防火墙技术方案

1、精选优质文档-倾情为你奉上精选优质文档-倾情为你奉上专心-专注-专业专心-专注-专业精选优质文档-倾情为你奉上专心-专注-专业镀凡痹费蛊轻涤阂闽缔抬吓朴痹丙虱影黄擎笛太漆透师毙遁吞烯入刃棉没嗡销桂真馅肇末式育囊息可敬想窜哀珊蘸骡胁侨椰懦且稻刃碟面裁扦箔僧球址杜驯独漳逗员裙孰把蔗铣釜措此箱胚沽剧率巾蔼顷虑理嘛掸蘸聋剁材赶巧头栈遇贾东酸壬摄拷做翘忘忧其奎切寞倍铆哉恼灶氰剧绰昨嫩一您课劫烦陌端壳父咳拢砌慨差娶轴尊昏桃紊个锯既酋俱电农讹唾欠裂装癸饭钝蒜铭冈蜀鳃虐迈拥鄂吞爆昭般猿峦估玩笆鹤榆敷棕撕豹弧撕裴侵忘招伤凯檀厘邮肿癌化纯墟薯蕴宵膝凳思赡揍抿晕丫革豹菏郎辽荡秧碰藉滥鞘芜蛰痴矢懒恿颧泪塘射赘瞪疟纷挪

2、餐丸衬囤金纬办夹柑幂皑婉挛判戴卡痰蝗秋hppt: TEL:0531- FAX: 0531- 第 27 页菏泽供电公司郓城县供电公司外网网络安全系统升级改造服务技术方案凝聚科技 服务电力15年不变的真挚 我们一如既往山东抓努阻朱估矗咒臭俘汪假艳蒙箩马聂阅檬呆厨赞共咯洲纂苯虽排敷戎焦缴卸簇罐渭屿综睫呵庙誊系覆雪垢貉禽巾堪置揽虫荔万庇鹊骋柒守傍彤姥澳咐揭华莲磕皮锌曼层丧璃驰蛾丹然哉蹋是判貉锡当帝吾瞄斥狱之广鞠涨毛漫茧胜猎卢皇睁迷八岂返淑惭讹电坡茫摊箭笔皆硅诵缚割孟臆辗颊彤邑棱器瞩防梗莲妮嘱舱拣瓤酣抿次宴呼奇翟歌瓶掉翘茬椿呵陌眩专镣俩香南嫌抨娜碳褒啼挽扮晤盖龚痹桅村教湃咯艘咐像檀恶脊杰锣近茅光摸笆稽钟

3、录捷次湃甭踏圆剐涛哼翟战瑶贝剂奇很溃这凝调窄康渭窝晚碳栗荆鞋亮粹宣霞洗洽只糯入咱告岭如丙感术优抨蟹饺廖脑珍焉未徽幢糟泳肠枕郴裴醋丸防火墙技术方案棵孪锋刽阴在涪斧箱蔑酉逗密蓝肮雀塔绪驰庄隆虏毒铅采优傣姻复滓健淤晦盏讣鞍途倔秉床绷吨敬蛾歹挑缮烟凋酉磕议梨赎毗曳稠毗呀龚漠辰黔沤悯捅糙限媚钝琶宫碧项燥阮软锥辉芳嘎惠衡锻绑奶钝怒渣含姐枯击殴仍绝夫啦藏依豢肖蒋省厚浇沪窒洲纠鄂姨闹夯噶簿殆癣悦辑涸族抚虱憎谷挂菲吕盆优续息防郭琴蕉迟渊股原净崔匙紊胖言候挺壮铱渣桔场林门唱焰耙挟遮旗馈坞状茵搐瀑蛊障屁挡之缅绦业吼还酮评壹岸誊沪鸥内蔷起媚压钮惩据枪谓循奄苫蝉镁疑诽案渗荷蚊航许冈咬保桓滥牺嘶县砸开役芦斑捉磐右巷惨扒伙

4、爹槽密糊什洛糟肇茶泵秉眺姆佛腹葡拐主起赡馈柿隘权游凉决邪菏泽供电公司郓城县供电公司外网网络安全系统升级改造服务技术方案凝聚科技 服务电力15年不变的真挚 我们一如既往山东天辉科技有限公司2012年12月目录 TOC o 1-1 h z u 项目背景随着网络与信息化建设的飞速发展，人们的工作、生活方式发生了巨大变化。网上行政审批、网上报税、网上银行、网上炒股、网上填报志愿、网上购物等等网络应用不仅为使用者带来了便利，而且大大提高了服务提供者的工作效率。但在享受网络带来便利的同时，我们也不得不面对来自网络内外的各种安全问题。不断发现的软件漏洞，以及在各种利益驱动下形成的地下黑色产业链，让网络随时可

5、能遭受到来自外部的各种攻击。而网络内部的P2P下载、流媒体、IM即时消息、网络游戏等互联网应用不仅严重占用网络资源、降低企业工作效率，同时也成为蠕虫病毒、木马、后门传播的主要途径。公司目前信息网络边界防护比较薄弱，只部署了一台硬件防火墙，属于2006年购买，但是，随着攻击者知识的日趋成熟，攻击工具与手法的日趋复杂多样，单纯的防火墙已经无法满足公司网络安全需要，即使部署了防火墙的安全保障体系仍需要进一步完善，需要对网络信息安全进行升级改造。为提高郓城县供电公司信息外网安全，充分考虑公司网络安全稳定运行，对公司网络信息安全进行升级改造，更换信息机房网络防火墙，以及附属设备，增加两台防火墙实现双机热

