01-蓝盾高性能万兆防火墙技术白皮书

蓝盾万兆高性能防火墙技术白皮书电信级架构专用智能安全芯片多核（128）并行处理广东天海威数码技术有限公司蓝盾防万兆高性能防火墙技术白皮书广东天海威数码技术有限公司第1页共30页目录TOC\o"1-3"第1章产品简介 21.1系统组成 3第2章防火墙体系架构分析 42.1体系架构的演变 42.2基于FDT指标的体系架构分布 62.3蓝盾第三代ISS集成安全体系架构 7第3章蓝盾芯片级硬件防火墙体系架构 93.1高速安全处理单元SPU 113.2安全处理芯片 113.3安全处理芯片处理流程 143.4高速背板总线及高速管理通道 153.5软件系统 15第4章产品特性 174.1强大的攻击防范能力 174.2增强的防火墙过滤功能 174.3IDS联动 184.4AllInOne集成功能 194.5支持多种功能模式 204.6NAT应用 214.7安全保障的VPN应用 221.2防火墙双机热备份 224.8完备的流量监控 224.9灵活便捷的维护管理 234.10支持多种以太网接口 244.11详尽统一的日志 244.12可靠的产品设计 25第5章系统结构 265.1产品外观 26产品前视图 26产品后视图 26产品顶视图 275.2产品性能指标 275.3功能特性列表 27产品简介随着网络带宽和各种应用的高速增长，对防火墙产品的处理性能提出了更高的要求。X86架构的防火墙采用通用CPU和PCI总线接口，往往会受到PCI总线的带宽及CPU处理能力的限制；NP、ASIC架构的防火墙虽然解决了带宽问题，但对高层业务应用支持较差。作为专门设计网络安全产品的广东天海威数码技术有限公司利用自身的优势，结合我国的网络安全现状，成功研制出了基于电信级架构，专用智能安全芯片及多核（128）并行处理能力的万兆级高性能防火墙，既成功解决了带宽问题，全双工吞吐量FDT最大支持高达12Gbps，又实现了高层应用业务的全面支持能力。蓝盾万兆高性能防火墙采用自主研发的BluedonSec™、BluedonCrypt™安全处理芯片和P4-MCPU以及自主产权操作系统Bluedon™的ISS（IntegratedSecuritySystem）集成安全系统架构，全面提升防火墙产品的报文过滤检测、攻击检测、加解密、NAT特性、VPN特性等各方面性能的同时；并可实现安全业务的全方面拓展，其灵活的模块化结构综合报文过滤、状态检测、数据加解密功能、VPN业务、NAT业务、流量监管、攻击防范、安全审计以及用户管理认证等安全功能于一体，实现业务功能的按需定制和快速服务、响应升级，构建新一代安全体系架构和安全产品。蓝盾万兆高性能防火墙为19英寸1U或2U标准机箱，机箱上带有console口、HA接口，并可最多扩展至8GE或8GE＋32FE，蓝盾万兆高性能防火墙可提供单或双电源供电。可以安装两块交流或两块直流电源模块，实现双路供电及电源的冗余备份，并支持电源模块/多功能接口模块热插拔。蓝盾万兆高性能防火墙采用集成的软件和硬件平台，采用了专有的、实时的操作系统，可以根据用户下发的策略灵活划分安全区域，不仅能设置为预定义的受信区、非受信区或者DMZ(demilitarizedzone)区，还可以自定义为其他安全级别的区域。当数据在不同安全级别区域、不同接口以及不同安全区之间转发的时候，防火墙将对所有转发经过的数据报文进行全面的过滤、检测。蓝盾万兆高性能防火墙是新一代高速状态检测防火墙，不仅支持丰富的协议（如HTTP、FTP、SMTP、H.323、IPsec等），而且还支持有害命令和不法协议的检测功能。提供高速的策略过滤、基于高速硬件过滤检测的防攻击、针对具体协议应用的状态检测、静态和动态黑名单过滤、不同策略业务的流控等特性。蓝盾万兆高性能防火墙提供的丰富统计分析功能和分级分类的详细日志输出为用户进一步跟踪非法事件提供了必要的保障。系统组成蓝盾万兆高性能防火墙主要由以下几部分子系统组成：蓝盾万兆高性能防火墙（硬件平台）：是一个基于天海威公司自主知识产权国内首款专用安全处理芯片Bluedon™的硬件防火墙平台，其最大处理性能可达到12Gbps全双工线速吞吐量，同时配置P-M1.7G的CPU进行安全业务的管理，该款防火墙的核心安全处理芯片和系统CPU均达到业界顶级的处理能力Bluedon™（操作系统）：基于自主知识产权的专用安全操作系统，与Bluedon™专用安全处理芯片配合实现高速处理性能的同时，并可在其平台上更大空间的扩展多业务、“AllInOne”的特性。蓝盾万兆高性能防火墙应用管理平台（软件）：是一个可运行于Windows98、Windows2000、WindowsXP系统下，用于对处于不同网络中的多个蓝盾万兆高性能防火墙进行管理配置的WebUI管理软件。日志管理器Net-view（软件）：是一个可运行于Windows98、Windows2000、WindowsXP系统下，用于对蓝盾万兆高性能防火墙提供的访问日志信息进行可视化审计的管理软件。蓝盾万兆高性能防火墙技术白皮书防火墙体系架构分析体系架构的演变防火墙在经过几年繁荣的发展下，已经形成了多种类型的体系架构，并且几种体系架构的设备并存互补，并不断演变升级。从第一代的PC机软件，到工控机、PC-Box，到MIPS架构，到第二代的NP、ASIC架构，到第三代的专用安全处理芯片背板交换架构，以及“AllInOne”集成安全体系架构，为了对更广泛业务、更高性能的支持，各个不同厂家全力发挥，推动了整个技术以及市场的发展。目前，防火墙产品的三代体系架构主要为：第一代架构：主要是以单一CPU作为整个系统业务和管理的核心，CPU有X86、PowerPC、MIPS等多类型，产品主要表现形式是PC机、工控机、PC-Box或RISC-Box等等；第二代架构：以NP或ASIC作为业务处理的主要核心，对一般安全业务进行加速，嵌入式CPU为管理核心，产品主要表现形式为Box等；第三代架构：以高速安全处理芯片作为业务处理的主要核心，采用高性能CPU发挥多种安全业务的高层应用，产品主要表项形式为高可靠、电信级、背板交换的机架式设备，容量大性能高，各单元及系统灵活可扩展、可升级、可维护。