网神SecGate 3600千兆防火墙
产品照片
产品图片:
金牌产品:企业级防火墙 网神SecGate 3600 A3000-T3640EN
一、硬件架构及系统:
1、 采用多核处理器硬件构架,具有自主知识产权的SecOS多核操作系统;
2、 接口数量:接口支持至少8个10/100/1000自适应电口,4个千兆SFP插槽,并具备专用RJ45管理接口和AUX口;
3、 标准2U机箱 冗余电源,设备面板具有液晶屏,能够显示产品品牌、型号、CPU/内存占用率、网络接口状态等信息。
二、性能参数:
吞吐率≥6Gbps最大并发连接数≥240万新建连接速率≥40000/秒支持可扩展VPN隧道数≥3000条MTBF=80000小时
三、功能参数
1、 网络接入方式:可以支持路由、透明以及混合接入模式,满足复杂应用环境的接入需求;
2、 防病毒过滤:具备内置病毒过滤模块,并支持病毒规则库升级;
3、 RBL反垃圾邮件:支持RBL反垃圾邮件功能,通过与反垃圾邮件服务器联动实现反垃圾邮件功能;
4、 支持基于源IP地址、目的IP地址、时间、用户、网址、VPN隧道、物理接口等多种方式进行访问控制;
5、 支持保护主机、保护服务、限制主机、限制服务等四种连接限制,可对任一设定地址范围内的主机进行新建连接和并发连接的保护;
6、 支持动态端口协议:H.323、SIP、FTP、RTSP、SQL*NET、MMS、TFTP、PPTP;
7、 防火墙支持分段直接寻址安全规则搜索MSDAL算法;
8、 支持MSN、QQ、skype、等Instant Messenger通信的限制;
9、 可限制BT、eDonkey、kazaa、winmx、讯雷等多种P2P应用限制;
10、 可按接口、IP进行IP/MAC对探测,支持单、双向静态地址绑定,防止ARP攻击;
11、 支持对HTTP、SMTP、POP3、FTP等协议的深度内容过滤,支持收、发信人地址、邮件主题、邮件内容关键字、附件名称过滤;支持ftp的GET、PUT命令控制;支持自定义URL黑、百名单、网页关键字的过滤及日志记录;
12、 支持对移动代码如Java 、Active-X、Java sc
13、 可以支持源、目的地址/端口转换、双向地址转换;
14、 支持一对一,一对多,多对一地址转换方式
15、 支持多纯透明子桥和接口联动;
16、 支持802.1d生成树,能进行802.1d的生成树协商;支持与交换机的Trunk接口对接
17、 支持DHCP服务器、中继及客户端;
18、 支持DNS中继,手动及自动寻找上级DNS服务器
19、 支持IPv6功能包括DHCPv6、IPv6路由、策略路由和基于IPv6的安全策略控制
20、 可分多级带宽级别支持最大保证带宽、最大限制带宽
21、 支持静态和动态路由,动态路由支持RIP和OSPF动态路由协议;静态路由协议支持基于源地址、目的地址、METRIC值、绑定端口的路由;支持基于服务的策略路由
22、 支持多路由负载均衡,最大可支持16条链路负载
23、 可实现多线路自动备份,自动切换
24、 支持基于应用(ARP/PING/TCP/HTTP)的链路探测
25、 支持双机热备功能,包括主备模式(A/S),主主模式(A/A)
26、 支持VRRP协议;支持桥模式HA
27、 支持通用SUIP入侵检测系统联动协议,能够与天阗、天眼等主流入侵检测产品进行联动;
28、 可根据接口选择开启并阻断以下攻击行为:
29、 syn flood_Wsl、icmp flood、udp flood、 tcp scan、 udp scan、 ping sweep Wsl、 teardrop、land、ping of death、smurf、winnuke、圣诞树、tcp 无标记、syn fin、无确认fin、松散源路由、严格源路由、ip 安全选项、ip记录路由、 ip 流攻击、ip时间戳等攻击
30、 具备独立蠕虫过滤功能,对sobig ramen welchia agobot opaserv blaster sadmind slapper,novarg slammer zafi bofra dipnet等主流蠕虫病毒的识别、过滤和拦截
31、 当发生安全事件的时候支持以邮件、声音、SNMP、控制台等方式告警
32、 可自动检测网段内IP地址冲突,并报警
33、 日志可分级、分类;可按设备管理、安全规则、抗攻击等进行分类查看,可按紧急、一般事件分等级查看;
34、 系统要能够提供多种日志存储方式,可以缓存在设备本地,也可以将日志以专用格式Syslog输出;
35、 可通过SecGateManager软件对日志进行收集、分析,能提供详尽日志统计报表。
