网络安全防护解决方案

内外网安全系统升级建设方案
———西安园林绿化总公司
2016年8月
第一章项目概述 -------------------------------------------------------------------------------------------------- 3
** 项目背景 3
** 需求分析--------------------------------------------------------------------------------------------------------- 3
第二章解决方案 (5)
** 方案1 5
** 方案2 ------------------------------------------------------------------------------------------------------------- 7
第三章产品概述 (10)
** H3C下一代安全防火墙 (10)
** ACG应用控制网关18
第一章项目概述
** 项目背景
随着网络与信息化建设的飞速发展，人们的工作、生活方式发生了巨大变化。

网上行政审批、网上报税、网上银行、网上文件提交等等网络应用不仅为使用者带来了便利，而且大大提高了服务提供者的工作效率。

但在享受网络带来便利的同时，我们也不得不面对来自网络内外的各种安全问题。

不断发现的网络漏洞，以及在各种利益驱动下形成的地下黑色产业链，让网络随时可能遭受到来自外部的各种攻击。

而网络内部的
P2P下载、流媒体、IM即时消息、网络游戏等互联网应用不仅严重占用网络资源、降低企业工作效率，同时也成为蠕虫病毒、木马、后门传播的主要途径。

公司目前信息网络边界防护比较薄弱，只在PC端自行安装360杀毒软件进行防御，但是，随着攻击者知识的日趋成熟，攻击工具与手法的日趋复杂多样，简单的PC端防御无法满足公司网络安全需要，需要部署防火墙的安全保障体系并进一步完善。

** 需求分析
防火墙最基本的功能就是控制在计算机网络中，不同信任程度区域间传送的数据流。

例如互联网是不可信任的区域，而内部网络是高度信任的区域。

以避免安全策略中禁止的一些通信，与建筑中的防火墙功能相似。

它有控制信息基本的任务在不同信任的区域。

典型信任的区域包括互联网(一个没有信任的区域) 和一个内部网络(一个高信任的区域) 。

最终目标是提供受控连通性在不同水平的信任区域通过安全政策的运行和连通性模型之间根据最少特权原则。

第二章解决方案
原网络架构分析
原有网络为六套物理分割的相互独立局域网络，各个用户走各用户的网络出口线路。

此次要在此网络基础上进行网络安全防御以及流量管控，且后期建立自己局域网内部网络存储，便于内部资料交流与存储。

以目前此种情况，为此项目推荐2个可执行性方案，方案1进行全面防御，从进出网络流量的分析防御，到各个终端的安全防御，外来文件（U盘拷贝文件和下载文件）的杀毒等，方案2则进行基础防御，仅对进出网络流量的分析防御，终端继续用原有的360杀毒进行简单基础防御。

** 方案1
出入内外网流量的防御改造(基础改造)
新增设备型号产品描述数量S5500-28C-EI 核心交换机，用于将原有网络用户流量进行汇总进行统一防御流量分析管理 1
F100-A-G2
防火墙，从用户、应用、时间、五元组等多个维度，对出入流量展开IPS、AV、DLP等一体
化安全访问控制，有效的保证网络的安全
1 新增一台核心交换机，将原有六路网络用户进行流量汇总，便于
防火墙进行统一流量防御，也同时方便内网用户文件的交流。

防火墙F100-A-G2进行多维一体化安全防护，从用户、应用、时间、五元组等多个维度，对流量展开IPS、AV、DLP等一体化安全访问控制，有效的保证网络的安全；支持丰富的攻击防范，包括IP分片报文，ARP欺骗、ARP主动反向查询，地址扫描、端口扫描等攻击防范，并且针对常见DDOS攻击的检测防御；支持安全日志，流量监
控统计和管理，实时病毒防护，全面及时的安全特征库等。

支持多种VPN业务，与智能终端对接实现移动办公；提供丰富的路由能力，支持RIP/OSPF/BGP/路由策略及基于应用与URL的策略路由；支持
IPv4/IPv6双协议栈同时，实现针对IPV6的状态防护和攻击防范。

防火墙对出入内外网的流量分析防护后，同时分流到各个外网路由上，实现各区域用户流量走各区域外网，不影响用户外网的访问。

** 方案2
出入内外网流量的防御改造和流量的管控限制以及用户主机的安全防御
(全面改造)
新增设备型号产品描述数量
S5500-28C-EI 核心交换机，用于将原有网络用户流量进行汇总进行统一防御流量分析管理 1
F100-A-G2 防火墙，从用户、应用、时间、五元组等多个维度，对出入流量展开IPS、AV、DLP等
一体化安全访问控制，有效的保证网络的安全
1
ACG应用控制对网络中的P2P/IM带宽滥用、网络游戏、炒股、网络多媒体、非法网站访问等行为进
行精细化识别和控制。

