網(wǎng)御高性能防火墻(Power V6000-F3510NE)

  • 需求分析

  • 產(chǎn)品特性

  • 主要功能

  • 產(chǎn)品規(guī)格

| 產(chǎn)品概述

 

網(wǎng)御高性能防火墻具備訪問控制、地址轉(zhuǎn)換、應用識別管控、攻擊防護、病毒防護功能,可針對目前業(yè)務大帶寬、高并發(fā)的用戶環(huán)境實現(xiàn)針對內(nèi)網(wǎng)的資源防護、攻擊呈現(xiàn)、安全預警。

通過網(wǎng)御高性能防火墻,即可根據(jù)用戶源IP+目標IP+訪問服務+應用識別、協(xié)議控制+日志溯源+用戶認證可將針對資源的訪問控制精確控制。得力于網(wǎng)御星云一體化安全引擎,網(wǎng)御星云高性能防火墻可將各功能模塊統(tǒng)一配置,統(tǒng)一處理流程,使其配置使用簡單,數(shù)據(jù)處理高效。

               

| 產(chǎn)品特性

 

訪問控制

可根據(jù)用戶的訪問源目的地址,結(jié)合訪問接口、服務端口進行訪問控制??芍С值刂忿D(zhuǎn)換(NAT)和反向地址轉(zhuǎn)換(DNAT),并可以根據(jù)五元組快速查詢以及針對策略名、源/目的區(qū)域、源/目的地址、服務、對象、策略命中數(shù)等條件進行細粒度策略查詢管理,確認各策略被匹配情況。針對病毒多發(fā)環(huán)境,可對每個IP進行新建連接數(shù)和并發(fā)連接數(shù)進行限制,避免病毒爆發(fā)過程中,一個主機占用全部網(wǎng)絡(luò)資源。

協(xié)議控制

針對HTTP、FTP、SMTP、POP3協(xié)議,可進行細致到命令原語級別的防護。對于HTTP協(xié)議,可針對POST、GET進行限制,也可以針對傳輸內(nèi)容進行內(nèi)容控制。如果內(nèi)容匹配到預制敏感詞匯,可以針對該訪問連接進行阻斷。支持工業(yè)協(xié)議控制,包含modbus、opc等,支持協(xié)議的完整性檢查,支持協(xié)議分片的控制。支持工業(yè)動態(tài)協(xié)議的NAT和訪問控制。

全球資源定義

支持將各國家和地區(qū)定義為地址對象,便于統(tǒng)一管理。默認具備中國大陸地區(qū)地址,便于阻止非中國大陸地區(qū)訪問。

敏感信息防泄漏

針對眾多的泄密事件,數(shù)據(jù)防泄密功能應需而生,防火墻作為出口設(shè)備,可以成為數(shù)據(jù)逃逸出網(wǎng)前的最后一道屏障。網(wǎng)御防火墻支持針對數(shù)據(jù)的敏感識別,當發(fā)現(xiàn)進出網(wǎng)絡(luò)設(shè)備中保護敏感數(shù)據(jù)(銀行卡、電話號碼等)時,可根據(jù)預置條件將數(shù)據(jù)阻斷并記錄日志。

應用識別

支持對主流P2P下載、視頻應用的管控,至少支持BitTorrent、電騾、迅雷、Gnutella、iMesh、Ares、SoulSeek、POCO、屁屁狗、Vagaa、和PPLive、QQLive、愛奇藝PPS影音、PPMate、沸點、UUSee、SopCast、風行、優(yōu)酷網(wǎng)、土豆網(wǎng)、酷6網(wǎng)等。

支持URL分類智能學習,可通過對已分類網(wǎng)站自動學習分類關(guān)鍵字,實現(xiàn)對未知網(wǎng)頁的識別

防火墻虛擬化

在多租戶環(huán)境下,每個用戶都希望自己獨立管理防火墻設(shè)備,和其他用戶互不干擾。網(wǎng)御防火墻支持虛擬化防火墻功能,可部署于網(wǎng)絡(luò)出口,劃分出多個虛擬防火墻。每個防火墻都可以獨立占用計算資源(CPU、內(nèi)存、網(wǎng)卡),每個防火墻都可保留獨立的路由、策略、資源配置、日志服務。在其他用戶啟停自己的防火墻時,不影響此防火墻正常使用。

| 主要功能

 

功能指標

功能簡述

操作系統(tǒng)

