防火墙系统(NSG系列)技术白皮书

目录

1产品概述 (1)

2产品特色 (2)

2.1灵活的管理接口 (2)

2.2管理员权限分权分立 (2)

2.3安全隔离的虚拟系统 (3)

2.3.1一机多用，节省投资 (3)

2.3.2灵活配置，方便管理 (3)

2.3.3业务隔离，互不影响 (3)

2.4全面的IPv6Ready能力 (4)

2.4.1IPv4/IPv6双栈 (4)

2.4.2跨栈隧道方案 (5)

2.5多层次可靠性保证，整机可靠性高 (7)

2.5.1硬件可靠性 (7)

2.5.2整机可靠性 (10)

2.5.3系统可靠性 (16)

2.5.4链路可靠性 (16)

2.6智能DNS解析 (22)

2.7地理位置识别（国内+国际） (22)

2.8全面、智能的路由功能 (22)

2.8.1全面的路由功能 (22)

2.8.2精确的多出口ISP路由智能选路 (22)

2.8.3对称路由保证来回路径一致 (23)

2.8.4高适应性的路由负载均衡算法 (23)

2.9一体化的安全策略 (23)

2.10全面的SSL解密防护 (23)

2.10.1SSL解密防护 (23)

2.10.2SSL入站检查 (24)

2.11丰富的VPN隧道类型 (24)

2.12强大的动态QoS功能 (24)

2.13持续关注重点应用/URL (24)

2.14深度安全检测及DLP，保护网络安全 (25)

2.14.1概述 (25)

2.14.2全面的应用层攻击防护能力 (25)

2.14.3先进的多维动态特征异常检测引擎 (26)

2.14.4灵活的自定义漏洞/间谍软件特征功能 (26)

2.14.5多维度的DLP数据防泄漏 (26)

2.14.6强大的威胁情报渗透 (27)

2.15多系统联动防护，构建立体式防护体系 (27)

2.15.1防火墙和终端系统联动 (28)

2.15.2防火墙和天眼系统联动 (29)

2.15.3防火墙和NGSOC系统联动 (29)

2.15.4防火墙和天御云系统联动 (30)

2.15.5防火墙和ITS系统联动 (30)

2.16应用及流量可视化，网络行为无所遁形 (32)

2.16.1概述 (32)

2.16.2大容量、多维度日志 (33)

2.16.3多样化的日志检索方式 (33)

2.16.4全方位风险信息展示及分析 (33)

2.16.5强大的内容审计策略 (34)

2.17自动化应急响应功能 (34)

3技术优势 (35)

3.1采用第四代SecOS系统 (35)

3.2整体框架采用AMP+并行处理架构 (35)

3.3优化的AMP+架构突破传统SMP架构瓶颈 (36)

3.4更优化的网口数据收发处理 (38)

3.5单引擎一次性数据处理技术 (39)

3.6多级冗余架构提高防火墙可靠性 (39)

3.7云端协同扩展精确定位威胁 (40)

3.8基于NDR安全体系的未知威胁闭环防御 (40)

4应用场景 (42)

4.1企业互联网边界安全应用场景 (42)

4.1.1典型场景 (42)

4.1.2痛点和优势 (43)

4.2行业专网网络安全应用场景 (44)

4.2.1典型场景 (44)

4.2.2痛点和优势 (45)

4.3数据中心出口安全应用场景 (46)

4.3.1典型场景 (46)

4.3.2痛点和优势 (46)

4.4多分支企业组网安全应用场景 (48)

4.4.1典型场景 (48)

4.4.2痛点和优势 (49)

