防火墻安全解決方案建議書(shū)

密密級(jí)：

文檔編號(hào)：

項(xiàng)目代號(hào)：廣西XX單位網(wǎng)絡(luò)安全方案建議書(shū)網(wǎng)御神州科技（北京）有限公司

目錄1概述 31.1引言 32網(wǎng)絡(luò)現(xiàn)狀分析 42.1網(wǎng)絡(luò)現(xiàn)狀描述 42.2網(wǎng)絡(luò)安全建設(shè)目標(biāo) 43安全方案設(shè)計(jì) 43.1方案設(shè)計(jì)原則 43.2網(wǎng)絡(luò)邊界防護(hù)安全方案 53.3安全產(chǎn)品配置和報(bào)價(jià) 73.4安全產(chǎn)品推薦 74項(xiàng)目實(shí)施和產(chǎn)品服務(wù)體系 124.1一年硬件免費(fèi)保修 134.2快速響應(yīng)服務(wù) 134.3免費(fèi)咨詢服務(wù) 134.4現(xiàn)場(chǎng)服務(wù) 134.5建立檔案 131概述1.1引言隨著政府上網(wǎng)、電子商務(wù)、網(wǎng)上娛樂(lè)、網(wǎng)上證券、網(wǎng)上銀行等一系列網(wǎng)絡(luò)使用的蓬勃發(fā)展，Internet正在越來(lái)越多地離開(kāi)原來(lái)單純的學(xué)術(shù)環(huán)境，融入到社會(huì)的各個(gè)方面。一方面，網(wǎng)絡(luò)用戶成分越來(lái)越多樣化，出于各種目的的網(wǎng)絡(luò)入侵和攻擊越來(lái)越頻繁；另一方面，網(wǎng)絡(luò)使用越來(lái)越深地滲透到金融、證券、商務(wù)、國(guó)防等等關(guān)鍵要害領(lǐng)域。換言之，Internet網(wǎng)的安全，包括其上的信息數(shù)據(jù)安全和網(wǎng)絡(luò)設(shè)備服務(wù)的運(yùn)行安全，日益成為和國(guó)家、政府、企業(yè)、個(gè)人的利益休戚相關(guān)的大事。網(wǎng)御神州科技（北京）有限公司是一家具有國(guó)內(nèi)一流技術(shù)水平，擁有多年信息安全從業(yè)經(jīng)驗(yàn)，由信息安全精英技術(shù)團(tuán)隊(duì)組成的信息安全公司。

公司以開(kāi)發(fā)一流的信息安全產(chǎn)品，提供專(zhuān)業(yè)的信息安全服務(wù)為主業(yè)，秉承“安全創(chuàng)造價(jià)值”的業(yè)務(wù)理念，以追求卓越的專(zhuān)業(yè)精神，誠(chéng)信負(fù)責(zé)的服務(wù)態(tài)度以及業(yè)界領(lǐng)先的技術(shù)和產(chǎn)品，致力于成為“客戶最值得信賴的信息安全體系設(shè)計(jì)師和建設(shè)者”，從而打造一流的民族信息安全品牌，為神州大地的信息化建設(shè)保駕護(hù)航。

網(wǎng)御神州有幸能夠參和XX單位的信息化的安全規(guī)劃，并且在前期和信息中心領(lǐng)導(dǎo)進(jìn)行了交流和研討，本方案以前期交流的結(jié)果為基礎(chǔ)，將圍繞著目前的網(wǎng)絡(luò)現(xiàn)狀、使用系統(tǒng)等因素，為XX單位提供邊界網(wǎng)絡(luò)防護(hù)方案，希望該方案能夠?yàn)閄X單位安全建設(shè)項(xiàng)目提供有益的參考。2網(wǎng)絡(luò)現(xiàn)狀分析2.1網(wǎng)絡(luò)現(xiàn)狀描述目前XX單位已經(jīng)采用快速以太網(wǎng)技術(shù)建成了內(nèi)部的辦公網(wǎng)絡(luò)，網(wǎng)絡(luò)分為兩部分：內(nèi)部辦公網(wǎng)絡(luò)、外部辦公網(wǎng)絡(luò)。外部辦公網(wǎng)絡(luò)部分有通向互聯(lián)網(wǎng)的出口，但沒(méi)有采用任何邊界防護(hù)的設(shè)備。