天融信 NGFW千兆系列防火墙
发布时间:2018-02-22 发布者: 浏览量:5263
1.产品概述
NGFW4000、NGFW4000-UF系列专用平台产品,是国内应用最广、部署量******的防火墙产品之一,也是国内率先支持防病毒和SSL VPN功能的防火墙产品。适用于网络结构复杂、应用丰富的政府、金融、学校、中型企业等网络环境。产品集成了天融信在客户复杂环境中处理威胁的经验及对客户需求的深入理解,已在各种网络环境中经受了严格考验。该系列产品具有访问控制、内容过滤、防病毒、NAT、IPSEC VPN、SSL VPN、带宽管理、负载均衡、双机热备等多种功能,广泛支持路由、多播、生成树、VLAN、DHCP等各种协议。稳定可靠的硬件平台,满足真实需求的软件功能,超强的网络适应能力,使之成为多年来广受市场认同的系列主流产品。此产品基于天融信自主设计的专用硬件平台,采用开放性的系统架构及模块化的设计思想,具备超强的接口扩展能力,极高的性价比。
2.核心技术
安全高效的TOS操作系统
具有完全自主知识产权的TOS(TopsecOperating System)安全操作系统,采用全模块化设计,使用中间层理念,减少了系统对硬件的依赖性,有效保障了防火墙、SSL VPN、IPSEC VPN、防病毒、内容过滤、抗攻击、带宽管理等功能模块的优异性能。TOS良好的扩展性为未来迅速扩展更多特性提供了无限可能。集成了丰富的安全引擎,包括:防火墙引擎,IPSesVPN引擎,SSLVPN引擎,防病毒引擎,IPS引擎等。使得NGFW4000产品系统成为了可以防范多种威胁、功能丰富的防火墙产品。
·基于双重特征的动态检测技术
采用完全内容检测和行为特征检测的双重完美融合检测技术,可实时将网络层数据还原为完整的应用层对象(如文件、网页、邮件等),并对这些完整内容进行全面检查,再对异常行为特征进行精确监控。它不但可对还原出来的应用层数据进行病毒查杀、入侵防御,还可检查是否存在不良Web内容、或是否属于垃圾邮件、间谍软件和网络钓鱼欺骗等其他威胁,真正实现了彻底检测和防范。可支持应用识别入侵防御与防病毒功能,其中病毒特征库数量>200万,防火墙集成国内知名江民防病毒厂商的专业病毒库。
·完全内容检测CCI技术
NGFW4000系列专用平台产品采用最新的CCI技术,提供对OSI网络模型所有层次上的网络威胁的实时保护。网络卫士系列防火墙可对还原出来的应用层对象(如文件、网页、邮件等)进行病毒查杀,并可检查是否存在不良WEB内容、垃圾邮件、间谍软件和网络钓鱼欺骗等其他威胁,实现彻底防范。
状态检测只检查数据包的包头。
深度包检测可对数据包内容进行检查。
CCI可实时将网络层数据还原为完整的应用层对象(如文件、网页、邮件等),并对这些完整内容进行全面检查,实现彻底的内容防护。
3.产品特点
·丰富全面的安全防护功能
NGFW4000通过防火墙、IPSEC VPN、SSL VPN、防病毒、IPS等多种安全引擎的有机集成,对不同网络层次、不同访问形式提供综合性的安全防护功能(如对VPN数据进行检查,拦截病毒、蠕虫、木马、恶意代码等有害数据,彻底保证了VPN通信的安全),成为了国内安全功能最丰富的防火墙产品。
·便捷智能的立体化管理体系
配合自研的集中管理系统,可以对用户分布式的安全设备进行集中化的管理,通过对各种设备状态的集中监控(如在线状态、配置状态、运行状态、流量状态等),设备安全策略全面完整的深度支持、设备安全日志的分析,把不同地域的安全设备、不同类型的安全服务、不同层次的安全防护功能有机的结合在一起,根据完整全面的安全信息反馈对用户当前的安全策略进行定时智能化的调整,使其形成全方位、立体化的网络安全防护体系,简化了管理模式、提高了管理效率和安全性。在本地管理方面,支持系统管理员通过“用户名+口令+图形认证码”方式认证进行登录管理。
·灵活的应用识别控制功能
