廣州鼎成信息科技有限公司Tel:86AGE廣州鼎成信息科技有限公司地址：廣州市天河區龍口西路77號天信大廈809，TELPAGE１６頁，共NUMPAGES22NUMPAGES-110頁鼎成SECCN防火墻建設方案廣州鼎成信息科技有限公司SeccnComputerNetworkTechnologyCo.,Ltd.廣州鼎成信息科技有限公司Tel:86錄一、鼎成科技簡介 ３二、關鍵技術 ３三、產品簡介 ４四、X86/ASIC硬件體系結構 １２五、數據流處理 １４六、SECCN系列硬件防火墻的技術特點及優勢 １６七、SECCNH500產品優勢及技術參數表 １７八、供貨時限 ２０九、安裝方式 ２０十、售后服務 ２０十一、技術支持方式 ２１***集團防火墻、VPN技術建議書根據***集團現有的網絡狀況及對防火墻、VPN的具體需求，建議***集團中心機房采用鼎成科技的SECCNH500硬件病毒防火墻，此款產品具有高性能的病毒防護和VPN功能，而且具有很高的性價比，不但滿足了商社集團現在的網絡需求，而且也為以后的網絡升級擴展留下了很大的空間。一、鼎成科技簡介廣州鼎成信息科技有限公司是創立于1989年臺北艾崴股份在中國內地的全資子公司，是新一代網絡實時安全防御網關的技術引領廠家，是專業服務器、防火墻、VPN、監控系統等網絡安全產品硬件平臺提供商，協同數十位多年工作于軟件行業的IT精英，而組成的高效率的軟硬件開發和銷售團隊。艾崴自創立以來，基于核心團隊的深厚技術底蘊，一直專注于研發通用計算機網絡安全和網絡管理產品，并積極地進行市場推廣。SECCNH系列UTM產品、G系列VPN防火墻產品、內網監控系統，順利通過ISO9000-2000國際質量體系認證。SECCN網絡終端智能管理平臺獲得國家信息產品部頒發的“軟件產品登記證書”并通過國家公安部“計算機信息系統安全產品”認證。鼎成科技站在高新技術的前沿，致力于為市場提供安全、穩定、全面、易用的網絡終端智能管理系統。鼎成科技推出一種基于X86/ASIC硬件體系結構的新型網絡安全設備－SECCNH系列病毒防火墻。SECCN系列產品除了防火墻、虛擬專用網VPN、和入侵檢測／阻斷的功能外，同時又把防病毒/蠕蟲和內容過濾等應用層功能集中在一個專用的、簡易管理的平臺上，是一套完整的全方位網絡與信息安全解決方案，提供了高效的處理能力。病毒防火墻SECCNH系列擁有十二款不同產品，包括適合于個人辦公環境、小型商務（SOHO）、中小型企業的產品，以及大型企業和運營服務商的千兆位防御網關。鼎成科技成立于1999年，公司總部位于臺北，在澳大利亞、加拿大、法國、德國、日本、韓國、馬來西亞、新加坡、瑞典、泰國、英國及中國大陸、香港等國家和地區均設有分支機構。二、關鍵技術公司擁有11項審核的專利，SECCNH系列病毒防火墻采用了先進的行為加速和內容分析系統技術（AcceleratedBehaviorandContentAnalysisSysltem-ABACASTM），包括SecX86/ASIC內容處理器和SecOSTM操作系統，突破了芯片設計、網絡通信、安全防御及內容分析等諸多難點。公司所獨有的基于X86/ASIC的網絡安全架構能實時進行網絡內容和狀態分析，在網絡邊界布署應用層防護措施，在維持網絡傳輸速度的同時有效的確保了企業網絡安全。SecOSTM內容操作系統是一個高可靠的、高安全的操作系統，可以保證所有的SECCN產品高效率、無阻塞的運行。SECCN的體系結構設計核心處理技術利用了智能排隊和獨特管道管理極大地改善了傳統數據的處理速度。三、產品簡介SECCN的基于X86/ASIC加速的SECCN?系列病毒防火墻產品榮獲了多個獎項，是實時網絡防護系統的前沿產品。產品檢測并阻擋來自郵件的威脅，以及病毒／蠕蟲入侵和不健康網頁的Web流量。所有的檢測都是在實時狀態下進行，不會影響網絡性能。SECCN系統采用專有的易于管理的平臺，通過集中的管理平臺和移動客戶端軟件構筑完善的安全架構。目前網絡架構所面臨的嚴峻挑戰中，大部分直接源自于傳統網絡系統的局限性。因為這些系統缺乏支持內容處理的專用硬件，不能夠突破所謂的內容處理障礙（ContentProcessingBarrier）。也就是說無法在維持網絡傳輸速度的同時，對應用層進行信息內容掃描，監測排除各種危害的內容。SECCN研制的SECCN產品系列則可以突破內容處理障礙，為業界在網絡邊界提供應用層防護設立了一套高性能低成本的新系統。