|
|
|
|
首页 > 产品中心
>Sophos UTM防火墙产品系列
>Sophos UTM防火墙技术参数2 |
|
|
|
|
|
注释:
· 本文档设计基准参考UTM v8.2 系统版本
· UTM 系列产品的技术规格均一致
· “ ! ” 标识表示有特色的功能
2012-01
UTM 防火墙系列产品的性能参数
UTM 120
|
主要项目
|
参数值
|
|
性能
|
防火墙吞吐量
|
1.8 Gbps
|
|
VPN 吞吐量
|
180 Mbps
|
|
IPS 吞吐量
|
240 Mbps
|
|
UTM 吞吐量
|
45 Mbps
|
|
RED 吞吐量
|
50 Mbps
|
|
******并发连接数
|
120,000
|
|
邮件处理能力
|
40,000 封/小时
|
|
|
IPSec VPN 隧道数
|
25
|
|
接口
|
4 x GE
|
|
硬盘
|
160 GB
|
|
******功率
|
35.96 瓦
|
|
安装方式
|
桌面或挂壁安装
|
|
产品认证
|
CE, FCC Class B, CB, VCCI, C-Tick, UL
|
UTM 220
|
主要项目
|
参数值
|
|
性能
|
防火墙吞吐量
|
3.0 Gbps
|
|
VPN 吞吐量
|
480 Mbps
|
|
IPS 吞吐量
|
750 Mbps
|
|
UTM 吞吐量
|
95 Mbps
|
|
RED 吞吐量
|
80 Mbps
|
|
******并发连接数
|
300,000
|
|
邮件处理能力
|
52,000 封/小时
|
|
IPSec VPN 隧道数
|
125
|
|
接口
|
8 x GE
|
|
硬盘
|
160 GB
|
|
******功率
|
70.27 瓦
|
|
安装方式
|
1U 19寸标准机架安装
|
|
产品认证
|
CE, FCC Class A, CB, VCCI, C-Tick, UL
|
UTM 320
|
主要项目
|
参数值
|
|
性能
|
防火墙吞吐量
|
3.4 Gbps
|
|
VPN 吞吐量
|
560 Mbps
|
|
IPS 吞吐量
|
1,000 Mbps
|
|
UTM 吞吐量
|
165 Mbps
|
|
RED 吞吐量
|
120 Mbps
|
|
******并发连接数
|
600,000
|
|
邮件处理能力
|
78,000 封/小时
|
|
IPSec VPN 隧道数
|
400
|
|
接口
|
8 x GE
|
|
硬盘
|
160 GB
|
|
******功率
|
70.27 瓦
|
|
安装方式
|
1U 19寸标准机架安装
|
|
产品认证
|
CE, FCC Class A, CB, VCCI, C-Tick, UL
|
UTM 425
|
主要项目
|
参数值
|
|
性能
|
防火墙吞吐量
|
6.0 Gbps
|
|
VPN 吞吐量
|
780 Mbps
|
|
IPS 吞吐量
|
1,200 Mbps
|
|
UTM 吞吐量
|
300 Mbps
|
|
RED 吞吐量
|
160 Mbps
|
|
******并发连接数
|
1,000,000
|
|
邮件处理能力
|
130,000 封/小时
|
|
IPSec VPN 隧道数
|
600
|
|
接口
|
8 x GE
|
|
2 x SFP (可配SX,LX,TX 模块)
|
|
硬盘
|
160 GB
|
|
******功率
|
70.27 瓦
|
|
安装方式
|
1U 19寸标准机架安装
|
|
产品认证
|
CE, FCC, CB, VCCI, C-Tick
|
UTM 525
|
主要项目
|
参数值
|
|
性能
|
防火墙吞吐量
|
6.0 Gbps
|
|
VPN 吞吐量
|
900 Mbps
|
|
IPS 吞吐量
|
2,200 Mbps
|
|
UTM 吞吐量
|
340 Mbps
|
|
RED 吞吐量
|
280 Mbps
|
|
******并发连接数
|
1,700,000
|
|
邮件处理能力
|
200,000 封/小时
|
|
IPSec VPN 隧道数
|
1,000
|
|
接口
|
10 x GE
|
|
4 x SFP (可配SX,LX,TX 模块)
|
|
硬盘
|
320 GB (RAID1, hot-swap)
|
|
******功率
|
222 瓦
|
|
安装方式
|
2U 19寸标准机架安装
|
|
产品认证
|
