網(wǎng)絡(luò)衛(wèi)士防火墻NGFWUF系列產(chǎn)品說明

1、網(wǎng)絡(luò)衛(wèi)士防火墻系統(tǒng)NGFW4000-UF 系歹U產(chǎn)品說明天融信TOPSEC?北京市海淀區(qū)上地東路1號華控大廈100085版權(quán)聲明本手冊的所有內(nèi)容，其版權(quán)屬于北京天融信公司（以下 簡稱天融信）所有，未經(jīng)天融信許可，任何人不得仿制、拷 貝、轉(zhuǎn)譯或任意引用。本手冊沒有任何形式的擔(dān)保、立場傾 向或其他暗示。若因本手冊或其所提到的任何信息引起的直接或間接的 資料流失、利益損失，天融信及其員工恕不承擔(dān)任何責(zé)任。 本手冊所提到的產(chǎn)品規(guī)格及資訊僅供參考，有關(guān)內(nèi)容可能會 隨時更新，天融信恕不承擔(dān)另行通知之義務(wù)。版權(quán)所有不得翻印？ 1995-2008天融信公司商標(biāo)聲明本手冊中所談及的產(chǎn)品名稱僅做識別之用，而這些名

2、稱可能屬于其他公司的注冊商標(biāo)或是版權(quán)，其他提到的商標(biāo)，均屬各該商標(biāo)注冊人所有，恕不逐一列明。TopSEC沃融信信息反饋1產(chǎn)品概述網(wǎng)絡(luò)衛(wèi)士系列防火墻 NGFW4000-UF (NetGuard FireWall )系列產(chǎn)品，是天融信公司積 累多年網(wǎng)絡(luò)安全產(chǎn)品開發(fā)與實踐經(jīng)驗的應(yīng)用最為廣泛的千兆防火墻。它繼承了天融信公司十多年來在安全產(chǎn)品研發(fā)中的積累的多項成果，以自主知識產(chǎn)權(quán)的網(wǎng)絡(luò)安全操作系統(tǒng)TOS(Topsec Operating System )為系統(tǒng)平臺，采用開放性的系統(tǒng)架構(gòu)及模塊化的設(shè)計思想， 充分體現(xiàn)了天融信公司在長期的產(chǎn)品開發(fā)和市場推廣過程中對于用戶需求的深刻理解。NGFW4000-UF

3、屬于網(wǎng)絡(luò)衛(wèi)士系列防火墻的中高端產(chǎn)品，特別適用于網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜、應(yīng)用豐富、高帶寬、大流量的大中型企業(yè)骨干級網(wǎng)絡(luò)環(huán)境。NGFW4000-UF(TG-5130/ TG-5230/ TG-5330)NGFW4000-UF( TG-5030)說明I此圖片為網(wǎng)絡(luò)衛(wèi)士系列防火墻NGFW4000-UF新一代產(chǎn)品圖片，部分老型號產(chǎn)品請參見實物。2關(guān)鍵技術(shù)D靈活的接口擴展能力最大配置為26個接口，包才3個可插拔的擴展槽和 2個10/100/1000BASE-T 接口(可 作為HA 口和管理口)；可支持 224個千兆接口(光口或電口)。2)安全高效的TOS操作系統(tǒng)具有完全自主知識產(chǎn)權(quán)的 TOS (Topsec Ope

4、rating System)安全操作系統(tǒng)，采用全模塊化設(shè)計，使用中間層理念，減少了系統(tǒng)對硬件的依賴性，有效保障了防火墻、SSL VPN、IPSEC VPN、防病毒、內(nèi)容過濾、抗攻擊、帶寬管理等功能模塊的優(yōu)異性能。TOS良好的擴展性為未來迅速擴展更多特性提供了無限可能。集成多種安全引擎：FIREWALL+IPSEC+SSL+ANTIVIRUS+IPS基于專有硬件平臺的 NGFW4000-UF 產(chǎn)品采用 TOS 操作系統(tǒng)， 集成了豐富的安全引擎，包括：防火墻引擎，IPSEC VPN引擎，SSL VPN引擎，防病毒引擎，IPS引擎等。這些引擎 的緊密集成使得NGFW4000-UF 成為了可以防范多種

