| 功能类别 |
功能 |
功能描述 |
| 工作模式 |
网络接入 |
透明,路由,混合。 |
| 虚拟系统 |
支持路由 ( 包括 NAT) 和透明模式下的虚拟系统。
每个虚拟系统都提供独立的策略管理(包括 NAT 、包过滤、以及访问控制策略)。 |
| 网络安全性 |
内容过滤 |
采用完全内容检测( Complete Content Inspection )技术。
支持基于流、数据包、透明代理的过滤方式。
支持对 HTTP 、 SMTP 、 POP3 、 IMAP 、 FTP 等协议的深度内容过滤。
支持 URL 过滤。
支持对移动代码如 Java applet 、 Active-X 、 VBScript 、 Java script 的过滤。
支持对邮件的收发邮件地址、文件名、文件类型过滤。
支持对邮件主题、正文、收发件人、附件名、附件内容等关键字匹配过滤。
支持 GB2312 、 UTF-8 等多种编码方式。 |
| 内容过滤 |
支持 MSN , QQ 、新浪 UC 、阿里旺旺、 google talk 等 Instant Messenger 通信,并可以对于这些应用进行登陆限制。支持根据登陆等帐号进行登陆限制。
支持对 MSN , QQ 等 IM 应用通信的连接统计。支持对指定 IP 地址的 IM 应用通信的连接统计。
可限制 BT , eMule , eDonkey 、讯雷等多种 P2P 应用;统计 P2P 流量和连接数,控制 P2P 流量的带宽。
支持对指定 IP 地址的 P2P 流量和连接数的统计和控制。
可屏蔽受保护主机 / 服务器系统信息,如替换服务器( FTP 、 SMTP 、 POP3 、 TELNET,HTTP )的 BANNER 信息。
TELNET 过滤
DNS 过滤
HTTP 重定向
伪装 HTTP 的协议识别和阻断 |
| * 防病毒 |
支持 HTTP , FTP , POP3 , SMTP , IMAP 协议的病毒查杀。
查杀邮件正文 / 附件、网页及下载文件中包含的病毒。
支持 40 万余种病毒的查杀,病毒库定期与及时更新。
支持木马病毒、蠕虫病毒、宏病毒、脚本病毒的查杀。
支持对可疑软件和色情软件的查杀。
支持启发式扫描查杀未知病毒。
支持 ZIP/ARJ/CAB/RAR/GZIP/BZIP2 等压缩文件的病毒查杀。
支持 TAR 等多种打包文件的病毒查杀。
提供快速扫描及完全扫描两种扫描方式。
支持对来源于同一 IP 单位时间内发起的连接数进行统计,超过阈值的进行阻断。
发现病毒后,可自动生成访问控制策略。
病毒库在线自动升级。
病毒库离线升级。 |
| 包过滤 |
基于状态检测的动态包过滤。
基于源 / 目的 IP 地址、 MAC 地址、端口和协议、时间、用户的访问控制。
支持基于用户的 PPTP 的访问控制。
支持报文合法性检查。
动态端口支持协议: H.323 、 SIP 、 FTP 、 RTSP 、 SQL*NET 、 MMS 、 RPC 、 TFTP 、 PPTP 、 RSH 等。
可实现静态或自动的 IP/MAC 绑定。 |
| 防御攻击 |
非法报文攻击: land 、 Smurf 、 Pingofdeath 、 winnuke 、 tcp_sscan 、 ip_option 、 teardrop 、 targa3 、 ipspoof 。
统计型报文攻击: Synflood 、 Icmpflood 、 Udpflood 、 Portscan 、 ipsweep 。
Topsec 联动:可与支持 TOPSEC 协议的 IDS 设备联动,以提高入侵检测效率。
端口阻断:可以根据数据包的来源和数据包的特征进行阻断设置。
SYN 代理:对来自定义区域的 Syn Flood 攻击行为进行阻断过滤。
CC 攻击:可通过设置端口和阀值阻断 CC 攻击。
可记录攻击日志和报警。
预防 ARP 欺骗
反向地址检查
