网神SecGate 3600防火墙核心级产品白皮书

产品白皮书网神SIS 3600安全隔离与信息交换系统本文档解释权归网神信息技术（北京）股份有限公司安全网关中心产品部所有●版权声明Copyright © 2006-2013 网神信息技术（北京）股份有限公司（“网神”）版权所有，侵权必究。

未经网神书面同意，任何人、任何组织不得以任何方式擅自拷贝、发行、传播或引用本文档的任何内容。

●文档信息文档名称网神SecSIS 3600安全隔离与信息交换系统产品白皮书文档版本号V7.0.13.1扩散范围销售/售前/客服/渠道商/用户作者黄熙日期2013/09初审人复审人●版本变更记录时间版本说明作者2012.11 V6.0.12.1 增加G1500-E026M、G9000-E046M、王起立G9000-E246M三个新型号2013.03 V6.0.12.2新增SSL通道、socks代理等功能黄熙2013.09 V7.0.13.1 新增IPV6功能黄熙目录1产品概述 (4)2产品特点 (4)3主要功能 (7)4 产品型号与指标 (14)5 产品资质 (16)5.1 产品资质 (16)5.2 产品荣誉 (16)1产品概述网神SecSIS 3600 安全隔离与信息交换系统能够有效实现内外网络的安全隔离，数据只能以专有数据块方式静态地在内外网络间进行“摆渡”，从而切断了内外网络之间的所有直接连接，保证内外网数据能够安全、可靠地交换。

该系统可广泛应用于政府、企业、军队、电力等需要实施网络安全隔离和数据交换的场合。

2产品特点➢安全高效的体系架构：网神SecSIS 3600安全隔离与信息交换系统采用“2+1”模块结构设计，即包括外网主机模块、内网主机模块和隔离交换模块。

内、外网主机模块具有独立运算单元和存储单元，分别连接可信及不可信网络，对访问请求进行预处理，以实现安全应用数据的剥离。

隔离交换模块采用专用的双通道隔离交换卡实现，通过内嵌的安全芯片完成内外网主机模块间安全的数据交换。

网神SecSIS 3600安全隔离与信息交换系统技术白皮书网御神州科技（北京）有限公司网御神州科技（北京）有限公司目录1 概述 (1)2 产品简介 (2)2.1工作原理 (2)2.2产品组成 (3)3 系统功能详述 (3)3.1丰富的应用模块 (3)3.2访问控制 (3)3.3地址绑定 (4)3.4内容检查 (4)3.5高安全的文件交换 (4)3.6内置的数据库同步模块 (4)3.7高可用设计 (5)3.8轻松的管理 (5)3.9传输方向控制 (5)3.10协议分析能力 (5)3.11完善的安全审计 (5)3.12强大的抗攻击能力 (6)3.13多样化的身份认证 (6)3.14负载均衡解决方案 (6)4 产品技术优势 (6)5 典型应用 (7)5.1安全邮件收发解决方案 (7)5.2数据库安全同步解决方案 (8)5.3安全网络访问解决方案 (9)网御神州科技（北京）有限公司1 概述随着网络技术的不断应用和完善，Internet正在越来越多地渗透到社会的各个方面。

一方面，企业上网、电子商务、远程教育、远程医疗等一系列网络应用蓬勃发展，人们的日常生活与网络的关系日益密切；另一方面，网络用户组成越来越多样化，出于各种目的的网络入侵和攻击越来越频繁。

人们在享受互联网所带来的丰富、便捷的信息同时，也日益感受到频繁的网络攻击、病毒泛滥、非授权访问、信息泄密等问题所带来的困扰。

传统的安全产品可以以不同的方式满足我们保护数据和网络安全的需要，但不可能完全解决网络间信息的安全交换问题，因为各种安全技术都有其局限性。

为保护重要内部系统的安全，2000年1月，国家保密局发布实施《计算机信息系统国际互联网保密管理规定》，明确要求：“涉及国家秘密的计算机信息系统，不得直接或间接地与国际互联网或其他公共信息网络相连，必须实行物理隔离。

” 中共中央办公厅2002年第17号文件《国家信息化领导小组关于我国电子政务建设指导意见》也明确强调：“政务内网和政务外网之间物理隔离，政务外网与互联网之间逻辑隔离。

