迪普防火墙白皮书

应用防火墙
DPtech FW1000 系列下一代防火墙技术白皮书
1 概述
在应用需求的不断推动下，网络技术得到了飞速发展；而网络技术的进步则又反过来推动应用的发展，
应用与网络之间是相辅相成、相互促进的。随着万兆到核心/千兆到桌面、Web2.0、虚拟化、物联网、网
络音频/视频、P2P、云计算等各种新应用、新业务层出不穷，传统的基于端口进行应用识别和访问控制
的防火墙，已远远无法满足各种新应用下安全防护的需求。为解决此类难题，迪普科技推出了基于全新多
核处理器架构的 FW1000 系列下一代防火墙。
FW1000 系列下一代防火墙基于迪普科技自主知识产权的 APP-X 硬件平台和 ConPlat OS 安全 *** 作系
统，并配备专业的入侵防御特征库、病毒库、应用协议库、URL 库，是目前业界性能领先的应用防火
墙。无以伦比的高可用性、高性能和高可靠性，使得 FW1000 系列下一代防火墙可以放心规模部署于数
据中心、大型园区网等各种复杂场景；另外，功能丰富并可按需扩展的应用防火墙方案，也简化了网络的
安全架构，并大大降低了企业网络总体拥有成本。
2 产品简介
FW1000 系列下一代防火墙是迪普公司面向大中型企业、 学校、数据中心以及运营商开发的新一代应用
防火墙产品，是一种应用级的高性能防火墙，工作在网络边界层，根据安全策略对来自不同区域的数据进
行安全控制，同时支持 IPv4 和 IPv6 环境，具备高性能，网络无瓶颈，拥有全面的安全防护，可确保网络
稳定运行，产品 VPN 全内置，提供高性价比，灵活组网能力，可适应各种网络环境。
3 迪普科技防火墙特色技术
防火墙数据转发流程
防火墙的用途是通过允许、拒绝、重定向通过防火墙的数据量，提供对一个组织的不同网络之间服务访问
的控制和审计，包括基于用户和协议的策略定义、URL 过滤、协议识别等特性，DPtech FW1000 防火
墙设备同时支持包过滤和应用级防火墙要求。
防火墙根据网络中各点的安全规则策略，有选择的在不同网络间发送信息流，默认安全规则策略拒绝所有
入站和出站的信息流，仅授权的管理员具有改变安全规则策略的权限。典型的包过滤策略由源地址、目的
地址、传输层协议、源端口、目的端口、应用协议决定，并以数据包达到或者离开接口为基准。
迪普防火墙采用安全域的控制方式在包过滤处进行整体调用，默认规则为：
1、高安全域可以访问低安全域。
2、低安全域不可访问高安全域。
3、相同安全级别的不同安全域，相互间禁止访问。
4、同一个安全域下面的不同接口，接口间可相互访问。
防火墙内部数据转发简要流程图如下：
图 1 防火墙内部转发流程图
防火墙数据转发流程依据上述顺序进行，先查找会话表项，然后再目的 NAT 转换，路由查找，包过滤规
则，防火墙策略、应用层匹配规则，审计策略，最后查询源 NAT 从设备转发出去。
丰富的网络特性
ConPlat 软件平台支持丰富的网络特性，既包括 STP、VLAN、ARP 等二层特性、也包括 BGP、
OSPFv2/v3、MPLS 等 IPv4/IPv6 的三层特性。
DPtech FW1000 网络特性：
■ 支持透明组网模式、路由组网模式、旁路组网模式、混合组网模式
■ 支持 IPv4/IPv6 协议栈，具备完善丰富的 IPv6 协议栈过渡以及隧道技术
■ Access、Trunk VLAN、端口聚合、端口镜像
■ 策略路由、静态路由、组播 IPv4/6 路由(IGMP、PIM、MSDP、组播 VPN)
■ IPv4 路由（支持 RIP v1/2、OSPF、IS-IS、BGP、Guard 路由）
■ IPv6 路由（支持 RIPng、OSPFv3、Guard 路由）、IPv6 隧道技术
■ 支持完善的 MPLS VPN