5、威脅、功能豐富的防火墻產(chǎn)品。完全內(nèi)容檢測 CCI 技術(shù)網(wǎng)絡(luò)衛(wèi)士防火墻采用最新的 CCI 技術(shù)，提供對OSI 網(wǎng)絡(luò)模型所有層次上的網(wǎng)絡(luò)威脅的實時保護。網(wǎng)絡(luò)衛(wèi)士系列防火墻可對還原出來的應(yīng)用層對象(如文件、網(wǎng)頁、郵件等)進行病毒查殺，并可檢查是否存在不良WEB 內(nèi)容、垃圾郵件、間諜軟件和網(wǎng)絡(luò)釣魚欺騙等其他威脅，實現(xiàn)徹底防范。3 產(chǎn)品特點介紹集成多種安全功能NGFW4000-UF 由于集成了多種安全引擎，使其具備了防火墻、 IPSEC VPN 、 SSLVPN、防病毒、IPS等安全功能，成為了國內(nèi)安全功能最豐富的防火墻產(chǎn)品。虛擬防火墻虛擬防火墻，是指在一臺物理防火墻上可以存在多套虛擬系統(tǒng)，每套虛擬系統(tǒng)

6、在邏輯上都相互獨立，具有獨立的用戶與訪問控制系統(tǒng)。不同的企業(yè)或不同的部門可以共用1 臺防火墻，但使用不同的虛擬系統(tǒng)。對于用戶來說，就像是使用獨立的防火墻。大大節(jié)省了成本。強大的應(yīng)用控制網(wǎng)絡(luò)衛(wèi)士防火墻提供了強大的網(wǎng)絡(luò)應(yīng)用控制功能。 用戶可以輕松的針對一些典型網(wǎng)絡(luò)應(yīng)用，如 MSN, QQ、Skype、新浪UC、阿里旺旺、Google Talk等即時通信應(yīng)用，以及 BT、 Edonkey 、 Emule 、訊雷等 p2p 應(yīng)用實行靈活的訪問控制策略，如禁止、限時、乃至流量控制。網(wǎng)絡(luò)衛(wèi)士防火墻還提供了定制功能，可以對用戶所關(guān)心的網(wǎng)絡(luò)應(yīng)用進行全面控制。CleanVPN 服務(wù)企業(yè)對 VPN 應(yīng)用越來越普及

7、，但是當(dāng)企業(yè)員工或合作伙伴通過各種 VPN 遠程訪問企業(yè)網(wǎng)絡(luò)時，病毒、蠕蟲、木馬、惡意代碼等有害數(shù)據(jù)有可能通過VPN 隧道從遠程PC 或網(wǎng)絡(luò)傳遞進來，這種威脅的傳播方式極具隱蔽性，很難防范。網(wǎng)絡(luò)衛(wèi)士防火墻同時具備防火墻、VPN、防病毒和內(nèi)容過濾等功能，并且各功能相互融合，能夠?qū)PN 數(shù)據(jù)進行檢查，攔截病毒、蠕蟲、木馬、惡意代碼等有害數(shù)據(jù)，徹底保證了 VPN 通信的安全，為用戶提供放心的 CleanVPN 服務(wù)。廣泛的網(wǎng)絡(luò)適應(yīng)性支持基于源地址、目的地址、接口、 Metric 的策略路由，支持單臂路由，支持Trunk（和ISL）,能夠在不同的 VLAN虛接口間實現(xiàn)路由功能，支持 IGMP組播協(xié)議

8、和IGMP SNOOPING ，支持對非IP 協(xié)議 IPX/NetBEUI 的傳輸與控制。先進的設(shè)計思想采用面向資源的設(shè)計方法。把安全控制所涉及的各種實體抽象為對象，包括區(qū)域、地址、地址組、服務(wù)、服務(wù)組、時間表、服務(wù)器、均衡組、關(guān)鍵字、文件、特殊端口等。不同對象的實體組成資源，用于描述各種安全策略，實現(xiàn)全方位的安全控制。極大地提 高了網(wǎng)絡(luò)安全性，并保證了配置的方便性。超強的防御功能高級的 Intelligent Guard 技術(shù)提供了強大的入侵防護功能，能抵御常見的各種攻擊，包括 Syn Flood 、 Smurf、 Targa3、 Syn Attack 、 ICMP flood 、 Ping

