联想网御:缔造信息安全第一品牌新技术研究所新技术研究所杨聪毅杨聪毅2008年年12月月万兆安全网关KingGuard产品介绍 V1.0内容提纲内容提纲产品介绍产品介绍产品规格产品规格产品特点产品特点竞争分析竞争分析典型应用方案典型应用方案硬件平台发展史硬件平台发展史2003年超五年超五2005年超五年超五II代代2008年年KingGuardNP架构4Gbps多NP架构20Gbps多核架构20Gbps嵌入式操作系统嵌入式操作系统嵌入式操作系统微码嵌入式操作系统微码VSP通用安全平台通用安全平台多核芯片多核芯片主要特点主要特点集成集成8个独立个独立CPU,每个,每个CPU含含4个虚拟个虚拟CPU集成加解密引集成加解密引擎,支持擎,支持AES、3DES多种算法多种算法XLR内部数据内部数据交换交换128Gbps支持支持C语言开发,语言开发,编程灵活编程灵活内容提纲内容提纲产品介绍产品介绍产品规格产品规格产品特点产品特点竞争分析竞争分析典型应用方案典型应用方案121KingGuard-SPMKingGuard-SPM-10GE可热插拔可热插拔含含10个个10/100/1000MBASE-T 电口电口KingGuard-SPM-10SFP可热插拔可热插拔含含10个个 SFP插槽插槽(不含模块不含模块)KingGuard-SPM-10GE可热插拔可热插拔含含1个个XFP插槽(用于插万兆光纤模块)插槽(用于插万兆光纤模块)1产品型号产品型号性能规格性能规格硬件规格硬件规格KingGuard-9202吞吐吞吐40G最大并发最大并发1000万万最大新建最大新建40万万/秒秒VPN 4G4U ATCA机箱机箱双数据业务板双数据业务板标配标配8千兆电千兆电双电源双电源可扩展可扩展4个个SPMKingGuard-9201吞吐吞吐20G最大并发最大并发500万万最大新建最大新建20万万/秒秒VPN 2G4U ATCA机箱机箱单数据业务板(可单数据业务板(可扩扩1个数据业务板)个数据业务板)标配标配4千兆电千兆电双电源双电源可扩展可扩展2个个SPMKingGuard-8000吞吐吞吐20G最大并发最大并发500万万最大新建最大新建20万万/秒秒VPN 2G2U 机箱机箱标配标配4千兆电千兆电单电源单电源/双电源双电源*可扩展可扩展2个个SPM2Super V-SPMSuper V-SPM-10GE可热插拔可热插拔含含10个个10/100/1000MBASE-T 电口电口Super V-SPM-10SFP可热插拔可热插拔含含10个个 SFP插槽插槽(不含模块不含模块)Super V-SPM-10GE可热插拔可热插拔含含1个个XFP插槽(用于插万兆光纤模块)插槽(用于插万兆光纤模块)产品型号产品型号性能规格性能规格硬件规格硬件规格SuperV-8000吞吐吞吐20G最大并发最大并发500万万最大新建最大新建20万万/秒秒VPN 2G2U 机箱机箱标配标配4千兆电千兆电单电源单电源/双电源双电源*可扩展可扩展2个个SPMSuperV-7A34吞吐吞吐16G最大并发最大并发400万万最大新建最大新建15万万/秒秒VPN 2G2U 机箱机箱标配标配4千兆电千兆电+10SFP口(可定制口(可定制10口千兆电)口千兆电)双电源双电源SuperV-5A34吞吐吞吐12G最大并发最大并发300万万最大新建最大新建15万万/秒秒VPN 2G2U 机箱机箱标配标配4千兆电千兆电+10SFP口(可定制口(可定制10口千兆电)口千兆电)双电源双电源2内容提纲内容提纲产品介绍产品介绍产品规格产品规格产品特点产品特点竞争分析竞争分析典型应用方案典型应用方案HardwareVSPUSEp 通用安全平台通用安全平台VSP 基于组件技术的多平面架构 实时OS、网络处理、安全应用等完美结合 统一安全引擎USEp 强大的自身安全性强大的自身安全性 Bootloader+LOS双系统 没有硬盘等需要运转的部件 优异的MTBF(平均无故障时间)p 100自研代码自研代码 全面和无缝隙的功能整合 优异的可靠性和稳定性 深入具体的帮助和操作文档FW