联想网御的多核并行计算网络安全平台

合集下载

解密多核安全

本期特稿２０１０年４月，ＩＴ界又—个热点新闻：处理器领域“多核”硝烟再起。

ＡＭＤ公一Ｊ宣布很快便会将１２核处理器产品推出上市，而Ｉｎｔｅｌ公司已推出８核的处理器产品与之对抗。

相比市场上已经较为普及的双核、４核产品而言。

这种核心数目超过６核的处理器产品主要呵向的是高价、高端的服务器电脑产品，这类产品对处理器的并行处理能力要求较高。

ｒｒ基础没备的每一次升级也就意味着与之相关的行业要做出及时的调整和反应。

一般而言，处理器的核心数目越多，处理并行任务时效率也会更高。

与之相呼应的是，易用性和安全性往往不能兼而得之，这也预示着安全领域面临着更大的隐患，需要并行化更高，功能更加强大的安全产品加以保护才能更充分地使多核的优势显现出来。

如今，性能和安全之间的关系成了更多用户关注的重点，但这经常是一对矛盾：客户本着效率和效益的角度，总是希望不断提升性能，提供更快的访问和响应、处理更多的在线业务、获得更好的用户体验，但同时。

性能的增加必然带来更多的安全问题。

安全设备在性能方面提升的需求也相应增加，“多核”的概念也出现在了安全领域，这其实并不是一个新鲜的名词，但是多核在安会中的应用和产品化、用户的需求和感受对大多数人来说都还蒙着一层迷雾。

多核应用成为主流自从人们认识到单核的功耗限制了其性能的提高，转而用多核的方式来达到性能的提升的，多核便开始影响我们的计算领域，甚至有人说，多核时代正式来临。

多核为企业级用户带来更多的体验、更低的功耗、更高的效率。

本刊记者白洁究竟什么是多核，多核给安全带来哪屿新的挑战？网御神州安全网关事业部总经理王刚表示，狭义上讲，多核是指多核ＣＰＵ，即ＣＰＵ在物理上有多个核，多核技术就是把多个芯片集成在一个封装内的技术，可以看作是硬件上的并行。

而实际上，多核不仅仅是多核ＣＰＵ，从硬件角度上讲，多核是多核ＣＰＵ、高效中断分配机制、高速总线、并行多通道内存访ｌ’口Ｊ技术等技术融合所带来的硬件架构；从软件上讲，王刚认为多核应当指的是多核并行软件处理机制，因为不仅不同的应用需要跑在不同的核上，更加需要相同的应用跑在不同的核上，因此，多核ｌ＇日Ｊ的智能调度对于提升多核效能显得尤为重要。

联想网御主动云防御系统(定)

联想网御主动云防御系统信息安全威胁多样化和复杂化的趋势日益明显，现有单一的安全防护体系及被动的策略难以有效应对。

联想网御集成所有已部署的病毒/攻击检测计算资源形成主动云防御系统，为用户提供高效的整体网络安全解决方案。

一、主动云防护系统示意图二、基于安全设备云的安全防护主动云防御系统主要包含3个部分：安全防护集群、安全检测集群、主动云防御服务器。

安全防护集群由连接到主动云防护系统中的所有安全设备组成，负责从服务器下载并执行安全防护列表；安全检测集群主要由分布式部署的UTM、IPS、AVG 等设备和恶意网站探测服务器组成，负责实时检测攻击、病毒、木马等恶意行为，并上传到服务器，安全检测集群中设备也可能属于安全防护集群；主动云防御服务器负责采集信息，并自动验证、归并为安全防护列表下发到安全防护集群。

整个系统工作流程可以划分为安全防护列表收集流程和安全防护列表过滤流程，其中，安全防护列表收集流程执行在恶意网站探测服务器、UTM、IPS、AVG设备群、主动云防御服务器上，具体工作流程如下：恶意网站探测服务器采用网络爬虫的方式，遍历各个网站上的页面，并下载页面上链接指向的文件资源，然后利用商用病毒检测工具进行多重检测，如果在某个文件中检测到病毒，则把该文件对应链接的URL信息和病毒名称传送到主动云防御服务器。