9、 of death 、 Ping Sweep、 Land attack、 Tear drop attack 、 IP address sweep option 、 Filter IP source route option 、 Syn fragments、 No flags in TCP 、 ICMP 碎片、大包 ICMP 攻擊、不明協(xié)議攻擊、 IP 欺騙、 IP security options 、 IP source route 、 IP record route 、 IP bad options 、 IP 碎片、端口掃描等幾十種攻擊，網(wǎng)絡(luò)衛(wèi)士系列防火墻不但有內(nèi)置的攻擊檢測能力，還可以和

10、IDS 產(chǎn)品 實 現(xiàn)聯(lián)動。這不但提高了安全性，而且保證了高性能。強大的應(yīng)用代理模塊具有透明應(yīng)用代理功能，支持 FTP、 HTTP、 TELNET 、 PING 、 SSH、 FTP DATA 、 SMTP、 WINS 、 TACACS 、 DNS、 TFTP、 POP3、 RTELNET 、 SQLSERV 、 NNTP、 IMAP 、 SNMP 、 NETBIOS 、 DNS、 IPSEC ISAKMP 、 RLOGIN 、 DHCP 、 RTSP、 MS-SQL- （S、 M、 R） 、 RADIUS-1645 、 PPTP、 SQLNET 1521、 SQLNET 1525、 、 MSN

11、 、 CVSSERVER 、 MS-THEATER 、 MYSQL 、 QQ、 SECURID （TCP、 UDP） PCANYWHERE 、 IGMP 、 GRE、 PPPOE、 IPV6 等協(xié)議，可以實現(xiàn)文件級過濾。豐富的 AAA 功能，支持會話認證網(wǎng)絡(luò)衛(wèi)士系列防火墻支持對網(wǎng)絡(luò)用戶提供豐富的安全身份認證，如一次性口令（ OTP ）、 S/KEY 、 RADIUS 、 TACACS 、 LDAP 、 securid 、域認證及數(shù)字證書等常用的安全認證方法，也可以使用專用的認證客戶端軟件進行認證?；谟脩舻陌踩呗愿`活、更廣泛地實現(xiàn)了用戶鑒別和用戶授權(quán)的控制，并提供了豐富的安全日志來記錄用戶

12、的安全事件。網(wǎng)絡(luò)衛(wèi)士系列防火墻支持會話認證功能，即當(dāng)開始一個新會話時，需要先通過認證才能建立會話。這個功能可大大提高應(yīng)用訪問的安全性，實現(xiàn)更細粒度的訪問控制。強大的地址轉(zhuǎn)換能力網(wǎng)絡(luò)衛(wèi)士系列防火墻擁有強大的地址轉(zhuǎn)換能力。網(wǎng)絡(luò)衛(wèi)士系列防火墻同時支持正向、反向地址轉(zhuǎn)換，能為用戶提供完整的地址轉(zhuǎn)換解決方案。正向地址轉(zhuǎn)換用于使用私有IP 地址的內(nèi)部網(wǎng)用戶通過防火墻訪問公眾網(wǎng)中的地址時對源地址進行轉(zhuǎn)換。 網(wǎng)絡(luò)衛(wèi)士系列防火墻支持依據(jù)源或目的地址指定轉(zhuǎn)換地址的靜態(tài)NAT 方式和從地址緩沖池中隨機選取轉(zhuǎn)換地址的動態(tài)NAT 方式，可以滿足絕大多數(shù)網(wǎng)絡(luò)環(huán)境的需求。對公眾網(wǎng)來說，訪問全部是來自于防火墻轉(zhuǎn)換后的地址，并

