中神通优强NGUTM功能列表(版本:v1.8)
一、系统架构
自主知识产权的安全操作系统,无版权纠纷,一体化、模块化功能设计
二、网络接口
1)3~24个100M/1000M自适应以太网卡
2)全功能端口设计:N个网卡最大有N-1个WAN或N个LAN或N-1个DMZ或N/2个网桥;全部功能可在所有网卡处同时运行
三、网络特性
1) 工作方式:路由、NAT、网桥、路由+网桥、旁路、TAP
2) 接入方式:静态、DHCP、PPPoE
3) VLAN:802.1Q标准,最大4000个,支持单臂路由和VLAN TRUNK
4) 策略路由:进站、出站策略路由;每块网卡均可同时设置下一跳路由
5) 本机服务:DHCP、PPPoE、DNS、DDNS、NTP、SNMP、Netflow、ARP病毒监控、IP&MAC自动绑定、Ping、Traceroute、Nslookup、Whois、Port Scanner
四、防火墙
1) 基于状态检测的包过滤技术,每条规则包括18个子项
2) 基于对象的规则子项管理:IP、时间、会话、QoS、流量
3) 一条IP策略包括多达1000条的IP及网段,支持大批量数据的快速输入
4) 一条时间策略包括多达100条的不同时间段,精确到1秒钟
5) 会话策略包括总会话数、源节点数、单点会话数和新建会话速率等参数
6) QoS策略:针对IP源对象的流入流出两个方向设置绝对、相对带宽值,树状带宽设置,可借用空闲带宽,8档优先值,可实时查看带宽状态
7) 流量策略:统计各个源IP对象的流量,超出设定流量额度将禁止通讯
8) 同一源IP对象的不同应用可以有不同的会话策略、QoS策略和流量策略
9) 提供NAT、攻击防范、防DoS、智能包过滤日志功能
五、用户认证
1) 用户管理:用户分组管理,可分类显示用户状态,手工登录、登出用户
2) 认证方法:本地、RADIUS、LDAP、AD、RSA SecureID等
3) 绿色客户端: WEB浏览器,兼容Windows、Linux、UNIX、Mac OS等操作系统,免客户端软件、ActiveX插件、JVM安装,保障客户的隐私和安全
4) 双因子认证:客户端证书认证,支持USBKEY认证
5) 用户与IP绑定:限制登录IP,实现IP、MAC地址和用户的同时绑定
6) 用户Portal:支持加密用户Portal,未认证时WEB重定向至用户Portal;用户自服务,功能包括登录、退出、修改口令、查看流量统计及日志
7) 网络保护检查(NPC):不用下载任何插件,可阻止不安全的PC登录网络
8) 账号安全:首次登录必须修改口令;多次登录失败后将阻拦登录IP
9) 增值服务:提供PPTP、PPPoE等多种增值服务,实现可信用户接入功能
六、应用过滤
1)网络审计:审计ARP、WEB、DNS、FTP、TELNET、POP3、SMTP、IMAP、QQ、MSN等常见应用,适用于任何接入方式;分类统计当前用户上网行为
2)网关防病毒:双引擎,免费版30万条以上病毒特征库,自动更新
3)防垃圾邮件:客户端、服务器端过滤,贝叶斯算法,收发件人黑白名单
4)不良网址库:百万级分类不良网址黑名单,自动更新,有白名单屏蔽功能
5)HTTP协议过滤:文件后缀、方法、Agent等8种子项过滤及白名单
6)HTTP内容过滤:多语种基于权重的网页关键字过滤,大容量URL过滤
7)WEB代理及缓存:正向、反向WEB代理,至少10G的WEB缓存
8)常见应用过滤:透明接入,过滤FTP、POP3、SMTP、QQ、MSN等应用
9)FTP过滤:安全的PASV方式,屏蔽服务器Banner,多种白名单
10)POP3过滤:防病毒,防垃圾邮件,邮件备份
11)SMTP过滤:防病毒,防垃圾邮件,延迟审计,邮件备份,多种黑名单
12)QQ、MSN过滤:用户账号黑白名单,无需设置IP的智能阻拦
13)特殊应用控制:封堵近百种常见P2P、网络游戏、聊天、视频、股票及危险应用,可自定义源IP及时间对象
七、入侵检测与阻拦
1) 网关级入侵检测:在线部署、旁路工作,共有47大类1万多条规则
2) 引擎设备:内置引擎设备,可设置要检测的网卡、流量、方向等
3) 实时入侵警告与阻拦:实时入侵警告,切断攻击Session,封堵攻击源
4) 智能阻拦:可设置IP白名单以及阻拦的网卡、IP、类型、时长等参数,可查看、删除当前被阻拦的IP列表,避免误查误拦
5) 高扩展性:可以修改系统自带规则的端口值,还可以自定义检测规则
6) 日志统计:具有日报、周报和月报统计功能,提供入侵事件的统计信息
7) 异常流量的检测:可以通过查看网络状态或Netflow服务提供
8) 蜜罐诱捕:提供WEB等虚拟服务,记录黑客扫描、攻击行为的细节
八、虚拟专用网
1) 建立VPN通道的协议:IPSEC、PPTP、IKE
2) VPN加密算法:3DES、AES、BLOWFISH、DES,认证算法:MD5、SHA
3) 认证方法:预共享口令、RSA证书、X.509证书
4) VPN通道内过滤:防火墙、用户认证、应用过滤、入侵检测与阻拦
5) SSL通道:加密各种明文服务,与用户认证模块配合实现SSL VPN功能
九、管理功能
1) 管理员种类:共5种,分权管理
2) 管理方式:控制台、串口、加密WEB管理、SNMP、SSH
3) 管理主机:共5个,可分布于任一安全域内,实用省钱、方便管理
4) 配置管理:可选内容的配置备份与恢复,可同时存储1000个配置文件
5) 升级管理:基于WEB的升级方式,可同时存储1000个升级文件
6) 显示语言:包括中、英等多国语言,可以快捷地加入一种新的语言
7) 账号安全:首次登录必须修改口令;多次口令出错将报警并阻拦
8) 其它特性:WEB管理客户端、WEB数据联动、大批量数据输入、快速设置、备注项、页面超时
9) 集中管理:统一分发配置及升级包;实时监控所有设备的运行状态及用户上网行为统计;集中下发日志审计策略,实时接收日志审计报警
十、状态监测
1) 状态监控:系统、CPU、内存、存储、网卡利用率、当前连接数等
2) 状态趋势:CPU、内存、存储、带宽、连接数等性能参数的24小时趋势图,可留存1000天的数据,可查询任意时间段的性能趋势图
3) 会话监控:显示、查询、统计、中断当前建立的连接,共7种查询条件
4) QoS监控:显示实时QoS带宽状态,用于测量及反馈
5) 流量统计:显示各安全策略及相关源地址的流量统计
6) 实时监控:实时显示、查询当前数据包信息及对应的包过滤安全策略
7) 双机热备:通过主从和双主模式的高可用性双机热备功能
十一、日志审计
1) 提供本地日志存储审计功能:共27种日志及2种邮件备份,可浏览、查询、统计日志记录,并可设置报警关键词;设有专门的审计管理员
2) 日志备份:日志每天加密打包归档一次,最大归档天数是1000天
3) 警告通知机制:Syslog(包括声音、短信、Email),SNMP Trap,Email