◆首信CF2000系列防火墙

产品概述

首信公司早在1999年就致力于安全技术的研发。首信品牌防火墙产品具有良好的技术积累，主要面向对象为电信运营商、金融证券机构、政府军队、大中小型公司、教育系统、机关等信息化建设。首信品牌愿为用户提供可靠的安全屏障。

产品型号

首信CF2000系列防火墙，为用户提供了全线的安全产品解决方案，包括桌面工作组级别的WG100，EP50；企业百兆级别的EP100，EP200,EP300；企业千兆级别的EP400,EP500;以及电信运营级别的CG600。

产品特点

国内第一家基于ASIC芯片的真正的线速千兆防火墙，吞吐量高达4G bps，即使在64字节包长情况下仍可达到100%吞吐量。最大包延时小于40微秒，包转发率5.95mpps。
更先进的系统结构：硬件上支持对接口的灵活扩展，可以通过灵活的扩展来适应业务发展的需要。并且提供冗余电源（EP-400，EP-500，CG-600）；
接入模式：支持路由模式、透明（桥接）模式（防火墙可不配地址）、混合模式（路由与透明两种模式同时工作）；
应用层过滤：支持对BT、eDonkey、skype、qq、msn、yahoo、rtsp、httpaudio、httpvideo等应用层协议的深度控制;
二层协议过滤：支持对ARP/RARP/802.1q/802.3等二层协议的过滤及深度控制；
NTP支持：支持NTP网络时间同步管理；
license管理：支持系统授权的license管理；
用户管理：可根据IP地址或网段定义用户；也可根据用户名和密码定义用户。用户数无限制用户属性包括：MAC地址、网络接口、流量限额；
支持防火墙作为DHCP服务器、DHCP relay、DHCP客户端；
网络地址转换：可支持动态、静态地址转换，支持SNAT及DNAT，支持端口转换（NAPT）、端口映射（Port Mapping）；支持一对一网段映射；
支持DDNS（如ADSL的拨号连接及自动重拨），可在中断以后自动重拨并且重新建立好VPN连接，满足了目前中小型公司的网络访问能力，满足了用户的各种接入方式需要；
实时监控：可实时查看穿过防火墙的连接并切断选中的连接；可实时查看用户和用户组的连接情况，监控内容包括：源地址、目的地址、协议、源端口、目的端口以及针对该连接可执行的操作，并且可以查看当前运行负载情况，包括内存的使用情况和连接状况等；
模板管理：支持4种模板定义：地址模板、时间模板、协议模板和内容过滤模板；
VPN：支持基于IPSec协议的网关到网关和基于PPTP以及L2TP协议的端到网关两种VPN应用模式；支持手动密钥、预共享密钥、RSA密钥对和证书等密钥交换方式，支持DES、3DES、AES128、AES256、TWOFISH128、TWOFISH256、BLOWFISH、CAST等加密算法，支持MD5、SHA1、SHA2_256和SHA2_512认证方式；组建的VPN网络可实现NAT穿透功能；
入侵检测：内置超过1500种攻击特征，支持用户自定义攻击特征。内置超过1500种攻击特征，可检测入侵；前支持与国内主流IDS厂商联动，如首信、启明星辰、绿盟、金诺网安、中科网威等，有标准的接口可以支持任何IDS产品；
抗DOS攻击：可防TCP、UDP等端口扫描；防源路由攻击、IP碎片包攻击、DNS/RIP/ICMP攻击、SYN攻击；可阻止ActiveX、Java、Javascript入侵，可防止ping flood、UDP flood 、Land attack 、Ping of death、IP spoofing、Tear drop attack、smurf attack等多种网络攻击行为。
支持URL监控与过滤功能：管理员可以实时的查看当前受监控用户正在使用的URL，当发现用户有非法的使用时，可以对其进行及时的阻断，并且可以通过URL过滤功能实现对受控网点的阻断；
支持一台防火墙接口间负载均衡与多台防火墙的集群负载均衡；
访问控制：可依据数据包的、源和目的IP地址、协议类型、源和目的TCP/UDP端口、ICMP类型、时间日期等信息以及用户的流量限额进行控制；可以实现IP与MAC地址的绑定，同时支持各种自定义模板（地址模板、时间模板、协议模板、内容过滤模板）作为访问控制的要素，加快了规则匹配速度；支持URL过滤；支持SMTP和POP3协议的收件人过滤、发件人过滤、主题过滤、收件人数量过滤、附件大小和名称过滤；
