网御超五防火墙产品白皮书

合集下载

应用防火墙-F5白皮书

应用防火墙Web 应用的日益增多，客户机密数据也更容易泄漏给网络黑客或遭受身份窃贼的攻击。

现在，许多身份盗窃事件的发生源于web 应用的各种漏洞，因而这些应用受到恶意用户的攻击。

基于浏览器的应用系统隧道穿透了一个企业的安全防线，使用户得以访问企业内部系统。

对于大多数企来说，Web应用本身已经成为了安全边缘，那么唯一可确保这些应用系统安全的方法就是使用“应用防火墙”。

但是，只有将应用防火墙按应用需求量身定制时，才可有效的发挥作用，否则将不可避免的会发生阻隔了合法用户或客户，却放进了黑客的情况。

F5 的 BIG-IP Application Security Manager 是一款新型应用防火墙，可保护应用系统免受黑客及其它的恶意攻击。

该设备精细的安全策略可以保护 web 应用系统及用户机密，使其免受针对应用安全的随机及目标攻击。

借助突破性的技术，BIG-IP Application Security Manager 能够完全满足这些安全策略，从而适用于每一应用所需的安全状况。

Web 中转移，但每增加一个新的基于 web 的应用系统，都会导致之前处于保护状态下的后端系统直接连接到互联网上了。

随之而来的结果是，将公司的关键数据置于外界攻击之下。

同时，黑客们也正寻找新的方法来突破传统的防线。

据最近的美国计算机安全协会（CSI）/美国联邦调查局（FBI）的研究表明（资料来源：计算机安全协会），在接受调查的公司中有 52% 的公司的系统遭受过外部入侵，但事实上他们中有 98% 的公司都装有防火墙。

而这些攻击为269家受访公司带来的经济损失——包括系统入侵、滥用 web 应用系统、网页置换、盗取私人信息及拒绝服务共计超过 1.41 亿美元。

虽然传统的防火墙过去曾为阻挡非法访问公司网络做出过杰出的贡献，但现在这些功能已不能满足用户的需求。

早在 2002 年，国际数据中心（IDC）就曾在报告中：“防火墙对应用层已几乎无法提供保护，因为为了确保通讯，防火墙内的端口都必需处于开放状态。

Secoway USG5000 技术白皮书

华为Secoway USG5000防火墙技术白皮书华为技术有限公司Huawei Technologies Co., Ltd.目录目录 ........................................................ 错误!未定义书签。

1 概述.................................................... 错误!未定义书签。

网络中存在的问题........................................ 错误!未定义书签。

防火墙产品介绍.......................................... 错误!未定义书签。

防火墙的定义............................................ 错误!未定义书签。

防火墙设备的使用指南 .................................... 错误!未定义书签。

2 防火墙设备的技术原则 .................................... 错误!未定义书签。

防火墙的可靠性设计...................................... 错误!未定义书签。

防火墙的性能模型........................................ 错误!未定义书签。

网络隔离................................................ 错误!未定义书签。

访问控制................................................ 错误!未定义书签。

IP访问控制列表....................................... 错误!未定义书签。

二层访问控制列表..................................... 错误!未定义书签。

天融信网络卫士防火墙猎豹系列产品技术白皮书

3 猎豹系列防火墙功能及性能 ............................................................................................................. 7 3.1 产品功能.......................................................................................................................................... 7 3.2 运行环境与标准.............................................................................................................................. 9 3.3 产品规格与性能............................................................................................................................ 10 3.3.1 产品规格................................................................................................................................. 10 3.3.2 产品性能................................................................................................................................. 10

网御防火墙介绍

网御防火墙介绍网御防火墙产品功能介绍产品优势智能的VSP通用安全平台网御防火墙安全网关采用创新的架构平台VSP(Versatile Secure Platform)通用安全平台，将实时操作系统、网络处理、安全应用等技术完美地结合在一起，使防火墙产品具备了高智能、高性能、高安全性、高健壮性、高扩展性等特点。

VSP通用安全平台示意图高效的USE统一安全引擎网御防火墙采用自主创新设计的USE(Uniform Secure Engine)统一安全引擎。

它将状态检测、协议检测、深度过滤、应用过滤、用户认证等多个子系统进行综合集成，去除了冗余操作，简化了数据处理流程，提高了防火墙的系统处理性能，实现了功能上的可扩展性。