三代体系架构分析对比安全设备体系架构第一代体系架构（之X86/PPC架构）第一代体系架构（之MIPS架构）第二代体系架构（之NP架构）第二代体系架构（之ASIC架构）第三代ISS集成安全体系架构平台架构包括PC机、工控机、嵌入式平台、PC-Box等硬件平台基于MIPSCPU的Box式硬件平台主要为NP＋嵌入式CPU主要为ASIC＋嵌入式CPU专用安全处理芯片＋高性能CPU＋背板交换机架式架构安全处理核心X86CPU或PowerPcCPUMIPSCPUNPASIC专用安全处理芯片安全处理核心特性ALU运算单元，需要指令进行调度，可多进程、串行流水线调度操作多个ALU处理单元，甚至可达到8～16个，ALU可并行处理提升整体的性能，对于不同的处理单元由上层软件编码指令控制处理采用4~8个类似ALU的微码处理核，需要编码指令进行调度，一切业务的支持和应用依赖微处理核的指令执行性能；支持业务代码量以及指令量的上升将线性的影响NP处理性能；主要针对IP报文4层以下处理不需要编码指令调度，不取决于指令执行性能；可针对不同的功能模块如防攻击、过滤、状态检测、NAT等由不同的固化加速模块处理，不同的加速模块可并行处理不取决于指令执行性能，具备成百上千个特定处理功能模块，相当于成百上千个核同时运行；可以最多支持128个报文的并行进程处理，并且不同的功能模块如防攻击、过滤、状态检测、NAT、VPN等由不同的固化加速引擎模块处理，即使是防攻击的小功能处理如圣诞树、Teardrop、LandAttack等也由不同的固化加速引擎处理安全处理核心优劣势核心单一、等待指令周期的进程和线程调度操作，不具备对报文处理的固化引擎；通用CPU，特性不专一，效率低下精简指令集，可以象X86CPU一样灵活应用，通过多个ALU单元提升整体性能，不具备对报文处理的固化引擎；特性不专一，但性能较通用CPU略高对报文四层以内的处理有部分固化模块引擎可提高性能，四层以上尤其安全特性性能受限于可编程的核处理能力，对高层安全业务的处理能力不比X86CPU好多少，如快速策略匹配、防攻击、状态检测等业务功能由固化的加速模块并行处理，性能高，但芯片功能不可更改，灵活性差，对新业务的适应能力差，流片时间长费用高，不适宜于芯片技术能力和资金力量薄弱的企业每个细小业务功能都由固化的加速引擎模块处理，数百的功能模块可完全并行线速处理，对于报文的2到7层的任何业务处理毫不受限，可针对快速策略匹配、防攻击、状态检测、加解密、NAT等功能完全定制线速处理模块安全处理核心优势应用领域多业务处理、复杂的控制操作，对NAT、加解密、IDS、防病毒等可灵活应用多业务处理、复杂的控制操作，对NAT、加解密、IDS、防病毒等可灵活应用对报文四层信息以内的处理灵活、性能较高，如报文路由转发、报文管理调度、部分Qos业务；但对防攻击、加解密、IDS、防病毒等几乎不可处理；对报文五层信息以内的处理性能非常高，如路由转发、状态检测、应用代理、报文管理、策略过滤、防攻击等，但对防病毒、行为级的IDS需要和CPU配合以提高性能，适用于成本低、产量大的低端安全产品安全业务处理灵活、性能非常高，如路由转发、状态检测、应用代理、报文管理、策略过滤、NAT、加解密、防攻击等，但对防病毒、行为级的IDS需要和CPU配合应用以提高性能管理核心X86CPU或PowerPcCPU，业务与管理采用同一CPU处理，性能受限MIPSCPU，业务与管理采用同一个处理单元嵌入式PowerPC等CPU，业务平面与管理平面分离，扩展性和可靠性较好嵌入式PowerPC等CPU，业务平面与管理平面分离，扩展性和可靠性较好采用高性能的X86CPU或MIPSCPU，业务平面与管理平面分离，扩展性和可靠性非常好，业务应用能力强软件应用Windows上层安全应用程序或基于Linux/XBSD等操作系统内核OS基于Linux/XBSD以及其他专用的操作系统内核OS配合NP的微码/驱动程序和基于Linux/XBSD以及其他专用操作系统内核OS配合ASIC芯片的驱动程序和基于Linux/XBSD以及其他专用操作系统内核OS配合专用安全处理芯片的驱动程序和基于Linux/XBSD以及其他专用操作系统内核OS操作系统层次及复杂度基于Windows等操作系统上层应用，层次复杂、效率低下；而基于Linux/XBSD的操作系统内核OS性能相对较高，但局限于CPU的理论处理能力基于Linux/XBSD以及其他专用的操作系统内核OS性能和效率相对较高由微码控制、驱动程序、操作系统Kernel和控制层等多个层面协同工作，复杂度增加，性能相对较高由驱动程序、操作系统内核OS构成，控制直接、效率最高由驱动程序、操作系统内核OS构成，控制直接、效率最高软件开发难度最简单，容易移植应用成熟特性复杂，有些需要专用的操作系统微码开发复杂、控制不灵活较简单，但是驱动程序配置需要对芯片有较深入的了解较简单，但是驱动程序配置需要对芯片有较深入的了解架构总体评价灵活，业务支持能力强，但性能低下，64字节全双工线速吞吐量FDT在百兆级别灵活，业务支持能力强，性能相对较好，但在进行安全业务及IP报文处理时，64字节全双工线速吞吐量FDT在1Gbps级别报文L2~L4层（TCP层及以下）初级处理能力较高，无法支持大量L4层以上的业务并行处理，即使能够支持，性能受指令数量和执行效率影响将线性下降；嵌入式CPU及操作系统的复杂性导致对高层安全应用业务支持较差性能非常高，对于大多数安全处理的瓶颈，均可由固化的功能模块来大幅度提升性能；由于ASIC的固化性及嵌入式CPU的效率低、灵活性差等因素，对高层安全应用业务支持较差灵活高性能，针对安全定制，从L2～L7均可编程定制，对于任何安全处理的瓶颈，均可采用固化功能模块引擎提升性能，其多类型防攻击、加解密、多流多策略处理性能尤其突出；由于采用通用的高性能CPU可灵活高效的支持安全应用业务适用领域中低端、SOHO、终端UTM中端应用、UTM中高端应用，强调报文转发能力、安全业务应用单薄的领域中高端应用，强调报文转发能力、安全业务应用单薄的领域中高端应用，整合交换、NAT、防火墙、加解密、防攻击、IPS、内容过滤于一体的高性能设备，中高端UTM，既突出性能又突出业务能力基于FDT指标的体系架构分布随着Internet以及IDC、办公网络的高速发展，客户对防火墙的性能要求也越来越高，防火墙作为一个重要的网络安全设备，在网络中的位置是非常重要的也是非常关键的；防火墙作为网络流量必经设备，必须突破性能的瓶颈，其处理性能和带宽应该大于实际流量带宽。