RG-WALL2000高端千兆防火墙手艺白皮书

周全剖析防火墙手艺现状的基础上，叙述防火墙手艺

宣布时间：2009-09-25
点击量：
点赞：

分享至

我想谈论

1 RG-WALL2000防火墙简介

RG-WALL2000是一种针对大型企业与电信服务运营商而设计的业界领先的集成多种清静功效的千兆线速硬件防火墙。

得益于立异的系统结构、定制化芯片、内置于芯片中的深度内容扫描器以及TCP/UDP/ICMP 状态包过滤器，RG-WALL2000系统可以在提供强盛的清静功效并维持300万个并发毗连地情形下，依然能够对差别巨细的包坚持千兆线速吞吐能力。其功效包括防火墙、基于IPSec 的VPN，内容过滤，应用代理等。

这些特征使得它可以为大型企业和服务提供商的网络提供清静防护服务。使用条理化软件系统中的应用代理和入侵检测系统，RG-WALL2000系统可以为网络系统提供应用层的防护能力。

RG-WALL2000清静系统还提供了具备优异兼容性的高性能IPSec VPN，在使用HMAC-96-MD5/SHA-1、3DES-CBC 认证、加密算法并选择ESP封装协媾和隧道模式的情形下，RG-WALL2000系统也能够提供200M的吞吐量。使用RG-WALL2000系统，IT管理职员能够以较低的总体拥有本钱在网络系统中快速、简朴地安排会见控制、VPN以及入侵防御能力。

1.1 功效特征

维持300万个并发毗连的情形下，依然能够对64-1518字节巨细的包坚持千兆线速吞吐能力。

拥有集成多重清静功效的专用芯片，其功效包括状态包过滤、内容检查、VPN等功效。
支持快速反应的网络入侵攻击检测，硬件数据处置惩罚和数据流统计日志，有力阻止网络攻击。

拥有高度兼容性的内置硬件IPSec VPN引擎，并支持NAT穿越。

支持站点到站点，移动用户接入等多种VPN组网方法，知足用户对VPN的应用需求。

能顺应与支持种种网络情形，如桥、路由、混淆以及VLAN模式。

支持P2P,IM应用的控制

支持RTSP、H.323、IRC、MMS、FTP、SQLNet、PPTP等多种动态端口协议，充分知足企业要求。

支持动态路由、战略路由，充分知足企业需求。

为服务质量（QoS）提供准确与无邪的带宽管理：每个以太网络接口可设置四个行列，控制粒度为1Kbps。

系统的管理平台和网络数据处置惩罚平台疏散，系统管理设置不影响系统的网络性能，而网络负载也不影响系统的管理设置，因此在提供高性能的同时也包管了系统管理的可靠性。

秒级双机热备切换，包管网络会见控制一连运行。

提供周全又轻盈的管理系统：支持串口管理，以及基于SSL的Web、SSH等管理方法。

1.2 产品规格

特征	RG-WALL2000
物理特征	尺寸	42644089 (mm)
	重量	11.5kg
	机架式	是
	电源	220v, 0.8A，双电源备份
系统	接口	4 10/100/1000 4SPF
		1 个 console
		2 个 10/100 FE (备份口)
	网络处置惩罚器	应用清静ASIC+通用CPU
	操作系统	SEC OS（专用清静操作系统）
	电源	双电源热备
	显示LCD	五键控制
	系统升级	可以远程或外地设定
网络模式	桥	支持
	路由	支持
	混淆	支持
	NAT	SNAT, DNAT, NAPT(MIP,VIP)
	备份	双机热备份
性能	防火墙吞吐量	8Gbps
	最大并发毗连数	300万
	最大新建毗连速率	每秒100,000 个
	VLAN数目	128 （每接口）
	VPN 硬件IPSec 隧道数	1000
	VPN 吞吐量 ESP隧道模式	3DES-CBC:200 Mbps; DES:400Mbps; AES: 400Mbps
	数据包延迟时间	5-13微秒
网络特征	路由协议	静态路由, RIP, OSPF,BGP
	战略路由	支持
	VLAN	802.1Q
	IP地址获得	指定，或者DHCP
用户认证	用户数据存储	外地数据库
	Triple AAA	支持
远程数据库（Radius）	认证方法	用户名/密码；一次性口令；智能卡（可�。�
远程数据库（Radius）	管理员分级	管理员、审计员、操作员