NGFW4000以大型专业化的网络应用研究团队为支撑,提供了强大的网络应用识别控制功能,同时快速补充对当前不断新增和变化的网络应用协议的支持。用户可以轻松的针对一些典型网络应用,如MSN,QQ、Skype等即时通信应用,以及BT、Edonkey、Emule、讯雷等p2p应用实行灵活的访问控制策略,如禁止、限时、乃至流量控制。同时还提供了定制功能,可以对用户所关心的网络应用进行全面控制。
·安全服务虚拟化
支持虚拟防火墙功能,即在一台物理防火墙上实现多套虚拟系统的并行处理。每套虚拟系统在逻辑上都相互独立,具有独立的管理员交互界面与访问控制系统,并支持物理接口、路由子接口及SVI虚接口的虚拟防火墙接口分配方式。不同的组织或部门共用一套物理防火墙,但可以使用不同的虚拟系统实现安全防护,提升了系统使用效率。而对于用户来说,就像是使用独立的防火墙,大大节省了成本。
·多层次全方面的可靠性保证
能够在核心网络中与所有网络设备一起构建高可用性及高安全性的拓扑结构,自身能够实现A/A、A/S及SP(会话保护)部署的设备冗余功能,基于IP探测方式进行动态链路切换的链路冗余功能,同时还提供了电源、板卡等硬件的模块冗余功能,******限度地满足了网络的健壮性及稳定性,保证了整个网络的不间断工作。
·高性能的防火墙和VPN
NGFW4000系列万兆平台产品防火墙吞吐量可以达到24Gbps,可以胜任大型网络的防御任务,同时在各种测试和评比活动中也可以与国内外公司的同类高端产品相竞争。
·强大的网络接入能力
丰富多样且数量充足的网络接口类型,结合高效灵活的多级化策略路由功能和NAT功能,具有多种灵活组合形式。对IGMP组播协议、非IP协议的传输与控制及IPv6协议的全面支持,能够满足绝大多数网络环境应用需求。
4.产品功能
支持入侵防御功能:支持应用层防御,入侵防御攻击特征库数量≥3500种,攻击检测率≥90%;支持对多种常用协议的协议识别和异常检测,包括HTTP、FTP、SMTP、POP3、IMAP、MSRPC、NETBIOS、SMB、MS_SQL、TALNET、IRC、DNS等;支持入侵攻击特征库的分类显示;支持用户自定义规则;支持入侵攻击特征库自动升级,手动升级,离线升级,版本回退;响应方式支持阻断、丢包、日志记录等。
支持病毒检测功能:支持常用协议的病毒扫描功能,病毒库数量≥20万种,病毒检测率≥90%;支持对文件真实类型的有效识别;支持对各种压缩格式及多层压缩文件进行病毒扫描;支持对加壳病毒的脱壳扫描;可设置病毒等级;响应方式支持病毒文件的删除,返回页面警告,邮件标记警告,日志记录等;支持病毒库自动升级,手动升级,离线升级,版本回退;可显示病毒库中的病毒列表。
类别 | 功能 | 详细描述 |
网络 | 工作模式 | 1. 支持透明、路由、混合模式 |
路由 | 1. 支持静态路由、动态路由 2. 支持基于源/目的地址、端口、协议及接口的策略路由 3. 策略路由支持全局、本地接口、虚接口 4. 支持Vlan路由,能够在不同的VLAN虚接口间实现路由功能 5. 支持RIP、OSPF、BGP等路由协议和MPLS多协议标签交换 6. 支持多线路捆绑和负载均衡 7. 支持源路返回的智能选路技术,保证数据包来回一致 | |
组播 | 1. 支持IGMP、PIM组播协议 2. 可有效地实现视频会议等多媒体应用 | |
VLAN | 1. 支持Vlan、Vlan Trunk 2. 支持802.1Q,能进行封装和解封 3. 支持ISL,能进行ISL的封装和解封 4. 支持QinQ技术(vlan-vpn),对报文进行二次基于802.1Q封装 | |
生成树 | 1. 支持802.1D、PVST生成树协议 | |
端口聚合 | 1. 支持对物理接口的端口聚合,提高接口带宽 | |
ARP | 1. 支持ARP代理、ARP学习,可设置静态ARP 2. 可设置防ARP欺骗 | |
DHCP | 1. 支持DHCP Client、DHCP Relay、DHCP Server | |
