天融信网络卫士防火墙系统TopGuardNGFW4000-UF系列专用平台产品说明天融信TOPSEC®北京市海淀区上地东路1号华控大厦100085电话:+8610-82776666传真:+8610-82776677服务热线:+8610-8008105119版权声明本手册的所有内容,其版权属于北京天融信公司(以下简称天融信)所有,未经天融信许可,任何人不得仿制、拷贝、转译或任意引用。本手册没有任何形式的担保、立场倾向或其他暗示。若因本手册或其所提到的任何信息引起的直接或间接的资料流失、利益损失,天融信及其员工恕不承担任何责任。本手册所提到的产品规格及资讯仅供参考,有关内容可能会随时更新,天融信恕不承担另行通知之义务。版权所有不得翻印©1995-2010天融信公司商标声明本手册中所谈及的产品名称仅做识别之用,而这些名称可能属于其他公司的注册商标或是版权,其他提到的商标,均属各该商标注册人所有,恕不逐一列明。TopSEC®天融信信息反馈)灵活的接口扩展能力...................................................................................................................42)安全高效的TOS操作系统..........................................................................................................43)集成多种安全引擎:FIREWALL+IPSEC+SSL+ANTIVIRUS+IPS..........................................54)完全内容检测CCI技术...............................................................................................................53产品特点介绍..................................................................................................................................64产品功能........................................................................................................................................125运行环境与标准............................................................................................................................196典型应用........................................................................................................................................211)典型应用一:在大型网络中的应用.........................................................................................212)典型应用二:虚拟防火墙应用.................................................................................................223)典型应用三:AA模式双机热备...............................................................................................237产品资质........................................................................................................................................248特别声明........................................................................................................................................241产品概述网络卫士系列防火墙NGFW4000-UF(NetGuardFireWall)系列专用平台产品,是天融信公司积累多年网络安全产品开发与实践经验的应用最为广泛的千兆防火墙。它继承了天融信公司十多年来在安全产品研发中的积累的多项成果,以自主知识产权的网络安全操作系统TOS(TopsecOperatingSystem)为系统平台,采用开放性的系统架构及模块化的设计思想,充分体现了天融信公司在长期的产品开发和市场推广过程中对于用户需求的深刻理解。