数据中心防火墙参数
USG6300E系列防火墙规格参数
支持 支持 支持 支持 支持
千兆NGFW(USG6300/USG6500)
USG6308E
USG6312E
USG6322E
300~500
400~600
500~700
800Mbps
1Gbps
2Gbps
120万
180万
240万
8万
可视化多维度报表呈现,支持用户、应用、内容、时间、流量、威胁、URL等多维度呈现报表。 通过华为安全中心平台生成“网络安全分析报告”,对当前网络的安全状态进行评估,并给出相关优化建议。
全面支持IPV4/IPV6下 的多种路由协议,如RIP 、OSPF、BGP、IS-IS、 ACL6等;
透明、路由、混合部署模式。
度:5%~95%
温度:-40℃~70℃ /湿度:5%~95%
一体化防护
应用识别与管控
入侵防御与Web防护 防病毒 数据防泄漏 带宽管理 URL过滤 行为和内容审计 业务智能选路 VPN SSL加密流量检测
集传统防火墙、VPN、 入侵防御、防病毒、数 据防泄漏、带宽管理、 本地URL过滤等多种功 能于一身,全局配置视 图和一体化策略管理。
可作为代理检测并防御隐藏在SSL加密流量中的威胁,包括入侵防御、防病毒、内容过滤、URL过滤等应用层防护。
基于用户的防护 云管理 安全虚拟化 智能策略管理(SmartPolicy)
丰富的报表
路由特性 部署方式
支持多种用户认证方式,包括本地、RADIUS、Hwtacacs、AD、CA、LDAP、单点登录、MAC认证、免认证等。
100~240V -
60W
100~240V -
华为HiSecEngine USG6300E系列新一代防火墙V600R007C00规格清单(含详细参数)
路由特性
全面支持IPV4/IPV6下的多种路由协议,如RIP、OSPF、BGP、IS-IS、ACL6等;
全面支持I
部署方式
1:仅供参考,根据实际网络环境 的2:不最同大可吞能吐会量有是差以异1。518字节包长 流量在理想环境下测试得出,实际 情况会因现网情况不同而出现变化 。 3:性能数据是在理想环境下测试得出,实际情况会因现网情况不同而出现变化。
现,支持用户、应用、内容、时间、流量、威胁、URL等多维度呈现报表。 “网络安全分析报告”,对当前网络的安全状态进行评估,并给出相关优化建议。
全面支持IPV4/IPV6下的多种路由协议,如RIP、OSPF、BGP、IS-IS、IPv6RD、ACL6等;
透明、路由、混合部署模式。
5.8KG
1U盒式 442*420*43.6
5.8KG
1U盒式 442*420*43.6
5.8KG
1U盒式
442*420*43.6
7.6KG 选配2.5英寸形 态硬盘,支持 SSD 240GB/ HDD 1TB
标配单电源,选配双电源
100~240V -
35W
100~240V -
35W
100~240V -
丰富的报表
支持防火墙向云管理平台自动注册,云管理平台对防
支持多种安全业务的虚拟化,包括防火墙、入侵防御、反病毒、VPN等。不
预置常用防护场景模板,快速部署安全策 自动评估安全策略存在的风险,智能
支持策略冲突和冗余检测,发现冗余的和长期未使 可视化多维度报表呈现,支持用户、应用、内容、时间、流 通过华为安全中心平台生成“网络安全分析报告”,对当前网络的
透明、路由、混合部署模
W(USG6300/USG6500) USG6315E-AC 400~600 1 Gbps 180万 8万 1Gbps 4,000 500 15,000 50
华为防火墙配置使用手册(自己写)[4]
![华为防火墙配置使用手册(自己写)[4]](https://img.taocdn.com/s3/m/2085ce1fcdbff121dd36a32d7375a417866fc10f.png)
华为防火墙配置使用手册(自己写)华为防火墙配置使用手册一、概述二、防火墙基本概念包过滤防火墙:它只根据数据包的源地址、目的地址、协议类型和端口号等信息进行过滤,不对数据包的内容进行分析。
它的优点是处理速度快,开消小,但是安全性较低,不能阻挠应用层的攻击。
状态检测防火墙:它在包过滤防火墙的基础上,增加了对数据包的连接状态的跟踪和记录,可以识别出非法的连接请求和数据包,并拒绝通过。
它的优点是安全性较高,可以阻挠一些常见的攻击,但是处理速度较慢,开消较大。
应用代理防火墙:它对数据包的内容进行深度分析,可以识别出不同的应用协议和服务,并根据应用层的规则进行过滤。
它的优点是安全性最高,可以阻挠复杂的攻击,但是处理速度最慢,开消最大。
访问控制:它可以根据源地址、目的地址、协议类型、端口号、应用类型等信息对网络流量进行分类和过滤,实现对内外网之间访问权限的控制和管理。
虚拟专网:它可以建立安全隧道,实现不同地域或者组织之间的数据加密传输,保证数据的机密性、完整性和可用性。
内容安全:它可以对网络流量中携带的内容进行检查和过滤,如、网页、文件等,并根据预定义的规则进行拦截或者放行。
用户认证:它可以对网络访问者进行身份验证,如用户名、密码、证书等,并根据不同的用户或者用户组分配不同的访问权限和策略。
流量管理:它可以对网络流量进行统计和监控,如流量量、流量速率、流量方向等,并根据预定义的规则进行限制或者优化。
日志审计:它可以记录并保存网络流量的相关信息,如源地址、目的地址、协议类型、端口号、应用类型、过滤结果等,并提供查询和分析的功能。
三、防火墙配置方法命令行界面:它是一种基于文本的配置方式,用户可以通过控制台或者远程终端访问防火墙,并输入相应的命令进行配置。
它的优点是灵便性高,可以实现细致的配置和管理,但是需要用户熟悉命令的语法和逻辑。
图形用户界面:它是一种基于图形的配置方式,用户可以通过浏览器或者客户端软件访问防火墙,并通过或者拖拽等操作进行配置。
数据中心防火墙方案
03
异步处理
采用异步处理技术减少用户等待时间,提高用户体验和响应速度。
07
可用性保障
高可用性设计
冗余设计
为了确保数据中心的防火墙在任何情况下都能持续工作,应采 用冗余设计,包括冗余电源、冗余网络接口等。
负载均衡
通过负载均衡,可以将数据流量分散到多个防火墙设备上,以 提高系统的可用性和性能。
快速恢复
SSL/TLS协议
使用SSL/TLS协议对数据传输过程进行加密,确保数据在传输过 程中不被窃取或篡改。
加密算法选择
选择适合的加密算法,如AES、RSA等,根据实际需求选择合适 的加密算法。
06
性能优化
网络优化
网络架构优化
采用分布式、层次化的网络架构,减少网络复杂 性和瓶颈,提高网络吞吐量和响应速度。
负载均衡
通过负载均衡技术将网络流量分配到多个服务器 或网络设备上,以提高网络处理能力和吞吐量。
网络流量分析
对网络流量进行实时监测和分析,识别和解决网 络瓶颈和性能问题。
系统优化
硬件优化
选用高性能的硬件设备,如高性能的CPU、内存和存储设备,提高系统处理能力和响应速 度。
操作系统优化
对操作系统进行定制和优化,去除不必要的组件和服务,减少系统资源占用和性能瓶颈。
软件设计
操作系统
选择专业的操作系统,能够提供安全、稳定、高效的运行环境。
防火墙软件
选择专业的防火墙软件,能够提供强大的防护功能和安全策略管 理。
病毒防护软件
选择专业的病毒防护软件,能够有效地防止病毒攻击和恶意软件 的入侵。
架构设计
分层设计
将防火墙分为多个层次,能够提高防火墙的防护 能力和效率。
深信服应用防火墙参数
支持多个内部地址映射到同一个公网地址、多个内部地址映射到多个公网地址、内部地址到公网地址一一映射、源地址和目的地址同时转换、外部网络主机访问内部服务器、支持DNS映射功能
可配置支持地址转换的有效时间
支持多种NAT ALG,包括DNS、FTP、H.323、SIP等
IPSecVPN功能
支持AES、DES、3DES、MD5、SHA1、DH、RC4等算法,并且支持扩展国密办SCB2等其他加密算法支持MD5及SHA-1验证算法
病毒库数量
支持10万条以上的病毒库,并且可以自动或者手动升级
流控
应用特征识别库
*支持对1000种以上应用2000种以上的应用动作(需提供截图证明)
应用流控
*支持基于应用类型划分与带宽分配
网站流控
*支持基于网站类型的划分与带宽分配
文件流控
支持基于文件类型划分与分配带宽
WEB安全防护
URL过滤
*对用户web行为进行过滤,保护用户免受攻击;支持只过滤HTTP GET、HTTP POST、HTTPS等应用行为;并进行阻断和记录日志
文件类型过滤
*支持针对上传、下载等操作进行文件过滤;支持自定义文件类型进行过滤;支持基于时间表的策略制定;支持的处理动作包括:阻断和记录日志
ActiveX过滤
*支持基于签名证书的ActiveX过滤;支持添加白名单和合法网站列表;支持基于应用类型的ActiveX过滤,如视频、在线杀毒、娱乐等;
脚本过滤
抗攻击特性
支持防御Land、Smurf、Fraggle、WinNuke、Ping of Death、Tear Drop、IP Spoofing、SYN Flood、ICMP Flood、UDP Flood、DNS Query Flood、ARP欺骗攻击防范、ARP主动反向查询、TCP报文标志位不合法攻击防范、支持IP SYN速度限制、超大ICMP报文攻击防范、地址/端口扫描的防范、DoS/DDoS攻击防范、ICMP重定向或不可达报文控制等功能,此外还支持静态和动态黑名单功能、MAC和IP绑定功能
数据中心环境要求与检测标准
数据中心环境要求与检测标准随着信息技术的快速发展,数据中心已成为现代社会的重要组成部分,承担着处理、存储和管理海量信息的重要任务。
为了确保数据中心的稳定运行和数据安全,对数据中心环境的要求与检测标准变得尤为重要。
一、数据中心环境要求1、温度和湿度:数据中心要求严格的温度和湿度范围。
温度过高可能导致设备过热,影响性能甚至引发故障。
湿度过低可能会导致静电问题,湿度过高则可能导致设备腐蚀。
因此,一般要求温度在20-25℃之间,湿度在40%-60%之间。
2、空气质量:数据中心内的空气质量也会影响设备的运行。
过多的尘埃、污染物或酸性气体可能会腐蚀设备或干扰其正常运行。
因此,需要定期清洁和过滤数据中心内的空气。
3、电力供应:数据中心需要稳定的电力供应,任何电力中断都可能导致数据丢失或设备故障。
因此,建议使用不间断电源(UPS)以确保电力供应的连续性。
4、防火防灾:数据中心应具备有效的防火和防灾措施。
火灾和自然灾害都可能对数据中心造成严重损害,因此必须采取适当的预防措施。
5、噪声和振动:噪声和振动可能会干扰数据中心的正常运行。
因此,需要采取措施来减少这些影响,例如使用隔音材料和减震设备。
二、数据中心检测标准1、设备性能:定期检查和维护数据中心的设备,确保其性能正常。
应定期进行硬件和软件的更新和升级,以保持最佳性能。
2、温度和湿度:定期检查数据中心的温度和湿度,确保其在规定的范围内。
如果发现任何异常,应立即采取行动进行调整。
3、空气质量:定期进行空气质量检测,确保数据中心内没有过多的尘埃、污染物或酸性气体。
4、电力供应:定期检查电力供应的稳定性和UPS的性能。
如果发现任何问题,应立即采取行动解决。
5、防火防灾:定期检查防火和防灾设施的性能和状态,确保其在良好的工作状态。
6、噪声和振动:定期检查数据中心的噪声和振动水平,确保其不会干扰设备的正常运行。
为了确保数据中心的稳定运行和数据安全,必须严格遵守上述环境要求和检测标准。
H3C防火墙技术参数
吞吐量 并发连接数 每秒新建连接数 VPN加密性能 VPN加密性能
接口数量 ASM反病毒插卡 ASM反病毒插卡 NSM流量监控模块插卡 NSM流量监控模块插卡 VPN插卡模块 SSL VPN插卡模块
并发用户数(带机数量) 并发用户数( 带机数量) IPSec并发用户数 并发用户数( IPSec并发用户数(IPSec 10 VPN带机数量 带机数量) VPN带机数量) VPN在线用户数 在线用户数( SSL VPN在线用户数(SSL VPN带机数量 带机数量) VPN带机数量)
