網御高性能防火墻(Power V6000-F3510NE)
需求分析
產品特性
主要功能
產品規格
| 產品概述
網御高性能防火墻具備訪問控制、地址轉換、應用識別管控、攻擊防護、病毒防護功能,可針對目前業務大帶寬、高并發的用戶環境實現針對內網的資源防護、攻擊呈現、安全預警。
通過網御高性能防火墻,即可根據用戶源IP+目標IP+訪問服務+應用識別、協議控制+日志溯源+用戶認證可將針對資源的訪問控制精確控制。得力于網御星云一體化安全引擎,網御星云高性能防火墻可將各功能模塊統一配置,統一處理流程,使其配置使用簡單,數據處理高效。
| 產品特性
訪問控制
可根據用戶的訪問源目的地址,結合訪問接口、服務端口進行訪問控制??芍С值刂忿D換(NAT)和反向地址轉換(DNAT),并可以根據五元組快速查詢以及針對策略名、源/目的區域、源/目的地址、服務、對象、策略命中數等條件進行細粒度策略查詢管理,確認各策略被匹配情況。針對病毒多發環境,可對每個IP進行新建連接數和并發連接數進行限制,避免病毒爆發過程中,一個主機占用全部網絡資源。
協議控制
針對HTTP、FTP、SMTP、POP3協議,可進行細致到命令原語級別的防護。對于HTTP協議,可針對POST、GET進行限制,也可以針對傳輸內容進行內容控制。如果內容匹配到預制敏感詞匯,可以針對該訪問連接進行阻斷。支持工業協議控制,包含modbus、opc等,支持協議的完整性檢查,支持協議分片的控制。支持工業動態協議的NAT和訪問控制。
全球資源定義
支持將各國家和地區定義為地址對象,便于統一管理。默認具備中國大陸地區地址,便于阻止非中國大陸地區訪問。
敏感信息防泄漏
針對眾多的泄密事件,數據防泄密功能應需而生,防火墻作為出口設備,可以成為數據逃逸出網前的最后一道屏障。網御防火墻支持針對數據的敏感識別,當發現進出網絡設備中保護敏感數據(銀行卡、電話號碼等)時,可根據預置條件將數據阻斷并記錄日志。
應用識別
支持對主流P2P下載、視頻應用的管控,至少支持BitTorrent、電騾、迅雷、Gnutella、iMesh、Ares、SoulSeek、POCO、屁屁狗、Vagaa、和PPLive、QQLive、愛奇藝PPS影音、PPMate、沸點、UUSee、SopCast、風行、優酷網、土豆網、酷6網等。
支持URL分類智能學習,可通過對已分類網站自動學習分類關鍵字,實現對未知網頁的識別
防火墻虛擬化
在多租戶環境下,每個用戶都希望自己獨立管理防火墻設備,和其他用戶互不干擾。網御防火墻支持虛擬化防火墻功能,可部署于網絡出口,劃分出多個虛擬防火墻。每個防火墻都可以獨立占用計算資源(CPU、內存、網卡),每個防火墻都可保留獨立的路由、策略、資源配置、日志服務。在其他用戶啟停自己的防火墻時,不影響此防火墻正常使用。
| 主要功能
功能指標 | 功能簡述 |
操作系統 | 具備自主研發的安全操作系統,無通用操作系統漏洞 |
支持雙系統引導,并可在WEB界面上配置啟動順序,除恢復系統之外,還可支持系統一鍵式切換及完整備份 | |
網絡適應性 | 支持路由、透明、旁路、混合工作模式 |
支持靜態路由、動態路由(OSPFv2/v3、RIP/RIPng等)、BGP、VLAN間路由、單臂路由、組播路由等 | |
內置移動、聯通、電信、教育網、網通、長城寬帶等ISP服務商地址列表,可輕松完成基于ISP的策略路由 | |
支持多出口環境下的復雜策略路由,策略路由條數200條以上 | |
支持對SD-WAN隧道的時延、抖動、丟包率等提供可視化展示 | |
服務器負載均衡支持輪詢、加權值、最小連接、源/目的地址Hash等10種算法 | |
訪問控制 | 基于狀態檢測的動態包過濾 |
