防火墙详细说明4000

《防火墙详细说明4000》由会员分享，可在线阅读，更多相关《防火墙详细说明4000（18页珍藏版）》请在装配图网上搜索。

1、防火墙详细说明产品概述网络卫士系列防火墙NGFW4000-UF (NetGuard FireWall)系列产品，是天融信公司 结合了多年来的网络安全产品开发与实践经验,在参考了天融信广大用户宝贵建议的基础 上，开发的最新一代网络安全产品。该产品以天融信公司具有自主知识产权的TOS(Topsec Operating System)为系统平台，采用开放性的系统架构及模块化的设计，融合 了防火墙、防病毒、入侵检测、VPN、身份认证等多种安全解决方案，构建的一个安全、 高效、易于管理和扩展的网络安全产品。NGFW4000-UF属于网络卫士系列防火墙的中高端产品，特别适用于网络结构复杂、 应用丰富、高带

2、宽、大流量的大中型企业骨干级网络环境。NGFW4000-UF(TG-5030)产品特点自主安全操作系统平台采用自主知识产权的安全操作系统-TOS (Topsec Operating System)，TOS拥有优 秀的模块化设计架构，有效保障了防火墙、IPSECVPN、SSLVPN、防病毒、内容过滤、 抗攻击、流量整形等模块的优异性能，其良好的扩展性为未来迅速扩展更多特性提供了 无限可能。TOS 具有具有高安全性、高可靠性、高实时性、高扩展性及多体系结构平台适应性 的特点。虚拟防火墙虚拟防火墙，是指在一台物理防火墙上可以存在多套虚拟系统，每套虚拟系统在逻 辑上都相互独立，具有独立的用户与访问控制

3、系统。不同的企业或不同的部门可以共用1 台防火墙，但使用不同的虚拟系统。对于用户来说，就像是使用独立的防火墙。大大节 省了成本。强大的应用控制网络卫士防火墙提供了强大的网络应用控制功能。用户可以轻松的针对一些典型网 络应用，如BT、MSN、QQ、Edonkey、Skype等实行灵活的访问控制策略，如禁止、限时、 乃至流量控制。网络卫士防火墙还提供了定制功能，可以对用户所关心的网络应用进行 全面控制。CleanVPN 服务企业对VPN应用越来越普及，但是当企业员工或合作伙伴通过各种VPN远程访问 企业网络时，病毒、蠕虫、木马、恶意代码等有害数据有可能通过VPN隧道从远程PC 或网络传递进来，这种

4、威胁的传播方式极具隐蔽性，很难防范。网络卫士防火墙同时具备防火墙、VPN、防病毒和内容过滤等功能，并且各功能相 互融合，能够对VPN数据进行检查，拦截病毒、蠕虫、木马、恶意代码等有害数据，彻 底保证了 VPN通信的安全，为用户提供放心的CleanVPN服务。完全内容检测 CCIf,BI.宪全内容检測1C00100过疑邮件蠕虫木马1Q社盘学攻击状态检跚拒绝服务攻击199019952000200E时间护状态蛙测只绘査数扬也的也头 r諜戾包检阁可对数据包阴容进行检查。 UCI可实时特厕绪层数据亟原曲完整的 应用层对彖(如丈件、冏页、把杵等L 并对这些完撤的容進行全面检查”实現 彻底的内客防护。内容检

5、测技术发展至今，大致经历了三个阶段，从早期的状态检测(Status Inspection) 到后来的深度包检测(Deep Packet Inspection)，现在已经发展到了最新的完全内容检测 (CCI, Complete Content Inspection)。状态检测只检查数据包的包头，深度包检测可对 数据包内容进行检查，而CCI则可实时将网络层数据还原为完整的应用层对象(如文件、 网页、邮件等)，并对这些完整内容进行全面检查，实现彻底的内容防护。在MAC层提供基于MAC地址的过滤控制能力，同时支持对各种二层协议的过滤功 能；在网络层和传输层提供基于状态检测的分组过滤，可以根据网络地址、