根据协议或地址,限制连接数目;根据连接数目进行源地址排名。 |
| 可信安全接入 |
终端安全搜集
接入方式包括 TD 、 OTP 、 8021x 、 VRC 和浏览器
根据预定义的策略,决定用户可访问的网络资源 |
| AAA 服务 |
支持使用一次性口令认证( OTP )、本地认证、双因子认证( SecurID )以及数字证书( CA )等常用的安全认证方式。
支持 RADIUS 、 TACACS/TACACS+ 、 LDAP 、域认证等安全认证方式。
支持 Session 认证、 HTTP 会话认证。
支持认证保活功能。
可将认证用户信息加密存放在本地数据库。 |
| NAT |
支持双向 NAT 。
支持动态地址转换和静态地址转换。
支持多对一、一对多和一对一等多种方式的地址转换。
支持虚拟服务器功能。
支持协议包括 H.323 、 SIP 、 FTP 、 RTSP 、 SQL*NET 、 MMS 、 RPC 、 TFTP 、 PPTP 、 RSH 等 |
| 网络适应性 |
路由 |
支持静态路由、动态路由。
支持基于源 / 目的地址、接口、 Metric 的策略路由。
支持单臂路由,可通过单臂模式接入网络,并提供路由转发功能。
支持 Vlan 路由,能够在不同的 VLAN 虚接口间实现路由功能。 |
| * 支持 RIP 、 OSPF 等路由协议。
* 支持 BGP 协议 |
| 组播 |
支持 IGMP 组播协议。
可有效地实现视频会议等多媒体应用。 |
| VLAN |
可与交换机的 Trunk 接口对接,并且能够实现 Vlan 间通过安全设备传播路由。
支持 802.1Q ,能进行封装和解封。
支持 ISL ,能进行 ISL 的封装和解封。
在同一个 Vlan 内能进行二层交换。 |
| 生成树 |
支持 802.1D 生成树协议。 |
| ARP |
支持 ARP 代理、 ARP 学习。
可设置静态 ARP 。 |
| 非 IP 协议 |
支持对非 IP 协议 IPX/NetBEUI 、 MPLS 的传输与控制。 |
| DHCP |
支持 DHCP Client 、 DHCP Relay 、 DHCP Server 。 |
| 接入 |
支持 ADSL 等宽带接入。
支持 PPPOE 拨号接入。 |
| * 其它 |
支持网络时钟协议 NTP ,可以自动根据 NTP 服务器的时钟调整本机时间。
支持 链路聚合 。
支持 QinQ
支持 Netflow |
| VPN |
PKI |
支持基于标准 IKE 协商的 VPN 通信隧道。
支持多种 IKE 认证方式,如预共享密钥、数字证书,支持扩展认证。
支持 IKE 扩展认证,如 Radius 认证等。
支持 OCSP 在线证书认证协议 |
| * 接入扩展 |
可允许远程用户通过 L2TP 接入,建立 L2TP 隧道访问内部网络。
可允许远程用户通过 PPTP 接入,建立 PPTP 隧道访问内部网络。 |
| 移动用户 |
支持基于时间的移动用户访问权限控制。
支持 windows98\windows me\windows 2000 和 Windows XP 操作系统用户。 |
| 解决方案 |
支持网关到网关、远程移动用户到网关的 VPN 隧道。
在具有 SCM 的解决方案中,支持灵活的移动用户到移动用户的隧道。
可以和密码机产品,远程客户端产品及 VPN 安全管理系统( SCM )共同组成完整的 VPN 解决方案。 |
| 算法 |
支持 3DES 、 DES 、国密办等加密算法。
支持标准 MD5 、 SHA-1 认证算法。 |
| 工作模式 |
支持 HUB-SPOKE 方式。
支持网状连接方式。
支持分级的树状连接方式。 |
| 其它功能 |
* 支持 Cleaned VPN ,能对隧道内数据进行病毒查杀和内容过滤。
支持网络邻居(利用 WINS )。
支持隧道内的 QoS 。
