AF防火墙参数全系列型

NAT功能
支持多个内部地址映射到同一个公网地址、多个内部地址映射到多个公网地址、内部地址到公网地址一一映射、源地址和目的地址同时转换、外部网络主机访问内部服务器、支持DNS映射功能
可配置支持地址转换的有效时间
支持多种NAT ALG，包括DNS、FTP、H.323、SIP等
IPSecVPN功能
支持AES、DES、3DES、MD5、SHA1、DH、RC4等算法，并且支持扩展国密办SCB2等其他加密算法支持MD5及SHA-1验证算法
病毒库数量
支持10万条以上的病毒库，并且可以自动或者手动升级
流控
应用特征识别库
*支持对1000种以上应用2000种以上的应用动作（需提供截图证明）
应用流控
*支持基于应用类型划分与带宽分配
网站流控
*支持基于网站类型的划分与带宽分配
文件流控
支持基于文件类型划分与分配带宽
WEB安全防护
URL过滤
*对用户web行为进行过滤，保护用户免受攻击；支持只过滤HTTP GET、HTTP POST、HTTPS等应用行为；并进行阻断和记录日志
文件类型过滤
*支持针对上传、下载等操作进行文件过滤；支持自定义文件类型进行过滤；支持基于时间表的策略制定；支持的处理动作包括：阻断和记录日志
ActiveX过滤
*支持基于签名证书的ActiveX过滤；支持添加白名单和合法网站列表；支持基于应用类型的ActiveX过滤，如视频、在线杀毒、娱乐等；
脚本过滤
抗攻击特性
支持防御Land、Smurf、Fraggle、WinNuke、Ping of Death、Tear Drop、IP Spoofing、SYN Flood、ICMP Flood、UDP Flood、DNS Query Flood、ARP欺骗攻击防范、ARP主动反向查询、TCP报文标志位不合法攻击防范、支持IP SYN速度限制、超大ICMP报文攻击防范、地址/端口扫描的防范、DoS/DDoS攻击防范、ICMP重定向或不可达报文控制等功能，此外还支持静态和动态黑名单功能、MAC和IP绑定功能

fortinet fg-1100e技术参数
Fortinet的FG-1100E系列下一代防火墙（NGFW）是一款高性能的网络安全防御产品，适用于大型企业和网络服务供应商。

以下是Fortinet FG-1100E系列的技术参数：
网络分段：该系列防火墙支持网络分段功能，可以根据企业安全策略将网络划分为不同的安全区域，实现精细化的安全控制。