提供业界最全面、完善的上网行为管理解决方案。

保障网络关键
应用和服务的带宽，对网络流量、用户上网行为进行深入分析与全面的审计，为用户全
面了解网络应用模型和流量趋势，优化其带宽资源，开展各项业务提供有力的支撑。

1
PC终端安全软件瑞星杀毒企业版或其他（待定）。

对PC机的安全杀毒防御，外来U盘病毒文件的查杀等。

网络存储设备后期增加网络存储设备，方便内网用户资源传阅分享存储等（待定） 1
在方案一基础上附加了ACG应用控制设备和PC终端安全管控软件。

ACG应用控制设备对网络中的网络社区、P2P/IM带宽滥用、网络游戏、炒股、网络多媒体、非法网站访问等行为进行精细化识别和控制。

利用智能流控、智能阻断、智能路由等技术，配合创新的社交网络行为管理功能、清晰易管理日志等功能，提供业界最全面、完善的上网行为管理解决方案。

从而保障网络关键应用和服务的带宽，对网络流量、用户上网行为进行深入分析与全面的审计，为用户全面了解网络应用模型和流量趋势，优化其带宽资源，开展各项业务提供有力的支撑。

PC终端装企业版杀毒软件，对PC机本身的病毒进行查杀防御，对外来文件（如U盘文件、E-mail文件等）进行查杀防御，阻止病毒内网传播。

后期增加网络存储一套，方便内网用户进行文件资源存储与共享等，给予不同用户不同的空间，自行管理，文件上传备份，文件一键分享，等信息化一体化办公体验。

第三章产品概述
** H3C下一代安全防火墙
H3C SecPath F100-A-G2 防火墙是杭州华三通信技术有限公司（以下简称H3C 公司）伴随Web2.0 时代的到来并结合当前安全与网络深入融合的技术趋势，针对中小型企业、园区网互联网出口以及广域网分支市场推出的下一代高性能防火墙产品。

H3C SecPath F100-A-G2 防火墙支持多维一体化安全防护，可从用户、应用、时间、五元组等多个维度，对流量展开 IPS、AV、DLP 等一体化安全访问控制，能够有效的保证网络的安全；支持多种 VPN 业务，如 L2TP VPN、GRE VPN 、IPSec VPN 和 SSL VPN 等，与智能终端对接实现移动办公；提供丰富的路由能力，支持 RIP/OSPF/BGP/路由策略及基于应用与 URL 的策略路由；支持 IPv4/IPv6 双协议栈同时，可实现针对 IPV6 的状态防护和攻击防范。

产品特点
高性能的软硬件处理平台
H3C SecPath F100-X-G2 采用了先进的最新 64 位多核高性能处理器和高速存储器。

电信级设备高可靠性
●采用 H3C 公司拥有自主知识产权的软、硬件平台。

产品应用
从电信运营商到中小企业用户，经历了多年的市场考验。

●支持H3C IRF虚拟化技术，可将多台设备虚拟化为一台逻辑设
备，对外呈现为一个网络节点，资源统一管理，完成业务备份同时提高系统整体性能。

强大的安全防护功能
●支持丰富的攻击防范功能。

包括：Land、Smurf、Fraggle、Ping
of Death、Tear Drop、IP Spoofing、IP 分片报文、ARP 欺骗、 ARP 主动反向查询、TCP 报文标志位不合法、超大 ICMP 报文、地址扫描、端口扫描等攻击防范，还包括针对 SYN Flood、 UPD Flood、ICMP Flood、DNS Flood 等常见 DDoS 攻击的检测防御。

●最新支持 SOP 1:N 完全虚拟化。

可在 H3C SecPath F100-X-G2
设备上划分多个逻辑的虚拟防火墙，基于容器化的虚拟化技术使得虚拟系统与实际物理系统特性一致，并且可以基于虚拟系统进行吞吐、并发、新建、策略等性能分配。

