天融信防火墙参数
天融信防火墙NGFW4000配置手册
天融信防火墙NGFW4000快速配置手册之勘阻及广创作目录一、防火墙的几种管理方式41.串口管理52.TELNET管理53.SSH管理64.WEB管理65.GUI管理7二、命令行经常使用配置81.系统管理命令(SYSTEM)8命令9功能9WEBUI界面操纵位置9二级命令名9V ERSION9系统版本信息9系统>基本信息9INFORMATION9当前设备状态信息9系统>运行状态9TIME9系统时钟管理9系统>系统时间9CONFIG9系统配置管理9管理器工具栏“保管设定”按钮9 REBOOT9重新启动9系统>系统重启9SSHD9SSH服务管理命令9系统>系统服务9TELNETD9TELNET服务管理9系统>系统服务命令9HTTPD9HTTP服务管理命9系统>系统服务令9MONITORD9MONITOR9服务管理命令无92.网络配置命令(NETWORK)9 3.双机热备命令(HA)94.定义对象命令(DEFINE)105.包过滤命令(PF)106.显示运行配置命令(SHOW_RUNNING)10 7.保管配置命令(SAVE)10三、WEB界面经常使用配置111.系统管理配置11A)系统 > 基本信息11B)系统 > 运行状态11C)系统 > 配置维护11D)系统 > 系统服务11E)系统 > 开放服务11F)系统 > 系统重启112.网络接口、路由配置11A)设置防火墙接口属性11B)设置路由123.对象配置14A)设置主机对象14B)设置范围对象14C)设置子网对象14D)设置地址组14E)自定义服务15F)设置区域对象15G)设置时间对象164.访问战略配置175.高可用性配置18四、透明模式配置示例20拓补结构:201.用串口管理方式进入命令行20 2.配置接口属性203.配置VLAN214.配置区域属性215.定义对象216.添加系统权限217.配置访问战略218.配置双机热备22五、路由模式配置示例23拓补结构:231.用串口管理方式进入命令行23 2.配置接口属性233.配置路由244.配置区域属性245.配置主机对象246.配置访问战略247.配置双机热备24一、防火墙的几种管理方式1.串口管理第一次使用网络卫士防火墙,管理员可以通过 CONSOLE 口以命令行方式进行配置和管理。
天融信NGFW4000-uf参数
防火墙应符合以下功能要求1、防火墙应支持多种工作模式:透明、路由以及透明加路由的综合模式。
2、防火墙的访问控制策略能够基于源、目IP地址,源、目端口号和时间进行设置。
3、采用硬件及软件功能模块化技术;4、支持服务器的SYN代理功能;5、支持根据认证用户的名称进行匹配通信策略;6、防火墙支持在透明模式下nat/map的功能;7、防火墙支持web重定向功能;8、防火墙支持DHCP作为客户端和服务器;9、防火墙默认管理端口可以更改;10、支持TOPSEC协议,能够与第三方安全产品进行很好的联动,尤其是与IDS产品和URL产品的联动。
11、应支持802.1Q、Cisco ISL等VLAN协议,并能支持ISL的封装和解封的功能,支持STP(生成数协议)。
12、支持WATCH DOG电路,能够实现防火墙的自动检测和恢复。
13、支持基于服务器的负载均衡技术,支持基于数据库的长连接应用14、支持与RADIUS、CA、OTP服务器的联动15、防火墙应采用先进的状态检测技术与核检测技术。
16、可支持动态、静态、双向的网络地址转换(NAT)。
17、具备完善的日志功能,能够提供日志自动导出功能,支持向日志服务器导出日志,提供标准化的日志。
18、应支持常见的动态路由协议,如OSPF、RIP、RIPII。
19、防火墙应支持SNMP协议V3版本,同时提供相应的MIB库文件, 能通过第三方网管软件对防火墙进行监测和控制。
20、要求能够提供基于源地址和目的地址的路由功能。
满足的性能要求:1、最大并发连接数不低于1,200,000。
2、带宽管理、与IDS联动3、吞吐量不低于2G4、平均无故障时间MTBF:不低于60000小时。
5、三年免费软件升级及服务6、认证级别要达到EAL3。
天融信TopsecNGFW系列防火墙介绍
天融信 NGFW-UF-TG-5044
5
天融信 NGFW-TG-1610(1)
基本描述 网络接口
