功能及技術指標
裝置配置及技術要求
採用asic晶元加速架構,產品具備智慧型ip識別技術、zesa零拷貝流分析演算法、快速規則定位演算法以及內容過濾增強技術,標準機架式裝置,4個10/100/1000m電口,可擴充套件2個sfp光電介面,配備深度行為分析介面,並提供介面裝置面板**和功能截圖,併發連
基本要求★
接數大於150萬,每秒新建會話數不低於15,000條,防火牆吞吐量不低於1gbps,支援雙向nat,支援網橋、路由、混合模式,抗dos/ddos攻擊,支援多線路接入,雙機熱備,虛擬路由,細粒度流量控制,ip/mac繫結,身份認證,日誌審計,無限制使用者,包含ha、vpn模組,可擴充套件防病毒**模組、入侵檢測和防禦idp模組、內容過濾cf模組、應用控制等而平滑公升級為utm裝置
支援二層橋接透明、路由、混合(同時存在透明、路由的接入)三
工作模式★
種接入模式。在所有模式下支援nat、vlan、vpn、ospf、ha和虛擬防火牆等功能。裝置透明接入時,使用者和應用應完全透明,所有的使用者和伺服器上現存的應用程式都不需要修改。
裝置可不占用ip位址。支援基於裝置的物理介面、虛擬介面、ip位址、服務埠、協議、
訪問控制時間、使用者作訪問控制,支援基於ip、介面、服務、時間為要素的併發連線數及新建連線數控制。
支援任意網路介面的位址轉換功能,對於任何乙個網路介面,可以進行向外的源位址轉換,向內的目的位址轉換以及向內的源位址轉
nat換和源位址、目標位址同時轉換等多種nat。支援靜態位址對映、動態位址對映、埠轉換以及伺服器負載均衡等功能。支援nat位址池。支援單ip做nat時無64511連線數限制。
**協議★
支援h.264、h.323等**協議以及h.264、h.323等**協議下的位址轉換功能(nat)
支援靜態路由、動態路由(ospf)和策略路由(prb)功能;可以根據源位址、目標位址、服務、時間定義策略路由;同時,可以對資料
路由包向前、返回的方向進行策略路由選擇;支援基於不同的策略定義不同的路由(prb),因此可以根據源位址、服務等定義不同的路由,從而達到不需要其他裝置可以連線多個isp,並且可以做到任何乙個isp線路故障時,流量會自動切換到其它的isp線路,應用在多個出口;支援路由備份功能,這樣可以保證不會因為一條鏈路的中斷而造成業務的中斷。
支援乙個物理系統中提供了多個互不干涉但又可以相互通訊的邏輯路由器。每個邏輯路由器完全獨立於其他邏輯路由器,從功能上完
虛擬路由★
全獨立;每個邏輯路由器還可以執行自己獨特的ospf動態路由協議,並能同其他邏輯路由器或者物理路由器交換ospf路由。每個邏輯路由器完全能夠替代乙個物理路由器,這樣物理上的一台裝置,邏輯上可以作多台使用。
支援dhcp server,dhcp server分配位址時可根據客戶端mac位址
dhcp支援
繫結固定ip位址。支援dhcpclient,支援dhcp中繼(路由模式與橋模式下都應支援)。
支援本地認證、radius認證,nt域認證。當使用認證時,可自動彈
身份認證
出認證視窗,並且在同一臺pc上,輸入不同的使用者名稱和口令可以獲得不同頻寬,訪問不同的目標位址。
支援pptp、l2tp、gre、ipsec的vpn技術。支援ike、支援pki、支援預共享金鑰,支援數字證書,支援自簽名證書。支援aes、des,3des, twofish, blowfish, cfat-128等加密演算法以sha-1,md5認證
vpn演算法。支援ipsec與vpn閘道器、客戶端軟體建立加密隧道,支援明密結合的vpn隧道、支援nat位址轉換的同時建立vpn隧道、支援x.509證書、支援多種加密認證演算法,支援星形連線。
支援使用者使用microsoft自帶的vpn客戶端與裝置之間建立l2tp/pptp vpn隧道。
內容過濾(cf)
支援url過濾、支援關鍵字過濾,可過濾、j**ascripts、j**aapplet、activex。支援url黑名單、白名單。支援對http、smtp、pop3、ftp等協議的內容過濾。
