欢迎进入北京中科网威信息技术有限公司
服务热线:400-0019-855
产品概述
      中科网威超级下一代防火墙NPFW-4000是北京中科网威信息技术有限公司最新研发的下一代边界安全网关产品。该产品构筑在最新一代超算级众核CPU硬件平台基础之上,采用领先的应用层安全防护理念与深度内容识别技术,结合先进的众核CPU高速数据包并发处理技术,可支持多达数千种精准细粒度的内容检测,建立起以应用管控为核心的全方位安全防护体系,为用户提供业界领先的一体化安全解决方案。
产品特性

产品优势

 

典型应用

产品参数
网络功能 部署模式 旁路 单接口监听交换机镜像流量
串行 支持透明、路由、混合(透明+路由)、多组桥、多口桥
混合 支持旁路和串行混合部署
接口配置 物理接口 启用/关闭
IPv4地址类型:静态(支持主从)、DHCP动态获取IP、PPPoE动态获取IP
IPv6地址类型:静态(支持主从)
DHCP下发DNS
接口管理方式:HTTPS、HTTP、SSH、Telnet、Ping
协商模式:自动、强制(可设置双工和速率)
工作模式:路由模式、桥模式
MTU,修改范围1280-1500
子接口 子接口管理(增删改查)
子接口ID:1-4094
启用/关闭
IPv4地址类型:静态(支持主从)、DHCP动态获取IP、PPPoE动态获取IP
IPv6地址类型:静态(支持主从)
接口管理方式:HTTPS、HTTP、SSH、Telnet、Ping
MTU,修改范围1280-1500
桥接口 桥接口管理(增删改查)
桥接口ID:0-255
启用/关闭
IPv4地址类型:静态(支持主从)、DHCP动态获取、PPPoE动态获取
IPv6地址类型:静态(支持主从)
接口管理方式:HTTPS、HTTP、SSH、Telnet、Ping
MTU,修改范围1280-1500
聚合接口 聚合接口管理(增删改查)
聚合接口ID:0-255
启用/关闭
IPv4地址类型:静态(支持主从)、DHCP动态获取、PPPoE动态获取
IPv6地址类型:静态(支持主从)
接口管理方式:HTTPS、HTTP、SSH、Telnet、Ping
MTU,修改范围1280-1500
loopback接口 支持生成、配置loopback接口。(命令行支持)
支持基于loopback(或指定IP)接口地址的管理(设备管理等)(命令行支持)
隧道接口(显示) 隧道模式:IPv6隧道、Ipsec隧道
显示项目:接口名称、隧道模式、连接状态、启用状态
4G接口 支持联通4G上网卡(推荐:华为E3372)
TCP MSS调整 支持根据业务类型智能调整
命令行支持接口TCP MSS手工调整,支持全局设置和VPN单独配置
DHCP DHCP服务类型 DHCP服务器
DHCP中继代理
服务器属性 网络配置:网关、子网、开始结束IP地址
租约:无限、有限时长
高级属性:DNS支持2个,Wins支持2个,域
支持排除地址
支持IP-MAC绑定
DHCP监视器 显示IP地址和MAC地址及开始时间、结束时间
清除条目
IPv4路由 路由表 显示设备路由信息
高级路由属性 支持非对称路由
命令行下支持强制源进源出
静态路由 增删改查
支持基于路由权重的多链路负载均衡
支持路由优先级
支持VRF配置
策略路由 增删改查、移动
5元组策略路由+时间
基于用户的策略路由
基于应用的策略路由
支持基于路由权重的多链路负载均衡
ISP路由 内置电信、联通ISP信息
支持自定义ISP信息
增删改查
RIP 支持v1、v2
支持缺省路由发布和路由重发布
支持接口下发送版本和接收版本的设置
支持认证方式:字符、MD5、不需要认证
OSPF 支持缺省路由发布、路由重发布
支持OSPF网络区域信息的增删改查
支持接口下相关配置
支持认证方式:字符、MD5、不需要认证
NAT 通用功能 支持日志发送
地址池
源NAT 支持配置的增删改查、移动
源地址转换类型:出接口、地址池、 不转换
目的NAT 支持配置的增删改查、移动
目的地址转换类型:地址池、转换端口、不转换
静态NAT 支持配置的增删改查、移动
ALG 动态端口支持协议ALG:H.323、SIP、FTP、TFTP、PPTP
FTP、TFTP、SIP支持非标准端口设置
会话限制 规则管理 增删改查
功能 支持基于地址对象的限制
支持基于IP的会话数、每秒新建的限制(如引用地址对象,则对地址对象中的每个IP地址进行限制)
限制阻断 显示限制信息
