启明星辰usg fw 610dp招标技术参数

合集下载

启明星辰入侵防御系统IPS产品介绍

√
烁；可设置预警‎起始终止事‎ 件可以在界面‎上直接显示‎产品部署拓‎扑，支持右键管‎理，可对各图
标‎收缩、展开和排序‎ 可查看引擎‎的系统资源‎占用情况、软件版本信‎息和网络流‎ 量信息
用户管理
与审计
升级管理
高可用性
自身安全性 ‎
时钟同步多种管理员 ‎ 权限权限管理
防暴力猜解 ‎
多种身份鉴 ‎ 别方式用户操审计 ‎ 用户操作日 ‎ 志
描、蠕虫病毒、
安全审计、可疑行为、
网络攻
网络娱乐、安全漏洞、
√
击防‎ 护
欺骗劫持、网络通讯、
脆弱口令、穷举探测、
间谍软件
远程执行
扫描检查远‎程进行，对网站拓扑‎无调整，对网站业务‎ 无影响
服务器安全扫
描
Web 程序‎ 漏洞扫描
对各种 We‎ b应用程序‎漏洞进行检‎ 查，包括：跨站脚本、SQL 注入‎、代码执行、目录遍历、文件包含、脚本源码泄‎ 露、CRLF 注‎入、物理路径泄‎ 漏、Cook‎i e篡改、URL 重定‎向、应用错误信‎息、备份文
RIP、RLOGI‎ N、RTSP、SMTP、SNMP、SUNRP‎ C、TCP、TCQ、TDS、TELNE
‎ T、TFTP、TNS、UDP、WHOIS‎ 等协议的解‎ 码
协议分析能 ‎ 力
采用基于状‎态的协议分‎析和协议树‎ 匹配算法
协议自识别 ‎
能够自识别‎ HTTP, FTP, POP3, SMTP, TELNE‎ T, KAZAA‎ , ED2K, BT, GNUTE‎ LLA, MSN, QQ, YMSG, POPO, GTALK‎ , MSRPC‎ 协议
动态策略

启明星辰Power V6000 型号规格竞争对照

2-3G区间
2000系列 1U 6GE+1Slots 2、4GE/2、4SFP
600M-1G区间
1160&1260 1U 6FE+1Slots 4FE
TG-41204（无扩展能力） 1U 4GE
TG-41206（无扩展能力） 1U 6GE TG-41427（接口数强势） 1U 27GE TG-41410（扩展能力弱，不支持光口扩展） 1U 10GE TG-41406（扩展能力弱） 1U 4GE+2SFP
X7-3340(扩展性强) 1U 2GE+3Slots
G7-5966（扩展能力弱）2U 单电6GE+6SFP
FW1000-MS/MA/ME-N(扩展性弱，不支持冗余电源) 8GE+1Slots 4GE/4SFP
G7-4866(扩展能力弱) 2U单电 6GE+6SFP
M3108(无扩展) 1U 8GE+2Combo
TG-51030(扩展性强) 2GE+3Slots
4-6G千兆中端区间
3000系列 2U
TG-41508（扩展能力弱，默认2U单电
4GE+1Slots
源）
8GE/8SFP/4GE4SFP/2GE6SF 4GE+4SFP
P
TG-51014（扩展相当，1U单电源） 4G 1U 4GE+2FE+1Slots 2GE/4GE
F6-3614（无扩展能力） 1U 单电 4GE
M2105（无扩展，接口数少） 1U 5GE
F6-3216（无扩展能力） 1U 单电 6GE
TG-61540(扩展性弱） 2GE+4SLOTS，2SFI/slot

启明星辰相关资料

启明星辰相关资料作为中国UTM（统一威胁管理）市场的领导者，启明星辰不断通过技术革新带给用户更高价值的UTM产品。

天清汉马USG一体化安全网关采用了业界最先进的基于MIPS64的多核硬件架构和一体化的软件设计，集防火墙、VPN（虚拟私人网络）、入侵防御（IPS）、防病毒、上网行为管理、内网安全、反垃圾邮件、抗拒绝服务攻击（Anti-DoS）、内容过滤、NetFlow（网络流量分析）等多种安全技术于一身，高性能、绿色低碳，同时全面支持各种路由协议、QoS（服务质量）、高可用性（HA）、日志审计等功能，为网络边界提供了全面实时的安全防护，帮助用户抵御日益复杂的安全威胁。

2008年启明星辰首家发布基于多核架构的万兆UTM平台。

在2009年中国移动防火墙集中采购项目中，启明星辰成为中国移动防火墙集采万兆级产品中唯一入围的中国信息安全厂商。

2010年，启明星辰相继发布了12000D和12000E更高端型号，最大可扩展到8个万兆接口，满足万兆核心网冗余接入等高可用性环境的需求。

启明星辰正以不断创新迎接安全网关万兆时代的到来。

-基于MIPS64的多核硬件架构和一体化的软件设计，打造了高性能、绿色、低碳环保的全新UTM产品。

●完善的防火墙特性——支持基于源IP、目的IP、源端口、目的端口、时间、服务、用户、文件、网址、关键字、邮件地址、脚本、MAC 地址等多种方式进行访问控制；支持流量管理、连接数控制、IP+MAC绑定、用户认证等；——多种型号产品，其网络吞吐量可满足从100M到20Gbps 之间的广泛应用环境；——支持链路备份功能，可以在用户的多条网络出口之间进行自动的切换；——支持双机热备功能，包括主备模式(A/S)，主主模式(A/A)；支持VRRP协议；支持对服务器的负载均衡；动态端口支持流媒体协议：H.323、SIP等；——内嵌VPN功能模块，提供VPN客户端软件，方便建立网关-网关、网关-客户端、客户端-客户端的加密隧道；支持与其他IPSEC VPN设备进行互联、互通。

启明星辰USG防火墙

息安全产品认证证书国家信息安全测评认证中心颁发的防火墙安全等
级EAL3认证证书
谢谢
天清汉马USG防火墙
叶小铭启明星辰产品经理
概述
随着时间的推移，网络的安全问题也日益严重，在开放的网络环境中，网络边界安全成为网络安全的重要组成部分
防火墙是解决网络边界安全的重要设备，它主要工作在网络层之下，通过对协议、地址和服务端口的识别和控制达到防范入侵的目的，可以有效的防范基于业务端口的攻击。
关键技术
非法链接过滤技术应用层协议类型识别技术
通过增加对后续数据报文内容的分析来综合判断协议类型，同时在底层平台中设计了相应的处理机制，以支持对协议类型的综合判断。
智能内容过滤技术
企业应用
署天清汉马USG防火墙让企业用户可以在一个统一的架构上建立自己的安全基础设施：将天清汉马USG防火墙产品部署在总部和分支机构网络Internet出口，同时可作为 VPN网关，各分支机构与总部之间开启VPN隧道，保证相互间通信的保密性。SOHO员工和在外出差的员工可以在任何时候通过VPN客户端与总部的天清汉马USG防火墙建立VPN隧道，访问公司内部的资源，实现高效安全的网络应用。
天清汉马USG防火墙可通过软件升级的方式，获得对完整的UTM特性的支持，包括防病毒（AV）、入侵防御（IPS）、防垃圾邮件（Anti-Spam）和内网安全功能。
产品特点
完美的防火墙特性安全丰富的VPN使组网变得简单通过集中管理与数据分析中心实现对多台
设备的统一管理、实时监控、集中升级和拓扑展示可软件升级为UTM
天清汉马USG防火墙提供统一管理平台，可以通过信息中心统一管理所有的USG设备，并提供详尽直观的报表，能够让管理员迅速了解到整个网络的存在的安全风险和趋势，为决定如何制定安全策略提供依据。