衡量防火墙的性能指标主要包括吞吐量、报文转发率、最大并发连接数、每秒新建连接数，其中吞吐量和报文转发率是目前关系到防火墙应用和发展的主要指标，一般采用FDT（FullDuplexThroughput）来衡量，指64字节数据包的全双工吞吐量，该指标既包括吞吐量指标也涵盖了报文转发率指标。FDT与端口容量的区别：端口容量指物理端口的容量总和。如果防火墙接了2个千兆端口，端口容量为2Gb，但实际的防火墙处理能力只有200Mb，则FDT实际应该是200Mb。FDT与HDT的区别：HDT指半双工吞吐量(HalfDuplexThroughput)。对于一个网络接口，可以同时收发数据。一个千兆口可以同时以1Gb的速度收和发。按FDT来说，就是1Gb；按HDT来说，就是2Gb。有些防火墙的厂商所说的吞吐量，往往是HDT。一般来说，即使有多个网络接口，防火墙的核心处理往往也只有一个处理器完成，要么是CPU，要么是安全处理芯片或NP、ASIC等。对于防火墙应用，应该充分强调64字节数据的整机全双工吞吐量，该指标主要由CPU或安全处理芯片、NP、ASIC等核心处理单元的处理能力和防火墙体系架构来决定。对于不同的体系架构，其FDT适应的范围是不一样的，如对于第一代单CPU体系架构其理论最大FDT不超过200Mbps，对于中高端的防火墙应用，必须采用第二代或第三代ISS体系架构，而天海威公司的ISS第三代安全体系架构充分继承了大容量GSR路由器、交换机的架构特点，可以在支持多安全业务的基础上，充分发挥高吞吐量、高报文转发率的能力。下图是不同体系架构业务特性、性能对比分布图：体系架构业务特性、性能对比分布图蓝盾第三代ISS集成安全体系架构广东天海威数码技术有限公司拥有国内高性能体系架构设计经验的资深专家团队，在反复论证研究下，根据未来国内国际市场对于高性能多业务安全的需求，推出了第三代ISS（IntegratedSecuritySystem）集成安全体系架构，充分考虑吸收了不同硬件架构的优势并提出了新的创新。天海威公司突破了目前国内传统安全厂家在高性能硬件技术、自主产权硬件平台、自主知识产权芯片技术“零”的理解和研究，推出了自主研发的Bluedon™、BluedonCrypt™安全芯片和P4-MCPU以及自主产权操作系统Bluedon™的ISS（IntegratedSecuritySystem）集成安全系统架构，全面提升防火墙产品的报文过滤检测、攻击检测、加解密、NAT特性、VPN特性等各方面性能的同时；并可实现安全业务的全方面拓展，其灵活的模块化结构综合报文过滤、状态检测、数据加解密功能、VPN业务、NAT业务、流量监管、攻击防范、安全审计以及用户管理认证等安全功能于一体，实现业务功能的按需定制和快速服务、响应升级，构建新一代安全体系架构和安全产品。蓝盾ISS（IntegratedSecuritySystem）体系架构的主要特点：采用结构化芯片技术设计的专用安全处理芯片Bluedon™、BluedonCrypt™作为安全业务的处理核心，大幅提升吞吐量、转发率、加解密等处理能力；其中结构化芯片技术可编程定制线速处理模块，以快速满足客户需求；采用高性能通用CPU作为设备的管理中心和上层业务拓展平台，可以平滑高效灵活的移植并支持上层安全应用业务，提升系统的应用业务处理能力；采用大容量交换背板承载大量的业务总线和管理通道，其中千兆Serdes业务总线和PCI管理通道物理分离，不仅业务层次划分清晰便于管理，而且性能互不受限；采用电信级机架式设计，无论是SPU安全处理单元、MPU主处理单元及其他各类板卡、电源、机框等模块在可扩展、可拔插、防辐射、防干扰、冗余备份、可升级等方面做了全方位考虑，真正的实现了安全设备的电信级可靠性和可用性；不仅达到了安全业务的高性能而且实现了”AllinOne”，站在客户角度解决了多业务、多设备的整合，避免了单点设备故障和安全故障，大大降低了管理复杂度；此外通过背板及线路接口单元LIU扩展可提供高密度的业务接口，BDFWH-G5000-K整机最多可达到8GE或8GE＋32FE。

蓝盾芯片级硬件防火墙体系架构蓝盾芯片级硬件防火墙体系架构在以下几方面做了全面的突破：采用自主研发的安全处理芯片Bluedon™可以全面提升防火墙设备的安全处理能力；研制以安全处理芯片Bluedon™为核心的安全处理单元SPU，完成安全业务的高性能硬件处理；包括安全处理单元SPU以及系统硬件平台，采用电信级的可靠设计，在防干扰、防辐射、冗余性、热插拔、扩展性、散热性、可靠性等全方位进行电信级设计；采用高性能的通用P-M1.7GCPU为核心构成MPU主控制单元，增强安全业务的扩展性和灵活性；采用大容量的背板交换能力，提供分离的高速业务千兆Serdes总线和高带宽的管理通道。提供高密度的业务接口，可以通过LIU线卡接口单元扩展，整机最多可达到8GE或8GE＋32FE。蓝盾硬件防火墙体系架构框图天海威公司的ISS体系架构具备鲜明的特点，主要为以下：采用以安全处理芯片Bluedon™为核心的高速硬件处理模块实现包过滤、状态检测、NAT、VPN加解密、防攻击、路由转发处理、流控等功能，目前设备可实现8Gbps全双工线速处理能力。在具有高运算性能的CPU平台上运行内容过滤、防病毒、IDS等上层应用软件模块，提供丰富的安全功能。业务处理采用大容量的背板交换能力，提供分离的高速业务千兆Serdes总线和高带宽的管理通道。CPU平台通过该管理通道下发配置、控制、管理等信息到安全处理单元SPU；SPU可通过该通道把控制报文、协议报文以及其它需要软件处理的报文上交给高性能CPU平台处理。