| 产品描述

网御防火墙系统V3.0是网御自主研发的核心产品。1999年联想研究院设计并开发完成第一代防火墙产品。网御防火墙产品历经简单包过滤防火墙、状态包过滤防火墙、深度内容过滤和完全内容检测防火墙等发展阶段，防火墙系统架构设计主要遵循模块化、信息隐蔽、高内聚、低耦合等原则，采用专用的硬件平台，自主研发的VSP操作系统和USE安全引擎，对流经防火墙的数据按照访问控制规则进行过滤，实现网络边界防护。

网御防火墙Power V系列，共计80余款，从大型骨干网络的安全防护到小型办公室网络的安全接入都有相应的防火墙产品。

| 技术优势

智能的VSP通用安全平台

网御防火墙采用创新的VSP（Versatile Security Platform）通用安全平台，将实时操作系统、网络处理、安全应用等技术完美地结合在一起，使防火墙产品具备了高智能、高性能、高安全性、高健壮性、高扩展性等特点。

VSP面向网络吞吐和安全处理，采用基于组件的多平面架构，整个系统分为控制平面、数据平面、系统服务平面和硬件抽象平面，通过控制平面和数据平面的分离，不同于Linux，FreeBSD等通用操作系统追求均衡的方向，集中主要资源于网络吞吐和安全处理，使系统具有极强的实时性和网络吞吐能力。

高效的USE统一安全引擎

网御防火墙具有高效的USE（Uniform Security Engine）统一安全引擎。它将状态包过滤、VPN、IDS、内容过滤、用户认证等多个子系统集成于单一平台，构造统一架构，综合并优化各子系统，去除冗余，简化数据处理流程，实现统一的安全引擎处理机制。

统一安全引擎克服了传统上各个安全引擎独自为战的缺点，通过高效的引擎集成技术，将各个安全功能有机地整合为一体，状态检测、协议分析机、深度过滤、内容检测等引擎协同工作，对于监测的数据包，一次性拆包即可完成2-7层的检测，有效地提高了引擎的处理效率。

USE通过多协议融合分析技术和事件关联再分析技术，综合内容实体，时间因素，提高了安全事件的检测率。

USE采用标准化技术，对内提供统一服务接口，使安全功能易于扩展，充分满足安全需求的快速发展；对外实现安全策略的统一配置，给用户带来可管理的等级化安全。

| 产品特性

高可靠的MRP多重冗余协议

基于网御拥有的高可靠设计专利技术，利用电信骨干网可靠性运营维护专业经验，网御防火墙通过自有的MRP多重冗余协议，在物理层、链路层、网络层、实体层等多个层面实现多元化冗余设计，有效地保障网御防火墙在用户网络应用中的高可用性。

基于多出口负载均衡的链路备份。链路层支持多WAN口出口，实现多出口间的负载均衡和备份，任何一条链路的故障瘫痪不会影响网络的正常运行。

基于802.3ad标准的端口聚合。物理端口支持802.3ad标准，可实现多物理端口聚合，帮助用户做到“零投资”带宽倍增。

基于状态自动探测的双机热备。当主系统发生故障或对应线路的网络故障时，备份机可自动检测并切换到主状态，接管主系统的工作，切换时间小于1秒钟。

| 部署方式

高可靠全链路冗余应用环境

电信网络和许多骨干网络的可靠性要求很高，不允许出现因为设备的故障造成网络的不可用，因此在电信网络和骨干网络中加入防火墙的时候也必须考虑到这个问题，正常情况下两台防火墙均处于工作状态，可以分别承担相应链路的网络通讯。当其中一台防火墙发生意外宕机、网络故障、硬件故障等情况时，该防火墙的网络通讯自动切换到另外一台防火墙，从而保证了网络的正常使用。下图为网御防火墙在骨干网络中应用的例子。

骨干网内网分隔环境

据赛迪(CCID)统计报告，网络攻击有70%以上来自于企业内部，因此，保护公司网络的安全不仅要保护来自互联网的侵害而且要防止内部的攻击。

网御防火墙从3个到8个百兆接口可进行模块化扩展，除了可以用作多DMZ区设置外，还可以将内网进行多重隔离保护。通过防火墙将公司内部不同部门的网络或关键服务器划分为不同的网段，彼此隔离。这样不仅保护了企业内部网和关键服务器，使其不受来自Internet的攻击，也保护了各部门网络和关键服务器不受来自企业内部其它部门的网络的攻击。内网分隔的另一个目的是：防止问题的扩大。如果有人闯进您的一个部门，或者如果病毒开始蔓延，网段能够限制造成的损坏进一步扩大。