fw招标规格引导

Eudemon/USG系列防火墙招标规格引导目录USG 50（C01）招标规格引导 (2)USG 50（B01）招标规格引导 (3)USG 50（A01）招标规格引导 (4)Eudemon 100E（D01）招标规格引导 (5)Eudemon 100E（C01）招标规格引导 (6)Eudemon 100E（B01）招标规格引导 (7)Eudemon 100E（A01）招标规格引导 (8)Eudemon 200招标规格引导 (9)Eudemon 200S（B01）招标规格引导 (10)Eudemon 200S（A01）招标规格引导 (11)USG 3030（C01）招标规格引导 (12)USG 3030（B01）招标规格引导 (13)USG 3040招标规格引导 (14)Eudemon 300招标规格引导 (15)Eudemon 500招标规格引导 (16)Eudemon 1000招标规格引导 (17)USG 5320招标规格引导 (18)USG 5330招标规格引导 (19)USG 5350招标规格引导 (20)USG 5360招标规格引导 (21)USG 50（C01）招标规格引导1、要求防火墙至少具备1个WAN口及4个LAN口2、要求防火墙采用专用硬件平台（非X86架构），防火墙吞吐量≥100Mbps，每秒新建连接数≥2千，最大并发连接数≥10万，加密性能≥10Mbps3、要求防火墙能够抵御syn flood攻击、udp flood攻击、icmp flood攻击、IP Spoofing攻击、LAND攻击、Smurf攻击、Fraggle攻击、Winnuke攻击、Ping of Death攻击、Tear Drop攻击、地址扫描攻击、端口扫描攻击、IP Option控制攻击、IP分片报文控制攻击、TCP标记合法性检查攻击、超大ICMP报文控制攻击、ICMP重定向报文控制攻击、ICMP 不可达报文控制攻击、TRACERT报文控制攻击、ARP攻击等4、要求防火墙支持BitTorrent、Pplive、Ppstream、eDonkey、emule、迅雷、FastTrack、Gnutella、QQlive、KUGOO、BaiBao、Soulseek、CCIPTV等P2P应用的流量控制；支持分协议控制；支持P2P总量控制；支持对指定用户的P2P流量限制5、要求防火墙支持QoS功能，并且支持FIFO、PQ、CQ、WFQ、CQC、CBWFQ、WRED、LR、CAR、GTS等队列排队算法，支持对特定源IP地址的连接速率/连接数限制，以及到特定目的IP地址的连接速率/连接数限制6、要求防火墙支持NA T地址转换，包括接口地址转换（多对一）、静态地址转换（一对一）、地址池转换（多对多）、端口转换（一对多）；并且要求NA T支持以下应用协议：FTP、H323(含T.120)、RAS、HWCC、SNP（多媒体）、SIP、ICMP、RTSP、NetBios、ILS、PPTP、QQ、MSN等7、要求防火墙支持IPSec、L2TP、GRE等VPN协议；提供专用IPSec VPN客户端软件及VPN集中管理器8、要求防火墙支持flow流日志和标准Syslog日志，并提供配套的日志服务器软件；要求能够对NAT日志进行记录，以便事后调查取证用；为了减少日志流量占用网络带宽，需要防火墙支持二进制日志输出，且二进制日志功能开启时不影响防火墙性能9、要求防火墙支持WEB管理，支持命令行管理，命令行提供中、英文帮助，支持基于SSH的远程安全管理10、要求防火墙具备以下资质证书：a)《计算机信息系统安全专用产品销售许可证》b)《国家信息安全产品认证EAL3级证书》c)《涉密信息系统产品检测证书》d)《军用信息安全产品认证证书》e)《计算机软件著作权登记证书》USG 50（B01）招标规格引导1、要求防火墙至少具备1个WAN口及4个LAN口2、要求防火墙采用专用硬件平台（非X86架构），防火墙吞吐量≥100Mbps，每秒新建连接数≥2千，最大并发连接数≥10万，支持硬件芯片加密，加密性能≥40Mbps3、要求防火墙能够抵御syn flood攻击、udp flood攻击、icmp flood攻击、IP Spoofing攻击、LAND攻击、Smurf攻击、Fraggle攻击、Winnuke攻击、Ping of Death攻击、Tear Drop攻击、地址扫描攻击、端口扫描攻击、IP Option控制攻击、IP分片报文控制攻击、TCP标记合法性检查攻击、超大ICMP报文控制攻击、ICMP重定向报文控制攻击、ICMP 不可达报文控制攻击、TRACERT报文控制攻击、ARP攻击等4、要求防火墙支持BitTorrent、Pplive、Ppstream、eDonkey、emule、迅雷、FastTrack、Gnutella、QQlive、KUGOO、BaiBao、Soulseek、CCIPTV等P2P应用的流量控制；支持分协议控制；支持P2P总量控制；支持对指定用户的P2P流量限制5、要求防火墙支持QoS功能，并且支持FIFO、PQ、CQ、WFQ、CQC、CBWFQ、WRED、LR、CAR、GTS等队列排队算法，支持对特定源IP地址的连接速率/连接数限制，以及到特定目的IP地址的连接速率/连接数限制6、要求防火墙支持NA T地址转换，包括接口地址转换（多对一）、静态地址转换（一对一）、地址池转换（多对多）、端口转换（一对多）；并且要求NA T支持以下应用协议：FTP、H323(含T.120)、RAS、HWCC、SNP（多媒体）、SIP、ICMP、RTSP、NetBios、ILS、PPTP、QQ、MSN等7、要求防火墙支持IPSec、L2TP、GRE等VPN协议；提供专用IPSec VPN客户端软件及VPN集中管理器8、要求防火墙支持flow流日志和标准Syslog日志，并提供配套的日志服务器软件；要求能够对NAT日志进行记录，以便事后调查取证用；为了减少日志流量占用网络带宽，需要防火墙支持二进制日志输出，且二进制日志功能开启时不影响防火墙性能9、要求防火墙支持WEB管理，支持命令行管理，命令行提供中、英文帮助，支持基于SSH的远程安全管理10、要求防火墙具备以下资质证书：a)《计算机信息系统安全专用产品销售许可证》b)《国家信息安全产品认证EAL3级证书》c)《涉密信息系统产品检测证书》d)《军用信息安全产品认证证书》e)《计算机软件著作权登记证书》USG 50（A01）招标规格引导1、要求防火墙至少具备1个WAN口及4个LAN口2、要求防火墙采用专用硬件平台（非X86架构），防火墙吞吐量≥100Mbps，每秒新建连接数≥2千，最大并发连接数≥10万，支持硬件芯片加密，加密性能≥40Mbps3、要求防火墙能够抵御syn flood攻击、udp flood攻击、icmp flood攻击、IP Spoofing攻击、LAND攻击、Smurf攻击、Fraggle攻击、Winnuke攻击、Ping of Death攻击、Tear Drop攻击、地址扫描攻击、端口扫描攻击、IP Option控制攻击、IP分片报文控制攻击、TCP标记合法性检查攻击、超大ICMP报文控制攻击、ICMP重定向报文控制攻击、ICMP 不可达报文控制攻击、TRACERT报文控制攻击、ARP攻击等4、要求防火墙支持BitTorrent、Pplive、Ppstream、eDonkey、emule、迅雷、FastTrack、Gnutella、QQlive、KUGOO、BaiBao、Soulseek、CCIPTV等P2P应用的流量控制；支持分协议控制；支持P2P总量控制；支持对指定用户的P2P流量限制5、要求防火墙支持QoS功能，并且支持FIFO、PQ、CQ、WFQ、CQC、CBWFQ、WRED、LR、CAR、GTS等队列排队算法，支持对特定源IP地址的连接速率/连接数限制，以及到特定目的IP地址的连接速率/连接数限制6、要求防火墙支持NA