属于网络卫士系列防火墙中的低端产品,以其安全、高效、可靠、应用广泛、方便灵活等特点,特别 适用于行业分支机构、中小型企业、教育行业非骨干节点院校等中小用户,充分满足中小用户的需求 。 标配10个10/101BASE-T接口 控制台PC的OS平台为Windows;防火墙OS平台为TOS(Topsec Operating System),版本为v3.3。OS 网络吞吐量1G 最大并发连接数80万 支持 支持对p2p协议进行阻断和限制等功能,提供150多种应用程序识别,并实时在线更新识别库,支持对 于应用协议流量的年/月/日图表显示 支持web分类过滤功能。提供包括9个大类、87个小类、百万级别的url库,并支持手动、自动更新。 包括GUI、WEB界面、命令行界面等。支持远程集中管理功能。包括本地升级和远程在线升级;相同型 号、相同主版本的软件升级终身免费,升级内容包括产品主要版本的故障排除、版本维护、故障修复 、补丁、小版本升级 1年 三级
11
成功案例(政府)
国家卫生部
2002年,国家卫生部内联网安全工程项目覆盖全国从国家局到省级共35个节点,全部采用天融 信的防火墙产品。 2003年,中国疾病预防控制中心作为国家疾病预防体系建设的主管部门,于2003年SARS时期后 ,在卫生部的指导下该中心开始启动突发公共卫生事件应急机制检测信息系统I期建设项目,为了 保障该系统安全运行,中心经过前期多方面的考察和选择,最后在一级防火墙及VPN集成项目中选 择了天融信公司作为本次安全的合作伙伴,整个项目涉及NGFW4000防火墙、VPN、SCM、ADS多套, VPN客户端VRC覆盖全国2万个节点。
天融信防火墙配置手册
TCP:80(HTTP服务),测试能否连入互联网。 9) PING 某一网站域名(网址),记住其IP地址,通过访问策略禁止本机
PING此IP地址。
下半部份
二 、通过防火墙透明模式测试区域网络的访问控制: 说明: 防火墙透明模式可以让同一网段在不同区域的主机进行通信。
1)把需要测试的目标主机操作系统中网关地址 (在网络属性中设置) 删 除。
2)在目标主机无网关情况下, 增加一个访问策略,允许本机(策略源) 访问该目标主机(策略目的),测试与该主机连接情况。
3) 进入‘高级管理’→‘通信策略’→ 增加本机(策略源)到该目标 主机(策略目的)的通讯策略,通信方式选择NAT方式。
(6) 在‘网络’→‘区域’,设置所有区域缺省权限为允许,再建 立一个访问策略,禁止PING对方某一主机的访问策略。测试与对方 主机的连通性。
7)根据需要,自行定义策略,设置权限。 说明:如果选择整个区域,如选择‘INTRANET区域”,则指包括 连入INTRANET内的所有主机。
可以通过策略的优先级,把范围小的策略优先级设置为高于范围 大的策略,能够有效控制不同区域之间的访问对象和策略服务。这 样先满足范围小的策略,超过这个范围则再受到范围大的策略限制。
主机节点对象的建立
接下来在防火墙三个区域‘缺省权限’设为‘禁止访问’的情况下, 做以下步骤: ➢STEP4: 主机节点对象建立
高级管理→网络对象→本主机所在区域→定义新对象→定义节点 把本主机IP地址定义为一个节点。定义名称可任意,物理地址可不 填。 说明:定义对象应在该对象所在区域内设置。本机在哪个区域,则在 那个区域内设置。定义节点针对一个主机定义,定义子网可定义一个网 络地址段。定义对象没有任何权限的作用,只有通过访问策略(STEP5 设置)调用这些对象才能设置权限。
天融信防火墙NGFW4000配置手册簿
天融信防火墙NGFW4000快速配置手册目录一、防火墙的几种管理方式 (6)1.串口管理 (6)2.TELNET管理 (8)3.SSH管理 (9)4.WEB管理 (10)5.GUI管理 (11)二、命令行常用配置 (17)1.系统管理命令(SYSTEM) (18)命令 (18)功能 (18)WEBUI界面操作位置 (18)二级命令名 (18)V ERSION (18)系统版本信息 (18)系统>基本信息 (18)INFORMATION (18)当前设备状态信息 (18)系统>运行状态 (18)TIME (18)系统>系统时间 (18)CONFIG (18)系统配置管理 (18)管理器工具栏“保存设定”按钮 (18)REBOOT (18)重新启动 (18)系统>系统重启 (18)SSHD (18)SSH服务管理命令 (18)系统>系统服务 (18)TELNETD (18)TELNET服务管理 (18)系统>系统服务命令 (18)HTTPD (18)HTTP服务管理命 (18)系统>系统服务令 (18)MONITORD (18)MONITOR (18)服务管理命令无 (18)2.网络配置命令(NETWORK) (18)3.双机热备命令(HA) (19)4.定义对象命令(DEFINE) (19)6.