网络卫士防火墙NGFW4000-UF系列产品说明
天融信NGFW4000参数
防火墙技术附件一.背景目前,公司使用防火墙为CISCO PIX-525型防火墙,于2004年购买使用至今,已经使用了多年。
随着信息技术的迅猛发展,目前的防火墙从性能、功能、管理等方面的劣势逐渐显现出来。
二.目标为了更好提升公司网络安全和满足各种功能和性能的要求,需要更新现有防火墙系统。
对网络吞吐量、最大并发连接数、可扩展能力、访问控制能力、可靠性、抗攻击能力、日志审计功能、管理能力及VPN等功能提出了更高的要求。
三.功能要求(一)功能描述设备功能应包括以下几方面:接入方式、访问控制、地址转换、认证方式、链路备份、高可用性、抗攻击能力、日志审计功能、VPN功能、语音通讯功能。
(二)技术要求1.端口数量和扩展能力:满足4个光口和4个10/100/1000BASE-T接口。
2.网络吞吐量:不少于12Gbps3.最大并发连接数:不少于220万4.每秒最大新建连接数:不少于10万5.接入方式:可以提供对复杂环境的接入支持,包括路由、透明以及混合接入模式。
6.访问控制:a)支持基于源IP地址、目的IP地址、源端口、目的端口、时间、用户、文件、网址、关键字、邮件地址、脚本、MAC地址等多种方式进行访问控制;b)能够支持HTTP、SMTP、POP3、FTP等协议的深度过滤;c)动态端口支持协议H.323、SIP、FTP、RTSP、SQL*NET、MMS、TFTP、RPC等;d)支持对MSN,QQ等IM应用通信的连接统计,支持对指定IP地址的IM应用通信的连接统计;e)可屏蔽受保护主机/服务器系统信息,可以替换服务器(FTP、SMTP、POP3、Telnet、HTTP)的BANNER信息;f)可限制BT、eMule、eDonkey、讯雷等多种P2P应用,可以统计P2P流量和连接数,可以控制P2P流量的带宽;g)具有IP/MAC绑定功能。
h)支持MSN、QQ、新浪UC、阿里旺旺、google talk等Instant Messenger通信,并可以对于这些应用进行登陆限制,支持根据登陆等帐号进行登陆限制;7. 网络地址转换:有完善的地址转换能力,可以支持正向、反向地址/端口转换、双向地址转换等,能够提供完整的地址转换解决方案。
天融信NGFW系列防火墙-猎豹(万兆)产品说明
网络卫士防火墙NGFWUF系列产品说明
网络卫士防火墙N G F W U F系列产品说明公司内部档案编码:[OPPTR-OPPT28-OPPTL98-OPPNN08]网络卫士防火墙系统NGFW4000-UF系列产品说明天融信TOPSEC 北京市海淀区上地东路1号华控大厦 100085版权声明本手册的所有内容,其版权属于北京天融信公司(以下简称天融信)所有,未经天融信许可,任何人不得仿制、拷贝、转译或任意引用。
本手册没有任何形式的担保、立场倾向或其他暗示。
若因本手册或其所提到的任何信息引起的直接或间接的资料流失、利益损失,天融信及其员工恕不承担任何责任。
本手册所提到的产品规格及资讯仅供参考,有关内容可能会随时更新,天融信恕不承担另行通知之义务。
版权所有不得翻印 1995-2008天融信公司商标声明本手册中所谈及的产品名称仅做识别之用,而这些名称可能属于其他公司的注册商标或是版权,其他提到的商标,均属各该商标注册人所有,恕不逐一列明。
TopSEC天融信信息反馈目录1产品概述..................................................... 2关键技术..................................................... 1)灵活的接口扩展能力.......................................... 2)安全高效的TOS操作系统...................................... 3)集成多种安全引擎:FIREWALL+IPSEC+SSL+ANTIVIRUS+IPS .......... 4)完全内容检测CCI技术........................................ 3产品特点介绍................................................. 4产品功能..................................................... 5运行环境与标准............................................... 6典型应用..................................................... 1)典型应用一:在大型网络中的应用.............................. 2)典型应用二:虚拟防火墙应用.................................. 3)典型应用三:AA模式双机热备..................................1产品概述网络卫士系列防火墙NGFW4000-UF(NetGuard FireWall)系列产品,是天融信公司积累多年网络安全产品开发与实践经验的应用最为广泛的千兆防火墙。
防火墙天融信NGFW4000-UFNG-51028
★系统出厂默认支持病毒防御、入侵防御、应用识别、网站分类库过滤、IPSEC VPN功能;系统具有良好的扩展性,除默认支持的功能模块外,还可以支持扩展APT防御功能;
防火墙吞吐
★防火墙吞吐率:6Gbps;并发连接数:220万;每秒新建连接:8万;
接口配置
★设备默认配置为6个10/100/1000BASE-T接口和2个SFP插槽,不少于2个端口扩展卡插槽,为了便于维护,所有扩展卡插槽均要求位于设备前面板,并且在维护现场即可进行扩展(无需返厂);可扩展至少24个千兆端口(非combo光电互斥接口或共享交换接口);
支持病毒白名单,用户可以根据实际业务需求将特定威胁进行排除;
URL分类过滤
内置互联网URL分类库,支持超过80大类、1500万的URL地址分类库,用户可根据上述网站类别,对自身网络的WEB应用实施全面化管控,杜绝非法、违规网站的访问行为,从而净化网络应用环境;
DLP
内置文件过滤引擎,支持对HTTP/FTP/SMTP/POP3等应用协议传送PDF、Office、java-class、jpg等超过20种文档类型的文件过滤;
