曙光天罗TLFW-1000H防火墙定位于大型企业级的骨干网络应用,采用2U专用千兆安全平台,冗余电源设计,提供高速的数据转发能力,最多可扩展到9个网络接口。可以应用于政府、企业、教育网中心、高校、电力等网络的接入和隔离防护。曙光网络安全系列产品适用行业广泛,且获得国家各项权威认证,从而保障了用户整体网络和服务器系统的安全性能水准。  下载白皮书
技术特色: 一体化的软硬件设计
系统与硬件紧密结合,发挥硬件最高效能,提高系统自身安全性。曙光天罗TLFW-1000H防火墙绝大部分应用功能都运行在内核态或芯片直接完成操作。只有管理系统设计到操作系统和用户态的部分应用。绝大部分系统功能是通过“芯片<->驱动程序<->内核”的方进行,此外,系统在不同状态转换中使用零拷贝的技术,即:在系统内部,一个数据包到来后一直到离开只有一个副本!而对于一般的系统数据处理需要经过三次拷贝,其中一次拷贝所需要的系统开销相当于接收/发送3至5个数据包。避免数据包副本在系统内部的拷贝是提高系统效率的主要方法之一。 高容错电源设计
系统采用真正容错、热插拔电源。对于大部分型号的防火墙,都支持冗余电源设计,双电源都可以进行热插拔,大大提高系统的可靠性和稳定性,根据我们多年的经验,普通电源的寿命一般在2至3年之间,而曙光天罗TLFW-1000H防火墙的工业级电源的平均寿命在7年以上,但为了避免不必要的异常导致电源损坏,双电源涉及可以大大提高系统的可靠运行时间和最大工作时间。
其次,双电源系统的每个电源模块并不是完全独立的,它们之间实时的相互监控,一旦其中一个电源模块发生故障,另一个电源模块会发出报警声音讯号(可以关停)直到损坏的电源模块被更换或者管理员关掉声音报警为止。 基于状态的包过滤
曙光天罗TLFW-1000H防火墙可以基于连接的状态进行数据包过滤,极大地提高了系统的性能。状态包过滤,包括两个不同的理解方式。
- 状态包过滤是指可以根据数据流(会话)的状态进行有针对性地规则过滤,比如可以拒绝从一台主机发起的请求,但允许这台主机应答外部用户的请求,可通过防火墙对主机通讯的状态字进行针对性过滤,拒绝该主机发出的TCP syn 标志的数据包;
- 防火墙可以根据会话的状态进行不同的过滤流程。比如对于初始的会话,防火墙可以进行较为详细的过滤,一旦会话被认为是可信的,防火墙就会降低会话的检测流程,从而大大提高了防火墙的运行效率。这一功能就是行业内宣称的“自适应”防火墙,曙光天罗TLFW-1000H防火墙在这种自动辨别能力上可以做到2至7层的自适应。一般厂商子能做到2至4层。
多级过滤:
曙光天罗TLFW-1000H防火墙可以基于数据包的源地址、目的地址、源端口、目标端口、协议标志位等进行过滤,提高了系统的防护能力。这里的多级是说曙光天罗TLFW防火墙不仅可以进行2至7层的过滤,而且可以对同一个会话同时进行多个层次,多个级别的过滤。如,在链路层上,曙光天罗TLFW防火墙可以直接支持基于MAC地址的管理模式。再比如,对于Web服务可以进行包过滤、应用层检测同时进行,既提高的安全性也提升了服务的质量和性能。
高级路由管理:
曙光天罗TLFW-1000H防火墙提供业界最灵活的高级路由管理能力,将网络管理变成网管人员的一种享受。曙光天罗TLFW-1000H防火墙的路由管理可以分为路由表和路由策略表两个共同作用的快速表,使得路由控制更加灵活(可根据源/目的IP或子网定义策略)。内部设定100个路由优先级,特别是适于大型网络的改造。
基于规则的带宽管理:
曙光天罗TLFW-1000H防火墙的带宽管理粒度细致,方便灵活。曙光天罗TLFW-1000H防火墙能够指定进行带宽管理的网络接口,支持多达8级。可以根据不同的协议、源/目的端口和源/目的地址(段)、时间六元组的任意组合进行控制。举例说明:我们打算限制特定网段对特定服务器的Web服务器的访问速率,曙光天罗TLFW-1000H防火墙可以轻松的完成这一操作。
内置入侵检测:
