網(wǎng)絡(luò)改造設(shè)計方案.doc

精品文檔2011年4月13日網(wǎng)絡(luò)改造設(shè)計方案XXXXXX項目文檔更新記錄版本號更新時間撰寫/修訂審 核修 改 說 明1.02011-04-13XXX初始版本目錄1. 用戶系統(tǒng)現(xiàn)狀11.1 原網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)11.2 原網(wǎng)絡(luò)分析12. 系統(tǒng)建設(shè)需求22.1 網(wǎng)絡(luò)要求22.2 設(shè)備要求23. 解決方案33.1 網(wǎng)絡(luò)系統(tǒng)改造設(shè)計33.2 改造后網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)54. 設(shè)備選型64.1 設(shè)備清單一覽表64.2 設(shè)備產(chǎn)品資料64.2.1 Quidway S5300系列全千兆運(yùn)營級交換機(jī)產(chǎn)品說明64.2.2 天融信入侵防御系統(tǒng)TopIDP產(chǎn)品說明114.3.3 天融信防火墻系統(tǒng)TopGuard-NGFW4000系列產(chǎn)品說明143歡迎下載。精品文檔1. 用戶系統(tǒng)現(xiàn)狀1.1 原網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)1.2 原網(wǎng)絡(luò)分析現(xiàn)有網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)相對簡單，直接從政務(wù)外網(wǎng)接入核心交換機(jī)，無法保障內(nèi)網(wǎng)安全；核心采用了非網(wǎng)管交換機(jī)，對網(wǎng)絡(luò)的管理造成不便；接入采用百兆交換機(jī)，無法滿足高速發(fā)展的網(wǎng)絡(luò)時代帶來的巨大信息量的傳輸；三樓只接入了一臺8口交換機(jī)，無法滿足20個信息點(diǎn)的接入。2. 系統(tǒng)建設(shè)需求2.1 網(wǎng)絡(luò)要求為各類應(yīng)用系統(tǒng)提供方便、快捷的信息通路；具有良好的性能，能夠支持大容量和實(shí)時性的各類應(yīng)用；能夠可靠運(yùn)行，具有較低的故障率和維護(hù)要求。提供網(wǎng)絡(luò)安全機(jī)制，滿足信息安全的要求，未來升級擴(kuò)展容易。 整個網(wǎng)絡(luò)系統(tǒng)采用千兆以太網(wǎng)1000M交換，網(wǎng)絡(luò)協(xié)議采用TCP/IP協(xié)議，交換機(jī)要求采用主流、成熟、信譽(yù)和售后服務(wù)均佳的產(chǎn)品，核心交換機(jī)支持VLAN等功能，能較好解決突發(fā)數(shù)據(jù)量和密集服務(wù)請求的實(shí)時響應(yīng)問題，在內(nèi)部用戶終端進(jìn)行數(shù)據(jù)交換時交換引擎不會出現(xiàn)過載現(xiàn)象和數(shù)據(jù)包碰撞、丟失的現(xiàn)象，還要考慮預(yù)防瓶頸出現(xiàn)和補(bǔ)救的相應(yīng)措施。2.2 設(shè)備要求根據(jù)網(wǎng)絡(luò)功能需求情況，樓層接入設(shè)備需要選擇同一型號的設(shè)備；網(wǎng)絡(luò)設(shè)備必須在技術(shù)上具有先進(jìn)性、通用性，必須便于管理、維護(hù)，應(yīng)該滿足現(xiàn)有計算機(jī)設(shè)備的高速接入，應(yīng)該具備良好的可擴(kuò)展性、可升級性。網(wǎng)絡(luò)設(shè)備在滿足功能與性能的基礎(chǔ)上必須具有良好的性價比。