具備自主研發(fā)的安全操作系統(tǒng),無通用操作系統(tǒng)漏洞

支持雙系統(tǒng)引導,并可在WEB界面上配置啟動順序,除恢復系統(tǒng)之外,還可支持系統(tǒng)一鍵式切換及完整備份

網(wǎng)絡(luò)適應性

支持路由、透明、旁路、混合工作模式

支持靜態(tài)路由、動態(tài)路由(OSPFv2/v3、RIP/RIPng等)、BGP、VLAN間路由、單臂路由、組播路由等

內(nèi)置移動、聯(lián)通、電信、教育網(wǎng)、網(wǎng)通、長城寬帶等ISP服務商地址列表,可輕松完成基于ISP的策略路由

支持多出口環(huán)境下的復雜策略路由,策略路由條數(shù)200條以上

支持對SD-WAN隧道的時延、抖動、丟包率等提供可視化展示

服務器負載均衡支持輪詢、加權(quán)值、最小連接、源/目的地址Hash等10種算法

訪問控制

基于狀態(tài)檢測的動態(tài)包過濾

支持僅通過一條策略即可對同一主機源會話、目的會話的分別管理和限制,支持設(shè)定網(wǎng)段內(nèi)共享的或者任一地址的并發(fā)連接限制

支持對域名的IP解析,并可作為地址資源被安全規(guī)則引用,實現(xiàn)對域名地址的訪問控制

支持應用層訪問控制,包括P2P軟件、IM軟件、炒股軟件、網(wǎng)游軟件等

基于主機的帶寬管理,支持僅通過一條策略即可實現(xiàn)對指定的IP地址組里每IP用戶進行上下行限速,也可以只對單個IP進行上下行限速

入侵防御

支持基于策略的入侵檢測與防護,可針對不同的源目IP地址、源MAC地址、服務、時間、安全域、用戶等,采用不同的入侵防護策略

內(nèi)置IPS特征庫,IPS特征規(guī)則數(shù)量超過8000條

入侵防御特征庫包括信息竊取、木馬后門、間諜軟件、可疑行為、網(wǎng)絡(luò)設(shè)備攻擊、安全漏洞及網(wǎng)絡(luò)數(shù)據(jù)庫攻擊等的特征事件

防病毒

支持基于策略的病毒掃描與防護,可針對不同的源目IP地址、源MAC地址、服務、時間、安全域、用戶等,采用不同的病毒防護策略

支持HTTP,SMTP,FTP,POP3,IMAP,FTP,WEBMAIL多種應用協(xié)議下的病毒防護,支持自定義非標準端口下應用協(xié)議的病毒防護,支持應用協(xié)議自識別,防止更改協(xié)議端口從而繞過病毒查殺的事件發(fā)生

病毒庫超過600萬種病毒特征

抗拒絕服務攻擊

支持對ICMP、TCP、UDP等協(xié)議進行攻擊防護

采用專業(yè)高效攻擊防護算法,支持預定義和自定義策略模板

支持對攻擊結(jié)果選擇性進行處理,應包括日志告警、是否丟棄攻擊報文等行為

支持攻擊流量統(tǒng)計、攻擊事件統(tǒng)計、攻擊流量排行、攻擊事件排行

上網(wǎng)行為管理

支持依據(jù)協(xié)議、源目的端口、二進制特征碼等條件自定義應用

支持基于DPI和DFI技術(shù)的應用特征識別及行為控制,應用識別的種類2000+

支持WEB過濾,內(nèi)置超過50類URL分類組,支持自定義URL過濾

支持鏈路和四層通道嵌套的流量控制功能,可基于上下行區(qū)域、地址、地理對象、用戶/用戶組、服務/服務組、應用/應用組和時間等配置帶寬策略,支持帶寬策略優(yōu)先級

Web安全

具備Web服務攻擊防護的特征庫,支持對SQL注入、XSS跨站腳本等攻擊進行防護

支持對Web惡意掃描行為的防護能力,包含對弱口令、版本探測、漏洞掃描三種行為的防護能力

支持Webshell惡意上傳行為并進行攔截

支持WEB服務器錯誤信息替換,防止服務器信息泄露,提供功能設(shè)置、替換信息Web頁面及生效日志

支持對不同站點定制web應用防護策略,支持http請求回應的頭、體檢查,站點數(shù)量不限制

IPSec VPN

支持標準IPSec、GRE、PPTP、L2TP協(xié)議,IPSec VPN要求支持隧道熱備份技術(shù)

支持多種認證方式如:預共享密鑰、數(shù)字證書,基于動態(tài)令牌(Token)的雙因子認證

支持可視化VPN配置,支持VPN狀態(tài)監(jiān)控,包括資源狀態(tài)、在線用戶等

IPSec VPN客戶端支持Microsoft Windows 2000/XP、Vista、Win7等操作系統(tǒng)