該家族產品的每一款都具有管理靈活、性能全面的特性，可為企業提供多層次的防護措施，包括應用層的病毒防護、內容過濾服務以及在網絡層的防火墻、入侵檢測、虛擬專用網（IPSecVPN、SSLVPN）、流量管理等服務措施。3．1產品功能列表病毒檢測(ICSA實驗室認證)病毒和蠕蟲防御：能夠100%檢測、消除感染現有網絡的病毒和蠕蟲，實時的掃描輸入和輸出郵件及其附件（SMTP，POP3，IMAP，FTP），在不損失Web性能情況下掃描所有Web內容和插件（HTTP）的病毒特征碼。VPN反病毒：消除VPN隧道的病毒和蠕蟲，阻止遠程用戶及合作伙伴的病毒傳播。Web內容過濾處理所有的網頁內容，阻擋不適當的內容和惡意的腳本。Web內容過濾：根據URL、關鍵詞模式匹配阻止Web站點及頁面。免屏蔽列表：允許管理員設置專門的URL或關鍵字不被阻斷。腳本過濾：阻止網頁的插件，例如ActiveX、JavaApplets和Cookies。防火墻(ICSA實驗室認證)符合工業標準的狀態檢測防火墻，很容易配置策略。工作模式：網絡地址轉換，透明模式，端口地址轉換，路由模式。用戶認證：內建用戶認證數據庫，支持RADIUS&LDAP認證數據庫。服務：支持近百種標準服務（例如：NetmeetingGRE、HTTP,OSPF），支持用戶自定義服務和服務組。時間表：根據小時、日、周和月建立一次性或循環時間表，防火墻根據不同的時間表定義安全策略。虛擬映射：通過把外部地址映射到內部或DMZ網絡上的地址使得外部用戶能夠訪問內部的服務器。IP/MAC綁定：自動進行IP與MAC地址的綁定，阻止來自IP地址欺騙的攻擊。流量控制:允許管理員定義帶寬限制并且可以給特定的防火墻策略設置優先等級。VLAN支持：利用虛擬域來支持VLAN子接口反病毒控制：基于防火墻訪問策略的細粒度病毒防御。虛擬專用網(ICSA實驗室認證)在網絡之間或網絡與客戶端之間進行安全通訊，支持工業標準的IPSecPPTPL2TPSSL。密鑰交換算法：支持自動IKE和手工密鑰交換。硬件加速加密：支持DES3DES，和AES加密算法。VPN客戶端通過：支持IPSec和PPTP&L2TP客戶端通過。Hub_and_Spoke:星型VPN網絡NAT_Traversal:穿越NAT外部網絡入侵檢測系統(ICSA實驗室認證)：實時的基于網絡的入侵檢測。攻擊數據庫：用戶可配置的超過1300種攻擊特征庫確保可靠的管理。攻擊檢測：檢測已知的DOSDDOS、攻擊，以及絕大多數操作系統和應用協議的漏洞。郵件報警：當監測到攻擊時，防火墻會同時向3個郵件地址自動發出警報。高可用性(HA)：在失敗恢復期間提供“0”中斷。支持Active-Active負載共享HA接口：可定義的“HA”高可用接口，連接兩臺防火墻狀態失敗恢復。可靠性：冗余電源的支持確保發生電源故障時網絡防御繼續運行。熱交換能力：在電源發生故障時，冗余的電源能夠在不中斷供電的情況下快速安全的切換過來補給供電。日志和報告：將日志記錄到可選擇的20G內部硬盤、遠程Syslog主機或NetIQWebtrends防火墻報表中心。多種日志:流量、事件和攻擊日志。搜索功能:可以根據關鍵字,來源,目的,日期和時間搜索日志記錄。管理：易于使用的、安全的圖形化和命令行界面。快速配置模版：根據配置模版，逐步配置。圖形配置界面：通過IE瀏覽器進行管理。多語言支持：支持英文、中文、日文和韓語。安全遠程管理：通過瀏覽器界面，使用HTTPS，HTTP遠程登錄管理；還可以通過命令行界面，使用SSH,Telnet遠程管理。LCD配置管理：使用前面板簡單的按鍵和LCD對接口地址快速設置。命令行界面：提供Console口或安全遠程連接。SECCN?的病毒防火墻系列產品，是在網絡邊緣提供完整保護服務的專用硬件產品。基于SECCN的ABACAS?技術和SecX86/ASIC?內容處理器，SECCN?系列突破了內容處理障礙，提供實時的網絡防御，防御基于內容的安全威脅(例如病毒和蠕蟲)，還具有防火墻、VPN、入侵檢測、內容過濾和流量控制功能。并且提供了高性價比、方便的和強有力的解決方案來檢測、阻止攻擊，防止不正常使用和改善關鍵網絡應用的服務。3．2為什么定義為病毒防火墻？傳統的防火墻和VPN設備不能阻止病毒和非法的網絡內容進入網絡內部，他們無法解決對進入內部的郵件、文件和Web頁面進行應用層檢測而花費巨大系統資源的問題，所以傳統的網絡設備無法阻止來自網絡的病毒和不適合的內容。