网神SecGate 3600防火墙A10000TG30M产品白皮书V8121.docx

网神SecGate 3600防火墙A10000TG30M产品白皮书V8121.docx

《网神SecGate 3600防火墙A10000TG30M产品白皮书V8121.docx》由会员分享，可在线阅读，更多相关《网神SecGate 3600防火墙A10000TG30M产品白皮书V8121.docx（11页珍藏版）》请在冰豆网上搜索。

网神SecGate3600防火墙A10000TG30M产品白皮书V8121

`

产品白皮书

网神SecGate3600防火墙

A10000-TG30M

本文档解释权归网神信息技术（北京）股份有限公司产品部所有

网神信息技术（北京）股份有限公司

●版权声明

Copyright©2006-2013网神信息技术（北京）股份有限公司（“网神”）版权所有，XX。

未经网神书面同意，任何人、任何组织不得以任何方式擅自拷贝、发行、传播或引用本文档的任何内容。

●文档信息

文档名称

网神SecGate3600防火墙产品白皮书

扩散范围

销售/售前/客服/渠道商/用户

文档版本号

V8.12.1

作者

李群

日期

2013/12/5

初审人

杨黎鸿

复审人

●版本变更记录

时间

版本

说明

作者

1.产品概述

网神SecGate3600新一代防火墙（以下简称“防火墙”）是基于网神自主研发的新一代的SecOS安全系统,并结合在防火墙产品上多年技术、经验积累的基础上研发的,专门为政府、教育、金融、能源、军队、运营商、大中小型企业等用户的网络出口打造的高性能防火墙系统。

防火墙可灵活部署在各种网络应用环境的边界，提供状态检测、NAT、VPN、IPS、行为管理、流量控制、用户认证等综合安全功能。

防火墙采用了高性能、高稳定性的多核硬件架构，接口支持扩展，为用户提供高效、稳定、可扩展的安全保障。

2.产品特点

●业界领先的新一代SecOS安全系统

网神新一代SecOS安全系统在实现防火墙控制层和数据转发层的分离基础上，通过快转加速流程，大大提高了设备处理性能。

并采用了全模块化设计思想，实现了独立的安全协议栈，消除了因操作系统漏洞带来的安全性问题，以及操作系统升级、维护对防火墙产生的影响。

同时也减少了因为硬件平台的变更带来的重复开发问题。

由于采用业界先进的系统设计理念，使网神SecOS具有更高的安全性、开放性、扩展性和稳定性。

●软硬一体的高效多核架构

多核硬件架构与多核并行安全操作系统SecOS相结合，通过多核绑定技术使多个核可以真正并行处理数据流量，极大的提升系统处理性能。

多核并行操作系统SecOS可高效控制更多的硬件处理核心，降低系统资源占用率，保证同时开启防火墙、VPN、行为管理、流量控制等多种功能时，系统依然能够保证平稳运行。

●深度的内容安全（UTM+）

通过多核并行处理技术，使多个核心可以进行高效的并行协作处理，一部分

核心进行高速数据转发，并对常见应用协议进行预处理；另一部分核心进行快速的数据包拆解和内容数据还原，进行深度的内容过滤。

同时结合多流关联分析技术，实现对P2P、即时通讯、视频等应用程序进行控制，并依靠新一代的IPS高速识别引擎（NewHigh-speedMatchingEngine,”NHME”），实现了高性能的入侵威胁防护；系统搭载的防病毒模块，可以识别高达500万种常见病毒特征，内置的近千万个URL地址，可以进行细粒度的URL地址过滤。

●智能的网络适应能力

可适应于各种复杂网络拓扑环境，支持透明、路由以及混合模式部署；支持各种VLAN环境；支持动态路由协议RIP、OSPF、BGP等；支持智能选路；支持IPv6网络部署，并提供多种IPv6安全功能；支持组播路由；支持端口聚合；支持链路探测功能；支持多出口链路自动负载均衡；支持多纯透明子桥与接口联动；支持虚拟路由冗余协议（VRRP）。

