NetEye FW5120-S提供了从链路、应用、直至防火墙设备自身等多层面的冗余特性来保障用户业务的可靠性,保证用户关键业务的不间断运行,充分适应网上银行、电力调度、证券交易、电信BOSS系统等对稳定性要求极为严格的应用环境。
NetEye FW5120-S具有基于路由的负载均衡功能。当内网外网之间有多条冗余的接入链路时,防火墙可以按照管理员预先制定的策略将来自于内网的流量分流到多条链路上,保证接入链路的充分利用和网络访问的畅通。
以太网通道是将多块以太网卡的带宽组合起来形成更大带宽通道的聚合技术。对于TCP/IP的较高层协议来讲,这个聚合起来的设备看起来是一个逻辑上单独的以太网接口设备。NetEye FW5120-S支持以太网通道功能,可以将多条链路的带宽叠加起来,这样多条链路被用于单条高速数据通道,提供了一种更为经济的链路带宽扩容途径;同时通道中部分链路的故障不影响该通道的正常使用,大大提高了网络的可靠性。
NetEye FW5120-S具备基于NAT的负载均衡功能。防火墙可以将外部访问按照管理员制定的策略分别定向到企业内部的多台服务器上,实现了服务器之间的负载分担,提升业务系统的可靠性。
NetEye FW5120-S具备先进的连接表同步功能,两台防火墙之间实时同步连接信息,这样即使主备防火墙发生切换也不会导致业务连接中断,充分保证关键业务的稳定运行。
NetEye FW5120-S提供虚拟防火墙功能,管理员可以将一台防火墙在逻辑上划分成多台虚拟防火墙,每台虚拟防火墙都可以看成是完全独立的防火墙设备,拥有独立的管理员、安全策略、路由策略、用户认证数据库等等。各台虚拟防火墙的安全策略之间互不影响,比如两个接口属于不同的虚拟防火墙,那么两个接口相连网络内的主机甚至可以使用相同的IP地址。
电信运营商、电力调度、教育等行业网络环境比较复杂,虚拟防火墙可以有效降低网络安全防护所需的投资预算,满足一些特殊部署要求,并大大降低管理维护成本。以大学为例,采用虚拟防火墙功能,校级管理员可以为不同院系分别划分单独的虚拟防火墙,该虚拟防火墙的安全策略可以由院系的网络管理员根据实际需求自主设定,灵活调整;校级管理员只需要设置学校内网与外网之间的安全策略以及各院系之间的安全策略即可,极大地减轻了校级管理员日常维护的负担。同样,在IDC领域,虚拟防火墙功能可以使得IDC运营商用一台高性能的防火墙设备就可以服务于众多的企业用户,同时满足每个用户独立设置定制化安全策略的需求。
NetEye FW5120-S具备策略路由功能,可以根据多种属性来设定路由策略,部署起来更加灵活。以中国大陆的一些高校为例,如果是由内部访问外网,可以根据预先制定的策略,访问免费地址使用教育网出口,访问其它地址使用电信出口。这种方案在保证网络资源得到有效利用的同时,降低了网络日常运行费用。
NetEye FW5120-S采用全新的三层交换技术消除了原来复杂的工作模式概念,带来了极大的部署和配置的灵活性。该技术将二层交换和三层路由的优势结合成为一个有机的整体,利用第三层协议中的信息来加强第二层交换功能,并实现了第三层数据包的高速转发。该技术的采用使得VLAN、TRUNK、Channel等技术能够很方便地在防火墙上实施,减轻了管理员配置维护的工作负担。
NetEye FW5120-S集成VPN功能。在部署方式上,支持透明模式、路由模式和混合模式部署。透明模式特别适用于已建成的网络,如金融、电力调度、电信等等。这些关键行业的网络已经建成,系统庞大,而且业务系统不能因为网络的改造而受到任何影响。透明模式VPN可以在原有网络配置不改变的情况下,保证网络通讯的安全性。透明模式VPN设备的加入,就像加入一段网线,完全不用调整原有网络,包括终端设备的网络配置,因此大大缩短了VPN方案的建设和部署周期,也降低了维护的复杂性。
NetEye FW5120-S不仅支持多样化的VPN部署方式,还可以基于策略建立VPN隧道。支持IPSec NAT穿越,支持全网状/星型VPN拓扑以及远程VPN接入,具备VPN隧道接力和VPN隧道嵌套功能。由于VPN与防火墙紧密集成,因此在可以对建立VPN隧道的双方进行访问控制,可以根据VPN访问的IP地址、端口、协议等进行控制,保证了VPN互连网络的安全性。
NetEye FW5120-S采用快速抗DDos芯片,能够精确识别和准确防范众多的网络攻击行为:SYN Flood、ICMP Flood、UDP Flood、FIN Scan、RST Scan、XMAS Scan、NULL Scan、Fragment Attack、 Winnuke Attack、Land Attack、Smurf Attack、Source_routing Attack等等。
