RG-WALL2000高端千兆防火墙技术白皮书

全面分析防火墙技术现状的基础上，阐述防火墙技术

发布时间：2009-09-25
点击量：
点赞：

分享至

我想评论

1 RG-WALL2000防火墙简介

RG-WALL2000是一种针对大型企业与电信服务运营商而设计的业界领先的集成多种安全功能的千兆线速硬件防火墙。

得益于创新的系统结构、定制化芯片、内置于芯片中的深度内容扫描器以及TCP/UDP/ICMP 状态包过滤器，RG-WALL2000系统可以在提供强大的安全功能并维持300万个并发连接地情况下，依然能够对不同大小的包保持千兆线速吞吐能力。其功能包括防火墙、基于IPSec 的VPN，内容过滤，应用代理等。

这些特性使得它可以为大型企业和服务提供商的网络提供安全防护服务。利用层次化软件系统中的应用代理和入侵检测系统，RG-WALL2000系统可以为网络系统提供应用层的防护能力。

RG-WALL2000安全系统还提供了具备良好兼容性的高性能IPSec VPN，在使用HMAC-96-MD5/SHA-1、3DES-CBC 认证、加密算法并选择ESP封装协议和隧道模式的情况下，RG-WALL2000系统也能够提供200M的吞吐量。利用RG-WALL2000系统，IT管理人员能够以较低的总体拥有成本在网络系统中快速、简单地部署访问控制、VPN以及入侵防御能力。

1.1 功能特性

维持300万个并发连接的情况下，依然能够对64-1518字节大小的包保持千兆线速吞吐能力。

拥有集成多重安全功能的专用芯片，其功能包括状态包过滤、内容检查、VPN等功能。
支持快速反应的网络入侵攻击检测，硬件数据处理和数据流统计日志，有力阻止网络攻击。

拥有高度兼容性的内置硬件IPSec VPN引擎，并支持NAT穿越。

支持站点到站点，移动用户接入等多种VPN组网方式，满足用户对VPN的应用需求。

能适应与支持各种网络环境，如桥、路由、混合以及VLAN模式。

支持P2P,IM应用的控制

支持RTSP、H.323、IRC、MMS、FTP、SQLNet、PPTP等多种动态端口协议，充分满足企业要求。

支持动态路由、策略路由，充分满足企业需求。

为服务质量（QoS）提供精确与灵活的带宽管理：每个以太网络接口可设置四个队列，控制粒度为1Kbps。

系统的管理平台和网络数据处理平台分离，系统管理配置不影响系统的网络性能，而网络负载也不影响系统的管理配置，因此在提供高性能的同时也保证了系统管理的可靠性。

秒级双机热备切换，保障网络访问控制持续运行。

提供全面又简便的管理系统：支持串口管理，以及基于SSL的Web、SSH等管理方式。

1.2 产品规格

特性	RG-WALL2000
物理特性	尺寸	42644089 (mm)
	重量	11.5kg
	机架式	是
	电源	220v, 0.8A，双电源备份
系统	接口	4 10/100/1000 4SPF
		1 个 console
		2 个 10/100 FE (备份口)
	网络处理器	应用安全ASIC+通用CPU
	操作系统	SEC OS（专用安全操作系统）
	电源	双电源热备
	显示LCD	五键控制
	系统升级	可以远程或本地设定
网络模式	桥	支持
	路由	支持
	混合	支持
	NAT	SNAT, DNAT, NAPT(MIP,VIP)
	备份	双机热备份
性能	防火墙吞吐量	8Gbps
	最大并发连接数	300万
	最大新建连接速度	每秒100,000 个
	VLAN数量	128 （每接口）
	VPN 硬件IPSec 隧道数	1000
	VPN 吞吐量 ESP隧道模式	3DES-CBC:200 Mbps; DES:400Mbps; AES: 400Mbps
	数据包延迟时间	5-13微秒
网络特性	路由协议	静态路由, RIP, OSPF,BGP
	策略路由	支持
	VLAN	802.1Q
	IP地址获得	指定，或者DHCP
用户认证	用户数据存储	本地数据库
	Triple AAA	支持
远程数据库（Radius）	认证方式	用户名/密码；一次性口令；智能卡（可选）
远程数据库（Radius）	管理员分级	管理员、审计员、操作员