显示运行配置命令(SHOW_RUNNING) (20)7.保存配置命令(SAVE) (20)三、WEB界面常用配置 (21)1.系统管理配置 (21)A)系统> 基本信息 (21)B)系统> 运行状态 (22)C)系统> 配置维护 (22)D)系统> 系统服务 (22)E)系统> 开放服务 (23)F)系统> 系统重启 (23)2.网络接口、路由配置 (23)A)设置防火墙接口属性 (23)B)设置路由 (26)3.对象配置 (28)A)设置主机对象 (28)B)设置范围对象 (29)C)设置子网对象 (29)D)设置地址组 (30)E)自定义服务 (31)F)设置区域对象 (31)G)设置时间对象 (32)4.访问策略配置 (33)四、透明模式配置示例 (39)拓补结构: (39)1.用串口管理方式进入命令行 (39)2.配置接口属性 (39)3.配置VLAN (40)4.配置区域属性 (40)5.定义对象 (40)6.添加系统权限 (40)7.配置访问策略 (40)8.配置双机热备 (41)五、路由模式配置示例 (42)拓补结构: (42)1.用串口管理方式进入命令行 (42)2.配置接口属性 (42)3.配置路由 (43)4.配置区域属性 (43)5.配置主机对象 (43)6.配置访问策略 (43)7.配置双机热备 (43)一、防火墙的几种管理方式1.串口管理第一次使用网络卫士防火墙,管理员可以通过CONSOLE 口以命令行方式进行配置和管理。
天融信NGFW4000-UF-l-m防火墙
支持主备、负载均衡及连接保护,支持服务器的负载均衡,提供轮询、加权轮询、最少连接、加权最少连接、源/目的地址HASH等多种负载均衡方式
支持非法报文攻击防护(如land、Smurf、Pingofdeath、winnuke、tcp_sscan、ip_option、teardrop、targa3、ipspoof等等)与统计型报文攻击防护(如Synflood、Icmpflood、Udpflood、Portscan、ipsweep)
网络防火墙预算价格¥98500
参数要求
采用专用硬件架构与专用安全操作系统,基于操作系统内核的完全检测技术;专用的双安全操作系统具有自主知识产权(提供截图)。
6个10/100/1000M自适应电口,4个千兆光口,最大配置22个接口
性能参数要求
防火墙吞吐量≥8Gbps
最大并发连接≥350万
每秒新建连接≥6万
★支持路由的反向路径查询功能,以防止基于源地址欺骗的网络攻击行为;(需提供截图证明,加盖厂商公章)
反垃圾邮件需支持设置黑名单、白名单、灰名单。
采用基于访问控制策略的一体化带宽管理模式,能够针对用户、用户组、IP、MAC、时间、应用等进行带宽管理,并且支持共享策略、独享策略、访问控制独享策略等多种带宽策略类型,要求支持基于COS、DSCP方式的数据标识;(需提供截图证明,加盖厂商公章)
支持端口镜像功能,要求能够基于IP、网络协议等条件对镜像流量进行过滤,并且支持入方向、出方向及双向流量镜像
至少支持4路ADSL拨号接入,多ADSL链路能够基于ECMP、WCMP进行路由均衡,能够针对每条ADSL链路单独设置保证带宽;(需提供截图证明,加盖厂商公章)
天融信防火墙NGFW4000配置手册[精品文档]
天融信防火墙NGFW4000快速配置手册目录一、防火墙的几种管理方式 (4)1.串口管理 (4)2.TELNET管理 (5)3.SSH管理 (6)4.WEB管理 (7)5.GUI管理 (8)二、命令行常用配置 (13)1.系统管理命令(SYSTEM) (13)命令 (13)功能 (13)WEBUI界面操作位置 (13)二级命令名 (13)V ERSION (13)系统版本信息 (13)系统>基本信息 (13)INFORMATION (13)当前设备状态信息 (13)系统>运行状态 (13)TIME (13)系统时钟管理 (13)系统>系统时间 (13)CONFIG (13)系统配置管理 (13)管理器工具栏“保存设定”按钮 (13)REBOOT (13)重新启动 (13)系统>系统重启 (13)SSHD (13)SSH服务管理命令 (13)系统>系统服务 (13)TELNETD (13)TELNET服务管理 (13)系统>系统服务命令 (13)HTTPD (13)HTTP服务管理命 (13)系统>系统服务令 (13)MONITORD (14)MONITOR (14)服务管理命令无 (14)3.双机热备命令(HA) (14)4.定义对象命令(DEFINE) (14)5.包过滤命令(PF) (14)6.