AF防火墙参数全系列型
af 防火墙认证策略
af 防火墙认证策略AF防火墙认证策略简介AF防火墙是一种网络安全设备,用于保护计算机网络免受潜在威胁和攻击。
AF防火墙认证策略是一组规则和设置,用于验证网络中的用户和设备,并根据其身份和权限控制网络访问。
本文将介绍AF防火墙认证策略的不同类型和应用场景。
1. 用户认证策略•强制用户认证:要求网络用户在访问互联网或内部资源之前进行身份验证。
通过用户名和密码、双因素认证等方式,确保只有授权用户可以访问网络资源。
•认证超时设置:设置用户认证的时间限制,超过一定时间未完成认证的用户将被自动断开连接,以确保网络安全。
2. 设备认证策略•MAC地址认证:要求设备在连接网络时提供其MAC地址,并验证其有效性。
只有经过认证的设备才能访问网络资源。
•IP地址认证:针对特定的IP地址或地址段进行认证,确保只有指定的设备可以访问网络。
•证书认证:使用数字证书验证设备的身份,并确保其合法性和可信度。
只有经过证书认证的设备才能与网络通信。
3. 访问控制策略•基于用户组的访问控制:将用户分组,为不同的用户组设置不同的访问权限。
根据用户组的不同,限制其对网络资源的访问。
•基于角色的访问控制:根据用户角色设置访问权限,例如管理员、操作员、普通用户等。
不同角色的用户拥有不同的权限,确保数据的安全性和机密性。
•基于应用程序的访问控制:针对特定的应用程序进行访问控制,限制用户对敏感数据或特定应用的访问权限。
4. 客户端认证策略•VPN客户端认证:要求使用VPN连接的客户端进行身份验证,确保只有经过认证的客户端可以建立安全连接。
•SSL/TLS客户端认证:通过SSL或TLS协议对客户端进行验证,确保通信双方的身份和数据的安全性。
•预共享密钥认证:使用预先共享的密钥对客户端进行身份验证,确保连接的可信度和安全性。
结论AF防火墙认证策略通过有效的用户、设备和访问控制,提供了一种可靠的方式来保护计算机网络的安全。
根据实际需求,可以灵活配置和调整不同类型的认证策略,以适应不同的网络环境和安全要求。
深信服应用防火墙参数
支持多个内部地址映射到同一个公网地址、多个内部地址映射到多个公网地址、内部地址到公网地址一一映射、源地址和目的地址同时转换、外部网络主机访问内部服务器、支持DNS映射功能
可配置支持地址转换的有效时间
支持多种NAT ALG,包括DNS、FTP、H.323、SIP等
IPSecVPN功能
支持AES、DES、3DES、MD5、SHA1、DH、RC4等算法,并且支持扩展国密办SCB2等其他加密算法支持MD5及SHA-1验证算法
病毒库数量
支持10万条以上的病毒库,并且可以自动或者手动升级
流控
应用特征识别库
*支持对1000种以上应用2000种以上的应用动作(需提供截图证明)
应用流控
*支持基于应用类型划分与带宽分配
网站流控
*支持基于网站类型的划分与带宽分配
文件流控
支持基于文件类型划分与分配带宽
WEB安全防护
URL过滤
*对用户web行为进行过滤,保护用户免受攻击;支持只过滤HTTP GET、HTTP POST、HTTPS等应用行为;并进行阻断和记录日志
文件类型过滤
*支持针对上传、下载等操作进行文件过滤;支持自定义文件类型进行过滤;支持基于时间表的策略制定;支持的处理动作包括:阻断和记录日志
ActiveX过滤
*支持基于签名证书的ActiveX过滤;支持添加白名单和合法网站列表;支持基于应用类型的ActiveX过滤,如视频、在线杀毒、娱乐等;
脚本过滤
抗攻击特性
支持防御Land、Smurf、Fraggle、WinNuke、Ping of Death、Tear Drop、IP Spoofing、SYN Flood、ICMP Flood、UDP Flood、DNS Query Flood、ARP欺骗攻击防范、ARP主动反向查询、TCP报文标志位不合法攻击防范、支持IP SYN速度限制、超大ICMP报文攻击防范、地址/端口扫描的防范、DoS/DDoS攻击防范、ICMP重定向或不可达报文控制等功能,此外还支持静态和动态黑名单功能、MAC和IP绑定功能
深信服应用防火墙参数
支持10万条以上的病毒库,并且可以自动或者手动升级
流控
应用以上的应用动作(需提供截图证明)
应用流控
*支持基于应用类型划分与带宽分配
网站流控
*支持基于网站类型的划分与带宽分配
