天清汉马USG防火墙技术白皮书V.doc

天清汉马USG防火墙技术白皮书_V4.0 作者： 日期： 天清汉马USG防火墙 技术白皮书二零一一年十一月版 权 声 明北京启明星辰信息安全技术有限公司版权所有，并保留对本文档及本声明的最终解释权和修改权。本文档中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明外，其著作权或其他相关权利均属于北京启明星辰信息安全技术有限公司。未经北京启明星辰信息安全技术有限公司书面同意，任何人不得以任何方式或形式对本手册内的任何部分进行复制、摘录、备份、修改、传播、翻译成其它语言、将其全部或部分用于商业用途。“天清汉马”为启明星辰信息技术有限公司的注册商标，不得侵犯。免责条款本文档依据现有信息制作，其内容如有更改，恕不另行通知。北京启明星辰信息安全技术有限公司在编写该文档的时候已尽最大努力保证其内容准确可靠，但北京启明星辰信息安全技术有限公司不对本文档中的遗漏、不准确、或错误导致的损失和损害承担责任。信息反馈如有任何宝贵意见，请反馈：信箱：北京市海淀区东北旺西路8号中关村软件园21号楼启明星辰大厦 邮编：100094电话真可以访问启明星辰网站：获得最新技术和产品信息。目 录1概 述32产品综述42.1产品综述42.2特点说明43体系架构说明63.1产品构成63.2硬件结构63.3软件结构83.4管理结构94关键技术114.1多核智能驾驭技术114.2事件关联分析技术与归并处理机制124.3高速深层检测技术124.4智能内容过滤技术154.5数据监控NetFlow技术174.6非法连接过滤技术185典型组网195.1政府行业195.1.1电子政务网195.1.2政府专网205.2教育行业225.2.1高教校园网225.2.2中/基教教育城域网235.3企业市场245.3.1中小企业245.3.2大型企业251 概 述诞生20多年来，网络已经在全球经济中扎根发芽，蓬勃成长为参天大树，对各个行业的发展起着举足轻重的作用。随着时间的推移，网络的安全问题也日益严重，在开放的网络环境中，网络边界安全成为网络安全的重要组成部分。在网络安全的术语里，有一个名词叫做“安全域”，其主要作用就是将网络按照业务、保护等级、行为等方面划分出不同的边界，定义出各自的安全领域。举个简单的例子，在PC上安装了相关的杀毒软件，PC本身就是一个最简单的安全域。对于单位用户，安全域往往由若干网络设备和用户主机构成，其边界安全主要在于与互联网的边界、与其他业务网络的边界等。防火墙是解决网络边界安全的重要设备，它主要工作在网络层之下，通过对协议、地址和服务端口的识别和控制达到防范入侵的目的，可以有效的防范基于业务端口的攻击。天清汉马USG防火墙是北京启明星辰信息安全技术有限公司凭借在信息安全领域多年的经验积累，总结分析用户的切身需求，推出新一代的防火墙产品。天清汉马USG防火墙采用高性能的硬件架构和一体化的软件设计，除了实现了状态检测防火墙功能，还同时支持VPN、外联控制、抗拒绝服务攻击（Anti-DoS）、内容过滤、NetFlow、虚拟防火墙等多种安全技术，同时全面支持QoS、高可用性（HA）、日志审计等功能，为网络边界提供了全面实时的安全防护。天清汉马USG防火墙可通过软件升级的方式，获得对完整的UTM特性的支持，包括防病毒（AV）、入侵防御（IPS）、防垃圾邮件（Anti-Spam）和内网安全功能。天清汉马USG防火墙产品线丰富，可以为政府、教育、金融、企业、能源、运营商等用户提供所需要的全系列的安全防护产品。