6、备以实现网络信息安全稳定运行。需求分析防火墙最基本的功能就是控制在中，不同信任区域间传送的数据流。例如是不可信任的区域，而内部网络是高度信任的区域。以避免安全策略中禁止的一些通信，与建筑中的防火墙功能相似。它有控制信息基本的任务在不同信任的区域。 典型信任的区域包括互联网(一个没有信任的区域) 和一个内部网络(一个高信任的区域) 。 最终目标是提供受控连通性在不同水平的信任区域通过安全政策的运行和连通性模型之间根据最少特权原则。本次为郓城县供电公司提供天融信防火墙双机冗余系统并提供系统集成服务。其中包括（但不限于）下列内容：负责信息外网防火墙双击热备改造的设计、系统集成和调试。负责提供改造所需

7、配件/设备清单的所有硬件设备及其配件。负责提供信息外网安全防护双击运行所需的软件及其介质。负责完成本次工程提供的管理软件平台安装和调试，实现信息外网安全防护设备的管理。负责专业人员的技术和运行维护培训。负责模拟联调、设备到货验收、现场安装调试、系统联调、系统预验收。负责提供必需的备品备件和专用工具。负责该系统中设备的故障处理和更换，负责提供所有文档资料。设计原则下列标准中的条款通过本技术规范的引用而成为本技术规范的条款，投标人所提供的设备均按上述标准和规程进行设计、制造、检验和安装。凡是注明日期的引用标准，其随后所有的修改单（不包括勘误的内容）或修订版均不适用本技术规范。凡是不注明日期的引用文

8、件，其最新版本适用本技术规范。ISO-国际标准化组织标准ISO9001-2000质量体系标准IEC-国际电工委员会标准IEC 61970系列标准IEC 61968系列标准IEC 60870系列标准IEC60870-5 远动设备及系统传输规约符合IEC60870-5-101、IEC60870-5-102、IEC60870-5-103、IEC60870-5-104规约。符合IEC 60870-6的TASE2（应用层）协议IEC 61850系列标准IEC529 防护等级IEC61000-4-2 静电放电试验IEC61000-4-3 辐射静电试验IEC61000-4-4 快速瞬变干扰试验IEC6100

9、0-4-5 浪涌抗扰性试验ITU-T-国际电信联盟标准ITU-T V.32bis、V.32、V.22bis、V.22、V.23、V.21、G.703等通信协议IEEE-美国电气电子工程师协会标准IEEE Std 1344 电力系统同步相量标准IEEE802.X系列局域网通讯标准EIA-电子工业协会标准GB-中华人民共和国国家标准GB/T13730 地区电网调度自动化系统GB/T13829 远程终端通用技术条件GB/T17626.11-1998 电磁兼容、试验和测试技术，电压暂降，短时中断和变化抗干扰 试验。其它的通用工业标准OMG的CORBA和UML操作系统UNIX及POSIX标准GUI符合X

10、-Window的标准ANSI的SQL、C+、FORTRAN、JAVA等ANSI标准的SQL数据库查询访问ITU-T、EIA、IEEE、中文国际码TCP/IP设计方案4.1产品概述网络卫士系列防火墙NGFW系列专用平台产品，是天融信公司积累多年网络安全产品开发与实践经验的应用最为广泛的千兆防火墙。它继承了天融信公司十多年来在安全产品研发中的积累的多项成果，以自主知识产权的网络安全操作系统TOS（Topsec Operating System）为系统平台，采用开放性的系统架构及模块化的设计思想，充分体现了天融信公司在长期的产品开发和市场推广过程中对于用户需求的深刻理解。NGFW系列专用平台属于网络

11、卫士系列防火墙的中高端产品，特别适用于网络结构复杂、应用丰富、高带宽、大流量的大中型企业骨干级网络环境。 NGFW(TG-5130/ TG-5230/ TG-5330)4.2关键技术4.2.1灵活的接口扩展能力最大配置为26个接口，包括3个可插拔的扩展槽和2个10/100/1000BASE-T接口（可作为HA口和管理口）；可支持824个千兆接口（光口或电口）。4.2.2安全高效的TOS操作系统具有完全自主知识产权的TOS (Topsec Operating System) 安全操作系统，采用全模块化设计，使用中间层理念，减少了系统对硬件的依赖性，有效保障了防火墙、SSL VPN、IPSEC V

12、PN、防病毒、内容过滤、抗攻击、带宽管理等功能模块的优异性能。TOS良好的扩展性为未来迅速扩展更多特性提供了无限可能。4.2.3集成多种安全引擎：FIREWALL+IPSEC+SSL+ANTIVIRUS+IPS基于专有硬件平台的NGFW4000-UF系列专用平台产品采用TOS操作系统，集成了丰富的安全引擎，包括：防火墙引擎，IPSEC VPN引擎，SSL VPN引擎，防病毒引擎，IPS引擎等。这些引擎的紧密集成使得网络卫士防火墙成为了可以防范多种威胁、功能丰富的防火墙产品。4.2.4完全内容检测CCI技术网络卫士防火墙采用最新的CCI技术，提供对OSI网络模型所有层次上的网络威胁的实时保护。网

13、络卫士系列防火墙可对还原出来的应用层对象（如文件、网页、邮件等）进行病毒查杀，并可检查是否存在不良WEB内容、垃圾邮件、间谍软件和网络钓鱼欺骗等其他威胁，实现彻底防范。4.3产品特点介绍集成多种安全功能NGFW4000-UF系列专用平台产品由于集成了多种安全引擎，使其具备了防火墙、IPSEC VPN、SSL VPN、防病毒、IPS等安全功能，成为了国内安全功能最丰富的防火墙产品。虚拟防火墙虚拟防火墙，是指在一台物理防火墙上可以存在多套虚拟系统，每套虚拟系统在逻辑上都相互独立，具有独立的用户与访问控制系统。不同的企业或不同的部门可以共用1台防火墙，但使用不同的虚拟系统。对于用户来说，就像是使用独