★本次采购的设备需要设备生产商工程师上门安装调试并负责和原有设备做双机调试,投标供应商不得虚假应标,由此所产生的一切风险由中标供应商承担。
链路质量探测
支持ICMP、Traceroute、TCP、HTTP、DNS等多种链路质量探测方式,用户可以根据探测结果有效判断链路质量;通过HTTP链路质量探测方式,探测结果可以提供DNS解析响应时间、TCP建立连接时间、HTTP交易时间等;通过TCP链路质量探测方式,探测结果可以提供TCP建立连接时间等;通过DNS链路质量探测方式,探测结果可以提供DNS解析响应时间等;
一体化访问控制
天融信防火墙NGFW4000快速配置手册【范本模板】
天融信防火墙NGFW4000快速配置手册一、防火墙的几种管理方式1.串口管理第一次使用网络卫士防火墙,管理员可以通过CONSOLE 口以命令行方式进行配置和管理。
通过CONSOLE 口登录到网络卫士防火墙,可以对防火墙进行一些基本的设置.用户在初次使用防火墙时,通常都会登录到防火墙更改出厂配置(接口、IP 地址等),使在不改变现有网络结构的情况下将防火墙接入网络中.这里将详细介绍如何通过CONSOLE口连接到网络卫士防火墙:1)使用一条串口线(包含在出厂配件中),分别连接计算机的串口(这里假设使用com1)和防火墙的CONSOLE 口。
2)选择开始> 程序〉附件> 通讯> 超级终端,系统提示输入新建连接的名称。
3)输入名称,这里假设名称为“TOPSEC”,点击“确定”后,提示选择使用的接口(假设使用com1)。
4)设置com1 口的属性,按照以下参数进行设置。
参数名称取值每秒位数:9600数据位:8奇偶校验:无停止位: 16)输入系统默认的用户名:superman 和密码:talent,即可登录到网络卫士防火墙。
登录后,用户就可使用命令行方式对网络卫士防火墙进行配置管理。
2.TELNET管理TELNET管理也是命令行管理方式,要进行TELNET管理,必须进行以下设置:1)在串口下用“pf service add name telnet area area_eth0 addressname any”命令添加管理权限2)在串口下用“system telnetd start”命令启动TELNET管理服务3)知道管理IP地址,或者用“network interface eth0 ip add 192。
168.1.250 mask 255.255.255。
0”命令添加管理IP地址4)然后用各种命令行客户端(如WINDOWS CMD命令行)管理:TELNET 192.168.1。
2505)最后输入用户名和密码进行管理命令行如图:3.SSH管理SSH管理和TELNET基本一至,只不过SSH是加密的,我们用如下步骤管理:1)在串口下用“pf service add name ssh area area_eth0 addressname any”命令添加管理权限2)在串口下用“system sshd start”命令启动TELNET管理服务3)知道管理IP地址,或者用“network interface eth0 ip add 192.168.1。
防火墙天融信NGFW4000-UFNG-51028
URL分类Байду номын сангаас滤
内置互联网URL分类库,支持超过80大类、1500万的URL地址 分类库, 用户可根据上述网站类别, 对自身网络的WEB应用实施 全面化管控,杜绝非法、违规网站的访问行为,从而净化网络应 用环境;
DLP
内置文件过滤引擎,支持对HTTP/FTP/SMTP/POP等3应用协议传 送PDF、Office、java-class、jpg等超过20种文档类型的文件 过滤;
的日志类型至少包括: 设备运行信息、 配置管理、安全策略日志、NAT日志、应用流量日志等。
★本次采购的设备需要设备生产商工程师上门安装调试并负责和原有设备做双
机调试,投标供应商不得虚假应标,由此所产生的一切风险由中标供应商承担
流量排名
支持应用流量排名, 可根据应用类型进行实时流量、 实时会话数、 统计流量排名, 同时通过图表或表格的方式进行展示, 展示的图 表和表格支持自动刷新;
带宽管理
★支持基于IP/IP组、用户/用户组、服务/服务组、应用/应用 组和时间等配置带宽策略,支持针对带宽策略中对每IP、每用 户进行带宽控制;支持带宽策略优先级、父通道、子通道配置;
工作模式
支持路由、交换、混合、虚拟线工作模式;
路由功能
支持静态路由、策略路由模式;
交换功能
支持802.1q、QinQ模式;
接入功能
支持IPSECVPN接入;
智能DNS
★支持智能DNS功能,有效提高用户跨网访问效率;
支持DNS Docting,能够将来自内部网络的域名解析请求定向 到真实内网资源,降低路径开销,提高访问效率;
双系统
支持双操作系统并存,且备份系统为全功能系统;
防火墙详细说明4000-UF
防火墙详细说明产品概述网络卫士系列防火墙NGFW4000-UF(NetGuard FireWall)系列产品,是天融信公司结合了多年来的网络安全产品开发与实践经验,在参考了天融信广大用户宝贵建议的基础上,开发的最新一代网络安全产品。
该产品以天融信公司具有自主知识产权的TOS(Topsec Operating System)为系统平台,采用开放性的系统架构及模块化的设计,融合了防火墙、防病毒、入侵检测、VPN、身份认证等多种安全解决方案,构建的一个安全、高效、易于管理和扩展的网络安全产品。
NGFW4000-UF属于网络卫士系列防火墙的中高端产品,特别适用于网络结构复杂、应用丰富、高带宽、大流量的大中型企业骨干级网络环境。
NGFW4000-UF(TG-5030)产品特点自主安全操作系统平台采用自主知识产权的安全操作系统--TOS(Topsec Operating System),TOS拥有优秀的模块化设计架构,有效保障了防火墙、IPSECVPN、SSLVPN、防病毒、内容过滤、抗攻击、流量整形等模块的优异性能,其良好的扩展性为未来迅速扩展更多特性提供了无限可能。
TOS具有具有高安全性、高可靠性、高实时性、高扩展性及多体系结构平台适应性的特点。
虚拟防火墙虚拟防火墙,是指在一台物理防火墙上可以存在多套虚拟系统,每套虚拟系统在逻辑上都相互独立,具有独立的用户与访问控制系统。
不同的企业或不同的部门可以共用1台防火墙,但使用不同的虚拟系统。
对于用户来说,就像是使用独立的防火墙。
大大节省了成本。
强大的应用控制网络卫士防火墙提供了强大的网络应用控制功能。