特性	RG-WALL2000
日志与监控	日志	本地数据库，日志服务器, SYSLOG
	本地存储容量	闪存容量达128MB
	审计	可根据要求定制查询
	告警方式	电子邮件，LCD显示
访问控制	包过滤	硬件支持
	状态包审查	硬件支持
	应用代理	Email, FTP, HTTP, Telnet
	内容过滤	URL, 邮件过滤,KeyWord过滤
	访问控制规则管理	以应用组分类管理
	支持的动态端口协议	RTSP, H.323, IRC, MMS, FTP, SQL*NET, PPTP
	P2P,IM应用控制	BT,Edonkey,mute,QQ,MSN,YahooMessage,AOL
VPN	IKE	RFC 2408, 2409, 2412
	Ipsec	RFC 2401, 2402, 2403, 2404, 2406
	IPSec模式	隧道模式，传输模式, AH, ESP, AH+ESP
	Ipsec/IKE穿越NAT	支持
	加密算法	DES, 3DES, AES
	认证算法	MD5, SHA-1
	移动用户接入	支持
	点到点VPN	支持
	对端动态IP地址	支持
证书	证书格式	X.509 V3
	证书撤销列表格式	X.509 V2
	证书验证	本地
入侵检测	SYN Flooding, UDP Flood, Ping Flood, UDP Scan, TCP Scan (TCP SYN Scan, TCP FIN Scan, TCP X’mas Scan), Ping Sweep Jolt2 Attack, Land-based Attack, Teardrop Attack, Ping of Death Attack, Smurf Attack, ARP Attack(APR Spoof, ARP Flood)	支持
流量管理 (QoS)	最大频宽	支持
	保证频宽	支持
	优先级	4 级
	管理粒度	最小1Kbps
	QoS设定	以用户、以应用划分

特性	RG-WALL2000
性能监控	CPU利用率	支持
	内存使用率	支持
	会话资源使用率	支持
	接口流量监控	使用率, 掉包率, 平均包大小, total packets transferred, total dropped
	防火墙规则流量监控	每规则处理数据包的累计
	VPN 流量监控	当前VPN数量, 以每隧道的数据计算
设备管理	CLI	本地串口，SSH
	Web	支持SSL
	SNMP	支持标准SNMP v2/v3
	MIB库	标准MIB

2 RG-WALL2000架构

2.1 架构综述

在防火墙产品设计领域中，主要划分为以下三种：基于x86的软件防火墙，基于NP(网络处理器)的硬件防火墙和基于ASIC(专用集成芯片)的硬件防火墙。

基于x86的软件防火墙 -- 软件防火墙通过普通CPU来运行安全程序。所有数据流都通过硬件总线中断由软件TCP/IP协议栈来处理。由于每一次硬件中断都需要分享正在运行安全应用程序的CPU资源, 因此整个防火墙系统会变得缓慢。

基于NP(网络处理器)的硬件防火墙 -- 此类硬件防火墙使用网络处理器来提供各种数据传输和安全应用功能。由于目前的网络处理器都为快速转发数据而设计，因此当内置很多安全应用程序的时候系统的整体性能就会下降很多。

基于ASIC(专用集成芯片)的硬件防火墙 — 此类硬件防火墙使用专用的ASIC芯片来实现数据转发和各种安全功能，ASIC芯片及其丰富的硬件资源保证了防火墙具有无与匹敌的高性能。同时, 此类防火墙的高可编程系统结构也能很好地适应目前动态变化的网络安全要求。

2.2 基于ASIC的硬件

RG-WALL2000是一个定制的基于ASIC的硬件防火墙。它由一颗高度可编程的专用集成芯片和一个全面的安全软件堆栈组成。因此，RG-WALL2000不仅达到了安全功能的要求，而且提供了高性能的处理能力。

2.2.1 ASIC芯片的主要功能有：

状态检测

路由或桥模式数据转发

访问控制策略

敏感字内容匹配

带宽管理

服务分类

由于其功能系统与管理系统分离，因此系统管理不影响网络数据流的处理工作。其硬件架构特点保证了对任何长度数据包的千兆线速处理能力。

RG-WALL2000内置了全面的安全软件堆栈。该软件层包括：

友好易用的Web UI 控制界面

锐捷自主开发的安全shell 命令行，包括各种配置命令

定制的安全内核

面向审计/日志的syslog内核

2.2.2 系统架构

RG-WALL2000的设计理念采用面向对象方法，以在独特的管理架构内达到简单，灵活与全面为目标，而又不失安全性。

在安全与性能之间寻找平衡点总是部署IT系统的一大挑战。RG-WALL2000使用创新的系统架构已达到最高安全性而又不影响优越的性能。

图2-1显示了系统架构，该架构外接以太网卡，DDR 和SDRAM；全部的以太网MAC (媒体访问控制) 均内置于Sentinel芯片内，因此削减了传统网络接口卡方法所带来的技术和资金成本。网络数据流尽可能在Sentinel处理器中进行直接处理，而管理和控制系统则在软件系统中实现。同样，数据平面也可借助PCI 接口把数据或报告传送至管理平面。