技术白皮书网神SecGate 3600防火墙本文档解释权归网神信息技术（北京）股份有限公司安全网关中心产品部所有●版权声明Copyright © 2006-2013 网神信息技术（北京）股份有限公司（“网神”）版权所有，侵权必究。

未经网神书面同意，任何人、任何组织不得以任何方式擅自拷贝、发行、传播或引用本文档的任何内容。

●文档信息●版本变更记录目录1产品概述 (4)2产品功能说明 (4)2.1自适应的网络接入模式 (4)2.2完善的状态包过滤 (5)2.3全面的NAT地址转换 (5)2.4全面灵活的连接限制 (6)2.5病毒过滤 (6)2.6邮件过滤 (7)2.7VPN功能 (7)2.8强大的抗攻击能力 (8)2.9Web过滤 (9)2.10用户认证 (9)2.11与IDS联动 (10)2.12入侵防御IPS (10)2.13双机热备和高可用性HA (11)2.14全面的系统监控 (11)2.15丰富、安全的管理方式 (11)2.16分级权限的安全管理 (12)2.17完善的系统升级 (12)2.18系统配置的导入导出 (12)3产品技术优势 (13)3.1领先的SecOS安全协议栈 (13)3.2深度的网络行为关联分析 (13)3.3高效准确的网络杀毒、反垃圾邮件 (13)3.4主动的IPS攻击防护 (14)3.5灵活的网络拓扑自适应性 (14)4典型应用 (14)4.1拓扑一：网络出口综合安全防范 (14)4.2拓扑二：透明接入保护核心服务器 (15)4.3拓扑三、混合部署模式 (16)1产品概述网神SecGate 3600防火墙（简称:“网神防火墙）是基于完全自主研发、经受市场检验的成熟稳定SecOS操作系统, 并且在专业防火墙、VPN、IPS、IDS、防毒墙的多年产品经验积累基础上精心研发的, 专门为政府、军队分支机构、教育、大型企业的分支机构，中小型企业的互联网出口打造的集防火墙、防病毒、抗攻击、VPN、内容过滤、行为管理、IPS、带宽管理、用户认证等多项安全技术于一身的主动防御综合防火墙系统。

网神SecIPS 3600入侵防御系统产品白皮书
1 产品概述
网神SecIPS 3600基于先进的体系架构和深度协议分析技术，结合协议异常检测、状态检测、关联分析等手段，针对蠕虫、间谍软件、病毒、垃圾邮件、DoS攻击、网络资源滥用等危害网络安全的行为，采取主动防御措施，实时阻断网络流量中的恶意攻击，确保信息网络的运行安全。

2 产品特点
⏹灵活的部署方式。

网神SecIPS 3600支持IDS（旁路接入）、学习模式（串接，检测而
不防御）、连通优先、防御优先等四种工作模式，部署灵活方便，极大提高了产品的可用性。

⏹准确的攻击阻断。

网神SecIPS 3600融合了基于状态的模式匹配、基于协议的解码分
析、基于行为异常的检测、基于漏洞存在的检测、被动的操作系统及应用指纹识别、智能IP重组、蠕虫检测与隔离等新一代的检测分析技术，配合优秀的签名库，能够准确识别并实时阻断各种恶意攻击，确保网络安全可靠。

⏹丰富的管理和报表功能。

网神SecIPS 3600支持对多台探测器的集中管理（策略下发、
组件监控、事件收集等），提供多达40余种的统计报表模版，向导式的自定义报表，组建间加密通信，极大方便用户的使用，减少管理工作量。

3 主要功能
4 产品型号与技术指标
5 产品形态
6 产品资质
公安部销售许可证。

网神SecSSL 3600安全接入网关系统产品白皮书网御神州科技（北京）有限公司目录1 产品概述 (3)2 产品特点 (3)3 产品功能 (7)4 产品型号及指标 (12)4.1 SSLVPN主机系统介绍 (12)4.2 SSLVPN辅件介绍 (17)5 产品资质与荣誉 (18)1 产品概述网神SecSSL 3600系列安全接入网关系统是网御神州推出的基于SSL协议标准全新架构的SSL VPN产品，是为企/事业单位提供安全、方便及高效的远程及内网安全接入方案。

