鼎成SECCN AC系列上网行为管理防火墙基于自主开发的安全操作系统和安全协议栈,在安全无漏洞的前提下,完整地实现了多WAN接入、负载均衡、身份认证、智能带宽管理、上网行为管理、VPN以及应用网关防火墙等功能。基于成熟可靠的专用硬件平台,鼎成SECCN AC系列上网行为管理防火墙推出了4个千兆级系列安全产品,可有效覆盖从总部到分支机构的各类网络安全隔离控制要求。
2 产品特点
n 安全防御水平高:系统采用自主开发的网关安全操作系统,独立实现各种安全访问控制,摆脱了庞大复杂的通用操作系统束缚。系统内核稳定,安全应用功能随需扩展,安全防御水平与Checkpoint等著名厂商保持同步领先。
n 网络处理性能好:千锤百炼的安全操作系统操作系统,量身定制的网络接口驱动,与专业打造的硬件平台完美结合,使相同硬件平台下的系统吞吐能力、新建连接速率等核心性能指标比业界平均水平高出20%以上。
n 集中管控能力强:系统集成了自主研发的集中管理软件,同时还提供丰富的业务配置向导和K级精度的带宽控制。其集中统一的管理手段、灵活丰富的管理方法和精确严格的控制策略,可显著提升系统的可用性、可视性和可控性。
3 主要功能特性
功能特性 |
|
项目 |
功能特性说明 |
系统平台 |
采用高稳定、高安全、高效率、高扩展、模块化、多硬件平台支持的嵌入式操作系统 |
工作方式 |
支持网关模式、路由模式、透明桥模式(旁路模式、单臂桥模式)。 |
接入模式 |
静态IP,DHCP,PPPOE |
上网行为管理
|
支持PPPOE认证、WEB认证、AD域认证以及客户端认证等多种准入机制的身份认证 |
支持主流在线电影、网络游戏、股票证券的策略封堵 |
|
智能判断主流P2P软件及特征进行策略封堵 |
|
支持QQ、MSN、飞信等几十种IM即时通讯工具的策略封堵 |
|
支持基于QQ帐号的策略封堵 |
|
支持批量URL策略封堵(URL黑白名单) |
|
可针对三层、NAT环境下,不经过网关的ARP进行侦测与阻断 |
|
支持QQ 2009/2010、2011版本的聊天内容监控与审计 |
|
支持 MSN 2009版本及2009以下版本的聊天内容监控与审计 |
|
支持主流搜索引擎关键字查询内容的监控与审计 |
|
支持对163、新浪、HOTMAIL等数十种主流的WEBMAIL(正文与附件)进行过滤与策略审计 |
|
可对目前主流的社区论坛、博客等作策略审计 |
|
VPN功能 |
支持主模式,野蛮模式 |
基于国际标准SSL/ IPsec、IKE协议构建,可保护子网间、主机间、子网与主机间的安全通讯。 |
|
加密算法: 3DES-CBC, DES, AES256 , AES128 认证算法: MD5,SHA1,DH2,DH5 |
|
支持基于预共享密钥设备认证方式,支持密钥的自动更新,同时可保证会话密钥的完美向前保密。 |
|
特有高可靠性的DDNS访问技术,支持动态IP地址间的VPN安全互连。 |
|
支持NAT穿透(NAT-T),并能够实现VPN互连的“双向NAT穿透”。 |
|
支持移动客户使用客户端软件进行安全接入。 |
|
可以独立为每个VPN加密隧道进行“状态检测”和独立分配带宽,确保高安全性和高度的灵活性。 |
|
支持链路数据压缩,支持链路KEEPALIVE。 |
|
采用细致的权限粒度控制技术,能简单灵活的指定每个VPN用户的具体权限,细致到端口级别,可以将VPN用户虚拟为本地子网的用户。 |
|
支持 SSL /PPTP/L2TP client接入 |
|
支持与IPSEC标准协议的设备互联(支持思科、华为等设备IPSEC VPN建立隧道) |
|
防火墙功能 |
提供基于状态检测技术的实名用户、IP地址、端口组,对不同的用户组进行策略控制。 |
优秀的状态检测引擎,可以为每个防火墙访问控制策略进行状态检测。 |
|
虚拟主机、端口映射功能,支持本地回流。 |
|
有效抵抗DOS/DDOS、扫描、嗅探、同步等多种攻击,可自定义TCP/UDP/ICMP的Flood攻击检测策略,控制单用户最大连接数,抗 UDP,ICMP,SYN等攻击 |
|
基于Hash表的快速转发功能,极大提高了防火墙的吞吐率。 |
|
支持对域名的大容量缓存,高效控制大量网段 |
|
MAC地址绑定:支持统一的IP/MAC绑定,一次设定,全部生效。 |
|
完整的日志:支持日志分类,流入流出包信息 |
|
路由功能 |
每个WAN口可以提供相应的路由表,根据路由表选择相应外网(如电信网络,或网通网络)。 |