特征	RG-WALL2000
日志与监控	日志	外地数据库，日志服务器, SYSLOG
	外地存储容量	闪存容量达128MB
	审计	可凭证要求定制盘问
	告警方法	电子邮件，LCD显示
会见控制	包过滤	硬件支持
	状态包审查	硬件支持
	应用代理	Email, FTP, HTTP, Telnet
	内容过滤	URL, 邮件过滤,KeyWord过滤
	会见控制规则管理	以应用组分类管理
	支持的动态端口协议	RTSP, H.323, IRC, MMS, FTP, SQL*NET, PPTP
	P2P,IM应用控制	BT,Edonkey,mute,QQ,MSN,YahooMessage,AOL
VPN	IKE	RFC 2408, 2409, 2412
	Ipsec	RFC 2401, 2402, 2403, 2404, 2406
	IPSec模式	隧道模式，传输模式, AH, ESP, AH+ESP
	Ipsec/IKE穿越NAT	支持
	加密算法	DES, 3DES, AES
	认证算法	MD5, SHA-1
	移动用户接入	支持
	点到点VPN	支持
	对端动态IP地址	支持
证书	证书名堂	X.509 V3
	证书作废列表名堂	X.509 V2
	证书验证	外地
入侵检测	SYN Flooding, UDP Flood, Ping Flood, UDP Scan, TCP Scan (TCP SYN Scan, TCP FIN Scan, TCP X’mas Scan), Ping Sweep Jolt2 Attack, Land-based Attack, Teardrop Attack, Ping of Death Attack, Smurf Attack, ARP Attack(APR Spoof, ARP Flood)	支持
流量管理 (QoS)	最大频宽	支持
	包管频宽	支持
	优先级	4 级
	管理粒度	最小1Kbps
	QoS设定	以用户、以应用划分

特征	RG-WALL2000
性能监控	CPU使用率	支持
	内存使用率	支持
	会话资源使用率	支持
	接口流量监控	使用率, 偷换率, 平均包巨细, total packets transferred, total dropped
	防火墙规则流量监控	每规则处置惩罚数据包的累计
	VPN 流量监控	目今VPN数目, 以每隧道的数据盘算
装备管理	CLI	外地串口，SSH
	Web	支持SSL
	SNMP	支持标准SNMP v2/v3
	MIB库	标准MIB

2 RG-WALL2000架构

2.1 架构综述

在防火墙产品设计领域中，主要划分为以下三种：基于x86的软件防火墙，基于NP(网络处置惩罚器)的硬件防火墙和基于ASIC(专用集成芯片)的硬件防火墙。

基于x86的软件防火墙 -- 软件防火墙通过通俗CPU来运行清静程序。所有数据流都通过硬件总线中止由软件TCP/IP协议栈来处置惩罚。由于每一次硬件中止都需要分享正在运行清静应用程序的CPU资源, 因此整个防火墙系统会变得缓慢。

基于NP(网络处置惩罚器)的硬件防火墙 -- 此类硬件防火墙使用网络处置惩罚器来提供种种数据传输和清静应用功效。由于现在的网络处置惩罚器都为快速转发数据而设计，因此当内置许多清静应用程序的时间系统的整体性能就会下降许多。

基于ASIC(专用集成芯片)的硬件防火墙 — 此类硬件防火墙使用专用的ASIC芯片来实现数据转发和种种清静功效，ASIC芯片及其富厚的硬件资源包管了防火墙具有无与匹敌的高性能。同时, 此类防火墙的高可编程系统结构也能很好地顺应现在动态转变的网络清静要求。

2.2 基于ASIC的硬件

RG-WALL2000是一个定制的基于ASIC的硬件防火墙。它由一颗高度可编程的专用集成芯片和一个周全的清静软件客栈组成。因此，RG-WALL2000不但抵达了清静功效的要求，并且提供了高性能的处置惩罚能力。

2.2.1 ASIC芯片的主要功效有：

状态检测

路由或桥模式数据转发

会见控制战略

敏感字内容匹配

带宽管理

服务分类

由于其功效系统与管理系统疏散，因此系统管理不影响网络数据流的处置惩罚事情。其硬件架构特点包管了对任何长度数据包的千兆线速处置惩罚能力。

RG-WALL2000内置了周全的清静软件客栈。该软件层包括：

友好易用的Web UI 控制界面

97国际自主开发的清静shell 下令行，包括种种设置下令

定制的清静内核

面向审计/日志的syslog内核

2.2.2 系统架构

RG-WALL2000的设计理念接纳面向工具要领，以在奇异的管理架构内抵达简朴，无邪与周全为目的，而又不失清静性。

在清静与性能之间寻找平衡点总是安排IT系统的一大挑战。RG-WALL2000使用立异的系统架构已抵达最高清静性而又不影响优越的性能。

图2-1显示了系统架构，该架构外接以太网卡，DDR 和SDRAM；所有的以太网MAC (媒体会见控制) 均内置于Sentinel芯片内，因此削减了古板网络接口卡要领所带来的手艺和资金本钱。网络数据流尽可能在Sentinel处置惩罚器中举行直接处置惩罚，而管理和控制系统则在软件系统中实现。同样，数据平面也可借助PCI 接口把数据或报告传送至管理平面。

图2-1 给出了种种清静功效在系统差别部分中的漫衍情形。从图2-1可以看出，在ASIC部分包括三个主要的功效�？椋�

Ethernet MAC。

这部分处置惩罚数据与以太网物理层的传输。

智能防御系统(IntelliDefense System) (美国专利待批)。

这个部分主要是会见控制与数据流划分功效�？�，能够对数据包举行实时包头内容匹配，状态检测，会话管理，以及基于敏感字的深度内容过滤，还能通过使用ACL(会见控制规则列表)来增强清静战略管理。同时，可以举行数据流管理，QOS，以及告警、数据统计等功效。