●全面的系统监控

产品集成了强大的分析监控功能，能够根据需要对网络运行、系统运行、功能模块运行状态进行监控和分析，让用户更直观、准确、及时的了解网络运行及安全状况。

支持通过集中管理系统实现统一管理，并提供详细的、可视化的报表统计能力。

3.主要功能

网络

适应性

支持透明、交换、路由、混合模式部署

支持802.1Q协议，支持VLANTrunk，支持VLAN和MAC地址的绑定

支持端口聚合，工作模式支持轮循、热备、802.3ad方式

支持IP/MAC地址自动探测并进行绑定

支持静态路由，支持基于路由的负载均衡

支持根据不同ISP地址、源/目的地址、源/目的端口、协议类型、接口的进行智能选路功能，并支持多出口负载均衡

支持ADSL接入方式，支持多条（最大三条）ADSL拨号接入

支持DNS中继，支持DNS中继自动寻找上级DNS服务器

支持基于ARP、TCP、HTTP、PING方式的链路探测功能，可以根据链路探测的结果自动进行链路的切换

支持接口联动功能

支持动态路由RIPv1/v2、OSPF和BGP协议

支持组播路由，支持PIM-SM、IGMPSnooping功能

支持纯IPv6网络部署，包括DHCPv6、IPv6路由等配置

支持IPv6过渡技术，包括：

NATPT、IPv4overIPv6、IPv6overIPv4、ISATAP；

支持虚拟防火墙功能

支持DHCP服务器、中继、客户端模式

防火墙

支持基于状态检测的包过滤

可针对安全区域、IP地址、VLAN、MAC、协议类型、时间表等对象设定安全策略

支持NAT地址转换，可实现一对一、多对一、多对多方式

支持内网服务器映射，支持服务器负载均衡功能，负载均衡算法支持轮询、权重、随机、HASH算法

支持抗攻击功能，支持对Flood攻击、扫描窥探攻击、畸形报文攻击的防范

支持二层攻击防护功能，支持对ARPFlood攻击、ARP欺骗攻击的防护

支持IDS联动功能，可与主流IDS设备进行联动

支持URL重定向功能，可根据定义的条件将访问重定向到指定地址或域名上

支持按规则、按源IP、按目的IP、按端口、按协议、按应用类型进行流量排名，并显示流量统计

支持基于源、目的地址、生效时间等条件的新建连接、并发连接限制功能

IPv6安全

支持基于IP地址、端口、时间的IPv6安全策略，策略动作支持允许、禁止、日志记录、带宽限制、连接限制

支持IPv6内容过滤，包括：

http过滤、FTP过滤、DNS过滤、邮件过滤

支持IPv6抗攻击

支持IPv6用户认证

VPN

（选配）

支持国家标准IPSecVPN，支持“网关-网关”、“网关-客户端”模式部署

加密算法支持DES、3DES、AES和国密办算法

支持预共享密钥、电子证书方式认证

支持多VPN隧道备份功能

支持VPN的NAT穿越，支持DHCPoverIPSecVPN

支持本地CA中心功能，可进行证书的颁发和吊销

支持证书远程认证功能，支持LDAP、OCSP、HTTP服务器认证

支持SSLVPN功能，支持客户端和无客户端方式

支持PPTP/L2TP拨号VPN

支持GREoverIPSecVPN

流量

管理

支持Qos流量管理功能，支持基于接口和策略的带宽控制

支持基于服务协议的带宽控制，可按用户优先级、服务优先级实现最大带宽和保证带宽方式的控制

URL过滤

（选配）

支持URL过滤功能，本地预定义URL分类数据库

支持自定义URL过滤，支持黑、白名单设置

支持URL分类数据库的在线实时更新

应用

控制

（选配）

支持应用程序控制功能，内置专业的应用程序特征库，特征库支持离线和在线方式进行更新

支持对MSN、QQ、Fetion等IM软件的阻断

支持对BT、eDonkey、BitTorrent、讯雷等P2P软件的阻断

支持对梦幻西游、联众、网易泡泡、浩方等游戏平台的阻断

内容过滤

支持网页内容关键字过滤功能，支持Jave、Script、ActiveX控件过滤，支持对GET、POST、HEAD命令的过滤

支持FTP内容过滤功能，支持对FTP命令的过滤，支持根据文件类型实现上传、下载的过滤