CE, FCC, CB, VCCI, C-Tick, UL
|
UTM 625
|
主要项目
|
参数值
|
|
性能
|
防火墙吞吐量
|
10.0 Gbps
|
|
VPN 吞吐量
|
1,000 Mbps
|
|
IPS 吞吐量
|
2,400 Mbps
|
|
UTM 吞吐量
|
575 Mbps
|
|
RED 吞吐量
|
320 Mbps
|
|
******并发连接数
|
2,500,000
|
|
邮件处理能力
|
250,000 封/小时
|
|
IPSec VPN 隧道数
|
1,500
|
|
接口
|
10 x GE
|
|
8 x SFP (可配SX,LX,TX 模块)
|
|
硬盘
|
450 GB (RAID1, hot-swap)
|
|
******功率
|
280 瓦
|
|
安装方式
|
2U 19寸标准机架安装
|
|
产品认证
|
CE, FCC, CB, VCCI, C-Tick, UL
|
UTM 附属产品的性能参数
AP 10 & AP 30
RED 10
|
主要功能
|
描述
|
|
|
AP 10
|
AP 30
|
|
运行环境与定位
|
室内集中管理型无线接入设备
|
|
工作频率
|
2.4 GHz
|
|
支持的标准
|
802.11 b/g/n
|
|
******吞吐量
|
150 Mbps
|
300 Mbps
|
|
接口
|
1 x 10/100Base-Tx
|
|
天线
|
单外置天线
|
三扇区内置天线
|
|
PoE
|
不支持
|
支持
|
|
外置电源
|
支持
|
|
安装方式
|
桌面、壁挂
|
桌面、吸顶
|
|
产品认证
|
FCC, CE
|
防火墙/VPN部分的主要功能
对应:UTM设备 + 网络安全模块(NS)
|
主要项目
|
参数值
|
|
性能
|
吞吐量
|
30 Mbps
|
|
IPSec VPN 隧道数
|
1
|
|
接口
|
4 x 10/100 Base-TX,LAN口,交换接口组
|
|
1 x 10/100 Base-TX,WAN口
|
|
******功率
|
7 瓦
|
|
安装方式
|
桌面型
|
|
产品认证
|
CE, FCC Class B, VCCI, C–Tick
|
|
主要功能
|
描述
|
|
|
网络功能
|
运行模式
|
支持路由、透明、混合模式
|
!
|
|
接口模式
|
可选择使用PPPoE、DHCP、静态IP地址方式配置接口
|
|
|
支持UMTS/3G USB卡的使用
|
!
|
|
对象定义
|
可基于主机、网络、域名、用户、用户组、时间定义对象
|
|
|
网络地址转换
|
基于源地址、目的地址、通讯端口的转换
|
|
|
可同时转换IP包头中的源地址与目的地址
|
!
|
|
支持NAT Loopback
|
|
|
支持 NAT 例外设置,即对设定IP地址不作NAT转换
|
!
|
|
访问控制策略
|
可以基于IP地址、通讯端口、用户对象设计访问控制策略
|
|
|
可以设计时间事件,分单次执行、循环执行两种事件
|
!
|
|
支持访问策略分组管理
|
!
|
|
DHCP服务
|
对内部网络提供DHCP服务
|
|
|
NTP服务
|
对内部网络提供NTP服务
|
|
|
DNS服务
|
对内部网络提供DNS转发功能
|
|
|
支持静态DNS条目的输入
|
!
|
|
可根据设定域名将DNS解析转发到指定的DNS服务器
|
!
|
|
IPv4/v6
|
支持IPv4、IPv6协议
|
!
|
|
多WAN
|
可定义最多8个WAN口,可实现端口冗余备份
|
!
|
|
动态路由
|
支持OSPF动态路由(OSPF)
|
|
|
QoS
|
提供基于IP地址、通讯端口、用户对象、应用程序的流量控制
|
|
|
VoIP安全
|
提供SIP、H.323的应用代理
|
|
|
VLAN
|
可以在任意接口上定义VLAN ID
|
|
|
最多支持4096个VLAN ID
|
|
|
链路汇聚
|
支持802.3ad协议
|
!
|
|
动态域名
|
支持DynDNS域名服务商的动态域名服务
|
|
|
高可用性功能
|
负载处理
|
可实现多WAN口的链路失效转换
|
|
|
支持多WAN的负载均衡
|
|
|
支持策略路由,并可实现接口失效转换
|
|
|
服务器负载均衡
|
|
|
设备HA
|
支持主/从模式的双机热备份
|
|
|
支持主/主模式的集群工作方式,可支持10台同型号设备组建集群
|
!