IP会话限制内容:IP地址、连接数、会话限制、每秒新建、每秒新建限制、限制阻断统计、引用地址对象名
支持查询过滤和全部显示
会话统计 显示当前IP地址的连接数
支持session状态监控
地址探测 接口探测 支持ping地址监控条目
支持tcpsyn地址监控条目
支持dns地址监控条目
支持接口类型:物理接口,子接口,桥接口,聚合接口,隧道接口
地址探测组 支持多个地址探测从属组关系
分为严格模式和非严格模式(严格模式即所有探测条目均成功组状态才成功,非严格模式探测条目间为独立状态)
支持对探测组描述
路由探测 支持探测路由以确保路由有效性
支持场景及部署方式 支持静态路由或ISP路由联动
支持与接口状态联动
支持与HA联动
日志说明 可对地址探测失效、恢复有日志记录
链路负载均衡 链路负载均衡 支持基于带宽的链路负载均衡
支持基于优先级的链路负载均衡
支持基于接口的链路负载均衡
二层支持 VLAN vlan子接口
子接口都支持IEEE 802.1Q,能进行封装和解封。
支持对报文进行二次基于802.1Q封装的VLAN-VPN应用。(QinQ)
生成树协议 支持802.1d的STP生成树协议。
报文透传 支持二层解封装和再封装,对上层透明
IPv6 基础功能 IPv6路由通告
IPv6静态路由、OSPFv3
支持用户和应用均为任意的7元组策略
扩展报文头的逐跳报文的处理、分片报文等的处理
隧道支持:手工隧道,6to4隧道,ISATAP
Nat64
防畸形报文攻击
网络优化 应用缓存 应用缓存 支持文件缓存
服务质量管理 服务质量管理 支持PING、TCP、DNS探测
支持接口探测
支持自定义间隔时间探测
虚拟路由器 VRF 接口虚拟化 接口默认属于root,创建VRF后可把接口添加到VRF内,一个接口只能属于一个VRF;
IP地址重叠 不同vrf下的接口可以配置相同的ip地址
静态路由 支持静态路由
安全防护 通用功能 黑名单 支持手动配置
支持触发防攻击规则和IPS阻断源地址规则自动进入黑名单
支持生存时间配置
分析模块 扫描攻击分析
异常包攻击分析
Flood攻击分析
扫描防护 通用 基于接口的配置
支持自动加入黑名单
扫描阈值设置
扫描方式 端口扫描、IP地址扫描
异常包防护 异常包类型 Ping of Death;Land-Base;Tear Drop;TCP flag;Winnuke;Smurf;IP选项;IP Spoof;Jolt2
ARP防护 防ARP攻击 启用与关闭
支持ARP学习与主动保护
可设置IP-MAC绑定
防ARP Flood攻击
支持ARP表查看、绑定、清除、接口信息
ARP学习控制 基于接口的ARP学习控制
Flood防护 通用 一体化配置
基于目的IP、IP范围
支持接口防御
阈值设置
支持类型 SYNFlood、UDPFlood、ICMPFlood、DNSFlood
流量管理 通用功能 配置管理 增删改查
流量控制 线路管理 绑定接口
支持基于接口的上下行带宽管理
通道管理 支持高、中、低优先级通道设置
支持应用、用户、源地址、服务、时间的通道匹配
保障带宽
限制带宽
每IP限速
自动支持流量整形
排除策略 排除策略 支持用户、地址排除
访问控制 IPv4安全策略 配置管理 支持策略增删改查、启用/禁用、移动
支持策略匹配次数清零
支持修改默认策略动作:允许/拒绝
策略 七元组策略匹配条件:用户、应用、源地址、源接口、目的地址、目的接口、服务
支持基于时间表的策略配置
支持应用选择过滤
支持基于应用的应用类型组选择
支持策略动作为:允许、拒绝、IPSec
基于策略的长连接(老化时间)
支持动作为拒绝的策略进行日志记录
IPv6安全策略 配置管理 支持策略增删改查、启用/禁用、移动
支持策略匹配次数清零
支持修改默认策略动作:允许/拒绝
策略 支持用户和应用均为任意的7元组策略
支持基于时间表的策略配置
支持策略动作为:允许、拒绝
支持动作为拒绝的策略进行日志记录
上网行为控制与审计 应用过滤策略 配置管理 增删改查
启用禁用
描述
策略 支持根据应用/应用类来区分不同的应用行为
支持根据应用行为来区分不同应用的审计内容
根据应用行为确定审计内容
支持基于关键字或者数字的内容审计
支持允许/阻断的策略动作
审计日志选项:不记录、紧急、告警、严重、错误、警示、通知、信息
URL过滤策略 配置管理 增删改查
启用禁用
描述
策略 支持恶意URL过滤
支持预定义和自定义URL分类过滤