■ 支持 DNS、DHCP、ARP、BFD、STP、QOS
■ 支持链路负载、链路调度、会话保持、DNS透明代理
迪普防火墙丰富的网络特性为用户提供了灵活组网能力，可适应各种类型的网络环境，支持路由模式、透
明模式、旁路模式、混合模式组网，可适应各种复杂应用组网环境。
海量策略数下的高性能、低时延处理能力
迪普防火墙包过滤、NAT 匹配采用决策树算法把安全策略编译成快速匹配表项，报文经过设备时提取五元
组一次性送入快速匹配表项进行策略匹配，可以一次性查找到相应的匹配，形成单数据流并行处理的体系结
构，即便防火墙在有海量策略数的情况下，依旧可保持高性能、低时延的处理能力，满足管理员对设备超
高处理性能与低传输延迟的需求，让安全防护设备从此不再成为网络传输的瓶颈。
支持完善的策略管理功能
支持安全策略自动生成，防火墙根据策略分析用户业务，自动生成安全策略，为新建数据中心策略配置运
维提供支撑
支持安全策略冗余分析，防火墙可以对已有策略进行分析，输出冗余关系，为策略瘦身提供数据支撑
支持垃圾策略分析，防火墙可以对历史策略进行筛选，输出垃圾策略清单，为用户策略清理提供支撑
4 攻击防范技术（IPv4/IPv6）
攻击防范功能是 DPtech 防火墙的重要特性之一，是指通过分析报文的内容特征和行为特征判断报文是否
具有攻击特性，并且对攻击行为采取措施以保护网络主机或者网络设备。
防火墙的攻击防范功能能够检测拒绝服务型（Denial of Service，DoS）、扫描窥探型、畸形报文型等多
种类型的攻击，并对攻击采取合理的防范措施。攻击防范的具体功能包括黑名单过滤、报文攻击特征识
别、流量异常检测和入侵检测统计。
除了对传统的 IPv4 安全防范技术，迪普防火墙对于 IPv6 的安全也拥有全面防护，支持 IPv6 的包过滤、
业务长连接、huge-icmp-pak、icmp-flood、ip-sweep、ip-spoofing（l2/l3）、udp-flood、teardrop、ip-fragment、ping-of-death、port-scan、syn-flood、syn-proxy、tcp abnormal、landattack、NDP defender 等。
DDoS 攻击防护
在多种网络攻击类型中，DDoS 攻击是最常见的一种，因为这种攻击方式对攻击技能要求不高，攻击者可
以利用各种开放的攻击软件实施攻击行为，使用大量的数据包攻击目标系统，让目标系统无法接受正常用
户的请求，或者使目标主机挂起不能正常工作。DDoS 攻击和其它类型的攻击不同之处在于，攻击者并不
是去寻找进入目标网络的入口，而是通过扰乱目标网络的正常工作来阻止合法用户访问网络资源。
DDoS 攻击也可以存在于 IPv6 Internet 上。由感染木马的计算机组成的大型网络成为僵尸网络，他们的
攻击可以聚焦到一个受害者。IPv6 的使用不会改变僵尸网络的生成和运行，不幸的是，僵尸网络将仍然存
在于 IPv6 网络上。IPv6 将允许 Internet 包含比 IPv4 Internet 更多的设备，如果这样多的设备都发起一
次 DDoS 攻击的情形，相比如今在 IPv4 Internet 上的攻击而言，结果将更具毁灭性。
扫描窥探攻击
扫描窥探攻击利用 PING 扫描（包括 ICMP 和 TCP）标识网络上存在的活动主机，从而可以准确地定位潜
在目标的位置；利用 TCP 和 UDP 端口扫描检测出目标 *** 作系统和启用的服务类型。攻击者通过扫描窥探
就能大致了解目标系统提供的服务种类和潜在的安全漏洞，为进一步侵入目标系统做好准备。迪普防火墙
能够有效的防御 IP 地址扫描、端口扫描、漏洞扫描等扫描窥探攻击。
畸形报文攻击
畸形报文攻击是通过向目标系统发送有缺陷的 IP 报文，如分片重叠的 IP 报文、TCP 标志位非法的报文，