支持隧道的 NAT 穿越。
支持对隧道内明文的访问控制。
可同时支持明密传输。 |
| 安全管理 |
用户认证 |
支持使用一次性口令认证( OTP )、本地认证、 Web 认证以及数字证书( CA )等常用的安全认证方式。
支持使用第三方认证,如 RADIUS 、 TACACS/TACACS+ 、 LDAP 、域认证等安全认证方式。
支持 Session 认证、 HTTP 会话认证。
支持认证保活功能。
可将认证用户信息加密存放在本地数据库。 |
| 日志 |
支持 Welf 、 Syslog 等多种日志格式的输出。
支持通过第三方软件来查看日志。
支持日志分级。
支持对接收到的日志进行缓冲存储。
支持安全审计系统( TA-L ),获得更详尽的日志分析和审计功能。
TA-L 除接受防火墙日志外还能接受交换机、路由器、操作系统、应用系统和其他安全产品的日志进行联合分析。 |
| 监控 |
可对日志进行加密传输。 |
| 支持网络接口、 CPU 利用率、内存使用率、操作系统状况、网络状况、硬件系统、进程、进程内存、加密卡状况的监测。
可根据配置文件进行错误恢复。 |
| 报警 |
内置了 “ 管理 ” 、 “ 系统 ” 、 “ 安全 ” 、 “ 策略 ” 、 “ 通信 ” 、 “ 硬件 ” 、 “ 容错 ” 、 “ 测试 ” 等多种触发报警的事件类。
支持邮件、 NETBIOS 、声音、 SNMP 、控制台等多种组合报警方式。 |
| 带宽管理 |
QoS
流量整形 |
QOS 带宽管理。
根据 IP 、协议、网络接口、时间定义带宽分配策略。
支持最小保证带宽和最大限制带宽。 |
| 优先级 |
支持分层的带宽管理。
支持 8 级优先级控制。 |
| 高可用性 |
双机热备 |
支持双机热备( Active-Standby 模式)。
支持双机热备( Active-Active 模式)。
支持系统故障切换,包括主设备抢状态开关功能,控制主设备是否在设备恢复正常情况时抢回主设备状态。
支持 VPN 网关的双机热备功能。
支持集群工作模式
设备切换不影响 FTP 、 SQLNET 、 VoIP H.323 、 SIP 等协议应用。
实时的配置同步或非实时的配置同步 |
| 负载均衡 |
支持轮询、加权轮叫、最少连接、加权最少链接等多种服务器负载均衡方式。
支持生成树协议,实现链路负载均衡。 |
| 其它功能 |
支持链路备份功能。
支持 Watchdog 功能。
* 支持双系统引导。 |
| 配置管理 |
配置方式 |
支持 WEB 图形配置、命令行配置。
支持本地配置、远程配置。
* 支持基于 SSH 的安全配置。 |
| 命令行 |
支持配置命令分级保护。
支持中英文。
支持命令超时、历史命令、命令补齐、命令帮助、命令错误提示等功能。 |
| * SNMP |
支持 SNMP 的 v1 、 v2 、 v 2c 、 v3 版本。
与当前通用的网络管理平台兼容,如 HP Openview 等。
丰富的私有 MIB 系统信息 |
| 系统升级 |
支持双系统升级。
支持远程维护和系统升级。
支持 TFTP 、 FTP 、 HTTP 方式升级。 |
| 报文调试 |
提供强大的报文调试功能,可以帮助网络管理员或安全管理员发现、调试和解决问题。 |
| 配置恢复 |
可以进行配置文件的备份、下载、删除、恢复和上载。
各类资源对象、安全策略可单独导入、导出。 |
| 策略检查与配置 |
安全策略的矛盾自动检查
符合指定地址的安全策略查找
方便高效地动态资源对象名过滤
每个安全策略的独立起停
安全策略命中记数 |
| 时钟调整 |
支持网络时钟协议 NTP ,可自动根据 NTP 服务器时钟调整本机时间。 |
| 其它 |
* 扩展能力 |
开放式的架构支持扩展各种软硬件模块,如扩展防病毒、防垃圾邮件、 IPSEC VPN 、 SSL VPN 、 IPS 等功能以及各种 VPN 加速卡。 |
