防火墙技术参数

防火墙设备技术要求一、防火墙参数要求：1.性能方面：1.1网络吞吐量>10Gbps，应用层吞吐率>2Gbps，最大并发连接数>400万（性能要求真实可靠，必须在设备界面显示最大并发连接数不少于400万），每秒新建连接＞15万。

1.2万兆级防火墙，网络接口数量不少于12个接口，其中千兆光口不少于4个、千兆电口不少于6个、万兆光接口不少于2个，另外具有不少于2个通用扩展插槽。

1.3冗余双电源，支持HA、冗余或热备特性。

1.4具备外挂日志存储系统，用于存储防火墙日志文件等相关信息，另外支持不同品牌网络设备、服务器等符合标准协议的日志格式，日志存储数量无限制。

1.5内置硬盘，不小于600G，用于日志存储。

2.功能方面（包含并不仅限于以下功能）：2.1具有静态路由功能，包括基于接口、网关、下一跳IP地址的静态路由功能。

2.2具有OSPF动态路由功能，符合行业通用的OSPF协议标准。

2.3具有网络地址转换功能，支持一对一、多对一、多对多的网络地址转换功能。

2.4具有OSI网络模型三层至七层访问控制功能，可基于IP、端口号、应用特征、数据包大小、URL、文件格式、内容、时间段等进行安全访问控制和过滤。

2.5具有基于资源和对象的流量分配功能，包括基于单个IP、网段、IP组、访问源地址及目标地址、应用等的流量管理、分配。

2.6完善的日志及审计系统，防火墙内所有功能均具备相应的日志可供查看和审计。

2.7具有内置或第三方CA证书生成、下发及管理功能。

2.8具有身份认证、身份审计功能，支持用户ID与用户IP 地址、MAC地址的绑定，支持基于CA证书、AD域、短信、微信等多种身份认证方式。

2.9具有入侵检测模块，支持入侵防护、DoS/DDoS防护,包含5年特征库升级服务。

2.10具有上网行为管理模块，支持上网行为检测、内容过滤等功能，包含5年应用特征库升级服务。

2.11具有病毒防护模块，可包含5年病毒库升级服务。

防火墙设备技术要求一、防火墙参数要求：1. 性能方面：1.1网络吞吐量＞10Gbps,应用层吞吐率＞2Gbps,最大并发连接数＞400万（性能要求真实可靠，必须在设备界面显示最大并发连接数不少于400万），每秒新建连接〉15万。

1.2万兆级防火墙,网络接口数量不少于12个接口,其中千兆光口不少于4个、千兆电口不少于6个、万兆光接口不少于2个,另外具有不少于2个通用扩展插槽。

1.3冗余双电源，支持HA、冗余或热备特性。

1.4具备外挂日志存储系统,用于存储防火墙日志文件等相关信息，另外支持不同品牌网络设备、服务器等符合标准协议的日志格式，日志存储数量无限制。

1.5内置硬盘，不小于600G，用于日志存储。

2. 功能方面（包含并不仅限于以下功能）：2.1具有静态路由功能，包括基于接口、网关、下一跳IP地址的静态路由功能。

2.2具有OSPF动态路由功能，符合行业通用的OSPF协议标准。

2.3具有网络地址转换功能，支持一对一、多对一、多对多的网络地址转换功能。

2.4具有OSI网络模型三层至七层访问控制功能，可基于IP、端口号、应用特征、数据包大小、URL、文件格式、内容、时间段等进行安全访问控制和过滤。

2.5具有基于资源和对象的流量分配功能，包括基于单个IP、网段、IP组、访问源地址及目标地址、应用等的流量管理、分配。

2.6完善的日志及审计系统，防火墙内所有功能均具备相应的日志可供查看和审计。

2.7具有内置或第三方CA证书生成、下发及管理功能。

2.8具有身份认证、身份审计功能，支持用户ID与用户IP地址、MAC地址的绑定，支持基于CA证书、AD域、短信、微信等多种身份认证方式。

2.9具有入侵检测模块，支持入侵防护、DoS/DDoS防护,包含5年特征库升级服务。

2.10具有上网行为管理模块，支持上网行为检测、内容过滤等功能，包含5年应用特征库升级服务。

2.11具有病毒防护模块，可包含5年病毒库升级服务。

2.12具备基于WEB页面的管理、配置功能，可通过WEB页面实现所有功能的配置、管理和实时状态查看。

fortinet fg-1100e技术参数
Fortinet的FG-1100E系列下一代防火墙（NGFW）是一款高性能的网络安全防御产品，适用于大型企业和网络服务供应商。

