联想网御产品

来源：宝玛科技网

网络安全防护产品

网御防火墙分为PowerV万兆高端系列、Power V中端系列和低端系列，共计80余款，可为各种规模的企业和机构网络系统提供相适应的产品。网御防火墙已在税务、、、、能源、交通、电信、金融、制造等各行业中部署40000台以上。自2001年以来网御防火墙市场占有率始终名列前茅。2014年，网御防火墙采用创新的多核平台，结合VSP、USE、MRP等核心安全技术，推出了吞吐量高达80G的电信级高端防火墙产品。同时，网御坚持持续的技术创新，研发出新一代防火墙产品——集防火墙、IPSec VPN、SSL VPN、入侵检测与防护系统、虚拟防火墙、漏洞扫描、主动防御、绿色上网、VRRP、集中管理等多功能综合防火墙

防火墙产品优势

智能的VSP通用安全平台

网御防火墙采用创新的VSP（Versatile Security Platform）通用安全平台，将实时操作系统、网络处理、安全应用等技术完美地结合在一起，使防火墙产品具备了高智能、高性能、高安全性、高健壮性、高扩展性等特点。

高效的USE统一安全引擎

网御防火墙采用自主创新设计的USE（Uniform Security Engine）统一安全引擎。它将状态检测、协议检测、深度过滤、应用过滤、用户认证等多个子系统进行综合集成，去除了冗余操作，简化了数据处理流程，提高了防火墙的系统处理性能，实现了功能上的可扩展性。同时也实现了多种安全功能安全策略的统一配置，可以方便用户构建可管理的等级化安全体系，从而实现面向业务的安全保障。

高可靠的MRP多重冗余协议

网御防火墙通过在物理层、链路层、网络层以及主机层面提供多元化冗余方案，保障用户网络和应用的高可靠性。包括基于多出口负载均衡的链路备份、基于802.3ad标准的端口聚合、基于状态自动探测的双机热备、基于状态增量同步的多机集群。

基于应用的内容识别控制

网御防火墙拥有目前最完善的应用识别特征库，通过智能分析技术，将P2P、IM、炒股软件和在线游戏等协议的应用行为、加密方式、处理动作等特征整理成库。防火墙通过应用智能识别技术进行细粒度内容识别控制。同时，网御防火墙支持精细的WEB分类库过滤功能，包括50多种完善的网站类别，分别涉及色情、暴力、、毒品、犯罪、病毒、体育、财经、娱乐等分类。因而实现了绿色上网整体安全方案。

可信架构主动云防御技术

网御防火墙通过与已部署的防病毒网关、IPS、UTM等设备联合抓取病毒源、攻击检测源和挂马网站URL等特征，汇集至云防御服务器定时收纳合并，云防御服务器动态更新病毒库、攻击特征库、挂马库等并同步

