中科神威防火墙NSFW-6000技术白皮书

admin管理员组

文章数量:1570426

2024年5月10日发(作者：)

中科神威防火墙NSFW-6000

技术白皮书

北京中科网威信息技术有限公司

北京中科网威信息技术有限公司

所有，保留一切权利。

非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本书

内容的部分或全部，并不得以任何形式传播。

声明

目 录

1. 公司简介.................................................................................................... 错误!未定义书签。

2. 产品概述.................................................................................................... 错误!未定义书签。

3. 产品软硬件设计........................................................................................ 错误!未定义书签。

3.1

3.2

硬件平台设计 ............................................................................... 错误!未定义书签。

软件设计体系 ............................................................................... 错误!未定义书签。

4. 产品主要功能............................................................................................ 错误!未定义书签。

4.1基于状态检测的访问控制 ................................................................. 错误!未定义书签。

4.2 NAT地址转换 .................................................................................... 错误!未定义书签。

4.3流量管理 ............................................................................................. 错误!未定义书签。

4.4 VPN ..................................................................................................... 错误!未定义书签。

4.5高可用性 ............................................................................................. 错误!未定义书签。

4.6入侵防护 ............................................................................................. 错误!未定义书签。

4.7系统管理 ............................................................................................. 错误!未定义书签。

4.8日志管理 ............................................................................................. 错误!未定义书签。

4.9功能列表 ............................................................................................. 错误!未定义书签。

5. 产品技术特点............................................................................................ 错误!未定义书签。

5.1 高自主可控的申威处理器专用硬件平台 ................................................. 错误!未定义书签。

5.2设备自身安全保证，对攻击和恶意代码的天然免疫力 ................. 错误!未定义书签。

5.3低功耗设计 ......................................................................................... 错误!未定义书签。

5.4广泛的网络适应性 ............................................................................. 错误!未定义书签。

5.5优异的高可用性 ................................................................................. 错误!未定义书签。

5.6方便高效的产品管理和维护 ............................................................. 错误!未定义书签。