NGFW4000-UF系列专用平台属于网络卫士系列防火墙的中高端产品,特别适用于网络结构复杂、应用丰富、高带宽、大流量的大中型企业骨干级网络环境。目录NGFW4000-UF系列产品说明_专用平台北京天融信公司4NGFW4000-UF(TG-5130/TG-5230/TG-5330)说明此图片为网络卫士系列防火墙NGFW4000-UF新一代产品图片,部分老型号产品请参见实物。请以实物为准。2关键技术1)灵活的接口扩展能力最大配置为26个接口,包括3个可插拔的扩展槽和2个10/100/1000BASE-T接口(可作为HA口和管理口);可支持8~24个千兆接口(光口或电口)。2)安全高效的TOS操作系统具有完全自主知识产权的TOS(TopsecOperatingSystem)安全操作系统,采用全模块化设计,使用中间层理念,减少了系统对硬件的依赖性,有效保障了防火墙、SSLVPN、IPSECVPN、防病毒、内容过滤、抗攻击、带宽管理等功能模块的优异性能。TOS良好的扩展性为未来迅速扩展更多特性提供了无限可能。NGFW4000-UF系列产品说明_专用平台北京天融信公司53)集成多种安全引擎:FIREWALL+IPSEC+SSL+ANTIVIRUS+IPS基于专有硬件平台的NGFW4000-UF系列专用平台产品采用TOS操作系统,集成了丰富的安全引擎,包括:防火墙引擎,IPSECVPN引擎,SSLVPN引擎,防病毒引擎,IPS引擎等。这些引擎的紧密集成使得网络卫士防火墙成为了可以防范多种威胁、功能丰富的防火墙产品。4)完全内容检测CCI技术网络卫士防火墙采用最新的CCI技术,提供对OSI网络模型所有层次上的网络威胁的实时保护。网络卫士系列防火墙可对还原出来的应用层对象(如文件、网页、邮件等)进行病毒查杀,并可检查是否存在不良WEB内容、垃圾邮件、间谍软件和网络钓鱼欺骗等其他威胁,实现彻底防范。NGFW4000-UF系列产品说明_专用平台北京天融信公司63产品特点介绍集成多种安全功能NGFW4000-UF系列专用平台产品由于集成了多种安全引擎,使其具备了防火墙、IPSECVPN、SSLVPN、防病毒、IPS等安全功能,成为了国内安全功能最丰富的防火墙产品。虚拟防火墙虚拟防火墙,是指在一台物理防火墙上可以存在多套虚拟系统,每套虚拟系统在逻辑上都相互独立,具有独立的用户与访问控制系统。不同的企业或不同的部门可以共用1台防火墙,但使用不同的虚拟系统。对于用户来说,就像是使用独立的防火墙。大大节省了成本。NGFW4000-UF系列产品说明_专用平台北京天融信公司7强大的应用控制网络卫士防火墙提供了强大的网络应用控制功能。用户可以轻松的针对一些典型网络应用,如MSN,QQ、Skype、新浪UC、阿里旺旺、GoogleTalk等即时通信应用,以及BT、Edonkey、Emule、讯雷等p2p应用实行灵活的访问控制策略,如禁止、限时、乃至流量控制。网络卫士防火墙还提供了定制功能,可以对用户所关心的网络应用进行全面控制。CleanVPN服务企业对VPN应用越来越普及,但是当企业员工或合作伙伴通过各种VPN远程访问企业网络时,病毒、蠕虫、木马、恶意代码等有害数据有可能通过VPN隧道从远程PC或网络传递进来,这种威胁的传播方式极具隐蔽性,很难防范。网络卫士防火墙同时具备防火墙、VPN、防病毒和内容过滤等功能,并且各功能相互融合,能够对VPN数据进行检查,拦截病毒、蠕虫、木马、恶意代码等有害数据,彻底保证了VPN通信的安全,为用户提供放心的CleanVPN服务。广泛的网络适应性支持基于五元组的三级策略路由,支持单臂路由,支持Trunk(802.1Q和ISL),能够在不同的VLAN虚接口间实现路由功能,支持IGMP组播协议和IGMPSNOOPING,支持对非IP协议IPX/NetBEUI的传输与控制。先进的设计思想采用面向资源的设计方法。把安全控制所涉及的各种实体抽象为对象,包括区域、地址、地址组、服务、服务组、时间表、服务器、均衡组、关键字、文件、特殊端口等。不同对象的实体组成资源,用于描述各种安全策略,实现全方位的安全控制。极大地提高了网络安全性,并保证了配置的方便性。NGFW4000-UF系列产品说明_专用平台北京天融信公司8超强的防御功能高级的IntelligentGuard技术提供了强大的入侵防护功能,能抵御常见的各种攻击,包括SynFlood、Smurf、Targa3、SynAttack、ICMPflood、Pingofdeath、PingSweep、Landattack、Teardropattack、IPaddresssweepoption、FilterIPsourcerouteoption、Synfragments、NoflagsinTCP、ICMP碎片、大包ICMP攻击、不明协议攻击、IP欺骗、IPsecurityoptions、IPsourceroute、IPrecordroute、IPbadoptions、IP碎片、端口扫描等几十种攻击,网络卫士系列防火墙不但有内置的攻击检测能力,还可以和IDS产品实现联动。这不但提高了安全性,而且保证了高性能。强大的应用代理模块具有透明应用代理功能,支持FTP、HTTP、TELNET、PING、SSH、FTP—DATA、SMTP、WINS、TACACS、DNS、TFTP、POP3、RTELNET、SQLSERV、NNTP、IMAP、SNMP、NETBIOS、DNS、IPSEC—ISAKMP、RLOGIN、DHCP、R