图2-1 给出了各种安全功能在系统不同部分中的分布情况。从图2-1可以看出，在ASIC部分包含三个主要的功能模块：

Ethernet MAC。

这部分处理数据与以太网物理层的传输。

智能防御系统(IntelliDefense System) (美国专利待批)。

这个部分主要是访问控制与数据流划分功能模块，能够对数据包进行实时包头内容匹配，状态检测，会话管理，以及基于敏感字的深度内容过滤，还能通过使用ACL(访问控制规则列表)来加强安全策略管理。同时，可以进行数据流管理，QOS，以及告警、数据统计等功能。

VPN处理引擎。这个部分提供了IPSec VPN处理能力（采用3DES与AES加密算法）。
它使用一组有很高并行处理能力的RISC核阵列，如果修改RISC处理器里的微码，就能来适应不同协议，从而达到最大的灵活性。它也支持隧道模式的IPSec VPN(AH/ESP/AH+ESP),并支持NAT穿越。RG-WALL2000的VPN处理引擎是一个独立的基于硬件的功能模块，并且有很好的兼容性，能够同NetScreen,Cisco等产品实现互联互通。该处理引擎也可以对IKE协商后建立的SA进行管理。

从图2-2可以看到主要的网络访问控制、路由转发和VPN处理功能都在ASIC内完成，上层软件部分则处理管理界面、应用代理、安全策略映射、IKE、SNPM协议栈、告警数据库等管理和高层应用功能。在通过Sentinel系统驱动把指令写入ASIC后，管理系统或应用代理便能根据应用需求控制系统的数据平面。

为保持千兆线速处理能力，ASIC 的访问控制与数据转发功能模块使用了流水线和并行处理技术，从而保证了防火墙在开启全部功能模块，且处理一千个IPSec VPN 隧道时，性能也不会下降。

所有查表运作都使用一种类似于TCAM的技术，以确保处理时间且不受表格大小影响。即使有300万并发连接，仍能实现千兆线速的性能。

由于每一个包的处理时间固定，因此数据平面内的数据包处理延迟时间也是固定的，且不受规则或并发连接多少的影响。经过测试，小包（64字节）的延迟时间是大约5微秒，而大包（1500字节）是13微秒。其它不同长度数据包的处理时间均在此范围中。
使用ASIC硬件作为安全平台的核心，RG-WALL2000能够在复杂应用环境中保持全天候千兆线速性能。

2.2.3 内置的硬件安全协议处理引擎

图2-3 给出了这个处理引擎在ASIC中的位置以及它与路由、访问控制模块之间的关系。我们可以看出，由于VPN处理引擎实际上是旁路于整个路由、访问控制路径的，所以VPN模块不会影响路由、访问控制部分的处理性能。

当发送的数据包需要进行IPSec处理时，安全策略就会解析数据包并将其路由到内部VPN处理引擎中，加密后的密文包和明文包都要经过路由、访问控制模块进行数据的访问控制和路由转发。同样，接收的密文包进行IPSec处理也不会降低防火墙的性能，因为密文包在解密之前就会在硬件平台中进行分类，并转发到IPSec引擎中处理，而不会堵塞明文包正常的访问控制和路由转发处理。

目前的RG-WALL2000版本，整个IPSec VPN处理引擎在采用3DES算法时其数据处理能力可高达200Mbps，而采用AES算法时可高达400Mbps。VPN主要用于将网络安全连接延伸至Internet或其他公共网络，因此VPN引擎主要通过WAN口来处理数据。一般情况下，大多数大型企业(拥有2万左右个员工)的现代化IT网络一般具有155M ATM连接带宽用来访问互联网，因此，150M的3DES VPN性能足以满足各类企业的VPN应用需求。

2.2.4 简单易用的管理体系

在数据安全的指导原则下，对设备、系统的安全策略管理是决定安全技术能否正确实施的关键因素，提供简单易用又可靠的安全管理方法是防火墙/VPN网关产品必不可少的。 RG-WALL2000内部的管理体系分成三层，如图2-4所示。

最底层是配置服务器，负责将配置数据写入到ASIC或系统内核；中间层提供一个统一的配置界面，将Web或命令行指令传递给配置服务器；最上面一层是用户使用的命令行和Web配置页面。

考虑到要对网络设备和网络安全策略进行统一管理，RG-WALL2000提供了基于SNMP和SOCKET两种远程管理方式。用户可通过SNMP或者SOCKET接口，通过锐捷发的管理平台亦可对 RG-WALL2000进行管理。

3 RG-WALL2000特性详解

3.1 超强性能

3.1.1 千兆线速吞吐能力

近年来随着网络技术的普及，大家已经认识到网络安全的重要性，防火墙的部署已经不再局限于用于广域网络边界的防护。内部不同子网之间的访问控制也已成为网络管理员重点考虑的问题。由于千兆交换机、路由器、服务器与网卡的日益普及，与不需要太高处理能力的广域网络接口相比，企业内部网络有着更高的处理能力需求。