使得目标系统在处理这样的 IP 报文时崩溃，给目标系统带来损失。迪普防火墙通过特征识别技术，能够精
确识别出数十种攻击特征报文，能够对 LAND 攻击、死亡之 Ping、IP 分片重叠攻击、UDP Fraggle 攻
击、WinNuke 攻击、TcpFlag 攻击、ICMP 不可达报文、ICMP 重定向报文、ICMP Smurf 攻击、源路由
选项 IP 报文、路由记录选项 IP 报文、超大 ICMP 报文等畸形报文攻击进行防护。
5 病毒过滤技术
通过集成专业病毒特征库向用户提供防病毒服务，能够检测 HTTP、FTP、SMTP、POP3、IMAP、
RAR、ZIP 等传输的病毒。防病毒模块可以以在线、旁路、桥接和混合等模式部署在网络中，通过采用实
时分析的方式，自动检测、阻断或重定向携带病毒的报文与异常流量。防病毒模块提供的功能包括：
防病毒规则管理
防病毒特征查询
防病毒日志
支持防御文件型、网络型和混合型等各类病毒，能够通过新一代虚拟脱壳和行为判断技术，准确查杀各种
变种病毒、未知病毒。设定三种级别流行性病毒检测，根据流行度，用户可以配置开启不同级别的病毒防
护控制。防病毒特征库定期更新以保证对新病毒的及时响应。防病毒模块的基本功能和原理，如下图所
示。
图 2 病毒检测与防护
传统的检测病毒的方法，可以分为四种：特征代码法，校验和法，行为检测法，和软件模拟法。在网络设
备上实现防病毒功能，最好的方法就是特征代码法。通过集成专业病毒库，精确扫描经过设备的网络数据
流，如果与特征相符，就认定为病毒。不同的病毒特征，划分病毒的流行度，可以有不同的防护动作，并
生成日志。迪普科技防病毒查杀具有：检测准确快速、可识别病毒的名称、误报警率低等优点。
迪普科技的防病毒日志有丰富的报表功能，能提供各种查询条件，如病毒源 IP，目的 IP，病毒种类，各
个时间段等等。日志支持远程发送，也支持日志备份等 *** 作。迪普科技 IPS 病毒库以定期（每周）和紧急
（当重大安全病毒特征被发现）两种方式发布，并且能够自动分发到用户驻地的设备中。
6 Web应用防护
■ 参数攻击防护 支持Sql注入攻击防护，Xss攻击防护、命令注入防护、目录遍历攻击防护等
■ HTTP协议攻击防护 支持对HTTP协议请求正规化检查，Cookie正规化检查，Cookie加密等
■ 支持缓冲区溢出攻击防护 、弱口令、暴力破解、爬虫、盗链等防护功能
7 上网行为管理
迪普科技FW1000 系列下一代防火墙通过深度检测以及协议指纹分析技术综合分析网络中诸如P2P下
载、即时通讯、远程管理、网络游戏、网络电视、代理服务、金融证券等用户网络访问行为，协助企业
对用户上网行为进行有效的控制管理。
邮件审计
邮件审计包括Webmail审计和客户端邮件审计。Webmail即Web邮箱审计，是针对用户通过Web邮箱
发送邮件的用户上网管理的功能。
迪普科技FW1000 系列下一代防火墙可以监控邮件的发件人、收件人、抄送、密送、主题、内容、附件
名、附件内容等信息，并且可以通过邮箱过滤规则配置设置用户需要进行过滤的发件人、收件人、关键
字、附件名等信息，一旦发现用户发送的邮件中包含用户的过滤信息，或者邮件被识别为垃圾邮件、邮
件炸d，会立即终止邮件的发送，为用户的信息安全提供了保障。
论坛审计
设备详细记录用户名、终端信息（主要包括：终端类型、系统类型、浏览器类型等）和发帖的URL以及
发帖内容。
迪普科技对多种论坛架构进行细致的分析和总结，归类为几种论坛模型（如discuz和phpwind等），对
每一种论坛进行独立的处理。
IM审计
迪普科技FW1000 系列下一代防火墙可以审计聊天内容、传输文件（包括QQ、飞信、MSN、雅虎通