單一的防病毒產品（包括軟件或硬件）無法做到網關級的病毒掃描，并且要配置適應不同的操作系統或軟件系統才能做到防病毒，也不具備網絡安全的其他功能，從安全的整體性到對網絡適應的靈活性都很難達到要求。SECCN病毒防火墻利用X86/ASIC硬件技術進行數據包內容病毒掃描，保證了網絡的性能。它能夠對進出SECCN設備的數據流做實時病毒掃描處理，并且100%覆蓋業界著名的Wildlist組織的病毒庫，提供了用戶手動、自動升級病毒庫，或服務器推送式病毒庫更新功能。而且SECCN還具有防火墻、VPN、NIDS和內容過濾等安全功能。所以SECCN稱之為病毒防火墻，也是世界上僅有幾家的基于X86/ASIC芯片技術獲得ICSA認證的病毒防火墻之一。3．3基于網絡的防病毒互聯網是一個連接全球豐富資源的大網絡，它讓成千上萬億的線上用戶運用廉價（或免費）的資料，交換彼此的想法、直接而實時的溝通。隨著互聯網應用的飛速發展，用戶對網絡信息的依賴性也倍速增長，網絡病毒也伴隨著網絡的發展而迅速增長，互聯網的技術支持需求隨之成為企業IT部門最主要的業務負擔。為了保障互聯網的暢通和安全，為網絡全方位安全而設計基于網絡的病毒防火墻（SECCN系列）無疑是IT人員的最佳幫手。SECCN病毒防火墻是網關級的安全設備，它不同于單純的防病毒產品。SECCN在網關上做HTTP、SMTP、POP和IMAP的病毒掃描，并且可以通過策略控制流經不同網絡方向的病毒掃描或阻斷，其應用的靈活性和安全性將消除用戶不必要的顧慮。3．4分區域安全管理的特色安全域是在同一個平等的安全層次上傳送流量的一組接口，域間的流量不在同一個平等的安全層次上，必須有安全策略來控制，同一安全區域內的接口可以屏蔽通信或開啟通信。SECCN安全域包含系統域定義的和用戶自定義的安全域，策略引擎控制域間流量，明確列出來源和目的域的策略控制。各安全域之間不但可以自由設置工作模式，而且可以自由設置安全級別。3．5VPN功能SECCN產品系列工業標準的VPN在兩個SECCN保護的網絡或SECCN與支持IPSec、SSL、PPTP或L2TP的第三方VPN保護的網絡之間建立加密流量傳輸隧道。VPN隧道終止后，SECCN自動地加密VPN流量，并發送內容穿過反病毒引擎。SECCNVPN的特性包括以下幾點：ICSA實驗室認證支持PPTP、L2TP、IPSec以及透明模式下的VPN支持PPTP、IPSec遠程客戶端支持IPSec安全隧道模式支持SSL安全隧道模式支持基于策略的VPN通信硬件加速加密IPSec，DES，3DES，AESHMACMD5或HMACSHA認證和數據完整性自動IKE和手工密鑰交換SSHIPSEC客戶端軟件,支持動態地址訪問，支持硬件IKE通過第三方操作系統支持的PPTP建立VPN連接通過第三方操作系統支持的L2TP建立VPN連接IPSec和PPTPVPN穿越使你的內部網絡的計算機或子網能夠連接到互聯網上的VPN網關IPSecNAT在途徑NAT設備阻斷的情況下建立IPSec隧道支持HUB-and-Spoke星型VPN，該功能允許在分支機構與總部之間容易的建立VPN隧道，這樣減輕了管理員在許多分支機構與總部之間維護需要安全通訊的VPN隧道3．6防火墻功能SECCN系列產品防火墻都是基于狀態檢測技術的，保護你的計算機網絡免遭來自Internet的攻擊。防火墻通過仔細地設置接口，提供了安全控制策略，甚至在復雜的情況下仍可做詳細的控制。SECCN安全策略基于策略的反病毒和Web內容過濾通過網絡分段和細粒度的策略到達多個區域控制輸入、輸出流量對所有策略選項支持阻止、允許、加密、認證訪問基于時間的策略控制接收或拒絕單個地址到達或發送的流量控制個別組標準的和用戶自定義的網絡服務對用戶授權認證，支持基于用戶的策略控制對每個策略可以進行基本帶寬、保障帶寬以及優先級設置的流量控制支持動態IP地址池，允許配置使用地址池的NAT靈活策略基于策略的日志記錄病毒檢測與蠕蟲防御ICSA實驗室認證能夠100%檢測、消除感染現有網絡的病毒和蠕蟲。實時的掃描SMTP、POP3、IMAP、HTTP和FTP流量的病毒特征碼。可自定義掃描文件的尺寸。可清除隱含在ZIP、RAR壓縮文件中的病毒和蠕蟲。消除VPN隧道的病毒和蠕蟲，阻止遠程用戶的病毒傳播。狀態檢測防火墻ICSA實驗室認證符合工業標準的狀態檢測防火墻，容易配置策略。