●支持安全区域管理。

可基于接口、VLAN 划分安全区域。

●支持包过滤。

通过在安全区域间使用标准或扩展访问控制规
则，借助报文中 UDP 或 TCP 端口等信息实现对数据包的过滤。

此外，还可以按照时间段进行过滤。

●支持基于应用、用户的访问控制，将应用与用户作为安全策略
的基本元素，并结合深度防御实现下一代的访问控制功能。

●支持应用层状态包过滤（ASPF）功能。

通过检查应用层协议信
息（如 FTP、HTTP、SMTP、RTSP 及其它基于 TCP/UDP 协议的应用层协议），并监控基于连接的应用层协议状态，动态的决定数据包是被允许通过防火墙或者是被丢弃。

●支持验证、授权和计帐（AAA）服务。

包括：基于
RADIUS/HWTACACS+、CHAP、PAP等的认证。

●支持静态和动态黑名单.
●支持 NAT 和 NAT 多实例。

●支持 VPN 功能。

包括：支持 L2TP、IPSec/IKE、GRE、SSL 等，
并实现与智能终端对接。

●支持丰富的路由协议。

支持静态路由、策略路由，以及 RIP、
OSPF 等动态路由协议。

●支持安全日志。

●支持流量监控统计、管理。

灵活可扩展的一体化 DPI 深度安全
●与基础安全防护高度集成的一体化安全业务处理平台。

●全面的应用层流量识别与管理：通过 H3C 长期积累的状态机
检测、流量交互检测技术，能精确检测 Thunder/Web Thunder ●（迅雷/Web 迅雷）、BitTorrent、eMule（电骡）/eDonkey（电
驴）、QQ、MSN、PPLive 等 P2P/IM/网络游戏/炒股/网络视频/网络多媒体等应用；支持 P2P 流量控制功能，通过对流
量采用深度检测的方法，即通过将网络报文与 P2P 协议报文特征
●进行匹配，可以精确的识别 P2P 流量，以达到对 P2P 流量进
行管理的目的，同时可提供不同的控制策略，实现灵活的 P2P 流量控制。

●高精度、高效率的入侵检测引擎。

采用 H3C 公司自主知识产
权的 FIRST（Full Inspection with Rigorous State Test，基于精确状态的全面检测）引擎。

FIRST 引擎集成了多项检测技术，实现了基于精确状态的全面检测，具有极高的入侵检测精度；同时， FIRST 引擎采用了并行检测技术，软、硬件可灵活适配，大大提高了入侵检测的效率。

●实时的病毒防护：采用 Kaspersky 公司的流引擎查毒技术，
从而迅速、准确查杀网络流量中的病毒等恶意代码。

●迅捷的 URL 分类过滤：提供基础的 URL 黑白名单过滤同时，
可以配置 URL 分类过滤服务器在线查询。

●全面、及时的安全特征库。

通过多年经营与积累，H3C 公司拥
有业界资深的攻击特征库团队，同时配备有专业的攻防实验室，紧跟网络安全领域的最新动态，从而保证特征库的及时准确更新。

业界领先的 IPv6
●支持 IPv6 状态防火墙，真正意义上实现 IPv6 条件下的防火
墙功能，同时完成 IPv6 的攻击防范。

●支持 IPv4/IPv6 双协议栈，并支持 IPv6 数据报文转发、静
态路由、动态路由及组播路由等功能。

●支持 IPv6 各种过渡技术，包括 NAT-PT、IPv6 Over IPv4 GRE
隧道、手工隧道、6to4 隧道、IPv4 兼容 IPv6 自动隧道、ISATAP 隧道、NAT444、DS-Lite 等。

●支持 IPv6 ACL、Radius 等安全技术。

下一代多业务特性
●集成链路负载均衡特性，通过链路状态检测、链路繁忙保护等
技术，有效实现企业互联网出口的多链路自动均衡和自动切换。

●一体化集成 SSL VPN 特性，满足移动办公、员工出差的安
全访问需求，不仅可结合 USB-Key、短信进行移动用户的身份认证，还可与企业原有认证系统相结合、实现一体化的认证接入。

●DLP 基础功能支持，支持邮件过滤，提供 SMTP 邮件地址、标
题、附件和内容过滤；支持网页过滤，提供 HTTP URL 和内容过滤；支持网络传输协议的文件过滤；支持应用层过滤，提供 Java/ActiveX Blocking 和 SQL 注入攻击防范。

