MPSec FW520防火墙是一款基于状态检测的包过滤防火墙产品,该产品遵循国家标准GB18018、GB18019并参考信息产业部行业标准YD/T1132-2001进行研发。MPSec FW520
利用树型结构组织规则,避免了以往防火墙产品按顺序匹配过滤规则效率不高的弊端,不仅极大的提高了该产品的处理效率,而且,以一种可伸缩的规则组织架构支持各种用户从简单到复杂的规则配置。MPSec FW520支持基于IPSec的clearcase/" target="_blank" >cc">VPN功能,能够同MPSec Router以及MPSec PKI配合组建完美的VPN网络,实现用户组网和安全的整体解决方案;MPSec FW520支持本地管理和远程管理两种管理方式,在远程管理方式下,MPSec FW520采用SSH或基于SSL的HTTP保证远程管理的安全性;MPSec FW520支持基于证书LDAP以及一次性口令的用户认证;MPSec FW520作为一种访问控制执行工具能够实现网络边界的完整保护。MPSec FW520已获得公安部计算机安全产品销售许可证,并通过了国家信息测评中心的认证。
MPSec FW520外观图
遵循标准的IPSec协议
提供灵活的AH、ESP、AH+ESP隧道方式
支持多种国际标准加密算法
国密办认证加密算法SSP02-A
128位密钥,安全强度高
专用硬件加密卡,运算速度快
远程动态IP地址接入
可集成防火墙功能模块
多方面备份,可靠性高
支持透明、路由、混合三种工作模式
支持不同安全级别的子网
手工配置密钥和IKE自动密钥协商
多种网络管理方式
证书支持
IC卡保护
与Maipu网络设备无缝接合,提供综合的网络安全解决方案
产品配置
产品型号
配置串口
配置以太网口
MPSec FW520
1个EIA RS-232 DB9 异步串口
4个10BaseT/100BaseTX RJ45 以太网接口
产品特点
防火墙功能
静态包过滤:支持基于方向、源目的地址、MAC、协议值、端口号、时间及其它字段的过滤。过滤粒度可细化至比特级。
动态访问控制:可根据实际需要,为合法的用户动态地打开或关闭所需要的端口。
连接状态跟踪:支持实时的连接状态跟踪功能,通过跟踪用户数据流状态,并结合规则表进行过滤,从而提高系统的安全性。支持帐号绑定IP地址的功能。可针对账号、登录IP地址和访问IP地址进行跟踪监视。
工作模式:支持透明、路由和混合三种工作方式。
NA(P)T功能:支持源、目的NAT功能,同时支持端口地址转换功能。支持动态地址转换。
支持PPPOE和PPTP协议:同时支持外部接口的动态源地址转换。
URL过滤:支持基于域名或者IP地址的URL过滤,同时支持基于通配符的URL群组地址过滤,支持基于URL资源的过滤。
DHCP协议支持:既能作为DHCP服务器,也能作为DHCP客户端进行工作。
MAIL过滤:支持SMTP和POP协议的命令级过滤。
H.323应用支持:支持Netmeeting等基于H.323协议的端到端通信的动态访问控制和透明传输。
VLAN和802.1Q协议支持:支持VLAN和802.1Q协议数据的透明传输。
FTP和TFTP协议支持:支持FTP和TFTP数据的透明传输。
接口类型指定:接口可根据需要绑定为内网、外网及DMZ接口。
ARP代理功能:通过ARP功能可实现IP与MAC地址绑定,实现防止伪造IP地址攻击等。
透明应用代理:支持FTP、HTTP、SMTP等应用协议的透明代理。
防范Syn-Flooding攻击:特有的TCP拦截功能,能够有效保护内部主机不受Syn-Flooding攻击。
网络攻击防御:防止多种常见的DOS攻击方式,SYN-Flooding,IGMP2,LAND,PINGFLOOD,TEARDROP,PINGOFDEATH等攻击。