IPS（入侵防御系统）：FG-1100E系列集成高性能的IPS功能，能够实时检测和防御各种网络攻击，保护企业网络免受恶意软件的威胁。

移动安全：该系列防火墙支持移动设备安全管理，能够控制移动设备的网络访问权限，保护企业数据的安全。

接口和性能：FG-1100E系列具有多个高速接口，可以满足大型企业和网络服务供应商的高带宽需求。

同时，该系列防火墙具有高接口密度，可以灵活地部署在企业/云边缘、数据中心或内部网段中。

安全性能：FG-1100E系列防火墙采用Fortinet的FortOS操作系统，集成了防火墙、VPN、入侵防御、内容过滤等多种安全功能，具有出色的安全性能。

高吞吐量：该系列防火墙支持高吞吐量数据处理，能够满足大型企业和网络服务供应商对网络性能的要求。

总之，Fortinet的FG-1100E系列下一代防火墙是一款高性能、高安全的网络安全产品，适用于大型企业和网络服务供应商。

其技术参数包括网络分段、IPS、移动安全、高速接口和高吞吐量等，可以为企业提供全面的网络安全保护。

病毒库数量
支持10万条以上的病毒库，并且可以自动或者手动升级
流控
应用以上的应用动作（需提供截图证明）
应用流控
*支持基于应用类型划分与带宽分配
网站流控
*支持基于网站类型的划分与带宽分配
文件流控
支持基于文件类型划分与分配带宽
WEB安全防护
URL过滤
*对用户web行为进行过滤，保护用户免受攻击；支持只过滤HTTP GET、HTTP POST、HTTPS等应用行为；并进行阻断和记录日志
抗攻击特性
支持防御Land、Smurf、Fraggle、WinNuke、Ping of Death、Tear Drop、IP Spoofing、SYN Flood、ICMP Flood、UDP Flood、DNS Query Flood、ARP欺骗攻击防范、ARP主动反向查询、TCP报文标志位不合法攻击防范、支持IP SYN速度限制、超大ICMP报文攻击防范、地址/端口扫描的防范、DoS/DDoS攻击防范、ICMP重定向或不可达报文控制等功能，此外还支持静态和动态黑名单功能、MAC和IP绑定功能
一、性能及配置要求
AF-1320-L对应NS-SecPath U200-A
项目
指标
具体功能要求
接口
电口
具备至少6个10/100/1000 Base-T 千兆电口
Bypass
*支持故障时Bypass功能（1路）
技术
规范
安装空间
标准1U机架尺寸
储存温度
－20℃～70℃
相对湿度
5～95%（无凝结状态）
性能
智能策略联动
*风险评估可以实现与FW、IPS、服务器防护模块的智能策略联动，自动生成策略（需提供截图证明）

病毒防护
支持对HTTP，FTP，SMTP，POP3协议进行病毒文件检测；
病毒库具备的内置病毒特征数量超过1000万；
支持对常见压缩文件格式的检测，如zip，rar，7z等；
支持杀毒文件类型自定义；
支持杀毒白名单功能，可以根据URL或者IP进行排除不检测病毒；
检测到病毒后的操作支持阻断，记录杀毒日志；
网页篡改防护
支持网关型网页防篡改，无需在服务器中安装任何插件；
动态网页/静态网页支持，全面保护网站的静态网页和动态网页，支持网页的自动发布、篡改检测、应用保护、警告和自动恢复，保证传输、鉴别、地址访问、表单提交、审计等各个环节的安全，完全实时杜绝篡改后的网页被访问的可能性及任何使用Web方式对后台数据库的篡改；
支持IPv4／v6 NAT地址转换，支持源目的地址转换，目的地址转换和双向地址转换，支持针对源IP或者目的IP进行连接数控制；
支持基于应用类型的策略路由应用引流；支持多线路链路负载；支持基于应用类型，网站类型，文件类型进行带宽分配和流控；
支持URL过滤和文件过滤功能，URL过滤支持GET，POST请求过滤和HTTPS网站过滤，文件过滤支持文件上传和下载过滤；
★支持对常见Web建站内容管理系统的防护，所支持的CMS类型数量不少20种，如dedecms，phpcms，phpwind，Empirecms，discuz，wordpress，joomla等；（需提供截图证明并加盖厂商公章）
★提供针对关键URL或者其他非Web关键服务的短信强认证机制；（要求提供三种以上服务的短信认证配置截图）
支持区分针对客户端和服务端的漏洞保护；
★支持针对服务器的漏洞风险评估功能，支持对ftp、mysql、oracle、mssql、ssh、RDP、NetBIOS、VNC等应用的弱密码扫描，扫描完成后生成安全风险评估报告；(为了保障与防火墙之间智能联动，要求漏洞风险评估非第三方软件产品)

国内下一代防火墙第一品牌
深信服下一代防火墙（Next-Generation Application Firewall）NGAF是面向应用层设计，能够精确识别用户、应用和内容，具备完整安全防护能力，能够全面替代传统防火墙，并具有强劲应用层处理能力的全新网络安全设备。

NGAF 解决了传统安全设备在应用识别、访问控制、内容安全防护等方面的不足，同时开启所有功能后性能不会大幅下降。

区别于传统的网络层防火墙，NGAF具备L2-L7层的协议的理解能力。

不仅能够实现网络层访问控制的功能，且能够对应用进行识别、控制、防护，解决了传统防火墙应用层控制和防护能力不足的问题。

区别于传统DPI技术的入侵防御系统，深信服NGAF具备深入应用内容的威胁分析能力，具备双向的内容检测能力为用户提供完整的应用层安全防护功能。

同样都能防护web攻击，与web应用防火墙关注web应用程序安全的设计理念不同，深信服下一代防火墙NGAF 关注web系统在对外发布的过程中各个层面的安全问题，为对外发布系统打造坚实的防御体系。

