奇安信网神防火墙系统

网神防火墙系统是奇安信集团自主创新的新一代防火墙安全系统，基于 NDR（基于网络的检测与响应）安全体系，在高性能和先进架构的支撑下，集成了防火墙、VPN、应用与身份识别、防病毒、入侵防御、虚拟系统、行为管理、应用层内容安全防护

产品概述

360 网神防火墙系统（以下简称为：防火墙）是奇安信集团自主创新的新一代防火墙安全系统，基于 NDR（基于网络的检测与响应）安全体系，在高性能和先进架构的支撑下，集成了防火墙、VPN、应用与身份识别、防病毒、入侵防御、虚拟系统、行为管理、应用层内容安全防护、威胁情报等综合安全防御功能，并支持与天眼、奇安信安装助手、NGSOC、天御云等多系统进行协同防御。
在扩展了协同防御能力的基础上，在防火墙上以分析中心、数据中心、处置中心三大中心为核心，实现了对威胁的分析、定位、处置一体化过程。是专门为政府、军队、金融、教育、运营商、企业的网络出口打造的基于协同防御体系的新一代安全防御系统。

技术优势

采用第四代 SecOS 系统

具备完全自主知识产权的网神第四代 SecOS 操作系统，在第三代 SecOS 带来的高安全性、高开放性、高扩展性和高可移植性基础之上，重点加强了防火墙的协同防御能力、数据生成能力、数据分析能力和数据处置能力，让防火墙具备多端联动、风险信息全方位展示、拦截已知威胁、定位未知威胁和一键处置威胁行为的能力，弥补了传统防火墙重配置轻管理的缺点，并能提供多维度的有效信息帮助用户完成日常维护工作。

云端协同扩展精确定位威胁

防火墙除了内置入侵防御、病毒、URL、应用识别特征库外，还可以同天御云进行联动，由云端提供病毒云查杀、URL 云识别、应用云识别、云沙箱等功能。扩展防火墙特征库，精确定位网络中的威胁，并配合处置中心对已确认的威胁行为进行处置。

多级冗余架构提高防火墙可靠性

防火墙支持多种多级冗余架构，提升了防火墙的可靠性，包括：
1. 防火墙数据平面冗余架构。由于网口数据的接收和发送任务被平均分配给了每一个 CPU 进行处理，当其中一个或多个 CPU 无法工作时，余下的 CPU 仍然可以正常工作。由于数据的接收和发送任务仍然被平均分配给了每一个当前可以工作的 CPU 上，这就在在数据平面上，提高了防火墙的可靠性。
2. 防火墙系统冗余架构。防火墙支持导入两个系统，并且这两个系统彼此之间是相互独立的。当用户当前正在使用的系统出现问题时，用户可以切换到另一个系统上。这就在系统层面上，提高了防火墙的可靠性。
3. 防火墙网络链路冗余架构。在防火墙系统上，采用增强的 SGRP 路由冗余备份协议，实现双主的路由负载均衡和主备的路由冗余备份两种模式，同时支持透明环境下的 HA 冗余备份和快速切换。这就在在网络链路上，提高了防火墙的可靠性。

整体框架采用 AMP+并行处理架构

防火墙系统的整体框架采用 AMP+架构，是更加优化的多核异步并行处理架
构。整体架构分为三大部分：
● 配置管理平面：由 CPU0 负责处理。
● 控制平面（control-plane）：由 CPU0 负责处理，其中智能分析功能，由 CPU1 负责处理。
● 数据平面（data-plane）：由剩余的 CPU 平均分配处理。
在 AMP+架构下，多个平面负责各自不同的任务，实现了分层、独立、异步并发的工作体系。为防火墙系统的性能带来了革命性的提升，配置管理平面、控制平面、数据平面的三层分离，保证了防火墙的整体稳定性及可靠性。

优化的 AMP+架构突破传统 SMP 架构瓶颈

传统的 SMP 架构实现了多核下的并发处理，同一个任务<任务一>分配给了不同的 CPU，当其中一个 CPU 被其它任务<任务二>占用时，其余正在处理<任务一>的CPU 就会因为<任务一>被锁而处于等待状态，这就降低了 CPU 的效率，也延长了任务处理时间。

防火墙系统采用的 AMP+架构，为异步并行处理架构，不同的 CPU 可以处理不同的任务，这就极大减少了任务被锁住的情况，突破了 SMP 架构下的瓶颈，提升了 CPU 的效率，也极大的缩短了任务处理时间。从而使得防火墙的整体处理速度加快。

更优化的网口数据收发处理

以网口数据接收处理为例，传统的多核架构，为了实现多核并行处理，会将 CPU 与网口进行绑定。在传统的多核架构下，当网口没有接收到任何数据时，与其绑定的 CPU 就会处于空闲状态，CPU 的利用率并没有实现最大化。
防火墙系统采用的 AMP+架构对此进行了优化，CPU 不再与网口进行绑定，而是由将网卡的收发包队列根据数据平面的 CPU 个数平均分配到每个 CPU 上，这样就保证了数据平面 CPU 的并行度，实现了 CPU 利用率的最大化。只要任意一个网口有数据接收，所有的 CPU 就都会处于运行状态，CPU 的利用率到达了最大化。

单引擎一次性数据处理技术

传统防火墙或 UTM 技术大多以 Linux 系统为基础，数据的基本转发功能做
在 Linux 系统的内核部分，高级功能（例如 IPS、防病毒、内容过滤等）都
做在用户空间，这样就会导致在运行高级防护时，数据需要从内核送到用户
空间，处理完后再从用户空间送回内核，然后再发送出去。
这种做法总体有三大缺点：
● 涉及到数据包频繁的上下传输。
● 进程间频繁切换
● 会话无法复用
而防火墙系统采用引擎一体化技术后，数据处理流程如下图所示：