多種工作模式，NAT地址轉換模式、透明模式、路由模式。可以根據不同的時間表定義安全策略。內建用戶認證數據庫，支持LDAP、RADIUS認證數據庫支持端口映射或DMZ功能支持IP/MAC綁定，支持流量控制入侵檢測/阻斷ICSA實驗室認證實時的基于網絡的入侵檢測/阻斷阻斷已知的34種DOS、DDOS、操作系統和應用協議的漏洞攻擊檢測超過1300種攻擊特征庫確保可靠的攻擊檢測管理內容過濾根據URL、關鍵字、詞組過濾阻止WEB站點及頁面提供全球6種不同語言內容的過濾允許管理員設置專門的URL或關鍵字不被阻斷阻止網頁的插件，例如ActiveXJavaApplets和Cookies提供E-Mail過濾，針對關鍵字、黑名單、免過濾列表管理功能支持英文、中文、日語、韓語等多種語言通過IE瀏覽器采用圖形化界面快速配置可以通過HTTP、HTTPS遠程登錄管理可能通過命令行界面，使用SSH、Telnet遠程管理。提供Console口或安全遠程連接使用前面板簡單的按鍵和LCD對接口地址快速設置日志和報告可日志記錄、遠程Syslog主機或NetlQWebtrends防火墻表中心可記錄多種日志形式，流量、事件、攻擊、和內容過濾日志。可根據關鍵字、來源、目的、日期、和時間搜索日志記錄。提供7種日志級別，用戶自定義日志類型，將不同級別的日志記錄到不同的目的地。3．7網絡地址轉換在NAT模式，SECCN產品系列在內部網和Internet之間設置了一個秘密的屏障，防火墻提供了網絡地址轉換來保護私有網絡。NAT模式下，你可以添加DMZ網絡來提供內部服務器給Internet用戶訪問，DMZ區是在防火墻的后面不同于內部網的獨立網絡。你還可以配置8個用戶自定義接口給用戶提供多安全區域管理。3．7．1NAT模式下的防火墻功能：§防火墻防御，按照源/目的地址、服務和時間來允許/拒絕流量§VPN，反病毒和Web內容過濾§IP/MAC綁定§高可用性（HA），在主SECCN工作失敗后做備份的SECCN產品能夠接替它繼續工作。§用戶自定義的接口提供了多區域安全管理。§記錄到WebTrend的Syslog服務器的詳細日志§支持基于策略的NAT配置3．7．2透明模式：當一個預先設置好使用公共地址的網絡需要防火墻保護時，透明模式提供了更快捷更簡易的安裝，防火墻的內部網接口和外部網接口能夠共存于兩個相同的網絡中，因而，防火墻可以在不需要對已有網絡進行任何改動的前提下將其接入到網絡中的任何一點。數據包到達SECCN后會快速轉發到正確的網絡端口，同時防火墻策略防止對網絡的未授權訪問。透明模式下同樣提供了完善的防火墻保護功能（NAT地址翻譯和VPN加密功能除外）3．8網絡入侵檢測SECCN產品內置的NIDS系統，可以防護包括以下內容的超過1300多種方式的攻擊：§分布式拒絕服務攻擊(DDoS)§SYN攻擊§ICMPFlood§UDPFlood§IP碎片攻擊§死Ping攻擊§淚滴攻擊§LandAttack§端口掃描攻擊§IP源路由§IP欺騙攻擊§AddressSweepAttack§WinNuke攻擊?CGI腳本漏洞，包括Phf,EWS,info2www,TextCounter,GuestBook,Count.cgi,handler,webdist.cgi,php.cgi,files.pl,nph-test-cgi,nph-publish,AnyForm,FormMail等?WebServer攻擊?WebBrowser攻擊，包括URL,HTTP,HTML,JavaScript,Frames,Java,ActiveX?SMTP(SendMail)攻擊?IMAP/POP攻擊?BufferOverflow?DNS攻擊，包括Bind和Cache?TrojanHorse攻擊，包括BackOrifice2K,IniKiller,Netbus,NetSpy,Priority,Ripper,Striker,SubSeven一旦SECCN發現其中一種攻擊，該攻擊就會被記錄到攻擊日志中，包括攻擊主機地址和端口、時間以及攻擊方式，用戶可以選擇是否開啟相應的入侵檢測選項，同時可以通過日志信息連接到相關網站資源了解攻擊說明。3．9WEB內容過濾SECCN產品家族提供了三種中高性能的內容過濾方式，包括URL過濾，關鍵字阻塞，腳本過濾。這些特性作為網絡層服務提供WEB內容過濾(HTTP)。3．9．