VPN处置惩罚引擎。这个部分提供了IPSec VPN处置惩罚能力（接纳3DES与AES加密算法）。
它使用一组有很高并行处置惩罚能力的RISC核阵列，若是修改RISC处置惩罚器里的微码，就能来顺应差别协议，从而抵达最大的无邪性。它也支持隧道模式的IPSec VPN(AH/ESP/AH+ESP),并支持NAT穿越。RG-WALL2000的VPN处置惩罚引擎是一个自力的基于硬件的功效�？�，并且有很好的兼容性，能够同NetScreen,Cisco等产品实现互联互通。该处置惩罚引擎也可以对IKE协商后建设的SA举行管理。

从图2-2可以看到主要的网络会见控制、路由转发和VPN处置惩罚功效都在ASIC内完成，上层软件部分则处置惩罚管理界面、应用代理、清静战略映射、IKE、SNPM协议栈、告警数据库等管理和高层应用功效。在通过Sentinel系统驱动把指令写入ASIC后，管理系统或应用代理便能凭证应用需求控制系统的数据平面。

为坚持千兆线速处置惩罚能力，ASIC 的会见控制与数据转发功效�？槭褂昧肆魉吆筒⑿写χ贸头Ｊ忠�，从而包管了防火墙在开启所有功效�？�，且处置惩罚一千个IPSec VPN 隧道时，性能也不会下降。

所有查表运作都使用一种类似于TCAM的手艺，以确保处置惩罚时间且不受表格巨细影响。纵然有300万并发毗连，仍能实现千兆线速的性能。

由于每一个包的处置惩罚时间牢靠，因此数据平面内的数据包处置惩罚延迟时间也是牢靠的，且不受规则或并发毗连几多的影响。经由测试，小包（64字节）的延迟时间是约莫5微秒，而大包（1500字节）是13微秒。其它差别长度数据包的处置惩罚时间均在此规模中。
使用ASIC硬件作为清静平台的焦点，RG-WALL2000能够在重大应用情形中坚持全天候千兆线速性能。

2.2.3 内置的硬件清静协议处置惩罚引擎

图2-3 给出了这个处置惩罚引擎在ASIC中的位置以及它与路由、会见控制�？橹涞墓叵�。我们可以看出，由于VPN处置惩罚引擎现实上是旁路于整个路由、会见控制路径的，以是VPN�？椴换嵊跋炻酚伞⒒峒刂撇糠值拇χ贸头Ｐ阅�。

当发送的数据包需要举行IPSec处置惩罚时，清静战略就会剖析数据包并将其路由到内部VPN处置惩罚引擎中，加密后的密文包和明文包都要经由路由、会见控制�？榫傩惺莸幕峒刂坪吐酚勺�。同样，吸收的密文包举行IPSec处置惩罚也不会降低防火墙的性能，由于密文包在解密之前就会在硬件平台中举行分类，并转发到IPSec引擎中处置惩罚，而不会梗塞明文包正常的会见控制和路由转发处置惩罚。

现在的RG-WALL2000版本，整个IPSec VPN处置惩罚引擎在接纳3DES算法时其数据处置惩罚能力可高达200Mbps，而接纳AES算法时可高达400Mbps。VPN主要用于将网络清静毗连延伸至Internet或其他公共网络，因此VPN引擎主要通过WAN口来处置惩罚数据。一样平常情形下，大大都大型企业(拥有2万左右个员工)的现代化IT网络一样平常具有155M ATM毗连带宽用来会见互联网，因此，150M的3DES VPN性能足以知足种种企业的VPN应用需求。

2.2.4 简朴易用的管理系统

在数据清静的指导原则下，对装备、系统的清静战略管理是决议清静手艺能否准确实验的要害因素，提供简朴易用又可靠的清静管理要领是防火墙/VPN网关产品必不可少的。 RG-WALL2000内部的管理系统分成三层，如图2-4所示。

最底层是设置服务器，认真将设置数据写入到ASIC或系统内核；中心层提供一个统一的设置界面，将Web或下令行指令转达给设置服务器；最上面一层是用户使用的下令行和Web设置页面。

思量到要对网络装备和网络清静战略举行统一管理，RG-WALL2000提供了基于SNMP和SOCKET两种远程管理方法。用户可通过SNMP或者SOCKET接口，通过97国际发的管理平台亦可对 RG-WALL2000举行管理。

3 RG-WALL2000特征详解

3.1 超强性能

3.1.1 千兆线速吞吐能力

近年来随着网络手艺的普及，各人已经熟悉到网络清静的主要性，防火墙的安排已经不再局限于用于广域网络界线的防护。内部差别子网之间的会见控制也已成为网络管理员重点思量的问题。由于千兆交流机、路由器、服务器与网卡的日益普及，与不需要太高处置惩罚能力的广域网络接口相比，企业内部网络有着更高的处置惩罚能力需求。