显示运行配置命令(SHOW_RUNNING) (14)7.保存配置命令(SAVE) (14)三、WEB界面常用配置 (15)1.系统管理配置 (15)A)系统> 基本信息 (15)B)系统> 运行状态 (15)C)系统> 配置维护 (16)D)系统> 系统服务 (16)E)系统> 开放服务 (17)F)系统> 系统重启 (17)2.网络接口、路由配置 (17)A)设置防火墙接口属性 (17)B)设置路由 (19)3.对象配置 (21)A)设置主机对象 (21)B)设置范围对象 (22)C)设置子网对象 (22)D)设置地址组 (23)E)自定义服务 (23)F)设置区域对象 (24)G)设置时间对象 (24)4.访问策略配置 (25)5.高可用性配置 (28)四、透明模式配置示例 (30)拓补结构: (30)1.用串口管理方式进入命令行 (30)2.配置接口属性 (30)3.配置VLAN (30)4.配置区域属性 (30)5.定义对象 (30)6.添加系统权限 (30)7.配置访问策略 (31)8.配置双机热备 (31)五、路由模式配置示例 (32)拓补结构: (32)1.用串口管理方式进入命令行 (32)2.配置接口属性 (32)3.配置路由 (32)4.配置区域属性 (32)6.配置访问策略 (32)7.配置双机热备 (33)一、防火墙的几种管理方式1.串口管理第一次使用网络卫士防火墙,管理员可以通过 CONSOLE 口以命令行方式进行配置和管理。
天融信防火墙操作
05
防火墙策略配置
防火墙的访问控制列表配置
总结词
控制网络访问权限
详细描述
通过配置访问控制列表(ACL),可以精确地控制哪些数据包可以通过防火墙,哪些数 据包被拒绝。ACL可以根据源IP地址、目的IP地址、协议类型、端口号等条件进行设置,
从而实现精细化的网络访问控制。
防火墙的流量控制配置
总结词
管理网络流量
防火墙配置丢失故障排除
总结词
备份恢复配置、检查存储设备、确认配置 文件完整性
检查存储设备
如果防火墙配置存储在外部存储设备上, 检查存储设备的连接和状态,确保存储设
备正常工作且无损坏。
备份恢复配置
在进行任何配置更改之前,建议先备份防 火墙的当前配置。一旦配置丢失,可以恢 复到备份的配置。
确认配置文件完整性
升级硬件设备
在必要情况下,考虑升级防火墙设备 的硬件组件,如增加内存、更换更快 的处理器等,以提高性能。
THANKS
感谢观看
将特定内部端口映射到外部端口, 实现服务器的负载均衡和端口复 用功能。
防火墙的VPN配置
IPsec VPN配置
通过加密和认证机制,在互联网上建立安全的 数据传输通道。
L2TP VPN配置
利用L2TP协议在互联网上建立二层隧道,实现 远程用户访问公司内部网络的需求。
PPTP VPN配置
利用PPTP协议在互联网上建立隧道,提供较为简单的加密和认证功能。
配置区域间访问控制
根据安全需求,配置区域间的访问控制策略,限制不同区域间的通信 和访问权限。
04
防火墙高级操作
防火墙的路由配置
静态路由配置
01
通过手动设置路由表项,指定数据包从特定接口发送到特定网
天融信NGFW4000-uf参数
防火墙应符合以下功能要求1、防火墙应支持多种工作模式:透明、路由以及透明加路由的综合模式。
2、防火墙的访问控制策略能够基于源、目IP地址,源、目端口号和时间进行设置。
3、采用硬件及软件功能模块化技术;4、支持服务器的SYN代理功能;5、支持根据认证用户的名称进行匹配通信策略;6、防火墙支持在透明模式下nat/map的功能;7、防火墙支持web重定向功能;8、防火墙支持DHCP作为客户端和服务器;9、防火墙默认管理端口可以更改;10、支持TOPSEC协议,能够与第三方安全产品进行很好的联动,尤其是与IDS产品和URL产品的联动。
11、应支持802.1Q、Cisco ISL等VLAN协议,并能支持ISL的封装和解封的功能,支持STP(生成数协议)。
12、支持WATCH DOG电路,能够实现防火墙的自动检测和恢复。
13、支持基于服务器的负载均衡技术,支持基于数据库的长连接应用14、支持与RADIUS、CA、OTP服务器的联动15、防火墙应采用先进的状态检测技术与核检测技术。
16、可支持动态、静态、双向的网络地址转换(NAT)。
17、具备完善的日志功能,能够提供日志自动导出功能,支持向日志服务器导出日志,提供标准化的日志。
18、应支持常见的动态路由协议,如OSPF、RIP、RIPII。
19、防火墙应支持SNMP协议V3版本,同时提供相应的MIB库文件,能通过第三方网管软件对防火墙进行监测和控制。