NetEye FW5120-S还提供了基于策略的会话限制,方便用户对网络中会话的管理,有效抵御内外部对网络的攻击和滥用。
性能和容量
|
|
防火墙吞吐量
|
800Mbps+
|
VPN吞吐量
|
140Mbps+
|
并发会话数
|
1,000,000+
|
每秒处理新会话数目
|
20,000+
|
运行模式
|
|
桥模式(第二层)
|
支持
|
路由/NAT模式(第三层)
|
支持
|
混合模式(第二、三层)
|
支持
|
网络地址转换
|
|
端口地址转换(PAT)
|
支持
|
基于策略的NAT/PAT
|
支持
|
基于NAT的服务器负载均衡
|
支持
|
IP映射
|
支持
|
分组IP映射
|
支持
|
虚拟IP
|
支持
|
最大VLAN数
|
1023
|
最大用户数
|
无限制
|
防火墙
|
|
网络攻击防御
|
支持
|
DOS/DDOS防御
|
支持
|
分片攻击防御
|
支持
|
畸形数据包攻击防御
|
支持
|
SYN攻击防御
|
支持
|
IP欺骗攻击防御
|
支持
|
VPN
|
|
VPN隧道数
|
3000+
|
透明模式VPN
|
支持
|
路由模式VPN
|
支持
|
混合模式VPN
|
支持
|
远程接入VPN
|
支持
|
IPSec NAT 穿越
|
支持
|
冗余 VPN 网关
|
支持
|
3DES(168 位)和AES 加密
|
支持
|
MD-5 和SHA-1 验证
|
支持
|
手工密钥, IKE, PKI (X.509)
|
支持
|
L2TP over IPSec
|
支持
|
失效对端检测
|
支持
|
完美前向保密(DH组)
|
1,2,5
|
防重放攻击
|
支持
|
基于域名的动态VPN
|
支持
|
通过VPN隧道对防火墙进行管理
|
支持
|
日志/监控
|
|
Syslog
|
支持
|
Email
|
支持
|
SNMP(v1/v2c/v3)
|
支持
|
SNMP TRAP
|
支持
|
SNMP 全定制MIB
|
支持
|
路由追踪
|
支持
|
VPN 隧道监控
|
支持
|
虚拟化
|
|
标配虚拟系统数
|
4
|
最多安全区数
|
30/Vsys
|
VLAN支持
|
最多支持1023个
|
路由
|
|
静态路由
|
支持
|
策略路由
|
支持
|
等值多链路路由技术
|
支持
|
多链路负载均衡
|
支持
|
多播
|
|
RPF
|
支持
|
IGMP v1,v2
|
支持
|
IGMP Snooping
|
支持
|
DVMRP
|
支持
|
高可用性 (HA)
|
|
双机热备
|
支持
|
接口冗余
|
支持
|
配置同步
|
支持
|
防火墙会话同步
|
支持
|
VPN会话同步
|
支持
|
设备故障探测
|
支持
|
链路故障探测
|
支持
|
HA流量加密
|
支持
|
新HA成员认证
|
支持
|
管理
|
|
本地认证数据库
|
支持
|
内置用户认证数据库数目限制
|
50000
|
XAUTH VPN 认证
|
支持
|
RADIUS认证
|
支持
|
管理角色与权限划分
|
支持
|
软件升级
|
TFTP/Web界面
|
系统管理
|
|
WebUI
|
HTTPS
|
命令行接口(控制台)
|
支持
|
命令行接口(远程登录)
|
支持
|
命令行接口(SSH)
|
支持
|
本地管理员数据库
|
500
|
外部管理员数据库
|
RADIUS
|
管理员权限划分
|
支持
|
PKI 支持
|
|
PKI 证书请求(PKCS 7 and PKCS 10)
|
支持
|
支持的证书颁发机构
|
Baltimore, Entrust, Microsoft, Netscape, RSA Keon, Verisign
|
自签名证书
|
支持
|
基本系统配置
|
6个集成的10/100BaseT以太网接口, 可扩展2个百兆或千兆接口
|
1GB的系统RAM
|
电源要求
|
200-240伏交流电压
|
250-300w输出功率
|
交流电输入电流:3A
|
环境
|
海拔:3,000米
|
温度:41°F- 104°F/5°C- 40°C
|
湿度:20%-90%
|
具有的证书
|
中国信息安全产品测评认证中心EAL3产品认证证书
|
国家保密局涉密信息系统产品检测证书
|
公安部计算机信息系统安全专用产品销售许可证
|
解放军军用信息安全产品认证证书 |
|