网神SecGaeGHJ防火墙产品白皮书

网神SecSIS 3600安全隔离与信息交换系统技术白皮书网御神州科技（北京）有限公司网御神州科技（北京）有限公司目录1 概述 (1)2 产品简介 (2)2.1工作原理 (2)2.2产品组成 (3)3 系统功能详述 (3)3.1丰富的应用模块 (3)3.2访问控制 (3)3.3地址绑定 (4)3.4内容检查 (4)3.5高安全的文件交换 (4)3.6内置的数据库同步模块 (4)3.7高可用设计 (5)3.8轻松的管理 (5)3.9传输方向控制 (5)3.10协议分析能力 (5)3.11完善的安全审计 (5)3.12强大的抗攻击能力 (6)3.13多样化的身份认证 (6)3.14负载均衡解决方案 (6)4 产品技术优势 (6)5 典型应用 (7)5.1安全邮件收发解决方案 (7)5.2数据库安全同步解决方案 (8)5.3安全网络访问解决方案 (9)网御神州科技（北京）有限公司1 概述随着网络技术的不断应用和完善，Internet正在越来越多地渗透到社会的各个方面。

一方面，企业上网、电子商务、远程教育、远程医疗等一系列网络应用蓬勃发展，人们的日常生活与网络的关系日益密切；另一方面，网络用户组成越来越多样化，出于各种目的的网络入侵和攻击越来越频繁。

人们在享受互联网所带来的丰富、便捷的信息同时，也日益感受到频繁的网络攻击、病毒泛滥、非授权访问、信息泄密等问题所带来的困扰。

传统的安全产品可以以不同的方式满足我们保护数据和网络安全的需要，但不可能完全解决网络间信息的安全交换问题，因为各种安全技术都有其局限性。

为保护重要内部系统的安全，2000年1月，国家保密局发布实施《计算机信息系统国际互联网保密管理规定》，明确要求：“涉及国家秘密的计算机信息系统，不得直接或间接地与国际互联网或其他公共信息网络相连，必须实行物理隔离。

” 中共中央办公厅2002年第17号文件《国家信息化领导小组关于我国电子政务建设指导意见》也明确强调：“政务内网和政务外网之间物理隔离，政务外网与互联网之间逻辑隔离。

网神SecFox日志收集与分析系统V5.0产品白皮书文档信息文档名称网神SecFox日志收集与分析系统V5.0产品白皮书文档版本号V19.4.1扩散范围销售/售前/用户作者朱保建日期初审人复审人修订人张炜目录1产品概述 (5)2产品特点 (6)2.1高性能的日志采集 (6)2.2智能的事件关联分析 (6)2.3可视化的日志分析统计 (6)2.4合规性审计报表报告 (7)2.5分级部署能力 (7)3主要功能 (7)3.1日志资产管理 (7)3.2日志采集 (7)3.3事件归一化 (8)3.4日志实时监视 (8)3.5日志实时分析和统计 (8)3.6关联分析 (8)3.7告警和响应管理 (8)3.8统计报表 (8)3.9日志备份归档 (9)3.10级联管理 (9)4产品资质 (9)1产品概述为了不断应对新的安全挑战，企业和组织先后部署了防病毒系统、防火墙、入侵检测系统、漏洞扫描系统、UTM，等等。

这些安全系统都仅仅防堵来自某个方面的安全威胁，形成了一个个安全防御孤岛，无法产生协同效应。

更为严重地，这些复杂的IT资源及其安全防御设施在运行过程中不断产生大量的安全日志和事件，安全管理人员面对这些数量巨大、彼此割裂的安全信息，操作着各种产品自身的控制台界面和告警窗口，显得束手无策，工作效率极低，难以发现真正的安全隐患。

另一方面，企业和组织日益迫切的信息系统审计和内控、以及不断增强的业务持续性需求，也对当前日志审计提出了严峻的挑战。

国家信息系统等级保护制度的出台，明确要求二级以上的信息系统必须对网络、主机和应用进行安全审计。

《中华人民共和国网络安全法》已于2017年6月1日起正式实施。

网络安全法正式施行，在网络安全历史上具有里程碑意义，对安全审计提出了新的要求。

企业和组织迫切需要一个全面的、面向企业和组织IT资源（信息系统保护环境）的、集中的安全审计平台及其系统，这个系统能够收集来自企业和组织IT资源中各种设备和应用的安全日志，并进行存储、审计、分析、报警、响应和报告。

技术白皮书网神SecGate 3600防火墙本文档解释权归网神信息技术（北京）股份有限公司安全网关中心产品部所有●版权声明Copyright © 2006-2013 网神信息技术（北京）股份有限公司（“网神”）版权所有，侵权必究。

