下一代防火墙产品-功能列表

下一代防火墙产品-功能列表具体指标功能描述1.部署模式路由模式支持路由模式部署，可以作为出口网关，包括单出口和多出口的部署模式。透明模式支持透明模式部署，类似于普通的交换接口。虚拟线路模式支持以虚拟线路模式部署，包括单桥和多桥的部署模式。混合模式支持透明、虚拟线路和路由混合部署模式。2.网管方式与网管策略WEB管理支持以HTTP及SSL加密的WEB图形化接口进行设备配置和管理，支持英语、简体中文、繁体中文接口。SSH管理支持SSH命令行管理方式。Console管理支持Console管理。网管策略1.管理权限分立：系统默认有超级管理员、审计管理员、只读管理员，可根据需要灵活定制管理员角色。2.支持密码强度、口令尝试死锁、账户激活等安全管理功能。3.通过网管策略，可允许部分IP能网管设备，以限制非法管理员访问设备。3.网络功能静态路由支持IPv4、IPv6静态路由功能。策略路由支持策略路由功能。均衡策略支持链路的负载均衡。运营商路由选路支持运营商路由选路。持续路由支持链路持续路由算法。链路备份支持主备链路的备份功能。子接口支持物理接口添加子接口功能。聚合接口支持将多个以太网物理端口捆绑成一条逻辑端口，不仅增加链路带宽，同时增加链路备份。6to4隧道支持纯IPV6环境间跨过IPV4环境互相通信网口模式支持WEB页面改变网口的排列顺序ADSL拨号支持ADSL拨号功能，支持多条PPPOE拨号做负载均衡。DHCP服务器支持DHCP服务器功能。DHCP中继支持DHCP中继功能。DHCP客户端支持IPv4、IPv6DHCP客户端功能。DNS代理支持DNS代理功能。DNS缓存设备作为DNS透明代理,缓存DNS记录。动态DNS功能支持动态DNS功能（花生壳）4.基础防火墙功能防火墙支持基于状态监测的防火墙，不仅保障网关设备安全，还能保护组织内网安全。安全策略支持包过滤检测功能，默认情况下，拒绝所有的数据包通过，以保证网络的安全性，且不能修改、移动和删除。NAT转换支持多对一的PAT转换、一对一的地址转换、多对多等多种NAT转换策略。5.VPN功能PPTPVPN支持PPTPVPN。IPSecVPN支持标准的IPSecVPN功能。SSLVPN支持标准的SSLVPN功能6.IPS入侵防御防dns漏洞攻击DNS类规则识别各种DNS服务器漏洞，防止攻击者通过DNS服务器漏洞攻击用户。防mail漏洞攻击邮件库类规则识别各种邮件服务器漏洞，如Sendmail、Foxmail、MSExchange等，防止攻击者通过邮件服务器漏洞攻击用户。防worm漏洞攻击蠕虫程序是一种可以自我复制的恶意程序，可以通过网络进行传播，消耗网络和系统资源。蠕虫规则识别蠕虫程序的传播，防止攻击者通过蠕虫程序破坏目标系统。防tftp漏洞攻击Tftp类规则识别各种tftp服务器漏洞，如3CDeamon、FutureSoft等，防止攻击者通过tftp服务器漏洞攻击用户。防snmp漏洞攻击snmp类规则识别各种snmp服务器漏洞，防止攻击者通过snmp服务器漏洞攻击用户。防ftp漏洞攻击Ftp类规则识别各种ftp服务器漏洞，如Serv-U、WU-FTPD、WS_FTP、3CDeamon等，防止攻击者通过ftp服务器漏洞攻击用户。防shellcode漏洞攻击Shellcode是一段小的程序，作为漏洞执行的负载，执行某种功能。Shellcode规则识别shellcode代码，防止攻击者远程执行shellcode代码。防rpc漏洞攻击rpc类规则识别各种rpc服务器漏洞，如tooltalk、sadmind等，防止攻击者通过rpc服务器漏洞攻击用户。防database漏洞攻击数据库类规则识别各种数据库服务器漏洞，如Oracle、Sqlserver、Mysql等，防止攻击者通过数据库服务器漏洞攻击用户。防web漏洞攻击Web类规则识别各种web服务器漏洞，如IIS、Apache等，防止攻击者通过web服务器漏洞攻击用户。