支持智能路由器分离功能:将流量重定向到特定的WAN口或LAN口特定的机器,分流上网数据、扩充互联线路。 |
|
支持WAN口、 LAN口、DMZ口自定义。 |
|
可自由设定静态路由,支持集团用户的多级复杂网络。 |
|
支持VLAN功能,接口可以绑定多个IP。 |
|
流量控制功能 |
智能带宽管理分配:系统能根据用户实际总带宽对现有在线终端进行自动带宽分配 |
基于实名的流量控制:支持实名组,每组实名用户的上下行流量,同时可查看每个实名用户流量。(可实现同一台电脑不同的用户分配不同的流量) |
|
支持多线路捆绑技术,实现带宽叠加和备份。 |
|
支持多级流量管理实现不同服务的QOS保证,并能为每个访问控制策略独立分配带宽;支持保证最小带宽,限制最大带宽的控制。 |
|
采用先进的防丢包技术,支持数据的本地队列,减少数据传输丢包率。 |
|
可对每个实名用户或每个IP的最大并发连接数做限制 |
|
IP级的流量控制:支持一次设定一组IP组,每个IP的上下行流量,同时可查看每个IP的流量。 |
|
动态域名解析 |
独特的SECCN DDNS访问技术,支持动态IP应用。所有域名解析通讯过程全部加密,系统运行非常安全可靠。 |
基于WEB组建的动态域名解析系统可完全由用户自主管理和控制。 |
|
管理功能 |
支持本地管理、远程管理与监控,提供配置数据的备份与恢复。 |
支持大容量DHCP服务,对内网进行动态IP地址管理,可以对MAC/IP绑定。 |
|
提供网络测试工具,如Ping等命令,迅速诊断网络是否正常。 |
|
支持集中管理平台的策略定制、状态分析以及日志审计。 |
|
日志分析 |
设备自带320G硬盘,提供本地中文日志服务器,提供各功能模块的系统信息、实名登陆日志、ARP日志、WEB访问日志、数据包日志、BBS审计日志、WEB邮件审计日志、博客发帖审计日志、告警日志、错误日志、调试日志、VPN Client用户控制及访问记录等,满足公安部82号令对日志保留60天以上的要求 |
支持外部SYSLOGD服务器,邮件告警。 |
|
支持数据定时备份。 |
|
报表统计 |
提供各功能模块的系统信息统计、实名登陆报表统计、ARP报表统计、WEB访问报表统计、数据包报表统计、BBS报表统计、WEB邮件报表统计、博客发帖报表统计等。 |
丰富的报表统计功能,不同的组合方式可生成多达上百种报表 |
|
高可靠性 |
支持防火墙双机热备 |
支持防火墙多机负载均衡 |
|
支持端口链路备份和负载均衡 |
SECCN AC100 产品参数
性能参数 |
|||
吞吐量:1000M |
并发会话数:450000 |
3DES性能:500M |
外网线路支持:2条 |
明文吞吐量:1000M |
最大规则数:65535 |
并发隧道数:300条 |
每秒处理新会话:52500 |
串口:RS232*1 |
系统总线:1G |
广域网接口:1000BASE-T *2 |
局域网接口:1000BASE-T *3 |
EIDE接口:2 |
异步串口:3 |
扩展接口:无 |
防雷回路:√ |
PBGA:352-pin |
二级缓存:64M |
16-pin IO脚带中断:支持 |
CPU温度范围:-40°C~85°C |
耗电量:<4W |
IO接口双向:>32 |
49-pin IO脚复用:支持 |
操作系统:Linux 2.4 kernel |
看门狗回路:√ |
RTC电路:√ |
并发域名解析服务器:2 |
抗电磁干扰回路设计: √ |
寻址热备:√ |
输入电压:ATX12V250W |
输出电压:100-240V |
环境温度:-10~ 50 ℃ |
重量:6KG |
产品结构:1U机架 |
外型尺寸:42.5X30X4.45 |
相对湿度:5~90%非冷凝 |
部署及接入方式 |
||||
部署方式:支持网关模式、旁路,桥与集群灵活部署 |
||||
接入支持:ADSL、光钎、XDSL,CABLE,MODEM |
||||
终端接入支持:PDA、智能手机、Apple、Linux系统、Firefox浏览器等不同的终端环境均支持接入 |
||||
VLAN环境:支持VLAN环境中部署 |
||||
VPN网络类型:支持网到网、移动接入、标准vpn协议的连接 |
||||
动态路由:RIP\OSPF\BGP |
||||
Routing: 共享接入,TELNET,DHCP,PPPOE,NTP,NAPT/PAT,NAT 穿越,DNS 增强版缓存、伪装、DNS代理 |