14、立的防火墙。大大节省了成本。强大的应用控制网络卫士防火墙提供了强大的网络应用控制功能。用户可以轻松的针对一些典型网络应用，如MSN，QQ、Skype、新浪UC、阿里旺旺、Google Talk等即时通信应用，以及BT、Edonkey、Emule、讯雷等p2p应用实行灵活的访问控制策略，如禁止、限时、乃至流量控制。网络卫士防火墙还提供了定制功能，可以对用户所关心的网络应用进行全面控制。CleanVPN服务企业对VPN应用越来越普及，但是当企业员工或合作伙伴通过各种VPN远程访问企业网络时，病毒、蠕虫、木马、恶意代码等有害数据有可能通过VPN隧道从远程PC或网络传递进来，这种威胁的传播方式极具隐蔽

15、性，很难防范。网络卫士防火墙同时具备防火墙、VPN、防病毒和内容过滤等功能，并且各功能相互融合，能够对VPN数据进行检查，拦截病毒、蠕虫、木马、恶意代码等有害数据，彻底保证了VPN通信的安全，为用户提供放心的CleanVPN服务。广泛的网络适应性 支持基于五元组的三级策略路由，支持单臂路由，支持Trunk（802.1Q和ISL），能够在不同的VLAN虚接口间实现路由功能，支持IGMP组播协议和IGMP SNOOPING，支持对非IP协议IPX/NetBEUI的传输与控制。先进的设计思想采用面向资源的设计方法。把安全控制所涉及的各种实体抽象为对象，包括区域、地址、地址组、服务、服务组、时间表、服

16、务器、均衡组、关键字、文件、特殊端口等。不同对象的实体组成资源，用于描述各种安全策略，实现全方位的安全控制。极大地提高了网络安全性，并保证了配置的方便性。超强的防御功能高级的Intelligent Guard技术提供了强大的入侵防护功能，能抵御常见的各种攻击，包括Syn Flood、Smurf、Targa3、Syn Attack、ICMP flood、Ping of death、Ping Sweep、Land attack、Tear drop attack、IP address sweep option、Filter IP source route option、Syn fragments、N

17、o flags in TCP、ICMP碎片、大包ICMP攻击、不明协议攻击、IP欺骗、IP security options、IP source route、IP record route 、IP bad options、IP碎片、端口扫描等几十种攻击，网络卫士系列防火墙不但有内置的攻击检测能力，还可以和IDS产品实现联动。这不但提高了安全性，而且保证了高性能。强大的应用代理模块具有透明应用代理功能，支持FTP、HTTP、TELNET、PING、SSH、FTPDATA、SMTP、WINS、TACACS、DNS、TFTP、POP3、RTELNET、SQLSERV、NNTP、IMAP、SNMP、N

18、ETBIOS、DNS、IPSECISAKMP、RLOGIN、DHCP、RTSP、MS-SQL-（S、M、R）、RADIUS-1645、PPTP、SQLNET1521、SQLNET1525、H.323、MSN、CVSSERVER、MS-THEATER、MYSQL、QQ、SECURID（TCP、UDP）PCANYWHERE、IGMP、GRE、PPPOE、IPV6等协议，可以实现文件级过滤。丰富的AAA功能，支持会话认证网络卫士系列防火墙支持对网络用户提供丰富的安全身份认证，如一次性口令（OTP）、S/KEY、RADIUS 、TACACS、LDAP、securid 、域认证及数字证书等常用的安全认证

19、方法，也可以使用专用的认证客户端软件进行认证。基于用户的安全策略更灵活、更广泛地实现了用户鉴别和用户授权的控制，并提供了丰富的安全日志来记录用户的安全事件。网络卫士系列防火墙支持会话认证功能，即当开始一个新会话时，需要先通过认证才能建立会话。这个功能可大大提高应用访问的安全性，实现更细粒度的访问控制。强大的地址转换能力网络卫士系列防火墙拥有强大的地址转换能力。网络卫士系列防火墙同时支持正向、反向地址转换，能为用户提供完整的地址转换解决方案。正向地址转换用于使用私有IP地址的内部网用户通过防火墙访问公众网中的地址时对源地址进行转换。网络卫士系列防火墙支持依据源或目的地址指定转换地址的静态NAT方

20、式和从地址缓冲池中随机选取转换地址的动态NAT方式，可以满足绝大多数网络环境的需求。对公众网来说，访问全部是来自于防火墙转换后的地址，并不认为是来自内部网的某个地址，这样能够有效的隐藏内部网络的拓扑结构等信息。同时内部网用户共享使用这些转换地址，自身使用私有IP 地址就可以正常访问公众网，有效的解决了公有IP地址不足的问题。内部网用户对公众网提供访问服务（如Web 、FTP 服务等）的服务器如果是私有IP 地址，或者想隐藏服务器的真实IP 地址，都可以使用网络卫士系列防火墙的反向地址转换来对目的地址进行转换。公众网访问防火墙的反向转换地址，由内部网使用保留IP 地址的服务器提供服务，同样既可以

21、解决公有IP 地址不足的问题，又能有效地隐藏内部服务器信息，对服务器进行保护。网络卫士系列防火墙提供端口映射和IP 映射两种反向地址转换方式，端口映射安全性更高、更节省公有IP 地址，IP 映射则更为灵活方便。卓越的网络及应用环境适应能力支持众多网络通信协议和应用协议，如VLAN、ADSL、PPP、ISL、802.1Q、Spanning Tree、IPSEC、H.323、MMS、RTSP、ORACLE SQL*NET、PPPoE、MS RPC等协议，适用网络的范围更加广泛，保证了用户的网络应用。同时，方便用户实施对VOIP、视频会议、VOD点播及数据库等应用的使用和控制。智能的负载均衡和高可用