同时也实现了多种安全功能独立安全策略的统一配置，可以方便用户构建可管理的等级化安全体系，从而实现面向业务的安全保障。

USE统一安全引擎示意图高可靠的MRP多重冗余协议网御防火墙通过在物理层、链路层、网络层以及主机层面提供多元化冗余方案，保障用户网络和应用的高可靠性。

包括基于多出口负载均衡的链路备份、基于802.3ad标准的端口聚合、基于状态自动探测的双机热备、基于状态增量同步的多机集群。

2个都用SuperV-7318的图片代替MRP多重冗余解决方案示意图完全内容过滤防火墙网御防火墙基于内容增量检测(CID)技术以及摘要索引内容加速算法(DCA算法)突破了传统的包重组/流重组的内容过滤方式，解决了包重组/流重组消耗大量系统资源的问题，在保证应用安全的同时，大幅提升防火墙应用层的处理性能，在不牺牲系统性能的前提下，率先实现完全内容过滤型防火墙。

功能类功能描述别系统架采用专业的架构平台与VSP通用安全平台构可过滤邮件病毒、文件病毒、恶意网页代码，实现对blaster，nachi，nimda，redcode，sasser，防病毒slapper，sqlexp，zotob等主流蠕虫病毒的过滤和拦截功能采用国产防病毒厂商的病毒特征库，可检测不少于30万种病毒，支持根据用户需求自定义病毒特征。

联想网御UTM产品白皮书

联想网御UTM产品白皮书1. UTM产品简述1.1 什么是UTMUTM是统一威胁管理(Unified Threat Management)的缩写。

UTM设备是指由硬件、软件和网络技术组成的具有专门用途的设备，它主要提供一项或多项安全功能，将多种安全特性集成于一个硬设备中，构成一个标准的统一安全管理平台。

UTM设备应该具备的基本功能包括VPN、网络防火墙、网络入侵检测/防御和网关防病毒等功能，这几项功能并不一定要同时都得到使用，不过它们应该是UTM设备自身固有的功能。

UTM安全设备也可能包括其它特性，例如内容过滤、安全审计、安全管理、日志、服务质量(QoS)、高可用性(HA)和带宽管理等。

下图显示了UTM 系统平台上可能综合的多项安全功能。

UTM(United Threat Management)意为统一威胁管理，是指由硬件、软件和网络技术组成的具有专门用途的设备，它主要提供一项或多项安全功能，将多种安全特性集成于一个硬设备中，构成一个标准的统一安全管理平台。

1.2 UTM的优点整合所带来的成本降低将多种安全功能整合在同一产品当中能够让这些功能组成统一的整体发挥作用，相比于单个功能的累加功效更强，颇有一加一大于二的意味。

现在很多组织特别是中小企业用户受到成本限制而无法获得令人满意的安全解决方案，UTM产品有望解决这一困境。

包含多个功能的UTM安全设备价格较之单独购买这些功能为低，这使得用户可以用较低的成本获得相比以往更加全面的安全防御设施。

降低信息安全工作强度由于UTM安全产品可以一次性的获得以往多种产品的功能，并且只要插接在网络上就可以完成基本的安全防御功能，所以无论在部署过程中可以大大降低强度。

另外，UTM安全产品的各个功能模块遵循同样的管理接口，并具有内建的联动能力，所以在使用上也远较传统的安全产品简单。

同等安全需求条件下，UTM安全设备的数量要低于传统安全设备，无论是厂商还是网络管理员都可以减少服务和维护工作量。

联想网御安全管理系统白皮书(瘦SOC)

植树节倡议书15篇植树节倡议书1全县广大干部群众：__是我们共同的家园。

植树造林，绿化家园是全县上下的义务和责任。

当前，正值造林绿化的黄金季节。

为此，我们向全县广大干部群众发出如下倡议：一、积极行动起来，有钱出钱、有力出力，踊跃参加造林绿化活动。

各级各部门要把造林绿化工作作为当前的中心工作，积极投身到造林绿化工作中。

广大干部职工、企业员工和社会各界人士，要把造林绿化工作特别是搞好城区绿化作为重要责任，自觉出钱出力，为我们的家园增绿添彩。

二、主动承担造林绿化任务，通过认捐、认种、认养等方式，广泛种植"纪念之树"、"爱情之树"、"成长之树"、"亲情之树"、"希望之树"、"梦想之树"、"友谊之树"，积极创建"劳模林"、"巾帼林"、"青年林"、"同心林"、"国防林"、"双拥林"等，迅速掀起全民造林绿化的高潮。

