網御防火墻的功能配置和在企業中的應用

摘 要：近幾年來，隨著信息化建設的飛速發展，信息安全的內容也越來越廣泛，用戶對安全設備和安全產品的要求也越來越高。網御防火墻通過對防火墻、VPN、防病毒、入侵防御、防垃圾郵件、網頁過濾技術的整合和改良，使防火墻產品可以很好地防御目前流行的混合型數據攻擊的威脅，并且隨著技術的不斷進度，其在企業中的應用也更加廣泛。

關鍵詞：網御防火墻；功能配置；企業應用

中圖分類號：TP393.08 文獻標識碼：A 文章編號：1674-7712 （2014） 12-0000-02

“網御”是中國信息安全領域的知名品牌，起源于聯想集團的信息安全業務，現為聯想網御科技（北京）有限公司擁有。1999年，聯想研究院成立信息安全研究室，同時啟動了防火墻研發，并在2000年研發成功，正式推出“網御2000防火墻”，從此產生了“網御”產品品牌。網御防火墻已在稅務、公安、政府、軍隊、能源、交通、電信、金融、制造等各行業中部署50000臺以上。為了突破硬件平臺限制，聯想網御采用專用的ASIC芯片來完成對網絡數據包的內容檢測，打破了傳統防火墻和VPN的內容處理障礙，提供了實時病毒掃描、內容過濾、防火墻、入侵檢測以及流量管理功能所需的強大計算處理功能。

一、網御防火墻系統架構及工作模式

（一）系統架構

聯想網御防火墻主要由硬件平臺、專用操作系統、UTM管理服務系統、UTM安全引擎等四個部分組成。硬件平臺根據用戶使用環境的不同，選取專用安全平臺或基于高性能服務器架構進行設計，并且使用專門ASIC內容處理芯片進行掃描和模式匹配的加速；專用操作系統為自主研發的高效強化安全的實時嵌入式操作系統；UTM安全引擎采用模塊化設計，針對不同的應用環境和不同的安全策略，可以配置不同的功能模塊。

（二）工作模式

聯想網御全系列產品均采用聯想網御新一代多安全域設計，Power V UTM防火墻系列產品多口的硬件設計可以使多安全域需求得到完全的滿足，完全突破了傳統的內網、外網、停火區的理念，可以根據企業內部不同的部門設置不同的互通安全規則，使得不僅在內網與外網的安全得到保障，同時保障了企業內部不同部門之間的安全需求。

聯想網御Power V UTM防火墻支持全透明交換工作模式，與網御Power V UTM防火墻可連接各個網絡之間構成一個統一的交換式物理子網，子網內部還可以有自己的第二級路由器。除安全管理以外，防火墻本身的工作不需要IP地址，為隱式全透明防火墻。這樣一方面大大降低了防火墻自身受到攻擊的可能性，另一方面也使系統安裝變得十分簡單，不再需要改變原有的網絡拓撲結構和各主機與設備的網絡設置，即不需要重新劃分網段和調整網絡結構。同時強化了對虛擬局域網（VLAN）和生成樹協議（STP）的支持。聯想網御Power V UTM防火墻還支持集群工作模式，可以通過多臺防火墻的集群提高整個網絡系統的可靠性，降低出現網絡中斷的風險。

二、網御防火墻的產品特點

（一）智能的VSP通用安全平臺

聯想網御防火墻采用創新的VSP（Versatile Security Platform）通用安全平臺，將實時操作系統、網絡處理、安全應用等技術完美地結合在一起，使防火墻產品具備了高智能、高性能、高安全性、高健壯性、高擴展性等特點。

（二）高效的USE統一安全引擎

聯想網御防火墻采用自主創新設計的USE（Uniform Security Engine）統一安全引擎。它將狀態檢測、協議檢測、深度過濾、應用過濾、用戶認證等多個子系統進行綜合集成，去除了冗余操作，簡化了數據處理流程，提高了防火墻的系統處理性能，實現了功能上的可擴展性。同時也實現了多種安全功能獨立安全策略的統一配置，可以方便用戶構建可管理的等級化安全體系，從而實現面向業務的安全保障。