别的，企业也正朝着IT集中化的偏向生长，这就要求防火墙具有千兆线速性能来处置惩罚内部网络焦点节点上的数据流，而不会成为整个网络性能的瓶颈。

如图3-1所示，可以很清晰地看到，在种种长度包的情形下，RG-WALL2000能够对双向数据流实现100%千兆线速转发。

帧长	及格率(%)	(01,01,01) to (01,01,02) (包/秒)	(01,01,02) to (01,01,01) (包/秒)	总共
		1GB -1GB	1GB -1GB
64	100.00	1488095	1488095	2976190
128	100.00	844595	844595	1689190
256	100.00	452899	452899	905798
512	100.00	234962	234962	469924
1024	100.00	119732	119732	239464
1514	100.00	81486	81486	162972

3.1.2 具备领先的低延迟性能

在全球网络装备市场中，由于网络多媒体应用（尤其是基于IP的语音和视频应用）越来越盛行，VoIP装备市场也正在强劲增添。而多媒体应用区别于古板的邮件/Web等数据营业最主要的一点，是对网络延迟和颤抖的要求越发严酷。防火墙作为网络中的要害会见控制装备，其在执行会见控制的同时必需包管对种种巨细包的网络延时足够短清静稳，才华知足企业的现实应用需求。

从业界著名的出书物可以查到，差别的防火墙产品(例如种种硬件防火墙)测得的包延时一样平常能够坚持在数十个毫秒，而不幸的是，现有的其他许多防火墙产品只能够维持在数百毫秒的水平，甚至一些号称是千兆线速的防火墙包延时竟然也在100毫秒以上。云云大的包延时在网络多媒体应用中是绝对无法接受的。

要解决防火墙所面临的多媒体应用要求与包延迟太大的问题，RG-WALL2000以其新颖的系统架构接纳流水线设计、并行查表和并行处置惩罚手艺，抵达了如图3-2所示的低延迟。

从图3-2可以看出，Smartbits测试的Store & Forward延迟时间对差别的包巨细基本上都坚持在5微秒以内，Cut Through时间偏大，是由于大包占用的传输和收发时间较长。因此，RG-WALL2000能够知足语音/视频应用关于网络延迟的要求。

Frame Size	Rate Tested(%)	(01,01,01) to (01,01,02) (us)-CT	Average (CT)	(01,01,01) to (01,01,02) (us)-S&F	Average (S&F)
		1GB -1GB		1GB -1GB
64	100.00	5.0	5.0	4.5	4.5
128	100.00	5.9	5.9	4.9	4.9
256	100.00	6.3	6.3	4.3	4.3
512	100.00	7.5	7.5	3.5	3.5
1024	100.00	12.5	12.5	4.4	4.4
1518	100.00	16.7	16.7	4.6	4.6

3.1.3 最大并发毗连数

并发毗连数是指防火墙对大都据流的处置惩罚能力，是防火墙能够同时处置惩罚点对点毗连的最大数目。它反应出防火墙装备对多个毗连的会见控制能力和毗连状态跟踪能力，因此该性能指标直接影响防火墙所能处置惩罚的最大信息量，是电信运营商/ISP/IDC/教育网运营商为大宗用户提供服务所依赖的要害手艺指标之一。

在软件防火墙或基于NP的防火墙中，每一个互连功效�？槎夹枰峙梢恍┠诖婵占淅创娲⑹�。典范的基于Linux开发的防火墙，每个数据包所需的内存是300字节左右，支持100万并发毗连所需的内存空间为2.24G字节。但现实上现在市场上还没有一款能提供凌驾2G内存的防火墙产品。

RG-WALL2000的数据平面接纳流水线和并行处置惩罚手艺，在流水线操作中每个数据包会凭证差别处置惩罚需求使用差别的�？�。现实上，一个毗连的保存是由于这个毗连的数据包获得某一条规则的允许，不然也没有须要建设毗连。因此在毗连表中并不需要存放数据包的IP地址或端口资料，由于这些资料可在规则里找到。

经由上述剖析，RG-WALL2000接纳了hash和片上RAM等手艺，使其能在较小的存储空间存储300万的并发毗连。同时 RG-WALL2000在查表方面接纳了类似TCAM的手艺，以抵达牢靠的查表速率。这样，包管了不管是检测一个毗连照旧一百万个毗连的信息，数据包都能在预知的牢靠时间内得随处置惩罚。这也是RG-WALL2000在任何应用情形下都能坚持千兆线速处置惩罚能力的一个主要因素。

3.2 防火墙�？�

3.2.1 电信级防火墙的管理与功效系统的设计

硬件防火墙需要通用CPU或网络处置惩罚器来处置惩罚数据流或举行系统管理。若是洪水攻击爆发在一个网口而吞没所有的资源，将大大削减系统管理的质量。在这种情形下，管理员将无法通过网络或串口来会见防火墙。而此时管理员却最需要审查日志和统计信息。