文件流控
支持基于文件类型划分与分配带宽
WEB安全防护
URL过滤
*对用户web行为进行过滤,保护用户免受攻击;支持只过滤HTTP GET、HTTP POST、HTTPS等应用行为;并进行阻断和记录日志
抗攻击特性
支持防御Land、Smurf、Fraggle、WinNuke、Ping of Death、Tear Drop、IP Spoofing、SYN Flood、ICMP Flood、UDP Flood、DNS Query Flood、ARP欺骗攻击防范、ARP主动反向查询、TCP报文标志位不合法攻击防范、支持IP SYN速度限制、超大ICMP报文攻击防范、地址/端口扫描的防范、DoS/DDoS攻击防范、ICMP重定向或不可达报文控制等功能,此外还支持静态和动态黑名单功能、MAC和IP绑定功能
一、性能及配置要求
AF-1320-L对应NS-SecPath U200-A
项目
指标
具体功能要求
接口
电口
具备至少6个10/100/1000 Base-T 千兆电口
Bypass
*支持故障时Bypass功能(1路)
技术
规范
安装空间
标准1U机架尺寸
储存温度
-20℃~70℃
相对湿度
5~95%(无凝结状态)
性能
智能策略联动
*风险评估可以实现与FW、IPS、服务器防护模块的智能策略联动,自动生成策略(需提供截图证明)
SANGFOR_AF_产品简介
SANGFOR_AF_产品简介Gartner定义下⼀代防⽕墙源引⾃:Gartner《Defining the Next-Generation Firewall》⼀、防⽕墙必须演进防⽕墙必须演进,才能够更主动地阻⽌新威胁(例如僵⼫⽹络和定位攻击)。
随着攻击变得越来越复杂,企业必须更新⽹络防⽕墙和⼊侵防御能⼒来保护业务系统。
不断变化的业务流程、企业部署的技术,以及威胁,正推动对⽹络安全性的新需求。
不断增长的带宽需求和新应⽤架构(如Web2.0),正在改变协议的使⽤⽅式和数据的传输⽅式。
安全威胁将焦点集中在诱使⽤户安装可逃避安全设备及软件检测的有针对性的恶意执⾏程序上。
在这种环境中,简单地强制要求在标准端⼝上使⽤合适的协议和阻⽌对未打补丁的服务器的探测,不再有⾜够的价值。
为了应对这些挑战,防⽕墙必须演进为被著名市场研究公司Gartner称之为“下⼀代防⽕墙(NextGenerationFirewall,简称NGFW)”的产品。
如果防⽕墙⼚商不进⾏这些改变的话,企业将要求通过降价来降低防⽕墙的成本并寻求其他安全解决⽅案来应对新的威胁环境。
⼆、什么是NGFW?Gartner将⽹络防⽕墙定义为在不同信任级别的⽹络之间实时执⾏⽹络安全政策的联机控制。
Gartner使⽤“下⼀代防⽕墙”这个术语来说明防⽕墙在应对业务流程使⽤IT的⽅式和威胁试图⼊侵业务系统的⽅式发⽣变化时应采取的必要的演进。
NGFW⾄少具有以下属性:1.⽀持联机“bump-in-the-wire”配置,不中断⽹络运⾏。
2.发挥⽹络传输流检查和⽹络安全政策执⾏平台的作⽤,⾄少具有以下特性:(1)标准的第⼀代防⽕墙能⼒:包过滤、⽹络地址转换(NAT)、状态性协议检测、VPN等等。
(2)集成的⽽⾮仅仅共处⼀个位置的⽹络⼊侵检测:⽀持⾯向安全漏洞的特征码和⾯向威胁的特征码。
IPS与防⽕墙的互动效果应当⼤于这两部分效果的总和。
例如提供防⽕墙规则来阻⽌某个地址不断向IPS加载恶意传输流。
AF防火墙参数全系列型
国内下一代防火墙第一品牌
深信服下一代防火墙(Next-GenerationApplicationFirewall)NGAF是面向应用层设计,能够精确识别用户、应用和内容,具备完整安全防护能力,能够全面替代传统防火墙,并具有强劲应用层处理能力的全新网络安全设备。
NGAF解决了传统安全设备在应用识别、访问控制、内容安全防护等方面的不足,同时开启所有功能后性能不会大幅下降。
区别于传统的网络层防火墙,NGAF具备L2-L7层的协议的理解能力。
不仅能够实现网络层访问控制的功能,且能够对应用进行识别、控制、防护,解决了传统防火墙应用层控制和防护能力不足的问题。
区别于传统DPI技术的入侵防御系统,深信服NGAF具备深入应用内容的威胁分析能力,具备双向的内容检测能力为用户提供完整的应用层安全防护功能。