三、自觉履行造林绿化义务，在城区道路、园林广场、住宅小区、单位院落、山体绿地等广泛种树植绿，做到见缝插绿、门前布绿、沿路植绿、满山播绿，大幅增加思南绿量，提升思南绿化水平，形成绿树绕城的城市风貌。

四、认真做好造林绿化管护工作，科学栽植、科学管理，做到包栽、包活、包管护，切实提高造林绿化的成活率。

爱惜绿化成果，自觉保护身边的一草一木，不践踏草坪，不攀摘树枝花朵，不侵占绿地林地，争做绿色文明使者。

五、大力宣传义务植树的公益性、义务性和法定性，让植树造林成为全社会的自觉行动。

大力宣传县委、县政府建设生态思南的部署和要求，把植树造林的各项任务落到实处。

深入挖掘和培育造林绿化先进典型，努力在全县营造植树造林、保护生态环境的良好氛围。

让我们迅速行动起来，用热情植下一片树林，用绿色装扮美好家园，努力使思南的树更绿、水更清、天更蓝，为建设生态__作出更大的贡献。

联想网御强五防火墙PowerV配置-带宽管理

共享带宽A1-1 保证带宽10Mbps 最大带宽20Mbps
非共享带宽A1 最大带宽 20Mbps 设备A 100Mbps
共享带宽A1-2 保证带宽5Mbps 最大带宽20Mbps
非共享带宽A2 最大带宽 10Mbps 共享带宽A2-1
举个例子，设备 A 口实际带宽为 100Mbps，下面一个非共享带宽 A1 的最大带宽设置为 20Mbps。非共享带宽 A1 下面的共享带宽资源 A1-1 的保证带宽设置为 10Mbps，最大带宽设置为 20Mbps；而共享带宽资源 A1-2 的保证带宽设置为 5Mbps，最大带宽设置为 20Mbps。当共享带宽资源 A1-1 实际利用的带宽很少的时候，比如仅为 3Mbps 时，共享带宽资源 A1-2 所需的实际带宽很大的时候，超出保证带宽 10Mbps，由于 A1-1 的保证带宽没有完全用完，此时 A1-2 可以借用 A1-1 的带宽，实际带宽最高可以达到 17Mbps。小结一下，如果其共享带宽资源 A1-1 的保证带宽没有用完时，可以被其它共享带宽资源借用，此为共享带宽的概念之一。如果共享带宽资源 A1 所包含连接的数据包相应出口的连接流量上来时，比如流量达到 10Mbps 时；此时首先要保证共享带宽资源 A1-1 和 A1-2 的保证带宽，然后再共享在保证带宽之外的剩余的带宽（20-10-5=5）。所以共享带宽资源 A1-1 的流量为 10Mbps 时，共享带宽资源 A1-2 的流量应该降至 10M，即 A1-2 在其保证带宽 5Mbps 基础上，还使用了保证带宽之外的剩余的带宽 5Mbps。如果共享带宽资源 A1-1、A1-2 的流量均超出对应的保证带宽，即 A1-1 超出 10Mbps，A1-2 超出 5Mbps。首先均保证两者的保证带宽，然后 A1-1 和 A1-2 根据优先级共享和分配在保证带宽之外的剩余的带宽 5Mbps。这部分带宽就在 A1-1 和 A1-2 之间互相借用及共享，即共享带宽的概念概念之二。带宽资源组里包含不同设备的共享带宽定义，被规则引用资源组时，匹配规则的流量在设备 A 为出口时，引用 A 设备的带宽控制定义，匹配规则的流量在设备 B 为出口时，引用 B 设备的带宽控制定义。最终需在带宽管理规则中引用。