內(nèi)部辦公網(wǎng)絡(luò)部分和外部辦公網(wǎng)絡(luò)部分是物理隔離的，因此當(dāng)內(nèi)部辦公用機(jī)需要訪問(wèn)互聯(lián)網(wǎng)的時(shí)候，必須手工切換到外部網(wǎng)絡(luò)。2.2網(wǎng)絡(luò)安全建設(shè)目標(biāo)XX單位網(wǎng)絡(luò)安全的建設(shè)目標(biāo)包含以下內(nèi)容：保障辦公網(wǎng)資源受控合法的使用保證辦公網(wǎng)資源可控合法的使用，確保特定的用戶擁有特定的權(quán)限，合理的使用網(wǎng)絡(luò)資源，防止偽冒和惡意濫用網(wǎng)絡(luò)資源。保障辦公網(wǎng)用戶安全便捷的訪問(wèn)互聯(lián)網(wǎng)在訪問(wèn)互聯(lián)網(wǎng)的同時(shí)，保證辦公網(wǎng)內(nèi)部用戶不受到來(lái)自Internet的非法訪問(wèn)或惡意入侵，保證網(wǎng)絡(luò)的安全性和私密性。3安全方案設(shè)計(jì)3.1方案設(shè)計(jì)原則網(wǎng)御神州嚴(yán)格按照國(guó)家相關(guān)規(guī)定進(jìn)行系統(tǒng)方案設(shè)計(jì)。設(shè)計(jì)方案中遵守的設(shè)計(jì)原則為：統(tǒng)一性 系統(tǒng)必須統(tǒng)一規(guī)范、統(tǒng)一標(biāo)準(zhǔn)、統(tǒng)一接口，使用國(guó)際標(biāo)準(zhǔn)、國(guó)家標(biāo)準(zhǔn)，采用統(tǒng)一的系統(tǒng)體系結(jié)構(gòu)，以保持系統(tǒng)的統(tǒng)一性和完整性。實(shí)用性系統(tǒng)能最大限度滿足XX單位的需求，結(jié)合實(shí)際情況，在對(duì)業(yè)務(wù)系統(tǒng)進(jìn)行設(shè)計(jì)和優(yōu)化的基礎(chǔ)上進(jìn)行設(shè)計(jì)。先進(jìn)性無(wú)論對(duì)業(yè)務(wù)系統(tǒng)的設(shè)計(jì)還是對(duì)信息系統(tǒng)和網(wǎng)絡(luò)的設(shè)計(jì)，都要采用成熟先進(jìn)的技術(shù)、手段、方法和設(shè)備。可擴(kuò)展性系統(tǒng)的設(shè)計(jì)必須考慮到未來(lái)發(fā)展的需要，具有良好的可擴(kuò)展性和良好的可升級(jí)性。安全性必須建立可靠的安全體系，以防止對(duì)信息系統(tǒng)的非法侵入和攻擊。保密性信息系統(tǒng)的有關(guān)業(yè)務(wù)信息，資金信息等必須有嚴(yán)格的管理措施和技術(shù)手段加以保護(hù)，以免因泄密而造成國(guó)家、單位和個(gè)人的損失。3.2網(wǎng)絡(luò)邊界防護(hù)安全方案在網(wǎng)絡(luò)邊界部署硬件防火墻。防火墻主要解決網(wǎng)絡(luò)邊界的安全問(wèn)題，通過(guò)邊界保護(hù)，可以有效規(guī)避大部分網(wǎng)絡(luò)層安全威脅，并降低系統(tǒng)層安全威脅對(duì)XX單位網(wǎng)絡(luò)平臺(tái)的影響，防范不同網(wǎng)絡(luò)區(qū)域之間的非法訪問(wèn)和攻擊，確保XX單位各個(gè)區(qū)域的有序訪問(wèn)。XX單位防火墻配置部署的網(wǎng)絡(luò)示意圖如下：根據(jù)用戶的需求，可在防火墻上設(shè)置如下安全策略：利用網(wǎng)御神州防火墻的智能過(guò)濾技術(shù)，實(shí)現(xiàn)基于協(xié)議、源/目的地址、端口、時(shí)間、訪問(wèn)控制。例如：可以對(duì)辦公網(wǎng)內(nèi)的用戶設(shè)定具體的訪問(wèn)時(shí)間段：上班時(shí)間允許互聯(lián)網(wǎng)，下班時(shí)間禁止；也可以限定用戶訪問(wèn)互聯(lián)網(wǎng)的資源：允許正常訪問(wèn)網(wǎng)頁(yè)，但不允許使用聊天和網(wǎng)絡(luò)游戲。