网御防火墙系统V3.0(万兆)Power V6000-F8361-YJ基于自主设计的VSP通用安全平台,采用业界最先进的USE统一安全引擎、MRP多重冗余、内容增量检测(CID)等多项技术,使防火墙具备高性能、高安全性、高可管理性、高易用性、高适应性、高可扩展性等特点。网御防火墙已在公安、政府、军队、能源、交通、电信、金融、制造、教育等各行业中得到广泛应用。
规格参数
|
硬件配置 |
标准19”机架设备;标配11个10/100/1000BASE-T,2个万兆多模光口(含2个多模模块),6个千兆电口,单电源、1RJ45管理口、2个USB口 |
|
网络处理能力 |
整机吞吐量为40Gbps,最大并发连接数为400万(HTTP) |
产品优势
智能的VSP通用安全平台
网御星云防火墙采用创新的VSP(Versatile Security Platform)通用安全平台,将实时操作系统、网络处理、安全应用等技术完美地结合在一起,使防火墙产品具备了高智能、高性能、高安全性、高健壮性、高扩展性等特点。
高效的USE统一安全引擎
网御星云防火墙采用自主创新设计的USE(Uniform Security Engine)统一安全引擎。它将状态检测、协议检测、深度过滤、应用过滤、用户认证等多个子系统进行综合集成,去除了冗余操作,简化了数据处理流程,提高了防火墙的系统处理性能,实现了功能上的可扩展性。同时也实现了多种安全功能独立安全策略的统一配置,可以方便用户构建可管理的等级化安全体系,从而实现面向业务的安全保障。
高可靠的MRP多重冗余协议
网御星云防火墙通过在物理层、链路层、网络层以及主机层面提供多元化冗余方案,保障用户网络和应用的高可靠性。包括基于多出口负载均衡的链路备份、基于802.3ad标准的端口聚合、基于状态自动探测的双机热备、基于状态增量同步的多机集群。
产品功能
|
功能项 |
功能描述 |
|
访问控制 |
基于状态检测的动态包过滤 |
|
支持基于八元组的访问控制规则 |
|
|
支持仅通过一条策略即可对同一主机源会话、目的会话的分别管理和限制,支持设定网段内共享的或者任一地址的并发连接限制 |
|
|
支持智能生成临时规则封锁攻击源IP,临时封锁时间可自定义 |
|
|
支持对域名的IP解析,并可作为地址资源被安全规则引用,实现对域名地址的访问控制 |
|
|
支持状态检测包过滤,能够基于IP地址、端口、协议、时间、安全域、用户等属性进行规则设定 |
|
|
支持应用层访问控制,包括P2P软件、IM软件、炒股软件、网游软件等 |
|
|
基于主机的带宽管理,支持仅通过一条策略即可实现对指定的IP地址组里每IP用户进行上下行限速,也可以只对单个IP进行上下行限速 |
|
|
流量控制 |
支持将多条外网线路虚拟映射到设备上,实现对多线路的分别流控 |
|
支持基于应用类型划分与带宽分配 |
|
|
支持基于网站类型的划分与带宽分配 |
|
|
协议支持 |
支持http、https、ftp、smtp等主流网络服务协议外 |
|
支持H.323、FTP、IRC、RTSP、TFTP、TNS等多种动态协议 |
|
|
网络适应性 |
支持透明、路由、混合三种工作模式 |
|
支持路由,网桥,单臂,旁路,虚拟网线以及混合部署方式。支持链路聚合,上下行接口联动,802.1Q VLAN Trunk、access接口,子接口。支持静态路由,动态路由支持RIP,OSPF,支持基于5元组和应用类型的策略路由 |
|
|
对Vlan的数据访问进行控制;支持路由器、交换机的TRUNK功能(802.1Q协议、Cisco ISL协议) |
|
|
支持静态路由、PBR与多播路由 |
|
|
支持RIPv1/2、OSPF、BGP、ISIS等多种动态路由协议 |
|
|
内置ISP地址列表,可轻松完成基于ISP的策略路由 |
|
|
支持多出口环境下的复杂策略路由,策略路由条数200条以上 |
|
|
服务器负载均衡支持轮询、加权值、最小连接、源/目的地址Hash等10种算法 |
|
|
网络地址转换 |
支持双向NAT地址转换和MAC地址绑定,可采用手动建立或自动探测的方式生成IP/MAC对 |
|
IPv6/IPv4双协议栈 |
支持IPv6地址、地址组配置 |
|