IPSAVDDOS比较项比较项市场现有高端防火墙市场现有高端防火墙KingGuardKingGuard安全网关安全网关处理能力处理能力101020G20G20G20G并发连接数并发连接数100100300300万万500500万(万(NATNAT后后300300万)万)每秒新建连接每秒新建连接1.81.81010万万/秒秒2020万万/秒(秒(NATNAT后后1515万)万)端口数目端口数目只有一个厂家可支持只有一个厂家可支持4848千兆口千兆口最多可支持最多可支持4848个千兆口个千兆口可扩展性可扩展性大多数通过数据板扩展端口大多数通过数据板扩展端口可扩展数据板和端口模块可扩展数据板和端口模块,预留预留IPS/AVIPS/AV内容加速模块插槽内容加速模块插槽每每CPU含含8处理核处理核每核主频每核主频1.2GHZ每个核具备每个核具备4个虚拟个虚拟CPU每台设备具备每台设备具备64个个vCPU同时进行运算同时进行运算(vCPU线程)线程)UNIT BUNIT AUNIT AUNIT B吞吐:吞吐:20G并发:并发:500万万每秒新建:每秒新建:20万万超强性能内核技术超强性能内核技术CPU矩矩阵阵12436578ADCBGFEHA1A8A3A2A4A5A6A7B1B8B3B2B4B5B6B7C1C8C3C2C4C5C6C7D1D8D3D2D4D5D6D7E1E8E3E2E4E5E6E7F1F8F3F2F4F5F6F7G1G8G3G2G4G5G6G7H1H8H3H2H4H5H6H7流流量量分分组组并并行行处处理理DATADATA队列队列调度调度 预处理预处理 解密解密策略策略匹配匹配内容内容过滤过滤封装封装加密加密QOS队列操作队列操作路由查询路由查询日志记录日志记录流水线处理步骤流水线处理步骤吞吐:吞吐:20G并发:并发:500万万每秒新建:每秒新建:20万万超强性能内核技术超强性能内核技术队列队列调度调度预处理预处理解密解密策略策略匹配匹配内容内容过滤过滤封装封装加密加密QOS队列操作队列操作路由查询路由查询日志记录日志记录普通包过滤普通包过滤流水线流水线1流水线流水线2空闲空闲vCPUvCPU队列队列加解密内容过滤加解密内容过滤队列调度队列调度vCPUvCPU发现发现3 3颗颗vCPUvCPU占用率为零占用率为零,将其释放将其释放队列调度队列调度vCPUvCPU发现发现vCPUvCPU占用率占用率很高很高,申请空闲申请空闲vCPUvCPU进入队列进入队列吞吐:吞吐:20G并发:并发:500万万每秒新建:每秒新建:20万万超强性能内核技术超强性能内核技术NAT、策略路由功能强路由协议支持最完善,线速转发接口类型丰富,万兆接口专业的包过滤抗攻击NAT、策略路由功能路由规则多,线速转发接口类型丰富,万兆接口WatchDog防掉线(电源线)设计防掉线(电源线)设计电源插头防反接保护电源插头防反接保护HA绿色绿色UTM万兆处理性能、端口丰富万兆处理性能、端口丰富 全面的防火墙功能全面的防火墙功能 超强网络攻击防护超强网络攻击防护 优越的优越的NAT、新建能力、新建能力 骨干网络缺乏高性能安全防护骨干网络缺乏高性能安全防护基本网络安全控制基本网络安全控制出口设备出口设备NAT、新建、新建能力差能力差DDOS攻击等攻击多攻击等攻击多用户面临问题用户面临问题保密数据传输保密数据传输IPSEC、GRE、L2TP VPNKingGuard能做什么?能做什么?KingGuard目标客户在哪儿?目标客户在哪儿?高端客户需求高端客户需求KingGuardKingGuard如何满足用户?如何满足用户?费用充足,愿意购买高费用充足,愿意购买高端设备建一流网络端设备建一流网络电信级硬件规格、模块化设计、高性能,电信级硬件规格、模块化设计、高性能,硬件规格高于国内所有竞争对手硬件规格高于国内所有竞争对手,包括,包括HillstoneHillstone,主打高端牌,主打高端牌网络带宽高、用户众多网络带宽高、用户众多万兆处理性能,万兆处理性能,用一台机器可以达到多台用一台机器可以达到多台机器的性能,节约用户投资机器的性能,节约用户投资近近1 12 