利用網(wǎng)御神州防火墻的IP+MAC地址綁定的功能，避免內(nèi)部用戶通過(guò)盜用IP地址獲得其他高級(jí)用戶的權(quán)限，一旦出現(xiàn)用戶私自改動(dòng)IP地址，將斷掉該用戶和互聯(lián)網(wǎng)的連接。并且網(wǎng)御神州防火墻支持MAC地址自學(xué)習(xí)的功能，非常方便地設(shè)置本項(xiàng)安全策略；結(jié)合IP+MAC地址綁定的功能，針對(duì)每個(gè)用戶的IP+MAC地址分配一定的帶寬，利用網(wǎng)御神州防火墻高精度的QOS功能實(shí)現(xiàn)網(wǎng)絡(luò)流量的控制，確保每個(gè)用戶無(wú)法占用超出標(biāo)準(zhǔn)的帶寬資源；利用網(wǎng)御神州防火墻防火墻的日志功能記錄完整日志和統(tǒng)計(jì)報(bào)表等資料，便于網(wǎng)絡(luò)管理人員針對(duì)辦公網(wǎng)的活動(dòng)情況進(jìn)行監(jiān)控和審計(jì)，有效發(fā)現(xiàn)辦公網(wǎng)中存在的問(wèn)題；利用靈活多樣的告警手段（告警，日志，SNMP陷阱等）實(shí)現(xiàn)對(duì)違規(guī)行為的告警；3.3安全產(chǎn)品配置和報(bào)價(jià)配置方案一（推薦方案）產(chǎn)品型號(hào)產(chǎn)品描述部署地點(diǎn)數(shù)量產(chǎn)品單價(jià)（人民幣）備注說(shuō)明網(wǎng)御神州SecGate3600-F3企業(yè)級(jí)百兆防火墻，1U機(jī)箱，處理能力400M，標(biāo)配4XX單位信息中心168，000配置方案二（經(jīng)濟(jì)型方案）產(chǎn)品型號(hào)產(chǎn)品描述部署地點(diǎn)數(shù)量產(chǎn)品單價(jià)（人民幣）備注說(shuō)明網(wǎng)御神州SecGate3600-F2小型企業(yè)百兆防火墻，1U機(jī)箱，處理能力150M，標(biāo)配7個(gè)10/100M自適應(yīng)RJ45接口XX單位信息中心138，0003.4安全產(chǎn)品推薦根據(jù)XX單位網(wǎng)絡(luò)現(xiàn)狀以及對(duì)安全產(chǎn)品的安全需求，本方案推薦在使用網(wǎng)御神州的SecGate3600-F系列百兆級(jí)防火墻，該防火墻是基于狀態(tài)檢測(cè)包過(guò)濾和使用級(jí)代理的復(fù)合型硬件防火墻，是專(zhuān)門(mén)面向大中型企業(yè)、政府、軍隊(duì)、高校等用戶開(kāi)發(fā)的新一代專(zhuān)業(yè)防火墻設(shè)備。支持外部攻擊防范、內(nèi)網(wǎng)安全、網(wǎng)絡(luò)訪問(wèn)權(quán)限控制、網(wǎng)絡(luò)流量監(jiān)控和帶寬管理、網(wǎng)頁(yè)內(nèi)容過(guò)濾、郵件內(nèi)容過(guò)濾等功能，能夠有效地保證網(wǎng)絡(luò)的安全；產(chǎn)品提供靈活的網(wǎng)絡(luò)路由/橋接能力，支持策略路由，多出口鏈路聚合；提供多種智能分析和管理手段，支持郵件告警，支持日志審計(jì)，提供全面的網(wǎng)絡(luò)管理監(jiān)控，協(xié)助網(wǎng)絡(luò)管理員完成網(wǎng)絡(luò)的安全管理。SecGate3600-F防火墻六大特色1、獨(dú)立的SecOS安全協(xié)議棧完全自主知識(shí)產(chǎn)權(quán)的SecOS實(shí)現(xiàn)防火墻的控制層和數(shù)據(jù)轉(zhuǎn)發(fā)層分離，全模塊化設(shè)計(jì)，實(shí)現(xiàn)獨(dú)立的安全協(xié)議棧，消除了因操作系統(tǒng)漏洞帶來(lái)的安全性問(wèn)題，以及操作系統(tǒng)升級(jí)、維護(hù)對(duì)防火墻功能的影響。