专业的智能管理
●支持智能安全策略：实现策略冗余检测、策略匹配优化建议、
动态检测内网业务动态生成安全策略并推荐。

●支持标准网管 SNMPv3，并且兼容 SNMP v1 和 v2。

●提供图形化界面，简单易用的 Web 管理。

●可通过命令行界面进行设备管理与防火墙功能配置，满足专业
管理和大批量配置需求。

●通过 H3C IMC SSM 安全管理中心实现统一管理，集安全信息
与事件收集、分析、响应等功能为一体，解决了网络与安全设
●备相互孤立、网络安全状况不直观、安全事件响应慢、网络故
障定位困难等问题，使 IT 及安全管理员脱离繁琐的管理工作，极大提高工作效率，能够集中精力关注核心业务。

●基于先进的深度挖掘及分析技术，采用主动收集、被动接收等
方式，为用户提供集中化的日志管理功能，并对不同类型格式
●（Syslog、二进制流日志等）的日志进行归一化处理。

同时，
采用高聚合压缩技术对海量事件进行存储，并可通过自动压缩、加密和保存日志文件到 DAS、NAS 或 SAN 等外部存储系统，避免重要安全事件的丢失。

●提供丰富的报表，主要包括基于应用的报表、基于网流的分析
报表等。

●支持以 PDF、HTML、WORD 和 TXT 等多种格式输出。

●可通过 Web 界面进行报告定制，定制内容包括数据的时间范
围、数据的来源设备、生成周期以及输出类型等。

产品规格
型号
F100-A-G2/F100-A-EI
接口16GE+8SFP
扩展槽位1
扩展板卡类型 4 千兆P FC 接口模块
存储介质** inch 500GB/1TB SATA 硬盘、2.5 inch 480G SSD 硬盘
环境温度
工作：0～45℃非工作：-40～70℃
运行模式路由模式、透明模式、混杂模式
AAA 服务
Portal 认证、RADIUS 认证、HWTACACS 认证、PKI /CA（X.509 格式）认证、域认证、CHAP 验证、PAP 验证
防火墙
SOP 虚拟防火墙技术，支持CPU、内存、存储等硬件资源划分的完全虚拟
化安全区域划分
可以防御Land、Smurf、Fraggle、Ping of Death、Tear Drop、IP Spoofing、IP 分片报文、ARP 欺骗、ARP 主动反向查询、TCP 报文标志位不合法超大ICMP 报文、地址扫描、端口扫描、SYN Flood、UPD Flood、ICMP Flood、DNS Flood 等多种恶意攻击基础和扩展的访问控制列
表基于时间段的访问控制列
表基于用户、应用的访问控制
列表
ASPF 应用层报文过滤
静态和动态黑名单功能
病毒防护
基于病毒特征进行检
测支持病毒库手动和自
动升级报文流处理模式
支持HTTP、FTP、SMTP、POP3 协议
支持的病毒类型：Backdoor、Email-Worm、IM-Worm、P2P-Worm、Trojan、AdWare、Virus 等
深度入侵防御
支持对黑客攻击、蠕虫/病毒、木马、恶意代码、间谍软件/广告软件、DoS/DDoS 等常见的攻击防御
支持缓冲区溢出、SQL 注入、IDS/IPS 逃逸等攻击的防御支持攻击特征库的
分类（根据攻击类型、目标机系统进行分类）、分级（分高、中、低、提示四级）支持攻击特征库的手动和自动升级（TFTP 和
HTTP）支持对B T 等P2P/IM 识别和控制
邮件/网页/应用层过滤
邮件过滤
SMTP 邮件地址过滤
邮件标题过滤
邮件内容过滤
邮件附件过滤
网页过滤
HTTP URL 过滤HTTP 内容过滤
应用层过滤
Java Blocking ActiveX Blocking SQL 注入攻击防范
NAT 支持多个内部地址映射到同一个公网地址
支持多个内部地址映射到多个公网地址
支持内部地址到公网地址一一映射
支持源地址和目的地址同时转换
支持外部网络主机访问内部服务器
支持内部地址直接映射到接口公网I P 地址
支持D NS 映射功能
可配置支持地址转换的有效时间
支持多种N AT ALG，包括D NS、FTP、H.323、ILS、MSN、NBT、PPTP、SIP 等
VPN
L2TP VPN、IPSec VPN、GRE VPN、SSL VPN
IPv6
基于I Pv6 的状态防火墙及攻击防范
IPv6 协议：IPv6 转发、ICMPv6、PMTU、Ping6、DNS6、TraceRT6、Telnet6、DHCPv6Client、DHCPv6 Relay 等
高可靠性
支持IRF 2:1 虚拟化（F100-C-G2、F100-C-EI、F100-S-G2、F100-M-G2 不支持）支持双机状态热备（Active/Active 和Active/Backup 两种工作模
式）支持双机配置同步
易维护性支持基于命令行的配置管理
支持Web 方式进行远程配置管理
支持H3C SSM 安全管理中心进行设备管理支
环保与认证支持欧洲严格的R oHS 环保认证
** ACG应用控制网关
H3C SecPath ACG 1000 是H3C 公司新一代应用控制网关，ACG 1000 引入了全方位上网行为管理要素，是面向客户业务而量身定制的全业务网关产品。