到所有网御安全网关设备中，使其他设备具有防病毒、IPS、防挂马等功能，同时使其具备更高的处理性能，共同形成整体可信架构云防御体系。

产品特性与功能

功能类别操作系统引导选项容灾备份配置恢复详细描述支持多系统引导，并可配置启动顺序支持系统分区备份，支持将系统A克隆至系统B 支持多个系统配置文件，可导入导出恢复配置基于源/目的IP地址、MAC地址、域名、端口或协议、服务、网口、时间、用户的访问控制基于源/目的IP地址、端口、服务、网口、时间、应用等安全策略的带宽控制可基于时间和安全域进行安全隔离，同一时间内网主机只能访问DMZ区或者只能访问实现基于策略的HTTP、FTP、TELNET、SMTP、POP3等透明代理和深度过滤实现IP/MAC地址绑定，且支持IP/MAC地址对的自动探测和唯一性检查支持基于客户端的本地认证、无客户端软件的WEB认证支持RADIUS、TACACS/TACACS+、LDAP、域认证等安全认证方式支持认证保活功能可将一台物理设备，划分为多个虚拟防火墙系统采用独享和共享网口模式，最大化复用防火墙资源可拥有的系统资源、管理员、安全策略、用户认证数据库等后门、服务探测、文件共享、系统补丁、IE漏洞等主动式扫描实时监控Web目录的变化情况，包括文件或文件夹的创建，修改，删除根据特征扫描能查出99%以上的脚本后门识别和控制迅雷、BT、eDonkey、eMule等常见P2P下载软件状态检测访问控制透明代理 IP/MAC绑定 AAA认证服务划分虚拟系统虚拟防火墙网口独享与共享式资源漏洞扫描内网主机漏洞扫描 Web监控与防篡改主动防御脚本后门扫描绿色上网 P2P下载控制 P2P视频播放控制识别和控制PPLive、QQLive、PPStream、迅雷看看等常见P2P视频播放软件识别和控制QQ、MSN等常用IM软件，一键式阻断IM机密文件传输识别和控制魔兽、Counter Strike、征途、联众、浩方、泡泡堂等多种在线游戏软件 IM即时通讯软件制在线游戏控制炒股软件控制识别和控制大智慧、同花顺、国泰君安、证券之星、广发证券、指南针、通达信等多种炒股软件支持基于分类库的URL访问控制，可以对色情、反动等多种负面网站按类别进行选择控制 WEB分类过滤支持50多种分类库，1000万级网址智能特征库支持URL特征库，支持增量升级管理支持透明、路由、混合三种工作模式支持DHCP Client、DHCP Relay、DHCP Server 接入模式支持PPPoE接入，提供多条ADSL线路同时拨号接入，并具备自动断线重连技术支持多透明桥，支持端口联动支持静态路由，动态路由（OSPF、RIP等），VLAN间路由，单臂路由，组播路由等支持基于源/目的地址、接口、Metric、服务的策略路由支持多出口路由负载均衡支持ISP智能选路，内置多种ISP地址库，优化网络带宽 NAT VLAN 带宽管理支持双向NAT、动态地址转换和静态地址转换，并支持多对一、一对多和一对一等多种方式的地址转换支持802.1Q和ISL VLAN封装协议，支持两种封装的互换以及Vlan Trunk 基于IP地址、服务、网口、时间等定义带宽分配策略网络适应性路由支持最小保证带宽和最大带宽支持分层的带宽管理动态协议在各种工作模式下均支持H.323（H.323 GK）、SIP、FTP、MMS、RTSP、UPnP、XDMCP、TNS等多种动态协议支持标准IPSec协议，能够与CISCO、NETSCREEN等知名厂商的VPN设备互联互通支持预共享密钥、证书等认证方式且支持X扩展认证支持3DES、DES、AES等加密算法支持AH和ESP封装模式以及MD5、SHA1、SHA2等通用摘要算法支持DH1024、DH2048、RSA1024、RSA2048等非对称加密算法支持多出口VPN，且支持NAT穿越支持隧道接力，并可通过隧道接力实现分级的树状VPN结构部署支持VPN隧道热备份功能，保持隧道连接的可靠性 GRE/PPTP/L2TP VPN 支持GRE、PPTP 、L2TP等VPN连接支持压缩，缓存、协议优化等应用加速技术，提高访问速度支持用户终端安全检查，及基于检测结果的访问控制支持用户账号与终端特征绑定。 SSL VPN 支持动态分配虚拟IP，支持虚拟IP与口令用户或证书用户进行绑定。 C/S应用支持，支持TCP/IP协议的应用，包括：http，Email，Ftp，Notes，Outlook，Oracle， SQL等应用；支持基于USBKey的证书认证，实现对远程接入用户的身份鉴别，并可根据用户类型和分组进行授权 VPN客户端可与所有支持标准IPSec 协议的VPN网关互联互通支持基于USB Key的证书认证方式 IPSec VPN VRC客户端 IPSec VPN客户端支持Microsoft Windows 2000/XP、Vista、Win7等操作系统入侵检测集成基于统一安全引擎（USE）的IDS模块，具备1600种以上攻击特征库规则遵循关联安全标准(CSC)实现与IDS的联动支持基于摘要索引的内容加速算法（DCA算法）的蠕虫病毒过滤采用基于TCP连接数管理的侦测技术，对感染蠕蠕虫防护虫病毒的异常主机进行定位实现对blaster，nachi，nimda，codered，sasser，slapper，sqlexp，zotob等主流蠕虫病毒的识别、过滤和拦截可识别和防御syn flood、Ping flood、udp flood、teardrop、sweep、land-base、ping of death、抗DDoS/DoS攻击 smurf、winnuke、CC攻击、圣诞树、碎片等多种攻击支持对网页关键字和Java、JavaScript、ActiveX网页过滤进行过滤邮件过滤支持对邮件地址、主题、正文、附件名、附件内容等进行关键字匹配过滤支持对中转垃圾邮件进行识别和过滤 FTP过滤支持对FTP上传和下载文件的控制支持关联安全标准(CSC) 关联安全应用关联安全可实现与IDS等设备的联动可实现与内网安全管理系统(ISM)的联动支持友好的Web图形界面配置支持快速配置向导，增强系统配置易用性支持远程SSH和串口命令行配置系统管理管理配置支持数字证书和电子钥匙两种管理员认证方式，支持管理员权限分级支持SNMP管理，与当前通用的网络管理平台兼容可导出可读的配置文件并进行打印存档可进行配置文件的备份、下载、恢复和上传系统监控日志报警支持对CPU、内存、磁盘、网口、用户在线状态、连接数、路由表等信息的监控支持设备内存储和专用事件分析服务器两种日志管理方式入侵检测与防御内容过滤日志采用中文方式，可读性强，并采用颜色区分日志级别可支持日志回滚操作，保存或覆盖最初日志信息支持分级报警，支持SNMP Trap和邮件等报警方式可通过专用的集中管理系统实现对防火墙的集中设备监控、集中日志审计、安全报警以及防火墙、VPN部分策略的分发等功能可通过专用的集中管理系统，实现对网络拓扑的管理，基于域的权限分配和报表自动生成，以及设备的历史状况回放可提供专用的软件实现对防火墙接入用户认证的集中管理，至少可同时管理2048台防火墙支持多重冗余协议(MRP)，实现链路备份、端口备份、热备份、集群备份等支持服务器负载均衡，支持轮询、加权轮叫、源地址HASH、目的地址HASH、最少连接、加权最少链接等多种调度算法负载均衡支持防火墙多WAN口备份和负载均衡支持基于802.3ad标准的多端口聚合，实现零成本扩展带宽通过状态同步技术实现2～32台防火墙的多机集群在NAT、路由、透明模式下支持A-A，A-S模式，且切换时间小于1秒可在热备和集群工作模式下支持多台防火墙的配置自动同步支持多台设备的热备和负载均衡支持虚拟MAC技术，对客户端完全透明

集中管理高可用性双机热备 VRRP 协议

UTM多功能安全网关产品概述

网御UTM（Unified Threat Management）安全网关采用先进的多核多线程并行运算技术、USE统一安全引擎技术、柱面神经元技术和内容加速技术保证功能全开状态下的高吞吐量运行，通过高效的模版式配置管理、状态感控、无线接入和持续的安全服务，配合基于行为分析而优化的配置流程，构成一个先进的全业务融合安全架构。网御UTM集成了状态检测防火墙、VPN、网关防病毒、入侵防护（IPS）、上网行为管理、反垃圾邮件等安全防护功能，还全面支持策略管理、IM/P2P管理、负载均衡、高可用性（HA）和带宽管理等功能。可以阻挡未授权的访问、网络入侵、病毒、蠕虫、木马、间谍软件、钓鱼诈骗、垃圾邮件，以及其他类型的安全威胁。

产品优势

USE统一安全引擎

网御UTM安全网关从研发之初即采用了构建在专用硬件平台和VSP实时操作系统上的高度模块化的USE统一安全引擎。它将应用协议分析、异常行为管理、入侵防御等多个子系统集成于单一平台，构造统一架构，综合并优化各子系统，去除冗余，简化数据处理流程，实现统一的安全引擎处理机制。网御对USE统一引擎技术进行了模块间交互优化，基于此统一引擎构造出三个子引擎：UEE统一加密引擎、UCE统一控制引擎、UDE统一检测引擎，分别实现VPN、流量控制、访问控制和应用防护四大功能模块。