等），这样就可以有效杜绝聊天过程中病毒的引入，并监控员工是否在做与工作无关的事、是否泄露了
公司机密等。
8 URL过滤技术
迪普科技FW1000 系列下一代防火墙提供专业URL特征库，每周更新。提供灵活的分类信息，便于产品
配置，具有未知URL地址自动更新功能。
URL过滤分为URL高级过滤和URL分类过滤。
URL分类过滤
基于迪普自己分析的地址特征库实现的功能。通过配置策略，可以根据特征库里的url地址对用户访问的
页面进行过滤，保护用户不受到非法网站的侵害。根据网络现实情况，可以积极迅速的更新url地址特征
库，可以保证用户购买产品后该功能的长期有效性。
URL高级过滤
用户除了可以使用迪普自己的URL地址特征库对访问的页面进行过滤，还可以根据自己的需求以及网络
环境来定义要过滤的URL链接，满足用户更多的需求。
可以定义具体的IP，主机名作为URL地址进行过滤。对于有经验的用户，还可以使用正则表达式来定义
URL地址，可以实现配置1条策略对多个URL地址进行过滤的要求。
9 防火墙高可靠性
FW1000 系列下一代防火墙具备完善的双机热备技术，包括普通双机热备、高级双机热备、非对称双机
热备、静默双机热备等。
普通双机热备
提供配置同步的双机功能，实时相互备份防火墙的配置，包括 IP 地址对象/组、服务对象/组、包过滤策
略、路由等。
高级双机热备
在提供备份配置的基础上，实时同步两台防火墙的会话，一旦主备发生切换，有状态连接的应用访问可继
续进行，无需重新连接。
非对称双机热备
可配置备份与会话备份，同时支持业务流量非对称的双主部署模式。对于 ALG 的会话实时同步，对多通
道应用层业务提供支持。
普通、高级以及非对称双机热备主备切换可配合协议来实现，如 VRRP 协议、OSPF 协议、STP 协议等。
管理员通过规划 VRRP、OSPF、STP 等的优先级参数来控制业务流量走向，从而实现防火墙部署为主备模
式或主主模式，如下图：
图 3 双机热备（VRRP 协议）
图 4 双机热备（OSPF 协议）
静默双机热备
主备防火墙所有配置完全一样（接口 IP 也一致），正常运行的情况下，逻辑上只能感知到主设备的存
在，备设备处于静默的状态，在网络中不可见也不可感知。 主设备通过心跳线定时的发送自己的心跳报
文用来通告自己的运行状态。备设备只监听主设备的状态，不发包也不收包，处于静默的状态。
当主设备有异常，或备设备在一定时间段之内没有收到主设备的心跳报文，那么备设备就会 Wake Up，
变成主防火墙，通过连续发送免费 ARP 的机制，不断刷新交换机上的 MAC 地址表项，将业务流量牵引过
来接替主设备进行转发。从而实现流量双机热备。这种方式不需要借助其他的协议实现，而是通过设备自身
检测机制来实现双机热备，相对简单可靠。
图 5 静默双机热备
10 防火墙全面 VPN 支持
FW1000 系列下一代防火墙面对用户分支互联、移动办公的需求，支持丰富的 VPN 种类，包括 IPSec、SSL、
GRE、L2TP、PPTP 等多种 VPN 接入方式，并提供包括 DES、3DES 等多种加密算法，并支持证书认
证。防火墙内置 IPSec VPN、SSL VPN 高速硬件加密功能，在简化网络结构的基础上，还大大提升了用
户网络安全建设的性价比。
Site to Site 固定接入类型
■ IPSEC VPN
■ GRE VPN
图 6 Site to Site VPN 接入
移动接入类型
■ IPSEC VPN
■ PPTP VPN
■ L2TP VPN
■ SSL VPN
图 7 移动办公 VPN
11 防火墙虚拟化技术
DPtechConPlat 平台支持 *** 作系统级或应用级的虚拟化特性。所谓 *** 作系统级虚拟化是服务器虚拟化中的