2年有潜在的网络年有潜在的网络升级需求升级需求丰富的端口扩充能力及端口配置模式,丰富的端口扩充能力及端口配置模式,保保证用户固定资产投资的价值证用户固定资产投资的价值目标客户列表目标客户列表类型类型单位名称单位名称产品卖点产品卖点政府政府财税、公检法、统计、审财税、公检法、统计、审计、环保计、环保防火墙、抗攻击、防火墙、抗攻击、P2P/IMP2P/IM控制、节能环保控制、节能环保军队军队总参总参防火墙、高性能、高可靠性、抗攻击、小包防火墙、高性能、高可靠性、抗攻击、小包线速线速电信电信网通、电信、移动、联通网通、电信、移动、联通高性能、高稳定性、抗攻击、防火墙、小包高性能、高稳定性、抗攻击、防火墙、小包线速线速金融金融保险、银行保险、银行防病毒、抗攻击、高稳定性、高性能防病毒、抗攻击、高稳定性、高性能VPNVPN教育教育高教,普教高教,普教防火墙、抗攻击、带宽管理、小包线速、新防火墙、抗攻击、带宽管理、小包线速、新建速率高、建速率高、NATNAT能力强、大并发数、性价能力强、大并发数、性价比高、比高、P2PP2P、IMIM等应用层过滤等应用层过滤卫生卫生医院,医保医院,医保高性能、高稳定性、性价比高、维护简单高性能、高稳定性、性价比高、维护简单大型企业大型企业钢铁、汽车、重工业钢铁、汽车、重工业高稳定性、高可靠性、维护简单高稳定性、高可靠性、维护简单能源能源电力、石油、石化电力、石油、石化高性能、高稳定性、防火墙、抗攻击高性能、高稳定性、防火墙、抗攻击内容提纲内容提纲产品介绍产品介绍产品规格产品规格产品特点产品特点竞争分析竞争分析典型应用方案典型应用方案KingGuard主要竞争对手竞争对手山石山石联想网御联想网御我们的优势我们的优势SA-5180KingGuard 9202KingGuard 92014U ATCA架构更符合电信标准最大40Gbps最大48个千兆口或4个万兆口+8千兆电SA-5050KingGuard 8000吞吐20G 对手 16G最大24千兆口或2万兆+4千兆电 对手12千兆口(不支持万兆口)SA-5040SuperV 7A34吞吐16G 对手 8G并发400万对手200万新建15万对手10万最大14千兆口 对手12千兆口SA-5020SuperV 5A34吞吐12G对手4G并发300万对手100万新建15万对手6.5万最大14千兆口 对手8千兆口双电源对手单电源竞争对手n2006成立成立 外资公司外资公司n资质不全资质不全nSA-5000系列性能不如我们系列性能不如我们nSA-5000硬件硬件1U档次不高档次不高n接口数量少,只有接口数量少,只有5180支支持万兆持万兆n1999开始开始 联想品牌联想品牌n资质全资质全n硬件规格较高硬件规格较高n接口数远大于对手,接口数远大于对手,3个型个型号支持万兆号支持万兆n4U ATCA电信级架构,主电信级架构,主要部件支持热插拔,设计优要部件支持热插拔,设计优于对手于对手n2U机箱档次高、散热好机箱档次高、散热好竞争对手阿姆瑞特阿姆瑞特联想网御联想网御联想网御优势联想网御优势F5500-proF5000-plusKingGuard 92024U ATCA架构更符合电信标准最大40Gbps并发1000万 对手400万最大48个千兆口或4个万兆口+8千兆电对手24个千兆口F5000-proKingGuard 8000吞吐20G 对手 12G最大24千兆口或2万兆+4千兆电 对手24千兆口(不支持万兆口)新建20万对手4万F5000-limitSuperV 7A34吞吐16G 对手 8G并发400万对手100万新建15万对手4万VPN 2G 对手 1GF3000三型号F1800三型号SuperV 5A34吞吐12G对手最大10G新建15万对手4万最大14千兆口 对手8千兆口硬件性能与规格全面超越竞争对手n外资公司外资公司n资质不全资质不全n硬件架构硬件架构X86+ASICn硬件规格不强,不支持万兆硬件规格不强,不支持万兆n吞吐、新建外企中中等吞吐、新建外企中中等n装客户端才能管理装客户端才能管理n性价比低性价比低n1999开始开始 联想品牌联想品牌n资质全资质全n多核架构、优于对手多核架构、优于对手n硬件规格全面强于对手,支硬件规格全面强于对手,支持万兆持万兆n吞吐、新建明显强于对手吞吐、新建明显强于对手nWEB、串口管理,免客户、串口管理,免客户端端n性价比高性价比高竞争对手H3C联想网御联想网御联想网御优势联想网御优势SecPath-5000-A5KingGuard 