T地址转换，包括接口地址转换（多对一）、静态地址转换（一对一）、地址池转换（多对多）、端口转换（一对多）；并且要求NA T支持以下应用协议：FTP、H323(含T.120)、RAS、HWCC、SNP（多媒体）、SIP、ICMP、RTSP、NetBios、ILS、PPTP、QQ、MSN等7、要求防火墙支持IPSec、L2TP、GRE等VPN协议；支持SCB2国密算法；提供专用IPSecVPN客户端软件及VPN集中管理器8、要求防火墙支持flow流日志和标准Syslog日志，并提供配套的日志服务器软件；要求能够对NAT日志进行记录，以便事后调查取证用；为了减少日志流量占用网络带宽，需要防火墙支持二进制日志输出，且二进制日志功能开启时不影响防火墙性能9、要求防火墙支持WEB管理，支持命令行管理，命令行提供中、英文帮助，支持基于SSH的远程安全管理10、要求防火墙具备以下资质证书：a)《计算机信息系统安全专用产品销售许可证》b)《国家信息安全产品认证EAL3级证书》c)《涉密信息系统产品检测证书》d)《军用信息安全产品认证证书》e)《计算机软件著作权登记证书》f)《商用密码产品生产定点单位证书》Eudemon 100E（D01）招标规格引导1、要求防火墙至少具备5个百兆网络接口2、要求防火墙采用专用硬件平台（非X86架构），防火墙吞吐量≥200Mbps，每秒新建连接数≥1万，最大并发连接数≥50万，支持硬件芯片加密，加密性能≥200Mbps，支持交/直流电源3、要求防火墙能够抵御syn flood攻击、udp flood攻击、icmp flood攻击、IP Spoofing攻击、LAND攻击、Smurf攻击、Fraggle攻击、Winnuke攻击、Ping of Death攻击、Tear Drop攻击、地址扫描攻击、端口扫描攻击、IP Option控制攻击、IP分片报文控制攻击、TCP标记合法性检查攻击、超大ICMP报文控制攻击、ICMP重定向报文控制攻击、ICMP 不可达报文控制攻击、TRACERT报文控制攻击、ARP攻击等4、要求防火墙支持BitTorrent、Pplive、Ppstream、eDonkey、emule、迅雷、FastTrack、Gnutella、QQlive、KUGOO、BaiBao、Soulseek、CCIPTV等P2P应用的流量控制；支持分协议控制；支持P2P总量控制；支持对指定用户的P2P流量限制5、要求防火墙支持QoS功能，并且支持FIFO、PQ、CQ、WFQ、CQC、CBWFQ、WRED、LR、CAR、GTS等队列排队算法，支持对特定源IP地址的连接速率/连接数限制，以及到特定目的IP地址的连接速率/连接数限制6、要求防火墙支持静态路由、策略路由和RIP、OSPF、BGP、ISIS等路由协议，支持路由策略、路由叠代、路由管理以及组播路由（MSDP、PIM-DM、PIM-SM、IGMP、MTRACE、MSDP TRACE等）7、要求防火墙支持NA T地址转换，包括接口地址转换（多对一）、静态地址转换（一对一）、地址池转换（多对多）、端口转换（一对多）；支持NAT扩展功能，可实现无限NAT 转换；并且要求NAT支持以下应用协议：FTP、H323(含T.120)、RAS、HWCC、SNP （多媒体）、SIP、ICMP、RTSP、NetBios、ILS、PPTP、QQ、MSN等8、要求防火墙支持和终端安全管理软件联动，实现用户身份认证和安全接入控制等功能9、要求防火墙支持IPSec、L2TP、GRE等VPN协议；提供专用IPSec VPN客户端软件及VPN集中管理器10、要求防火墙支持flow流日志和标准Syslog日志，并提供配套的日志服务器软件；要求能够对NAT日志进行记录，以便事后调查取证用；为了减少日志流量占用网络带宽，需要防火墙支持二进制日志输出，且二进制日志功能开启时不影响防火墙性能11、要求防火墙支持WEB管理，支持命令行管理，命令行提供中、英文帮助，支持基于SSH的远程安全管理12、要求防火墙具备以下资质证书：a)《计算机信息系统安全专用产品销售许可证》b)《国家信息安全产品认证EAL3级证书》c)《涉密信息系统产品检测证书》d)《军用信息安全产品认证证书》e)《计算机软件著作权登记证书》Eudemon 100E（C01）招标规格引导1、要求防火墙至少具备5个百兆网络接口2、要求防火墙采用专用硬件平台（非X86架构），防火墙吞吐量≥300Mbps，每秒新建连接数≥1.5万，最大并发连接数≥50万，支持硬件芯片加密，加密性能≥200Mbps，支持交/直流电源3、要求防火墙能够抵御syn flood攻击、udp flood攻击、icmp flood攻击、IP Spoofing攻击、LAND攻击、Smurf攻击、Fraggle攻击、Winnuke攻击、Ping of Death攻击、Tear Drop攻击、地址扫描攻击、端口扫描攻击、IP Option控制攻击、IP分片报文控制攻击、TCP标记合法性检查攻击、超大ICMP报文控制攻击、ICMP重定向报文控制攻击、ICMP 不可达报文控制攻击、TRACERT报文控制攻击、ARP攻击等4、要求防火墙支持BitTorrent、Pplive、Ppstream、eDonkey、emule、迅雷、FastTrack、Gnutella、QQlive、KUGOO、BaiBao、Soulseek、CCIPTV等P2P应用的流量控制；支持分协议控制；支持P2P总量控制；支持对指定用户的P2P流量限制5、要求防火墙支持QoS功能，并且支持FIFO、PQ、CQ、WFQ、CQC、CBWFQ、WRED、LR、CAR、GTS等队列排队算法，支持对特定源IP地址的连接速率/连接数限制，以及到特定目的IP地址的连接速率/连接数限制6、要求防火墙支持静态路由、策略路由和RIP、OSPF、BGP、ISIS等路由协议，支持路由策略、路由叠代、路由管理以及组播路由（MSDP、PIM-DM、PIM-SM、IGMP、MTRACE、MSDP TRACE等）7、要求防火墙支持NA T地址转换，包括接口地址转换（多对一）、静态地址转换（一对一）、地址池转换（多对多）、端口转换（一对多）；支持NAT扩展功能，可实现无限NAT 转换；并且要求NAT支持以下应用协议：FTP、H323(含T.120)、RAS、HWCC、SNP （多媒体）、SIP、ICMP、RTSP、NetBios、ILS、PPTP、QQ、MSN等8、要求防火墙支持和终端安全管理软件联动，实现用户身份认证和安全接入控制等功能9、要求防火墙支持IPSec、L2TP、GRE等VPN协议；提供专用IPSec VPN客户端软件及VPN集中管理器10、要求防火墙支持flow流日志和标准Syslog日志，并提供配套的日志服务器软件；要求能够对NAT日志进行记录，以便事后调查取证用；为了减少日志流量占用网络带宽，需要防火墙支持二进制日志输出，且二进制日志功能开启时不影响防火墙性能11、要求防火墙支持WEB管理，支持命令行管理，命令行提供中、英文帮助，支持基于SSH的远程安全管理12、要求防火墙具备以下资质证书：a)《计算机信息系统安全专用产品销售许可证》b)《国家信息安全产品认证EAL3级证书》c)《涉密信息系统产品检测证书》d)《军用信息安全产品认证证书》e)《计算机软件著作权登记证书》Eudemon 100E（B01）招标规格引导1、要求防火墙至少具备5个百兆网络接口2、要求防火墙采用专用硬件平台（非X86架构），防火墙吞吐量≥400Mbps，每秒新建连接数≥2万，最大并发连接数≥50万，支持硬件芯片加密，加密性能≥200Mbps，支持交/直流电源3、要求防火墙能够抵御syn