F100-C
F100-S
F100-A-SI 标准型防火 墙,作为中小 企业的内部防 火墙设备 185Mbps 50万 3000条 10/60Mbps (软/硬件) 2FE WAN+4FE LAN;1个扩展 插槽 是 是 是 300-400最 优,400-500 可选
100
-
200 50
200 100
F100-M 便准型百兆防 桌面型防火 入门型百兆防 火期那个,作 墙,SOHO、小 火墙,作为 为中小企业的 企业或分支机 SOHO、小企业 出口防火墙设 构的安全接入 的出口防火墙 备,或中型企 设备 设备 业的内部防火 墙设备 10Mbps 80Mbps 150Mbps 5万 25万 40万 500条 1000条 3000条 10/60Mbps 5Mbps 30Mbps (软/硬件)
F100-A 标准型百兆防 火墙,作为中 小企业的出口 防火墙设备, 或中型企业的 内部防火墙设 备 200Mbps 50万 3000条 10/60Mbps (软/硬件) 3FE WAN+4FE 1*10M 3FE WAN;1个 LAN;1个扩展 WAN+4FE LAN 4FE WAN 扩展插槽 插槽 否 否 是 是 否 否 是 是 否 否 是 是 100-200最 200-300最 300-400最 1-50最优, 优,200-300 优,300-400 优,400-500 50-100可选 可选 可选 可选
Hillstone X系列数据中心防火墙X10800说明书
Hillstone X-SeriesData Center Firewall X10800X10800The Hillstone X10800 Data Center Firewall offers outstanding performance, reliability, andscalability, for high-speed service providers, large enterprises and carrier networks. The product is based on an innovative fully distributed architecture that fully implements firewalls with high throughput, concurrent connections, and new sessions. Hillstone X10800 also supportslarge-capacity virtual firewalls, providing flexible security services for virtualized environments, and features such as application identification, traffic management, intrusion prevention, and attack prevention to fully protect data center network security.FrontRearProduct HighlightHigh Performance based on Elastic Security ArchitectureWith traffic explosively increasing, data center firewalls need powerful capabilities to handle high traffic and massive concurrent user access, as well as the ability to effectively cope with sudden bursts of user activity. Therefore, data center firewalls must not only have high throughput but also extremely high concurrent connections and new session processing capabilities.The Hillstone X10800 Data Center Firewall adopts an inno-vative, fully distributed architecture to implement distributed high-speed processing of service traffic on Service Modules (SSMs) and Interface Modules (IOMs) through intelligent traffic distribution algorithms. Through patented resource management algorithms, it allows for the full potential of dis-tributed multi-core processor platforms, to further increase the performance of firewall concurrent connections, new sessions per second, and achieve a fullly linear expansionof system performance. The X10800 data center firewall can process up to 1 Tbps, up to 10 million new sessionsper second, and up to 480 million concurrent connections. The device can provide up to 44 100GE interfaces, 88 10G interfaces, or 22 40GE interface, 132 10G interface expansion capabilities. Moreover, the packet forwarding delay is less than 10us, which can fully meet a data center’s demand for real-time service forwarding.Carrier Grade ReliabilityThe hardware and software of the X10800 data center fire-wall delivers 99.999% carrier-grade reliability. It can support active/active or active/passive mode redundant deployment solutions to ensure uninterrupted service during single failure. The entire system adopts a modular design, supporting con-trol module redundancy, service module redundancy, inter-face module redundancy and switching module redundancy, and all modules are hot-swappable.The X10800 data center firewall supports multi-mode and single-mode optical port bypass modules. When the device is running under a special condition, such as power off, the system will start in Bypass mode to ensure uninterrupted operation of business. It also provides power redundancy, fan redundancy and other key components to guarantee reliability.Twin-mode HA effectively solves the problem of asymmetric traffic in redundant data centers. The firewall twin-mode isa highly reliable networking mode building on dual-device backup. Two sets of active/passive firewalls in the two data centers are connected via a dedicated data link and control link. The two sets of devices synchronize session information and configuration information with each other.Leading Virtual Firewall TechnologyVirtualization technology is more and more widely used in data centers. The X10800 data center firewall can logically divide a physical firewall into upwards of 1000 virtual fire-walls for the data center’s virtualization needs, providing virtual firewall support capabilities for large data centers. At the same time, users can dynamically set resource for each virtual firewall based on actual business conditions, suchas CPUs, sessions, number of policies, ports, etc., to ensure flexible changes in service traffic in a virtualized environment. Each virtual firewall system of X10800 data center firewalls not only has independent system resources, but also can be individually and granularly managed to provide independent security management planes for different services or users. Granular Application Control and Comprehensive SecurityThe X10800 data center firewall uses advanced in-depth application identification technology to