天融信下一代防火牆

北京天融信科技有限公司（簡稱天融信）1995年成立，總部設在北京。作為中國信息安全行業領導企業，二十三年來天融信人憑藉著高度民族使命感和責任感，秉承“融天下英才、築可信網路”的人才理念，成功打造出中國信息安全產業領先品牌TOPSEC。

從1996年率先推出填補國內空白的自主智慧財產權防火牆產品，到自主研發的可程式ASIC安全晶片，到全球首發新一代可信並行計算安全平台，再到雲時代超百G機架式“擎天”安全網關；天融信公司堅持自主創新完成了國內安全產品跟隨、跟近甚至超越國際知名產品的過渡。2001年天融信率先推出“TOPSEC”聯動協定標準，2005年提出“可信網路架構（TNA）”，2008年提出構建“可信網路世界（TNW）”。無論安全技術還是安全理念，天融信始終引領和見證著中國信息安全產業發展的每一個里程碑。

歷經十六年的市場考驗與技術積累，天融信目前擁有包括政府、軍隊、金融、能源、電信、教育等眾多行業的數萬家客戶，同時積極嘗試拓展海外市場。公司建立了以北京為中心覆蓋全國三十多個省市的支撐服務平台，擁有由近千名信息安全專業研發、技術與服務人員構成的強大服務團隊。據權威機構統計，天融信品牌連續多年位居中國信息安全產品市場占有率領先地位。時至今日，公司已經發展成為中國知名的信息安全技術研究、產品開發和安全服務的高科技企業，正在努力向世界級信息安全企業的目標邁進。

天融信將“可信網路安全世界”作為品牌理念，以“可信安全管理(TSM)”為架構核心，攜手客戶和合作夥伴整合資源，共同創建一個可信的、安全的網路世界。

2012年伊始，NGFW(Next generation firewall)即下一代防火牆已經成為業界的熱點聲音。雲計算、WEB2.0及移動網際網路等一系列新套用技術被廣泛使用，Gartner2009年定義NGFW時的認知已經明顯不足。NGFW商標持有者，也是中國國內最知名的信息安全品牌TOPSEC(天融信)給出了下一代防火牆必須具備六大特質：基於用戶防護、面向套用安全、高效轉發平台、多層級冗餘架構、全方位可視化、安全技術融合。這也補充了Gartner2009年定義NGFW時，對於雲計算、web2.0、移動互聯等新技術的認知不足。

傳統防火牆可以緩解簡單的網路攻擊，而“新一代”防火牆可以應對企業數據中心的出站漏洞。但只有基於新型數據中心防火牆架構可以在確保基於標準的合規性的同時，通過消除防火牆設備和升級以及最大限度利用其它數據中心資源來顯著降低資本支出。這種新型數據中心防火牆架構在網路邊界擁有全代理、高連線能力的ADC。

天融信NGFW系列產品基於天融信公司十餘年高品質安全產品開發經驗結晶的NGTOS系統平台。NGTOS以多核硬體架構為基礎，分為系統核心層、硬體抽象層及安全引擎層。在安全引擎層內，根據安全功能模組協定特性的不同，分為數據引擎組與套用引擎組。通過將引擎組與多核硬體架構的完美整合，使NGTOS在系統層面實現了全功能多核並行流處理。而在硬體抽象層則可利用多種加速技術，根據各個核心的實時負載情況，將流量以動態的方式均衡到CPU的各個核心，從而保證了整個CPU效率執行最大化。

TopTurbo數據層高速處理技術是一套用於將數據進行快速轉發的綜合解決方案。通過與Intel的深入合作，利用TopTurbo技術將數據包高速處理解決方案快速遷移到最新的Intel架構平台上，與Intel多核平台合而為一，以獲得最大的網路處理性能。天融信NGTOS系統平台通過在硬體抽象層引入TopTurbo技術使單塊安全引擎卡的網路吞吐能力獲得了重大突破，而在天融信的並行多級硬體架構下通過部署多安全引擎卡將使NGFW下一代防火牆系列的旗艦機型整機網路吞吐達到320Gbps。

天融信NGFW下一代防火牆產品，採用高度集成的一體化智慧型過濾引擎技術。其能夠在一次數據拆包過程中，對數據進行並行深度檢測，從而保證了協定深度識別的高效性。另外，天融信NGFW下一代防火牆產品基於八元組高級訪問控制設計，除傳統的五元組控制以外，實現了用戶身份信息、應用程式指紋及內容特徵的識別與控制，充分體現了下一代防火牆“基於用戶防護”與“面向套用安全”的設計理念。

傳統防火牆策略都是依賴IP或MAC地址來區分數據流，不利於管理也很難完成對網路狀況的清晰掌握和精確控制。下一代防火牆則具備用戶身份管理系統，實現了分級、分組、許可權、繼承關係等功能，充分考慮到各種套用環境下不同的用戶需求。此外還集成了安全準入控制功能，支持多種認證協定與認證方式，實現了基於用戶的安全防護策略部署與可視化管控。

在套用安全方面，下一代防火牆應該包括“智慧型流檢測”和“虛擬化遠程接入”兩點。一方面可以做到對各種套用的深層次的識別；另外在解決數據安全性問題方面，通過將虛擬化技術與遠程接入技術相結合，為遠程接入終端提供虛擬套用發布與虛擬桌面功能，使其本地無需執行任何套用系統客戶端程式的情況下完成與區域網路伺服器端的數據互動，就可以實現了終端到業務系統的“無痕訪問”，進而達到終端與業務分離的目的。

為了突破傳統網關設備的性能瓶頸，下一代防火牆可以通過整機的並行多級硬體架構設計，將NSE（網路服務引擎）與SE（安全引擎）獨立部署。網路服務引擎完成底層路由/交換轉發，並對整機各模組進行管理與狀態監控；而安全引擎負責將數據流進行網路層安全處理與套用層安全處理。通過部署多安全引擎與多網路服務引擎的方式來實現整機流量的分散式並行處理與故障切換功能。

下一代防火牆設備自身要有一套完善的業務連續性保障方案。針對這一需求，必須採用多層級冗餘化設計。在設計中，通過板卡冗餘、模組冗餘以及鏈路冗餘來構建底層物理級冗餘；使用雙作業系統來提供系統級冗餘；而採用多機冗餘及負載均衡進行設備部署實現了方案級冗餘。由物理級、系統級與方案級共同構成了多層級的冗餘化架構體系。

下一代防火牆還要注意“眼球經濟”，必須提供豐富的展示方式，從套用和用戶視角多層面的將網路套用的狀態展現出來，包括對歷史的精確還原和對各種數據的智慧型統計分析，使管理者清晰的認知網路運行狀態。實施可視化所要達到的效果是，對於管理範圍內任意一台主機的網路套用情況及安全事件信息可以進行準確的定位與實時跟蹤；對於全網產生的海量安全事件信息，通過深入的數據挖掘能夠形成安全趨勢分析，以及各類圖形化的統計分析報告。

動態雲防護和全網威脅聯防是技術融合的典範。下一代防火牆的整套安全防禦體系都應該是基於動態雲防護設計的。一方面可以通過“雲”來收集安全威脅信息並快速尋找解決方案，及時更新攻擊防護規則庫並以動態的方式實時部署到各用戶設備中，保證用戶的安全防護策略得到及時、準確的動態更新；另一方面，通過“雲”，使得策略管理體系的安全策略漂移機制能夠實現物理網路基於“人”、虛擬計算環境基於“VM”（虛擬機）的安全策略動態部署。