天融信网络防火墙方案白皮书（ word 可编辑版）.docxVIP

PAGE PAGE 2 天融信网络防火墙方案白皮书 目录 产品功能描述 3 防火墙概述 3. 系统概述 3. 功能描述 3. 产品硬件规格及性能参数 4 2.1 防火墙品目一：TG-62242 4. 2.2 防火墙品目二：TG-42218 6. 产品测试方案 7 防火墙测试方案 7. 测试说明 7. 功能要求及测试方式 9. 测试结果记录 2.6 产品功能描述 防火墙概述 系统概述 网络层访问控制基本的安全防护手段，通常采用路由器和防火墙等手段实现， 然而防火墙相对与路由器而言，不仅仅只是提供简单的访问控制功能，同时也能 够提供更为强大的连接检测、攻ft检测、认证、内容过滤等更加细粒度的安全防 护，所以在网络层访问控制方面通常都采用防火墙设备，通过防火墙设备定义好 的安全规则来实现基本的访问控制。 防火墙是实现网络安全的重要设备，防火墙的目的是要在内部、外部两个网络之间建立一个安全控制点，通过允许、拒绝或重新定向经过防火墙的数据流， 实现对进、出内部网络的服务和访问的审计和控制。具体地说，设置防火墙的目的是隔离内部网和外部网，保护内部网络不受攻ft，实现以下基本功能： 禁止外部用户进入内部网络，访问内部资源； 保证外部用户可以且只能访问到某些指定的公开信息； 限制内部用户只能访问到某些特定资源，如 WWW 服务、FTP 服务等。 功能描述 针对安全建设需求，建议对部署在网络内的防火墙配置如下策略： 实现访问控制：通过在防火墙上配置安全访问控制策略过滤访问行为，实现基于协议、源/目的 IP 地址、端口的访问控制，对来自核心服务器区边界的访问 进行认证检查及内容过滤，有选择的接入。 带宽管理：启用带宽管理功能，如当某一地址或某地址段对外连接数超过一定数量或流量超过一个设定的阀值时，实现阻断或流量限制的功能； 身份认证：在防火墙上开启用户身份认证功能，利用防火墙自带数据库或通过 Radius 及 SecureID 和 LDAP 用户认证功能； 抗攻ft：在防火墙上开启自动抗攻ft功能，利用防火墙本身的防御功能防止 DoS、端口扫描等攻ft，确保网络不被外部黑客攻破； 抗蠕虫：通过防火墙的蠕虫过滤等功能保证核心服务器所承载的核心应用系 统不受来自核心服务器区边界的蠕虫及网络病毒侵害，保障核心应用系统正常、高效运行； 多种手段报警：防火墙发现攻ft、非法入侵、未授权访问等违反安全规则的 行为，立即以多种手段（告警、日志、SNMP 陷阱等）实现违规行为的告警，并记录日志，以便查询。 日志管理：在防火墙上开启日志记录功能（建议安装单独的日志服务器）， 利用防火墙的日志功能记录完整日志和统计报表等资料，尤其是流量日志、访问日志、管理日志等重要信息。 产品硬件规格及性能参数 防火墙品目一：TG-62242 配置说明 配置说明 2U 机箱； 最大配置为 34 个千兆接口，或者 16 个万兆接口（SFP+） +2 个千兆接口； 默认包括 4 个可插拨的扩展槽和 2 个10/100/1000BASE-T 接口（作为 HA 口和管理口）； 标配双冗余电源； 网络吞吐：24Gbps 并发连接：400 万新建连接：18 万/秒 HTTP 新建连接：12 万/秒 性能描述 防病毒吞吐率：1Gbps IPS 吞吐率：2Gbps IPSEC 加解密吞吐率：400Mbps IPSEC VPN 隧道数：8000 SSL 吞吐率：700Mbps SSL 并发用户数：7000 尺寸（宽深高）：426*570*89mm 净重：12.46KG 毛重：17.76KG 电压：AC 100~240V(正负 10%的误差） 频率：47~63HZ 硬件参数 电流：6-3A 功率：300W (MAX) 平均无故障时间（MTBF）：超过 60，000 小时运行温度：0~40 摄氏度 存储温度：-20~80 摄氏度相对湿度：10~90%，非冷凝 符合的标准规范 环境保护 GB/T 9813-2000； 电磁辐射 电磁辐射 GB/T 17618-1998 ；GB 9254-2008 运输方式 快递、物流 接地线的数量、线径：1 根,大于等于 0.75 平方毫米. 接地线数量、线径：1 根,线径大于等于 0.75 平方毫米. 其它要求 接地电阻：小于 100 毫欧 电源品牌：亿泰兴 电源型号：EFRP-2300 防火墙品目二：TG-42218 1U 1U 机箱 配置说明 配置为 6 个 10/100/1000BASE-T 接口和 2 个 SFP 插槽，1 个可插拨的扩展槽； 标配双电源； 网络吞吐：3Gbps 并发连接：160 万 新建连接：5 万/秒 HTTP 新建连接：3.5 万/秒 防病毒吞吐率：100Mbps 性能描述 IPS 吞吐率：300Mbps IPSEC