网络卫士防火墙NGFWUF系列产品说明Word文档下载推荐.docx
- 文档编号:8644730
- 上传时间:2023-05-12
- 格式:DOCX
- 页数:22
- 大小:146.98KB
网络卫士防火墙NGFWUF系列产品说明Word文档下载推荐.docx
《网络卫士防火墙NGFWUF系列产品说明Word文档下载推荐.docx》由会员分享,可在线阅读,更多相关《网络卫士防火墙NGFWUF系列产品说明Word文档下载推荐.docx(22页珍藏版)》请在冰点文库上搜索。
3)集成多种安全引擎:
FIREWALL+IPSEC+SSL+ANTIVIRUS+IPS
基于专有硬件平台的NGFW4000-UF产品采用TOS操作系统,集成了丰富的安全引擎,包括:
防火墙引擎,IPSECVPN引擎,SSLVPN引擎,防病毒引擎,IPS引擎等。
这些引擎的紧密集成使得NGFW4000-UF成为了可以防范多种威胁、功能丰富的防火墙产品。
4)完全内容检测CCI技术
网络卫士防火墙采用最新的CCI技术,提供对OSI网络模型所有层次上的网络威胁的实时保护。
网络卫士系列防火墙可对还原出来的应用层对象(如文件、网页、邮件等)进行病毒查杀,并可检查是否存在不良WEB内容、垃圾邮件、间谍软件和网络钓鱼欺骗等其他威胁,实现彻底防范。
3产品特点介绍
●集成多种安全功能
NGFW4000-UF由于集成了多种安全引擎,使其具备了防火墙、IPSECVPN、SSLVPN、防病毒、IPS等安全功能,成为了国内安全功能最丰富的防火墙产品。
●虚拟防火墙
虚拟防火墙,是指在一台物理防火墙上可以存在多套虚拟系统,每套虚拟系统在逻辑上都相互独立,具有独立的用户与访问控制系统。
不同的企业或不同的部门可以共用1台防火墙,但使用不同的虚拟系统。
对于用户来说,就像是使用独立的防火墙。
大大节省了成本。
●强大的应用控制
网络卫士防火墙提供了强大的网络应用控制功能。
用户可以轻松的针对一些典型网络应用,如MSN,QQ、Skype、新浪UC、阿里旺旺、GoogleTalk等即时通信应用,以及BT、Edonkey、Emule、讯雷等p2p应用实行灵活的访问控制策略,如禁止、限时、乃至流量控制。
网络卫士防火墙还提供了定制功能,可以对用户所关心的网络应用进行全面控制。
●CleanVPN服务
企业对VPN应用越来越普及,但是当企业员工或合作伙伴通过各种VPN远程访问企业网络时,病毒、蠕虫、木马、恶意代码等有害数据有可能通过VPN隧道从远程PC或网络传递进来,这种威胁的传播方式极具隐蔽性,很难防范。
网络卫士防火墙同时具备防火墙、VPN、防病毒和内容过滤等功能,并且各功能相互融合,能够对VPN数据进行检查,拦截病毒、蠕虫、木马、恶意代码等有害数据,彻底保证了VPN通信的安全,为用户提供放心的CleanVPN服务。
●广泛的网络适应性
支持基于源地址、目的地址、接口、Metric的策略路由,支持单臂路由,支持Trunk(和ISL),能够在不同的VLAN虚接口间实现路由功能,支持IGMP组播协议和IGMPSNOOPING,支持对非IP协议IPX/NetBEUI的传输与控制。
●先进的设计思想
采用面向资源的设计方法。
把安全控制所涉及的各种实体抽象为对象,包括区域、地址、地址组、服务、服务组、时间表、服务器、均衡组、关键字、文件、特殊端口等。
不同对象的实体组成资源,用于描述各种安全策略,实现全方位的安全控制。
极大地提高了网络安全性,并保证了配置的方便性。
●超强的防御功能
高级的IntelligentGuard技术提供了强大的入侵防护功能,能抵御常见的各种攻击,包括SynFlood、Smurf、Targa3、SynAttack、ICMPflood、Pingofdeath、PingSweep、Landattack、Teardropattack、IPaddresssweepoption、FilterIPsourcerouteoption、Synfragments、NoflagsinTCP、ICMP碎片、大包ICMP攻击、不明协议攻击、IP欺骗、IPsecurityoptions、IPsourceroute、IPrecordroute、IPbadoptions、IP碎片、端口扫描等几十种攻击,网络卫士系列防火墙不但有内置的攻击检测能力,还可以和IDS产品实现联动。
