全球网络安全形势日益严峻,勒索病毒、0 day漏洞、APT攻击等层出不穷。各行各业加速数字化转型,移动互联、云网融合已成常态。网络边界模糊化、黑客攻击产业化、攻击暴露面扩大化,传统边界安全防护方式越来越力不从心。
迈普MPSec IFW400-X1-AC、MPSec IFW400-X3-AC下一代防火墙以零信任安全理念为指导,以保护核心数字资产和数据为宗旨,重新定义信任边界。迈普大麦下一代防火墙融合了丰富的身份认证方式,实现了基于应用、内容、资产等多维度精细化管控,能够全面防护各类DoS/DDoS攻击、暴力破解、弱口令、漏洞利用、病毒、木马等网络威胁。无论员工从什么位置接入,都能确保其访问内网资源的权限及安全性。为政府、企业、教育、金融等用户构建高性价比、高效一体化的安全防护体验。
资产识别
支持流量自动学习及主动扫描的方式发现内网中的资产,可维护资产所属部门、重要程度等属性,帮助用户进行统一的资产管理。
零信任管控
支持本地认证、Radius认证、微信认证、访客审核认证等多种身份管理方式,无论是通过外网远程接入的用户还是本地用户,均能对其访问进行基于身份的资源权限控制,快速构建轻量型零信任边界方案。
安全一体化
基于用户和应用的一体化安全引擎SAAE,实现数据包一次解析,并行完成入侵检测、病毒检测Web安全分类以及内容过滤等安全功能,全面防护网络威胁。
加密流量检测
支持对加密流量进行解析,识别出流量中的应用,对员工访问HTTPS站点的行为进行审计,
同时,加密流量中的攻击威胁也无所遁形。
IPv6网络支持
支持IPv4和IPv6双栈网络,具备成熟的IPv4 over IPv6、NAT46、NAT64等过渡技术,并且支持IPv6网络的入侵防御、反病毒、URL过滤等安全防护功能。
安全可视化
支持基于用户、位置、资产的安全分析,包括攻击类型、风险态势等,支持展示攻击链以及资产遭受攻击所处的阶段,并可对威胁进行取证。
支持数据防泄露,对传输的文件和内容进行识别过滤,对内容与身份证号、信用卡号、银行卡号、手机号等类型进行匹配;
支持路由模式、透明(网桥)模式、混合模式,支持静态路由、策略路由、RIP、OSPF、BGP 等路由协议;
支持至少 1400 条以上的应用识别,支持超过 2800 种特征的攻击检测和防御,支持云端防病毒,为保证检测时效性,特征缓存数至少保证 20 万条且缓存保留时间不应少于 700分钟;
支持网页诊断功能,用于当内网用户访问网页出现故障时,对网络进行基本的诊断,并给出故障原因;
智能运维
支持策略分析功能,能够一键检测出冗余策略、隐藏策略、冲突策略、过期策略等,并提供策略优化建议。
|
产品型号 |
MPSec IFW400-X1-AC |
MPSec IFW400-X3-AC |
|
防火墙吞吐(bps) |
3G~10G |
10G~22G |
|
标配并发连接数 |
400万 |
800万 |
|
标配新建连接数 |
14万/秒 |
14万/秒 |
|
最大SSL VPN在线用户数 |
3000 |
5000 |
|
最大IPsec VPN隧道数 |
10000 |
10000 |
|
固化接口 |
18GE+2SFP+2万兆光口+2 MGMT+8 combo+4bypass |
16GE+12SFP+6SFP+ |
|
内存 |
8GB |
16GB |
|
硬盘(选配) |
1T |
1T |
|
Console |
1 |
1 |
|
USB接口 |
2 |
2 |
|
拓展卡插槽 |
2 |
2 |
|
产品尺寸(宽*深*高:mm) |
1U,19英寸,标准机架 440*330*44 |
2U,19英寸,标准机架 440*500*88 |
|
主机重量 |
7.02KG |
9.24KG |
|
电源 |
120W冗电(模块化双电源) |
120W冗电(模块化双电源) |
|
功能项目 |
功能描述 |
|
|
基础组网功能力 |
部署模式 |
支持透明、路由、混合、旁路、虚拟线路五种工作模式 |
|
路由特性 |
支持静态路由、策略路由、动态路由RIPv1/2、OSPFv2、BGP4、路由健康检查,支持基于源地址保持和五元组的等价路由、源进源出 |
|
|
IP协议 |
支持IPv4/IPv6双协议栈 |
|
|
NAT |
支持源NAT、目的NAT、静态NAT、透明NAT、NAT回流,nat地址池选择算法支持源目的地址哈希、轮询、源地址保持 |
|
|
ISP路由 |
支持ISP路由,内置多家运营商地址库,支持健康检查,支持基于源IP和连接的多路径选择 |
|
|
网络服务 |