|
|
身份认证
|
本地认证
|
可使用设备本地用户数据库
|
|
|
远端认证
|
支持Radius、LDAP、Windows Active Directory、Novell eDirectory、Tacacs+ 认证服务器
|
|
|
认证方式
|
提供基于Web界面的认证方式
|
|
|
提供基于认证客户端软件的认证方式
|
!
|
|
支持X.509 v3
|
!
|
|
入侵防御系统
|
国家拦截
|
支持对全球IP地址按国家、地区分类,并可进行实时通讯拦截
|
!
|
|
DoS/DDoS
|
支持TCP/SYN/UDP/ICMP Flood攻击防御
|
|
|
端口扫描
|
支持端口扫描攻击防御
|
|
|
IPS
|
提供在线式的IPS系统,支持万余条攻击特征代码
|
|
|
攻击特征代码库通过Internet在线实时更新
|
|
|
可用手工方式启用或停用某条特征代码
|
|
|
VPN功能
|
点对点VPN组网
|
支持IPSec 协议组建局域网络间的VPN网络
|
|
|
支持SSL协议组建局域网络间的VPN网络
|
!
|
|
支持即插即用型VPN组网模式
|
!
|
|
与第三方标准IPSec设备兼容
|
|
|
可组建网状拓扑、星型拓扑
|
|
|
支持全动态IP地址的VPN组网方式
|
!
|
|
支持VPN网关的冗余设计
|
|
|
支持数据压缩传输
|
|
|
支持在任何接口启用VPN组网能力
|
!
|
|
支持VPN隧道的集中部署与管理
|
|
|
移动用户远程接入
|
远程访问方式可采用PPTP、L2TP over IPSec协议,兼容iphone、iPad、Android系统的智能移动平台
|
!
|
|
提供iPhone、iPad平台的VPN配置文件下载
|
!
|
|
远程访问方式可采用IPsec协议,提供Astaro IPSec移动用户客户端软件,内置个人版防火墙系统
|
|
|
用户可自助从设备上下载VPN客户端配置
|
!
|
|
兼容使用Cisco IPSec移动用户客户端的接入
|
!
|
|
支持Windows IPSec Tunnel模式
|
!
|
|
支持XAUTH认证
|
|
|
远程访问方式可采用SSL协议,用户可自助从设备下载SSL 客户端软件与配置
|
|
|
协议算法
|
支持DES、3DES、AES 128、AES 192、AES 256、Blowfish、Twofish、Serpent加密算法
|
!
|
|
支持MD5、SHA1、SHA2 256、SHA2 384、SHA2 512认证算法
|
!
|
|
支持预共享密钥与X.509数字证书认证方式
|
|
|
支持DH1、DH2、DH5、DH14、DH15、DH16
|
!
|
|
即插即用型VPN
|
远端VPN设备免配置、免维护
|
!
|
|
可做到即插即用,VPN通道自动建立
|
!
|
|
支持隧道分离技术
|
!
|
|
利用中心VPN网关对远端网络的通讯进行集中管理控制
|
!
|
|
支持UMTS/3G USB卡连接Internet
|
!
|
Web安全部分的主要功能
对应:UTM设备 + Web安全模块(WS)
|
主要功能
|
描述
|
|
|
Web过滤
|
运行模式
|
支持标准Web代理、透明代理模式、混合模式
|
|
|
控制对象
|
可针对设定的IP地址、认证用户、时间事件进行过滤
|
|
|
控制协议
|
可以对HTTP、HTTPS协议进行过滤控制
|
|
|
URL过滤
|
利用Web分类数据库中包含的96种分类,对上网访问的网站进行过滤
|
|
|
可以手工设定URL地址的黑白名单
|
|
|
可以设定bypass的用户名,用于临时跳过对某URL地址的控制
|
!
|
|
校验并控制HTTPS网站所用数字证书的有效性
|
!
|
|
支持基于信誉系统的URL过滤
|
|
|
搜索引擎
|
支持对搜索引擎的查询过滤
|
!
|
|
防病毒
|
支持协议
|
支持HTTP、HTTPS、FTP协议的病毒扫描检测
|
|
|
病毒引擎
|
支持双病毒引擎,跟根据安全级别启动单引擎或双引擎
|
!
|
|
文件扫描
|
可设置文件扫描大小
|
|
|
病毒库更新
|
病毒特征代码库通过Internet在线实时更新
|
|
|
对象过滤
|
可设置下载文件扩展名过滤
|
|
|
可设置对象MIME类型过滤
|
|
|
间谍软件过滤
|
|
|
应用控制
|
上网行为管理
|
可识别多种Web应用、聊天软件、P2P下载软件等各类应用,并对其进行控制
|
|
|
可以按应用进行流量控制
|
|
|
控制对象
|
可针对设定的IP地址、认证用户进行过滤
|
|
|
特征库更新
|
允许用户将系统未识别的应用自动提交到研发中心
|
!