思量到电信用户对服务质量的苛刻要求，电信装备一样平常接纳管理系统和功效系统疏散的方法来包管装备的可管理性和可运作性。 RG-WALL2000在设计时切合该项要求，主要系统功效由Sentinel ASIC芯片处置惩罚，而少量管理事情由主机的CPU来完成。

同时，管理接口与备份接口都直接同管理系统相连，岂论网络怎样忙碌，管理员都能随时获取系统内数据传输的状态。

3.2.2 基于智能防护系统 ( IntelliDefense System ) 的周全防火墙功效

基于Sentinel的RG-WALL2000有一套统一的防火墙功效，并以多层清静防护模式实验。它集中了基于内核的应用代理来预防应用层威胁，基于硬件的状态过滤引擎来过滤TCP/UDP/ICMP包，和高速的硬件内容过滤引擎动态/静态检测数据包，以搪塞 L4 至 L7的威胁。这些功效在设计时都被确保能支持线速处置惩罚能力。

3.2.3 支持动态端口协议以支持企业IT应用需求

网络应用的融合是通讯业界追求的久远目的。随着基于IP的多媒体应用的生长，如VoIP, Netmeeting以及种种P2P的即时通讯工具，许多企业都倾向通过安排基本的网络来融合、处置惩罚数据和语音/视频通讯。

但大多诸如Skype等的P2P系统，以及大多媒体应用标准，都是由IETF 和ITU 这样的国际标准化组织凭证国际的网络情形而界说的,并不适合没有足够公用IP地址的地区，也跟企业防火墙安排NAT来共享一两个公用IP的战略相冲突。

再者，多媒体通讯应用都倾向使用动态端口协议，使用一个IP地址但动态占用差别端口，这就使企业安排网络会见控制更为重大。通过防火墙控制此类应用与协议，网络管理员不可简朴地为这些应用翻开响应的端口，由于这样做会危害网络清静。

为解决这个问题，RG-WALL2000为使用动态端口协议的应用提供特殊的支持。虽然数据平面的数据处置惩罚操作主要在ASIC芯片中完成，但RG-WALL2000的操作系统能协助ASIC芯片剖析应用协议，并加入完成如为某些应用翻开响应端口、修改数据字段允许多媒体通讯等防火墙功效。通过这些调配数据平面和管理平面的机制，RG-WALL2000为企业综合的网络应用提供了一种很好的网络架构情形。

RG-WALL2000支持RTSP, H.232, IRC, MMS, FTP，也支持用于Oracle数据库的动态协议SQL*NET，以是企业网络完全可以使用动态端口与自己的Oracle服务器相连。

3.2.4 最小至1Kbps粒度的流量控制与服务质量

当点对点通讯的需求量总和凌驾了网络现有的带宽时，网络节点能够管理与知足种种应用需求的能力就显得至关主要了，这也是QOS手艺保存和生长的基础。

随着企业越来越依赖基于网络的种种应用，包括要害信息系统如VoIP和视频聚会等，网络应用对网络的服务质量提出了详细的要求指标：最小延迟，最小颤抖和包管带宽。因此作为网络中的一个控制信息流的要害装备，防火墙必需能够对差别应用举行带宽管理。
QOS，点对点应用不可缺氨赡功效要求，并非单唯一台防火墙装备所能包管的，若是没有其他清静装备的配合，防火墙无法做到对延迟与带宽的包管。因此在设计防火墙的时间一定要从网络焦点的角度设想，思量到所有需要。有一点必需一定，若是防火墙自己的数据吞吐能力不可维持线速，延迟时间大而又不敷稳固，那么防火墙无论接纳什么样的行列分类算法、公正调理算法都将无法包管QoS的准确实现。

RG-WALL2000由于拥有“全天候”的线速处置惩罚能力，低至5微秒的延迟并且差别包的颤抖时间不凌驾20%，因此它具备了对流量举行管理的基础条件。同时，借鉴了焦点路由装备在行列管理方面的履历，RG-WALL2000也为系统管理员提供了无邪的管理机制，以准确的分类提供包管带宽和最大带宽。在每个端口上 RG-WALL2000提供了4种差别的优先级行列，从而能够知足企业将应用分为实时营业、要害营业、非要害营业、非营业类数据品级的需求。

在分类上， RG-WALL2000能够凭证源MAC, TOS, 数据包长, IP协议, 源和目的IP地址, TCP标记(ACK, RST, SYN, FIN), TCP源和目的端口, VLAN标记, VLAN用户优先级等信息对数据流举行分类.因此管理员可以很是细腻、利便的界说哪些应用应该具有高的优先级，包管几多带宽等。管理员界说好应用及其对网络服务的要求后，剩下实现服务的事情即可由 RG-WALL2000来完成。