支持DHCP服务器和中继,支持排除IP,支持DHCP状态监控,支持DNS域名解析;支持DNS服务器;支持DNS透明代理功能、支持基于多出口的DNS透明代理功能 |
|
|
VPN |
支持IPSecVPN协议,支持网关到网关和远程接入部署模式;支持GRE over IPSec VPN;支持IPsecVPN多实例;支持SSL VPN协议; |
|
|
高可靠性 |
支持主-主和主-备模式、支持接口联动、支持链路探测;支持标准的VRRP协议;HA监控 支持健康检查、接口监控、链路聚合监控 |
|
|
精细化访问控制 |
访问控制 |
支持IPv4/IPv6 基于源/目的接口/安全域、源/目的IP地址/地理区域对象、用户、服务、应用、时间的8元组防火墙策略;支持配置入侵防御、病毒防护、WEB访问控制、应用过滤等安全防护功能;支持基于源IP的会话限制和每秒新建限制;支持2、3层网络IP-MAC绑定;支持将攻击源IP加入黑名单,支持自动添加或者手动添加,支持黑名单生命周期管理;支持限定主机或接入接口对本地服务的访问,如DNS、https等服务;支持协议自定义会话超时管理 |
|
应用识别 |
支持应用识别、应用行为识别,支持桌面、Web和移动端应用识别,内置应用数5000+,支持海外应用库和本地应用库;支持自定义应用,可基于协议、端口、IP、域名等维度定义未知应用;支持特征库手动、自动和定期更新;支持基于应用、行为、内容应用控制策略,可对IM、流媒体、P2P、游戏、股票等应用、应用行为和内容进行控制并记录日志;支持对收发邮件的主题、正文关键字、收件人、发件人、文件名称和长度进行过滤;支持对QQ、微信等常用社交软件进行细粒度行为管控,如登录、收/发文件、收/发消息、语音、朋友圈等 |
|
|
上网行为审计 |
支持QQ、微信、whatapp账号、登录、收发文件等动作审计;支持FTP/HTTP文件传输,网盘文件上传和下载审计;支持基于URL分类库的网站访问审计;支持基于用户和IP地址的审计白名单;支持全部应用审计,包括账号、用户名、应用名称和收发消息、内容等审计 |
|
|
用户认证 |
支持用户自动识别,支持WEB、本地、Portal认证、第三方服务器、短信认证、访客二维码认证、混合认证、AD域单点登录、免认证等多种身份认证方式 |
|
|
文件过滤 |
支持基于文件类型进行过滤 |
|
|
邮件过滤 |
支持对收发邮件的主题、正文关键字、收件人、发件人、文件名称和长度进行过滤 |
|
|
URL过滤 |
支持基于URL分类库的过滤、URL查询、阻断和日志记录,支持URL关键字过滤,支持本地URL分类库和海外URL分类库,URL分类库条目超过2000w+(含云端) |
|
|
智能流控 |
支持基于线路和通道的4级嵌套应用流控管理策略,支持基于接口、安全域的总带宽上下行管理,支持应用、用户、源地址、服务、时间的五元组通道匹配策略,支持带宽限制、带宽保障和弹性带宽,支持每IP限速、每用户限速,支持基于用户、地址排除策略 |
|
|
一体化威胁防护 |
攻击防护 |
支持IPv4/6抗应用型DOS攻击防护,如HTTP Flood、DNS query flood等攻击防护;支持抗流量型攻击防护,如syn flood、udp flood、icmp flood,tcp flood等攻击防护 |
|
病毒防护 |
支持HTTP,HTTPS,FTP,POP3,SMTP,IMAP协议的病毒查杀、病毒库自动更新、虚拟脱壳、自定义查杀文件大小、查杀可疑病毒、可疑脚本、图片病毒、查杀邮件正文、附件、网页及下载文件中包含的病毒;支持200万余种病毒的查杀,病毒库定期与及时更新,支持基于MD5的自定义病毒签名 |
|
|
入侵防御 |
支持模式匹配、异常检测、统计分析,以及抗IDS/IPS逃逸等多种检测技术,支持在线和旁路部署;支持发布库事件集8000+,支持检测库11000+,兼容CVE/CNCVE,支持事件集自定义,支持手动、自动或定期升级;支持IPS自定义规则;可分析HTTP、SMTP、POP3、FTP、Telnet、VLAN、MPLS、ARP、GRE等多种协议;支持SQL注入检测、木马后门攻击防护、安全漏洞攻击防护、拒绝服务攻击防护、弱口令探测等可疑行为防护、蠕虫病毒防护、网络数据库攻击、CGI访问、CGI攻击、IPS高阶告警等 |
|
|
可视化智能管理 |
设备管理 |
支持WEB(HTTP/HTTPS)、SSH、TELNET、Console进行管理配置,支持主机名、设备DNS设置,支持自定义HTTP/HTTPS管理端口 |
|
管理权限 |
支持管理员权限划分,支持预定义配置、审计、安全管理员,三权分立,支持管理员设置和分组 |