accurately iden-tify thousands of network applications based on protocol features, behavior characteristics, and correlation analysis, including hundreds of mobile applications and encrypted P2P applications. It provides sophisticated and flexible application security controls.The X10800 data center firewall provides intrusion prevention technology based on deep application identification, proto-col detection, and attack principle analysis. It can effectively detect threats such as Trojans, worms, spyware, vulnerability attacks, and escape attacks, and provide users with L2-L7Product Highlight (Continued) FeaturesNetwork Services• Dynamic routing (OSPF, BGP, RIPv2)• Static and Policy routing• Route controlled by application• Built-in DHCP, NTP, DNS Server and DNS proxy • Tap mode – connects to SPAN port• Interface modes: sniffer, port aggregated, loopback, VLANS (802.1Q and Trunking)• L2/L3 switching & routing• Virtual wire (Layer 1) transparent inline deploymentFirewall• Operating modes: NAT/route, transparent (bridge), and mixed mode• Policy objects: predefined, custom, and object grouping• Security policy based on application, role and geo-location• Application Level Gateways and session support: MSRCP, PPTP, RAS, RSH, SIP, FTP, TFTP, HTTP, dcerpc, dns-tcp, dns-udp, H.245 0, H.245 1, H.323 • NAT and ALG support: NAT46, NAT64, NAT444, SNAT, DNAT, PAT, Full Cone NAT, STUN• NAT configuration: per policy and central NAT table• VoIP: SIP/H.323/SCCP NAT traversal, RTP pin holing• Global policy management view• Security policy redundancy inspection, policygroup, policy configuration rollback• Policy Assistant for easy detailed policydeployment• Policy analyzing and invalid policy cleanup• Comprehensive DNS policy• Schedules: one-time and recurringIntrusion Prevention• Protocol anomaly detection, rate-based detection,custom signatures, manual, automatic push orpull signature updates, integrated threat encyclo-pedia• IPS Actions: default, monitor, block, reset(attackers IP or victim IP, incoming interface) withexpiry time• Packet logging option• Filter Based Selection: severity, target, OS, appli-cation or protocol• IP exemption from specific IPS signatures• IDS sniffer mode• IPv4 and IPv6 rate based DoS protection withthreshold settings against TCP Syn flood, TCP/UDP/SCTP port scan, ICMP sweep, TCP/UDP/SCIP/ICMP session flooding (source/destination)• Active bypass with bypass interfaces• Predefined prevention configurationAnti-Virus• Manual, automatic push or pull signature updates• Flow-based Antivirus: protocols include HTTP,SMTP, POP3, IMAP, FTP/SFTP• Compressed file virus scanningAttack Defense• Abnormal protocol attack defense• Anti-DoS/DDoS, including SYN Flood, DNS QueryFlood defense• ARP attack defenseURL Filtering• Abnormal protocol attack defense• Anti-DoS/DDoS, including SYN Flood, DNS QueryFlood defense• ARP attack defense• Flow-based web filtering inspection• Manually defined web filtering based on URL, webcontent and MIME header• Dynamic web filtering with cloud-based real-timecategorization database: over 140 million URLswith 64 categories (8 of which are security related)• Additional web filtering features:- Filter Java Applet, ActiveX or cookie- Block HTTP Post- Log search keywords- Exempt scanning encrypted connections oncertain categories for privacy• Web filtering profile override: allows administratorto temporarily assign different profiles to user/group/IP• Web filter local categories and category ratingoverridenetwork security. Among them, Web protection function can meet the deep security protection requirements of Web server; Botnet filtering function can protect internal hosts from infection.The X10800 data center firewall supports URL filtering for tens of millions of URL signature library. It can help admin-istrators easily implement web browsing access control and avoid threat infiltration of malicious URLs. It also provides Anti-virus feature that can effectively detect and block mal-wares with low latency.The intelligent bandwidth management of X10800 data center firewall is based on deep application identification and user identification. Combined with service application priorities, the X10800 data center firewall can implement fine-grained, two-layer, eight-level traffic control based on policies and provide elastic QoS functions. Used with functions such as session restrictions, policies, routing, link load balancing, and server load balancing, it can provide users with more flexible traffic management solutions.Strong Network AdaptabilityThe X10800 data center firewall fully supports next-genera-tion Internet deployment technologies (including dual-stack, tunnel, DNS64/NAT64 and other transitional technologies). It also has mature NAT444 capabilities to support static mapping of fixed-port block of external network addresses to intranet addresses. It can generate logs based on session and user for easy traceability. Enhanced NAT functions (Full-cone NAT, port multiplexing, etc.) can fully meet the require-ments