网御强五系列防火墙产品白皮书精修订

如何个人、机构未经联想网御科技(北京)有限公司的书面授权许可，不得以任何方式复制或引用本文档的任何片段。

商标信息联想网御，Legend，Lenovo，leadsec等标识及其组合是联想网御科技(北京)有限公司拥有的商标，受商标法和有关国际公约的保护。

第三方信息本文档中所涉及到的产品名称和商标，属于各自公司或组织所有。

联想网御科技（北京）有限公司Lenovo Security Technologies Inc.北京市海淀区中关村南大街6号中电信息大厦8层 1000868/F Zhongdian Information Tower Zhongguancun South Street,Haidian District, Beijing电话(TEL)：0传真(FAX)：0技术热线(Customer Hotline)：0电子信箱(E-mail)：公司网站：目录1、序言近几年来，随着信息化建设的飞速发展，信息安全的内容也越来越广泛，用户对安全设备和安全产品的要求也越来越高。

尽管防火墙、IDS等传统安全产品在不断的发展和自我完善，但是道高一尺魔高一丈，黑客们不仅专门针对安全设备开发各种工具来伪装攻击、逃避检测，在攻击和入侵的形式上也与应用相结合越来越紧密。

这些都使传统的安全设备在保护网络安全上越来越难。

混合攻击带来的新挑战随着红色代码、Nimda等有里程碑式的病毒出现，改写了病毒形态和病毒的历史，病毒已经不再只具有破坏力。

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

fenoi/o 联管联想网御超五系列防火墙产品白皮书网歡联想网御科技（北京）有限公司1序言 (3)2、防火墙技术的发展 (5)2.1网络处理器的基本结构 (6)2.2网络处理器的特点 (7)3、联想防火墙产品解决方案 (8)4、网御超五系列防火墙产品介绍 (9)4.1产品概述 (9)4.2产品特点 (9)4.2.1高性能 (9)4.2.2高安全 (11)4.2.3高可用 (12)4.2.4高可控 (13)4.3主要功能 (15)4.4产品指标 (18)4.4.1性能指标 (18)4.4.2产品规范 (19)5、典型应用 (20)1、序言互联网的发展已经深入到社会生活的各个方面。

对个人而言，互联网改变了人们的生活方式；对企业而言，互联网改变了企业传统的营销方式及其内部管理机制。

虽然一切便利都源于互联网，但是一切安全隐患也来自互联网。

互联网设计之初，只考虑到相互的兼容和互通，并没有考虑到随之而来的一系列安全问题，伴随互联网的迅速发展，网络安全问题越来越严峻。

那么，影响网络安全的主要因素有哪些呢？从技术的角度归纳起来，主要有以下几点：黑客的攻击黑客技术不再是一种高深莫测的技术，并逐渐被越来越多的人掌握。

目前，世界上有20多万个免费的黑客网站，这些站点从系统漏洞入手，介绍网络攻击的方法和各种攻击软件的使用，这样，系统和站点遭受攻击的可能性就变大了。

加上现在还缺乏针对网络犯罪卓有成效的反击和跟踪手段，这些都使得黑客攻击具有隐蔽性好、“杀伤力”强的特点，构成了网络安全的主要威胁。

网络的缺陷因特网在设计之初对共享性和开放性的强调，使得其在安全性方面存在先天的不足。

其赖以生存的TCP/IP协议族在设计理念上更多的是考虑该网络不会因局部故障而影响信息的传输，基本没有考虑安全问题，故缺乏应有的安全机制。

因此它在控制不可信连接、分辨非法访问、辨别身份伪装等方面存在着很大的缺陷，从而构成了对网络安全的重要隐患。

软件及系统的漏洞或“后门”随着软件及网络系统规模的不断增大，系统中的安全漏洞或“后门”也不可避免的存在，比如我们常用的操作系统，无论是 Windows还是UNIX几乎都存在或多或少的安全漏洞，众多的服务器、浏览器、桌面软件等等都被发现存在很多安全隐患。

任何一个软件系统都可能会因为程序员的一个疏忽或设计中的一个缺陷等原因留下漏洞。

这也成为网络的不安全因素之一。

正因为如此，针对以上的各种不安全因素，防火墙就作为信息安全的门户, 应运而生了。

2、防火墙技术的发展防火墙产品经历了多年的发展，目前主要有两种开发模型：其一是在基于In tel Pe ntium?系列CPU平台下进行开发；其二是基于ASIC的硬件平台的开发。