USE统一安全引擎示意图

多核多线程并行运算技术

网御UTM安全网关利用位高性能多核CPU的并行处理能力为应用层数据处理提供快速运算保障。通过流引擎和多核CPU调度算法，保证多核CPU的平均负载分担，使性能和容量可以随CPU核数的增加线性增长，最大限度开发多核CPU的执行效率，实现功能全开情况下设备的高吞吐量运行。

多核多线程并行运算示意图

模版式配置管理

UTM产品功能强大，而用户需求多种多样，为了帮助用户面对众多功能时能够迅速匹配自身需求、快速部署、降低维护工作量，网御对UTM安全网关内置数百项功能进行模版式配置管理，这体现在以下几个方面。

入侵防御功能的模版式配置管理

网御UTM安全网关把内置IPS设置按检测强度及类型归纳为4种标准模版，用户可通过Web界面随意切换，并可自定义专属模版。

病毒防御功能的模版式配置管理

与入侵防御功能的模版式管理类似，网御UTM安全网关内置的病毒防御功能按照检测类型归纳为3种标准

模版。此外，网御基于自有的防病毒引擎技术，在业界首创了两种防病毒引擎扫描强度模式：快速扫描模式和完全扫描模式，两种模式通过Web界面进行切换。

上网行为管理的模版式配置管理

网御UTM安全网关内置的上网行为管理功能可管理的应用种类繁多，为了避免用户进行大量重复劳动，网御把所有功能归纳为2大类共5种模版，用户可方便的选择使用。

系统整体防护的模版式配置管理

从系统整体防护强度出发，网御UTM安全网关定义了高、中、低三套防护模型，每套模型对应的防护强度控制涵盖入侵防御、防病毒、上网行为、协议控制等主要防护功能。用户除了可以在Web界面中迅速切换三套模型外，还可以利用状态感控功能通过外置按键一键切换。

产品特性与功能

功能类别操作系统工作模式 IPv6 功能描述支持多系统引导，并可配置启动顺序支持系统分区备份，支持将系统A克隆至系统B 支持多个系统配置文件，可导入导出恢复配置透明模式，路由模式，混合模式，支持多透明桥、端口聚合支持IPv6地址、地址组配置支持IPv6安全控制策略设置，能针对IPV6的目的/源地址、目的/源服务端口、服务、扩展头属性等条件进行安全访问规则的设置支持IPv6静态路由支持IPv6/IPv4翻译策略技术，包括支持静态NAT-PT、动态NAT-PT、NAPT-PT技术支持双栈、6to4隧道实现IPv6网络与IPv4网络访问支持近百种标准服务（如SIP、GRE、H323、OSPF），支持用户定义服务和服务组 ALG应用代理(SIP，H.323, TNS, RSTP，RAS等NAT穿越) 防火墙支持IP/MAC地址绑定可基于IP地址、协议、物理接口、时间、应用、用户等下达安全策略支持虚拟防火墙应用，提供基于角色的管理员控制，支持多工作模式的虚拟域可采用防火墙策略方式定义带宽，设置优先级，支持最大、最小、保障带宽支持静态路由，动态路由（OSPF、RIP、PIM-SM等），支持RIPing、OSPFv3,VLAN间路由，单臂路由，组播路由等支持多出口路由负载均衡支持802.11B,802.11G协议，支持设备作为WiFi热点（即AP），为客户机提供无线安全接入服务支持3G(CDMA2000)协议，支持用户通过3G提供上行网络接入 PPTP、IPSec和 SSL VPN 支持DES, 3DES, AES 256加密算法， SHA-1 / MD5 认证静态VPN，动态拨号VPN支持支持子网重叠，VPN通道保持，NAT穿越基于策略和路由的VPN，GRE支持，OSPF穿越支持支持动态分配虚拟IP，支持虚拟IP与口令用户或证书用户进行绑定。实时的基于网络的入侵检测和阻断系统具备3000种以上攻击特征库规则列表，并可自定义特征库当检测到攻击时，可同时向多个邮件地址自动发出报警网络适应性 VPN 入侵防护支持抗DDOS/DOS攻击，可积极防御syn flood、Ping flood、up flood、teardrop、sweep、land-base、ping of death、smurf、winnuke、圣诞树、碎片等DDoS攻击支持根据不同的源IPv4/IPv6地址、目的IPv4/IPv6地址、服务、时间、接口、用户等，采用不同的入侵防护策略能够100%检测，消除感染现有网络的病毒和蠕虫，实时的扫描输入和输出邮件及其附件（支持HTTP、FTP、POP3、SMTP、IMAP、IM、NNTP）协议防病毒支持根据不同的源IPv4/IPv6地址、目的IPv4/IPv6地址、服务、时间、接口、用户等，采用不同的病毒防御策略 FTP使用断点续传工具传输时，支持病毒检查处理所有的网页内容，阻挡不适当的内容和恶意脚本支持URL域名、关键词模式匹配，支持黑白名单列表，支持双向内容扫描支持免屏蔽列表、脚本过滤、阻止网页的插件（如ActiveX，Java Applets和Cookies）支持基于源/目的IP地址、IP地址段、端口、服务、网口、时间、应用等安全策略的Web内容过滤流量控制与优化带宽管理基于主机的带宽管理，支持仅通过一条策略即可实现对指定的IP地址组里每IP用户进行上下行限速，也可以只对单个IP进行上下行限速支持基于源/目的IP地址、IP地址段、端口、服务、网口、时间、应用等安全策略的带宽管理支持IPv4和IPv6双栈协议下的上网行为管理识别和控制常见文档类型的传输识别和控制常见搜索引擎的搜索关键字，支持用户自定义搜索关键字上网行为管理支持协议命令进行识别和控制，支持针对关键字、附件文件名、恶意JavaScript代码等信息进行细粒度控制。支持基于IPv4/IPv6地址、协议、时间、用户等多种管控条件，支持基于以上条件的访问控制和带宽支持挂马网站过滤，支持通过对访问目标URL过滤的方式，阻止对含木马/病毒网站、钓鱼网站、僵尸网络的访问支持黑白名单、反向DNS技术，关键词/词语过滤，邮件地址，MIME 支持反垃圾邮件，支持实时黑名单RBL，在线查询垃圾邮件服务器，阻断垃圾邮件源后门、服务探测、文件共享、系统补丁、IE漏洞等主动式扫描通过对访问目标URL过滤的方式，阻止对含木马网/病毒网站、钓鱼网站、僵尸网络的访问，内置恶意URL地址库支持LDAP、Radius 、TACACS/TACACS+、WindowsAD、PKI证书等认证支持CSC安全关联协议，可实现与内网安全管理系统之间的联动可通过LeadSec安全管理系统，实现安全审计、日志分析、安全报警等功能支持Web图形界面、SSH和串口命令行等管理方式，支持使用前面板按键和主机液晶屏进行快速设置支持多管理员分级管理，支持特征库级联式升级支持基于WEB界面的CLI命令行功能支持对CPU、内存、磁盘、网口、用户在线状态、连接数、路由表等信息的监控反垃圾邮件漏洞扫描主动防御认证方式关联安全应用安全管理日志可对流量、攻击事件、垃圾邮件、Web过滤、FTP/HTTP/Email内容，进行日志审计可根据关键字、源/目的地址、日期和时间进行搜索日志支持日志中文化，可显示配置命令日志的操作人支持Active- Active，Active-Passive模式的HA，支持HA接口备份支持多WAN口备份和负载均衡支持多端口聚合，实现零成本扩展带宽，支持备份接口支持双机热备，且切换时间小于1秒钟支持2～32台UTM的多机集群的负载均衡支持虚拟网关功能高可用性