of current ISP networks and reduce the cost of user network construction.The X10800 data center firewall provides full compliance with standard IPSec VPN capabilities and integrates third-gen-eration SSL VPN to provide users with high-performance, high-capacity, and full-scale VPN solution. At the same time, its unique plug-and-play VPN greatly simplifies configuration and maintenance challenges and provides users with convenient and remote secure access services.IP Reputation• Identify and filter traffic from risky IPs such as botnet hosts, spammers, Tor nodes, breached hosts, and brute force attacks• Logging, dropping packets, or blocking for different types of risky IP traffic• Regular IP reputation signature database upgrade Endpoint Identification and Control• Support to identify endpoint IP, endpoint quantity, on-line time, off-line time, and on-line duration • Support 10 operation systems, including Windows, iOS, Android, etc.• Support query based on IP, endpoint quantity, control policy and status etc.• Support the identification of accessed endpoints quantity across layer 3, logging and interference on overrun IP• Redirect page display after custom interference operation• Supports blocking operations on overrun IP Application Control• Over 3,000 applications that can be filtered by name, category, subcategory, technology and risk • Each application contains a description, risk factors, dependencies, typical ports used, and URLs for additional reference• Actions: block, reset session, monitor, traffic shaping• Identify and control cloud applications in the cloud • Provide multi-dimensional monitoring and statistics for cloud applications, including risk category and characteristicsQuality of Service (QoS)• Max/guaranteed bandwidth tunnels or IP/user basis• Tunnel allocation based on security domain, interface, address, user/user group, server/server group, application/app group, TOS, VLAN• Bandwidth allocated by time, priority, or equal bandwidth sharing• Type of Service (TOS) and Differentiated Services (DiffServ) support• Prioritized allocation of remaining bandwidth • Maximum concurrent connections per IP• Bandwidth allocation based on URL category • Bandwidth limit by delaying access for user or IP • Automatic expiration cleanup and manual cleanup of user used trafficServer Load Balancing• Weighted hashing, weighted least-connection, and weighted round-robin• Session protection, session persistence and session status monitoring• Server health check, session monitoring and session protectionLink Load Balancing• Bi-directional link load balancing• Outbound link load balancing includes policy based routing, ECMP and weighted, embeddedISP routing and dynamic detection• Inbound link load balancing supports SmartDNSand dynamic detection• Automatic link switching based on bandwidth,latency, jitter, connectivity, application etc.• Link health inspection with ARP, PING, and DNSVPN• IPSec VPN- IPSEC Phase 1 mode: aggressive and main IDprotection mode- Peer acceptance options: any ID, specific ID, ID indialup user group- Supports IKEv1 and IKEv2 (RFC 4306)- Authentication method: certificate andpre-shared key- IKE mode configuration support (as server orclient)- DHCP over IPSEC- Configurable IKE encryption key expiry, NATtraversal keep alive frequency- Phase 1/Phase 2 Proposal encryption: DES,3DES, AES128, AES192, AES256- Phase 1/Phase 2 Proposal authentication:MD5, SHA1, SHA256, SHA384,SHA512- Phase 1/Phase 2 Diffie-Hellman support: 1,2,5- XAuth as server mode and for dialup users- Dead peer detection- Replay detection- Autokey keep-alive for Phase 2 SA• IPSEC VPN realm support: allows multiple customSSL VPN logins associated with user groups (URLpaths, design)• IPSEC VPN configuration options: route-based orpolicy based• IPSEC VPN deployment modes: gateway-to-gateway, full mesh, hub-and-spoke, redundanttunnel, VPN termination in transparent mode• One time login prevents concurrent logins with thesame username• SSL portal concurrent users limiting• SSL VPN port forwarding module encrypts clientdata and sends the data to the application server• Supports clients that run iOS, Android, andWindows XP/Vista including 64-bit Windows OS• Host integrity checking and OS checking prior toSSL tunnel connections• MAC host check per portal• Cache cleaning option prior to ending SSL VPNsession• L2TP client and server mode, L2TP over IPSEC,and GRE over IPSEC• View and manage IPSEC and SSL VPN connec-tions• PnPVPNIPv6• Management over IPv6, IPv6 logging and HA• IPv6 tunneling, DNS64/NAT64 etc• IPv6 routing protocols, including static routing,policy routing, ISIS, RIPng, OSPFv3 and BGP4+• IPS, Application identification, URL filtering,Access control, ND attack defense, iQoS• Track address detectionVSYS• System resource allocation to each VSYS• CPU virtualization• Non-root VSYS support firewall, IPSec VPN, SSLVPN, IPS, URL filtering• VSYS monitoring and statisticHigh Availability• Redundant heartbeat interfaces• Active/Active and Active/Passive