第一种开发模型具有快速升级能力，可以保证产品能够及时跟上用户需求；第二种开发模型带来了性能的极大提升，可以保证产品不会成为网络瓶颈。

虽然两种开发模型都具有各自的优势，但它的劣势也同样十分突出，尤其是在互联网高速发展的今天，其各自的劣势已经成为两类产品的发展障碍。

一方面，由于局域网技术以及广域网技术的发展，目前骨干网络的带宽已经发展到了 10G(OC-192以上，也许只需要 2到3年的时间就会发展到 40G (OC-768的水平。

回顾过去近10年互联网的发展，我们不得不承认摩尔定律在互联网世界已经被打破一一处理器的速度每18个月翻一番，但互联网骨干连接的带宽每12个月就要翻一番。

也就是说，基于通用处理器平台的网络产品开发者将会遇到性能上的障碍，在OC-192的情况下，转发一个报文要求时间小于35ns,而在OC-768情况下要求时间小于8ns,即使我们使用Intel最新的P4 3.0G 赫兹的CPU也无法达到以上要求。

通过计算我们可以发现，当单向网络带宽要求超过OC-12 (665兆)时，CPU就已经显得力不从心了。

这时，当巨量(常常是高达800M以上)的DDO等攻击包涌来时，这种体系结构的防火墙就无能为力了。

而另一方面，基于ASIC技术的开发者遇到了完全相反的困难。

我们知道ASIC技术主要就是为了解决转发速度问题，完全由硬件来进行制定好的报文处理动作。

这样做可以明显提升防火墙的吞吐性能。

但对于网络安全设备来说，网络入侵攻击手段飞速变化，平均每3天就会有一种新的攻击手段或病毒诞生，因此，迅速升级至关重要。

而基于ASIC技术开发的防火墙产品因为是全硬件处理，升级维护的灵活性和扩展性不够，而且开发费用高，开发周期长，一般需要两年以上的时间，不利于网络安全产品功能的迅速升级。

为了解决CPU和ASIC所面临的困难，网络处理器 NP (Network Processor)技术从1999年开始兴起并且以前所未有的速度发展着。

最初该类技术由一些小公司所拥有，当大家开始认可并纷纷看好其前景时，一些巨型企业并购了这些小网缺5公司，他们中较为具有代表性的有IBM、INTEL、LUCENT MOTOROLACONEXANT 等。

这些巨型公司的介入使网络处理器进入了高速发展阶段。

我们现在可以说，是互联网带宽的发展以及应用协议的快速丰富促使了网络处理器概念及相关产品的产生。

2.1网络处理器的基本结构网络处理器是将计算、存储和媒体资源控制高度集成的，能够对报文进行深度匹配并以线速进行转发的技术，它符合如下定义：1）具有灵活的可编程能力，通用CPU的可编程性。

2）高速进行L2-L4+的数据处理能力。

3）高度集成的处理器：（1）微码编程的和/或硬件的加速引擎；（2）高效的存储器子系统控制器；（3）良好的数据流管理，内部通信支持能力；（4）存储器时延屏蔽技术。

基于以上定义，网络处理器一般包含如下部件：1）分段和重组各种协议数据单元用于对报文的拆分和重组。

2）协议识别和分类：根据数据帧内的协议类型、端口号、目的UPL或其他应用的专用协议信息技术识别每一数据帧，并进行分类。

3）数据修改：修改数据包的特定字段，形成新的数据包，如修改TTL字段，计算CRC加密/解密、压缩/解压缩等。

4）输入数据缓存：数据帧根据一定的策略被放入合适的队列待作进一步处理（例如划分优先级或流量整形）。

同时，根据流量控制和安全存取策略规则检查数据帧，决定转发或丢弃。

输出队列管理：包括输出控制和流量工程，一些协议就需要该功能，当有突发数据流到达出口线或光纤时，要对数据流整形。

可以规定不同信道或信息类型的数据流的优先级来满足不同的服务要求，用于保证系统的QoS2.2网络处理器的特点网络处理器具有如下特点：1）完全的可编程能力，可以支持各种网络互连应用；2）简单的编程模型，加快产品进入市场的时间；3）最大的系统灵活性，进而延长产品的生命周期；4）强大的处理能力，提供高性能和良好的可扩展性；5）开放的编程接口，获得更高的可用性；6）开发环境的第三方支持，推动产品不断更新换代。