網(wǎng)絡(luò)設(shè)備應(yīng)該選擇擁有足夠?qū)嵙褪袌龇蓊~的廠商的主流產(chǎn)品，同時設(shè)備廠商必須要有良好的市場形象與售后技術(shù)支持。3. 解決方案3.1 網(wǎng)絡(luò)系統(tǒng)改造設(shè)計針對原網(wǎng)絡(luò)的不足及用戶需求，現(xiàn)對原網(wǎng)絡(luò)設(shè)計方案進(jìn)行升級改造，改造后網(wǎng)絡(luò)系統(tǒng)采用二層結(jié)構(gòu)：核心部分核心采用了一臺三層可管理交換機(jī)(華為5328C-EI-24S)，該交換機(jī)具有24個100/1000Base-X,4個10/100/1000Base-T千兆Combo口，解決了網(wǎng)絡(luò)管理不便的問題并支持未來子網(wǎng)的擴(kuò)展，轉(zhuǎn)發(fā)性能96M，端口交換容量128G，板交換容量達(dá)到了256G，保證了巨大信息量的可靠傳輸及交換。接入部分整個網(wǎng)絡(luò)系統(tǒng)共有110個信息點(diǎn)，四樓使用兩臺華為5352C-SI千兆交換機(jī)直接接入核心交換機(jī)，該交換機(jī)具有48個10/100/1000Base-T端口，滿足用戶終端90個信息點(diǎn)接入需求的同時也保證了各個信息點(diǎn)數(shù)據(jù)的高速傳輸，三樓將原來的8口交換機(jī)改為24口交換機(jī)（華為5328C-SI），也保證了剩下20個信息點(diǎn)的接入，解決了原來三樓接入端口不足的問題。由于整個網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)比較簡單，傳輸距離較短，所有交換機(jī)具有1000base-T端口，所以可采用超5類或6類雙絞線連接整個網(wǎng)絡(luò)，以節(jié)約網(wǎng)絡(luò)系統(tǒng)改造成本。安全方面，在政務(wù)外網(wǎng)與核心交換機(jī)之間接入防火墻（天融信NGFW4000系列的TG-4514）及入侵防御系統(tǒng)（天融信TopIDP2000系列的TI-2230-IDP），該防火墻集成了多種安全引擎，不但有內(nèi)置的攻擊檢測能力，還可以和IPS產(chǎn)品實(shí)現(xiàn)聯(lián)動。這不僅提高了安全性，還保證了高性能，是國內(nèi)安全功能最豐富的防火墻產(chǎn)品。入侵防御系統(tǒng)TI-2230-IDP可分析網(wǎng)絡(luò)攻擊的組合行為特征來準(zhǔn)確識別各種攻擊，可以智能地識別出多種攻擊隱藏手段及變種攻擊。通過智能化檢測引擎，能夠識別出多種高危網(wǎng)絡(luò)行為，并可以將此類行為以告警方式通知管理員，達(dá)到防患于未然的目的。同時具有強(qiáng)大的木馬檢測與識別能力，完善的應(yīng)用攻擊檢測與防護(hù)能力，豐富的網(wǎng)絡(luò)應(yīng)用控制能力和及時的應(yīng)急響應(yīng)能力，使得內(nèi)網(wǎng)安全性大大提高。而且，兩者都具有硬件Bypass功能，即使安全設(shè)備出現(xiàn)故障，也不影響整個網(wǎng)絡(luò)的連通性。改造后網(wǎng)絡(luò)結(jié)構(gòu)不僅滿足用戶現(xiàn)有需求，同時對未來網(wǎng)絡(luò)結(jié)構(gòu)做好擴(kuò)展準(zhǔn)備。改造后的網(wǎng)絡(luò)系統(tǒng)具有如下特性：1.先進(jìn)性：系統(tǒng)具有高速傳輸?shù)哪芰ΑＯ到y(tǒng)傳輸速率達(dá)到1000Mb/s, 同時具有較高的帶寬，滿足現(xiàn)在和未來數(shù)據(jù)信息傳輸?shù)男枨螅?2.靈活性：系統(tǒng)具有較高的適應(yīng)變化的能力。當(dāng)用戶的物理位置發(fā)生變化時可以在非常簡便的調(diào)整下重新連接； 3.