在行列管理方面， RG-WALL2000充分借鉴了高端路由交流装备的行列管理结构，在物理接口上执行流控制管理，从而包管数据能以稳固的延迟时间举行转发。 RG-WALL2000为每个物理端口提供了4个差别优先级的行列，每个行列的深度凭证公正行列算法和用户设置举行分派，从而阻止低优先级、但高带宽需求的应用（如FTP，EMAIL）无法被知足，也充分提高了高优先级、小带宽应用（如VoIP）对行列的使用效率。

为安排包管带宽和最大带宽，RG-WALL2000提供了最小1Kbps带宽管理粒度，网络管理员能有用地安排带宽管理，从而包管企业名贵的带宽资源能够被准确的应用。

若是企业安排了1000Mbps网络交流情形，那么DMZ和LAN区域一样平常的事情线速都是1000M，但WAN区域一样平常不可能提供1000M线速的带宽，以是经常造成DMZ/LAN与WAN之间带宽的冲突。因此RG-WALL2000必需能凭证种种应用差别的优先级来管理企业的数据流。凭着其线速处置惩罚能力，稳固且低至5微秒的延迟，以及细腻的带宽管理能力，RG-WALL2000可为企业整体网络的QOS提供优异的管理平台。

3.2.5 基于状态的包过滤

RG-WALL2000能维护上层协议的毗连状态，因此它能预防那些专门使用基于会话的协议误差而形成的攻击。

凭证每个TCP/UDP/ICMP 数据流的状态，是要接纳转发，扬弃照旧NAT等，来决媾和执行相关的指令，都是在ASIC芯片上实验，不动用CPU资源。剩下为IPv4所界说的无毗连状态数据流，将遵照设置的规则而路由到主机CPU。

3.2.6 深度内容过滤

RG-WALL2000的ASIC芯片内置一个内容匹配引擎（CME）。此引擎能从Layer-2至Layer-7，并基于包执行深度内容匹配。它也能在软件的协助下，执行动态内容匹配。CME 更能实时执行这些功效，又不影响线速。

3.2.7 基于MAC 地址的规则

在内网，用户的IP地址可以利便地举行改变，关于这种情形基于IP的规则往往无法笼罩。因此接纳基于不易改变的MAC 地址，更为可靠。

3.2.8 颇具特色的抗攻击功效

RG-WALL2000能在硬件内为源自Layer 2 至Layer 7的头信息作磨练和执行模式匹配，且一次能匹配128个字节，垂度为16个字节。即，RG-WALL2000一方面能快速地磨练多至144个字节（128 + 16 = 144）的头信息，另一方面也能匹配详细的新闻头（从1到128字节长度的可编程序署名/模式字串），并能在效果上执行逻辑运算。

CME也能把统一流的数据包拼合，从而阻止把署名漫衍到多个小包的应用层攻击。在互联网情形，基于芯片内的CME分担通用CPU的事情来预防一些已知的攻击。

RG-WALL2000除了防御常见的攻击手段，如：SYN FLOODING、UDP flood、Ping flood、UDP Scan、TCP Scan(TCP SYN Scan、TCP FIN Scan、TCP X'mas Scan)、Ping Sweep Jolt2 Attack、Land-based Attack、Teardrop Attack、Ping of Death Attack、Smurf Attack、ARP Attack(APR Spoof、ARP Flood) 之外，还能侦探动态端口的攻击。

而逾越用户所界说的不寻常运动则会在硬件内被检测到，从而维持线速，掩护网络。

3.2.9 应用代理软件在优化的系统空间运行

有一些代理功效能在维持线速性能的情形下在主机内核OS运行。RG-WALL2000支持此类代理如FTP, HTTP, POP3, SMTP, 和TELNET，以及执行某些过滤功效如限制FTP使命里的 GET/PUT 指令。RG-WALL2000实验的透明代理包管其性能。

3.3 清静无邪的管理方法

RG-WALL2000支持下令行和Web两种管理方法，而在Web上使用SSL可以包管管理历程的清静性。若是使用下令行，可以直接通过串行接口接入或通过SSH从远程登录下令行界面。
为了包管管理的清静性，用户可以设定只允许从某些主机才华会见RG-WALL2000举行管理。这个特点可以避免从不清静区域来举行防火墙的管理。

RG-WALL2000提供了切合业界标准的SNMP接口，以利便第三方的网络管理系统监测。

3.4 简化管理的模板与又名设置

管理“会见控制规则列表”一直以来都是网络管理员使命最重的部分，也是最容易造成人为过失的地方。RG-WALL2000中提供了模板和又名设置，以预先界说管理工具，再界说有关会见控制的要领，使管理员的事情变得越发轻松。该功效允许管理员在最先设置规则之前首先界说需要管理的工具，譬如将几台PC命名为一个组，或给予几台服务器差别的名称，在界说会见控制规则的时，即可直接引用这些工具，而不必记着这些工具的IP地址、子网掩码、需要提供服务的端口号等内容。

