防火墙

产品概述

ZXWT ISG系列下一代防火墙产品是安徽皖通邮电推出的集高性能网关、IPS、防病毒和上网行为管理等多种功能于一体的下一代防火墙产品，可广泛应用于政府、医疗、企业、运营商、金融、教育等网络场景，配合安徽皖通邮电的路由器、交换机、无线等产品，可为用户提供完整的端到端解决方案，是网络出口和不同策略区域之间安全互联的理想选择。

ZXWT ISG系列下一代防火墙产品包括F1005-W、F1008、F2004、F1102、F1112、F2210、F3208和F5624等八款产品，满足不同网络规模的用户需求。

产品外观

产品特性

1. 高性能架构

基于第三代多核并行化架构，提供超万兆实网性能

■ 所有APP核可同时运行在网络平面（分流及快速路径）和业务平面（安全业务处理）。

■ 动态分配网络和业务平面的CPU资源，无分流瓶颈或业务瓶颈。

■ 支持运营商级地址转换（CGNAT）、支持跨协议NAT转换，如NAT46/NAT64。

2. 多维度安全控制

基于七元组、多维度的安全控制能力，涵盖访问控制、会话控制、行为控制和流量控制

■ 访问控制：根据应用类型、用户类别或用户身份、IP地址、业务端口、接口/安全域、时间/周期的访问控制，实现基础的允许或拒绝。

■ 会话控制：根据应用类型、用户类别或用户身份、IP地址、业务端口、接口/安全域、时间/周期的会话控制，有效确保基础网络设施的稳定运行，快速降低DDoS攻击带来的业务威胁。

■ 行为控制：根据应用类型、应用动作、应用内容、用户类别或用户身份、IP地址、时间/周期的行为控制，实现互联网行为的可视可控。

■ 流量控制：根据应用类型、用户类别或用户身份、IP地址、业务端口、接口/安全域、时间/周期的访问控制。确保关键业务拥有更佳的访问体验。

3. 全面的安全防护

集防火墙、入侵检测、病毒检测、Web安全分类、内容过滤和应用行为管理于一体，降低投资成本

■ 集成IPS、防病毒、带宽管理和URL 过滤等功能，通过深入到7 层的分析与检测，实时阻断网络流量中隐藏的病毒、蠕虫、木马、间谍软件等攻击和恶意行为，全面防护网络安全。

■ 系统预定义数千种攻击特征库，每周更新，并支持用户自定义特征。

■ 集成应用行为管理功能，可智能识别多种应用，并对社交网络类应用（微博等）、搜索引擎类应用（百度、谷歌等）、P2P下载类应用、视频类应用（优酷、斗鱼等）、电子邮件类应用做出相应的控制。

■ 支持网络入侵检测及防御功能，入侵防御事件库事件数量不少于3000条，可基于IP地址、网段、用户、时间、协议类型等条件设定入侵防御模块的检测事件和相应方式。

4. 下一代敏捷运维

丰富的图形化展示方式，从应用和用户视角多层面呈现网络应用状态

■ 可视化运维：接口流量可视化、用户流量可视化、应用协议可视化、URL访问可视化等基于业务感知的可视化技术，改善运维体验，提升运维效率。

■ 完善的日志管理：提供强大的日志功能、流量统计和分析、事件监控和统计及邮件告警功能，帮助用户快捷的发现和定位故障。

产品规格

表 1 ISG系列固定接口防火墙规格表

	F1005-W（桌面型）	F1008	F2004
物理特性
尺寸W×D×H mm	240×182×28	435×330×44.5	435×330×44.5
固定接口	5×GE RJ45	8×GE RJ45 + 2×GE SFP	16×GE RJ45 + 2×GE SFP + 4×10GE SFP+
电源	外置单电源	AC单电源	冗余电源
Wi-Fi	支持 802.11b/g/n，2.4GHz	NA	NA
工作温度	0°C~50°C
存储温度	-20°C~70°C
存储湿度	5% ~ 90%