典型应用

典型部署

网络访问控制兼顾病毒防御解决方案

网御UTM安全网关可以部署在Internet和内部网络之间，执行网络访问控制功能，防止外部用户对内网核心资源的非法访问，同时，也可以阻挡来自Internet的病毒、蠕虫、木马、间谍软件、恶意软件。网御UTM安全网关的病毒过滤针对标准协议，与应用无关。无论用户使用何种Email服务器和客户端，只要使用的是标准的SMTP、POP3协议，网御UTM安全网关都可以对电子邮件中的病毒进行过滤，防止病毒通过邮件传播。网御UTM安全网关还支持HTTP协议和FTP协议，对于Web浏览、下载、Web邮件及FTP文件传输过程中携带的病毒均可进行拦截。

网络访问控制兼顾病毒防御解决方案示意图

入侵防御解决方案

将网御UTM安全网关部属于防火墙之前，主要目的是防御来自于针对防火墙和内网的攻击。防火墙往往是攻击的对象重点，一旦防火墙遭到攻击后，将会有很大的机会造成网络中断。且防火墙仅具有四层封包解析的功能，对于利用七层的黑客攻击手法或是利用合法掩护非法的网络行为便无法有效管控。通过IPS的保护，除了对于来自针对内网或防火墙的暴力攻击能够有效阻挡之外，对于所有进出的封包均进行详细的七层分析，黑客利用合法方式进行非法存取的攻击将无所遁形。

网络入侵防御解决方案示意图

上网行为管理解决方案

企业单位在进行网路安全防护的时候往往只重视来自于的安全威胁，却忽略了内网的安全防护。据统计目前企业所面临的安全威胁有 40% 来自于内网，包含了带宽的滥用，无意义的上网行为，机密信息外泄以及恶意软件的使用等等。

在内网行为管理解决方案的网络拓扑中将网御UTM安全网关部属于路由器与内网之间，主要目的是防御来自于内网的攻击，同时可针对于内网对于的存取应用进行管理。通过使用网御UTM安全网关，可辨识多种类别如 IM / VoIP / P2P / FTP 等已知的网路应用软件。除了开放与禁止的网络行为管理之外还可针对不同的应用予以不同的带宽使用以及传输总量，可让企业网路实施弹性管理，也不会因为防止网路攻击而影响到正常的网路访问，让企业的网路带宽投资得到最高的回报。

上网行为管理解决方案示意图

中小型企业及分支机构解决方案

中小型企业及分支机构由于所处的地理位置、成本，往往不能使用专线接入的方式，网御UTM安全网关除了支持常见的通过路由器接入方式外，还为中小型企业专门设置了3G上行网络接入功能和ADSL拨号接入功能，为用户提供了多种选择。通过打开3G网络接入功能，用户可接入中国电信天翼CDMA2000网络。在下行网络接入方面，中小型企业出于节省成本和移动办公的需要，经常采用无线路由器的方式提供无线或无线/有线混合的内网接入服务，而不使用安全设备，即便有使用安全设备的愿望，也因为通过路由器后安全设备不能识别到主机信息而放弃。因此，网御UTM安全网关集成了无线路由功能，打开此功能后，可提供相当于无线路由器的接入能力，同时可识别到无线接入的主机信息，实现无盲区的全网防护。

中小型企业及分支机构解决方案示意图

IPSec VPN网关系列产品概述

网御IPSec VPN系统

产品概述

IPSec VPN网关产品（以下简称为“VPN”）可为各种规模的企业和机构提供相应的网络数据加解密服务。VPN系列产品是集传输数据加密、SSL VPN、防火墙、防蠕虫病毒、上网行为管理及流量整形等众多功能于一身的多功能安全保密网关。

目前，网御VPN产品已在税务、、、能源、交通、电信、金融、制造等行业中广泛部署，并受到用户和业内人士的一致好评。

产品优势

产品特点

全面支持IPSec协议标准

IPSec作为一个全球性的VPN安全标准，IETF组织建议所有的IPSec实现都应严格遵循其各种协议规范，以便实现不同产品之间安全保密的互联互通。网御VPN产品严格遵循IPSec协议。经过严格的互通性测试，网御产品与CISCO、Juniper等著名厂家的IPSec VPN 产品可以实现互联互通。

独创的树状组网方式

网御独创的基于路由的隧道技术，可以组建树形拓扑网络，通过多级管理中心，大大减少隧道总数，降低设备负载，减小管理难度，不但提升了网络架构的弹性部署能力和可靠性，而且符合等机构的多级管理模式，特别适合等部门使用。

优化集成的SSL VPN功能

网御VPN网关集成了SSL VPN功能，远程接入用户无需使用客户端即可进行安全访问。网御VPN网关上集成的SSL VPN不仅可以对数据进行加密，还可以采用数字证书、用户名/口令等方式对远程接入用户进行身份鉴别，并可进一步根据用户的类别可访问的应用类型和时间。