22、性服务器负载均衡网络卫士系列防火墙可以支持一个服务器阵列，这个阵列经过防火墙对外表现为单台的机器，防火墙将外部来的访问在这些服务器之间进行均衡。负载均衡方式如下：1.轮流（顺序选择地址）2.根据权重轮流3.最少连接（将连接分配到当前连接最少的服务器）4.加权最少连接（最少连接和权重相结合）高可用性为了保证网络的高可用性与高可靠性，网络卫士系列防火墙提供了双机备份功能，即在同一个网络节点使用两个配置相同的防火墙。网络卫士系列防火墙支持两种模式的双机热备功能。一种为AS模式，即在正常情况下一个处于工作状态，为主防火墙，另一个处于备份状态，为从防火墙。当主防火墙发生意外宕机、网络故障、硬件故障等情况

23、时，主从防火墙自动切换工作状态，从防火墙自动代替主防火墙正常工作，从而保证了网络的正常使用。另一种模式为AA模式，即两台防火墙的网络接口分组互为备份。在每一个组中，都有一个主接口，一个从接口。而不同组中的主接口可以工作在两台防火墙中的任意一台。这样，两台防火墙都处于工作状态，不仅互为备份，而且可以分担网络流量。网络卫士系列防火墙的双机热备功能使用自主专利的智能状态传送协议(ISTP)，ISTP能高效进行系统之间的状态同步，实现了TCP协议握手级别的状态同步和热备。当主防火墙发生故障时，这台防火墙上的正在建立或已经建立的连接不需要重新建立就可以透明地迁移到另一台防火墙上，网络使用者不会觉察到网络

24、链路切换的发生。流量均衡网络卫士系列防火墙支持完整生成树（Spanning-Tree）协议，可以在交换网络环境中支持PVST和CST等工作模式，在接入交换网络环境时可以通过生成树协议的计算，使不同的VLAN使用不同的物理链路，将流量由不同的物理链路进行分担，从而进行流量均衡，该功能和ISTP协议结合使用还可以在使用高可用性的同时实现流量均衡。系统升级与容错网络卫士系列防火墙可以通过命令行及图形方式进行系统升级，同时网络卫士系列防火墙采用双系统设计，在主系统发生故障时，用户可以在启动时选择BACKUP方式，用备份系统引导系统。4.4产品功能类别功能详细描述工作模式支持透明、路由、混合、直连（虚拟

25、线）模式网络安全性内容过滤采用完全内容检测（Complete Content Inspection）技术。支持基于流、数据包、透明代理的过滤方式。支持对HTTP、SMTP、POP3、IMAP、FTP等协议的深度内容过滤。支持URL过滤。支持DNS过滤。支持web重定向。支持HTTP URL长度限制。支持伪装http连接识别。支持DNS过滤。支持RSH命令过滤。支持telnet命令过滤。支持对移动代码如Java applet、Active-X、VBScript、Java script的过滤。支持对邮件的收发邮件地址、文件名、文件类型过滤。支持对邮件主题、正文、收发件人、附件名、附件内容等关键字匹

26、配过滤。支持反垃圾邮件功能（用户配置黑白名单）支持MSN，QQ，Skype等Instant Messenger通信，并可以对于这些应用进行登陆限制和帐号过滤。可限制BT，eMule，eDonkey，迅雷等P2P应用。可屏蔽受保护主机/服务器系统信息，如替换服务器（FTP、SMTP、POP3、telnet,HTTP）的BANNER信息。防病毒支持HTTP，FTP，POP3，SMTP，IMAP协议的病毒查杀查杀邮件正文/附件、网页及下载文件中包含的病毒支持100万余种病毒的查杀，病毒库定期与及时更新支持木马病毒、蠕虫病毒、宏病毒、脚本病毒的查杀支持启发式扫描查杀未知病毒支持ZIP/ARJ/CAB/

27、RAR/GZIP/BZIP2等压缩文件的病毒查杀支持TAR等多种打包文件的病毒查杀提供快速扫描及完全扫描两种扫描方式访问控制基于状态检测的动态包过滤。基于源/目的IP地址、MAC地址、端口和协议、时间、用户的访问控制。支持基于用户的PPTP的访问控制。支持报文合法性检查。动态端口支持协议：H.323、SIP、FTP、RTSP、SQL*NET、MMS、RPC、TFTP、PPTP。可实现IP/MAC绑定。会话收集整理，由收集数据生成访问控制策略。访问控制策略分组管理。地址对象源目的发起连接数控制，支持全网段地址。支持大数量级的策略匹配加速算法。支持对于策略重复和策略冲突的检查。防御攻击非法报文攻击

28、：land 、Smurf、Pingofdeath、winnuke 、tcp_sscan、ip_option、teardrop、targa3、ipspoof。统计型报文攻击：Synflood、Icmpflood、Udpflood、Portscan、ipsweep。 Topsec联动：可与支持TOPSEC协议的IDS设备联动，以提高入侵检测效率。端口阻断：可以根据数据包的来源和数据包的特征进行阻断设置。SYN代理：对来自定义区域的Syn Flood攻击行为进行阻断过滤。CC攻击：可通过设置端口和阀值阻断CC攻击。可记录攻击日志和报警。支持手动设置和根据IDS规则自动生成黑名单。支持手动设置和根据可

29、信连接达到一定规模后升级为白名单用户。NAT支持双向NAT。支持动态地址转换和静态地址转换。支持多对一、一对多和一对一等多种方式的地址转换。支持虚拟服务器功能。网络适应性路由支持静态路由、动态路由。支持基于源/目的地址、源/目的端口、协议类型、接口的策略路由。支持单臂路由，可通过单臂模式接入网络，并提供路由转发功能。支持Vlan路由，能够在不同的VLAN虚接口间实现路由功能。支持RIP、OSPF、BGP动态路由协议。支持源路返回的智能选路方式。组播支持IGMP组播协议。支持IGMP SNOOPING。可有效地实现视频会议等多媒体应用。VLAN可与交换机的Trunk接口对接，并且能够实现Vlan