未经网神书面同意，任何人、任何组织不得以任何方式擅自拷贝、发行、传播或引用本文档的任何内容。

●文档信息●版本变更记录目录1产品概述 (4)2产品功能说明 (4)2.1自适应的网络接入模式 (4)2.2完善的状态包过滤 (5)2.3全面的NAT地址转换 (5)2.4全面灵活的连接限制 (6)2.5病毒过滤 (6)2.6邮件过滤 (7)2.7VPN功能 (7)2.8强大的抗攻击能力 (8)2.9Web过滤 (9)2.10用户认证 (9)2.11与IDS联动 (10)2.12入侵防御IPS (10)2.13双机热备和高可用性HA (11)2.14全面的系统监控 (11)2.15丰富、安全的管理方式 (11)2.16分级权限的安全管理 (12)2.17完善的系统升级 (12)2.18系统配置的导入导出 (12)3产品技术优势 (13)3.1领先的SecOS安全协议栈 (13)3.2深度的网络行为关联分析 (13)3.3高效准确的网络杀毒、反垃圾邮件 (13)3.4主动的IPS攻击防护 (14)3.5灵活的网络拓扑自适应性 (14)4典型应用 (14)4.1拓扑一：网络出口综合安全防范 (14)4.2拓扑二：透明接入保护核心服务器 (15)4.3拓扑三、混合部署模式 (16)1产品概述网神SecGate 3600防火墙（简称:“网神防火墙）是基于完全自主研发、经受市场检验的成熟稳定SecOS操作系统, 并且在专业防火墙、VPN、IPS、IDS、防毒墙的多年产品经验积累基础上精心研发的, 专门为政府、军队分支机构、教育、大型企业的分支机构，中小型企业的互联网出口打造的集防火墙、防病毒、抗攻击、VPN、内容过滤、行为管理、IPS、带宽管理、用户认证等多项安全技术于一身的主动防御综合防火墙系统。

●版权声明Copyright © 2006-2011 网神信息技术（北京）股份有限公司（“网神”）版权所有，侵权必究。

未经网神书面同意，任何人、任何组织不得以任何方式擅自拷贝、发行、传播或引用本文档的任何内容。

●文档信息●版本变更记录目录1产品概述 (4)2产品特点 (4)3产品功能 (6)4产品型号与指标 (11)1产品概述网神SecSIS 3600-AC1000 安全隔离与信息交换系统（简称：“网神网闸”）能够有效实现内外网络的安全隔离，数据只能以专有数据块方式静态地在内外网络间进行“摆渡”，从而切断了内外网络之间的所有直接连接，保证内外网数据能够安全、可靠地交换。

该系统可广泛应用于政府、企业、军队、电力等需要实施网络安全隔离和数据交换的场合。

2产品特点●安全高效的体系架构网神网闸采用“2+1”模块结构设计，即包括外网主机模块、内网主机模块和隔离交换模块。

内、外网主机模块具有独立运算单元和存储单元，分别连接可信及不可信网络，对访问请求进行预处理，以实现安全应用数据的剥离。

隔离交换模块采用专用的双通道隔离交换卡实现，通过内嵌的安全芯片完成内外网主机模块间安全的数据交换。

内外网主机模块间不存在任何网络连接，因此不存在基于网络协议的数据转发。

●专用的隔离交换模块网闸产品核心部件为隔离交换模块，网神网闸隔离交换模块基于专用安全芯片设计，全硬件交换；网神隔离交换模块是业界首家研发并使用高效PCI-AC1000接口的交换模块，此交换模块采用PCI-AC1000 x4通道设计，单向最高带宽大约是10Gbps，消除性能瓶颈；网神隔离交换模块采用双通道通信机制，从可信网到非可信网的数据流与从非可信网到可信网的数据流采用不同的数据通道，对通道的分离控制保证各通道的传输方向可控。

●操作系统安全可靠内外网主机模块采用专用的网神自主研发的多核并行安全加固操作系统SecOS，此系统具备强大的抗攻击能力，内核经过特殊定制，实现强制性访问控制，保护自身进程及文件不被非法篡改和破坏。

网神SecSSL 3600安全接入网关系统产品白皮书网御神州科技（北京）有限公司目录1 产品概述 (3)2 产品特点 (3)3 产品功能 (7)4 产品型号及指标 (11)4.1 SSL VPN主机系统介绍 (11)4.2 SSL VPN辅件介绍 (18)5 产品资质与荣誉 (18)1 产品概述网神SecSSL 3600系列安全接入网关系统是网御神州推出的基于SSL协议标准全新架构的SSL VPN产品，是为企/事业单位提供安全、方便及高效的远程及内网安全接入方案。

