防火墙产品
1.防火墙
1.1. UF1102
产品介绍
UF1102防火墙结合了网络级包过滤和应用级代理的功能,运用了基于状态检测的包过滤技术,是专为中小企业网络环境提供的具备多种功能的网络安全产品
网络地址转换(NAT):隐藏内部IP地址,增强了安全性,节约了从运营商得到的合法IP地址资源。
多级过滤、动态过滤和代理:通过数据包检测,保护内部网络不被破坏,并且保护网络服务和重要的私人数据。
用户认证:完善的用户认证机制,可以根据需要设置内部用户必须经过防火墙的认证,方可连入不可信网络。
地址绑定:支持自动或手工绑定MAC地址与IP地址,防止了内部网络的IP地址盗用问题。
安全策略:可根据源、目的IP地址、使用的TCP/IP协议、生效的时间段、使用的带宽等关键项指定相应的防火墙策略,审查TCP/IP包,拒绝或授权访问。
IP映射和端口转移:在内部网对Internet提供多种服务的同时,以多种方式灵活地保护内部网安全。
虚拟专用网(VPN):UF1102的一个附加功能,便于远程用户通过Internet安全地访问内部网络(使用PPTP协议)或通过Internet连接不在同一区域的局域网(使用IPSec 协议)。
基于SSL的浏览器管理界面:允许通过流行的WEB浏览器使用安全套接字(SSL)管理和配置防火墙,保证了防火墙管理的安全性和易用性。支持网络浏览器超时自动退出。
完善的管理界面:管理界面左侧的主菜单区包含了完整的功能区,提供了所有的防火墙配置和管理的功能,对系统设置、系统操作、安全策略、虚拟专网、应用代理、地址配置、日志、服务协议、用户认证、网络监测等功能提供了完善的应用和帮助。所有具体的配置管理工作都通过这个界面完成。
广泛的网络服务支持:支持DNS、FINGER、FTP、GOPHER、 HTTP、HTTPS、ICMP、IRC、NFS、SNMP、NNTP、POP3、RLOGIN、TELNET、WAIS、H.323、SQL*Net、Net8和其它协议。
日志审计:提供详尽的防日志,安全日志记录针对或企图通过防火墙的攻击和端口扫描,事件日志记录管理员对防火墙的所有操作,传输日志根据策略设置对通过防火墙的数据连接提供详细记录。防火墙提供SysLog接口,易于与专门的日志审计分析软件集成。同时提供清华紫光日志同步分析软件LogIT,可以同步审计分析防火墙的日志。
缓存:高达2G的缓存,加速Internet访问,提供最经常访问站点的排行榜;支持URL过滤,可以对指定Web地址、目录和文件进行阻塞。
产品特性
●状态检测包过滤和应用代理
●IP/Mac地址绑定,防止内部IP欺骗
●支持IP映射和端口转移
●基于SSL的浏览器管理界面
●静态路由表,支持多个子网
●支持DHCP客户端功能,接受DHCP服务器自动分配的IP地址
●支持PPPOE客户端
●用户认证
●支持PPTP和IPSec
●用户、IP、策略分组,易于管理
●基于浏览器的系统升级
●内置网络诊断工具,方便网络管理
●可上载/下载配置信息,便于安装配置
●完善的系统日志,并能输出给用户的管理程序
●强大的统计和审计功能
硬件
●2个以太网RJ-45端口,分别用于连接内部网络和外部网络(10/100Mbps自适应,全
双工)
●系统状态指示灯指示系统运行是否正常
●网络连接状态灯指示网络接口连接状态
●电源LED指示灯用于指示电源的使用情况
●串行控制口,支持带外命令行管理
指标
●无丢包数据通过率75Mbps
●6000个并行会话
●200条IPSEC隧道
物理特性
●尺寸:220mm×290mm×53mm
●净重:2.5kg
●电源需求:90-240VAC;平均功率30瓦
●工作温度:0℃-40℃
●存放温度:-40-70℃
●环境湿度:10-90%RH
认证
●公安部安全产品销售许可证
●中国国家信息安全测评认证中心认证
●国家保密局产品技术成果鉴定证书
●军用信息安全产品认证
订货信息
●UF1102 2口中小企业级防火墙
1.2. UF1103
产品介绍
UF1103防火墙结合了网络级包过滤和应用级代理的功能,运用了基于状态检测的包过滤技术,是专为中小企业网络环境提供的具备多种功能的网络安全产品
网络地址转换(NAT):隐藏内部IP地址,增强了安全性,节约了从ISP得到的外部IP地址。
中立区(DMZ):提供中立区接口,将内外部网络与诸如HTTP、FTP、DNS、MAIL等公用服务器相隔离。同时中立区可以连接为第二个内部或者第二个外部网络,提供更灵活的选择。
多级过滤、动态过滤和代理:通过数据包检测,保护内部网络不被破坏,并且保护网
络服务和重要的私人数据。
用户认证:完善的用户认证机制,可以根据需要设置内部用户必须经过防火墙的认证,方可连入不可信网络。
地址绑定:支持自动或手工绑定MAC地址与IP地址,防止了内部网络的IP地址盗用问题。
安全策略:可根据源、目的IP地址、使用的TCP/IP协议、生效的时间段、使用的带宽等关键项指定相应的防火墙策略,审查TCP/IP包,拒绝或授权访问。
IP映射和端口转移:在内部网对Internet提供多种服务的同时,以多种方式灵活地保护内部网安全。
虚拟专用网(VPN):UF1103的一个附加功能,便于远程用户通过Internet安全地访问内部网络(使用PPTP协议)或通过Internet连接不在同一区域的局域网(使用IPSec 协议)。
基于SSL的浏览器管理界面:允许通过流行的WEB浏览器使用安全套接字(SSL)管理和配置防火墙,保证了防火墙管理的安全性和易用性。支持网络浏览器超时自动退出。
完善的管理界面:管理界面左侧的主菜单区包含了完整的功能区,提供了所有的防火墙配置和管理的功能,对系统设置、系统操作、安全策略、虚拟专网、应用代理、地址配置、日志、服务协议、用户认证、网络监测等功能提供了完善的应用和帮助。所有具体的配置管理工作都通过这个界面完成。
广泛的网络服务支持:支持DNS、FINGER、FTP、GOPHER、 HTTP、HTTPS、ICMP、IRC、NFS、SNMP、NNTP、POP3、RLOGIN、TELNET、WAIS、H.323、SQL*Net、Net8和其它协议。
日志审计:提供详尽的防日志,安全日志记录针对或企图通过防火墙的攻击和端口扫描,事件日志记录管理员对防火墙的所有操作,传输日志根据策略设置对通过防火墙的数据连接提供详细记录。防火墙提供SysLog接口,易于与专门的日志审计分析软件集成。同时提供清华紫光日志同步分析软件LogIT,可以同步审计分析防火墙的日志。
缓存:高达2G的缓存,加速Internet访问,提供最经常访问站点的排行榜;支持URL过滤,可以对指定Web地址、目录和文件进行阻塞。
产品特性
●状态检测包过滤和应用代理
●IP/Mac地址绑定,防止内部IP欺骗
●支持IP映射和端口转移
●基于SSL的浏览器管理界面
●静态路由表,支持多个子网
●支持DHCP客户端功能,接受DHCP服务器自动分配的IP地址
●支持PPPOE客户端
●用户认证
●支持PPTP和IPSec
●用户、IP、策略分组,易于管理
●基于浏览器的系统升级
●内置网络诊断工具,方便网络管理
●可上载/下载配置信息,便于安装配置
●完善的日志,并能输出给用户的管理程序
●强大的统计和审计功能
硬件
●3个以太网RJ-45端口,分别用于连接内部网络和外部网络(10/100Mbps自适应,全
双工)
●系统状态指示灯指示系统运行是否正常
●网络连接状态灯指示网络接口连接状态
●电源LED指示灯用于指示电源的使用情况
●串行控制口,支持带外命令行管理
指标
●无丢包数据通过率75Mbps
●8000个并行会话
●200条IPSEC隧道
物理特性
●尺寸:220mm×290mm×53mm
●净重:2.5kg
●电源需求:90-240VAC;平均功率30瓦
●工作温度:0℃-40℃
●存放温度:-40-70℃
●环境湿度:10-90%RH
认证