|
|
诊断工具 |
支持web图形方式的网络调试、诊断命令,可基于协议、IPv4/v6、源和目的地址等进行流量调试;支持诊断信息/异常信息导出;支持ping\trace\token工具;支持会话或接口流量抓包,可基于协议和IP地址抓包,支持多接口同时抓包; |
|
|
策略分析 |
支持策略分析,支持检测出冗余策略、隐藏策略、冲突策略、可合并策略、空策略、过期策略,并给出优化建议 |
|
|
日志输出 |
支持日志设定策略设定,支持日志本地存储和外发,支持系统日志、流日志、安全日志和审计日志,所有日志支持查询、导出和清除;支持接口、HA、路由和健康检查日志等系统操作日志;支持所有应用名称和行为日志,日志本地、硬盘存储和外发;支持本地导出为excel、txt、xml格式; |
|
|
统计分析 |
支持实时流量统计和分析功能,支持TOP10应用流量排名,支持流量趋势展示,支持TOP50应用流量数据分析,支持用户流量TOP50统计;支持流量报表导出; |
|
|
监控分析 |
支持在线用户监控和管理,支持系统信息告警,如CPU、内存、硬盘占用率等,支持告警日志外发,syslog\email等; |
|
1.互联网出口
安全需求:
• 多出口链路备份,链路负载均衡
• 外部病毒,攻击,恶意软件防护
• 内网用户滥用网络带宽管控
• 远端SSL VPN接入
解决方案:
• 通过ISP策略路由,等价路由,链路探测等实现多出口智能选路功能
• 通过一体化引擎中IPS,AV,URL过滤等实现对外部病毒,攻击,恶意站点防御
• 通过应用层访问控制,带宽管理,URL过滤,内容过滤等策略实现用户上网管理
2.内网安全隔离
安全需求:
• 内部用户的入侵行为;
• 内部病毒扩散;
• 内部人员的非法访问;
• 资源滥用,挤占业务带宽;
解决方案:
• 基于应用的安全控制,防止非法访问以及业务伪装访问;
• 入侵防御,防病毒,抗攻击,保障总部业务安全可靠;
• 识别上千种应用,基于应用的带宽限制、最小带宽保障,保障业务体验;
主机型号 | 描述 |
MPSec IFW400-X1-AC | MPSec IFW400-X1-AC、下一代防火墙主机,配置8个GE千兆电口+2个GE 千兆光口+2个万兆光口,双模块化电源。1U设备 |
MPSec IFW400-X3-AC | MPSec IFW400-X3-AC、下一代防火墙主机,配置16个GE千兆电口+12个GE 千兆光口+6个万兆光口,双模块化电源,2U设备 |
模块 | |
模块名称 | 描述 |
IFW400-X1-SSL-1 | IFW400-X1-SSL-1、下一代防火墙授权软件,IFW400-X1,1个SSL VPN并发用户扩展许可 |
IFW400-X1-IAA-1Y | IFW400-X1-IAA-1Y、下一代防火墙授权软件,IFW400-X1产品应用识别库、URL分类特征库、病毒防护特征库、入侵防御多合一特征库升级1年期授权。 |
IFW400-X1-IAA-3Y | IFW400-X1-IAA-3Y、下一代防火墙授权软件,IFW400-X1产品应用识别库、URL分类特征库、病毒防护特征库、入侵防御多合一特征库升级3年期授权。 |
IFW400-X1-1G-LIC | IFW400-X1-1G-LIC、下一代防火墙授权软件,IFW400-X1防火墙性能扩展授权,每个授权提供1Gbps网络吞吐量扩容。 |
AD120M-HS0N | ACDC电源模块_AD120M-HS0N(RoHS)_120W,自然散热,交流输入100-240VAC/2A,输出12V/10A,隔离,不均流,( 210*100*41.8)mm,支持热插拨,V1版,CCC |
IFW400-X3-SSL-1 | IFW400-X3-SSL-1、下一代防火墙授权软件,IFW400-X3,1个SSL VPN并发用户扩展许可 |
IFW400-X3-IAA-1Y | IFW400-X3-IAA-1Y、下一代防火墙授权软件,IFW400-X3产品应用识别库、URL分类特征库、病毒防护特征库、入侵防御多合一特征库升级1年期授权。 |
IFW400-X3-IAA-3Y | IFW400-X3-IAA-3Y、下一代防火墙授权软件,IFW400-X3产品应用识别库、URL分类特征库、病毒防护特征库、入侵防御多合一特征库升级3年期授权。 |
IFW400-X3-1G-LIC | IFW400-X3-1G-LIC、下一代防火墙授权软件,IFW400-X3防火墙性能扩展授权,每个授权提供1Gbps网络吞吐量扩容。 |