通过对接入受控网络的主机进行全面的安全状态检查和修复，再加上细粒度的动态授权机制，SecSSL 3600确保接入用户的主机环境符合企业的安全策略要求。

系统也能够在用户访问结束后，根据安全策略的设置清除遗留在远程主机本地的数据，真正做到了“零”痕迹。

利用创新的智能终端识别和链路质量侦测技术，SecSSL 3600允许用户利用各种不同的移动计算终端快速地接入受控网络。

SecSSL 3600确保用户可以利用任意平台，随时随地安全及快速的访问内部资源，是目前企/事业单位远程及内网安全网络接入的最佳选择。

网神SecSSL 3600系列安全接入网关系统针对的应用环境包括（但不局限于）下列描述：●电子商务交易平台●电子政务应用系统●ERP 、CRM、SCM、OA、财务、人力资源、物流管理等应用系统●MySQL、SQL Server、Oracle等各种数据库系统●网上银行●网络图书馆的远程安全接入和访问●电子邮件系统●协同设计系统●关键内部业务应用系统等2 产品特点●无客户端软件采用无客户端软件的解决方案，用户只需通过浏览器即可实现远程访问服务。

由于SSL VPN 使用了已嵌入于一般浏览器中的SSL协议，从而使管理员无需为终端用户提供软件安装、维护及策略定制的服务，仅需在VPN网关上设置用户访问权限即可。

●不改变用户使用习惯每个企业都根据自身的实际需要定制开发了一些应用系统，或者部署了一些服务来满足自己的需要，例如，使用Outlook的日历安排功能安排会议，为不同分支机构的IC设计工程师部署集中的Terminal Server以共享设计仿真资源等。

●版权声明Copyright © 2006-2011 网神信息技术（北京）股份有限公司（“网神”）版权所有，侵权必究。

未经网神书面同意，任何人、任何组织不得以任何方式擅自拷贝、发行、传播或引用本文档的任何内容。

●文档信息●版本变更记录目录1产品概述 (4)2产品特点 (4)3产品功能 (12)4产品资质................................................................................ 错误!未定义书签。

1产品概述网神SecIPS 3600入侵防御系统（简称：“网神IPS”）将深度内容检测、安全防护、上网行为管理等技术完美地结合在一起。

配合实时更新的入侵攻击特征库，可检测防护3000种以上的网络攻击行为，包括病毒、蠕虫、木马、间谍软件、可疑代码、探测与扫描等各种网络威胁，并具有丰富的上网行为管理，可对P2P、聊天、在线游戏、虚拟通道等内网访问实现细粒度管理控制。

从而，很好地提供了动态、主动、深度的安全防御。

2产品特点网神IPS的完善体系结构包括两大部分：强化安全的专用操作系统和模块化硬件系统。

以下分别介绍这两大部分。

高效的体系结构在平台优化的核心技术方面，主要有以下三个方面。

1）零拷贝技术数据包以Scatter-and-Gather方式主动通过千兆网卡DMA进入内存后就不再拷贝，有效地减少内存存取次数。

2）核心层优化所有报文的解析与比对都由核心层（Kernel）进行，完全不用通过核心层与应用层之多余的转换，因此不用进行内存拷贝，从而有效地减少内存存取次数。

3）硬件特征比对网神特征比对引擎是一款能直接比对特征码格式，引擎比对速度高达4Gbps。

相对于一般只对报文内容进行文字搜索的作法，引擎同时整合了第四层的特征内容，减少了处理器额外比对并且有效降低误判，且支持Wildcard、Distance、Within等等针对P2P/IM等应用程序所需要的操作单元，能高速进行对比并且不会有规则存储导致硬件满载的风险。

目录1产品概述 (2)2产品特点 (2)3主要功能 (4)4产品形态............................................................................... 错误！未定义书签。

5产品资质 (14)1产品概述针对互联网病毒、蠕虫，黑客攻击行为的增多，网神SecIDS 3600 入侵检测系统在监测网络流量的基础上，集成对这些信息的控制和实时响应功能，为用户提供安全检测、流量分析、修正分析、和及时准确的告警功能，帮助安全管理员更好地进行风险分析、全球风险信息预警、系统和网络脆弱性分析，构建安全可靠的信息网络。

2产品特点⏹强大的分析检测能力：采用了先进的入侵检测技术体系，结合了硬件加速信息包捕捉技术、基于状态的应用层协议分析技术和开放的行为描述代码描述技术来探测攻击，使系统能够准确快速地检测各种攻击行为，并显著地提高了系统的性能，能够适应日益复杂的网络环境。

