天融信产品特点优势

天融信产品特点优势

第一章网络卫士防火墙的特点 (2)

第二章网络卫士IDS产品的特点 (4)

第三章网络卫士VPN系列产品的特点 (5)

第四章TA的特点 (6)

第五章网络卫士过滤网关的特点 (7)

说明: 此文档提炼了公司各类产品的独特之处,销售和技术需认真细心阅读。

第一章网络卫士防火墙的特点

⏹核检测技术: 即基于OS 内核的会话检测技术，在OS 内核实现对应用层访问控制。它相

对于包过滤和应用代理防火墙来讲，不但更加成功地实现了对应用层的细粒度控制，同时，更有效保证了防火墙的性能。

⏹源，目地址路由: 天融信防火墙产品采用一种特殊的路由技术，一般的路由技术只根据目

标地址来做出路由选择，而网络卫士防火墙则根据通讯的源地址和目标地址来做出路由选择。这种源目地址路由技术可以很好的支持有多个网络出口的环境，帮助进行网络流量分配。比如对于某些教育系统的网络可能同时有两条互联网出口，一条是通过教育网的线路连接到Internet ，另外一条是申请电信的线路直接连接到互联网。对于这种环境为了更

好的利用带宽，让网络中的部分终端走教育网的出口，另外一部分终端走电信线路，这样可以很好的利用现有的带宽资源，不会造成带宽的浪费，但是在这种网络环境下，如果防火墙不支持源目的地址路由技术就很难实现，因为到互联网的目标地址都是一样的，只是来源不一样。此功能非常适合教育行业推广。

⏹强大的审计功能:防火墙的不但能记录日志会话信息，还能记录应用层命令日志，特别是

可以协助用户进行安全性分析和事后勘察。应用层日志命令在日志会话的基础之上记录下各个应用层命令及其参数，比如HTTP 请求及其要取的网页名；访问日志则是在应用层命

令日志的基础之上记录下用户对网络资源的访问，它和应用层日志命令的区别是：应用层日志命令可以记录下大量的数据，有些用户可能不需要，如协商通信参数过程等。例如针对FTP 协议，日志会话记录下读、写文件的动作；日志命令则是在访问日志的基础之上，记录如用户发送的邮件，用户取下的网页等。天融信新一代防火墙产品可以根据用户的不同需要对不同的访问策略做不同的日志，例如有一条访问策略允许外界用户取FTP 服务器上的文件，如果做命令日志，用户就可以知道到底是哪些文件被下载。此功能在政府行业可以很好的推广。

⏹带宽管理:支持基于IP地址段，子网，用户组，服务等的带宽管理。支持基于QOS优先级的

带宽控制，支持基于时间段的带宽控制。支持基于上传，下载方向的带宽管理。支持动态DHCP环境中基于MAC地址的带宽控制。相对于别的网络安全厂商来说，控制的更细，更合

理。

⏹防火墙架构的特点：防火墙基于NP+ASIC技术，全系列产品基于独创的TOS（TOPSEC OS）

操作系统，具有很好的兼容性。防火墙接口支持模块化扩展，支持接口热插拔。千兆防火墙支持CISCO标准的GBIC接口卡，与业内标准厂商的GBIC接口可以互插，有很强的通用性。

⏹防火墙支持VLAN间路由:交换网络环境应用越来越多，防火墙对交换网络的支持也是必然

趋势。“网络卫士”系列防火墙所有型号均能够很好的支持各种交换生成树网络环境。网络卫士系列防火墙不但支持STP，还支持VLAN 路由器充当交换网络的网关。同时防火墙通过GLOBAL（全局）区域控制各VLAN之间的访问。此功能可以帮助用户节约网络建设投入的成本。

⏹防火墙支持生成树协议：在一些银行，电信，电力行业的核心业务网的应用案例中，为了

能够有效地传输流量和保证网络的可靠性，往往需要提供冗余和故障快速恢复功能，在网络中通常设置了一些冗余链路，这些冗余链路可能导致物理网络拓扑结构中存在环路。由于透明网桥（交换机）不能像路由器那样知道报文可以经过多少次转发，一旦网络中存在环路，就会造成报文在环路内不断循环和增生，可能出现“广播风暴”，在这种网络环境中部署双机防火墙实现双A（ACTIVE BY ACTIVE）功能需要防火墙支持STP协议（生成树协议），目前天融信防火墙支持的生成树协议有CISCO PVST+和CST协议。这是防火墙的高端应用，支持的厂家不多。

⏹防火墙支持TOPSEC协议：针对安全行业内提出的木桶原理和短板效应，天融信公司在国内

安全行业内率先提出了TOPSEC联动协议，提倡安全产品之间的协作能力。得到了国内外三十多家厂商的认可和支持。而天融信公司的防火墙是唯一支持TOPSEC协议的防火墙产品。

⏹防火墙资质认证：防火墙产品顺利通过了国家测评认证中心进行的EAL3级别严格的测评，

成为国内第一家通过此认证的防火墙产品。EAL3是目前国内最高级别的信息安全产品的等级认证。

第二章网络卫士IDS产品的特点

⏹内置2500 种以上入侵规则，提供对DoS、扫描、代码攻击、病毒、后门等各种攻击的检测

能力，是目前IDS产品中支持入侵规则库最多的产品。

⏹通过解码基于SSL 加密的通讯数据，分析、检测基于SSL 加密通讯的攻击行为，从而可以

保护内部重要的提供SSL加密的服务器的安全性。

⏹强大的蠕虫检测能力，针对当前已经发现的蠕虫攻击及时提供相关事件规则。对于存在系

统漏洞但尚未发现相关蠕虫事件的情况，通过分析漏洞来提供相关的入侵事件规则，最大限度地解决蠕虫发现滞后的问题。入侵检测系统内置400 条以上的蠕虫检测规则。

⏹基于增强的直接用户空间访问技术（EDUA）：入侵检测系统通过重写网卡驱动程序，使得

网卡驱动程序与上层系统共享一块内存区域，网卡从网络上捕获到的数据报文直接传递给入侵检测系统，最大程度的将有限的CPU资源让给协议分析和模式匹配等进程去利用，提高了整体性能。同时通过将用户空间中的大量内存空间映射到内核层的DMA缓冲空间，从而使原来有限的DMA缓冲空间得到有效扩展，解决了高峰期因缓冲空间有限而发生丢包的现象。这是网络卫士IDS的独创技术。能有效抵御误报和漏报的发生。

⏹对于IP分片包的检测处理：入侵检测系统采用了多线程分散式IP 分片重组机制，从而有

效解决了因IP 分片重组造成的性能瓶颈。

⏹联动协议的支持：支持防火墙联动协议（OPSEC，TOPSEC，IAP协议），能跟业内主流的防

火墙厂商进行联动，支持与CISCO 路由器联动。

⏹部署灵活：不仅支持基于HUB的共享环境，基于交换机端口镜象的功能，还支持基于专用

的流量分流设备的TAP的部署方案。