H3C SecPath ACG 1000 能对网络中的网络社区、P2P/IM 带宽滥用、网络游戏、炒股、网络多媒体、非法网站访问等行为进行精细化识别和控制。

利用智能流控、智能阻断、智能路由等技术，配合创新的社交网络行为管理功能、清晰易管理日志等功能，可以提供业界最全面、完善的上网行为管理解决方案。

从而保障网络关键应用和服务的带宽，对网络流量、用户上网行为进行深入分析与全面的审计，为用户全面了解网络应用模型和流量趋势，优化其带宽资源，开展各项业务提供有力的支撑。

产品特点
最全面的应用识别能力
通过 H3C 长期积累的状态机检测、流量交互检测技术，能精确检测 115 网盘、电信通、盛大网盘、百度网盘、360 云盘、Thunder/Web Thunder（迅雷/Web 迅雷）、BitTorrent、eMule（电骡）/eDonkey （电驴）、QQ、MSN、新浪 UC、阿里旺旺、新浪微博、腾讯微博、天涯论坛、猫扑论坛、微信等 P2P/IM/网络游戏/炒股/网络视频/网络多媒体等多种主流网络应用，为应用控制及审计提供有力支撑。

精细化的流量管理功能
SecPath ACG 支持超过 4 级通道带宽嵌套，满足大型网络管理要求，支持基于地址、用户、服务、应用、时间等新五元组一体化策略的上下行带宽及多优先级控制，流量管理无死角。

SecPath ACG 设备的智能流控技术将出口物理线路带宽划分为
逻辑虚拟线路，在父线路内支持二次划分，即将线路划分为通道，从而达到多级流控。

根据流量特征，智能识别应用和服务，之后根据流量特性，识别出配置的虚拟线路和流控管道，计算出管道的带宽使用率，是否需要向父节点借用带宽等信息。

在转发过程中，支持流量整形，在接口上缓存报文，并以比较均匀的速度发送出去，避免网络出现 burst，导致丢包。

SecPath ACG 产品整机提供 32 个虚拟线路、1024 个带宽通道、4 级流控，彻底告别陈旧的流控技术，让带宽管理做到最精细！
智能阻断技术
相比传统的 QoS 丢包技术，SecPath ACG 提供的智能阻断技术抛弃了“允许所有流量转发到接口，在接口上区分流量优先级，并在接口上进行缓存和丢包”的技术实现方式，而采用更加优化的阻断方式：一旦流控模块识别出用户设定的垃圾流量，立刻在设备上删除所有与该垃圾应用相关的数据连接，所以垃圾流量从一开始就不会产生，所以宝贵的带宽资源无需被吞噬；而同时，设备可以免于接口队列调度丢包，节省大量资源，帮助客户节省带宽和设备资源。

精细化的应用控制功能
SecPath ACG 采用了 DPI/DFI 融合识别技术，相对于传统的流控产品，控制力度更精细，控制层面不再局限在主程序，更能深入识别应用程序的子功能。

例如对新浪微博的控制力度不仅仅是登录动作，更是深入识别到注销、发表、评论、转发、关注、搜索等子功能，支持单应用高达 12 种行为动作控制、超过八百种主流应用类别识别、近 60 种分类 URL 审计过滤、桌面及移动终端均可审计控制，提供最精细的控制功能。

极速上线
当企业存在多个分支机架需要互联，如何实现业务的快速部署，如何实现业务的统一管理，一直是网络运维最头疼问题。

配合 H3C SecPath ACG1000 日志分析与管理平台，可实现业务的快速部署，分支机构的 ACG1000 只需要接上网线，确保外网连通便可自动从中心端的日志分析与管理平台下载配置，整套加载流程大概 1 分钟完成，无需专业人员到场，大幅节约总分型客户部署成本，网络就绪时间更短，业务开展更快。