2 产品综述2.1 产品综述天清汉马USG防火墙采用了业界最先进的基于MIPS64的多核硬件架构和一体化的软件设计，集防火墙、VPN、上网行为管理、抗拒绝服务攻击（Anti-DoS）、内容过滤、NetFlow、虚拟防火墙等多种安全技术于一身，高性能、绿色低碳，同时全面支持各种路由协议、QoS、高可用性（HA）、日志审计等功能，为网络边界提供了全面实时的安全防护，帮助用户抵御日益复杂的安全威胁。天清汉马USG防火墙采用了一体化的设计方案，在一个产品中协调统一地实现了接入安全需要考虑的方方面面。采用天清汉马USG防火墙，可以从整体上解决了接入安全的问题。用户可不必考虑产品部署、兼容性等困惑，也不再因为多个产品难于维护管理而苦恼，天清汉马USG防火墙是低成本、高效率、易管理的理想解决方案。天清汉马USG防火墙产品线丰富，可以为政府、教育、金融、企业、能源、运营商等用户提供所需要的全系列的安全防护产品。自从天清汉马USG防火墙推向市场以来，很快就凭借其强大的功能和在实际应用中优异表现，赢得了众多机构和用户的广泛赞誉。2.2 特点说明天清汉马USG防火墙具有如下特点：l 完善的防火墙特性 支持基于源IP、目的IP、源端口、目的端口、时间、服务、用户、文件、网址、关键字、邮件地址、脚本、MAC地址等方式进行访问控制 支持流量管理、连接数控制、IP+MAC绑定、用户认证等 支持虚拟防火墙：可以将接口划分给不同的虚拟防火墙，每个虚拟防火墙具有独立的管理员、安全域、资源对象、安全策略、NAT规则、静态路由等配置 同终端无缝结合：支持同天珣内网安全管理系统联动，将防火墙防御能力推进到桌面终端l 高网络适用性 支持透明、路由和NAT模式部署 支持静态路由、策略路由、RIP/OSPF/BGP动态路由，支持等价路由ECMP和加权路由WCMP，支持组播路由 支持STP，可以同二层网络设备进行生成树计算 支持IGMP Snooping，优化在桥模式下的组播流量 支持私有HA和VRRP 支持IPv6：支持IPv4、IPv6双栈运行、静态IPv6路由、手工隧道、6to4隧道和ISATAP隧道。 支持链路聚合，可通过手动方式、IEEE802.3ad 静态LACP方式创建聚合链路；通过链路聚合可以增加链路带宽，并起到负载均衡和链路备份的作用l 高稳定性和可靠性 采用多核MIPS架构，产品具有高性能，同时多核之间互为备份，可靠性高 支持私有协议HA和VRRP，实现双机热备和冗余 支持双操作系统和多配置文件，最大支持10个配置文件备份l 全面的VPN支持 多VPN支持： IPSec、L2TP、SSL VPN、GRE 丰富的应用：专用VPN客户端、USBKEY、动态口令卡、图形认证码 灵活的部署：Hub-Spoken、Full-Mesh、DVPN、网关网关的SSL VPN 支持对IPAD、IPHONE等移动终端的VPN接入l 完善的上网行为管理功能 采用独立的上网行为管理库，通过互联网实现每周更新。 P2P控制：对Emule、BitTorrent、Maze、Kazaa等进行阻断、限速 IM控制：基于黑白名单的IM登录控制、文件传输阻止、查毒；支持主流IM软件如QQ、MSN、雅虎通、Gtalk、Skype 流媒体控制：对流媒体应用进行阻断或限速，支持Kamun ppfilm 、PPLive、PPStream、QQ直播、TVAnts、沸点网络电视、猫扑播霸等 网络游戏控制：对常见网络游戏如魔兽世界、征途、QQ游戏大厅、联众游戏大厅等的阻断 股票软件控制：对常用股票软件如同花顺、大参考、大智慧等的阻断l 强大的日志报表功能 记录内容丰富：可对防火墙日志、攻击日志、病毒日志、带宽使用日志、Web访问日志、Mail发送日志、关键资产访问日志、用户登录日志等进行记录 日志快速查询：可对IP地址、端口、时间、危急程度、日志内容关键字等进行查询 报表贴近需求：根据用户具体需求，定制报表内容、定制报名名称、定制企业LOGO，并可形成多种格式的报表文件。