flood攻击、udp flood攻击、icmp flood攻击、IP Spoofing攻击、LAND攻击、Smurf攻击、Fraggle攻击、Winnuke攻击、Ping of Death攻击、Tear Drop攻击、地址扫描攻击、端口扫描攻击、IP Option控制攻击、IP分片报文控制攻击、TCP标记合法性检查攻击、超大ICMP报文控制攻击、ICMP重定向报文控制攻击、ICMP 不可达报文控制攻击、TRACERT报文控制攻击、ARP攻击等4、要求防火墙支持BitTorrent、Pplive、Ppstream、eDonkey、emule、迅雷、FastTrack、Gnutella、QQlive、KUGOO、BaiBao、Soulseek、CCIPTV等P2P应用的流量控制；支持分协议控制；支持P2P总量控制；支持对指定用户的P2P流量限制5、要求防火墙支持QoS功能，并且支持FIFO、PQ、CQ、WFQ、CQC、CBWFQ、WRED、LR、CAR、GTS等队列排队算法，支持对特定源IP地址的连接速率/连接数限制，以及到特定目的IP地址的连接速率/连接数限制6、要求防火墙支持静态路由、策略路由和RIP、OSPF、BGP、ISIS等路由协议，支持路由策略、路由叠代、路由管理以及组播路由（MSDP、PIM-DM、PIM-SM、IGMP、MTRACE、MSDP TRACE等）7、要求防火墙支持NA T地址转换，包括接口地址转换（多对一）、静态地址转换（一对一）、地址池转换（多对多）、端口转换（一对多）；支持NAT扩展功能，可实现无限NAT 转换；并且要求NAT支持以下应用协议：FTP、H323(含T.120)、RAS、HWCC、SNP （多媒体）、SIP、ICMP、RTSP、NetBios、ILS、PPTP、QQ、MSN等8、要求防火墙支持和终端安全管理软件联动，实现用户身份认证和安全接入控制等功能9、要求防火墙支持IPSec、L2TP、GRE等VPN协议；提供专用IPSec VPN客户端软件及VPN集中管理器10、要求防火墙支持flow流日志和标准Syslog日志，并提供配套的日志服务器软件；要求能够对NAT日志进行记录，以便事后调查取证用；为了减少日志流量占用网络带宽，需要防火墙支持二进制日志输出，且二进制日志功能开启时不影响防火墙性能11、要求防火墙支持WEB管理，支持命令行管理，命令行提供中、英文帮助，支持基于SSH的远程安全管理12、要求防火墙具备以下资质证书：a)《计算机信息系统安全专用产品销售许可证》b)《国家信息安全产品认证EAL3级证书》c)《涉密信息系统产品检测证书》d)《军用信息安全产品认证证书》e)《计算机软件著作权登记证书》Eudemon 100E（A01）招标规格引导1、要求防火墙至少具备5个百兆以太网接口2、要求防火墙采用专用硬件平台（非X86架构），防火墙吞吐量≥400Mbps，每秒新建连接数≥2万，最大并发连接数≥50万，支持硬件芯片加密，加密性能≥200Mbps，支持交/直流电源3、要求防火墙能够抵御syn flood攻击、udp flood攻击、icmp flood攻击、IP Spoofing攻击、LAND攻击、Smurf攻击、Fraggle攻击、Winnuke攻击、Ping of Death攻击、Tear Drop攻击、地址扫描攻击、端口扫描攻击、IP Option控制攻击、IP分片报文控制攻击、TCP标记合法性检查攻击、超大ICMP报文控制攻击、ICMP重定向报文控制攻击、ICMP 不可达报文控制攻击、TRACERT报文控制攻击、ARP攻击等4、要求防火墙支持BitTorrent、Pplive、Ppstream、eDonkey、emule、迅雷、FastTrack、Gnutella、QQlive、KUGOO、BaiBao、Soulseek、CCIPTV等P2P应用的流量控制；支持分协议控制；支持P2P总量控制；支持对指定用户的P2P流量限制5、要求防火墙支持QoS功能，并且支持FIFO、PQ、CQ、WFQ、CQC、CBWFQ、WRED、LR、CAR、GTS等队列排队算法，支持对特定源IP地址的连接速率/连接数限制，以及到特定目的IP地址的连接速率/连接数限制6、要求防火墙支持静态路由、策略路由和RIP、OSPF、BGP、ISIS等路由协议，支持路由策略、路由叠代、路由管理以及组播路由（MSDP、PIM-DM、PIM-SM、IGMP、MTRACE、MSDP TRACE等）7、要求防火墙支持NA T地址转换，包括接口地址转换（多对一）、静态地址转换（一对一）、地址池转换（多对多）、端口转换（一对多）；支持NAT扩展功能，可实现无限NAT 转换；并且要求NAT支持以下应用协议：FTP、H323(含T.120)、RAS、HWCC、SNP （多媒体）、SIP、ICMP、RTSP、NetBios、ILS、PPTP、QQ、MSN等8、要求防火墙支持和终端安全管理软件联动，实现用户身份认证和安全接入控制等功能9、要求防火墙支持IPSec、L2TP、GRE等VPN协议；支持SCB2国密算法；提供专用IPSecVPN客户端软件及VPN集中管理器10、要求防火墙支持flow流日志和标准Syslog日志，并提供配套的日志服务器软件；要求能够对NAT日志进行记录，以便事后调查取证用；为了减少日志流量占用网络带宽，需要防火墙支持二进制日志输出，且二进制日志功能开启时不影响防火墙性能11、要求防火墙支持WEB管理，支持命令行管理，命令行提供中、英文帮助，支持基于SSH的远程安全管理12、要求防火墙具备以下资质证书：a)《计算机信息系统安全专用产品销售许可证》b)《国家信息安全产品认证EAL3级证书》c)《涉密信息系统产品检测证书》d)《军用信息安全产品认证证书》e)《计算机软件著作权登记证书》f)《商用密码产品生产定点单位证书》Eudemon 200招标规格引导1、要求防火墙至少具备1个千兆以太网接口（电），4个百兆以太网接口，并提供2个以上扩展槽，可扩展E1/T1广域网接口2、要求防火墙采用专用硬件平台（非X86架构），防火墙吞吐量≥400Mbps，每秒新建连接数≥2万，最大并发连接数≥50万，支持硬件加密，加密性能≥200Mbps，支持交/直流电源，支持双冗余电源3、要求防火墙能够抵御syn flood攻击、udp flood攻击、icmp flood攻击、IP Spoofing攻击、LAND攻击、Smurf攻击、Fraggle攻击、Winnuke攻击、Ping of Death攻击、Tear Drop攻击、地址扫描攻击、端口扫描攻击、IP Option控制攻击、IP分片报文控制攻击、TCP标记合法性检查攻击、超大ICMP报文控制攻击、ICMP重定向报文控制攻击、ICMP 不可达报文控制攻击、TRACERT报文控制攻击、ARP攻击等4、要求防火墙支持BitTorrent、Pplive、Ppstream、eDonkey、emule、迅雷、FastTrack、Gnutella、QQlive、KUGOO、BaiBao、Soulseek、CCIPTV等P2P应用的流量控制；支持分协议控制；支持P2P总量控制；支持对指定用户的P2P流量限制5、要求防火墙支持QoS功能，并且支持FIFO、PQ、CQ、WFQ、CQC、CBWFQ、WRED、LR、CAR、GTS等队列排队算法，支持对特定源IP地址的连接速率/连接数限制，以及到特定目的IP地址的连接速率/连接数限制6、要求防火墙支持静态路由、策略路由和RIP、OSPF、BGP、ISIS等路由协议，支持路由策略、路由叠代、路由管理以及组播路由（MSDP、PIM-DM、PIM-SM、IGMP、MTRACE、MSDP