蓝盾万兆高性能防火墙采用高密度集成设计，可在1U(单电源)/2U（双电源）的机箱内提供最多8GE或8GE＋32FE的高密度接口，其中部分千兆电接口可以10/100/1000自适应；并且用户也可以根据实际组网业务需求选择部分或全部安全处理功能模块（如接口扩展模块、VPN加解密模块、内容过滤模块、防病毒模块等，可以以硬件扩展模块和软件LICENSE两种方式提供）；保证用户最小的投入，最大的安全回报，以真正的“客户需求”为己任。此外，蓝盾万兆高性能防火墙采用专用安全处理芯片和ISS系统架构，提供平滑的软硬件升级功能，充分保护用户的前期投资以及后期扩容。基于自主研发的安全处理芯片Bluedon™采用结构化ASIC技术，为国际领先的可编程安全引擎芯片，可以定期的升级和更新安全数据，及时提供更全面的防攻击以及过滤等安全手段，较之传统的ASIC技术能够更灵活的满足客户需求。蓝盾硬件防火墙结构框图蓝盾万兆高性能防火墙采用标准19英寸结构机箱，采用1U(单电源)/2U（双电源）的高密度电信级设计，整体设计架构秉承电信级GSR、大容量交换机体系架构。其中大容量的背板设计可以有效的解决模块化设计、可插拔、扩展性、可靠性等方面的问题，利于系统在电源、MPU、SPU以及LIU接口卡等多个方面的扩展，对于提升系统性能向10Gbps、20Gbps以上发展提供了背板冗余。而结构模块化的设计可以帮助用户在故障发生的情况下把损失降到最低，并可采用热插拔达到组件更换；而且模块化设计的系统有利于用户保护网络投资、提升可维护性、可扩展性和可升级性。此外，采用双电源冗余备份、双侧风扇导流散热的结构设计方式，对于系统的长时间不间断稳定运行提供了有力的保障。而且无论是背板设计还是MPU、SPU、LIU等板卡设计，均采用电信级设计规范和标准，在防辐射、防干扰、屏蔽性等方面表现突出。高速安全处理单元SPU以安全处理芯片Bluedon™为核心的安全处理单元SPU，完成安全业务的高性能硬件处理；包括安全处理单元SPU以及系统硬件平台，采用电信级的可靠设计，在防干扰、防辐射、冗余性、热插拔、扩展性、散热性、可靠性等全方位进行电信级设计；高速硬件安全处理单元SPU主要由安全处理芯片、规则内容线速匹配协处理器、表项存储器、报文缓存存储器等组成。模块的核心是安全处理芯片Bluedon™，该芯片在MPU主处理单元平台的协同配合下完成主要的安全处理功能（如包过滤、状态过滤、VPN、NAT等）。安全处理单元SPU视图上图为安全处理单元SPU视图，为6U宽度、4U深度的板卡设计，采用电信级通用的设计标准和规范，可以看出在布局结构、散热、供电、热插拔、模块化等方面做了全面的考虑。蓝盾防火墙的每块SPU处理性能可以达到8Gbps的双向全线速小包吞吐量FDT，而且两块SPU可以采用背板互连的方式进行级联，性能可以轻松达到12Gbps的无阻塞FDT，是目前国内具备自主知识产权单机性能最高的防火墙硬件平台。安全处理芯片SPU主要包括安全处理芯片Bluedon™、外围协处理器、存储器以及PHY器件，其核心主要是高速的安全处理芯片Bluedon™，通过核心安全处理芯片与外围芯片的配合完成高安全、高可靠、高性能的报文过滤、检测、加解密、NAT及转发等功能。为了避免一般安全业务以及报文转发处理的表项查找瓶颈，蓝盾安全处理芯片Bluedon™采用了自主知识产权的专用安全处理和查找算法，其中表项搜索引擎SE（SearchEngine）模块对报文的查找请求处理时，对于不同表项查找的应用分别利用到SRAM/SDRAM/规则协处理器等多类不同器件的优势，SE模块存在128个并行进程可同时处理128个报文的查找处理请求，此时一个报文的处理可能又需要多至十数次查找线程处理，而查找进程和线程又是完全并行操作的，大大的提升了Bluedon™的整体处理能力，相对于一般安全平台CPU以及NP的指令串行处理的架构，至少提升了几倍～几十倍的处理性能，仅仅查表搜索算法能力相当于几十个高端CPU的处理性能，这也是天海威公司硬件架构防火墙的高性能核心所在。此外对于报文分析、防攻击、报文过滤、状态检测、NAT、VPN等各类业务分别由不同的引擎模块完成，互不干涉、互不牵制，可以完全并行处理，充分发挥多流水线并行处理的架构优势，这也是天海威公司安全处理芯片架构防火墙4us低延时、8Gbps小包全双工线速吞吐量，并且性能不受表项数量、规则数、转发流数目影响限制的根本原因。Bluedon™安全处理芯片的片内主要功能模块及其完成的功能如下：a)、报文分析模块：报文分析模块进行报文分析，首先进行报文的合法性检测，然后进行协议识别，根据其协议类型和报文、流分类等信息进行不同的处理流程，如果报文需要进行NAT处理，提取报文报头的NAT信息送交NAT处理模块和搜索引擎模块处理；如果报文需要进行VPN处理，提取报文报头的VPN信息送交VPN处理模块和搜索引擎模块处理；如果报文需要进行入侵检测以及过滤、基于连接的状态检测，则提取报文报头的相关二层到七层信息送交入侵检测处理模块、过滤及状态检测模块和搜索引擎模块处理。报文分析模块在提取报文信息进行控制流处理过程的同时，把原始数据报文直接送交到缓存管理模块进行缓存和队列调度、QOS管制。b)、入侵检测模块：支持入侵检测功能，该模块可自动防范常见的数十种网络攻击和扫描窥探，提供典型攻击的防范和报警，达到线速检测过滤，避免对内网以及防火墙本身的攻击。此外，该模块可与过滤及状态检测模块、或外部IDS系统对接实现联动，通过实时告警信息和日志数据，用户可以分析和确认黑客攻击行为，实现早期防范。该模块收到报文分析模块送交的报文控制标签信息后，进行处理分析，并提取过滤及状态检测查表信息送交搜索引擎查表模块处理。当报文数据流需要进行IDS入侵检测系统进行分析时，对相应报文打上交CPU处理标签，由缓存管理模块上交报文给CPU处理c)、过滤及状态检测模块：该模块实现报文过滤，不仅提供基本的报文过滤、会话状态检测，而且支持基于应用级的状态过滤，可实现对TCP、UDP、FTP、HTTP、SMTP、H.323等应用协议的状态检测过滤。