网御高性能防火墙(Power V6000-F3510NE)

  网御星云     |      2022-12-01 11:07:43

网御高性能防火墙(Power V6000-F3510NE)

  • 需求分析

  • 产品特性

  • 主要功能

  • 产品规格

| 产品概述

 

网御高性能防火墙具备访问控制、地址转换、应用识别管控、攻击防护、病毒防护功能,可针对目前业务大带宽、高并发的用户环境实现针对内网的资源防护、攻击呈现、安全预警。

通过网御高性能防火墙,即可根据用户源IP+目标IP+访问服务+应用识别、协议控制+日志溯源+用户认证可将针对资源的访问控制精确控制。得力于网御星云一体化安全引擎,网御星云高性能防火墙可将各功能模块统一配置,统一处理流程,使其配置使用简单,数据处理高效。




产品特性

 

访问控制

可根据用户的访问源目的地址,结合访问接口、服务端口进行访问控制。可支持地址转换(NAT)和反向地址转换(DNAT),并可以根据五元组快速查询以及针对策略名、源/目的区域、源/目的地址、服务、对象、策略命中数等条件进行细粒度策略查询管理,确认各策略被匹配情况。针对病毒多发环境,可对每个IP进行新建连接数和并发连接数进行限制,避免病毒爆发过程中,一个主机占用全部网络资源。

协议控制

针对HTTP、FTP、SMTP、POP3协议,可进行细致到命令原语级别的防护。对于HTTP协议,可针对POST、GET进行限制,也可以针对传输内容进行内容控制。如果内容匹配到预制敏感词汇,可以针对该访问连接进行阻断。支持工业协议控制,包含modbus、opc等,支持协议的完整性检查,支持协议分片的控制。支持工业动态协议的NAT和访问控制。

全球资源定义

支持将各国家和地区定义为地址对象,便于统一管理。默认具备中国大陆地区地址,便于阻止非中国大陆地区访问。

敏感信息防泄漏

针对众多的泄密事件,数据防泄密功能应需而生,防火墙作为出口设备,可以成为数据逃逸出网前的最后一道屏障。网御防火墙支持针对数据的敏感识别,当发现进出网络设备中保护敏感数据(银行卡、电话号码等)时,可根据预置条件将数据阻断并记录日志。

应用识别

支持对主流P2P下载、视频应用的管控,至少支持BitTorrent、电骡、迅雷、Gnutella、iMesh、Ares、SoulSeek、POCO、屁屁狗、Vagaa、和PPLive、QQLive、爱奇艺PPS影音、PPMate、沸点、UUSee、SopCast、风行、优酷网、土豆网、酷6网等。

支持URL分类智能学习,可通过对已分类网站自动学习分类关键字,实现对未知网页的识别

防火墙虚拟化

在多租户环境下,每个用户都希望自己独立管理防火墙设备,和其他用户互不干扰。网御防火墙支持虚拟化防火墙功能,可部署于网络出口,划分出多个虚拟防火墙。每个防火墙都可以独立占用计算资源(CPU、内存、网卡),每个防火墙都可保留独立的路由、策略、资源配置、日志服务。在其他用户启停自己的防火墙时,不影响此防火墙正常使用。

| 主要功能

 

功能指标

功能简述

操作系统

具备自主研发的安全操作系统,无通用操作系统漏洞

支持双系统引导,并可在WEB界面上配置启动顺序,除恢复系统之外,还可支持系统一键式切换及完整备份

网络适应性

支持路由、透明、旁路、混合工作模式

支持静态路由、动态路由(OSPFv2/v3、RIP/RIPng等)、BGPVLAN间路由、单臂路由、组播路由等

内置移动、联通、电信、教育网、网通、长城宽带等ISP服务商地址列表,可轻松完成基于ISP的策略路由

支持多出口环境下的复杂策略路由,策略路由条数200条以上

支持对SD-WAN隧道的时延、抖动、丢包率等提供可视化展示

服务器负载均衡支持轮询、加权值、最小连接、源/目的地址Hash等10种算法

访问控制

基于状态检测的动态包过滤

支持仅通过一条策略即可对同一主机源会话、目的会话的分别管理和限制,支持设定网段内共享的或者任一地址的并发连接限制

支持对域名的IP解析,并可作为地址资源被安全规则引用,实现对域名地址的访问控制

支持应用层访问控制,包括P2P软件、IM软件、炒股软件、网游软件等

基于主机的带宽管理,支持仅通过一条策略即可实现对指定的IP地址组里每IP用户进行上下行限速,也可以只对单个IP进行上下行限速

入侵防御

支持基于策略的入侵检测与防护,可针对不同的源目IP地址、源MAC地址、服务、时间、安全域、用户等,采用不同的入侵防护策略

内置IPS特征库,IPS特征规则数量超过8000条

入侵防御特征库包括信息窃取、木马后门、间谍软件、可疑行为、网络设备攻击、安全漏洞及网络数据库攻击等的特征事件

防病毒

支持基于策略的病毒扫描与防护,可针对不同的源目IP地址、源MAC地址、服务、时间、安全域、用户等,采用不同的病毒防护策略

支持HTTP,SMTP,FTP,POP3,IMAP,FTP,WEBMAIL多种应用协议下的病毒防护,支持自定义非标准端口下应用协议的病毒防护,支持应用协议自识别,防止更改协议端口从而绕过病毒查杀的事件发生