支持URL阻断和审计(动作:允许 、拒绝)
URL日志选项:不记录、紧急、告警、严重、错误、警示、通知、信息
应用控制及审计 通用审计内容 审计用户名、所在组名
审计应用名、所在应用类
审计操作系统、平台、终端、供应商
审计源IP地址、目的IP地址、目的端口
即时通讯 基于帐号的登录控制、黑/白名单
支持非加密收发消息时的关键字内容审计
P2P类 识别迅雷
股票软件 基于行为(登录、交易、行情)的控制和审计
网络游戏 基于行为的控制和审计
搜索引擎 关键字过滤
Webmail 支持邮件内容审计,不支持附件审计。
支持普通版webmail审计(QQ、163、126、新浪、139邮箱)
社区类 支持论坛(BBS、博客)主题过滤(如果有)
论坛(BBS、博客、微博)内容过滤
联系人 支持以发件人过滤
非加密邮件 支持邮件客户端的主题、内容、附件名过滤
支持记录邮件内容,需要带本地硬盘
命令类 支持基于命令和操作的审计
论坛上传下载文件名过滤
IPS 入侵防御 入侵防御 支持基于源、目的、规则集的入侵检测。
支持5种自定义动作
支持软件bypass(CPU and 内存高于70%)
DDOS防护 可记录攻击日志和报警。
特征库 支持系统规则库手动、自动升级。
系统定义超过3000条规则,包含Backdoor,bufferoverflow,dosddos,im,p2p,vulnerability,scan,webcgi,worm,game。
AV 防病毒 病毒防护 支持HTTP,FTP,POP3,SMTP,IMAP协议的病毒查杀
查杀邮件正文/附件、网页及下载文件中包含的病毒
支持300万余种病毒的查杀,病毒库定期与及时更新
支持启发式扫描查杀未知病毒
支持ZIP/RAR等压缩文件的病毒查杀
压缩:默认5层,最大20层
支持TAR等多种打包文件的病毒查杀
PKI PKI 证书格式 支持X.509 V3数字证书,支持DER/PEM/PKCS12多种证书编码。
本地CA 支持内置CA,为其他设备或移动用户签发证书。
支持本地CA根证书、根私钥的更新。
支持在线CRL列表。
VPN IPSec VPN IKE第一阶段协商模式 支持IKEv1
支持主模式和野蛮模式
IKE身份认证 预共享密钥
RSA证书认证
加密/HASH算法 国际标准算法(DES/3DES/AES;MD5/SHA-1)
IPSec封装模式和协议 支持隧道模式
支持ESP和AH封装
部署模式 网关到网关
远端地址为动态
对端地址为DNS
Hub Spoke组网,spoke之间通过IPSec通信
VPN track(可以探测到VPN peer地址不可达并将隧道删除)
客户端远程接入,支持扩展认证和模式配置
隧道VPN
配置方式 基于安全策略配置/基于路由(隧道口)配置
其他特性 DPD
NAT穿越
FQDN
DH组配置
PFS
维护手段 隧道监视器
流量统计 支持隧道持续时间统计等
用户功能 支持用户强制下线
VPN功能优化 提供VPN接口和VPN路由
VPN展示优化
同设备对接和第三方对接
用户管理 通用功能 导入导出 用户、组的导入导出
新建、删除 用户、组的新建、删除
用户组 支持用户组
用户种类的改变 可以在认证用户、固定IP用户、匿名用户之间自由变换
超时检查 对认证用户、移动用户、第三方认证用户支持超时时间检查
认证用户 账号管理 增删改查
认证服务器 支持HTTP登录
认证方式 本地认证、认证服务器、静态绑定
认证设定 锁定时间
认证用户保活
支持唯一性检查
登录后重定向页面
绑定多个认证地址
基本功能 用户登录和注销界面
支持移动设备登录页面自适应
IPv6支持 IPv6用户 用户可绑定IPv6地址
移动用户 用户 自动添加用户
移动用户组 内置移动用户组
portal server 支持portal联动 支持portal服务器联动
radius联动 radius携带nas-id 开发实现NAS-Identifier(32)在无线场景携带AC名字
用户策略 识别相关 识别范围 设置识别的IP地址范围
重定向 重定向页面 默认重定向页面
策略 认证策略 匹配项:源接口、源地址、目的接口、目的地址、时间
重定向页面选项(相关行为)
支持微信、短信、本地、免认证、portal认证
系统管理 系统管理员 账号管理 管理员账号的增删改查
只读管理员查看配置权限(审计员)
登录认证方式支持本地认证、Radius服务器认证、LDAP服务器认证
密码复杂度:必须包括数字,英文和字符,6-63个字符
