网神SecGate 3600防火墙A10000TG30M产品白皮书V8121.docx

1、网神SecGate 3600防火墙A10000TG30M产品白皮书V8121产品白皮书网神SecGate 3600防火墙A10000-TG30M本文档解释权归网神信息技术（北京）股份有限公司产品部所有网神信息技术（北京）股份有限公司版权声明Copyright 2006-2013 网神信息技术（北京）股份有限公司（“网神”） 版权所有，XX。未经网神书面同意，任何人、任何组织不得以任何方式擅自拷贝、发行、传播或引用本文档的任何内容。文档信息文档名称网神SecGate 3600防火墙产品白皮书扩散范围销售/售前/客服/渠道商/用户文档版本号V8.12.1作者李群日期2013/12/5初审人杨黎鸿复

2、审人版本变更记录时间版本说明作者1.产品概述网神SecGate 3600 新一代防火墙（以下简称“防火墙”）是基于网神自主研发的新一代的SecOS安全系统, 并结合在防火墙产品上多年技术、经验积累的基础上研发的, 专门为政府、教育、金融、能源、军队、运营商、大中小型企业等用户的网络出口打造的高性能防火墙系统。防火墙可灵活部署在各种网络应用环境的边界，提供状态检测、NAT、VPN、IPS、行为管理、流量控制、用户认证等综合安全功能。防火墙采用了高性能、高稳定性的多核硬件架构，接口支持扩展，为用户提供高效、稳定、可扩展的安全保障。2.产品特点业界领先的新一代SecOS安全系统网神新一代SecOS安

3、全系统在实现防火墙控制层和数据转发层的分离基础上，通过快转加速流程，大大提高了设备处理性能。并采用了全模块化设计思想，实现了独立的安全协议栈，消除了因操作系统漏洞带来的安全性问题，以及操作系统升级、维护对防火墙产生的影响。同时也减少了因为硬件平台的变更带来的重复开发问题。由于采用业界先进的系统设计理念，使网神SecOS具有更高的安全性、开放性、扩展性和稳定性。软硬一体的高效多核架构多核硬件架构与多核并行安全操作系统SecOS相结合，通过多核绑定技术使多个核可以真正并行处理数据流量，极大的提升系统处理性能。多核并行操作系统SecOS可高效控制更多的硬件处理核心，降低系统资源占用率，保证同时开启防

4、火墙、VPN、行为管理、流量控制等多种功能时，系统依然能够保证平稳运行。深度的内容安全（UTM+）通过多核并行处理技术，使多个核心可以进行高效的并行协作处理，一部分核心进行高速数据转发，并对常见应用协议进行预处理；另一部分核心进行快速的数据包拆解和内容数据还原，进行深度的内容过滤。同时结合多流关联分析技术，实现对P2P、即时通讯、视频等应用程序进行控制，并依靠新一代的IPS高速识别引擎（New High-speed Matching Engine,”NHME”），实现了高性能的入侵威胁防护；系统搭载的防病毒模块，可以识别高达500万种常见病毒特征，内置的近千万个URL地址，可以进行细粒度的UR

5、L地址过滤。智能的网络适应能力可适应于各种复杂网络拓扑环境，支持透明、路由以及混合模式部署；支持各种VLAN环境；支持动态路由协议RIP、OSPF、BGP等；支持智能选路；支持IPv6网络部署，并提供多种IPv6安全功能；支持组播路由；支持端口聚合；支持链路探测功能；支持多出口链路自动负载均衡；支持多纯透明子桥与接口联动；支持虚拟路由冗余协议（VRRP）。全面的系统监控产品集成了强大的分析监控功能，能够根据需要对网络运行、系统运行、功能模块运行状态进行监控和分析，让用户更直观、准确、及时的了解网络运行及安全状况。支持通过集中管理系统实现统一管理，并提供详细的、可视化的报表统计能力。3.主要功能