支持IPv6安全控制策略设置,能针对IPV6的目的/源地址、目的/源服务端口、服务、扩展头属性等条件进行安全访问规则的设置 |
|
|
支持IPv6静态路由 |
|
|
支持IPv6/IPv4翻译策略技术,包括支持静态NAT-PT、动态NAT-PT、NAPT-PT技术 |
|
|
支持双栈、6to4隧道实现IPv6网络与IPv4网络访问 |
|
|
会话管理 |
支持完善的会话管理功能,可按照源地址、目的地址、端口号或协议类型实时显示当前会话,提供实时查看会话界面,可按照转换前和转换后的IP对应显示 |
|
支持基于IP、协议、连接数的方式统计会话,统计结果可导出 |
|
|
支持会话临时阻断功能 |
|
|
支持IPV6会话管理功能,可进行各协议连接数统计,按源目IP进行连接排行 |
|
|
应用识别 |
应用识别支持的应用类型超过1000种 |
|
应用识别规则总数超过2000条;支持ddos攻击防护 |
|
|
IPSec VPN |
支持标准IPSec、GRE、PPTP、L2TP协议,IPSec VPN要求支持隧道热备份技术 |
|
支持多种认证方式如:预共享密钥、数字证书,基于动态令牌(Token)的双因子认证 |
|
|
支持可视化VPN配置,支持VPN状态监控,包括资源状态、在线用户等 |
|
|
IPSec VPN客户端支持Microsoft Windows 2000/XP、Vista、Win7等操作系统 |
|
|
抗攻击能力 |
可识别和防御syn flood、Ping flood、udp flood、teardrop、sweep、land-base、ping of death、smurf、winnuke、圣诞树、碎片等多种攻击 |
|
支持IP/MAC地址绑定的方式防止ARP欺骗,可采用手动建立或自动探测的方式生成IP/MAC对 |
|
|
支持基于接口、应用层协议等流量异常检测功能,能够根据流量阀值、连接数阀值、协议比例异常阀值等条件触发报警规则 |
|
|
支持防护ARP攻击,通过发送频率有效定位ARP攻击源,支持防护CC各种攻击方式 |
|
|
用户认证 |
支持用户口令复杂度设置、口令长度设置、密码过期时间等设置,同时支持RADIUS、LDAP等第三方外部认证设置,通过密码或硬件方式保证用户的合法性 |
|
管理配置 |
支持友好WEBUI/SSH/Telnet管理,支持数字证书和电子钥匙方式,支持SNMP管理,与当前通用的网络管理平台兼容 |
|
可提供专用的软件实现对防火墙接入用户认证的集中管理,可同时管理1000台防火墙 |
|
|
支持设备快速部署向导,在五步之内完成路由模式、桥模式和混合模式设置 |
|
|
支持外置USB设备进行补丁包(功能、特征补丁包)批处理升级 |
|
|
支持本地配置文件下载、备份、恢复和上传,可导出配置文件并进行存档,管理终端与防火墙之间的信息交互经过加密处理 |
|
|
支持外置USB设备进行系统软件版本一键升级 |
|
|
支持界面单击选择系统语言(中文、英文) |
|
|
支持通过USB导出关键信息时可选择信息列表,日志可按照模块存储在USB设备中,并可设定定时自动导出 |
|
|
支持用户可配置的WEBUI接口,提供多套皮肤设置 |
|
|
接口 |
支持与入侵检测等其他网络安全产品联动,提供应用接口 |
|
安全可视化 |
支持对经过设备的流量进行分析,列出每个服务器发现的漏洞类型以及数量,支持生成和导出威胁报告,报告内容包含对整体发现的漏洞情况进行分析 |
|
安全报表 |
提供安全报表,报表内容体现被保护对象发现漏洞情况以及遭受到攻击的漏洞统计,可以查看到有效攻击行为次数和攻击趋势 |
|
集中管控 |
支持安全设备的集中管理 |
|
通过安全监控平台可以看到每台安全设备的详细安全状态信息 |
|
|
安全日志 |
支持所有安全设备的安全日志汇总,并能够通过多种条件查询过滤日志 |
|
提供完善的日志管理、日志审计、日志保护功能以及API接口,日志中文化,可显示配置命令日志的操作人,并可U盘定时导出日志文件 |
|
|
高可用性 |
支持链路备份、链路聚合功能,可以在用户的多条网络出口之间进行自动的切换; |
|
既支持基于VRRP技术的热备和负载均衡,也支持私有的双机热备协议,在NAT、路由、透明模式下支持A-A,A-S模式,且切换时间小于1秒 |