此外，企业也正朝着IT集中化的方向发展，这就要求防火墙具有千兆线速性能来处理内部网络核心节点上的数据流，而不会成为整个网络性能的瓶颈。

如图3-1所示，可以很清晰地看到，在各种长度包的情况下，RG-WALL2000能够对双向数据流实现100%千兆线速转发。

帧长	及格率(%)	(01,01,01) to (01,01,02) (包/秒)	(01,01,02) to (01,01,01) (包/秒)	总共
		1GB -1GB	1GB -1GB
64	100.00	1488095	1488095	2976190
128	100.00	844595	844595	1689190
256	100.00	452899	452899	905798
512	100.00	234962	234962	469924
1024	100.00	119732	119732	239464
1514	100.00	81486	81486	162972

3.1.2 业界最低包延迟

在全球网络设备市场中，由于网络多媒体应用（尤其是基于IP的语音和视频应用）越来越流行，VoIP设备市场也正在强劲增长。而多媒体应用区别于传统的邮件/Web等数据业务最重要的一点，是对网络延迟和抖动的要求更加严格。防火墙作为网络中的关键访问控制设备，其在执行访问控制的同时必须保证对各种大小包的网络延时足够短和平稳，才能满足企业的实际应用需求。

从业界著名的出版物可以查到，不同的防火墙产品(例如各种硬件防火墙)测得的包延时一般能够保持在数十个毫秒，而不幸的是，现有的其他很多防火墙产品只能够维持在数百毫秒的水平，甚至一些号称是千兆线速的防火墙包延时竟然也在100毫秒以上。如此大的包延时在网络多媒体应用中是绝对无法接受的。

要解决防火墙所面临的多媒体应用要求与包延迟太大的问题，RG-WALL2000以其新颖的系统架构采用流水线设计、并行查表和并行处理技术，达到了如图3-2所示的低延迟。

从图3-2可以看出，Smartbits测试的Store & Forward延迟时间对不同的包大小基本上都保持在5微秒以内，Cut Through时间偏大，是由于大包占用的传输和收发时间较长。因此，RG-WALL2000是世界一流水平的佼佼者，完全能够满足语音/视频应用对于网络延迟的要求。

Frame Size	Rate Tested(%)	(01,01,01) to (01,01,02) (us)-CT	Average (CT)	(01,01,01) to (01,01,02) (us)-S&F	Average (S&F)
		1GB -1GB		1GB -1GB
64	100.00	5.0	5.0	4.5	4.5
128	100.00	5.9	5.9	4.9	4.9
256	100.00	6.3	6.3	4.3	4.3
512	100.00	7.5	7.5	3.5	3.5
1024	100.00	12.5	12.5	4.4	4.4
1518	100.00	16.7	16.7	4.6	4.6

3.1.3 最大并发连接数

并发连接数是指防火墙对多数据流的处理能力，是防火墙能够同时处理点对点连接的最大数目。它反映出防火墙设备对多个连接的访问控制能力和连接状态跟踪能力，因此该性能指标直接影响防火墙所能处理的最大信息量，是电信运营商/ISP/IDC/教育网运营商为大量用户提供服务所依赖的关键技术指标之一。

在软件防火墙或基于NP的防火墙中，每一个互连功能模块都需要分配一些内存空间来存储数据。典型的基于Linux开发的防火墙，每个数据包所需的内存是300字节左右，支持100万并发连接所需的内存空间为2.24G字节。但实际上目前市场上还没有一款能提供超过2G内存的防火墙产品。

RG-WALL2000的数据平面采用流水线和并行处理技术，在流水线操作中每个数据包会根据不同处理需求使用不同的模块。实际上，一个连接的存在是因为这个连接的数据包得到某一条规则的允许，否则也没有必要建立连接。因此在连接表中并不需要存放数据包的IP地址或端口资料，因为这些资料可在规则里找到。

经过上述分析，RG-WALL2000采用了hash和片上RAM等技术，使其能在较小的存储空间存储300万的并发连接。同时 RG-WALL2000在查表方面采用了类似TCAM的技术，以达到固定的查表速度。这样，保证了不管是检测一个连接还是一百万个连接的信息，数据包都能在预知的固定时间内得到处理。这也是RG-WALL2000在任何应用情况下都能保持千兆线速处理能力的一个重要因素。

3.2 防火墙模块

3.2.1 电信级防火墙的管理与功能系统的设计

硬件防火墙需要通用CPU或网络处理器来处理数据流或进行系统管理。如果洪水攻击发生在一个网口而吞没全部的资源，将大大削减系统管理的质量。在这种情况下，管理员将无法通过网络或串口来访问防火墙。而此时管理员却最需要查看日志和统计信息。

考虑到电信用户对服务质量的苛刻要求，电信设备一般采用管理系统和功能系统分离的方式来保证设备的可管理性和可运作性。 RG-WALL2000在设计时符合该项要求，主要系统功能由Sentinel ASIC芯片处理，而少量管理工作由主机的CPU来完成。