1URL過濾§包括基本的URL數據庫(SquidGuard)，有50多萬個URL§用戶定制化的數據庫§從管理接口上傳和下載限制的URL列表§選擇URL進行阻塞§可定義的用戶反饋信息3．9．2關鍵字阻塞§多個單詞或詞組過濾§完全用戶化的關鍵字列表§單字節和雙字節的詞語過濾§自動上傳和下載限制的詞語§可定義的用戶反饋信息3．9．3腳本過濾§允許或拒絕Javaapplets,ActiveX,Cookies和MaliciousScripts3．10可升級的病毒保護病毒和蠕蟲防御在網絡邊界處提供，在web流量(HTTP),email流量(SMTP,POP3,和IMAP)和安全域之間對以下的類型文件進行信息檢查。§執行文件Executablefiles(exe,bat,andcom)§Visuanbasic文件Visualbasicfiles(vbs)§壓縮文件Compressedfiles(zip,gzip,tar,hta,andrar)§屏幕保護文件Screensaverfiles(scr)§動態鏈接庫Dynamiclinklibraries(dll)§MSOffice文件MSOfficefiles§過濾可定義的附件文件類型，支持通配符配置§可定義的用戶化反饋信息SECCN產品上的病毒檢查可以配置成過濾特定目標文件，檢測特定病毒代碼或不做病毒檢測。用戶可以選擇先進行特征掃描，然后進行特定文件過濾。在網絡邊界處進行病毒掃描的好處是在數據進入內部網絡之前清除威脅，使系統管理員從繁重的工作中解脫出來，在傳統的方式下，管理員必須檢查每一個主機的病毒軟件是否更新，如果有一個主機被感染，整個網絡都會面臨崩潰的危險。病毒掃描同樣在所有的VPN解密數據流根據協議進行掃描，網關-網關和客戶-網關病毒保護在通道終結后進行檢測。3．11獨特的內容過濾SECCN的內容過濾不同于傳統的基于主機系統結構內容處理產品，在SECCN設備內沒有硬盤，是網關級的內容過濾，是基于ASIC芯片硬件技術實現的。SECCNASIC內容處理器包括功能強大的特征掃描引擎，能使很大范圍類型的內容與成千上萬種關鍵詞或其它模式的“特征”相匹配。具有根據關鍵字、URL或腳本語言等不同類型內容的過濾，還提供了免屏蔽列表和組合關鍵詞過濾的功能。3．12基于網絡IDS的/IDP功能SECCN網絡入侵偵測/阻斷系統(NIDS/IDP)是一種實時網絡入侵檢測傳感器，它能對外界各種可疑的網絡活動進行識別及采取行動。NIDS使用攻擊特征庫來識別超過1300多種的攻擊。為通知系統管理員有攻擊，NIDS將此攻擊及一切可疑流量記錄到攻擊日志中，并根據設置發送報警郵件。SECCN可定期更新攻擊數據庫。您可下載并手動安裝攻擊數據庫。也可設置SECCN自動查詢和下載更新的IDS數據庫。SECCNNIDS/IDP可以檢測并阻斷多種類型攻擊，例如拒絕服務攻擊（包括Smurfflood，TCPSYNflood,UDPflood和ICMPflood，PingofDeath，Teardrop等）。3．13VPN遠程客戶端軟件SECCNRemoteVPNClient是遠程VPN客戶端軟件，使用了工業標準的IPsec加密和認證和因特網密鑰交換（IKE）管理技術。IPSec客戶端軟件，安裝在Windows主機（桌面或筆記本電腦）或工作站上，目的在于保護基于IP的通信，簡化對網絡、設備、公共或非信任網絡中其它主機的安全遠程接入。通過采用IPSec協議和第二層通道協議（L2TP），實現安全性。SECCN的遠程VPN客戶端軟件的獨特之處是帶有個人防火墻（PersonalFirewall），保護遠程客戶免受攻擊和惡意流量，防范網絡后門攻擊，有條件地過濾進出流量，并提供IPsec數據加密前和IPsec數據加密后過濾。借助防火墻的功能，網絡確保只有經過選擇的流量和應用才能允許進入和離開VPN。同時，網絡地址轉換技術保證了遠程VPN客戶端與已有的防火墻和網絡地址轉換系統可以容易地集成。VPN集中管理使管理員能從中心控制和改變安全策略。四、X86/ASIC硬件體系結構4．1系統結構SECCN設計為傳送千兆位吞吐量，并優化為第七層，以及第二層和第三層包處理。系統由以下四個主要部分組成：SECCN內容處理硬件體系結構1)內容處理加速模塊ContentProcessingAccelerationModule(CPAM)–SECCN中有兩個部件，每一個由一個ASICCP-1內容處理芯片和一個內容處理加速單元(CPAU)組成。