用户可以轻松的针对一些典型网络应用,如BT、MSN、QQ、Edonkey、Skype等实行灵活的访问控制策略,如禁止、限时、乃至流量控制。
网络卫士防火墙还提供了定制功能,可以对用户所关心的网络应用进行全面控制。
CleanVPN服务企业对VPN应用越来越普及,但是当企业员工或合作伙伴通过各种VPN远程访问企业网络时,病毒、蠕虫、木马、恶意代码等有害数据有可能通过VPN隧道从远程PC 或网络传递进来,这种威胁的传播方式极具隐蔽性,很难防范。
天融信防火墙NGFW4000配置手册
天融信防火墙NGFW4000快速配置手册目录一、防火墙的几种管理方式 (4)1.串口管理 (4)2.TELNET管理 (5)3.SSH管理 (5)4.WEB管理 (6)5.GUI管理 (7)二、命令行常用配置 (12)1.系统管理命令(SYSTEM) (12)命令 (12)功能 (12)WEBUI界面操作位置 (12)二级命令名 (12)V ERSION (12)系统版本信息 (12)系统>基本信息 (12)INFORMATION (12)当前设备状态信息 (12)系统>运行状态 (12)TIME (12)系统时钟管理 (12)系统>系统时间 (12)CONFIG (12)系统配置管理 (12)管理器工具栏“保存设定”按钮 (12)REBOOT (12)重新启动 (12)系统>系统重启 (12)SSHD (12)SSH服务管理命令 (12)系统>系统服务 (12)TELNETD (12)TELNET服务管理 (12)系统>系统服务命令 (12)HTTPD (12)HTTP服务管理命 (12)系统>系统服务令 (12)MONITORD (12)MONITOR (12)服务管理命令无 (12)2.网络配置命令(NETWORK) (13)4.定义对象命令(DEFINE) (13)5.包过滤命令(PF) (13)6.显示运行配置命令(SHOW_RUNNING) (13)7.保存配置命令(SAVE) (13)三、WEB界面常用配置 (14)1.系统管理配置 (14)A)系统 > 基本信息 (14)B)系统 > 运行状态 (14)C)系统 > 配置维护 (15)D)系统 > 系统服务 (15)E)系统 > 开放服务 (16)F)系统 > 系统重启 (16)2.网络接口、路由配置 (16)A)设置防火墙接口属性 (16)B)设置路由 (18)3.对象配置 (20)A)设置主机对象 (20)B)设置范围对象 (21)C)设置子网对象 (21)D)设置地址组 (22)E)自定义服务 (22)F)设置区域对象 (23)G)设置时间对象 (23)4.访问策略配置 (24)5.高可用性配置 (27)四、透明模式配置示例 (29)拓补结构: (29)1.用串口管理方式进入命令行 (29)2.配置接口属性 (29)3.配置VLAN (29)4.配置区域属性 (29)5.定义对象 (29)6.添加系统权限 (29)7.配置访问策略 (30)8.配置双机热备 (30)五、路由模式配置示例 (31)拓补结构: (31)1.用串口管理方式进入命令行 (31)2.配置接口属性 (31)3.配置路由 (31)4.配置区域属性 (31)5.配置主机对象 (31)6.配置访问策略 (31)一、防火墙的几种管理方式1.串口管理第一次使用网络卫士防火墙,管理员可以通过 CONSOLE 口以命令行方式进行配置和管理。
天融信防火墙NGFW4000配置手册[精品文档]
![天融信防火墙NGFW4000配置手册[精品文档]](https://img.taocdn.com/s3/m/875edf97c1c708a1284a447d.png)
天融信防火墙NGFW4000快速配置手册目录一、防火墙的几种管理方式 (4)1.串口管理 (4)2.TELNET管理 (5)3.SSH管理 (6)4.WEB管理 (7)5.GUI管理 (8)二、命令行常用配置 (13)1.系统管理命令(SYSTEM) (13)命令 (13)功能 (13)WEBUI界面操作位置 (13)二级命令名 (13)V ERSION (13)系统版本信息 (13)系统>基本信息 (13)INFORMATION (13)当前设备状态信息 (13)系统>运行状态 (13)TIME (13)系统时钟管理 (13)系统>系统时间 (13)CONFIG (13)系统配置管理 (13)管理器工具栏“保存设定”按钮 (13)REBOOT (13)重新启动 (13)系统>系统重启 (13)SSHD (13)SSH服务管理命令 (13)系统>系统服务 (13)TELNETD (13)TELNET服务管理 (13)系统>系统服务命令 (13)HTTPD (13)HTTP服务管理命 (13)系统>系统服务令 (13)MONITORD (14)MONITOR (14)服务管理命令无 (14)3.双机热备命令(HA) (14)4.定义对象命令(DEFINE) (14)5.包过滤命令(PF) (14)6.显示运行配置命令(SHOW_RUNNING) (14)7.保存配置命令(SAVE) (14)三、WEB界面常用配置 (15)1.系统管理配置 (15)A)系统> 基本信息 (15)B)系统> 运行状态 (15)C)系统> 配置维护 (16)D)系统> 系统服务 (16)E)系统> 开放服务 (17)F)系统> 系统重启 (17)2.网络接口、路由配置 (17)A)设置防火墙接口属性 (17)B)设置路由 (19)3.对象配置 (21)A)设置主机对象 (21)B)设置范围对象 (22)C)设置子网对象 (22)D)设置地址组 (23)E)自定义服务 (23)F)设置区域对象 (24)G)设置时间对象 (24)4.访问策略配置 (25)5.高可用性配置 (28)四、透明模式配置示例 (30)拓补结构: (30)1.用串口管理方式进入命令行 (30)2.配置接口属性 (30)3.配置VLAN (30)4.配置区域属性 (30)5.定义对象 (30)6.添加系统权限 (30)7.配置访问策略 (31)8.配置双机热备 (31)五、路由模式配置示例 (32)拓补结构: (32)1.用串口管理方式进入命令行 (32)2.配置接口属性 (32)3.配置路由 (32)4.配置区域属性 (32)6.配置访问策略 (32)7.配置双机热备 (33)一、防火墙的几种管理方式1.串口管理第一次使用网络卫士防火墙,管理员可以通过 CONSOLE 口以命令行方式进行配置和管理。