●公安部安全产品销售许可证
●中国国家信息安全测评认证中心认证
●国家保密局产品技术成果鉴定证书
●军用信息安全产品认证
订货信息
●UF1103 3口中小企业级防火墙
1.3. UF3102
产品介绍
UF3102防火墙结合了基于状态检测技术的包过滤和应用代理功能。适用于大中型企业局域网到公网或企业广域专网的连接。
网络地址转换(NAT):隐藏内部IP地址,增强了安全性,节约了从ISP得到的外部IP地址。
多级过滤、动态过滤和代理:通过数据包检测,保护内部网络不被破坏,并且保护网络服务和重要的私人数据。
用户认证:完善的用户认证机制,使得所有内部用户必须经过防火墙的认证,方可连入不可信网络。
地址绑定:支持自动或手工绑定MAC地址与IP地址,防止了IP地址盗用问题。
安全策略:您可根据IP地址和TCP/IP协议指定响应的防火墙策略,审查TCP/IP包,拒绝或授权访问。
IP映射和端口转移:在内部网对因特网提供多种服务的同时,以多种方式灵活地保护了内部网地安全。
虚拟专用网(VPN):UF3102提供了一个附加的功能,便于远程用户通过互联网安全地访问内部网络(支持PPTP协议)或通过互联网连接不在同一区域的局域网(支持IPSec 协议)。
基于SSL的浏览器管理界面:允许通过流行的WEB浏览器使用https协议管理和配置防火墙,保证了防火墙管理的安全性和易用性。支持网络浏览器超时退出的功能,保证了管理员离开管理计算机后的安全。
完善的管理界面:管理界面左侧的主菜单区包含了完整的功能区,提供了所有的防火墙配置和管理的功能,对系统设置、用户管理、安全策略、虚拟专网、缓存设置、地址配置、安全日志、服务协议、网络监测等功能提供了完善的应用和帮助。所有具体的配置管理工作都通过这个界面完成。
广泛的网络服务支持:支持DNS、FINGER、FTP、GOPHER、 HTTP、HTTPS、ICMP、
IRC、NFS、SNMP、NNTP、POP3、RLOGIN、TELNET、WAIS、SQL*Net、Net8和其它协议。
日志审计:提供详尽的防日志,安全日志记录针对或企图通过防火墙的攻击和端口扫描,事件日志记录管理员对防火墙的所有操作,传输日志根据策略设置对通过防火墙的数据连接提供详细记录。防火墙提供SysLog接口,易于与专门的日志审计分析软件集成。同时提供清华紫光日志同步分析软件LogIT,可以同步审计分析防火墙的日志。
缓存:高达4G的缓存,加快了内部网对互联网的访问,提供最经常访问站点的排行榜;支持阻塞地址和禁止文本,对URL地址进行过滤,可分别允许或禁止同一IP上的多个虚拟主机。
产品特性
●包过滤和应用代理
●带宽控制和流量优先权控制
●IP/Mac地址绑定,防止内部IP欺骗
●支持IP映射和端口转移
●基于SSL的浏览器管理界面
●静态路由表,支持多个子网
●内置DNS和DHCP服务器
●用户认证
●支持PPTP和IPSec
●用户、IP、策略分组,易于管理
●基于浏览器的系统升级
●内置网络诊断工具,方便网络管理
●可上载/下载配置信息,便于安装配置
●完善的系统日志,并能输出给用户的管理程序
●强大的统计和审计功能
●19寸机架型,4个风扇完全散热
硬件
●2个以太网RJ-45端口,分别用于连接内部网络和外部网络(10/100Mbps自适应,全
双工)
●每个以太网接口有两个LED指示灯,分别指示连接状态、传输状态
●电源LED指示灯用于指示主电源和冗余电源的使用情况
●LCD液晶显示屏系统状态
●串行控制口,可通过串口进行命令行界面的设置
指标
●无丢包数据通过率100Mbps
●60000个并行会话,60000个先进的存取屏蔽策略.
●2000条IPSEC隧道
●物理特性
●尺寸:308mm×405mm×45mm
●净重:2.6kg
●电源需求:110-220VAC;平均功率60瓦
●工作温度:0℃-40℃
●存放温度:-40-70℃
●环境湿度:10-90%RH
●认证
●国家信息安全认证(中国国家信息安全测评认证中心)
●公安部安全产品销售许可证
●国家保密局技术认证
●军用信息安全产品认证证书
订货信息
●UF3102 2口企业级防火墙
1.4. UF3500
产品介绍
UF3500防火墙结合了基于状态检测技术的包过滤和应用代理功能。适用于大中型企业局域网到公网或企业广域专网的连接。
网络地址转换(NAT):隐藏内部IP地址,增强了安全性,节约了从ISP得到的外部IP地址。
多级过滤、动态过滤和代理:通过数据包检测,保护内部网络不被破坏,并且保护网络服务和重要的私人数据。
用户认证:完善的用户认证机制,使得所有内部用户必须经过防火墙的认证,方可连入不可信网络。
中立区(DMZ):提供中立区接口,将内外部网络与诸如HTTP、FTP、DNS、MAIL等公用服务器相隔离。同时中立区可以连接为第二个内部或者第二个外部网络,提供更灵活的选择。
地址绑定:支持自动或手工绑定MAC地址与IP地址,防止了IP地址盗用问题。
安全策略:您可根据IP地址和TCP/IP协议指定相应的防火墙策略,审查TCP/IP包,拒绝或授权访问。
IP映射和端口转移:在内部网对外部不可信网络提供多种服务的同时,以多种方式灵活地保护了内部网的安全。
虚拟专用网(VPN):UF3500提供了一个附加的功能,便于远程用户通过互联网安全地访问内部网络(支持PPTP协议)或通过互联网连接不在同一区域的局域网(支持IPSec 协议)。
基于SSL的浏览器管理界面:允许通过流行的WEB浏览器使用https协议管理和配置防火墙,保证了防火墙管理的安全性和易用性。支持网络浏览器超时退出的功能,保证了管理员离开管理计算机后的安全。
完善的管理界面:管理界面左侧的主菜单区包含了完整的功能区,提供了所有的防火墙配置和管理的功能,对系统设置、用户管理、安全策略、虚拟专网、缓存设置、地址配置、安全日志、服务协议、网络监测等功能提供了完善的应用和帮助。所有具体的配置管理工作都通过这个界面完成。
广泛的网络服务支持:支持ARP、DNS、FINGER、FTP、GOPHER、HTTP、HTTPS、ICMP、IRC、MAIL、NFS、SNMP、NNTP、POP3、RLOGIN、TELNET、WAIS、SQL*Net、Net8和其它协议。
日志审计:提供详尽的防日志,安全日志记录针对或企图通过防火墙的攻击和端口扫描,事件日志记录管理员对防火墙的所有操作,传输日志根据策略设置对通过防火墙的数据连接提供详细记录。防火墙提供SysLog接口,易于与专门的日志审计分析软件集成。同时提供清华紫光日志同步分析软件LogIT,可以同步审计分析防火墙的日志。
缓存:高达4G的缓存,加快了内部网对互联网的访问,提供最经常访问站点的排行榜;支持阻塞地址和禁止文本,对URL地址进行过滤,可分别允许或禁止同一IP上的多个虚拟主机。
产品特性
●包过滤和应用代理(支持内/外/DMZ)
●IP/Mac地址绑定,防止内部IP欺骗
●支持IP映射和端口转移
●攻击检测和实时报警
●带宽控制和流量优先权控制
●基于SSL的浏览器管理界面
●静态路由表,支持多个子网
●内置DNS和DHCP服务器
●用户认证
●支持PPTP和IPSec
●用户、IP、策略分组,易于管理
●基于浏览器的系统升级
●内置网络诊断工具,方便网络管理
●可上载/下载配置信息,便于安装配置
●完善的系统日志,并能输出给用户的管理程序
●强大的统计和审计功能
●19寸机架型,4台冗余风扇完全散热
技术规格
硬件
●3个以太网RJ-45端口,分别用于连接内部网络、中立区和外部网络(10/100Mbps自
适应,全双工)
●每个以太网接口有两个LED指示灯,分别指示连接状态、传输状态
●电源LED指示灯用于指示主电源和冗余电源的使用情况
●LCD液晶显示屏系统状态
●串行控制口,可通过串口进行命令行界面的设置
指标
●无丢包数据通过率100Mbps
●60000个并行会话,60000个先进的存取屏蔽策略.
