2024年3月24日发(作者:)
天融信产品白皮书
网络卫士防火墙NGFW 4000UF系列
NGFW4000-UF是网络卫士防火墙系统的中高端产品,适用于网络结构复杂、应用丰
富、政府、金融、学校、中小型企业等各种网络环境。是国内应用最广、部署量最大的防火墙
产品之一,也是国内率先支持防病毒和SSL VPN功能的防火墙产品。此产品基于天融信自主
设计的专用硬件平台,采用开放性的系统架构及模块化的设计思想,具备超强的接口扩展能
力,极高的性价比。
安全高效的TOS操作系统
具有完全自主知识产权的TOS(TopsecOperating System)安全操作系统,采用全模块化设
计,使用中间层理念,减少了系统对硬件的依赖性,有效保障了防火墙、SSL VPN、IPSEC
VPN、防病毒、内容过滤、抗攻击、带宽管理等功能模块的优异性能。TOS良好的扩展性为
未来迅速扩展更多特性提供了无限可能。
集成多种安全引擎:FIREWALL+IPSEC+SSL+ANTIVIRUS+IPS
基于专有硬件平台的NGFW4000-UF产品采用TOS操作系统,集成了丰富的安全引擎,
包括:防火墙引擎,IPSesVPN引擎,SSLVPN引擎,防病毒引擎,IPS引擎等。这些引擎的
紧密集成使得NGFW4000-UF成为了可以防范多种威胁、功能丰富的防火墙产品。
完全内容检测CCI技术
网络卫士猎豹防火墙采用最新的CCI技术,提供对OSI网络模型所有层次上的网络威胁
的实时保护。网络卫士系列防火墙可对还原出来的应用层对象(如文件、网页、邮件等)进行
病毒查杀,并可检查是否存在不良WEB内容、垃圾邮件、间谍软件和网络钓鱼欺骗等其他威
胁,实现彻底防范。
超强的接口扩展能力
最大配置为26个接口,包括3个可插拔的扩展槽和2个10/100/1000BASE-T接口(可
作为HA口和管理口);可支持8~24个千兆接口(光口或电口)。
集成多种安全功能
NGFW4000-UF由于集成了多种安全引擎,使其具备了防火墙、IPSEC VPN、SSL
VPN、防病毒、IPS等安全功能,成为了国内安全功能最丰富的防火墙产品。
虚拟防火墙
虚拟防火墙,是指在一台物理防火墙上可以存在多套虚拟系统,每套虚拟系统在逻辑上都
相互独立,具有独立的用户与访问控制系统。不同的企业或不同的部门可以共用1台防火墙,
但使用不同的虚拟系统。对于用户来说,就像是使用独立的防火墙,大大节省了成本。
强大的应用控制
网络卫士防火墙提供了强大的网络应用控制功能。用户可以轻松的针对一些典型网络应
用,如MSN,QQ、Skype、新浪UC、阿里旺旺、Google Talk等即时通信应用,以及BT、
Edonkey、Emule、讯雷等p2p应用实行灵活的访问控制策略,如禁止、限时、乃至流量控
制。网络卫士防火墙还提供了定制功能,可以对用户所关心的网络应用进行全面控制。
CleanVPN服务
企业对VPN应用越来越普及,但是当企业员工或合作伙伴通过各种VPN远程访问企业网
络时,病毒、蠕虫、木马、恶意代码等有害数据有可能通过VPN隧道从远程PC或网络传递
进来,这种威胁的传播方式极具隐蔽性,很难防范。
网络卫士防火墙同时具备防火墙、VPN、防病毒和内容过滤等功能,并且各功能相互融
合,能够对VPN数据进行检查,拦截病毒、蠕虫、木马、恶意代码等有害数据,彻底保证了
VPN通信的安全,为用户提供放心的CleanVPN服务。
Active/Active高可用性
能够在核心网络中同所有网络设备一起构建高可用性及高安全性的拓扑结构,自身能够实
现A/A部署和状态同步,能够实现动态的链路切换,同时提供了电源冗余功能,最大限度地满
足了网络的健壮性及稳定性,保证了整个网络的不间断工作。
灵活的接入方式
强大的访问控制
防火墙系统可以提供对复杂环境的接入支持,包括路由、透明以及混合接入模式。
支持基于源IP地址、目的IP地址、源端口、目的端口、时间、用户、文
件、网址、关键字、邮件地址、脚本、MAC地址等多种方式进行访问控制;
支持对HTTP、SMTP、POP3、FTP等协议的深度内容过滤,支持URL、关键字过
滤;
支持对移动代码如Java applet、Active-X、VBScript、Jscript、Java
script的过滤;
动态端口支持协议:H.323、SIP、FTP、RTSP、SQL*NET、MMS、TFTP、
RPC(msrpc,dcerpc)等;
可实现静态或自动的IP/MAC绑定;
支持MSN、QQ、新浪UC、阿里旺旺、google talk等Instant Messenger通