20、要求能够提供基于源地址和目的地址的路由功能。
满足的性能要求:1、最大并发连接数不低于1,200,000。
2、带宽管理、与IDS联动3、吞吐量不低于2G4、平均无故障时间MTBF:不低于60000小时。
5、三年免费软件升级及服务6、认证级别要达到EAL3。
天融信防火墙NGFW4000快速配置手册
一、防火墙的几种管理方式1.串口管理第一次使用网络卫士防火墙,管理员可以通过 CONSOLE 口以命令行方式进行配置和管理。
通过 CONSOLE 口登录到网络卫士防火墙,可以对防火墙进行一些基本的设置。
用户在初次使用防火墙时,通常都会登录到防火墙更改出厂配置(接口、IP 地址等),使在不改变现有网络结构的情况下将防火墙接入网络中。
这里将详细介绍如何通过 CONSOLE口连接到网络卫士防火墙:1)使用一条串口线(包含在出厂配件中),分别连接计算机的串口(这里假设使用 com1)和防火墙的CONSOLE 口。
2)选择开始 > 程序 > 附件 > 通讯 > 超级终端,系统提示输入新建连接的名称。
3)输入名称,这里假设名称为“TOPSEC”,点击“确定”后,提示选择使用的接口(假设使用 com1)。
4)设置 com1 口的属性,按照以下参数进行设置。
5)成功连接到防火墙后,超级终端界面会出现输入用户名/密码的提示,如下图。
6)输入系统默认的用户名:superman 和密码:talent,即可登录到网络卫士防火墙。
登录后,用户就可使用命令行方式对网络卫士防火墙进行配置管理。
2.TELNET管理TELNET管理也是命令行管理方式,要进行TELNET管理,必须进行以下设置:1)在串口下用“pf service add name telnet area area_eth0 addressname any”命令添加管理权限2)在串口下用“system telnetd start”命令启动TELNET管理服务3)知道管理IP地址,或者用“network interface eth0 ip add mask 命令添加管理IP地址4)然后用各种命令行客户端(如WINDOWS CMD命令行)管理:TELNET 最后输入用户名和密码进行管理命令行如图:3.SSH管理SSH管理和TELNET基本一至,只不过SSH是加密的,我们用如下步骤管理:1)在串口下用“pf service add name ssh area area_eth0 addressname any”命令添加管理权限2)在串口下用“system sshd start”命令启动TELNET管理服务3)知道管理IP地址,或者用“network interface eth0 ip add mask 命令添加管理IP地址4)然后用各种命令行客户端(如putty命令行)管理:最后输入用户名和密码进行管理命令行如图:4.WEB管理1)防火墙在出厂时缺省已经配置有WEB界面管理权限,如果没有,可用“pf service add name webui area area_eth0 addressname any”命令添加。
天融信防火墙NGFW4000配置手册
天融信防火墙NGFW4000快速配置手册目录一、防火墙的几种管理方式 (4)1.串口管理 (4)2.TELNET管理 (5)3.SSH管理 (5)4.WEB管理 (6)5.GUI管理 (7)二、命令行常用配置 (12)1.系统管理命令(SYSTEM) (12)命令 (12)功能 (12)WEBUI界面操作位置 (12)二级命令名 (12)V ERSION (12)系统版本信息 (12)系统>基本信息 (12)INFORMATION (12)当前设备状态信息 (12)系统>运行状态 (12)TIME (12)系统时钟管理 (12)系统>系统时间 (12)CONFIG (12)系统配置管理 (12)管理器工具栏“保存设定”按钮 (12)REBOOT (12)重新启动 (12)系统>系统重启 (12)SSHD (12)SSH服务管理命令 (12)系统>系统服务 (12)TELNETD (12)TELNET服务管理 (12)系统>系统服务命令 (12)HTTPD (12)HTTP服务管理命 (12)系统>系统服务令 (12)MONITORD (12)MONITOR (12)服务管理命令无 (12)2.网络配置命令(NETWORK) (13)4.定义对象命令(DEFINE) (13)5.包过滤命令(PF) (13)6.显示运行配置命令(SHOW_RUNNING) (13)7.保存配置命令(SAVE) (13)三、WEB界面常用配置 (14)1.