●2000条IPSEC隧道
●物理特性
●尺寸:305mm×408mm×45mm
●净重:2.6kg
●电源需求:110-220VAC;平均功率60瓦
●工作温度:0℃-40℃
●存放温度:-40-70℃
●环境湿度:10-90%RH
●认证
●国家信息安全认证(中国国家信息安全测评认证中心)
●公安部安全产品销售许可证
●国家保密局技术认证
●军用信息安全产品认证证书
订货信息
●UF3500 3口防火墙
1.5. UF5300
产品介绍
UF5300防火墙结合了基于状态检测技术的包过滤和应用代理功能。提供了热插拔的冗余AC/DC电源,避免了单路电源故障引起的防火墙宕机,适合电信运营商级的网络环境应用。
网络地址转换(NAT):隐藏内部IP地址,增强了安全性,节约了从ISP得到的外部IP地址。
多级过滤、动态过滤和代理:通过数据包检测,保护内部网络不被破坏,并且保护网
络服务和重要的私人数据。
用户认证:完善的用户认证机制,使得所有内部用户必须经过防火墙的认证,方可连入不可信网络。
中立区(DMZ):提供中立区接口,将内外部网络与诸如HTTP、FTP、DNS、MAIL等公用服务器相隔离。同时中立区可以连接为第二个内部或者第二个外部网络,提供更灵活的选择。
地址绑定:支持自动或手工绑定MAC地址与IP地址,防止了IP地址盗用问题。
安全策略:您可根据IP地址和TCP/IP协议指定相应的防火墙策略,审查TCP/IP包,拒绝或授权访问。
IP映射和端口转移:在内部网对因特网提供多种服务的同时,以多种方式灵活地保护了内部网的安全。
虚拟专用网(VPN):UF5300提供了一个附加的功能,便于远程用户通过互联网安全地访问内部网络(支持PPTP协议)或通过互联网连接不在同一区域的局域网(支持IPSec 协议)。
基于SSL的浏览器管理界面:允许通过流行的WEB浏览器使用https协议管理和配置防火墙,保证了防火墙管理的安全性和易用性。支持网络浏览器超时退出的功能,保证了管理员离开管理计算机后的安全。
完善的管理界面:管理界面左侧的主菜单区包含了完整的功能区,提供了所有的防火墙配置和管理的功能,对系统设置、用户管理、安全策略、虚拟专网、缓存设置、地址配置、安全日志、服务协议、计费统计、网络监测等功能提供了完善的应用和帮助。所有具体的配置管理工作都通过这个界面完成。
广泛的网络服务支持:支持ARP、DNS、FINGER、FTP、GOPHER、HTTP、HTTPS、ICMP、IRC、MAIL、NFS、SNMP、NNTP、POP3、RLOGIN、TELNET、WAIS、SQL*Net、Net8和其它协议。
日志审计:提供详尽的防日志,安全日志记录针对或企图通过防火墙的攻击和端口扫描,事件日志记录管理员对防火墙的所有操作,传输日志根据策略设置对通过防火墙的数据连接提供详细记录。防火墙提供SysLog接口,易于与专门的日志审计分析软件集成。同时提供清华紫光日志同步分析软件LogIT,可以同步审计分析防火墙的日志。
缓存:高达4G的缓存,加快了内部网对互联网的访问,提供最经常访问站点的排行榜;支持阻塞地址和禁止文本,对URL地址进行过滤,可分别允许或禁止同一IP上的多个虚拟主机。
高可靠性:特别的热插拔冗余电源和双机备份,充分保证用户网络正常运行,所有应用安全可靠。
产品特性
●包过滤和应用代理(支持内/外/DMZ)
●可以双机失效转移,网络安全可靠
●IP/Mac地址绑定,防止内部IP欺骗
●支持IP映射和端口转移
●攻击检测和实时报警
●带宽控制和流量优先权控制
●基于SSL的浏览器管理界面
●静态路由表,支持多个子网
●内置DNS和DHCP服务器
●用户认证
●支持PPTP和IPSec
●用户、IP、策略分组,易于管理
●基于浏览器的系统升级
●内置网络诊断工具,方便网络管理
●可上载/下载配置信息,便于安装配置
●完善的系统日志,并能输出给用户的管理程序
●强大的统计和审计功能
●19寸机架型,4台冗余风扇完全散热
●2个冗余电源,保证机器良好运行
技术规格
硬件
●3个以太网RJ-45端口,分别用于连接内部网络、中立区和外部网络(10/100Mbps自
适应,全双工)
●每个以太网接口有两个LED指示灯,分别指示连接状态、传输状态
●电源LED指示灯用于指示主电源和冗余电源的使用情况
●LCD液晶显示屏系统状态
●串行控制口,可通过串口进行命令行界面的设置
指标
●无丢包数据通过率100Mbps
●60000个并行会话,60000个先进的存取屏蔽策略.
●2000个IPSEC隧道
物理特性
●尺寸:305mm×438mm×45mm
●净重:5.25kg
●电源需求:110-220VAC;平均功率60瓦
●工作温度:0℃-40℃
●存放温度:-40-70℃
●环境湿度:10-90%RH
认证
●国家信息安全认证(中国国家信息安全测评认证中心)
●公安部安全产品销售许可证
●国家保密局技术认证
●军用信息安全产品认证证书
订货信息
●UF5300 3口运营商级防火墙
1.6. UF10000
产品介绍
UF10000防火墙是专为运营商级客户开发的千兆线速防火墙产品,具有多项电信骨干级网络特性:包括千兆线速转发性能,支持链路冗余。热插拔冗余AC/DC电源、热插拔冗余风扇模组、热插拔冗余日志硬盘(采用SCSI接口)、双机失效转移等。
强大功能:1Gbps全双工防火墙性能,可同时处理500,000个并发会话和32,000条策略。
网络地址转换(NAT):隐藏内部IP地址,增强了安全性,节约了从ISP得到的外部IP地址。
多级过滤、动态过滤和代理:通过数据包检测,保护内部网络不被破坏,并且保护网络服务和重要的私人数据。
安全策略:您可根据IP地址和TCP/IP协议指定相应的防火墙策略,审查TCP/IP包,拒绝或授权访问。
IP映射和端口转移:在受保护网络对Internet提供多种服务的同时,以多种方式灵活地保护了内部网的安全。
虚拟专用网(VPN):UF10000支持VPN,便于远程用户通过互联网安全地访问内部网
络(支持PPTP协议)或通过互联网连接不在同一区域的局域网(支持IPSec协议)。采用硬件加密引擎的20,000个IPsec VPN隧道。支持1Gbps的3DES加密(MD5和SHA-1认证),并可具有或不具有同时认证功能
虚拟网关:独特的安全虚拟网关使一台UF10000可以为多达500个独立客户防火墙提供不同的策略和管理
基于SSL的浏览器管理界面:允许通过流行的WEB浏览器使用https协议管理和配置防火墙,保证了防火墙管理的安全性和易用性。支持网络浏览器超时退出的功能,保证了管理员离开管理计算机后的安全。
广泛的网络服务支持:支持ARP、DNS、FINGER、FTP、GOPHER、HTTP、HTTPS、ICMP、IRC、MAIL、NFS、SNMP、NNTP、POP3、RLOGIN、TELNET、WAIS、SQL*Net、Net8和其它协议。
访问记录:用户可配置带宽使用、网络传输和防火墙系统记录,提供接口,易于集成到第三方管理软件中。
高可靠性:UF10000可以被配置为快速故障切换模式来防止网络和设备故障。从输入输出到RAID-1磁盘镜像以及热插拔AC或DC电源的全系统冗余性。
产品特性
●基于Intel IXP1200网络处理器阵列的架构
●快速防火墙策略查找算法
●支持IP映射和端口转移
●攻击检测和实时报警
●透明防火墙功能
●对虚拟网关的支持
●最大流量控制和流量优先权控制
●基于SSL的浏览器管理界面
●静态路由表,支持多个子网
●支持PPTP和IPSec
●IP、策略分组,易于管理
●基于浏览器的系统升级
●内置网络诊断工具,方便网络管理
●可上载/下载配置信息,便于安装配置
●完善的系统日志,并能输出给用户的管理程序
●强大的统计和审计功能
●19寸机架型,可热插拔的4个冗余风扇
●运营商级冗余性和可靠性
技术规格
硬件
●2对冗余配置的千兆GBIC端口,分别用于连接内部网络和外部网络(1000M,全双
工)
●每个以太网接口有两个LED指示灯,分别指示连接状态、传输状态
●电源LED指示灯用于指示主电源和冗余电源的使用情况
●LCD液晶显示屏系统状态
●串行控制口,可通过串口进行命令行界面的设置
指标
●无丢包数据通过率1000Mbps,完全线速
●500000个并行会话,32000条策略
●硬件加密的20000个IPSEC隧道
物理特性
●尺寸:533mm×433mm×89mm
●净重:9kg
●电源需求:110-220VAC;平均功率100瓦
●工作温度:0℃-40℃
●存放温度:-40-70℃
●环境湿度:10-90%RH
认证
●国家信息安全认证(中国国家信息安全测评认证中心)●公安部安全产品销售许可证
●国家保密局技术认证
●军用信息安全产品认证证书
订货信息
●UF10000 千兆运营商级防火墙
防火墙方案
防火墙方案
防火墙方案