天融信网络卫士防火墙NGFW4000-UF(TG-5030)
9
地址转换功能
支持双向NAT,支持静态和动态映射,支持PAT,支持服务器负载均衡,支持H323和SIP的NAT穿越;支持基于源/目的地址、接口、Metric的策略路由
10
高可性
支持双系统引导,当主系统损坏时,可以启用备用系统,不影响设备的正常使用;支持Watchdog功能;内置黑匣子,能导出设备健康运行记录,支持双机热备份;支持多种扩展协议,支持做DHCP服务器功能。支持IGMP组播协议,可有效地实现视频会议等多媒体应用。支持最大254个虚拟防火墙。
11
负载均衡
工作模式
支持透明模式、路由模式、综合模式;
5
多种身份认证方式
防火墙系统要支持多种、灵活的身份认证技术,至少包括/口令/OTP/Radius/TACACS+/Windows域/LDAP/SecurID/数字证书等。支持WEB Portal认证。
6
多种访问控制判断条件
防火墙系统能基于IP地址、端口、时间、用户名、文件、网址、关键字、MAC地址等多种方式进行访问控制。支持动态端口协议包括FTP、SQL*NET、TFTP、RPC(msrpc,dcerpc)以及RTSP、H.323、SIP、MMS、NETMEETING等视频协议。
13
路由支持
支持静态路由、动态路由。支持基于源/目的地址、接口、Metric的策略路由。支持单臂路由,可通过单臂模式接入网络,并提供路由转发功能。支持RIP、OSPF等动态路由协议,自身参与路由运算。
14
网络卫士防火墙NGFWUF系列产品说明
网络卫士防火墙系统NGFW4000-UF系列产品说明天融信TOPSEC?北京市海淀区上地东路1号华控大厦100085版权声明本手册的所有内容,其版权属于北京天融信公司(以下简称天融信)所有,未经天融信许可,任何人不得仿制、拷贝、转译或任意引用。
本手册没有任何形式的担保、立场倾向或其他暗示。
若因本手册或其所提到的任何信息引起的直接或间接的资料流失、利益损失,天融信及其员工恕不承担任何责任。
本手册所提到的产品规格及资讯仅供参考,有关内容可能会随时更新,天融信恕不承担另行通知之义务。
版权所有不得翻印? 1995-2008天融信公司商标声明本手册中所谈及的产品名称仅做识别之用,而这些名称可能属于其他公司的注册商标或是版权,其他提到的商标,均属各该商标注册人所有,恕不逐一列明。
TopSEC?天融信信息反馈目录1产品概述...................................................................... 2关键技术...................................................................... 1)灵活的接口扩展能力............................................................ 2)安全高效的TOS操作系统....................................................... 3)集成多种安全引擎:FIREWALL+IPSEC+SSL+ANTIVIRUS+IPS ....................... 4)完全内容检测CCI技术.......................................................... 3产品特点介绍.................................................................. 4产品功能...................................................................... 5运行环境与标准................................................................ 6典型应用...................................................................... 1)典型应用一:在大型网络中的应用................................................ 2)典型应用二:虚拟防火墙应用.................................................... 3)典型应用三:AA模式双机热备...................................................1产品概述网络卫士系列防火墙NGFW4000-UF(NetGuard FireWall)系列产品,是天融信公司积累多年网络安全产品开发与实践经验的应用最为广泛的千兆防火墙。
天融信防火墙NGFW4000配置手册
天融信防火墙NGFW4000快速配置手册目录一、防火墙的几种管理方式.................................................... 错误!未定义书签。
1.串口管理.............................................................. 错误!未定义书签。
2.TELNET管理............................................................ 错误!未定义书签。
3.SSH管理 .............................................................. 错误!未定义书签。
4.WEB管理 .............................................................. 错误!未定义书签。
5.GUI管理 .............................................................. 错误!未定义书签。
二、命令行常用配置.......................................................... 错误!未定义书签。
1.系统管理命令(SYSTEM) .................................................. 错误!未定义书签。