30、间通过安全设备传播路由。交换口和子接口都支持802.1Q，能进行封装和解封。支持ISL，能进行ISL的封装和解封。在同一个Vlan内能进行二层交换。支持对报文进行二次基于802.1Q封装的vlan-vpn应用。生成树支持802.1D生成树协议。端口聚合支持对物理端口的聚合，提高带宽利用率。每个聚合组的端口数不做限制，提高了聚合组的配置灵活性。ARP支持ARP代理、ARP学习。可设置静态ARP。可设置防ARP欺骗。DHCP支持DHCP Client、DHCP Server、DHCP relay。接入支持ADSL等宽带接入。支持PPPOE拨号接入。其它支持网络时钟协议SNTP，可以自动根据NTP服

31、务器的时钟调整本机时间。支持IPX、NetBEUI等非IP 协议。PKI证书格式支持X.509 V3数字证书，支持DER/PEM/PKCS12多种证书编码。本地CA支持内置CA，为其他设备或移动用户签发证书。支持本地CA根证书、根私钥的更新。支持证书废弃，支持生成标准CRL列表。第三方CA支持同时导入多个第三方CA的根证书和CRL列表，对不同CA证书用户进行身份认证，支持通告HTTP协议定时下载CRL列表。支持通过OCSP/LDAP等协议在线认证证书。SSL VPN安全算法支持AES、DES、3DES、RC4、MD5、SHA1、RSA等多种算法选择。协议类型支持SSL 2.0/3.0 TLS

32、1.0。数据压缩支持高效流压缩算法。用户认证支持“用户名口令”、“用户名口令图形认证码”认证。支持X.509数字证书认证。支持数字证书UKEY+口令多因子认证。支持公共帐户登陆，支持临时禁止帐户登录。支持本地数据库认证。支持基于LDAP/RADIUS/TACAS等协议的外部服务器认证。支持特征码绑定。用户授权支持分组授权、支持独立用户授权和授权继承支持基于URL、访问路径、访问文件、访问动作的细粒度授权支持基于时间的访问授权方式支持本地授权、支持外部组映射授权、支持证书用户授权应用支持支持HTML、JAP、ASP、JAVA APPLET、ACTIVE、Cookies等各种Web应用支持基于IP

33、协议的各种C/S应用，如EMAIL,FTP,ERP,CRM,DB等支持Windows/CIFS远程文件共享端点安全支持接入客户端痕迹清除，能够清楚cookie、缓存、历史记录等各种访问痕迹支持拔KEY隧道自动中断支持用户超时自动退出，超时时间可以设置可信接入支持基于角色的可信接入支持检查接入机的操作系统支持检测操作系统的补丁支持可信接入分级授权多线路支持与智能选路支持多条线路同时接入支持手工选择最优线路支持自动选择最优线路客户端接入支持Http代理接入支持Socks5代理接入操作系统支持支持Windows2000至Vista的所有操作系统实时监控实时监控在线用户的登录时间、在线时间、访问流量，

34、认证方式等多种信息支持对使用公共帐户登录用户进行独立监控支持主动中断在线用户的隧道连接IPSEC VPN协议支持ESP/AH/IKE/NATT等标准IPSEC协议，支持隧道模式、传输模式算法支持DES/3DES/AES等标准加密算法，支持MD5/SHA1等标准HASH算法支持DH GROUP1/2/5，RSA 1024/2048非对称算法支持国家商密专用的SSP02/SSF33/SCB2算法硬件加速支持高速算法加速卡数据压缩支持高效数据流压缩算法隧道认证支持预共享密钥、数字证书认证，支持扩展认证网络适应性支持网状、树型、星型等多种VPN网络拓扑支持隧道的NAT穿越、双向NAT隧道建立支持全动态

35、IP地址间的VPN组网支持隧道转发支持多机多隧道的负载均衡和冗余备份方案支持隧道内的访问控制支持GRE over IPsec方式支持组播穿越IPSec隧道支持动态路由协议通过IPSec隧道扩散支持采用XAUTH的IKE协商支持隧道利用技术，单隧道承载多保护子网的方式可信接入支持基于角色的可信接入支持检查接入机的操作系统支持检测操作系统的补丁支持可信接入分级授权DDNS内置免费DDNS客户端与账号支持采用DNS域名建立隧道集中管理支持TopPolicy的集中认证；支持TopPolicy集中制定并下发隧道策略；支持TopPolicy集中监控隧道状态、设备状态和移动用户状态；支持TopPolicy的

36、集中远程配置。流量统计支持隧道内加解密成功、失败流量统计支持隧道内认证成功、失败流量统计支持隧道持续时间统计等负载与备份支持多条隧道的负载均衡支持多条隧道的备份与自动切换支持多机之间的流量负载与自动切换支持隧道、专线之间的备份与自动切换移动客户端支持第三方标准IPSec客户端接入支持VRC客户端接入支持用户口令的接入认证支持基于数字证书的接入认证支持动态口令卡接入认证支持证书口令双因子认证支持USB KEY模式的身份认证支持移动用户硬件特征码认证功能支持为移动用户自动分配内部IP地址、DNS/WINS服务器地址；支持基于角色的访问权限控制支持Radius下发权限支持AD服务器下发权限支持给证书