13、不認為是來自內(nèi)部網(wǎng)的某個地址，這樣能夠有效的隱藏內(nèi)部網(wǎng)絡(luò)的拓撲結(jié)構(gòu)等信息。同時內(nèi)部網(wǎng)用戶共享使用這些轉(zhuǎn)換地址，自身使用私有IP 地址就可以正常訪問公眾網(wǎng)，有效的解決了公有 IP 地址不足的問題。內(nèi)部網(wǎng)用戶對公眾網(wǎng)提供訪問服務(wù)（如 Web 、 FTP 服務(wù)等）的服務(wù)器如果是私有IP 地址，或者想隱藏服務(wù)器的真實IP 地址，都可以使用網(wǎng)絡(luò)衛(wèi)士系列防火墻的反向地址轉(zhuǎn)換來對目的地址進行轉(zhuǎn)換。公眾網(wǎng)訪問防火墻的反向轉(zhuǎn)換地址，由內(nèi)部網(wǎng)使用保留IP 地址的服務(wù)器提供服務(wù)，同樣既可以解決公有IP 地址不足的問題，又能有效地隱藏內(nèi)部服務(wù)器信息，對服務(wù)器進行保護。網(wǎng)絡(luò)衛(wèi)士系列防火墻提供端口映射和 IP 映射兩種反

14、向地址轉(zhuǎn)換方式，端口映射安全性更高、更節(jié)省公有IP 地址， IP 映射則更為靈活方便。卓越的網(wǎng)絡(luò)及應(yīng)用環(huán)境適應(yīng)能力支持眾多網(wǎng)絡(luò)通信協(xié)議和應(yīng)用協(xié)議， 如 VLAN 、 ADSL 、 PPP、 ISL、 、 Spanning Tree、 IPSEC 、 MMS 、 RTSP 、 ORACLE SQL*NET 、 PPPoE、 MS RPC 等協(xié)議，適用網(wǎng)絡(luò)的范圍更加廣泛， 保證了用戶的網(wǎng)絡(luò)應(yīng)用。 同時， 方便用戶實施對 VOIP 、 視頻會議、 VOD 點播及數(shù)據(jù)庫等應(yīng)用的使用和控制。智能的負載均衡和高可用性? 服務(wù)器負載均衡網(wǎng)絡(luò)衛(wèi)士系列防火墻可以支持一個服務(wù)器陣列， 這個陣列經(jīng)過防火墻對外表現(xiàn)為

15、單臺的機器，防火墻將外部來的訪問在這些服務(wù)器之間進行均衡。負載均衡方式如下：. 輪流（順序選擇地址）.根據(jù)權(quán)重輪流.最少連接（將連接分配到當(dāng)前連接最少的服務(wù)器）.加權(quán)最少連接（最少連接和權(quán)重相結(jié)合）? 高可用性為了保證網(wǎng)絡(luò)的高可用性與高可靠性，網(wǎng)絡(luò)衛(wèi)士系列防火墻提供了雙機備份功能，即在同一個網(wǎng)絡(luò)節(jié)點使用兩個配置相同的防火墻。 網(wǎng)絡(luò)衛(wèi)士系列防火墻支持兩種模式的雙機熱備功能。一種為 AS 模式，即在正常情況下一個處于工作狀態(tài)，為主防火墻，另一個處于備份狀態(tài)，為從防火墻。當(dāng)主防火墻發(fā)生意外宕機、網(wǎng)絡(luò)故障、硬件故障等情況時，主從防火墻自動切換工作狀態(tài)，從防火墻自動代替主防火墻正常工作，從而保證了網(wǎng)絡(luò)的

16、正常使用。另一種模式為 AA 模式，即兩臺防火墻的網(wǎng)絡(luò)接口分組互為備份。在每一個組中，都有一個主接口，一個從接口。而不同組中的主接口可以工作在兩臺防火墻中的任意一臺。這樣，兩臺防火墻都處于工作狀態(tài)，不僅互為備份，而且可以分擔(dān)網(wǎng)絡(luò)流量。網(wǎng)絡(luò)衛(wèi)士系列防火墻的雙機熱備功能使用自主專利的智能狀態(tài)傳送協(xié)議（ISTP） ，ISTP 能高效進行系統(tǒng)之間的狀態(tài)同步，實現(xiàn)了 TCP 協(xié)議握手級別的狀態(tài)同步和熱備。當(dāng)主防火墻發(fā)生故障時， 這臺防火墻上的正在建立或已經(jīng)建立的連接不需要重新建立就可以透明地遷移到另一臺防火墻上，網(wǎng)絡(luò)使用者不會覺察到網(wǎng)絡(luò)鏈路切換的發(fā)生。? 流量均衡網(wǎng)絡(luò)衛(wèi)士系列防火墻支持完整生成樹( Sp