（三）高可靠的MRP多重冗余協議

聯想網御防火墻通過在物理層、鏈路層、網絡層以及主機層面提供多元化冗余方案，保障用戶網絡和應用的高可靠性。包括基于多出口負載均衡的鏈路備份、基于802.3ad標準的端口聚合、基于狀態自動探測的雙機熱備、基于狀態增量同步的多機集群。

（四）基于應用的內容識別控制

聯想網御防火墻擁有目前最完善的應用識別特征庫，通過智能分析技術，將P2P、IM、炒股軟件和在線游戲等協議的應用行為、加密方式、處理動作等特征整理成庫。防火墻通過應用智能識別技術進行細粒度內容識別控制。同時，聯想網御防火墻支持精細的WEB分類庫過濾功能，包括50多種完善的網站類別，分別涉及色情、暴力、賭博、毒品、犯罪、病毒、體育、財經、娛樂等分類。因而實現了綠色上網整體安全方案。

（五）可信架構主動云防御技術

聯想網御防火墻通過與已部署的防病毒網關、IPS、UTM等設備聯合抓取病毒源、攻擊檢測源和掛馬網站URL等特征，匯集至云防御服務器定時收納合并，云防御服務器動態更新病毒庫、攻擊特征庫、掛馬庫等并同步到所有聯想網御安全網關設備中，使其他設備具有防病毒、IPS、防掛馬等功能，同時使其具備更高的處理性能，共同形成整體可信架構云防御體系。

三、網御防火墻的界面概況及安裝配置

（一）產品外觀

防火墻正面面板上有4個指示燈，作用分別是：左上燈為電源指示燈，左下燈為讀寫狀態指示燈，右側兩個燈為Ha指示燈。防火墻啟動時，四個燈全部亮起，啟動后，依照各自的作用分時亮。防火墻正面面板上指示燈的右邊有兩個接口，從左到右是Console和Aux，用于和計算機的串口1和串口2相連。防火墻有4個標準10/100Base-TX（RJ45）接口，從左到右依次為fe1，fe2，fe3，fe4，fe4的右邊是擴展接口，叫做fe5，fe6，fe7，fe8。

（二）網御防火墻設備安裝

網御防火墻PowerV可以放置在桌面上，也可以放在標準的19英寸機架上。安放在桌面上不需要特別的安裝，安放在機架上時需要螺絲刀。將防火墻固定在機架上的固定托架，相關螺釘等隨機配備的產品機箱中。

（三）軟件界面

網御防火墻頁面分為三個區域：工具欄區，菜單區和顯示區。菜單采用類似Windows操作系統資源管理器的樹型結構。

（四）配置管理方法

聯想網御防火墻PowerV防火墻的配置界面有兩種方式：基于web的圖形方式和基于CLI的命令行方式，可以利用網絡連接（SSH）或串口連接進行命令行配置。

1.網絡接口web配置

支持遠程安全管理和集中安全管理兩種方式，優越性更表現在其集中安全管理的特性上。

（1）遠程安全管理——支持SSL協議，采用基于密碼技術的PKI-CA證書認證和基于雙因子硬件一次性口令認證技術的管理員身份認證，使得只有認證通過的管理員才能通過遠程訪問配置web管理界面、操作相關文件，所有防火墻配置文件及與安全有關的數據都經加密處理存放。

（2）集中式安全管理——管理員通過集中管理中心可以對全局網絡中的防火墻進行統一的配置與管理，支持SNMP、SSL協議，利用SNMP的trap機制實現安全事件報警。具體包括：1）拓撲管理：具有設備自動發現功能，使管理員擁有對聯想網御防火墻PowerV設備信息的全局掌握和控制；2）系統監測：監視聯想網御防火墻PowerV的設備運行狀態和統計數據系統狀態，并在事件發生時通過圖形界面向管理員發出通知；3）配置管理：可以對網絡中的聯想網御防火墻PowerV進行統一的安全配置、管理和系統監視。