虽然网络处理器的最初设计并不是完全针对防火墙产品，但其定义很多地方与防火墙产品的开发需求不谋而合。

1）相对于路由设备与交换设备，防火墙要求对报文进行更深层次的分析与控制，这与网络处理器的定义相符。

2）黑客行为的更新速度极快，网络处理器良好的可编程性可以使开发厂商迅速的升级其系统，可以使防火墙一直保持具有良好的抗攻击能力。

3）由于网络处理器采用开发式的框架结构，目前一些芯片厂商已经提供了很多协处理器（如内容匹配器等），通过这些协处理器与网络处理器的配合使用，可以使防火墙具有更好的性能和更加丰富的功能。

4）由于网络处理器的提供者都为大规模企业，其提供的产品的品质可以得到保证，这使防火墙设备开发商可以专注于安全功能的开发。

如果防火墙产品以网络处理器作为其平台，就可以解决通用CPU平台的防火墙和基于ASIC平台防火墙在性能上和功能上的瓶颈，这样的防火墙产品将同时具有采用ASIC 纯硬件方案的高性能与软件解决方案的快速升级能力。

可以认为,基于网络处理器开发的防火墙产品是新一代防火墙产品发展的必然趋势。

3、联想防火墙产品解决方案全球每年因为网络攻击和入侵行为而导致的经济损失高达数百亿元之巨，我国也不断发生网络安全事故。

联想集团根据多年来在信息安全领域的研究，认为网络环境需要整体的安全防范，防火墙和其他网络安全设备的分布式部署以及全面、系统的管理机制是保障网络安全的关键。

网络安全设备的部署不仅需要在网关级部署防火墙产品和其他信息安全产品，在分支接口以及关键服务器群、关键部门也需要部署相应级别的安全设备。

联想网御防火墙系列产品正是从这个角度出发，不断研发和完善产品线，保障在各种应用环境和安全级别下的网络安全。

联想网御系列防火墙产品已经被广泛应用于全国各行各业的网络安全方案之中，为广大用户提供了专业可信赖的安全防范措施和服务。

但是，随着网络宽带技术和应用的飞速增长以及类似于DDO帶攻击手段不断增强，普通的基于传统In tel 等通用处理器的防火墙设备已经无法胜任高流量下的安全防范。

根据技术权威部门分析，基于In tel Pen tium ?等通用处理器开发的防火墙在千兆环境下的吞吐率最高达到300M 左右，因此，只适合做大型网络的分支网络安全防范，而在高流量的网关和关键业务汇接点则需要千兆线速级的产品，在业务流量没有损失的情况下保障系统不受侵害。

以前，该类产品一直由国外基于ASIC技术的产品所垄断，联想集团通过艰苦的研发，推出了完全自主产权的基于NP技术的高端千兆线速防火墙一一网御超五系列防火墙，一举打破了国外产品在高端领域的技术垄断地位，填补了国内高端线速安全产品的空白。

4、网御超五系列防火墙产品介绍4.1产品概述联想网御超五系列防火墙是联想信息安全系列产品中的重要一员，属于硬件型千兆线速防火墙，基于 NP架构，可达到4G处理能力（从64byte至1518byte 任何包长下均达到双向千兆 100%吞吐率），具有超级性能、超级安全、超级可用、超级可控、超级可靠等“超5”特性，具有完全自主知识产权。

它拥有先进的体系结构、强大的数据吞吐能力和并发响应能力、严谨的安全机制、灵活的升级方式和方便的配置管理方式。

它在防火墙硬件板级设计、防火墙安全体系结构、安全芯片之微码、配置管理操作系统、配套的管理软件等方面都有重大创新。

网御超五系列防火墙可广泛应用于电信、金融、电力、交通、政府等行业的千兆骨干网络环境。

4.2产品特点4.2.1高性能网御超五系列防火墙采用4G的NP芯片，是基于国际先进的网络处理器芯片（NPU技术设计的纯硬件防火墙，实现了新一代的防火墙体系架构。

它通过网络处理器芯片的多微处理器、多层协议解析和强大的芯片级编程功能，保证在宽带环境下对数据包的线速安全过滤，并能够随时方便地进行系统升级和维护。

其优秀的性能和软硬件扩展性与兼容性，把最大利益反馈给最终的网络安全用户。

测试结果表明，千兆环境下数据流量非常大时，网御超五系列防火墙仍可实现64字节数据包双工的线速安全过滤，丢包率为0。