系统管理配置 (14)A)系统> 基本信息 (14)B)系统> 运行状态 (14)C)系统> 配置维护 (15)D)系统> 系统服务 (15)E)系统> 开放服务 (16)F)系统> 系统重启 (16)2.网络接口、路由配置 (16)A)设置防火墙接口属性 (16)B)设置路由 (18)3.对象配置 (20)A)设置主机对象 (20)B)设置范围对象 (21)C)设置子网对象 (21)D)设置地址组 (22)E)自定义服务 (22)F)设置区域对象 (23)G)设置时间对象 (23)4.访问策略配置 (24)5.高可用性配置 (27)四、透明模式配置示例 (29)拓补结构: (29)1.用串口管理方式进入命令行 (29)2.配置接口属性 (29)3.配置VLAN (29)4.配置区域属性 (29)5.定义对象 (29)6.添加系统权限 (29)7.配置访问策略 (30)8.配置双机热备 (30)五、路由模式配置示例 (31)拓补结构: (31)1.用串口管理方式进入命令行 (31)2.配置接口属性 (31)3.配置路由 (31)4.配置区域属性 (31)5.配置主机对象 (31)6.配置访问策略 (31)一、防火墙的几种管理方式1.串口管理第一次使用网络卫士防火墙,管理员可以通过 CONSOLE 口以命令行方式进行配置和管理。
天融信防火墙NGFW4000快速配置手册(20200407225405)
天融信防火墙NGFW4000 快速配置手册一、防火墙的几种管理方式1.串口管理第一次使用网络卫士防火墙,管理员可以通过 CONSOLE口以命令行方式进行配置和管理。
通过 CONSOLE口登录到网络卫士防火墙,可以对防火墙进行一些基本的设置。
用户在初次使用防火墙时,通常都会登录到防火墙更改出厂配置(接口、IP 地址等),使在不改变现有网络结构的情况下将防火墙接入网络中。
这里将详细介绍如何通过CONSOLE口连接到网络卫士防火墙:1)使用一条串口线(包含在出厂配件中),分别连接计算机的串口(这里假设使用com1 )和防火墙的CONSOLE口。
2)选择开始>程序>附件>通讯>超级终端,系统提示输入新建连接的名称。
3)输入名称,这里假设名称为“TOPSEC”,点击“确定”后,提示选择使用的接口(假设使用com1)。
4)设置com1口的属性,按照以下参数进行设置。
参数名称取值每秒位数:9600数据位:8奇偶校验:无停止位:15)成功连接到防火墙后,超级终端界面会出现输入用户名/ 密码的提示,如下图。
6)输入系统默认的用户名: superman 和密码: talent ,即可登录到网络卫士防火墙。
登录后,用户就可使用命令行方式对网络卫士防火墙进行配置管理。
2. TELNET 管理TELNET管理也是命令行管理方式,要进行TELNET管理,必须进行以下设置:1)在串口下用“ pf service add name telnet area area_eth0 addressname any”命令添加管理权限2)在串口下用“ system telnetd start”命令启动 TELNET管理服务3)知道管理 IP 地址,或者用“ network interface eth0 ip add 192.168.1.250 mask 255.255.255.0”命令添加管理 IP 地址4)然后用各种命令行客户端 ( 如 WINDOWS CMD命令行 ) 管理: TELNET 192.168.1.2505)最后输入用户名和密码进行管理命令行如图:3. SSH 管理SSH管理和 TELNET基本一至,只不过 SSH是加密的,我们用如下步骤管理:1)在串口下用“pf service add name ssh area area_eth0 addressname any”命令添加管理权限2)在串口下用“ system sshd start” 命令启动TELNET管理服务3)知道管理IP 地址,或者用“network interface eth0 ip add 192.168.1.250 mask 255.255.255.0”命令添加管理IP 地址4)然后用各种命令行客户端 ( 如 putty 命令行 ) 管理: 192.168.1.2505)最后输入用户名和密码进行管理命令行如图:4. WEB 管理1) 防火墙在出厂时缺省已经配置有WEB界面管理权限,如果没有,可用“pf service add name webui area area_eth0 addressname any”命令添加。
防火墙天融信NGFW4000-UFNG-51028