TRACE等）7、要求防火墙支持NA T地址转换，包括接口地址转换（多对一）、静态地址转换（一对一）、地址池转换（多对多）、端口转换（一对多）；支持NAT扩展功能，可实现无限NAT 转换；并且要求NAT支持以下应用协议：FTP、H323(含T.120)、RAS、HWCC、SNP （多媒体）、SIP、ICMP、RTSP、NetBios、ILS、PPTP、QQ、MSN等8、要求防火墙支持和终端安全管理软件联动，实现用户身份认证和安全接入控制等功能9、要求防火墙支持IPSec、L2TP、GRE等VPN协议；支持SCB2国密算法；提供专用IPSecVPN客户端软件及VPN集中管理器10、要求防火墙支持flow流日志和标准Syslog日志，并提供配套的日志服务器软件；要求能够对NAT日志进行记录，以便事后调查取证用；为了减少日志流量占用网络带宽，需要防火墙支持二进制日志输出，且二进制日志功能开启时不影响防火墙性能11、要求防火墙支持WEB管理，支持命令行管理，命令行提供中、英文帮助，支持基于SSH的远程安全管理12、要求防火墙具备以下资质证书：a)《计算机信息系统安全专用产品销售许可证》b)《国家信息安全产品认证EAL3级证书》c)《涉密信息系统产品检测证书》d)《军用信息安全产品认证证书》e)《计算机软件著作权登记证书》f)《商用密码产品生产定点单位证书》Eudemon 200S（B01）招标规格引导1、要求防火墙至少具备5个百兆网络接口2、要求防火墙采用专用硬件平台（非X86架构），防火墙吞吐量≥500Mbps，每秒新建连接数≥2万，最大并发连接数≥50万，支持硬件芯片加密，加密性能≥200Mbps，支持交/直流电源3、要求防火墙能够抵御syn flood攻击、udp flood攻击、icmp flood攻击、IP Spoofing攻击、LAND攻击、Smurf攻击、Fraggle攻击、Winnuke攻击、Ping of Death攻击、Tear Drop攻击、地址扫描攻击、端口扫描攻击、IP Option控制攻击、IP分片报文控制攻击、TCP标记合法性检查攻击、超大ICMP报文控制攻击、ICMP重定向报文控制攻击、ICMP 不可达报文控制攻击、TRACERT报文控制攻击、ARP攻击等4、要求防火墙支持BitTorrent、Pplive、Ppstream、eDonkey、emule、迅雷、FastTrack、Gnutella、QQlive、KUGOO、BaiBao、Soulseek、CCIPTV等P2P应用的流量控制；支持分协议控制；支持P2P总量控制；支持对指定用户的P2P流量限制5、要求防火墙支持QoS功能，并且支持FIFO、PQ、CQ、WFQ、CQC、CBWFQ、WRED、LR、CAR、GTS等队列排队算法，支持对特定源IP地址的连接速率/连接数限制，以及到特定目的IP地址的连接速率/连接数限制6、要求防火墙支持静态路由、策略路由和RIP、OSPF、BGP、ISIS等路由协议，支持路由策略、路由叠代、路由管理以及组播路由（MSDP、PIM-DM、PIM-SM、IGMP、MTRACE、MSDP TRACE等）7、要求防火墙支持NA T地址转换，包括接口地址转换（多对一）、静态地址转换（一对一）、地址池转换（多对多）、端口转换（一对多）；支持NAT扩展功能，可实现无限NAT 转换；并且要求NAT支持以下应用协议：FTP、H323(含T.120)、RAS、HWCC、SNP （多媒体）、SIP、ICMP、RTSP、NetBios、ILS、PPTP、QQ、MSN等8、要求防火墙支持和终端安全管理软件联动，实现用户身份认证和安全接入控制等功能9、要求防火墙支持IPSec、L2TP、GRE等VPN协议；提供专用IPSec VPN客户端软件及VPN集中管理器10、要求防火墙支持flow流日志和标准Syslog日志，并提供配套的日志服务器软件；要求能够对NAT日志进行记录，以便事后调查取证用；为了减少日志流量占用网络带宽，需要防火墙支持二进制日志输出，且二进制日志功能开启时不影响防火墙性能11、要求防火墙支持WEB管理，支持命令行管理，命令行提供中、英文帮助，支持基于SSH的远程安全管理12、要求防火墙具备以下资质证书：a)《计算机信息系统安全专用产品销售许可证》b)《国家信息安全产品认证EAL3级证书》c)《涉密信息系统产品检测证书》d)《军用信息安全产品认证证书》e)《计算机软件著作权登记证书》Eudemon 200S（A01）招标规格引导1、要求防火墙至少具备5个百兆网络接口2、要求防火墙采用专用硬件平台（非X86架构），防火墙吞吐量≥500Mbps，每秒新建连接数≥2万，最大并发连接数≥50万，支持硬件芯片加密，加密性能≥200Mbps，支持交/直流电源3、要求防火墙能够抵御syn flood攻击、udp flood攻击、icmp flood攻击、IP Spoofing攻击、LAND攻击、Smurf攻击、Fraggle攻击、Winnuke攻击、Ping of Death攻击、Tear Drop攻击、地址扫描攻击、端口扫描攻击、IP Option控制攻击、IP分片报文控制攻击、TCP标记合法性检查攻击、超大ICMP报文控制攻击、ICMP重定向报文控制攻击、ICMP 不可达报文控制攻击、TRACERT报文控制攻击、ARP攻击等4、要求防火墙支持BitTorrent、Pplive、Ppstream、eDonkey、emule、迅雷、FastTrack、Gnutella、QQlive、KUGOO、BaiBao、Soulseek、CCIPTV等P2P应用的流量控制；支持分协议控制；支持P2P总量控制；支持对指定用户的P2P流量限制5、要求防火墙支持QoS功能，并且支持FIFO、PQ、CQ、WFQ、CQC、CBWFQ、WRED、LR、CAR、GTS等队列排队算法，支持对特定源IP地址的连接速率/连接数限制，以及到特定目的IP地址的连接速率/连接数限制6、要求防火墙支持静态路由、策略路由和RIP、OSPF、BGP、ISIS等路由协议，支持路由策略、路由叠代、路由管理以及组播路由（MSDP、PIM-DM、PIM-SM、IGMP、MTRACE、MSDP TRACE等）7、要求防火墙支持NA T地址转换，包括接口地址转换（多对一）、静态地址转换（一对一）、地址池转换（多对多）、端口转换（一对多）；支持NAT扩展功能，可实现无限NAT 转换；并且要求NAT支持以下应用协议：FTP、H323(含T.120)、RAS、HWCC、SNP （多媒体）、SIP、ICMP、RTSP、NetBios、ILS、PPTP、QQ、MSN等8、要求防火墙支持和终端安全管理软件联动，实现用户身份认证和安全接入控制等功能9、要求防火墙支持IPSec、L2TP、GRE等VPN协议；支持SCB2国密算法；提供专用IPSecVPN客户端软件及VPN集中管理器10、要求防火墙支持flow流日志和标准Syslog日志，并提供配套的日志服务器软件；要求能够对NAT日志进行记录，以便事后调查取证用；为了减少日志流量占用网络带宽，需要防火墙支持二进制日志输出，且二进制日志功能开启时不影响防火墙性能11、要求防火墙支持WEB管理，支持命令行管理，命令行提供中、英文帮助，支持基于SSH的远程安全管理12、要求防火墙具备以下资质证书：a)《计算机信息系统安全专用产品销售许可证》b)《国家信息安全产品认证EAL3级证书》c)《涉密信息系统产品检测证书》d)《军用信息安全产品认证证书》e)《计算机软件著作权登记证书》f)《商用密码产品生产定点单位证书》。

