F5600系列下一代智能防火墙
产品概述
F5600系列下一代智能千兆防火墙是TG-NET公司推出的新一代安全产品,通过L2-L7 层全面威胁防御及强大应用安全管控技术,为用户提供领先的网络安全解决方案。 F5600系列防火墙可根据协议特征、行为特征及关联分析等,深度准确地识别包括200余种移动应用在内的数千种网络应用。该系列防火墙提供了基于深度应用、协议检测和攻击原理分析的入侵防御技术,可有效过滤病毒、木马、蠕虫、间谍软件、漏洞攻击、逃逸攻击等安全威胁,为用户提供L2-L7层网络安全防护。TG-NET下一代防火墙基于多核硬件架构及“一次解包,并行检测”技术,使其在开启多种威胁防护功能的同时,仍可为用户提供业界领先综合安全性能。不仅如此,TG-NET下一代防火墙具备强大的网络适应能力和复杂环境下的安全部署能力,支持智能链路负载均衡功能和多种动态路由协议,内置VPN加速芯片,可显著提升IPSec/SSL VPN性能。结合iOS及Android平台下的VPN客户端,可为用户提供移动终端远程接入解决方案,满足用户多样化的网络功能需求。 F5600系列下一代智能千兆防火墙提供了全面的应用安全防护和灵活的扩展方式,可部署于政府、金融、企业、教育等各个行业,广泛适用于互联网出口、网络与服务器安全隔离、VPN 接入等多种网络应用场景。
产品外观
F5600-9G ]F5600-9G9个10/100/1000M电口; 1个USB2.0口;1个CONSOLE口; 支持Bypass; 尺寸:1U; 双电源冗余供电(可选);
F5600-13G-4F F5600-13G-4F9个10/100/1000M电口; 4个1000M 复用SFP光接口; 1个US2.0B口;1个CONSOLE口; 支持Bypass; 尺寸:1U; 双电源冗余供电(可选);
F5600M-8G-2TF F5600M-8G-2TF4 个10/100/1000M电口(含一对Bypass 接口) 4个1000M SFP光接口; 2个万兆SFP+接口; 1个USB2.0口;1个CONSOLE口; 1个HA口;1个AUX口;1个MGT口; 4个通用扩展插槽; 尺寸:2U; 支持Bypass; 双电源冗余供电(可选);
产品特点
强大的处理能力
采用“一次解析,并行检测”技术,报文经一次解包后由各个安全模块并行检测,用户带来极速的安全体验; 基于多核硬件处理架构实现软硬件全并行操作。将会话负载均分到所有内核,实现最优化的多核并行处理; 内置VPN加速芯片,可显著提升IPSec/SSL VPN性能,支持大规模网络环境中VPN部署;
深度的应用识别
可根据协议特征、行为特征及关联分析等,准确识别包括200余种移动应用在内的数千种网络应用; 通过多维度的详尽应用分析,用户可制定针对性的安全策略以避免特定应用威胁网络安全; 用户可根据应用名称、应用类别、 风险级别、所用技术、应用特征等6大条件,精确筛选出感兴趣的应用类型,从而实现精细化的应用管控;
全面的安全防护
支持全状态检测防火墙,对每一用户每一连接进行检测、监控和控制; 提供了基于深度应用、协议检测和攻击原理分析的入侵防御技术。可有效过滤病毒、木马、蠕虫、间谍软件、漏洞攻击、逃逸攻击等安全威胁; 优化的攻击识别算法,够有效抵御如SYN Flood、UDP Flood、HTTP lood等DoS/DDoS攻击,保障网络与应用系统的安全可用性; 专业Web攻击防护功能,支持SQL注入、跨站脚本、CC攻击等检测与过滤,避免Web服务器遭受攻击破坏;支持外链检查和目录访问控制,防止Web Shell和敏感信息泄露,避免网页篡改与挂马,满足用户Web服务器深层次安全防护需求; 高性能的病毒过滤功能,领先的基于流扫描技术的检测引擎可实现低延时的高性能过滤。支持对HTTP、FTP及各种邮件传输协议流量和压缩文件 (zip,gzip,rar等)中病毒的查杀; 超过2000万条分类库的URL过滤功能,可帮助网络管理员轻松实现网页浏览访问控制,避免恶意URL带来的威胁渗入;