智能可信的VSP通用安全平台

网御VPN产品采用创新的VSP（Versatile Security Platform）通用安全平台。通过VSP完善的体系结构设计，将实时操作系统、网络处理、安全应用等技术完美地结合在一起，使VPN产品具备了高智能、高性能、高安全性、高健壮性、高扩展性等特点。

高可靠的MRP多重冗余协议

网御VPN产品通过在物理层、链路层、网络层以及主机层面提供多元化冗余方案，保障用户网络和应用的高可靠性。包括基于多出口负载均衡的链路备份、基于802.3ad标准的端口聚合、基于状态自动探测的双机热备、基于状态增量同步的多机集群。

产品特性与功能

IPSec VPN网关

功能类别操作系统虚拟VPN系统组网方式 VPN隧道热备份功能描述基于VSP通用安全平台，具备高效、智能、安全、健壮、易扩展等特点支持多操作系统，互为克隆，并有的备份分区，保证容灾备份可划分多个逻辑虚拟VPN系统，每个虚拟系统都提供的策略管理（包括NAT、包过滤、以及访问控制策略）。支持树状组网、星形组网（hub－spokes）、自由互联型组网等组网接入方式多出口隧道备份，适合多出口VPN方式，备份隧互联互通移动终端认证方式加密算法 IPSec VPN 网络支持 VPN应用权限管理 PKI体系隧道保障 GRE/PPTP/L2TP 多种协议协议兼容零客户端门户定制 SSL VPN 授权认证智能选路道自动探测切换支持标准IPSec协议，能够与CISCO、NETSCREEN等知名厂商VPN设备互联互通支持与主流的移动终端建立IPSec隧道支持预共享密钥、证书等认证方式且支持X-Auth扩展认证支持在线证书认证及证书的在线更新支持多因子认证方式支持主模式、野蛮模式认证方式支持AH和ESP封装模式支持3DES、DES、AES等加密算法支持AH和ESP封装模式以及MD5、SHA1、SHA2等通用摘要算法支持DH1024、DH2048、RSA1024、RSA2048等非对称加密算法支持多出口VPN，且支持NAT穿越支持最新的NAT穿越（NATT）协议支持双动态IP地址间建立VPN隧道支持SIP、H323等动态端口协议支持IPSec over GRE和GRE over IPSec 支持视频会议、视频点播等应用数据在隧道中的传输支持DPD隧道状态探测功能支持用户角色定义与权限控制支持普通用户与IPSec用户的统一认证与管理支持按用户和角色分配资源支持X.509 V3标准格式的数字证书支持链路和VPN隧道的自动恢复支持隧道的实时监控支持VPN动态带宽管理功能支持隧道接力，并可通过隧道接力实现分级的树状VPN结构部署支持隧道组特性，可在通信中动态切换隧道支持GRE、PPTP 、L2TP等VPN连接支持SSL VPN和IPSec VPN同时使用支持SSL VPN，实现无客户端的远程接入方式可定制个性化的登录页面，可以上传单个文件或者zip包上传多个文件完成定制支持基于USBKey的证书认证，实现对远程接入用户的身份鉴别，并可根据用户类型和分组进行授权支持智能选路功能，动态维护运营商地址库支持用户特征码验证，绑定客户端用户，提高安特征码绑定全性隧道保活支持自动重连技术，保障隧道稳定能提供快捷方便的证书链、定制软件、定制驱动软件下载下载链接识别和控制迅雷、BT、eDonkey、eMule等常见P2P下载控制 P2P下载软件 P2P视频播放识别和控制PPLive、QQLive、PPStream、迅雷看控制看等常见P2P视频播放软件 IM通讯软件识别和控制QQ、MSN等常用IM软件，一键式阻控制断IM机密文件传输绿色上网在线游戏控识别和控制魔兽、Counter Strike、征途、联众、制浩方、泡泡堂等多种在线游戏软件炒股软件控识别和控制大智慧、同花顺、国泰君安、证券之制星、广发证券、指南针、通达信等多种炒股软件支持基于分类库的URL访问控制，可以对色情、反动等多种负面网站按类别进行选择控制 WEB分类过滤支持50多种分类库，1000万级网址智能特征库支持使用Radius等第三方认证、本地认证和无用户认证客户端的Web认证访问控制实现基于动态域名、IP地址、服务端口、IP协状态检测议、用户、时间、IP/MAC地址对等安全策略的状态包过滤支持友好的Web图形界面配置支持VPN快速配置向导，增强系统配置易用性系统管理支持SSH和串口命令行配置支持数字证书和电子钥匙两种管理员认证方式支持管理员权限分级安全管理支持对CPU、内存、磁盘、网口、用户在线状态、系统监控连接数、路由表等信息的监控日志采用中文方式，可读性强，并采用颜色区分日志级别系统日志可支持日志回滚操作，保存或覆盖最初日志信息；可通过专用的集中管理系统实现对防火墙的集中设备监控、集中日志审计、安全报警以及VPN安全网关部分策略的分发等功能集中管理系通过专用的证书生成器实现对证书的统一签发集中管理统实现对VPN隧道的全局监控，包含VPN隧道状态、地址信息、隧道内累计流量等信息实现对IKE策略以及IPSec策略的配置向导，简化对VPN隧道的配置 VPN高可用性负载均衡支持多重冗余协议(MRP)，实现链路备份、端口网络适应性备份、热备份、集群备份等支持VPN安全网关多WAN口备份和负载均衡支持基于802.3ad标准的多端口聚合，实现零成本扩展带宽在NAT、路由、透明模式下支持A-A,A-S模式，双机热备且切换时间小于1秒通过状态同步技术实现2～32台VPN安全网关的多机集群接入模式支持透明、路由、混合三种工作模式支持静态路由、策略路由、OSPF等动态路由、单臂路由、组播路由等支持802.1Q和ISL VLAN封装协议并能支持对两种封装的互换以及Vlan Trunk 路由支持ISP智能选路，内置多种ISP地址库，优化网络带宽支持基于源/目的地址、接口、Metric、服务的策略路由 DHCP 支持DHCP Client、DHCP Relay、DHCP Server 在各种工作模式下均支持H.323（H.323 GK）、动态协议 MMS、RTSP、UPnP、SIP 、FTP、XDMCP、TNS等多种多媒体协议