命令........................................................................ 错误!未定义书签。
功能........................................................................ 错误!未定义书签。
天融信防火墙NGFW4000配置手册图表说明
天融信防火墙NGFW4000快速配置手册说明目录一、防火墙的几种管理方式 (4)1.串口管理 (4)2.TELNET管理 (5)3.SSH管理 (6)4.WEB管理 (6)5.GUI管理 (7)二、命令行常用配置 (12)1.系统管理命令(SYSTEM) (12)命令 (12)功能 (12)WEBUI界面操作位置 (12)二级命令名 (12)V ERSION (12)系统版本信息 (12)系统>基本信息 (12)INFORMATION (12)当前设备状态信息 (12)系统>运行状态 (12)TIME (12)系统时钟管理 (12)系统>系统时间 (12)CONFIG (12)系统配置管理 (12)管理器工具栏“保存设定”按钮 (12)REBOOT (12)重新启动 (12)系统>系统重启 (12)SSHD (12)SSH服务管理命令 (12)系统>系统服务 (12)TELNETD (12)TELNET服务管理 (12)系统>系统服务命令 (12)HTTPD (12)HTTP服务管理命 (12)系统>系统服务令 (12)MONITORD (12)MONITOR (12)3.双机热备命令(HA) (13)4.定义对象命令(DEFINE) (13)5.包过滤命令(PF) (13)6.显示运行配置命令(SHOW_RUNNING) (13)7.保存配置命令(SAVE) (13)三、WEB界面常用配置 (14)1.系统管理配置 (14)A)系统> 基本信息 (14)B)系统> 运行状态 (14)C)系统> 配置维护 (15)D)系统> 系统服务 (15)E)系统> 开放服务 (16)F)系统> 系统重启 (16)2.网络接口、路由配置 (16)A)设置防火墙接口属性 (16)B)设置路由 (18)3.对象配置 (20)A)设置主机对象 (20)B)设置范围对象 (21)C)设置子网对象 (21)D)设置地址组 (21)E)自定义服务 (22)F)设置区域对象 (22)G)设置时间对象 (23)4.访问策略配置 (23)5.高可用性配置 (26)四、透明模式配置示例 (28)拓补结构: (28)1.用串口管理方式进入命令行 (28)2.配置接口属性 (28)3.配置VLAN (28)4.配置区域属性 (28)5.定义对象 (28)6.添加系统权限 (29)7.配置访问策略 (29)8.配置双机热备 (29)五、路由模式配置示例 (30)拓补结构: (30)1.用串口管理方式进入命令行 (30)2.配置接口属性 (30)3.配置路由 (30)4.配置区域属性 (30)7.配置双机热备 (31)一、防火墙的几种管理方式1.串口管理第一次使用网络卫士防火墙,管理员可以通过 CONSOLE 口以命令行方式进行配置和管理。
天融信NGFW4000-uf参数
防火墙应符合以下功能要求1、防火墙应支持多种工作模式:透明、路由以及透明加路由的综合模式。
2、防火墙的访问控制策略能够基于源、目IP地址,源、目端口号和时间进行设置。
3、采用硬件及软件功能模块化技术;4、支持服务器的SYN代理功能;5、支持根据认证用户的名称进行匹配通信策略;6、防火墙支持在透明模式下nat/map的功能;7、防火墙支持web重定向功能;8、防火墙支持DHCP作为客户端和服务器;9、防火墙默认管理端口可以更改;10、支持TOPSEC协议,能够与第三方安全产品进行很好的联动,尤其是与IDS产品和URL产品的联动。
11、应支持802.1Q、Cisco ISL等VLAN协议,并能支持ISL的封装和解封的功能,支持STP(生成数协议)。
12、支持WATCH DOG电路,能够实现防火墙的自动检测和恢复。
13、支持基于服务器的负载均衡技术,支持基于数据库的长连接应用14、支持与RADIUS、CA、OTP服务器的联动15、防火墙应采用先进的状态检测技术与核检测技术。
16、可支持动态、静态、双向的网络地址转换(NAT)。
17、具备完善的日志功能,能够提供日志自动导出功能,支持向日志服务器导出日志,提供标准化的日志。
18、应支持常见的动态路由协议,如OSPF、RIP、RIPII。
19、防火墙应支持SNMP协议V3版本,同时提供相应的MIB库文件,能通过第三方网管软件对防火墙进行监测和控制。
20、要求能够提供基于源地址和目的地址的路由功能。
满足的性能要求:1、最大并发连接数不低于1,200,000。
2、带宽管理、与IDS联动3、吞吐量不低于2G4、平均无故障时间MTBF:不低于60000小时。
5、三年免费软件升级及服务6、认证级别要达到EAL3。
天融信NGFW4000-UF千兆防火墙白皮书
网络卫士防火墙系统NGFW4000-UF系列产品说明天融信TOPSEC® 北京市海淀区上地东路1号华控大厦 100085电话:+8610-82776666传真:+8610-82776677服务热线:+8610-8008105119http: //版权声明本手册的所有内容,其版权属于北京天融信公司(以下简称天融信)所有,未经天融信许可,任何人不得仿制、拷贝、转译或任意引用。
本手册没有任何形式的担保、立场倾向或其他暗示。
若因本手册或其所提到的任何信息引起的直接或间接的资料流失、利益损失,天融信及其员工恕不承担任何责任。
本手册所提到的产品规格及资讯仅供参考,有关内容可能会随时更新,天融信恕不承担另行通知之义务。
版权所有不得翻印© 1995-2009天融信公司商标声明本手册中所谈及的产品名称仅做识别之用,而这些名称可能属于其他公司的注册商标或是版权,其他提到的商标,均属各该商标注册人所有,恕不逐一列明。
TopSEC®天融信信息反馈NGFW 4000-UF系列产品说明目录1产品概述 (1)2关键技术 (2)1)灵活的接口扩展能力 (2)2)安全高效的TOS操作系统 (2)3)集成多种安全引擎:FIREWALL+IPSEC+SSL+ANTIVIRUS+IPS (3)4)完全内容检测CCI技术 (3)3产品特点介绍 (3)4产品功能 (9)5运行环境与标准 (15)6典型应用 (17)1)典型应用一:在大型网络中的应用 (17)2)典型应用二:虚拟防火墙应用 (18)3)典型应用三:AA模式双机热备 (19)7产品资质 (20)1产品概述网络卫士系列防火墙NGFW4000-UF(NetGuard FireWall)系列产品,是天融信公司积累多年网络安全产品开发与实践经验的应用最为广泛的千兆防火墙。