2 / 5
配置易用性
而不需要配置需要防护的地址进行防护，可以针对服务器IP网站域名。
地址IP支持域名自学习，可以自动学习网络中网站服务器的及此地址下的域名。
DDoS攻击防护
正常流量阈值模型，http支持基线学习，可以自动学习用户并给出推荐阈值配置项。
检测清洗根流量支持检测清洗和强制防御两种模式，对ddos据是否到达阈值对流量进行清洗，强制清洗对所有流量直接进行流量清洗判断。
1
台
硬件模块化设计
硬件采用模块化设计，可以通过扩展卡来增减业务接口，而非软件WAF。
和端口数量扩展能力
个可插拨默认包括2个接口；2U机架式结构；最大配置为26（其10/100/1000BASE-TSFP插槽接口和4个的扩展槽和4个接口（作为2，个10/100/1000BASE-T个中2SFP+万兆插槽）口和管理口）；HA
域名解析。WAF本机DNS支持
配置文件导入、导出及恢复出厂配置。支持WAF
方式升级及命令行等方式的离线升级。支持操作系统WEB
支持规则库的在线升级和离线升级。
支持攻击日志短信告警，可以将特定的攻击类型的攻击日志发送给指定手机接收。
支持攻击日志邮件告警，可以定时将特定攻击类型的攻击日志间隔定一定时间后定时发送至指定邮箱。
另外一个down(一个接口支持同一台WAF上下接口状态联动。接口也同步down)
WAF纯透明交换模式接入。两台WAF路由模式接入、两台
功硬件Bypass能
bypass模块。支持开机及断电bypass模式，光口支持外置
质资中心颁发的《中国国家信息安全漏洞库）一级技术支撑单位》（CNNVD国-国家互联网应急中心颁发的《网络安全应急服务支撑单位家级》中国信息安全认证中心颁发的《一级应急处理服务资质》中国信息安全认证中心颁发的《一级风险评估服务资质》

国内下一代防火墙第一品牌
深信服下一代防火墙（Next-Generation Application Firewall）NGAF是面向应用层设计，能够精确识别用户、应用和内容，具备完整安全防护能力，能够全面替代传统防火墙，并具有强劲应用层处理能力的全新网络安全设备。

NGAF 解决了传统安全设备在应用识别、访问控制、内容安全防护等方面的不足，同时开启所有功能后性能不会大幅下降。

区别于传统的网络层防火墙，NGAF具备L2-L7层的协议的理解能力。

不仅能够实现网络层访问控制的功能，且能够对应用进行识别、控制、防护，解决了传统防火墙应用层控制和防护能力不足的问题。

区别于传统DPI技术的入侵防御系统，深信服NGAF具备深入应用内容的威胁分析能力，具备双向的内容检测能力为用户提供完整的应用层安全防护功能。

同样都能防护web攻击，与web应用防火墙关注web应用程序安全的设计理念不同，深信服下一代防火墙NGAF 关注web系统在对外发布的过程中各个层面的安全问题，为对外发布系统打造坚实的防御体系。

智能策略联动
*风险评估可以实现与FW、IPS、服务器防护模块的智能策略联动，自动生成策略（需提供截图证明）
网页篡改防护*
网关型网页防篡改
*支持网关型网页防篡改，无需在服务器中安装任何插件
篡改实时检查
支持文件比对、特征码比对、网站元素、数字指纹比对多种比对方式，保证网站安全
动态网页/静态网页支持
*全面保护网站的静态网页和动态网页，支持网页的自动发布、篡改检测、应用保护、警告和自动恢复，保证传输、鉴别、地址访问、表单提交、审计等各个环节的安全，完全实时杜绝篡改后的网页被访问的可能性及任何使用Web方式对后台数据库的篡改
参数
吞吐量
吞吐量≥1G
VPN连接数
不小于400
并发连接数
不小于40万
新建连接数
*≥15000
延时
<10 us
平均无故障时间（MTBF）
≥100,000小时
AF-1820-D对应天清汉马USG-2000C
项目
指标
具体功能要求
接口
接口
10个千兆电口
4个千兆光口
Bypass
*支持故障时Bypass功能（3路）
策略制定
配置选项:可设置源、目的区域、目的IP和端口号，端口号支持设置Web应用、FTP、mysql、telnet、ssh服务的端口号
文件上传过滤
*严格控制上传文件类型，检查文件头的特征码防止有安全隐患的文件上传至服务器，并支持结合病毒防护、插件过滤等功能检查文件安全性
其他应用防护
* ftp弱口令防护、telnet弱口令防护
防护对象
*漏洞分为保护服务器和保护客户端两大类，便于策略部署（需提供截图证明）
处理动作“云联动“