17、anning-Tree )協(xié)議，可以在交換網(wǎng)絡(luò)環(huán)境中支持 PVST 和 CST 等工作模式，在接入交換網(wǎng)絡(luò)環(huán)境時可以通過生成樹協(xié)議的計算，使不同的 VLAN 使用不同的物理鏈路， 將流量由不同的物理鏈路進行分擔(dān)， 從而進行流量均衡，該功能和ISTP 協(xié)議結(jié)合使用還可以在使用高可用性的同時實現(xiàn)流量均衡。系統(tǒng)升級與容錯網(wǎng)絡(luò)衛(wèi)士系列防火墻可以通過命令行及圖形方式進行系統(tǒng)升級， 同時網(wǎng)絡(luò)衛(wèi)士系列防火墻采用雙系統(tǒng)設(shè)計， 在主系統(tǒng)發(fā)生故障時， 用戶可以在啟動時選擇BACKUP 方式，用備份系統(tǒng)引導(dǎo)系統(tǒng)。4產(chǎn)品功能類別功能詳細描述工作模式網(wǎng)絡(luò)接入透明，路由，混合。虛擬系統(tǒng)支持路由（包括NAT）和透明模式下的

18、虛擬系統(tǒng)。每個虛擬系統(tǒng)都提供獨立的策略管理（包括NAT、包過濾、以及訪問控制策略）。網(wǎng)絡(luò)安全性內(nèi)容過濾采用完全內(nèi)容檢測（Complete Content Inspection）技術(shù)。支持基于流、數(shù)據(jù)包、透明代理的過濾方式。支持對HTTP、SMTP、POP3、IMAP、FTP等協(xié)議的深度內(nèi)容過濾。支持URL過濾。支持對移動代碼如 Java applet Active-X、VBScript、Java script的過濾。支持對郵件的收發(fā)郵件地址、文件名、文件類型過濾。支持對郵件主題、正文、收發(fā)件人、附件名、附件內(nèi)容等關(guān)鍵字匹配過濾。支持GB2312、UTF-8等多種編碼方式。支持 MSN , QQ

19、、新郎 UC、阿里旺旺、google talk 等 Instant Messenger信， 并可以對于這些應(yīng)用進行登陸限制。支持根據(jù)登陸等帳號進行登陸限制。支持對MSN , QQ等IM應(yīng)用通信的連接統(tǒng)計。支持對指定IP地址的IM應(yīng)用通信的連接統(tǒng)計?？上拗艬T, eMule, eDonkey、訊雷等多種P2P應(yīng)用；統(tǒng)計P2P流量和連接數(shù)， 控制P2P流量的帶寬。支持對指定IP地址的P2P流量和連接數(shù)的統(tǒng)計和控制?？善帘问鼙Ｗo主機/服務(wù)器系統(tǒng)信息，如替換服務(wù)器（FTP、SMTP、POP3、 telnet,HTTP）的 BANNER 信息。telnet 過濾。DNS過濾。HTTP重定向。偽裝HTTP

20、的協(xié)議識別和阻斷。防病毒支持 HTTP , FTP, POP3, SMTP, IMAP、FTP 協(xié)議的病毒查殺。查殺郵件正文/附件、網(wǎng)頁及下載文件中包含的病毒。支持40萬余種病毒的查殺，病毒庫定期與及時更新。支持木馬病毒、蠕蟲病毒、宏病毒、腳本病毒的查殺。支持對可疑軟件和色情軟件的查殺。支持啟發(fā)式掃描查殺未知病毒。支持ZIP/ARJ/CAB/RAR/GZIP/BZIP2等壓縮文件的病毒查殺。支持TAR等多種打包文件的病毒查殺。提供快速掃描及完全掃描兩種掃描方式。支持對來源于同一 IP單位時間內(nèi)發(fā)起的連接數(shù)進行統(tǒng)計，超過閾值的進行阻 斷。發(fā)現(xiàn)病毒后，可自動生成訪問控制策略。病毒庫在線自動升級。病