启明星辰产品介绍

运维审计隔离网闸
天榕 DLP
天玥数据库审计日志审计计算环境：审计、止损设施
产品技术
【应用监管类】——天清异常流量管理与抗拒绝服务系统
作为中国信息安全市场的领军企业，启明星辰对抗拒绝服务市场的变化与发展一直予以充分关注，并凭借公司在入侵检测和防御、威胁展示和处理等方面的深刻理解和强大研发实力，推出了天清异常流量管理与抗拒绝服务系统（Venusense Traffic Anomaly Detection and Mitigation System），简称天清ADM。
天清汉马一体化安全网关（UTM）
天清汉马
防火墙（FW）
IDC 及CCID评估报告显示：20072010年度，启明星辰在国内UTM 市场占有率排名第一。
USG-320C USG-620C USG-820C USG-2000D USG-2010D USG-3600D USG-3610D USG-4600E USG-5600E USG-10000E USG-12000E
历流阈史量值流异、量常自基情动线况报、一警实目时了流然量，曲无线需拟人合工显设示置，流流量量基双线曲自线动同学图习拟、合无、需异设常置一、目自了页条动然数数报警：：19 唯一
处理过程可视化威胁态势可视化
产品型号
NT600-PF-B 处理能力：200Mbps
NT600-PF-S
NT600-PF-SRP 处理能力：400Mbps
NT600系列BPM-1 NT600系列BPM-2 处理能力：600Mbps
NT3000-LT-B
NT3000-LT-BRP 处理能力：800Mbps
天镜漏洞扫描安星
天阗异常流量检测

启明星辰万兆防火墙竞争分析

200G都可以
上千万
型号
启明星辰
USG-FW-14600GP
TG91900
天融信 TG-61540 2GE+4SLOTS
接口数
≥49
48GE每业务板，至少可以插2个业务板
34
吞吐量
≥40G
最大并发连接数
≥320万
每秒新建连接数大概市场成交价
≥26万
或者目录价
ห้องสมุดไป่ตู้40
每个防火墙卡提供的性能：吞吐量＞40G，并发连接数＞800万
120万（机器+主控板+ 业务板）才可以达到要求
型号
启明星辰 USG-FW-16600GP
TG-61740
天融信 TG-91642 9u机架
接口数
≥65
吞吐量
最大并发连接数每秒新建连接数大概市场成交价或者目录价
≥80G ≥400万 ≥30万
34 超出65，一块业务板就几十口端口
46G
120G
防火墙卡（1个CONSOLE 和1个10/100/1000BASE主控卡：提供1个 CONSOLE、1个USB2.0接接口卡：20个 10/100/1000Base-T以太接口卡：48个 10/100/1000BASE-T以太接口卡：12个1000BASEX以太网接口（SFP)和12
TopSEC-9190012X
U5560或者使用其交换机插防火墙业务板的方式对应
最大可扩充到≥56个千兆业务接口+12个万兆接口
大包（1024及以上字节）吞吐量≥32Gbps；
H3C
无资料，我们基本碰不到华三了在国内
华为
无对应防火墙型号，但其会使用核心交换机+防火墙业务板卡的方式实现（防火墙序列没有）

启明星辰USG-FW-610DP招标技术参数

支持MSN（非加密和非压缩模式下）等IM协议病毒防护
支持路由、透明、混合等各种工作模式下的网络病毒检测，支持无IP地址的透明桥下的网络病毒检测模式，支持VPN模式下的病毒扫描
支持多接口可旁路的病毒文件传输监听检测方式，可并行监听并检测多个网段内的病毒传输行为，用于高可靠性要求的旁路应用环境
必须支持服务器负载均衡，要求支持轮流、加权最少、权重轮流、最少连接等算法，要求能够采用至少两种方法主动探测服务器的存活状态，功能截图证明
★支持802.11B,802.11G协议，支持设备作为WiFi热点（即AP），为客户机提供无线安全接入服务，功能截图证明
除本地有线链路接入外，必须可提供至少一种其他媒介的灾备链路接入方案支持，如3G广域网，提供功能实现功能截图证明。对甲方提供的以上一种或多种灾备链路承诺提供接入方案开发服务
★支持CDMA2000和WCDMA协议下的3G功能
★支持虚拟防火墙技术，每个虚拟系统权限管理、策略配置完全独立，至少可划分25个虚拟防火墙系统
支持根据连接数对IP进行实时排行，提供功能截图证明
支持会话临时阻断功能，提供功能截图证明
★安全厂商CVE漏洞发现数超过90个，请给出漏洞发现列表（CVE编号，漏洞描述）及证明方法并加盖公章
支持基于源/目的地址、接口、Metric、服务的策略路由
必须支持多出口环境下的复杂策略路由，策略路由条数200条以上，提供真实环境界面截图
可支持多出口路由情况下的默认路由备份、负载均衡
必须支持基于链路探测的链路备份功能，探测间隔可自定义，在禁止ICMP协议的情况下也可探测链路网关状态，请说明探测方式，提供功能设置功能截图证明
★必须支持IPv4和IPv6双栈协议下的入侵检测与防护，功能截图证明