接入 | 1. 支持以太网、光纤、ADSL、DHCP等多种接入方式 2. 支持最多4路ADSL拨号接入,多路ADSL支持链路负载均衡或备份 | |
其它 | 1. 支持网络时钟协议SNTP,可自动根据NTP服务器的时钟调整本机时间 2. 支持IPX、NetBEUI等非IP 协议 3. 支持快速转发模式,可不经过二层交换以及三层路由的检查过程就将报文直接发送出去 | |
可信接入 | 可信接入 | 1. 支持接入主机的信息检查,包括安装的软件、进程、端口、服务、注册表、操作系统及补丁、文件、网卡等 2. 支持可信接入分级授权 3. 支持检查策略:接入前检查、接入后检查、定时检查等 |
DDNS | DDNS | 1. 支持DDNS动态域名注册 2. 支持使用域名进行隧道定义及协商 3. 支持使用域名向TP进行集中认证 |
网络 | *内容过滤 | 1. 采用完全内容检测(Complete Content Inspection)技术 2. 支持基于流、数据包、透明代理的过滤方式 3. 支持对HTTP、SMTP、POP3、IMAP、FTP等协议的深度内容过滤 4. 支持web重定向,支持URL分类过滤 5. 支持挂马网站过滤 6. 支持对移动代码如Java applet、Active-X、VBScript、Java script的过滤 7. 支持对邮件的收发邮件地址、文件名、文件类型过滤 8. 支持对邮件主题、正文、收发件人、附件名、附件内容等关键字匹配过滤 9. 支持反垃圾邮件功能 10. 支持Telnet、Ftp、RSH命令过滤 11. 可屏蔽受保护主机/服务器系统信息,如替换服务器(FTP、SMTP、POP3、Telnet、HTTP)的BANNER信息 |
访问控制 | 1. 基于状态检测的动态包过滤 2. 基于源/目的IP地址、MAC地址、端口和协议、时间、用户、角色的访问控制 3. 支持策略复制、搜索、分组、命中查询 4. 动态端口支持协议:H.323、SIP、FTP、RTSP、SQL*NET、MMS、RPC、TFTP、PPTP 5. 支持大数量级的策略匹配加速算法 6. 支持对象的每秒新建连接数限制 7. 支持会话收集整理,可由收集数据生成访问控制策略 8. 基于域名对象的访问控制 9. 可实现IP/MAC绑定,可防共享上网 10. 支持反向路径控制,可以根据数据包的来源和数据包的特征进行阻断设置 11. 支持防火墙虚拟系统功能,每个虚拟系统具备独立的功能,互不干扰 | |
NAT | 1. 支持双向NAT 2. 支持动态地址转换和静态地址转换 3. 支持多对一、一对多和一对一等多种方式的地址转换 4. 支持虚拟服务器功能 | |
*应用识别 | 1. 支持近百种应用程序库的过滤,包括P2P、IM、炒股、网游等 2. 支持MSN、QQ、Skype等Instant Messenger通信,并可以对于这些应用进行登陆限制和帐号过滤 3. 可限制BT、eMule、eDonkey、迅雷等P2P应用 4. 支持基于应用的流量统计、排名 5. 支持基于应用的历史流量趋势图 6. 支持基于主机的应用流量统计 7. 支持流量异常检测 8. 深度流量过滤(DFI),针对P2P行为的识别控制 | |
*防御攻击 | 1. 非法报文攻击:land 、Smurf、Pingofdeath、winnuke 、tcp_sscan、ip_option、teardrop、targa3、ipspoof 2. 统计型报文攻击:Synflood、Icmpflood、Udpflood、Portscan、ipsweep 3. 支持主机的SYN、ACK攻击数以及******报文长度的限制 4. 端口阻断:可以根据数据包的来源和数据包的特征进行阻断设置 5. CC攻击:可通过设置端口和阀值阻断CC攻击 6. 支持并发连接数、半连接数、每秒新建连接数的限制 7. 可记录攻击日志和报警 8. 支持手动设置和根据IDS规则自动生成黑名单 | |
