奇安信网神防火墙系统

网神防火墙系统是奇安信集团自主创新的新一代防火墙安全系统，基于 NDR（基于网络的检测与响应）安全体系，在高性能和先进架构的支撑下，集成了防火墙、VPN、应用与身份识别、防病毒、入侵防御、虚拟系统、行为管理、应用层内容安全防护

产品概述

360 网神防火墙系统（以下简称为：防火墙）是奇安信集团自主创新的新一代防火墙安全系统，基于 NDR（基于网络的检测与响应）安全体系，在高性能和先进架构的支撑下，集成了防火墙、VPN、应用与身份识别、防病毒、入侵防御、虚拟系统、行为管理、应用层内容安全防护、威胁情报等综合安全防御功能，并支持与天眼、奇安信安装助手、NGSOC、天御云等多系统进行协同防御。
在扩展了协同防御能力的基础上，在防火墙上以分析中心、数据中心、处置中心三大中心为核心，实现了对威胁的分析、定位、处置一体化过程。是专门为政府、军队、金融、教育、运营商、企业的网络出口打造的基于协同防御体系的新一代安全防御系统。

技术优势

采用第四代 SecOS 系统

具备完全自主知识产权的网神第四代 SecOS 操作系统，在第三代 SecOS 带来的高安全性、高开放性、高扩展性和高可移植性基础之上，重点加强了防火墙的协同防御能力、数据生成能力、数据分析能力和数据处置能力，让防火墙具备多端联动、风险信息全方位展示、拦截已知威胁、定位未知威胁和一键处置威胁行为的能力，弥补了传统防火墙重配置轻管理的缺点，并能提供多维度的有效信息帮助用户完成日常维护工作。

云端协同扩展精确定位威胁

防火墙除了内置入侵防御、病毒、URL、应用识别特征库外，还可以同天御云进行联动，由云端提供病毒云查杀、URL 云识别、应用云识别、云沙箱等功能。扩展防火墙特征库，精确定位网络中的威胁，并配合处置中心对已确认的威胁行为进行处置。

多级冗余架构提高防火墙可靠性

防火墙支持多种多级冗余架构，提升了防火墙的可靠性，包括：
1. 防火墙数据平面冗余架构。由于网口数据的接收和发送任务被平均分配给了每一个 CPU 进行处理，当其中一个或多个 CPU 无法工作时，余下的 CPU 仍然可以正常工作。由于数据的接收和发送任务仍然被平均分配给了每一个当前可以工作的 CPU 上，这就在在数据平面上，提高了防火墙的可靠性。
2. 防火墙系统冗余架构。防火墙支持导入两个系统，并且这两个系统彼此之间是相互独立的。当用户当前正在使用的系统出现问题时，用户可以切换到另一个系统上。这就在系统层面上，提高了防火墙的可靠性。
3. 防火墙网络链路冗余架构。在防火墙系统上，采用增强的 SGRP 路由冗余备份协议，实现双主的路由负载均衡和主备的路由冗余备份两种模式，同时支持透明环境下的 HA 冗余备份和快速切换。这就在在网络链路上，提高了防火墙的可靠性。

整体框架采用 AMP+并行处理架构

防火墙系统的整体框架采用 AMP+架构，是更加优化的多核异步并行处理架
构。整体架构分为三大部分：
● 配置管理平面：由 CPU0 负责处理。
● 控制平面（control-plane）：由 CPU0 负责处理，其中智能分析功能，由 CPU1 负责处理。
● 数据平面（data-plane）：由剩余的 CPU 平均分配处理。
在 AMP+架构下，多个平面负责各自不同的任务，实现了分层、独立、异步并发的工作体系。为防火墙系统的性能带来了革命性的提升，配置管理平面、控制平面、数据平面的三层分离，保证了防火墙的整体稳定性及可靠性。

优化的 AMP+架构突破传统 SMP 架构瓶颈

传统的 SMP 架构实现了多核下的并发处理，同一个任务<任务一>分配给了不同的 CPU，当其中一个 CPU 被其它任务<任务二>占用时，其余正在处理<任务一>的CPU 就会因为<任务一>被锁而处于等待状态，这就降低了 CPU 的效率，也延长了任务处理时间。

防火墙系统采用的 AMP+架构，为异步并行处理架构，不同的 CPU 可以处理不同的任务，这就极大减少了任务被锁住的情况，突破了 SMP 架构下的瓶颈，提升了 CPU 的效率，也极大的缩短了任务处理时间。从而使得防火墙的整体处理速度加快。

更优化的网口数据收发处理

以网口数据接收处理为例，传统的多核架构，为了实现多核并行处理，会将 CPU 与网口进行绑定。在传统的多核架构下，当网口没有接收到任何数据时，与其绑定的 CPU 就会处于空闲状态，CPU 的利用率并没有实现最大化。
防火墙系统采用的 AMP+架构对此进行了优化，CPU 不再与网口进行绑定，而是由将网卡的收发包队列根据数据平面的 CPU 个数平均分配到每个 CPU 上，这样就保证了数据平面 CPU 的并行度，实现了 CPU 利用率的最大化。只要任意一个网口有数据接收，所有的 CPU 就都会处于运行状态，CPU 的利用率到达了最大化。

单引擎一次性数据处理技术

传统防火墙或 UTM 技术大多以 Linux 系统为基础，数据的基本转发功能做
在 Linux 系统的内核部分，高级功能（例如 IPS、防病毒、内容过滤等）都
做在用户空间，这样就会导致在运行高级防护时，数据需要从内核送到用户
空间，处理完后再从用户空间送回内核，然后再发送出去。
这种做法总体有三大缺点：
● 涉及到数据包频繁的上下传输。
● 进程间频繁切换
● 会话无法复用
而防火墙系统采用引擎一体化技术后，数据处理流程如下图所示：