⏹超低的误报率和漏报率：采用TCP/IP数据重组技术、目标SecOS和应用程序识别技术、完整的应用层有限状态追踪、应用层协议分析技术、先进的事件关联分析技术以及多项反IDS逃避技术，提供业界超低的误报率和漏报率。

⏹丰富的统计报表：能够给用户提供丰富的动态图形报表，有超过40种的分析报表模版和向导式的用户自定义报表功能。

⏹良好的可管理性：优化的三层分布式体系架构设计，分级部署，集中控制，全远程智能升级。

能够提供图形化的风险评估、事件显示和资产配置，以及图形化的网络流量状态的实时监控。

⏹基于工作域的管理模式:SecIDS 3600 v4.0采用基于工作域的全新管理模式，用户可以按照传感器部署的位置或组织结构的要求等条件，将整个入侵检测系统划分为不同工作域。

在不同的工作域里，可以根据需要部署不同的组件。

工作域之间可以是平行或上下级的关系，上一级的工作域拥有比下一级工作域更多的管理权限。

系统具有唯一的全局工作域，负责对整个系统进行管理。

技术白皮书网神SecSIS 3600安全隔离与信息交换系统本文档解释权归网神信息技术（北京）股份有限公司产品部所有目录1.产品概述 (3)2.产品原理 (4)3.产品说明 (5)4.产品功能说明 (6)4.1丰富的应用模块 (6)4.2访问控制 (7)4.3地址绑定 (7)4.4内容检查 (7)4.5高安全的文件交换 (8)4.6内置的数据库同步模块 (8)4.7融合加密、认证、授权多安全技术于一身 (9)4.8高可用设计 (9)4.9轻松的管理 (9)4.10传输方向控制 (9)4.11协议分析能力 (9)4.12完善的安全审计 (10)4.13强大的抗攻击能力 (10)4.14多样化的身份认证 (10)4.15负载均衡解决方案 (11)1.产品概述随着网络技术的不断应用和完善，Internet正在越来越多地渗透到社会的各个方面。

一方面，企业上网、电子商务、远程教育、远程医疗等一系列网络应用蓬勃发展，人们的日常生活与网络的关系日益密切；另一方面，网络用户组成越来越多样化，出于各种目的的网络入侵和攻击越来越频繁。

人们在享受互联网所带来的丰富、便捷的信息同时，也日益感受到频繁的网络攻击、病毒泛滥、非授权访问、信息泄密等问题所带来的困扰。

传统的安全产品可以以不同的方式满足我们保护数据和网络安全的需要，但不可能完全解决网络间信息的安全交换问题，因为各种安全技术都有其局限性。

为保护重要内部系统的安全，2000年1月，国家保密局发布实施《计算机信息系统国际互联网保密管理规定》，明确要求：“涉及国家秘密的计算机信息系统，不得直接或间接地与国际互联网或其他公共信息网络相连，必须实行物理隔离。

”中共中央办公厅2002年第17号文件《国家信息化领导小组关于我国电子政务建设指导意见》也明确强调：“政务内网和政务外网之间物理隔离，政务外网与互联网之间逻辑隔离。

”在不同安全等级的网络及系统之间实施安全隔离是一个行之有效的安全保密措施，可切断信息泄漏的途径。

⽹神SecWAF3600Web应⽤防⽕墙系统W5000-U020M型号产品⽩⽪书[V8.5.1]产品⽩⽪书⽹神SecWAF 3600 Web应⽤防⽕墙W5000-U020M本⽂档解释权归⽹神信息技术（北京）股份有限公司安全⽹关中⼼产品部所有●版权声明Copyright ? 2006-2012 ⽹神信息技术（北京）股份有限公司（“⽹神”）版权所有，侵权必究。