通过对接入受控网络的主机进行全面的安全状态检查和修复，再加上细粒度的动态授权机制，SecSSL 3600确保接入用户的主机环境符合企业的安全策略要求。

系统也能够在用户访问结束后，根据安全策略的设置清除遗留在远程主机本地的数据，真正做到了“零”痕迹。

利用创新的智能终端识别和链路质量侦测技术，SecSSL 3600允许用户利用各种不同的移动计算终端快速地接入受控网络。

SecSSL 3600确保用户可以利用任意平台，随时随地安全及快速的访问内部资源，是目前企/事业单位远程及内网安全网络接入的最佳选择。

网神SecSSL 3600系列安全接入网关系统针对的应用环境包括（但不局限于）下列描述：●电子商务交易平台●电子政务应用系统●ERP、CRM、SCM、OA、财务、人力资源、物流管理等应用系统●MySQL、SQL Server、Oracle等各种数据库系统●网上银行●网络图书馆的远程安全接入和访问●电子邮件系统●协同设计系统●关键内部业务应用系统等2 产品特点●无客户端软件采用无客户端软件的解决方案，用户只需通过浏览器即可实现远程访问服务。

由于SSL VPN 使用了已嵌入于一般浏览器中的SSL协议，从而使管理员无需为终端用户提供软件安装、维护及策略定制的服务，仅需在VPN网关上设置用户访问权限即可。

●不改变用户使用习惯每个企业都根据自身的实际需要定制开发了一些应用系统，或者部署了一些服务来满足自己的需要，例如，使用Outlook的日历安排功能安排会议，为不同分支机构的IC设计工程师部署集中的Terminal Server以共享设计仿真资源等。

SecPath 虚拟防火墙技术白皮书关键词：虚拟防火墙MPLS VPN摘要：本文介绍了H3C 公司虚拟防火墙技术和其应用背景。

描述了虚拟防火墙的功能特色，并介绍了H3C 公司具备虚拟防火墙功能的独立防火墙和防火墙插板产品的组网环境应用。

缩略语清单：目录1 概述 (3)1.1 新业务模型产生新需求 (3)1.2 新业务模型下的防火墙部署 (3)1.2.1 传统防火墙的部署缺陷 (3)1.2.2 虚拟防火墙应运而生 (4)2 虚拟防火墙技术 (5)2.1 技术特点 (5)2.2 相关术语 (6)2.3 设备处理流程 (7)2.3.1 根据入接口数据流 (7)2.3.2 根据Vlan ID数据流 (7)2.3.3 根据目的地址数据流 (8)3 典型组网部署方案 (8)3.1 虚拟防火墙在行业专网中的应用 (8)3.1.1 MPLS VPN组网的园区中的虚拟防火墙部署一 (9)3.1.2 MPLS VPN组网的园区中的虚拟防火墙部署二 (10)3.1.3 虚拟防火墙提供对VPE的安全保护 (10)3.2 企业园区网应用 (11)4 总结 (12)1 概述1.1 新业务模型产生新需求目前，跨地域的全国性超大企业集团和机构的业务规模和管理复杂度都在急剧的增加，传统的管理运营模式已经不能适应其业务的发展。

企业信息化成为解决目前业务发展的关键，得到了各企业和机构的相当重视。

现今，国内一些超大企业在信息化建设中投入不断增加，部分已经建立了跨地域的企业专网。

有的企业已经达到甚至超过了IT-CMM3 的级别，开始向IT-CMM4 迈进。

另一方面，随着企业业务规模的不断增大，各业务部门的职能和权责划分也越来越清晰。

各业务部门也初步形成了的相应不同安全级别的安全区域，比如，OA 和数据中心等。

由于SOX 等法案或行政规定的颁布应用，各企业或机构对网络安全的重视程度也在不断增加。

对企业重点安全区域的防护要求越来越迫切。

因此，对企业信息管理人员来说，如何灵活方便的实现企业各业务部门的安全区域划分和安全区域之间有控制的互访成为其非常关注的问题。

网神工业控制安全网关系统产品白皮书©2019奇安信集团■版权声明奇安信集团及其关联公司对其发行的或与合作伙伴共同发行的产品享有版权，本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程描述等内容，除另有特别注明外，所有版权均属奇安信集团及其关联公司所有；受各国版权法及国际版权公约的保护。

对于上述版权内容，任何个人、机构未经奇安信集团或其关联公司的书面授权许可，不得以任何方式复制或引用本文的任何片断；超越合理使用范畴、并未经上述公司书面许可的使用行为，奇安信集团或其关联公司均保留追究法律责任的权利。