从图中我们可以发现，整个数据的接收、数据的处理（包括应用层数据的处
理，IPS、防病毒等高级功能），数据的发送，都在数据平面完成，不涉及数
据包的拷贝，进程切换等问题。同时数据的处理在整个转发阶段都使用同一
个会话。这就极大的提高了应用层的处理速度，降低了整体数据转发的延迟。

基于 NDR 安全体系的未知威胁闭环防御

对于传统安全而言，着重解决了已知威胁，奇安信集团在补充传统安全不足、
提升已知威胁识别效率的同时，也思考了未来网络安全发展的新分支。
近几年，信息价值的不断提升，让企业的数据安全面临着更多的威胁及更深
的影响，传统安全手段解决已知威胁的方式并不能真正保护用户的数据安全。
高级威胁往往可以透过合规数据绕过传统安全的各种防御手段并成功达到数
据窃取的目的。因此，我们迫切需要一个新的安全体系来对未知威胁进行防
范与跟踪。结合奇安信大数据挖掘技术及数据安全分析中的积累，奇安信集
团建立了由大数据驱动，基于网络的检测与响应体系（简称 NDR）。针对未
知威胁形成一套基于互联网及用户自身网络的动态数据检测、动态行为检测、
动态处置响应的防御闭环。

防火墙系统作为 NDR 安全体系中的重要一环，利用对用户自身网络的数据
识别、行为识别，加之云端基于特征的已知威胁、基于沙箱的未知威胁检测、
基于威胁情报的失陷主机发现、基于安全模型的未知威胁发现，结合防火墙
/SMAC 的多维度关联分析、递进式数据钻取，直观展现未知威胁行为的跟
踪、定位、处置，完成对未知威胁的一键式处置及策略优化，及安全事件的
溯源取证。

应用场景

企业互联网边界安全应用场景

痛点和优势

痛点	优势
外部威胁多，上网用户网络安全意识参差有别	与终端联动，对用户终端按照安全风险进行精细化管控、与 NAC 一起实现网络准入和访问控制
内部网络流量成分复杂	全面健壮的应用层级综合安全防护
重点业务保证，需对上网的带宽及行为进行约束	按需动态调整带宽

行业专网网络安全应用场景

痛点和优势

痛点	优势
多链路备份，提升网络可用性	高效的双机热备
多分支互联，业务安全传输	标准的 IPSec VPN
重点业务保证，需对上网的带宽及行为进行约束	按需动态调整带宽
内部网络流量成分复杂	全面健壮的应用层级综合安全防护
外部威胁多，上网用户网络安全意识参差有别	与终端联动，增强对木马及应用程序的精准识别、对用户终端按照安全风险进行精细化管控、与 NAC 一起实现网络准入和访问控制

数据中心出口安全应用场景

痛点和优势

痛点	优势
出口大流量承载	高性能承载出口大流量
全网可靠性要求高	全网冗余设计保证可靠性
全网安全性要求高	3000+漏洞利用防护、间谍软件双向检测、实时检测已失陷服务器
业务众多且网络复杂度高	虚拟防火墙承载业务实现安全隔离
需对业务实现安全隔离与管理	独立配置、独立分析、独立维护

多分支企业组网安全应用场景

痛点和优势

痛点	优势
多分支互联，业务安全传输	出口部署智慧防火墙，分支机构与总部建立 VPN，实现链路互为备份及负载，并实现边界安全隔离及互联网威胁攻击防御
总部/分支一体化防御策略，对外部访问的安全控制	对全网流量进行深度威胁检测，并利用本地的威胁情报对可疑行为进行深入分析，阻断病毒扩散、漏洞入侵，并实时预警、阻断高隐蔽性威胁
终端安全性保证，防止单台终端被突破导致的全网风险	与天擎协同联动，实现网关与本地的双重病毒查杀，以及基于终端风险的访问控制
多台防火墙统一管理、状态监控和数据分析	部署 SMAC 系统，构建集配置批量下发、状态统一监控、失陷主机预警于一体的集中管理分析平台

产品推荐查看更多>>

爱数 AnyBackup CDM 7 副本数据管理

一款颠覆传统备份，集秒级、分钟级、小时级灾备技术于一身，为持续创新企业精心设计的产品。

功能完备

安全可靠

立即咨询查看详情

安恒明御数据安全网关AiGate

明御数据库安全网关（DAS-DBFW）是专业级的数据库安全防护与访问控制设备，能够对进出核心数据库的访问流量进行高效、精准的解析和访问控制，根据内置的各种漏洞攻击特征策略以及自定义策略实时的对数据库的请求进行精准处理判断，一旦引擎识别到访问请求属于违规访问或者攻击行为将实时告警阻断，让数据库的安全以可视化直观的的方式将所有的访问都呈现在管理者的面前，数据库不再处于不可知、不可控的情况，数据威胁将被迅速发现和响应。

极高的处理性能

精准的数据库协议代理引擎

数据库整体安全直观

灵活的自定义防护规则

立即咨询查看详情

启明星辰TSOC-SA日志审计系统

启明星辰推出的新一代泰合信息安全运营中心系统，采用具有自主知识产权的分布式非关系型数据库技术的日志审计系统及日志分析管理解决方案。系统能够通过主被动结合的手段，实时不间断地采集用户网络中各种不同厂商的安全设备、网络设备、主机、操作系统、以及各种应用系统产生的海量日志信息，并将这些信息汇集到审计中心，进行集中化存储、索引、备份、全文检索、实时搜索、审计、告警、响应，并出具丰富的报表报告，获悉全网的整体安全运行态势，实现全生命周期的日志管理。

扩展性

大规模部署

范式化技术

操作简单

立即咨询查看详情

数字化社区查看更多>>