曙光天罗TLFW-1000H防火墙内置简单入侵检测系统,能够检测到常用的攻击方式。由于曙光公司拥有自主知识产权的主机型和网络型IDS软件,所以在防火墙中嵌入一个精简的入侵检测模块对于提高防火墙的安全性有着显著的作用。
双机热备:
为了保证网络的高可用性与高可靠性,曙光天罗TLFW-1000H防火墙提供了双机热备份功能,即在同一个网络节点使用两个配置相同的防火墙。正常情况下一个处于工作状态,为主防火墙,另一个处于备份状态,为从防火墙。当主防火墙发生意外down机、网络故障、硬件故障等情况时,主从防火墙自动切换工作状态,从防火墙代替主防火墙正常工作,从而保证了网络的正常使用。切换过程不需要人为操作和其他系统的参与,切换时间可以以秒计算。
透明代理:
曙光天罗TLFW-1000H防火墙提供对常用高层应用服务(HTTP、FTP、SMTP、POP3、NNTP)的透明代理。用户不需要在自己的主机上作任何的有关代理服务器的设置,只需管理员在防火墙上配置相关的规则,用户通过防火墙进行的上述应用访问直接通过防火墙进行代理,这些配置对用户来说完全是透明的,极大得方便了用户建立和使用代理。
三权分立机制:
曙光天罗TLFW-1000H防火墙在设计时充分考虑了防火墙本身的安全性,把防火墙的管理员分为超级管理员、系统管理员、安全策略员、日志审计员。使得在同一时刻,只能有一位防火墙的管理员来对防火墙进行管理,同时将管理员的账号和IP地址捆绑,在管理员登录防火墙系统时对其账号、密码、IP地址进行全面检查,从根本上保证了防火墙系统的安全性。 产品功能: 系统组成
- 曙光天罗TLFW-1000H防火墙(硬件):是一个基于专用硬件平台的高级通信保护控制系统。
- 管理软件(软件):是用来管理和配置防火墙的管理软件,由于曙光天罗TLFW-1000H防火墙采用基于WEB和通用串口管理,管理主机(管理防火墙的机器)只需具有IE浏览器或WINDOW系统下的超级终端软件。
- 审计管理器(软件):是一个可运行于WindowsXP、Windows2000系统下,用于对曙光天罗TLFW-1000H防火墙提供的远程日志信息进行可视化审计的管理软件。
| 功能特点: | 项目 | 功能描述 | 高 适 用 性 | 工作模式 | 支持NAT、透明、路由、混合工作模式 | 应用代理 | 支持HTTP、FTP、SOCKS、SMTP应用代理,支持透明代理和普通代理两种模式 | DHCP | 支持DHCP Client、DHCP Relay、DHCP Server | 接入方式 | 支持多接入,支持ADSL、PPPOE,支持DHCP动态获得地址 | 路由功能 | 支持静态路由、动态路由;支持基于源/目的地址、接口的路由,支持策略路由,支持VLAN间路由 | 支持RIP、OSPF、BGP等路由协议 | 多协议支持 | 支持802.1Q协议,支持VLAN Trunk连接,支持多种生成树协议,支持802.1D协议; | 支持对非IP 协议IPX、NetBEUI 的传输与控制 | 支持H.323协议,支持高效、稳定的视频等多媒体应用 | ARP | 支持IP/MAC自动搜索和手工绑定,支持查看、删除 | 高 安 全 性 | NAT | 支持双向NAT,支持地址池,支持多对一、一对多、多对多和一对一等多种方式的地址转换 | 支持动态地址转换和静态地址转换 | 包过滤 | 支持全状态检测,可以通过策略控制每一次连接的所有工作状态 | 基于源/目的IP地址、源MAC地址、源/目的端口、协议、时间、出入接口等数据包过滤 | 支持对最新版本的MSN、QQ等进行拦截、封堵 | 支持P2P过滤,可对迅雷、BT、电驴等过滤限制,保障网络资源有效利用 | 支持国家地区过滤。