NGFW4000防火墙系列白皮书

网络卫士防火墙系统

NGFW4000系列

产品说明

天融信

TOPSEC® 北京市海淀区上地东路1号华控大厦 100085

电话：+8610-82776666

传真：+8610-82776677

服务热线：+8610-8008105119

版权声明 本手册的所有内容，其版权属于北京天融信公司（以下简称天融信）所有，未经天融信许可，任何人不得仿制、拷贝、转译或任意引用。本手册没有任何形式的担保、立场倾向或其他暗示。

若因本手册或其所提到的任何信息引起的直接或间接的资料流失、利益损失，天融信及其员工恕不承担任何责任。本手册所提到的产品规格及资讯仅供参考，有关内容可能会随时更新，天融信恕不承担另行通知之义务。

版权所有不得翻印© 1995-2006天融信公司

商标声明 本手册中所谈及的产品名称仅做识别之用，而这些名称可能属于其他公司的注册商标或是版权，其他提到的商标，均属各该商标注册人所有，恕不逐一列明。

TopSEC®天融信

信息反馈

NGFW 4000系列产品说明

目录

1产品概述 (2)

2产品特点 (2)

3产品功能 (8)

4运行环境 (13)

5产品规格 (14)

6典型应用 (15)

6.1典型应用一：在企业、政府纵向网络中的应用 (15)

6.2典型应用二：在企业、政府内部局域网络中的应用 (16)

6.3典型应用四：在大型网络中的应用 (17)

6.4典型应用五：防火墙作为负载均衡器 (17)

6.5典型应用六：防火墙接口备份 (18)

1产品概述

十几年来，天融信专注于信息安全，第一家开发出自主防火墙系统，第一家提出TOPSEC联动技术体系。网络卫士防火墙历经了包过滤、应用代理、核检测等技术阶段，目前已进入以自主安全操作系统TOS（Topsec Operating System）为基础，以完全内容检测为标志的技术阶段，集成了防火墙、VPN、带宽管理、防病毒、入侵防御、内容过滤等多种安全功能。网络卫士防火墙系列在政府、银行、电力、军工、电信、税务、教育、能源、交通等行业中广泛应用，全国20,000多网络和业务在其保护下平稳运行。

天融信基于多年的技术积累和用户信赖，连续多年蝉联国内第一防火墙品牌。网络卫士防火系列市场占有量巨大，它保护的网络遍布在祖国大江南北，并已走出国门在一些全球性的业务网络上成功实施，为广大用户的信息安全建设立下了汗马功劳。

NGFW4000系列属于网络卫士系列防火墙的中高端产品，特别适用于网络结构复杂、应用丰富、高带宽、大流量的大中型企业骨干级网络环境。

2产品特点

z自主安全操作系统平台

采用自主知识产权的安全操作系统 — TOS（Topsec Operating System），TOS拥有优秀的模块化设计架构，有效保障了防火墙、VPN、防病毒、内容过滤、抗攻击、流量整形等模块的优异性能，其良好的扩展性为未来迅速扩展更多特性提供了无限可能。

TOS具有具有高安全性、高可靠性、高实时性、高扩展性及多体系结构平台适应性的特点。

z CleanVPN服务

企业对VPN应用越来越普及，但是当企业员工或合作伙伴通过各种VPN远程访问企业网络时，病毒、蠕虫、木马、恶意代码等有害数据有可能通过VPN隧道从远程PC或网络传递进来，这种威胁的传播方式极具隐蔽性，很难防范。

同时具备防火墙、VPN、防病毒和内容过滤等功能，并且各功能相互融合，能够对VPN 数据进行检查，拦截病毒、蠕虫、木马、恶意代码等有害数据，彻底保证了VPN通信的安全，为用户提供放心的CleanVPN服务。

z完全内容检测CCI

内容检测技术发展至今，大致经历了三个阶段，从早期的状态检测（Status Inspection）到后来的深度包检测（Deep Packet Inspection），现在已经发展到了最新的完全内容检测（CCI，Complete Content Inspection）。状态检测只检查数据包的包头，深度包检测可对数据包内容进行检查，而CCI则可实时将网络层数据还原为完整的应用层对象（如文件、网页、邮件等），并对这些完整内容进行全面检查，实现彻底的内容防护。

在MAC层提供基于MAC地址的过滤控制能力，同时支持对各种二层协议的过滤功能；

在网络层和传输层提供基于状态检测的分组过滤，可以根据网络地址、网络协议以及TCP 、UDP 端口进行过滤，并进行完整的协议状态分析；在应用层通过深度内容检测机制，可以对高层应用协议命令、访问路径、内容、访问的文件资源、关键字、移动代码等实现内容安全控制；同时还直接支持丰富的第三方认证，提供用户级的认证和授权控制。网络卫士系列防火墙的多级过滤形成了立体的、全面的访问控制机制，实现了全方位的安全控制。

z独特的安全策略体系

采用面向资源的防火墙策略体系。通过建立独立的防火区域，以及中央管理接口、管理端口协议、节点对象、子网对象的应用，可以实现层次分明而又立体化的策略机制，制

定灵活安全的通信策略和访问策略，策略配置简单，且易于维护，可以方便地定义各种粒度的安全规则。

z超强的防御功能

高级的Intelligent Guard技术提供了强大的入侵防护功能，能抵御常见的各种攻击，包括Syn Flood、Smurf、Targa3、Syn Attack、ICMP flood、Ping of death、Ping Sweep、Land attack、Tear drop attack、IP address sweep option、Filter IP source route option、Syn fragments、No flags in TCP、ICMP碎片、大包ICMP攻击、不明协议攻击、IP欺骗、IP security options、IP source route、IP record route 、IP bad options、IP碎片、端口扫描等几十种攻击，网络卫士系列防火墙不但有内置的攻击检测能力，还可以和IDS产品 实现联动。这不但提高了安全性，而且保证了高性能。

z强大的应用代理模块

具有透明应用代理功能，支持FTP、HTTP、TELNET、PING、SSH、FTP—DATA、SMTP、WINS、TACACS、DNS、TFTP、POP3、RTELNET、SQLSERV、NNTP、IMAP、SNMP、NETBIOS、DNS、IPSEC—ISAKMP、RLOGIN、DHCP、RTSP、MS-SQL-（S、M、R）、RADIUS-1645、PPTP、SQLNET —1521、SQLNET—1525、H.323、MSN、CVSSERVER、MS-THEATER、MYSQL、QQ、SECURID（TCP、UDP）PCANYWHERE、IGMP、GRE、PPPOE、IPV6等协议，可以实现文件级过滤。

z丰富的AAA功能，支持会话认证

网络卫士系列防火墙支持对网络用户提供丰富的安全身份认证，如一次性口令（OTP）、S/KEY、RADIUS 、TACACS、LDAP、secuid 、域认证及数字证书等常用的安全认证方法，也可以使用专用的认证客户端软件进行认证。基于用户的安全策略更灵活、更广泛地实现了用户鉴别和用户授权的控制，并提供了丰富的安全日志来记录用户的安全事件。

网络卫士系列防火墙支持会话认证功能，即当开始一个新会话时，需要先通过认证才能建立会话。这个功能可大大提高应用访问的安全性，实现更细粒度的访问控制。