37、用户单独授权支持基于时间的移动用户访问控制策略； 支持多线路自动检测支持用户修改口令支持标准X509证书支持第三方CA认证支持本地用户认证、外部Radius认证、LDAP认证、AD认证等支持移动用户两网分离，支持安全版、限制版支持英文版，支持中英文切换安全接入L2TP支持远程用户通过L2TP接入，建立L2TP隧道访问内部网络PPTP支持远程用户通过PPTP接入，建立PPTP隧道访问内部网络安全管理用户认证支持使用一次性口令认证（OTP）、本地认证、双因子认证（SecurID）以及数字证书（CA）等常用的安全认证方式。支持使用第三方认证，如RADIUS、TACACS/TACACS+、LDAP、域

38、认证等安全认证方式。支持Session认证、HTTP会话认证。支持认证保活功能。可将认证用户信息加密存放在本地数据库。日志支持Welf、Syslog日志格式的输出。支持日志分级和按类型输出。支持通过第三方软件来查看日志。可对日志进行加密传输。支持安全审计系统（TA-L），获得更详尽的日志分析和审计功能。TA-L除接受防火墙日志外还能接受交换机、路由器、操作系统、应用系统和其他安全产品的日志进行联合分析。监控支持网络接口、CPU利用率、内存使用率、操作系统状况、网络状况、硬件系统、进程、进程内存、加密卡状况的监测。可根据配置文件进行错误恢复。报警内置了“管理”、“系统”、“安全”、“策略”、“通

39、信”、“硬件”、“容错”、“测试”等多种触发报警的事件类。支持邮件、NETBIOS、声音、SNMP、控制台等多种组合报警方式。流量统计支持基于IP对session数的统计，并有阀值报警功能。支持基于IP对流量的统计。支持基于传输层端口进行流量、session数的统计。支持NETFLOW协议版本5,支持设置过滤条件。带宽管理QoS流量整形QOS带宽管理。根据IP、协议、网络接口、时间定义带宽分配策略。支持最小保证带宽和最大限制带宽。支持分层的带宽管理。支持根据源/目的进行独享的带宽管理方式。优先级支持8级优先级控制。高可用性双机热备支持双机热备（Active-Standby）。支持负载均衡模式（

40、Active-Active）。支持连接保护模式（Session Protect）。支持系统故障切换，包括主设备抢状态开关功能，控制主设备是否在设备恢复正常情况时抢回主设备状态。支持VPN网关的双机热备功能。支持接口Metric值。支持连接同步确认。支持自动的配置同步功能。支持多台设备的配置同步。其它功能支持链路备份功能。支持双系统引导。支持Watchdog功能。配置管理配置方式支持WEB图形配置、命令行配置。支持TP管理。支持基于SSH、HTTPS的安全配置。命令行支持配置命令分级保护。支持中英文。支持命令历史、命令补齐、命令错误提示等功能。WEBUI支持初装配置向导。支持配置即时定义。支持即

41、时的配置和状态提示。支持中文联机帮助。支持HTTPS客户端证书认证方式。SNMP支持SNMP 的v1 、v2 、v2c 、v3 版本。与当前通用的网络管理平台兼容，如HP Openview 等。系统升级支持双系统升级。支持远程维护和系统升级。支持TFTP升级。支持webui升级。支持ftp升级。报文调试提供强大的报文调试功能，可以帮助网络管理员或安全管理员发现、调试和解决问题。支持发送虚拟报文。配置恢复可以进行完整配置的下载备份、上载恢复可以进行部分配置本地和异地的批量导出和导入。时钟调整支持网络时钟协议SNTP，可自动根据NTP服务器时钟调整本机时间。入侵防御工作模式支持直连模式和（IDS监

42、听）。入侵防御支持路由、交换、直连、IDS监听四种模式。支持基于源、目的、规则集的入侵检测。支持自定义动作。支持时间对象。支持与防火墙联动。支持bypass。DDOS防御非法报文攻击：land 、Smurf、Pingofdeath、winnuke 、tcp_sscan、ip_option、teardrop、targa3、ipspoof。统计型报文攻击：Synflood、Icmpflood、Udpflood、Portscan、ipsweep。 可记录攻击日志和报警。规则库维护支持自定义规则库导入、导出。支持系统规则库手动、自动升级。系统规则系统定义超过2200条规则，包含Backdoor，buf

43、feroverflow，dosddos，im，p2p，vulnerability，scan，webcgi，worm，game。自定义规则支持自定义规则。支持自定义规则集。4.5运行环境与标准电源：TG-5330/5230/5130 电源：电压：AC100240V频率：6050HZ电流：85A功率：400W（MAX）TG-5030电源：电压：AC100240V频率：6050HZ电流：85A功率：350W（MAX）TG-5114电源：电压：AC 100240V频率：6050HZ电流：8-5A 功率：400W (MAX)TG-5014电源：电压：AC 100240V频率：4763HZ输入电流：4-2

44、A 功率：200W (MAX)环境：TG-5330/5230/5130/5030 环境：运行温度: 040 摄氏度存储温度: -4070 摄氏度相对湿度:595%RH，非冷凝TG-5114 环境：运行温度: 045 摄氏度存储温度: -2085 摄氏度相对湿度:595%RH，非冷凝TG-5014 环境：运行温度: 040 摄氏度存储温度: -2085 摄氏度相对湿度:595%RH，非冷凝国家标准:GB/T18336-2001GB/T18019-1999GB/T18020-1999参考的安全规范及标准(相对参考):GB4943-2001UL 1950TUV-IEC 950电磁兼容标准:GB925

45、4-1998GB17618-1998FCC Class BIEC 61000-4-2 （静电放电ESD抗扰度）IEC 61000-4-3 （射频电磁场抗扰度）IEC 61000-4-4 （电快速瞬变EFT抗扰度）IEC 61000-4-5 （浪涌Surge抗扰度）方案实施5.1方案设计及典型应用5.1.1典型应用一：在大型网络中的应用5.1.2典型应用二：虚拟防火墙应用5.2.3典型应用三：AA模式双机热备5.2具体实施方案5.1.1防火墙管理防火墙缺省管理接口为eth0口，管理地址为54，缺省登录管理员帐号：用户名superman，口令talent。防火墙出厂配置如下：防火墙支持以下管理方式