在收到上级模块送交的报文标签信息后，提取报文的查表过滤信息（如源地址、目的地址、源端口、目的端口、协议类型、连接控制信息等）送交搜索引擎查表模块进行查表，以判断该报文是丢弃还是通过，实现基于报文和连接的多重过滤。d)、二层及三层转发模块：该模块在系统采用不同的工作模式（如透明接入模式、路由模式、混合模式等等）时，提取报文路由转发信息；如工作在路由模式，则提取报文目的IP地址信息；如工作在透明接入模式，则提取报文的目的MAC地址信息；送交到搜索引起查表模块进行线速查表，以确定目的转发路径，便于缓存管理模块调度和报文编辑封装处理模块转发报文。e)、NAT（NetworkAddressTranslation网络地址翻译）处理模块：该模块实现动态地址转换，支持多对一、多对多地址转换，也支持静态地址转换，支持网络内部公私网地址混合编址，可自动识别并进行正确的地址转换。收到报文分析模块送交的报文控制标签信息后，进行NAT处理分析，并提取NAT查表信息送交搜索引擎查表模块处理。f)、VPN（VirtualPrivateNetwork虚拟私有用户网络）处理模块：该模块实现基于L2TP、GRE、IPSEC等协议的VPN功能，可提供高性能DES、3DES、AES、MD5、SHA-1/SHA-2等加解密功能，并且可实现密钥的手动配置和IKE自动协商。该模块在收到报文分析模块送交的报文控制标签信息后，进行VPN处理分析，并提取VPN查表信息送交搜索引擎查表模块处理。g)、搜索引擎查表处理模块：该模块接收入侵检测模块、过滤及状态检测模块、二层及三层转发模块、NAT处理模块、VPN处理等模块的查表请求；采用规则以及内容匹配算法、NAT查表算法、路由转发算法等完成报文查表请求，当然，对于不同的算法特征或多种算法的混合实现过程采用不同的外部协处理器和RAM器件。h)、缓存管理模块：该模块从报文分析模块接收到原始的数据报文进行存储，并等待从入侵检测模块、过滤及状态检测模块、二层及三层转发模块、NAT处理模块、VPN处理、搜索引擎查表等模块送来的报文处理标签信息，进行报文调度转发。该模块与调度处理模块和缓存链表模块共同配合完成原始报文在报文缓存RAM中的读写控制。i)、调度及QOS监管模块：该模块完成对不同输入输出端口、不同转发过滤信息的数据报文进行调度和流量监管，发送控制信息到缓存管理模块，由缓存管理模块把报文发送出去。j)、加解密处理模块：该模块通过硬件的加解密算法模块，如DES、3DES、AES等；对应该进行加解密的数据报文、VPN隧道报文进行相应算法、算子的加密和解密，以保证报文在传送过程中的正确可靠、不被窃取。k)、报文编辑封装处理模块：该模块接收从缓存处理模块送来的数据报文和从各个处理模块、搜索查表引擎送来的查找控制、转发信息，然后进行报文的编辑修改；如NAT转发报文，需要修改报文的源或目的IP地址为转换后的报文地址；如路由转发报文，需要修改报文的转发地址信息和路径信息；并进行报文的重新封装校验，然后发送给报文输出处理模块。以上各模块均为固化的硬件处理模块引擎，可完全并行处理，互相协作，不局限于CPU以及NP架构的一个或几个核心的编程处理，可以多至数百个不同功能的固化模块，充分发挥多进程多模块并行处理能力。安全处理芯片处理流程从业务接口收进来的数据包，首先由安全处理芯片Bluedon™进行相应的安全处理，（如入侵检测、包过滤、状态检测过滤、NAT转换、VPN加解密、转发处理等），如需软件协助处理，则通过高速通信总线上交给MPU主处理单元，由MPU主处理单元的CPU进行高速运算及处理。处理完的数据包，再通过安全处理芯片送出去。MPU主处理单元同时完成日志分析审计、病毒扫描、高可用性（HA）、配置界面、安全管理等功能。Bluedon报文处理流程该处理流程以及架构优势：1、多核（128）并行流水线处理，性能数十倍提升；2、防攻击检测、状态检测、策略过滤、NAT、VPN、加解密、Qos等业务功能模块独立固化，并行成流水衔接，不区分快慢通道，提升吞吐量和新建连接速率，有效缩短报文处理时延；3、内部存在数百个针对防攻击、过滤、查找、检测等固化引擎模块，完全并行调度处理，不局限于单或多核CPU/NP的编程和进程调度能力；4、所有报文经过全部功能模块过滤检测等处理后方可转发操作，避免安全漏洞；5、采用自主产权的多类型查找算法和匹配协处理器，达到8Gbps全双工FDT最小报文线速流量无阻塞查找；高速背板总线及高速管理通道防火墙产品第一代和第二代架构中，CPU的前端总线FSB、PCI总线、LocalBus总线在承担系统配置管理信息交互的同时，也传送大量的业务报文数据，形成吞吐量的带宽传输瓶颈，尽管各个厂家在大力提升CPU外围总线的吞吐能力并寻求技术突破，但业务吞吐能力并没有质的提高。这一点的区别也是目前通用架构平台（PC-Box或其他Box）与通信设备架构平台之间最大的区别，这些问题也是电信级、可靠性、高性能、大容量、可扩展性架构必然需要突破解决的问题。蓝盾ISS体系架构在这方面做了根本性的两个变革：采用高速背板总线，提升业务交换能力，SPU与SPU之间、SPU与接口卡之间、SPU与主控卡之间的业务交换均采用1Gbps的Serdes总线，并且业务通道与管理通道物理隔离，互不干扰。CPU系统平台与安全处理模块SPU之间的管理通道是PCI－66M*64b总线，通过PCI总线实现了安全处理芯片Bluedon™与CPU平台之间的控制报文以及配置管理信息的交互，该通道可提供高达12Gbps以上的通信带宽，确保无阻塞的管理配置信息交换和软硬件系统协同工作。软件系统基于本体系架构的网络安全设备，其软件系统层次图如下图所示：安全处理芯片软件架构图上图显示了软件系统的层次结构，基于安全处理芯片驱动（BluedonDriver）、物理层接口驱动（PHYDriver）、TCP/IP协议栈（TCP/IPStack）构建防火墙平台（FirewallPlatform），提供表项管理、策略管理、配置功能。