网络卫士防火墙NGFW 4000系列产品白皮书

天融信产品白皮书网络卫士防火墙NGFW 4000系列

网络卫士防火墙NGFW4000系列

NGFW4000是天融信网络卫士防火墙系统的中端产品系列，适用于网络结构复杂、应用丰富的政府、金融、学校、中型企业等网络环境。产品集成了天融信在客户复杂环境中处理威胁的经验及对客户需求的深入理解，已在各种网络环境中经受了严格考验。该系列产品具有访问控制、内容过滤、防病毒、NAT、IPSEC VPN、SSL VPN、带宽管理、负载均衡、双机热备等多种功能，广泛支持路由、多播、生成树、VLAN、DHCP等各种协议。稳定可靠的硬件平台，满足真实需求的软件功能，超强的网络适应能力，使之成为多年来广受市场认同的系列主流产品。

安全高效的TOS操作系统

具有完全自主知识产权的TOS(TopsecOperating System) 安全操作系统，采用全模块化设计，使用中间层理念，减少了系统对硬件的依赖性，有效保障了防火墙、SSL VPN、IPSEC VPN、防病毒、内容过滤、抗攻击、带宽管理等功能模块的优异性能。TOS良好的扩展性为未来迅速扩展更多特性提供了无限可能。

完全内容检测CCI技术

网络卫士猎豹防火墙采用最新的CCI技术，提供对OSI网络模型所有层次上的网络威胁的实时保护。网络卫士系列防火墙可对还原出来的应用层对象（如文件、网页、邮件等）进行病毒查杀，并可检查是否存在不良WEB内容、垃圾邮件、间谍软件和网络钓鱼欺骗等其他威胁，实现彻底防范。

集成多种安全功能

NGFW4000由于集成了多种安全引擎，使其具备了防火墙、IPSEC VPN、SSL VPN、防病毒、IPS等安全功能，成为了国内安全功能最丰富的防火墙产品。

虚拟防火墙

虚拟防火墙，是指在一台物理防火墙上可以存在多套虚拟系统，每套虚拟系统在逻辑上都相互独立，具有独立的用户与访问控制系统。不同的企业或不同的部门可以共用1台防火墙，但使用不同的虚拟系统。对于用户来说，就像是使用独立的防火墙，大大节省了成本。

强大的应用控制

网络卫士防火墙提供了强大的网络应用控制功能。用户可以轻松的针对一些典型网络应用，如MSN，QQ、Skype、新浪UC、阿里旺旺、Google Talk等即时通信应用，以及BT、Edonkey、Emule、讯雷等p2p应用实行灵活的访问控制策略，如禁止、限时、乃至流量控制。网络卫士防火墙还提供了定制功能，可以对用户所关心的网络应用进行全面控制。CleanVPN服务

企业对VPN应用越来越普及，但是当企业员工或合作伙伴通过各种VPN远程访问企业网络时，病毒、蠕虫、木马、恶意代码等有害数据有可能通过VPN隧道从远程PC或网络传递进来，这种威胁的传播方式极具隐蔽性，很难防范。

网络卫士防火墙同时具备防火墙、VPN、防病毒和内容过滤等功能，并且各功能相互融合，能够对VPN数据进行检查，拦截病毒、蠕虫、木马、恶意代码等有害数据，彻底保证了VPN通信的安全，为用户提供放心的CleanVPN服务。

Active/Active高可用性

能够在核心网络中同所有网络设备一起构建高可用性及高安全性的拓扑结构，自身能够实

现A/A部署和状态同步，能够实现动态的链路切换，同时提供了电源冗余功能，最大限度地满足了网络的健壮性及稳定性，保证了整个网络的不间断工作。

广泛的网络适应性

支持基于源地址、目的地址、接口、Metric的策略路由，支持单臂路由，支持Trunk （802.1Q和ISL），能够在不同的VLAN虚接口间实现路由功能，支持IGMP组播协议和IGMP SNOOPING，支持对非IP协议IPX/NetBEUI的传输与控制。

灵活的接入方式防火墙系统可以提供对复杂环境的接入支持，包括路由、透明以及混合接入模式。

强大的访问控制●支持基于源IP地址、目的IP地址、源端口、目的端口、时间、用户、文

件、网址、关键字、邮件地址、脚本、MAC地址等多种方式进行访问控制；

●支持对HTTP、SMTP、POP3、FTP等协议的深度内容过滤，支持URL、关键字过

滤；

●支持对移动代码如Java applet、Active-X、VBScript、Jscript、Java

script的过滤；

●动态端口支持协议：H.323、SIP、FTP、RTSP、SQL*NET、MMS、TFTP、

RPC(msrpc,dcerpc)等；

●可实现静态或自动的IP/MAC绑定；

●支持MSN、QQ、新浪UC、阿里旺旺、google talk等Instant Messenger通

信，并可以对于这些应用进行登陆限制,支持根据登陆等帐号进行登陆限制；

●支持对MSN，QQ等IM应用通信的连接统计,支持对指定IP地址的IM应用

通信的连接统计；

●可限制BT，eMule，eDonkey、讯雷等多种P2P应用，可以统计和控制P2P流

量和连接数；

●可屏蔽受保护主机/服务器系统信息，可以替换服务器(FTP、SMTP、POP3、

Telnet,HTTP)的BANNER信息；

●可以实现telnet、DNS等应用协议的深度过滤；

●支持HTTP 重定向功能，可以对伪装HTTP的协议进行识别和阻断。

完善的网络地址转换能力防火墙系统有完善的地址转换能力，可以支持正向、反向地址/端口转换、双向地址转换等，能够提供完整的地址转换解决方案。

多种身份认证方式防火墙系统要支持多种、灵活的身份认证技术，至少包括

Radius/OTP/LDAP/TACACS+/SecuID/数字证书/本地认证等。

完善的路由功能支持静态和动态路由，动态路由至少包括：BGP/RIP和OSPF动态路由协议；静态路由协议支持基于源地址、目的地址、METRIC值、网络接口的路由；

VLAN和生成树支持802.1d生成树，能进行802.1d的生成树协商；支持与交换机的Trunk接口对接，并且能够实现Vlan间通过防火墙设备进行路由；支持802.1q，能进行802.1q

的封装和解封装；支持ISL，能进行ISL的封装和解封装；在同一个Vlan内能进行

二层交换。

链路备份支持链路备份功能，可以在用户的多条网络出口之间进行自动的切换；

高可用性●支持双机热备功能，包括主备模式(A/S)，主主模式(A/A)

●支持VRRP协议；

●支持对服务器的负载均衡，支持轮询、加权轮询、最少连接、加权最少链

接、基于源IP地址HASH调度等多种负载均衡方式；

●防火墙系统要对长连接的提供全面的解决方案；

●支持链路聚合；