1. 公司简介

北京中科网威信息技术有限公司创立于1999年，前身是中科院高能物理研

究所的“网威安全工作室”。公司是国内自主可控网络安全产业的领军企业，拥

有武器装备科研生产保密资格、装备承制单位资格、信息安全风险评估等资质证

书，长期服务于军队、党政、军工等重要行业用户。同时也是中国信息产业商会

信息安全产业分会副理事长单位、中关村可信计算产业联盟副理事长单位、自主

可信专委会主任委员、北京市软件企业、北京市高新技术企业、中关村科技园区

高新技术企业。

从2010年开始，中科网威积极布局基于国产CPU的安全产品研发，通过

深度参与国家并行计算机工程技术研究中心、国家高性能集成电路（上海）设计

中心的产品合作，我们成功打破了国外CPU对国内网络安全产品的控制与垄断，

并为此打造了一个全新的产品品牌——中科神威。“自主可控”是中科神威系列

安全产品研发的核心指导原则。

中科网威在国内信息安全市场率先开辟自主可控创新之路，以网络安全产

品“国产化、自主可控”为己任，始终坚守，一路向前，勇做领跑者，必将为中

国信息安全产业做出更大贡献！

2. 产品概述

作为防火墙国家标准的编写单位，中科网威在防火墙产品的研发上一直力

求创新和领先，先后推出了国内首款基于网络处理器的千兆防火墙产品、国内首

个应用于安全产品的基于多核芯片的硬件平台，十余年来在安全产品研发中积累

了丰富的经验，取得了多项技术成果。在此基础上，中科网威借鉴近年来芯片技

术的最新发展，应用国产申威处理器，于2014年4月正式推出高自主可控的中

科神威防火墙NSFW-6000。

中科神威防火墙NSFW-6000的硬软件完全由中科网威自主设计，其中硬

件平台的核心处理器采用了目前国内性能最好的第三代申威处理器中最适合防

火墙应用的申威SW411高性能4核处理器，该处理器采用40nm生产工艺，主

频1.6GHz，每秒浮点运算次数高达102G，采用64位自主精简指令集，对溢出

式攻击和恶意代码有天然的免疫能力。同时采用的为配合申威处理器而专门研制

的申威国产IO套片集成了PCI-E 交换功能、桥片功能和I/O功能，支持多种通

用高速接口和低速接口并具有片上智能维护系统，可以替代非国产的桥片和I/O

芯片，提高了整个硬件平台的国产化程度，也使整个主板的设计更加紧凑、兼容。

中科神威防火墙NSFW-6000在移植中科网威成熟防火墙产品各项功能的

基础上，又结合申威处理器指令集对中科网威自主研发的NPOS操作系统进行

了一系列优化，最终产品的吞吐量、数据延迟、新建并发连接等各项性能指标均

达到了现有基于非国产处理器的千兆防火墙产品水平，是中国第一家获颁千兆销

售许可证的基于国产处理器的防火墙产品。

中科神威防火墙NSFW-6000可以满足所有层面的用户不同应用场景的需

求，为用户提供了集，高性能、高安全性、高可管理性、高自主可控和低功耗

于一体的边界防护解决方案，充分体现了中科网威在长期的安全产品研发与推

广过程中对网络安全业务和用户需求的深刻理解。

3. 产品软硬件设计

3.1 硬件平台设计

作为网络安全国家标准的编写单位，中科网威在网络安全产品的研发上一

直力求创新和领先。中科网威借鉴近年来国内芯片技术的最新发展，推出了新一

代的以国产处理器芯片为核心，以完全自主研发的安全平台为基础的系列高性能

网络安全产品。

1） 主处理器介绍

中科神威防火墙NSFW-6000的硬件电路部分完全由中科网威自主

设计。其中核心处理器采用国家高性能集成电路设计中心研发的国产申

威SW411高性能4核处理器。

具有完全自主产权的国产申威申威SW411高性能4核处理器是在国家

“核高基”重大专项支持下，由国家高性能集成电路（上海）设计中心自主研发

的，采用自主指令集且具有完成自主知识产权的处理器。申威处理器经过三代近

10年的研制，现已推出成熟申威SW411高性能4核处理器。申威处理器已在国

家超算济南中心的超级计算机以及神威太湖之光超级计算机中部署使用。

申威处理器采用非通用架构的自主指令集，对溢出式攻击和恶意代码攻击有

天然免疫能力，其安全性更高。

2） 硬件平台介绍

硬件平台的核心处理器采用了目前国内性能最好的第三代申威处理器中最

适合防火墙应用的申威SW411高性能4核处理器，该处理器采用40nm生产工

艺，主频1.6GHz，每秒浮点运算次数高达102G，采用64位自主精简指令集，

对溢出式攻击和恶意代码有天然的免疫能力。同时采用的为配合申威处理器而专

门研制的申威国产IO套片集成了PCI-E 交换功能、桥片功能和I/O功能，支持

多种通用高速接口和低速接口并具有片上智能维护系统，可以替代非国产的桥片

和I/O芯片，提高了整个硬件平台的国产化程度，也使整个主板的设计更加紧凑、

兼容。

SW 411

(4核)