以下是Fortinet FG-1100E系列的技术参数：
网络分段：该系列防火墙支持网络分段功能，可以根据企业安全策略将网络划分为不同的安全区域，实现精细化的安全控制。

IPS（入侵防御系统）：FG-1100E系列集成高性能的IPS功能，能够实时检测和防御各种网络攻击，保护企业网络免受恶意软件的威胁。

移动安全：该系列防火墙支持移动设备安全管理，能够控制移动设备的网络访问权限，保护企业数据的安全。

接口和性能：FG-1100E系列具有多个高速接口，可以满足大型企业和网络服务供应商的高带宽需求。

同时，该系列防火墙具有高接口密度，可以灵活地部署在企业/云边缘、数据中心或内部网段中。

安全性能：FG-1100E系列防火墙采用Fortinet的FortOS操作系统，集成了防火墙、VPN、入侵防御、内容过滤等多种安全功能，具有出色的安全性能。

高吞吐量：该系列防火墙支持高吞吐量数据处理，能够满足大型企业和网络服务供应商对网络性能的要求。

总之，Fortinet的FG-1100E系列下一代防火墙是一款高性能、高安全的网络安全产品，适用于大型企业和网络服务供应商。

其技术参数包括网络分段、IPS、移动安全、高速接口和高吞吐量等，可以为企业提供全面的网络安全保护。

WEB应用防火墙详细技术参数1、提供的产品不能少于1*RJ45管理口，1*RJ45串口，6*GE电口(BYPASS) ，1个接口扩展槽，硬盘容量不少于1T。

网络层处理能力不能小于4Gbps。

最大并发HTTP连接数≥280万，每秒新建HTTP连接数≥2.2 万2、产品的部署方式要简单、灵活，应支持透明、旁路牵引、反向代理部署等多种部署方式，且各种工作模式下均提供完整WAF功能（如HTTPS防护）；支持多路防护，适应复杂网络环境的需求；支持紧急模式，当连接数超过阀值时，已经代理的连接正常代理，对新增的请求不进行代理，直接转发，防止WAF成为访问瓶颈。

支持HA、支持BYPASS。

3、支持HTTP 0.9/1.0/1.1，完全解析HTTP事务；支持对SSL（HTTPS）加密会话进行卸载分析。

支持对SSL加密加壳。

应支持NAT环境下的用户识别能力。

4、应采用基于行为分析的检测技术，对0day攻击能够很好地防范。

5、应支持对Web相关应用协议进行自定义，并提供详细协议分析变量。

6、应具备基础的网络层访问控制功能。

7、应具备黑白名单全局访问控制功能。

9、应具备HTTPS应用防护能力。

10、应支持Cookie信息防篡改功能，至少包括Cookie签名、Cookie保护属性设置。

11、应支持网站盗链行为检测与防御。

支持各类DDOS防护，包括TCP Flood、HTTP Flood防护，检测算法包括：etag、http cookies、url cookies、ascii-image、bmp-image。

