天融信NGFW系列防火墙猎豹万兆产品说明.pdf

服务热线：8008105119 天融信网络卫士防火墙系统天融信网络卫士防火墙系统 TopGuard NGFW 下一代防火墙下一代防火墙 （NGFW4000-UF） -猎豹猎豹系列系列 产品说明产品说明 天融信 TOPSEC 服务热线：8008105119 版权声明 本手册的所有内容，其版权属于北京天融信公司（以下简称天 融信）所有，未经天融信许可，任何人不得仿制、拷贝、转译或任 意引用。本手册没有任何形式的担保、立场倾向或其他暗示。 若因本手册或其所提到的任何信息引起的直接或间接的资料流 失、利益损失，天融信及其员工恕不承担任何责任。本手册所提到 的产品规格及资讯仅供参考，有关内容可能会随时更新，天融信恕 不承担另行通知之义务。 版权所有 不得翻印 1995-2013 天融信公司 商标声明 本手册中所谈及的产品名称仅做识别之用，而这些名称可能属 于其他公司的注册商标或是版权，其他提到的商标，均属各该商标 注册人所有，恕不逐一列明。 TOPSEC天融信 信息反馈 服务热线：8008105119 目录 1 前言 . 1 2 产品概述 2 3 产品特点 3 基于用户防护 3 面向应用与内容安全 3 精细的应用识别与控制 . 3 全面保障 WEB 应用安全 4 双引擎病毒检测 . 4 强大的攻击检测能力 . 4 一体化智能过滤引擎 . 5 高效转发平台 5 TOS 安全系统平台 . 5 TopTURBO 数据层高速处理. 6 TopASIC 芯片级安全防护 . 7 多层级冗余化 8 物理级冗余 . 9 系统级冗余 . 9 方案级冗余 . 9 全方位可视化 10 节点可视 . 10 全网可视 . 10 安全技术融合 10 全面防御 . 10 虚拟化接入技术 . 11 4 产品功能. 13 基础功能 13 负载均衡 14 流量管理 15 反垃圾邮件 15 攻击防护 15 病毒防御 15 上网行为管理 16 远程接入 16 5 产品规格 17 6 产品资质 18 7 典型应用 19 云数据中心 19 企业互联网边界 20 高校多出口环境 21 服务热线：8008105119 1 1 前言前言 随着互联网应用类型的不断增加以及应用形式的不断变化， 层出不穷的安全威胁时刻发 生在我们身边。在这种情况下，防火墙作为边界安全防护手段的核心技术，在经历了多次的 技术变革后，早已不是传统防火墙所诠释的概念了。而为了区别于传统型的防火墙技术，下 一代防火墙的概念应运而生。著名市场分析咨询机构 Gartner 曾于 2009 年发表文章定义 下一代防火墙 ， 文章指出下一代防火墙在具有传统防火墙功能与特点的同时， 还要具有“支 持联动的集成化 IPS”、“应用管控与可视化”以及“智能化联动”相关特性。但在“云计 算”、“WEB2.0”及“移动互联”等一系列新应用技术被广泛使用的今天，单纯从解决传 统防火墙技术缺陷的角度去定义下一代防火墙产品则显得过于片面， 需要的是站在一个全局 的视角从解决用户网络面临的实际问题出发去定义下一代防火墙产品。 天融信公司作为国内网络安全提供商的领军企业， 一直以来注重为用户提供高品质的网 络安全产品及解决方案， 而下一代防火墙产品更是引领技术前沿。 凭借多年的安全产品研发 经验以及广泛的用户群体， 天融信始终秉承站在用户角度去研发产品的思想， 推出具有“基 于用户防护”、“面向应用安全”、“高效转发平台”、“多层级冗余架构”、“全方位可 视化”及“安全技术融合”六大特性的 NGFW下一代防火墙系列产品。