|
|
应用特征代码库通过Internet在线实时更新
|
!
|
|
例外设置
|
目的例外
|
支持对设定的URL地址、应用进行某项检测的例外处理
|
|
|
源例外
|
支持对设定的IP地址、用户对象进行某项检测的例外处理
|
|
|
其他
|
|
支持父 HTTP 代理设置
|
|
|
支持Web Cache
|
!
|
|
支持PAC自动下载
|
!
|
邮件安全部分的主要功能
对应:UTM设备 + 邮件安全模块(MS)
|
主要功能
|
描述
|
|
|
垃圾邮件过滤
|
运行模式
|
支持网关模式、旁路模式、透明模式
|
!
|
|
支持对多个不同的邮件域同时处理,没有数量限制
|
|
|
支持邮件路由
|
!
|
|
没有可处理的邮箱数量限制
|
|
|
协议
|
支持在SMTP、POP3协议上的垃圾邮件过滤
|
!
|
|
反垃圾邮件技术
|
支持HELO检测
|
|
|
支持RDNS检测
|
|
|
支持RBL检测,可自定义RBL服务器地址
|
|
|
支持循环模式检测 (Recurrent Pattern Detection™)
|
|
|
支持自定义发件人黑白名单
|
|
|
支持灰名单技术
|
|
|
支持SPF记录检测
|
|
|
支持BATV检测
|
|
|
支持收件人身份验证
|
|
|
支持正则表达式过滤
|
|
|
邮件通讯
|
转发代理
|
可以对外转发邮件
|
|
|
可对发件人进行身份认证,支持本地数据库、Radius、LDAP、Windows Active Directory、Novell eDirectory、Tacacs+ 认证服务器
|
|
|
支持IP地址转发
|
|
|
支持智能主机设定
|
|
|
邮件处理
|
支持与邮件服务器的TLS连接
|
|
|
支持对外发邮件添加DKIM
|
|
|
支持对邮件大小的限制
|
|
|
支持对邮件中收件人数量的限制
|
|
|
支持邮件发送频率的控制
|
|
|
支持POP3的邮件预取功能
|
!
|
|
防病毒
|
支持协议
|
支持SMTP、POP3协议的病毒扫描检测
|
|
|
病毒引擎
|
支持双病毒引擎,跟根据安全级别启动单引擎或双引擎
|
!
|
|
病毒库更新
|
病毒特征代码库通过Internet在线实时更新
|
|
|
对象过滤
|
可设置附件的文件扩展名过滤
|
|
|
可设置附件的MIME类型过滤
|
|
|
Malware检测
|
|
|
邮件自助处理
|
邮件隔离
|
设备提供邮件隔离区域,用于存放被隔离的垃圾邮件
|
|
|
提供隔离邮件报告,并可以定时发送到用户信箱
|
|
|
允许邮件用户登录设备的隔离区域,处理垃圾邮件邮件
|
!
|
|
黑白名单
|
允许邮件用户设定自己的发件人黑白名单
|
!
|
|
邮件加密
|
|
支持对设定的收发件人往来邮件进行邮件加密、数字签名
|
!
|
|
支持S/MIME、OpenPGP协议
|
!
|
|
邮件管理
|
|
查询SMTP Log
|
|
|
查询当前设备上的邮件队列
|
|
|
查询全局的邮件隔离区域内容
|
|
|
管理员具有隔离邮件的优先处理权
|
|
|
提供邮件处理情况统计表
|
|
无线安全部分的主要功能
对应:UTM设备 + 无线安全模块(WI)
|
主要功能
|
描述
|
!
|
|
运行模式
|
AP可工作在路由模式、透明模式
|
|
|
加密方式
|
WEP 128、WPA个人、WPA企业、WPA2个人、WPA2企业
|
|
|
多SSID设计
|
******支持8个SSID
|
|
|
客户端隔离
|
可根据安全访问策略实现SSID隔离
|
|
|
同一SSID的无线客户端二层通讯隔离
|
|
|
SSID隐藏
|
支持
|
|
|
SSID捆绑
|
为AP分配可以使用的SSID
|
|
|
客户端认证
|
支持802.1x
|
|
|
使用客户端认证软件,结合本地用户数据库、Radius、LDAP、Windows Active Director、eDirector、Tacacs+ 远端认证服务器
|
!