支持对Telnet命令的过滤

支持DNS过滤功能

支持基于SMTP、POP3协议的邮件过滤功能

支持对发信人进行邮件发送次数限制

支持按邮件地址黑白名单、邮件主题关键字、邮件内容关键字、附件类型、协议命令等条件进行过滤

入侵

防御

（选配）

支持入侵防御功能,内置独立的入侵防护功能模块

可以针对HTTP、FTP、POP3、SMTP等协议进行入侵检测防护

针对攻击可以采取通过、阻断、日志记录方式的动作

特征库支持在线和离线方式的更新

防病毒

（选配）

内置专业防病毒模块，支持对HTTP、FTP、SMTP、POP3等协议进行病毒检测和过滤

内置恶意网站地址数据库，支持对恶意网站的过滤

支持对传输文件的大小和数量的控制

病毒特征库支持更新升级，支持手动离线和在线自动升级

用户

认证

支持本地认证，包括Web页面方式和客户端方式的认证

支持第三方认证服务器方式的认证，包括Radius、Tacacs+、LDAP、SecurID认证方式

支持对认证用户进行登录地址、访问流量、访问有效时间和可用服务的控制

支持用户配额

高可用性

支持双机热备功能，支持标准的VRRP协议

支持路由、透明模式下“主-备”、“主-主”方式部署

支持抢占和非抢占模式

支持配置、会话状态自动同步

系统

管理

支持HTTPS、CONSOLE、SSH、TELNET等多种管理方式

管理员登录支持本地认证，包括用户口令、电子证书和电子钥匙方式

管理员认证支持Radius、LDAP方式的第三方远程服务器认证

支持管理员权限分级，支持自定义管理员权限表

支持管理主机的受限访问

支持系统配置按功能模块部分导出，支持配置加密导出

支持网络集中管理功能，支持SNMPv2、SNMPv3协议

支持系统软件的离线方式升级

支持本地日志缓存和外部Syslog日志服务器存储

支持按功能模块进行日志的分类和统计

支持系统资源利用率统计图显示

支持基于接口的流量统计功能

注：

由于版本差异，功能也略有差异，实际请以投标产品为准。

4.产品型号与指标

产品型号

A10000-TG30M

产品性能

防火墙处理能力

20Gbps

最大并发连接数

400万

MTBF（小时）

100,000

接口说明

10/100/1000Base-T

2个

接口扩展插槽

4个

串行配置管理接口

1个

机箱电源

机箱

2U机箱

电源

冗余电源

5.产品形态

项目

型号

型号说明

选配说明

主机

A10000-TG30M

硬件主平台（含1个管理接口、1个HA接口、4个接口扩展插槽）

必备

接口扩展卡

AM-A-4T

含4个10/100/1000BASE-T接口

选配

AM-A-4S

含4个SFP插槽

AM-A-8T

含8个10/100/1000BASE-T接口

AM-A-8S

含8个SFP插槽

AM-A-2X

含2个SFP+插槽

SFP接口模块

GT-SFP-SX

千兆多模光口SFP模块，波长850nm，有效传输距离0.55km，LC接口。

选配

GT-SFP-LX

千兆单模光口SFP模块，波长1310nm，有效传输距离10km，LC接口。

GT-SFP-ZX

千兆长距单模光口SFP模块，波长1550nm，有效传输距离80km，LC接口。

XT-SFP+-SR

万兆多模光口模块，波长850nm，有效传输距离0.55km，LC接口

XT-SFP+-LR

万兆单模光口模块，波长1310nm，有效传输距离10km，LC接口

其他附件

电源线等若干

随机包装

6.产品资质

●公安部计算机信息系统安全专用产品销售许可证

●中国国家信息安全产品认证证书

●国家保密局涉密信息系统产品检测证书

●IPv6Ready金牌认证证书

●国家版权局计算机软件著作权登记证书

●北京市自主创新产品证书

●国家信息安全测评信息技术产品安全测评证书

●高性能IPv6防火墙系统计算机软件著作权登记证书

●高性能一体化智能安全处理引擎计算机软件著作权登记证书