从图中我们可以发现，整个数据的接收、数据的处理（包括应用层数据的处
理，IPS、防病毒等高级功能），数据的发送，都在数据平面完成，不涉及数
据包的拷贝，进程切换等问题。同时数据的处理在整个转发阶段都使用同一
个会话。这就极大的提高了应用层的处理速度，降低了整体数据转发的延迟。

基于 NDR 安全体系的未知威胁闭环防御

对于传统安全而言，着重解决了已知威胁，奇安信集团在补充传统安全不足、
提升已知威胁识别效率的同时，也思考了未来网络安全发展的新分支。
近几年，信息价值的不断提升，让企业的数据安全面临着更多的威胁及更深
的影响，传统安全手段解决已知威胁的方式并不能真正保护用户的数据安全。
高级威胁往往可以透过合规数据绕过传统安全的各种防御手段并成功达到数
据窃取的目的。因此，我们迫切需要一个新的安全体系来对未知威胁进行防
范与跟踪。结合奇安信大数据挖掘技术及数据安全分析中的积累，奇安信集
团建立了由大数据驱动，基于网络的检测与响应体系（简称 NDR）。针对未
知威胁形成一套基于互联网及用户自身网络的动态数据检测、动态行为检测、
动态处置响应的防御闭环。

防火墙系统作为 NDR 安全体系中的重要一环，利用对用户自身网络的数据
识别、行为识别，加之云端基于特征的已知威胁、基于沙箱的未知威胁检测、
基于威胁情报的失陷主机发现、基于安全模型的未知威胁发现，结合防火墙
/SMAC 的多维度关联分析、递进式数据钻取，直观展现未知威胁行为的跟
踪、定位、处置，完成对未知威胁的一键式处置及策略优化，及安全事件的
溯源取证。

应用场景

企业互联网边界安全应用场景

痛点和优势

痛点	优势
外部威胁多，上网用户网络安全意识参差有别	与终端联动，对用户终端按照安全风险进行精细化管控、与 NAC 一起实现网络准入和访问控制
内部网络流量成分复杂	全面健壮的应用层级综合安全防护
重点业务保证，需对上网的带宽及行为进行约束	按需动态调整带宽

行业专网网络安全应用场景

痛点和优势

痛点	优势
多链路备份，提升网络可用性	高效的双机热备
多分支互联，业务安全传输	标准的 IPSec VPN
重点业务保证，需对上网的带宽及行为进行约束	按需动态调整带宽
内部网络流量成分复杂	全面健壮的应用层级综合安全防护
外部威胁多，上网用户网络安全意识参差有别	与终端联动，增强对木马及应用程序的精准识别、对用户终端按照安全风险进行精细化管控、与 NAC 一起实现网络准入和访问控制

数据中心出口安全应用场景

痛点和优势

痛点	优势
出口大流量承载	高性能承载出口大流量
全网可靠性要求高	全网冗余设计保证可靠性
全网安全性要求高	3000+漏洞利用防护、间谍软件双向检测、实时检测已失陷服务器
业务众多且网络复杂度高	虚拟防火墙承载业务实现安全隔离
需对业务实现安全隔离与管理	独立配置、独立分析、独立维护

多分支企业组网安全应用场景

痛点和优势

痛点	优势
多分支互联，业务安全传输	出口部署智慧防火墙，分支机构与总部建立 VPN，实现链路互为备份及负载，并实现边界安全隔离及互联网威胁攻击防御
总部/分支一体化防御策略，对外部访问的安全控制	对全网流量进行深度威胁检测，并利用本地的威胁情报对可疑行为进行深入分析，阻断病毒扩散、漏洞入侵，并实时预警、阻断高隐蔽性威胁
终端安全性保证，防止单台终端被突破导致的全网风险	与天擎协同联动，实现网关与本地的双重病毒查杀，以及基于终端风险的访问控制
多台防火墙统一管理、状态监控和数据分析	部署 SMAC 系统，构建集配置批量下发、状态统一监控、失陷主机预警于一体的集中管理分析平台

产品推荐查看更多>>

安恒AiSort数据安全分级与风险评估系统

安恒AiSort数据安全分级与风险评估系统，数据发现，全方位扫描梳理数据资产与风险评估；内置10+种行业法规标准：网络安全法、金融、证券、电信、GDPR、CCPA、等保、数据安全法和个人信息安全规范等；AI加持；机器学习算法精准识别，自动分级分类；自适应推荐引擎，根据训练模型推荐最优匹配度敏感项，将分级分类效率和准确度带上新高。

丰富数据源

资产自动发现

AI智能识别

内置10+种行业法规标准

立即咨询查看详情

珞安科技工业防火墙

珞安科技工业防火墙，采用工业级的硬件设计，基于对主流工业协议的深度解析，综合运用工控威胁特征识别技术、机器学习与可信白名单技术，可有效抵御各类针对工控系统的网络攻击和恶意破坏，为生产控制系统的稳定运行提供安全保障，支持X86，ARM，国产化等多种硬件架构。

多重防护

精准控制

协议解析

灵活管理

立即咨询查看详情

六方云堡垒机运维管理与审计系统

六方云堡垒机运维管理与审计系统是集用户（Account）管理、授权（Authorization）管理、认证（Authentication）管理和综合审计（Audit）于一体的集中运维管理系统。该系统能够为企业提供集中的管理平台，减少系统维护工作；能够为企业提供全面的用户和资源管理，减少企业的维护成本；能够帮助企业制定严格的资源访问策略，并且采用强身份认证手段，全面保障系统资源的安全；能够详细记录用户对资源的访问及操作，达到对用户行为审计的需要。

高效稳定

安全可靠

功能完备

立即咨询查看详情

数字化社区查看更多>>