功能特点
面向应用与内容安全
能够基于传统防火墙的五元组进行安全策略配置,还可以基于应用、用户、时间等条件进行安全策略配置。提供一体化的策略,对于所有策略条件进行融合,提供统一配置界面。
智能应用识别
持有智能应用协议识别技术,通过动态分析网络报文中包含的协议特征,发现其所用协议,在全盘了解应用特征后,制作出相应的应用特征及应用过滤器,对网络中传输的数据包进行高速匹配,确保能够准确、快速地检测到此类应用。
业务URL分类过滤
中新云中心网站分类收集系统持续在互联网上刷新新增站点,分类库中包含了恶意网站,囊括了当期流行的钓鱼网站和恶意URL,收录了多种语言超过千万的URL,根据赌博网站、招聘网站、色情网站、购物网站、社交网站、视频网站、暴力网站、网页邮箱网站等常见需求分类。
基于云端推送的威胁防御
全面具备入侵检测、病毒与恶意软件、WEB应用防护等各种威胁防护功能,并且通过安全云中心威胁行为检测推送威胁防御特征,应对不断出现的新型入侵、攻击、病毒与恶意软件、恶意网站。
灵活的用户防护机制
内嵌一套灵活强大的身份管理系统,在用户管理方面对组织架构、角色类型和用户信息进行分类规划,集成了强大的安全准入控制功能,针对身份认证通过后的用户,根据其身份认证信息,通过智能过滤引擎实现基于用户身份的安全防护策略部署与可视化监控。
可视化全网行为统计
通过高级动态网页技术展现丰富的可视化图表,从整体流量、应用协议、用户使用流量、WEB访问情况等多个维度上全面展现历史全网行为统计。
颗粒化流量控制
流量进行精确的识别,提供多层的带宽策略,每层都允许自定义各种流量识别条件,可以在一个带宽通道中实现最大带宽、保证带宽等流量控制动作。
高效的硬件处理架构
集成了硬件加解密、压缩解压缩、正则匹配等硬件协处理器和L2~L7层网络应用加速器;采用了高速数据包处理技术专门针对I/O密集型网络设计,为数据转发提供了一个高速通信隧道,极大提升了平台安全处理性能和吞吐率,使设备在安全处理性能上具有质的飞跃。
Master和Standby系统双活冗余
双操作系统设计,主控(Master)系统与备用(Standby)系统之间采用分布式设计;能够避免因升级失败、文件系统错误等系统故障而导致的设备工作异常造成的损失。
路由支持
支持高级ISP路由,数量最少支持3个及以上;支持静态路由协议;支持RIP、OSPF等动态路由协议;支持策略路由;支持多条等价路由,提供目的路由和源地址路由功能以及目的路由负载均衡(注:源地址路由功能可通过策略路由实现)。
端口聚合
支持多个端口聚合,提高链路带宽。
邮件过滤
支持针对SMTP、POP3,基于发信人地址、收信人地址、收信人数、文件大小、邮件主题、正文内容、发件人姓名、收件人姓名、附件文件名、附件内容等进行关键字匹配过滤。
VLAN支持
支持每个网络接口设定多个IP地址,支持网络接口模式的设定,适应多种网络拓扑结构和VLAN环境(支持802.1q协议、Trunk协议等),支持IEEE802.1Q 协议。
应用层协议识别及防护
支持应用协议特征库自动升级功能,当发现协议本身特征发生变化能够自动升级协议特征,以完美匹配应用协议,避免应用软件通过更新升级的方式绕过防火墙的监控和识别;支持应用层协议过滤,可以识别http,ftp,smtp,imap,pop3,QQ,比特下载,在线视频等各类常用的高层应用协议,可限制BT,eMule,eDonkey等P2P应用,并可以对这些应用进行登录限制,并记录日志;支持ftp过滤功能(包括针对各FTP子命令单独设置策略);支持对telnet访问过滤功能;针对HTTP,对网页中java、javascrip、activeX进行过滤,在状态包过滤方式下,支持细粒度的规则配置,支持URL过滤,并支持黑/白名单过滤策略,支持百万种url特征库。
IPSEC VPN
支持VPN通讯参数的设置;支持不同认证算法(MD5/SHA1/…)、不同加密算法(3DES/AES/…)、不同封装模式(ESP/AH)的选择;支持IKE认证方式的选择(预共享密钥/PKI证书模式);支持固定网关之间的VPN通讯,支持客户端与网关间的VPN通讯;支持星型结构和网状结构下的VPN隧道建立;完整兼容IPSec协议,能够与CISCO、WINXP、WIN7的VPN互通。