|
|
DHCP服务
|
可以为无线客户端提供DHCP服务
|
|
|
IPv4/v6
|
支持
|
|
|
无线漫游
|
支持
|
|
|
VLAN
|
以太网口支持VLAN
|
|
|
QoS
|
支持,需配合网络安全模块
|
|
|
管理
|
通过UTM对AP进行统一集中化管理
|
|
|
AP自动搜寻UTM,并自动从UTM下载配置与OS更新
|
|
|
启用或停用AP设备
|
|
|
显示无线客户端的连接信息
|
|
Web应用安全部分的主要功能
对应:UTM设备 + Web应用安全模块(WA)
|
主要功能
|
描述
|
!
|
|
运行模式
|
以反向代理模式运行
|
|
|
Web服务器防护
|
支持SQL注入防御
|
|
|
支持XSS(跨站脚本攻击)防御
|
|
|
支持Cookie强化,防止Cookie被恶意篡改
|
|
|
支持URL强化,防止URL被恶意篡改
|
|
|
支持表单提交强化,防止通过表单结构篡改对Web服务器的攻击
|
|
|
对上传、下载文件进行病毒扫描
|
|
|
自动拦截在信誉评估系统中的不良客户端IP地址
|
|
|
支持对某台Web服务器的例外处理
|
|
|
支持对某些特定URL的例外处理
|
|
|
支持对某些访客IP地址的例外处理
|
|
|
支持对某项防御技术或具体的防御规则的例外处理
|
|
|
SSL网关功能
|
支持SSL卸载,即HTTPS到HTTP转换
|
|
|
服务器负载均衡
|
支持对内部多台Web服务器的负载均衡
|
|
|
支持对内部Web服务器的健康状态检测
|
|
|
IPv4/v6
|
支持
|
|
设备管理部分的主要功能
|
主要功能
|
描述
|
|
|
设备状态监控
|
|
可监控设备资源利用率,如CPU、内存、硬盘空间等
|
|
|
可显示接口状态,如连接状态、当前流量等信息
|
|
|
可以通过邮件、SNMP方式发送设备状态变更通知
|
|
|
网络状态监控
|
网络安全
|
可实时监控网络接口流量数据
|
|
|
可实时统计IP地址、认证用户对网络的使用率
|
!
|
|
可实时统计网络并发连接数
|
|
|
可实时统计IPS系统的数据
|
|
|
Web安全
|
可实时统计内网用户对网站的访问情况
|
|
|
可实时统计各类应用在网络中的使用情况
|
|
|
可实时统计内网用户对搜索引擎的使用情况,并对搜索的关键字进行统计
|
!
|
|
可设定Web访问行为分析报告,并发送到指定的邮件地址
|
!
|
|
邮件安全
|
可实时统计邮件收发状态
|
|
|
可实时统计发件人、收件人的邮件处理情况
|
|
|
可实时统计垃圾邮件的处理情况
|
|
|
统计时间
|
可实时或按日、月、年、特定日期段来统计
|
|
|
图形化界面
|
管理方式
|
通过HTTPS协议对设备进行管理
|
|
|
提供SSH接口用于后台管理
|
|
|
语言
|
支持中文、英文等多国语言界面的转换
|
|
|
时间
|
可设置系统时钟
|
|
|
分级管理
|
可设定多个管理员级别,进行分级管理
|
!
|
|
配置管理
|
初始化
|
提供快速初始化向导辅助配置设备
|
|
|
配置文件
|
可按要求产生配置文件,并可通过下载、邮件发送等方式获取
|
|
|
可将配置文件定期发送给指定的邮件接收人
|
!
|
|
可按需恢复之前的配置文件
|
|
|
自动备份
|
当系统升级时,对配置文件进行自动备份
|
|
|
输出配置
|
产生可读配置文件,并以PDF格式输出
|
|
|
日志数据
|
|
本地存储日志数据,并可按规范设定存储期限
|
|
|
本地日志数据可导出保存
|
|
|
本地日志数据可通过FTP、SMB、SSH、email等方式备份到指定服务器
|
!
|
|
支持syslog输出
|
|
|
执行报告
|
|
可按日、周、月生成系统执行报告,提供各项安全服务的统计信息
|
|
|
执行报告可按要求自动发送到设定的邮件地址
|
!
|
|
在设备上备份执行报告用于日后查询
|
|
|
提供匿名报告处理,保护用户隐私内容不展现在日志报告中
|
!
|
|
集中化管理
|
|
支持设备的集中化管理
|
|
|
集中管理器可作为设备的系统升级服务器、特征库下载服务器
|
!
|
|
|