通过标准系统接口（SystemInterface）为应用空间（ApplicationSpace）的安全应用提供支持。应用空间提供防火墙的高层功能，包括日志服务（LogServer）、高可用性（HAServer）、WebServer、用户配置管理（ConfigServer）、VPN等功能。以下为系统各功能模块的功能描述：a)、BluedonDriver：完成安全处理芯片Bluedon™初始化（驱动控制）以及提供管理配置接口。b)、PHYDriver：完成PHY芯片初始化（驱动控制）以及提供管理配置接口。c)、FirewallPlatform：该层为系统核心层，负责接收所有用户配置信息，建立配置信息表项并在系统生存期对表项进行维护。另外，接收到配置信息后，还要根据配置信息驱动FPE、PHY芯片或配置TCP/IP协议栈功能，完成系统的功能配置。d)、HAServer：HAServer通过标准TCP连接和另一台防火墙的HAServer之间建立通信通道，完成两台设备之间心跳检测和信息同步。系统初启时，通过通信通道，完成两台设备之间的主从判定。如果系统工作为主设备，定时发送查询信息，确认从设备是否发生故障。没有故障发生，则定时发送用户配置信息和FPE动态表项内容到从设备，完成配置同步。如果系统工作为从设备，定时发送查询信息，确认主设备是否发生故障，如果发生故障，进行主从切换。如果有主设备发来的配置信息，则根据配置信息对本机进行配置。无论主设备还是从设备，获取配置信息和完成系统配置工作都通过FirewallPlatform提供的标准系统接口完成。e)、ConfigServer：ConfigServer主要完成系统初始化时从配置文件读取配置信息初始化防火墙系统及定时将用户新配置的数据写入配置文件。f)、LogServer：日志服务器主要处理防火墙系统的所有日志信息，将来自其它模块的日志格式化缓存，并输出到WebServer或日志审计服务器。g)、WebServer：WebServer模块为系统提供基于WebUI管理配置系统的基础。WebServer模块的核心功能是提供https协议的通信支持；h)、VPN模块：提供对VPN相关控制协议的支持，以实现IPsec、L2TP、GRE等协议的连接协商建立，并实现IKE密钥的自动协商处理。产品特性蓝盾万兆高性能防火墙提供高密度的的FE、GE以太网接口，以及丰富的可选配的多功能接口模块，具备如下主要特点：强大的攻击防范能力随着Internet的广泛应用，网络攻击手段越来越高明，并且越加隐蔽。按照攻击采用的方式，网络攻击大致可以分为：DoS（DenialofService，拒绝服务）攻击、扫描窥探攻击、其它攻击。蓝盾万兆高性能防火墙提供强大的攻击防范机制，对设备进行安全保护，防止非法报文对内部网络造成危害。防范多种DoS攻击：可以有效地检测出这些类攻击报文，避免攻击行为，记录日志。包括：SYNFlood攻击、ICMPFlood、UDPFlood攻击、Land攻击、Smurf攻击、Fraggle攻击、WinNuke攻击、ICMP重定向或不可达报文、TCP报文标志位（如ACK、SYN、FIN等）不合法、PingofDeath攻击、TearDrop攻击等等。防范扫描窥探：蓝盾万兆高性能防火墙通过比较分析，可以灵活高效地检测出这类扫描窥探报文，预先避免后续的攻击行为。可防止的扫描窥探包括：地址扫描、端口扫描、IP源站选路选项、IP路由记录选项、tracert窥探网络结构：Tracert利用TTL限定的ICMP或UDP报文，发现报文到达目的地所经过的路径，从而窥探网络结构。防范其它攻击IPSpoofing攻击：在基于IP地址验证的应用中，入侵者通常伪造报文的源地址从而获得对系统的访问权。蓝盾万兆高性能防火墙可以通过高效的IP+MAC+物理端口绑定的方式，高速过滤IP地址和MAC地址不匹配的报文，从而有效避免IP地址假冒攻击的行为，阻止入侵者仿冒伪造。增强的防火墙过滤功能传统防火墙过滤更快捷的策略查找蓝盾万兆高性能防火墙采用自主知识产权的Bluedon™安全处理芯片和查找协处理器实现高速分类和查找算法，保持IP报文7元组及更多元内容的策略查找的高速度，提高了系统整体性能。黑名单过滤恶意主机为了更快捷地发现并屏蔽某些恶意主机的攻击行为，蓝盾万兆高性能防火墙提供主动防御措施（即动态、手工两种方式维护黑名单列表），将某些报文源IP地址记录在黑名单中，从而实现高速的报文过滤。基于应用层的包过滤ASDF（ApplicationSpecificPacketDetectandFilter）主要基于应用层的包过滤规范，作为一种高级通信过滤，它检查应用层协议信息并且监控基于连接的应用层协议状态，为包过滤功能增加了智能检查。通过检查整个数据包，了解每个应用程序的状态信息。蓝盾万兆高性能防火墙提供如下ASDF安全过滤：基于TCP/UDP协议的通道及状态检测ASDF根据安全策略和连接状态等信息，通过检查包中的策略组（传输层协议、源地址、目的地址、源端口、目的端口、物理输入接口、物理输出接口）动态地产生基于TCP/UDP连接的访问控制列表，实现流量的动态智能过滤功能。目前提供如下检测：标准TCP、UDP报文检测分片报文检测FTP协议数据通道和协议状态检测SMTP协议状态检测HTTP协议状态检测端口到应用的映射由于所有应用层协议都使用一些系统预定义的（知名）端口号通信，为了防范恶意用户进行端口扫描，从而攻击系统，系统管理员可以针对不同应用，在系统定义的端口号之外指定一组新的端口号，外界主机与这些新端口号发起连接，从而隐藏内部知名端口，从而提供良好的安全机制。目前支持两类映射机制：通用端口映射和基于策略的主机端口映射。通用端口映射将用户自定义端口号和应用层协议建立映射关系，这样目的端口号就决定了该报文类别。主机端口映射利用策略规则，将来自某些特定主机的报文、端口号和应用协议之间建立映射关系。IDS联动蓝盾万兆高性能防火墙除了自身提供强劲的攻击防范能力外，还能够和专业的IDS（IntrusionDefectiveSystem）设备联合组网，即IDS设备外置。