實(shí)用性：系統(tǒng)具有低成本、使用方便、簡單、易擴(kuò)展的特點(diǎn)。4.安全性：在核心機(jī)與政務(wù)外網(wǎng)間接入防火墻和入侵防御系統(tǒng)，大大提高了整個網(wǎng)絡(luò)系統(tǒng)的安全性。 3.2 改造后網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)4. 設(shè)備選型4.1 設(shè)備清單一覽表樓層設(shè)備類型名稱數(shù)量設(shè)備配置信息四樓交換機(jī)華為5328C-EI-24S1端口描述：24個100/1000Base-X，4個10/100/1000Base-T千兆Combo口；轉(zhuǎn)發(fā)性能96M，端口交換容量128G，板交換容量256G；華為5352C-SI2端口描述：48個10/100/1000Base-T，上行支持210GE XFP、41000Base-X SFP、210GE SFP或者410GE SFP插卡，雙電源，可插拔；轉(zhuǎn)發(fā)性能132M，端口交換容量176G，板交換容量256G；IPSTopIDP2000 TI-2230-IDP11U機(jī)架式結(jié)構(gòu)；最大配置為26個接口，默認(rèn)包括2個可插拔的擴(kuò)展槽和10個10/100/1000BASE-T接口，（作為HA口和管理口）；默認(rèn)含1年特征庫升級吞吐量2.6G；最大并發(fā)連接數(shù)60W；IPS性能600M；具有硬件Bypass功能防火墻NGFW4000 TG-4514 11U機(jī)架式結(jié)構(gòu)；最大配置為12個接口，包括4個10/100/1000BASE-T接口和1個擴(kuò)展槽吞吐量1G最大并發(fā)連接數(shù)160W三樓交換機(jī)華為5328C-SI1端口描述:24個10/100/1000Base-T，4個100/1000Base-X 千兆Combo口，上行支持210GE XFP、41000Base-X SFP、210GE SFP、410GE SFP插卡,雙電源，可插拔，支持USB口；轉(zhuǎn)發(fā)性能96M，端口交換容量128G，板交換容量256G；4.2 設(shè)備產(chǎn)品資料4.2.1 Quidway S5300系列全千兆運(yùn)營級交換機(jī)產(chǎn)品說明產(chǎn)品概述Quidway S5300系列全千兆交換機(jī)（以下簡稱S5300），是華為公司為滿足大帶寬接入和以太網(wǎng)多業(yè)務(wù)匯聚而推出的新一代全千兆高性能以太網(wǎng)交換機(jī)，可為客戶提供強(qiáng)大的以太網(wǎng)功能服務(wù)。S5300基于新一代高性能硬件和華為公司統(tǒng)一的VRP（Versatile Routing Platform）軟件，具備大容量、高密度千兆端口，可提供萬兆上行，充分滿足客戶對高密度千兆和萬兆上行設(shè)備的需求。S5300可滿足運(yùn)營商園區(qū)網(wǎng)匯聚、企業(yè)網(wǎng)匯聚、IDC千兆接入以及企業(yè)千兆到桌面等多種場合的需求。產(chǎn)品外觀S5328C-EI-24S：24個100/1000Base-X，4個10/100/1000Base-T千兆Combo口，上行支持210GE XFP、41000Base-X SFP、210GE SFP、410GE SFP插卡，雙電源，可插拔；S5352C-SI：48個10/100/1000Base-T，上行支持210GE XFP、41000Base-X SFP、210GE SFP、410GE SFP插卡，雙電源，可插拔, 支持USB口；S5328C-SI：24個10/100/1000Base-T，4個100/1000 Base-X 千兆Combo口， 上行支持210GE XFP、41000Base-X SFP、210GE SFP、410GE SFP插卡，雙電源，可插拔，支持USB口；產(chǎn)品特點(diǎn)強(qiáng)大的多業(yè)務(wù)支持能力 S5300支持增強(qiáng)型靈活QinQ功能，確保靈活的外層VLAN標(biāo)簽功能的同時不占用ACL資源。