產品亮點 精細化應用管控 山石網科下一代防火墻E3960支持深度應用識別技術，可根據協議特征、行為 特征及關聯分析等，準確識別數千種網絡應用，其中包括200余種移動應用。 在此基礎上，E3960為用戶提供了精細而靈活的應用安全管控功能。 ● 應用多維可視化及風險分析。除應用所在分類外，用戶可了解到包括應用 背景信息、應用風險級別、潛在風險描述、所用技術等詳盡信息，如該應 用是否大量消耗帶寬、是否能夠傳輸文件、是否存在已知漏洞等等。通過 多維度的詳盡應用分析，用戶可制定針對性的安全策略以避免特定應用威 脅網絡安全。 ● 精準應用篩選。E3960提供了精細化的應用篩選機制。用戶可根據應用名 稱、應用類別、風險級別、所用技術、應用特征等6大條件，精確篩選出 感興趣的應用類型，如具備文件傳輸功能的通訊軟件，或存在已知漏洞、 基于瀏覽器的WEB視頻應用等等，從而實現精細化的應用管控。 ● 靈活應用控制。基于深度應用識別及精細化的應用篩選，E3960支持靈活 的安全控制功能。包括策略阻止、會話限制、流量管控、應用引流或時間 限制等。如山石網科下一代防火墻支持的iQoS技術，可在應用識別與用戶 識別基礎上，進行兩層八級細粒度流量管控，保證用戶重要應用服務質量， 提升網絡帶寬利用率。 全面威脅檢測與防護 山石網科下一代防火墻E3960提供了基于深度應用、協議檢測和攻擊原理分析 的入侵防御技術，可有效過濾病毒、木馬、蠕蟲、間諜軟件、漏洞攻擊、逃逸 攻擊等安全威脅，為用戶提供L2-L7層網絡安全防護。 ● 優化的攻擊識別算法。能夠有效抵御如SYN Flood、UDP Flood、HTTP Flood等DoS/DDoS攻擊，保障網絡與應用系統的安全可用性。 ● 專業Web攻擊防護功能。支持SQL注入、跨站腳本、CC攻擊等檢測與過濾， 避免Web服務器遭受攻擊破壞；支持外鏈檢查和目錄訪問控制，防止Web Shell和敏感信息泄露，避免網頁篡改與掛馬，滿足用戶Web服務器深層次 安全防護需求。 ● 高性能的病毒過濾功能。領先的基于流掃描技術的檢測引擎可實現低延時 的高性能過濾。支持對HTTP、FTP及各種郵件傳輸協議流量和壓縮文件 （zip，gzip，rar等）中病毒的查殺。 ● 超過2000萬條分類庫的URL過濾功能，可幫助網絡管理員輕松實現網頁瀏 覽訪問控制，避免惡意URL帶來的威脅滲入。 強大的網絡適應性 山石網科下一代防火墻E3960具備強大的網絡適應能力，具備復雜環境下的安 全部署能力，滿足用戶多樣化的網絡功能需求。 ● 智能鏈路負載均衡功能。其出站動態探測和入站SmartDNS等功能允許網 絡訪問流量在多條鏈路上實現智能分擔，極大提升鏈路利用效率和用戶網 絡訪問體驗。 ● 內置VPN加速芯片。可顯著提升IPSec/SSL VPN性能，支持大規模網絡環 境中VPN部署。結合iOS及Android平臺下的VPN客戶端，可為用戶提供 移動終端遠程接入解決方案。 ● 支持虛擬防火墻技術。可將一臺物理防火墻在邏輯上劃分成多個虛擬防火 墻，每個虛擬防火墻擁有獨立系統資源和獨立配置管理平臺，可根據不同 業務系統的安全需求為不同租戶提供專屬安全防護，還可對租戶間互訪的 東西向流量進行安全隔離和策略防護。