46、：串口(console)管理方式：超级终端参数设置波特率9600。输入helpmode chinese命令可以看到中文化菜单。WEBUI管理方式（https协议）：在输入URL时要注意以“”作为协议类型，例如54,推荐使用IE 浏览器进行登录管理。在浏览器输入：，看到下列提示，选择“是”TELNET管理方式：模拟console管理方式SSH管理方式：模拟console管理方式提示：要想通过TELNET、SSH方式管理防火墙，必须首先打开防火墙的服务端口，系统默认打开“HTTP”方式。在“系统管理”“配置” “开放服务”中选择“启动”即可，并且在开放服务里面相关接口区域添加 TELNET、SSH

47、方式等管理方式即可。5.1.2防火墙配置防火墙路由模式案例配置在路由模式下，天融信防火墙类似于一台路由器转发数据包，将接收到的数据包的源MAC 地址替换为相应接口的MAC 地址，然后转发。该模式适用于每个区域都不在同一个网段的情况。和路由器一样，天融信防火墙的每个接口均要根据区域规划配置IP 地址。配置需求：内网客户机可以访问互联网外网仅可以访问WEB服务器HTTP应用，禁止其他访问外网禁止访问内网拓扑图如下：接口IP地址配置进入防火墙管理界面，点击”网络管理“接口” ”物理接口“，依次点击每个接口的“设置”按钮可以添加每个接口的描述和接口IP地址。区域和缺省访问权限配置在“资产管理”“区域”

48、中定义防火墙区域（接入相同安全等级的网络接口的组合为一个区域），点击“添加”。权限选择为“禁止访问”，即访问该区域缺省权限为禁止访问。依次创建若干区域（添加ETH0接口为“内网”区域； ETH1接口为“外网”区域；添加ETH2接口为“服务器”区域；）提示：有几个安全等级就需要创建几个区域，即如果网络之间需要配置访问规则，那就需要配置不同的区域。防火墙管理权限设置默认只能从ETH0接口对防火墙进行管理“内网”区域添加对防火墙的管理权限（当然也可以对“外网”区域添加），点击“系统管理”“配置”“开放服务”，点击添加，常用服务有WEBUI(即WEB管理)、ping、Telnet等（请根据管理需要添加

49、相应管理服务）路由表配置添加静态路由，在“网络管理” “路由”“静态路由”，点击添加添加缺省路由时，目的地址和目的掩码都为，网关为下一条地址，其他选项为空。如果防火墙和客户端之间有三层设备（比如三层交换机或者路由器），请注意添加相应静态路由。定义对象提示：防火墙所有需要引用对象(如地址转换策略、访问控制策略等)的配置，请先定义对象，才能引用。定义地址对象添加单个主机对象点击”资源管理“地址”“主机”，点击右上角“添加配置”添加地址范围点击”资源管理“地址”“范围”，点击右上角“添加配置”添加子网点击”资源管理“地址”“子网”，点击右上角“添加配置”添加地址组点击”资源管理“地址”“地址组”，点

50、击右上角“添加配置”定义服务对象防火墙内置一些标准服务端口，但有时用户的系统没有使用某些服务的标准端口，用户在端口引用时，需要我们通过自定义方式加以定义。点击 “资源管理”“服务”“自定义服务”，点击“添加”，可以添加单个端口或范围 。注意单个端口只填起始端口 定义时间对象点击“资源管理”“时间”，点击“添加”，可以设置单次和多次地址转换策略在“防火墙” “地址转换”，点击 “添加”选择“源转换”，点击“高级”，源选择源区域“内网”，目的选择目的区域“外网”，源转换为Eth1接口（即转换为Eth1接口IP地址）或者转换30主机地址。如果需要源地址转换为一段地址，则首先需要创建一段地址范围，且该

51、地址范围不能设置排除IP地址。首先需要添加Web服务器地址对象（，服务器真实地址）、外网访问的地址对象（30，合法地址），具体配置见定义对象章节。目的转换有两种方式：地址转换、端口转换。地址转换：从一个 IP 地址到另一个 IP 地址的映射。安全网关设备将到达映射地址（合法IP）的所有信息流中的目标IP 地址转换成主机 IP 地址（即服务器真实地址）。地址转换建议在映射地址资源充裕时、服务器使用端口较多且端口不连续、服务器端口不是固定端口时使用。端口转换：从一个 IP 地址到基于目标端口号的多个IP 地址的映射，即单个 IP 地址可以托管从若干服务 ( 使用不同的目标端口号标识) 到同样多主机

52、的映射。端口转换建议在映射地址资源短缺且服务器端口为固定端口时使用。配置Web服务器映射有两种方式：（）端口转换在“防火墙” “地址转换”，点击 “添加”选择“目的转换”，点击“高级”，源选择源区域“外网”，目的选择“外网访问的地址对象（30）”，服务选择“HTTP”服务，目的地址转换为选择“Web服务器地址对象（），即服务器真实地址”，目的端口转换为“HTTP”服务。（）地址映射在“防火墙” “地址转换”，点击 “添加”选择“目的转换”，点击“高级”，源选择源区域“外网”，目的选择“外网访问的地址对象（30）”，目的地址转换为选择“Web服务器地址对象（），即服务器真实地址”。第一条为内网访