l 方便的集中管理功能 通过集中管理与数据分析中心实现对多台设备的统一管理、实时监控、集中升级和拓扑展示。3 体系架构说明3.1 产品构成天清汉马USG防火墙主要由两部分组成：USG防火墙设备和天清集中管理与数据分析中心。USG防火墙设备：即部署在网络出口，融合多种安全能力，针对恶意攻击、非法活动和网络资源滥用等威胁，实现精确防控的高可靠、高性能、易管理的网关安全设备。天清集中管理与数据分析中心：主要功能分为集中管理功能与数据分析功能，集中管理是对USG防火墙设备的集中管理、统一监控和升级中心，通过它可以集中配置、监控和管理所管辖的多台USG防火墙设备，并按照一定的规则组织成层次结构，方便管理员对于整网USG防火墙设备的监控维护工作；数据分析中心是USG防火墙设备海量信息的后台处理中心。主要完成USG防火墙设备日志和流量信息的存储、分析、审计和处理功能。3.2 硬件结构随着Internet的迅速普及，一方面全球范围内的网络病毒、黑客攻击、操作系统漏洞、垃圾邮件等网络安全问题层出不穷，且变化越来越快，危害越来越大；另一方面，随着网络应用的增加，对网络带宽提出了更高的要求。那么安全网关作为保障网络安全的第一道防线，究竟何种硬件架构最适合防火墙产品？要满足未来信息安全产品适应信息高速膨胀的发展趋势，提升开放平台的硬件性能，即是必然趋势也是满足未来应用需求的关键要素。在这样一个开放性平台应用需求的驱动力下，多核技术应运而生。这里所说的多核并不是基于X86的2核、4核这样的CPU，而是在网络、安全设备上最新使用的基于MIPS64的多核SoC（System on Chip）处理器，此类多核SoC处理器目前可支持到16核，并随着安全计算需求的不断增加而继续提升。相比X86、NP、ASIC硬件平台，SoC多核平台的最大优势是保留了X86平台的高灵活性（这一点对于安全设备的应用层检测非常关键），同时具备与ASIC平台相当的高处理性能。同时，通过增加核数，使线性提升硬件计算能力成为了可能，更重要的是功耗也随之得到了控制（图2）。图1. 不同硬件架构比较多核架构在支撑灵活性和高性能的同时，带来的另一个卓有成效的经济效益是低碳、节能。对信息安全产品而言，减排、低功耗是实现“低碳经济”最主要的节能目标。多核架构的主要优势为一颗芯片上集成了多个核，核与核之间可以协同工作，同时在各个核周边还集成了丰富的安全协处理硬件，如硬件加密、正则匹配和应用加速等，高集成度的特点简化了整体硬件板卡的复杂度和能耗。同样的应用，对于X86通用硬件平台，需要1颗甚至多颗高频率CPU，同时需要南北桥芯片组、通过PCI扩展的硬件加速板卡或应用加速卡等，一系列配套芯片设计使能耗远远高于同档次多核SoC专用硬件平台。根据功耗对比测试，多核SoC硬件平台实际功耗仅为同档次X86平台的1/3左右。在高效能、低炭排放的同时，多核架构带给信息安全产业的另一个优势为高质量。高度集成的SoC处理器降低了硬件平台的整体复杂度，硬件的简化促使故障率可以降低到1以下（X86平台故障率通常为5以上），达到电信级标准。图2. 天清汉马USG基于MIPS64的多核硬件架构为了满足云计算的安全趋势，2010年启明星辰USG防火墙产品全面切换为基于MIPS64的多核SoC硬件架构，为用户网络提供更加安全、高效、可靠、环保和节能的安全网关产品。3.3 软件结构防火墙作为网关类产品，究竟什么样的软件结构更有利于提升整体性能？