mode• Standalone session synchronization• HA reserved management interface• Failover:- Port, local & remote link monitoring- Stateful failover- Sub-second failover- Failure notification• Deployment options:- HA with link aggregation- Full mesh HA- Geographically dispersed HATwin-mode HA• High availability mode among multiple devices• Multiple HA deployment modes• Configuration and session synchronization amongmultiple devicesUser and Device Identity• Local user database• Remote user authentication: TACACS+, LDAP,Radius, Active• Single-sign-on: Windows AD• 2-factor authentication: 3rd party support,integrated token server with physical and SMS• User and device-based policies• User group synchronization based on AD andLDAP• Support for 802.1X, SSO Proxy• WebAuth page customization• Interface based Authentication• Agentless ADSSO (AD Polling)• Use authentication synchronization based onSSO-monitor• Support MAC-based user authenticationAdministration• Management access: HTTP/HTTPS, SSH, telnet,console• Central Management: Hillstone Security Manager(HSM), web service APIs• System Integration: SNMP, syslog, alliancepartnerships• Rapid deployment: USB auto-install, local andremote script execution• Dynamic real-time dashboard status and drill-inmonitoring widgets• Language support: EnglishFW Throughput (Maximum) (1)IPSec Throughput (Maximum) (2)IMIX Throughput(3)NGFW Throughput (4)Threat Protection Throughput (5)Concurrent Sessions (Maximum)New Sessions/s(6)IPS Throughput (Maximum) (7)Virtual Systems (Default/Max)I/O ModuleMaximum InterfacesMaximum Power Consumption Power SupplyManagement Interfaces Network Interfaces Expansion Module Slot Dimension (W × D × H)WeightCompliance and CertificateSpecificationsSG-6000-X10800Logs & Reporting• Logging facilities: local memory and storage (if available), multiple syslog servers and multiple Hillstone Security Audit (HSA) platforms • Encrypted logging and log integrity with HSA scheduled batch log uploading• Reliable logging using TCP option (RFC 3195) • Detailed traffic logs: forwarded, violated sessions, local traffic, invalid packets, URL etc.• Comprehensive event logs: system and adminis -trative activity audits, routing & networking, VPN, user authentications, WiFi related events• IP and service port name resolution option • Brief traffic log format option• Three predefined reports: Security, Flow and network reports• User defined reporting• Reports can be exported in PDF , Wordl and HTML via Email and FTPStatistics and Monitoring• Application, URL, threat events statistic and monitoring• Real-time traffic statistic and analytics• System information such as concurrent session, CPU, Memory and temperature• iQOS traffic statistic and monitoring, link status monitoring• Support traffic information collection and forwarding via Netflow (v9.0)Module OptionsDescriptionmodule 100GE, 10GE interface moduleQoS service module Security control moduleNetwork Interface4 QSFP28 100GEinterfaces, 8 SFP+ 10Gbinterfaces, transceiver notincluded N/AN/ASlot expansion slot Occupies 1 universal expansion slot expansion slot Occupies 1 universal expansion slot expansion slot Occupies 1 universal expansion slot Weight12.67 lb (5.75 kg)12.56 lb (5.70 kg)7.6 lb (3.45 kg)NOTES:(1) FW Throughput data is obtained under single-stack UDP traffic with 1518-byte packet size;(2) IPSec throughput data is obtained under Preshare Key AES256+SHA-1 configuration and 1400-byte packet size packet; (3) IMIX throughput data is obtained under UDP traffic mix (68 byte : 512 byte : 1518 byte =5:7:1);(4) NGFW throughput data is obtained under 64 Kbytes HTTP traffic with application control and IPS enabled;(5) Threat protection throughput data is obtained under 64 Kbytes HTTP traffic with application control, IPS, AV and URL filtering enabled; (6) New Sessions/s is obtained under TCP traffic;(7) IPS throughput data is obtained under bi-direction HTTP traffic detection with all IPS rules being turned on;(8) At least 3 AC power modules are required for full load operation with AC power, and at least 4 DC power modules are required for full load operation with DC power.Unless specified otherwise, all performance, capacity and functionality are based on StoneOS5.5R7. Results may vary based on StoneOS ® version and deployment.IOM-P100-300IOM-P40-300SWM-300QSM-300SSM-300SCM-300。
数据中心防火墙部署
THANKS
感谢观看
配置和规则设置
01
02
03
最小权限原则
根据最小权限原则配置防 火墙规则,每个应用或服 务只开放必要的端口和协 议,降低潜在风险。
访问控制列表
利用访问控制列表(ACL )实现更精确的流量控制 ,确保只有授权用户和设 备可以访问特定资源。
状态监测
启用状态监测功能,以便 防火墙能够实时跟踪连接 状态,更准确地判断流量 是否合规。
04
防火墙部署最佳实践
防火墙位置选择
核心交换区
将防火墙部署在数据中心的核心 交换区,可以最大限度地保护内 部网络,有效过滤内外部网络之
间的流量。
DMZ区
将防火墙部署在DMZ区(非军事 区),可以对外部访问进行更细粒 度的控制,同时提供对外部服务的 额外层防护。
入口和出口
在数据中心的入口和出口处部署防 火墙,可以实现对进出数据中心的 流量进行全面检查和过滤。
功能
数据包过滤:防火墙 可以根据预设的安全 规则,对数据包进行 过滤,阻止潜在的安 全威胁。
网络地址转换(NAT ):防火墙可以隐藏 内部网络的IP地址, 提高内部网络的安全 性。
虚拟专用网络(VPN ):防火墙支持VPN 功能,通过加密技术 ,确保远程访问的安 全性。
防火墙的类型
软件防火墙
运行在操作系统上的应用程序,通过软件实现对网络流量的监控 和过滤。
通过部署防火墙,数据中心的网络安全性得到了大幅提升 。防火墙可以有效地阻止外部恶意攻击,保护关键数据资 产不受损害。
实时监控与日志分析
防火墙具备实时监控和日志分析功能,能够及时发现并响 应安全事件,为安全团队提供有力支持。
数据中心防火墙部署..