S5300能將內(nèi)層VLAN的CoS值映射到外層VLAN，或者修改外層VLAN的CoS值，可根據(jù)業(yè)務(wù)需要靈活標(biāo)記QoS等級，滿足多業(yè)務(wù)承載的要求。 S5300支持IGMP Snooping/ IGMP v3 snooping/Filter/Fast Leave/Proxy等協(xié)議。S5300支持線速的跨VLAN組播復(fù)制功能，支持捆綁端口的組播負(fù)載分擔(dān)，支持可控組播，可以充分滿足IPTV和其他組播業(yè)務(wù)的需求。 S5300支持MCE 功能，實(shí)現(xiàn)了不同VPN用戶在同一臺設(shè)備的隔離，有效解決用戶數(shù)據(jù)安全問題，同時降低用戶投資成本。 免維護(hù)易部署 S5300采用“一次進(jìn)站”方案， 支持自動配置、即插即用、USB開局、自動批量遠(yuǎn)程升級功能，便于部署升級和業(yè)務(wù)發(fā)放，簡化后續(xù)的管理和維護(hù)性能。從而大大降低了維護(hù)成本。S5300支持SNMP V1/V2/V3， CLI命令行、Web網(wǎng)管、TELNET、HGMP集群管理等多樣化的管理和維護(hù)方式，設(shè)備管理更加靈活。支持NTP、SSHv2.0、TACACS+、RMON、多日志主機(jī)、基于端口的流量統(tǒng)計，支持NQA網(wǎng)絡(luò)質(zhì)量分析，有利于進(jìn)一步作好網(wǎng)絡(luò)規(guī)劃和改造。良好的可擴(kuò)展性 S5300系列交換機(jī)支持智能堆疊 iStack功能，完全即插即用，插好堆疊線纜即可自動組建堆疊虛擬框式架構(gòu)。堆疊成員分為主、備、從三種角色。新增備交換機(jī)之后減少了主交換機(jī)故障引起的業(yè)務(wù)中斷時間。支持智能升級，排除用戶給堆疊擴(kuò)容時為新加入交換機(jī)更換軟件版本的煩惱。堆疊技術(shù)允許交換機(jī)利用互聯(lián)電纜實(shí)現(xiàn)多臺設(shè)備的擴(kuò)展，單一IP管理，大大降低系統(tǒng)擴(kuò)展以及運(yùn)維的成本。與傳統(tǒng)組網(wǎng)技術(shù)相比，在擴(kuò)展性、可靠性、整體架構(gòu)等性能方面均具有強(qiáng)大的優(yōu)勢。 簡單的可管理特性 S5300支持GVRP實(shí)現(xiàn)動態(tài)分發(fā)、注冊和傳播VLAN屬性，從而達(dá)到減少網(wǎng)絡(luò)管理員的手工配置量及保證VLAN配置正確的目的。GVRP是一種VLAN的動態(tài)配置技術(shù)，在復(fù)雜的組網(wǎng)環(huán)境中應(yīng)用GVRP，能夠簡化VLAN配置管理，減少因?yàn)榕渲貌灰恢露鴮?dǎo)致的網(wǎng)絡(luò)互通問題。 S5300支持MUX VLAN功能。MUX VLAN提供了一種在VLAN的端口間進(jìn)行二層流量隔離的機(jī)制。采用兩層VLAN隔離技術(shù)，只有上層VLAN全局可見，下層VLAN相互隔離。MUX VLAN通常用于企業(yè)內(nèi)部網(wǎng)，客戶端口可以同服務(wù)器端口通訊，但客戶端口之間不能通訊。用來防止連接到某些接口或接口組的網(wǎng)絡(luò)設(shè)備之間的相互通信，但卻允許與默認(rèn)網(wǎng)關(guān)進(jìn)行通信。