支持僅通過一條策略即可對同一主機源會話、目的會話的分別管理和限制,支持設定網段內共享的或者任一地址的并發連接限制 | |
支持對域名的IP解析,并可作為地址資源被安全規則引用,實現對域名地址的訪問控制 | |
支持應用層訪問控制,包括P2P軟件、IM軟件、炒股軟件、網游軟件等 | |
基于主機的帶寬管理,支持僅通過一條策略即可實現對指定的IP地址組里每IP用戶進行上下行限速,也可以只對單個IP進行上下行限速 | |
入侵防御 | 支持基于策略的入侵檢測與防護,可針對不同的源目IP地址、源MAC地址、服務、時間、安全域、用戶等,采用不同的入侵防護策略 |
內置IPS特征庫,IPS特征規則數量超過8000條 | |
入侵防御特征庫包括信息竊取、木馬后門、間諜軟件、可疑行為、網絡設備攻擊、安全漏洞及網絡數據庫攻擊等的特征事件 | |
防病毒 | 支持基于策略的病毒掃描與防護,可針對不同的源目IP地址、源MAC地址、服務、時間、安全域、用戶等,采用不同的病毒防護策略 |
支持HTTP,SMTP,FTP,POP3,IMAP,FTP,WEBMAIL多種應用協議下的病毒防護,支持自定義非標準端口下應用協議的病毒防護,支持應用協議自識別,防止更改協議端口從而繞過病毒查殺的事件發生 | |
病毒庫超過600萬種病毒特征 | |
抗拒絕服務攻擊 | 支持對ICMP、TCP、UDP等協議進行攻擊防護 |
采用專業高效攻擊防護算法,支持預定義和自定義策略模板 | |
支持對攻擊結果選擇性進行處理,應包括日志告警、是否丟棄攻擊報文等行為 | |
支持攻擊流量統計、攻擊事件統計、攻擊流量排行、攻擊事件排行 | |
上網行為管理 | 支持依據協議、源目的端口、二進制特征碼等條件自定義應用 |
支持基于DPI和DFI技術的應用特征識別及行為控制,應用識別的種類2000+ | |
支持WEB過濾,內置超過50類URL分類組,支持自定義URL過濾 | |
支持鏈路和四層通道嵌套的流量控制功能,可基于上下行區域、地址、地理對象、用戶/用戶組、服務/服務組、應用/應用組和時間等配置帶寬策略,支持帶寬策略優先級 | |
Web安全 | 具備Web服務攻擊防護的特征庫,支持對SQL注入、XSS跨站腳本等攻擊進行防護 |
支持對Web惡意掃描行為的防護能力,包含對弱口令、版本探測、漏洞掃描三種行為的防護能力 | |
支持Webshell惡意上傳行為并進行攔截 | |
支持WEB服務器錯誤信息替換,防止服務器信息泄露,提供功能設置、替換信息Web頁面及生效日志 | |
支持對不同站點定制web應用防護策略,支持http請求回應的頭、體檢查,站點數量不限制 | |
IPSec VPN | 支持標準IPSec、GRE、PPTP、L2TP協議,IPSec VPN要求支持隧道熱備份技術 |
支持多種認證方式如:預共享密鑰、數字證書,基于動態令牌(Token)的雙因子認證 | |
支持可視化VPN配置,支持VPN狀態監控,包括資源狀態、在線用戶等 | |
IPSec VPN客戶端支持Microsoft Windows 2000/XP、Vista、Win7等操作系統 | |
漏洞掃描 | 支持后門、服務探測、文件共享、系統補丁、IE漏洞等主動式掃描 |
支持對HTTP、telnet、FTP、SMTP、POP3等各種協議進行弱口令檢查,并上報安全事件 | |
主動防御 | 支持掛馬網站過濾,支持通過對訪問目標URL過濾的方式,阻止對含木馬/病毒網站、釣魚網站、僵尸網絡的訪問 |
支持惡意地址主動屏蔽,以用于提前免疫包括病毒網站或者攻擊源地址的攻擊 | |
支持設置基于IP過濾條件,實現對特定報文進行快速過濾,支持超過100萬條黑名單數量 | |
