2 网络连接KingGuard安全网关作为网络设备,具备下列网络功能:n IPv4转发n DHCP Server/Client/Relayn NTP Server/Clientn PPPoE Server/Clientn 802.3ab链路聚合n 802.1Q VLAN5.3 防火墙功能KingGuard安全网关作为网络安全网关,防火墙功能主要包括:会话管理L2协议透传地址转换NAT 访问控制连接数控制应用层网关ALG 服务器保护探测本机安全保护黑名单IP/MAC绑定日志告警图表 1防火墙功能列表n 会话管理“会话”或者“连接”对于网络安全网关来说,是非常重要的资源,也是状态
41、防火墙产品最核心的基础功能之一。对于状态的检测,KingGuard安全网关支持非状态检测、状态检测、严格的状态检测三种方式。1. 非状态检测: 传统的基于单包的检测。2. 状态检测:不考虑TCP会话的转换过程,只要规则允许即创建状态。3. 严格的状态检测:TCP会话必须从syn开始,遵从TCP的状态转换过程,并且检查序列号(只在握手阶段)。另外,对于状态的检测,如果会话已经建立,但是安全规则由于某种原因发生了变化,此时安全规则是否对已经建立会话的连接生效,不同的安全设备做法不一。本系统支持以下两种模式,用户可以自由选择。1. 规则优先,即规则一旦发生变化,对已建立的会话,也会立即生效;2. 状
42、态优先,即规则发生变化, 只影响新建会话,对原有会话不受影响。缺省情况下,系统是规则优先。n L2协议透传为了使得KingGuard安全网关能够适应多种组网环境,对于接收到的非以太网报文,默认情况下是丢弃的,但是用户可以配置让某些协议报文透传过去。目前支持的透传协议如下表所示。ipxpuppupatx25bpqieeepupieeepupatdecdna_dldna_rcdna_rtlatdiagcustscararpatalkaarp8021qipv6ppp_discppp_sesatmmpoaatmfateedp2802_3ax25802_2snapddcmpwan_ppplocaltal
43、kppptalktr_802_2mobitexcontrolirdaeconethdlcloopmplsmpls_mc图表 2透传协议列表另外,用户还可以自己定义某种协议,使得KingGuard安全网关能够透传此协议报文。n 地址转换NATKingGuard安全网关提供源地址转换和目的地址转换功能。1. 支持静态NAT2. 支持动态地址NAT3. 支持网络地址端口转换NAPTKingGuard安全网关除了提供通常的NAT功能外,具有以下两个重要特点。1. 在端口发生冲突的情况下,用户可以设置是否允许进行端口信息的修改;2. 地址转换使用的地址池中的地址,分配方式支持轮询、HASH映射和加权。这
44、对于目的地址转换特别有用,可以比较方便的实现服务器负载均衡。n 访问控制基于IP地址、服务端口、IP协议、物理端口、DSCP值、IP优先级、TOS值、TTL值、ICMP类型、分片状态、TCP状态、时间等安全策略,实现状态包过滤。n 连接数控制连接数控制兼有统计和控制两种功能,一方面可以针对目的地址和源地址对其已建立连接的数目进行统计,另一方面可以通过设定阈值来限制连接的数目。n 应用层网关ALGALG(Application Level Gateway,应用层网关)主要完成对应用层报文的处理。通常情况下,NAT只对报文头中的IP地址和端口信息进行转换,不对应用层数据载荷中的字段进行分析。然而一
45、些特殊协议,它们报文的数据载荷中可能包含IP地址或端口信息,这些内容不能被NAT进行有效的转换,就可能导致问题。目前,KingGuard安全网关实现ALG的应用层协议包括: FTP(File Transfer Protocol,文件传输协议) H.323(包括RAS、H.225、H.245),一种多媒体会话协议 H.323 GateKeeper , H.323协议的一个组件 SIP (Session Initiation Protocol),一种常用于VOIP业务的应用层信令控制协议 RTSP(Real-Time Streaming Protocol,实时流协议) MMS (Multimedi
46、a Messaging Service, 多媒体短信服务) TNS(Transparance Network Substrate,一种Oracle数据库语言) TFTP(Trivial File Transfer Protocol,简单文件传输协议) PPTP(微软提供的一种二层VPN协议) XDMCP(UNIX/Linux 下Xwindows使用的协议)n 服务器保护探测在网关后面通常会放置大量的服务器,KingGuard安全网关能够探测到这些服务器是否还处于存活状态,甚至能够探测到服务器的某个TCP服务端口是否存活。n 本机安全保护安全网关往往在保护网络安全方面做了很多的努力,但是很多的安
47、全设备往往忽略了本身的安全性问题,比如安全网关提供的ssh、dhcp等服务,如果不加以控制,很容易受到攻击。对此,KingGuard安全网关在这方面做了细致的安全策略控制。默认情况下,KingGuard安全网关不提供任何本机服务,用户可以限定某些主机可以访问KingGuard安全网关的某些服务比如PPPoE服务,也可以限定接入的物理接口。n 源IP地址黑名单KingGuard安全网关的源IP地址黑名单功能可实现根据报文的源IP地址进行过滤禁止。n IP/MAC绑定IP地址的修改非常容易,而MAC地址存储在网卡的EEPROM中,每块网卡的MAC地址是唯一确定的。因此,为了防止内部人员进行非法IP盗用(例如盗用