SATA

内

存

芯

片

PCI-E

SW ICH

PCI-E

PCI-E

网卡芯片网卡芯片

UART

USB

网 口网 口

中科神威防火墙NSFW-6000硬件体系

3.2 软件设计体系

中科神威防火墙NSFW-6000软件体系是在申威处理器的基础软件系统的

基础上，以中科网威自主开发的NPOS为操作系统，优化并改进原有自主开发

的防火墙，入侵检测等网络安全的软件系统。该系列网络安全产品的软件系统

则采用了基于框架的模块化设计，用户可根据需要选配所需的功能模块。这种

灵活的架构也可根据用户的特定需求定制特殊功能。

中科神威防火墙NSFW-6000软件体系

4. 产品主要功能

4.1基于状态检测的访问控制

中科神威防火墙NSFW-6000采用全状态检测技术，不仅能够根据数据包

的源地址、目标地址、协议类型、源端口、目标端口、VLAN标识、MAC地址

等属性对数据包进行过滤，还能够根据传输方向、通信时间等进行数据包的访

问控制。

中科神威防火墙NSFW-6000能够记录通过防火墙的所有连接的状态，进而

通过对这些状态信息的实时跟踪实现更迅速也更安全的数据包过滤。

中科神威防火墙NSFW-6000支持路由模式、透明模式、混合模式三种访问

控制策略的配置方式。其中，路由模式起到通用路由交换的作用；透明模式工作

于数据链路层，基于透明网桥结构实现，无需IP地址，使针对防火墙的攻击失

去目标，增强了防火墙自身的安全；混合模式即路由模式和透明模式两者同时使

用的方式。

4.2 NAT地址转换

中科神威防火墙NSFW-6000具备完善的地址转换(NAT)功能，采用双向网

络地址转换(双向NAT)技术，能够实现动态NAT、静态NAT，能够实现一对一、

多对一、多对多的地址映射。

正向地址转换用于使用保留IP地址的内部网用户通过防火墙访问公众网中

的地址时对源地址进行转换。中科神威防火墙NSFW-6000支持依据源或目的地

址指定转换地址的静态NAT方式和从地址缓冲池中随机选取转换地址的动态

NAT方式，可以满足绝大多数网络环境的需求。对公众网来说，访问全部是来自

于防火墙转换后的地址，并不认为是来自内部网的某个地址，能够有效的隐藏内

部网络的拓扑结构等信息。同时内部网用户共享使用这些转换地址，自身使用保

留IP地址就可以正常访问公众网，有效的解决了全局IP地址不足的问题。

内部网用户对公众网提供访问服务（如Web、FTP服务等）的服务器如果

是保留IP地址，或者想隐藏服务器的真实IP地址，都可以使用中科神威防火墙

NSFW-6000的地址映射来对目的地址进行转换。公众网访问防火墙的反向转换

地址，由内部网使用保留IP地址的服务器提供服务，同样既可以解决全局IP地

址不足的问题，又能有效的隐藏内部服务器信息，对服务器进行保护。中科神威

防火墙NSFW-6000提供端口映射和IP映射两种反向地址转换方式，端口映射

安全性更高、更节省全局IP地址，IP映射则更为灵活方便。

4.3流量管理

流量控制方面，中科神威防火墙NSFW-6000支持逻辑带宽划分、智能化带

宽管理和流量整形，以实现QoS保障功能。可用带宽按IP群组进行划分，保证

各IP群组不会争用有限的带宽资源；通过设定基于流的最小保证、最大限制带

宽、突发带宽、优先级以及公平策略，保证重要业务和实时业务能够优先使用带

宽；可按IP地址、端口和协议类型，采用基于拥塞控制算法的队列技术对指定

流进行整形。

中科神威防火墙NSFW-6000采用以下几个关键技术来实现流量控制：

➢ 流量分类：对双向通过的流量按照用户配置进行分类，包括对不同优先

级的报文进行分类，将其投递进不同的队列(queue)等待处理。

➢ 拥塞控制：使用拥塞控制算法，预判断出可能发生拥塞的内部端口，在

发生拥塞之前，将低优先级的报文丢弃，保证主要通信的通信质量和整体的稳定

性。

➢ 流/报文优先级：每条流都有其优先级，在内部端口出，根据优先级放行

报文，高优先级的报文总是先于低优先级的报文通过，保证用户的重要服务质量。