21、毒庫離線升級。包過濾基于狀態(tài)檢測的動態(tài)包過濾?；谠?目的IP地址、MAC地址、端口和協(xié)議、時間、用戶的訪問控制。支持基于用戶的PPTP的訪問控制。支持報文合法性檢查。動態(tài)端口支持協(xié)議：、SIP、FTP、RTSP、SQL*NET、MMS、RPC、TFTP、PPTP、 RSH 等?？蓪崿F(xiàn)靜態(tài)或自動的IP/MAC綁定。防御攻擊非法才艮文攻擊： land 、 Smurf、 Pingofdeath winnuke 、 tcp_sscan ip_option、 teardrop、targaS ipspoof。統(tǒng)計型寸艮文攻擊： Synflood、 Icmpflood、 Udpflood、 Portsca

22、n、 ipsweepTopsec聯(lián)動：可與支持TOPSEC協(xié)議的IDS設(shè)備聯(lián)動，以提高入侵檢測效率。端口阻斷：可以根據(jù)數(shù)據(jù)包的來源和數(shù)據(jù)包的特征進行阻斷設(shè)置。SYN代理：對來自定義區(qū)域的 Syn Flood攻擊行為進行阻斷過濾。CC攻擊：可通過設(shè)置端口和閥值阻斷CC攻擊?？捎涗浌羧罩竞蛨缶?。預(yù)防ARP欺騙。反向地址檢查。根據(jù)協(xié)議或地址，限制連接數(shù)目；根據(jù)連接數(shù)目進行源地址排名。可信安全接 入終端安全搜集。接入方式包括TD、OTP、VRC和瀏覽器。根據(jù)預(yù)定義的策略，決定用戶可訪問的網(wǎng)絡(luò)資源。AAA服務(wù)支持使用一次性口令認證（OTP）、本地認證、雙因子認證（ SecurID）以及 數(shù)字證書（CA

23、）等常用的安全認證方式。支持RADIUS、TACACS/TACACS+、LDAP、域認證等安全認證方式。支持Session認證、HTTP會話認證。支持認證?；罟δ?。可將認證用戶信息加密存放在本地數(shù)據(jù)庫。NAT支持雙向NAT。支持動態(tài)地址轉(zhuǎn)換和靜態(tài)地址轉(zhuǎn)換。支持多對一、一對多和一對一等多種方式的地址轉(zhuǎn)換。支持虛擬服務(wù)器功能。支持協(xié)議包括、SIP、FTP、RTSP、SQL*NET、MMS、RPG TFTP、PPTP、 RSH等網(wǎng)絡(luò)適應(yīng)性路由支持靜態(tài)路由、動態(tài)路由。支持基于源/目的地址、接口、 Metric的策略路由。支持單臂路由，可通過單臂模式接入網(wǎng)絡(luò)，并提供路由轉(zhuǎn)發(fā)功能。支持Vlan路由，能夠在

24、不同的 VLAN虛接口間實現(xiàn)路由功能。支持RIP、OSPF等路由協(xié)議。支持BGP協(xié)議。組播支持IGMP組播協(xié)議?？捎行У貙崿F(xiàn)視頻會議等多媒體應(yīng)用。VLAN可與交換機的Trunk接口對接，并且能夠?qū)崿F(xiàn) Vlan間通過安全設(shè)備傳播路由。支持，能進行封裝和解封。支持ISL,能進行ISL的封裝和解封。在同一個Vlan內(nèi)能進行二層交換。生成樹支持生成樹協(xié)議。ARP支持ARP代理、ARP學(xué)習(xí)?？稍O(shè)置靜態(tài)ARPo非IP協(xié)議支持對非IP 協(xié)議IPX/NetBEUI 、 MPLS的傳輸與控制。DHCP支持 DHCP Client、DHCP Relay、DHCP Server。接入支持ADSL等寬帶接入。支持PP