支持SYN-proxy抵御机制。

12、应具备网页挂马检测与防御能力。

13、应具备WebShell检测与防御能力14、应具备基于URL的应用层访问控制功能。

15、应支持针对HTTP的请求头信息进行合规性检查。

16、应支持针对指定的URL页面，对HTTP请求信息中的方法以及参数长度等信息进行检测。

17、应支持Web服务器操作系统指纹信息返回保护。

硬件防火墙的常见配置参数
硬件防火墙的常见配置参数如下：
1、IP地址和子网掩码：这是防火墙的基本配置参数，用于定义防火墙所保护的网络段。

2、网关地址：这是防火墙所保护的网络段的出口地址，用于将数据包转发到其他网络。

3、DNS服务器地址：这是防火墙所保护的网络段的DNS服务器地址，用于将域名解析为IP 地址。

4、网络接口配置：包括内部网络接口和外部网络接口的配置，如IP地址、子网掩码、网关地址等。

5、安全策略：这是防火墙的核心配置参数，包括访问控制列表（ACL）、安全区域、安全策略等。

访问控制列表用于定义允许或拒绝哪些数据包通过防火墙；安全区域用于将网络划分为不同的安全级别；安全策略用于定义在不同安全区域之间如何转发数据包。

6、系统参数：包括时钟、日期、系统日志、系统管理员账号等。

这些参数对于防火墙的管理和维护非常重要。

7、病毒防护和入侵检测系统：这些参数用于配置防火墙的病毒防护和入侵检测功能，包括病毒库更新、恶意软件防护、异常流量检测等。

8、VPN配置：如果防火墙支持VPN功能，还需要配置VPN参数，如VPN类型、加密算法、密钥、证书等。

9、端口映射和端口转发：这些参数用于配置防火墙的端口映射和端口转发功能，以便外部用户可以访问内部网络中的特定服务。

10、网络地址转换（NAT）：这是防火墙的一个重要功能，用于将内部网络地址转换为外部网络地址，以便内部网络中的主机可以访问外部网络。

1。

防火墙的主要性能参数和测试方法防火墙是网络安全的重要设备，用于保护网络免受未经授权的访问和恶意攻击。

在选择和部署防火墙时，了解其主要性能参数和测试方法对于确保其有效运行至关重要。

以下是关于防火墙主要性能参数和测试方法的详细信息。

一、防火墙的主要性能参数1. 吞吐量（Throughput）：防火墙的吞吐量是指其处理数据流量的能力。

它通常以每秒传输的数据包数量（pps）或比特率（bps）来衡量。

防火墙的吞吐量将直接影响它处理网络流量的能力。

2. 连接速率（Connection Rate）：连接速率是指防火墙可以建立和终止的连接数量。

它以每秒连接的数量（cps）来表示。

连接速率通常与吞吐量有关，但是连接速率更关注于防火墙的连接管理能力。

3. 延迟（Latency）：延迟是指从数据包进入防火墙到离开的时间间隔。

较低的延迟意味着防火墙能够更快地处理网络流量。

延迟对于需要实时通信的应用程序尤其重要，例如视频会议或云游戏。

4. 并发连接数（Concurrent Connections）：并发连接数是指同时存在的连接数量。

一个防火墙能够处理的并发连接数决定了它的性能。

较高的并发连接数意味着防火墙能够同时处理更多的连接请求。

5. VPN吞吐量（VPN Throughput）：如果防火墙支持虚拟专用网络（VPN）功能，那么其VPN吞吐量将成为一个重要的性能参数。

它指的是防火墙处理VPN流量的能力。

二、防火墙的测试方法1. 基准测试（Benchmark Testing）：基准测试是通过使用标准测试工具和测试数据对防火墙进行测试。

这些测试将对吞吐量、延迟和连接速率等参数进行评估。

基准测试可以通过模拟真实网络流量或使用专门的网络性能测试工具来完成。

2. 压力测试（Stress Testing）：压力测试旨在评估防火墙在高负载条件下的性能。

在压力测试中，防火墙将会经受大量的网络流量和连接请求。

这将帮助检查防火墙的吞吐量、连接速率和延迟等参数在负载较大时的表现。

防火墙参考参数
一、工作条件
电源：220V
环境温度： -30℃~50℃
二、主要组成与主要技术指标：
三、培训和相关技术资料
原厂免费培训一名达到高级应用水平的系统管理员，培训内容包括系统的安装、调试、故障排除、操作使用等。

四、售后服务
原厂硬件质保叁年，原厂叁年服务；
原厂10分钟远程技术响应，4小时到达现场；
提供7X24小时的原厂技术支持。

4小时维修响应，1个工作日内保证修复，1个工作日不能修复，提供相等型号备机备件服务；
五、提供原厂针对本项目的销售授权书原件、货物质保证明书原件以及售后服务承诺书原件.。

★2.产品应采用业界领先的入侵检测技术，拥有入侵检测方法的相关专会话维持1.支持基于协议、端口、策略的会话维持功能网络适应性6. 支持冗余心跳线机制7•支持VRRP 和STP 协议8.支持链路状态检测的双机热备★1.支持基于路由转发的接入方式★2.支持基于透明网桥的接入方式3. 支持路由转发和透明网桥转发两种模式同时具备的混合接入方式4.支持VLANTRUNK日志扌报表★安全审计3.求支持记录任何试图穿越或到达防火墙的违反安全策略的访问请1.支持网络负载均衡到多台服务器负载均衡2.支持集群工作模式的负载均衡1.支持IPSEC协议支持标准IPSec、SSL、GRE、PPTP、L2TP等VPN2.支持建立"防火墙至防火墙”和"防火墙至客户端”两种形式的VPN3.支持基于预共享密钥和X.509数字证书等方式的VPN用户访问认证4.加密算法和验证算法符合国家密码管理的有关规定1、支持IPv6静态路由2、支持IPv6包过滤3、支持IPv6环境下的网络应用IPv64、支持双栈功能5、支持IPv4和IPv6地址的转换功能6、支持IPv6隧道技术1.支持记录来自外部网络的被安全策略允许的访问请求2.支持记录来自内部网络和DMZ的被安全策略允许的访问请求4.支持记录防火墙的管理行为管理要求管理要求5.审计记录内容完整6•支持对CPU、内存、磁盘、网口、用户在线状态、连接数、路由表等信息的监控7.支持日志的管理8.提供日志管理工具9.支持记录对防火墙系统的自身操作。