它继承了天融信公司十多年来在安全产品研发中的积累的多项成果,以自主知识产权的网络安全操作系统TOS (Topsec Operating System)为系统平台,采用开放性的系统架构及模块化的设计思想,充分体现了天融信公司在长期的产品开发和市场推广过程中对于用户需求的深刻理解。
天融信防火墙NGFW4000配置手册
天融信防火墙NGFW4000快速配置手册目录一、防火墙的几种管理方式.................................................... 错误!未定义书签。
1.串口管理.............................................................. 错误!未定义书签。
2.TELNET管理............................................................ 错误!未定义书签。
3.SSH管理 .............................................................. 错误!未定义书签。
4.WEB管理 .............................................................. 错误!未定义书签。
5.GUI管理 .............................................................. 错误!未定义书签。
二、命令行常用配置.......................................................... 错误!未定义书签。
1.系统管理命令(SYSTEM) .................................................. 错误!未定义书签。
命令........................................................................ 错误!未定义书签。
功能........................................................................ 错误!未定义书签。
天融信防火墙NGFW4000快速配置手册簿
天融信防火墙NGFW4000快速配置手册一、防火墙的几种管理方式1.串口管理第一次使用网络卫士防火墙,管理员可以通过 CONSOLE 口以命令行方式进行配置和管理。
通过 CONSOLE 口登录到网络卫士防火墙,可以对防火墙进行一些基本的设置。
用户在初次使用防火墙时,通常都会登录到防火墙更改出厂配置(接口、IP 地址等),使在不改变现有网络结构的情况下将防火墙接入网络中。
这里将详细介绍如何通过 CONSOLE口连接到网络卫士防火墙:1)使用一条串口线(包含在出厂配件中),分别连接计算机的串口(这里假设使用 com1)和防火墙的CONSOLE 口。
2)选择开始 > 程序 > 附件 > 通讯 > 超级终端,系统提示输入新建连接的名称。
3)输入名称,这里假设名称为“TOPSEC”,点击“确定”后,提示选择使用的接口(假设使用 com1)。
4)设置 com1 口的属性,按照以下参数进行设置。
/密码的提示,如下图。
6)输入系统默认的用户名:superman 和密码:talent,即可登录到网络卫士防火墙。
登录后,用户就可使用命令行方式对网络卫士防火墙进行配置管理。
2.TELNET管理TELNET管理也是命令行管理方式,要进行TELNET管理,必须进行以下设置:1)在串口下用“pf service add name telnet area area_eth0 addressname any”命令添加管理权限2)在串口下用“system telnetd start”命令启动TELNET管理服务3)知道管理IP地址,或者用“network interface eth0 ip add 192.168.1.250 mask 255.255.255.0”命令添加管理IP地址4)然后用各种命令行客户端(如WINDOWS CMD命令行)管理:TELNET 192.168.1.2505)最后输入用户名和密码进行管理命令行如图:3.SSH管理SSH管理和TELNET基本一至,只不过SSH是加密的,我们用如下步骤管理:1)在串口下用“pf service add name ssh area area_eth0 addressname any”命令添加管理权限2)在串口下用“system sshd start”命令启动TELNET管理服务3)知道管理IP地址,或者用“network interface eth0 ip add 192.168.1.250 mask 255.255.255.0”命令添加管理IP地址4)然后用各种命令行客户端(如putty命令行)管理:192.168.1.2505)最后输入用户名和密码进行管理命令行如图:4.WEB管理1)防火墙在出厂时缺省已经配置有WEB界面管理权限,如果没有,可用“pf service add name webui area area_eth0 addressname any”命令添加。
天融信防火墙NGFW4000快速配置手册簿
天融信防火墙NGFW4000快速配置手册一、防火墙的几种管理方式1.串口管理第一次使用网络卫士防火墙,管理员可以通过 CONSOLE 口以命令行方式进行配置和管理。
通过 CONSOLE 口登录到网络卫士防火墙,可以对防火墙进行一些基本的设置。
用户在初次使用防火墙时,通常都会登录到防火墙更改出厂配置(接口、IP 地址等),使在不改变现有网络结构的情况下将防火墙接入网络中。
这里将详细介绍如何通过 CONSOLE口连接到网络卫士防火墙:1)使用一条串口线(包含在出厂配件中),分别连接计算机的串口(这里假设使用 com1)和防火墙的CONSOLE 口。
2)选择开始 > 程序 > 附件 > 通讯 > 超级终端,系统提示输入新建连接的名称。