CPAU有一個專用的內容檢測處理器，它與其它專用硬件一起，優化為強化內容搜索，模式識別，和數據分析–大多時間消耗在病毒掃描，內容過濾和基于網絡的入侵檢測。ASIC芯片包含一個專利的內容處理引擎，以及加密加速引擎和內置的防火墻策略引擎。這些引擎分別處理防病毒和蠕蟲探測、NIDS特征探測，DES、3DES、AES加速加密、NAT和執行防火墻策略。CPAM模塊有專用的快速存儲器，所以很少要求通過總線與管理模塊中的系統內存相交互。正是由于這一有效的數據流動體系結構，SECCN能達到應用層內容處理的高吞吐量。2)管理模塊ManagementModule(MM)-MM是基于ASIC體系設計。管理模塊的功能是流程控制，和處理不能被內容處理加速模塊有效處理的包和流量。MM還支持各種管理接口和相關的功能（GUI，CLI,SNMP等）。3)背板總線模塊BackplaneBusModule(BBM)-BBM由數據通道(Datapath)和管理總線組成。這一模塊的特點是多總線設計，它控制在兩條不同的總線上發生的信息和數據交換–控制在管理通道（Managementpath）上的信息流程，和數據通道上模塊行程之間的數據交換，以提供多Gbps負載流量能力。這一設計導致了在不同模塊之間的高效率通信。4)接口模塊InterfaceModule(IM)-支持輸入/輸出接口，包括3個10/100BaseTX端口。流量通過這些物理接口進入和離開SECCN系統。根據流量的特點，包被路由到管理模塊或內容控制處理加速模塊去處理。以下一段介紹內容處理模塊，并說明SECCN如何通過獨特設計的硬件加速來達到應用層處理的高性能。4.2內容處理加速引擎：CP1內容處理器ASIC–CP1內容處理器與OS操作系統一起，組成了技術的核心。ASIC–CP1由高性能數據流加密和內容掃描加速組成，在單個芯片上提供了綜合的內容處理解決方案。CP1內容處理器利用模塊設計，包含有四個數據處理引擎：★特征掃描引擎該引擎支持高速掃描病毒，蠕蟲和入侵攻擊特征以及被禁止的內容。鍵的部件是模式匹配模塊，它將文件的一個一個字節，與表示病毒、蠕蟲和入侵攻擊存在或黑名單上的內容的數據庫相匹配。病毒和蠕蟲特征存儲在專用的高速存儲器中，它直接被ASICCP1存取，而任何數據不在數據通道上傳輸。這一方法將掃描活動與包傳輸完全隔離，從而SECCN能在支持應用層處理時不降低系統性能。當流量從一個應用層協議HTTP,SNMP,POP3IMAP之一傳到達時，OS將包導向到ASIC芯片，它在專門的掃描存儲器中將包組合為文件。ASIC掃描引擎將數據與直接與它連接的高速存儲器中的特征數據庫匹配。一旦掃描完成，ASIC與管理模塊接口，告示掃描的結果，并接受下一批數據。操作在被檢測有攻擊時進行，或者整個文件被掃描時進行。★加密引擎ASICCP1提供高性能加密引擎，支持DES,Triple-DES,AES加密。Triple-DES的吞吐量高達600Mbps.★安全策略引擎這一子系統提供包和協議的分隔(parsing)，是能快速對策略匹配包流程的關鍵。策略引擎處理防火墻功能，例如地址翻譯和狀態檢測，管理包的重新組合和分裂。★內容處理加速單元（CPAU）內容處理加速單元（CPAU）是作為一個額外的加速引擎，進一步加速應用層處理。CPAU功能上與ASIC類似。OS能智能地將內容處理、數據加密和安全策略處理的任務分別在ASIC和CPAU之間分配。CPAU在建立和管理會話相關的強化處理任務中擔負著重要的角色，包含了公共密鑰(publicKeyCryptography)引擎，以加速密鑰的產生和改變。CPAU是可編程的并可用軟件升級的,以便適應新的算法和應用。4.3高可靠性SECCN是為滿足大型企業和運營服務商設計的，高可靠性是設計中最重要的考慮因素。☆在部件級，使用高質量部件，部件均由獲得ISO-9000認證的提供商提供☆利用誤差檢測和校正存儲，以防止存儲故障為了保證最大的可靠性，可將SECCN配置為冗余、高可用性模式，如OS一節所述。熱備份單元使得在單元發生故障時能維持當前的會話。五、數據流處理SECCNASIC內容處理器包括功能強大的特征掃描引擎，能使很大范圍類型的內容與成千上萬種“特征”、入侵攻擊、關鍵詞或其它模式的“特征”相匹配。SECCNASIC還包括加密加速引擎，以支持高性能VPN加密和解密。SECCN網關，能“看到”隧道內部，防止有害成分進入專用網絡，不然它們會不受檢查而通過隧道。