6、网络适应性支持透明、交换、路由、混合模式部署支持802.1Q 协议， 支持VLAN Trunk，支持VLAN和MAC地址的绑定支持端口聚合，工作模式支持轮循、热备、802.3ad方式支持IP/MAC地址自动探测并进行绑定支持静态路由，支持基于路由的负载均衡支持根据不同ISP地址、源/目的地址、源/目的端口、协议类型、接口的进行智能选路功能，并支持多出口负载均衡 支持ADSL接入方式，支持多条（最大三条）ADSL拨号接入支持DNS中继，支持DNS中继自动寻找上级DNS服务器支持基于ARP、TCP、HTTP、PING方式的链路探测功能，可以根据链路探测的结果自动进行链路的切换支持接口联动功能支持动

7、态路由RIPv1/v2、OSPF和BGP协议支持组播路由，支持PIM-SM、IGMP Snooping功能支持纯IPv6网络部署，包括DHCPv6、IPv6路由等配置支持IPv6过渡技术，包括：NATPT、IPv4 over IPv6、IPv6 over IPv4、ISATAP；支持虚拟防火墙功能支持DHCP服务器、中继、客户端模式防火墙支持基于状态检测的包过滤可针对安全区域、IP地址、VLAN、MAC、协议类型、时间表等对象设定安全策略支持NAT地址转换，可实现一对一、多对一、多对多方式支持内网服务器映射，支持服务器负载均衡功能，负载均衡算法支持轮询、权重、随机、HASH算法支持抗攻击功能，

8、支持对Flood攻击、扫描窥探攻击、畸形报文攻击的防范支持二层攻击防护功能，支持对ARP Flood攻击、ARP欺骗攻击的防护支持IDS联动功能，可与主流IDS设备进行联动支持URL重定向功能，可根据定义的条件将访问重定向到指定地址或域名上支持按规则、按源IP、按目的IP、按端口、按协议、按应用类型进行流量排名，并显示流量统计支持基于源、目的地址、生效时间等条件的新建连接、并发连接限制功能IPv6安全支持基于IP地址、端口、时间的IPv6安全策略，策略动作支持允许、禁止、日志记录、带宽限制、连接限制支持IPv6内容过滤，包括：http过滤、FTP过滤、DNS过滤、邮件过滤支持IPv6抗攻击支持

9、IPv6用户认证VPN（选配）支持国家标准IPSec VPN，支持“网关-网关”、“网关-客户端”模式部署加密算法支持DES、3DES、AES和国密办算法支持预共享密钥、电子证书方式认证支持多VPN隧道备份功能支持VPN的NAT穿越，支持DHCP over IPSec VPN支持本地CA中心功能，可进行证书的颁发和吊销支持证书远程认证功能，支持LDAP、OCSP、HTTP服务器认证支持SSL VPN功能，支持客户端和无客户端方式支持PPTP/L2TP拨号VPN支持GRE over IPSec VPN流量管理支持Qos流量管理功能，支持基于接口和策略的带宽控制支持基于服务协议的带宽控制，可按用户

10、优先级、服务优先级实现最大带宽和保证带宽方式的控制URL 过滤（选配）支持URL过滤功能，本地预定义URL分类数据库 支持自定义URL过滤，支持黑、白名单设置支持URL分类数据库的在线实时更新应用控制（选配）支持应用程序控制功能，内置专业的应用程序特征库，特征库支持离线和在线方式进行更新支持对MSN、QQ、Fetion等IM软件的阻断支持对BT、eDonkey、BitTorrent、讯雷等P2P软件的阻断支持对梦幻西游、联众、网易泡泡、浩方等游戏平台的阻断内容 过滤支持网页内容关键字过滤功能，支持Jave、Script、ActiveX控件过滤，支持对GET、POST、HEAD命令的过滤支持FT