强大的网络适用性
智能链路负载均衡功能。其出站动态探测和入站SmartDNS等功能允许网络访问流量在多条链路上实现智能分担,极大提升链路利用效率和用户网络访问体验; 支持RIP、OSPF和BGP等动态路由协议。可根据网络系统的运行情况自动调整动态路由表,满足运营商、高校等复杂网络环境部署; 支持虚拟防火墙技术。可将一台物理防火墙在逻辑上划分成多个虚拟防火墙,每个虚拟防火墙拥有独立系统资源和独立配置管理平台,可根据不同 业务系统的安全需求为不同租户提供专属安全防护; 结合iOS及Android平台下的VPN客户端,可为用户提供移动终端远程接入解决方案; 提供各种可独立划分WAN、LAN、DMZ等安全域的千兆网络接口,并且支持COMBO光电复用和Bypass等特性,为网络灵活组建创造了先决条件;
人性化的Qos流量管理
根据安全域、接口、地址、用户/用户组、服务/服务组、应用/应用组、Vlan等信息划分管道; 支持iQoS技术,可在应用识别与用户识别基础上,支持两层八级管道嵌套,对多层级管道进行最大带宽限制、最小带宽保证、每IP或每用户的最大 带宽限制和最小带宽保证; 基于时间和优先级的差分服务,支持带宽均分策略对剩余带宽根据优先级进行弹性分配保证用户重要应用服务质量,提升网络带宽利用率;
高可用性
支持A/P(主/备模式)和A/A(主/主模式),以及会话和配置的同步;
细致的安全审计
支持系统日志、配置日志、流量日志、攻击日志及会话日志等类型日志的海量信息记录,为用户提供上网访问行为的监管和审计,满足公安部82 号令及上级单位合规性监管要求;
产品规格
项目 | F5600-9G | F5600-13G-4F | F5600M-8G-2TF | |
固定端口 | 9个10/100/1000M电口 | 9个10/100/1000M电口 4个1000M 复用SFP光接口 | 4个10/100/1000M电口 4个1000M SFP光接口 2个万兆SFP+接口 | |
USB端口 | 1个USB2.0 | 1个USB2.0 | 1个USB2.0 | |
管理端口 | 1个Console口 | 1个Console口 | 1个Console口 1个AUX口、1个MGT口 1个HA口 | |
扩展槽 | 无 | 无 | 4个 | |
吞吐量 | L2TP/IPSEC/SSL VPN | 4.5Gbps | 12Gbps | 48Gbps |
IPSEC | 1.5Gbps | 2.4Gbps | 12Gbps | |
防病毒 | 240Mbps | 1Gbps | 6Gbps | |
IPS | 750Mbps | 1.8Gbps | 7.2Gbps | |
并发连接总数 | 300万 | 600万 | 1200万 | |
每秒新建连接 | TCP | 7.5万 | 15万 | 45万 |
HTTP | 4.5万 | 9万 | 30万 | |
隧道连接数 | IPSEC | 6000 | 6000 | 3万 |
SSL-VPN | 1500 | 3000 | 1.8万 | |
工作温度/湿度 | -10~50°C/10%~95%无凝结 | |||
存储温度/湿度 | -10~50°C/10%~95%无凝结 | |||
输入电压 | 交流 100-240V,50/60Hz;直流- 40V~-60V | |||
防雷击浪涌等级 | 四级 | |||
整机重量 | 2.5kg | 12.3kg | ||
电源 | 单45W,可选可选双冗余 | 单450W,可选双冗余 | ||
外观尺寸(L×W×H, mm) | 442×241×44 | 442.0×241.0×44.0 |
业务特性
项目 | F5600-9G | F5600-13G-4F | F5600M-8G-2TF | |
工作模式 | 支持透明模式、路由模式、混合模式等 | |||
