防火墙详细说明4000-UF

防火墙详细说明

产品概述

网络卫士系列防火墙NGFW4000-UF（NetGuard FireWall）系列产品，是天融信公司结合了多年来的网络安全产品开发与实践经验,在参考了天融信广大用户宝贵建议的基础上，开发的最新一代网络安全产品。该产品以天融信公司具有自主知识产权的TOS

（Topsec Operating System）为系统平台，采用开放性的系统架构及模块化的设计，融合了防火墙、防病毒、入侵检测、VPN、身份认证等多种安全解决方案，构建的一个安全、高效、易于管理和扩展的网络安全产品。

NGFW4000-UF属于网络卫士系列防火墙的中高端产品，特别适用于网络结构复杂、应用丰富、高带宽、大流量的大中型企业骨干级网络环境。

NGFW4000-UF（TG-5030）

产品特点

自主安全操作系统平台

采用自主知识产权的安全操作系统--TOS（Topsec Operating System），TOS拥有优秀的模块化设计架构，有效保障了防火墙、IPSECVPN、SSLVPN、防病毒、内容过滤、抗攻击、流量整形等模块的优异性能，其良好的扩展性为未来迅速扩展更多特性提供了无限可能。

TOS具有具有高安全性、高可靠性、高实时性、高扩展性及多体系结构平台适应性的特点。

虚拟防火墙

虚拟防火墙，是指在一台物理防火墙上可以存在多套虚拟系统，每套虚拟系统在逻辑上都相互独立，具有独立的用户与访问控制系统。不同的企业或不同的部门可以共用1台防火墙，但使用不同的虚拟系统。对于用户来说，就像是使用独立的防火墙。大大节省了成本。

强大的应用控制

网络卫士防火墙提供了强大的网络应用控制功能。用户可以轻松的针对一些典型网络应用，如BT、MSN、QQ、Edonkey、Skype等实行灵活的访问控制策略，如禁止、限时、乃至流量控制。网络卫士防火墙还提供了定制功能，可以对用户所关心的网络应用进行全面控制。

CleanVPN服务

企业对VPN应用越来越普及，但是当企业员工或合作伙伴通过各种VPN远程访问企业网络时，病毒、蠕虫、木马、恶意代码等有害数据有可能通过VPN隧道从远程PC 或网络传递进来，这种威胁的传播方式极具隐蔽性，很难防范。

网络卫士防火墙同时具备防火墙、VPN、防病毒和内容过滤等功能，并且各功能相互融合，能够对VPN数据进行检查，拦截病毒、蠕虫、木马、恶意代码等有害数据，彻底保证了VPN通信的安全，为用户提供放心的CleanVPN服务。

完全内容检测CCI

内容检测技术发展至今，大致经历了三个阶段，从早期的状态检测（Status Inspection）到后来的深度包检测（Deep Packet Inspection），现在已经发展到了最新的完全内容检测（CCI，Complete Content Inspection）。状态检测只检查数据包的包头，深度包检测可对数据包内容进行检查，而CCI则可实时将网络层数据还原为完整的应用层对象（如文件、网页、邮件等），并对这些完整内容进行全面检查，实现彻底的内容防护。

在MAC层提供基于MAC地址的过滤控制能力，同时支持对各种二层协议的过滤功能；在网络层和传输层提供基于状态检测的分组过滤，可以根据网络地址、网络协议以及TCP 、UDP 端口进行过滤，并进行完整的协议状态分析；在应用层通过深度内容检测机制，可以对高层应用协议命令、访问路径、内容、访问的文件资源、关键字、移动代码等实现内容安全控制；同时还直接支持丰富的第三方认证，提供用户级的认证和授权控制。网络卫士系列防火墙的多级过滤形成了立体的、全面的访问控制机制，实现了全方位的安全控制。

先进的设计思想

采用面向资源的设计方法。把安全控制所涉及的各种实体抽象为对象，包括区域、地址、地址组、服务、服务组、时间表、服务器、均衡组、关键字、文件、特殊端口等。

不同对象的实体组成资源，用于描述各种安全策略，实现全方位的安全控制。极大地提高了网络安全性，并保证了配置的方便性。

超强的防御功能

高级的Intelligent Guard技术提供了强大的入侵防护功能，能抵御常见的各种攻击，包括Syn Flood、Smurf、Targa3、Syn Attack、ICMP flood、Ping of death、Ping Sweep、Land attack、Tear drop attack、IP address sweep option、Filter IP source route option、Syn fragments、No flags in TCP、ICMP碎片、大包ICMP攻击、不明协议攻击、IP欺骗、IP security options、IP source route、IP record route 、IP bad options、IP碎片、端口扫描等几十种攻击，网络卫士系列防火墙不但有内置的攻击检测能力，还可以和IDS产品实现联动。这不但提高了安全性，而且保证了高性能。

强大的应用代理模块

具有透明应用代理功能，支持FTP、HTTP、TELNET、PING、SSH、FTP—DATA、SMTP、WINS、TACACS、DNS、TFTP、POP3、RTELNET、SQLSERV、NNTP、IMAP、SNMP、NETBIOS、DNS、IPSEC—ISAKMP、RLOGIN、DHCP、RTSP、MS-SQL-（S、M、R）、RADIUS-1645、PPTP、SQLNET—1521、SQLNET—1525、H.323、MSN、CVSSERVER、MS-THEATER、MYSQL、QQ、SECURID（TCP、UDP）PCANYWHERE、IGMP、GRE、PPPOE、IPV6等协议，可以实现文件级过滤。

丰富的AAA功能，支持会话认证

网络卫士系列防火墙支持对网络用户提供丰富的安全身份认证，如一次性口令（OTP）、S/KEY、RADIUS 、TACACS、LDAP、securid 、域认证及数字证书等常用的安全认证方法，也可以使用专用的认证客户端软件进行认证。基于用户的安全策略更