区域逻辑隔离建设(防火墙) 国家等级保护政策要求不同安全级别的系统要进行逻辑隔离,各区域之间能够按照用户和系统之间的允许访问规则控制单个用户,决定允许或者禁止用户对受控系统的资源访问。 国家等级化保护政策要求不同安全级别间的系统要进行区域的逻辑隔离,各区域之间能按照用户和系统之间的允许访问规则,控制担搁用户,决定允许或者拒绝用户对受控系统的资源访问。 在网络边界部署防火墙系统,并与原有防火墙形成双机热备,部署防火墙能够实现: 1.网络安全的基础屏障: 防火墙能极大地提高一个内部网络的安全性,并经过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能经过防火墙,因此网络环境变得更安全。如防火墙能够禁止诸如众所周知的不安全的NFS协议进出受保护网络,这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。防火墙同时能够保护网络免受基于路由的攻击,如IP选项中的源路由攻击和ICMP重定向中的重定向路径。防火墙能够拒绝所有以上类型攻击的报文并通知防火墙管理员。 2.强化网络安全策略
经过以防火墙为中心的安全方案配置,能将所有安全软件(如口令、加密、身份认证、审计等)配置在防火墙上。与将网络安全问题分散到各个主机上相比,防火墙的集中安全管理更经济。例如在网络访问时,一次一密口令系统和其它的身份认证系统完全能够不必分散在各个主机上,而集中在防火墙一身上。 3.对网络存取和访问进行监控审计 如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并作出日志记录,同时也能提供网络使用情况的统计数据。当发生可疑动作时,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。另外,收集一个网络的使用和误用情况也是非常重要的。首先的理由是能够清楚防火墙是否能够抵挡攻击者的探测和攻击,而且清楚防火墙的控制是否充分。而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。 4.防止内部信息的外泄 经过利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。再者,隐私是内部网络非常关心的问题,一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣,甚至因此而曝露了内部网络的某些安全漏洞。使用防火墙就能够隐蔽那些透漏内部细节如Finger,DNS等服务。
迪普防火墙专业技术白皮书
迪普防火墙技术白皮书
————————————————————————————————作者:————————————————————————————————日期:
迪普FW1000系列防火墙 技术白皮书 1 概述 随着网络技术的普及,网络攻击行为出现得越来越频繁。通过各种攻击软件,只要具有一般计算机常识的初学者也能完成对网络的攻击。各种网络病毒的泛滥,也加剧了网络被攻击的危险。目前,Internet网络上常见的安全威胁分为以下几类: 非法使用:资源被未授权的用户(也可以称为非法用户)或以未授权方式(非法权限)使用。例如,攻击者通过猜测帐号和密码的组合,从而进入计算机系统以非法使用资源。 拒绝服务:服务器拒绝合法用户正常访问信息或资源的请求。例如,攻击者短时间内使用大量数据包或畸形报文向服务器不断发起连接或请求回应,致使服务器负荷过重而不能处理合法任务。 信息盗窃:攻击者并不直接入侵目标系统,而是通过窃听网络来获取重要数据或信息。 数据篡改:攻击者对系统数据或消息流进行有选择的修改、删除、延误、重排序及插入虚假消息等操作,而使数据的一致性被破坏。
?基于网络协议的防火墙不能阻止各种攻 击工具更加高层的攻击 ?网络中大量的低安全性家庭主机成为攻 击者或者蠕虫病毒的被控攻击主机 ?被攻克的服务器也成为辅助攻击者 Internet 目前网络中主要使用防火墙来保证内部网路的安全。防火墙类似于建筑大厦中用于防止 火灾蔓延的隔断墙,Internet防火墙是一个或一组实施访问控制策略的系统,它监控可信任 网络(相当于内部网络)和不可信任网络(相当于外部网络)之间的访问通道,以防止外部 网络的危险蔓延到内部网络上。防火墙作用于被保护区域的入口处,基于访问控制策略提供 安全防护。例如:当防火墙位于内部网络和外部网络的连接处时,可以保护组织内的网络和 数据免遭来自外部网络的非法访问(未授权或未验证的访问)或恶意攻击;当防火墙位于组 织内部相对开放的网段或比较敏感的网段(如保存敏感或专有数据的网络部分)的连接处时, 可以根据需要过滤对敏感数据的访问(即使该访问是来自组织内部)。 防火墙技术经历了包过滤防火墙、代理防火墙、状态防火墙的技术演变,但是随着各种 基于不安全应用的攻击增多以及网络蠕虫病毒的泛滥,传统防火墙面临更加艰巨的任务,不 但需要防护传统的基于网络层的协议攻击,而且需要处理更加高层的应用数据,对应用层的 攻击进行防护。对于互联网上的各种蠕虫病毒,必须能够判断出网络蠕虫病毒的特征,把网 络蠕虫病毒造成的攻击阻挡在安全网络之外。从而对内部安全网络形成立体、全面的防护。
国内防火墙与UTM市场趋势分析
国内防火墙与UTM市场趋势分析 云计算、虚拟化、BYOD、移动互联网、大数据,这些2012年的年度热词依然会在未来几年内持续升温。云计算的加速落地,虚拟化的广泛应用,以及移动设备的爆炸式增长所带来的移动化和BYOD热潮,企业乃至数据中心所面临的安全风险都将和往年大不相同。因此,用户对于安全的需求也朝着更细粒化、多元化以及更快捷化的方向发展。 安全产品市场稳步增长 IT安全市场变化也验证了用户端需求的变化。日前IDC" style="color: rgb(0, 0, 0); text-decoration: none; border-bottom-color: rgb(7, 129, 199); border-bottom-width: 1px; border-bottom-style: dotted; " target="_blankIDC(国际数据公司)给出了最新的中国IT安全市场研究报告和预测。从IDC公开发布的数据看来,虽然中国IT安全市场鲜有惊人之举,但是增长势头良好,行业竞争也日趋激烈。以防火墙的最新文章">防火墙/VPN和统一威胁管理(UTM" style="color: rgb(0, 0, 0); text-decoration: none; border-bottom-color: rgb(7, 129, 199); border-bottom-width: 1px; border-bottom-style: dotted; " target="_blankUTM)两大子市场为例,市场份额占据前三甲,或者前五名的公司的数值接近,并未出现诸如入侵防御和安全内容管理等子市场中一家独大的情况。 整体来看,IDC预计2012年中国IT安全市场规模为16.67亿美元,同比增长13.5%,2011到2016年,预计中国IT安全市场的复合增长率为12.2%。未来五年内,IT安全硬件市场的增长最快,将会达到12.9%的复合增长率。 图1:中国IT安全市场规模及预测 (数据来源:IDC, 2012.10) 图2:中国IT安全硬件市场规模及预测 (数据来源:IDC, 2012.10) 不难看出,在图1中代表IT 安全硬件的红色部分增幅明显,IDC也预计2012年全年,中国IT安全硬件市场规模将达到8.27亿美元,同比增长13.8%,到2016年,市场规模将达到13.3亿美元。相比2011年下半年的预测,IDC对IT安全硬件市场的增长率预期降低了1.3个百分点,并且在此前的预测中,预计2016年市场规模将达到14亿美元左右。由图2可以看出,整体安全硬件市场规模呈现缓慢增长的态势,到2016年,增长率会持续走低。这也应该与国内及全球经济形势相关,但是整个市场规模还是持续地稳步增长。因此,到2016年,中国IT安全硬件市场仍然会达到至少13亿美元的规模。 在中国IT安全市场中,硬件部分无疑是最大的一块市场。而防火墙/VPN和UTM则联手占据了整个硬件市场的60%有余。到2016年,这两大子市场在中国将达到总计8亿美元的市场规模,相比2012年将增长3亿美元左右。 图3 图4 直到2016年,防火墙/VPN市场将保持5%左右的增长幅度,市场规模变化不大,而UTM(统一威胁管理)市场规模增长势头强劲,将会保持在20%左右的增长率(图3,图4)。 防火墙市场增长率稳中有降 在需求高性能高稳定性的网络环境中,以及高容量的多类业务并存、大量并发用户数量以及需要多种设备交互连接的情况下,比如金融行业或者电信运营商的数据中心,防火墙无疑是最好的选择。通过各家厂商对于芯片和硬件架构的不断革新,对于NP以及ASIC研究的不断
网络卫士防火墙NGFW4000-UF系列产品说明
网络卫士防火墙系统NGFW4000-UF系列 产品说明 天融信 TOPSEC?北京市海淀区上地东路1号华控大厦 100085 电话:+8610-82776666 传真:+8610-82776677 服务热线:+8610-8008105119 http: //https://www.sodocs.net/doc/808540981.html,