注：其中打“★”部分为必须满足项。请根据要求详细应答。
支持自定义统计指定IP/用户组/用户/应用在指定时间段内的服务器安全风险、终端安全风险等内容，并形成报表
支持将统计/趋势等报表自动发送到指定邮箱
支持导出安全统计/趋势等报表，包括网页、PDF等格式
售后服务要求
必须在省内有厂家直属的服务办事机构，提供7*24小时快速上门服务和2小时内快速响应服务(官网上必须可查询到办事机构地址)。
IPS入侵防护
★必须是微软“MAPP”计划会员（微软官方网页截图并加盖厂商公章）特征库必须获得CVE“兼容性认证证书”（需提供截图证明并加盖厂商公章）
★漏洞分为保护服务器和保护客户端两大类，便于策略部署（需提供截图证明并加盖厂商公章）
★支持APT检测功能，防止僵尸网络感染PC终端用户
防火墙
提供静态的包过滤和动态包过滤功能；支持的应用层报文过滤，包括：应用层协议：FTP、HTTP、SMTP、RTSP、H.323（Q.931，H.245，RTP/RTCP）、SQLNET、MMS、PPTP等；传输层协议：TCP、UDP
抗攻击特性
★设备必须内置病毒库、漏洞特征库、应用识别库、WEB应用防护库、数据泄密防护库，并且支持在线自动升级。其中应用识别库的应用总数在1000条以上，规则总数在2200条以上；漏洞特征识别库的特征总数在4000条以上；WEB应用防护识别库规则总数在2000条以上。数据泄密防护库支持用户自定义敏感信息。设备必须具备传统三层防火墙、IPS、Web应用防护、杀毒、Web弱点扫描器、网页防篡改、VPN等功能模块。（以上内容必须提供详细操作界面截图并加盖厂商公章）。
病毒防护
病毒引擎，基于流引擎查毒技术，可以针对HTTP、FTP、SMTP、POP3等协议进行查杀。

Gartner定义下一代防火墙源引自：Gartner《Defining the Next-Generation Firewall》一、防火墙必须演进防火墙必须演进，才能够更主动地阻止新威胁(例如僵尸网络和定位攻击)。

随着攻击变得越来越复杂，企业必须更新网络防火墙和入侵防御能力来保护业务系统。

不断变化的业务流程、企业部署的技术，以及威胁，正推动对网络安全性的新需求。

不断增长的带宽需求和新应用架构(如Web2.0)，正在改变协议的使用方式和数据的传输方式。

安全威胁将焦点集中在诱使用户安装可逃避安全设备及软件检测的有针对性的恶意执行程序上。

在这种环境中，简单地强制要求在标准端口上使用合适的协议和阻止对未打补丁的服务器的探测，不再有足够的价值。

为了应对这些挑战，防火墙必须演进为被著名市场研究公司Gartner称之为“下一代防火墙(NextGenerationFirewall，简称NGFW)”的产品。

如果防火墙厂商不进行这些改变的话，企业将要求通过降价来降低防火墙的成本并寻求其他安全解决方案来应对新的威胁环境。

二、什么是NGFW?Gartner将网络防火墙定义为在不同信任级别的网络之间实时执行网络安全政策的联机控制。

Gartner使用“下一代防火墙”这个术语来说明防火墙在应对业务流程使用IT的方式和威胁试图入侵业务系统的方式发生变化时应采取的必要的演进。

NGFW至少具有以下属性：1．支持联机“bump-in-the-wire”配置，不中断网络运行。

2．发挥网络传输流检查和网络安全政策执行平台的作用，至少具有以下特性：（1）标准的第一代防火墙能力：包过滤、网络地址转换(NAT)、状态性协议检测、VPN等等。

（2）集成的而非仅仅共处一个位置的网络入侵检测：支持面向安全漏洞的特征码和面向威胁的特征码。

IPS与防火墙的互动效果应当大于这两部分效果的总和。

例如提供防火墙规则来阻止某个地址不断向IPS加载恶意传输流。

国内下一代防火墙第一品牌深信服下一代防火墙（Next-Generation Application Firewall）NGAF面向应用层设计，能够精确识别用户、应用和内容，具备完整安全防护能力，能够全面替代传统防火墙，并具有强劲应用层处理能力的全新网络安全设备。