同時(shí)也減少了因?yàn)橛布脚_(tái)的更換帶來(lái)的重復(fù)開(kāi)發(fā)問(wèn)題。由于采用先進(jìn)的設(shè)計(jì)理念，使該SecOS具有更高的安全性、開(kāi)放性、擴(kuò)展性和可移植性。硬件抽象層硬件抽象層SecOS安全協(xié)議?？刂平涌谂渲霉芾硎褂密浖D3.1SecGate3600-F防火墻體系架構(gòu)圖2、獨(dú)創(chuàng)的智能高效搜索算法采用獨(dú)創(chuàng)的分段直接尋址搜索算法MSDAL（Multi-StageDirectAddressingLookupAlgorithm），解決了傳統(tǒng)防火墻隨著安全策略數(shù)的增加其性能逐漸下降的問(wèn)題，確保您在大量安全策略數(shù)目情況下仍能獲取最高的網(wǎng)絡(luò)性能！3、深度的網(wǎng)絡(luò)行為關(guān)聯(lián)分析采用數(shù)據(jù)包內(nèi)容的深度網(wǎng)絡(luò)行為關(guān)聯(lián)分析技術(shù)，讓您不再為各種專(zhuān)有動(dòng)態(tài)協(xié)議如H.323、FTP、SQL.Net等的控制“愁眉不展”！并且增強(qiáng)了您的網(wǎng)絡(luò)對(duì)于各種DDoS攻擊的防范能力！4、全面的連接狀態(tài)監(jiān)控和實(shí)時(shí)阻斷全面的連接狀態(tài)監(jiān)控，讓您及時(shí)掌握網(wǎng)絡(luò)運(yùn)行狀態(tài)，配合豐富的連接限制，方便您對(duì)BT/電驢等P2P使用的控制，以及對(duì)感染網(wǎng)絡(luò)蠕蟲(chóng)病毒的主機(jī)進(jìn)行快速定位和實(shí)時(shí)阻斷！5、強(qiáng)大的網(wǎng)絡(luò)拓?fù)渥赃m應(yīng)性適應(yīng)于各種復(fù)雜網(wǎng)絡(luò)拓?fù)?，包括透明橋接、路由以及橋和路由完全自適應(yīng)識(shí)別模式。支持VLAN和VLANTRUNK處理；支持多網(wǎng)絡(luò)出口的鏈路聚合和策略路由；支持生成樹(shù)和每VLAN生成樹(shù)協(xié)議（STP/PVST+）和虛擬路由冗余協(xié)議（VRRP），提供全面可靠的二層鏈路備份和三層路由備份。6、智能便捷的配置向?qū)Ш凸芾矸绞綖榘踩芾韱T提供智能便捷的配置向?qū)В屇p松完成復(fù)雜的安全配置！并提供豐富的管理方式，包括本地Console，撥號(hào)PPP接入，基于Web（HTTPS）瀏覽器，遠(yuǎn)程SSH登錄，以及強(qiáng)大的SecFox集中安全管理方式。主要功能列表：功能分類(lèi)功能概要狀態(tài)檢測(cè)針對(duì)TCP/IP協(xié)議的TCP/UDP/ICMP數(shù)據(jù)包，實(shí)現(xiàn)完整的狀態(tài)包過(guò)濾，完全達(dá)到GB/T-18019《包過(guò)濾防火墻技術(shù)要求》的要求。智能過(guò)濾針對(duì)動(dòng)態(tài)協(xié)議（包括但不限于H.323、FTP、TFTP、OracleTNS、SIP等通信協(xié)議），提供基于協(xié)議分析的智能化動(dòng)態(tài)包過(guò)濾功能，實(shí)時(shí)開(kāi)閉使用程序動(dòng)態(tài)協(xié)商的TCP/UDP端口，最大程度地提升防火墻的安全性。地址轉(zhuǎn)換支持動(dòng)態(tài)地址轉(zhuǎn)換，包括多對(duì)一的地址轉(zhuǎn)換，多對(duì)多的地址轉(zhuǎn)換。支持靜態(tài)地址轉(zhuǎn)換，包括對(duì)內(nèi)部服務(wù)器提供一對(duì)一的地址轉(zhuǎn)換。支持雙向地址轉(zhuǎn)換，滿足對(duì)等網(wǎng)絡(luò)間雙方隱藏內(nèi)部IP地址的要求。