天融信网络卫士过滤网关系统一、产品概述天融信网络卫士过滤网关系统 TopFilter(简称:TopFilter)采取了一个与单机防护不同的基于网络的病毒防护方案
它被设计成安装在网络边缘,在病毒侵入网络之前实时的阻止它们,并且没有传统解决方案通常都有的延时
TopFilter 具有真正的即插即用能力,只要部署好之后就可以进行网络协议数据的病毒过滤功能;目前 TopFilter 基本可以支持主要的网络协议,SMTP、IMAP4、POP3、HTTP 以及 FTP 协议
TopFilter 采用业界先进的扫描技术,所以具有优秀的扫描性能,对各协议的处理性能表现优越
二、产品特点介绍1、独创的 TCP 粘合技术天融信网络卫士过滤网关系统基于透明代理技术实现
透明代理技术的优点是可以在应用层实现复杂的过滤
缺点是降低设备的吞吐,并且造成较大的网络延迟
TCP 粘合技术显著的提升了透明代理的性能,大大降低了通信延时
连接粘合后的性能接近内核的路由转发
TCP 粘合连接的原理如下图所示
该结构与应用级代理的最大不同在于:客户端和服务器之间的连接在操作系统的核心层进行连接粘合
TCP 粘合避免了数据包从核心空间到用户空间的拷贝和多次 socket 系统调用导致的上下文切换,显著提高了转发的性能,并且大大降低了通信延迟
由于 TCP 粘合技术需要对两个连接上的报文进行处理,所以有很多 TCP 协议的细节需要注意
包括:对 TCP 报文序号的处理;对校验和的重新计算;对常见的 TCP 选项的协商和转换
如果客户端和服务器不是同一类型的系统,可能在 TCP 协议栈的实现上有所差异
因此必须要考虑协议兼容性,以保证双向通信的正确性
图 1 TCP 粘合技术示意2、透明扫描大多数传统的解决方案工作在 OSI 的应用层,以代理的方式截获数据进行扫描:客户机首先连接到防病毒网关,防病毒网关再连接到真正的