智能选路
随着带宽成本的下降及业务需求，企业通常存在两个或两个以上的网络出口，对于多出口的业务分配，目前还是采用策略路由方式居多，但是策略路由只能解决多个出口的基本可用问题，没法实现多出口的精细化利用。

ACG1000 提供智能选路功能，可根据访问的目的地址，自动选择
所属运营商，提高访问速度和稳定性，还可以根据不同应用和用户组选择不同的出口，将非关键应用分流到低成本链路，保障各出口链路达到最优利用率。

丰富的报表
提供实时的业务流量趋势图、流量分布图、Top N 用户列表、Top N 应用协议列表等报表，并支持按照用户名/用户组、使用时段、应用分类、应用协议、流量大小、安全事件等进行多维度组合定制报表，使用户能全面掌握网络中的流量、应用和业务分布，为合理规划网络、制定流量控制策略提供依据。

完善的安全审计系统
可对各种网络社区、P2P/IM、网络游戏、网络多媒体、文件共享、邮件收发、数据传输、数据库应用等各种上网行为提供全方面的行为监控和记录；同时，通过综合分析、检测用户网络流量与流向趋势，对历史数据进行分析，为用户提供细粒度的网络应用审计管理系统。

高性能、高可靠性
采用最新的基于 MIPS64 的多核 SoC（System on Chip）处理器，控制与转发相分离，实现了千兆级线速业务处理能力，仅有微秒级时延；通过 Bypass、双电源冗余等高可靠性设计，保证 SecPath ACG 在断电、软硬件故障或链路故障、流量过载的情况下，网络链路仍然畅通。

及时的特征库更新
H3C 专业特征库团队密切跟踪应用变化，并对应用协议特征库及
时更新；支持对协议特征库的在线自动/手动升级、本地升级，且升级过程无需重启系统，不影响系统业务运行。

创新的微信营销模式
针对各企业为用户组建免费 WIF 的大趋势并结合移动互联网营销需求，H3C ACG1000 产品为用户提供创新的微信推广方案，用户只需关注企业公众号后简单操作即可获得上网权限。

产品规格
硬件规格
项目
SecPath ACG104 0
管理接口任一业务接口
业务接口2GE(Co
mbo)+1 0GE(电)
扩展槽
无
接口模块
无
尺寸（长×高×深/mm）440*44*400
额定功率40W
电源
100~240V AC 可靠性≥100,000小时重量**
软件规格
上网行
为管理流量管理
支持虚拟线路和分级带宽管理，可支持4级通道嵌套
支持基于用户/应用/服务/IP/时间的带宽限制
支持每I P 限速、带宽保障和多优先级管理
支持针对网络社区/P2P/文件传输/电子商务/IM/炒股/网络多媒体/网络游戏/ 远程控制等进行控制
应用过滤和审计支持针对应用类/单个应用的应用审计
支持对应用的行为动作审计
支持对应用的行为内容的审计
支持网站、邮件、论坛发贴、搜索关键字过滤和审计
审计日志级别（紧急、告警、严重、错误、警示、通知、信息）
URL 过滤
内置U RL 分类库，可针对广告/成人/艺术/在线音乐/BBS/博彩/商业/犯罪/教育
支持恶意U RL 和自定义U RL 过滤
用户管
理用户
支持批量导入导出用户或用户组
用户属性支持本地用户、Radius 用户、LDAP 用户、静态绑定地址用户在线用户
管理
在线用户状态显示（用户名、所属组、登录地址、认证方式、登录时间/冻结时间、状态、在线时长）
在线用户操作：非认证账号可以冻结/解冻，认证用户可以注销、冻结/解冻
认证服
务器管理支持R adius\LDAP 认证服务器和服务器组认证服务器组支持主备和集群
网接口支持子接口、桥接口、聚合接口
DHCP
支持D HCP 中继、DHCP 服务器、DHCP 客户端
DHCP 服务器支持I P-MAC 绑定、租期管理、排除地址等属性
会话管理
支持地址对象的限制；支持源I P 的会话数、每秒新建的限制
会话统计：显示当前I P 地址的连接数
NAT
支持多种NAT ALG，包括DNS、FTP、H.323、ILS、MSN、NBT、PPTP、SIP
支持源地址、目的地址N AT，支持一对一、一对多、多对多地址转换
支持静态路由、动态路由(RIP\OSPF)、策略路由
支持基于源地址/目的地址/服务/用户/应用的策略路由。