25、POE撥號接入。其它支持網(wǎng)絡(luò)時鐘協(xié)議NTP,可以自動根據(jù)NTP服務(wù)器的時鐘調(diào)整本機時間。支持鏈路聚合。支持QinQ。支持 Netflow。SSL VPN安全算法支持 AES、DES、3DES、RC4、MD5、SHA1、RSA等多種算法選擇協(xié)議類型支持SSL TLS數(shù)據(jù)壓縮支持高效流壓縮算法用戶認證支持“用戶名十口令”、“用戶名十口令十圖形認證碼”認證支持數(shù)字證書認證支持數(shù)字證書十UKEY+ 口令多因子認證支持公共帳戶登陸，支持臨時禁止帳戶登錄支持本地數(shù)據(jù)庫認證支持基于LDAP/RADIUS/TACAS 等協(xié)議的外部服務(wù)器認證用戶授權(quán)支持分組授權(quán)、支持獨立用戶授權(quán)和授權(quán)繼承支持基于URL、訪問路

26、徑、訪問文件、訪問動作的細粒度授權(quán)支持基于時間的訪問授權(quán)方式支持本地授權(quán)、支持外部組映射授權(quán)、支持證書用戶授權(quán)應(yīng)用支持支持 HTML、JAP、ASP、JAVA APPLET、ACTIVE、Cookies 等各種 Web 應(yīng)用支持基于IP協(xié)議的各種 C/S應(yīng)用，如EMAIL,FTP,ERP,CRM,DB等支持Windows/CIFS遠程文件共享端點安全支持接入客戶端痕跡清除，能夠清楚cookie、緩存、歷史記錄等各種訪問痕 跡支持拔KEY隧道自動中斷支持用戶超時自動退出，超時時間可以設(shè)置IPSEC VPN協(xié)議支持ESP/AH/IKE/NATT 等標(biāo)準(zhǔn)IPSEC協(xié)議，支持隧道模式、傳輸模式算法支持

27、DES/3DES/AES 等標(biāo)準(zhǔn)加密算法，支持 MD5/SHA1等標(biāo)準(zhǔn)HASH算 法支持 DH GROUP1/2/5 , RSA 1024/2048 非對稱算法支持國家商密專用的 SSP02/SSF33/SCB2算法硬件加速支持高速算法加速卡數(shù)據(jù)壓縮支持高效數(shù)據(jù)流壓縮算法隧道認證支持預(yù)共享密鑰、數(shù)字證書認證，支持擴展認證網(wǎng)絡(luò)適應(yīng)性支持網(wǎng)狀、樹型、星型等多種 VPN網(wǎng)絡(luò)拓撲支持隧道的NAT穿越、雙向NAT隧道建立支持全動態(tài)IP地址間的VPN組網(wǎng)支持隧道轉(zhuǎn)發(fā)支持多機多隧道的負載均衡和冗余備份方案支持隧道內(nèi)的訪問控制安全接入L2TP支持遠程用戶通過L2TP接入，建立L2TP隧道訪問內(nèi)部網(wǎng)絡(luò)PPTP支

28、持遠程用戶通過 PPTP接入，建立PPTP隧道訪問內(nèi)部網(wǎng)絡(luò)PKI證書格式支持 V3數(shù)字證書，支持 DER/PEM/PKCS12 多種證書編碼本地CA支持內(nèi)置CA,為其他設(shè)備或移動用戶簽發(fā)證書支持本地CA根證書、根私鑰的更新支持證書廢棄，支持生成標(biāo)準(zhǔn)CRL列表第三方CA支持同時導(dǎo)入多個第三方 CA的根證書和CRL列表，對不同CA證書用戶 進行身份認證，支持通告 HTTP協(xié)議定時下載CRL列表支持通過OCSP/LDAP等協(xié)議在線認證證書安全管理用戶認證支持使用一次性口令認證（OTP）、本地認證、 Web認證以及數(shù)字證書（CA） 等常用的安全認證方式。支持使用第三方認證，如 RADIUS、TACAC