6、网络协议以 及TCP、UDP端口进行过滤，并进行完整的协议状态分析；在应用层通过深度内容检 测机制，可以对高层应用协议命令、访问路径、内容、访问的文件资源、关键字、移动 代码等实现内容安全控制；同时还直接支持丰富的第三方认证，提供用户级的认证和授 权控制。网络卫士系列防火墙的多级过滤形成了立体的、全面的访问控制机制，实现了 全方位的安全控制。先进的设计思想采用面向资源的设计方法。把安全控制所涉及的各种实体抽象为对象，包括区域、 地址、地址组、服务、服务组、时间表、服务器、均衡组、关键字、文件、特殊端口等 不同对象的实体组成资源，用于描述各种安全策略，实现全方位的安全控制。极大地提 高了网络安全

7、性，并保证了配置的方便性。超强的防御功能高级的 Intelligent Guard 技术提供了强大的入侵防护功能，能抵御常见的各种攻击， 包括 Syn Flood、Smurf、Targa3、Syn Attack、ICMP flood、Ping of death、Ping Sweep、 Land attack、Tear drop attack、IP address sweep option、Filter IP source route option、Syn fragments No flags in TCP、ICMP 碎片、大包 ICMP 攻击、不明协议攻击、IP 欺骗、IP security

8、options、 IP source route、 IP record route 、 IP bad options、 IP 碎片、端口扫描等几十种攻 击，网络卫士系列防火墙不但有内置的攻击检测能力，还可以和IDS产品实现联动。这 不但提高了安全性，而且保证了高性能。强大的应用代理模块具有透明应用代理功能，支持FTP、HTTP、TELNET、PING、SSH、FTPDATA、 SMTP、 WINS、 TACACS、 DNS、 TFTP、 POP3、 RTELNET、 SQLSERV、 NNTP、 IMAP、 SNMP、 NETBIOS、 DNS、 IPSECISAKMP、 RLOGIN、 DH

9、CP、 RTSP、 MS-SQL-（S、 M、 R）、 RADIUS-1645、 PPTP、 SQLNET1521、 SQLNET1525、 H.323、 MSN、 CVSSERVER、 MS-THEATER、 MYSQL、 QQ、 SECURID（TCP、 UDP）PCANYWHERE、 IGMP、GRE、PPPOE、IPV6等协议，可以实现文件级过滤。丰富的AAA功能，支持会话认证网络卫士系列防火墙支持对网络用户提供丰富的安全身份认证，如一次性口令 （OTP）、 S/KEY、 RADIUS 、 TACACS、 LDAP、 securid 、域认证及数字证书等常用 的安全认证方法，也可以使用

10、专用的认证客户端软件进行认证。基于用户的安全策略更 灵活、更广泛地实现了用户鉴别和用户授权的控制，并提供了丰富的安全日志来记录用 户的安全事件。网络卫士系列防火墙支持会话认证功能，即当开始一个新会话时，需要先通过认证 才能建立会话。这个功能可大大提高应用访问的安全性，实现更细粒度的访问控制。强大的地址转换能力网络卫士系列防火墙拥有强大的地址转换能力。网络卫士系列防火墙同时支持正向、 反向地址转换，能为用户提供完整的地址转换解决方案。正向地址转换用于使用私有IP地址的内部网用户通过防火墙访问公众网中的地址时 对源地址进行转换。网络卫士系列防火墙支持依据源或目的地址指定转换地址的静态 NAT方式和

11、从地址缓冲池中随机选取转换地址的动态NAT方式，可以满足绝大多数网 络环境的需求。对公众网来说，访问全部是来自于防火墙转换后的地址，并不认为是来 自内部网的某个地址，这样能够有效的隐藏内部网络的拓扑结构等信息。同时内部网用 户共享使用这些转换地址，自身使用私有IP地址就可以正常访问公众网，有效的解决了 公有IP地址不足的问题。内部网用户对公众网提供访问服务（如Web、FTP服务等）的服务器如果是私有 IP地址，或者想隐藏服务器的真实IP地址，都可以使用网络卫士系列防火墙的反向地 址转换来对目的地址进行转换。公众网访问防火墙的反向转换地址，由内部网使用保留 IP地址的服务器提供服务，同样既可以解

12、决公有IP地址不足的问题，又能有效地隐藏 内部服务器信息，对服务器进行保护。网络卫士系列防火墙提供端口映射和IP映射两种 反向地址转换方式，端口映射安全性更高、更节省公有IP地址，IP映射则更为灵活方 便。卓越的网络及应用环境适应能力支持众多网络通信协议和应用协议，如 VLAN、 ADSL、 PPP、 ISL、 802.1Q、 Spanning Tree、 IPSEC、 H.323、 MMS、 RTSP、 ORACLE SQL*NET、 PPPoE、 MS RPC 等协议， 适用网络的范围更加广泛，保证了用户的网络应用。同时，方便用户实施对VOIP、视频 会议、 VOD 点播及数据库等应用的使