全新的 NGFW下 一代防火墙产品线， 不论是在性能方面还是在功能方面都完全符合用户对下一代防火墙产品 的各种需求。 服务热线：8008105119 2 2 产品概述产品概述 NGFW下一代防火墙猎豹系列是天融信公司为性能要求较高的大型网络而设计并研发 的高性能万兆防火墙产品。 全新的猎豹系列产品内置天融信最新一代TopASIC安全处理芯片并采用TopTURBO数 据层高速处理技术， 使其拥有强大的芯片级攻击防护能力与系统级并行数据处理能力， 在万 兆网络快速发展的趋势下，完全能够满足中小型运营商、教育、能源等行业用户对防火墙产 品的高性能要求。 猎豹系列产品基于天融信 TOS 安全操作系统平台，具有良好的功能易扩展性，除集成 了强大的防火墙功能外还可扩展支持 SSL VPN、IPSEC VPN、入侵防御、病毒防御、URL 分类过滤等安全功能模块，以满足各类用户在功能方面的多元化需求。 另外，猎豹系列产品硬件平台采用模块设计，拥有丰富、灵活的接口扩展方式。硬件平 台拥有四个接口卡扩展槽位，能够提供最多 34 个千兆接口，或 8 个万兆（SPF+）接口+2 个千兆接口。 灵活的接口扩展性在保证其能够快速接入网络的同时， 也为之后网络的升级改 造提供了足够的接口扩展空间，进而使产品使用价值获得最大程度上的提升。 产品线一览 服务热线：8008105119 3 3 产品特点产品特点 基于用户防护基于用户防护 传统防火墙中，策略都是依赖 IP 或 MAC 地址来区分数据流，这种描述方式非常不利 于管理，很多场景也很难完成对网络状况的清晰掌握和精确控制。因此，实现基于用户的防 护是下一代防火墙的重要特征。 NGFW下一代防火墙融入天融信多年以来的安全产品研发经验，总结并实现了一套灵 活且强大的用户身份管理系统， 支持 RADIUS、 TACACS、 LDAP 、 AD、 邮件、 证书、 Ukey、 短信等多种认证协议和认证方式。在用户管理方面，实现了分级、分组、权限、继承关系等 功能， 充分考虑到各种应用环境下不同的用户需求。 基于上述特性， 网络终端在访问网络前， 被强制要求到 NGFW下一代防火墙进行身份认证来完成对其的“合法性”检查。除此之外， NGFW下一代防火墙还集成了强大的安全准入控制功能，针对身份认证通过后的网络终端 操作系统环境进行系统服务、软件、文件、进程、注册表等细粒度的检测与控制来实现对其 的“合规性”检查。通过对网络终端“合法性”与“合规性”的双重审核后，NGFW下一 代防火墙将根据其身份认证信息（用户 ID）通过智能过滤引擎实现基于用户身份的安全防 护策略部署与可视化监控。 面向应用与内容安全面向应用与内容安全 精细精细的应用识别与控制的应用识别与控制 天融信 NGFW下一代防火墙能够实现对即时通讯、P2P 下载、游戏、股票、视频 等多种应用类型进行深层次识别与细粒度控制。 例如可以在识别出用户使用的即时通讯 软件是 MSN、QQ、Yahoo! Messenger 还是网易泡泡等客户端的基础上，准确捕捉到用 户正在进行的是文字通讯、语音视频、文件传输还是音乐播放等行为，从而有目的、有 针对性地加以拦截和限制。而对于占用大量网络带宽资源的 P2P 下载类应用程序，在 能够进行准确识别与封堵的基础上，还可以通过 QoS 管理框架对其使用带宽实现精确 控制，从而确保正常业务的通讯质量。 服务热线：8008105119 4 全面保障全面保障 WEB 应用安全应用安全 随着微博、 网络社区、 视频分享等等这些 WEB2.0 时代下典型应用技术的广泛使用， 对于 WEB 应用进行深入检测与细粒度控制，也是天融信 NGFW下一代防火墙关注的 重点。