由于IDS设备包含非常完备的攻击行为信息，因此联合组网将充分发挥IDS设备高效、全面的安全保障能力。所谓IDS联动，指IDS设备能自动侦听整个网络中是否存在恶意攻击、入侵或其他安全隐患行为，通过下发指令的方式（如动态维护策略表项）通知蓝盾万兆高性能防火墙，由蓝盾万兆高性能防火墙对攻击报文进行丢弃或其它处理。采用IDS联动方式进行攻击防范，入侵检测和攻击处理两个过程有效分离，充分发挥了各设备的优势，改善了系统性能。AllInOne集成功能蓝盾万兆高性能防火墙提供集成AllInOne功能，可作为大小型网络的汇聚层设备，连接核心层和接入层，实现网络分级互连。蓝盾万兆高性能防火墙第三代安全体系架构ISS（IntegratedSecuritySystem集成安全系统架构），可实现安全业务的全方面拓展，综合报文过滤、状态检测、数据加解密功能、VPN业务、NAT业务、流量监管、入侵检测、攻击防范、防病毒、安全审计以及用户管理认证等安全功能于一体，从业务和性能多个方面相比第一代（X86/工控机/嵌入式等PC－Box＋应用软件架构）和第二代（嵌入式＋ASIC/NP架构）防火墙而言；具备前两代架构产品所无法睥睨的特性：蓝盾万兆高性能防火墙将企业网络连接到骨干网络，提供静态路由、RIP动态路由，并为企业网内部提供安全保障。这样，作为安全设备的防火墙与路由设备融合为一体，解决了目前困扰安全界和数据通信领域的一大难题。蓝盾万兆高性能防火墙提供高密度的百兆、千兆以太网端口，并提供强大的LANSWITCH交换功能，以及VLAN、生成树等功能，可取代原有交换机的位置，提供多类型的大量内网接口。蓝盾万兆高性能防火墙采用高度灵活的模块化结构，综合报文过滤、状态检测、VPN业务、NAT业务、入侵检测、防病毒、安全审计以及用户管理认证等安全功能于一体。蓝盾万兆高性能防火墙在全面提供报文过滤、状态检测、VPN加解密、NAT特性等功能的同时，可实现数十倍性能的提升；并且全面展示“AllinOne”解决方案，单机构建安全系统，实现多方面安全特性的有机融合和互补，避免安全解决方案的单点防御漏洞和网络单点故障，有效弥补前几代安全设备、网络协调之间的安全漏洞和管理漏洞；蓝盾万兆高性能防火墙AllInOne集成特性优势采用蓝盾万兆高性能防火墙，安全解决方案组网简单化，突破了以往网络出口的带宽瓶颈并大大增加网络出口和整网的可靠性；并大大节省用户的安全设备投资，有效降低管理、维护、运营成本；用户可以根据实际组网业务需求选择部分或全部安全处理功能模块（主要以软件LICENSE方式）；保证用户最小的投入，最大的安全回报，以真正的“客户需求”为己任。此外，蓝盾万兆高性能防火墙采用专用安全处理芯片和ISS系统架构，提供平滑的软硬件升级功能，充分保护用户的前期投资以及后期扩容，可平滑升级，达到完美过渡。支持多种功能模式支持路由、桥接、NAT模式蓝盾万兆高性能防火墙支持多种功能模式，丰富了组网应用：路由模式：蓝盾万兆高性能防火墙各接口具有确定的IP地址，内部网络和外部网络的设备都清楚到该蓝盾万兆高性能防火墙的路由，这种方式适合网络初建时，IP地址统一规划有助于全网络管理。桥接模式：也称为透明模式。蓝盾万兆高性能防火墙各接口不配置IP地址，以透明方式嵌入到内部网络和外部网络之间，内/外部网络的设备都察觉不到该蓝盾万兆高性能防火墙的存在。这种方式无需重新规划网络中的IP地址和路由，同时可以使蓝盾万兆高性能防火墙免受外界入侵。NAT模式：内部私有网络通过NAT或PAT（PortAddressTranslation)方式进行地址转换，从而访问公有网络，也可以以拨号方式访问Internet。同时，内部网络也能够借助NAT转换向外界提供“内部服务器”，提供应用程序网关功能，支持特殊协议。集成部分路由功能蓝盾万兆高性能防火墙除了具备防火墙功能，提供高效的安全保障能力外，还集成了部分路由能力，如静态路由、RIP动态路由，使得防火墙的组网应用更加灵活。NAT应用地址转换NAT（NetworkAddressTranslation）功能主要用于将内部网络地址转换为外部网络（Internet）地址，同时也可以提供“内部服务器”功能。地址转换地址转换技术引入地址池的概念，在转换时，蓝盾万兆高性能防火墙从地址池中根据一定的规则选择一个IP地址做为转换后的源地址，完成地址转换。这个选择的过程对用户来讲是透明的，用户只需要将他具有的IP地址配置成相应的地址池就可以了。地址转换包括两种形式：只使用地址进行转换（NAT）使用地址和端口（TCP/UDP协议的端口信息）的形式进行转换（PAT）虚拟主机（VIP应用）通过PAT方式为内网主机提供一个公网IP地址＋端口，当外部用户访问该合法地址（即对应的公网IP地址＋端口）时，PAT网关就将访问送到了内部服务器，这样就为外部网络提供了“内部服务器”的具体服务。内部服务器（MIP应用，主机映射）内部服务器是一种“反向”的地址转换，通过配置参数，使得某些私有地址的内部主机可以被外部网络访问。内部网络的服务器是一台配置了私有地址的机器，可以通过NAT为这台主机映射一个合法的公网IP地址，隐藏内部主机的IP地址，保证内网服务器的安全性，达到内部主机映射，访问一个开放的公网主机地址即可访问真正的内部服务器，获取服务。（此时，仅仅提供主机IP地址的映射，并不对端口进行重新分配映射）内网隐藏为了避免外部用户对内网的不法窥探，蓝盾万兆高性能防火墙能够根据用户需求配置NAT特性隐藏内部网络，无论是私到私的映射、私到公还是公到公的映射都可以实现，映射规则完全由用户指定，灵活应用。支持多种NATALG支持多种NATALG（ApplationLayerGateway），包括FTP、PPTP、DNS、NBT（NetBIOSoverTCP）、ILS（InternetLocatorService）、ICMP、H323等协议的NATALG，以及IPsec的NAT穿越。蓝盾万兆高性能防火墙通过支持特殊协议的NATALG，使设备有良好的扩充性，且整体构架的升级继承性相当方便，很容易支持新的协议。