產(chǎn)品規(guī)格4.2.2 天融信入侵防御系統(tǒng)TopIDP產(chǎn)品說明產(chǎn)品概述天融信公司的“網(wǎng)絡(luò)衛(wèi)士入侵防御系統(tǒng) TopIDP”是基于新一代并行處理技術(shù)，它通過設(shè)置檢測與阻斷策略對流經(jīng)TopIDP的網(wǎng)絡(luò)流量進(jìn)行分析過濾，并對異常及可疑流量進(jìn)行積極阻斷，同時向管理員通報攻擊信息，從而提供對網(wǎng)絡(luò)系統(tǒng)內(nèi)部IT資源的安全保護(hù)。TopIDP能夠阻斷各種非法攻擊行為，比如利用薄弱點(diǎn)進(jìn)行的直接攻擊和增加網(wǎng)絡(luò)流量負(fù)荷造成網(wǎng)絡(luò)環(huán)境惡化的DoS攻擊等，安全地保護(hù)內(nèi)部IT資源。TopIDP采用多核處理器硬件平臺，將并行處理技術(shù)融入到天融信自主研發(fā)的安全操作系統(tǒng)TOS中，保證了TopIDP產(chǎn)品可以做到更高性能地網(wǎng)絡(luò)入侵的防護(hù)。公司內(nèi)攻防實(shí)驗(yàn)室會跟蹤分析最新的漏洞和導(dǎo)致的攻擊行為，及時更新入侵防御設(shè)備的規(guī)則庫，保證該設(shè)備的及時有效的檢測能力。TopIDP是集訪問控制、透明代理、數(shù)據(jù)包深度過濾、漏洞攻擊防御、郵件病毒過濾、報文完整性分析為一體的網(wǎng)絡(luò)安全設(shè)備，為用戶提供完整的立體式網(wǎng)絡(luò)安全防護(hù)。與現(xiàn)在市場上的入侵防御系統(tǒng)相比，TopIDP系列入侵防御系統(tǒng)具有更高的性能、更細(xì)的安全控制粒度、更完善的內(nèi)容攻擊防御、更大的功能擴(kuò)展空間、更豐富的服務(wù)和協(xié)議支持，代表了最新的網(wǎng)絡(luò)安全設(shè)備和解決方案發(fā)展方向，堪稱網(wǎng)絡(luò)入侵檢測和防御系統(tǒng)的典范。 產(chǎn)品功能詳細(xì)功能如下：功能類別功能項功能描述工作模式網(wǎng)絡(luò)接入透明、路由、混合、監(jiān)聽、直連 入侵防御引擎支持路由、交換、混合、直連、監(jiān)聽五種模式支持基于源、目的、規(guī)則集、動作的入侵檢測規(guī)則支持時間對象支持策略改變引擎自動重起DDOS防御非法報文攻擊：land、Smurf、Pingofdeath、winnuke、tcp_sscan、ip_option、teardrop、targa3、ipspoof等；統(tǒng)計型報文攻擊：Synflood、Icmpflood、Udpflood、Portscan、ipsweep等；支持主機(jī)連接數(shù)和半連接數(shù)的限制。動作支持阻斷drop，檢測到策略中設(shè)置的數(shù)據(jù)后，丟棄報文；支持報警Alert， 檢測到策略中設(shè)置的數(shù)據(jù)后，進(jìn)行報警；支持TCP Reset，向攻擊者發(fā)TCP Reset包；支持日志Log，檢測到攻擊事件后記錄日志；支持記錄報文，檢測到攻擊事件后將原始報文完整記錄下來；支持防火墻聯(lián)動，與防火墻聯(lián)動，僅限IDS模式運(yùn)行；支持自定義組合，可以將以上操作的組合做為一個新的動作。報表Webui支持實(shí)時顯示按發(fā)生次數(shù)累計的攻擊事件排名；支持Top10攻擊者、Top10被攻擊者、Top10事件統(tǒng)計報表；支持按時間統(tǒng)計的IPS流量報表；支持選定時間、網(wǎng)絡(luò)攻擊分類的統(tǒng)計報表；支持日報、周報、月報、季報等統(tǒng)計報表；支持報表輸出，輸出格式可以為PDF、DOC、HTML格式。規(guī)則庫維護(hù)支持自定義規(guī)則庫導(dǎo)入、導(dǎo)出；支持系統(tǒng)規(guī)則庫手動、自動升級。系統(tǒng)規(guī)則預(yù)置系統(tǒng)規(guī)則集包含認(rèn)證類、木馬類、拒絕服務(wù)類、即時通訊類、p2p類、溢出攻擊類、掃描類、系統(tǒng)漏洞類、webcgi類、蠕蟲類、游戲類、HTTP攻擊類、RPC攻擊類、高風(fēng)險類、中風(fēng)險類、低風(fēng)險類和所有事件等。