_NSF-PROD-NF-V56-產(chǎn)品規(guī)格說明書-V11

1、綠盟下一代防火墻產(chǎn)品規(guī)格說明書綠盟科技 文檔編號NSF-PROD-NF-V5.6-產(chǎn)品規(guī)格說明書-V1.0 密級限制分發(fā) 版本編號V1.0 日期2013-04-24 撰 寫 人苗靜 批準人© 2022 綠盟科技 版權聲明本文中出現(xiàn)的任何文字敘述、文檔格式、插圖、照片、方法、過程等內(nèi)容，除另有特別注明，版權均屬綠盟科技所有，受到有關產(chǎn)權及版權法保護。任何個人、機構未經(jīng)綠盟科技的書面授權許可，不得以任何方式復制或引用本文的任何片斷。 版本變更記錄時間版本說明修改人目錄一. 產(chǎn)品概覽1二. 產(chǎn)品外觀三. 產(chǎn)品特點1四. 典型應用2五. 產(chǎn)品功能3六. 性能指標7七. 部署方式11八. 軟件

2、要求15九. 綠盟技術支持服務16綠盟下一代防火墻產(chǎn)品規(guī)格說明書一. 產(chǎn)品概覽綠盟下一代防火墻是綠盟科技構筑在最新一代64位多核硬件平臺基礎之上，采用最新的應用層安全防護理念，同時結合先進的多核高速數(shù)據(jù)包并發(fā)處理技術，研發(fā)而成的企業(yè)級下一代邊界安全產(chǎn)品。其核心理念是在用戶網(wǎng)絡邊界建立以應用為核心的網(wǎng)絡安全策略，通過智能化識別、精細化控制、一體化掃描等逐層遞進方式實現(xiàn)用戶/應用行為的可視、可控、合規(guī)和安全，最終保障網(wǎng)絡應用被安全高效的使用。l 智能化識別下一代防火墻通過智能化應用、用戶識別技術可將網(wǎng)絡中單純的IP/端口號和流量信息轉(zhuǎn)換為更容易理解且更加智能化的用戶身份信息和應用程序信息，為后續(xù)的

3、基于應用的策略控制和安全掃描提供了識別基礎。l 精細化控制下一代防火墻可以根據(jù)風險級別，應用類型，是否消耗帶寬等多種方式對應用進行細致分類，并且通過應用級訪問控制，應用流量管理以及應用安全掃描等不同的策略對應用分別進行細粒度的控制和過濾。l 一體化掃描在完成智能化識別和精細化控制以后，下一代防火墻對于允許使用且可能存在高安全風險的網(wǎng)絡應用，可以進行漏洞，病毒，URL和內(nèi)容等不同層次深度掃描，如果發(fā)現(xiàn)該應用中存在安全風險或攻擊行為可以做進一步的阻斷并且記錄成為詳細的安全日志和風險報表。二. 產(chǎn)品特點u 全面的應用、用戶識別能力Ø 千余種應用程序識別、應用過濾器以及風險、技術、特征、標簽

4、等多維度應用分類和管理Ø 集成本地、LDAP/AD、Radius、證書、USBKey等多種認證手段，精確識別用戶u 細致的應用層控制手段Ø 基于應用、用戶行為的訪問控制，實現(xiàn)對安全策略的細粒度管理Ø 基于應用的流量管理，實現(xiàn)對應用帶寬的有效控制u 專業(yè)的應用層安全防護能力Ø 業(yè)內(nèi)領先的入侵防護能力，可防護緩沖區(qū)溢出、SQL注入、非授權訪問、蠕蟲等攻擊Ø 基于云端的URL過濾和WEB信譽機制，有效阻擋對非法網(wǎng)站和惡意網(wǎng)站的訪問Ø 快速的流模式殺毒引擎，可有效檢測應用中攜帶的病毒、木馬以及惡意軟件Ø 全面的內(nèi)容層過濾，可對網(wǎng)站和

