九域千兆防火墙基于国产申威处理器进行设计,是一款从硬件到软件、从芯片到系统完全自主知识产权、完全自主可控的增强型网络安全产品。
申威处理器由"上海国家高性能集成电路设计中心"设计生产,是国家"核高基"重大专项的应用成果。该处理器采用全自主指令集,摆脱了国产处理器依赖国外指令架构的局面,从根本上解决了指令集知识产权的问题。
技术特点
●采用完全"中国芯",自主可控
采用自主知识产权国产CPU、国产IO套片,专用定制的硬件平;
采用自主指令集,通用架构下的网络安全威胁不会对本系统造成任何影响,能有效抵抗恶意代码植入。
●软件源码自主研发,安全性高
定制开发的国产BIOS;
采用精简防火墙专用国产安全操作系统;
自主研发的安全加固核心,实现强制访问控制;
内核级的攻击防御模块,具备防御DDOS、源地址/源路由攻击、极小数据段攻击等功能。
●多核处理优化,性能高
多核并行处理多路数据流,实现高效快速的数据包分析处理;
先进的中断响应机制,优化的内核协议栈,网络处理能力强;
产品性能指标遥遥领先同类产品,达到了X86架构防火墙的水平。
●冗余备份功能完善,可用性好
基于虚拟路由冗余协议的双机备份和负载均衡功能,实现双机容错和流量分担;
实时高效状态同步,实现了数据链路无缝切换,确保应用的不间断。
●功能完备,成熟度高
系统架构采用模块化设计,功能扩展性强,产品成熟度高;
灵活的部署方案,支持路由、透明、NAT等多种工作模式;
系统功能完备,支持多种客户端配置接口,人机界面友善;
硬件形态多样化,支持多块板卡选配,网口光电可互换,可满足多种用户需求;
支持集中管理,提供恢复出厂配置、配置存档和恢复等便捷的管理手段。
主要功能
●包过滤
采用基于状态检测的包过滤防火墙技术实现深度的数据包检测功能;支持对源/目的IP地址、通信协议、服务,源/目的端口、方向、动作、时间、物理接口、数据包内容的访问控制
●地址转换
采用双向网络地址转换技术,支持静态NAT、动态NAT和反向NAT以及地址池功能,并能够实现一对一、一对多、多对多的地址映射
●透明接入
支持透明桥接模式,在不更改原有网络配置的基础上实现多级过滤功能
●应用代理
支持HTTP、FTP、TELNET、SMTP、POP3、DNS和SOCKS等应用代理和透明代理
●地址绑定
能自动识别内部网络主机IP地址与MAC地址,通过绑定实现抗网络欺骗功能
●策略路由
支持策略路由功能,能对源地址、目的地址路由寻径
●带宽控制
能够控制和分配带宽,实现基于IP、协议、端口的带宽管理,保证关键业务流量
●负载均衡
支持应用服务的负载均衡,可有效保证流量的均衡和网络的不间断运行
●双机热备
实现两台防火墙以互为备份的方式接入网络,保证系统的高效运行和网络应用的可靠性
●VPN功能
支持VPN功能,实现对通信业务的加密传输,满足对业务通信有更高要求的网络环境需求,可同时支持多条虚链路
●抗攻击功能
能自动检测对网络的多种扫描、DDOS攻击以及未知特征的攻击行为并告警
●安全审计
具备完善的日志功能,支持日志导出到服务器,并能够检索分析日志
●安全管理
支持C/S方式、串口、远程SSH等多种管理方式,支持三权分立管理机制
性能指标
网络接口:10/100/1000M自适应以太接口,光电互换
网络协议:支持目前主流的多种网络协议,包括TCP、UDP、ICMP、
802.1Q、H.323、SNMP、DHCP、IGMP、PIM、VOLP等协议
网络吞吐率:1518字节,双向线速;64字节小包,双向50%以上
数据传输时延:小于45us
最大并发连接数:150万以上高