那么首先需要知道什么是性能消耗的关键业务单元。启明星辰通过对网关类产品单一分析处理引擎的详细分析和试验验证，得出网关类产品性能消耗50来自于模式匹配，25来自于协议重组、25来自于报文重组的结论。图3. 网关分析处理引擎性能消耗分析如何融合分析处理引擎，合并性能消耗关键业务单元成为防火墙产品软件结构设计首要考虑的问题。基于研究数据，启明星辰在天清汉马USG防火墙的软件结构设计上引入了一体化的设计理念。即将防火墙、VPN、内容过滤和流量管理等各项功能的分析处理引擎进行一体化设计，以达到性能最优的目的。天清汉马USG防火墙本着安全高效原则，采用“检测与控制相分离，引擎特征相统一”的一体化设计思想：人机界面、报文接收模块、报文处理模块、报文发送模块和支撑库。网络报文首先通过报文接收模块进行预处理后进入报文处理模块，在报文处理模块，防火墙进行23层过滤，VPN负责接入控制；其次模块匹配引擎和行为分析引擎分别根据统一特征库和行为知识库进行匹配查找；最后，对于合法报文直接交由报文发送模块进行报文转发，对于非法报文，送交相应的处理引擎进行处理。整个过程的日志信息和数据流量信息送集中管理与数据分析中心监控和备案，管理中心负责整体的配置和调整。3.4 管理结构优秀的管理系统是产品能否有效利用的关键，天清汉马USG防火墙提供了灵活且丰富的管理系统。包括简洁的单机管理器，也包括适合网关批量部署的分布式的集中统一管理中心；既提供了设备配置管理能力，又提供了强大的数据分析能力。产品的管理结构具体如下图： 图4. 天清汉马USG管理结构示意图天清汉马USG防火墙提供集中管理和单机管理相结合的双重管理机制。在USG防火墙设备软件中集成了Web Server和Manage agent功能，Web Server提供本地单机方式的Web管理；Manage agent提供集中管理和数据分析中心的信息采集和发送任务。整个传输过程采用SSL加密机制。天清汉马USG防火墙的双重管理结构实现了“管理分层，功能分级”的管理思想，一方面USG防火墙设备自身的Web Server提供了单机的Web管理机制，用于进行详细的功能设置；集中管理功能通过内置在USG防火墙设备中的Manage agent获取系统状态信息、流量信息和版本信息，用于进行整体的设备状态显示。同时以分组的方式管理设备，以组为单位进行远程统一配置、升级等操作，并可以将管理的USG防火墙设备按照一定的规则进行组织成层次结构，便于用户逻辑的标识所管理的设备。4 关键技术天清汉马USG防火墙采用了多种专利技术和创新技术，为确保多种安全能力的融合，性能的持续恒定起到了重要作用。4.1 多核智能驾驭技术新一代的防火墙产品具有3大技术特点：吞吐密集、运算密集、应用层特性匹配密集。这3大特点对硬件平台提出了极大的挑战，也正是基于此，防火墙过去饱尝性能瓶颈之苦。目前，X86平台常见的多核处理器是4核，而SoC多核平台已最高可达16核，单从CPU内核的数量上就已经高出4倍。不仅如此，Cavium多核芯片专为信息安全产品应用量身内置了一系列专用硬件，使得最终构建出的产品在性能、稳定性上很易于达到电信级标准。吞吐密集：针对信息安全产品应用特点，Cavium多核CPU设计了高达640Gbps的内部总线带宽，是目前4核 X86CPU最高总线带宽的6倍，充分保障高性能的可实现。片内集成了收发包模块，千兆、万兆等的线速接口器件，与总线直连，充分保障各业务接口的线速性能和系统并行度，并最大限度的减少CPU在此方面的开销。不同于X86架构下需要用北桥、内存控制器实现内存操作，Cavium多核CPU片内集成了DDR2/RLDRAM2内存控制器，避免了内存成为平台性能的瓶颈。