应用代理：具有透明应用代理功能，支持应用层代理：如基于TCP的HTTP、SMTP、FTP、TELNET、POP3等多种应用协议通用代理；传输层代理：如基于TCP和UDP的socks代理；
实现SMTP应用透明代理、POP3应用透明代理方式下，邮件的发收信人地址、人数、文件大小过滤，提供对邮件主题、正文、收发件人、附件名、附件内容等的关键字匹配过滤；
内容过滤：对于http等应用协议可以实现内容过滤；
动态协议过滤：支持FTP、H323、RTSP、TFTP、UPNP、Oracle_TNS等动态协议过滤；
支持动态路由协议：OSPF、RIP、RIPII、BGP、BGP4动态路由协议；并且支持策略路由，可以根据通讯的源地址和目标地址来做出路由选择，适应有多个网络出口的环境。
VLAN支持：支持基于802.1QVLAN协议，支持trunk模式，可以无缝接入已划分VLAN的网络环境，并且支持自定义基于端口的VLAN；
支持众多网络通信协议和应用协议：如DHCP 、VLAN 、ADSL 、ISL 、802.1Q 、Spanning-tree 、NETBEUI 、IPSEC 、H.323 、MMS 等，保证用户的网络应用，方便用户扩展IP 宽带接入及IP电话、视频会议、VOD 点播等多媒体应用。
支持核心网络中生成树（STP）的计算：通过生成树协议，防火墙能够同核心交换机一起进行生成树计算，实现了核心网络的全连接拓扑结构，能够进行链路的自动切换，保证了整个网络的稳定。
SNMP支持：对SNMP 的v1 、v2c 、v3 等不同版本支持，并与当前通用的网络管理平台兼容，可以通过这些管理平台对防火墙的运行状况进行监控；
带宽管理：可根据数据流的目的地址、源地址和协议限定带宽，支持带宽的借用和共享；
能限定最大最小带宽；能限定上行下行带宽；能支持优先使用带宽；支持分级带宽管理；
可以针对具体协议来设定带宽；支持带宽借用和共享；可针对用户组以及用户组中每个成员统计总流量并设置限额；可针对BT、eDonkey、http、ftp、telnet等常用协议分别统计流量并设置限额；
流量统计：支持流量统计功能，可以对每个用户或用户组进行定期的流量统计，可按日/周/月/年进行流量统计。
双机热备与负载均衡：支持“主-主”、“主-从”方式的双机热备功能，“主-从”模式切换时间小于1秒；“主-主”模式通过防火墙自身的负载均衡，提高防火墙在高带宽的网络环境中的有效性能；
配置界面：WEB，SSH，CONSOLE三种方式；支持GUI集中管理及命令行管理方式；支持基于SSH 的远程登陆管理和基于SSL 的GUI 方式管理；支持SNMP集中管理与监控，并与当前通用的网络管理平台兼容，方便管理和维护。
集中管理：在GUI界面中提供基于地图形式的集中管理平台，方便控管辖区内所有安全设备产品，实现分级管理；
加密认证：可以对穿越防火墙的用户实现身份认证；
管理方式：本地与远程管理方式，可集中管理多台防火墙；
非常见协议支持：支持对非IP 协议IPX/NetBEUI 的传输与控制；
支持多种身份认证：如RADIUS 、S/KEY 、SECUREID 、LDAP、TACACS/TACACS+、口令方式、数字证书（CA ）、OTP，更好更广泛的实现了用户鉴别和访问控制；
提供多个管理员权限：超级管理员、配置管理员、审计管理员、策略管理员、日志管理员；每个功能模块都可以灵活的授权给管理帐户。
日志管理功能：包括记录日志会话与应用层日志，日志会话记录读、写文件的动作；日志命令则是在访问日志的基础之上，记录如用户发送的邮件，用户取下的网页等。日志管理功能负责记录通讯时间、源地址、目的地址、源端口、目的端口、字节数、是否允许通过，以及用户应用层的操作记录。能够提供日志自动导出功能，支持向日志服务器导出日志；具备管理日志、通信日志、流量统计日志、IDS日志的记录查询功能；
具备报警功能；具有日志报表；日志可以保存在本机或日志服务器，并且可以生成统计报表；
告警功能：可以提供日志告警，短信告警，EMAIL告警，SNMP陷阱告警等告警手段；

典型应用

首信防火墙可以部署在网关处，从而实现安全网络区域与不安全网络区域的逻辑隔离。通过防火墙强大的安全规则体系，可以实现网络地址转换、网络端口转换、访问控制、VPN接入、抵抗网络攻击等功能，下图是一个IDC机房应用部署案例：

IDC机房应用部署案例