10.支持记录在防火墙管理端口的认证请求11.支持对日志事件和防火墙所采取的相应技术措施的描述12.支持日志记录存储和备份的安全13.支持日志管理工具管理日志14.支持日志的统计分析和报表生成15.支持日志集中管理16.支持日志存储耗尽处理机制★1.支持对授权管理员的口令鉴别方式★2.支持基于802.3ad标准的多端口聚合，实现零成本扩展带宽★3.支持本地和远程管理★4.支持通过USB导出关键信息时可选择信息列表，日志可按照模块存储在USB设备中，并可设定定时自动导出5.支持设置和修改安全管理相关的数据参数★6.支持按功能模块的配置导入导出功能★7.可提供专用的集中管理系统，实现对安全网关接入用户认证的集中 管理，至少可同时管理1000台防火墙抗渗透 恶意代码防御 1.支持恶意代码防御功能 产口口安1.支撑系统不提供多余的网络服务 支撑系统安全性 非正常关机 1.防火墙应对非正常关机做出正确处理 资质要求 8.支持管理审计日志 ★9.支持管理员权限划分 1.抵抗各种典型的拒绝服务攻击，如SYNFLOOD ，UDPFLOOD ， ICMPFLOOD ，IP 碎片包攻击，源IP 地址欺骗攻击2.支撑系统不含任何高、中风险安全漏洞 ★设备原厂商应具备安全服务二级资质和应急响应一级资质，同时需为微软MAPP 成员；★产品具有中华人民共和国公安部颁发的《计算机信息系统安全专用产品销售许可证》，且认证等级为三级★产品具有中国国家信息安全认证中心颁发的《中国国家信息安全产品认证证书》，且认证等级为 三级★产品具有中国国家信息安全测评认证中心颁发的《信息技术产品安全测评证书EAL3+级别》★产品具有全球IPv6测试中心颁发的《IPv6Ready 》金牌认证证书（IPv6Phase2认证）★产品具有中国国家保密局测评中心颁发的《涉密信息系统产品检测证书》★产品具有国家版权局颁发的《计算机软件著作权登记证书》★中国信息安全测评中心颁发的信息安全产品自主原创证明。

1. 从软、硬件形式上分为软件防火墙和硬件防火墙以及芯片级防火墙。

如果从防火墙的软、硬件形式来分的话，防火墙可以分为软件防火墙和硬件防火墙以及芯片级防火墙。

第一种：软件防火墙软件防火墙运行于特定的计算机上，它需要客户预先安装好的计算机操作系统的支持，一般来说这台计算机就是整个网络的网关。

俗称“个人防火墙”。

软件防火墙就像其它的软件产品一样需要先在计算机上安装并做好配置才可以使用。

防火墙厂商中做网络版软件防火墙最出名的莫过于Checkpoint。

使用这类防火墙，需要网管对所工作的操作系统平台比较熟悉。

第二种：硬件防火墙这里说的硬件防火墙是指“所谓的硬件防火墙”。

之所以加上"所谓"二字是针对芯片级防火墙说的了。

它们最大的差别在于是否基于专用的硬件平台。

目前市场上大多数防火墙都是这种所谓的硬件防火墙，他们都基于PC架构，就是说，它们和普通的家庭用的PC没有太大区别。

在这些PC架构计算机上运行一些经过裁剪和简化的操作系统，最常用的有老版本的Unix、Linux和FreeBSD系统。

值得注意的是，由于此类防火墙采用的依然是别人的内核，因此依然会受到OS（操作系统）本身的安全性影响。

传统硬件防火墙一般至少应具备三个端口，分别接内网，外网和DMZ区（非军事化区），现在一些新的硬件防火墙往往扩展了端口，常见四端口防火墙一般将第四个端口做为配置口、管理端口。

很多防火墙还可以进一步扩展端口数目。

第三种：芯片级防火墙芯片级防火墙基于专门的硬件平台，没有操作系统。

专有的ASIC芯片促使它们比其他种类的防火墙速度更快，处理能力更强，性能更高。

做这类防火墙最出名的厂商有NetScreen、FortiNet、Cisco等。

这类防火墙由于是专用OS（操作系统）,因此防火墙本身的漏洞比较少，不过价格相对比较高昂。

软件防火墙和硬件防火墙以及芯片级防火墙。

2. 从防火墙技术分为“包过滤型”和“应用代理型”两大类。