➢ 带宽预分配：对不同实时性或者重要性的流基于优先级机制，分配不同

的带宽，包括最小保证带宽，最大带宽和上限带宽。当流量达到限制带宽时，不

再发送该流的任何报文。

流量统计方面，中科神威防火墙NSFW-6000支持通过IP地址、网络服务、

时间和协议类型等参数或它们的组合进行流量统计；能够实时或者以报表的形式

输出流量统计结果。

4.4 VPN

虚拟专用网 (VPN) 指的是在公用网络（如Internet）中建立专用的数据通

信网络的技术。VPN提供了通过互联网在远程计算机间实现安全通信的方法。

中科神威防火墙NSFW-6000既可以利用因特网IP通道为用户提供具有保

密性、安全性、低成本、配置简单等特性的VPN服务，也可以为移动的用户提

供一个安全访问公司内部资源的途径，用户可以从外部虚拟拨号，从而进入公司

内部网络。中科神威防火墙NSFW-6000提供对IPSec VPN和SSL VPN等连

接方式的完整支持。

➢

支持IPSec VPN连接

基于IPSec协议的中科神威防火墙NSFW-6000VPN完全兼容并符合RFC

IPSec 标准，从而保证了和其它支持IPSec的系统和设备的互联互通。NSFW-

6000中科神威防火墙的IPSec VPN主要具备以下特性：

 支持标准的IPSec协议。

 支持Gateway-to-Gateway网关至网关模式虚拟专网。

 支持手动密钥（Preshare key）管理方式。

 支持自动密钥（X.509 V3数字证书）管理方式。

 支持密钥生存周期可定制。

 支持完美前向保密。

 支持多种加密与认证算法：

 加密算法：DES、3DES、AES、CAST等。

 认证算法：MD5、SHA1

 认证方式：支持本地和第三方Radius认证。

➢

支持SSL VPN连接

SSL VPN指采用SSL协议来实现远程接入的一种新型VPN技术。SSL协

议是传输层安全协议，SSL协议位于TCP/IP协议与各种应用层协议之间，为数

据通讯提供安全支持，提供服务器认证、客户认证数据完整性和数据保密性。对

于内、外部应用来说，使用SSL可保证信息的真实性、完整性和保密性。神威

防火墙SSL VPN使用通用网络协议使它成为IPsec等协议的理想替代，尤其是

在ISP过滤某些特定VPN协议的情况下。

中科神威防火墙NSFW-6000的SSL VPN支持NAT透明穿越、星型部署、

Client-to-Gateway 动态拨号用户等多种方式灵活部署，极大地拓展中科神威防

火墙NSFW-6000的应用范围，中科神威防火墙NSFW-6000特有的网桥模式下

的SSL VPN部署使其更具有极佳的灵活性。中科神威防火墙NSFW-6000可以

同时支持SSL VPN对等体、SSL VPN客户端、IPsec VPN对等体同时连接，

适应多种复杂环境，互为补充，灵活部署，为用户的选择提供了极大的空间。

中科神威防火墙NSFW-6000SSL VPN所有的通信都基于一个单一的IP端

口。 SSL VPN连接能通过代理服务器连接，也能够在NAT的环境中良好地工

作，克服了IPsec VPN、PPTP VPN、L2TP VPN存在的不足。

可以说，中科神威防火墙NSFW-6000的SSL VPN从根本上解决了企业的

远程访问问题，为企业用户提供易于布署、操作简单、使用方便的远端安全访问

服务，可为企业的分支机构、远程/移动办公、业务合作伙伴和客户快速提供对内

网资源的安全远程访问和资源的接入服务。

中科神威防火墙NSFW-6000的SSL VPN主要具备以下特性：

 中科神威防火墙NSFW-6000 SSL VPN采用的部署模式是网络层

VPN，支持Client-to-Gateway多动态主机到中心（中科神威防火墙

NSFW-6000）的SSL VPN拨号功能。

 中科神威防火墙NSFW-6000 SSL VPN 支持基于TCP或UDP协

议的SSL VPN连接。

 中科神威防火墙NSFW-6000 SSL VPN支持支持基于路由模式或