五
现状:数据中心FWSM路由模式拓扑图
备注:
1、HT_SWLDA_4F_6509E_01、HT_SWLDA_1F_6509E_01设备上的InterfaceVlan411接口为OSPF路由协议报文传递使用。
2、Vlan402为服务器业务使用(inside接口);Vlan413、Vlan414为两台6509E设备上防火墙模块的Failover协议使用,HT_SWLDA_4F_6509E_01上的防火墙模块为Primary,HT_SWLDA_1F_6509E_01上的防火墙模块为Secondary;Vlan412为两台6509E与其防火墙模块的Outside接口连接使用,两台6509E的InterfaceVlan412接口启用HSRP协议,HT_SWLDA_4F_6509E_01为Active,HT_SWLDA_1F_6509E_01为Standby。
二、
1
序号
姓名
职责
手机
1
卢立杰
项目经理(整体协调)
2
何沿平
割接操作(设备调试)
3
扎西
割接操作(配合设备调试)
4
朱洺奇
监督协调
5
代宁
厂商技术支持
2
2010年2月9日-2010年2月9日
三、
本次割接操作将对数据中心6509E设备部署VSS,同时,防火墙FWSM模块部署透明模式,对数据中心网络进行规划和调试。因此会影响数据中心服务器与集团网络间的互相访问。
数据中心防火墙方案
数据中心防火墙方案随着信息技术的快速发展,数据中心已经成为企业信息管理的核心。
然而,随着网络攻击的不断增加,如何保障数据中心的安全成为了亟待解决的问题。
其中,数据中心防火墙作为第一道防线,对于保护数据中心的安全具有至关重要的作用。
本文将介绍一种数据中心防火墙方案,以期为相关企业和人员提供参考。
一、需求分析数据中心防火墙方案的需求主要包括以下几个方面:1、高性能:随着数据量的不断增加,数据中心防火墙需要具备高性能的处理能力,能够快速地处理数据流量,避免网络拥堵和延迟。
2、安全性:数据中心防火墙需要具备强大的安全防护能力,能够有效地防止各种网络攻击,如DDoS攻击、SQL注入、XSS攻击等。
3、可扩展性:随着业务的发展,数据中心规模可能会不断扩大,因此防火墙需要具备良好的可扩展性,能够方便地扩展其性能和功能。
4、易管理性:数据中心防火墙需要具备易管理性,以便管理员能够方便地进行配置和管理,同时需要提供可视化的管理界面和日志分析功能。
二、方案介绍针对上述需求,我们提出了一种基于高性能、可扩展、安全性佳、易管理的数据中心防火墙方案。
该方案采用了最新的防火墙技术,具有以下特点:1、高性能:采用最新的ASIC芯片和多核处理器技术,具备超高的吞吐量和处理能力,可以满足大规模数据中心的业务需求。
2、安全性:具备完善的防御机制,包括DDoS攻击防御、IP防欺诈、TCP会话劫持、HTTP协议过滤等,可有效地保护数据中心的网络安全。
3、可扩展性:采用模块化设计,可根据实际需求灵活地扩展性能和功能,支持多种接口卡和安全模块的扩展。
4、易管理性:提供友好的Web管理界面和日志分析功能,支持远程管理和故障排除,方便管理员进行配置和管理。
三、实施步骤以下是数据中心防火墙方案的实施步骤:1、需求调研:了解数据中心的规模、业务需求以及网络架构等信息,为后续的方案设计和实施提供依据。
2、方案设计:根据需求调研结果,设计符合实际需求的防火墙方案,包括硬件配置、安全策略设置、网络拓扑等。
USG6500E系列防火墙规格参数
USG6580E 1100~1600
8Gbps 400万
8万 3Gbps 4,000 1,000 15,000
100
支持 支持 支持 支持 支持 支持 支持 支持 支持 支持 支持 支持 支持
支持 支持 支持 支持 支持
固定接口
4G LTE 内存 CF /SD卡 整机规格 产品形态 尺寸(W×D×H)mm 满配重量 本地存储
度:5%~95%
度:5%~95%
度:5%~95%
湿度:5%~95% 度:5%~95%
度:5%~95%
温度:-40℃~70℃ /湿度:5%~95%
一体化防护
应用识别与管控
入侵防御与Web防护 防病毒 数据防泄漏 带宽管理 URL过滤 行为和内容审计 业务智能选路 VPN SSL加密流量检测
集传统防火墙、VPN、入侵防御、防病毒、数据 防泄漏、带宽管理、本地URL过滤等多种功能于
可基于用户的访问地址和内容进行审计、溯源。 支持基于业务的策略路由,在多出口场景下可根据多种负载均衡算法(如带宽比例、链路健康状态等)进行智能选路。
支持丰富高可靠性的VPN特性,如IPSec VPN、 支持丰富高可靠性的VPN特性,如IPSec VPN、SSL VPN、L2TP VPN、MPLS VPN、GRE等
路由特性
全面支持IPV4/IPV6下的多种路由协议,如RIP、 OSPF、BGP、IS-IS、ACL6等;
全面支持IPV4/IPV6下的多种路由协议,如RIP、OSPF、BGP、IS-IS、IPv6RD、ACL6等;
部署方式
透明、路由、混合部署模式。
1:仅供参考,根据实际网络环境的不同可能会有差异。
病毒库每日更新,可迅 病毒库每日更新,可迅 速检出超过20万种病毒 速检出超过50万种病毒
备灾数据中心防火墙设备技术参数
*入侵防御特性
精确识别应用、内容和威胁,抵御网络层和应用层攻击
支持对HTTP、FTP、SMTP、IMAP、POP3、TELNET、TCP、UDP、DNS、RPC、MSSQL、ORACLE、NNTP、DHCP、LDAP、VoIP、NETBIOS、TFTP、SUNRPC和MSRPC等常用协议及应用的攻击检测和防御
支持NAT地址可用性探测,支持NAT公网地址池中IP有效性检测,避免因NAT地址无法使用导致业务中断
支持BFD功能,支持BFD与静态路由/OSPF/BGP进行联动。快速检测到与相邻设备间的通信故障,减小设备故障对业务的影响。通过与动态路由协议联动,缩短收敛时间,提升可靠性
策略路由支持基于指定IP地址、指定应用协议、指定时间表生效
管理特性
支持通过RESTAPI接口对接其他平台进行配置和查看地址簿、病毒过滤、入侵防御、安全策略、DNAT、SNAT、接口配置、安全域、路由功能
支持苹果APP、安卓APK使用,实时监控防火墙等设备的状态、网络流量、威胁等信息,及时获得告警,生成报表以及进行日志托管
产品资质
正式发布需三年以上时间
公安部颁发的《计算机信息系统安全专用产品销售许可证》
支持屏蔽攻击者,至少支持阻断攻击者IP或服务两种模式
内置知识库,详细描述攻击特征及解决方案,提供产品界面截图有效
网关防病毒特性
支持病毒防护功能,对HTTP、FTP、SMTP、POP3等协议流量进行病毒查杀,同时查杀压缩包(zip、rar、gzip等)中的病毒
VPN特性
支持L2TP VPN、IPSec VPN、SSL VPN接入方式,支持IOS/Android以及32位和64位Windows 2000/2003/XP/Vista/Windows 7/Windows 8/MAC操作系统SSL VPN接入