AVG和UTM设备中的病毒检测模块，对通过该设备的网络流量进行分析和应用报文重组，然后进行病毒检测，如果发现病毒，则把该病毒对应的URL存入事件归并与关联模块中的事件队列中。

最后定时向主动云防御服务器提交已归并的病毒名称、URL等信息。

AVG和UTM设备中的入侵检测模块，对通过该设备的网络流量进行协议分析和统计，判断该流量中是否包含入侵攻击行为，如果发现入侵攻击，则把该攻击对应的攻击名称、地址等信息存入事件归并与关联模块中的事件队列中。

最后定时向主动云防御服务器提交已归并的入侵攻击名称、地址等信息。

主动云防御服务器收集上述3种病毒和攻击信息，首先进行合并，剔出重复冗余的信息，然后进行校验，剔出老化或失效的地址、误报信息、内部网络地址等无效信息，最后整理成包含病毒或木马的URL列表和发起攻击的地址和服务端口的安全防护列表。

联想网御：等级化安全体系管理支撑平台

２制定适度的安全保护措施、
对一个信息系统而言，安全保障措施需要做到什么程度才算安全？是不是有钱就要购买最高级的安全产品，没钱就不投
入安全建设呢？或者过分强调安全的重要性而限制业务的发展
安全服务经验的基础上，联想网御将等级保护、风险评估、安
全体系等设计疗法进行知识沉淀、积累和升华，构建了基于知识库的等级化安全体系管理支撑平台，希望能够为政府主管部
度，对信息系统进行等级划分，明确各个系统的安垒等级，从国家层面的视角找出安全等级最高、对国家最重要的信息系统，从而实现集中资源对这些系统进行重点保护。
信息安全的四个试点项目，为广东省政府办公厅、广东省民政
厅、江门市政府、佛山市政府、南海区政府等提供了等级保护安垒体系的咨询设计和规划下作，在试点工作中积累－等级ｒ保护设计实施的经验。在总结上述试点经验和为政府、电信、金融、电力等行业
在传统的安全保障体系设计中，重点强调的主要是两个方
面：一是强调安全保障的深度；二是强调安全保障过程的完
整。依据这两种模型构建安全保障体系都能够实现对信息系统的保护，但是这些模型都存在的一个重要问题就是安全保障体系的设计仅针对防护措施构建，而没有考虑到保护对象对安全措施的需求，重要信息系统和一般信息系统在安全保障上如何
的重要信息资产，信息安全也成为国家安全的一个重要组成部分。在这种情况下，国家应该如何去保护这些信息系统呢，如
何才能使有限的资源重点去保护国家最重要的信息系统呢？通
过等级保护的方法，依据信息系统的重要程度和系统被破坏后

2007用户满意安全产品展示

生产厂商：Check Poin产品销售对象：UT M-1全面安全硬件设备是一款包括了所有的安全防护功能，能够以一种简单、经济、有效的方式满足用户网络安全防护所有需求的解决方案。

Check Point 的核心U TM 平台包括一个Stateful-ins pectio n 防火墙、IP Sec VPN 、防病毒网关和反间谍软件、入侵防御、一个Web 应用防火墙及其它功能。

这个全新U TM-1全面安全系列还增加了邮件安全保护，使得它们以一个极具吸引力的价格，为用户提供范围广泛的安全保护、配套支持及服务，保护中型网络抵御各种互联网攻击产品功能和性能描述●　基于内容的反垃圾邮件——拥有一个独特基于模式的引擎，它能侦测各种先进的垃圾邮件，例如基于图像及外文的垃圾邮件●　互联网协议保护——通过在连接层拦截大部分垃圾邮件，而不需要再进一步检查发信人的信誉来作侦测●　拦截/允许列表——令系统管理员可以通过定制一个列表，阻截已知的电子邮件攻击者及接受可信的发信人生产厂商：联想网御产品销售对象：行业/部门高端用户，适合对产品性能有较高要求的用户。

目前，该产品在公安部门已经有很多成功应用案例产品功能和性能描述●　双重ASIC 架构带来的高性能联想网御以强大的研发能力，突破了芯片设计和内容处理上的技术难点，在VSP 平台上实现了业界最先进的双重ASIC 处理技术：网络处理ASIC 芯片：具备基本的防火墙引擎，负责处理数据包的转发；防火墙安全策略；VPN 加密；NAT 转换；虚拟网关；动态路由等功能。

