网御高性能防火墙(Power V6000-F3510NE)
需求分析
产品特性
主要功能
产品规格
| 产品概述
网御高性能防火墙具备访问控制、地址转换、应用识别管控、攻击防护、病毒防护功能,可针对目前业务大带宽、高并发的用户环境实现针对内网的资源防护、攻击呈现、安全预警。
通过网御高性能防火墙,即可根据用户源IP+目标IP+访问服务+应用识别、协议控制+日志溯源+用户认证可将针对资源的访问控制精确控制。得力于网御星云一体化安全引擎,网御星云高性能防火墙可将各功能模块统一配置,统一处理流程,使其配置使用简单,数据处理高效。
| 产品特性
访问控制
可根据用户的访问源目的地址,结合访问接口、服务端口进行访问控制。可支持地址转换(NAT)和反向地址转换(DNAT),并可以根据五元组快速查询以及针对策略名、源/目的区域、源/目的地址、服务、对象、策略命中数等条件进行细粒度策略查询管理,确认各策略被匹配情况。针对病毒多发环境,可对每个IP进行新建连接数和并发连接数进行限制,避免病毒爆发过程中,一个主机占用全部网络资源。
协议控制
针对HTTP、FTP、SMTP、POP3协议,可进行细致到命令原语级别的防护。对于HTTP协议,可针对POST、GET进行限制,也可以针对传输内容进行内容控制。如果内容匹配到预制敏感词汇,可以针对该访问连接进行阻断。支持工业协议控制,包含modbus、opc等,支持协议的完整性检查,支持协议分片的控制。支持工业动态协议的NAT和访问控制。
全球资源定义
支持将各国家和地区定义为地址对象,便于统一管理。默认具备中国大陆地区地址,便于阻止非中国大陆地区访问。
敏感信息防泄漏
针对众多的泄密事件,数据防泄密功能应需而生,防火墙作为出口设备,可以成为数据逃逸出网前的最后一道屏障。网御防火墙支持针对数据的敏感识别,当发现进出网络设备中保护敏感数据(银行卡、电话号码等)时,可根据预置条件将数据阻断并记录日志。
应用识别
支持对主流P2P下载、视频应用的管控,至少支持BitTorrent、电骡、迅雷、Gnutella、iMesh、Ares、SoulSeek、POCO、屁屁狗、Vagaa、和PPLive、QQLive、爱奇艺PPS影音、PPMate、沸点、UUSee、SopCast、风行、优酷网、土豆网、酷6网等。
支持URL分类智能学习,可通过对已分类网站自动学习分类关键字,实现对未知网页的识别
防火墙虚拟化
在多租户环境下,每个用户都希望自己独立管理防火墙设备,和其他用户互不干扰。网御防火墙支持虚拟化防火墙功能,可部署于网络出口,划分出多个虚拟防火墙。每个防火墙都可以独立占用计算资源(CPU、内存、网卡),每个防火墙都可保留独立的路由、策略、资源配置、日志服务。在其他用户启停自己的防火墙时,不影响此防火墙正常使用。
| 主要功能
功能指标 | 功能简述 |
操作系统 | 具备自主研发的安全操作系统,无通用操作系统漏洞 |
支持双系统引导,并可在WEB界面上配置启动顺序,除恢复系统之外,还可支持系统一键式切换及完整备份 | |
网络适应性 | 支持路由、透明、旁路、混合工作模式 |
支持静态路由、动态路由(OSPFv2/v3、RIP/RIPng等)、BGP、VLAN间路由、单臂路由、组播路由等 | |
内置移动、联通、电信、教育网、网通、长城宽带等ISP服务商地址列表,可轻松完成基于ISP的策略路由 | |
支持多出口环境下的复杂策略路由,策略路由条数200条以上 | |
支持对SD-WAN隧道的时延、抖动、丢包率等提供可视化展示 | |
服务器负载均衡支持轮询、加权值、最小连接、源/目的地址Hash等10种算法 | |
访问控制 | 基于状态检测的动态包过滤 |
