随着网络技术的发展,防火墙需要支持对应用层的过滤和威胁防护,如何保障开启应用层过滤和威胁防护情况下能够高效、快速、稳定运行是新一代防火墙必须面对的问题。防火墙采用自主研发且优化后的多核并行处理结构,突破传统防火墙处理数据的瓶颈,更大程度上提升了防火墙的性能。更高效的性能、更快速的转发速度是第二代防火墙的基石,让集成的多种安全防护功能,在全面启用的情况下,仍 然能轻松应对,保证极快的整体转发速度。
内置应用识别库,支持2000+种应用识别。在配置界面上为用户提供应用列表,并可将应用进行26个维度分类,包括按风险等级分类(1-5级威胁度),按商业类别、子类别分类(如媒体类,图片视频子类),按实现技术分类(如P2P),以及按照特征标签分类(如消耗带宽类,传输文件类应用等)。同时支持按照以上5维度的任意组合供用户对应用进行详细查询定位。
为第二代防火墙显著特征之一,对在线用户身份识别功能做了全面细致的支持。与传统的将用户认证策略混入防火墙策略配置中不同,将用户认证从防火墙复杂的策略配置中抽离出来,从逻辑上做出更合理清晰的呈现。用户可对不同的安全区域指定不同的认证策略,并可根据不同场景选择不同的身份识别方案,例如,可从域控服务器直接获取身份信息,与第三方认证服务器(Radius、AD、LDAP)认证,本地帐号库认证,证书认证,以及结合以上多钟认证方式于一体的多因素认证。
产品基于安全引擎的一体化设计,在配置界面上为用户提供了较传统防火墙和UTM完全不同的清晰和简捷的管理体验,即一体化策略配置。一体化配置策略将传统五元组访问控制与具有第二代防火墙特征的用户识别、应用识别控制有机的结合起来,同时对其他防火墙产品一贯分离且重复的安全策略配置方式,进行了高度集中和融合。
基于强大细致的用户、应用识别能力和灵活的3级通道带宽嵌套机制对流量进行控制处理,保障优先级高的通带宽;支持用户以安全区、IP地址段、时间、用户、应用多维度的对流量进行管理和控制,包括限制应用上下行最大带宽、保证应用上下行最小带宽、保证带宽下的优先级排序以及每IP的进行应用流量控制,从而做到合理分配网络带宽,保证重要业务的正常优质运行,限制或防范非法滥用网络资源的应用对流量的过度占用等。