内容处理ASIC 芯片：包含一个具有专利的内容处理引擎，负责处理防病毒；入侵检测和防护；垃圾邮件检查；Web 内容检查过滤。

最多可支持14个千兆网络接口，吞吐量高达10G ，可以满足电信级骨干网络的性能要求。

●　专用安全操作系统VSP （通用安全平台）VSP 是联想网御自主研发的专用安全操作系统，该系统参照国际标准，基于完善的体系结构设计，将实时操作系统、网络处理、安全应用等技术完美地结合在一起，具有高效、智能、安全、健壮、易扩展等特点●　统一安全引擎USE （Uniform Security En g ine ）U SE 通过高效的引擎集成技术，将各个安全功能有机地整合为一体，状态检测、IPS 、反病毒、反垃圾邮件、高层协议分析机、深度内容检测等引擎并行处理，协同工作，对于监测的数据包，一次性拆包即可完成2-7层的检测，有效地提高了系统效率。

联想网御不畏严冬倾力打造数字校园网络安全解决方案

杨帆：目前。数字化校同为特征的教育信息化得到以了迅速的发展，高等学校的教学教务管理、研管理、科办公自动化等应用系统的建设已初具规模。国内有一定规
模的高校骨干网纷纷升级为万兆网络，校校园网进入万高
业的销售预期又会如何？带着这些问题．刊记者采访了本联想网御解决方案部总监杨帆和联想阏御分销事业部总
经理王立林。
记者：想网御此次推出的这两个方案分别采用何联记者：个好的方案或者产品，然要符合客户的需一必
持下．在广大用户的热心帮助下，已迅速成长为中国信息安全产业的领军企业。２００８年，想网域凭借多年积累联的技术成果，根据目前教育行业尤其是高校网络安全市
场的特点和需求．推出了联想网御数字校园网络安全解决方案系列之 “ 想网御校同网ｌ联乜口安全解决方案 ” 和 “ 想网御数字校同应用解决方案 ” 并计划于２０联，０９年全
求。么．想网御是基于高校数字校园的何种需求推出那联
这两个方案的？
种技术？与以往产品相比具有哪些优势？不同类型、同不
层次的学校对网络安全的需求会有所不同，联想网御是
如何满足不同用户的不同需求的？

联想网御内网安全管理系统

联想网御内网安全管理系统联想网御内网安全管理系统是联想网御安全管理系统的重要组成部分，采用TTM可信终端管理技术，保护企业内部资源和网络的安全性。

内网安全管理系统，由终端管理系统、补丁管理系统和文件保密管理系统组成。

终端管理系统帮助用户实现桌面行为监管、外设和接口管理、准入控制、非法外联监控和终端资产管理功能。

补丁管理系统帮助用户实现系统漏洞分析、补丁自动分发、分发策略管理和分发流量控制功能。

文件保密管理系统帮助用户实现对文件、目录、磁盘和U盘的保密管理功能。

产品组成联想网御内网安全管理系统由服务器、客户端和控制台三部分组成。

●服务器：用于管理终端计算机的资产和系统信息、漏洞补丁数据、所应用的安全策略等，并向终端计算机的客户端发送监控指令等。

●客户端：安装在每台被管理的终端计算机上，用于收集终端计算机的数据信息，执行来自服务器模块的指令，完成对终端计算机的监控等。

●控制台：是对服务器进行操作的控制界面，用于监控每台安装有客户端的终端计算机，制定安全策略，下达对终端计算机的监控指令等。

产品优势终端隐患一网打尽系统采用底层监控技术对终端用户的外设接口使用行为进行控制，可以禁止使用USB存储设备、打印机、红外接口等外设和接口，同时支持对敏感文件进行加密，防止重要数据外泄。