支持基于下一跳路由的地址轉(zhuǎn)換，滿足多出口網(wǎng)絡(luò)地址轉(zhuǎn)換負(fù)載均衡的要求。端口映射支持將內(nèi)部提供不同服務(wù)的多個(gè)服務(wù)器地址映射成外部相同地址下的不同端口，在端口映射狀態(tài)下，可同時(shí)提供多種安全的網(wǎng)絡(luò)服務(wù)。支持對(duì)內(nèi)部鏡像服務(wù)器訪問(wèn)的負(fù)載均衡使用代理提供基于TCP的HTTP代理、SMTP代理、FTP代理、TELNET代理、POP3代理以及基于策略的通用代理。支持在透明代理下基于HTTP、FTP、SMTP、POP3協(xié)議的內(nèi)容過(guò)濾。內(nèi)容過(guò)濾針對(duì)HTTP，對(duì)網(wǎng)頁(yè)中java、javascrip、activeX進(jìn)行過(guò)濾。針對(duì)SMTP、POP3，基于發(fā)信人地址、收信人地址、收信人數(shù)、文件大小、郵件主題、正文內(nèi)容、發(fā)件人姓名、收件人姓名、附件文件名、附件內(nèi)容等進(jìn)行關(guān)鍵字匹配過(guò)濾。在狀態(tài)包過(guò)濾方式下，支持URL過(guò)濾和特殊代碼剝離，并支持黑/白名單過(guò)濾策略。連接管理提供保護(hù)主機(jī)、保護(hù)服務(wù)、限制主機(jī)、限制服務(wù)。保護(hù)服務(wù)器或服務(wù)器上提供的某項(xiàng)服務(wù)，限制對(duì)服務(wù)器過(guò)于頻繁的訪問(wèn)。在規(guī)定的時(shí)間內(nèi)，如果某臺(tái)主機(jī)訪問(wèn)服務(wù)器超過(guò)了所限制的次數(shù)，則會(huì)對(duì)該主機(jī)實(shí)行阻斷，在阻斷時(shí)間段內(nèi)，拒絕其對(duì)服務(wù)器的所有訪問(wèn)。也可以使用此功能對(duì)使用BT/電驢等連接數(shù)目過(guò)大嚴(yán)重影響網(wǎng)絡(luò)流量的用戶加以限制。用戶認(rèn)證支持網(wǎng)絡(luò)協(xié)議層用戶認(rèn)證，可以為包過(guò)濾、雙向NAT、代理等訪問(wèn)控制提供用戶認(rèn)證功能。提供基于電子鑰匙的用戶身份認(rèn)證。支持用戶和組管理，支持用戶策略控制（源IP綁定、可訪問(wèn)目的IP和服務(wù)），支持對(duì)用戶帳號(hào)的流量控制和時(shí)間控制。提供和標(biāo)準(zhǔn)radius服務(wù)器(PAP)聯(lián)動(dòng)的用戶認(rèn)證。提供本地認(rèn)證庫(kù)實(shí)現(xiàn)基于角色的用戶策略，并和安全規(guī)則策略配合完成強(qiáng)訪問(wèn)控制。支持PAP和S/Key認(rèn)證協(xié)議。提供在線用戶監(jiān)控功能。時(shí)間控制支持安全規(guī)則時(shí)間調(diào)度。支持用戶策略時(shí)間調(diào)度。支持一次性和周期性時(shí)間調(diào)度規(guī)則。帶寬管理支持基于IP地址、使用協(xié)議的帶寬管理。支持基于用戶的帶寬管理（通過(guò)身份認(rèn)證的用戶，可以指定帶寬）。支持最小保證帶寬和最大限制帶寬設(shè)置。支持帶寬優(yōu)先級(jí)的設(shè)定。地址綁定提供IP/MAC地址綁定檢查功能，可有效解決網(wǎng)絡(luò)管理中IP地址盜用問(wèn)題。可以設(shè)置綁定的默認(rèn)策略，提供IP/MAC對(duì)的唯一性檢查。提供地址對(duì)和網(wǎng)口的綁定功能，可以及時(shí)定位盜用合法IP/MAC地址對(duì)的非法用戶。提供IP/MAC自動(dòng)探測(cè)功能。抗DoS攻擊支持對(duì)拒絕服務(wù)攻擊的防范，可以防范syn_flood、pingflood、udpflood、teardrop、sweep、land、pingofdeath、smurf、碎片攻擊、WINNUKE、圣誕樹(shù)攻擊等。