同时，管理接口与备份接口都直接同管理系统相连，不论网络如何繁忙，管理员都能随时获取系统内数据传输的状况。

3.2.2 基于智能防护系统 ( IntelliDefense System ) 的全面防火墙功能

基于Sentinel的RG-WALL2000有一套统一的防火墙功能，并以多层安全防护模式实施。它集中了基于内核的应用代理来预防应用层威胁，基于硬件的状态过滤引擎来过滤TCP/UDP/ICMP包，和高速的硬件内容过滤引擎动态/静态检测数据包，以对付 L4 至 L7的威胁。这些功能在设计时都被确保能支持线速处理能力。

3.2.3 支持动态端口协议以支持企业IT应用需求

网络应用的融合是通信业界追求的长远目标。随着基于IP的多媒体应用的发展，如VoIP, Netmeeting以及各种P2P的即时通信工具，很多企业都倾向通过部署基本的网络来融合、处理数据和语音/视频通信。

但大多诸如Skype等的P2P系统，以及大多媒体应用标准，都是由IETF 和ITU 这样的国际标准化组织按照国际的网络环境而定义的,并不适合没有足够公用IP地址的地区，也跟企业防火墙部署NAT来共享一两个公用IP的策略相冲突。

再者，多媒体通信应用都倾向使用动态端口协议，使用一个IP地址但动态占用不同端口，这就使企业部署网络访问控制更为复杂。通过防火墙控制此类应用与协议，网络管理员不能简单地为这些应用打开相应的端口，因为这样做会危害网络安全。

为解决这个问题，RG-WALL2000为使用动态端口协议的应用提供特殊的支持。虽然数据平面的数据处理操作主要在ASIC芯片中完成，但RG-WALL2000的操作系统能协助ASIC芯片解析应用协议，并参与完成如为某些应用打开相应端口、修改数据字段允许多媒体通信等防火墙功能。通过这些调配数据平面和管理平面的机制，RG-WALL2000为企业综合的网络应用提供了一种很好的网络架构环境。

RG-WALL2000支持RTSP, H.232, IRC, MMS, FTP，也支持用于Oracle数据库的动态协议SQL*NET，所以企业网络完全可以使用动态端口与自己的Oracle服务器相连。

3.2.4 最小至1Kbps粒度的流量控制与服务质量

当点对点通信的需求量总和超过了网络现有的带宽时，网络节点能够管理与满足各种应用需求的能力就显得至关重要了，这也是QOS技术存在和发展的基础。

随着企业越来越依赖基于网络的各种应用，包括关键信息系统如VoIP和视频会议等，网络应用对网络的服务质量提出了具体的要求指标：最小延迟，最小抖动和保证带宽。因此作为网络中的一个控制信息流的关键设备，防火墙必须能够对不同应用进行带宽管理。
QOS，点对点应用不可缺少的功能要求，并非单独一台防火墙设备所能保证的，如果没有其他安全设备的配合，防火墙无法做到对延迟与带宽的保证。因此在设计防火墙的时候一定要从网络核心的角度设想，考虑到全部需要。有一点必须肯定，如果防火墙本身的数据吞吐能力不能维持线速，延迟时间大而又不够稳定，那么防火墙无论采取什么样的队列分类算法、公平调度算法都将无法保证QoS的正确实现。

RG-WALL2000因为拥有“全天候”的线速处理能力，低至5微秒的延迟并且不同包的抖动时间不超过20%，因此它具备了对流量进行管理的基础条件。同时，借鉴了核心路由设备在队列管理方面的经验，RG-WALL2000也为系统管理员提供了灵活的管理机制，以精确的分类提供保证带宽和最大带宽。在每个端口上 RG-WALL2000提供了4种不同的优先级队列，从而能够满足企业将应用分为实时业务、关键业务、非关键业务、非业务类数据等级的需求。

在分类上， RG-WALL2000能够根据源MAC, TOS, 数据包长, IP协议, 源和目的IP地址, TCP标志(ACK, RST, SYN, FIN), TCP源和目的端口, VLAN标志, VLAN用户优先级等信息对数据流进行分类.因此管理员可以非常精细、方便的定义哪些应用应该具有高的优先级，保证多少带宽等。管理员定义好应用及其对网络服务的要求后，剩下实现服务的工作即可由 RG-WALL2000来完成。

在队列管理方面， RG-WALL2000充分借鉴了高端路由交换设备的队列管理结构，在物理接口上执行流控制管理，从而保证数据能以稳定的延迟时间进行转发。 RG-WALL2000为每个物理端口提供了4个不同优先级的队列，每个队列的深度根据公平队列算法和用户设置进行分配，从而避免低优先级、但高带宽需求的应用（如FTP，EMAIL）无法被满足，也充分提高了高优先级、小带宽应用（如VoIP）对队列的利用效率。