例如，可以对微博应用的登录、发布、转发、评论、私信等行为进行精细的识别 与控制。同时，NGFW下一代防火墙内置庞大的 URL 分类库，包括恶意网站，违反国 家法规与政策，潜在不安全网站，浪费带宽，大众兴趣，文化、时评、聊天与论坛，行 业分类，计算机技术相关等 8 个大类，下含 80 多个子类，超过 600 万个 URL 地址分类 库。用户可根据上述网站类别，对自身网络的 WEB 应用实施全面化管控，杜绝非法、 违规网站的访问行为，从而净化网络应用环境。 双引擎病毒检测双引擎病毒检测 在病毒防护的解决方案中，天融信 NGFW下一代防火墙的双引擎杀毒是目前业内 最强最顶尖的杀毒技术。 双引擎杀毒同时支持快速扫描与深度扫描两种检测引擎， 能够 根据被检测应用层协议与应用场景选择不同的病毒检测引擎， 使病毒防护实现真正意义 上的高效与精准兼顾， 并最终确保在各种网络应用环境下均可达到最佳的病毒检测效果。 另外，天融信 NGFW下一代防火墙可以提供专业版与企业版两种不同级别的病毒 库。用户可根据自身的网络应用环境，以及病毒防护相关的具体需求，有针对性的选择 适合的病毒库版本。 强大强大的的攻击检测攻击检测能力能力 天融信 NGFW下一代防火墙攻击检测引擎采用协议分析、模式识别、统计阀值和 流量异常监视等综合技术手段来判断入侵行为， 可以准确地发现并阻断各种网络恶意攻 击，包括溢出攻击、RPC 攻击、WEBCGI 攻击、拒绝服务、木马、蠕虫、系统漏洞等 在内的 11 大类超过 3800 种网络攻击行为。专业的攻击规则库建立在天融信公司 TopLAB 攻防实验室与厂商、国家权威机构长期合作的基础上，通过不断跟踪、挖掘和 分析各种新的威胁信息而积累形成，并且将其直接应用于产品，保障了天融信 NGFW 下一代防火墙对各种攻击行为检测的全面、准确和及时有效。除此之外，NGFW下一 服务热线：8008105119 5 代防火墙采用独创的 SecDFA 规则匹配算法， 确保其在高吞吐的网络应用环境中展现出 强大的应用层攻击检测性能。 一体化智能过滤引擎一体化智能过滤引擎 天融信 NGFW下一代防火墙系列产品，采用高度集成的一体化智能过滤引擎技术。 其能够在一次数据拆包过程中， 对数据进行并行深度检测， 从而保证了协议深度识别的 高效性。另外，天融信 NGFW下一代防火墙产品基于八元组高级访问控制设计，除传 统的五元组控制以外，实现了用户身份信息、应用程序指纹及内容特征的识别与控制， 充分体现了下一代防火墙关注“用户”与“应用”的设计理念。 高效转发高效转发平台平台 TOS 安全系统平台安全系统平台 天融信 NGFW系列产品基于天融信公司十余年高品质安全产品开发经验结晶的 TOS（Topsec Operating System）安全系统平台。随着多核技术的广泛应用，TOS 以多 核硬件架构为基础，分为系统内核层、硬件抽象层及安全引擎层。在安全引擎层内，根 据安全功能模块协议特性的不同，分为网络引擎组（NETWORK Engines）与应用引擎 组（APP Engines） 。通过将引擎组与多核硬件架构的完美整合，使 TOS 在系统层面实 现了全功能多核并行流处理。 而在硬件抽象层则采用多种加速技术， 根据各个核心的实 时负载情况，将流量按会话的方式动态均衡到 CPU 的各个核心，从而确保整个 CPU 效 率执行的最大化。 服务热线：8008105119 6 TopTURBO 数据层高速处理数据层高速处理 TopTURBO 是天融信自主原创实现数据层多核快速转发的高性能业务处理技术。 