配合防火墻上的IDS功能，可以抵抗更多種類(lèi)的攻擊。入侵聯(lián)動(dòng)支持和網(wǎng)御神州、啟明星晨、中科網(wǎng)威、北方計(jì)算中心等主流入侵檢測(cè)系統(tǒng)的聯(lián)動(dòng)。策略路由提供目的路由和源地址路由功能以及目的路由負(fù)載均衡。安全管理提供遠(yuǎn)程安全管理和本地管理功能。配置備份提供全中文web界面和專(zhuān)業(yè)化的命令行界面管理方式。提供專(zhuān)用帶外管理口。通過(guò)管理員身份認(rèn)證（電子鑰匙認(rèn)證或證書(shū)認(rèn)證）、管理員級(jí)授權(quán)（包括超級(jí)管理員、配置管理員、策略管理員、審計(jì)管理員）、管理主機(jī)限制、防火墻管理IP限制、防火墻管理方式定義（web管理/命令行管理/SSH方式/PPP+SSH連接）、配置信息加密（支持SSL協(xié)議和SSH協(xié)議），提供方便且安全的配置管理。支持配置的本地下載和上載。模塊升級(jí)提供恢復(fù)防火墻出廠配置功能。提供靈活的軟件升級(jí)方式，適應(yīng)安全需求的快速響應(yīng)。日志審計(jì)提供當(dāng)前CPU和內(nèi)存利用率監(jiān)控。提供HA高可用狀態(tài)監(jiān)控。提供用戶在線狀況監(jiān)控，顯示用戶名、登錄IP、登錄時(shí)間、在線時(shí)間、流入流量和流出流量，可根據(jù)安全策略實(shí)時(shí)中斷某用戶的連接。提供連接數(shù)量和流量監(jiān)控。在防火墻本地能夠靈活地設(shè)置監(jiān)測(cè)的時(shí)間間隔和顯示方式。日志審計(jì)功能提供對(duì)防火墻系統(tǒng)事件和網(wǎng)絡(luò)事件的統(tǒng)計(jì)、查詢、分析。網(wǎng)絡(luò)適應(yīng)性通過(guò)SecGateManager安全管理系統(tǒng)能夠?qū)Ψ阑饓顟B(tài)信息進(jìn)行實(shí)時(shí)監(jiān)控和統(tǒng)計(jì)分析。具有多個(gè)自適應(yīng)網(wǎng)絡(luò)接口，網(wǎng)口數(shù)目可擴(kuò)展，在保證網(wǎng)絡(luò)高度安全和數(shù)據(jù)完整的前提下，同時(shí)具有線速或接近線速的網(wǎng)絡(luò)處理性能。VLAN支持支持每個(gè)網(wǎng)絡(luò)接口設(shè)定多個(gè)IP地址，支持網(wǎng)絡(luò)接口模式的設(shè)定。支持ADSL撥號(hào)連接，自動(dòng)以ADSL獲得的地址為公網(wǎng)地址，用此地址對(duì)內(nèi)部IP做地址轉(zhuǎn)換。適應(yīng)多種網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和VLAN環(huán)境（支持802.1q協(xié)議、Trunk協(xié)議和VLAN間訪問(wèn)控制等）。支持多種工作模式（包括透明模式、純路由模式、混合模式）。滿足復(fù)雜網(wǎng)絡(luò)環(huán)境的要求（防火墻冗余、防火墻旁路、防火墻跨接）。支持IEEE802.1Q協(xié)議。多協(xié)議支持支持vlantrunk協(xié)議，并可以對(duì)trunk口中的VLANID進(jìn)行過(guò)濾。支持VTP鏈路聚合協(xié)議。支持STP協(xié)議和BPDU協(xié)議。在路由模式和橋模塊下均支持VLAN間路由。管理口和HA口不支持VLAN協(xié)議。對(duì)TCP/UDP/ICMP協(xié)議的數(shù)據(jù)幀，根據(jù)安全規(guī)則建立狀態(tài)檢測(cè)，完成動(dòng)態(tài)包過(guò)濾。對(duì)非IP協(xié)議的數(shù)據(jù)幀，根據(jù)非IP協(xié)議過(guò)濾策略（允許或禁