迪普防火墙白皮书

应用防火墙
DPtech FW1000 系列下一代防火墙技术白皮书
1 概述
在应用需求的不断推动下，网络技术得到了飞速发展；而网络技术的进步则又反过来推动应用的发展，
应用与网络之间是相辅相成、相互促进的。随着万兆到核心/千兆到桌面、Web2.0、虚拟化、物联网、网
络音频/视频、P2P、云计算等各种新应用、新业务层出不穷，传统的基于端口进行应用识别和访问控制
的防火墙，已远远无法满足各种新应用下安全防护的需求。为解决此类难题，迪普科技推出了基于全新多
核处理器架构的 FW1000 系列下一代防火墙。
FW1000 系列下一代防火墙基于迪普科技自主知识产权的 APP-X 硬件平台和 ConPlat OS 安全操作系
统，并配备专业的入侵防御特征库、病毒库、应用协议库、URL 库，是目前业界性能领先的应用防火
墙。无以伦比的高可用性、高性能和高可靠性，使得 FW1000 系列下一代防火墙可以放心规模部署于数
据中心、大型园区网等各种复杂场景；另外，功能丰富并可按需扩展的应用防火墙方案，也简化了网络的
安全架构，并大大降低了企业网络总体拥有成本。
2 产品简介
FW1000 系列下一代防火墙是迪普公司面向大中型企业、 学校、数据中心以及运营商开发的新一代应用
防火墙产品，是一种应用级的高性能防火墙，工作在网络边界层，根据安全策略对来自不同区域的数据进
行安全控制，同时支持 IPv4 和 IPv6 环境，具备高性能，网络无瓶颈，拥有全面的安全防护，可确保网络
稳定运行，产品 VPN 全内置，提供高性价比，灵活组网能力，可适应各种网络环境。
3 迪普科技防火墙特色技术
防火墙数据转发流程
防火墙的用途是通过允许、拒绝、重定向通过防火墙的数据量，提供对一个组织的不同网络之间服务访问
的控制和审计，包括基于用户和协议的策略定义、URL 过滤、协议识别等特性，DPtech FW1000 防火
墙设备同时支持包过滤和应用级防火墙要求。
防火墙根据网络中各点的安全规则策略，有选择的在不同网络间发送信息流，默认安全规则策略拒绝所有
入站和出站的信息流，仅授权的管理员具有改变安全规则策略的权限。典型的包过滤策略由源地址、目的
地址、传输层协议、源端口、目的端口、应用协议决定，并以数据包达到或者离开接口为基准。
迪普防火墙采用安全域的控制方式在包过滤处进行整体调用，默认规则为：
1、高安全域可以访问低安全域。
2、低安全域不可访问高安全域。
3、相同安全级别的不同安全域，相互间禁止访问。
4、同一个安全域下面的不同接口，接口间可相互访问。
防火墙内部数据转发简要流程图如下：
图 1 防火墙内部转发流程图
防火墙数据转发流程依据上述顺序进行，先查找会话表项，然后再目的 NAT 转换，路由查找，包过滤规
则，防火墙策略、应用层匹配规则，审计策略，最后查询源 NAT 从设备转发出去。
丰富的网络特性
ConPlat 软件平台支持丰富的网络特性，既包括 STP、VLAN、ARP 等二层特性、也包括 BGP、
OSPFv2/v3、MPLS 等 IPv4/IPv6 的三层特性。
DPtech FW1000 网络特性：
■ 支持透明组网模式、路由组网模式、旁路组网模式、混合组网模式
■ 支持 IPv4/IPv6 协议栈，具备完善丰富的 IPv6 协议栈过渡以及隧道技术
■ Access、Trunk VLAN、端口聚合、端口镜像
■ 策略路由、静态路由、组播 IPv4/6 路由(IGMP、PIM、MSDP、组播 VPN)
■ IPv4 路由（支持 RIP v1/2、OSPF、IS-IS、BGP、Guard 路由）
■ IPv6 路由（支持 RIPng、OSPFv3、Guard 路由）、IPv6 隧道技术
■ 支持完善的 MPLS VPN
■ 支持 DNS、DHCP、ARP、BFD、STP、QOS
■ 支持链路负载、链路调度、会话保持、DNS透明代理
迪普防火墙丰富的网络特性为用户提供了灵活组网能力，可适应各种类型的网络环境，支持路由模式、透
明模式、旁路模式、混合模式组网，可适应各种复杂应用组网环境。
海量策略数下的高性能、低时延处理能力
迪普防火墙包过滤、NAT 匹配采用决策树算法把安全策略编译成快速匹配表项，报文经过设备时提取五元
组一次性送入快速匹配表项进行策略匹配，可以一次性查找到相应的匹配，形成单数据流并行处理的体系结
构，即便防火墙在有海量策略数的情况下，依旧可保持高性能、低时延的处理能力，满足管理员对设备超
高处理性能与低传输延迟的需求，让安全防护设备从此不再成为网络传输的瓶颈。
支持完善的策略管理功能