为部署保证带宽和最大带宽，RG-WALL2000提供了最小1Kbps带宽管理粒度，网络管理员能有效地部署带宽管理，从而保证企业宝贵的带宽资源能够被正确的应用。

如果企业部署了1000Mbps网络交换环境，那么DMZ和LAN区域一般的工作线速都是1000M，但WAN区域一般不可能提供1000M线速的带宽，所以经常造成DMZ/LAN与WAN之间带宽的冲突。因此RG-WALL2000必须能根据各类应用不同的优先级来管理企业的数据流。凭着其线速处理能力，稳定且低至5微秒的延迟，以及精细的带宽管理能力，RG-WALL2000可为企业整体网络的QOS提供优秀的管理平台。

3.2.5 基于状态的包过滤

RG-WALL2000能维护上层协议的连接状态，因此它能预防那些专门利用基于会话的协议漏洞而形成的攻击。

根据每个TCP/UDP/ICMP 数据流的状况，是要采取转发，丢弃还是NAT等，来决定和执行相关的指令，都是在ASIC芯片上实施，不动用CPU资源。剩下为IPv4所定义的无连接状态数据流，将依照设置的规则而路由到主机CPU。

3.2.6 深度内容过滤

RG-WALL2000的ASIC芯片内置一个内容匹配引擎（CME）。此引擎能从Layer-2至Layer-7，并基于包执行深度内容匹配。它也能在软件的协助下，执行动态内容匹配。CME 更能实时执行这些功能，又不影响线速。

3.2.7 基于MAC 地址的规则

在内网，用户的IP地址可以方便地进行改变，对于这种情况基于IP的规则往往无法覆盖。因此采用基于不易改变的MAC 地址，更为可靠。

3.2.8 颇具特色的抗攻击功能

RG-WALL2000能在硬件内为源自Layer 2 至Layer 7的头信息作检验和执行模式匹配，且一次能匹配128个字节，垂度为16个字节。即，RG-WALL2000一方面能快速地检验多至144个字节（128 + 16 = 144）的头信息，另一方面也能匹配具体的消息头（从1到128字节长度的可编程序签名/模式字串），并能在结果上执行逻辑运算。

CME也能把同一流的数据包拼合，从而阻止把签名分布到多个小包的应用层攻击。在互联网环境，基于芯片内的CME分担通用CPU的工作来预防一些已知的攻击。

RG-WALL2000除了防御常见的攻击手段，如：SYN FLOODING、UDP flood、Ping flood、UDP Scan、TCP Scan(TCP SYN Scan、TCP FIN Scan、TCP X'mas Scan)、Ping Sweep Jolt2 Attack、Land-based Attack、Teardrop Attack、Ping of Death Attack、Smurf Attack、ARP Attack(APR Spoof、ARP Flood) 之外，还能侦察动态端口的攻击。

而超越用户所定义的不寻常活动则会在硬件内被检测到，从而维持线速，保护网络。

3.2.9 应用代理软件在优化的系统空间运行

有一些代理功能能在维持线速性能的情况下在主机内核OS运行。RG-WALL2000支持此类代理如FTP, HTTP, POP3, SMTP, 和TELNET，以及执行某些过滤功能如限制FTP任务里的 GET/PUT 指令。RG-WALL2000实施的透明代理保证其性能。

3.3 安全灵活的管理方式

RG-WALL2000支持命令行和Web两种管理方式，而在Web上使用SSL可以保证管理过程的安全性。如果使用命令行，可以直接通过串行接口接入或通过SSH从远程登录命令行界面。
为了保证管理的安全性，用户可以设定只允许从某些主机才能访问RG-WALL2000进行管理。这个特点可以防止从不安全区域来进行防火墙的管理。

RG-WALL2000提供了符合业界标准的SNMP接口，以方便第三方的网络管理系统监测。

3.4 简化管理的模板与别名设置

管理“访问控制规则列表”一直以来都是网络管理员任务最重的部分，也是最容易造成人为差错的地方。RG-WALL2000中提供了模板和别名设置，以预先定义管理对象，再定义有关访问控制的方法，使管理员的工作变得更加轻松。该功能允许管理员在开始配置规则之前首先定义需要管理的对象，譬如将几台PC命名为一个组，或给予几台服务器不同的名称，在定义访问控制规则的时，即可直接引用这些对象，而不必记住这些对象的IP地址、子网掩码、需要提供服务的端口号等内容。

利用模板概念，管理员可将规则分划为不同类别，然后定义如何把已分类的规则和不同组名连接起来。

3.5 具备双机备份

作为一个高速千兆线速的产品，RG-WALL2000主要应用在大型企业的核心网和电信城域网，因此对于设备的可靠性要求很高。

RG-WALL2000首先通过独特的功能与管理系统分离的技术手段提高它的可靠性，同时为管理系统提供双机热备份功能。这样管理系统的后端通信不会因两台RG-WALL2000设备有不同处理状况而受影响。