基于网桥模式的SSL VPN连接。

 支持X.509证书方式对拨号用户进行身份认证。

 支持数据的加密和数据的压缩。

 支持对SSL VPN拨号用户的管理功能，包括显示当前运行状态和

强制SSL VPN客户端离线。

4.5高可用性

为了保证网络的高可用性，中科神威防火墙NSFW-6000在网络中使用两台

配置相同的防火墙来实现双机热备功能，其中一台作为主防火墙，处于正常的工

作状态；另一台作为备份机。当防火墙出现故障时，备份机会及时切换到工作状

态，接管防火墙的工作，从而达到保证网络可靠性的目的。

中科神威防火墙NSFW-6000的双机热备采用了独特的设计方式，防火墙和

备份机通过网络以一定的时间间隔和协议方式进行探测和响应，防火墙出现异常

时备份机能够及时发现，对防火墙进行接管。这样在防火墙监测的接口及线路出

现故障时，备份机能够马上接管故障防火墙，用户的服务不会受到任何影响，充

分保障了网络的稳定性。

4.6入侵防护

➢

丰富的DOS防御手段

中科神威防火墙NSFW-6000产品根据数据报文的特征，以及Dos攻击的

不同手段，可以针对ICMP Flood、SYN Flood、UDP Flood、PSD Flood和Ping

of Death等各种Dos攻击手段进行防御。同时，可以主动识别出数十种常见的

攻击种类，很多种Dos攻击行为造成的后果就是不能提供正常服务，NSFW-6000

中科神威防火墙可以发现并隔断这些非法攻击，消除了内部网络遭受攻击的可能。

通过对各种攻击的防御手段，利用NSFW-6000中科神威防火墙可以组建一个安

全的防御体系，保障网络免受Dos攻击的侵害。

针对不同的攻击特点，中科神威防火墙NSFW-6000采用了一些不同的防御

技术，这样保证中科神威防火墙NSFW-6000在抵御Dos攻击的时候更有针对

性，使得整个中科神威防火墙NSFW-6000的抵御特性更加完整。

中科神威防火墙NSFW-6000不但在攻击手段上面进行了详细考虑，同时也

在使用方式和网络适应性方面做了周全的考虑，攻击防范可以针对一个安全区域

的所有主机进行保护。

➢

ARP攻击防御

在设备的接口下挂着一些计算机，有些用户会恶意的伪造其它设备的IP地

址发ARP报文，网关设备因为无法识别这些ARP报文的真伪，可能会根据这些

报文更新ARP表，导致接口上的ARP表里，IP和MAC地址正确的对应关系被

修改，这会导致部分计算机不能上网。只有当ARP表老化或者这些计算机重新

启动后，才能恢复上网。只要ARP FLOOD攻击在不断进行，就会有大量用户

被攻击下线，这也是比较常见的DoS攻击方式。

中科神威防火墙NSFW-6000针对IP和MAC地址解析映射关系，通过对

地址解析请求报文进行确认，以保证IP和MAC地址映射关系正确性。在运行

地址解析协议的设备接收到地址解析协议请求报文之后，根据该请求报文中所携

带的请求者的IP地址再次构造地址解析协议请求报文，向广播网络内发送，请

求原有请求报文中请求者的硬件地址。如果收到了对这个请求的地址解析协议应

答报文，则可以确认这个地址映射关系的真实性；如果在一定时间之内没有收到

对这个请求的地址解析协议应答报文，则认为原来收到的地址解析协议请求报文

为错误的或伪冒的报文，根据这个报文产生的地址映射关系是错误的，不能作为

数据报文在物理网络上转发的依据。通过对ARP解析的精确识别，保证了在二

层网络中ARP表项的安全。

➢

扫描攻击防范

扫描窥探攻击是利用ping扫描来标识网络上存活着的系统，从而准确的定

位潜在的目标；利用TCP和UCP端口扫描，就能检测出操作系统监听的潜在服

务。攻击者通过扫描窥探能大致了解目标系统提供的服务种类和潜在的安全漏洞，

为进一步侵入系统做好准备。

中科神威防火墙NSFW-6000通过比较分析，可以灵活高效地检测出这类扫

描窥探报文，从而预先避免后续的攻击行为。这些扫描窥探包括：地址扫描、端

口扫描、IP源站选路选项、IP路由记录选项、利用