数据中心网络安全中的防火墙配置方法论
数据中心网络安全中的防火墙配置方法论数据中心网络安全是企业信息安全的重要组成部分。
为了保护数据中心免受网络攻击和数据泄露的威胁,防火墙配置起着关键的作用。
防火墙配置方法论的制定和实施对于确保数据中心的安全至关重要。
本文将讨论数据中心网络安全中的防火墙配置方法论。
一、数据中心网络安全的背景数据中心储存了企业的重要数据和业务关键应用程序,所以保护数据中心的网络安全至关重要。
数据中心的网络安全面临各种威胁,包括网络攻击、恶意软件、数据泄露等。
因此,在建设和管理数据中心网络时,必须采取措施保护其安全性和完整性。
二、防火墙在数据中心网络安全中的作用防火墙是数据中心网络安全的基石。
它是一种网络安全设备,通过过滤和监控网络流量,来保护内部网络免受恶意攻击和未授权访问。
防火墙可以根据预设的安全策略和规则对传入和传出的数据进行检查,确保只有符合安全规则的流量才能通过。
防火墙的配置方法论对于实施有效的防火墙策略至关重要。
三、防火墙配置方法论的制定1. 确定安全需求:在制定防火墙配置方法论之前,需明确数据中心的安全需求。
根据企业的具体情况,确定数据中心是否需要遵循特定的合规要求,譬如PCI DSS(Payment Card Industry Data Security Standard)和GDPR(General Data Protection Regulation)等。
同时,还需要根据数据中心的业务需求,确定允许通信和访问的范围。
2. 制定安全策略:根据数据中心的安全需求,制定相应的安全策略。
安全策略包括定义允许通过防火墙的数据流量、禁止或阻止的数据流量、身份验证规则、安全审计策略等。
制定完善的安全策略可以限制网络攻击和恶意活动,并提升数据中心的整体安全性。
3. 选择合适的防火墙类型:选择适合数据中心网络的防火墙类型。
根据需求,可以选择传统的硬件防火墙、软件防火墙、云防火墙等。
不同的防火墙类型有不同的安全功能和特性,需根据实际需求选择最佳方案。
数据中心的防火墙设置
可靠性:产品的可靠性和稳定性对 于数据中心至关重要,需考虑可靠 性
添加标题
添加标题
添加标题
添加标题
安全性:不同产品的安全性能和漏 洞修复能力不同,需考虑安全性
成本:不同产品的价格和性价比不 同,需考虑成本
技术支持:提供7x24小时的 技术支持,保障防火墙运行 的稳定性。
售后服务:提供免费的升级 服务,定期对防火墙进行升 级,确保其安全性。
数据中心防火墙 的核心功能
定义:将数据中心内部网络划分为不同的 安全区域,并设置访问控制策略,以实现 对不同区域之间的数据隔离和保护。
目的:确保数据中心内部网络的安全性和 稳定性,防止未经授权的访问和数据泄露。
方法:使用防火墙设备或虚拟防火墙技术 实现网络隔离。
优势:可以有效地保护数据中心的机密数 据和敏感信息,同时可以防止恶意攻击和 未经授权的访问。
识别和防止潜 在的威胁和攻
击
审计和监控网 络流量
确保网络安全 和合规性
数据中心防火墙 的选型与采购
确定防火墙需要保护的数据中心资 产
制定预算计划,确定投资回报率
添加标题
添加标题
添加标题
添加标题
评估数据中心现有的安全控制措施
考虑长期发展需求,确保防火墙能 够适应未来的变化
防火墙性能:不同厂商的产品性能 有所不同,需要根据需求选择
定义:对进出数 据中心的流量进 行控制,确保安 全访问
功能:基于IP地 址、端口号、协 议等条件进行访 问控制
重要性:防止未 经授权的访问和 攻击,保护数据 中心的安全
配置:通过防火 墙规则配置实现 访问控制
根据安全策略,对 进出数据中心的流 量进行过滤和拦截
识别并阻止恶意流 量和攻击行为
防火墙参数
提供静态的包过滤和动态包过滤功能;支持的应用层报文过滤,包括:应用层协议:FTP、HTTP、SMTP、RTSP、H.323(Q.931,H.245, RTP/RTCP)、SQLNET、MMS、PPTP等;传输层协议:TCP、UDP
支持防御Land、Smurf、Fraggle、WinNuke、Ping of Death、Tear Drop、IP Spoofing、SYN Flood、ICMP Flood、UDP Flood、DNS Query Flood、ARP欺骗攻击防范、ARP主动反向查询、TCP报文标志位不合法攻击防范、支持IP SYN速度限制、超大ICMP报文攻击防范、地址/端口扫描的防范、DoS/DDoS攻击防范、ICMP重定向或不可达报文控制等功能,此外还支持静态和动态黑名单功能、MAC和IP绑定功能
防火墙
技术指标
指标要求
★接口
标准1U机架式设备,标配4个10/100/1000 Base-T千兆电口,并含2个高速USB2.0接口,1个RJ45串口
★性能
整机吞吐量≥1.5Gbps,七层吞吐量≥180Mbps,并发连接数≥5,00,000,每秒新建连接数≥30,000
部署方式
支持网关模式,支持NAT、路由转发、DHCP等功能;支持网桥模式,以透明方式串接在网络中;支持同时开启网关和网桥模式。
厂商资质
国家规划布局重点软件企业和国家级高新技术企业证书;具有国密办商用密码产品生产定点单位证书
售后服务体系通过ISO9001认证
网络安全应急服务支撑单位证书(省级)和CMMI L3认证证书;
为了保障项目的环境质量,要求产品制造厂商具备IS014001环境管理体系认证证书
产品资质
产品应具备软件著作权登记证书;
防火墙的关键参数
2) 连接数评估连接在状态防火墙中是一个很重要的概念,与连接相关的性能指标对评估防火墙非常重要。
这些指标包括并发连接数、新建连接速率。
l 并发连接数的测试并发连接是一个很重要的指标,它主要反映了被测设备维持多个会话的能力。
关于此指标的争论也有很多。
一般来说,它是和测试条件紧密联系的,但是这方面的考虑有时会被人们忽略。
比如,测试时采用的传输文件大小就会对测试结果有影响。
例如,如果在传输中应用层流量很大的话, 被测设备将会占用很大的系统资源去处理包检查,导致无法处理新请求的连接,引起测试结果偏小;反之测试结果会大一些。
所以没有测试条件而只谈并发连接数是难以定断的。
从宏观上来看,这个测试的最终目的是比较不同设备的“资源”,也就是说处理器资源和存储资源的综合表现。
目前市场上出现了大家盲目攀比并发连接数的情况。
事实上,并发几十万的连接数应该完全可以满足一个电信级数据中心的网络服务需求了,对于一般的企业来讲, 甚至几千个并发连接数还绰绰有余。
并发连接总数能由仪表自动测试得出结果,减少了测试所用的时间和人力,这类仪表目前很多,常见的有Spirent的 Avalanche、IXIA的IxLoad以及BPS等。
l 新建连接速率这个指标主要体现了被测设备对于连接请求的实时反应能力。