系统支持对终端用户的程序使用、文件访问、上网行为、端口通信、网络共享、资产变更等行为进行监控、审计和管理，消除终端安全隐患。

系统补丁统一分发系统通过对终端计算机进行自动漏洞分析，统一向终端下发所需系统补丁，确保终端计算机方便快捷地修补系统漏洞，增强终端安全性。

系统支持补丁分发策略管理、分发流量控制、级联分发、自定义补丁管理、补丁增量更新、补丁回退等功能，帮助客户省时、省力、省带宽地完成对终端的"查遗补漏"。

安全策略强制执行系统以强制执行内部安全策略为核心，通过在服务器端统一编辑安全策略并下发到内部各终端计算机上强制执行，完成对终端计算机集中的安全防护和行为监管，防止用户对内部资源的非授权访问和重要信息外泄，提高终端自身安全性，实现终端从自主安全管理到强制安全管理的飞跃，保证内网用户行为的合规性。

联想网御VPN技术与产品特点

联想网御VPN技术与产品特点1. 引言在当今数字化信息时代，随着互联网的快速发展，保障网络安全和数据隐私成为了企业和个人亟需解决的问题。

VPN（虚拟私人网络）技术应运而生，提供了一种安全可靠的远程访问解决方案。

联想网御作为一家知名的技术公司，也推出了自己的VPN产品，旨在为用户提供更好的网络安全保护。

本文将介绍联想网御VPN 技术的特点和产品亮点。

2. 联想网御VPN技术特点联想网御VPN技术以保障用户网络安全和数据隐私为核心，具备以下特点：2.1 加密传输联想网御VPN采用先进的加密算法，确保用户在传输过程中的隐私数据得到充分的保护。

通过建立虚拟的隧道，用户的数据能够在公共网络中进行加密传输，有效防止了黑客攻击和敏感信息泄漏的风险。

2.2 多平台支持联想网御VPN产品提供了多平台的支持，包括Windows、MacOS、Android 和iOS等主流操作系统。

用户可以在不同的设备上轻松使用VPN服务，方便快捷地保护自己的网络安全。

2.3 跨地域访问联想网御VPN产品具备跨地域访问的能力，能够帮助用户突破地理限制，实现对特定地区网络资源的访问。

无论用户身在何处，都可以通过联想网御VPN产品畅游互联网，享受无边界的网络自由。

2.4 抗封锁功能在某些地区或特定环境下，存在网络封锁的问题。

联想网御VPN产品内置了抗封锁功能，可以帮助用户绕过网络封锁，解除对特定网站或应用的限制，保证用户畅快地访问所需的网络资源。

2.5 高速稳定联想网御VPN产品拥有高速稳定的网络连接，通过优化网络链路和服务器配置，降低网络延迟，提高用户的上网体验。

无论用户进行在线游戏还是观看高清视频，都能够获得流畅的网络连接。

2.6 用户友好界面联想网御VPN产品采用直观简洁的用户界面设计，使用户可以快速上手并轻松配置VPN连接。

同时，提供了一系列的个性化设置选项，用户可以根据自己的需求进行调整，实现定制化的VPN服务。

3. 联想网御VPN产品特点3.1 稳定可靠联想网御VPN产品通过自建VPN服务器和强大的负载平衡技术，保证了产品的稳定性和可靠性。

联想网御深入推进“下一代安全架构”

联想网御深入推进“下一代安全架构”记者7月18日最新报道，继2007年4月联想网御成功发布“下一代安全架构”安全理念之后，近日，基于下一代安全架构三大核心之一的“业务导向的安全管理”体系，联想网御已形成安全设备管理系统、异常流量管理系统、终端管理系统、补丁管理系统、文件保密管理系统、安全审计系统和应用安全管理系统等全系列安全管理产品及应用方案，代表了目前在国内安全管理领域领先的理念和技术成果，成为渠道商和用户积极关注的热点之一。

联想网御基于从边界安全到全网安全、从平台安全到业务安全的发展思路，构建了以业务为导向的安全管理体系，在对企业的网络平台和终端系统进行统一的安全管理的基础上，进一步对企业的业务系统进行安全管理，可有效地保障企业业务系统的稳定运行，促进企业的健康发展。

该体系由核心技术、安全管理产品和应用解决方案组成。

联想网御业务导向的安全管理体系构建在三项核心技术之上，分别是关联安全标准（CSC：Correlative Security Criterion）、可信终端管理（TTM：Trusted Terminal Management）和应用安全仿真（ASE：Application Security Emulation）。