未经⽹神书⾯同意，任何⼈、任何组织不得以任何⽅式擅⾃拷贝、发⾏、传播或引⽤本⽂档的任何内容。

●⽂档信息●版本变更记录⽬录1、产品概述 (4)2、产品特点 (4)2.1 ⾼性能 (4)2.2集成领先Web应⽤漏洞检测技术 (4)2.3 多维防护体系 (5)2.4 Cloud云防护模型 (5)2.5 主动防御体系 (6)2.6 ⽹页防篡改 (6)2.7 HA（High Availability） (6)3、产品型号 (7)4、产品功能说明 (7)4.1 产品功能概述 (7)4.2 功能列表 (7)5、性能指标 (10)6、硬件规格 (10)7、产品资质 (11)1、产品概述⽹神SecWAF 3600 Web应⽤防⽕墙系统（⼜名SecWAF应⽤防护系统），以下简称SecWAF，是⾃主知识产权的新⼀代安全产品，作为⽹关设备，防护对象为Web服务器，其设计⽬标为：分别针对安全漏洞、攻击⼿段及最终攻击结果进⾏扫描、防护及诊断，提供综合Web应⽤安全解决⽅案。

⽹神Web安全团队根据常年观察互联⽹⿊客攻击⽅式和⿊客技术，从多年的安全研发经验中总结了⼀套“Web安全防护体系”，⽹神Web安全团队提出了“事前、事中、事后”的事件三部曲防护⽅案。

⾸先，事前评估。

根据⿊客攻击经验，每次⿊客在攻击前都会对⽬标事物进⾏漏洞扫描。

⽹神Web安全团队使⽤⾃主开发的Web扫描器对客户⽹站架构进⾏整体评估，评估客户⽹站在开发过程中，开发⼈员忽视的安全问题。

其次，事中防护。

根据常见对⿊客攻击技术的研究，⽹神Web安全团队做出了⼀套⿊客Web攻击⾏为的特征库，针对⿊客的攻击流量进⾏逐⼀特征匹配，匹配上的流量就是⿊客攻击流量，此时进⾏Web安全过滤然后，事后弥补。

●版权声明Copyright © 2006-2011 网御神州科技（北京）有限公司（“网御神州”）版权所有，侵权必究。

未经网御神州书面同意，任何人、任何组织不得以任何方式擅自拷贝、发行、传播或引用本文档的任何内容。

●文档信息文档名称网神SecSSL 3600安全接入网关产品白皮书文档版本号V6.3.1扩散范围销售/售前/客服/渠道商/用户作者陈蛟日期2011/04/06初审人宋伟复审人王思登●版本变更记录时间版本说明作者目录1产品概述 (4)2产品特点 (4)3产品功能 (5)4产品型号与指标 (10)5产品形态 (11)6产品资质 (14)1产品概述网御神州作为国家密码管理局批准的商用密码产品生产定点单位和销售许可单位，推出了自主研发的网神SecSSL 3600安全接入网关（简称：“网神SSL VPN”）产品。

该系列VPN安全网关采用国家密码管理局指定的加密算法，基于成熟可靠的专用硬件平台，在保证数据通信安全的同时提供了高性能的访问控制能力，可以有效实现数据传输的安全、用户接入的安全和对内网资源的访问安全。

该级别VPN产品已广泛应用于各类小型企业、大型企业/单位分支机构。

网神SSL VPN 安全网关部门级产品是以国际标准SSL协议为基础的、自主研发的、专为企业定制的、基于应用层设计的远程接入产品，网神SSL VPN为企业远程接入提供了最好的解决方案，它使传统的VPN 解决方案得到了升华，能让用户无论在世界的任何地方，只要使用浏览器就能够访问到公司总部的资源，如WINDOWS、LIUIX、UNIX等系统的商业文件和应用程序，而不需要安装任何客户端软件，网神SSL VPN可以集中管理企业内部的应用布置，配置细粒度的访问策略，可以更安全地实现权限控制，可以让不同级别的用户使用不同的应用。

网神SSL VPN 的C/S转B/S功能，让用户能够远程安全使用企业的ERP系统，而无需安全客户端软件，Web代理技术可以让用户访问企业内部的OA，网站或邮件系统，SSO 功能让用户能够安全而方便地使用企业内部资源，从而实现了统一应用，统一管理，网御神州加密的SSL协议可以保护通过因特网的信息、交易、和电子商务的安全，SSL 防止直接的网络连接，与IPSec VPN不同，网神SSL VPN 的基于代理主机的，它通过终止网络边缘的连接而提供一个附加的安全层。

