出口设备选型功能特性

二、出口设备选型功能特性

1.防火墙

（1）独立的安全协议栈。采用独立的安全协议栈，可以自由处理通过协议栈的网络数据，基于网络行为检测的多流关联分析技术，支持对网络数据的深度状态检测。

（2）采用先进的硬件平台。通过多内核系统实现对不同数据流量的调度，极大提高设备的处理性能，满足用户对高性能安全设备处理能力的需求。

（3）深度状态检测。基于网络行为检测的多流关联分析技术，支持对网络数据的病毒过滤，支持URL以及Web内容过滤，支持邮件内容过滤，支持FTP内容过滤，还可以和多种IDS产品联动，为细粒度的网络安全管理提供了有利的技术保障。支持按照时间段进行过滤，支持对每一个连接状态信息的维护监测并动态地过滤数据包，支持对FTP、HTTP、SMTP、RTSP、H.323等应用层协议的状态监控。

（4）基于流技术的入侵防御。支持基于流技术的入侵防御（IPS），通过对七层协议的分析与检测，实时阻断网络流量中隐藏的病毒、蠕虫、木马、间谍软件等攻击和恶意行为，并对网络中的P2P、IM等非关键业务进行有效管理，实现对网络应用、网络基础设施和网络性能的全面保护。

（5）强大的处理能力。支持一对一、多对一、多对多、静态网段、双向转换等多种形式的NAT，提供源的和基于目的策略路由支持，高速的处理性能基本不受策略条目和并发连接数目的影响。

（6）支持全面的网络攻击防护。支持SYN flood、DNS Query Flood等DoS/DDoS攻击防护，支持MAC和IP绑定功能，支持智能防范蠕虫病毒技术、TCP报文标志位不合法攻击防范、超大ICMP报文攻击防范等网络攻击防护。

（7）完善的日志管理与审计。提供各种日志功能、流量统计和分析功能、各种事件监控和统计功能、邮件告警功能，配合日志管理系统可以完成日志的记录、查询和分析。

（8）支持高可靠性。支持双机状态热备功能，支持Active/Active和Active/Passive两种工作模式，实现负载分担和业务备份。设备关键部件均采用冗余设计。

2.流量控制设备

（1）多核高性能。采用多核硬件架构，多核处理器具备高性能、易编程、灵活的L4～L7层业务应用等特点。硬件实现的DPI引擎，实现了特征库的应用协议数量和特征库复杂程度与性能的无关性，可以做到同时加载所有应用协议而不影响设备性能。

（2）网络实名制。与身份认证系统结合，能实现实名日志；既能方便定位到人，又具备不可否认性。

（3）数百种应用协议准确识别。采用自主研发的新一代DPI引擎，能够准确识别包括P2P应用、炒股软件、流媒体、企业办公、网络游戏等在内的数百种协议。

（4）先进的控制引擎。带宽嵌套功能，提供自定义Pipe通道、自定义VC通道、最大带宽限制、Share Rate Pool带宽控制、权重设置以及应用优先级等一系列的应用优化和带宽管理控制功能。将网络带宽的管理从被动的、消极的、无效的传统模式提升到主动的、有效的、智能化的带宽管理服务。带宽租借功能，允许给高优先级用户预留的带宽，在用户下线时分配给其他用户使用；已经给高优先级应用预留的带宽，在流量较低时允许分配其他应用，以此提高带宽利用率。PerIP限速，不仅支持网段的带宽控制，同时支持对网段内每个用户配置精细化管理策略。非对称流量识别，在桥接模式下，支持对不同桥接线路的虚拟化，实现非对称环境下的应用识别和流量控制。

（5）网络流量实时监控、分析和控制。网络流量的实时采集、监控和精细分析使得网络运行状况、应用情况、带宽使用情况等状况完全可视化。基于协议和基于IP（IPv4、IPv6）地址（用户）两种类型的实时流量分析器，提供基于源/目的IP地址、服务端口、应用协议、Session数以及流量大小等详细信息。支持基于用户时间、协议和应用等为参数进行灵活的阻断与允许功能。包括进行上行与下行带宽控制、进行Session数量控制等。支持组对象的配置，如定义用户组（IP组）、协议组（如P2P协议组、游戏组）对同一类型的应用、相同级别的用户进行带宽管理策略的控制。

（6）强大的日志记录、完善的安全审计。支持上网五元组、HTTP访问的详细URL日志记录功能。

（7）高安全、高可靠性。应用层防火墙能够识别并阻断黑客的端口扫描以及DoS攻击行为，支持通过Session数控制、带宽控制来提高网络可用性和安全性。硬件BYPASS告别“串接设备单点故障”。采用外置光旁路单元和内置电旁路模块，当设备掉电或发生故障时，毫秒级的切换保证网络随时畅通。