5、應用程序中存在敏感關鍵字進行過濾u 卓越的應用層安全處理性能Ø 數(shù)通引擎和一體化安全引擎并行驅(qū)動，大幅提升應用處理性能Ø 對數(shù)據(jù)包只做一次性掃描便可以完成全部解析和檢測工作，提升安全掃描效率Ø 先進的多核高速數(shù)據(jù)包并發(fā)處理技術，實現(xiàn)高速網(wǎng)絡數(shù)據(jù)包轉(zhuǎn)發(fā)u 完全涵蓋傳統(tǒng)防火墻功能特性Ø 支持NAT、HA、動態(tài)路由、鏈路捆綁、IPSec VPN等基礎防火墻功能Ø 支持B/S模式SSL VPN，無須安裝客戶端，免配置免維護三. 典型應用綠盟下一代防火墻典型應用包括，互聯(lián)網(wǎng)邊界防護、數(shù)據(jù)中心防護以及遠程安全互聯(lián)等。圖NSFOCUS NF典型部署四. 產(chǎn)品

6、功能功能類別子功能特性描述識別應用識別支持對1000+種應用的識別和控制支持對辦公管理、商務、數(shù)據(jù)庫、IM/P2P、網(wǎng)站訪問、文件傳輸、視頻、游戲、社交網(wǎng)絡等28類應用的識別、控制和管理支持對應用的4維度分類組織、瀏覽和查詢，分類包括：風險/商業(yè)類別/實現(xiàn)技術/特征標簽支持自定義應用支持應用過濾器，將滿足過濾條件的所有應用篩選組成應用組供用戶統(tǒng)一管理使用支持上網(wǎng)行為管理支持設置應用最長使用時間用戶識別防火墻與SSL VPN用戶賬號集中、統(tǒng)一管理，方便管理支持基于安全區(qū)、源/目的IP地址范圍、時間設置用戶認證策略支持通過內(nèi)置Web交互頁面認證進行用戶身份識別支持通過本地帳號/Radius/LDA

7、P/AD認證進行用戶身份識別支持通過第三方AD域控服務器自動提取用戶身份識別信息支持對多次身份驗證失敗的用戶進行帳號、IP鎖定或禁用，或加驗圖形驗證碼支持對本地賬戶密碼進行安全強制，包括最小長度，安全級別限制支持顯示在線用戶總數(shù)、用戶名稱/IP列表、在線時間內(nèi)容識別可以識別和控制文件傳輸途徑，如允許/禁止QQ/MSN、FTP、飛信等傳文件控制一體化策略提供基于源/目的IP地址、安全區(qū)、應用/應用過濾器、協(xié)議/端口、時間、用戶、安全模板/模板組的精細粒度的安全訪問控制服務協(xié)議內(nèi)置協(xié)議庫，支持對96+種協(xié)議/端口的訪問控制支持自定義協(xié)議類型和端口，自定義協(xié)議組NAT支持基于策略的源地址NAT、目的

8、地址NAT源NAT支持端口PAT、目的NAT支持端口映射、支持雙向NAT支持目的服務器負載均衡支持ALG，支持協(xié)議包括FTP、SIP、H.323、TNS、PPTP流量管理支持基于源安全區(qū)/IP地址網(wǎng)段、時間、用戶和應用的最大帶寬、保證帶寬的流量策略管理支持最小保證帶寬和最大限制帶寬，支持保證優(yōu)先級別支持上行、下行帶寬雙向控制支持限制流量通道最大會話數(shù)，支持每IP帶寬控制支持針對應用、用戶的流量分析掃描安全模板支持對入侵防護/防病毒/URL/內(nèi)容過濾的安全行為分別設置并捆綁形成模板入侵防護支持3000+種入侵規(guī)則過濾支持遠程掃描、暴力破解、緩存區(qū)溢出、蠕蟲病毒、木馬后門、SQL注入、跨站腳本等等