网神SecWAF 3600 Web应用防火墙系统技术白皮书目录1、前言 (4)2、互联网网站面临挑战 (4)2.1 攻击分析 (5)2.1.1 攻击影响 (5)2.1.2 攻击三要素分析 (5)2.1.2.1 攻击手段 (6)2.1.2.2 SQL注入 (6)2.1.2.3 跨站脚本 (6)2.1.2.4 攻击时机 (6)2.1.2.5 攻击动机 (7)2.1.3 攻击发展趋势 (7)2.1.4 防火墙局限 (8)2.1.5 入侵保护系统的不足 (8)3、新兴Web应用防火墙技术 (9)4、网神SecWAF 3600 Web应用防火墙安全解决方案 (9)4.1网站过滤防护解决方案 (9)4.1.1 SecWAF系统特性 (10)4.1.2 集成领先Web应用漏洞扫描检测技术 (11)4.1.3 多维防护体系 (12)4.1.4 专业DDOS防护引擎，让服务器更加安全 (13)4.1.5 Web负载均衡、虚拟主机支持，满足IDC应用、大型网络需要 (13)4.1.6 网页挂马主动诊断 (14)4.1.7 双操作系统、双机HA、可靠性更高 (15)4.1.8 多种部署模式，随机应变用户拓扑变化 (15)4.2 网站防篡改解决方案 (15)4.2.1 实现原理 (17)4.2.2 核心优势描述 (19)4.2.2.1 基于内核驱动保护技术 (19)4.2.2.2 动态网页脚本保护 (19)4.2.2.3 连续篡改攻击保护 (20)4.2.2.4 全方位兼容的安全自动增量发布 (20)4.2.2.5 部署实施操作简单 (20)4.2.2.6 安全传输 (20)4.2.2.7 支持多虚拟目录 (21)4.2.2.8 支持多终端 (21)4.2.2.9 动态防护模块的实现 (21)5、总结 (21)1、前言随着网络与信息技术的发展，尤其是互联网的广泛普及和应用，如电子政务、电子商务、网络办公、网络媒体以及虚拟社区的出现，正深刻影响人类生活、工作的方式。

网神SecSIS 3600安全隔离与信息交换系统技术白皮书网御神州科技（北京）有限公司网御神州科技（北京）有限公司目录1 概述 (1)2 产品简介 (2)2.1工作原理 (2)2.2产品组成 (3)3 系统功能详述 (3)3.1丰富的应用模块 (3)3.2访问控制 (3)3.3地址绑定 (4)3.4内容检查 (4)3.5高安全的文件交换 (4)3.6内置的数据库同步模块 (4)3.7高可用设计 (5)3.8轻松的管理 (5)3.9传输方向控制 (5)3.10协议分析能力 (5)3.11完善的安全审计 (5)3.12强大的抗攻击能力 (6)3.13多样化的身份认证 (6)3.14负载均衡解决方案 (6)4 产品技术优势 (6)5 典型应用 (7)5.1安全邮件收发解决方案 (7)5.2数据库安全同步解决方案 (8)5.3安全网络访问解决方案 (9)网御神州科技（北京）有限公司1 概述随着网络技术的不断应用和完善，Internet正在越来越多地渗透到社会的各个方面。

一方面，企业上网、电子商务、远程教育、远程医疗等一系列网络应用蓬勃发展，人们的日常生活与网络的关系日益密切；另一方面，网络用户组成越来越多样化，出于各种目的的网络入侵和攻击越来越频繁。

人们在享受互联网所带来的丰富、便捷的信息同时，也日益感受到频繁的网络攻击、病毒泛滥、非授权访问、信息泄密等问题所带来的困扰。

传统的安全产品可以以不同的方式满足我们保护数据和网络安全的需要，但不可能完全解决网络间信息的安全交换问题，因为各种安全技术都有其局限性。

为保护重要内部系统的安全，2000年1月，国家保密局发布实施《计算机信息系统国际互联网保密管理规定》，明确要求：“涉及国家秘密的计算机信息系统，不得直接或间接地与国际互联网或其他公共信息网络相连，必须实行物理隔离。

” 中共中央办公厅2002年第17号文件《国家信息化领导小组关于我国电子政务建设指导意见》也明确强调：“政务内网和政务外网之间物理隔离，政务外网与互联网之间逻辑隔离。