版权声明本手册的所有内容,其版权属于北京天融信公司(以下简称天融信)所有,未经天融信许可,任何人不得仿制、拷贝、转译或任意引用。本手册没有任何形式的担保、立场倾向或其他暗示。 若因本手册或其所提到的任何信息引起的直接或间接的资料流失、利益损失,天融信及其员工恕不承担任何责任。本手册所提到的产品规格及资讯仅供参考,有关内容可能会随时更新,天融信恕不承担另行通知之义务。 版权所有不得翻印? 1995-2008天融信公司 商标声明本手册中所谈及的产品名称仅做识别之用,而这些名称可能属于其他公司的注册商标或是版权,其他提到的商标,均属各该商标注册人所有,恕不逐一列明。 TopSEC?天融信 信息反馈 https://www.sodocs.net/doc/808540981.html,
NGFW 4000-UF系列产品说明 目录 1产品概述 (1) 2关键技术 (2) 1)灵活的接口扩展能力 (2) 2)安全高效的TOS操作系统 (2) 3)集成多种安全引擎:FIREWALL+IPSEC+SSL+ANTIVIRUS+IPS (2) 4)完全内容检测CCI技术 (3) 3产品特点介绍 (4) 4产品功能 (9) 5运行环境与标准 (14) 6典型应用 (16) 1)典型应用一:在大型网络中的应用 (16) 2)典型应用二:虚拟防火墙应用 (17) 3)典型应用三:AA模式双机热备 (18)
防火墙基础知识
防火墙基础知识 3.3 包过滤包过滤技术(Ip Filtering or packet filtering) 的原理在于监视并过滤网络上流入流出的Ip包,拒绝发送可疑的包。由于Internet 与Intranet 的连接多数都要使用路由器,所以Router成为内外通信的必经端口,Router的厂商在Router上加入IP Filtering 功能,这样的Router也就成为Screening Router 或称为Circuit-level gateway. 网络专家Steven.M.Bellovin认为这种Firewall 应该是足够安全的,但前提是配置合理。然而一个包过滤规则是否完全严密及必要是很难判定的,因而在安全要求较高的场合,通常还配合使用其它的技术来加强安全性。Router 逐一审查每份数据包以判定它是否与其它包过滤规则相匹配。(注:只检查包头的内容,不理会包内的正文信息内容) 过滤规则以用于IP顺行处理的包头信息为基础。包头信息包括: IP 源地址、IP目的地址、封装协议(TCP、UDP、或IP Tunnel)、TCP/UDP源端口、ICMP包类型、包输入接口和包输出接口。如果找到一个匹配,且规则允许这包,这一包则根据路由表中的信息前行。如果找到一个匹配,且规则允许拒绝此包,这一包则被舍弃。如果无匹配规则,一个用户配置的缺省参数将决定此包是前行还是被舍弃。*从属服务的过滤包过滤规则允许Router取舍以一个特殊服务为基
础的信息流,因为大多数服务检测器驻留于众所周知的TCP/UDP端口。例如,Telnet Service 为TCP port 23端口等待远程连接,而SMTP Service为TCP Port 25端口等待输入连接。如要封锁输入Telnet 、SMTP的连接,则Router 舍弃端口值为23,25的所有的数据包。典型的过滤规则有以下几种: .允许特定名单内的内部主机进行Telnet输入对话 .只允许特定名单内的内部主机进行FTP输入对话 .只允许所有Telnet 输出对话 .只允许所有FTP 输出对话 .拒绝来自一些特定外部网络的所有输入信息* 独立于服务的过滤 有些类型的攻击很难用基本包头信息加以鉴别,因为这些独立于服务。一些Router可以用来防止这类攻击,但过滤规则需要增加一些信息,而这些信息只有通过以下方式才能获
防火墙基础知识
(一) 防火墙概念 防火墙不只是一种路由器、主系统或一批向网络提供安全性的系统。相反,防火墙是 一种获取安全性的方法;它有助于实施一个比较广泛的安全性政策,用以确定允许提供的服务和访问。就网络配置、一个或多个主系统和路由器以及其他安全性措施(如代替 静态口令的先进验证)来说,防火墙是该政策的具体实施。防火墙系统的主要用途就是 控制对受保护的网络(即网点)的往返访问。它实施网络访问政策的方法就是逼使各连接 点通过能得到检查和评估的防火墙。 ____________ ___________ | | | | | Computer | | Computer | |__________| |___________| ____________ ________ | | |应| |Packet | ______|________________|__________| 用|_____|Filter |___Internet | 网| |Router | 网点系统| 关| |________| |__________| 路由器和应用网关防火墙范例 防火墙系统可以是路由器,也可以是个人主机、主系统和一批主系统,专门把网 络或子网同那些可能被子网外的主系统滥用的协议和服务隔绝。防火墙系统通常位于等级较高的网关如网点与Internet的连接处,但是防火墙系统可以位于等级较低的网关, 以便为某些数量较少的主系统或子网提供保护。 防火墙基本上是一个独立的进程或一组紧密结合的进程,运行于Router or Server 来控制经过防火墙的网络应用程序的通信流量。一般来说,防火墙置于公共网络(如Inter- -net)人口处。它可以看作是交通警察。它的作用是确保一个单位内的网络与Internet之间所有的通信均符合该单位的安全方针。这些系统基本上是基于TCP/IP,并与实现方法有关,它能实施安全路障并为管理人员提供对下列问题的答案: * 谁在使用网络? * 他们在网上做什么? * 他们什么时间使用过网络?
迪普防火墙技术白皮书 (1)
迪普FW1000系列防火墙 技术白皮书 1概述 随着网络技术的普及,网络攻击行为出现得越来越频繁。通过各种攻击软件,只要具有一般计算机常识的初学者也能完成对网络的攻击。各种网络病毒的泛滥,也加剧了网络被攻击的危险。目前,Internet网络上常见的安全威胁分为以下几类: 非法使用:资源被未授权的用户(也可以称为非法用户)或以未授权方式(非法权限)使用。例如,攻击者通过猜测帐号和密码的组合,从而进入计算机系统以非法使用资源。 拒绝服务:服务器拒绝合法用户正常访问信息或资源的请求。例如,攻击者短时间内使用大量数据包或畸形报文向服务器不断发起连接或请求回应,致使服务器负荷过重而不能处理合法任务。 信息盗窃:攻击者并不直接入侵目标系统,而是通过窃听网络来获取重要数据或信息。 数据篡改:攻击者对系统数据或消息流进行有选择的修改、删除、延误、重排序及插入虚假消息等操作,而使数据的一致性被破坏。
?基于网络协议的防火墙不能阻止各种 攻击工具更加高层的攻击 ?网络中大量的低安全性家庭主机成为 攻击者或者蠕虫病毒的被控攻击主机 ?被攻克的服务器也成为辅助攻击者 Internet 止火灾蔓延的隔断墙,Internet防火墙是一个或一组实施访问控制策略的系统,它监控可信任网络(相当于内部网络)和不可信任网络(相当于外部网络)之间的访问通道,以防止外部网络的危险蔓延到内部网络上。防火墙作用于被保护区域的入口处,基于访问控制策略提供安全防护。例如:当防火墙位于内部网络和外部网络的连接处时,可以保护组织内的网络和数据免遭来自外部网络的非法访问(未授权或未验证的访问)或恶意攻击;当防火墙位于组织内部相对开放的网段或比较敏感的网段(如保存敏感或专有数据的网络部分)的连接处时,可以根据需要过滤对敏感数据的访问(即使该访问是来自组织内部)。 防火墙技术经历了包过滤防火墙、代理防火墙、状态防火墙的技术演变,但是随着各种基于不安全应用的攻击增多以及网络蠕虫病毒的泛滥,传统防火墙面临更加艰巨的任务,不但需要防护传统的基于网络层的协议攻击,而且需要处理更加高层的应用数据,对应用层的攻击进行防护。对于互联网上的各种蠕虫病毒,必须能够判断出网络蠕虫病毒的特征,把网络蠕虫病毒造成的攻击阻挡在安全网络之外。从而对内部安全网络形成立体、全面的
排名世界前十的防火墙排行榜具体是哪些
排名世界前十的防火墙排行榜具体是哪些 十大防火墙,是现在计算机网络世界中最为著名的十款全球性防火墙软件,它们均功能强大完善,是计算机装机必备的系统安全软件。所以小编就为大家分别介绍下他们的来历,让大家长知识! 世界前十防火墙排行榜 第一名: ZoneAlarm Pro ZoneAlarm来保护你的电脑,防止Trojan(特洛伊木马)程序,Trojan也是一种极为可怕的程序。ZoneAlarm可以帮你执行这项重大任务喔。基本版还是免费的。使用很简单,你只要在安装时填入你的资料,如有最新的ZoneAlarm,免费网上更新。安装完后重新开机,ZoneAlarm就会自动启动,帮你执行任务。当有程序想要存取Internet时,如网络浏览器可能会出现连不上网络,这时你可以在右下角ZoneAlarm的小图示上按两下鼠标左键,选取Programs的选项,勾选你要让哪些软件上网,哪些不可以上网,利用此种方法来防治一些来路不明的软件偷偷上网。最好的方法是锁住