对于中小用户来讲,这个指标显得更为重要。
可以设想一下,当被测设备可以更快的处理连接请求,而且可以更快传输数据的话,网络中的并发连接数就会倾向于偏小,从而设备压力也会减小,用户感受到的防火墙性能也就越好。
Avalanche、IXLOAD以及BPS等测试工具都可以测试新建连接速率,帮助使用者搜索到被测设备能够处理的峰值,测试原理基本都是相同的。
2. 模拟真实应用环境进行性能指标测试如果能够100%模拟用户的实际应用环境对防火墙性能进行测试,那么防火墙选型这类活动将变得非常简单,而且防火墙性能指标将变得更加有意义。
但是模拟真实应用环境并不是简单的事情。
等级保护2.0第三级数据中心防火墙类安全防护产品功能指标参考
等级保护2.0第三级数据中心防火墙类安全防护产品功能指标参考
1、WEB防火墙(至少满足其中12项要求)
WEB 网站访问防护专用安全设备,具备WEB 访问控制、
WEB 网络数据分析等基本功能。
具备对SQL 注入、跨站、扫描器扫描、信息泄露、文件传输攻击、操作系统命令注入、目录遍历、异常发现、webshell
攻击检测、盗链行为、拒绝服务攻击防护、网页防篡改、身份认证、日志审计等
14 项安全功能。
2、数据库防火墙(全部满足)
数据库访问控制和安全审计专用设备。
①具备数据库审计、数据库访问控制、数据库访问检测与过滤、数据库服务发
现、脱敏数据发现、数据库状态和性能监控、数据库管理员特权管控等功能。
②支持桥接、网关和混合接入方式,基于安全等级标记的访问控制策略和双机
热备功能,保障连续服务能力。
3、网络防火墙(至少具备3 项功能、支持3 种访问控制类型。
)
网络边界防护和访问控制的专用设备。
①具备访问控制、入侵防御、病毒防御、应用识别、WEB 防护、负载均衡、
流量管控、身份认证、数据防泄露等9 项功能。
②支持区域访问控制、数据包访问控制(例如基于IP、端口、网络协议访问的
数据包)、会话访问控制、信息内容过滤访问控制、应用识别访问控制等5 种访问控制类型。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
提供智能策略分析功能,支持策略命中分析、策略冗余分析、策略冲突检查,并且可在WEB界面显示检测结果:红色为冗余策略,绿色为冲突策略;
内置攻击检测引擎,采用协议分析、模式识别、统计阀值和流量异常监视等综合技术手段来判断入侵行为;支持web攻击识别和防护,如跨站脚本攻击、SQL注入攻击;支持超过4200+攻击特征库,同时支持自定义特征库,设备厂商为CNNVD一级支撑单位,能够确保每周至少更新1次攻击特征库。
支持日志本地存储,可对不同类型日志设置存储空间;同时支持外发至SYSLOG服务器,可将多条日志合并成一条日志传送到日志服务器中,可选择对日志传输是否加密,设定8位的加密密钥
日志查看可划分பைடு நூலகம்管理日志、系统日志、策略日志、应用行为日志等四大模块,具体包含用户、连接、流量、NAT、审计、HA、APT、未知威胁等20个日志类别;
支持基于IPv6的应用层检测(FTP\TFTP)、病毒过滤、URL过滤、ADS、IPS检测
支持在一台物理设备上划分出128个相互独立的虚拟系统,可根据连接配额及连接新建速率为每个虚拟系统分配资源;
支持配置文件、系统服务等系统功能虚拟化,支持路由、链路聚合等网络功能虚拟化,支持安全策略、NAT策略、带宽管理、认证策略、IPV6功能、URL过滤、异常行为分析、病毒过滤、内容过滤、审计、报表等安全功能虚拟化;
支持根据应用对通过设备的数据报文流量进行统计,包括应用总流量排名和各个应用的协议名称、总流量、上行流量、下行流量、新建连接数、当前会话数以及流速;
支持根据用户/用户组对通过设备的数据报文流量进行统计,包括用户总流量排名和各个用户的用户名、认证类型、上行流量、下行流量、新建会话数、当前会话数以及流速;
内置统计智能学习算法,对特定地址对象建立监控策略,基于新建、并发、流量等数据与上一周期记录值进行比较判定是否异常,如果存在异常则报警;
内置不低于15类预定义报表模板,支持根据通信流量、上网行为、威胁统计等来源数据库自定义报表模板;支持一次性报表及周期性报表,可自定义统计时间;
支持独立配置审计策略,同时也可将指定的IP地址、URL、应用加入白名单,不进行数据审计;
支持一对一SNAT、多对一SNAT、一对一DNAT、双向NAT、NoNAT等多种转换方式;支持StickyNAT开关,使相同源IP的数据包经过地址转换后为其转换的源IP地址相同;
支持MAP66功能,将从内部发往Internet的数据包的源IPv6地址修改为全球单播源IPv6地址,实现IPv6网络间的地址转换;
支持网站访问审计:审计指定类别的URL地址、审计命中指定关键字的网页标题和网页内容;
支持邮件内容审计:对接收/发送邮件行为及邮件内容进行审计;FTP审计:对FTP上传/下载行为及文件内容进行审计;
提供完善的审计数据查询功能,方便管理员对用户的上网行为进行审查和分析。支持对用户上网行为进行完整的审计数据查询,包括访问网站、邮件收发、论坛微博、FTP等;同时支持对用户上网流量时长进行完整的审计数据查询,包括服务端IP、用户名、协议、上行流量、下行流量、总流量、时间等;
支持根据服务器对通过设备的数据报文流量进行统计,包括各个服务器的服务器IP、上行流量、下行流量、总流量以及新建会话数;
支持指定监控时间周期,包括:实时、最近1小时、最近1天、最近1周、最近1月等;
支持根据按照病毒防御、入侵防御、APT防御、ADS攻击进行威胁统计,可按照威胁类型/攻击者/受害者三种方式进行威胁排名。
内置病毒检测引擎,支持HTTP/SMTP/POP3/FTP/IM等协议的病毒防御,对每种协议数据流的检测方向可选双向、上传、下载;
内置至少2种专业反病毒厂商或研究机构的病毒特征库,符合等级保护相关标准对网关防病毒特征库和主机防病毒特征库异构的要求。病毒特征库规模超过400万
支持病毒白名单,用户可以根据实际业务需求将特定威胁进行排除;
支持智能DNS及DNSDocting功能,能够将来自内部网络的域名解析请求定向到真实内网资源,提高访问效率,同时支持通过配置多条DNSDoctoring,实现内网资源服务器的负载均衡
支持IPv6安全控制策略设置,能针对IPv6的目的/源地址、目的/源服务端口、区域、服务、时间、扩展头属性等条件进行安全访问规则的设置;
数据中心防火墙参数
系统具备防病毒、入侵防御功能模块,带3年升级服务
★硬件基于X86多核架构,1U机架产品,配置不低于6个10/100/1000BASE-T接口和2个SFP插槽,2个可插拨的扩展槽,双电源。
防火墙吞吐率不低于8Gbps,并发连接数不低于220万
支持路由、交换、混合、虚拟线工作模式;
为提高链路可靠性,需支持手工链路聚合及LACP链路聚合,提供不少于11种的负载分担算法,灵活实现对聚合组内业务流量的负载分担;