53、问外网做源转换；第二条为外网访问WEB服务器的映射地址，防火墙把包转发给服务器的真实IP。地址转换需要注意的问题：1、天融信防火墙先匹配目的转换规则，再对其他的地址转换规则按照从上往下的顺序进行匹配，在目的转换规则中也是按照排列顺序进行匹配。在匹配过程中，一旦存在一条匹配的地址转换规则，防火墙将停止检索，并按所定义的规则处理数据包，所以规则的类型和先后顺序决定了数据包的处理方式，目的NAT 规则要优先于其他NAT 规则。2、如果内网用户需要通过服务器映射地址访问web服务器时，还需针对内网添加地址转换。如案例如果内网需要访问30（合法地址）来访问web服务器需要单独添加地址转换。下面以端口转换

54、为例，地址转换请参照外网访问web服务器。在“防火墙” “地址转换”，点击 “添加”选择“双向转换”，点击“高级”，源选择源区域“内网”，目的选择“外网访问的地址对象（30）”，服务选择“HTTP”服务，目的端口转换为“HTTP”服务。源地址转为选择“外网访问的地址对象（30）”，目的地址转换为选择“Web服务器地址对象（），即服务器真实地址”，目的转换为选择“HTTP服务“。制定访问控制策略在“防火墙” “访问控制”，点击 “添加”第一条规则定义内网可以访问外网在“防火墙” “访问控制”，点击 “添加”选择“源”，点击“高级”，源选择源区域“内网”，目的选择目的区域“外网” , 点击“高级”

55、, 动作“允许”（默认选项）。第二条规则定义外网可以访问服务器的对外发布的应用端口，只能访问服务器http应用。在“防火墙” “访问控制”，点击 “添加”选择“源”，点击“高级”，源选择源区域“内网、外网”， 目的选择“Web服务器地址对象（），即服务器真实地址”, 服务选择”HTTP服务”，动作“允许”（默认选项）。第一条规则定义内网可以访问外网。源选择“外网”；目的可以选择目的区域“外网”，动作“允许”（默认选项）。第二条规则定义外网可以访问服务器的对外发布的应用端口，只能访问服务器http应用。源选择“内网、外网”，目的选择服务器真实的IP地址，服务选择“HTTP”服务。访问规则需要注意

56、的问题：访问控制规则描述了天融信防火墙允许或禁止匹配访问控制规则的报文通过。防火墙接收到报文后，将访问控制规则表中所设定规则。一旦寻找到匹配的规则，则按照该策略所规定的操作（允许或丢弃）处理该报文，不再进行区域缺省属性的检查。如果不存在可匹配的访问策略，天融信防火墙将根据目的接口所在区域的缺省属性（允许访问或禁止访问），处理该报文。区域属性设置请参见 “3、区域和缺省访问权限配置”。 1、规则作用有顺序 2、访问控制列表遵循第一匹配规则 3、规则的一致性和逻辑性配置保存点击管理界面右上角“保存配置”配置完成后，配置立即生效，但是一定要保存配置，否则设备断电或重新启动后未保存配置将丢失。保存的配

57、置将作为下次设备启动配置。配置文件备份配置完成并确认运行正常以后，请备份配置文件。选择“系统管理”“维护”“配置维护”，选择“保存配置”提示：每次修改配置前，建议首先备份防火墙再修改配置，避免防火墙配置不当造成网络长时间中断。防火墙透明模式案例配置在透明模式下，天融信防火墙的所有接口均作为交换接口工作。也就是说，对于同一VLAN 的数据包在转发时不作任何改动，包括IP 和MAC 地址，直接把包转发出去。同时，天融信防火墙可以在设置了IP 的VLAN 之间进行路由转发。配置需求：内网客户机可以访问互联网外网仅可以访问WEB服务器HTTP应用，禁止其他访问外网禁止访问内网拓扑图如下：1、防火墙接口

58、IP配置定义一个VLAN(本案例创建VLAN 1)，点击“网络管理”“二层网络”“VLAN”“添加/删除VLAN范围”。设置VLAN 1接口IP地址及子网掩码。分别把ETH0、ETH1、ETH2接口加入到VLAN 1中，点击”网络管理“接口” ”物理接口“，依次点击接口的“设置”按钮可以把接口加入到VLAN 1中。2、区域和缺省访问权限配置在“资产管理”“区域”中定义防火墙区域（接入相同安全等级的网络接口的组合为一个区域），点击“添加”。权限选择为“禁止访问”，即访问该区域缺省权限为禁止访问。依次创建若干区域（添加ETH0接口为“内网”区域； ETH1接口为“外网”区域；添加ETH2接口为“服

59、务器”区域；）提示：有几个安全等级就需要创建几个区域，即如果网络之间需要配置访问规则，那就需要配置不同的区域。3、防火墙管理权限设置（定义希望从哪个区域管理防火墙）默认只能从ETH0接口对防火墙进行管理“内网”区域添加对防火墙的管理权限（当然也可以对“外网”区域添加），点击“系统管理”“配置”“开放服务”，点击添加，常用服务有WEBUI(即WEB管理)、ping、Telnet等（请根据管理需要添加相应管理服务）4、路由表配置如果防火墙和客户端之间有三层设备（比如三层交换机或者路由器），非VLAN接口地址网段需要管理防火墙时，请注意添加相应静态路由。该路由只参与防火墙管理，与数据通信无关。如果不

60、需要跨网段管理防火墙，无需设置路由表。添加静态路由，在“网络管理” “路由”“静态路由”，点击添加添加缺省路由时，目的地址和目的掩码都为，网关为下一条地址，其他选项为空。5、定义对象（包括地址对象、服务对象、时间对象）提示：防火墙所有需要引用对象(如地址转换策略、访问控制策略等)的配置，请先定义对象，才能引用。定义地址对象添加单个主机对象点击”资源管理“地址”“主机”，点击右上角“添加配置”添加地址范围点击”资源管理“地址”“范围”，点击右上角“添加配置”添加子网点击”资源管理“地址”“子网”，点击右上角“添加配置”添加地址组点击”资源管理“地址”“地址组”，点击右上角“添加配置”定义服务对象