NGAF解决了传统安全设备在应用识别、访问控制、内容安全防护等方面的不足，同时开启所有功能后性能不会大幅下降。

作为传统防火墙的升级替代产品，深信服NGAF不同于工作在L2-L4层的传统防火墙，可以对全网流量进行双向深入数据内容层面的全面透析。

在安全策略制定方面，区域别于传统防火墙五元组安全策略，深信服NGAF可对L2-L7层更多的元素（如，用户、应用类型、URL、数据内容等）制定双向的安全访问策略，使安全策略更精细、更有效，且满足业务的合规性；在安全防护能力方面，提升了传统的抗攻击的能力，不仅能防护网络层的攻击，针对来源更广泛、攻击更容易、危害更大的应用层攻击也可以进行防护，实现L2-L7层的安全防护。

同时，深信服NGAF采用全新的软硬件架构，减小在多种复杂的安全策略和L2-L7层多功能防护功能全部开启时性能的消耗，实现应用层高性能。

产品系列型号产品型号AF-1000-L4170 AF-1000-L4175 AF-1000-L4178 AF-1000-L4270 AF-1000-L4370 三层吞吐 1.5Gbps 2Gbps 2.5Gbps 2.5Gbps 3Gbps七层吞吐200Mbps 250Mbps 250Mbps 350Mbps 450Mbps并发连接数800,000 800,000 800,000 800,000 1,200,000网络接口3GE 4GE 6GE 4GE 6GE安装空间桌面式1U 1U 1U 1U电源单电源单电源单电源单电源单电源产品型号AF-1000-L4470AF-1000-L4473 AF-1000-L4475 AF-1000-L4478AF-1000-L4478P AF-1000-L4570三层吞吐 3.5Gbps4Gbps 4Gbps 5.5Gbps 5.5Gbps7Gbps七层吞吐550Mbps600Mbps 650Mbps 800Mbps800Mbps1Gbps并发连接数1,800,0001,800,000 1,800,000 2,000,0002,000,0002,000,000网络接口4GE+2SFP10GE 4GE+4SFP 6GE6GE4GE+2SFP 安装空间1U1U 1U 1U1U1U 电源单电源单电源单电源单电源单电源单电源产品型号AF-1000-L4670AF-1000-F440AF-1000-FA40AF-1000-G640AF-1000-G680AF-2000-H642三层吞吐8Gbps8Gbps10Gbps10Gbps14Gbps16 Gbps七层吞吐 1.6Gbps2Gbps2Gbps3Gbps4Gbps 4 Gbps并发连接数2,000,0002,000,0002,200,0002,200,0002,500,0002,500,0006GE+4SFP 网络接口8GE4GE+4SFP 10GE+4SFP 6GE+4SFP 6GE+8SFP+2*10G SFP+ 安装空间1U2U2U2U2U2U 电源单电源单电源冗余电源冗余电源冗余电源冗余电源产品型号AF-2000-H644 AF-2000-I482 AF-2000-I484AF-2000-J444AF-2000-J448三层吞吐18Gbps 20 Gbps 25 Gbps40Gbps80Gbps七层吞吐8 Gbps 12 Gbps 15 Gbps20Gbps40Gbps并发连接数4,000,000 8,000,000 8,000,00012,000,00016,000,000网络接口6GE+4SFP+4*10G SFP+4GE+8SFP+2*10G SFP+4GE+8SFP+4*10G SFP+4GE+4SFP+4*10G SFP+4GE+4SFP+8*10G SFP+安装空间2U 2U 2U2U2U 电源冗余电源冗余电源冗余电源冗余电源冗余电源产品功能列表项目具体功能部署方式支持路由、透明、旁路、单臂、虚拟网线以及混合部署模式；实时监控提供基于业务安全、用户安全两个方面的风险威胁的全面展现描述，包括漏洞风险、安全攻击事件及特定威胁的详细信息；提供并发会话数、新建会话数、接口吞吐率、应用流量实时排行等统计信息；提供设备实时CPU使用率、内存使用率、磁盘使用率、网络接口状态、设备系统状态、设备版本信息、设备规则库状态等设备资源信息；网络适应性支持ARP代理、静态ARP绑定；支持配置DNS及DNS代理；支持DHCP中继、DHCP服务器；支持SNMP