同样都能防护web攻击,与web应用防火墙关注web应用程序安全的设计理念不同,深信服下一代防火墙NGAF关注web系统在对外发布的过程中各个层面的安全问题,为对外发布系统打造坚实的防御体系。
性能参数
功能列表。
深信服下一代防火墙AF招标参数
支持对HTTP,FTP,SMTP,POP3协议进行病毒文件检测;
病毒库具备的内置病毒特征数量超过1000万;
支持对常见压缩文件格式的检测,如zip,rar,7z等;
支持杀毒文件类型自定义;
支持杀毒白名单功能,可以根据URL或者IP进行排除不检测病毒;
检测到病毒后的操作支持阻断,记录杀毒日志;
网页篡改防护
支持网关型网页防篡改,无需在服务器中安装任何插件;
动态网页/静态网页支持,全面保护网站的静态网页和动态网页,支持网页的自动发布、篡改检测、应用保护、警告和自动恢复,保证传输、鉴别、地址访问、表单提交、审计等各个环节的安全,完全实时杜绝篡改后的网页被访问的可能性及任何使用Web方式对后台数据库的篡改;
支持IPv4/v6 NAT地址转换,支持源目的地址转换,目的地址转换和双向地址转换,支持针对源IP或者目的IP进行连接数控制;
支持基于应用类型的策略路由应用引流;支持多线路链路负载;支持基于应用类型,网站类型,文件类型进行带宽分配和流控;
支持URL过滤和文件过滤功能,URL过滤支持GET,POST请求过滤和HTTPS网站过滤,文件过滤支持文件上传和下载过滤;
★支持对常见Web建站内容管理系统的防护,所支持的CMS类型数量不少20种,如dedecms,phpcms,phpwind,Empirecms,discuz,wordpress,joomla等;(需提供截图证明并加盖厂商公章)
★提供针对关键URL或者其他非Web关键服务的短信强认证机制;(要求提供三种以上服务的短信认证配置截图)
支持区分针对客户端和服务端的漏洞保护;
★支持针对服务器的漏洞风险评估功能,支持对ftp、mysql、oracle、mssql、ssh、RDP、NetBIOS、VNC等应用的弱密码扫描,扫描完成后生成安全风险评估报告;(为了保障与防火墙之间智能联动,要求漏洞风险评估非第三方软件产品)
AF防火墙参数:全系列型号
国内下一代防火墙第一品牌
深信服下一代防火墙(Next-Generation Application Firewall)NGAF是面向应用层设计,能够精确识别用户、应用和内容,具备完整安全防护能力,能够全面替代传统防火墙,并具有强劲应用层处理能力的全新网络安全设备。
NGAF 解决了传统安全设备在应用识别、访问控制、内容安全防护等方面的不足,同时开启所有功能后性能不会大幅下降。
区别于传统的网络层防火墙,NGAF具备L2-L7层的协议的理解能力。
不仅能够实现网络层访问控制的功能,且能够对应用进行识别、控制、防护,解决了传统防火墙应用层控制和防护能力不足的问题。
区别于传统DPI技术的入侵防御系统,深信服NGAF具备深入应用内容的威胁分析能力,具备双向的内容检测能力为用户提供完整的应用层安全防护功能。
同样都能防护web攻击,与web应用防火墙关注web应用程序安全的设计理念不同,深信服下一代防火墙NGAF 关注web系统在对外发布的过程中各个层面的安全问题,为对外发布系统打造坚实的防御体系。
华三产品命名规则整理
H3C商业产品命名规则汇总一、交换机命名规则:第一位数字:9:最高端、机箱式7:高端、机箱式5:全千兆3:千兆上行+百兆下行第二位数字:5:三层交换机6:三层交换机9:三层交换机1:二层交换机第三、四位数字:高端交换机:业务槽位数第五、六位数字:中低端交换机:可用端口数后缀的含义:T:1000BASE-TC:模块式P:SFP(Small Form Pluggable)TP:光电复用F:全光口R:冗余(SOHO级别产品中后缀R代表机架式交换机)M:支持MCE功能HI:旗舰型EI:增强型SI:标准型PWR:远程供电DC:直流供电AC:交流供电V:VLAN划分(SOHO产品)E:增强型(SOHO产品),E前缀表示教育网专供交换机H:增强型(SOHO)+:升级版本二、H3C MSR 系列产品命名规则A.1.1 H3C MSR系列模块化路由器产品命名格式中低端多业务接入路由器为MSR,含义Multi-Service Router表示路由器大类,目前编码数字分配如下:中端多业务模块化接入路由器系列分为:MSR 20系列模块化多业务路由器;MSR 30系列模块化多业务路由器;MSR 32系列模块化多业务路由器;MSR 50系列模块化多业务路由器。