11、P内容过滤功能，支持对FTP命令的过滤，支持根据文件类型实现上传、下载的过滤 支持对Telnet命令的过滤支持DNS过滤功能支持基于SMTP、POP3协议的邮件过滤功能支持对发信人进行邮件发送次数限制支持按邮件地址黑白名单、邮件主题关键字、邮件内容关键字、附件类型、协议命令等条件进行过滤入侵防御（选配）支持入侵防御功能,内置独立的入侵防护功能模块可以针对HTTP、FTP、POP3、SMTP等协议进行入侵检测防护针对攻击可以采取通过、阻断、日志记录方式的动作特征库支持在线和离线方式的更新防病毒（选配）内置专业防病毒模块，支持对HTTP、FTP、SMTP、POP3等协议进行病毒检测和过滤内置恶意网

12、站地址数据库，支持对恶意网站的过滤支持对传输文件的大小和数量的控制病毒特征库支持更新升级，支持手动离线和在线自动升级用户认证支持本地认证，包括Web页面方式和客户端方式的认证支持第三方认证服务器方式的认证，包括Radius、Tacacs+、LDAP、SecurID认证方式支持对认证用户进行登录地址、访问流量、访问有效时间和可用服务的控制支持用户配额高可 用性支持双机热备功能，支持标准的VRRP协议支持路由、透明模式下“主-备”、“主-主”方式部署支持抢占和非抢占模式支持配置、会话状态自动同步系统管理支持HTTPS、CONSOLE、SSH、TELNET等多种管理方式管理员登录支持本地认证，包括用

13、户口令、电子证书和电子钥匙方式 管理员认证支持Radius、LDAP方式的第三方远程服务器认证支持管理员权限分级，支持自定义管理员权限表支持管理主机的受限访问支持系统配置按功能模块部分导出，支持配置加密导出支持网络集中管理功能，支持SNMPv2、SNMPv3协议支持系统软件的离线方式升级支持本地日志缓存和外部Syslog日志服务器存储支持按功能模块进行日志的分类和统计支持系统资源利用率统计图显示支持基于接口的流量统计功能注： 由于版本差异，功能也略有差异，实际请以投标产品为准。4.产品型号与指标产品型号A10000-TG30M产品性能防火墙处理能力20Gbps最大并发连接数400万MTBF（小

14、时）100,000接口说明10/100/1000Base-T2个接口扩展插槽4个串行配置管理接口1个机箱电源机箱2U机箱电源冗余电源5.产品形态项 目型 号型号说明选配说明主机A10000-TG30M硬件主平台(含1个管理接口、1个HA接口、4个接口扩展插槽)必备接口扩展卡AM-A-4T含4个10/100/1000BASE-T接口选配AM-A-4S含4个SFP插槽AM-A-8T含8个10/100/1000BASE-T接口AM-A-8S含8个SFP插槽AM-A-2X含2个SFP+插槽SFP接口模块GT-SFP-SX千兆多模光口SFP模块，波长850nm，有效传输距离0.55km，LC接口。选配G

15、T-SFP-LX千兆单模光口SFP模块，波长1310nm，有效传输距离10km，LC接口。GT-SFP-ZX千兆长距单模光口SFP模块，波长1550nm，有效传输距离80km，LC接口。XT-SFP+-SR万兆多模光口模块，波长850nm，有效传输距离0.55km，LC接口XT-SFP+-LR万兆单模光口模块，波长1310nm，有效传输距离10km，LC接口其他附件电源线等若干随机包装6.产品资质公安部计算机信息系统安全专用产品销售许可证中国国家信息安全产品认证证书国家保密局涉密信息系统产品检测证书IPv6 Ready金牌认证证书国家版权局计算机软件著作权登记证书北京市自主创新产品证书国家信息安全测评信息技术产品安全测评证书高性能IPv6防火墙系统计算机软件著作权登记证书高性能一体化智能安全处理引擎计算机软件著作权登记证书