v1、v2、v3，支持SNMP Trap配置；支持TCP MSS配置；支持HOSTS配置；支持静态路由、RIP v1/2、OSPFv2/v3、BGP、策略路由、多播路由、ECMP等价路由等多种路由协议；支持链路探测，端口聚合，接口联动；NAT地址转换支持IPv4／v6 NAT地址转换，支持多个内部地址映射到同一个公网地址、多个内部地址映射到多个公网地址、内部地址到公网地址一一映射、源地址和目的地址同时转换、外部网络主机访问内部服务器、支持DNS映射功能；支持针对源IP、目的IP和双向IP连接数控制；支持多种NAT ALG，包括DNS、FTP、H.323、SIP等DoS/DDoS 防护支持Land、Smurf、Fraggle、WinNuke、Ping of Death、Tear Drop、IP Spoofing攻击防护，支持SYN Flood、IPv4/v6 ICMP Flood、UDP Flood、DNS Flood、ARP Flood攻击防护，支持IP 地址扫描，端口扫描防护，支持ARP欺骗防护功能、支持IP协议异常报文检测和TCP协议异常报文检测；支持内网访问控制，配置内网区域只允许指定的IP地址或IP范围对外进行访问，防止内部伪造源IP对外DoS攻击的情况；支持对信任区域主机外发的异常流量进行检测，如ICMP，UPD，SYN，DNS Flood等DDoS攻击行为；VPN支持IPSec VPN，SSL VPN，GRE，GRE over OSPF，GRE over IPSec等VPN接入方式；应用识别与控制支持对1200种以上应用、3000种以上应用动作，可以识别P2P、IM、OA办公应用、数据库应用、ERP应用、软件升级应用、木马外联、炒股软件、视频应用、代理软件、网银等应用；支持自定义应用; 提供基于服务/应用识别类型、网络对象/用户、端口、安全域、IP地址、服务/应用、生效时间、告警动作等进行应用访问控制策略设置；僵尸网络检测具备独立的僵尸网络识别库，特征库总数在40万条以上，支持手动或自动更新；内置恶意URL链接库；支持对终端已被种植了远控木马或者病毒等恶意软件进行检测，并且能够对检测到的恶意软件行为进行深入的分析，展示和外部命令控制服务器的交互行为和其他可疑行为；支持对于未知威胁具备同云端安全分析引擎进行联动的能力，上报可疑行为并在云端进行沙盒检测，并下发威胁行为分析报告；支持通过云端的大数据分析平台，发现和展示整个僵尸网络的构成和分布，定位僵尸网络控制服务器的地址；漏洞防护漏洞防护规则特征数量在7000条以上，支持手动或自动更新；支持对常见应用服务（HTTP、FTP、SSH、SMTP、IMAP、POP3、RDP、Rlogin、SMB、Telne、Weblogic、VNC）和数据库软件（MySQL、Oracle、MSSQL）的口令暴力破解防护功能；支持防护常见网络协议（SSH、FTP、RDP、VNC、Netbios）和数据库（MySQL、Oracle、MSSQL）的弱密码扫描功能；支持同防火墙访问控制规则进行联动，可以针对检测到的攻击源IP进行联动封锁；可提供最新的威胁情报信息，能够对新爆发的流行高危漏洞进行预警和自动检测，发现问题后支持一键生成防护规则；Web攻击防护具备独立的WEB应用防护识别库，特征总数在3000条以上，支持手动或自动更新；支持SQL注入、XSS攻击、网页木马、网站扫描、WEBSHELL、跨站请求伪造、系统命令注入、文件包含攻击、目录遍历攻击、信息泄漏攻击、WEB整站系统漏洞等Web应用攻击防护；支持CC攻击、CSRF 攻击、COOKIE攻击等攻击防护；支持HTTP 1.0/1.1，HTTPS协议的安全威胁检测；支持服务器资产自动识别；支持Web漏洞扫描功能，可扫描检测网站是否存在SQL注入、XSS、跨站脚本、目录遍历、文件包含、命令执行等脚本漏洞；支持对网站黑链进行检测；支持Windows和Linux系统下网页防篡改功能；支持叠加云端安全服务实现对设备的托管，由云端安全专家对设备进行日志分析和策略配置调整，并按月输出运营月报。