(Lock)网络不让任何程序通过,只有你核准的软件才可以通行无阻。你还可利用它来看看你开机后已经使用多少网络资源,也可以设定锁定网络的时间。这么好用的软件你一定要亲自使用才能感觉到它的威力。英文原版: ZoneAlarm Pro V6.5.722.000 第二名: Outpost Firewall Pro Agnitum Outpost Firewall 是一款短小精悍的网络防火墙软件,它的功能是同类PC软件中最强的,甚至包括了广告和图片过滤、内容过滤、DNS缓存等功能。它能够预防来自Cookies、广告、电子邮件病毒、后门、窃密软件、解密高手、广告软件和其它Internet 危险的威胁。该软件不需配置就可使用,这对于许多新手来说,变得很简单。尤为值得一提的是,这是市场上第一个支持插件的防火墙,这样它的功能可以很容易地进行扩展。该软件资源占用也很小。Outpost的其它强大功能毋庸多说,你亲自试一试就知道了。英文原版: Outpost Firewall PRO V3.51 第三名: Norton Personal Firewall
企业级防火墙产品介绍
企业级防火墙产品介绍 Document serial number【NL89WT-NY98YT-NC8CB-NNUUT-NUT108】
PRO 3060/4060 企业级防火墙产品介绍 一、产品概述 SonicWALL公司最新RRO家族成员 PRO 3060/4060防火墙,使用更高运算性能的2GHz Intel 处理器,256 M的RAM,64 MB Flash Memory,集合6个10/100 M bps高速以太网接口,适用大、中型网络企业用户及大型分支机构用户,提供防火墙、虚拟局域网络(VPN)、网站内容过滤、网络防病毒、多ISP备份及负载均衡、带宽管理、全球管理、双机热备、等模块化功能,是高效能的硬件式防火墙安全平台。 SonicWALL PRO 3060/4060能充分保障各分支机构办公室及各点间通讯的安全,避免商业机密被窃取与破坏。SonicWALL PRO 3060/4060 采用独立式作业平台,使用者无须具备专业级的网络知识就可容易安装与使用。经过安装后,可由浏览器如:IE、Netscape等来使用与管理。SonicWALL PRO 3060/4060并内含 VPN加速芯片(ASIC) 可使 168 Bits 3DES VPN 效率达75M/190MBps,并且赠送VPN Client客户端软件25/1000个授权用户。 (说明:PRO3060 OS系统有SonicOS 与SonicOS enhanced两种选择,以下PRO3060产品介绍均按照选择SonicOS enhanced系统进行说明;另以下产品提供之功能部分为可选功能模块,请联系供应商确认。) 二、功能介绍 SonicWALL PRO 3060/4060 为19" 标准架构,支持无限制用户,内含SonicOS enhanced 系统软件,具备有6个10/100MBps Ethernet 接口,适用于大中型企业或大型分支机构的办公室、电子商务网站、数据中心等,产品提供以下功能: ?Firewalling–防火墙功能 SonicWALL PRO 3060/4060采用全状态检测技术,防止来自Internet 对私人网络的数据窃取破坏或窜改,并且能自动侦测-阻断服务攻击Denial of Service (DoS),禁止无使用权的人存取使用网络设备与资源。SonicWALL PRO 3060/4060也支持使用网络地址转换Network Address Translation (NAT)使网络环境更易于管理。 ?IPSec VPN–虚拟局域网 SonicWALL VPN 适用于各办公室,事业伙伴及远程使用者一个安全便利的网络加密方式,包括168 bit Data Encryption Standard (Triple-DES), 56 bit Data Encryption Standard (DES),和AES方式。SonicWALL VPN 提供了各分支点间或大多数远程使用者采用IPSec VPN方式,将数据自动加密解密的通讯方式。使用专属高效能 ASIC 加解密芯片有效地减轻加解密负担,使PRO 3060/4060 的VPN处理效能又达另一高峰,状态封包检查防火墙效能高达300 Mbps 以上,3DES 及 AES VPN 传输效率高达75M/190 Mbps,并且支持VPN通道负载均衡、备份;支持动态域名解析。
下一代防火墙_绿盟_下一代防火墙产品白皮书
绿盟下一代防火墙 产品白皮书 ? 2014 绿盟科技■版权声明 本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属绿盟科技所有,受到有关产权及版权法保护。任何个人、机构未经绿盟科技的书面授权许可,不得以任何方式复制或引用本文的任何片断。
目录 一. 当今网络边界安全的新挑战 (1) 二. 现有防火墙解决方案的不足 (2) 三. 绿盟下一代防火墙产品 (3) 3.1客户价值 (3) 3.1.1 洞察网络应用,识别安全风险 (3) 3.1.2 融合安全功能,保障应用安全 (4) 3.1.3 高效安全引擎,实现部署无忧 (4) 3.1.4 内网风险预警,安全防患未然 (4) 3.1.5 云端高效运维,安全尽在掌握 (5) 3.2产品概述 (5) 3.3产品架构 (6) 3.4主要功能 (7) 3.4.1 识别和可视性 (7) 3.4.2 一体化策略与控制 (8) 3.4.3 应用层防护 (9) 3.4.4 内网资产风险识别 (10) 3.4.5 安全运维云端接入 (11) 3.4.6 基础防火墙特性 (12) 3.5产品优势 (13) 3.5.1 全面的应用、用户识别能力 (13) 3.5.2 细致的应用层控制手段 (15) 3.5.3 专业的应用层安全防护能力 (16) 3.5.4 卓越的应用层安全处理性能 (18) 3.5.5 首创的内网资产风险管理 (18) 3.5.6 先进的云端安全管理模式 (18) 3.5.7 完全涵盖传统防火墙功能特性 (19) 3.6典型部署 (19) 四. 总结 (20)
插图索引 图1 核心理念 (5) 图2 整体架构 (6) 图3 资产管理 (10) 图4 云端接入 (11) 图5 应用/用户识别 (13) 图6 应用控制 (15) 图7 一体化安全引擎 (16) 图8 双引擎多核并发 (18) 图9 典型部署 (19)
网络卫士防火墙NGFWUF系列产品说明
网络卫士防火墙 N G F W U F系列产品说 明 公司内部档案编码:[OPPTR-OPPT28-OPPTL98-OPPNN08]
网络卫士防火墙系统 NGFW4000-UF系列 产品说明 天融信 TOPSEC 北京市海淀区上地东路1号华控大厦 100085 版权声明本手册的所有内容,其版权属于北京天融信公司(以下简称天融信)所有,未经天融信许可,任何人不得仿制、拷贝、转译或任意引用。本手册没有任何形式的担保、立场倾向或其他暗示。 若因本手册或其所提到的任何信息引起的直接或间接的资料流失、利益损失,天融信及其员工恕不承担任何责任。本手册所提到的产品规格及资讯仅供参考,有关内容可能会随时更新,天融信恕不承担另行通知之义务。 版权所有不得翻印 1995-2008天融信公司 商标声明
本手册中所谈及的产品名称仅做识别之用,而这些名称可能属于其他公司的注册商标或是版权,其他提到的商标,均属各该商标注册人所有,恕不逐一列明。 TopSEC天融信 信息反馈
目录1产品概述..................................................... 2关键技术..................................................... 1)灵活的接口扩展能力.......................................... 2)安全高效的TOS操作系统...................................... 3)集成多种安全引擎:FIREWALL+IPSEC+SSL+ANTIVIRUS+IPS .......... 4)完全内容检测CCI技术........................................ 3产品特点介绍................................................. 4产品功能..................................................... 5运行环境与标准............................................... 6典型应用..................................................... 1)典型应用一:在大型网络中的应用.............................. 2)典型应用二:虚拟防火墙应用.................................. 3)典型应用三:AA模式双机热备..................................