网神工业控制安全网关系统产品白皮书目录|Contents一.引言 (1)1.1概述 (1)1.2传统防火墙不适用工业环境 (1)二.网神工业控制安全网关系统 (2)2.1产品概述 (2)2.2产品架构 (2)2.3主要功能 (3)2.3.1四重白名单的一体化纵深防护 (3)2.3.2符合工控网络特点的三段式工作模式 (4)2.3.3基于精准工控协议指令级控制的白名单☆ (4)2.3.4基于工控服务的一体化安全策略配置 (5)2.3.5基于应用层的综合攻击防护功能 (5)2.3.6完善的工控网络数据防泄漏 (6)2.3.7全方位风险信息展示及分析、审计 (6)2.3.8管理员权限三权分立 (6)2.3.9高性能高可靠的软硬件一体化架构 (6)2.4产品优势 (7)2.4.1专有硬件适用工业环境 (7)2.4.2工控协议深度解析 (7)2.4.3IT、OT一体化防护 (7)2.5典型部署 (8)三.客户价值 (9)3.1边界隔离防御，提升工业网络稳定性 (9)3.2满足政策合规要求，降低安全责任风险 (9)3.3集中式的统一运维，降低运维成本，提升运维效率 (9)网神工业控制安全网关系统产品白皮书一.引言1.1概述随着工业信息化的快速发展，工业化与信息化的融合趋势越来越明显，工业控制系统也在利用最新的计算机网络技术来提高系统间的集成、互联以及信息化管理水平。

技术白皮书网神SecSIS 3600安全隔离与信息交换系统本文档解释权归网神信息技术（北京）股份有限公司产品部所有目录1.产品概述 (3)2.产品原理 (4)3.产品说明 (5)4.产品功能说明 (6)4.1丰富的应用模块 (6)4.2访问控制 (7)4.3地址绑定 (7)4.4内容检查 (7)4.5高安全的文件交换 (8)4.6内置的数据库同步模块 (8)4.7融合加密、认证、授权多安全技术于一身 (9)4.8高可用设计 (9)4.9轻松的管理 (9)4.10传输方向控制 (9)4.11协议分析能力 (9)4.12完善的安全审计 (10)4.13强大的抗攻击能力 (10)4.14多样化的身份认证 (10)4.15负载均衡解决方案 (11)1.产品概述随着网络技术的不断应用和完善，Internet正在越来越多地渗透到社会的各个方面。

一方面，企业上网、电子商务、远程教育、远程医疗等一系列网络应用蓬勃发展，人们的日常生活与网络的关系日益密切；另一方面，网络用户组成越来越多样化，出于各种目的的网络入侵和攻击越来越频繁。

人们在享受互联网所带来的丰富、便捷的信息同时，也日益感受到频繁的网络攻击、病毒泛滥、非授权访问、信息泄密等问题所带来的困扰。

传统的安全产品可以以不同的方式满足我们保护数据和网络安全的需要，但不可能完全解决网络间信息的安全交换问题，因为各种安全技术都有其局限性。

为保护重要内部系统的安全，2000年1月，国家保密局发布实施《计算机信息系统国际互联网保密管理规定》，明确要求：“涉及国家秘密的计算机信息系统，不得直接或间接地与国际互联网或其他公共信息网络相连，必须实行物理隔离。

”中共中央办公厅2002年第17号文件《国家信息化领导小组关于我国电子政务建设指导意见》也明确强调：“政务内网和政务外网之间物理隔离，政务外网与互联网之间逻辑隔离。

”在不同安全等级的网络及系统之间实施安全隔离是一个行之有效的安全保密措施，可切断信息泄漏的途径。

⽹神SecWAF3600Web应⽤防⽕墙系统W5000-U020M型号产品⽩⽪书[V8.5.1]产品⽩⽪书⽹神SecWAF 3600 Web应⽤防⽕墙W5000-U020M本⽂档解释权归⽹神信息技术（北京）股份有限公司安全⽹关中⼼产品部所有●版权声明Copyright ? 2006-2012 ⽹神信息技术（北京）股份有限公司（“⽹神”）版权所有，侵权必究。

未经⽹神书⾯同意，任何⼈、任何组织不得以任何⽅式擅⾃拷贝、发⾏、传播或引⽤本⽂档的任何内容。

●⽂档信息●版本变更记录⽬录1、产品概述 (4)2、产品特点 (4)2.1 ⾼性能 (4)2.2集成领先Web应⽤漏洞检测技术 (4)2.3 多维防护体系 (5)2.4 Cloud云防护模型 (5)2.5 主动防御体系 (6)2.6 ⽹页防篡改 (6)2.7 HA（High Availability） (6)3、产品型号 (7)4、产品功能说明 (7)4.1 产品功能概述 (7)4.2 功能列表 (7)5、性能指标 (10)6、硬件规格 (10)7、产品资质 (11)1、产品概述⽹神SecWAF 3600 Web应⽤防⽕墙系统（⼜名SecWAF应⽤防护系统），以下简称SecWAF，是⾃主知识产权的新⼀代安全产品，作为⽹关设备，防护对象为Web服务器，其设计⽬标为：分别针对安全漏洞、攻击⼿段及最终攻击结果进⾏扫描、防护及诊断，提供综合Web应⽤安全解决⽅案。