表 2 ISG系列防火墙规格表

	F1102	F1112	F2212	F3208	F5624
物理特性
尺寸W×D×H mm	440×330×44	435×330×44.5	450×440×44	440×501×88	440×600×88
固定接口	8×GE RJ45 + +2×GE SFP +2×10GE SFP+	8×GE RJ45 + 4×GE SFP	16×GE RJ45 + 4×GE SFP + 4×10GE SFP+	16×GE RJ45 + 2×GE SFP + 4×10GE SFP+	6×GE RJ45 + 4×GE SFP
扩展槽	1	1	2	2	6
电源	冗余电源	单电源	冗余电源	冗余电源	冗余电源
工作温度	0～40°C
存储温度	-25～70°C
存储湿度	20%～95%
功能特性
防火墙	支持基于接口/安全域、源/目的地址、源/目的端口、用户、服务、应用和时间的防火墙策略
入侵防御IPS	支持基于状态的协议分析和协议树匹配算法，同时支持IPV4及IPV6环境下的入侵防御功能系统预定义数千种攻击特征库，每周更新，并支持用户自定义特征可基于IP地址、网段、用户、时间、VLAN、协议类型等条件设定入侵防御模块的检测事件及响应方式。
防病毒	支持对HTTP、POP3等协议下的文件进行病毒扫描
防攻击	支持常见的DOS/DDOS攻击防护、基于TCP、UDP和ICMP的扫描防护、智能TCP Flood防御、TCPFlood、UDPFlood、ICMPFlood攻击防护、ARP攻击防护等
会话控制	支持基于接口/安全域、地址、用户、服务、应用和时间的会话控制策略，包括总连接数控制、每秒总新建连接数控制、每IP总连接数控制、每IP新建连接数控制。
智能应用识别	支持并开通基于DPI和DFI技术的应用特征识别及行为控制，应用识别的种类不少于1000种，支持并开通基于URL分类库的WEB访问管理，URL分类库规模不少于20万条，支持并开通基于线路和多层通道嵌套的带宽管理和流量控制功能，支持至少四层管道嵌套的流控
路由和负载均衡	支持静态路由、动态路由（RIP、OSPF、BGP4），支持基于入接口、源地址、目标地址、服务端口、应用类型的策略路由，支持并开通链路负载均衡，支持轮询、加权轮询、哈希等多种负载均衡算法
特征库	支持HTTP压缩功能，采用工业标准的GZIP或Deflate算法来压缩HTTP数据，从而减少传输数据量并降低带宽消耗，缩短客户端访问的下载等待时间，可支持相关技术原理
链路优化	支持双边链路质量优化，支持对称模式部署，在链路存在丢包、延迟、抖动等因素时，通过专有的协议隧道模式，封装用户应用，并改善网络环境中的应用性能解决数据丢包、延迟等问题。
应用分类	支持基于业务行为模式、应用大类或自定义应用组的应用控制
流量控制及QoS
流量识别	基于物理接口或VLAN接口的线路带宽设定支持基于源IP地址、目的IP地址、应用、服务端口和时间的流分类
流量管控	限制最大带宽和保障最小带宽，设置转发优先级等
系统管理与配置
Web管理	支持，HTTP/HTTPS，支持中文及英文WEB界面
命令行管理	支持，支持TELNET、SSH及串口等方式
SNMP	支持SNMPv1/v2/v3
NTP时间同步	支持
管理员登录	支持基于本地帐号、Radius、LDAP的管理员登录认证，支持设定每个管理员帐号的可登录IP范围
管理员权限分级	支持
设备管理	支持本地管理、集中管理，远程管理
日志和监控
本地日志	支持各类日志的本地存储
远程日志	支持Syslog服务器
日志级别	用户可以根据级别和日志来源过滤日志的记录
日志报表	系统提供流量报表和威胁报表，时间周期为最近1小时/1天/7天/30天
邮件报警	支持，自定义特定日志情况下触发邮件报警
可视化监控	支持威胁可视化、用户/应用流量可视化、接口流量可视化监控
系统监控	支持指定时间段的系统总流量、CPU使用率，内存使用率，设备温度、总连接数，每秒新建连接数的统计图表
高可用性
双机热备	支持
备机可管理	支持
VRRP协议	支持