这不但提高了安全性,而且保证了高性能。
●强大的应用代理模块
具有透明应用代理功能,支持FTP、HTTP、TELNET、PING、SSH、FTP—DATA、SMTP、WINS、TACACS、DNS、TFTP、POP3、RTELNET、SQLSERV、NNTP、IMAP、SNMP、NETBIOS、DNS、IPSEC—ISAKMP、RLOGIN、DHCP、RTSP、MS-SQL-(S、M、R)、RADIUS-1645、PPTP、SQLNET—1521、SQLNET—1525、、MSN、CVSSERVER、MS-THEATER、MYSQL、QQ、SECURID(TCP、UDP)PCANYWHERE、IGMP、GRE、PPPOE、IPV6等协议,可以实现文件级过滤。
●丰富的AAA功能,支持会话认证
网络卫士系列防火墙支持对网络用户提供丰富的安全身份认证,如一次性口令(OTP)、S/KEY、RADIUS、TACACS、LDAP、securid、域认证及数字证书等常用的安全认证方法,也可以使用专用的认证客户端软件进行认证。
基于用户的安全策略更灵活、更广泛地实现了用户鉴别和用户授权的控制,并提供了丰富的安全日志来记录用户的安全事件。
网络卫士系列防火墙支持会话认证功能,即当开始一个新会话时,需要先通过认证才能建立会话。
这个功能可大大提高应用访问的安全性,实现更细粒度的访问控制。
●强大的地址转换能力
网络卫士系列防火墙拥有强大的地址转换能力。
网络卫士系列防火墙同时支持正向、反向地址转换,能为用户提供完整的地址转换解决方案。
正向地址转换用于使用私有IP地址的内部网用户通过防火墙访问公众网中的地址时对源地址进行转换。
网络卫士系列防火墙支持依据源或目的地址指定转换地址的静态NAT方式和从地址缓冲池中随机选取转换地址的动态NAT方式,可以满足绝大多数网络环境的需求。
对公众网来说,访问全部是来自于防火墙转换后的地址,并不认为是来自内部网的某个地址,这样能够有效的隐藏内部网络的拓扑结构等信息。
同时内部网用户共享使用这些转换地址,自身使用私有IP地址就可以正常访问公众网,有效的解决了公有IP地址不足的问题。
内部网用户对公众网提供访问服务(如Web、FTP服务等)的服务器如果是私有IP地址,或者想隐藏服务器的真实IP地址,都可以使用网络卫士系列防火墙的反向地址转换来对目的地址进行转换。
公众网访问防火墙的反向转换地址,由内部网使用保留IP地址的服务器提供服务,同样既可以解决公有IP地址不足的问题,又能有效地隐藏内部服务器信息,对服务器进行保护。
网络卫士系列防火墙提供端口映射和IP映射两种反向地址转换方式,端口映射安全性更高、更节省公有IP地址,IP映射则更为灵活方便。
●卓越的网络及应用环境适应能力
支持众多网络通信协议和应用协议,如VLAN、ADSL、PPP、ISL、、SpanningTree、IPSEC、、MMS、RTSP、ORACLESQL*NET、PPPoE、MSRPC等协议,适用网络的范围更加广泛,保证了用户的网络应用。
同时,方便用户实施对VOIP、视频会议、VOD点播及数据库等应用的使用和控制。
●智能的负载均衡和高可用性
Ø
服务器负载均衡
网络卫士系列防火墙可以支持一个服务器阵列,这个阵列经过防火墙对外表现为单台的机器,防火墙将外部来的访问在这些服务器之间进行均衡。
负载均衡方式如下:
1.轮流(顺序选择地址)
2.根据权重轮流
3.最少连接(将连接分配到当前连接最少的服务器)
4.加权最少连接(最少连接和权重相结合)
高可用性
为了保证网络的高可用性与高可靠性,网络卫士系列防火墙提供了双机备份功能,即在同一个网络节点使用两个配置相同的防火墙。
网络卫士系列防火墙支持两种模式的双机热备功能。
