天融信安全网关的核心技术

    天融信公司经过多年的持续投入，为客户提供的丰富安全产品，各种安全网关产品无论在性能、功能、安全性、稳定性方面处于行业领先水平，并且着眼未来的产品设计理念充分考虑了未来安全的需要。天融信能提供丰富而又有持续发展能力的产品线，依赖于公司多年的积累和沉淀而形成的科学、清晰的网关产品核心技术体系：

    1）高端采用ASIC+NPU架构平台。该平台为中国知名款该最优组合架构的安全平台。

    2）中端采用ASIC 架构平台。基于中国知名个完全自主设计的安全处理芯片来构建。

    3）低端采用高性价比的嵌入式平台。集成丰富应用处理如路由、交换、无线和语音处理。

    4）各平台全面采用TopsecOS系统。各网关平台将全面采用自主研发的专用安全操作系统TopsecOS。

    高端采用的ASIC+NPU的组合架构可以充分利用ASIC和NPU的优点，发挥各自的特长，产品设计时充分考虑高稳定，高性能、高可用、高扩展的要求，把硬件和TopsecOS透明模块封装技术进行密切结合，针对产品的每个功能具体由软方式还是硬方式实现进行合理的分配，综合考虑ASIC和NPU的实际能力和产品需求进行最优设计。

    需要高速处理并且处理模式比较固定部分可以交给ASIC完成；需要灵活性计算的部分可以交给NPU处理，从而系统可以获得非常高的性能优势的同时，也保持高度的灵活性。整个系统在性能上明显高出其他架构的产品，不管是64字节的小包还是1518字节的大包，都可以实现千兆的全线速处理。

    系统采用具有天融信自主知识产权的ASIC安全引擎对网络流量进行深层次分类和标识，数据处理采用IP流分类技术、多个数据包并行处理技术、实现了多引擎并发线速过滤，网络处理器内嵌多个微引擎、每个微引擎含8个硬件线程，实现线程级的并行，设计64个专用的数据包处理线程，保证同时能并行处理64个frame，充分发挥高性能优势，保证了电信级流量的处理要求。

    系统使用了微引擎高可用负载平衡技术，每个微引擎的任务表现为执行相应的微代码，系统的健壮中心时时跟踪每个微引擎的状态，当有微引擎拥塞或异常发生时，可以在微引擎之间调度任务，从而保证系统非常高的可用性。

    中端网关采用完全国产设计的ASIC架构平台，该芯片是中国知名款自主设计的安全处理芯片，构建ASIC架构产品要求投资大，技术门槛高，没有一定的实力公司很难开展，国内的厂家都在回避采用ASIC技术开发产品，天融信经过几年的高速发展，获得丰富的技术积累和强大的整体实力，在投入上千万元，历时两年多攻关的情况下，终于成功开发了该平台，成为继96发布中国知名台防火墙之后，国内安全产品的又一重要里程碑，为我国信息安全产业链的长期发展奠定了坚实的基础；

    核心处理芯片采用了国际最新一代的ASIC设计技术，使ASIC更智能，功能更丰富；国产自主的设计保证了核心技术自主可控；核心的安全芯片不再使用国外厂商，第一次能够在芯片一级控制的潜在风险，为我国的信息安全建设提供了更强的安全保障。同时该系统拥有高性能、高稳定的特点，硬件实现各种高速的安全处理，整个平台实现2G以上的处理能力，完全能满足各种中端安全网关对于性能的要求。并且系统在性能上设计了足够预留，可以达到所有端口以及任何包长下都能同时全线速的转发数据，而且在百兆系统上支持千兆接口的扩展能力，充分考虑未来网络升级和功能增加的需要。

    低端网关采用嵌入式硬件平台，该平台具有良好的性价比，集成丰富的路由、交换、无线接入、语音等功能；成为低维护，即插即用的多功能安全网关。

    2005年起天融信全线安全网关产品将逐步采用专用的安全操作系统TopsecOS (简称TOS），TOS是天融信集10年安全产品专业开发经验自主研发而成，该操作系统参照国际水准，由天融信独立研发完成，采用了多项突破性技术，具有高效，高安全性，高健壮性、扩展性、 可移植性、模块化、标准化等特征；

    设计时引入了全模块化设计，贯彻中间层理念，使操作系统具有平台无关性，在硬件和OS内核层之间的硬件抽象层使TOS能适应各种硬件体系平台，充分利用各种硬件平台的优势。TOS系统内部又分为OS内核层、基础层、服务层，TOS之上为安全引擎层。稳定、可靠、安全的OS内核层支撑了多项基础层和服务层模块，提供了丰富的支撑功能，能方便的构建功能强大的设备系统，在服务层之上可以通过插入各种安全引擎（SE）来提供各种安全应用功能，TOS为防火墙及多种安全产品提供了统一的、安全的基础平台。TOS详细的结构见下图

    TOS采用了多项突破性技术。独创的模块透明封装技术使系统具有很强的扩展性，TOS对系统中功能模块进行透明封装，一个模块的具体实现方式对邻居透明，模块的具体实现方式不影响其他相关模块，所以可以根据不同平台的特性来决定一些模块具体的软硬件实现方式；比如NAT表的查找，可以完全由软件来实现，也可以由芯片来处理；

     透明的模块封装方式和硬件抽象层的引入保证了TOS在多个平台都能充分发挥硬件的处理能力，并且在未来能方便的支持新的平台。TOS设计了独具特色的健壮中心模块，能时时跟踪各模块的状况，意外发生时，健壮中心能及时做出反应；并能起到黑匣子功能，记录系统的健康运行记录，便于分析系统的运行状况。TOS采用统一化和标准化的方式来开发，为各种产品提供了统一的认证接口，统一的管理接口，统一的日志接口，并且开放的接口适合快速增加新的SE，方便快速增加新的安全应用。

    相对于国内安全产品普遍采用的通用操作系统，专用的安全操作系统具有更高的安全性，TOS系统的安全模型由于采用了形式化（Formal）的设计方法，使得系统的安全性具有高可靠、高可控，可推导、可验证等特点；

    并且相对于通用操作系统，TOS在设计时对每一层次进行充分的优化，充分发挥系统的处理能力，在同样的硬件平台上，要比通用操作系统的性能高出30％以上，由于引入了硬件抽象层设计，使得TOS能在未来可以及时利用新的硬件技术发展的成果，能更快更灵活的推出新的产品。

    在快速变化和发展的信息安全领域，如何保持一个产品的有更长的生命周期，能为客户带来长期的价值，帮助客户减少投资具有非常积极的意义，由于TOS整个系统完全有天融信自主研发，使得公司掌握了从操作系统内核到各个支撑层的核心技术，所以在未来面对新需求和新的挑战时能快速从容的应对，及时满足客户新的需求；

    TOS分层化，模块化的设计使开发者能对某个层或者某个模块单独的持续的优化，减少了如此庞大系统的后续开发的复杂性，使采用该系统的安全产品具有了良好的可持续发展性，能够更快的推出新的、更优异功能和性能特性的下一代产品。 由于完全自主设计，天融信拥有自己的知识产权，避免了通用系统可能面临的知识产权的法律问题，这对于要最终国际化、进军国际市场的企业来说尤为重要。