而且 RG-WALL2000为后端信息提供了2个独立的10/100M 以太口，这个接口直接挂接在管理系统，以确保两个RG-WALL2000系统在进行实时同步处理。为确保后备设备的安全，主设备将会使用心跳机制来更新, 证实和加密信息。备份设备则不停的感应主设备的状况，如它的链接状况，端口运作状况，OS状况等参数来决定是否有任何异常状态。一旦发现主设备工作状态出现异常，那么从系统将在秒级时间内接管网络系统。

3.6 RG-WALL2000 IPSec VPN模块

3.6.1 全面、兼容的协议支持

RG-WALL2000对符合RFC标准定义的AH，ESP，AH＋ESP协议进行了优化，同时能灵活地应用隧道模式。而基于VPN与IKE的软件（主机OS的IPSEC）也让用户能执行RFC定义的 IPSec 套件以及远程VPN拨号连接服务器。再者，RG-WALL2000与其它IPSec产品良好的兼容性也已得到全面验证。这种良好的兼容性使用户在部署 RG-WALL2000时可以尽量保护原有的资源。

3.6.2 满足大型企业应用的高性能VPN

RG-WALL2000采用3DES/AES算法时提供了200～400Mbps 的密文流，并且不影响防火墙的整体带宽。RG-WALL2000也支持1000个专用SA，足以满足大型企业对于VPN通道数目的要求。无论启用一个SA还是启用全部SA，总体的密文流性能都维持在150Mbps。当然管理员也可在防火墙的QOS部分设定某一个SA的可用带宽。

3.6.3 灵活的密钥管理与用户认证

在建立两方的VPN隧道时，最基本也是最重要的要求就是对双方进行身份认证。 RG-WALL2000支持通过手工方式或利用IKE协议来自动配置SA。若使用IKE协议配置，可采用共享密钥或证书两种方式。通过Web页面，网络管理员可远程安装本地证书和信任的CA证书，也可导入对方的证书。良好的伸缩性让各种不同技术背景的管理员能快速地建立企业的VPN。

3.6.4 虚拟专用网和Internet的隔离

从图3-3可以清楚的看到，VPN数据流仅仅是 RG-WALL2000处理的数据流的一种，因此在启用VPN的时候并不会妨碍连接Internet的其它处理带宽。而且由于良好的QOS能力，RG-WALL2000也保证VPN的使用不会因Web访问，FTP下载等非业务应用而被抢用。因此RG-WALL2000可以有效地把VPN和Internet隔离。

1.1.1 集成化的VPN和访问控制

当在周边网关实施不同安全措施时，构建IPSec VPN 常因NAPT和VLAN存在而变得比较困难。

在构建或重新配置此类安全策略过程中会花费相当大的人力。RG-WALL2000可以很好地支持VPN和NAT的穿越，上述两难问题在RG-WALL2000上都能得到良好的解决。

3.6.5 RG-WALL2000在不同拓扑结构都能达到高集成化

不同的安全措施可以依照用户的具体需求部署，不会因为要服从不同技术而造成额外的工作量。这是因为不论在什么拓扑结构，利用高性能的Sentinel ASIC芯片都可以很方便实现高效率的IPSec VPN和防火墙访问控制。

从图3-3可以看出，所有VPN数据包都会被访问控制逻辑所处理，而明文流加密前后都经过VPN引擎处理。即访问控制（ACL）分布在VPN隧道外部。这保证了防火墙访问控制会验证解密的VPN包，并保证VPN包在进入企业网络前遵守其安全策略。这样，ACL连同身份认证，即可保证在 RG-WALL2000的VPN中只有合法的数据包。

IPSec VPN中实现QoS

由于所有VPN包都经过状态检测模块，因此所有传输的QOS分类都由ASIC控制。这表示VPN数据流在重要运作下都能享用足够的带宽。企业也可以依照应用或用户不同的要求，合理地分配企业带宽。

不论是内部数据流（加密传输）或外部数据流（明文传输），数据流在IPSec 引擎里都享有低延迟。

RG-WALL2000里的 IPSec VPN 具有良好的低延迟性能，可以满足当今各种典型的应用，而RG-WALL2000良好的低延迟性能是靠ASIC并行处理能力实现的。RG-WALL2000为那些需要强加密保护的站点间连接提供足够的处理能力，也提供低延迟以克服一般通用CPU加密性能方面的不足。典型应用如多媒体方案（即IPSec 保护的VoIP，IPSec 保护企业内网的即时信息等）。