9、檢測和防護支持對入侵規(guī)則庫的分類組織和管理，包括：攻擊手段/技術/流行度/危險度/服務類型支持自定義規(guī)則/規(guī)則組支持定義規(guī)則白名單防病毒支持木馬病毒、蠕蟲病毒、宏病毒、腳本病毒等各種病毒的查殺支持HTTP、FTP、POP3、SMTP協(xié)議的病毒查殺查殺郵件正文/附件、網(wǎng)頁及下載文件中包含的病毒，支持ZIP/ARJ/CAB/RAR/GZIP/BZIP2等最多10層壓縮文件的病毒查殺 支持定義病毒文件白名單URL過濾支持內(nèi)置Web信譽庫，收錄65萬+惡意站點提供超過上億條的URL分類庫，提供64+種精細分類（如藝術、商務、新聞論壇、論壇聊天、科技、體育等等）支持站點白名單、黑名單支持自定義URL類型

10、過濾內(nèi)容過濾支持針對網(wǎng)頁瀏覽、論壇發(fā)帖、電子郵件、即時通訊、文件傳輸、服務器操作、數(shù)據(jù)庫操作、表單提交等的信息關鍵字的實時檢測和過濾支持自定義內(nèi)容過濾關鍵字支持安全事件協(xié)議還原DDOS防護支持泛洪類攻擊防護：UDP/DNS/SYN/PING 泛洪支持端口掃描類攻擊、PING試探支持ARP欺騙類攻擊提供CC等應用層攻擊防護網(wǎng)絡適應性部署模式支持虛擬線，二層透明，三層，混合，旁路監(jiān)聽接入方式支持非對稱路由場景下的虛擬線模式接入，能夠在來回數(shù)據(jù)包分開走不同防火墻設備的情況下仍然保證安全防護支持單臂路由、VLAN間路由交換支持VLAN劃分、VLAN Trunk，支持802.1Q，能進行封裝和解封支持M

11、STP、RSTP等生成樹協(xié)議支持IPMAC綁定，支持手動和自動探測綁定支持基于VLAN和接口的MAC綁定支持匯聚接口，能夠手動綁定接口，即可支持LACP協(xié)議動態(tài)綁定路由支持靜態(tài)路由支持OSPF、RIP、BGP動態(tài)路由協(xié)議支持基于源/目的地址、接口的、基于服務的策略路由支持內(nèi)置/自定義ISP路由庫，實現(xiàn)ISP鏈路間路由負載均衡支持鏈路探測，能夠在每接口上以ICMP/TCP/UDP協(xié)議探測目標主機可達性，探測鏈路是否有效支持反向路由，能夠保證數(shù)據(jù)包來回路徑一致支持Vlan路由，能夠在不同的VLAN虛接口間實現(xiàn)路由功能支持單臂路由，可通過單臂模式接入網(wǎng)絡，并提供路由轉(zhuǎn)發(fā)功能網(wǎng)絡服務支持DHCP Se

12、rver、DHCP Relay支持DNS Server、DNS client和DNS緩存支持基于源/目的地址、安全區(qū)、基于服務的透明代理支持服務器的負載均衡、支持服務器健康檢查HA支持虛擬線、二層、三層、單臂路由、混合部署方式支持主備、主主兩種模式支持搶占、非搶占兩種模式支持會話同步、狀態(tài)同步，配置同步， 支持鏈路狀態(tài)的監(jiān)測IPv6支持設備手動和自動地址配置模式支持IPv6一體化策略、支持IPv6環(huán)境下應用識別和安全防護支持IPv6隧道模式和IPv6/IPv4翻譯策略技術支持IPv6地址日志告警和報表呈現(xiàn)VPNIPSec VPN支持網(wǎng)關-網(wǎng)關、網(wǎng)關-移動用戶（C/S）兩種部署模式支持基于標準I

13、KE協(xié)商協(xié)議、支持標準第三方VPN連接支持網(wǎng)關預共享密鑰、x509證書、自動RSA簽名認證方式支持3DES、AES、AES-192、AES-256、BLOWFISH等加密算法支持標準MD5、SHA-1摘要算法支持星型、網(wǎng)狀隧道連接支持移動用戶本地賬號認證支持32位/64位客戶端支持三層隧道模式支持隧道心跳探測，如遇隧道異常自動斷掉并嘗試重新連接支持VPN隧道數(shù)據(jù)安全掃描SSLVPN支持網(wǎng)關-網(wǎng)關、網(wǎng)關-客戶端（B/S）兩種部署模式支持32位/64位客戶端支持七層Web發(fā)布、三層隧道模式支持移動用戶賬號本地、Radius、LDAPAD、證書、USBKey認證支持用戶證書生成和導出支持多因素認證，