一个概念，指的是在主 *** 作系统上运行一个虚拟层软件，可以安装多种客户 *** 作系统，任何一个客户系统的
故障不影响其他用户的 *** 作系统。通过安装于主 *** 作系统（Host OS）之上的虚拟化软件将 Guest
OS 的内核和文件系统抽象化为一个个容器，并负责计算存储源分配及容器安全隔离。ConPlat *** 作系统
级虚拟化如下图所示：
图 8 *** 作系统级虚拟化
所谓应用级虚拟化，指的是在单一 *** 作系统上使用，在 *** 作系统和应用之间运行虚拟层，任何一个应用包
的故障不影响其他软件包。应用级虚拟化可以将 ConPlat 的核心功能打包成为一个虚拟防火墙，每个虚拟
设备都有独立的计算资源、转发表项、控制平面、业务平面及转发平面进程，以及独立的管理员与管理界
面。ConPlat 应用级虚拟化如下图所示：
图 9 应用级虚拟化
*** 作系统级虚拟化与应用级虚拟化的区别在于完整程度。进行 *** 作系统级虚拟化后，每个虚拟化实例依然
是一个完整的 ConPlat 软件平台，在其上依然可以进行应用级虚拟化，如进一步划分虚拟防火墙。而应用
级虚拟化只是将 ConPlat 的核心功能虚拟化成为一个虚拟设备，每个虚拟化实例并不是一个完整的
ConPlat 软件平台，并不能将这些虚拟设备进一步的虚拟化。
传统防火墙是一个物理的实体，而虚拟防火墙是在这个物理实体里面划分出来的多个虚拟的防火墙。虚拟
防火墙的功能是原防火墙的一个子集。虚拟防火墙多部署在运营商或者 IDC 机房的网络中，由运营商购买
并维护物理防火墙实体，用户可以租用一个或多个虚拟防火墙，并管理属于自己的那部分资源。
虚拟防火墙之间完全隔离，每个虚拟防火墙有自己独立的用户管理系统，可以管理属于自己的硬件接口等
硬件资源，也可以管理分配给自己的安全域、VLAN 等逻辑资源。
管理员的虚拟化
图 10 防火墙管理员虚拟化
每个虚拟系统都有自己独立的管理员。公共系统为全局系统，可以管理设备上所有的管理员。虚拟系
统的管理员只能看到并管理属于这个虚拟系统的管理员。
物理硬件资源的虚拟化
图 11 防火墙物理资源虚拟化
每个虚拟系统都分配了属于自己的接口，每个虚拟系统的管理员可以为自己的接口划分 VLAN、设置 IP 
等。
逻辑资源的虚拟化
图 12 Vlan-if 虚拟化
对于 VLAN 这种全局统一的逻辑资源，由公共系统的管理员统一创建，然后分配给不同的虚拟系统。各
虚拟系统的管理员可以为自己的 VLAN 配置 IP、把接口划分到自己的 VLAN。
图 13 安全域虚拟化
对于安全域这种纯软件的逻辑资源，由各虚拟系统的管理员自己维护。
路由虚拟化
路由虚拟化分为两个层次，一个是转发层面的虚拟化，一个是路由管理的虚拟化。从内核态转发层次看，
每个虚拟防火墙包含多个硬件接口。这些硬件接口由自己的虚拟转发平面管理，不同的虚拟防火墙之间完
全隔离。因此，不同的虚拟防火墙配置相同的 IP 地址是允许的。
图 14 路由虚拟化
从用户态路由管理层次看，每个虚拟系统有自己的路由管理软件，不同的虚拟系统有自己独立的管理域，
拥有独立于其他虚拟系统的管理进程，使 OSPF、BGP 等路由程序可以独立运行、独立管理。因为虚拟系
统的管理域是独立的，因此虚拟系统之间可以更合理的分配 CPU 资源，而且一个虚拟系统的崩溃不会影
响其他的虚拟系统。
12 VSM 虚拟化技术
从提出虚拟化理念开始，虚拟化技术在不断发展、变化中，不同厂商的技术实现也不尽相同。迪普科技推
出了业界首创的网络及应用一体化的虚拟化技术－VSM（Virtual Switching Matrix 虚拟交换矩阵）。
图 15 VSM 多框级联
多个 VSM 成员设备之间使用多个 10G 口聚合，VSM 系统和上、下层设备之间的连接也使用聚合相接，