另外，SECCNASIC芯片包含了加速數據包頭分析（對防火墻處理和入侵檢測）的硬件引擎，以及支持流量管理的流程管理引擎。SECCN系統通過掃描內容協議中所載的信息，保護基于內容的攻擊，例如病毒和蠕蟲，并防止網絡遭受不想要的郵件和不合適的內容之滲入。內容協議攜帶web流量（HTTP）和郵件流量（SMTP,POP3,IMAP）。當SECCN接收到網絡流量時，內容掃描即開始，并將所有的內容協議流量導向到TCP/IP棧。高性能的由硬件輔助的TCP/IP棧控制所有的內容協議處理。當內容流一開始被接收時，TCP/IP棧先建立到客戶端(client)和服務器端(server)的連接，以開始傳輸數據包。然后棧接收數據包，并將它們轉換為內容流(contentstream)。內容流按照它們的業務類型而被分開，送到一個相關的命令分析程序(parser)。有一個命令分析程序專門用來理解每一個內容協議。命令分析程序分析內容流的內容，這里面有可能包含了病毒/蠕蟲、禁止的內容或其它攻擊性內容、網絡入侵等。例如，如果內容流是HTTP流，命令分析程序掃描上傳和下載的文件。如果內容流是郵件流，命令分析程序掃描郵件附件或嵌入的代碼。如果數據流包含上傳/下載的文件或郵件附件，依據策略的配置,決定是否送入病毒掃描引擎。所有其它內容則被路由到內容過濾引擎；如果用戶選擇了內容過濾功能,則掃描引擎是開啟的，數據流則根據內容過濾的設置，或者被過濾掉，或者允許通過。當病毒掃描引擎接收到一個新的內容流時，它對可能含有病毒和蠕蟲的目標文件的數據流掃描。病毒掃描引擎對所有使用HTTP上傳/下載的文件或郵件的附件進行掃描。病毒掃描引擎掃描檢查目標文件，可能是可執行文件（exe,bat,com），visualbasic文件(vbs)，壓縮的文件（zip,gzip,tar,hta,rar），屏幕保護文件（scr），動態鏈接庫文件(dll)，或MSOffice文件格式等。大多數HTTP文件和郵件的附件使用多應用因特網郵件擴展MIME（MultipurposeInternetMailExtension）格式。病毒掃描引擎能夠分析MIME文件，而查找目標文件。所有被病毒引擎發現的文件都被阻擋，然后根據SECCN病毒引擎的保護設置來進一步的處理。SECCN采用狀態檢測的方式對所有會話進行檢查，避免了數據流的安全隱患。當一個數據包到達防火墻接口時，馬上被網絡層攔截，系統執行包格式和數據幀的有效性檢查，如果數據幀無效，則丟棄。例如MAC地址為全零狀態。如果數據包有效，系統在會話表中查找，看是否屬于原有會話的一部分（盡管UDP數據包是無連接的，但OS建立了一個“假冒會話”來代表每一個唯一的UDP數據流。5．1如果會話已經存在，系統檢查TCP的序列號和標識域代碼，確保本會話屬于原來的一部分。舉例，一個無效的序列號可能表示一個會話的劫持。系統校驗這個會話中最后接受的數據包的序列號在64，000(16bits)范圍內。數據包通過檢查后傳輸到路由引擎和策略引擎進行處理。5．2如果會話不存在，數據包將被分類，系統必須查找策略來確定數據包下一步的處理流程,如果發現匹配策略成功，則建立一個新的會話入口，根據前面所描述的控制流程繼續處理。六、SECCN系列硬件防火墻的技術特點及優勢●性能強大傳統的防火墻和VPN設備不能阻止病毒和非法的網絡內容進入網絡內部，他們無法解決對進入內部的郵件、文件和WEB頁面進行應用層檢測而花費巨大系統資源的問題，所以傳統的網絡設備無法阻止來自網絡的病毒和不適合的內容。●安全穩定SECCN病毒防火墻系列基于ASIC硬件體系結構，采用先進獨特的行為加速處理和內容分析系統技術（ABACAS），它克服了傳統安全類產品在內容處理上的障礙，突破了以往芯片設計、網絡通信、安全防御及內容分析等諸多難點。SECCN病毒防火墻利用ASIC硬件技術進行數據包內容病毒掃描，保證了網絡的性能。它能夠對進出SECCN設備的數據流做實時病毒掃描處理，并且100%覆蓋業界著名的WILDLIST組織的病毒庫，通過策略控制流經不同網絡方向的病毒掃描或是阻斷，提供了用戶手動、自動升級病毒庫，或服務器推送式病毒庫更新功能。SECCN還具有防火墻、VPN、NIDS和內容過濾等安全功能。SECCN系列防火墻獨有的行為加速處理和內容分析系列技術（ABACAS），包括FORTIASIC內容處理器和FORTIOS操作系統，提供了實時的內容處理。