通过天融信 NGFW产品研发团队在 TOS 系统平台上所进行的大量性能优化工作，利 用 TopTURBO 技术将数据层高速处理解决方案平滑迁移到多核硬件平台上，与当今最 先进的高性能多核架构合而为一，从而获得更高的网络处理性能。 在目前主流的基于多核架构的安全设备中，大多采用“中断+轮询”的数据包处理 方式。此种处理方式存在系统资源消耗大、极易引起资源竞争、系统响应慢等缺点。具 体表现在设备的网络吞吐和新建连接达到瓶颈后，即使再增加 CPU 核数，性能也很难 继续提升。 针对上述问题，天融信 NGFW产品研发团队在 TOS 基础上开发出 TopTURBO 多 核数据层高速处理技术。该技术特点在于： 1) 不再采用传统的 SMP 多核系统架构，通过对 CPU 资源合理优化配置， 使每个 CPU 核心独立完成相关工作，减少核心分配的资源竞争。 服务热线：8008105119 7 2) 不再采用传统的内存及消息管理模式， 采用预分配内存及天融信独创的无锁消 息管理方式，消除消息分配的资源竞争。 3) 不再采用传统的中断方式网卡收发包机制，采用 CPU 独立收包方式，减小系 统消耗。 4) 优化 TOS 系统处理流程实现高速建立新连接，提高了新建连接效率，从而使 设备具有较高的新建连接性能。 天融信TOS安全系统平台通过在硬件抽象层引入TopTURBO数据层高速处理技术， 使 NGFW下一代防火墙猎豹系列产品拥有高达 46Gbps 的网络吞吐能力，以及 26 万/ 秒的新建连接性能。 TopASIC 芯片级安全防护芯片级安全防护 NGFW下一代防火墙猎豹系列产品内置自主产权的最新一代 TopASIC 安全芯片。 新一代的 TopASIC 芯片是天融信凭借多年以来芯片开发的经验积累，在前几代 ASIC 芯片开发基础上完成的， 从而确保该芯片在继承原有技术优势的同时， 技术的稳定性更 好。而与前几代芯片相比，该芯片容量更大，抗攻击性能更高，运行也更加稳定。 TopASIC 安全芯片可检测十多种异常报文，例如 Layer 2 Frame CRC 校验和错误报 文、IP 头错误报文、Land attack 攻击报文、WinNuke 攻击报文、TCP 头标志位错误报 文等等。 服务热线：8008105119 8 另外，TopASIC 通过对连接过程和流量进行细粒度的监测，可以准确而高效的实 现对恶意流量的动态过滤，实现防范大流量基于各种协议的 DDOS 攻击，包括 SYN Flood、ICMP Flood、UDP Flood 攻击等等，从而有效保证网络的稳定运行。其中，针 对 SYN Flood 攻击， TopASIC 安全芯片通过硬件 syn-cookie 功能， 可承受每秒百万次的 SYN Flood 攻击，保证重要的正常业务不受影响。 多层级冗余化多层级冗余化 作为下一代防火墙技术， 一个十分重要的特性是设备自身要具有灵活、 丰富的高可用机 制去适应整网业务连续性保障方案。 天融信公司拥有广泛的用户群体， 对各类用户的网络架 构有着深刻的理解并在各种复杂网络环境中有着丰富的产品部署经验。 利用这一无与伦比的 优势，将 NGFW下一代防火墙高可用特性设计为以物理级冗余、系统级冗余及方案级冗余 的多层级冗余化架构体系，使其能够平滑、完整的与整网业务连续性保障方案实现融合。 服务热线：8008105119 9 物理级冗余物理级冗余 天融信公司拥有强大的硬件研发团队及设施完善的硬件实验室， 凭借一直以来自主 设计与研发硬件平台积累的丰富经验，使 NGFW下一代防火墙具有板卡冗余、模块冗 余及链路冗余多种物理层面的可靠性保障机制。 