这样通过多链路备份提高了 VSM 系统的可靠性同时保障了网络逻辑链路的简洁性。VSM 系统由多台成员
设备组成，Master 设备负责 VSM 的运行、管理和维护，Slave 设备在作为备份的同时也可以处理业 务，
一旦 Master 设备故障，系统会迅速自动选举新的 Master，以保证通过 VSM 的业务不中断，从而实现了
设备级的 1:N 备份。
VSM 可以支持扩展的 SW、FW、IPS、UAG、ADX、SSL VPN 等功能板卡，轻松扩展网络接口、功能及
性能，很好的保护用户的投资。
图 16 VSM 虚拟化配置
VSM 具有以下主要特点：
■ 简化管理。开启 VSM 模式后，用户通过任意成员设备的任意端口均可以主（Master）设备页面对
VSM 内所有成员设备进行统一管理，而不用物理连接到每台成员设备上分别对它们进行配置和管理。
■ 简化网络结构。VSM 形成的虚拟设备中运行的各种控制协议也是作为单一设备统一运行的，可大大简
化网络结构。
■ 高可靠性。VSM 的高可靠性体现在多个方面，例如：成员设备之间 VSM 物理端口支持聚合功能，
VSM 系统和上、下层设备之间的物理连接也支持聚合功能，这样通过多链路备份提高了 VSM 系统的可靠
性；VSM 系统由多台成员设备组成，Master 设备负责 VSM 系统的运行、管理和维护，Slave 设备在作
为备份的同时也可以处理业务，一旦 Master 设备故障，系统会迅速自动选举新的 Master，以保证通过
VSM 系统的业务不中断，从而实现了设备的双机备份。
■ 高性能。由于 VSM 系统是由两个或多个支持 VSM 特性的单机设备虚拟化而成的，VSM 系统的处理能
力和端口数量就是 VSM 内部所有单机设备交换容量和端口数量的总和。因此，VSM 技术能够通过两个或
多个单机设备的虚拟化，轻易的将设备的核心交换能力、用户端口的密度扩大数倍，从而大幅度提高了
设备的性能。
■ 多种级联方式。在框式设备中，VSM 支持多种单板作为级联板，满足客户不同的需求，目前支持
4*10GE、8*10GE 等单板级联。
■ 丰富的功能。所有单台设备所支持的功能都能很好的在 VSM 下得到支持。
13 N:M 虚拟化技术
迪普科技创新的推出了 N:M 虚拟化技术，首先运用 VSM 虚拟化技术将多台设备虚拟成一台（N-
->1），继而将这一台设备运用虚拟防火墙技术将一台 VSM 系统虚拟成多台虚拟防火墙（1-->M），从
而实现 N:M 的虚拟化技术。
■ 将 N 台框式设备级联，VSM 虚拟成一台设备
■ 将级联后的设备虚拟成 M 台逻辑子设备分配给相应管理员独立管理和使用
■ 按需扩展处理性能、端口密度、虚拟防火墙数量
图 17 N:M 虚拟化技术
N:M 虚拟化实现安全云计算：
■ 高性能单板处理能力
■ 大容量背板交换能力，支持多框级联，通过插板和插框拓展整机处理能力
■ 集网络安全、应用交付、业务交换于一体，全方位保障云计算的安全
■ *** 作系统级虚拟化，从管理、协议、转发、资源等方面全方位虚拟化，将一台设备虚拟成多台设备独立
使用，使得安全成为云计算的一种服务
14 防火墙NFV技术
迪普科技防火墙支持NFV技术，支持按需分配服务器资源，同时支持一虚多虚拟化，同一个虚拟机可再次虚拟化为多个虚
墙，为用户提供多租户安全防护，该产品部署简单、灵活，具备以下特点：
■ 可提供ISO/QCOW2等主流镜像格式，创建虚机灵活度高
■ 可运行于X86、ARM、ARM64等硬件平台，同时兼容适配多款国产化硬件平台
■ 可运行于KVM、VMware等主流虚拟化平台
■ 支持OpenStack纳管对接，可提供完整的OpenStack插件进行纳管对接
■ 支持业界主流云平台纳管，为公有云、私有云租户提供防护能力