FORTIASIC內容處理芯片系列包括強大的具有專利技術的掃描引擎，對數據包和文件進行模式匹配，在保證高性能的流量下阻止多樣化的內容攻擊。FORTIASIC芯片同時包括集成的密鑰加速引擎，保證了線速的數據加密和認證，具有VPN功能。集成的VPN使SECCN能夠高速處理加密/解密數據。FORTIOS內容處理操作系統是一個高可靠的、高安全的操作系統，可以保證所有的SECCN產品高效率、無阻塞的運行。●多種認證獲得國際著名的ICSA四項認證，為世界唯一廠商，獲得國家信息安全測評認證中心證書通過國家計算機病毒防治中心檢驗中心測試2004年3月，SECCN3000榮獲《計算機世界》企業級千兆防火墻“推薦產品獎”2004年2月，SECCN3600病毒防火墻榮獲CRN測試中心推薦產品2004年1月，SECCN3600榮獲《搜索網絡》的“年度產品金獎”2003年10月，SECCN系列榮獲《VARBusiness(增值商業務)》雜志安全產品“技術革新最高獎”2003年6月，SECCN400病毒防火墻榮獲《InternetTelephony》的“編輯選擇獎”<PCMAGAZINE>亦對SECCN系列產品給予了極高的評價。●通用性與其它產品的兼容溝通性好。七、SECCNH500產品優勢及技術參數表（產品以實物為準）SECCNH500是中型辦公室的理想解決方案。SECCNH500支持一條WAN鏈路適合冗余Internet連接，還集成5個交換端口節省了外部的Hub或Switch，外部的設備直接連接到SECCNH500。2個CONSOLE端口滿足將來增加設備的需要，例如連結撥號的調制解調器或其他設備。非常適合中型商業機構、遠程辦公室、零售店和遠程寬帶地點，SECCNH500提供了無與倫比的功能、速度和性價比。SECCNH500可以自動實現定期的更新，通過SECCN公司的實時響應服務器提供了持續的更新以保護網絡不受病毒，蠕蟲，木馬及其他攻擊，隨時隨地的安全保護。產品優勢提供完整的網絡保護：基于網絡的病毒防御，WEB內容過濾，防火墻，VPN，NIDS功能基于專用的X86/ASIC硬件體系，提供了高性能和高可靠性保持網絡性能的基礎下，消除病毒和蠕蟲的威脅自動更新病毒和攻擊數據庫，同時可以支持遠程服務器的主動“推送”更新集成5個交換端口節省外部需要的switch或hub，提供了未來增加設備的CONSOLE接口基于WEB（GUI）的配置界面提供了多語言支持主要的特性和益處特性描述益處基于網絡的病毒防御（ICSA認證）實時檢測和清除病毒和蠕蟲。掃描進出的E-MAIL附件(SMTP,POP3,IMAP)和WEB流量在網絡的邊界處消除了危險的入侵VPN病毒防御檢測和清除VPN數據內的病毒和蠕蟲防止遠程用戶及分支辦公室網絡的病毒傳播防火墻（ICSA認證）業界標準的狀態檢測防火墻安全可靠的系統防御，良好的性能和穩定性WEB內容過濾處理所有的WEB內容，可以屏蔽有害的WEB頁面和代碼，支持URL和關鍵字提高企業的生產力，有效利用網絡資源，提供了完善的管理和監控能力VPN（ICSA認證）業界標準的PPTP，L2TP和ICSA認證的IPSEC支持極大降低的運營及管理成本，使企業可以在Internet上構筑自己的私有網絡NIDS（入侵檢測）可選擇的數據庫（>1300）監控外部的攻擊遠程訪問支持遠程用戶的加密訪問，提供了IPSEC客戶端軟件提供了廉價的無處不在的網絡服務和安全控制CONSOLE擴展端口CONSOLE端口支持將來增加包括撥號或寬帶Modem設備可擴展性，投資保護集成的4個交換端口集成的4個10/100M以太交換端口適合直接連接到設備節省了外部需要的switch或hub系統規格規格說明SECCNH500SECCNH500接口E-mail通知病毒/攻擊√10/100M7VPN通道監控√DMZ口√網絡功能CONSOLE口2多個廣域網口支持√系統性能PPoE客戶端√并發會話50,000DHCP客戶端√新會話/秒2,000DHCP服務器（Internal)√防火墻性能（Mbps）70系統管理168bit3DES加密（Mbps）20控制接口（RS232）√無用戶數限制無限制**WebUI(https)√策略數500多語言支持√調度256命令行接口√病毒，蠕蟲清除安全命令行（SSH）√基于策略控制√FortiManager系統√自動病毒更新√管理（FortiResponse響應