系统级冗余系统级冗余 天融信 NGFW下一代防火墙采用双操作系统设计来应对因升级失败、文件系统错 误等系统故障而导致的设备工作异常。 主用与备用系统之间采用分布式设计， 设备在正 常状态下产生的任何系统读写、 维护等操作均在主用系统上完成， 而备用系统为确保自 身完整性则始终处于写保护状态。一旦主用系统发生故障，备用系统将快速、全面的接 管设备工作并可实现对主用系统的系统还原。 方案级冗余方案级冗余 天融信 NGFW下一代防火墙针对不同的网络环境能够提供多种双机（或多机） 部署解决方案，包括热备、负载均衡及连接保护模式。多样化的双机（或多机）部署 模式以及良好的网络兼容性使 NGFW下一代防火墙能够快速、 平滑的接入到 VRRP、 HSRP、RIP、OSPF 及 BGP 等多种路由协议应用场景，在保障用户业务连续性的基 服务热线：8008105119 10 础上进而满足各种安全防护需求。除此之外，NGFW下一代防火墙双机（或多机） 使用自主专利技术的智能状态传送协议(ISTP)， ISTP 能够高效进行系统之间的状态同 步，实现了 TCP 协议握手级别的状态同步和热备。借助 ISTP，使 NGFW下一代防 火墙自身实现“毫秒级”的设备切换，从而最大程度上确保用户的业务连续性。 全方位可视化全方位可视化 节点可视节点可视 天融信 NGFW下一代防火墙自身能够提供丰富的网络及安全可视化展示方式，从 应用和用户视角多层面的将网络应用及安全状态展现出来， 包括对当前状态的实时监控、 历史信息的精确还原和对各种数据的智能统计分析， 例如系统状态实时跟踪、 网络流量 趋势分析、会话状态快速定位、网络应用与安全事件分类统计分析等等，使管理者能够 清晰、准确的认知网络运行状况与安全态势。 全网可视全网可视 在一些大型的集中式网络环境中， 往往设备数量较多且物理位置分布广阔， 对于全 网运行状况与安全态势的掌控将变得尤其重要。 NGFW下一代防火墙的 TopPolicy 智能 化管理平台能够通过 SNMP、SYSLOG、NetFlow 及部分私有协议等多种方式来实时感 知全网的运行状况， 并通过对上述途径获取到的各类信息进行全方位、 多角度的关联分 析来准确掌握全网的安全态势。NGFW下一代防火墙实施全网可视化所要达到的效果 是对于管理范围内任意一台主机的网络应用情况及安全事件信息能够进行准确定位与 实时跟踪， 而对于全网产生的海量安全事件信息能够进行深入的数据挖掘形成安全趋势 分析以及各类多维度、图形化的统计分析报告。 安全技术融合安全技术融合 全面防御全面防御 服务热线：8008105119 11 天融信 NGFW下一代防火墙系统自身能够提供传统防火墙所有功能的同时，还集 成了强大的身份认证、流量管理、上网行为管理、DoS/DDoS 防护、反垃圾邮件及负载 均衡等功能。另外，受益于 TOS 安全系统平台开放式、模块化的设计理念，使 NGFW 下一代防火墙具有良好的功能可扩展性，能够扩展实现 SSL VPN、IPSEC VPN、入侵 防御、病毒防御、URL 分类过滤等安全功能模块。而借助一体化智能过滤引擎，通过 将用户身份认证、应用指纹识别与内容特征检测统一整合到访问控制策略中，使 NGFW下一代防火墙能够基于用户身份实现 IPS、AV、URL 过滤、DOS/DDoS 防护及 应用识别等多种安全特性， 在提升系统处理效率的同时也简化了多安全防护功能开启后 的策略配置体系。 虚拟化接入技术虚拟化接入技术 在传统 VPN 接入的应用形式中，远程终端与网关之间完成隧道建立后，通常是由 远程终端本地运行的应用系统客户端程序与内网服务器端程序直接进行数据交互， 往往 会使远程终端本地存储（或缓存）大量的业务数据，容易带来数据泄露等安全隐患。