网神SecGate3600核心级万兆防火墙产品概述网神SecGate3600防火墙核心级多核产品基于高性能、高稳定性的多核硬件平台和新一代多核并行SecOS安全操作系统，无通用操作系统漏洞，抗攻击能力强；突破了传统单核架构下性能瓶颈，在同时开启防火墙、VPN、IPS、AV、P2P限制等功能时仍能保证稳定性。

实现了在产品性能、功能、稳定性、易升级、易用性管理等方面的全面突破。

该系列产品已广泛应用于政府、金融、电力、教育、税务等行业的核心网络环境。

产品特点●独立安全协议栈：采用自主研发的SecOS，完整实现了状态检测包过滤/应用代理防火墙、入侵检测防护、防病毒、IPSec VPN、SSLVPN、抗DDoS攻击、深度内容检测、带宽管理和流量控制等综合安全网关功能，从而摆脱了通用操作系统束缚，无通用操作系统漏洞，不用被动地追随通用操作系统的升级而升级。

●高性能与高安全的多核架构：多核硬件架构与新一代多核并行安全操作系统SecOS相配合，多个核并行处理，分担数据流量，极大的提升系统性能。

多核并行操作系统可实现驾驭更多核处理器、减少串行比例、降低系统开销，保证同时开启防火墙、VPN、IPS、AV、P2P限制等功能系统依然运行平稳。

●深度内容安全检测：多核间相互分工协作，一部分核进行高速数据转发，并对常见的HTTP/FTP/DNS/TELNET/POP3/SMTP等13种应用协议的预处理；另一部分核实现快速重组数据包还原内容，进行深度安全检测。

从而可以实现大流量下的深度内容检测，完成P2P/IM协议识别与限制、入侵防护、病毒防护等功能。

●贴心的安全助手：系统集成了强大的安全助手，能够根据需要对内网主机、服务、端口、系统及版本进行扫描，实时获取内网状况，并可以根据扫描结果轻松设置对象及安全策略，大大降低了配置、维护的复杂度。

产品资质公安部销售许可证国家信息安全测评信息技术安全产品测评证书EAL1国家信息安全产品认证证书第二级国家保密局涉密信息系统产品检测证书军B+级信息安全产品认证证书计算机软件著作权登记证书网神多核并行安全操作系统软件著作权证书主要功能安全防御能力提供基于状态检测的动态包过滤支持SIP/H.323/H.323网守/FTP//MMS/RTSP/TFTP等动态协议支持双向NAT，支持源地址转换、端口映射、IP映射三种类型的NAT支持IP/MAC地址绑定和自动探测支持新建/并发连接限制，包括保护主机、保护服务、限制主机、限制服务提供透明网关式应用代理，提供HTTP/FTP/TELNET/SMTP/POP3/自定义代理等提供与应用服务无关的用户认证，提供基于Web/Portal的无客户端认证有效抵御各种DoS/DDoS攻击提供全面的内外网实时网络连接监控和实时中断，提供QoS带宽管理VPN 支持标准IPSec VPN，支持基于策略的VPN应用支持基于路由的双VPN隧道备份支持VPN的星型、网状等多种接入方式支持VPN远端状态探测DPD，支持遵守VPN客户端提案方式支持PPTP/L2TP 拨号VPN，支持SSL VPN网络适应能力支持透明/桥接/路由/混合模式支持多纯透明子桥和接口联动支持策略路由、基于服务的策略路由、目的地址路由、源地址路由和多（≥6）路由负载均衡支持动态路由RIPv1/v2和OSPF支持PPPOE协议，提供多（≥3）ADSL接入方式和自动负载均衡支持DHCP服务器/中继/客户端，支持DNS中继深度内容检测支持对URL进行过滤、网页内容过滤、黑名单、白名单，支持关键字导入支持BT/eDonkey/Kazaa等P2P软件限制支持对即时通信软件（MSN、QQ、Skype）限制防MAC欺骗和IP盗用支持病毒和蠕虫过滤支持多家IDS联动支持Web应用协议实时入侵防御阻断，支持IPS特征库升级高可用性能力支持防火墙双机热备支持防火墙多机负载均衡支持端口链路备份和负载均衡支持服务器负载均衡管理审计能力提供SecGateManager防火墙集中管理系统，提供灵活的软件升级方式提供强大的日志管理和日志审计支持防火墙系统的实时监控，支持网络监控及内外网实时连接状态监控支持桥转发表监控，支持界面调试信息导出功能支持配置向导产品型号与指标产品型号X100-8244 X100-8404 产品性能网络处理能力≥20G ≥20G最大并发连接数≥360万≥360万最大VPN隧道数8000 8000接口说明10/100/1000 Base-T 4个4个千兆SFP插槽4个N/A万兆SFP插槽2个4个异步串行管理接口1个1个远程配置管理接口1个1个硬件特征机箱2U 2U电源冗余电源冗余电源注：除指定型号外vpn隧道数需单独购买。

