深信服AF-1000-E800下一代防火墙

品牌 ： 深信服

型号 ： AF-1000-E800

单位 ： 台

类型 ： 防火墙

 

1

 

深信服下一代防火墙（Next-Generation Application Firewall）NGAF是面向应用层设计，能够精确识别用户、应用和内容，具备完整安全防护能力，能够全面替代传统防火墙，并具有强劲应用层处理能力的全新网络安全设备。NGAF解决了传统安全设备在应用识别、访问控制、内容安全防护等方面的不足，同时开启所有功能后性能不会大幅下降。作为传统防火墙的升级替代产品，深信服NGAF不同于工作在L2-L4层的传统防火墙，可以对全网流量进行双向深入数据内容层面的全面透析。在安全策略制定方面，区域别于传统防火墙五元组安全策略，深信服NGAF可对L2-L7层更多的元素（如，用户、应用类型、URL、数据内容等）制定双向的安全访问策略，使安全策略更精细、更有效，且满足业务的合规性；在安全防护能力方面，提升了传统的抗攻击的能力，不仅能防护网络层的攻击，针对来源更广泛、攻击更容易、危害更大的应用层攻击也可以进行防护，实现L2-L7层的安全防护。同时，深信服NGAF采用全新的软硬件架构，减小在多种复杂的安全策略和L2-L7层多功能防护功能全部开启时性能的消耗，实现应用层高性能。

指标	AF-1000-E800
网络层吞吐量	10Gbps
并发连接数	2,000,000
新建连接数	100,000CPS
VPN隧道数	1000
七层吞吐	1.8Gbps
平均无故障时间（MTBF）	100,000小时
网络接口	8千兆电口
管理接口	RJ-45*1，USB2.0*2，Bypass4对
电源规格	单电源，最大功率250W
外形尺寸	1U机架（长430mm*宽390mm*高44.5mm）
毛重量	8.45KG
工作环境温度	0℃～45℃
工作环境湿度	5～80%