另 外，随着 3G、WIFI 等无线网络接入技术的快速发展，基于各类智能终端的 VPN 应用 越来越普遍， 但现实的情况是部分业务应用系统所对应的客户端程序无法运行在各种智 能终端操作系统上，从而又带来了应用可用性问题。 在这种情况下，天融信 NGFW下一代防火墙通过 TopConnect 将虚拟化技术与远 程接入技术相融合， 为远程接入终端提供虚拟应用发布与虚拟桌面功能， 使其本地无需 服务热线：8008105119 12 执行任何应用系统客户端程序的情况下完成与内网服务器端的数据交互， 实现了终端到 业务系统的“无痕访问”，进而达到终端与业务分离的目的。 服务热线：8008105119 13 4 产品功能产品功能 基础功能基础功能 网络接入网络接入 路由、透明、混合及直连部署模式； 静态路由、动态路由、策略路由及多播路由，支持 ECMP/WCMP 多路径算法； 支持 VLAN、TRUNK、STP、QinQ 等二层特性； ADSL、链路聚合、虚拟线及子接口等多种网络接入方式； 支持 IPv6（接口配置、路由、ICMPv6、ND、DHCPv6 等） ； 支持双栈、NAT-PT 及隧道封装（手工、Auto、6to4、ISATAP、GRE）的 IPv4/IPv6 过渡技术； IPv6 安全策略部署（ACL、AV、IPS 等） ； 安全安全防护防护 基于传统五元组、用户、应用、内容、QoS、时间等多元组一体化访问控制； 访问控制自动生成； 源地址转换、目的地址转换、双向地址转换及端口转换多种 NAT 策略； 支持 H.323、SIP、FTP、RTSP、SQL*NET、MMS、RPC、TFTP、PPTP 等动态端口 协议； MPLS 报文解析与访问控制，以及非 IP 协议的协议透传； 高可用性高可用性 AA（负载均衡） 、AS（主备）及 SP（连接保护）双机工作模式； 支持多机（集群）部署； 双系统引导、备份与系统还原； 身份认证身份认证 采用内网终端与远程接入终端统一管理的集中式认证系统； 支持本地认证与第三方外部认证（如 RADIUS、TACACS、LDAP、域认证等） ； 服务热线：8008105119 14 集成 PKI 服务，内置 CA 并支持第三方 CA； 支持客户端认证与 WEB 认证； 支持用户名/口令、证书、短信等认证方式以及多因子组合认证； 支持可信接入； 系统服务系统服务 提供 DHCP 服务器/客户端/中继、DNS 代理、DDNS、NTP、CDP 等网络服务； 防共享上网功能； 支持服务器系统信息屏蔽； 支持跨越三层设备进行 IP/MAC 绑定； 支持网关虚拟化技术； 系统管理系统管理 基于 SSH、HTTPS 安全协议的配置交互界面； 管理员分级、权限自定义、密码强度分级、管理端口自定义等扩展安全配置； 支持管理员外部认证； 系统资源、硬件状态、网络流量、安全事件的可视化监控； 邮件、NETBIOS、声音、SNMP、控制台等多种组合报警方式； 采用 Welf、Syslog 日志格式，支持分级和按类型输出以及日志加密传输； 支持 SNMP 协议，兼容通用网管平台； 图形界面与命令行方式进行系统升级； 提供报文调试功能及系统健康记录，支持端口镜像； 负载均衡负载均衡 多运营商接入，支持多种路由均衡算法及路由备份功能； 多条 ADSL 线路接入； 采用链路有效性探测实现智能链路切换； 支持多线路接入下报文的源路径返回； 支持服务器负载均衡，提供多种负载均衡算法并支持服务器的应用有效性探测； 