安全管理 | 用户认证 | 1. 支持使用一次性口令认证(OTP)、本地认证、数字证书(CA)认证等常用的安全认证方式 2. 支持口令复杂度设置,支持密码找回、首次登录修改口令功能 3. 支持多点登录地点数设置,支持登录时间、登录地址范围控制 4. 支持使用第三方认证,如RADIUS、TACACS/TACACS+、LDAP、域认证等安全认证方式 5. 支持短信、动态令牌、硬件特征码认证 6. 支持WEB认证和指纹认证 |
分级管理 | 1. 可为用户管理员分配不同的权限,管理不同的用户信息 2. 支持多达16级的分级管理 3. 支持管理用户权限的自定义,可实现多权分立 | |
日志 | 1. 支持Welf、Syslog等多种日志格式的输出,支持日志分级 2. 支持安全审计系统(TA-L),获得更详尽的日志分析和审计功能 3. 可对日志进行加密传输 | |
监控 | 1. 支持网络接口、CPU利用率、内存使用率、操作系统状况、网络状况、硬件系统、进程、进程内存、加密卡状况的监测 2. 可根据配置文件进行错误恢复 | |
报警 | 1. 内置了“管理”、“系统”、“安全”、“策略”、“通信”、“硬件”、“容错”、“测试”等多种触发报警的事件类 2. 支持邮件、NETBIOS、声音、SNMP、控制台等多种组合报警方式 | |
流量统计 | 1. 支持基于IP对session数的统计,并有阀值报警功能 2. 支持基于接口、地址、端口、连接数的流量统计 3. 支持NETFLOW协议版本5,支持设置过滤条件 | |
带宽管理 | QoS | 1. 根据IP、协议、网络接口、时间定义带宽分配策略 2. 支持最小保证带宽和******限制带宽 3. 支持基于源/目的的带宽独享功能 4. 支持DSCP和COS的设置 5. 支持对p2p的带宽限制 |
优先级 | 1. 支持8级优先级控制 | |
高可用性 | 双机热备 | 1. 支持双机热备(Active-Standby)模式 2. 支持负载均衡(Active-Active)模式 3. 支持连接保护(Session Protect)模式 |
其它功能 | 1. 支持基于IP探测的链路备份功能 2. 支持服务器的负载均衡,提供轮询、加权轮询、最少连接、加权最少连接、源/目的地址HASH等多种负载均衡方式 3. 提供主、备双操作系统,提高设备自身可靠性和网络的可用性 4. 在WEB页面上具有调试功能,可支持PING、Traceroute、CLI界面操作 | |
配置管理 | 配置方式 | 1. 支持WEB图形配置、命令行配置 2. 支持基于SSH、HTTPS的安全配置 3. 支持通过TP进行配置管理 |
命令行 | 1. 支持配置命令分级保护,支持中英文 2. 支持命令超时、历史命令、命令补齐、命令帮助、命令错误提示等功能 | |
WEBUI | 1. 支持配置向导,支持中文联机帮助 2. 支持HTTPS客户端证书认证方式 3. 支持CPU、内存、连接数、接口流量的即时监控图和历史趋势图 4. 支持应用识别、病毒、入侵防御统计数据的图形化显示 | |
SNMP | 1. 支持SNMP 的v1 、v2 、v2c 、v3 版本 2. 支持SNMP MIB扩展 3. 与当前通用的网络管理平台兼容,如HP Openview 等 | |
系统升级 | 1. 支持双系统升级 2. 支持TFTP、Webui、Ftp升级 | |
报文调试 | 1. 提供强大的报文调试功能,可以帮助网络管理员或安全管理员发现、调试和解决问题 2. 支持发送虚拟报文 3. 支持端口镜像功能,能够通过设置过滤条件选择性镜像报文 | |
配置恢复 | 1. 可以进行配置文件的备份、下载、删除、恢复和上载 2. 支持地址、端口、时间、策略、用户等配置信息的独立导入和导出功能 3. |