部署模式 | 支持直路模式、旁路模式、混合模式等 | |||
网络安全 | 安全策略 | 基于域、角色、用户、应用等建立安全策略 | ||
基于源/目的IP建立安全策略 | ||||
基于协议类型等建立安全策略 | ||||
基于时间段管理安全策略 | ||||
病毒过滤 | 支持蠕虫、木马、恶意软件、恶意网站等的探测及过滤 | |||
可扫描协议类型包括POP3、HTTP、SMTP、IMAP4 以及FTP; | ||||
可扫描文件类型包括压缩存档文件、PE、HTML、Mail、RIFF、CryptFF 和JPEG | ||||
基于安全域和基于策略的病毒过滤配置 | ||||
病毒特征库的每日自动升级,也可以手动实时升级 | ||||
IPS | 基于状态、精准的高性能攻击检测和防御 | |||
实时攻击源阻断、IP 屏蔽、攻击事件记录 | ||||
支持针对HTTP、SMTP、IMAP、POP3、VOIP\NETBIOS、TCP、UDP 等20 种协议和应用的攻击检测和防御 | ||||
支持缓冲区溢出、SQL 注入和跨站脚本攻击的检测和防护 | ||||
支持超过2000 种特征的攻击检测和防御,支持特征库实时更新 | ||||
安全控制 | 主机防御 | |||
主机黑名单 | ||||
DHCP侦听 | ||||
ARP检测 | ||||
ARP防御 | ||||
攻击防护 | IP 地址欺骗(IP Spoofing)攻击 | |||
Land 攻击 | ||||
Smurf 攻击 | ||||
Fraggle 攻击 | ||||
WinNuke 攻击 | ||||
SYN Flood 攻击 | ||||
ICMP Flood 和UDP Flood 攻击 | ||||
地址扫描与端口扫描攻击 | ||||
Ping of Death 攻击 | ||||
NAT | 支持PAT,支持基于Pool的NAT转换 | |||
支持NAT端口映射、NAT特殊映射 | ||||
支持NAT 1:1映射 | ||||
支持FTP、TFTP、PPTP、H.323、IRC等多种ALG功能 | ||||
VPN | 支持IPSec、L2TP、PPTP等多种VPN/VPDN协议 | |||
同时支持L2TP、IPSec VPN | ||||
IPSec支持DES、3DES、AES等多种加密方式 | ||||
IPSec支持主模式、野蛮模式等多种 | ||||
Qos | 基于应用的Qos | |||
基于IP的Qos | ||||
基于角色的Qos | ||||
弹性Qos | ||||
多层嵌套Qos | ||||
上网行为管理 | URL 过滤 | |||
网页关键字过滤 | ||||
Web 外发信息控制 | ||||
邮件过滤 | ||||
网络聊天控制 | ||||
应用行为控制 | ||||
日志管理 | ||||
负载均衡 | 链路负载均衡 | |||
服务器负载均衡 | ||||
路由协议 | 支持静态路由、源路由、源接口路由 | |||
支持策略路由、就近探测路由、等价多径路由、静态组播路由 | ||||
支持动态路由协议RIP、OSPF、BGP等 | ||||
可靠性 | 支持HA热备 | |||
支持VRRP热备 | ||||
其他特性 | AAA | |||
802.1X | ||||
Web认证 | ||||
虚拟化 | ||||
IPv6 | ||||
移动终端接入 | ||||
GTP防护 | ||||
网络管理 | 日志 | 支持本地日志 | ||
支持URL 日志 | ||||
支持NAT 转换日志 | ||||
支持会话日志 | ||||
支持安全防护日志 | ||||
支持流量告警日志 | ||||
支持安全事件统计功能 | ||||
CLI | 支持Telnet、SSH等方式 | |||
GUI | 支持HTTP、HTTPS的Web页面,人性化设计 | |||
SNMP | 支持SNMP集中网管 |