⽹神Web安全团队根据常年观察互联⽹⿊客攻击⽅式和⿊客技术，从多年的安全研发经验中总结了⼀套“Web安全防护体系”，⽹神Web安全团队提出了“事前、事中、事后”的事件三部曲防护⽅案。

⾸先，事前评估。

根据⿊客攻击经验，每次⿊客在攻击前都会对⽬标事物进⾏漏洞扫描。

⽹神Web安全团队使⽤⾃主开发的Web扫描器对客户⽹站架构进⾏整体评估，评估客户⽹站在开发过程中，开发⼈员忽视的安全问题。

其次，事中防护。

根据常见对⿊客攻击技术的研究，⽹神Web安全团队做出了⼀套⿊客Web攻击⾏为的特征库，针对⿊客的攻击流量进⾏逐⼀特征匹配，匹配上的流量就是⿊客攻击流量，此时进⾏Web安全过滤然后，事后弥补。

●版权声明Copyright © 2006-2012 网神信息技术（北京）股份有限公司（“网神”）版权所有，侵权必究。

未经网神书面同意，任何人、任何组织不得以任何方式擅自拷贝、发行、传播或引用本文档的任何内容。

●文档信息●版本变更记录目录1产品概述 (4)2产品特点 (4)3产品功能 (6)4产品型号与指标 (10)5产品形态和运行环境 (11)6产品资质 (13)1产品概述网神SecGate 3600 防火墙（简称：“网神防火墙”）是基于完全自主研发、经受市场检验的成熟稳定SecOS 操作系统, 并且在专业防火墙、VPN、IPS、IDS、防毒墙的多年产品经验积累基础上精心研发的, 专门为政府、军队、教育、大中小型企业及各分支机构的互联网出口打造的专业防火墙系统。

网神防火墙可灵活部署在政府、教育、军队、运营商、大中小型企业及其分支机构的网络边界，完整实现了状态检测包过滤防火墙、IPSec VPN、SSL VPN、URL过滤、绿色上网、流量控制、用户认证等综合安全功能。

基于成熟可靠的多核处理器硬件平台，并可以扩展使用硬件加速，性能超强。

F3-2643前面板说明：图片与实际产品有不一样的地方，请以实际产品为准！2产品特点领先的SecOS 安全协议栈完全自主知识产权的SecOS 实现防火墙的控制层和数据转发层分离，全模块化设计，实现独立的安全协议栈，消除了因操作系统漏洞带来的安全性问题，以及操作系统升级、维护对防火墙功能的影响。