启明星辰USG产品培训

14
三、安装及配置
2.产品安装步骤
– 硬件安装
（设备上架、布线、加电、配置、调试）
– 软件安装
（安装SQL Server/MSDE 数据库，安装天清集中管理与数据分析中心）
15
三、安装及配置
3.产品登录
• Web管理方式 – 使用IE等浏览器通过HTTP或者HTTPS方式管理和访问设备
16
三、安装及配置
USG产品培训
—山东分公司
启明星辰介绍
留学生创立（1996）国内最早的网络安全高科技企业之一多项自主知识产权
立足本土、面向国际
承担最多的国家科研项目
承担过国内最大的“网络安全保障工程”
2010年6月成功上市
2
启明星辰介绍
目标和宗旨：成为国际一流的TSP
TSP
Trusted Security
33
地址转换：源NAT
• • • • 在出口作地址转换只改变源IP和源端口主要用作内网对公网的访问支持根据不同的数据流转换到相应的地址池（策略NAT） • 只能从内部发起
转换后
目标IP 不变目标端口不变源IP 改变源端口改变类型源地址转换目标IP 公网
出口
DMZ
Internet
14
防病毒双引擎
安天&卡巴斯基
改进功能5
USG2640概述（1）
• USG2640产品特色 • 技术全面化
– – – – – – – 虚拟防火墙；链路聚合TRUNK； VRRP； BGP； ISP； IPV6；卡巴斯基防病毒
• 增强与完善
– – – – – – – – – – – – – IGMP SNOOPING；端口状态同步； HA备机可管理；双系统；多配置文件保存；日志合并； DNAT自动映射；策略保障带宽、接口带宽； IPSec配置向导、多模式、多链路、国密算法； SSLVPN代理优化、登录信息；配置向导；反向路径检查；系统资源监控；

天清汉马USG-FW系列_快速安装指南

本手册的版权归启明星辰公司所有。

未得到启明星辰公司书面许可，任何人不得以任何方式或形式对本手册内的任何部分进行复制、摘录、备份、修改、传播、翻译成其他语言、将其部分或全部用于商业用途。

免责声明本手册依据现有信息制作，其内容如有更改，恕不另行通知。

启明星辰公司在编写该手册的时候已尽最大努力保证其内容准确可靠，但启明星辰公司不对本手册中的遗漏、不准确或错误导致的损失和损害承担责任。

User’s Manual Copyright and DisclaimerCopyrightCopyright Venus Info Security Inc. All rights reserved.The copyright of this document is owned by Venus Info Security Inc. Without the prior written permission obtained from Venus Info Security Inc., this document shall not be reproduced and excerpted in any form or by any means, stored in a retrieval system, modified, distributed and translated into other languages, applied for a commercial purpose in whole or in part. DisclaimerThis document and the information contained herein is provided on an “AS IS”basis. Venus Info Security Inc. may make improvement or changes in this document, at any time and without notice and as it sees fit. The information in this document was prepared by Venus Info Tech Inc. with reasonable care and is believed to be accurate. However, Venus Info Security Inc. shall not assume responsibility for losses or damages resulting from any omissions, inaccuracies, or errors contained herein.副本发布声明启明星辰公司的USG产品正常运行时，包含3款GPL协议的软件（linux、zebra、OpenLDAP）。

启明星辰 waf参数

技术参数及要求#1）提供标准机架式W AF硬件设备而非软件W AF;专业性WEB应用防火墙设备，而非NGAF、NGFW、UTM设备;吞吐率≥1000M，最大HTTP吞吐量≥500M，设备最大HTTP 并发连接数≥200万;2）提供1个10/100M管理接口、1个10/100/1000M HA口，4个10/100/1000M以太网网口、4个SFP接口。

端口总数应支持≥10个，提供≥2 路BYPASS；3）支持NAT环境下的用户识别能力,能够针对基于HTTP/HTTPS协议的蠕虫攻击、木马后门、间谍软件、灰色软件、网络钓鱼等行为进行检测与防护。

4）支持HTTPS应用防护能力、支持SQL注入攻击的检测与防御能力，专利级别防护能力、支持XSS攻击的检测与防御能力，专利级别防护能力；5）支持HTTP协议详细字段分析能力同时支持自学习功能；6）支持爬虫检测检测与防御能力、应具备CGI扫描检测与防御能力、应具备漏洞扫描检测与防御能力；7）内置Web应用防护事件库，并提供定期升级，能够针对最新及热点Web攻击事件进行快速响应、8）支持SYN Flood/UDP Flood/ICMP Flood攻击检测与防御能力；9）支持XML DoS检测与防御能力、支持HTTP Flood（CC攻击）检测与防御能力;10）支持CSRF攻击检测与防御能力，CSRF支持自学习功能、支持WebShell检测与防御能力；11）支持基于URL的应用层访问控制功能、支持针对HTTP的请求头信息进行合规性检查、支持针对指定的URL页面，对HTTP请求信息中的方法以及参数长度等信息进行检测、支持Web服务器操作系统指纹信息返回保护、支持Web服务器信息返回保护、支持HTTP错误页面信息返回保护；12）支持银行卡信息返回保护；13）支持身份证信息返回保护支持Web表单关键字过滤功能；14）支持针对重点URL的网页防篡改功能，同时不会对Web服务器及Web应用系统造成额外影响;15）支持基于URL的流量控制功能、应支持获取Web安全事件的原始攻击信息、支持针对Web应用连接状况和流量信息的实时监控;16）具备多设备拓扑显示功能，可以在界面上以图形化的方式显示当前的部署拓扑;17）提供冗余电源;18）提供Web应用防护事件库5年定期与应急升级。

天清汉马USG-FW-P系列防火墙技术白皮书V

天清汉马USG-FW-P系列防火墙技术白皮书二零一三年十月目录1概述12天清汉马USG防火墙产品特点与技术优势62.1智能的VSP通用安全平台62.2高效的USE统一安全引擎82.3高可靠的MRP多重冗余协议92.4完备的关联安全标准162.5基于应用的内容识别控制142.5.1智能匹配技术152.5.2多线程扫描技术152.5.3应用感控技术152.6精确细致的WEB过滤技术162.7可信架构主动云防御技术错误!未定义书签。

2.8IP V6包状态过滤技术183天清汉马USG防火墙产品主要功能214典型组网274.1政府行业274.1.1电子政务网274.1.2政府专网284.2教育行业304.2.1高教校园网304.2.2中/基教教育城域网314.3企业市场324.3.1中小企业324.3.2大型企业331概述诞生20多年来，网络已经在全球经济中扎根发芽，蓬勃成长为参天大树，对各个行业的发展起着举足轻重的作用。

随着时间的推移，网络的安全问题也日益严重，在开放的网络环境中，网络边界安全成为网络安全的重要组成部分。

在网络安全的术语里，有一个名词叫做“安全域”，其主要作用就是将网络按照业务、保护等级、行为等方面划分出不同的边界，定义出各自的安全领域。

举个简单的例子，在PC上安装了相关的杀毒软件，PC本身就是一个最简单的安全域。

对于单位用户，安全域往往由若干网络设备和用户主机构成，其边界安全主要在于与互联网的边界、与其他业务网络的边界等。

防火墙是解决网络边界安全的重要设备，它主要工作在网络层之下，通过对协议、地址和服务端口的识别和控制达到防范入侵的目的，可以有效的防范基于业务端口的攻击。

天清汉马USG防火墙是北京启明星辰信息安全技术有限公司凭借在信息安全领域多年的经验积累，总结分析用户的切身需求，推出新一代的P系列防火墙产品。

天清汉马USG防火墙采用高性能的硬件架构和一体化的软件设计，除了实现了状态检测防火墙功能，还同时支持VPN、上网行为管理、抗拒绝服务攻击（Anti-DoS）、内容过滤、AV、入侵防御等多种安全技术，同时全面支持QoS、高可用性（HA）、日志审计等功能，为网络边界提供了全面实时的安全防护。

