功能特點

面向應用與內容安全

能夠基于傳統防火墻的五元組進行安全策略配置，還可以基于應用、用戶、時間等條件進行安全策略配置。提供一體化的策略，對于所有策略條件進行融合，提供統一配置界面。

智能應用識別

持有智能應用協議識別技術，通過動態分析網絡報文中包含的協議特征，發現其所用協議，在全盤了解應用特征后，制作出相應的應用特征及應用過濾器，對網絡中傳輸的數據包進行高速匹配，確保能夠準確、快速地檢測到此類應用。

業務URL分類過濾

中新云中心網站分類收集系統持續在互聯網上刷新新增站點，分類庫中包含了惡意網站，囊括了當期流行的釣魚網站和惡意URL，收錄了多種語言超過千萬的URL，根據賭博網站、招聘網站、色情網站、購物網站、社交網站、視頻網站、暴力網站、網頁郵箱網站等常見需求分類。

基于云端推送的威脅防御

全面具備入侵檢測、病毒與惡意軟件、WEB應用防護等各種威脅防護功能，并且通過安全云中心威脅行為檢測推送威脅防御特征，應對不斷出現的新型入侵、攻擊、病毒與惡意軟件、惡意網站。

靈活的用戶防護機制

內嵌一套靈活強大的身份管理系統，在用戶管理方面對組織架構、角色類型和用戶信息進行分類規劃，集成了強大的安全準入控制功能，針對身份認證通過后的用戶，根據其身份認證信息，通過智能過濾引擎實現基于用戶身份的安全防護策略部署與可視化監控。

可視化全網行為統計

通過高級動態網頁技術展現豐富的可視化圖表，從整體流量、應用協議、用戶使用流量、WEB訪問情況等多個維度上全面展現歷史全網行為統計。

顆?；髁靠刂?/span>

流量進行精確的識別，提供多層的帶寬策略，每層都允許自定義各種流量識別條件，可以在一個帶寬通道中實現最大帶寬、保證帶寬等流量控制動作。

高效的硬件處理架構

集成了硬件加解密、壓縮解壓縮、正則匹配等硬件協處理器和L2~L7層網絡應用加速器；采用了高速數據包處理技術專門針對I/O密集型網絡設計，為數據轉發提供了一個高速通信隧道，極大提升了平臺安全處理性能和吞吐率，使設備在安全處理性能上具有質的飛躍。

Master和Standby系統雙活冗余

雙操作系統設計，主控（Master）系統與備用（Standby）系統之間采用分布式設計；能夠避免因升級失敗、文件系統錯誤等系統故障而導致的設備工作異常造成的損失。

路由支持

支持高級ISP路由，數量最少支持3個及以上；支持靜態路由協議；支持RIP、OSPF等動態路由協議；支持策略路由；支持多條等價路由，提供目的路由和源地址路由功能以及目的路由負載均衡（注：源地址路由功能可通過策略路由實現）。

端口聚合

支持多個端口聚合，提高鏈路帶寬。

郵件過濾

支持針對SMTP、POP3，基于發信人地址、收信人地址、收信人數、文件大小、郵件主題、正文內容、發件人姓名、收件人姓名、附件文件名、附件內容等進行關鍵字匹配過濾。

VLAN支持

支持每個網絡接口設定多個IP地址，支持網絡接口模式的設定，適應多種網絡拓撲結構和VLAN環境（支持802.1q協議、Trunk協議等），支持IEEE802.1Q 協議。

應用層協議識別及防護

支持應用協議特征庫自動升級功能，當發現協議本身特征發生變化能夠自動升級協議特征，以完美匹配應用協議，避免應用軟件通過更新升級的方式繞過防火墻的監控和識別；支持應用層協議過濾，可以識別http，ftp，smtp，imap，pop3，QQ，比特下載，在線視頻等各類常用的高層應用協議，可限制BT，eMule，eDonkey等P2P應用，并可以對這些應用進行登錄限制，并記錄日志；支持ftp過濾功能（包括針對各FTP子命令單獨設置策略）；支持對telnet訪問過濾功能；針對HTTP，對網頁中java、javascrip、activeX進行過濾，在狀態包過濾方式下，支持細粒度的規則配置，支持URL過濾，并支持黑/白名單過濾策略，支持百萬種url特征庫。

IPSEC VPN

支持VPN通訊參數的設置；支持不同認證算法(MD5/SHA1/…)、不同加密算法(3DES/AES/…)、不同封裝模式(ESP/AH)的選擇；支持IKE認證方式的選擇（預共享密鑰/PKI證書模式）；支持固定網關之間的VPN通訊，支持客戶端與網關間的VPN通訊；支持星型結構和網狀結構下的VPN隧道建立；完整兼容IPSec協議，能夠與CISCO、WINXP、WIN7的VPN互通。