9202对手7U机箱才支持48个千兆或8个万兆网御4U机箱就支持48个千兆或4个万兆+8千兆端口密度高于对手对箱太大,强迫用户买管理模块端口密集度低,性价比低SecPath-1000-EKingGuard 8000吞吐20G 对手2G新建20万 对手5万最大接口数24个千兆 对手最大20个千兆支持万兆,对手不支持万兆竞争对手n外资公司外资公司n资质不全资质不全n硬件型号少硬件型号少n7U设备过于笨重,密集度设备过于笨重,密集度不够不够n1U设备性能明显比设备性能明显比KingGuard/SuperV系列差系列差n1999开始开始 联想品牌联想品牌n资质全资质全n多核架构、优于对手多核架构、优于对手n硬件规格全面强于对手,支硬件规格全面强于对手,支持万兆持万兆n吞吐、新建明显强于对手吞吐、新建明显强于对手n性价比高性价比高国内竞争对手n多核银河上市一年,从未遇到,多核银河上市一年,从未遇到,产品已失败产品已失败n猎豹产品性能不如网御,可用猎豹产品性能不如网御,可用SuperV5A34与之竞争与之竞争n多核产品硬件成熟多核产品硬件成熟n产品已经量产产品已经量产n硬件规格明显强于对手硬件规格明显强于对手n性能全面超越对手性能全面超越对手n多核多核SecGate 3600 X300 软件未软件未完成,样品未投产,只支持完成,样品未投产,只支持1个万个万兆兆nOEM山石的,价格山石的,价格/技术无主动权技术无主动权内容提纲内容提纲产品介绍产品介绍产品规格产品规格产品特点产品特点竞争分析竞争分析典型应用方案典型应用方案数据中心数据中心校园网应用方案校园网应用方案校园网出口校园网出口防火墙防火墙入侵防入侵防御御负载均负载均衡衡流量控流量控制制路由器路由器校园网应用方案链路选择链路备份服务器保护高并发连接数高新建连接数大量NAT处理接口丰富出口识别出口控制校园网应用方案CNCCernetTelcom解决校园网多出口问题解决校园网多出口问题学生用户学生用户教学办公科研用户教学办公科研用户学生用户访问教育网资源学生用户访问教育网资源学生用户访问学生用户访问Internet资源资源教学办公科研用户访问教育网资源教学办公科研用户访问教育网资源教学办公科研用户访问教学办公科研用户访问Internet资源资源211.100.55.0/20192.168.254.0/16教师机房教师机房学生机房学生机房正常情况下,Cernet用户访问Cernet地址,CNC用户访问CNC地址192.168.1.10202.96.18.10211.71.18.10CNC用户用户Cernet用户用户CNCCernet服务器使用一个私有地址在KingGuard外网口上分别对应CNC地址和Cernet地址解决校园网多出口问题解决校园网多出口问题3 3万用户规模学校万用户规模学校KingGuard920120 Gbps吞吐量5,000,000个并发连接数200,000每秒新建连接数2 Gbps VPN吞吐量10,000个VPN隧道数可扩展至48个千兆端口或4个XFP万兆端口加8个千兆端口多核架构KingGuard800020 Gbps吞吐量5,000,000个并发连接数200,000每秒新建连接数2 Gbps VPN吞吐量10,000个VPN隧道数可扩展至24个千兆端口或2个XFP万兆端口加4个千兆端口多核架构KingGuard920240 Gbps吞吐量10,000,000个并发连接数400,000每秒新建连接数4 Gbps VPN吞吐量10,000个VPN隧道数可扩展至48个千兆端口或4个XFP万兆端口加8个千兆端口多核架构5 5万用户规模学校万用户规模学校1010万用户规模学校万用户规模学校核心交换机核心交换机服务器群交换机服务器群交换机二层交换机二层交换机二层交换机二层交换机各教学科研办公楼栋各教学科研办公楼栋二层交换机二层交换机各学生宿舍楼栋各学生宿舍楼栋教学科研办公区域教学科研办公区域学生宿舍学生宿舍区域区域内部服务器内部服务器CERNETCNC二层交换机二层交换机TelcomWWW FTP VOD DNS问题交流问题交流联想网御开创万兆安全新时代更多信息,请联系更多信息,请联系:联想网御科技(北京)有限公司Email :Tel:010-82167730 13911235007Web:http:/。