Traceroute

工具窥探网络结构

等。

4.7系统管理

中科神威防火墙NSFW-6000采用web方式实现远程管理，在web控制台

端通过调用每个功能模块开放的接口来实现对每个模块的集中管理。通信数据均

采用SSL加密传输，控制台支持CA认证。用户只需要使用通用的浏览器如IE

或FireFox等就可以访问系统控制台。

权限管理方面，中科神威防火墙NSFW-6000对管理用户进行角色分工，

按角色的不同分配不同的管理任务。对不同角色或权限的管理员来说，能访问的

防火墙系统是不一样的。

中科神威防火墙NSFW-6000提供了超级系统管理员、超级日志审计员、

系统管理员和日志审计员四个权限角色。在具有不同权限角色的管理中可以对不

同管理用户详细分配可以读写的功能模块，使得管理用户权限做到精细的划分，

提高中科神威防火墙NSFW-6000管理的安全性。其中超级系统管理员的主要职

责为添加、修改和删除自定义的系统管理员用户；超级日志审计员的主要职责为

添加、修改和删除自定义的日志审计员用户；系统管理员的主要职责是系统管理、

网络管理、策略管理、VPN管理、流量控制、ARP控制、身份认证和安全过滤

等，并且可以对防火墙的包过滤日志进行管理；日志审计员的主要职责为日志管

理，可以对日志策略、日志服务器、邮件服务器和日志空间进行配置，并且可以

对防火墙的审计日志进行管理。

4.8日志管理

中科神威防火墙NSFW-6000具备完善的日志统计、查询、分析、审计、备

份与恢复功能，记录的日志包括审计日志、包过滤日志和流量日志等,并支持多

种报警形式，如：发送报警邮件和记录报警日志等。

中科神威防火墙NSFW-6000通过SNMP协议与网威日志服务器无缝协同，

可以实时向日志服务器传送日志信息。网威日志服务器具备更加完善的日志管理

功能，支持更大容量的存储和更多层次的分析，能够对系统日志、监控信息和流

量等生成各类统计图表，并支持pdf和word等多种报表格式。

4.9功能列表

以下是中科神威防火墙NSFW-6000的主要功能：

功能 具体描述

 网桥模式

工作模式

 路由模式

 混合模式

 支持基于IP、MAC、端口及方向访问控制

 支持基于时间、用户、协议、安全域、内容访问控制

访问控制

 支持IP与MAC地址绑定

 数据包协议检测/包过滤/

 支持HTTP、FTP和SMTP等多种应用深度检测及内容过滤

 支持静态、动态NAT

 支持IP地址映射及TCP/UDP端口映射（PAT）

NAT

 支持内部服务器多个公网IP地址可达

 支持多ISP负载分担

 支持双向NAT

 支持NAT策略控制

 支持IPSec VPN：网关到网关

 支持SSL VPN

 支持IKE协议、ESP协议和AH协议

 支持GRE隧道封装

VPN

 支持多种加密算法：3DES、AES、CAST128、TWOFISH和国密办

指定加密算法

 支持多种鉴别算法：HMAC-MD5、HMAC-SHA

 支持IKE认证方式：预共享密钥，X.509数字证书

 支持星形网络等多种拓扑结构下的VPN构建

 支持802.1Q VLAN

 支持生成树（SPT）、支持802.3ad链路聚合

 支持组播功能

 支持PPPoE

网络互联

 支持策略路由

 支持H.323多媒体协议

 支持DNS

 支持DHCP

 提供安全联动接口，与IDS等联动

 认证规则管理、用户身份认证、协议认证

认证

 支持本地用户认证管理

 支持USB Key硬件认证方式

 有效防止DOS攻击，包括Synflood、tcpflood、icmpflood、udpflood、

PingOfDeath、TearDrop、Land、Smurf、pingSweep、蠕虫和防IP

攻击防范

欺骗等

 有效防止各类扫描攻击，包括端口扫描和网络地址扫描等

 支持协议异常检测

 实时监控系统状态，网络接口带宽

流量管理

 支持基于IP地址、协议类型、网络接口和时间的流量管理

 支持优先级管理