RG-WALL2000的低延迟特性能改善了企业内网环境里站点间安全多媒体的内容传输。RG-WALL2000内嵌的QoS 能有效地为内网站点间分配通信带宽。

以下是RG-WALL2000防火墙功能（有访问控制的VPN）的Smartbits 6000 延迟测试成绩。其VPN 基本性能测试成绩如图3-4所示：

Frame Size	Rate Tested(%)	(01,02,01) to (01,02,02) (us)-CT	Average (CT)	(01,02,01) to (01,02,02) (us)-S&F	Average (S&F)
		1GB -1GB		1GB -1GB
64	2.00	59.1	59.1	58.5	58.5
128	2.00	66.7	66.7	65.6	65.6
256	2.00	96.0	96.0	93.9	93.9
512	2.00	156.1	156.1	152.0	152.0
1024	2.00	240.2	240.2	232.1	232.1
1280	2.00	281.6	281.6	271.4	271.4
1518	2.00	615.7	615.7	603.5	603.5

3.7 强大适应环境能力

3.7.1 多种工作模式可以适应各种网络环境：应用案例

在防火墙业界，一谈到网络模式，通常会想到：透明模式可在不改动现有路由结构下方便部署；路由模式是一种普遍的网络模式；混合模式则可以实现灵活的网络部署。然而现在NAT和VLAN也被列为新的网络模式。在企业越来越依赖IT系统的今天，防火墙不仅必须能够支持各种不同的网络模式，更重要的是也要能满足企业组建网络和执行访问控制的要求。图3-5给出了一个企业IT系统的典型组网模式。

从上图可以看到，访问企业的Internet用户都渴望减少在维持IP地址方面的费用，因此拥有DNAT(MIP,VIP功能是防火墙所必备的基本要求。而营销和技术人员因为需要通过Internet与客户联系，因此SNAT也成了对防火墙的基本要求。

再者，企业内部不同部门都拥有各自的商业秘密资料，譬如企业不希望负责研发的员工了解企业的客户以及财务信息，同时也不希望营销人员过多的了解研发的信息，因此企业可以采用VLAN来划分不同部门的内网；而IT数据集中管理的趋势令所有的服务器都集中在一个机房里。

这种环境下，处于网络核心节点的防火墙就必须能够支持VLAN路由功能；研发成员则希望旁路防火墙，以便更快的能访问CVS服务器，因此通过透明网桥连接同一子网内的不同物理端口也成了一个基本的要求。

总结上述的要求，防火墙需要能够同时支持路由/桥接/VLAN（路由、中继电路）/NAT功能，而 RG-WALL2000在设计时充分考虑了这些复杂的网络环境要求。其交换特性保证任何端口在执行访问控制功能的同时，也能实现透明模式交换。

RG-WALL2000 每个端口都可以支持128个VLAN，因此它自然可以支持VLAN 中继链路。同时其ASIC芯片内部有一个三层的流水线路由模块，可以维持物理接口之间以及VLAN之间的路由关系。 NAT也是流水线结构上的一个标准模块，不论端口之间采用何种网络连接模式，NAT总能正常工作，包括1：1的映射以及N：M多端口映射。

深刻理解了各类网络需求之后，RG-WALL2000的设计完全能够适应各种不同的复杂网络环境。

3.7.2 利用星状拓扑网络支持异地分支机构互联 VPN

从图3-5可以看到，分支机构都只有一条隧道连接到企业总部，分支机构之间的通信则会在总部的VPN上实现交换。这种功能便于管理员管理，同时也可以在总部实施集中控制。这种情况尤其适合当分支机构没有固定IP地址或者处于NAT设备后面的时候。

3.7.3 利用网状拓扑网络支持分支与总机构互联VPN

每一个分支都能与总机构或其他分支连接。与星状拓扑不同的是，这种拓扑能消除处理延迟。但它也需要VPN设备来处理大量的VPN隧道。当分支在企业内增加，VPN隧道的管理也相对大幅度的增加，以至到无法管理的程度。

3.7.4 移动办公VPN

移动办公因网络部署最新的发展，已成为越来越流行的趋势。对于IPSec兼容应用软件（包括，但不局限于Windows）的用户, RG-WALL2000使部署移动VPN更加简易化。

3.7.5 在动态IP地址环境下建立VPN

在宽频网络的发展趋势下，很多家庭都已采用ADSL或公共宽频接入互联网，为SOHO办公提供了便利条件。但这些宽频网络大多采用动态分配的IP地址。因此企业总部或分支机构的VPN网关必须能支持动态IP地址才能连接。

RG-WALL2000灵活的功能让企业员工从任何地点都能接入企业内部网络，提高工作效率，改善客户满意度。

RG-WALL2000的ASIC芯片在其协议处理引擎内置了NAT，以减低总体延迟时间，并为移动用户与分支机构提供更有效的连接能力。

3.7.6 在VPN中部署VoIP