一种为AS模式,即在正常情况下一个处于工作状态,为主防火墙,另一个处于备份状态,为从防火墙。
当主防火墙发生意外宕机、网络故障、硬件故障等情况时,主从防火墙自动切换工作状态,从防火墙自动代替主防火墙正常工作,从而保证了网络的正常使用。
另一种模式为AA模式,即两台防火墙的网络接口分组互为备份。
在每一个组中,都有一个主接口,一个从接口。
而不同组中的主接口可以工作在两台防火墙中的任意一台。
这样,两台防火墙都处于工作状态,不仅互为备份,而且可以分担网络流量。
网络卫士系列防火墙的双机热备功能使用自主专利的智能状态传送协议(ISTP),ISTP能高效进行系统之间的状态同步,实现了TCP协议握手级别的状态同步和热备。
当主防火墙发生故障时,这台防火墙上的正在建立或已经建立的连接不需要重新建立就可以透明地迁移到另一台防火墙上,网络使用者不会觉察到网络链路切换的发生。
流量均衡
网络卫士系列防火墙支持完整生成树(Spanning-Tree)协议,可以在交换网络环境中支持PVST和CST等工作模式,在接入交换网络环境时可以通过生成树协议的计算,使不同的VLAN使用不同的物理链路,将流量由不同的物理链路进行分担,从而进行流量均衡,该功能和ISTP协议结合使用还可以在使用高可用性的同时实现流量均衡。
●系统升级与容错
网络卫士系列防火墙可以通过命令行及图形方式进行系统升级,同时网络卫士系列防火墙采用双系统设计,在主系统发生故障时,用户可以在启动时选择BACKUP方式,用备份系统引导系统。
4产品功能
类别
功能
详细描述
工作模式
网络接入
✧透明,路由,混合。
虚拟系统
✧支持路由(包括NAT)和透明模式下的虚拟系统。
✧每个虚拟系统都提供独立的策略管理(包括NAT、包过滤、以及访问控制策略)。
网络安全性
内容过滤
✧采用完全内容检测(CompleteContentInspection)技术。
✧支持基于流、数据包、透明代理的过滤方式。
✧支持对HTTP、SMTP、POP3、IMAP、FTP等协议的深度内容过滤。
✧支持URL过滤。
✧支持对移动代码如Javaapplet、Active-X、VBScript、Javascript的过滤。
✧支持对邮件的收发邮件地址、文件名、文件类型过滤。
✧支持对邮件主题、正文、收发件人、附件名、附件内容等关键字匹配过滤。
✧支持GB2312、UTF-8等多种编码方式。
✧支持MSN,QQ、新郎UC、阿里旺旺、googletalk等InstantMessenger通信,并可以对于这些应用进行登陆限制。
支持根据登陆等帐号进行登陆限制。
✧支持对MSN,QQ等IM应用通信的连接统计。
支持对指定IP地址的IM应用通信的连接统计。
✧可限制BT,eMule,eDonkey、讯雷等多种P2P应用;
统计P2P流量和连接数,控制P2P流量的带宽。
✧支持对指定IP地址的P2P流量和连接数的统计和控制。
✧可屏蔽受保护主机/服务器系统信息,如替换服务器(FTP、SMTP、POP3、telnet,HTTP)的BANNER信息。
✧telnet过滤。
✧DNS过滤。
✧HTTP重定向。
✧伪装HTTP的协议识别和阻断。
防病毒
✧支持HTTP,FTP,POP3,SMTP,IMAP、FTP协议的病毒查杀。
✧查杀邮件正文/附件、网页及下载文件中包含的病毒。
✧支持40万余种病毒的查杀,病毒库定期与及时更新。
✧支持木马病毒、蠕虫病毒、宏病毒、脚本病毒的查杀。
✧支持对可疑软件和色情软件的查杀。
✧支持启发式扫描查杀未知病毒。
✧支持ZIP/ARJ/CAB/RAR/GZIP/BZIP2等压缩文件的病毒查杀。
✧支持TAR等多种打包文件的病毒查杀。
✧提供快速扫描及完全扫描两种扫描方式。
✧支持对来源于同一IP单位时间内发起的连接数进行统计,超过阈值的进行阻断。
✧发现病毒后,可自动生成访问控制策略。
✧病毒库在线自动升级。
✧病毒库离线升级。
包过滤
✧基于状态检测的动态包过滤。
✧基于源/目的IP地址、MAC地址、端口和协议、时间、用户的访问控制。
✧支持基于用户的PPTP的访问控制。
