NGFW网康NGFW功能列表

2024年4月24日发(作者：)

项目

指标

网关模式

网桥模式

具体功能要求

支持网关模式，支持NAT、路由转发、DHCP等功能；

支持网桥模式，以透明方式串接在网络中；同时支持多口桥接模式

同时开启支持网关和网桥模式

支持旁路监听分析

静态ARP、ARP代理、域名解析、PPPoE、DHCP服务器、DHCP客户端

支持静态路由、RIP、OSPF、策略路由

支持虚拟线网口对的Down-up联动机制

支持基于IP，服务，应用， 用户，时间条件的访问控制策略；

支持统一策略框架下的IPS/AV/URL/DOS Profile设置；

支持运营商地址列表；

部署方式

混杂模式

旁路模式

IP服务

网络路由

路由服务

网口联动

访问控制

防火墙/VPN

功能

IPSec VPN功能支持AH、ESP协议

手工配置IKE、ESP算法

自动协商IKE、ESP算法

ESP支持DES、3DES、AES算法多种加密算法

支持MD5及SHA验证算法

支持NAT穿越

支持数字证书

应用识别

NAT和ALG功能支持多个内部地址映射到同一个公网地址、多个内部地址映射到多个公网

地址、内部地址到公网地址一一映射、源地址和目的地址同时转换（双向

地址转换）、外部网络主机访问内部服务器

支持多种NAT ALG，包括FTP、H.323、SIP，PPTP等

应用识别与

控制

应用对象

应用多维属性

支持对800种以上应用，300种高风险应用；

支持平台级应用细分（HTTP，QQ，MSN）；

可以识别P2P、IM、OA办公应用、数据库应用、ERP应用、软件升级应用

、木马外联、炒股软件、视频应用、代理软件、SSL、网银等协议；

支持自定义应用;

支持安全策略，流量管理策略中对应用对象的引用

应用大类，应用子类，应用技术分类，应用风险级别，应用属性

支持应用过滤器，方便应用选择和过滤

支持基于SynFlood、ICMPFlood和UDPFlood的攻击防护

支持TCP端口、UDP端口和IP地址的扫描防护

支持TearDrop、LAND、WinNuke、Smurf、Fraggle和PingOfDeath

等攻击防护

包括蠕虫/木马/后门/间谍软件/利用漏洞的攻击/缓冲区溢出攻击/协议异

常/ 暴力攻击/SQL注入等

漏洞分为保护服务器和保护客户端两大类，同时具备安全级别分类：如“

严重”、“告警”、“提示”等。

漏洞详细信息显示：漏洞ID、漏洞名称、漏洞描述、攻击对象、危险等级

、动作结果、应用信息等内容，便于维护和问题确认

DDOS防护

攻击防护

端口扫描防护

其他攻击防护

防护攻击类型

防护对象分类

漏洞描述

IPS漏洞防护

IPS漏洞防护

策略制定可根据源区域、目的区域、源和目的IP组、用户和应用等策略的配置，支

持多Profile配置。支持每一攻击防护类型结合保护方向和安全级别的动作

设置，支持允许、告警和阻断。

攻击特征库: 2500+ ， 并且能够自动或者手动升级

支持TCP协议的乱序重传、TCP分包和TCP流重组。

基于应用识别处理后的特征匹配引擎构架，防止基于应用端口逃逸而达到

漏报。

基于流引擎查毒技术，可以针对HTTP、FTP、SMTP、POP3、IMAP等协

议进行查杀。并且支持基于应用识别进行协议查杀，防止利用端口逃逸的

协议漏检。

能实时查杀大量文件型、网络型和混合型等各类病毒；并能够对ZIP、

GZIP和RAR等压缩文件进行查杀。

支持10万条以上的病毒库，并且可以自动或者手动升级

检测到病毒后的操作：支持记录日志、阻断连接

可根据源区域、目的区域、源和目的IP组、用户和应用等策略的配置，支

持多Profile配置

支持过滤HTTPGET、HTTPPOST和HTTPS等URL信息过滤；并进行阻断

和记录日志

支持20种以上的分类对象，同时支持2500万个URL地址分类，并能够手动

和自动升级URL分类库

支持在URL的Profile内增加自定义的黑白名单。同时支持黑名单的动作配

置。

可根据源区域、目的区域、源和目的IP组、用户和应用等策略的配置，支

持多Profile配置

支持主子微多级通道，方便用户按照组织结构或应用类别进行精细化分层

流控

可指定某一个物理接口为虚拟线路，也可指定多个WAN口作为一个虚拟

线路

支持基于应用类型划分与分配带宽

支持基于时间段的带宽划分与分配策略；

特征库数量

防躲避

引擎机制

病毒引擎

防护类型

病毒防护

病毒库数量

处理动作

策略制定

过滤类型

分类库数量

URL 过滤

黑白名单

策略制定

多级通道

虚拟线路

流量管理

应用流控

时间控制

保障带宽和限制支持通道可指定其保证带宽，保证带宽分为上下行均可设置，可按百分比

带宽和数值进行配置；

支持指定通道的限制带宽(最大带宽)，可按百分比和数值进行配置

本地认证支持触发式WEB认证，静态用户名密码认证等；

第三方认证

IP、MAC认证

账户有效期

支持LDAP、Radius、POP3等第三方认证；

支持IP认证、MAC认证，及IP/MAC绑定认证等；

指定账户支持有效期限制，并支持自动过期；

单点登录（透明支持AD、CAMS、SAM，PPPoE单点登录，简化用户操作；

识别）可强制指定用户、指定IP段的用户必须使用单点登录；

支持多地点登陆支持账号是否允许多地点登录的相关设置

页面跳转

用户导入

用户管理

认证成功的用户支持页面跳转：跳转到用户原本输入的URL地址或管理员

指定的URL地址；

支持从本地导入和扫描导入，支持以文本导入帐户/分组/IP/MAC/描述/密

码等信息；

支持用户自动录入：可以选择录入ip,mac,以及ip和mac的绑定方式

支持从LDAP服务器导入账户及分组信息；

用户分组支持树形结构，支持父组、子组、组内套组等；

支持属性组，方便通过对用户进行分类管控；

组织结构

支持终端类型识工具管理可以将用户上网工具划分为PC和Mobile，然后进一步划分为不

别和管控同OS

工具管理只能通过升级管理， 用户只能查看；

支持位置信息识

工具的升级可以通过类似url的方式进行升级；

位置管理可以方便的将用户按照位置属性进行分组和策略配置。

别和管控

用户状态查询

位置配置可以以IP网段或VLAN ID进行配置

支持用户登录注销历史查询