下一代防火墙,多核AMP+架构,网络处理能力4G,并发连接数≥200万,每秒新建连接数8万/秒,标准1U机箱,单电源,标配6个10/100/1000M自适应电口,4个SFP插槽,支持2个扩展槽,最大支持22个接口,1个Console口;
多出口链路聚合
网神SecGate 3600防火墙千兆系列能够很方便地对内部网、DMZ区和互联网进行访问控制,有效保障内部网络安全。对于多出口的网络,网御神州防火墙系列提供了多出口路由负载均衡功能,通过设置策略路由,可以让不同的用户走不同的出口,也可以多条链路间自动按权重进行负载均衡,有效地利用网络带宽,保护用户投资,同时各个链路之间可以相互备份,在防火墙探测到某条链路质量不稳定,或该链路的某个关键应用不可用时,可以迅速将流量切换到其他链路。
高可用性部署
网神SecGate 3600防火墙百兆系列提供了HA(High Availability,高可用性)功能。典型工作在为Active-Standby模式,即主防火墙工作在Active状态,从防火墙工作在Standby状态。当主防火墙发生意外宕机,或者网络链路发生故障时,从防火墙自动切换到Active状态,从而保证了关键业务的正常运转。网神SecGate 3600防火墙千兆系列的HA功能具有很强的网络适应性,支持生成树和每VLAN生成树协议(STP/PVST+)和虚拟路由冗余协议(VRRP),提供全面可靠的二层链路备份和三层路由备份然可以对外提供服务。多ADSL拨号接入大大节约了用户投资。
创新的全冗余灾备恢复网络方案
网神SecGate 3600防火墙千兆系列采用稳定的VRRP 路由冗余协议,配合超强网络适应性的OSPF动态路由协议和独创的链路探测与灵活的接口联动机制,能够提供真正全冗余的灾备恢复网络方案。该方案中,整体网络结构由数据中心主中心节点与灾难恢复备中心节点组成,两个节点的防火墙外联接口与外联路由器采用OSPF协议实现动态选路。两台路由器向动态路由区域发布外单位的路由信息,并负责广域线路的接入。防火墙FW1、FW2、FW3、FW4均采用路由模式,对外联路由器提供OSPF动态路由,对内部核心交换机通过设置静态路由实现与相关服务器的访问。防火墙负责向动态路由区域中发布与路由器有关的路由信息(即对外网公开IP地址),且隐藏内部路由信息,同时两台交换机在连接防火墙的三层接口上还运行有HSRP或VRRP协议。通过防火墙的链路探测与接口联动,恰当的OSPF配置,可以达到下面的效果:
1、一般情况下数据中心主中心节点承担数据流量,灾难恢复备中心只工作在备份状态
2、每对防火墙HA集群中只有一台处于工作中,另外一台处于备份状态
3、数据中心主中心节点任何一条线路出现问题,不会影响网络正常工作
4、数据中心主中心节点任何一台设备出现问题,不会影响网络正常工作
独立的SecOS安全协议栈
完全自主知识产权的SecOS实现防火墙的控制层和数据转发层分离,全模块化设计,实现独立的安全协议栈,消除了因操作系统漏洞带来的安全性问题,以及操作系统升级、维护对防火墙功能的影响。同时也减少了因为硬件平台的更换带来的重复开发问题。由于采用先进的设计理念,使该SecOS具有更高的安全性、开放性、扩展性和可移植性。
网神SecGate 3600防火墙体系架构图
独创的智能高效搜索算法
采用独创的分段直接寻址搜索算法MSDA(Multi-StageDirect Addressing Lookup Algorithm),解决了传统防火墙随着安全策略数的增加其性能逐渐下降的问题,确保您在大量安全策略数目情况下仍能获取最高的网络性能!
深度的网络行为关联分析
采用数据包内容的深度网络行为关联分析技术,让您不再为各种专有动态协议如H.323、FTP、SQL.Net等的控制“愁眉不展”!并且增强了您的网络对于各种DDoS攻击的防范能力!
全面的连接状态监控和实时阻断
全面的连接状态监控,让您及时掌握网络运行状态,配合丰富的连接限制,方便您对迅雷/BT/电驴等P2P应用的控制,以及对感染网络蠕虫病毒的主机进行快速定位和实时阻断!
强大的网络拓扑自适应性
适应于各种复杂网络拓扑,包括透明桥接、路由以及桥和路由完全自适应识别模式。支持VLAN和VLAN TRUNK处理;支持多网络出口的链路聚合和策略路由;支持生成树和每VLAN生成树协议(STP/PVST+)和虚拟路由冗余协议(VRRP),提供全面可靠的二层链路备份和三层路由备份。
智能便捷的配置向导和管理方式
为安全管理员提供智能便捷的配置向导,让您轻松完成复杂的安全配置!并提供丰富的管理方式,包括本地Console,拨号PPP接入,基于Web(HTTPS)浏览器,远程SSH登录,以及强大的SOC集中安全管理方式。