14、即用戶名/密碼加證書/USBKey的雙重認證支持基于用戶、用戶邏輯組的訪問授權，包括七層Web和三層授權支持VPN隧道數(shù)據(jù)安全掃描L2TP支持Windows系統(tǒng)自帶客戶端連接支持用戶本地賬戶認證可視化狀態(tài)支持實時顯示系統(tǒng)資源消耗、網(wǎng)口狀態(tài)、設備版本/授權等系統(tǒng)信息根據(jù)威脅級別，實時顯示安全攻擊事件統(tǒng)計支持實時顯示Top10應用，Top10用戶，各接口流量走勢流量分析支持全設備總流量分析，包括TOP10應用流量、TOP10用戶/IP流量，接口流量支持基于源安全區(qū)/IP地址網(wǎng)段、時間、用戶和應用的策略流量分析支持對應用流量、應用會話的小時、天、周統(tǒng)計展示支持對流控策略中配置的通道流量統(tǒng)計TOP10

15、應用流量、TOP10用戶/IP流量，并支持TOP10應用與用戶/IP間信息互查安全事件支持入侵防護、URL過濾、防病毒、內(nèi)容過濾事件記錄日志支持防火墻、入侵防護、URL過濾、防病毒、內(nèi)容過濾的日志記錄支持防火墻用戶登陸認證、VPN登陸認證、VPN連接日志支持系統(tǒng)調(diào)試日志、系統(tǒng)管理日志支持日志導出格式：html、excel、word、打印機報表支持防火墻、入侵防護、URL過濾、防病毒、內(nèi)容過濾安全分析報表導出格式：html、excel、word安全中心支持對管理設備的日志收集，包括安全、防火墻、VPN、系統(tǒng)日志等支持對管理設備呈現(xiàn)報表，包括安全、應用流量等系統(tǒng)管理管理方式支持Web管理、串口管理

16、、SSH管理支持設備單獨管理、管理中心集中管理支持Snmp管理協(xié)議，與其他產(chǎn)品聯(lián)動（IDS）支持Bypass，包括硬件級/軟件級/外聯(lián)Bypass交換機證書管理支持出廠默認可用模塊：防火墻引擎/應用識別/用戶識別/IPSec VPN/流量分析、管理支持安全模塊單獨購買，證書單獨導入：IPS/AV/URL過濾/內(nèi)容過濾/SSL VPN支持安全模塊規(guī)則庫升級有效期單獨控制升級管理支持在線升級/離線升級帳號管理支持管理員賬號本地/Radius認證/LDAP認證支持管理員授權支持限制管理員登錄IP診斷與調(diào)試網(wǎng)絡診斷、遠程調(diào)試、現(xiàn)場抓包備份恢復配置、規(guī)則、參數(shù)備份恢復安全中心支持策略下發(fā)，如一體化策略等

17、支持日志上傳，如防火墻/IPS/URL/AV/內(nèi)容過濾/認證/系統(tǒng)日志等支持報表查看，如防火墻/IPS/URL/AV/內(nèi)容過濾/流量報表支持設備狀態(tài)管理、升級管理、備份恢復配置 綠盟下一代防火墻產(chǎn)品規(guī)格說明書五. 性能指標系列型號NF NX3 Series規(guī)格性能G2100MG2100HG4100L生產(chǎn)引擎型號NFNX3-G2100M-NDE-01NFNX3-G2100M-NDE-02NFNX3-G2100M-NDE-03NFNX3-G2100H-NDE-01NFNX3-G4100L-NDE-01業(yè)務接口GE電口4個8個4個最高14個最高14個SFP接口-4個最高8個最高8個SFP+接口-SL

