NGFW○R系列產品基於天融信公司10年高品質安全產品開發經驗結晶的NGTOS系統架構,采用了多項突破性技術。基於分層的設計思想,天融信公司通過長期的安全產品研發經驗,分析多種安全硬件平臺技術的差異,創造性地提出在硬件和操作系統內核層之間引入硬件抽象層。基於硬件抽象技術,使得NGTOS能適應各種硬件體系平臺,並充分利用多種計算技術的優點。通過完善的系統結構設計,使NGTOS對比業界通常使用的其它系統具有如下特性:
高效、可靠的基礎系統
NGTOS高效轉發系統提供的多任務機制中對任務的控制采用了優先級搶占(Preemptive Priority Scheduling)和輪轉調度(Round-Robin Scheduling)機制,充分保證了可靠的實時性,使同樣的硬件配置能滿足更強的實時性要求,為應用的開發留下更大的余地。同時,采用專為報文轉發設計實現的系統,與通用操作系統相比,內容更精簡,穩定性、可靠性更高。
應用安全精細識別與控制
NGTOS能夠精確的識別12大類,超過400種當今互聯網中常見和流行的網絡協議,而這些協議的識別,並不是像傳統防火墻中依賴端口號來簡單的區分應用。天融信組建了壹支專業的協議分析團隊,密切的跟蹤互聯網應用協議的變化動態,及時的更新設備內置的應用協議特征庫。在業界通用的單包特征匹配方法(DPI)之外,天融信還獨創行為識別方法(DFI),通過的報文地址、端口、長度、數量,以及多個會話間的關聯關系,來識別很多種特征並不明顯或特征經常發生變化的協議,例如壹些P2P應用和加密協議。
內容安全策略完美整合
由於傳統防火墻基於五元組的訪問控制機制無法應對各種復雜的網絡應用,因此,NGTOS中的安全策略整合了用戶身份、應用識別與控制、IPS、AV、URL過濾、垃圾郵件過濾、流量控制等等多種安全特性,從而構建了全方位立體化的安全防禦體系。而這些安全已經實現單壹引擎處理和聯動,例如入侵防禦功能偵測到的威脅可以自動加載到防火墻規則內,在網絡層就能提前阻斷。它們之間已經不僅僅再是互動關系,而是壹個整體。
高性能平臺
據測算,到2015年通過網絡處理的數據量將比目前增長4倍,這對網絡設備的性能提出了更高要求。天融信NGTOS基於先進的SmartAMP並行處理架構,內置處理器動態負載均衡專利技術,結合獨創的SecDFA核心加速算法,保證了在NGFW○R產品中開啟全特征和全部流量的情況下,整機的轉發性能並不受明顯的影響。與此同時,天融信通過此次與Intel的合作,利用Intel數據層高速處理技術將數據包處理解決方案快速遷移到最新的英特爾架構平臺上,以獲得最優性能。Intel數據層高速處理技術是壹套用於高速網絡的數據平面庫,與Intel多核平臺合而為壹,可獲得更高的數據包處理能力。通過將天融信NGTOS與Intel數據層高速處理技術進行有效整合,使天融信NGFW○R系列產品單安全引擎板網絡吞吐性能達到40Gbps,而在天融信並行多級的硬件架構下通過部署多安全引擎將使NGFW○R旗艦機型整機吞吐達到320Gbps