1产品概述

随着信息化的飞速发展，网络形势正发生着日新月异的演变，层出不穷的新

型威胁冲击着现有的安全防护体系。传统的安全设备存在以下问题：

1.以本地规则库为核心，无法有效检测已知威胁。

2.没有数据智能，无法感知未知威胁。

3.没有联动智能，无法对网络进行协同防御。面对诸如0-day、APT及未

知威胁等越来越多样化和层次化的攻击，逐渐变得力不从心。

归根结底，传统的安全和产品体系还在用单机的、私有的思路来解决网络的、

公有的已知威胁。而面对未知的安全威胁，我们不能再孤军作战，而必须是

协同共享。

360网神防火墙系统（以下简称为：防火墙）是奇安信集团自主创新的新一

代防火墙安全系统，基于NDR（基于网络的检测与响应）安全体系，在高

性能和先进架构的支撑下，集成了防火墙、VPN、应用与身份识别、防病毒、

入侵防御、虚拟系统、行为管理、应用层内容安全防护、威胁情报等综合安

全防御功能，并支持与天眼、奇安信安装助手、NGSOC、天御云等多系统

进行协同防御。

在扩展了协同防御能力的基础上，在防火墙上以分析中心、数据中心、处置

中心三大中心为核心，实现了对威胁的分析、定位、处置一体化过程。是专

门为政府、军队、金融、教育、运营商、企业的网络出口打造的基于协同防

御体系的新一代安全防御系统。

2产品特色

2.1灵活的管理接口

防火墙支持通过业务接口或MGT管理接口进行设备管理，适用于不同的用

户环境。

管理方式特点

业务接口进行设备管理无需搭建额外的、专用的管理网络，减少了网络复杂度和额外的网络维护开支。

支持配置业务接口下的管理方式（HTTP、HTTPS、Ping、SSH、SNMP）和可信管理主机，最大程度上减少管理风险。

MGT管理接口进行设备管理用户的管理平面与业务平面分离，在业务数据量较大的情况下，也不会影响对防火墙的正常管理。

独立的管理接口可以严格限制管理防火墙的终端，保证防火墙的管理安全。

2.2管理员权限分权分立

防火墙支持基于管理员的角色的分权分立管理员帐号机制，根据用户的操作

场景需求：

●系统预定义了超级管理员、配置管理员、账户管理员、审计管理员、

RESTful API管理员和OpenC2联动管理员。实现配置管理、安全管理、

审计管理、RESTful API和联动功能分离的同时，也保证了管理员权限

的隔离。

●防火墙支持自定义管理员角色，每种角色可以细粒度地指定系统功能模

块的读写权限，方便用户管理系统。

2.3安全隔离的虚拟系统

防火墙支持虚拟系统功能，将防火墙虚拟成多个相互隔离并独立运行的虚拟

防火墙，每一个虚拟系统都可以为用户提供定制化的安全防护功能，并可配

备独立的管理员账号。

在用户网络不断扩展时，通过虚拟系统功能不仅能有效降低用户网络的复杂

度，还能提高网络的灵活性。当这些相互隔离并独立运行的虚拟防火墙系统

需要通讯时，可以通过防火墙提供的虚拟接口实现，而不需要通过物理链路

将它们进行连接。

2.3.1一机多用，节省投资

在传统防火墙部署方案中，业务服务器与防火墙基本上是1:1配比。因此，

当业务增加时，用户需要购置新的防火墙。然而当业务减少时，对应的防火

墙就闲置下来，导致投资浪费。

虚拟防火墙技术以其灵活可扩展的特性帮助用户保护投资，用户可以随时根

据业务增减相应的虚拟防火墙。

2.3.2灵活配置，方便管理

虚拟防火墙技术允许数据中心根据客户的性能需求，量身定做不同性能指标

的虚拟防火墙。例如，可以向某些客户出租10M吞吐量的虚拟防火墙，而

向另一些客户出租100M吞吐量的虚拟防火墙。

2.3.3业务隔离，互不影响

业务类型多种多样，需要使用的防火墙安全策略也不同。例如，DNS服务

器需要进行DNS Query Flood攻击防护，而HTTP服务器则需要进行HTTP

Get Flood攻击防护。虚拟防火墙的划分能够实现不同业务的专属防护策略

配置。

同时，CPU资源虚拟化可隔离虚拟防火墙之间的故障和性能瓶颈，当单个

虚拟防火墙受到攻击或资源耗尽时，其它虚拟防火墙不会受到影响，极大地

提升了各业务的综合可用性。

图2-1虚拟防火墙部署组网

2.4全面的IPv6Ready能力

2.4.1IPv4/IPv6双栈

防火墙支持完整的双栈协议，支持IPv6下的多种功能，包括网络功能和安

全功能，从用户的角度看，其就像支持两个并发的网络。

功能指标项功能描述

IPv6接口支持接口IPv6地址配置

支持使用IPv6地址进行设备管理

支持IPv6手动及自动的IP/MAC探测及绑定