华为USG6000系列防火墙产品技术白皮书(总体)
华为USG6000系列下一代防火墙技术白皮书 文档版本V1.1 发布日期2014-03-12
版权所有? 华为技术有限公司2014。保留一切权利。 非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。 商标声明 和其他华为商标均为华为技术有限公司的商标。 本文档提及的其他所有商标或注册商标,由各自的所有人拥有。 注意 您购买的产品、服务或特性等应受华为公司商业合同和条款的约束,本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内。除非合同另有约定,华为公司对本文档内容不做任何明示或暗示的声明或保证。 由于产品版本升级或其他原因,本文档内容会不定期进行更新。除非另有约定,本文档仅作为使用指导,本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。 华为技术有限公司 地址:深圳市龙岗区坂田华为总部办公楼邮编:518129 网址:https://www.sodocs.net/doc/808540981.html, 客户服务邮箱:ask_FW_MKT@https://www.sodocs.net/doc/808540981.html, 客户服务电话:4008229999
目录 1 概述 (1) 1.1 网络威胁的变化及下一代防火墙产生 (1) 1.2 下一代防火墙的定义 (1) 1.3 防火墙设备的使用指南 (2) 2 下一代防火墙设备的技术原则 (1) 2.1 防火墙的可靠性设计 (1) 2.2 防火墙的性能模型 (2) 2.3 网络隔离 (3) 2.4 访问控制 (3) 2.5 基于流的状态检测技术 (3) 2.6 基于用户的管控能力 (4) 2.7 基于应用的管控能力 (4) 2.8 应用层的威胁防护 (4) 2.9 业务支撑能力 (4) 2.10 地址转换能力 (5) 2.11 攻击防范能力 (5) 2.12 防火墙的组网适应能力 (6) 2.13 VPN业务 (6) 2.14 防火墙管理系统 (6) 2.15 防火墙的日志系统 (7) 3 Secospace USG6000系列防火墙技术特点 (1) 3.1 高可靠性设计 (1) 3.2 灵活的安全区域管理 (6) 3.3 安全策略控制 (7) 3.4 基于流会话的状态检测技术 (9) 3.5 ACTUAL感知 (10) 3.6 智能策略 (16) 3.7 先进的虚拟防火墙技术 (16) 3.8 业务支撑能力 (17) 3.9 网络地址转换 (18)
NGFW4000防火墙系列白皮书
网络卫士防火墙系统 NGFW4000系列 产品说明 天融信 TOPSEC? 北京市海淀区上地东路1号华控大厦 100085 电话:+8610-82776666 传真:+8610-82776677 服务热线:+8610-8008105119 https://www.sodocs.net/doc/808540981.html,
版权声明 本手册的所有内容,其版权属于北京天融信公司(以下简称天融信)所有,未经天融信许可,任何人不得仿制、拷贝、转译或任意引用。本手册没有任何形式的担保、立场倾向或其他暗示。 若因本手册或其所提到的任何信息引起的直接或间接的资料流失、利益损失,天融信及其员工恕不承担任何责任。本手册所提到的产品规格及资讯仅供参考,有关内容可能会随时更新,天融信恕不承担另行通知之义务。 版权所有不得翻印? 1995-2006天融信公司 商标声明 本手册中所谈及的产品名称仅做识别之用,而这些名称可能属于其他公司的注册商标或是版权,其他提到的商标,均属各该商标注册人所有,恕不逐一列明。 TopSEC?天融信 信息反馈 https://www.sodocs.net/doc/808540981.html,
NGFW 4000系列产品说明 目录 1产品概述 (2) 2产品特点 (2) 3产品功能 (8) 4运行环境 (13) 5产品规格 (14) 6典型应用 (15) 6.1典型应用一:在企业、政府纵向网络中的应用 (15) 6.2典型应用二:在企业、政府内部局域网络中的应用 (16) 6.3典型应用四:在大型网络中的应用 (17) 6.4典型应用五:防火墙作为负载均衡器 (17) 6.5典型应用六:防火墙接口备份 (18)
关于各类防火墙的介绍
关于各类防火墙的介绍 信息安全,历来都是计算机应用中的重点话题。在计算机网络日益扩展与普及的今天,计算机信息安全的要求更高了,涉及面也更广了。 计算机信息安全主要研究的是计算机病毒的防治和系统的安全。不但要求防治病毒,还要提高系统抵抗外来非法黑客入侵的能力,还要提高对远程数据传输的保密性,避免在传输途中遭受非法窃取。 在防治网络病毒方面,主要防范在下载可执行软件如:*.exe ,*.zip,等文件时,病毒的潜伏与复制传播。 对于系统本身安全性,主要考虑服务器自身稳定性、健壮性,增强自身抵抗能力,杜绝一切可能让黑客入侵的渠道,避免造成对系统的威胁。对重要商业应用,必须加上防火墙和数据加密技术加以保护。 在数据加密方面,更重要的是不断提高和改进数据加密技术,使心怀叵测的人在网络中难有可乘之机。 计算机信息安全是个很大的研究范畴,本文主要讨论保障网络信息安全时,作为防火墙的用户如何来评测自身的业务需求,如何来通过产品的对比选型,选择合适自己的防火墙产品。 众所周知,我们目前保护计算机系统信息安全的主要手段,就是部署和应用防火墙。可是,我们在使用防火墙时会遇到许多问题,最具代表性的为以下三个:其一,防火墙是用硬件防火墙呢,还是用软件防火墙?这个对于许多人都是难以确定的。硬、软件防火墙,各有各的优势,可是谁的优势大一些,作为普通用户,很难深入了解。 其二,防火墙如何选型?防火墙产品的种类如此之多,而各防火墙厂商的技术水平参差不齐,到底选谁的?要知道,若是选错了产品,投资回报低是小事,如果系统因此而受到攻击,导致重要信息泄密或受损,则用户的损失就大了。 其三,若是选定了某种软件防火墙,它和用户目前的操作系统的兼容性如何,有没有集成的优势?这也是防火墙用户常问的问题。 下面列举一些防火墙的主流产品,从其各自的特点、功能、处理性能及操作复杂程度等方面进行比较,并将实际使用中遇到的一些问题提出来,供大家借鉴。
2015-4-14web应用防火墙WAF-产品白皮书(WAF)
2015-4-14web应用防火墙WAF-产品白皮书(WAF)
第1章概述 随着互联网技术的发展,Web应用日益增多,同时也面临着Web滥用、病毒泛滥和黑客攻击等安全问题,导致Web应用被篡改、数据被窃取或丢失。根据Gartner的统计当前网络上75%的攻击是针对Web应用的。攻击者通过应用层协议进入组织内部,如Web、Web邮件、聊天工具和P2P等攻击企业网络。利用网上随处可见的攻击软件,攻击者不需要对网络协议的深厚理解基础,即可完成诸如更换web网站主页,盗取管理员密码,破坏整个网站数据等等攻击。而这些攻击过程中产生的网络层数据,和正常数据没有什么区别。常见的威胁如下: 威胁名称威胁描述 非授权访问非授权用户可能试图访问和使用非授权端口、应用类型以及资源 Web应用攻 击恶意用户可能通过构造特殊的HTTP/HTTPS请求,对产品保护的web应用实施SQL注入、XSS等web攻击
络规划复杂化的今天防火墙的不适应性就越发明显,从用户对网络安全建设的需求来看,传统防火墙存在以下问题: 传统防火墙基于IP/端口,无法对WEB应用层进行识别与控制,无法确定哪些WEB应用经过了防火墙,自然就谈不上对各类威胁进行有效防御了。面对WEB应用层的攻击,防火墙显得力不从心,无法检测或拦截嵌入到普通流量中的恶意攻击代码,比如病毒、蠕虫、木马等。 传统防火墙无法抵御来自WEB应用层的威胁,自然就无法提供给用户有效的安全策略制定依据。传统防火墙的防御能力有限导致了用户对内网服务器的安全状态没有直观的体现和把握,缺乏安全信息的可视化。 1.1.1I PS设备能否抵御WEB攻击? IPS只能针对操作系统或者应用软件的底层漏洞进行防护,缺乏针对Web攻击威胁的防御能力,对Web攻击防护效果不佳。缺乏攻击事后防护机制,不具备数据的双向内容检测能力,对未知攻击产生的后果无能为力,如入侵防御设备无法应对来自于web网页上的SQL,XSS漏
六大主流防火墙的详细设置
