网神SecGate防火墙企业级产品白皮书.doc

网神 SecGate 3600 防火墙企业级 产品白皮书 目 录 1.产品概述 2 2.产品特点 3 3.主要功能 5 4. 产品型号与指标 10 5. 产品形态 16 6. 产品资质 18 1.产品概述 网神SecGate 3600 防火墙（以下简称“防火墙”）是基于完全自主研发、经受市场检验的成熟稳定SecOS操作系统, 并且在专业防火墙、VPN、IPS、IDS、防毒墙的多年产品经验积累基础上精心研发, 专门为政府军队大的口打造的防火墙系统。 可灵活部署在政府、及其分支机构网络边界，完整实现了状态检测包过滤防火墙、IPSec VPN、URL过滤、流量控制等综合功能。基于成熟可靠的处理器硬件平台，使用硬件加速，性能超强。 的SecOS安全协议栈 完全自主知识产权的SecOS实现的控制层和数据转发层分离，全模块化设计，实现独立的安全协议栈，消除了因操作系统漏洞带来的安全性问题，以及操作系统升级、维护对防火墙功能的影响。同时也减少了因为硬件平台的更换带来的重复开发问题。由于采用先进的设计理念，使该SecOS具有更高的安全性、开放性、扩展性和可移植性。高性能与高安全的多核架构：多核硬件架构与新一代多核并行操作系统SecOS相配合，多个核并行处理，分担数据流量，极大的提升系统性能。多核并行操作系统可实现驾驭更多处理器核、减少串行比例、降低系统开销。保证同时开启防火墙、VPN、IPS、AV、P2P限制等功能系统依然运行平稳。 深度的网络行为关联分析 采用独立的安全协议栈，可以自由处理通过协议栈的网络数据多核间相互分工协作，一核进行高速数据转发，并对常见HTTP/FTP/DNS/TELNET/POP3/SMTP等13种应用协议的预处理；另外一核实现快速重组数据包还原内容，进行深度安全检测。基于网络行为检测的多流关联分析技术，支持对网络数据的病毒过滤，对P2P和即时通讯软件制、支持URLWeb内容过滤，支持FTP内容过滤，为细粒度的网络安全管理提供了有利的技术保障 灵活的网络拓扑适应性 适应于各种复杂网络拓扑，包括透明桥接、路由以及模式支持VLAN和VLAN T处理；同时满足支持多（≥6）路由负载均衡；支持基于（ARP/PING/TCP/ HTTP）的链路探测；支持多（≥3）ADSL拨号及自动负载均衡；支持多纯透明子桥与接口联动；支持基于路由的VPN隧道及双VPN隧道备份；支持多网络出口的链路聚合和策略路由；支持生成树和每VLAN生成树协议（STP/PVST+）和虚拟路由冗余协议（VRRP），提供全面可靠的二层链路备份和三层路由备份。：系统集成强大的，能够根据需要对 3.主要功能 网络适应能力 支持透明/桥接/路由/混合模式 支持DNS中继，支持DNS中继自动寻找上级DNS服务器 可适应多种网络拓扑结构和VLAN Trunk环境 支持VLAN和MAC地址的绑定 支持IP/MAC地址绑定和自动探测 支持802.1Q VLAN，支持VLAN透传和VLAN终结 支持多纯透明子桥和接口联动 支持源地址NAT（多对一NAT） 支持目的地址NAT（多对一NAT） 支持目的端口转换 支持静态NAT（一对一NAT） 支持地址池NAT（多对多NAT） 支持服务器负载分担（一对多NAT） 支持基于目的地址的路由 支持策略路由、支持基于源地址（端口）、目的地址（端口）、服务的策略路由 支持动态路由RIPv1/v2和OSPF 支持SIP/H.323/H.323网守/Ftp/SQL.Net等动态协议 支持MMS/RTSP等多媒体协议 支持路由备份功能，可以根据链路探测的结果进行链路自动切换 支持≥16条链路的路由负载均衡，可以根据链路探测结果自动进行链路切换 支持ARP、TCP、HTTP、PING方式的链路探测，实现1s内主备链路切换 支持PPPOE协议，提供ADSL接入方式 支持多条（≥3）ADSL拨号和自动负载均衡 支持DHCP服务器/中继/客户端 VPN 支持标准IPSec VPN，能够与使用标准IPSec 的网关或客户端互联互通 支持基于策略VPN部署 支持基于路由VPN部署（适合应用多级VPN端到端互通） 支持VPN隧道备份 支持VPN的星型、网状等多种接入方式 支持VPN的NAT穿越，支持DHCP over IPSec VPN，支持远端DPD探测 支持VPN自动穿越，自动探测端口、建立VPN隧道 支持遵守VPN客户端提案方式 支持PPTP/L2TP，拨号VPN，支持PPTP的NAT穿越 支持SSL VPN 支持GRE隧道 防火墙功能 提供基于状态检测的智能包过滤 可针对源区域、目的区域、协议类型、源地址、目的