网御神州SecIPS 3600入侵防护系统产品白皮书V1.0 网御神州科技（北京）有限公司版权信息©版权所有2001－2007，网御神州科技（北京）有限公司本文档中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属网御神州科技（北京）有限公司所有，受国家有关产权及版权法保护。

如何个人、机构未经网御神州科技（北京）有限公司的书面授权许可，不得以任何方式复制或引用本文档的任何片段。

商标信息网御神州，Legend，Legendsec等标识及其组合是网御神州科技（北京）有限公司拥有的商标，受商标法和有关国际公约的保护。

第三方信息本文档中所涉及到的产品名称和商标，属于各自公司或组织所有。

网御神州科技有限公司总部（北京）Legendsec Technologies Inc.北京市海淀区上地信息产业基地开拓路7号先锋大厦2段1层100085电话（TEL）：+86(10)62972892传真（FAX）：+86(10)62972896技术热线（Customer Hotline）：400-610-8220(7×24小时)公司网站：目录1前言 (4)2网御神州IPS (5)2.1系统架构 (6)2.2工作模式 (8)2.3主要功能 (10)2.4产品特点 (14)2.4.1高效的硬件体系结构 (14)2.4.2实时的入侵检测防护 (15)2.4.3丰富的上网行为管理 (18)2.4.4强大的抗DoS/DDoS (21)2.4.5动态的异常流量管理 (22)2.4.6精准的带宽管理功能 (24)2.4.7实用的多重冗余功能 (24)2.4.8方便的管理方式 (26)3解决方案 (28)3.1外网防御解决方案 (28)3.2服务器群保护解决方案 (29)3.3上网行为管理解决方案 (29)3.4内外兼具解决方案 (30)1 前言近几年来，随着网络与信息化建设的飞速发展，信息安全问题也越来越广泛，导致用户对安全设备的需求也越来越高。

产品白皮书网神SecAV 3600防火墙本文档解释权归网神信息技术（北京）股份有限公司产品部所有●版权声明Copyright © 2006-2012网神信息技术（北京）股份有限公司（“网神”）版权所有，侵权必究。

未经网神书面同意，任何人、任何组织不得以任何方式擅自拷贝、发行、传播或引用本文档的任何内容。

●文档信息文档名称网神SecAV3600防毒墙产品白皮书文档版本号V8.12.1扩散范围销售/售前/客服/渠道商/用户作者梁雷日期2013/12/05初审人陈华平复审人●版本变更记录时间版本说明作者目录1产品概述 (4)2产品特点 (4)3主要功能 (6)4 产品型号与指标 ............................................................................................... 错误!未定义书签。

5 产品形态 ........................................................................................................... 错误!未定义书签。

6 产品资质 (9)1.产品概述网神SecAV 3600系列防病毒网关是网神推出的基于多核架构的产品，为企/事业单位提供安全、方便及高性能的Internet安全与管控过滤方案。

通过对Web上网、邮件、FTP、IM、P2P、网络游戏和炒股等主流Internet应用的信息安全过滤与管控，配合细粒度的策略，保障企/事业单位安全、高效的Internet应用。

并且，SecAV 3600系列安全防病毒网关为真正的透明接入网关，即插即用，且无需改变现有的网络架构与现有的网络应用，是目前企/事业单位保障上网安全的最佳选择。

2.产品特点●多引擎并行查杀，最大程度确保检测的准确性网神SecAV 3600系列防毒墙主要利用“Malicious Sites过滤引擎”、“深度内容检测（DCI）与特征匹配引擎”和“启发式引擎”三大过滤引擎对进出网络的HTTP、HTTPS、FTP、SMTP、POP3协议流量进行依次的扫描过滤，最大程度的确保检测的准确性，减少漏查和误报。