URL分类Байду номын сангаас滤
内置互联网URL分类库,支持超过80大类、1500万的URL地址 分类库, 用户可根据上述网站类别, 对自身网络的WEB应用实施 全面化管控,杜绝非法、违规网站的访问行为,从而净化网络应 用环境;
DLP
内置文件过滤引擎,支持对HTTP/FTP/SMTP/POP等3应用协议传 送PDF、Office、java-class、jpg等超过20种文档类型的文件 过滤;
的日志类型至少包括: 设备运行信息、 配置管理、安全策略日志、NAT日志、应用流量日志等。
★本次采购的设备需要设备生产商工程师上门安装调试并负责和原有设备做双
机调试,投标供应商不得虚假应标,由此所产生的一切风险由中标供应商承担
流量排名
支持应用流量排名, 可根据应用类型进行实时流量、 实时会话数、 统计流量排名, 同时通过图表或表格的方式进行展示, 展示的图 表和表格支持自动刷新;
带宽管理
★支持基于IP/IP组、用户/用户组、服务/服务组、应用/应用 组和时间等配置带宽策略,支持针对带宽策略中对每IP、每用 户进行带宽控制;支持带宽策略优先级、父通道、子通道配置;
工作模式
支持路由、交换、混合、虚拟线工作模式;
路由功能
支持静态路由、策略路由模式;
交换功能
支持802.1q、QinQ模式;
接入功能
支持IPSECVPN接入;
智能DNS
★支持智能DNS功能,有效提高用户跨网访问效率;
支持DNS Docting,能够将来自内部网络的域名解析请求定向 到真实内网资源,降低路径开销,提高访问效率;
双系统
支持双操作系统并存,且备份系统为全功能系统;
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
支持OPSEC或TOPSEC等类似联动协议,能够与主流入侵检测产品进行联动;
可以识别并阻断以下攻击行为:
防非法报文攻击:land 、Smurf、Pingofdeath、winnuke 、tcp_sscan、ip_option、teardrop、targa3、ipspoof;
防统计型报文攻击:Synflood、Icmpflood、Udpflood、Portscan、ipsweep;
高可用性
支持双机热备功能,包括主备模式(A/S),主主模式(A/A)
支持VRRP协议;
支持对服务器的负载均衡,支持轮询、加权轮询、最少连接、加权最少链接、基于源IP地址HASH调度等多种负载均衡方式;
防火墙系统要对长连接的提供全面的解决方案;
支持链路聚合;
▲
DHCP功能
支持DHCP SERVER/CLIENT/RELAY功能
多种身份认证方式
防火墙系统要支持多种、灵活的身份认证技术,至少包括Radius/OTP/LDAP/TACACS+/SecuID/数字证书/本地认证等。
▲
完善的路由功能
支持静态和动态路由,动态路由至少包括:RIP和OSPF动态路由协议;静态路由协议支持基于源地址、目的地址、METRIC值、网络接口的路由;
▲
资质
要求
军用认证证书
中国人民解放军信息安全测评认证中心颁发的《军用信息安全产品认证证书》
▲
销售许可
中华人民共和国公安部颁发的《计算机信息系统安全专用产品销售许可证》
型号证书
中国国家信息安全测评认证中心颁发的《国家信息安全认证产品型号证书》
保密局检测证书
中国国家保密局测评中心颁发的《涉密信息系统产品检测证书》
3、虚拟系统提供独立的自定义服务管理
4、虚拟系统提供独立的策略管理
5、虚拟系统提供独立的虚拟系统重启功能
▲
强大的访问控制
支持基于源IP地址、目的IP地址、源端口、目的端口、时间、用户、文件、网址、关键字、邮件地址、脚本、MAC地址等多种方式进行访问控制;
支持对HTTP、SMTP、POP3、FTP等协议的深度内容过滤,支持URL、关键字过滤;
VLAN和生成树
支持802.1d生成树,能进行802.1d的生成树协商;支持与交换机的Trunk接口对接,并且能够实现Vlan间通过防火墙设备进行路由;支持802.1q,能进行802.1q的封装和解封装;支持ISL,能进行ISL的封装和解封装;在同一个Vlan内能进行二层交换。
链路备份
支持链路备份功能,可以在用户的多条网络出口之间进行自动的切换;
▲
认证
支持基于证书的认证,证书遵循X.509证书体系,可自建CA,也支持第三方CA;支持预共享方式的认证。
网络适用性
支持NAT穿越,提供NAT自动发现机制。
支持DDNS
支持DDNS功能,可以在用户的网络环境中没有任何一个合法地址的情况下建立VPN 隧道。
市场占有率