运算密集： Cavium多核CPU可支持高达16个CPU核，每CPU核既可用于处理不同的业务又可统一调度协同运算，共同为运算提供澎湃动力。每CPU核集成了一个专门针对包处理应用特点而开发的指令集，可通过指令直接进行位域操作、面向字节的操作等，不必再向X86架构下的多条指令实现一个功能，结合RISC CPU短指令集对于多分支执行的优势，设备对于面向包处理的复杂应用层业务的运算效率提高了2-3倍。虽然SOC多核硬件平台具备强大的性能优势，但X86平台属于通用硬件平台，具有开发难度小的优势，而SoC多核平台属于专用硬件平台，驾驭难度相当高。尤其是计算性能的提升，是否能随核数的增多而达到线性的增长。这其中需要在多核硬件的基础上作大量的原创性设计。启明星辰从2006年开始踏入多核领域，从平台选型、平台预研到最终的产品化交付，共经历了两年半的时间。在此过程中经过不断的摸索与尝试终攻克了一系列难题，最终成功驾驭了多核计算。4.2 事件关联分析技术与归并处理机制对用户的多个网络行为进行关联，是提高检测精度的有效手段。比如一个用户首先对HTTP服务进行了慢速CGI扫描，服务端反馈的结果证明其运行了可能含有漏洞的某个CGI，之后该用户又发送了包含ShellCode的请求，从这两次行为分别看，每个都不能绝对的将其界定为恶意行为，如果将两个行为联系起来，则基本可以确定该行为的高风险等级。针对大规模的监测系统应用中可能出现一个网络异常行为在多个监测点作为事件报告而形成事件洪流的问题，数据关联性分析模块首次提出并采用了基于统计分析的二次事件分析技术，能够对不同时间、不同地点、不同事件的大量信息进行统一处理，简洁、准确地报告出正确的网络安全事件。4.3 高速深层检测技术n 高精度应用层协议分析协议分析是深度检测必不可少的环节，它可以减少特征匹配的计算量，提高匹配精度。但是深度的协议分析本身也需要相当大的计算量，如何既保证特征匹配和文件还原所需的分析精确度，又不占用过多的资源，是高速环境下必须面对的课题。我们将主要通过以下两方面来解决这一问题，1) 基于攻击研究和特征知识库选择分析深度。协议分析不需要的无限制的精细，否则入侵防御系统将变成一个低效的应用代理系统，协议分析应该建立在对网络攻击研究的基础上，对特征知识库中需要的协议信息进行分析，这点的实现关键集中在攻击研究上，软件实现中可通过编译时的条件控制和运行时对特征库进行扫描设置相应开关完成；2) 高效协议自识别算法。对于非周知端口的通信，需要通过内容识别其所属的协议类型。这一内容识别的过程类似于攻击检测的特征识别过程，可以通过多阶段分析和匹配算法的选择降低计算开销。n 多模匹配算法选择由于在一个报文的匹配中，最为耗时的匹配运算是在报文中匹配多个串模式。过去的几十年中学术界提出了若干的多模匹配算法，并且在工业界得到了很好的应用，比如AC算法、WM算法在软件检测系统中证明了其优秀的性能。在以往的多模匹配算法通常是在理论分析的基础上，在IA32架构和随机数据源上进行实验选择，且算法一经确定就固化在软件中。实际这样得出的算法不能保证在所有的处理器架构和数据源条件下都保证是已知算法中最优的。现在在学术界存在多种多串并行匹配的算法，在商业产品中应用较多有Aho-Corasick、Wu-Manber和ExB算法或它们的变种。根据研究发现，所有这些算法的性能分析全部是基于理想的存储模型，忽略访存的性能开销。由于存储器速度远低于处理器速度，两者相差一个数量级以上，为避免存储器效能低造成系统整体的效能低下，绝大多数系统采用多级存储结构，增加少量的高速缓存隐藏存储器的性能瓶颈。