IPSec VPN客户端

功能描述支持Windows 98、Windows 2000、Windows XP、Windows 2003、Vista、操作系统 Win7等操作系统接入方式支持以太网、ADSL、ISDN、DDN等多种Internet接入方式 VPN客户端可与所有支持标准IPSec 协议的VPN网关互连互通可实现标准IPSec VPN客户端之间互联互通支持主模式和野蛮模式支持AH和ESP封装模式 IPSec VPN 支持3DES、DES、AES等加密算法支持MD5、SHA1、SHA2等通用摘要算法支持预共享密钥、证书等认证方式以及X-Auth扩展认证支持NAT穿越以及DHCP Over IPSec 支持多因子认证， VPN客户端采用动态令牌卡，口令随时改变，具有更高的安全性其他安全功能内置桌面防火墙可通过外置电子钥匙实现对配置文件、预共享密钥以及证书的存储可抵御针对VPN客户端的会话回放攻击功能类别典型应用

应用方案

多级层次型网络VPN解决方案

本方案适用于各类需要组建异地虚拟专网的企事业单位，并可根据自身的网络结构特点选择网状、星形以及树形VPN组网形态。

网状：节点不多，隧道自由建立并维护。

星形：节点较多，具备较明显的中心节点，适合通过中心进行数据转发。树状：节点很多，且具备多级分层架构，多适用于等多级纵向级联网络。

SAG系列

产品概述

SSL VPN应用安全网关

网御于2008年4月收购了艾克斯通公司，获得了其全部技术和专利，同时其全部研发人员到网御工作。当时艾克斯通公司已从事近10年SSL VPN产品的研发和销售，是国内最早的SSL VPN厂商，其产品被多家安全公司OEM，并广泛应用在银行、电信等行业。经过两年多时间，整合了网御长期积淀的产品化和客户应用等方面经验，产品在稳定性、性能等方面实现了质的飞跃。

网御SSL VPN网关可以让企业员工、客户和合作伙伴随时随地，以任意接入方式，受控地安全访问企业的保密信息，是企业提高工作效率、保障信息安全、降低IT成本的最佳选择。各型号产品基于不同的专用硬件平台，采用相同的安全软件系统，作为提供高安全、高性能的终端接入控制产品，可以为远程和本地用户提供最强的安全性和最短的应用响应时间，同时基于设备自身的“并发用户数按需购买销售模式”和设备间的“线性扩展负载均衡技术”，提供了灵活的可扩展的接入能力。

SSL VPN 包含 SAG-11000，SAG-4100，SAG-2100系列 SAG-11000含有SAG-10000H，SAG-1000HO，SAG-1000HA SAG-4100含有SAG-4000H，SAG-400HO，SAG-400HA SAG-2100含有SAG-2000H，SAG-200HO，SAG-400HA 以上大系列定期升级，子型号可能会有变化。

产品优势

 超预期的用户访问体验

鉴于终端用户的计算机水平参差不齐，部署SSL VPN设备后需要最大限度地不改变用户已有使用习惯，来减少部署和维护成本。网御一直是以要超出用户使用预期为目标，来进行SSL VPN产品研发的。

功能项终端支持简述 ¨ 全面支持Windows各版本操作系统的PC机，包括位的Win7操作系统。 ¨ 支持部分基于Windows Mobile、Symbian、Android等操作系统的手机型号。 B/S应用，如访问B/S架构应用，用户采用IE或免客户端 FireFox等浏览器即可完成身份认证和加密隧道建立，同时完成数据传输。应用支持 ¨ 支持全部已知应用。 ¨ 如访问C/S架构应用，客户端程序可优点和价值让用户选择任意终端即可进行SSL VPN接入访问应用。 100%零客户端，不改变用户使用习惯。客户端程序免配置免维护，用户登录后自功能项简述自动完成安装和更新。 ¨ 支持访问倒连、组播等复杂应用。单点登录¨ 支持各种B/S和C/S架构应用的单点登录功能。 ¨ 支持一对多点的主从帐号对应。 USB-key证使用网御提供的USB-key承载的数字证书书认证进行认证登录时，免驱动，即插即用，访问的URL界面会自动弹出，key拔出时自动断开隧道连接。登录界面个性化显示网管员可自由定制登录首页和登录后Portal页面的Logo、按钮图片，可自定义公告栏信息功能，方便及时发布通知，可在登录页面自定义跳转链接和下载链接，无需额外架设服务器。客户端程用户可配置登录SSL VPN网关后自动运行的序关联应用客户端程序。虚拟DNS SSL VPN网关可作为DNS服务使用，让用户通过自定义的域名访问内网服务器。网络加速¨ 支持高效的动态数据压缩功能，来节省带宽资源。 ¨ 支持协议优化，来提升网络传输速率。 VIP帐号在并发用户达到许可上限时，VIP帐号可继续登录，保证重要用户随时接入SSL VPN网关。采取为VIP用户免费提供已购买许可10%的许可。

优点和价值动启动。支持复杂应用，最大限度地保障企业投资。避免了用户访问多应用时需重复认证，同时减少了用户信息维护工作量。用户无需记忆用户名、密码和网关地址等信息，特别适合计算机水平很低的用户。尊重用户的个性化需求，便于与已有应用系统的界面风格统一，符合用户的使用习惯。简化用户操作。隐藏内部真实地址保障服务器安全。传输性能相对提升超过20%。保证重要用户任意时间均可访问应用。功能项简述网关可旁路部署无需更改已有网络结构，就可完成设备部署。快速配置向导提供快速配置向导，简单环境配置只需3分钟就可完成。优点和价值不用改变网络拓扑，最快速上线。快速配置向导可实现设备主要功能，对于简单网络很实用。用户信息批量管¨ 支持批量导入第三方用户数据使发生灾难后快速恢理库，可在导入时定义绑定IP、绑定复成为可能，同时会减MAC、绑定主机、账号共享、修改口令少网管员工作量。等信息。 ¨ 支持网关用户信息批量导出。支持集中管理支持SNMP协议，通过集中管理平台（如网御Leadsec Manager）可监控设备运行状态。实现统一安全维护。