同时也减少了因为硬件平台的更换带来的重复开发问题。

由于采用先进的设计理念，使该SecOS 具有更高的安全性、开放性、扩展性和可移植性。

●高性能与高安全的多核架构多核硬件架构与新一代多核并行安全操作系统SecOS 相配合，多个核并行处理，分担数据流量，极大的提升系统性能。

多核并行操作系统可实现驾驭更多处理器核、减少串行比例、降低系统开销。

保证同时开启防火墙、VPN、IPS、AV、P2P限制等功能系统依然运行平稳。

网神SecGate 3600防火墙企业级产品投标参数主要功能项目技术要求备注硬件规格网络接口支持4个10/100/1000M自适应电口标准1U机箱，单电源支持本地Console管理支持远程AUX拨号管理性能要求★吞吐率≥1Gbps并发连接数≥180万支持可扩展VPN隧道数≥5000条新建连接速率≥40,000/秒延时≤25μs功能要求★基于自主研发的SecOS安全操作系统，无通用操作系统漏洞，完整实现基于状态检测的智能包过滤支持透明模式、纯路由模式、混合模式支持SIP/H.323/H.323网守/Ftp/等动态协议支持MMS/RTSP等多媒体协议提供透明网关式应用代理支持Http/Ftp/Telnet/SMTP/POP3/自定义代理支持双向NAT，支持源地址转换、端口映射、IP映射三种类型的NAT支持服务器负载均衡H3C、深信服不支持★支持多纯透明子桥和接口联动竞争对手都不支持支持对时间和接口的带宽控制，可实现最大带宽管理，可设置最小保证带宽方正和东软不支持★支持设定网段内共享的或者任一地址的新建连接限制方正、H3C、天融信、启明不支持★支持设定网段内共享的或者任一地址的并发连接限制方正、东软、H3C、天融信不支持支持数据包内容过滤，URL黑白名单过滤，垃圾邮件过滤东软不支持垃圾邮件过滤★支持URL日志记录支持IP/MAC地址绑定和自动探测天融信、启明不支持自动探测支持策略路由，提供目的地址路由、源地址路由支持基于服务的策略路由东软、方正不支持★支持多路由负载均衡（≥6条），可以根据链路探测结果自动进行链路切换竞争对手都不支持★支持基于应用（ARP/PING/TCP/HTTP)的链路探测竞争对手都不支持★支持PPPOE协议，提供多条ADSL（≥3）同时拨号和自动负载均衡方式竞争对手都不支持★具备内置独立的入侵防护IPS功能，并支持IPS规则库单独升级东软、联想网御不支持★有效抵御各种DoS/DDoS攻击，可识别和防御syn flood、icmp flood、udp flood、tcp scan、udp scan、ping sweep、teardrop、land、ping of death、smurf、winnuke、圣诞树、tcp 无标记、syn fin、无确认fin、松散源路由、严格源路由、ip 安全选项、ip记录路由、ip 流攻击、ip时间戳等攻击圣诞树、tcp 无标记、syn fin、无确认fin、松散源路由、严格源路由、ip 安全选项、ip记录路由、ip 流攻击、ip时间戳等天融不支持，深信服只支持抗DDOS 攻击★具备内置病毒过滤模块，并支持病毒规则库升级东软、H3C不支持防病毒★具备独立蠕虫过滤功能，对sobig, ramen, welchia, agobot, opaserv, blaster, sadmind, slapper，novarg, slammer, zafi, bofra, dipnet等主流蠕虫病毒的识别、过滤和拦截方正、动软、H3C、深信服、天融信不支持，联想网御支持下面8种blaster，nachi，nimda，redcode，sasser，slapper，sqlexp，zotob支持动态路由协议（OSPF、RIP），可参与动态路由协商联想网御不支持RIP，东软、深信服不支持动态路由★可自动检测网段内IP地址冲突，并报警竞争对手都不支持支持与主流IDS产品联动支持802.1Q VLAN协议，支持STP、PVST，可适应多种网络拓扑结构和VLAN环境提供防火墙集中管理系统，提供日志管理和日志审计软件方正没有日志服务器H3C不支持集中管理管理员身份认证支持电子钥匙认证和证书认证天融信不支持电子钥匙H3C不支持电子钥匙支持TELNET管理方式★提供与应用服务无关的用户认证H3C不支持本地用户认证和基于硬件KEY 的认证★提供基于Web/Portal的无客户端认证H3C、东软、方正不支持★WEB重定向(域名/URL路径重定向) 除联想网御外不支持★支持系统资源(CPU/内存/连接数/网口流量)最近20分钟、1小时、3小时、8小时、1天、2天、3天、4天、5天、6天到一周的历史统计除联想网御外不支持★支持TCP状态统计，能够详细统计出TCP连接总数和ESTABLISHED、LISTEN、SYN-SENT、SYN-RECV、FIN-WAIT、CLOSING、TIME-WAIT、CLOSE-WAIT、LAST-ACK、CLOSED 10种状态的连接数数量及占总TCP连接数的比例支持超级管理员/策略管理员/配置管理员/审计管理员,多级管理天融信没有策略管理员，东软只支持3级管理员★内置安全助手功能，方便管理员了解内网状况竞争对手都不支持★支持活动主机探测，并能根据探测结果自动生成资源对象和安全策略★支持开放服务探测，并能根据探测结果自动生成资源对象和安全策略★支持服务版本探测★支持操作系统探测★支持≥32个管理主机IP的限制联想网御最多支持6个管理主机支持采用中文对象名定义对象支持对象定义与安全策略配置单独导入导出竞争对手都不支持支持BT/eDonkey/Kazaa/apple/ares/dc/gnu/soul/winux/th under等P2P软件的禁止天融信只支持BT/EMULE /eDonkey支持BT/eDonkey/Kazaa/apple/ares/dc/gnu/soul/winux等P2P软件的禁止带宽限制天融信只支持BT/EMULE /eDonkey，启明不支持带宽限制支持对即时通信软件（MSN,QQ,Skype）的使用限制★支持对迅雷客户端软件和WEB迅雷进行有效的禁止支持实时连接状态监控支持对实时连接的中断支持DHCP服务器/中继及客户端★支持DNS中继竞争对手都不支持★支持DNS中继自动寻找上级DNS服务器竞争对手都不支持支持基于策略的IPSec VPN功能★支持基于路由的IPSec VPN功能联想网御、启明、东软、H3C不支持★支持双VPN隧道相互热备份及负载均衡功能联想网御、启明、东软、H3C不支持支持VPN的NAT穿越支持VPN的X-AUTH扩展本地认证方正、东软、H3C不支持支持VPN的X-AUTH扩展RADIUS认证方正、东软、H3C不支持支持LDAP证书获取方式方正、东软、H3C不支持★支持Web界面导出调试信息功能★可支持SSLVPN功能东软、方正不支持★基于域名的包过滤东软、方正、H3C不支持支持防火墙双机热备使用VRRP协议实现多台防火墙集群和负载均衡东软和方正不支持负载均衡支持HA自动配置同步和实时状态同步支持VPN隧道的SA实时同步资质要求★公安部销售许可证★国家保密局涉密信息系统产品检测证书★军B+级信息安全产品认证证书H3C、深信服没有，所有外资企业没有★计算机软件多核并行著作权登记证书都没有★国家密码管理局商用密码产品销售许可证H3C等外资企业没有★国家信息安全产品3C证书★市场占有率2008年CCID前三，并具备证书★创新产品证书都没有。