13、用和控制。智能的负载均衡和高可用性 服务器负载均衡网络卫士系列防火墙可以支持一个服务器阵列，这个阵列经过防火墙对外表现为单台的机器，防火墙将外部来的访问在这些服务器之间进行均衡。负载均衡方式如下：服务器1轮流（顺序选择地址）2.根据权重轮流服务器3最少连接（将连接分配到当前连接最少的 服务器）4.加权最少连接（最少连接和权重相结合） 高可用性为了保证网络的高可用性与高可靠性，网络卫士系列防火墙提供了双机备份功能， 即在同一个网络节点使用两个配置相同的防火墙。网络卫士系列防火墙支持两种模式的 双机热备功能。一种为AS模式，即在正常情况下一个处于工作状态，为主防火墙，另一 个处于备份状态，为从防火

14、墙。当主防火墙发生意外宕机、网络故障、硬件故障等情况 时，主从防火墙自动切换工作状态，从防火墙自动代替主防火墙正常工作，从而保证了 网络的正常使用。另一种模式为AA模式，即两台防火墙的网络接口分组互为备份。在 每一个组中，都有一个主接口，一个从接口。而不同组中的主接口可以工作在两台防火 墙中的任意一台。这样，两台防火墙都处于工作状态，不仅互为备份，而且可以分担网 络流量。网络卫士系列防火墙的双机热备功能使用自主专利的智能状态传送协议（ISTP）,ISTP 能高效进行系统之间的状态同步，实现了 TCP协议握手级别的状态同步和热备。当主防 火墙发生故障时，这台防火墙上的正在建立或已经建立的连接不需

15、要重新建立就可以透 明地迁移到另一台防火墙上，网络使用者不会觉察到网络链路切换的发生。17从尿火玷流量均衡网络卫士系列防火墙支持完整生成树(Spanning-Tree)协议，可以在交换网络环境 中支持PVST和CST等工作模式，在接入交换网络环境时可以通过生成树协议的计算， 使不同的VLAN使用不同的物理链路，将流量由不同的物理链路进行分担，从而进行流 量均衡，该功能和ISTP协议结合使用还可以在使用高可用性的同时实现流量均衡。系统升级与容错网络卫士系列防火墙可以通过命令行及图形方式进行系统升级，同时网络卫士系列 防火墙采用双系统设计，在主系统发生故障时，用户可以在启动时选择BACKUP方式，

16、 用备份系统引导系统。产品功能类别功能详细描述工作模式支持透明、路由、混合模式网络 安全性内容过滤采用完全内容检测（Complete Content Inspection）技术。支持基于流、数据包、透明代理的过滤方式。支持对HTTP、SMTP、POP3、FTP等协议的深度内容过滤。支持URL过滤。支持对移动代码如 Java applet、Active-X、VBScript、Java script 的过滤。支持对邮件的收发邮件地址、文件名、文件类型过滤。支持对邮件主题、正文、收发件人、附件名、附件内容等关键字匹配过滤。支持MSN， QQ, Skype等Instant Messenger通信，并可

17、以对于这些应用进行登 陆限制。可限制 BT， eMule， eDonkey 等 P2P 应用。可屏蔽受保护主机/服务器系统信息，如替换服务器（FTP、SMTP、POP3、 telnet,HTTP ）的 BANNER 信息。防病毒（可 扩展）支持HTTP，FTP，POP3，SMTP，IMAP协议的病毒查杀查杀邮件正文/附件、网页及下载文件中包含的病毒支持60万余种病毒的查杀，病毒库定期与及时更新支持木马病毒、蠕虫病毒、宏病毒、脚本病毒的查杀支持启发式扫描查杀未知病毒支持ZIP/ARJ/CAB/RAR/GZIP/BZIP2等压缩文件的病毒查杀支持TAR等多种打包文件的病毒查杀提供快速扫描及完全扫描