漏洞掃描

支持后門、服務探測、文件共享、系統(tǒng)補丁、IE漏洞等主動式掃描

支持對HTTP、telnet、FTP、SMTP、POP3等各種協(xié)議進行弱口令檢查,并上報安全事件

主動防御

支持掛馬網(wǎng)站過濾,支持通過對訪問目標URL過濾的方式,阻止對含木馬/病毒網(wǎng)站、釣魚網(wǎng)站、僵尸網(wǎng)絡(luò)的訪問

支持惡意地址主動屏蔽,以用于提前免疫包括病毒網(wǎng)站或者攻擊源地址的攻擊 

支持設(shè)置基于IP過濾條件,實現(xiàn)對特定報文進行快速過濾,支持超過100萬條黑名單數(shù)量

協(xié)同聯(lián)動

支持與IDS/IPS、內(nèi)網(wǎng)終端管理、漏掃等產(chǎn)品聯(lián)動

虛擬化

基于硬件Hypervisor技術(shù)的底層虛擬化,各個虛擬防火墻之間完全隔離

支持資源自定義,可以配置獨立CPU、內(nèi)存、網(wǎng)絡(luò)資源

支持不同虛擬防火墻運行不同版本及配置

每個虛擬防火墻均具備完整的安全功能,包括訪問控制、IPS、AV、AC、VPN、WAF、抗D

支持多臺虛擬防火墻資源使用不蔓延,單臺防火墻資源使用過量不會影響其他虛擬防火墻

IPv6/IPv4雙協(xié)議棧

支持IPv6地址、地址組配置

支持基于IPv6的全部安全策略設(shè)置,包括訪問控制、IPS、AVAC、VPN、WAF、抗D等一系列安全防護功能。

支持IPv6靜態(tài)路由

支持IPv6/IPv4翻譯策略技術(shù),包括支持靜態(tài)NAT-PT、動態(tài)NAT-PT、NAPT-PT技術(shù)

支持雙棧、6to4隧道實現(xiàn)IPv6網(wǎng)絡(luò)與IPv4網(wǎng)絡(luò)訪問

會話管理

支持完善的會話管理功能,可以記錄詳細的訪問控制策略日志,每條匹配策略的會話均會記錄其建立會話和結(jié)束會話的日志

支持基于IP、協(xié)議、連接數(shù)的方式統(tǒng)計會話,統(tǒng)計結(jié)果可導出

支持會話臨時阻斷功能

支持IPV6會話管理功能,可進行各協(xié)議連接數(shù)統(tǒng)計,按源目IP進行連接排行

所有日志均可本地記錄或發(fā)送至Syslog服務器

管理配置

支持友好WEBUI/SSH/Telnet管理,支持數(shù)字證書和電子鑰匙方式,支持SNMP管理,與當前通用的網(wǎng)絡(luò)管理平臺兼容

可提供專用的軟件實現(xiàn)對防火墻接入用戶認證的集中管理,可同時管理1000臺防火墻

支持設(shè)備快速部署向?qū)?,在五步之?nèi)完成路由模式、橋模式和混合模式設(shè)置

支持外置USB設(shè)備進行補丁包(功能、特征補丁包)批處理升級

支持外置USB設(shè)備進行系統(tǒng)軟件版本一鍵升級

支持界面單擊選擇系統(tǒng)語言(中文、英文)

支持通過USB導出關(guān)鍵信息時可選擇信息列表,日志可按照模塊存儲在USB設(shè)備中,并可設(shè)定定時自動導出

支持用戶可配置的WEBUI接口,提供多套皮膚設(shè)置

高可用性

支持鏈路備份、鏈路聚合功能,可以在用戶的多條網(wǎng)絡(luò)出口之間進行自動的切換;

既支持基于VRRP技術(shù)的熱備和負載均衡,也支持私有的雙機熱備協(xié)議,在NAT、路由、透明模式下支持A-A,A-S模式,且切換時間小于1秒

| 產(chǎn)品規(guī)格

 


標配網(wǎng)絡(luò)接口

10個千兆電口,6個千兆光口,2個擴展槽位

可擴展網(wǎng)口模塊

4電擴展卡、4電(2對Bypass)擴展卡、4光擴展卡、4光(2對bypass)擴展卡、8電擴展卡、8電(4對Bypass)擴展卡、8光擴展卡、4電4光擴展卡、4電(2對bypass)4光擴展卡、2萬兆擴展卡、2萬兆(1對Bypass)擴展卡、4萬兆擴展卡、4萬兆(2對Bypass)擴展卡、2個40G接口擴展卡

機箱規(guī)格

2U

Console口(RJ45)

1個

USB

2個

硬盤

默認配置一塊64G SSD硬盤

最大整機吞吐量

20Gbps

IPSEC吞吐量

10Gbps

IPSEC/SSL VPN

默認開通,用戶數(shù)無限制

每秒新建連接數(shù)

20W

最大并發(fā)連接數(shù)

800W

MTBF

8萬小時

尺寸(長*寬*高)

500mm*435mm*89mm

功耗

120W

電源規(guī)格

冗余電源、AC 100-240V@50-60Hz

工作溫度

“-5~45℃”

重量

10KG