信,并可以对于这些应用进行登陆限制,支持根据登陆等帐号进行登陆限制;
支持对MSN,QQ等IM应用通信的连接统计,支持对指定IP地址的IM应用
通信的连接统计;
可限制BT,eMule,eDonkey、讯雷等多种P2P应用,可以统计和控制P2P流
量和连接数;
可屏蔽受保护主机/服务器系统信息,可以替换服务器(FTP、SMTP、POP3、
Telnet,HTTP)的BANNER信息;
可以实现telnet、DNS等应用协议的深度过滤;
支持HTTP 重定向功能,可以对伪装HTTP的协议进行识别和阻断。
完善的网络地址转换能
力
多种身份认证方式
防火墙系统有完善的地址转换能力,可以支持正向、反向地址/端口转换、双向地
址转换等,能够提供完整的地址转换解决方案。
防火墙系统要支持多种、灵活的身份认证技术,至少包括
Radius/OTP/LDAP/TACACS+/SecuID/数字证书/本地认证等。
完善的路由功能
VLAN和生成树
链路备份
高可用性
DHCP功能
强大的抗攻击能力
告警能力
管理功能
完善的日志审计功能
完整解决方案
兼容性
算法
认证
网络适用性
支持Cleaned VPN
其它VPN方式得支持
支持DDNS
支持静态和动态路由,动态路由至少包括:BGP/RIP和OSPF动态路由协议;静态路
由协议支持基于源地址、目的地址、METRIC值、网络接口的路由;
支持802.1d生成树,能进行802.1d的生成树协商;支持与交换机的Trunk接口对
接,并且能够实现Vlan间通过防火墙设备进行路由;支持802.1q,能进行802.1q
的封装和解封装;支持ISL,能进行ISL的封装和解封装;在同一个Vlan内能进行
二层交换。
支持链路备份功能,可以在用户的多条网络出口之间进行自动的切换;
支持双机热备功能,包括主备模式(A/S),主主模式(A/A)
支持VRRP协议;
支持对服务器的负载均衡,支持轮询、加权轮询、最少连接、加权最少链
接、基于源IP地址HASH调度等多种负载均衡方式;
防火墙系统要对长连接的提供全面的解决方案;
支持链路聚合;
支持DHCP SERVER/CLIENT/RELAY功能
支持OPSEC或TOPSEC等类似联动协议,能够与主流入侵检测产品进行联动;
可以识别并阻断以下攻击行为:
防非法报文攻击:land 、Smurf、Pingofdeath、winnuke 、tcp_sscan、
ip_option、teardrop、targa3、ipspoof;
防统计型报文攻击:Synflood、Icmpflood、Udpflood、Portscan、ipsweep;
端口阻断:可以根据数据包的来源和数据包的特征进行阻断设置;
CC攻击:可通过设置端口和阀值阻断CC攻击;
完善的预防ARP欺骗解决方案;
支持反向地址检查;
支持根据协议或地址,限制连接数目;根据连接数目进行源地址排名。
支持告警信息分类、分级;当发生安全事件的时候支持以邮件、NETBIOS、声音、
SNMP、控制台等方式告警。
可以提供多种方式的管理界面,包括GUI、WEBUI、CONSOLE、SSH、TELNET
等;
远程集中监控管理功能:支持远程集中管理监控功能,在同一个管理平台下
能够对所管理网络中所有的防火墙设备进行管理和监控,提供远程升级和配
置变更方法,非常方便用户对防火墙软件版本和配置变更的管理;
支持SNMP 的v1 、v2 、v2c 、v3 等不同版本,并与当前通用的网络管理平
台兼容,如HP Openview 等;
支持Netflow
各类资源对象、安全策略可单独导入、导出,可以提供简单方便的配置备份
与恢复机制,并且可以恢复到出厂设置;
支持远程TFTP、FTP、HTTP等方式升级。
日志分级、分类;系统要能够提供多种日志存储方式,可以缓存在设备本地,也可
以将日志以专用格式/Welf/Syslog等多种日志格式的输出;具有完善的日志收集、
传输、存储、分析、报告等解决方案。
防火墙可以内嵌VPN功能模块,并可以提供VPN客户端软件,可方便地建立网关-
网关、网关-客户端、客户端-客户端的加密隧道,具有完善的解决方案。
支持标准IKE,能与市场上主流的基于标准IKE协议的其他 IPSEC VPN设备进行互
联、互通。
要求提供高加密强度,支持国际主流加密算法和经国密办认证的SCB2算法等。
支持基于证书的认证,证书遵循X.509证书体系,可自建CA,也支持第三方CA;
支持预共享方式的认证。