为近三年国内防火墙市场占有率前三名,并提供IDC的证明。
支持对移动代码如Java applet、Active-X、VBScript、Jscript、Java script的过滤;
动态端口支持协议:H.323、SIP、FTP、RTSP、SQL*NET、MMS、TFTP、RPC(msrpc,dcerpc)等;
可实现静态或自动的IP/MAC绑定;
▲
功能
要求
完善的上网行为管理
支持MSN、QQ、新浪UC、阿里旺旺、google talk等Instant Messenger通信,并可以对于这些应用进行登陆限制,支持根据登陆等帐号进行登陆限制;
支持对MSN,QQ等IM应用通信的连接统计,支持对指定IP地址的IM应用通信的连接统计;
可限制BT,eMule,eDonkey、讯雷等多种P2P应用,可以统计和控制P2P流量和连接数;
不少于5.5万
可以扩展VPN模块
能够同时支持IPSEC VPN及SSL VPN
▲
VPN最大隧道数
无限制
▲
灵活的接入方式
防火墙系统可以提供对复杂环境的接入支持,包括路由、透明以及混合接入模式。
▲
支持虚拟防火墙
实现路由(包括NAT)和交换模式下的虚拟系统
1、虚拟系统提供独立的管理帐户和界面
2、虚拟系统提供独立的节点管理
等级证书
EAL3等级认证证书;
厂商资质
原厂商具备信息安全服务二级资质;
厂商服务能力
杭州分公司有技术人员10人以上,且必须具有至少3人具备CISP(注册信息安全工程师)或BS7799认证工程师资格,可以提供本地原厂紧急响应服务。
▲
可屏蔽受保护主机/服务器系统信息,可以替换服务器(FTP、SMTP、POP3、Telnet,HTTP)的BANNER信息;
可以实现telnet、DNS等应用协议的深度过滤;
支持HTTP重定向功能,可以对伪装HTTP的协议进行识别和阻断。
完善的网络地址转换能力
防火墙系统有完善的地址转换能力,可以支持正向、反向地址/端口转换、双向地址转换等,能够提供完整的地址转换解决方案。
支持Netflow
各类资源对象、安全策略可单独导入、导出,可以提供简单方便的配置备份与恢复机制,并且可以恢复到出厂设置;
支持远程TFTP、FTP、HTTP等方式升级。
▲
完善的日志审计功能
日志分级、分类;系统要能够提供多种日志存储方式,可以缓存在设备本地,也可以将日志以专用格式/Welf/Syslog等多种日志格式的输出;具有完善的日志收集、传输、存储、分析、报告等解决方案。
管理功能
可以提供多种方式的管理界面,包括GUI、WEBUI、CONSOLE、SSH、TELNET等;
远程集中监控管理功能:支持远程集中管理监控功能,在同一个管理平台下能够对所管理网络中所有的防火墙设备进行管理和监控,提供远程升级和配置变更方法,非常方便用户对防火墙软件版本和配置变更的管理;
支持SNMP的v1、v2、v2c、v3等不同版本,并与当前通用的网络管理平台兼容,如HP Openview等;
天融信防火墙参数:
指标
招标指标项
招标参数具体要求(出于对用户所用产品的网络扩展性和安全性考虑,其中“▲”部分为必须满足项;)
备注
设备
基本
要求
专用的硬件和软件保障
采用专用硬件架构与专用安全操作系统,基于操作系统内核的完全检测技术;专用的安全操作系统具有自主知识产权;硬件设备可以机架安装。
▲
双操作系统
采用双安全操作系统,防止配置不当或防火墙系统故障造成的网络中断,充分保证了系统的稳定性。
完整解决方案
防火墙可以内嵌VPN功能模块,并可以提供VPN客户端软件,可方便地建立网关-网关、网关-客户端、客户端-客户端的加密隧道,具有完善的解决方案。
▲
兼容性
支持标准IKE,能与市场上主流的基于标准IKE协议的其他 IPSEC VPN设备进行互联、互通。
VPN
功能
要求
算法
要求提供高加密强度,支持国际主流加密算法和经国密办认证的SCB2算法等。
▲
端口数量和扩展能力
提供6个10/100/1000BASE-T接口(其中2个可作为HA口和管理口),4个千兆SFP插槽;最大可扩展至26个接口,包括2个可插拨的扩展,另外具有专门的RJ45终端管理接口
▲
MTBF
不少于80000小时
网络吞吐量
不少于5Gbps
最大并发连接数
不少于220万
性能
要求
每秒最大新建连接数
端口阻断:可以根据数据包的来源和数据包的特征进行阻断设置;
CC攻击:可通过设置端口和阀值阻断CC攻击;
完善的预防ARP欺骗解决方案;
支持反向地址检查;
支持根据协议或地址,限制连接数目;根据连接数目进发生安全事件的时候支持以邮件、NETBIOS、声音、SNMP、控制台等方式告警。