功能規格 應用識別 ● 全新一代基于應用特征、行為和關聯信息的應 用識別 ● 支持基于應用風險程度、特征的呈現、控制和 審計 ● 多達上千種的應用特征庫 ● 應用特征庫通過網絡實時更新 防火墻 ● 基于深度應用識別的訪問控制 ● 基于應用/角色的安全策略 ● 豐富的路由特性 ● 強大的 NAT 及 ALG 攻擊防護 ● 多種畸形報文攻擊防護 ● SYN Flood、DNS Query Flood 等多種 DoS/DDoS 防護 ● ARP 欺騙防護 入侵防御 ● 基于狀態、精準的高性能攻擊檢測和防御 ● 實時攻擊源阻斷、IP 屏蔽、攻擊事件記錄 ● 支持針對 HTTP、SMTP、IMAP、POP3、 VOIP\NETBIOS、TCP、UDP 等近 20 種協議 和應用的攻擊檢測和防御 ● 支持緩沖區溢出、SQL 注入和跨站腳本攻擊的 檢測和防護 ● 支持超過 2000 種特征的攻擊檢測和防御，支 持特征庫實時更新 病毒過濾 ● 基于流的病毒過濾 ● 支持壓縮文件的掃描 ● 超過 130 萬的病毒特征庫，病毒庫可以通過 網絡實時更新 網頁訪問控制 ● 基于角色、時間、優先級等條件的 Web 網頁 訪問策略控制 ● 基于網頁分類類別控制，控制對不良網站訪問 ● 支持自定義 Web 頁面類別 ● 總數幾千萬條域名的分類 Web 頁面庫，支持 Web 頁面庫實時更新 帶寬管理 ● 根據安全域、接口、地址、用戶/用戶組、服 務/服務組、應用/應用組、TOS、Vlan 等信息 劃分管道 ● 支持兩層八級管道嵌套 ● 對多層級管道進行最大帶寬限制、最小帶寬保 證、每 IP 或每用戶的最大帶寬限制和最小帶 寬保證 ● 基于時間和優先級的差分服務，支持帶寬均分 策略 ● 對剩余帶寬根據優先級進行彈性分配 鏈路負載均衡 ● 在多鏈路環境下，同時提供了入方向和出方向 的負載均衡功能 ● Outbound 出方向的相關功能包括：基于策 略的路由 (PBR)、ECMP 及權重、內置 ISP 路 由和動態探測 ● Inbound 入方向的相關功能包括： SmartDNS（支持 DNS A 記錄解析）和動態 探測 ● 可根據帶寬占用及時延情況自動進行鏈路切 換 ● 鏈路健康檢查支持通過 ARP、PING、DNS 等 方法來檢測 服務器負載均衡 ● 支持服務器健康檢查和服務器會話保護、支持 會話保持 ● 支持加權哈希、加權輪詢、加權最小會話數等 算法 ● 支持服務器會話狀態的監控 VPN ● 支持標準 IPSec VPN/L2TP VPN 協議及各種 部署方式 ● 支持 SSL VPN (可選 USB-key) ● 創新的 PnPVPN®(即插即用 VPN) ● 支持 L2TP over IPSec VPN 移動終端接入 ● 針對 Android、IOS 等移動設備的安全接入 IPv6 ● 訪問控制 ● ND 攻擊防護 ● 隧道、DNS64/NAT64 等多種過渡技術 高可用性 (HA) ● 主/主模式 (A/A) 和主/備模式 (A/P) ● 配置同步 ● 會話同步 虛擬系統 (VSYS) ● 支持對每個 VSYS 分配系統資源 ● 支持 CPU 虛擬化 ● 支持防火墻功能 ● 支持 IPsec VPN ● 支持統計報表 日志報表 ● URL 日志 ● NAT 轉換日志 ● 會話日志 ● 安全防護日志 ● 流量告警日志 ● 實時流量統計和報表 ● 安全事件統計功能