使用模板看法，管理员可将规则分划为差别种别，然后界说怎样把已分类的规则和差别组名毗连起来。

3.5 具备双机备份

作为一个高速千兆线速的产品，RG-WALL2000主要应用在大型企业的焦点网和电信城域网，因此关于装备的可靠性要求很高。

RG-WALL2000首先通过奇异的功效与管理系统疏散的手艺手段提高它的可靠性，同时为管理系统提供双机热备份功效。这样管理系统的后端通讯不会因两台RG-WALL2000装备有差别处置惩罚状态而受影响。

并且 RG-WALL2000为后端信息提供了2个自力的10/100M 以太口，这个接口直接挂接在管理系统，以确保两个RG-WALL2000系统在举行实时同步处置惩罚。为确保后备装备的清静，主装备将会使专心跳机制来更新, 证实和加密信息。备份装备则一直的感应主装备的状态，如它的链接状态，端口运作状态，OS状态等参数来决议是否有任何异常状态。一旦发明主装备事情状态泛起异常，那么从系统将在秒级时间内接受网络系统。

3.6 RG-WALL2000 IPSec VPN�？�

3.6.1 周全、兼容的协议支持

RG-WALL2000对切合RFC标准界说的AH，ESP，AH＋ESP协议举行了优化，同时能无邪地应用隧道模式。而基于VPN与IKE的软件（主机OS的IPSEC）也让用户能执行RFC界说的 IPSec 套件以及远程VPN拨号毗连服务器。再者，RG-WALL2000与其它IPSec产品优异的兼容性也已获得周全验证。这种优异的兼容性使用户在安排 RG-WALL2000时可以只管掩护原有的资源。

3.6.2 知足大型企业应用的高性能VPN

RG-WALL2000接纳3DES/AES算法时提供了200～400Mbps 的密文流，并且不影响防火墙的整体带宽。RG-WALL2000也支持1000个专用SA，足以知足大型企业关于VPN通道数目的要求。无论启用一个SA照旧启用所有SA，总体的密文流性能都维持在150Mbps。虽然管理员也可在防火墙的QOS部分设定某一个SA的可用带宽。

3.6.3 无邪的密钥管理与用户认证

在建设两方的VPN隧道时，最基本也是最主要的要求就是对双方举行身份认证。 RG-WALL2000支持通过手工方法或使用IKE协议来自动设置SA。若使用IKE协议设置，可接纳共享密钥或证书两种方法。通过Web页面，网络管理员可远程装置外地证书和信任的CA证书，也可导入对方的证书。优异的伸缩性让州差别手艺配景的管理员能快速地建设企业的VPN。

3.6.4 虚拟专用网和Internet的隔离

从图3-3可以清晰的看到，VPN数据流仅仅是 RG-WALL2000处置惩罚的数据流的一种，因此在启用VPN的时间并不会故障毗连Internet的其它处置惩罚带宽。并且由于优异的QOS能力，RG-WALL2000也包管VPN的使用不会因Web会见，FTP下载等非营业应用而被抢用。因此RG-WALL2000可以有用地把VPN和Internet隔离。

1.1.1 集成化的VPN和会见控制

当在周边网关实验差别清静步伐时，构建IPSec VPN 常因NAPT和VLAN保存而变得较量难题。

在构建或重新设置此类清静战略历程中会破费相当大的人力。RG-WALL2000可以很好地支持VPN和NAT的穿越，上述两难问题在RG-WALL2000上都能获得优异的解决。

3.6.5 RG-WALL2000在差别拓扑结构都能抵达高集成化

差别的清静步伐可以遵照用户的详细需求安排，不会由于要听从差别手艺而造成特另外事情量。这是由于岂论在什么拓扑结构，使用高性能的Sentinel ASIC芯片都可以很利便实现高效率的IPSec VPN和防火墙会见控制。

从图3-3可以看出，所有VPN数据包都会被会见控制逻辑所处置惩罚，而明文流加密前后都经由VPN引擎处置惩罚。即会见控制（ACL）漫衍在VPN隧道外部。这包管了防火墙会见控制会验证解密的VPN包，并包管VPN包在进入企业网络前遵守其清静战略。这样，ACL连同身份认证，即可包管在 RG-WALL2000的VPN中只有正当的数据包。

IPSec VPN中实现QoS

由于所有VPN包都经由状态检测�？�，因此所有传输的QOS分类都由ASIC控制。这体现VPN数据流在主要运作下都能享用足够的带宽。企业也可以遵照应用或用户差别的要求，合理地分派企业带宽。

岂论是内部数据流（加密传输）或外部数据流（明文传输），数据流在IPSec 引擎里都享有低延迟。

RG-WALL2000里的 IPSec VPN 具有优异的低延迟性能，可以知足当今种种典范的应用，而RG-WALL2000优异的低延迟性能是靠ASIC并行处置惩罚能力实现的。RG-WALL2000为那些需要强加密掩护的站点间毗连提供足够的处置惩罚能力，也提供低延迟以战胜一样平常通用CPU加密性能方面的缺乏。典范应用如多媒体计划（即IPSec 掩护的VoIP，IPSec 掩护企业内网的即时信息等）。