IPv6路由支持IPv6下静态路由、策略路由、动态路由（RIPng、OSPFv3、BGP4+）

支持IPv6邻居的动态管理和静态配置

支持NAT64和DNS64

IPv6认证管理支持IPv6的本地认证支持IPv6Web认证

IPv6日志管理支持IPv6的SYSLOG、SNMP

功能指标项功能描述

IPv6VPN支持IPv6跨栈隧道技术（6to4、ISATAP、手工隧道）

IPv6安全功能

基于IPv6的漏洞防护、防间谍软件、URL过滤、反病毒、内容过滤、文件过滤、邮件过滤、行为管控等安全功能

支持配置基于IPv6的安全策略、SSL解密策略

支持基于IPv6的会话限制及会话统计

支持基于IPv6的数据中心和分析中心

得益于完全自主研发的AMP+架构与第四代SecOS操作系统的支撑，防火墙系统在IPv6性能上媲美IPv4性能。

2.4.2跨栈隧道方案

防火墙支持多种跨栈隧道解决方案，方便用户在IPv6演进过程中的跨栈报

文传输需求。主要包括：

●6in4跨栈隧道方案

●GRE跨栈隧道方案

●NAT64/DNS64方案

6in4跨栈隧道方案

防火墙支持6in4跨栈隧道。允许IPv6主机穿越IPv4网络访问到另一台

IPv6主机或者IPv6服务。

防火墙支持三种6in4隧道，分别为手工隧道、ISATAP、6to4隧道。

图2-2手工隧道典型应用场景举例

GRE跨栈隧道方案

GRE（Generic Routing Encapsulation，通用路由封装协议）提供了将一种协

议的报文封装在另一种协议报文中的机制，使IPv6报文能够通过隧道封装，

在IPv4网络传输。

GRE隧道可以将IPv6报文作为净荷，在外部增加GRE报文头和IPv4报文

头后，在IPv4网络中传输。

图2-3GRE跨栈隧道典型应用场景

NAT64/DNS64方案

在IPv6演进过程中，网络侧的IPv6Ready程度较高，但是业务侧IPv6化还

不乐观，有很大一部分资源仍然采用的是IPv4的地址。NAT64技术就是为

了解决IPv6终端访问IPv4资源时，地址从IPv6地址向IPv4转换的问题。

如图2-4所示。在防火墙上应用NAT64功能后，IPv6用户访问Internet时的

不同情况为：

●如果目的IP地址为IPv6地址，则防火墙直接将报文转发到对应的IPv6

网络中。

●如果目的IP地址为IPv4地址，则防火墙将报文中的IPv6地址转换为

IPv4地址，再转发到对应的IPv4网络中。

图2-4NA T64应用组网示意图

2.5多层次可靠性保证，整机可靠性高

2.5.1硬件可靠性

双冗余电源

防火墙具备冗余电源并支持电源模块的热插拔。

●当系统同时使用两个电源模块时，两个电源模块共同进行负载分担。

●当其中一个电源模块损坏或被拔出电源线时，另一个模块可以完全承担

系统的负载，保证系统正确、稳定运行。

●电源模块支持热插拔，用户可以在开机时，直接更换损坏的电源模块。

带外管理

带外管理是指利用专门搭建的管理网络完成设备管理，使得防火墙上管理数

据和业务数据分离。带外网管比带内网管能够提供更可靠的设备管理链路，

在业务流量较大或者设备发生故障时，依然能够管理设备并定位故障信息。

带外网管示意图如图2-5所示。

图2-5带外网管示意图

硬件Bypass和看门狗

防火墙支持硬件Bypass和看门狗功能，防止由于系统故障导致网络不可用。

硬件Bypass：当设备意外掉电时，通过防火墙的业务流可以直接通过防火墙，不会由于防火墙单点故障导致用户网络瘫痪。

硬件看门狗：当设备系统出错或宕机时，硬件看门狗会自动重启整个系统，防止由于防火墙以外宕机导致用户网络瘫痪。

防火墙硬件Bypass功能由硬件接口板卡实现，不能人工控制。

图2-6硬件Bypass原理示意图--正常状态

图2-7硬件Bypass原理示意图--硬件失效状态

ECC内存

防火墙的中、高端型号使用了具备ECC技术的内存。能够保证系统长时间

运行的稳定性。

ECC（Error Checking and Correcting，错误检查和纠正），是一种能够实现

“错误检查和纠正”的技术。在内存中使用ECC技术，能够容许错误，并可

以将错误更正，使系统得以持续正常的操作，不致因错误而中断，保证系统

的正常运行。

2.5.2整机可靠性

概述

单台防火墙部署在用户网络出口时，如果设备出现故障，就会造成链路中断，

进而导致整个业务中断。

通过部署双机热备，在网络关键位置上部署两台防火墙，提高网络的可靠性。

当一台设备故障时，可以通过另一台设备进行通信，保证业务正常运行。