支持仅通过一条策略即可对同一主机源会话、目的会话的分别管理和限制,支持设定网段内共享的或者任一地址的并发连接限制 | |
支持对域名的IP解析,并可作为地址资源被安全规则引用,实现对域名地址的访问控制 | |
支持应用层访问控制,包括P2P软件、IM软件、炒股软件、网游软件等 | |
基于主机的带宽管理,支持仅通过一条策略即可实现对指定的IP地址组里每IP用户进行上下行限速,也可以只对单个IP进行上下行限速 | |
入侵防御 | 支持基于策略的入侵检测与防护,可针对不同的源目IP地址、源MAC地址、服务、时间、安全域、用户等,采用不同的入侵防护策略 |
内置IPS特征库,IPS特征规则数量超过8000条 | |
入侵防御特征库包括信息窃取、木马后门、间谍软件、可疑行为、网络设备攻击、安全漏洞及网络数据库攻击等的特征事件 | |
防病毒 | 支持基于策略的病毒扫描与防护,可针对不同的源目IP地址、源MAC地址、服务、时间、安全域、用户等,采用不同的病毒防护策略 |
支持HTTP,SMTP,FTP,POP3,IMAP,FTP,WEBMAIL多种应用协议下的病毒防护,支持自定义非标准端口下应用协议的病毒防护,支持应用协议自识别,防止更改协议端口从而绕过病毒查杀的事件发生 | |
病毒库超过600万种病毒特征 | |
抗拒绝服务攻击 | 支持对ICMP、TCP、UDP等协议进行攻击防护 |
采用专业高效攻击防护算法,支持预定义和自定义策略模板 | |
支持对攻击结果选择性进行处理,应包括日志告警、是否丢弃攻击报文等行为 | |
支持攻击流量统计、攻击事件统计、攻击流量排行、攻击事件排行 | |
上网行为管理 | 支持依据协议、源目的端口、二进制特征码等条件自定义应用 |
支持基于DPI和DFI技术的应用特征识别及行为控制,应用识别的种类2000+ | |
支持WEB过滤,内置超过50类URL分类组,支持自定义URL过滤 | |
支持链路和四层通道嵌套的流量控制功能,可基于上下行区域、地址、地理对象、用户/用户组、服务/服务组、应用/应用组和时间等配置带宽策略,支持带宽策略优先级 | |
Web安全 | 具备Web服务攻击防护的特征库,支持对SQL注入、XSS跨站脚本等攻击进行防护 |
支持对Web恶意扫描行为的防护能力,包含对弱口令、版本探测、漏洞扫描三种行为的防护能力 | |
支持Webshell恶意上传行为并进行拦截 | |
支持WEB服务器错误信息替换,防止服务器信息泄露,提供功能设置、替换信息Web页面及生效日志 | |
支持对不同站点定制web应用防护策略,支持http请求回应的头、体检查,站点数量不限制 | |
IPSec VPN | 支持标准IPSec、GRE、PPTP、L2TP协议,IPSec VPN要求支持隧道热备份技术 |
支持多种认证方式如:预共享密钥、数字证书,基于动态令牌(Token)的双因子认证 | |
支持可视化VPN配置,支持VPN状态监控,包括资源状态、在线用户等 | |
IPSec VPN客户端支持Microsoft Windows 2000/XP、Vista、Win7等操作系统 | |
漏洞扫描 | 支持后门、服务探测、文件共享、系统补丁、IE漏洞等主动式扫描 |
支持对HTTP、telnet、FTP、SMTP、POP3等各种协议进行弱口令检查,并上报安全事件 | |
主动防御 | 支持挂马网站过滤,支持通过对访问目标URL过滤的方式,阻止对含木马/病毒网站、钓鱼网站、僵尸网络的访问 |
支持恶意地址主动屏蔽,以用于提前免疫包括病毒网站或者攻击源地址的攻击 | |
支持设置基于IP过滤条件,实现对特定报文进行快速过滤,支持超过100万条黑名单数量 | |