病毒库超过600万种病毒特征

抗拒绝服务攻击

支持对ICMP、TCP、UDP等协议进行攻击防护

采用专业高效攻击防护算法,支持预定义和自定义策略模板

支持对攻击结果选择性进行处理,应包括日志告警、是否丢弃攻击报文等行为

支持攻击流量统计、攻击事件统计、攻击流量排行、攻击事件排行

上网行为管理

支持依据协议、源目的端口、二进制特征码等条件自定义应用

支持基于DPI和DFI技术的应用特征识别及行为控制,应用识别的种类2000+

支持WEB过滤,内置超过50类URL分类组,支持自定义URL过滤

支持链路和四层通道嵌套的流量控制功能,可基于上下行区域、地址、地理对象、用户/用户组、服务/服务组、应用/应用组和时间等配置带宽策略,支持带宽策略优先级

Web安全

具备Web服务攻击防护的特征库,支持对SQL注入、XSS跨站脚本等攻击进行防护

支持对Web恶意扫描行为的防护能力,包含对弱口令、版本探测、漏洞扫描三种行为的防护能力

支持Webshell恶意上传行为并进行拦截

支持WEB服务器错误信息替换,防止服务器信息泄露,提供功能设置、替换信息Web页面及生效日志

支持对不同站点定制web应用防护策略,支持http请求回应的头、体检查,站点数量不限制

IPSec VPN

支持标准IPSec、GRE、PPTP、L2TP协议,IPSec VPN要求支持隧道热备份技术

支持多种认证方式如:预共享密钥、数字证书,基于动态令牌(Token)的双因子认证

支持可视化VPN配置,支持VPN状态监控,包括资源状态、在线用户等

IPSec VPN客户端支持Microsoft Windows 2000/XP、Vista、Win7等操作系统

漏洞扫描

支持后门、服务探测、文件共享、系统补丁、IE漏洞等主动式扫描

支持对HTTP、telnet、FTP、SMTP、POP3等各种协议进行弱口令检查,并上报安全事件

主动防御

支持挂马网站过滤,支持通过对访问目标URL过滤的方式,阻止对含木马/病毒网站、钓鱼网站、僵尸网络的访问

支持恶意地址主动屏蔽,以用于提前免疫包括病毒网站或者攻击源地址的攻击 

支持设置基于IP过滤条件,实现对特定报文进行快速过滤,支持超过100万条黑名单数量

协同联动

支持与IDS/IPS、内网终端管理、漏扫等产品联动

虚拟化

基于硬件Hypervisor技术的底层虚拟化,各个虚拟防火墙之间完全隔离

支持资源自定义,可以配置独立CPU、内存、网络资源

支持不同虚拟防火墙运行不同版本及配置

每个虚拟防火墙均具备完整的安全功能,包括访问控制、IPSAVACVPNWAF、抗D

支持多台虚拟防火墙资源使用不蔓延,单台防火墙资源使用过量不会影响其他虚拟防火墙

IPv6/IPv4双协议栈

支持IPv6地址、地址组配置

支持基于IPv6的全部安全策略设置,包括访问控制、IPSAVACVPNWAF、抗D等一系列安全防护功能。

支持IPv6静态路由

支持IPv6/IPv4翻译策略技术,包括支持静态NAT-PT、动态NAT-PT、NAPT-PT技术

支持双栈、6to4隧道实现IPv6网络与IPv4网络访问

会话管理

支持完善的会话管理功能,可以记录详细的访问控制策略日志,每条匹配策略的会话均会记录其建立会话和结束会话的日志

支持基于IP、协议、连接数的方式统计会话,统计结果可导出

支持会话临时阻断功能

支持IPV6会话管理功能,可进行各协议连接数统计,按源目IP进行连接排行

所有日志均可本地记录或发送至Syslog服务器

管理配置

支持友好WEBUI/SSH/Telnet管理,支持数字证书和电子钥匙方式,支持SNMP管理,与当前通用的网络管理平台兼容

可提供专用的软件实现对防火墙接入用户认证的集中管理,可同时管理1000台防火墙

支持设备快速部署向导,在五步之内完成路由模式、桥模式和混合模式设置

支持外置USB设备进行补丁包(功能、特征补丁包)批处理升级

支持外置USB设备进行系统软件版本一键升级

支持界面单击选择系统语言(中文、英文)

支持通过USB导出关键信息时可选择信息列表,日志可按照模块存储在USB设备中,并可设定定时自动导出

支持用户可配置的WEBUI接口,提供多套皮肤设置

高可用性

支持链路备份、链路聚合功能,可以在用户的多条网络出口之间进行自动的切换;

既支持基于VRRP技术的热备和负载均衡,也支持私有的双机热备协议,在NAT、路由、透明模式下支持A-A,A-S模式,且切换时间小于1秒

| 产品规格

 

标配网络接口

10个千兆电口,6个千兆光口,2个扩展槽位

可扩展网口模块

4电扩展卡、4电(2对Bypass)扩展卡、4光扩展卡、4光(2对bypass)扩展卡、8电扩展卡、8电(4对Bypass)扩展卡、8光扩展卡、4电4光扩展卡、4电(2对bypass)4光扩展卡、2万兆扩展卡、2万兆(1对Bypass)扩展卡、4万兆扩展卡、4万兆(2对Bypass)扩展卡、2个40G接口扩展卡

机箱规格

2U

Console口(RJ45)

1个

USB

2个

硬盘

默认配置一块64G SSD硬盘

最大整机吞吐量

20Gbps

IPSEC吞吐量

10Gbps

IPSEC/SSL VPN

默认开通,用户数无限制

每秒新建连接数

20W

最大并发连接数

800W

MTBF

8万小时

尺寸(长*宽*高)

500mm*435mm*89mm

功耗

120W

电源规格

冗余电源、AC 100-240V@50-60Hz

工作温度

“-5~45℃”

重量

10KG