网神SecWAF 3600 Web应用防火墙系统技术白皮书目录1、前言 (4)2、互联网网站面临挑战 (4)2.1 攻击分析 (5)2.1.1 攻击影响 (5)2.1.2 攻击三要素分析 (5)2.1.2.1 攻击手段 (6)2.1.2.2 SQL注入 (6)2.1.2.3 跨站脚本 (6)2.1.2.4 攻击时机 (6)2.1.2.5 攻击动机 (7)2.1.3 攻击发展趋势 (7)2.1.4 防火墙局限 (8)2.1.5 入侵保护系统的不足 (8)3、新兴Web应用防火墙技术 (9)4、网神SecWAF 3600 Web应用防火墙安全解决方案 (9)4.1网站过滤防护解决方案 (9)4.1.1 SecWAF系统特性 (10)4.1.2 集成领先Web应用漏洞扫描检测技术 (11)4.1.3 多维防护体系 (12)4.1.4 专业DDOS防护引擎，让服务器更加安全 (13)4.1.5 Web负载均衡、虚拟主机支持，满足IDC应用、大型网络需要 (13)4.1.6 网页挂马主动诊断 (14)4.1.7 双操作系统、双机HA、可靠性更高 (15)4.1.8 多种部署模式，随机应变用户拓扑变化 (15)4.2 网站防篡改解决方案 (15)4.2.1 实现原理 (17)4.2.2 核心优势描述 (19)4.2.2.1 基于内核驱动保护技术 (19)4.2.2.2 动态网页脚本保护 (19)4.2.2.3 连续篡改攻击保护 (20)4.2.2.4 全方位兼容的安全自动增量发布 (20)4.2.2.5 部署实施操作简单 (20)4.2.2.6 安全传输 (20)4.2.2.7 支持多虚拟目录 (21)4.2.2.8 支持多终端 (21)4.2.2.9 动态防护模块的实现 (21)5、总结 (21)1、前言随着网络与信息技术的发展，尤其是互联网的广泛普及和应用，如电子政务、电子商务、网络办公、网络媒体以及虚拟社区的出现，正深刻影响人类生活、工作的方式。

声明服务修订：本公司保留不预先通知客户而修改本文档所含内容的权利。

有限责任：本公司仅就产品信息预先说明的范围承担责任，除此以外，无论明示或默示，不作其它任何担保，包括（但不限于）本手册中推荐使用产品的适用性和安全性、产品的适销性和适合某特定用途的担保。

本公司对于您的使用或不能使用本产品而发生的任何损害不负任何赔偿责任，包括（但不限于）直接的、间接的、附加的个人损害或商业损失或任何其它损失。

版权信息：任何组织和个人对本公司产品的拥有、使用以及复制都必须经过本公司书面的有效授权。

网神信息技术（北京）股份有限公司、概述SecGate 3600 防火墙缺省支持两种管理方式：（1）通过CONSOLE 口的命令行管理方式（2）通过网口的WEB （https ）管理方式（3）拨号（ PPP ）接入（连接AUX 口）管理方式CONSOLE 口的命令行管理方式适用于对防火墙操作命令比较熟悉的用户。

WEB 方式更直观方便，为保证安全，WEB 方式连接之前需要对管理员身份进行认证。

要快速配置使用防火墙，推荐采用CONSOLE 口命令行方式；日常管理监控防火墙时，WEB 方式则是更方便的选择。

安装防火墙之前，请您务必阅读本指南的“二、三”两节。

如果希望使用CONSOLE 口命令行方式管理防火墙，请您仔细阅读本指南的第四节；如果希望使用WEB 方式管理防火墙，请您仔细阅读本指南的第五节。

防火墙主要以两种模式接入网络：路由模式和混合模式。

在路由模式下，配置完防火墙后您可能还需要把受保护区域内三层设备或主机的网关指向防火墙；混合模式时，由防火墙自动判定流经它的数据报文应该通过路由模式还是透明桥模式转发，如果为透明桥模式，则不用修改已有网络配置。

、防火墙硬件描述三、防火墙安装1 .安全使用注意事项本节列出安全使用注意事项，请仔细阅读并在使用SecGate 3600防火墙过程中严格执行。

这将有助于您更安全地使用和维护您的防火墙。

网神SecGate3600核心级万兆防火墙产品概述网神SecGate3600防火墙核心级多核产品基于高性能、高稳定性的多核硬件平台和新一代多核并行SecOS安全操作系统，无通用操作系统漏洞，抗攻击能力强；突破了传统单核架构下性能瓶颈，在同时开启防火墙、VPN、IPS、AV、P2P限制等功能时仍能保证稳定性。