 支持流量整形，提高网络带宽使用效率

 支持双机热备，防火墙间的配置同步

 支持路由和网桥模式下，以主备模式运行

高可用性

 Console命令行管理

 HTTPS Web配置配置管理

配置管理

 SSH安全远程管理

 安全策略远程管理

 支持通过规则控制主机连接

 支持时间同步管理

 支持多权限角色管理方式：超级系统管理员、超级日志审计员、系统

管理员和日志审计员

系统管理

 支持SNMP（v1、v2c、v3）

 支持本地升级和USB升级

 支持配置文件备份和还原

 支持Ping、Traceroute等网络诊断功能

 包过滤日志、代理日志（HTTP、FTP、EMAIL）

 审计日志、包过滤日志、防攻击日志、端口扫描日志和流量日志日志

日志管理

 日志保存异常处理（忽略、告警、覆盖三种方式）

 支持日志本地管理

 支持日志服务器管理，统计分析、报表生成、日志导出

5. 产品技术特点

5.1 高自主可控的申威处理器专用硬件平台

硬件平台的核心处理器采用了目前国内性能最好的第三代申威处理器中

最适合防火墙应用的申威SW411高性能4核处理器，该处理器采用40nm生产

工艺，主频1.6GHz，每秒浮点运算次数高达102G，采用64位自主精简指令集，

对溢出式攻击和恶意代码有天然的免疫能力。同时采用的为配合申威处理器而专

门研制的申威国产IO套片集成了PCI-E 交换功能、桥片功能和I/O功能，支持

多种通用高速接口和低速接口并具有片上智能维护系统，可以替代非国产的桥片

和I/O芯片，提高了整个硬件平台的国产化程度，也使整个主板的设计更加紧凑、

兼容。

5.2设备自身安全保证，对攻击和恶意代码的天然免疫力

申威处理器是国产处理器项目中唯一采用不公开的自主指令集的国产芯片，

这使得恶意攻击者无法编写针对申威处理器的shellcode，也就无法植入恶意代

码，从而使本项目产品具备极高的自身安全性。

5.3低功耗设计

自主设计的硬件平台使中科神威防火墙NSFW-6000具备许多优势，其中很

重要的一点就是可以贯彻低功耗设计的思想，在降低能源消耗、节省运营成本的

同时还能够进一步提升产品整机的稳定性。

中科神威防火墙NSFW-6000各主要硬件组成部分普遍采用了低功耗设计，

包括低功耗的中央处理芯片及各类外围芯片等，其中处理器SW411典型运行功

耗仅为25w，使得产品整机的运行功耗极低，可以采用低功耗电源驱动。

5.4广泛的网络适应性

中科神威防火墙NSFW-6000支持路由、网桥、混合等多种工作模式和RIP、

OSPF等动态路由协议，配合ByPass功能、双机热备功能和冗余电源，可以用

于多种复杂网络环境下的高可靠边界防护。

同时，中科神威防火墙NSFW-6000支持广泛的网络通信协议和应用协议，

包括VLAN、802.1Q、SPT、IPSEC、H.323等，能够满足视频会议、NetMeeting、

VOD点播和宽带IP电话等多媒体数据流传输的要求。

5.5优异的高可用性

中科神威防火墙NSFW-6000具备优异的高可用性。单机方面，内置ByPass

功能和WatchDog功能，能够保障防火墙在意外掉电、异常复位等发生时，不会

出现网络中断现象；高端产品可选配冗余电源，使防火墙发生单点故障的概率大

大减少。

双机热备方面，则可以同时支持基于VRRP协议及HeartBeat组件的Active-

Standby方式或Active-Active方式的冗余连接方案。

5.6方便高效的产品管理和维护

用户可以根据自身的需要选择现场或远程进行防火墙系统的配置和管理。

精心设计的人性化全中文GUI 管理界面美观大方、结构清晰，常用的安全策略

配置功能简洁明了，即使非专业人员也能轻松掌握。

日志分类清晰、格式丰富，并支持外接网威日志服务器以实现更大容量的

存储和更多层次的分析。

提供动态的对外管理接口，支持多种安全管理平台产品。

创新的U盘自动维护与升级功能，可以方便地进行系统的重装、维护和升

级。

本文标签： 防火墙中科支持日志神威