天融信NGFW4000参数

防火墙技术附件
一．背景
目前，公司使用防火墙为CISCO PIX-525型防火墙，于2004年购买使用至今，已经使用了多年。

随着信息技术的迅猛发展，目前的防火墙从性能、功能、管理等方面的劣势逐渐显现出来。

二．目标
为了更好提升公司网络安全和满足各种功能和性能的要求，需要更新现有防火墙系统。

对网络吞吐量、最大并发连接数、可扩展能力、访问控制能力、可靠性、抗攻击能力、日志审计功能、管理能力及VPN等功能提出了更高的要求。

三．功能要求
（一）功能描述
设备功能应包括以下几方面：接入方式、访问控制、地址转换、认证方式、链路备份、高可用性、抗攻击能力、日志审计功能、VPN功能、语音通讯功能。

（二）技术要求
1.端口数量和扩展能力：满足4个光口和4个10/100/1000BASE-T接口。

2.网络吞吐量：不少于12Gbps
3.最大并发连接数：不少于220万
4.每秒最大新建连接数：不少于10万
5.接入方式：可以提供对复杂环境的接入支持，包括路由、透明以及混合接入模式。

6.访问控制：
a)支持基于源IP地址、目的IP地址、源端口、目的端口、时间、用户、文件、网址、
关键字、邮件地址、脚本、MAC地址等多种方式进行访问控制；
b)能够支持HTTP、SMTP、POP3、FTP等协议的深度过滤；
c)动态端口支持协议H.323、SIP、FTP、RTSP、SQL*NET、MMS、TFTP、RPC等；
d)支持对MSN，QQ等IM应用通信的连接统计,支持对指定IP地址的IM应用通信的
连接统计；
e)可屏蔽受保护主机/服务器系统信息，可以替换服务器(FTP、SMTP、POP3、Telnet、
HTTP)的BANNER信息；
f)可限制BT、eMule、eDonkey、讯雷等多种P2P应用，可以统计P2P流量和连接
数，可以控制P2P流量的带宽；
g)具有IP/MAC绑定功能。

h)支持MSN、QQ、新浪UC、阿里旺旺、google talk等Instant Messenger通信，并
可以对于这些应用进行登陆限制,支持根据登陆等帐号进行登陆限制；
7. 网络地址转换：有完善的地址转换能力，可以支持正向、反向地址/端口转换、双向地
址转换等，能够提供完整的地址转换解决方案。

8. 认证方式：
防火墙系统能够支持多种身份认证技术，包括Radius/OTP/LDAP/TACACS+/SecuID/数字证书/本地认证等。

9. 链路备份功能：支持链路备份功能，可以在用户的多条网络出口之间进行自动的切换；
10. 高可用性：
a)支持双机热备功能，包括主备模式(A/S)，主主模式(A/A)
b)支持VRRP协议；
c)支持对服务器的负载均衡，支持轮询、加权轮询、最少连接、加权最少链接、基于
源IP地址HASH调度等多种负载均衡方式；
11. 抗攻击能力：
a)支持双机热备功能
b)支持VRRP协议；
c)支持对服务器的负载均衡，支持轮询、加权轮询、最少连接、加权最少链接、基于
源IP地址HASH调度等多种负载均衡方式；
12. 日志审计功能：要能够提供多种日志存储方式，可以缓存在设备本地，也可以将日志
传至日志服务器。

具有完善的日志收集、传输、存储、分析、报告等解决方案。

13. VPN功能：防火墙可以内嵌VPN功能模块，并可以提供VPN客户端软件，可方便地建立
网关-网关、网关-客户端、客户端-客户端的加密隧道，具有完善的解决方案。

14. 具备语音通讯功能。

四．产品构成。