2.網絡接口CLI配置

提供命令行方式的基本配置管理和災難恢復功能，通過SSH方式進行防火墻的安全管理和維護，并由管理員根據實際需要決定本功能的是否啟用。

3.本地串口CLI配置

基于串口連接，提供命令行方式的基本配置管理和災難恢復功能，提供了管理的安全、方便與靈活性。

（五）網御防火墻PowerV的一般配置過程

以Web界面管理方式為例，配置防火墻一般遵循以下步驟：（1）登錄管理界面；（2）選擇“資源定義”菜單項中的子項，定義地址，服務，用戶，時間，帶寬，需要過濾的URL，網絡環境中存在的VLAN ID等資源；（3）選擇“網絡配置>>網絡設備>>物理設備”，修改網口的工作模式和IP地址。選擇“系統配置>>管理配置>>管理主機”，修改管理主機的IP地址配置。如果網絡環境復雜，還需要配置“網絡配置>>網絡設備”下的VLAN設備，橋接設備，別名設備，冗余設備和VPN設備；（4）選擇“策略配置>>安全規則”，設置相應的包過濾，NAT，端口映射和IP映射規則。其中包過濾規則中包含了設置IPSec，用戶認證，代理的規則。NAT規則中包含了源地址轉換和偽裝的功能。源地址轉換可以明確設定某些源地址轉換成相應的地址；（5）系統保存，單擊上側中部磁盤的圖標，保存系統配置。如果沒有保存就重新啟動，系統將恢復到上一次保存的配置；（6）在日常的維護中，經常觀察防火墻“系統監控”菜單下的內容和日志服務器中的日志信息，以便了解防火墻的工作狀態。

四、網御防火墻在企業中的應用

（一）在電信行業中的應用

電信公司數據通信為各層次用戶提供應用服務，同時數據中心（IDC）服務器群組更是中心的重點。聯想網御Power V 3000 UTM防火墻具有其高性能和高穩定性，可針對電信公司IDC，用來保護數據中心（IDC）服務器群；公司內部網同時使用一臺聯想網御Power V 500 UTM防火墻，其有八個用戶端口，分區管理的特點適合用來保護辦公網絡和內部數據應用系統（內部WEB和視頻會議）。網絡結構拓撲如圖1所示。

圖1 電信公司網絡結構拓撲圖

系統的具體策略設置如下：（1）Power V 3000U UTM防火墻運行在透明模式；（2）開放HTTP，SMTP，POP3，和FTP等服務；（3）啟用病毒功能，同時發郵件報警；（4）Power V 500U UTM防火墻工作在透明模式；（5）訪問Internet策略，網絡內部互相訪問策略；（6）內部網絡入侵檢測策略；（7）網絡病毒防護策略，內部網絡間病毒互相傳染路徑隔離；（8）禁止游戲端口策略。

（二）在高校網絡中的應用

XXX高校是一所部屬院校。校園網主要是給在校師生提供服務。日用戶訪問量最高峰達到幾十萬個連接，總出口300M，提供游戲、電影、課件下載，bbs論壇，Web訪問等服務。通過一臺聯想網御Power V 4000U UTM防火墻提供防護。網絡結構拓撲如圖2所示。

圖2 XXX高校安全拓撲圖

系統的具體策略設置如下：（1）工作在防火墻透明模式；（2）開放FTP、HTTP、SMTP、POP3、SQL Server等服務；（3）啟用病毒檢查和NIDS功能，記錄日志到遠程。

綜上所述，網御防火墻產品采用了獨特的高性能、高安全性、高可靠性的操作系統，提高了自身安全性的同時，加速了多線程的內容處理，為運行在其上層的防火墻、VPN、防病毒等安全引擎提供了強大而安全的性能支持。相信隨著技術的不斷進步，網御防火墻在各個領域中的應用將會更加廣泛。

參考文獻：

[1]明波.聯想網御SUPER V千兆線速防火墻——國內首款自主產權基于NP技術的電信級防火墻[J].網絡與信息，2004（09）.

[2]腳踏火輪躍龍門——聯想全線防火墻產品掃描[J].信息安全與通信保密，2004（10）.

[3]聯想網御千兆防火墻——網御2000FWG[J].計算機安全，2002（06）.

[作者簡介]謝舒（1989.02-），女，重慶合川人，民航西南空管局通信網絡中心自動轉報室職員。