自定義規(guī)則支持自定義規(guī)則；支持自定義規(guī)則集。網(wǎng)絡(luò)適應(yīng)性路由支持靜態(tài)路由；支持基于源/目的地址、接口、Metric的策略路由；支持Vlan路由，能夠在不同的VLAN虛接口間實(shí)現(xiàn)路由功能。VLAN支持802.1Q，能進(jìn)行封裝和解封。在同一個Vlan內(nèi)能進(jìn)行二層交換。ARP支持ARP代理、ARP學(xué)習(xí)。可設(shè)置靜態(tài)ARP。高可用性雙機(jī)熱備*支持雙機(jī)熱備（Active-Active模式）。（注：高端IDP產(chǎn)品只支持AS方式）支持連接同步Bypass提供專業(yè)的硬件ByPass功能，保證網(wǎng)絡(luò)通暢負(fù)載均衡支持輪詢、加權(quán)輪叫、最少連接、加權(quán)最少鏈接等多種服務(wù)器負(fù)載均衡算法。備份系統(tǒng)支持備份系統(tǒng)，主系統(tǒng)破壞后可以通過備份系統(tǒng)啟動運(yùn)行。系統(tǒng)管理管理方式支持WEB圖形配置、命令行配置；支持本地配置、遠(yuǎn)程配置；支持基于SSH、SSL的安全配置。SNMP支持SNMP 的v1 、v2 、v2c 、v3 版本；與當(dāng)前通用的網(wǎng)絡(luò)管理平臺兼容，如HP Openview 等；豐富的私有MIB系統(tǒng)信息。監(jiān)控和報警支持網(wǎng)絡(luò)接口、CPU利用率、內(nèi)存使用率等；內(nèi)置了“管理”、“系統(tǒng)”、“安全”、“策略”、“通信”、“硬件”、“容錯”、“測試”等多種觸發(fā)報警的事件類；支持郵件、SNMP、控制臺等多種組合報警方式。日志支持Welf、Syslog等多種日志格式的輸出；支持通過第三方軟件來查看日志；支持日志分級；支持對接收到的日志進(jìn)行緩沖存儲。其它系統(tǒng)升級，支持遠(yuǎn)程維護(hù)和系統(tǒng)升級；系統(tǒng)升級，支持TFTP、FTP、HTTP方式升級；配置恢復(fù)，可進(jìn)行配置文件的備份、下載、刪除、恢復(fù)和上載；時鐘調(diào)整，支持網(wǎng)絡(luò)時鐘協(xié)議NTP，可自動根據(jù)NTP服務(wù)器時鐘調(diào)整本機(jī)時間。4.3.3 天融信防火墻系統(tǒng)TopGuard-NGFW4000系列產(chǎn)品說明產(chǎn)品概述十幾年來，天融信專注于信息安全，第一家開發(fā)出自主防火墻系統(tǒng)，第一家提出TOPSEC聯(lián)動技術(shù)體系。網(wǎng)絡(luò)衛(wèi)士防火墻歷經(jīng)了包過濾、應(yīng)用代理、核檢測等技術(shù)階段，目前已進(jìn)入以自主安全操作系統(tǒng)TOS（Topsec Operating System）為基礎(chǔ)，以完全內(nèi)容檢測為標(biāo)志的技術(shù)階段，集成了防火墻、VPN、帶寬管理、防病毒、入侵防御、內(nèi)容過濾等多種安全功能。網(wǎng)絡(luò)衛(wèi)士防火墻系列在政府、銀行、電力、軍工、電信、稅務(wù)、教育、能源、交通等行業(yè)中廣泛應(yīng)用，全國20,000多網(wǎng)絡(luò)和業(yè)務(wù)在其保護(hù)下平穩(wěn)運(yùn)行。天融信基于多年的技術(shù)積累和用戶信賴，連續(xù)多年蟬聯(lián)國內(nèi)第一防火墻品牌。網(wǎng)絡(luò)衛(wèi)士防火系列市場占有量巨大，它保護(hù)的網(wǎng)絡(luò)遍布在祖國大江南北，并已走出國門在一些全球性的業(yè)務(wù)網(wǎng)絡(luò)上成功實(shí)施，為廣大用戶的信息安全建設(shè)立下了汗馬功勞。