六大主流防火墙正确设置技巧 最近,果冻接到了好几个同事的“投诉”,他们反映无法通过网上邻居对草莓的共享文件夹进行访问,果冻在自己的电脑上试了一下,确实如此。然而,在草莓的电脑上访问其他计算机又很正常。 不过,果冻看到了草莓新安装的天网防火墙,这时他恍然大悟。就是这防火墙把大伙挡在了“门外”。原来草莓担心自己的电脑被病毒侵扰,就安装了防火墙,没想到给别人造成了麻烦。应草莓这帮菜鸟的要求,果冻对各种常用的防火墙软件在局域网内的正确设置进行了 讲解。 天网防火墙 首先要介绍的当然是天网防火墙(2.60版)这个“肇事者”了。在这款防火墙刚安装完成后就会弹出一个设置向导。但是,很多用户都没有注意到这个设置向导,随意点击几下便完成了安装(草莓便是这种“大马虎”),结果不正确的配置引起了网络故障。 如果要解决这种因为初始设置不正确而导致的网络故障,我们可以重新调出向导进行设置。在天网防火墙的主面板上点击“系统设置”按钮,在弹出的“系统设置”窗口中,点击“规则设定”中的“向导”(图 1),就会弹出设置向导。
在“安全级别设置”对话框中选择好安全级别(局域网内的用户可以选择“低”)后再点击“下一步”按钮,进入“局域网信息设置”窗口。勾选“我的电脑在局域网中使用”,软件便会自动探测本机的IP地址并显示在下方。接下来,一路点击“下一步”按钮即可完成设置了。 果冻提示我们也可以只允许局域网内的某台电脑访问自己的共享资料,以达到保密的目的。在防火墙主面板上点击“IP规则管理”按钮,在弹出的IP规则列表中找到和局域网访问相关的规则并双击它,进入“IP规则修改”对话框,按照图2所示进行设置即可。
绿盟NSF-PROD-WAF-V6.0-产品白皮书-V3.0
绿盟WEB应用防火墙 产品白皮书 【绿盟科技】 ■文档编号■密级完全公开 ■版本编号■日期 ■撰写人■批准人 ? 2014 绿盟科技
■版权声明 本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属绿盟科技所有,受到有关产权及版权法保护。任何个人、机构未经绿盟科技的书面授权许可,不得以任何方式复制或引用本文的任何片断。 ■版本变更记录 时间版本说明修改人
目录 一. 概述 (3) 二. 关键能力 (3) 2.1客户资产视角 (3) 2.2优化的向导系统 (4) 2.3快捷的配置体系 (5) 2.4完整的防护体系 (5) 2.5细致高效的规则体系 (6) 2.6主动防护的代理架构 (7) 2.7领先的DD O S防护能力 (8) 2.8智能补丁应急响应 (8) 2.9辅助PCI-DSS合规 (9) 2.10高可用性 (10) 三. 典型部署 (10) 四. 典型应用 (11) 4.1网站访问控制 (11) 4.2网页篡改在线防护 (12) 4.3网页挂马在线防护 (12) 4.4敏感信息泄漏防护 (12) 4.5DD O S联合防护 (13) 4.6非对称链路防护 (13) 五. 附录 (14) 5.1客户资产定义 (14) 5.2规则体系定义 (14) 5.3常见W EB应用攻击 (15)
插图索引 图表1策略实例 (3) 图表2资产分层及其防护层级 (4) 图表3向导体系过滤站点规则 (5) 图表4防护体系 (6) 图表5智能补丁 (9) 图表6WAF的典型部署 (11) 图表7绿盟WAF和绿盟ADS的DD O S联合防护方案 (13) 图表8站点的定义 (14) 图表9主机名的定义 (14) 图表10URI及相关字段的定义 (14)
国产厂商硬件防火墙对比解析综述
国产厂商硬件防火墙对比解析综述 2009年01月04日星期日 20:57 防火墙从形式上可分为软件防火墙和硬件防火墙。此次,我们主要介绍硬件防火墙。防火墙一般是通过网线连接于外部网络接口与内部服务器或企业网络之间的设备。它又分为普通硬件级别防火墙和“芯片”级硬件防火墙两种。所谓“芯片”级硬件防火墙,是指在专门设计的硬件平台,其搭建的软件也是专门开发的,并非流行的操作系统,因此可以达到较好的安全性能保障。目前,在这一层面我们介绍国内几家厂商,天融信、启明星辰、联想网御、华为、安氏领信等厂商。 此次,我们将以100~500人的规模为应用对象,对各厂商的适应的“芯片”级硬件防火墙进行对比分析,分别从厂商概述、产品定位、应用领域、产品特点和功能、运行环境、典型应用、产品推荐和市场价格等多方面进行横向对比分析。其实,选购和讨论硬件防火墙并不能单纯以规模来判断,还应该考虑防火墙产品结构、数据吞吐量和工作位置、性能级别、应用功能等诸多因素。 一、厂商概述 国内硬件防火墙的品牌较多,但较早一批专注于信息安全的厂商却不多,尤其是“芯片”级的防火墙更少了。如果以架构划分,芯片级防火墙基于专门的硬件平台,专有的ASIC芯片使它们比其他种类的防火墙速度更快,处理能力更强,性能更高,因此漏洞相对比较少。不过价格相对较贵,做这类防火墙的国内厂商并不多,如天融信。另外一种方式是以X86平台为代表的通用CPU芯片,是目前使用较广泛的一种方式。这类型厂商较多,如启明星辰、联想网御、华为等。一般而言,产品价格相对上一种较低。第三类就是网络处理器(NP),一般只被用于低端路由器、交换机等数据通信产品,由于开发难度和开发成本低,开发周期短等原因,因此,进入这一门槛的标准相对较低,也拥有部分客户群体。 1. 天融信以ASIC平台产品为主国产份额第一 天融信的自主防火墙系统,首次提出TOPSEC联动技术体系。网络卫士防火墙历经了包过滤、应用代理、核检测等技术阶段。目前,以安全操作系统 TOS 为基础,开发了NGFW4000-UF及NGFW4000系列,融合了防火墙、防病毒、入侵检测、VPN、身份认证等多种安全解决方案。其Top ASIC芯片,采用SoC (System on Chip) 技术,内置硬件防火墙单元、7层数据分析、VPN加密、硬件路由交换单元、快速报文缓存MAC等众多硬件模组。开发出了从第一代到第二代产品(内部称为猎豹I 、猎豹II),芯片转发容量从5Gbps到10Gbps,可达到全部千兆网口的全线速小包转发速率。 除了以ASIC平台为主的产品外,X86和NP平台的产品也面向不同需求用户。据IDC 2007年的报告显示,天融信防火墙产品以16.2%的市场份额,排名网络安全产品首位。 2.启明星辰采用高性能X86硬件架构一体化网关技术 1996年成立的启明星辰,承担国家级重点项目企业,拥有国家级网络安全
国产厂商硬件防火墙对比解析综述
国产厂商硬件防火墙对比解析综述 防火墙从形式上可分为软件防火墙和硬件防火墙。此次,我们主要介绍硬件防火墙。防火墙一般是通过网线连接于外部网络接口与内部服务器或企业网络之间的设备。它又分为普通硬件级别防火墙和“芯片”级硬件防火墙两种。所谓“芯片”级硬件防火墙,是指在专门设计的硬件平台,其搭建的软件也是专门开发的,并非流行的操作系统,因此可以达到较好的安全性能保障。目前,在这一层面我们介绍国内几家厂商,天融信、启明星辰、联想网御、华为、安氏领信等厂商。 此次,我们将以100~500人的规模为应用对象,对各厂商的适应的“芯片”级硬件防火墙进行对比分析,分别从厂商概述、产品定位、应用领域、产品特点和功能、运行环境、典型应用、产品推荐和市场价格等多方面进行横向对比分析。其实,选购和讨论硬件防火墙并不能单纯以规模来判断,还应该考虑防火墙产品结构、数据吞吐量和工作位置、性能级别、应用功能等诸多因素。 一、厂商概述 国内硬件防火墙的品牌较多,但较早一批专注于信息安全的厂商却不多,尤其是“芯片”级的防火墙更少了。如果以架构划分,芯片级防火墙基于专门的硬件平台,专有的ASIC芯片使它们比其他种类的防火墙速度更快,处理能力更强,性能更高,因此漏洞相对比较少。不过价格相对较贵,做这类防火墙的国内厂商并不多,如天融信。另外一种方式是以X86平台为代表的通用CPU芯片,是目前使用较广泛的一种方式。这类型厂商较多,如启明星辰、联想网御、华为等。一般而言,产品价格相对上一种较低。第三类就是网络处理器(NP),一般只被用于低端路由器、交换机等数据通信产品,由于开发难度和开发成本低,开发周期短等原因,因此,进入这一门槛的标准相对较低,也拥有部分客户群体。 1. 天融信以ASIC平台产品为主国产份额第一 天融信的自主防火墙系统,首次提出TOPSEC联动技术体系。网络卫士防火墙历经了包过滤、应用代理、核检测等技术阶段。目前,以安全操作系统 TOS 为基础,开发了NGFW4000-UF及NGFW4000系列,融合了防火墙、防病毒、入侵检测、VPN、身份认证等多种安全解决方案。其Top ASIC芯片,采用SoC (System on Chip) 技术,内置硬件防火墙单元、7层数据分析、VPN加密、硬件路由交换单元、快速报文缓存MAC等众多硬件模组。开发出了从第一代到第二代产品(内部称为猎豹I 、猎豹II),芯片转发容量从5Gbps到10Gbps,可达到全部千兆网口的全线速小包转发速率。 除了以ASIC平台为主的产品外,X86和NP平台的产品也面向不同需求用户。据IDC 2007年的报告显示,天融信防火墙产品以16.2%的市场份额,排名网络安全产品首位。 2.启明星辰采用高性能X86硬件架构一体化网关技术