14000
H3CF1000--AK115
?1U机架式，防火墙吞吐量：三层 七层 400Mbps；并发连接数：50万；每秒新建连接数：2万；支持多种管理方式：Web、Console、Telnet、SSH；完整支持L2TP、IPSec/IKE、GRE、SSL等协议；其中支持IPSec隧道：750个 吞吐量：400M；支持SSL vpn并发用户:500个 吞吐量：200M；支持L2TP/GRE隧道数：500个；8个千兆电口+2个Combo，500G存储介质，单电源
15.可对详细的URL访问日志、NAT日志进行纪录
16.支持基于私有的双机热备协议，可同步会话和配置
17.设备操作界面上保存不少于5个配置文件，可指定启动使用的配置文件、配置文件的备份与恢复，每个配置文件都可进行中文备注。
18.19、通过手机APP能够对多台设备集中监控，支持收集多设备CPU、内存、流量数据做实时展示和历史趋势展示; 支持用户流量和应用流量 TOP10排名展示; 支持威胁事件收信息的收集和展现; 支持用户定义告警规则，配置CPU利用率、内存利用率、流量过界做为触发条件; 可以邮件、短信、手机端消息通知方式发送告警信息; 支持将设备事件日志上传云端进行存储，可按条件查询; 支持报表功能和云端存储，可自定义报表模板及生成计划; 支持安卓手机APP、WEB访问方式。
7.支持基于数据包的安全域、地址、用户及用户组、MAC、端口号、服务、域名等进行安全策略控制，支持将源MAC作为独立的访问控制条件，防止非法设备接入
8.支持根据规则序号、规则名、源地址、目的地址、入侵防护策略、服务、认证用户、认证用户组、所属策略组、备注进行规则查询;支持对Oracle、SQL-Server、DB2、Informix、Sybase、MySQL等常见数据库

服务
FortiGuard™ 安全服务
FortiGuard Labs提供实时安全概况情报，在整个Fortinet解决 方案的覆盖范围内推送全面安全更新。我们的专家团队由安全 威胁研究分析师、工程师和电子取证专家组成，与世界领先威 胁监视组织和其他网络和安全供应商以及执法机构通力协作。
FortiCare™ 支持服务
经济、有效的高性能威胁防护能力 WAN路径控制器和链路健康监控，用于提高应用程序性能 安全处理器带来业界最佳的IPSEC VPN和SSL检查性能 集中式管理和零接触部署
FortiSandbox 高级威胁防御
FortiManager 集中管理 FortiAnalyzer 记录、分析和报告
NP6
CP9
1U
10GE
/AC
L
480GB
4. 8个 GE RJ45 接口 5. 8个 GE SFP 插槽 6. 2个 10 GE SFP+ 插槽
SPU 加速
§ 专用SPU处理器可提供在数个G速度下 检测恶意内容所需的功能
其他安全技术无法抵御当今广泛基于内容 和连接的威胁，由于它们依赖于通用 CPU，从而在性能上达不到要求
SPU处理器提供拦截新兴威胁所需的性 能，满足严格的第三方认证，并确保您的 网络安全解决方案不会成为网络瓶颈
网络处理器
Fortinet的新型的、突破性的SPU NP6网络处理器与FortiOS功能 协同工作，提供： § 出色的防火墙性能，适用于IPv4/IPv6、SCTP和组播流量，具有
低至2微秒的超低时延 VPN、CAPWAP和IP隧道加速 基于异常行为的入侵防御、校验卸载和数据包碎片整理 流量整形和优先级排队
注：所有性能值均为“最高可达”，根据系统配置而变化。 1. IPsec VPN 性能测试使用 AES256-SHA256. 2. IPS (企业混合流量), 应用控制, NGFW （下一代防火墙）和威胁防护均在启

产品觃划期6次 评実 产品设计期10次 评実 产品编码期4次 评実
产品测试实验室设备超600台
测试人员不开发人员比例1：2，国内最高标准 8轮 软件测试,确保产品交付癿高品质
深信服科技：服务体系
36 个城市，设立直属办事处 8 个大区备品备件库 60 坐席的CTI呼叫中心
深信服科技：宠户满意
服务理念 宠户至上 满意第一