 丰富的身份认证方式

一般，小型网络没有建立用户管理系统，部署SSL VPN网关后就可采用设备自带的本地认证方式进行用户认证管理。而中大型网络已建立用户认证管理系统，这就需要部署SSL VPN网关后能够实现两系统的无缝整合，保障已有投资，同时不改变用户已有使用习惯。这些都要求SSL VPN网关在用户身份认证方面的支持要丰富和灵活。

功能项本地认证方式简述  支持本地口令认证。优点和价值认证方式灵活多样，维护简单， 网关提供小型CA中心，可颁发CA证书易用。用于用户登录认证。  支持与短信平台联动、网关串口连短信猫等方式，进行手机短信码认证。  支持动态令牌认证。  支持与微软的AD域认证系统整合。  支持与第三方PKI认证系统整合。支持第三方认证方式多因素认证认证控制  支持与RADIUS、TACACS+等认证系统整合，并支持主从RADIUS服务器冗余。支持口令、证书、短信等多因素的复合认证，符合等级保护的可同时启用两种或更多种认证方式。三级（含）以上对身份认证的技术要求。  支持缓存第三方认证服务器帐号功能，能最大限度地保提高认证效率。障认证的连续性。  当某种认证服务器失效时，可自动切换至其它认证方式，提高认证可靠性。与第三方认证方式的无缝整合，保障了已有投资。  全程多层次保障安全

SSL VPN网关除了用户认证管理外，主要的功能就在于保证认证过程安全、保证数据传输安全，同时在细粒度授权下实现严格的访问控制，因此需要对用户访问全程的各个层面提供安全保障。

功能项简述优点和价值终端安全检查可检查终端主机的操作系统版本和补丁、浏依据预设安全策略，对不符合安全览器版本、杀毒软件版本、系统进程、注册要求的终端主机表、系统服务等，来判断终端主机的安全状拒绝接入，从而保障认证信息和数况。据信息安全。用户绑定终端可将认证用户绑定IP地址，以及主机的硬件特征，包括MAC地址、CPU ID、硬盘ID、操作系统ID等。认证信息防泄 支持新账号首次登陆强制修改口令。漏  支持密码复杂等级检查。  使用动态附加码，杜绝密码的暴力破解。  支持软件键盘输入方式。  支持终端主机访问痕迹自动清除。可用户只有通过指定的主机才能登录。大大降低了用户账号被盗用的风险。  支持锁定帐号自动或手动解锁。隧道隔离技术在终端主机建立VPN隧道后，自动断开访问有效地阻止以终其他网络连接。端为跳板攻击服务器。数据加密传输支持多种国际主流的加密算法，实现数据高保障数据传输安强度加密。全。防御服务器攻 Web防火墙功能，可防SQL注入、防跨在使合法用户受击站脚本、过滤ActiveX控件、过滤Java控访问合法应用小程序、禁止非法URL请求等。的同时，防御针对服务器的攻击。  可抵抗DDoS攻击。  支持针对IP和用户的并发连接数量  可设定IP黑名单，中断可疑连接。可根据用户、角色、时间、网络位置、认证可基于用户登录方式、终端状况等因素，选择赋予用户权限，环境的安全程度并予以严格执行。不同，赋予不同的访问权限。动态权限管理和访问控制  满足各种网络规模需求

基于设备自身的“并发用户数按需购买销售模式”和设备间的“线性扩展负载均衡技术”，同时提供不同处理性能的硬件平台，网御SSL VPN网关提供了灵活的可扩展的接入服务，可为各种用户规模提供适合、可扩展的解决方案。

功能项并发用户数按需购买简述各网关设备支持的最大并发用户数量可按照网络规模需求进行购买许可，后续可追加扩展。设备线性扩展采用自有线性集群专利技术，不同型号网关设备间可负载均衡，实现处理性能线性扩优点和价值按需购买，保护投资。线性扩展可以满足网络规模扩大的需求，同时保护已有投资。单台支持并发网御SAG-11000高端SSL VPN网关采用多核可满足电信级大用用户超过1万 CPU和ASIC加速卡硬件，软件采用数据压户量应用需求。缩、协议优化、信息缓存等加速技术，单台即支持超过1万用户同时访问。  易用的网管管理体验

一般的，在网络和应用已经运行一段时间后才考虑SSL VPN网关设备的使用，有时不可避免地要变更原有网络，因此IT管理维护人员会特别关注SSL VPN网关的部署与管理。网御深切理解网管员，突出提升了网关易部署和易维护的体验。

展。最大支持32台网关设备负载均衡。

典型应用

典型方案

远程安全接入平台解决方案

没有建立用户管理系统的中小型企业，可在服务器区边界旁路部署网御SSL VPN网关。SSL VPN网关设备作为远程安全接入平台，为接入用户访问业务应用提供本地用户管理、登录认证、加密传输、访问授权、访问控制、访问审计等功能。

方案优势

 旁路接入，不改变原网络结构  无需建立的用户管理系统  接入终端支持广泛，无需维护  终端有浏览器，就可认证访问  详细记录审计用户访问全过程

认证访问控制平台解决方案

以建立用户管理系统的中大型企业，网御SSL VPN网关可作为用户认证访问控制平台，与已有的用户管理系统共同为企业构建集中的访问控制系统。在此系统中，SSL VPN网关提供用户认证、访问授权、访问控制、访问审计等功能。

方案优势

* 可与用户管理系统可无缝整合，实现集中用户认证 * 提供单点登录功能，用户无需二次登录

* 访问控制可基于用户管理系统的用户授权策略l 支持多认证方式互为备份，保障业务连续

典型用户

用户设备应用情况并发用户系统吞吐 CPU占用率内存占用率

某省计划生育委员会 2台网御SSL VPN网关SAG-11000，双机热备全省近3000个乡镇的上万余计生委基层人员通过SSL VPN设备完成数据维护和查询平均在线用户4，000多，高峰在线用户8，000多超过600Mbps 不超过5% 不超过65%