但是在多串匹配算法中，数据结构非常庞大，并且匹配过程中不断在非连续的地址间跳转，此时高速缓存的命中率大幅下降，不考虑访存开销显然已不能反映各算法在实际应用中的效能。实际上不存在一种普适的算法能够在各种情况下都有最佳表现，同样的算法可能在不同的数据源、特征集、处理器结构上性能相差甚远。我们将结合具体的硬件（处理器）架构和匹配规则的分布类型，将其抽象为与匹配算法效能相关的若干关键参数，计算出当前适用的最优算法。具体采用动态和静态两种方式实现自适应选择。如下图，图5. 自适应示意图静态自适应在系统初始化时进行，统计各协议变量特征及相关匹配模式特征，结合备选多模式匹配算法的性能特征，为规则匹配树节点选择最优的多模式匹配算法。控制参数包括处理器类型、主频、Cache Line长度、L2Cache容量、存储器时延、最短模式长度、次短模式长度、模式数量、模式字符集大小、同前缀模式数量等等。动态自适应在系统运行过程中采样统计影响算法效率的网络数据，如果统计值显示当前网络数据趋势稳定，则进行动态算法选择，确定是否有大幅超过当前算法效率的算法模块存在，并进行调用。n 最优规则树特征匹配的过程不仅包括串匹配，还有对诸如地址、端口、协议类型等等许多协议字段的匹配。为了方便，我们将多个协议字段构成的模式称为多数据类型模式，与上面提到的串模式进行区分，串模式可以认为是多数据类型模式的一个子集。在以往的工作中，我们受AC算法的启发，将其扩展到多数据类型模式匹配，即将多个模式中的相同协议字段归并，构建一个或多个树型模式结构，达到一次匹配多个模式的目的。与串匹配不同的是，多数据类型模式中，每种数据类型的单次匹配开销是不同的，在实际运行中的命中几率也是不同的。同样是树型数据结构，其最佳效率和最差效率相差可能在一个数量级以上，如果能将低命中率、低匹配开销的工作尽可能提前，将会接近最佳的匹配效率。4.4 智能内容过滤技术内容分析子系统要充分发挥当前处理器所具备的多核能力。一个大的原则就是数据交换过程中尽量避免核间和核内的临界锁以及字符串拷贝，所以数据的生产者和消费者应该使用一个大的缓冲区来交换数据。传统的做法就是把这个缓冲区变成一个环形队列，捕包程序和协议栈程序分别持有一个写指针和读指针，只要两个指针不互相超越就可以。在协议栈单线程的情况下这种方法没有问题，但是在多核以及SMP情况下，为了充分发挥硬件的计算能力，必须把内容分析过滤子系统多线程化（并行化）。但是上述数据交换方式在内容分析多线程的情况下就出现了问题。当协议栈多线程的时候，必须使用专门的线程实现捕包程序捕获的数据包的分发，也就是把数据包分发到相应的线程进行处理。这样问题也就出现了：那个环形缓冲区的读指针不再正确。这是因为，为了避免拷贝操作，分发线程并没有将捕包程序捕获的数据进行拷贝以后再分发，而是直接对其指针进行操作，在这种情况下，分发程序是不知道协议栈什么时候能够分析完成并释放缓冲区的，因而分发程序不可以直接简单增加环形队列的读指针来申明当前缓冲区以消费完成，可以写入新的数据。又由于协议栈分析时多线程同时进行，没有办法确定每一数据包分析完成的时间，这样很难确定环形缓冲区的读指针了。为此，天清汉马USG防火墙采用了如下的解决方法：依然遵循数据交换的大原则，依然采用大的缓冲区来交换数据，但是对缓冲区的形式作一个变换。最初定义的是直接在缓冲区上定义读写指针将缓冲区当成环形队列使用，现在不同是缓冲区不再是一个环形队列，而被分成了独立的两部分：空闲缓冲区队列和已使用缓冲区队列。注意这里提到的两个缓冲区不是具体的数据缓冲区，而是保存数据缓冲区数据单元指针的指针列表。