3)输入名称,这里假设名称为“TOPSEC”,点击“确定”后,提示选择使用的接口(假设使用 com1)。
4)设置 com1 口的属性,按照以下参数进行设置。
/密码的提示,如下图。
6)输入系统默认的用户名:superman 和密码:talent,即可登录到网络卫士防火墙。
登录后,用户就可使用命令行方式对网络卫士防火墙进行配置管理。
2.TELNET管理TELNET管理也是命令行管理方式,要进行TELNET管理,必须进行以下设置:1)在串口下用“pf service add name telnet area area_eth0 addressname any”命令添加管理权限2)在串口下用“system telnetd start”命令启动TELNET管理服务3)知道管理IP地址,或者用“network interface eth0 ip add 192.168.1.250 mask 255.255.255.0”命令添加管理IP地址4)然后用各种命令行客户端(如WINDOWS CMD命令行)管理:TELNET 192.168.1.2505)最后输入用户名和密码进行管理命令行如图:3.SSH管理SSH管理和TELNET基本一至,只不过SSH是加密的,我们用如下步骤管理:1)在串口下用“pf service add name ssh area area_eth0 addressname any”命令添加管理权限2)在串口下用“system sshd start”命令启动TELNET管理服务3)知道管理IP地址,或者用“network interface eth0 ip add 192.168.1.250 mask 255.255.255.0”命令添加管理IP地址4)然后用各种命令行客户端(如putty命令行)管理:192.168.1.2505)最后输入用户名和密码进行管理命令行如图:4.WEB管理1)防火墙在出厂时缺省已经配置有WEB界面管理权限,如果没有,可用“pf service add name webui area area_eth0 addressname any”命令添加。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
网络卫士防火墙系统NGFW4000-UF系列产品说明天融信TOPSEC®北京市海淀区上地东路1号华控大厦100085电话:+8610-82776666传真:+8610-82776677服务热线:+8610-8008105119http: //版权声明本手册的所有内容,其版权属于北京天融信公司(以下简称天融信)所有,未经天融信许可,任何人不得仿制、拷贝、转译或任意引用。
本手册没有任何形式的担保、立场倾向或其他暗示。
若因本手册或其所提到的任何信息引起的直接或间接的资料流失、利益损失,天融信及其员工恕不承担任何责任。
本手册所提到的产品规格及资讯仅供参考,有关内容可能会随时更新,天融信恕不承担另行通知之义务。
版权所有不得翻印© 1995-2008天融信公司商标声明本手册中所谈及的产品名称仅做识别之用,而这些名称可能属于其他公司的注册商标或是版权,其他提到的商标,均属各该商标注册人所有,恕不逐一列明。
TopSEC®天融信信息反馈NGFW 4000-UF系列产品说明目录1产品概述 (1)2关键技术 (2)1)灵活的接口扩展能力 (2)2)安全高效的TOS操作系统 (2)3)集成多种安全引擎:FIREWALL+IPSEC+SSL+ANTIVIRUS+IPS (2)4)完全内容检测CCI技术 (3)3产品特点介绍 (4)4产品功能 (9)5运行环境与标准 (14)6典型应用 (16)1)典型应用一:在大型网络中的应用 (16)2)典型应用二:虚拟防火墙应用 (17)3)典型应用三:AA模式双机热备 (18)1产品概述网络卫士系列防火墙NGFW4000-UF(NetGuard FireWall)系列产品,是天融信公司积累多年网络安全产品开发与实践经验的应用最为广泛的千兆防火墙。
它继承了天融信公司十多年来在安全产品研发中的积累的多项成果,以自主知识产权的网络安全操作系统TOS (Topsec Operating System)为系统平台,采用开放性的系统架构及模块化的设计思想,充分体现了天融信公司在长期的产品开发和市场推广过程中对于用户需求的深刻理解。
NGFW4000-UF属于网络卫士系列防火墙的中高端产品,特别适用于网络结构复杂、应用丰富、高带宽、大流量的大中型企业骨干级网络环境。
NGFW4000-UF(TG-5130/ TG-5230/ TG-5330)NGFW4000-UF(T G-5030)说明此图片为网络卫士系列防火墙NGFW4000-UF新一代产品图片,部分老型号产品请参见实物。
2关键技术1)灵活的接口扩展能力最大配置为26个接口,包括3个可插拔的扩展槽和2个10/100/1000BASE-T接口(可作为HA口和管理口);可支持2~24个千兆接口(光口或电口)。
2)安全高效的TOS操作系统具有完全自主知识产权的TOS (Topsec Operating System) 安全操作系统,采用全模块化设计,使用中间层理念,减少了系统对硬件的依赖性,有效保障了防火墙、SSL VPN、IPSEC VPN、防病毒、内容过滤、抗攻击、带宽管理等功能模块的优异性能。
TOS良好的扩展性为未来迅速扩展更多特性提供了无限可能。
3)集成多种安全引擎:FIREWALL+IPSEC+SSL+ANTIVIRUS+IPS 基于专有硬件平台的NGFW4000-UF产品采用TOS操作系统,集成了丰富的安全引擎,包括:防火墙引擎,IPSEC VPN引擎,SSL VPN引擎,防病毒引擎,IPS引擎等。
这些引擎的紧密集成使得NGFW4000-UF成为了可以防范多种威胁、功能丰富的防火墙产品。
4)完全内容检测CCI技术网络卫士防火墙采用最新的CCI技术,提供对OSI网络模型所有层次上的网络威胁的实时保护。
网络卫士系列防火墙可对还原出来的应用层对象(如文件、网页、邮件等)进行病毒查杀,并可检查是否存在不良WEB内容、垃圾邮件、间谍软件和网络钓鱼欺骗等其他威胁,实现彻底防范。
3产品特点介绍●集成多种安全功能NGFW4000-UF由于集成了多种安全引擎,使其具备了防火墙、IPSEC VPN、SSL VPN、防病毒、IPS等安全功能,成为了国内安全功能最丰富的防火墙产品。