针对某个国家或地区进行IP过滤,限制网络通讯和邮件 | 内容过滤 | 支持URL的字符串过滤 | 支持对Http、Smtp、Pop3、Ftp等协议的深度过滤,支持协议 命令过滤 | 支持对邮件的收发邮件地址、文件名、文件类型过滤; 支持对邮件主题、正文、收发件人、附件名、附件内容等关键字过滤 | 支持对移动代码如Java applet、Active-X、VBScript、Java script的过滤 | 用户认证 | 支持双因子,支持Radius、LDAP及一次性口令认证 | 安全防御 | 支持防端口扫描功能;支持抗ARP欺骗 | 可抵抗UDP、SYN、ICMP等常用的DoS/DDoS攻击; 可抵抗非法报文、统计型报文、源路由、IP碎片包等攻击 | 具备IPS主动防御功能,内置上千种入侵规则,可根据设置实现智能阻断 | 高 可 用 性 | 双机热备 | 支持防火墙双机热备,支持主从、主主工作模式,可无缝切换和配置同步;支持防火墙多机 集群 | 负载均衡 | 支持防火墙间均衡和服务器均衡 | 链路聚合 | 支持接口物理链路的线路冗余备份和均衡 | 灾难恢复 | 具备双系统,系统启动时进行自检,如有系统问题可自动恢复 | 配置备份 | 支持多个配置备份,支持备份的导出、导入与配置恢复 | VPN | 连接协议 | 支持IPSEC、L2TP协议,提供端到端的安全隧道 | 工作模式 | 支持网关对网关、客户端对网关、星型连接(HUB-SPOKE) | 安全认证 | 支持IPSEC和IKE,支持预共享密钥、证书(X.509格式) | 加密算法 | 支持3DES、DES、国密办加密算法,支持标准MD5、SHA-1认证算法 | 易用性 | 支持隧道的NAT穿越,支持移动客户端的用户口令、NETKEY、主机绑定,支持专业的客户端软件, 支持ADSL拨号状态下的VPN功能,支持与其他主流品牌的VPN网关互通性 | 网 络 管 理 | QOS | 可以根据不同的协议、源/目的端口和源/目的地址(段)、时间六元组的任意组合进行控制; 多达八个优先级的流量控制功能 | 安全策略与带宽管理结合,在设置安全策略时,即可设置带宽/流量管理策略 | 流量配额 | 当用户达到一定的使用流量时,可进行限速或禁止 | 流量统计 | 可按协议、IP等进行流量统计、排序、计费 | 日志管理 | 可进行日志统计、审计和报表输出,可按照IP、时间、流量等元素进行排序、统计、查询等操作 | 支持远程日志审计软件,实现远程记录,支持传输加密 | 支持日志告警,当根据日志设定门限,进行报警 | 实时监控 | 可进行Ping检测、数据报捕获、路由查询等,可对内外网机器的连接状态查询,可显示并发连接数目 | 系 统 管 理 | 账户管理 | 支持四级分权管理:超级管理员、系统管理员、安全策略员、日志审计员,支持管理员账号与IP绑定 | 管理方式 | 支持远程管理,支持WEB GUI、串口本地,支持SNMP管理 | WEB管理 | 支持SSL、SSH连接;同时只允许一个管理用户管理; 支持超时自动退出;失败帐户锁定 | 支持口令、NETKEY、证书认证 | 系统状态 | 可对CPU、内存使用情况、系统空间等进行查看,可对系统时间进行查看和修改 |
产品名称 | 曙光TLFW-1000H | MTBF | 100000小时 | 接口 | 3个10/100/1000M以太网电口;
2个GBIC光纤接口;
具备4个GBIC光口的扩展槽位;
1个异步串行管理接口(RS232C,DTE,9600-8-N-1) | 性能参数 | 并发连接数:180万;VPN隧道数:3000 | 机箱电源 | 标准机架式2U机箱,双冗余电源 | 运行温度 | 0℃~50℃ | 相对湿度 | 10%~90% |
注:此信息仅供参考,具体配置请与曙光公司销售代表联系。 |
|
|
资质认证: - 国家版权局颁发的《计算机软件著作权登记证书》
- 公安部颁发的《计算机信息系统安全专用产品售许可证》
- 中国国家信息安全测评认证中心颁发的《国家信息安全认证产品型号证书》
- 国家保密局颁发的《涉密信息系统产品检测证书》
- 中国人民解放军信息安全测评认证中心颁发的《军用信息安全产品认证证书》
TAG: 曙光防火墙
|