服务热线：8008105119 15 流量管理流量管理 基于访问控制的 QoS 策略管理模式； 根据 IP、用户、应用、接口、时间等多元组组合方式进行细粒度的带宽策略定义； 支持保证带宽、限制带宽及带宽优先级设置； 支持 DSCP 和 COS 的流量管理模式； 反垃圾邮件反垃圾邮件 提供邮件、IP 地址黑白名单功能； 实时黑名单（RBL）及反向 DNS 解析（RDNS） ； 支持对邮件主题、正文、收发件人、附件等进行关键字过滤； 灰名单功能； 攻击防护攻击防护 DDoS 攻击防护，包括非法报文攻击及统计型报文攻击； ARP 攻击检测与防护； 支持 IDS 联动，以及自动生成黑、白名单功能； 内置 11 大类，超过 4000 条入侵防御实时规则库并支持自定义规则与规则集； 支持各类攻击的日志记录、报警及统计分析功能； 病毒防御病毒防御 支持 HTTP、FTP、SMTP、POP3、IMAP 等协议进行病毒检测； 支持木马病毒、蠕虫病毒、宏病毒、脚本病毒查杀及未知病毒的启发式扫描查杀； 多级压缩文件查杀及禁止特定类型文件传输； 支持 URL、IP 地址黑白名单及动态阻断策略功能； 提供多种国内外知名防病毒厂商病毒库可供选择，病毒库可定期更新或实时更新； 支持快速扫描与深度扫描两种检测模式，可根据不同协议选择不同的检测模式； 服务热线：8008105119 16 上网行为管理上网行为管理 支持包括 P2P、IM、炒股、网游、流媒体等类别数百种应用识别与过滤； MSN、QQ、Skype 等 IM 应用的登录限制、帐号过滤等细粒度管控； P2P 应用行为的识别控制； 支持网站分类过滤功能，共 87 个分类，分类库规模达到 600 万以上； HTTP、SMTP、POP3、IMAP、FTP、DNS 等协议的深度内容过滤； web 重定向、伪装 http 连接识别、移动代码（如 Java applet、Active-X 等）过滤； 支持 RSH、TELNET、FTP 命令过滤； 基于应用、主机的流量统计、排名、历史流量趋势图 远程接入远程接入 IPSEC VPN、SSL VPN、PPTP、L2TP 和 GRE 多种隧道接入技术； 支持 Windows、Linux、Android、iOS 等多种客户端操作系统； 支持移动终端的虚拟桌面与虚拟应用发布功能； DES/3DES/AES 等标准加密算法及 MD5/SHA1 等标准 HASH 算法； 支持 DH GROUP1/2/5，RSA 1024/2048 非对称算法 国家商密专用算法 SM1(SCB2)/SM2/SM3； 多条隧道负载均衡、备份与自动切换； VPN 智能集群技术； GRE over IPsec； Clean VPN 功能； 支持集中认证、制定并下发隧道策略、隧道状态监控等集中管理方案； 服务热线：8008105119 17 5 产品规格产品规格 型号 NGFW4000-UF TG-61740 NGFW4000-UF TG-61540 NGFW4000-UF TG-61330 外观 硬件尺寸 4U 2U 2U 接口数 4 个扩展接口卡槽位； 最大配置为 8 个万兆接口+2 个千兆电 口， 或者 34 个千兆接口 （光、 电可选） ； 默认 2 个 10/100/1000BASE-T 接口 （作 为 HA 口和管理口） ； 标配双电源； 4 个扩展接口卡槽位； 最大配置为 8 个万兆接口+2 个千兆电 口， 或者 34 个千兆接口 （光、 电可选） ； 默认 2 个 10/100/1000BASE-T 接口 （作 为 HA 口和管理口） ； 标配双电源； 3