协同联动 | 支持与IDS/IPS、内网终端管理、漏扫等产品联动 |
虚拟化 | 基于硬件Hypervisor技术的底层虚拟化,各个虚拟防火墙之间完全隔离 |
支持资源自定义,可以配置独立的CPU、内存、网络资源 | |
支持不同虚拟防火墙运行不同版本及配置 | |
每个虚拟防火墙均具备完整的安全功能,包括访问控制、IPS、AV、AC、VPN、WAF、抗D等 | |
支持多台虚拟防火墙资源使用不蔓延,单台防火墙资源使用过量不会影响其他虚拟防火墙 | |
IPv6/IPv4双协议栈 | 支持IPv6地址、地址组配置 |
支持基于IPv6的全部安全策略设置,包括访问控制、IPS、AV、AC、VPN、WAF、抗D等一系列安全防护功能。 | |
支持IPv6静态路由 | |
支持IPv6/IPv4翻译策略技术,包括支持静态NAT-PT、动态NAT-PT、NAPT-PT技术 | |
支持双栈、6to4隧道实现IPv6网络与IPv4网络访问 | |
会话管理 | 支持完善的会话管理功能,可以记录详细的访问控制策略日志,每条匹配策略的会话均会记录其建立会话和结束会话的日志 |
支持基于IP、协议、连接数的方式统计会话,统计结果可导出 | |
支持会话临时阻断功能 | |
支持IPV6会话管理功能,可进行各协议连接数统计,按源目IP进行连接排行 | |
所有日志均可本地记录或发送至Syslog服务器 | |
管理配置 | 支持友好WEBUI/SSH/Telnet管理,支持数字证书和电子钥匙方式,支持SNMP管理,与当前通用的网络管理平台兼容 |
可提供专用的软件实现对防火墙接入用户认证的集中管理,可同时管理1000台防火墙 | |
支持设备快速部署向导,在五步之内完成路由模式、桥模式和混合模式设置 | |
支持外置USB设备进行补丁包(功能、特征补丁包)批处理升级 | |
支持外置USB设备进行系统软件版本一键升级 | |
支持界面单击选择系统语言(中文、英文) | |
支持通过USB导出关键信息时可选择信息列表,日志可按照模块存储在USB设备中,并可设定定时自动导出 | |
支持用户可配置的WEBUI接口,提供多套皮肤设置 | |
高可用性 | 支持链路备份、链路聚合功能,可以在用户的多条网络出口之间进行自动的切换; |
既支持基于VRRP技术的热备和负载均衡,也支持私有的双机热备协议,在NAT、路由、透明模式下支持A-A,A-S模式,且切换时间小于1秒 |
| 产品规格
标配网络接口 | 10个千兆电口,6个千兆光口,2个扩展槽位 |
可扩展网口模块 | 4电扩展卡、4电(2对Bypass)扩展卡、4光扩展卡、4光(2对bypass)扩展卡、8电扩展卡、8电(4对Bypass)扩展卡、8光扩展卡、4电4光扩展卡、4电(2对bypass)4光扩展卡、2万兆扩展卡、2万兆(1对Bypass)扩展卡、4万兆扩展卡、4万兆(2对Bypass)扩展卡、2个40G接口扩展卡 |
机箱规格 | 2U |
Console口(RJ45) | 1个 |
USB | 2个 |
硬盘 | 默认配置一块64G SSD硬盘 |
最大整机吞吐量 | 20Gbps |
IPSEC吞吐量 | 10Gbps |
IPSEC/SSL VPN | 默认开通,用户数无限制 |
每秒新建连接数 | 20W |
最大并发连接数 | 800W |
MTBF | 8万小时 |
尺寸(长*宽*高) | 500mm*435mm*89mm |
功耗 | 120W |
电源规格 | 冗余电源、AC 100-240V@50-60Hz |
工作温度 | “-5~45℃” |
重量 | 10KG |