協同聯動 | 支持與IDS/IPS、內網終端管理、漏掃等產品聯動 |
虛擬化 | 基于硬件Hypervisor技術的底層虛擬化,各個虛擬防火墻之間完全隔離 |
支持資源自定義,可以配置獨立的CPU、內存、網絡資源 | |
支持不同虛擬防火墻運行不同版本及配置 | |
每個虛擬防火墻均具備完整的安全功能,包括訪問控制、IPS、AV、AC、VPN、WAF、抗D等 | |
支持多臺虛擬防火墻資源使用不蔓延,單臺防火墻資源使用過量不會影響其他虛擬防火墻 | |
IPv6/IPv4雙協議棧 | 支持IPv6地址、地址組配置 |
支持基于IPv6的全部安全策略設置,包括訪問控制、IPS、AV、AC、VPN、WAF、抗D等一系列安全防護功能。 | |
支持IPv6靜態路由 | |
支持IPv6/IPv4翻譯策略技術,包括支持靜態NAT-PT、動態NAT-PT、NAPT-PT技術 | |
支持雙棧、6to4隧道實現IPv6網絡與IPv4網絡訪問 | |
會話管理 | 支持完善的會話管理功能,可以記錄詳細的訪問控制策略日志,每條匹配策略的會話均會記錄其建立會話和結束會話的日志 |
支持基于IP、協議、連接數的方式統計會話,統計結果可導出 | |
支持會話臨時阻斷功能 | |
支持IPV6會話管理功能,可進行各協議連接數統計,按源目IP進行連接排行 | |
所有日志均可本地記錄或發送至Syslog服務器 | |
管理配置 | 支持友好WEBUI/SSH/Telnet管理,支持數字證書和電子鑰匙方式,支持SNMP管理,與當前通用的網絡管理平臺兼容 |
可提供專用的軟件實現對防火墻接入用戶認證的集中管理,可同時管理1000臺防火墻 | |
支持設備快速部署向導,在五步之內完成路由模式、橋模式和混合模式設置 | |
支持外置USB設備進行補丁包(功能、特征補丁包)批處理升級 | |
支持外置USB設備進行系統軟件版本一鍵升級 | |
支持界面單擊選擇系統語言(中文、英文) | |
支持通過USB導出關鍵信息時可選擇信息列表,日志可按照模塊存儲在USB設備中,并可設定定時自動導出 | |
支持用戶可配置的WEBUI接口,提供多套皮膚設置 | |
高可用性 | 支持鏈路備份、鏈路聚合功能,可以在用戶的多條網絡出口之間進行自動的切換; |
既支持基于VRRP技術的熱備和負載均衡,也支持私有的雙機熱備協議,在NAT、路由、透明模式下支持A-A,A-S模式,且切換時間小于1秒 |
| 產品規格
標配網絡接口 | 10個千兆電口,6個千兆光口,2個擴展槽位 |
可擴展網口模塊 | 4電擴展卡、4電(2對Bypass)擴展卡、4光擴展卡、4光(2對bypass)擴展卡、8電擴展卡、8電(4對Bypass)擴展卡、8光擴展卡、4電4光擴展卡、4電(2對bypass)4光擴展卡、2萬兆擴展卡、2萬兆(1對Bypass)擴展卡、4萬兆擴展卡、4萬兆(2對Bypass)擴展卡、2個40G接口擴展卡 |
機箱規格 | 2U |
Console口(RJ45) | 1個 |
USB | 2個 |
硬盤 | 默認配置一塊64G SSD硬盤 |
最大整機吞吐量 | 20Gbps |
IPSEC吞吐量 | 10Gbps |
IPSEC/SSL VPN | 默認開通,用戶數無限制 |
每秒新建連接數 | 20W |
最大并發連接數 | 800W |
MTBF | 8萬小時 |
尺寸(長*寬*高) | 500mm*435mm*89mm |
功耗 | 120W |
電源規格 | 冗余電源、AC 100-240V@50-60Hz |
工作溫度 | “-5~45℃” |
重量 | 10KG |