项目	具体功能
部署方式	支持路由、透明、旁路、单臂、虚拟网线以及混合部署模式；
实时监控	提供基于业务安全、用户安全两个方面的风险威胁的全面展现描述，包括漏洞风险、安全攻击事件及特定威胁的详细信息；提供并发会话数、新建会话数、接口吞吐率、应用流量实时排行等统计信息；提供设备实时CPU使用率、内存使用率、磁盘使用率、网络接口状态、设备系统状态、设备版本信息、设备规则库状态等设备资源信息；
网络适应性	支持ARP代理、静态ARP绑定；支持配置DNS及DNS代理；支持DHCP中继、DHCP服务器；支持SNMP v1、v2、v3，支持SNMP Trap配置；支持TCP MSS配置；支持HOSTS配置；支持静态路由、RIP v1/2、OSPFv2/v3、BGP、策略路由、多播路由、ECMP等价路由等多种路由协议；支持链路探测，端口聚合，接口联动；
NAT地址转换	支持IPv4／v6 NAT地址转换，支持多个内部地址映射到同一个公网地址、多个内部地址映射到多个公网地址、内部地址到公网地址一一映射、源地址和目的地址同时转换、外部网络主机访问内部服务器、支持DNS映射功能；支持针对源IP、目的IP和双向IP连接数控制；支持多种NAT ALG，包括DNS、FTP、H.323、SIP等
DoS/DDoS防护	支持Land、Smurf、Fraggle、WinNuke、Ping   of Death、Tear Drop、IP   Spoofing攻击防护，支持SYN Flood、IPv4/v6   ICMP Flood、UDP Flood、DNS   Flood、ARP Flood攻击防护，支持IP地址扫描，端口扫描防护，支持ARP欺骗防护功能、支持IP协议异常报文检测和TCP协议异常报文检测；支持内网访问控制，配置内网区域只允许指定的IP地址或IP范围对外进行访问，防止内部伪造源IP对外DoS攻击的情况；支持对信任区域主机外发的异常流量进行检测，如ICMP，UPD，SYN，DNS Flood等DDoS攻击行为；
应用识别与控制	支持对1200种以上应用、3000种以上应用动作，可以识别P2P、IM、OA办公应用、数据库应用、ERP应用、软件升级应用、木马外联、炒股软件、视频应用、代理软件、网银等应用；支持自定义应用; 提供基于服务/应用识别类型、网络对象/用户、端口、安全域、IP地址、服务/应用、生效时间、告警动作等进行应用访问控制策略设置；
风险分析	支持客户端的漏洞风险分析功能，支持对目标IP进行端口、服务扫描；风险评估可以实现与FW、IPS防护模块的智能策略联动，自动生成策略；
威胁情报预警与处置	具备主动推送当前热门0 day或者高危漏洞，并提供漏洞检测工具对业务开展扫描自查，可以根据扫描结果进行一键生成安全防护策略；
综合风险报表	提供基于业务系统/用户终端整体展示网络安全状况，根据网络风险状况提供优、良、中、差评级；攻击统计报表提供所有检测攻击数和有效攻击数两个维度的统计；漏洞安全报表内容呈现主动扫描的漏洞类型分布情况，匹配攻击日志输出已被攻击的漏洞数，发现的所有漏洞数和业务系统漏洞分布情况的统计；业务安全报表提供业务攻击总数、攻击事件数、业务漏洞数评估、攻击源风险详情等信息；用户安全报表提供僵尸主机详情、异常连接用户详情等信息；
流量管理	支持基于应用类型，网站类型，文件类型进行带宽分配和流量控制；支持在防火墙上配置VPN安全策略对加密隧道内的流量进行清洗；
高可用性	支持A/A，A/S模式部署，支持会话同步，配置同步和用户信息同步；
网关配置管理	支持管理员权限分级，支持安全管理员、审计员、系统管理员三种权限；支持以安全策略模板方式快速部署安全策略，安全策略模板支持默认模板和自定义模板等多种格式；支持安全防护策略一体化配置，一条策略可同时对应用和用户进行安全防护设置，减少策略配置数目，提高管理易用性；支持配置向导功能，根据业务使用部署场景选择设备内置部署模式，快速实现设备初始运维部署；支持自动备份配置，最大支持十五天内的配置恢复；   支持修改TCP，UPD和ICMP协议的连接超时时间；支持图形化排障工具，便于管理员排查策略错误等故障；支持内置规则库的手动/自动更新；支持邮件、短信和微信告警；
安全可视化	支持资产的自动发现以及资产脆弱性和服务器开放端口的自动识别；支持对检测到的攻击行为按照IP地址的地理位置信息进行威胁信息动态展示，实时监测和展示最新的攻击威胁信息；支持自动生成安全风险报表，报表内容体现被保护对象的整体安全等级，发现漏洞情况以及遭受到攻击的漏洞统计，具备有效攻击行为次数统计和攻击举证；支持受保护业务和用户的关联安全事件展示；支持以攻击链方式来匹配和展示资产遭受到的攻击行为；
用户管理	支持自定义添加用户、多用户和用户组，用户分组支持树形结构，支持父组、子组、组内套组等；支持从本地导入CSV格式文件、扫描IP、外部LDAP服务器上导入用户信息；支持本地自定义增加LDAP服务器，系统与新增外部LDAP服务器联动实时同步在线用户信息；支持IP认证、MAC认证，及IP/MAC绑定、本地密码、外部密码、单点登录等认证方式；支持AD、POP3、Proxy、Web、Radius、外部服务器镜像网口单点登录认证；支持LDAP、Radius、POP3外部服务器认证；
日志管理与报表	能够自定义时间段查询DOS攻击、web应用防护、IPS、僵尸网络、内容安全、应用控制、本机安全事件、用户登录/注销、系统操作等多种安全日志查询；提供可定义时间内安全趋势分析报表；支持自定义统计指定IP/用户组/用户/应用在指定时间段内的服务器安全风险、终端安全风险等内容，并形成报表；支持将统计/趋势等报表自动发送到指定邮箱；支持导出安全统计/趋势等报表，包括网页、PDF等格式；