18、OT插槽-1個1個BYPASS（只電口）標配2路，最高2路標配2路，最高2路標配2路，最高2路標配3路，最高7路標配3路，最高7路管理接口管理接口1個GE口1個GE口1個GE口1個GE口1個GE口串口1個RJ451個RJ451個RJ451個RJ451個RJ45USB口2個2個2個2個2個性能指標三層吞吐量2G2G2G4G6G應用層吞吐量600M600M600M1.2G2G最大并發(fā)會話數(shù)100萬100萬100萬200萬200萬每秒新增會話數(shù)2萬2萬2萬6萬6萬IPSec吞吐量40M40M40M200M250MSSL吞吐量30M30M30M200M250M延遲測試(us)<60us<6

19、0us<60us<60us<60us物理指標尺寸（長*寬*高）430 * 390* 44mm（1U）430 * 390* 44mm（1U）430 * 390* 44mm（1U）430mm*390mm*44mm(1U)575* 432 * 88mm（2U）電源交流單電源交流單電源交流單電源交流單電源交流冗余電源平均無故障時間10萬小時10萬小時10萬小時10萬小時10萬小時系列型號NF NX3 SeriesNF NX5 Series規(guī)格性能G4100MG4100HG4100ST4100HT6100L生產(chǎn)引擎型號NFNX3-G4100M-NDE-01NFNX3-G4100H-ND

20、E-01NFNX3-G4100H-NDE-02NFNX3-G4100S-NDE-01NFNX5-T4100H-NDE-01NFNX5-T6100L-NDE-01業(yè)務接口GE電口最高14個最高32個最高14個最高32個標配6個，不可擴展最高32個SFP接口最高8個最高32個最高8個最高32個-最高32個SFP+接口-標配2個，不可擴展最高8個SLOT插槽1個4個1個4個-4個BYPASS（只電口）標配3路，最高7路最高支持16路標配3路，最高7路最高支持16路3路最高支持16路管理接口管理接口1個GE口2個GE口1個GE口2個GE口1個GE口2個GE口串口1個RJ451個RJ451個RJ451個

21、RJ451個RJ451個RJ45USB口2個2個2個2個2個2個性能指標三層吞吐量8G10G10G14G10G16G應用層吞吐量4G6G6G8G6G10G最大并發(fā)會話數(shù)200萬500萬500萬500萬500萬500萬每秒新增會話數(shù)8萬10萬10萬10萬10萬15萬IPSec吞吐量300M300M300M300M300M350MSSL吞吐量300M300M300M300M300M350M延遲測試(us)<60us<60us<60us<60us<60us<60us物理指標尺寸（長*寬*高）575* 432 * 88mm（2U）575* 432 * 88mm（2U

22、）575* 432 * 88mm（2U）575* 432 * 88mm（2U）575* 432 * 88mm（2U）575* 432 * 88mm（2U）電源交流冗余電源交流冗余電源交流冗余電源交流冗余電源交流冗余電源交流冗余電源平均無故障時間10萬小時10萬小時10萬小時10萬小時10萬小時10萬小時注：1、SFP插槽可擴展千兆電口、千兆單模光纖口、千兆多摸光纖口2、SFP+ 插槽可擴展萬兆單模光纖口、萬兆多摸光纖口© 2022 綠盟科技- 14 -密級：限制分發(fā) 綠盟安全網(wǎng)關產(chǎn)品規(guī)格說明書六. 部署方式u 部署方式一：邊界防護綠盟安全網(wǎng)關在企業(yè)的外網(wǎng)出口處串聯(lián)部署，具體位置為路由