关联安全标准技术通过安全管理协议、安全联动协议、安全审计协议等关联安全协议实现了对多种类、多系列、多厂商的安全设备集中管理，完成了设备与设备之间、设备与终端之间、设备与应用之间的协同防御，并可以对网络中的各种安全设备和系统进行集中的、可视的综合审计，从而有效地帮助用户构建深度安全防御体系。

可信终端管理技术以解决计算机资源应用的可信问题，构建企业内部可信计算环境为目标，基于可信计算平台和可信网络接入理论，结合终端控制、保护、加密技术，实现企业内网可信接入控制，为终端计算平台提供可信保护，对终端计算机数据进行可信处理，对终端计算机行为进行可信管理，从而实现对终端计算机的可信管理。

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

联想网御的多核并行计算网络安全平台
作者：李江力王智民
来源：《中国计算机报》2008年第44期
随着网络带宽的不断发展，网络如何安全、高效地运行逐渐成为人们关注的焦点。

上期文章《多核技术开创万兆时代》指出，经过多年不断的努力探索，在历经了高主频CPU、FPGA、ASIC、NP后，我们迎来了多核时代。

是不是有了多核，就能够满足当前人们对网络安全处理能力的需求呢？答案也许并非那么简单。

本文将从多核处理器带来的机遇与挑战、多核编程的困境、联想网御的解决方案三个方面来详细阐述多核并行计算相关的技术问题。

多核处理器带来机遇与挑战
通常我们所说的多核处理器是指CMP（ChipMulti-processors）的芯片结构。

CMP是由美国斯坦福大学提出的，其思想是将大规模并行处理器中的SMP（Symmetric Multi-processors，对称多处理器）集成到同一芯片内，各个处理器并行执行，在同一个时刻同时有多条指令在执行。

多核处理器的出现使得人们从以前的单纯靠提高CPU主频的“死胡同”走了出来，同时又使得软件开发人员能够采用高级语言进行编程，看似是一个比较完美的技术方案，但同时我们也应该看到多核处理器也给业界带来了一系列的挑战。

同构与异构
CMP的构成分成同构和异构两类，同构是指内部核的结构是相同的，而异构是指内部的核结构是不同的。

核内是同构还是异构，对不同的应用，带来的性能影响是不同的。

核间通信
多核处理器各个核之间通信是必然的事情，高效的核间通信机制将是多核处理器性能的重要保障。

目前主流的芯片内部高效通信机制有两种，一种是基于总线共享的Cache结构，一种是基于片上的互连结构。

采用第一种还是第二种，也是设计多核处理器的时候必须考虑的问题。

有了多核处理器，意味着用户具备了更多的性能提升空间，但如何发挥多核处理器的优势，也是一个非常具有挑战性的问题。

另外，对软件开发人员也提出了更高的要求，软件开发人员需要非常清楚程序哪些部分需要互斥，哪些部分可以并行。

编译器
编译器如何产生出更加适合在多核处理器上的目标程序，虽然很多的芯片厂商已经在这方面做了不懈的努力，但效果甚微。

多核编程的困境
软件如何充分利用多核的优势，是软件业目前面临的重大挑战。

多核编程与原来的单核处理器编程有什么区别呢？其中最重要的一个区别是，单核处理器运行的程序微观上都是“串行的”，而多核处理器从微观上来看，程序中的很多部分需要在多个核上并行执行。

但并不是所有的程序都能够并行执行，多核编程最关键的两个难题必须得到解决：并行编程与负载均衡。

并行编程需要对必须串行化的部分进行识别界定，并对其进行性能评估。

但是不幸的是，从下面三个定律我们将看到，即使能够很好地识别并界定必须串行化的部分，也未必就能够使得系统整体性能上升，它与多核处理器“核”的个数、执行代码的总量都有关系，而且并非简单的线性关系。

Amdahl定律
在评价一个多核处理器的性能时，通常会提到所谓的加速系数S(p) = 使用单处理器执行时间（最好的顺序算法）/ 使用具有p个处理器所需执行时间。

Amdahl定律认为加速比S(p)和串行部分所占比例f成反比，而与核数p的正比关系并非线性关系，得到的加速极限为1/f。

Gustafson定律
Gustafson假设随着处理器个数的增加，并行与串行的计算总量也是可以增加的。

Gustafson定律认为加速系数几乎跟处理器个数成正比，如果现实情况符合Gustafson定律的假设前提的话，那么软件的性能将可以随着处理个数的增加而增加。

Gustafson定理无疑给我们带来了希望，但是在实际计算中，由于存储空间受限，软件规模不可能无限制的增加，所以Sun-Ni定律对Amdahl定律和Gustafson定律做了进一步的推广。