RG-WALL2000的低延迟特征能改善了企业内网情形里站点间清静多媒体的内容传输。RG-WALL2000内嵌的QoS 能有用地为内网站点间分派通讯带宽。

以下是RG-WALL2000防火墙功效（有会见控制的VPN）的Smartbits 6000 延迟测试效果。其VPN 基天性能测试效果如图3-4所示：

Frame Size	Rate Tested(%)	(01,02,01) to (01,02,02) (us)-CT	Average (CT)	(01,02,01) to (01,02,02) (us)-S&F	Average (S&F)
		1GB -1GB		1GB -1GB
64	2.00	59.1	59.1	58.5	58.5
128	2.00	66.7	66.7	65.6	65.6
256	2.00	96.0	96.0	93.9	93.9
512	2.00	156.1	156.1	152.0	152.0
1024	2.00	240.2	240.2	232.1	232.1
1280	2.00	281.6	281.6	271.4	271.4
1518	2.00	615.7	615.7	603.5	603.5

3.7 强盛顺应情形能力

3.7.1 多种事情模式可以顺应种种网络情形：应用案例

在防火墙业界，一谈到网络模式，通常会想到：透明模式可在不改动现有路由结构下利便安排；路由模式是一种普遍的网络模式；混淆模式则可以实现无邪的网络安排。然而现在NAT和VLAN也被列为新的网络模式。在企业越来越依赖IT系统的今天，防火墙不但必需能够支持州差别的网络模式，更主要的是也要能知足企业组建网络和执行会见控制的要求。图3-5给出了一个企业IT系统的典范组网模式。

从上图可以看到，会见企业的Internet用户都盼愿镌汰在维持IP地址方面的用度，因此拥有DNAT(MIP,VIP功效是防火墙所必备的基本要求。而营销和手艺职员由于需要通过Internet与客户联系，因此SNAT也成了对防火墙的基本要求。

再者，企业内部差别部分都拥有各自的商业神秘资料，譬如企业不希望认真研发的员工相识企业的客户以及财务信息，同时也不希望营销职员过多的相识研发的信息，因此企业可以接纳VLAN来划分差别部分的内网；而IT数据集中管理的趋势令所有的服务器都集中在一个机房里。

这种情形下，处于网络焦点节点的防火墙就必需能够支持VLAN路由功效；研发成员则希望旁路防火墙，以便更快的能会见CVS服务器，因此通过透明网桥毗连统一子网内的差别物理端口也成了一个基本的要求。

总结上述的要求，防火墙需要能够同时支持路由/桥接/VLAN（路由、中继电路）/NAT功效，而 RG-WALL2000在设计时充分思量了这些重大的网络情形要求。其交流特征包管任何端口在执行会见控制功效的同时，也能实现透明模式交流。

RG-WALL2000 每个端口都可以支持128个VLAN，因此它自然可以支持VLAN 中继链路。同时其ASIC芯片内部有一个三层的流水线路由�？�，可以维持物理接口之间以及VLAN之间的路由关系。 NAT也是流水线结构上的一个标准�？�，岂论端口之间接纳何种网络毗连模式，NAT总能正常事情，包括1：1的映射以及N：M多端口映射。

深刻明确了种种网络需求之后，RG-WALL2000的设计完万能够顺应州差别的重大网络情形。

3.7.2 使用星状拓扑网络支持异地分支机构互联 VPN

从图3-5可以看到，分支机构都只有一条隧道毗连到企业总部，分支机构之间的通讯则会在总部的VPN上实现交流。这种功效便于管理员管理，同时也可以在总部实验集中控制。这种情形尤其适合当分支机构没有牢靠IP地址或者处于NAT装备后面的时间。

3.7.3 使用网状拓扑网络支持分支与总机构互联VPN

每一个分支都能与总机构或其他分支毗连。与星状拓扑差别的是，这种拓扑能消除处置惩罚延迟。但它也需要VPN装备来处置惩罚大宗的VPN隧道。当分支在企业内增添，VPN隧道的管理也相对大幅度的增添，以至到无法管理的水平。

3.7.4 移动办公VPN

移动办公因网络安排最新的生长，已成为越来越盛行的趋势。关于IPSec兼容应用软件（包括，但不局限于Windows）的用户, RG-WALL2000使安排移动VPN越发浅易化。

3.7.5 在动态IP地址情形下建设VPN

在宽频网络的生长趋势下，许多家庭都已接纳ADSL或公共宽频接入互联网，为SOHO办公提供了便当条件。但这些宽频网络大多接纳动态分派的IP地址。因此企业总部或分支机构的VPN网关必需能支持动态IP地址才华毗连。

RG-WALL2000无邪的功效让企业员工从任何所在都能接入企业内部网络，提高事情效率，改善客户知足度。

RG-WALL2000的ASIC芯片在其协议处置惩罚引擎内置了NAT，以减低总体延迟时间，并为移动用户与分支机构提供更有用的毗连能力。

3.7.6 在VPN中安排VoIP