图2-8单点故障和双机热备

主备模式

主备模式下，两台防火墙一台作为主设备，另一台作为备份设备。主设备负

担所有报文转发工作，并将当前会话信息以及配置信息同步到备设备上。

图2-9主备备份（正常转发状态）

当主设备出现故障时，主设备自动变为备设备。原来的备设备转变为主设备，承担报文转发工作。

图2-10主备备份（链路切换状态）

主主模式

主主模式下，防火墙分别配置两个HA组。

●HA组0：防火墙A为主设备，防火墙B为备份设备。正常状态下，

User A的流量由防火墙A转发。

●HA组1：防火墙B为主设备，防火墙A为备份设备。正常状态下，

User B的流量由防火墙B转发。

图2-11负载分担双机热备（正常转发状态）

当其中一台设备出现故障时，两个HA组的流量均切换到同一台设备，进行报文转发工作。

图2-12负载分担双机热备（链路切换状态）

双机热备全冗余组网

在图2-12的基础上，将SW_A和SW_B相连，Router_A和Router_B相连，

这样就组成了双机热备的全冗余组网，如图2-13所示。

双机热备的全冗余组网能够进一步提升网络可靠性，避免多条链路故障时业

务中断。例如，当防火墙A的GE1、GE2和防火墙B的GE1这三个接口都

故障时，业务流量依然能够通过防火墙B的GE2接口转发。

图2-13双机热备全冗余组网

信息同步

如果是传统的网络设备（如路由器、三层交换机），只需要在两台设备上做

好路由的备份就可以保证业务的可靠性，即当一台设备出现故障时，另一台

设备能够接替故障设备处理业务，保证业务不中断。

而防火墙是状态检测设备，它会对一条流量的首包（第一个报文）进行完整

的检测，并建立会话来记录报文的状态信息（包括报文的源IP、源端口、

目的IP、目的端口、协议等）。而这条流量的后续报文只有匹配会话才能够

通过防火墙并且完成报文转发，如果后续报文不能匹配会话则会被防火墙丢

弃。因此，当防火墙双机部署时还需要考虑两台防火墙之间的会话等状态信

息的备份。

配置信息同步：当主墙完成配置并使能HA功能后，配置信息会自动同步给备墙，使得备墙与主墙拥有完全相同的配置。配置信息为单向信息

同步，仅从主墙同步给备墙。

●动态信息通过：防火墙在进行数据转发时，会产生很多动态信息，例如

会话信息，超时时间等。该类信息主墙和备墙可以实时互相同步，以保

证主墙和备墙的动态信息一致。动态信息为双向信息通过，主墙和备墙

可以互相同步。

2.5.3系统可靠性

防火墙支持双系统备份：

●当主系统出现故障时，可以切换到备份系统继续提供服务。

●当系统升级失败时，可以使用备份系统启动防火墙，实现升级回退。

2.5.4链路可靠性

802.3ad方式链路聚合

符合IEEE802.3ad协议的链路聚合方式，采用LACP（Link Aggregation

Control Protocol，链路聚合控制协议）协议。LACP协议通过LACPDU

（Link Aggregation Control Protocol Data Unit，链路聚合控制协议数据单元）

与对端交互信息。使能某接口的LACP协议后，该接口将通过发送

LACPDU向对端通告自己的系统LACP协议优先级、系统MAC、端口的

LACP协议优先级、端口号和操作Key。

对端接收到LACPDU后，将其中的信息与从其它接口所收到的信息进行比

较，以选择能够处于Selected状态的端口，从而双方可以对端口处于

Selected状态达成一致。操作Key是在链路聚合时，聚合控制根据端口的配

置（即速率、双工模式、Up/Down状态、基本配置等信息）自动生成的一

个配置组合。在聚合组中，处于Selected状态的端口有相同的操作Key。

防火墙支持3种不同的流量负载算法，如表2-1所示。

表2-1链路聚合流量负载算法

均衡负载算法说明

根据IP地址和TCP/UDP端口组合均衡使用IP地址和TCP/UDP端口进行哈希算法

均衡负载算法说明

根据源和目的MAC地址组合均衡使用源和目的MAC进行哈希算法

根据MAC地址和IP地址组合均衡根据MAC地址和IP地址进行哈

希算法

轮询方式链路聚合

轮询方式，即流量在被绑定接口间以轮询方式进行聚合，即收发的数据包在

可用接口间按顺序分配。如图2-14所示。

图2-14轮询调度方式

热备方式链路聚合

热备方式，即聚合组所包含的接口为热备关系，一个为主，其余均为备。在

正常工作时只有一个接口负责数据包收发，监测到故障时切换为备选接口当

中的一个正常接口。如图2-15所示。