內網安全防御平臺通過網絡配置突變、隨機地址跳變、網絡節(jié)點和網絡服務虛擬和躍遷技術等，實現網絡的動態(tài)化，為每個接入到該設備的主機提供隨機的、動態(tài)的、多樣的網絡環(huán)境，在不影響正常功能的情況下，偽裝網絡拓撲，迷惑外來攻擊者和內在潛伏者，保護實際的網絡資源，達到網絡的隱真示假，讓攻擊者和潛伏嗅探威脅無法準確獲取網絡的真實情況和有效信息，從而使網絡安全變被動防御為主動防御，有效探知零日攻擊和高威脅持續(xù)攻擊。

        動態(tài)交換機系統包括流量處理子系統、網絡服務子系統、動態(tài)變換子系統、動態(tài)節(jié)點虛擬子系統、管理平臺子系統等，如圖所示。

        流量處理子系統聚焦實現交換機的報文轉發(fā)功能，關注二層網絡交換，實現三種交換機端口工作模式Access、Trunk、Hybrid，采用多種隊列調度算法使不同的數據流得到不同優(yōu)先級的轉發(fā)序列，保證局域網內主機的各類上層業(yè)務的應用與服務質量。

        網絡服務子系統對系統的IP地址、域名等網絡資源進行配置和管理、并實現網絡動態(tài)變形過程中的網絡資源映射，保證系統接入主機網絡的穩(wěn)定性、易用性，同時可實時感知系統的網絡狀態(tài)，提高網絡服務的穩(wěn)定性和系統的魯棒性，保證內網主機的網絡服務質量。

        動態(tài)變換子系統通過網絡配置跳變技術、網絡服務動態(tài)躍遷技術等，對網絡和數據信息進行動態(tài)跳變，轉變傳統手段所具有的防御被動性、靜態(tài)性缺陷，制造動態(tài)異構的網絡動態(tài)信息，營造真真假假的內網環(huán)境以欺騙攻擊者，保護關鍵節(jié)點。

        動態(tài)節(jié)點虛擬子系統會為接入主機動態(tài)構造異構的網絡拓撲，支持網絡拓撲中虛擬節(jié)點、真實主機的動態(tài)指紋變換，通過動態(tài)生成的海量“節(jié)點傳感器”，可對內網主機的異常行為進行動態(tài)實時的感知告警并采取反制措施，進而迷惑內外攻擊者，保護網絡關鍵資源，讓攻擊者無法準確獲取網絡的真實情況，將被動防御轉為主動防御，變事后防御為事前防御，做到先知先覺，徹底改變后知后覺、“補鍋匠”式的防御方法。

        管理平臺子系統負責整體系統的控制、管理、配置和運行狀態(tài)監(jiān)控等功能，是管理者與系統功能實現的接口系統，提供良好的、易交互的操作環(huán)境，同時通過多種統計信息、狀態(tài)信息實時反映系統的運行狀況，提高系統的可操作性與可擴展性。

功能指標：

l   具備二層網絡交換功能，支持未知單播在VLAN域內的廣播

l   具備QoS隊列調度，支持包重定向、鏡像和轉發(fā)功能

l   具備IP/MAC地址綁定， MAC地址黑名單，基于端口的MAC地址學習數量限制

l   具備2層~4層至少7元組（SIP DIP SPORT DPORT protocol等）包過濾功能，黑白名單訪問控制

l   支持IP地址跳變、服務端口跳變

l   具備隱藏受保護網絡設備的真實網絡地址，高速實時動態(tài)地變換受保護網絡設備的虛擬網絡地址，借此以保證網絡攻擊者無法定位及分析受保護網絡設備的流量，保證其通信安全

l   本設備支持命令行，配置文件，WEB管理模式

l   具備二次開發(fā)接口，支持后續(xù)定制開發(fā)

l   支持安全數據接口采集系統的安全日志、狀態(tài)日志和威脅告警

l   支持E5 2600 V3/V4 CPU

l   支持8個接入模塊定靈活配置

l   電源支持1+1包含

性能指標：

l   支持4K VLANs，VLAN支持Access、Trunk、Hybrid三種模式

l   支持8192條MAC地址表項

l   交換延時≤400微秒，平均丟包率≤10-9

l   每端口支持8個優(yōu)先級隊列，支持SP、WRR隊列調度算法

l   吞吐量：轉發(fā)性能64字節(jié)報文≥5Gbps，隨機包長轉發(fā)性能達到線速（≥9.5Gbps）

l   支持1024個受保護網絡設備的IP地址和服務端口跳變

l   虛擬IP地址池支持≥10萬個虛擬IP

l   動態(tài)變形切換時間最快小于≤10秒

l   內存不小于64G，并可根據客戶需求最大提升至256G內存