Sun-Ni定律基于下面的假设：充分利用存储空间等计算资源，尽量增大问题规模以产生更好、更精确的解。

Amdahl定律和Gustafson定律的计算结果差距如此之大，原因在于两个定律的假设条件不一样。

Amdahl定律认为程序规模并不会随着并行处理的核的个数增加而增加，如果此条件符合，则系统整体性能随着核的个数增加，性能增加并不明显；而Gustafson定律假设程序规模会随着并行处理的核的个数增加而增加。

如果此条件符合，则系统整体性能将随着核的个数增加而显著增加。

显然这两个定律的假设都比较理想化，现实情况并非完全符合此假设。

第二个难题，负载均衡问题。

基于多核处理器进行软件开发，并行编程的效率是一个方面；对于网络设备来说，它具有自身的特点，由于网络设备是以数据驱动的方式进行工作，所以并行处理的另外一个方面是如何把数据均衡地分配到各个并行处理的核上。

如果分配不合理，将会导致某些核过载，而某些核又过于空闲。

联想网御的多核并行处理技术
联想网御基于多年的对网络安全的深刻理解，同时深入地研究多核处理器的特点，在多核处理器相互之间的兼容性、并行编程、负载均衡、如何提升多核处理器的整体性能方面进行大胆的探索和实验，最终推出通用安全开发平台VSP(Versatile Security Platform)，很好地解决了一系列多核相关的技术难题，同时取得整体吞吐率达到20Gbps以上、新建连接数大于30万个/秒、并发连接数在500万以上的超强性能。

那么VSP是如何做到的呢？我们知道，并行处理过程中的核的负载调整基本策略无非有三种：
1.数据进入设备后按照轮询的方式递交到并行处理的核上；
2.按照所谓的“流”分类方式递交到并行处理的核上；
3.根据核的负载情况动态调整数据的分发。

第1种能够比较均衡地分配负载，但是势必造成程序中并行处理部分的增加。

第2种能够做到尽量少的并行运算，但是在多数情况下比较难以均衡地分配负载。

第3种看起来是比较理想的方案，但是既然要动态调整，则需要一定的计算量，而且与算法有比较大的关系，否则会适得其反。

另外，并行编程也是我们不能回避的问题，已经有定律证明了在并行处理过程中，有些部分互斥是不能避免的。

我们知道，在并行处理过程中，如果互斥范围过大，势必造成系统整体性能很差，甚至还不如单核CPU的处理性能。

如果互斥范围过小，势必造成系统频繁互斥，并行的整体效果也远达不到期望。

如何解决这个矛盾，最容易想到的是流水线与并行相结合，单纯的并行或者单纯的流水线作业都难以达到整体性能的质的飞跃。

联想网御在上面提到的两个难题方面进行了大量的尝试，完美地设计出一套数据处理模型，提出了具有创新的Windrunner矩阵式算法，使得数据在多个核之间的处理始终处于均衡的状态，并行化运算达到99%，串行化部分仅仅占1％，使得整体性能得到极大的提高。

如图所示，Windrunner算法采用矩阵式并行处理系统并行处理数据。

该系统将64颗虚拟CPU（vCPU）分为8×8的矩阵，对数据同时进行并行处理和流水线处理。

从而实现对数据的高效处理，Windrunner矩阵式并行处理算法可动态预测CPU矩阵中的瓶颈，对虚拟CPU的资源实时、动态调度以达到整体效率最高的目的。

测试表明，联想网御KingGuard万兆安全网关的网络处理能力可达20Gbps，新建连接速率可达每秒30万个以上，可同时为2个万兆核心骨干网络做集中的安全防护，有效解决了目前10G网络无法得到安全防护的问题。

KingGuard万兆安全网关是联想网御积极创新的成果，也是联想网御为用户持续提供领先的信息安全整体解决方案的实践，联想网御将继续深入贴近用户需求，持续创新，打造民族信息安全新长城。