NGFW4000 (TG-4514)產(chǎn)品功能類別功能詳細(xì)描述工作模式 支持透明、路由、混合、直連（虛擬線）模式網(wǎng)絡(luò)安全性內(nèi)容過濾 采用完全內(nèi)容檢測（Complete Content Inspection）技術(shù)。 支持基于流、數(shù)據(jù)包、透明代理的過濾方式。 支持對HTTP、SMTP、POP3、IMAP、FTP等協(xié)議的深度內(nèi)容過濾。 支持URL過濾。 支持DNS過濾。 支持web重定向。 支持HTTP URL長度限制。 支持偽裝http連接識別。 支持DNS過濾。 支持RSH命令過濾。 支持telnet命令過濾。 支持對移動代碼如Java applet、Active-X、VBScript、Java script的過濾。 支持對郵件的收發(fā)郵件地址、文件名、文件類型過濾。 支持對郵件主題、正文、收發(fā)件人、附件名、附件內(nèi)容等關(guān)鍵字匹配過濾。 支持反垃圾郵件功能（用戶配置黑白名單） 支持MSN，QQ，Skype等Instant Messenger通信，并可以對于這些應(yīng)用進(jìn)行登陸限制和帳號過濾。 可限制BT，eMule，eDonkey，迅雷等P2P應(yīng)用。 可屏蔽受保護(hù)主機(jī)/服務(wù)器系統(tǒng)信息，如替換服務(wù)器（FTP、SMTP、POP3、telnet,HTTP）的BANNER信息。網(wǎng)絡(luò)安全性訪問控制 基于狀態(tài)檢測的動態(tài)包過濾。 基于源/目的IP地址、MAC地址、端口和協(xié)議、時間、用戶的訪問控制。 支持基于用戶的PPTP的訪問控制。 支持報文合法性檢查。 動態(tài)端口支持協(xié)議：H.323、SIP、FTP、RTSP、SQL*NET、MMS、RPC、TFTP、PPTP。 可實(shí)現(xiàn)IP/MAC綁定。 會話收集整理，由收集數(shù)據(jù)生成訪問控制策略。 訪問控制策略分組管理。 地址對象源目的發(fā)起連接數(shù)控制，支持全網(wǎng)段地址。 支持大數(shù)量級的策略匹配加速算法。 支持對于策略重復(fù)和策略沖突的檢查。安全管理用戶認(rèn)證 支持使用一次性口令認(rèn)證（OTP）、本地認(rèn)證、雙因子認(rèn)證（SecurID）以及數(shù)字證書（CA）等常用的安全認(rèn)證方式。 支持使用第三方認(rèn)證，如RADIUS、TACACS/TACACS+、LDAP、域認(rèn)證等安全認(rèn)證方式。 支持Session認(rèn)證、HTTP會話認(rèn)證。 支持認(rèn)證保活功能。 可將認(rèn)證用戶信息加密存放在本地數(shù)據(jù)庫。日志 支持Welf、Syslog日志格式的輸出。 支持日志分級和按類型輸出。 支持通過第三方軟件來查看日志。 可對日志進(jìn)行加密傳輸。 支持安全審計系統(tǒng)（TA-L），獲得更詳盡的日志分析和審計功能。 TA-L除接受防火墻日志外還能接受交換機(jī)、路由器、操作系統(tǒng)、應(yīng)用系統(tǒng)和其他安全產(chǎn)品的日志進(jìn)行聯(lián)合分析。監(jiān)控 支持網(wǎng)絡(luò)接口、CPU利用率、內(nèi)存使用率、操作系統(tǒng)狀況、網(wǎng)絡(luò)狀況、硬件系統(tǒng)、進(jìn)程、進(jìn)程內(nèi)存、加密卡狀況的監(jiān)測。 可根據(jù)配置文件進(jìn)行錯誤恢復(fù)。報警 內(nèi)置了“管理”、“系統(tǒng)”、“安全”、“策略”、“通信”、“硬件”、“容錯”、“測試”等多種觸發(fā)報警的事件類。 支持郵件、NETBIOS、聲音、SNMP、控制臺等多種組合報警方式。流量統(tǒng)計 支持基于IP對session數(shù)