捕包程序在捕获一个数据包之前，从空闲缓冲区队列的头部取下一个空的存储单元（为了提高访问速度，采用内存边界对齐的数据单元，比如说2k字节一个单元），将从网卡读入的数据拷贝到这个缓冲区以后，捕包程序将这个缓冲单元挂到已使用缓冲队列的尾部。分析线程在从缓冲区取数据的时候从已使用缓冲队列的头部取下一个数据单元进行消费，消费完成以后直接将这个数据单元挂到待发送缓冲区队列就可以了，这样既避免的锁定，也避免了内存拷贝。而且可以充分利用缓冲区的空间。上述过程构成了本方案的多目标分发机制。基于多目标分发的多线程连接级并行的内容分析子系统本质上是同时运行多个逻辑上独立的并行内容分析协议栈，结构框如图示。图6. 并行内容分析协议栈并行协议栈通过一个数据分发器将捕包系统捕获的网络数据包按照IP包首的源地址和目的地址对分发到相应的线程进行处理，并通过一个发送单元收集器完成数据单元的发送，数据发送完毕以后将发送单元占用的数据单元返回给空闲存储单元队列供数据捕获系统使用，让捕包系统重复利用这些单元，实现捕包到分析的零拷贝过程。每一个内容分析线程均有一个私有的协议栈状态表和两个数据队列索引，其中协议栈状态表是协议栈在进行IP协议、TCP协议已经上层应用协议还原的时候用来保存上下文信息和暂存数据使用，而两个数据队列索引则分别用来存储待分析的数据块和已分析块。这样，任何一个协议栈线程在进行数据操作的时候都不会和其他协议栈线程共享数据块，避免协分析线程间的临界锁，提供整个系统的计算吞吐量。此处的多目标分发机制具有如下特点：l 实现了内容分析子模块从数据分析过滤的零拷贝过程l 避免了核间和核内的临界锁，极大的提高了内容分析子系统的计算资源利用率4.5 数据监控NetFlow技术在对网络数据进行分析统计方面，NetFlow是一项关键技术，它能根据客户的要求总结流量统计数据，而这些数据对网络安全的管理、规划是非常有用的。它的价值在于：u 无需探针（probe）就能进行IP流量的流分析，而且对设备的性能影响很小；u 提供极为丰富和宝贵的数据，这些数据可用于网络安全的管理和规划；u 将网络中的数据包识别为网络流的形式，从而无需再单独处理每个数据包，仅仅处理网络流中的第一个包即可。后面的包都作为该网络流的一部分。这种流线型的包处理方式提高了网络服务的能力。NetFlow系统由流采集器、流收集器、NetFlow数据分析器三个部分组成，由于流采集器仅仅采集IP数据流的统计信息，更深入的分析由NetFlow数据分析器来完成，所以在网络上启用流采集功能后，对设备转发数据包的性能影响不大，在网络流量较大时，流采集器也能正常工作。例如启明星辰的天清汉马USG防火墙支持流采集器的功能，而安全管理平台则集成了流收集器和NetFlow数据分析器的功能，因此，利用启明星辰的天清汉马USG防火墙和安全管理平台，就能构建一个完整的NetFlow系统（以下简称“启明星辰NetFlow系统”）。天清汉马USG防火墙输出报文主要由两部分组成：报头和Flowset。Flowset是输出报文中紧随报头的部分，包含着收集器必须解析和翻译的信息。 Flowset有两种类型：模版Flowset和数据Flowset。模版Flowset描述了数据Flowset中使用的字段。每个数据Flowset则包含了一个或多个流的统计数据。当一个NetFlow收集器接收到一个模版Flowset，它会存储这个Flowset和输出源地址，这样当它收到后继的数据Flowset时，如果数据Flowset对应于此模版Flowset ID和源地址，那么它就能根据此模版Flowset定义的字段解析出这些数据。图7. 数据字段分析图上图最左边是输出报文的结构框架，右边则详细描述了各部分的内容（通过不同颜色来标识）。