实现了在产品性能、功能、稳定性、易升级、易用性管理等方面的全面突破。

该系列产品已广泛应用于政府、金融、电力、教育、税务等行业的核心网络环境。

产品特点●独立安全协议栈：采用自主研发的SecOS，完整实现了状态检测包过滤/应用代理防火墙、入侵检测防护、防病毒、IPSec VPN、SSLVPN、抗DDoS攻击、深度内容检测、带宽管理和流量控制等综合安全网关功能，从而摆脱了通用操作系统束缚，无通用操作系统漏洞，不用被动地追随通用操作系统的升级而升级。

●高性能与高安全的多核架构：多核硬件架构与新一代多核并行安全操作系统SecOS相配合，多个核并行处理，分担数据流量，极大的提升系统性能。

多核并行操作系统可实现驾驭更多核处理器、减少串行比例、降低系统开销，保证同时开启防火墙、VPN、IPS、AV、P2P限制等功能系统依然运行平稳。

●深度内容安全检测：多核间相互分工协作，一部分核进行高速数据转发，并对常见的HTTP/FTP/DNS/TELNET/POP3/SMTP等13种应用协议的预处理；另一部分核实现快速重组数据包还原内容，进行深度安全检测。

从而可以实现大流量下的深度内容检测，完成P2P/IM协议识别与限制、入侵防护、病毒防护等功能。

●贴心的安全助手：系统集成了强大的安全助手，能够根据需要对内网主机、服务、端口、系统及版本进行扫描，实时获取内网状况，并可以根据扫描结果轻松设置对象及安全策略，大大降低了配置、维护的复杂度。

产品资质公安部销售许可证国家信息安全测评信息技术安全产品测评证书EAL1国家信息安全产品认证证书第二级国家保密局涉密信息系统产品检测证书军B+级信息安全产品认证证书计算机软件著作权登记证书网神多核并行安全操作系统软件著作权证书主要功能安全防御能力提供基于状态检测的动态包过滤支持SIP/H.323/H.323网守/FTP//MMS/RTSP/TFTP等动态协议支持双向NAT，支持源地址转换、端口映射、IP映射三种类型的NAT支持IP/MAC地址绑定和自动探测支持新建/并发连接限制，包括保护主机、保护服务、限制主机、限制服务提供透明网关式应用代理，提供HTTP/FTP/TELNET/SMTP/POP3/自定义代理等提供与应用服务无关的用户认证，提供基于Web/Portal的无客户端认证有效抵御各种DoS/DDoS攻击提供全面的内外网实时网络连接监控和实时中断，提供QoS带宽管理VPN 支持标准IPSec VPN，支持基于策略的VPN应用支持基于路由的双VPN隧道备份支持VPN的星型、网状等多种接入方式支持VPN远端状态探测DPD，支持遵守VPN客户端提案方式支持PPTP/L2TP 拨号VPN，支持SSL VPN网络适应能力支持透明/桥接/路由/混合模式支持多纯透明子桥和接口联动支持策略路由、基于服务的策略路由、目的地址路由、源地址路由和多（≥6）路由负载均衡支持动态路由RIPv1/v2和OSPF支持PPPOE协议，提供多（≥3）ADSL接入方式和自动负载均衡支持DHCP服务器/中继/客户端，支持DNS中继深度内容检测支持对URL进行过滤、网页内容过滤、黑名单、白名单，支持关键字导入支持BT/eDonkey/Kazaa等P2P软件限制支持对即时通信软件（MSN、QQ、Skype）限制防MAC欺骗和IP盗用支持病毒和蠕虫过滤支持多家IDS联动支持Web应用协议实时入侵防御阻断，支持IPS特征库升级高可用性能力支持防火墙双机热备支持防火墙多机负载均衡支持端口链路备份和负载均衡支持服务器负载均衡管理审计能力提供SecGateManager防火墙集中管理系统，提供灵活的软件升级方式提供强大的日志管理和日志审计支持防火墙系统的实时监控，支持网络监控及内外网实时连接状态监控支持桥转发表监控，支持界面调试信息导出功能支持配置向导产品型号与指标产品型号X100-8244 X100-8404 产品性能网络处理能力≥20G ≥20G最大并发连接数≥360万≥360万最大VPN隧道数8000 8000接口说明10/100/1000 Base-T 4个4个千兆SFP插槽4个N/A万兆SFP插槽2个4个异步串行管理接口1个1个远程配置管理接口1个1个硬件特征机箱2U 2U电源冗余电源冗余电源注：除指定型号外vpn隧道数需单独购买。