SSL VPN
支持内置独立的sslvpn用户界面配置工具并提供下载;支持AES、DES、3DES、RC4、MD5、SHA1、RSA等多种算法选择;支持SSL2.0/3.0、TLS1.0;支持高效流压缩算法;支持X.509数字证书认证;支持公共帐户登陆;支持HTML、JAP、ASP、JAVA、applet、ACTIVE、Cookies等各种Web应用;支持基于IP协议的各种C/S应用,如EMAIL、FTP、ERP、CRM、DB等;支持Windows/CIFS远程文件共享;自带150个SSL-VPN并发连接,不需要额外的授权。
防病毒
支持大约5万条病毒条目;支持在线、本地更新病毒库,能够防护端口扫描、密码暴力破解等网络攻击。
IPv6
支持IPv6协议,支持IPv6网络下的邻居发现,路由自动转发功能,满足IPv6Phase 2金牌认证要求。
登录界面定制
登录框可以根据用户需求进行定制,使用户可以更加全面地了解系统和管理员的信息,如系统公告,logo、管理员电话,QQ等。
集成IPS
支持识别和阻断多种网络攻击,并记录日志,设备内置入侵检测规则,当有某个行为与一个已知入侵的规则相匹配时,系统将会发布警报信息,记录到系统日志里,方便管理员及进了解网络安全状况;支持多种类型ips特征检测,并允许用户启用或禁用特定的特征,对程序访问做相应限制(例如邮件,dns等);支持ips特征库的自动更新。
应用代理
支持基于TCP的HTTP代理、SMTP代理、FTP代理、POP3代理以及基于策略的通用代理;支持在透明代理下基于HTTP、FTP、SMTP、POP3协议的内容过滤。
流量监控
支持端口限速功能,以保证关键业务的有效带宽;支持保证带宽功能,保证关键业务的带宽占用;支持基于源IP地址,目的IP地址,源端口,目的端口,传输协议,应用程序(ftp,http,qq等)等方面的带宽控制,为关键业务流量优先分配带宽,所有配置要统一集中在同一界面完成,简化操作。
多机集群
支持两台及以上防火墙组成多机集群工作模式。
状态同步
在多机集群状态下,支持多台防火墙共享虚拟的IP地址,在双机热备状态下,支持主机的连接状态信息与备机保持同步更新,从而可保障冗余系统切换时连接不中断,彻底消除单点故障。
负载均衡
支持基于上行网络设备或在网关设置的均衡来实现多机集群模式下防火墙处理能力方面的负载均衡。
联动功能
支持与入侵检测系统进行联动,当入侵检测系统发现网络受恶意攻击或未经授权的访问时,实时把信息传送给防火墙设备,防火墙设备根据预先配置好的安全策略可对信息进行阻断或放行。
日志审计
所有的防火墙事件都有相关日志记录,支持系统配置日志、系统运行日志、NAT日志、连接日志等相关内容的记录,并支持日志记录级别,关键词搜索功能;支持攻击防范日志、内容过滤日志、病毒攻击日志、用户上下线日志等相关内容的记录,并支持日志记录级别、关键词搜索功能;支持远程Syslog服务器;支持日志导出,支持CSV/Excel格式。
客户价值
更简单的设备运维管理,降低用户成本
中新金盾第二代代防火墙一体化的集成防护功能,大大降低了用户对安全设备的采购成本,同时极大地简化了组网复杂度和设备管理复杂度。另外设备自身能够提供丰富的网络及安全可视化展示方式,从应用和用户视角多层面的将网络应用及安全状态展现出来,使管理者能够清晰、准确地认知网络运行状况与安全态势。
强大的应用层防护设计和高效的数据转发、处理能力,确保用户关键业务的安全
中新金盾第二代防火墙,支持多种应用层协议监控,并能够实现按不同类型进行QOS细化控制,支持2-7层防护功能,支持攻击防护、入侵检测、恶意代码防护、垃圾网站过滤等等新兴的攻击微信,进行全面的防护。专业、稳定的专用多核硬件平台架构及底层安全系统设计;采用中新网安先进的底层架构优化技术,大大提升数据包及协议识别下的7层数据包转发能力。