WAF Web防火墙产品概述

网御Web应用安全防护系统

网御Web应用安全防护系统（以下简称：网御WAF）是Web安全防护与应用交付类网络安全产品，主要监控具有潜在危险的Web流量，帮助过滤端点Web及互联网流量中的有害程序或恶意威胁，防护以Web应用程序漏洞为目标的攻击，提高Web或网络协议应用的性能及安全性，确保企业业务应用安全地交付。

网御WAF基于MIPS的多核SoC（System on Chip）处理器，相比X86、NP、ASIC硬件平台，SoC多核硬件平台的最大优势是保留了X86平台的高灵活性，同时具备与ASIC平台相当的高处理性能。通过增加核数，使线性提升硬件计算能力成为可能，更重要的是功耗也随之得到了控制。多核架构的主要优势为一颗芯片上集成了多个核，核与核之间可以协同工作，同时在各个核周边还集成了丰富的安全协处理硬件，如硬件加密、正则匹配和应用加速等，高集成度的特点简化了整体硬件板卡的复杂度和能耗。根据功耗对比测试，多核SoC硬件平台实际功耗仅为同档次X86平台的1/3左右。

产品优势

产品特色

WEB应用防护

对WEB业务的保护，不仅需要能够阻断攻击，又要不影响正常业务的访问。网御 WAF能够精确识别并防护常见的WEB攻击：1、基于HTTP/HTTPS/FTP协议的蠕虫攻击、木马后门、间谍软件、灰色软件、网络钓鱼等基本攻击2、CGI扫描、漏洞扫描等扫描攻击3、SQL注入攻击、XSS攻击等WEB攻击。SQL注入攻击利用WEB应用程序不对输入数据进行检查过滤的缺陷，将恶意的SQL命令注入到后台数据库引擎执行，达到偷取数据甚至控制数据库服务器目的。XSS攻击，指恶意攻击者往WEB页面里插入恶意HTML代码，当受害者浏览该WEB页面时，嵌入其中的HTML代码会被受害者WEB客户端执行，达到恶意目的。

WEB的虚拟服务

网御WAF的WEB虚拟服务包括代理模式下的虚拟WEB服务器配置以及SSL卸载服务配置。通过部署一台网御WAF管理多个的WEB应用，各WEB应用可采用不同的安全策略，可以在不修改用户网络架构的情况下增加新的应用，为多元化的WEB业务运营机构提供显著的运营优势与便利条件，可以实时配置修改多个后台WEB系统，而无需让WEB系统下线。

应用层DOS防护

网御WAF可防护带宽及资源耗尽型拒绝服务攻击，如对SYN FLOOD等常见攻击行为进行有效识别，可以使服务器在受到FLOOD攻击时仍然可以响应正常请求，确保WEB业务的可用性及连续性。XML

DOS攻击防护是对HTTP请求中的XML数据流进行合规检查，防止非法用户通过构造异常的XML文档对WEB服务器进行DOS攻击。

产品特性与功能

功能分类功能点功能详细描述基于HTTP/HTTPS/FTP协议的蠕虫攻击、木马后门、间谍软件、灰色软件、网络钓鱼等基本攻击； CGI扫描、漏洞扫描等扫描攻击； SQL注入攻击、XSS攻击等Web攻击；针对HTTP请求，网御WAF能够针对请求信息中的请求头长度、Cookie个数、HTTP协议参数个数、协议参数值长度、协议参数名长度等进行。能够主动防御各种黑客攻击，避免黑客攻击或者杜绝恶意损害服务器计算资源；网御WAF内置敏感信息泄露防护策略，可以灵活定义HTTP错误时返回的默认页面，避免因为Web服务异常，而导致的敏感信息（如：Web服务器操作系统类型、Web服务器类型、Web错误页面信息、银行卡卡号等）的泄露；网御WAF能够针对Cookie进行签名保护，避免Cookie在明文传输过程中被篡改。用户可指定需要重点保护的Cookie，对于检测出的不符合签名的请求，允许进行丢弃或删除Cookie处理，同时记录相应日志；按照网页篡改事件发生的时序，网御WAF提供事中防护以及事后补偿的在线防护解决方案。事中，实时过滤HTTP请求中混杂的网页篡改攻击流量（如SQL注入、XSS攻击等）；事后，自动监控网站所有需保护Web应用防护 Web请求信息产品功能 Web敏感信息防护 Cookie防篡改网页防篡改 Web应用防护事件库接入模式用户认证产品Web业务连要求续性高可用性页面的完整性，检测到网页被篡改，第一时间对管理员进行告警，对外仍显示篡改前的正常页面，用户可正常访问网站；网御WAF产品内置Web应用防护事件库，包含各类Web安全相关事件特征，网御提供定期与突发Web安全事件紧急升级服务，能够针对最新的、突发的、热点的Web攻击进行快速响应；支持（透明）桥及http/https/ftp代理模式；支持本地认证及RADIUS认证；作为串行安全防护设备，网御WAF充分考虑了Web系统业务连续性保障措施，以有效避免单点故障：在桥模式部署条件下，产品提供软、硬双BYPASS功能，保障业务链路在各种情况下的通畅；支持主-主与主-备模式，支持透明模式下HA配置，HA状态可因监测接口状态变化而改变；典型应用

典型部署桥模式

* 以桥模式接入，网御WAF的业务口工作在桥接口下，无需调整和更改用户网络的拓扑结构，无需更改用户原有网络配置，实现对Web服务器的保护。

* 桥模式是部署最为简便的方式。桥模式下，网御WAF可实时阻断第7层的Web攻击，让其它的流量通过。 * 桥模式下，网御WAF支持主主模式、主备模式部署，以及软、硬Bypass功能，以保障用户Web业务的连续性与可用性。

代理模式

* 在代理部署模式下，对访问用户能够完全隐藏Web服务器的真实IP地址，有效保障Web服务器安全。 * 代理模式为Web服务器提供了最高程度的保护，能够确保Web服务器操作系统、发布程序不直接暴露在Internet，保障Web应用的安全。

* 代理模式下，网御WAF支持主主模式、主备模式部署，支持多服务器负载均衡功能，以保障用户Web业务的连续性与可用性。

因篇幅问题不能全部显示，请点此查看更多更全内容

查看全文