SSL VPN

支持內置獨立的sslvpn用戶界面配置工具并提供下載；支持AES、DES、3DES、RC4、MD5、SHA1、RSA等多種算法選擇；支持SSL2.0/3.0、TLS1.0；支持高效流壓縮算法；支持X.509數字證書認證；支持公共帳戶登陸；支持HTML、JAP、ASP、JAVA、applet、ACTIVE、Cookies等各種Web應用；支持基于IP協議的各種C/S應用，如EMAIL、FTP、ERP、CRM、DB等；支持Windows/CIFS遠程文件共享；自帶150個SSL-VPN并發連接，不需要額外的授權。

防病毒

支持大約5萬條病毒條目；支持在線、本地更新病毒庫，能夠防護端口掃描、密碼暴力破解等網絡攻擊。

IPv6

支持IPv6協議，支持IPv6網絡下的鄰居發現，路由自動轉發功能，滿足IPv6Phase 2金牌認證要求。

登錄界面定制

登錄框可以根據用戶需求進行定制，使用戶可以更加全面地了解系統和管理員的信息，如系統公告，logo、管理員電話，QQ等。

集成IPS

支持識別和阻斷多種網絡攻擊，并記錄日志，設備內置入侵檢測規則，當有某個行為與一個已知入侵的規則相匹配時，系統將會發布警報信息，記錄到系統日志里，方便管理員及進了解網絡安全狀況；支持多種類型ips特征檢測，并允許用戶啟用或禁用特定的特征，對程序訪問做相應限制（例如郵件，dns等）；支持ips特征庫的自動更新。

應用代理

支持基于TCP的HTTP代理、SMTP代理、FTP代理、POP3代理以及基于策略的通用代理；支持在透明代理下基于HTTP、FTP、SMTP、POP3協議的內容過濾。

流量監控

支持端口限速功能，以保證關鍵業務的有效帶寬；支持保證帶寬功能，保證關鍵業務的帶寬占用；支持基于源IP地址，目的IP地址，源端口，目的端口，傳輸協議，應用程序(ftp,http,qq等)等方面的帶寬控制，為關鍵業務流量優先分配帶寬，所有配置要統一集中在同一界面完成，簡化操作。

多機集群

支持兩臺及以上防火墻組成多機集群工作模式。

狀態同步

在多機集群狀態下，支持多臺防火墻共享虛擬的IP地址，在雙機熱備狀態下，支持主機的連接狀態信息與備機保持同步更新，從而可保障冗余系統切換時連接不中斷，徹底消除單點故障。

負載均衡

支持基于上行網絡設備或在網關設置的均衡來實現多機集群模式下防火墻處理能力方面的負載均衡。

聯動功能

支持與入侵檢測系統進行聯動，當入侵檢測系統發現網絡受惡意攻擊或未經授權的訪問時，實時把信息傳送給防火墻設備，防火墻設備根據預先配置好的安全策略可對信息進行阻斷或放行。

日志審計

所有的防火墻事件都有相關日志記錄，支持系統配置日志、系統運行日志、NAT日志、連接日志等相關內容的記錄，并支持日志記錄級別，關鍵詞搜索功能；支持攻擊防范日志、內容過濾日志、病毒攻擊日志、用戶上下線日志等相關內容的記錄，并支持日志記錄級別、關鍵詞搜索功能；支持遠程Syslog服務器；支持日志導出，支持CSV/Excel格式。

客戶價值

更簡單的設備運維管理，降低用戶成本

中新金盾第二代代防火墻一體化的集成防護功能，大大降低了用戶對安全設備的采購成本，同時極大地簡化了組網復雜度和設備管理復雜度。另外設備自身能夠提供豐富的網絡及安全可視化展示方式，從應用和用戶視角多層面的將網絡應用及安全狀態展現出來，使管理者能夠清晰、準確地認知網絡運行狀況與安全態勢。

強大的應用層防護設計和高效的數據轉發、處理能力，確保用戶關鍵業務的安全

中新金盾第二代防火墻，支持多種應用層協議監控，并能夠實現按不同類型進行QOS細化控制，支持2-7層防護功能，支持攻擊防護、入侵檢測、惡意代碼防護、垃圾網站過濾等等新興的攻擊微信，進行全面的防護。專業、穩定的專用多核硬件平臺架構及底層安全系統設計；采用中新網安先進的底層架構優化技術，大大提升數據包及協議識別下的7層數據包轉發能力。