防system漏洞攻击系统类规则识别各种操作系统漏洞，如Windows、Linux、Unix等操作系统，防止攻击者通过操作系统漏洞攻击用户。防malware漏洞攻击Malware就是植入你电脑中的恶意代码，它可以完全控制、破坏你的PC、网络以及所有数据。malware类规则识别各种malware程序，防止攻击者利用malware漏洞攻击用户。防trojan漏洞攻击木马软件是一种恶意软件，可以安装在用户计算机上，通过木马软件远程操控目标系统并执行各种操作。木马规则类识别木马软件的网络操作，防止攻击者通过木马软件控制目标系统。防telnet漏洞攻击Telnet类规则识别各种Telnet服务器漏洞，防止攻击者通过Telnet服务器漏洞攻击用户。防botnet漏洞攻击botnet类规则识别各种客户端botnet行为，防止攻击者通过botnet漏洞控制用户。防web_browse漏洞攻击Web浏览器类规则识别各种web浏览器漏洞，如IE、Firefox、Chrome等，防止攻击者通过web浏览器漏洞攻击用户。防web_activex漏洞攻击ActiveX是可以重用的软件组件程序，可以嵌入到web浏览器中使用。Web_activeX类规则识别各种嵌入到浏览器的ActiveX控制漏洞，防止攻击者通过ActiveX控件漏洞攻击用户。防口令暴力破解攻击攻击者在限定时间频繁登录FTP、Telnet、POP3、MYSQL等服务器失败，可能存在暴力破解攻击。7.DOS/DDOS防护DOS/DDOS防护支持ARP洪水攻击防护、IP和端口扫描防护、DOS/DDOS防护（ICMP洪水、UDP洪水、SYN洪水、DNS洪水攻击防护）、未知协议类型防护、TearDrop攻击防护、IP数据块分片传输防护、LAND攻击防护、WinNuke攻击防护、Smurf攻击防护、异常报文侦测防护等8.服务器防护服务器防护支持Web网站隐藏，包括HTTP响应报文头出错页面的过滤，web响应报文头可自定义；支持FTP服务应用信息隐藏包括：服务器信息、软件版本信息等；支持OWASP定义10大web安全威胁，保护服务器免受基于Web应用的攻击，如SQL注入防护、XSS攻击防护、CSRF攻击防护、支持根据网站登录路径保护口令暴力破解；支持web站点扫描、web站点结构扫描、漏洞扫描等扫描防护；可严格控制上传文件类型，检查文件头的特征码防止有安全隐患的文件上传至服务器，并支持结合病毒防护、插件过滤等功能检查文件安全性；9.内容安全9.1病毒防护病毒防护基于流引擎查毒技术，支持对HTTP、FTP、SMTP和POP3协议流量查杀；云端特征库收录亿级病毒文件样本；检测到病毒后支持日志记录、阻断连接。9.2应用内容过滤海量URL库预分类的海量URL地址库；支持手工添加新的URL地址和分类。URL过滤支持URL过滤。非标准端口URL管理可以识别和管理部分论坛、网络聊天室等采用的非TCP/80端口的URL地址。关键字过滤对搜索引擎中输入的关键词、论坛微博发帖关键字、网页内容关键字、Telnet关键字进行过滤，自动对搜索到的网址页面进行屏蔽，帮组企事业单位将涉及低俗的、非法的不良言论封堵掉。HTTP文件传输过滤可识别HTTP网页的文件上传和文件下载，并对文件的上传和下载进行过滤。FTP文件传输过滤可识别FTP网页的文件上传和文件下载，并对文件的上传和下载进行过滤。非标准端口FTP过滤支持对非标准端口的FTP行为的识别；可过滤通过非标准端口的FTP进行文件的上传和下载。邮件过滤基于WebMail发件、SMTP发件、POP3收件，可根据发件人邮箱、关键字、附件类型、附件大小过滤。9.3应用控制策略常用协议如FTP、SMTP、TFTP、IMAP等常用协议。自定义协议1、可自定义基于协议和端口的协议；2、可根据协议、端口、报文长度、报文特征、目的IP等等信息自定义协议规则。HTTP应用网页文档下载、网页音频、HTTP多线程下载、伪IE下载等多种方式的HTTP下载行为以及QQ空间应用、人人网、Facebook等网页应用。