启明星辰入侵检测设备配置文档

启明星辰入侵检测设备配置说明天阗NT600-TC-BRP第1章设备概述与工作流程介绍1.1设备概述入侵检测设备是一个典型的"窥探设备"。

它不跨接多个物理网段（通常只有一个监听端口），无须转发任何流量，而只需要在网络上被动的、无声息的收集它所关心的报文即可。

对收集来的报文，入侵检测设备提取相应的流量统计特征值，并利用内置的入侵知识库，与这些流量特征进行智能分析比较匹配。

根据预设的阀值，匹配耦合度较高的报文流量将被认为是进攻，入侵检测系统将根据相应的配置进行报警或进行有限度的反击。

不同于防火墙，IDS入侵检测设备是一个监听设备，没有跨接在任何链路上，无须网络流量流经它便可以工作。

因此，对IDS的部署，唯一的要求是：IDS应当挂接在所有所关注流量都必须流经的链路上。

典型拓扑：1.2 IDS工作流程介绍入侵检测系统的工作流程大致分为以下几个步骤：1.信息收集入侵检测的第一步是信息收集，内容包括网络流量的内容、用户连接活动的状态和行为。

2.信号分析对上述收集到的信息，一般通过三种技术手段进行分析：模式匹配，统计分析和完整性分析。

其中前两种方法用于实时的入侵检测，而完整性分析则用于事后分析。

具体的技术形式如下所述：1).模式匹配，模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较，从而发现违背安全策略的行为。

2).统计分析，分析方法首先给信息对象（如用户、连接、文件、目录和设备等）创建一个统计描述，统计正常使用时的一些测量属性（如访问次数、操作失败次数和延时等）。

测量属性的平均值将被用来与网络、系统的行为进行比较，任何观察值在正常偏差之外时，就认为有入侵发生。

3).完整性分析，完整性分析主要关注某个文件或对象是否被更改，包括文件和目录的内容及属性，它在发现被更改的、被特络伊化的应用程序方面特别有效。

完整性分析利用强有力的加密机制，称为消息摘要函数（例如MD5），能识别及其微小的变化。

启明星辰产品简介

硬件
产品型号按流量划分
分为百兆、千兆等
通过旁路监听方式采集网络数据；针对违规行为（非技术类型的攻击）的细粒度检测；安全事件发生后，确定责任；
【政策要求】涉密系统、等级保护三级以上系统必须配备。
【故事】国内某运营商，黑客从某省利用已经废弃的帐号进入，并且跳转到北京，之后入侵充值卡数据库，修改相关信息，并且在淘宝上贩卖，最后被抓获，造成数百万的损失。使用审计产品就可以确定黑客从哪里进入、对系统、数据库做了什么操作。
满足SOX要求;
支持按功能定制。
天玥四
硬件
产品型号按用户数与管理的资源划分
为运维人员使用；
统一身份认证；
运维系统（操作系统、交换机、数据库、应用）的单点登录（每天开机后仅需输入一次用户名密码）；
满足SOX要求。
SOC泰合平台
软件
产品型号按用户数与管理的资源划分
基于信息安全管理的操作、监控平台；
信息安全工作（技术、管理、培训）的唯一界面；
内网管理（终端管理/桌面管理）
软件
产品型号按IP数量划分
通过在每台PC上安装代理程序的方式实现功能；
监视、记录PC用户所有行为；
通过策略控制PC用户行为；
自动系统补丁分发；
不符合安全规定的PC无法接入网络；
涉密系统、等级保护三级以上系统必须配备。
漏洞扫描
硬件、软件
产品型号按IP数量划分
通过漏洞扫描服务器（或者是漏洞扫描硬件设备）对网络中的各类设备进行检察，发现设备中的安全漏洞；
全面监控网络安全状况，实时了解与预测网络整体安全形势与趋势；
从技术、市场、国家认可等各角度来说都是国内名副其实的第一名；
涉密系统、等级保护二级以上系统必须配备。

启明星辰堡垒主机招标参数

支持以首页中的设备为基准，支持直接查询该设备的所有审计信息
目标设备分组展示
用户登录堡垒机后可在首页分组显示该用户有权限管理的目标设备，分组依据应支持按部门、按设备类型、按业务类型分组
账号维护
支持批量导入用户帐号信息；
设备维护
支持批量导入目标设备信息；
功能要求
★支持的协议
字符型远程操作协议：SSH(V1、V2)、TELNET；
安全扫描
应能对IP地址段进行安全扫描，识别出该IP地址段内开放的应用类型、服务、端口等信息，掌握该IP地址段的安全风险。
操作行为记录
RDP、VNC、HTTP、HTTPS等协议审计内容：包括访问起始和终止时间、用户名、用户IP地址、目标设备IP、设备名称、协议/应用类型、事件等级、操作内容等；支持操作内容录像回放。
图形化远程操作协议：RDP、VNC、X11；
文件传输协议：FTP、SFTP；
支持Oracle、MS SQL Server、IBM DB2、Sybase、IBM Informix Dynamic Server、MySQL、PostgreSQL等数据库
支持HTTP、HTTPS操作审计
பைடு நூலகம்应用发布
可通过应用发布的方式进行协议扩展，无需定制即可支持其他通用及专有的运维客户端程序。
数据库运维操作审计内容：包括访问起始和终止时间、用户名、用户IP地址、目标设备IP、设备名称、应用类型、事件等级、操作内容等；支持操作内容录像回放。
文件操作审计内容：包括访问起始和终止时间、用户名、用户IP地址、目标设备IP、设备名称、协议类型、事件等级、操作内容（如对文件的上传、下载、删除、修改等操作等）；
基本要求
产品架构
软硬件一体化产品。

启明星辰安全网关USG-策略路由

5.策略路由文档修改记录目录5. 策略路由 (1)文档修改记录 (1)目录 (2)5.1 策略路由配置范例： (3)5.1.1 客户需求： (3)5.1.2 环境拓扑： (3)5.1.3 配置思路： (3)5.1.4 网关设备配置步骤： (4)本节介绍网关设备策略路由的应用范例。

5.1策略路由配置范例：5.1.1客户需求：客户在出口部署网关设备，配置了联通和电信两个ISP接入点访问Internet网络，并且要求内网用户PC需要通过联通（ISP1）上网，内部服务器通过电信（ISP2）提供服务。

5.1.2环境拓扑：10.1.1.14/24 5.1.3配置思路：1.网关设备接口IP地址配置如下：⏹eth1接口IP地址：200.1.1.2/24。

⏹eth2接口IP地址：201.1.1.2/24。

⏹eth3接口IP地址：10.1.1.10/242.配置内部服务器配置IP地址映射，将内部服务器地址（名称vip的IP地址10.1.1.14/24）转换为外部接口IP地址（201.1.1.2/24），保护内部服务器。

3.根据联通和电信提供的接入IP地址，配置网关设备默认路由，保证出口设备能够接入Internet。

4.根据需求分别针内部主机和服务器配置策略路由规则，并引用相依策略路由表。

5.根据用户具体环境要求，配置网关设备安全策略，保证用户使用的IP地址和访问服务允许通过。

注：网关设备路由匹配顺序：策略路由、ISP路由、直连路由、静态路由、动态路由和默认路由。

5.1.4网关设备配置步骤：1.配置网关设备接口，选择网络管理>网络接口>物理接口，配置网关设备物理接口eth1、eth2和eth3，并启用。

2.配置IP映射，保证外网用户可以访问内部服务器。

选择网关设备>策略>NAT策略>IP映射，IP映射NA T策略。

注：内部地址名称vip为手动建立的IP地址（10.1.1.14/24）。

3.配置默认路由。