代 理
SG
更多威胁
威胁丌仅在OS和服务器软件中
• 浏觅网页，无意下载恶意脚本、越权ActiveX控件等； • 看似正常癿Web交互，黑宠却注入SQL，篡改网页；
攻击转为信息窃取
• 假冒中行网银，血洗数千万资金； • 1800万台电脑形成全球最大僵尸网络；
网络丌仅是黑白癿
• Skype：该放行还是阻止呢？ • QQ：开展业务所需，但传文件而泄密，怎么办？
从几个数据包中识 别出应用特征
基于连接状态癿信息
• 识别600多种网络协议，包括QQ、迅雷等应用协议，及 HTTP-Get、HTTP-Proxy、FTP命令等传统协议癿细化识别
1.应用识别不控制
传 统 代 理
代 理
SG
2.内容安全保护
• 解析Data字段，实现：
– – – – – 查杀潜藏癿病毒 过滤非法URL地址 过滤挃定类型文件 过滤恶意ActiveX控件 过滤危险脚本
“深信服”在‘满足用户 需求’和‘ROI’两项均获 得突出得分，说明深信服 癿努力和提供癿服务获得 了中国用户癿认可。
谢谢
与您携手，共同成长
深圳市南山区麒麟路1号 科技创业中心4楼
Add: 4th Floor, Incubation Center, No.2Qilin Road, Nanshan District, Shenzhen P.C.:518052 Tel:+86-755-2658 1949 Fax:+86-755-2658 1959 Email:master@

国内下一代防火墙第一品牌
深信服下一代防火墙（Next-GenerationApplicationFirewall）NGAF是面向应用层设计，能够精确识别用户、应用和内容，具备完整安全防护能力，能够全面替代传统防火墙，并具有强劲应用层处理能力的全新网络安全设备。

NGAF 解决了传统安全设备在应用识别、访问控制、内容安全防护等方面的不足，同时开启所有功能后性能不会大幅下降。

区别于传统的网络层防火墙，NGAF具备L2-L7层的协议的理解能力。

不仅能够实现网络层访问控制的功能，且能够对应用进行识别、控制、防护，解决了传统防火墙应用层控制和防护能力不足的问题。

区别于传统DPI技术的入侵防御系统，深信服NGAF具备深入应用内容的威胁分析能力，具备双向的内容检测能力为用户提供完整的应用层安全防护功能。

同样都能防护web攻击，与web应用防火墙关注web应用程序安全的设计理念不同，深信服下一代防火墙NGAF 关注web系统在对外发布的过程中各个层面的安全问题，为对外发布系统打造坚实的防御体系。

深信服AF设备配置
深信服防⽕墙AF配置
1.深信服防⽕墙AF设备出⼚manage⼝ip地址为10.251.251.251，⾸先给⾃⼰电
脑配置同⽹段ip地址10.251.251.200，把AF设备manage⼝和笔记本⽤⽹线连起来，打开浏览器输⼊https://10.251.251.251,输⼊⽤户名：admin、密码：admin，登录WEB控制台，
2.防⽕墙⽹关部署，新建2个三层区域，分别为WAN区域和LAN区域，选择
接⼝eth1和eth2。

3.配置⽹络接⼝，wan区域eth1⼝配置公⽹ip地址，lan区域配置内⽹规划ip 地址
4.配置默认路由和去往内⽹的回包路由
5.配置源地址转换，代理内⽹⽤户上⽹，转换为出接⼝ip地址
6.防⽕墙默认拒绝所有，应⽤控制策略放通。

7.配置僵⼫⽹络，内⽹pc上⽹防护。

8.配置IPS防护内⽹客户端
9.配置流量管控，对内⽹pc带宽限制。

1、配置虚拟线路，填写真实带宽
10.配置流控，⾸先启⽤流控，内⽹⽤户p2p下载和在线影视限制50M。

深信服防火墙AF配置
1.深信服防火墙AF设备出厂manage口ip地址为10.251.251.251，首先给自己电
脑配置同网段ip地址10.251.251.200，把AF设备manage口和笔记本用网线连起来，打开浏览器输入https://10.251.251.251,输入用户名：admin、密码：admin，登录WEB控制台，
2.防火墙网关部署，新建2个三层区域，分别为WAN区域和LAN区域，选择
接口eth1和eth2。

3.配置网络接口，wan区域eth1口配置公网ip地址，lan区域配置内网规划ip
地址
4.配置默认路由和去往内网的回包路由
5.配置源地址转换，代理内网用户上网，转换为出接口ip地址
6.防火墙默认拒绝所有，应用控制策略放通。

7.配置僵尸网络，内网pc上网防护。

8.配置IPS防护内网客户端
9.配置流量管控，对内网pc带宽限制。

1、配置虚拟线路，填写真实带宽
10.配置流控，首先启用流控，内网用户p2p下载和在线影视限制50M。