每帐号可绑定3个IPv4地址或子网
管理设定 支持三权分立
支持账号唯一性检查
最大登录重试次数1-60次,默认为5次
登录失败阻断间隔1-3600秒,默认为1分钟
页面超时时间1-480分,默认为10分钟
在线管理员1-20个,默认为20个
在线用户管理 支持管理员在线监控和强制下线
阻断用户 支持管理员黑名单,阻断用户可监控,可解锁
认证服务器 Radius 支持用户信息在远端Radius服务器存储
支持多用户第三方存储远端请求认证
单服务器认证
LDAP 支持用户信息在远端LDAP服务器存储
支持多用户第三方存储远端请求认证
不支持LDAP组同步认证
支持LDAP用户、用户组同步
单服务器认证
服务器组 Radius/LDAP服务器组,支持主备和集群
短信认证 支持短信验证码验证身份实现wifi认证上网
短信网关认证页面自定义
微信认证 支持微信关注公众账号实现wifi认证上网
支持二维码扫描认证
免认证 免认证
无感知认证 无感知认证(非跨门店)
系统维护设定 系统时间 手工设置时间
NTP同步
设备间同步时间(通过NTP保持一致)
系统重启 恢复出厂配置
系统重启
部署方式 旁路部署
授权 许可证
配置文件 配置文件导入导出
双备份配置
系统升级 系统升级手动、自动、升级历史
支持断点续传
动态库升级(应用、URL、IPS、AV)
诊断工具 ping探测
traceroute探测
TCP SYN探测
抓包工具 支持按照过滤条件抓取数据报文
支持将报文下载到本地保存查看
信息收集 设置方式:手动搜集和自动收集
收集内容操作:下载、查看、删除
可靠性 硬件bypass 电口断电bypass
电口启动过程bypass
软件bypass IPS模块软件bypass:瞬时cpu使用率超过70%按10:1进入检测流程,命令行可调比例
双机热备HA 主备模式 支持配置同步
支持流同步
支持特征库同步
支持接口状态监控
支持抢占模式
支持备机可管理
支持AGG口作为心跳口,提高心跳口可靠性
支持HA状态监控
主主模式 支持认证用户同步
支持流同步
支持接口状态监控
支持地址代理
支持非对称路由
支持AGG口作为心跳口,提高心跳口可靠性
接口状态同步组 物理状态同步 支持两个或者多个接口状态绑定
SNMP SNMP配置 SNMP代理
版本:v1、v2、v3
trap trap版本:v1、v2 Notification、v2Inform
trap地址
私有mib CPU、内存
SNMP用户 增删改查
认证方式:None、MD5、SHA
支持跨三层IP MAC绑定 支持跨三层IP MAC绑定
域名相关 DNSserver 支持4个DNS服务器
静态域名(256个)
日志设定 syslog日志配置 日志服务器:地址和端口(3组)
日志过滤 本地认日志记录开关、日志服务器日志级别开关
设备映射表 设备映射表流量、上网行为、系统管理
Debug 命令行 各模块Debug支持
监控 首页 系统信息 设备序列号、主机名称、产品型号、系统版本、URL版本、APP版本、IPS版本、AV版本
系统时间、日志汇总(访问网站、收发邮件、论坛与微博、IM聊天)、当前会话数、运行时间
实时流量(设备) 基于物理口的上下行流量统计bps(1小时60个点)
整机总流量统计Kbps/Mbps/Gbps
接口信息状态 接口状态
接口详细信息
用户、应用流量排名 Top 20
系统资源 CPU、内存
在线用户 全部用户 显示所有用户
移动用户 显示移动用户
查询 按网段查询
管理 冻结、解冻
离线
防私接防共享 防私接防共享 支持基于IP及IP段配置白名单
支持 基于用户、MAC、终端数量的监控
支持 基于用户、MAC、终端数量的监控
支持状态监控、解锁操作
流量监控 统计集 应用流量统计 应用统计总览可视
应用比例图呈现
应用统计趋势图总览
应用统计详细信息展现
应用与用户维度耦合
应用TOP11统计
用户流量统计 用户统计总览
支持用户统计柱状呈现
用户统计详细信息总览与应用维度耦合
支持查看单个用户的应用趋势及应用TOP列表
用户TOP15统计
流量监控 接口流量统计 支持接口上下行统计,包含每小时、每天、每周

Copyright(c)1999-2011 北京中科网威信息技术有限公司 All Rights Reserved 京ICP备05020515号

地址:北京市海淀区中关村软件园(二期)中兴通大厦B座2层

 扫码关注
微博·微信