不难看出，NetFlow输出报文中包含许多有价值的流量统计数据，这些流信息充分揭示了有关网络使用的“4W”问题：Which：哪一个用户（IP）使用了网络？What：网络流量的类型是什么？When：在什么时间使用网络，使用了多长时间？Where：网络流量流向何处？利用NetFlow数据分析器对这些数据进行统计分析，就能从中提取出网络流量特征，从而为网络管理员提供一张丰富而详尽的网络利用视图，为做网络安全管理与规划提供了事实依据。4.6 非法连接过滤技术将系统获取的网络数据按标准的以太数据结构、IP数据结构、TCP/UDP数据结构，并进行TCP的会话查找，每条会话相对应源和目的MAC地址、源和目的IP地址、源和目的端口地址、连接次数等。将上述所获的网络连接信息放入网络连接知识库中，该缓冲区按照索引标识、源和目的地址进行合并存放，即相同的源和目的地址将该连接的发生次数进行累计计算。当某一连接被释放，主动要求释放连接的一端发送TCP FIN数据包，监视整个连接的释放过程，如释放正常完成，在知识库中找到相对应的TCP会话，将连接发生的次数减1。这样可以始终保证知识库中存放的是发生频率最高的连接。该算法会以1秒钟为单位时间，进行流量的统计，如果上1秒钟的流量大于事先约定的阀值，那么立即进入流量识别模式，如果连接请求可以在知识库搜索到，则直接放行，并记录放行的数据包数，否则以上1秒钟的流量作为样本，计算放行的概率。作为拒绝服务攻击的主要手段SYN Flood攻击效果尤为显著，通常SYN Flood的防范方式为应用SYN Cookie机制。它的原理是:在TCP服务器收到TCP SYN包时，不分配一个专门的数据区，而是根据这个SYN包计算出一个cookie值，并加载在所回应的SYN/ACK包中，在收到TCP ACK包时，TCP服务器在根据那个cookie值检查这个TCP ACK包的合法性。如果合法，再分配专门的数据区进行处理未来的TCP连接。5 典型组网5.1 政府行业5.1.1 电子政务网电子政务网是各级政府为了加强信息化建设，通过互联网或者租用专线的方式把下属委、办、局以及下一级政府单位的局域网进行互联的网络。不同地区电子政务网在组网模式和建设思路上存在一定的差异化，但总体的网络结构如下：图8. 电子政务网总体结构图电子政务网分为内网和外网。天清汉马USG防火墙部署在各单位与外单位互联的出口，防止来自其他单位的入侵攻击等威胁，同时对电子政务内网用户相互间访问进行控制与日志审计，可有效检测和控制内部员工越权行为，并向管理员发出告警。电子政务外网在建设模型上与内网相似，多数也是采用专线或裸光纤的方式建网，外网与Internet逻辑隔离。天清汉马USG防火墙部署在各单位与互联网的出口，用于防止来自互联网的入侵威胁，并且可以作为边缘接入路由器部署。天清汉马USG提供统一管理平台，可以通过信息中心统一管理全网的USG防火墙设备，并提供详尽直观的报表，能够让管理员迅速了解到整个网络的存在的安全风险和趋势，为决定如何制定安全策略提供依据。5.1.2 政府专网政府专网是各部委与下属单位信息互联的网络。政府专网全部采用专线或裸光纤的方式构建。专网的安全系统一般采用下级信任上级的方式来建设，即只需要考虑上级单位对下级单位访问的安全防护。专网系统一般来说，只在一级单位设互联网出口，各下属单位的互联网访问都从总部出口。在互联网出口部署USG防火墙设备能够对所有从互联网的进出的流量进行过滤，防止来之互联网的入侵，并且对专网内用户访问互联网的内容进行过滤和审计。在每个政府单位和下级单位的接口部署USG防火墙设备，可以有效防范来自下级单位的越权访问和恶意攻击。天清汉马同时可以作为边缘路由器接入网络。天清汉