23、器和企業(yè)核心交換機之間，其中一個端口用來隔離DMZ區(qū)，實現(xiàn)對內(nèi)控制用戶訪問服務器應用，對外訪問全部進行NAT轉(zhuǎn)換，并訪問互聯(lián)網(wǎng)應用。u 部署方式二：內(nèi)網(wǎng)隔離利用綠盟安全網(wǎng)關的多端口，實現(xiàn)用戶內(nèi)部網(wǎng)絡的不同安全域的隔離，代替企業(yè)的核心交換機，類似于VLAN的劃分，實現(xiàn)不同部門不同安全域之間的訪問控制。這樣不僅保護了企業(yè)內(nèi)部網(wǎng)和關鍵服務器，使其不受來自Internet的攻擊，也保護了各部門網(wǎng)絡和關鍵服務器不受來自企業(yè)內(nèi)部其它部門的網(wǎng)絡的攻擊。內(nèi)網(wǎng)分隔的另一個目的是：防止問題的擴大。如果有人闖進您的某一個部門，或者如果病毒開始蔓延，網(wǎng)關能夠限制造成的損壞進一步擴大。u 部署方式三：混合模式部署綠盟安

24、全網(wǎng)關支持透明模式、路由模式和混合模式接入，并支持各種模式之上的NAT模式。透明工作模式：安全網(wǎng)關工作在透明模式下不影響原有網(wǎng)絡設計和配置，用戶不需要對保護網(wǎng)絡主機屬性進行重新設置，方便了用戶的使用。路由工作模式：安全網(wǎng)關相當于靜態(tài)路由器，提供靜態(tài)路由功能?；旌瞎ぷ髂Ｊ剑喊踩W(wǎng)關在透明模式和路由模式同時工作，極大提高網(wǎng)絡應用的靈活性。下圖為企業(yè)的典型應用，需要安全網(wǎng)關支持混合工作模式，而許多防火墻不支持這種接入模式，給企業(yè)的應用帶來不便。例如：某企業(yè)內(nèi)網(wǎng)的地址為保留地址/24-0/24，企業(yè)的對外服務器、MAIL服務器、DNS服務器的內(nèi)部地址分別為10.

25、10.10.10、01、02，防火墻的內(nèi)端口地址為，防火墻外網(wǎng)地址為 對于服務器和Internet之間防火墻可使用透明方式，內(nèi)網(wǎng)與服務器或Internet之間可以使用NAT方式，部署方便靈活。 u 典型部署四：高可用性冗余備份電信網(wǎng)絡和許多骨干網(wǎng)絡的可靠性要求很高，不允許出現(xiàn)因為設備的故障造成網(wǎng)絡的不可用，因此在電信網(wǎng)絡和骨干網(wǎng)絡中加入安全網(wǎng)關的時候也必須考慮到這個問題，下圖為綠盟安全網(wǎng)關在骨干網(wǎng)絡中應用的例子。正常情況下兩臺網(wǎng)關均處于工作狀態(tài)，可以分別承擔相應鏈路的網(wǎng)絡通訊。當其中一臺安全網(wǎng)關發(fā)生意外宕機、

26、網(wǎng)絡故障、硬件故障等情況時，該網(wǎng)關的網(wǎng)絡通訊自動切換到另外一臺安全網(wǎng)關，從而保證了網(wǎng)絡的正常使用。切換過程不需要人為操作和其他系統(tǒng)的參與，切換時間可以以秒計算。同時，安全網(wǎng)關之間的其中一條鏈路用于實現(xiàn)狀態(tài)表傳送，當一臺安全網(wǎng)關故障時，這臺安全網(wǎng)關的連接可以透明的、完整的遷移到另一臺安全網(wǎng)關上，用戶不會覺察到有任何變化。安全網(wǎng)關之間的另外一條鏈路用于數(shù)據(jù)通訊，增加網(wǎng)絡鏈路的冗余，增強可靠性。u 部署方式五：多出口的網(wǎng)絡環(huán)境某高?，F(xiàn)有教職工總數(shù)2000多人，在校學生總數(shù)30000多人。學校的校園網(wǎng)絡建設比較發(fā)達共有三個出口中國教育網(wǎng)、電信和網(wǎng)通，網(wǎng)絡接口到每一個學生宿舍，因此上網(wǎng)用戶非常多，校園內(nèi)共有40多個合法的C類地址用于教職工網(wǎng)絡，用1個私有的B類地址用于學生上網(wǎng)。綠盟安全網(wǎng)關具