✧支持报文合法性检查。
✧动态端口支持协议:
、SIP、FTP、RTSP、SQL*NET、MMS、RPC、TFTP、PPTP、RSH等。
✧可实现静态或自动的IP/MAC绑定。
防御攻击
✧非法报文攻击:
land、Smurf、Pingofdeath、winnuke、tcp_sscan、ip_option、teardrop、targa3、ipspoof。
✧统计型报文攻击:
Synflood、Icmpflood、Udpflood、Portscan、ipsweep。
✧Topsec联动:
可与支持TOPSEC协议的IDS设备联动,以提高入侵检测效率。
✧端口阻断:
可以根据数据包的来源和数据包的特征进行阻断设置。
✧SYN代理:
对来自定义区域的SynFlood攻击行为进行阻断过滤。
✧CC攻击:
可通过设置端口和阀值阻断CC攻击。
✧可记录攻击日志和报警。
✧预防ARP欺骗。
✧反向地址检查。
✧根据协议或地址,限制连接数目;
根据连接数目进行源地址排名。
可信安全接入
✧终端安全搜集。
✧接入方式包括TD、OTP、、VRC和浏览器。
✧根据预定义的策略,决定用户可访问的网络资源。
AAA服务
✧支持使用一次性口令认证(OTP)、本地认证、双因子认证(SecurID)以及数字证书(CA)等常用的安全认证方式。
✧支持RADIUS、TACACS/TACACS+、LDAP、域认证等安全认证方式。
✧支持Session认证、HTTP会话认证。
✧支持认证保活功能。
✧可将认证用户信息加密存放在本地数据库。
NAT
✧支持双向NAT。
✧支持动态地址转换和静态地址转换。
✧支持多对一、一对多和一对一等多种方式的地址转换。
✧支持虚拟服务器功能。
✧支持协议包括、SIP、FTP、RTSP、SQL*NET、MMS、RPC、TFTP、PPTP、RSH等
网络适应性
路由
✧支持静态路由、动态路由。
✧支持基于源/目的地址、接口、Metric的策略路由。
✧支持单臂路由,可通过单臂模式接入网络,并提供路由转发功能。
✧支持Vlan路由,能够在不同的VLAN虚接口间实现路由功能。
✧支持RIP、OSPF等路由协议。
✧支持BGP协议。
组播
✧支持IGMP组播协议。
✧可有效地实现视频会议等多媒体应用。
VLAN
✧可与交换机的Trunk接口对接,并且能够实现Vlan间通过安全设备传播路由。
✧支持,能进行封装和解封。
✧支持ISL,能进行ISL的封装和解封。
✧在同一个Vlan内能进行二层交换。
生成树
✧支持生成树协议。
ARP
✧支持ARP代理、ARP学习。
✧可设置静态ARP。
非IP协议
✧支持对非IP协议IPX/NetBEUI、MPLS的传输与控制。
DHCP
✧支持DHCPClient、DHCPRelay、DHCPServer。
接入
✧支持ADSL等宽带接入。
✧支持PPPOE拨号接入。
其它
✧支持网络时钟协议NTP,可以自动根据NTP服务器的时钟调整本机时间。
✧支持链路聚合。
✧支持QinQ。
✧支持Netflow。
SSLVPN
安全算法
✧支持AES、DES、3DES、RC4、MD5、SHA1、RSA等多种算法选择
协议类型
✧支持SSLTLS
数据压缩
✧支持高效流压缩算法
用户认证
✧支持“用户名+口令”、“用户名+口令+图形认证码”认证
✧支持数字证书认证
✧支持数字证书+UKEY+口令多因子认证
✧支持公共帐户登陆,支持临时禁止帐户登录
✧支持本地数据库认证
✧支持基于LDAP/RADIUS/TACAS等协议的外部服务器认证
用户授权
✧支持分组授权、支持独立用户授权和授权继承
✧支持基于URL、访问路径、访问文件、访问动作的细粒度授权
✧支持基于时间的访问授权方式
✧支持本地授权、支持外部组映射授权、支持证书用户授权
应用支持
✧支持HTML、JAP、ASP、JAVAAPPLET、ACTIVE、Cookies等各种Web应用
✧支持基于IP协议的各种C/S应用,如EMAIL,FTP,ERP,CRM,DB等
✧支持Windows/CIFS远程文件共享