安全保障的VPN应用IPSec提供一整套网络安全协议，可为通讯双方提供数据的完整性、来源的可靠性、防止数据被窃听、反重放等服务。有了IPSec保障，数据通过公共网络传输时就不用担心被监视、篡改和伪造。这使得VPN（VirtualPrivateNetwork，虚拟专用网络），包括内部网、外部网以及远端用户之间的访问更加安全，同时确保VPN网络与下层承载网络之间资源使用的分层管理，及VPN网络内外之间的信息隔离，既提高了网络资源利用率，又确保了双方安全通讯。利用蓝盾万兆高性能防火墙可以构建多种VPN网络。IntranetVPN通过公用网络互连企业各个分支机构，作为传统专线网络或其它企业网的扩展及替代形式；AccessVPN为SOHO等小型用户搭建通过PSTN/ISDN网络访问公司总部资源的安全通路；ExtranetVPN将企业网络延伸至合作伙伴与客户处，使不同企业间通过公网进行安全、私有的通讯。防火墙双机热备份蓝盾万兆高性能防火墙提供双机热备份功能，即两台或多台蓝盾万兆高性能防火墙设备形成一个热备份组，其中一台设备作为主设备承担防火墙工作，其他作为备份设备，备份主设备的配置以及运行状态，同时监视主设备的运行状况。当主设备发生异常时，备份设备可以自动切换成主设备并接替工作。根据用户配置防火墙热备份分为两种：命令热备份主、备防火墙设备之间只进行用户配置命令的热备份，热备份功能由配置管理模块统一进行处理。状态热备份热备份组的设备之间除了由配置管理模块进行配置热备份之外，还要进行运行状态数据的热备份。从而确保用户数据流不会因为主、备防火墙倒换而中断。不同接口模块可以定义不同的状态热备份数据。支持防火墙策略、ASDF、流量监控、NAT转换等的双机热备份。完备的流量监控所谓流量监控，主要是通过对系统数据流量和连接状况进行监视，在发现异常情况时采取适当的处理措施，从而有效地防止网络受到外界的攻击。流量监控分为流量监管功能和统计分析功能。流量监管功能蓝盾万兆高性能防火墙流量监管功能，主要采用了令牌桶及Hash等技术，可根据用户策略定义数据流，并通过对数据流进行控制与管理，可以有效、灵活地防止ICP、IDC等网络遭受流量攻击。防火墙流量监管技术实现的主要功能如下：可根据用户策略定义数据流，通过指定单一数据流的平均流量、突发长度，检测匹配该数据流的任一源、目的地址的流量，不满足要求则丢弃；可根据用户策略定义数据流，通过指定总数据流的平均流量、突发长度，检测匹配数据流的所有地址的数据总流量，不满足要求则丢弃；对于不符合已定义数据流类型的报文，根据缺省的单一数据流的平均流量和突发长度，或者总的平均流量和突发长度进行流量检测，不满足要求则丢弃；定期实时检测各数据流信息，对于大数据流的异常情况进行告警；对数据流信息进行老化处理，如果长时间无数据到达，则清除该数据流信息；对指定报文进行速率限制。统计分析监测内部、外部网络的连接状况，对输入和输出的IP报文进行全局统计，包括：总的会话和流量的相关信息；应用层协议相关信息；丢弃报文的相关信息；攻击报文的相关信息；对IP报文按域及端口进行入方向的统计；对IP报文按域及端口进行出方向的统计；对IP报文按IP地址进行入方向的统计；对IP报文按IP地址进行出方向的统计；支持对TCP报文的RST、FIN报文详尽的分类统计；以及其他根据用户策略配置的统计信息等；灵活便捷的维护管理图形化界面的防火墙管理蓝盾万兆高性能防火墙提供图形化防火墙管理界面，方便用户进行本地集中维护管理设备。诊断维护防火墙具备一定的诊断维护功能。其它维护管理手段此外，还可以通过Console口维护蓝盾万兆高性能防火墙。支持多种以太网接口蓝盾万兆高性能防火墙支持多种以太网接口：10/100MFE以太网接口支持SFP(SmallPackagePlugModule，也称为MiniGBIC)模块支持1000MGE电口支持1000MGE短距多模光口支持1000MGE长距单模光口即使在用户组网应用之后，可根据网络需要，灵活的更换电口、光口、多模、单模的GE接口详尽统一的日志蓝盾万兆高性能防火墙针对所有经过防火墙的数据流，创建基于流状态的信息表，通过二进制或Syslog（文本）的方式输出日志，从而提供完整、统一的日志信息描述。安全日志可记录入侵者对防火墙以及内网的DOS攻击、以及未授权访问；作为攻击报文将被IDS入侵检测模块和策略报文过滤模块实时过滤，并提供告警信息。可通过Syslog方式输出告警，告警信息包括攻击来源（源地址）和攻击种类等。对于Flood类的攻击，日志将记录攻击的目的地址。流量监控日志蓝盾万兆高性能防火墙根据安全域、IP地址等参数进行流量监控，判断速率或连接数目是否达到上限或下限值，当达到上限时触发告警并记录日志，从而有效监控流量；当达到下限时，也触发告警，指示系统恢复正常。连接日志（NAT日志和ASDF流日志）主要记录基于TCP/UDP/FTP/SMTP/HTTP的连接的状态检测以及NAT连接转换和VPN操作的日志，日志内容中包含一个完整流的源地址、源端口、目的地址、目的端口、连接状态等信息，及流的开始和结束时间、流的状态信息等。对于使用NAT功能的流还标识了地址转换之后的地址和端口信息。事件日志记录用户以及管理员对防火墙的实时操作动作，包括对安全策略、NAT信息、入侵检测、认证等等信息的配置、管理、操作等等，作为一个高安全设备，不仅仅需要记录分析外部的不安全因素，也要实时记录管理员的操作，便于问题事故的有效分析。黑名单日志蓝盾万兆高性能防火墙对于在检测中发现的非法用户，自动将该用户的源IP地址加入到黑名单中，并产生一条黑名单日志，该日志记录主机地址、加入原因等信息。多种统计信息记录流统计信息，了解防火墙运行状况。这些流统计信息包括：总的连接数目、当前连接及半连接数目、最高峰值及丢弃报文数目。记录各种攻击报文的数目，了解攻击事件的发生情况。可靠的产品设计全球化设计蓝盾万兆高性能防火墙按照中国、北美、欧洲、澳洲、日本等国家和地区的国际标准和国家标准设计，满足这些国家和地区的EMC、安规等认证及入网需求。蓝盾万兆高性能防火墙按照UL、CE、FCC