e、A3A4 :表示路由器系列中的具体产品基本型号,在模块化路由器中,各系列的产品含义不同:在MSR系列产品中表示:A3:表示路由器插卡的数量(SIC、MIM或者FIC)20系列表示SIC卡的数量;30、32系列表示MIM卡的数量;50系列表示FIC卡的数量;A4:无特定含义,在不同的产品型号中定义不同,这里没有统一规定。
其中对于MSR 20系列而言,遵循下列规则:A4为下行LAN口的数量:0-0 FE/GE1-8 FE/GE2-16 FE/GE3-24 FE/GE4-32 FE/GEf、 [B1][B2][B3] 和[- A5A6] :暂不定义三、ER系列产品命名规则:第一位为字母:E代表增强型Enterprise第二位为字母:R代表路由器Router第三位为数字:5代表千兆,3代表百兆第四位为数字:1代表当WAN口,2代表双WAN口第五第六位位数字:无特定意义四、无线产品命名规则:五、安全产品命名规则:SecPath防火墙:F100-C F代表Firewall防火墙,100代表百兆,C代表Common(普通)F100-S F代表Firewall防火墙,100代表百兆,S代表Standard(标准) F100-M F代表Firewall防火墙,100代表百兆,M代表Medium(中间)F100-A F代表Firewall防火墙,100代表百兆,A代表Advanced(高级) F100-A-SI F代表Firewall防火墙,100代表百兆,A代表Advanced(高级),SI代表标准型F100-E F代表Firewall防火墙,100代表百兆,E代表Enhanced(增强) F1000-C F代表Firewall防火墙,1000代表千兆,C代表Common(普通) F1000-S F代表Firewall防火墙,1000代表千兆,S代表Standard(标准) F1000-A F代表Firewall防火墙,1000代表千兆,A代表Advanced(高级) F1000-E F代表Firewall防火墙,1000代表千兆,E代表Enhanced(增强) V100-S V代表VPN,100代表百兆,S代表Standard(标准)V100-E V代表VPN,100代表百兆,E代表Enhanced(增强)V1000-A V代表VPN,1000代表千兆,A代表Advanced(高级)H3C IPS:H3C IPS 200 “200”代表200M吞吐量H3C IPS 200E “200”代表200M吞吐量,E代表Enhanced(增强型)依此类推SecCenter A1000: Security Center Analyzer(安全中心分析器),1000则代表产品的性能定位,以后细分市场再有同系列的新产品出现,向下可以有800、400、200、100,向上可以有2000、4000、8000、10000等。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
A F防火墙参数全系列
型
集团企业公司编码:(LL3698-KKI1269-TM2483-LUI12689-ITT289-
国内下一代防火墙第一品牌
深信服下一代防火墙(Next-GenerationApplicationFirewall)NGAF是面向应用层设计,能够精确识别用户、应用和内容,具备完整安全防护能力,能够全面替代传统防火墙,并具有强劲应用层处理能力的全新网络安全设备。
NGAF解决了传统安全设备在应用识别、访问控制、内容安全防护等方面的不足,同时开启所有功能后性能不会大幅下降。
区别于传统的网络层防火墙,NGAF具备L2-L7层的协议的理解能力。
不仅能够实现网络层访问控制的功能,且能够对应用进行识别、控制、防护,解决了传统防火墙应用层控制和防护能力不足的问题。
区别于传统DPI技术的入侵防御系统,深信服NGAF具备深入应用内容的威胁分析能力,具备双向的内容检测能力为用户提供完整的应用层安全防护功能。
同样都能防护web攻击,与web应用防火墙关注web应用程序安全的设计理念不同,深信服下一代防火墙NGAF关注web系统在对外发布的过程中各个层面的安全问题,为对外发布系统打造坚实的防御体系。
性能参数
功能列表。