支持与IDS联动:有效构成完整的安全防护体系。
支持基于规则的流量控制功能:能够根据需要控制防火墙不同区域的流量。
支持认证、授权、记帐(AAA)功能
支持MAC地址与IP地址的绑定
支持规则的一致性检测(PPC),防止规则之间的冲突
VPN功能
加密算法:采用国家密码管理政策允许的高强度专用加密算法,密钥长度为128bits,安全强度高,计算速度快。支持DES、3DES等标准算法。隧道管理:迈普安全网关可以建立隧道来维护数据流的安全。隧道建立前必须在两台安全网关上分别设置隧道参数,之后启动隧道保护数据流。隧道可以随时建立和关闭。提供灵活的AH、ESP、AH+ESP隧道方式。
传输安全:遵循标准的IPSec协议。
多种密钥管理方式:迈普安全网关支持手工配置会话密钥和IKE自动密钥协商两种方式,采用IKE时还支持密钥的自动更新,同时可保证会话密钥的完美向前保密,即保证下一次会话密钥与上一次无关。密钥更新时间由用户指定,提供多种定时单位,可精确到分钟。
支持证书:对于迈普安全网关的身份采用基于预共享密钥和证书两种认证方式,证书遵循标准的X.509证书体系,由迈普的CA系统统一进行证书管理。
IC卡保护:采用IC卡保护机密信息,并有PIN保护。
管理功能
支持采用串口进行行命令管理: 智能化Shell,按命令功能进行分类和分级。
远程安全Shell: 支持远程SSHv1、SSHv2,可以有效地进行远程安全配置,并保证配置信息不被篡改、窃取。
支持WEB管理方式:中英文WEB管理界面,支持SSLv1、2、3/TLSv1,可通过HTTPS进行远程安全管理配置而保证配置信息不被篡改和窃取。
管理认证
一次性口令认证:对设备进行远端管理时,提供基于OTP机制的管理员认证。
周期性身份认证:迈普安全网关对管理员身份进行周期性认证,认证不成功时锁存界面。可设置定时周期认证间隔和无操作认证间隔。
管理员分级:支持管理员分级,不同级别管理员命令之间不能相互操作。
专用管理口:采用专用的控制口进行行命令管理,使管理数据和用户数据彻底分开。
安全远端管理:远端管理提供加密机制。
其它功能
检查配置:提供策略一致性检查机制,在用户可能出现不一致配置时进行提示。
配置文件:支持配置文件备份。
电源:可选双电源备份。
双机备份:支持双机热备份
技术规范
型号
项目
MPSec FW520
处理器
Intel PⅢ 800M
内存
默认配置为128M,可更换为256M
闪存
64M
通信协议
IPv4
安全协议
IPSec、IKE、X.509
通信端口
4个10BaseT/100BaseTX以太网接口;
配置端口
1个EIA RS-232 DB9 异步串口
数据转发速率
100M
加密速度
56M
最大并发连接数
80万(256M内存)/60万(128M内存)
最大隧道数
6,000个
最大策略数
3,000个
外形尺寸(HⅹWⅹD)
44.5mmⅹ444mmⅹ280mm
输入电压(AC)
190-240V,50-60HZ
功率
100W
环境参数-温度
0-50 oC
环境参数-湿度
0-95%,不结露
典型应用
由防火墙划分出的安全区域级别:
典型的防火墙具有三个以太接口,在逻辑上将网络划分为三个区域:内网、外网和非军事区(DMZ)。在MPSec FW520中,三个逻辑区域与接口对应关系为:
区域
接口
说明
内网
Trusted
具有最高的安全级别,该区域内的资源默认情况下从外网或DMZ区域不可访问。
外网
Untrusted
非安全区域,由该区域到内网的主动访问默认情况下均认为是不安全的,将被拒绝。
DMZ
DMZ"1/2]
该区域物理上属于防火墙所保护组织的资源,在安全级别上要求内、外网均可无限制的访问该区域资源。