支持NAT穿越,提供NAT自动发现机制。
能对隧道内数据进行病毒查杀和内容过滤。
允许远程用户通过L2TP/PPTP接入,建立隧道访问内部网络。
支持DDNS功能,可以在用户的网络环境中没有任何一个合法地址的情况下建立VPN
隧道。
典型应用一:在大型网络中的应用
典型应用二:虚拟防火墙应用
典型应用三:AA模式双机热备
主机订购信息
型号
TG-5622
图片 描述
2U架式结构,最大配置为6个万兆接口+16个千兆接口,默认2
个万兆XFP插槽,2个可插拔的扩展槽和2个10/100/1000BASE-T
接口(可作为HA口和管理口);标配双电源
TG-5330
TG-5230
TG-5130
TG-5114
2U机型,最大配置为26个接口,包括3个可插拨的扩展槽和2个
10/100/1000BASE-T接口(可作为HA口和管理口);另外具有专
门的RJ45终端管理接口。
2U机型,4个10/100/1000MBase-T端口,1个扩展槽,可扩展不
同子卡,最多可达12端口
TG-5030
TG-5014
1U机型,最大配置为26个接口,包括3个可插拨的扩展槽和2个
10/100/1000BASE-T接口(可作为HA口和管理口);另外具有专
门的RJ45终端管理接口。
1U机型,4个10/100/1000MBase-T端口,1个扩展槽,可扩展不
同子卡,最多可达12端口
模块订购信息
模块订购信息
产品型号
TOPSEC-CARD-2X
TopSEC-CARD-8S
TopSEC-CARD-8A
TopSEC-CARD-4S4A
TopSEC-CARD-2S2A
TOPSEC-PWR88-AC
IPSECVPN-MODULE-UF
IPSECVPN-VRC-LICENCSE
SSLVPN-MODULE-UF
SSLVPN-VRC-LICENSE
ANTIVIRUS-MODULE-2Y
ANTIVIRUS-MODULE-3Y
ANTIVIRUS-LIC-1Y
ANTIVIRUS-LIC-2Y
ANTIVIRUS-LIC-3Y
IDP3000-MODULE
IDP3000-LIC-1Y
IDP3000-LIC-2Y
描述
2端口万兆XFP插槽接口卡
8端口千兆SFP插槽接口卡
备注
TG-5622选配
SFP模块需另配
无需另配模块
SFP模块需另配
SFP模块需另配
TG-5130、TG-5230、TG-5330选配
IPSEC VPN模块;支持无限隧道数,缺省含5个客户
端IPSECVPN-VRC-LICENCSE
需要安装客户端
SSLVPN模块,最大支持3500并发用户,缺省5个
SSLVPN的License
不需要安装客户端
防病毒模块;AV与SSL不能同时购买,防病毒模块
的升级服务年限最多3年,到期后可再购买服务。
防病毒模块;AV与SSL不能同时购买,防病毒模块
的升级服务年限最多3年,到期后可再购买服务。
防病毒模块的1年升级服务
防病毒模块的2年升级服务
防病毒模块的3年升级服务
IDP扩展模块,含1年IDP规则库license
IDP规则库1年升级license
IDP规则库2年升级license
8个千兆自适应电口
4端口千兆SFP插槽接口卡+
4
个千兆自适应电口
2端口千兆SFP插槽接口卡+
2
个千兆自适应电口
交流冗余电源模块
IPSECVPN扩展模块
IPSECVPN并发客户端
SSLVPN扩展模块
SSLVPN并发客户端
AV病毒扩展模块
AV病毒扩展模块
AV病毒库1年
AV病毒库2年
AV病毒库3年
入侵防御扩展模块
入侵防御规则库1年
入侵防御规则库2年
IDP3000-LIC-3Y
IPSECVPN-CARD-500
IPSECVPN-CARD-800
SJY-SCB2-CARD-BM
SSLVPN-RAM-H
入侵防御规则库3年
VPN算法加速卡
VPN算法加速卡
VPN算法加速卡
SSLVPN的扩展内存
IDP规则库3年升级license
加密速度>400M
加密速度>600M
加解密速度>300M
1G内存,只用于SSLVPN扩展用,已购产品须返厂
◆ 公安部颁发的《计算机信息系统安全专用产品销售许可证》
◆ 中国国家信息安全测评认证中心颁发的《国家信息安全认证产品型号证书》
◆ 国家保密局涉密信息系统安全保密测评中心颁发的《涉密信息系统产品检测证书》
◆ 中国人民解放军信息安全测评认证中心颁发的《军用信息安全产品认证证书》
天融信 (C)版权所有V1.0
文档维护:吴青松、董爱祥、叶进
声明:非官方文档,仅供参考
发布评论