东软防火墙NetEye FW5000系列技术白皮书

NetEye Firewall 5000 Series

东软防火墙

NetEye FW5000系列

技术白皮书

目录

应用背景 (3)

东软NetEye FW5000系列的技术特点 (4)

面向关键业务提供全面可用性保证 (4)

优异的网络适应性 (5)

充分适应特殊应用环境要求 (6)

支持基于策略的透明VPN (7)

强大的攻击防御能力 (7)

东软NetEye FW5000系列防火墙主要功能 (8)

基于状态检测技术的访问控制 (8)

网络地址转换（NAT） (8)

IP与MAC地址绑定 (9)

支持VLAN Trunk (9)

支持 Radius 、XAUTH、Web等认证协议 (10)

支持NTP (10)

SCM安全集中管理 (11)

服务器负载均衡 (12)

并发连接数限制 (12)

对多播协议的支持 (12)

可视化管理 (12)

强大便利的向导功能 (13)

支持SNMP (13)

2

应用背景

网络和信息安全基础设施己经和电力、水力一样，成为国家稳定和发展

的关键基础设施。因此，保证关键行业的业务应用和信息资产安全显得日益

紧迫和重要。在这些应用环境中，业务服务器、核心骨干设备以及内网的安

全性和可用性一旦遭到破坏，后果不堪设想，因此必须采用高性能的防火墙

设备加以严密保护。政府、金融、电信、电力等行业对网络安全的强劲需求

推动了防火墙技术的不断发展。本白皮书将说明东软NetEye FW5000系列

防火墙如何帮助客户满足关键网络骨干节点的安全防护和性能保障要求。

关键行业骨干节点的边界安全防护有着共同的特点，最主要的就是对防

火墙的性能、稳定性、网络适应性和应用适应性有着严苛的要求。以性能的

要求为例，一些大型商业银行数据中心的服务器数量高达上千台，仅备份网

络的带宽就达 2.5G；大型政府网站的对外服务处理的查询量高达每秒

20000次以上，而响应时间的要求是5秒以下。因此，理想的防火墙设备应

该能够提供最佳的安全性、性能、网络适应性和应用适应性，达到以下标准：

l将高安全性放在首要地位，可抵御各种网络入侵和攻击，在瞬间做出安

全和流量路由决策，即使在处理数Gbps的网络流量时也能做到这一点；

l支持多样化的部署方式，具备面向复杂应用环境的功能特性，适应复杂

且变化迅速的业务需求；

l采用高性能的硬件架构，提供最佳的产品性价比，提高行业安全项目建

设的投资回报率。

东软NetEye FW5000系列防火墙采用全新设计，将强大的处理能力和

安全性增强的操作系统完美结合，具有卓越的性能，能提供高达每秒数G

流量的处理能力，同时具备最佳的网络适应性、应用适应性和全面的高可用

特性，能为从小型百兆网络到大型千兆骨干网络的安全防护建设提供最佳的

解决方案。

3

4 东软NetEye FW5000系列的技术特点

面向关键业务提供全面可用性保证

东软NetEye FW5000系列防火墙提供了从网络链路探测直至设备自身高可靠性硬件设计等多方面的冗余特性，为关键业务的不间断运行提供可靠保证，充分适应网上银行、电力调度、证券交易、电信BOSS系统等稳定性要求极为严格的应用环境。

l链路负载均衡与链路探测

东软NetEye FW5000系列防火墙具有基于路由的负载均衡功能，当防火墙外部存在多条链路时，防火墙可以按照管理员预先制定的策略将来自于内网的流量分流到多条链路上，

如下图所示：

除链路负载均衡功能之外，东软NetEye FW5000系列防火墙还可以通过探测不同ISP的链路工作状态，自动将故障链路的流量转移到其它链路上去，从而消除ISP连接故障对业务的影响。

l以太网通道

以太网通道是将多块以太网卡的带宽组合起来形成更大带宽通道的聚合技术。对于TCP/IP的较高层协议来讲，这个聚合起来的设备看起来是一个逻辑上单独的以太网接口设备。东软NetEye FW5000系列防火墙

支持以太网通道功能，可以将多条链路的带宽叠加起来，这样多条链路被用

于单条高速数据通道，网络环境中部分链路的故障不影响其它链路的带宽聚

合，大大提高了网络的可靠性，同时提供了一种更为经济的链路带宽扩容途

径。

l连接表同步

东软NetEye FW5000系列防火墙具备先进的连接表同步功能，互相备

份的防火墙实时同步彼此所有连接信息，避免了由于防火墙切换导致业务连

接中断的问题，充分保证业务系统的稳定运行。

优异的网络适应性

l虚拟防火墙

东软NetEye FW5000系列防火墙提供虚拟防火墙功能，管理员可以将

一台防火墙在逻辑上划分成多台虚拟防火墙，每台虚拟防火墙都可以看成是

完全独立的防火墙设备，拥有独立的管理员、安全策略、路由策略、用户认

证数据库等等。各台虚拟防火墙的安全策略之间互不影响，比如如果两个接

口属于不同的虚拟防火墙，那么两个接口相连网络内的主机甚至可以使用相

同的IP地址。

电信运营商、电力调度、教育等行业网络环境比较复杂，虚拟防火墙可

以有效降低网络安全防护所需的投资预算，满足一些特殊部署要求，并大大

降低管理维护成本。以高校网络为例，采用虚拟防火墙功能，管理员可以为

不同院系分别划分出一个单独的虚拟防火墙，该虚拟防火墙的安全策略可以

由院系的网络管理员根据实际需求自主设定，灵活调整；校级管理员只需要

设置学校内网与外网之间的安全策略以及各院系之间的安全策略即可，极大

地减轻了校级管理员日常维护的负担。

l策略路由功能

普通防火墙的路由策略只能根据单个IP包中的源地址进行判断，东软

NetEye FW5000系列防火墙具备策略路由功能，可以根据更多属性设定路

由策略，部署使用更加灵活。以高校为例，如果是由内部访问外网，可以根

5