端点安全
✧支持接入客户端痕迹清除,能够清楚cookie、缓存、历史记录等各种访问痕迹
✧支持拔KEY隧道自动中断
✧支持用户超时自动退出,超时时间可以设置
IPSECVPN
协议
✧支持ESP/AH/IKE/NATT等标准IPSEC协议,支持隧道模式、传输模式
算法
✧支持DES/3DES/AES等标准加密算法,支持MD5/SHA1等标准HASH算法
✧支持DHGROUP1/2/5,RSA1024/2048非对称算法
✧支持国家商密专用的SSP02/SSF33/SCB2算法
硬件加速
✧支持高速算法加速卡
✧支持高效数据流压缩算法
隧道认证
✧支持预共享密钥、数字证书认证,支持扩展认证
✧支持网状、树型、星型等多种VPN网络拓扑
✧支持隧道的NAT穿越、双向NAT隧道建立
✧支持全动态IP地址间的VPN组网
✧支持隧道转发
✧支持多机多隧道的负载均衡和冗余备份方案
✧支持隧道内的访问控制
安全
L2TP
✧支持远程用户通过L2TP接入,建立L2TP隧道访问内部网络
PPTP
✧支持远程用户通过PPTP接入,建立PPTP隧道访问内部网络
PKI
证书格式
✧支持V3数字证书,支持DER/PEM/PKCS12多种证书编码
本地CA
✧支持内置CA,为其他设备或移动用户签发证书
✧支持本地CA根证书、根私钥的更新
✧支持证书废弃,支持生成标准CRL列表
第三方CA
✧支持同时导入多个第三方CA的根证书和CRL列表,对不同CA证书用户进行身份认证,支持通告HTTP协议定时下载CRL列表
✧支持通过OCSP/LDAP等协议在线认证证书
安全管理
✧支持使用一次性口令认证(OTP)、本地认证、Web认证以及数字证书(CA)等常用的安全认证方式。
✧支持使用第三方认证,如RADIUS、TACACS/TACACS+、LDAP、域认证等安全认证方式。
日志
✧支持Welf、Syslog等多种日志格式的输出。
✧支持通过第三方软件来查看日志。
✧支持日志分级。
✧支持对接收到的日志进行缓冲存储。
✧支持安全审计系统(TA-L),获得更详尽的日志分析和审计功能。
✧TA-L除接受防火墙日志外还能接受交换机、路由器、操作系统、应用系统和其他安全产品的日志进行联合分析。
✧可对日志进行加密传输。
监控
✧支持网络接口、CPU利用率、内存使用率、操作系统状况、网络状况、硬件系统、进程、进程内存、加密卡状况的监测。
✧可根据配置文件进行错误恢复。
报警
✧内置了“管理”、“系统”、“安全”、“策略”、“通信”、“硬件”、“容错”、“测试”等多种触发报警的事件类。
✧支持邮件、NETBIOS、声音、SNMP、控制台等多种组合报警方式。
带宽管理
QoS
流量整形
✧QOS带宽管理。
✧根据IP、协议、网络接口、时间定义带宽分配策略。
✧支持最小保证带宽和最大限制带宽。
✧支持分层的带宽管理。
优先级
✧支持8级优先级控制。
高可用性
双机热备
✧支持双机热备(Active-Active,与Active-Standby两种模式)。
✧支持系统故障切换,包括主设备抢状态开关功能,控制主设备是否在设备恢复正常情况时抢回主设备状态。
✧支持VPN网关的双机热备功能。
✧支持集群工作模式。
✧设备切换不影响FTP、SQLNET、VoIPH323、SIP协议应用。
✧实时的配置同步或非实时的配置同步。
负载均衡
✧支持轮询、加权轮叫、最少连接、加权最少链接等多种服务器负载均衡方式。
✧支持生成树协议,实现链路负载均衡。
其它功能
✧支持链路备份功能。
✧支持双系统引导。
✧支持Watchdog功能。
配置管理
配置方式
✧支持WEB图形配置、命令行配置。
✧支持本地配置、远程配置。
✧支持基于SSH、SSL的安全配置。
命令行
✧支持配置命令分级保护。
✧支持中英文。
✧支持命令超时、历史命令、命令补齐、命令帮助、命令错误提示等功能。
SNMP
✧支持SNMP
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 网络 卫士 防火墙 NGFWUF 系列产品 说明