29、S/TACACS+ 、 LDAP、域認證等安 全認證方式。支持Session認證、HTTP會話認證。支持認證保活功能?？蓪⒄J證用戶信息加密存放在本地數(shù)據(jù)庫。日志支持Welf、Syslog等多種日志格式的輸出。支持通過第三方軟件來查看日志。支持日志分級。支持對接收到的日志進行緩沖存儲。支持安全審計系統(tǒng)（TA-L）,獲得更詳盡的日志分析和審計功能。TA-L除接受防火墻日志外還能接受交換機、路由器、操作系統(tǒng)、應(yīng)用系統(tǒng)和 其他安全產(chǎn)品的日志進行聯(lián)合分析?？蓪θ罩具M行加密傳輸。監(jiān)控支持網(wǎng)絡(luò)接口、 CPU利用率、內(nèi)存使用率、操作系統(tǒng)狀況、網(wǎng)絡(luò)狀況、硬件系 統(tǒng)、進程、進程內(nèi)存、加密卡狀況的監(jiān)測?？筛鶕?jù)配置文

30、件進行錯誤恢復(fù)。報警內(nèi)置了 “管理”、“系統(tǒng)”、“安全”、“策略”、“通信”、“硬件”、“容 錯”、“測試”等多種觸發(fā)報警的事件類。支持郵件、NETBIOS、聲音、SNMP、控制臺等多種組合報警方式。帶寬管理QoS流量整形QOS帶寬管理。根據(jù)IP、協(xié)議、網(wǎng)絡(luò)接口、時間定義帶寬分配策略。支持最小保證帶寬和最大限制帶寬。支持分層的帶寬管理。優(yōu)先級支持8級優(yōu)先級控制。局可用性雙機熱備支持雙機熱備（Active-Active ,與 Active-Standby兩種模式）。支持系統(tǒng)故障切換，包括主設(shè)備搶狀態(tài)開關(guān)功能，控制主設(shè)備是否在設(shè)備恢復(fù)正常情況時搶回主設(shè)備狀態(tài)。支持VPN網(wǎng)關(guān)的雙機熱備功能。支持集群

31、工作模式。設(shè)備切換不影響 FTP、SQLNET、VoIP H323、SIP協(xié)議應(yīng)用。實時的配置同步或非實時的配置同步。負載均衡支持輪詢、加權(quán)輪叫、最少連接、加權(quán)最少鏈接等多種服務(wù)器負載均衡方式。支持生成樹協(xié)議，實現(xiàn)鏈路負載均衡。其它功能支持鏈路備份功能。支持雙系統(tǒng)引導(dǎo)。支持Watchdog功能。配置管理配置方式支持WEB圖形配置、命令行配置。支持本地配置、遠程配置。支持基于SSH、SSL的安全配置。命令行支持配置命令分級保護。支持中英文。支持命令超時、歷史命令、命令補齊、命令幫助、命令錯誤提示等功能。SNMP支持 SNMP 的 v1、v2、v2c、v3 版本。與當(dāng)前通用的網(wǎng)絡(luò)管理平臺兼容，如H

32、P Openview等。豐富的私有MIB系統(tǒng)信息。系統(tǒng)升級支持雙系統(tǒng)升級。支持遠程維護和系統(tǒng)升級。支持TFTP、FTP、HTTP方式升級。報文調(diào)試提供強大的報文調(diào)試功能，可以幫助網(wǎng)絡(luò)管理員或安全管理員發(fā)現(xiàn)、調(diào)試和解決問題。配置恢復(fù)可以進行配置文件的備份、下載、刪除、恢復(fù)和上載。 各類資源對象、安全策略可單獨導(dǎo)入、導(dǎo)出。策略檢查與 配置安全策略的矛盾自動檢查。符合指定地址的安全策略查找。方便高效地動態(tài)資源對象名過濾。每個安全策略的獨立起停。安全策略命中記數(shù)。時鐘調(diào)整支持網(wǎng)絡(luò)時鐘協(xié)議 NTP,可自動根據(jù)NTP服務(wù)器時鐘調(diào)整本機時間。其它擴展能力開放式的架構(gòu)支持擴展各種軟硬件模塊，如擴展防病毒、防垃圾郵件、IPSECVPN、 SSL VPN、 IPS等功能以及各種 VPN力口速卡。5運行環(huán)境與標(biāo)準(zhǔn)TG-5