支援按檔案字尾名、檔案大小過濾。支援動態
內容過濾,可智慧型過濾30類**。
郵件過濾病毒過濾(**)入侵檢測和防禦功能(idp)
支援對郵件的收發郵件位址、檔名、檔案型別過濾;支援對郵件主題、正文、收發件人、附件名、附件內容等關鍵字匹配過濾。支援針對smtp、ftp、http等協議提**用閘道器功能,並採用國際領先的防毒引擎對病毒、蠕蟲、釣魚程式等惡意程式的進行過濾採用全面深入的分析檢測技術,結合模式匹配、協議異常檢測、事件關聯等多種技術,能識別執行在非標準埠上的協議,準確檢測入侵行為,能提供支援的網路協議列表,可以識別bittorrent等各種主流p2p應用,對p2p**、p2p****等應用的限流和阻斷。支援從應用層封禁bt、電驢、msn、qq等p2p應用,封禁可基於ip、網段、時間策略靈活配合。
具備流量控制功能,支援流量統計與頻寬管理。可根據ip、時間、協議和埠等對流量進行統計與控制管理。頻寬管理設定精度為
流量控制與頻寬管理★
1kbps或者1pps。支援對每個使用者的每秒併發連線數及新建連線數控制,動態將非法使用者新增到黑名單裡進行阻斷,並可以靈活的設定黑名單有效時間。並且在管道內部可以實現資料報的負載均衡,從而保證重要資料的服務質量。
可對上傳與**設定不同的流量控制策略。
提供對核心、規則、qos、介面、ram、buffer、連線等資料等進行
狀態監測
詳細的統計和圖形報表。可以實時掌握裝置的執行狀態,網路的流量情況,及時發現可能發生的非法攻擊。並且提供對多台產品同時監控,從而保證對全網的裝置進行實時監控。
提供專業的基於圖形介面的集中管理器對裝置進行管理,控制機和裝置的通訊採用高強度加密保證安全,裝置配置、實時日誌、實時
管理★監控、命令列操作、日誌系統整合於管理器中。支援多台裝置集中管理,可以同時管理多達3000臺裝置,支援在文字模式和離線模式中配置裝置,支援配置模板,並可以對所有被管理裝置做策略的編輯、分發,減少使用者配置難度。
日誌★支援對通過某一介面上實時流量的上、下行波形圖監控;支援多種
應用控制
型別的日誌紀錄方式,包括:在裝置中實時顯示、記錄到裝置的日誌伺服器、記錄到syslog日誌伺服器。支援webtrend或eiq日誌分析工具進行日誌分析。
雙機熱備份
支援雙機熱備。裝置故障切換不丟包,鏈路故障切換的時間不超過1秒。不同型號的裝置可以作雙機熱備。
具有《自主創新產品證書》和《計算機軟體著作權證書》的自主創新、自主智財權「雙自主」產品;同時獲得《計算機資訊系統安
產品資質
全專用產品銷售許可證》、《國家資訊保安產品3c認證證書》、《涉密資訊系統產品檢測證書》。
原廠商同時獲得《國家資訊保安認證資訊保安服務資質證書》、《iso
廠商資質
質量管理體系認證證書》。
同時提供原廠400或800**支援服務,原廠本地授權服務機構為
服務保證
重要資訊系統安全等級保護測評機構(需提供「重慶市等保辦」檔案影印件)。
防火牆方案
2 遮蔽主機閘道器 screened host gateway 遮蔽主機閘道器易於實現,安全性好,應用廣泛。它又分為單宿堡壘主機和雙宿堡壘主機兩種型別。先來看單宿堡壘主機型別。乙個包過濾路由器連線外部網路,同時乙個堡壘主機安裝在內部網路上。堡壘主機只有乙個網絡卡,與內部網路連線 如圖2 通常在路由器...
走進防火牆
前些篇中,我們對集線器 交換機和路由器分別作了詳細的介紹。從本篇開始我們要介紹另乙個重要網路裝置 防火牆。現在無論是企業,還是個人,資訊保安問題都日益成為廣泛關注的焦點。不要說絕大多數非專業的企業 就邊專業的著名 如yahoo!ebay等著名 都曾經被黑客用原始的dos攻擊方法攻陷過,軟體系統巨人 ...
防火牆規則功能
實驗名稱 實驗目的 通過防火牆實現網路訪問規則的控制,包括對資料流量的限制 背景描述 你是公司的網路管理員,為了保護公司網路系統及資訊資源的安全,需要在防火牆上設定網路訪問規則。本實驗以配置基於時間的網路訪問控制為例,對其它規則的設定與此類似。實現功能 在允許必要的網路訪問的同時加強網路的安全防護。...