●虚拟防火墙虚拟防火墙,是指在一台物理防火墙上可以存在多套虚拟系统,每套虚拟系统在逻辑上都相互独立,具有独立的用户与访问控制系统。
不同的企业或不同的部门可以共用1台防火墙,但使用不同的虚拟系统。
对于用户来说,就像是使用独立的防火墙。
大大节省了成本。
●强大的应用控制网络卫士防火墙提供了强大的网络应用控制功能。
用户可以轻松的针对一些典型网络应用,如MSN,QQ、Skype、新浪UC、阿里旺旺、Google Talk等即时通信应用,以及BT、Edonkey、Emule、讯雷等p2p应用实行灵活的访问控制策略,如禁止、限时、乃至流量控制。
网络卫士防火墙还提供了定制功能,可以对用户所关心的网络应用进行全面控制。
●CleanVPN服务企业对VPN应用越来越普及,但是当企业员工或合作伙伴通过各种VPN远程访问企业网络时,病毒、蠕虫、木马、恶意代码等有害数据有可能通过VPN隧道从远程PC或网络传递进来,这种威胁的传播方式极具隐蔽性,很难防范。
网络卫士防火墙同时具备防火墙、VPN、防病毒和内容过滤等功能,并且各功能相互融合,能够对VPN数据进行检查,拦截病毒、蠕虫、木马、恶意代码等有害数据,彻底保证了VPN通信的安全,为用户提供放心的CleanVPN服务。
●广泛的网络适应性支持基于源地址、目的地址、接口、Metric的策略路由,支持单臂路由,支持Trunk (802.1Q和ISL),能够在不同的VLAN虚接口间实现路由功能,支持IGMP组播协议和IGMP SNOOPING,支持对非IP协议IPX/NetBEUI的传输与控制。
●先进的设计思想采用面向资源的设计方法。
把安全控制所涉及的各种实体抽象为对象,包括区域、地址、地址组、服务、服务组、时间表、服务器、均衡组、关键字、文件、特殊端口等。
不同对象的实体组成资源,用于描述各种安全策略,实现全方位的安全控制。
极大地提高了网络安全性,并保证了配置的方便性。
●超强的防御功能高级的Intelligent Guard技术提供了强大的入侵防护功能,能抵御常见的各种攻击,包括Syn Flood、Smurf、Targa3、Syn Attack、ICMP flood、Ping of death、Ping Sweep、Land attack、Tear drop attack、IP address sweep option、Filter IP source route option、Syn fragments、No flags in TCP、ICMP碎片、大包ICMP攻击、不明协议攻击、IP欺骗、IP security options、IP source route、IP record route 、IP bad options、IP碎片、端口扫描等几十种攻击,网络卫士系列防火墙不但有内置的攻击检测能力,还可以和IDS产品实现联动。
这不但提高了安全性,而且保证了高性能。
●强大的应用代理模块具有透明应用代理功能,支持FTP、HTTP、TELNET、PING、SSH、FTP—DATA、SMTP、WINS、TACACS、DNS、TFTP、POP3、RTELNET、SQLSERV、NNTP、IMAP、SNMP、NETBIOS、DNS、IPSEC—ISAKMP、RLOGIN、DHCP、RTSP、MS-SQL-(S、M、R)、RADIUS-1645、PPTP、SQLNET—1521、SQLNET—1525、H.323、MSN、CVSSERVER、MS-THEATER、MYSQL、QQ、SECURID(TCP、UDP)PCANYWHERE、IGMP、GRE、PPPOE、IPV6等协议,可以实现文件级过滤。
●丰富的AAA功能,支持会话认证网络卫士系列防火墙支持对网络用户提供丰富的安全身份认证,如一次性口令(OTP)、S/KEY、RADIUS 、TACACS、LDAP、securid 、域认证及数字证书等常用的安全认证方法,也可以使用专用的认证客户端软件进行认证。
基于用户的安全策略更灵活、更广泛地实现了用户鉴别和用户授权的控制,并提供了丰富的安全日志来记录用户的安全事件。
网络卫士系列防火墙支持会话认证功能,即当开始一个新会话时,需要先通过认证才能建立会话。
这个功能可大大提高应用访问的安全性,实现更细粒度的访问控制。
●强大的地址转换能力网络卫士系列防火墙拥有强大的地址转换能力。
网络卫士系列防火墙同时支持正向、反向地址转换,能为用户提供完整的地址转换解决方案。
正向地址转换用于使用私有IP地址的内部网用户通过防火墙访问公众网中的地址时对源地址进行转换。
网络卫士系列防火墙支持依据源或目的地址指定转换地址的静态NAT方式和从地址缓冲池中随机选取转换地址的动态NAT方式,可以满足绝大多数网络环境的需求。
对公众网来说,访问全部是来自于防火墙转换后的地址,并不认为是来自内部网的某个地址,这样能够有效的隐藏内部网络的拓扑结构等信息。
同时内部网用户共享使用这些转换地址,自身使用私有IP 地址就可以正常访问公众网,有效的解决了公有IP地址不足的问题。
内部网用户对公众网提供访问服务(如Web 、FTP 服务等)的服务器如果是私有IP 地址,或者想隐藏服务器的真实IP 地址,都可以使用网络卫士系列防火墙的反向地址转换来对目的地址进行转换。
公众网访问防火墙的反向转换地址,由内部网使用保留IP 地址的服务器提供服务,同样既可以解决公有IP 地址不足的问题,又能有效地隐藏内部服务器信息,对服务器进行保护。
网络卫士系列防火墙提供端口映射和IP 映射两种反向地址转换方式,端口映射安全性更高、更节省公有IP 地址,IP 映射则更为灵活方便。
●卓越的网络及应用环境适应能力支持众多网络通信协议和应用协议,如VLAN、ADSL、PPP、ISL、802.1Q、Spanning Tree、IPSEC、H.323、MMS、RTSP、ORACLE SQL*NET、PPPoE、MS RPC等协议,适用网络的范围更加广泛,保证了用户的网络应用。
同时,方便用户实施对VOIP、视频会议、VOD点播及数据库等应用的使用和控制。
●智能的负载均衡和高可用性➢服务器负载均衡网络卫士系列防火墙可以支持一个服务器阵列,这个阵列经过防火墙对外表现为单台的机器,防火墙将外部来的访问在这些服务器之间进行均衡。
负载均衡方式如下:1.轮流(顺序选择地址)2.根据权重轮流3.最少连接(将连接分配到当前连接最少的服务器)4.加权最少连接(最少连接和权重相结合)➢高可用性为了保证网络的高可用性与高可靠性,网络卫士系列防火墙提供了双机备份功能,即在同一个网络节点使用两个配置相同的防火墙。