||||
智能路由:路由器分离功能、分流上网数据、扩充互联线路 |
||||
Qos保证:通过三级流量管理实现不同服务的Qos保证,为不同的服务定义带宽分配规则 |
||||
VPN隧道内(网到网)流控技术:支持 |
||||
网到网广域网优化:融合广域网优化技术,提供面向未来的VPN,速度更快 |
||||
静态路由:√ |
UPNP网关:√ |
DHCP:√ |
DNS代理:√ |
流量管理:√ |
集中管理:√ |
实时监控:√ |
3G支持:否 |
WIFI支持:√ |
防丢包技术:√ |
防火墙 |
||||
内容检测:双向深度内容检测,防应用层攻击 |
||||
应用层高性能:单次解析结构、多核并行处理技术、跳跃式扫描技术 |
||||
智能联动:各模块智能联动,防止APT攻击 |
||||
状态检测:√ |
P2P管制:√ |
即时消息管制:√ |
上网时间管制:√ |
DOS攻击:√ |
Ping包攻击:√ |
过滤SYH攻击:√ |
过滤UDP攻击:√ |
IPSEC穿越:√ |
PPTP穿透:√ |
H323穿越:√ |
入侵侦测:√ |
策略控制:√ |
IP管理:√ |
端口映射:√ |
地址绑定:√ |
端口转发:√ |
关键字过滤:√ |
网络地址映射:√ |
时间控制:√ |
用户认证:√ |
防范ARP欺骗:√ |
防范内网木马:√ |
防范黑客远控:√ |
网络准入:√ |
负载平衡:√ |
黑白名单:√ |
病毒阻挡: √ |
规则识别库:√ |
内容识别:√ |
网络可视化:√ |
分级管理:√ |
插件/脚本过滤:√ |
URL库:√ |
应用识别:√ |
文件识别:√ |
邮件识别:√ |
智能提醒:√ |
多线路复用:√ |
上网轨迹记录:√ |
VPN(SSL/IPSEC/PPTP/L2TP) |
||||
数据加密:3DES -CBC 168-bit、AES 256-bit、MPPE(RC4) 128、TWOFISH\BLO、WFISH\ CAST |
||||
数据保护:MD5-HMAC 128-bit、SHA1-HMAC 160-bit |
||||
验证管理:共享密钥TACACS+、共享密钥X.509证书、PAP/CHAP/MS CHAPv2、 |
||||
密钥管理:IKE协议、手动密钥管理、ISAKMP 支持 |
||||
证书管理:X509证书模式 |
||||
SSL点到点:X509证书模式、静态密钥模式 |
||||
终端安全:检查接入用户终端的安全性,避免终端安全威胁潜入组织内网 |
||||
数据压缩:使用LZO高速压缩算法,数据更少更快 |
||||
多线路智能选择:可同时连接多个运营商多条链路,解决跨运营商带宽瓶颈问题(G50及以上设备支持) |
||||
多线路:带宽叠加、负载均衡,确保VPN网络更稳定可靠(G50及以上设备支持) |
||||
双机热备:自动同步配置信息,一旦故障,设备将自动切换,保证VPN正常运行,提高稳定性 |
||||
动态 IP穿越:√ |
数据压缩:MPPC |
防火墙穿透:√ |
静态密钥:2048 |
用户集中管理:√ |
断线检测:√ |
网网互联:10s |
客户端自检:120s |
隧道自愈:√ |
U-KEY:√ |
移动客户端:互通 |
并发域名解析:4 |
解析热备:√ |
客户端固定IP:√ |
用户状态显示:√ |
VPN加速:√ |
智能手机接入:√ |
平板电脑接入:√ |
3G移动网络:√ |
4G移动网络:√ |
远程升级:√ |
互连互通:G和AC |
嵌入式平台:√ |
自动连接:√ |
身份认证:√ |
城域网和公网:√ |
集团多级网络:√ |
全动态IP: √ |
VPNsec:√ |
SNMP服务:√ |
VOIP:√ |
视频监控:√ |
SSL连接模式:√ |
H.323协议:√ |
日志:√ |
带宽叠加:√ |
南北互通:√ |
优先级控制:√ |
数据备份:√ |
WEB界面:√ |
智能WIFI广告推送 |
||||
WIFI智能接入:√ |
广告页面推送:√ |
精准信息采集:√ |
短信认证:√ |
APP流量管理:√ |
文字信息编辑:√ |
短信接口:√ |
身份认证:√ |
终端自适应:√ |
移动APP管理:√ |
服务及保修 |
|
|
产品质保期:三年 |
产品维护期:终生 |
产品货运方式:门到门(顺丰快递) |
产品平均无故障时间: >3000小时 |