18、两种扫描方式包过滤基于状态检测的动态包过滤。基于源/目的IP地址、MAC地址、端口和协议、时间、用户的访问控制。支持基于用户的PPTP的访问控制。支持报文合法性检查。动态端口支持协议：H.323、SIP、FTP、RTSP、SQL*NET、MMS、RPC、TFTP、PPTPo可实现IP/MAC绑定。防御攻击非法扌报文攻击：land、Smurf、Pingofdeath、winnuke、tcp_sscan、ip_option、 teardrop、targa3、ipspoofo统计型报文攻击：Synflood、Icmpflood、Udpflood、Portscan、ipsweepo Topsec联动：

19、可与支持TOPSEC协议的IDS设备联动，以提高入侵检测效率。端口阻断：可以根据数据包的来源和数据包的特征进行阻断设置。 SYN代理：对来自定义区域的Syn Flood攻击行为进行阻断过滤。 CC攻击：可通过设置端口和阀值阻断CC攻击。可记录攻击日志和报警。NAT支持双向NATo支持动态地址转换和静态地址转换。支持多对一、一对多和一对一等多种方式的地址转换。支持虚拟服务器功能。网络 适应性路由支持静态路由、动态路由。支持基于源/目的地址、接口、Metric的策略路由。支持单臂路由，可通过单臂模式接入网络，并提供路由转发功能。支持Vlan路由，能够在不同的VLAN虚接口间实现路由功能。支持RIP

20、、OSPF等路由协议。组播支持IGMP组播协议。支持 IGMP SNOOPINGo可有效地实现视频会议等多媒体应用。VLAN可与交换机的Trunk接口对接，并且能够实现Vlan间通过安全设备传播路由。 支持802.1Q，能进行封装和解封。支持ISL，能进行ISL的封装和解封。在同一个Vlan内能进行二层交换。生成树支持802.1D生成树协议。ARP支持ARP代理、ARP学习。可设置静态ARPoDHCP支持 DHCP Client、DHCP Servero接入支持ADSL等宽带接入。支持PPPOE拨号接入。其它支持网络时钟协议SNTP，可以自动根据NTP服务器的时钟调整本机时间。支持IPX、Ne

21、tBEUI等非IP协议。SSLVPN（可 扩展）安全算法支持 AES、DES、3DES、RC4、MD5、SHA1、RSA 等多种算法选择协议类型支持 SSL 2.0/3.0 TLS 1.0数据压缩支持高效流压缩算法用户认证支持“用户名+口令”、“用户名+口令+图形认证码”认证支持X.509数字证书认证支持数字证书+ U KEY+ 口令多因子认证支持公共帐户登陆，支持临时禁止帐户登录支持本地数据库认证支持基于LDAP/RADIUS/TACAS等协议的外部服务器认证用户授权支持分组授权、支持独立用户授权和授权继承支持基于URL、访问路径、访问文件、访问动作的细粒度授权支持基于时间的访问授权方式支持

22、本地授权、支持外部组映射授权、支持证书用户授权应用支持支持 HTML、JAP、ASP、JAVA APPLET、ACTIVE、Cookies 等各种 Web 应用支持基于IP协议的各种C/S应用，如EMAIL,FTP,ERP,CRM,DB等支持Windows/CIFS远程文件共享端点安全支持接入客户端痕迹清除，能够清楚cookie、缓存、历史记录等各种访问痕迹支持拔KEY隧道自动中断支持用户超时自动退出，超时时间可以设置IPSECVPN协议支持ESP/AH/IKE/NATT等标准IPSEC协议，支持隧道模式、传输模式算法支持DES/3DES/AES等标准加密算法，支持MD5/SHA1等标准HAS

23、H算法支持 DH GROUP1/2/5，RSA 1024/2048 非对称算法支持国家商密专用的SSP02/SSF33/SCB2算法硬件加速支持高速算法加速卡数据压缩支持高效数据流压缩算法隧道认证支持预共享密钥、数字证书认证，支持扩展认证网络适应 性支持网状、树型、星型等多种VPN网络拓扑 支持隧道的NAT穿越、双向NAT隧道建立 支持全动态IP地址间的VPN组网支持隧道转发支持多机多隧道的负载均衡和冗余备份方案支持隧道内的访问控制安全接入L2TP支持远程用户通过L2TP接入，建立L2TP隧道访问内部网络PPTP支持远程用户通过PPTP接入，建立PPTP隧道访问内部网络PKI证书格式支持X.5