FTP应用FTP上传文件、FTP下载文件、FTP命令。视频网站浏览凤凰视频、乐视网、优酷、土豆、搜狐视频、奇艺视频等网站的浏览。WEB视频六间房、土豆、新浪视频、优酷视频、我乐网、酷六视频、搜狐视频等。P2P下载电驴、迅雷、PP点点通、酷狗、BT、网际快车、QQ旋风、百度下吧、酷我八音盒等。流媒体PPLive、PPStream、蚂蚁电视、Qvod、风行网络电视、QQLive、UUsee网络电视、皮皮影视（PPFilm）SopCast等。网络游戏QQ游戏、浩方对战平台、新浪游戏大厅、梦幻西游、问道、武林外传、泡泡堂、天龙八部、大话西游、征途、魔兽世界等。即时通讯QQ/TM、MSN、网易泡泡、淘宝旺旺、雅虎通、阿里旺旺、百度HI、新浪UC等。股票行情同花顺、大智慧、东方财富通、和讯财经、安信行情、齐鲁证券等。股票交易同花顺、大智慧、安信行情、齐鲁证券、大福星、通达信等。网上银行中国银行、农业银行、建设银行、工商银行、招商银行等。网络电话Skype、ET263、YY语音、Netmeeting等。网络存储360云盘、七牛云、新浪微云、腾讯微云、百度网盘、金山快盘等。移动应用移动终端的新闻资讯、社交通讯、购物支付、移动游戏、综合服务等分类。网页邮箱新浪邮箱、QQ邮箱、163邮箱、126邮箱、搜狐邮箱等。软件更新诺顿、金山毒霸、趋势科技、网秦安全、熊猫卫士、360安全卫士等。远程控制QQ远程协助、SSH、Windows远程桌面、VNC、teamview等。数据库DB2、MySQL、Oracle、SQL等。自定义特征识别可根据五元组，数据长度，数据报文特征字符串组合自定义特征。10.流量控制流量优先级可将应用流量划分为高、中、低等共三个优先级，优先级越高的流量，优先传送。最大带宽为某些用户或特定应用指定最大带宽。保障带宽结合最大带宽和流量优先级，可为某些关键应用或者VIP客户保障一定带宽。预留带宽为某种特定应用或某些重点客户预留一定带宽，以保证在任何时间段、任何的网络使用环境中，某种流量都能得到预留的带宽。预留带宽不能被其他流量使用。基于线路的流控可以根据线路进行流量管理。基于应用的流控结合应用协议识别功能，可以根据用户的应用协议类别进行流量管理。基于IP的流控根据源IP地址/地址组进行流量管理。基于用户组的流控可以为不同用户组采取不同的流量管理措施。基于时间段的流控可以根据不同的时间段，进行差异化的流量管理。基于单个用户的流控可根据主机的IP地址或者用户名称，对单个主机进行如下控制：最大上行/下行带宽限制；最大上行/下行会话控制；分类服务的带宽控制，即限制单主机的总带宽的同时，再对某些服务进行控制。如限制单个主机的上行/下行带宽分别为500K/1M的同时，再限制P2P的带宽为100K/200K、网络电视为100K/100K等；以上参数均可分时段管理。11.黑名单管理共享上网针对通过无线路由器、360WiFi等共享上网的行为进行检测，单IP超过设定终端数，该IP将进入防共享上网列表。流量配额可根据每日、每周、每月的流量配额来控制用户，当用户的流量超过预设配额时，将用户进入黑名单。速率控制当用户连续一段时间(如5分钟)内的上行或下行流量持续超过预设阀值，将用户进入黑名单。并发会话数控制当用户连续一段时间(如5分钟)内的上行或下行并发会话数持续超过预设阀值，将用户进入黑名单。新增会话数控制当用户连续一段时间（如5分钟）内的上行或下行新增会话数持续超过设定阈值，将进入黑名单。基于时间段控制在某些时间段（如下班时间，凌晨），不对用户的速率和会话数进行限制，用户产生的流量也不记入黑名单的流量配额内。多种惩罚方式当用户进入黑名单后，可以将用户强制下线，也可以修改用户的上行速率、下行速率、上行会话、下行会话等。加倍惩罚在一周内、一月内、一季度内，连续进入黑名的次数超过预设次数，惩罚时间可以加长为原来的几倍。12.白名单管理基于内网用户的白名单可对内网用