24、09 V3数字证书，支持DER/PEM/PKCS12多种证书编码本地CA支持内置CA，为其他设备或移动用户签发证书支持本地CA根证书、根私钥的更新支持证书废弃，支持生成标准CRL列表第二方CA支持同时导入多个第三方CA的根证书和CRL列表，对不同CA证书用户进行 身份认证，支持通告HTTP协议定时下载CRL列表支持通过OCSP/LDAP等协议在线认证证书安全 管理用户认证支持使用一次性口令认证（OTP）、本地认证、双因子认证（SecurlD）以及数 字证书（CA）等常用的安全认证方式。支持使用第三方认证，如RADIUS、TACACS/TACACS+、LDAP、域认证等安 全认证方式。支持Ses

25、sion认证、HTTP会话认证。支持认证保活功能。可将认证用户信息加密存放在本地数据库。日志支持Welf、Syslog等多种日志格式的输出。支持通过第三方软件来查看日志。支持日志分级。支持对接收到的日志进行缓冲存储。支持安全审计系统（TA-L），获得更详尽的日志分析和审计功能。 TA-L除接受防火墙日志外还能接受交换机、路由器、操作系统、应用系统和其 他安全产品的日志进行联合分析。可对日志进行加密传输。监控支持网络接口、CPU利用率、内存使用率、操作系统状况、网络状况、硬件系 统、进程、进程内存、加密卡状况的监测。可根据配置文件进行错误恢复。报警内置了 “管理”、“系统”、“安全”、“策略”、

26、“通信”、“硬件”、“容 错”、“测试”等多种触发报警的事件类。支持邮件、NETBIOS、声音、SNMP、控制台等多种组合报警方式。带宽 管理QoS 流量整形 QOS带宽管理。根据IP、协议、网络接口、时间定义带宽分配策略。支持最小保证带宽和最大限制带宽。支持分层的带宽管理。优先级支持8级优先级控制。高可 用性双机热备支持双机热备（Active-Active，与Active-Standby两种模式）。支持系统故障切换，包括主设备抢状态开关功能，控制主设备是否在设备恢复 正常情况时抢回主设备状态。支持VPN网关的双机热备功能。其它功能支持链路备份功能。支持双系统引导。支持 Watchdog功能。

27、配置 管理配置方式支持WEB图形配置、命令行配置。支持本地配置、远程配置。支持基于SSH、SSL的安全配置。命令行支持配置命令分级保护。支持中英文。支持命令超时、历史命令、命令补齐、命令帮助、命令错误提示等功能。SNMP支持 SNMP 的 vl、v2、v2c、v3 版本。与当前通用的网络管理平台兼容，如HP Openview等。系统升级支持双系统升级。支持远程维护和系统升级。支持TFTP升级。报文调试提供强大的报文调试功能，可以帮助网络管理员或安全管理员发现、调试和解 决问题。支持发送虚拟报文。配置恢复可以进行配置文件的备份、下载、删除、恢复和上载。时钟调整支持网络时钟协议SNTP，可自动根据

28、NTP服务器时钟调整本机时间。运行环境与标准电源：电压：AC 90-260V频率： 47-63HZ输入电流： 8.0/5.0A 115/230V功率： 350W （最大）环境：运行温度: 0-40 摄氏度非运行温度: -40-70 摄氏度 相对湿度:5-95%，非冷凝国家标准:GB/T18336-2001GB/T18019-1999GB/T18020-1999参考的安全规范及标准（相对参考）:GB4943-2001UL 1950TUV-IEC 950电磁兼容标准:GB9254-1998GB17618-1998FCC Class BIEC 61000-4-2 （静电放电 ESD 抗扰度）IEC

29、61000-4-3 （射频电磁场抗扰度）IEC 61000-4-4 （电快速瞬变EFT抗扰度）IEC 61000-4-5 （浪涌 Surge 抗扰度）典型应用典型应用一：在企业、政府纵向网络中的应用*典型应用二：在大型网络中的应用賂【:血2新壯TH -M交换机SV1SitfW 空找忙TH：网F冋山J1F!典型应用三：防火墙作为负载均衡器阳狛S典型应用四：防火墙接口备份vvv C C典型应用五：虚拟防火墙应用山网X域I卩，.1呵區迦卩，.网1孙戒3穴训；1|务1乂1円网眾树心内岡肥务1料典型应用六：AA模式双机热备3= 110-0-0.1FvtiEiiil:Erhil：3.16.0.2/2-1FthZjElh2I 72AA324E：0qLP2.1ftJ.2720.0E; IB用段Iram Vridl V rid!