型号

三层性能

七层性能

并发连接

VPN连接

电口

光口

万兆光口

Bypass

电源

功率

安装空间

AF-1020

400M

100M

10万

100

4

-

-

NA

单电源

60W

1U

AF-1110

500M

150M

15万

150

4

-

-

1路

单电源

60W

1U

AF-1120

600M

200M

20万

200

4

-

-

1路

单电源

60W

1U

AF-1210

800M

250M

25万

300

6

-

-

1路

单电源

60W

1U

AF-1320

1G

300M

30万

400

6

-

-

1路

单电源

100W

1U

AF-1620

2G

400M

50万

1000

6

-

-

1路

单电源

250W

1U

AF-1720

4G

600M

60万

1500

8

-

-

1路

单电源

250W

1U

AF-1820

5G

800M

70万

1500

10

4

-

3路

冗余电源

300W

2U

AF-2020

6G

1G

80万

1500

8

2

-

2路

冗余电源

300W

2U

AF-3020

8G

2G

100万

2000

6

4

-

2路

冗余电源

300W

2U

AF-4020

10G

2.5G

100万

2000

10

4

-

3路

冗余电源

300W

2U

AF-6020

12G

4G

200万

3000

8

4

-

4路

冗余电源

500W

2U

AF-7020

16G

8G

200万

3000

8

4

-

4路

冗余电源

500W

2U

AF-8020

20G

10G

400万

5000

8

-

2

4路

冗余电源

500W

2U

项目

具体功能要求

部署方式

支持网关、网桥和混杂模式；

网关管理

支持SSL加密WEB方式管理设备；管理员支持分级管理，能够将所有功能模块按需分配给不同管理员；

实时监控

提供设备实时设备资源信息；提供实时详细的流量状态信息如：用户流量排名、应用流量排名、所有线路应用流速趋势、流量管理状态、连接监控等；提供安全状态信息，实时显示当天的安全状况，发生安全事件的时间、类型、总次数、源对象，帮助管理员处理安全事件；

网络协议

支持静态路由、RIP v1/2、OSPF、策略路由；提供ARP、域名解析、IP UNNUMBERED、DHCP中继、DHCP服务器、DHCP客户端等IP服务；

网络防护

支持静态的包过滤和动态包过滤功能；支持应用层报文过滤，包括：应用层协议：FTP、HTTP、SMTP、RTSP、H.323（Q.931，H.245， RTP/RTCP）、SQLNET、MMS、PPTP、L2TP等；传输层协议：TCP、UDP；

支持防御Land、Smurf、Fraggle、WinNuke、Ping of Death、Tear Drop、IP Spoofing、CC、SYN Flood、ICMP Flood、UDP Flood、DNS Query Flood、ARP欺骗攻击防范、ARP主动反向查询、TCP报文标志位不合法攻击防范、支持IP SYN速度限制、超大ICMP报文攻击防范、地址/端口扫描的防范、DoS/DDoS攻击防范、ICMP重定向或不可达报文控制等功能，此外还支持静态和动态黑名单功能、MAC和IP绑定功能。

支持NAT：多个内部地址映射到同一个公网地址、多个内部地址映射到多个公网地址、内部地址到公网地址一一映射、源地址和目的地址同时转换、外部网络主机访问内部服务器、支持DNS映射功能；可配置支持地址转换的有效时间；支持多种NAT ALG，包括DNS、FTP、H.323、SIP等；

IPSECVPN

支持AH、ESP协议、手工或通过IKE自动建立安全联盟、ESP支持DES、3DES、AES、国密办算法多种加密算法；支持MD5及SHA-1验证算法；支持IKE主模式及野蛮模式；支持NAT穿越；支持使用LZO高速压缩算法；

应用访问控制策略

内置600种以上应用识别；支持https(ssl）协议和sangfor vpn（即公共平台的VPN，不包括SSL VPN）数据的识别；支持自定义规则；可以提供基于应用识别类型、用户名、接口、安全域、IP地址、端口、时间进行应用访问控制列表的制定；

威胁检测

支持基于特征匹配、协议异常检测、智能应用识别等方式针对已知威胁进行检测；支持基于威胁关联分析的检测机制，针对未知威胁进行分析检测；

漏洞防护

内含攻击特征库: 2200+ ，能够自动或者手动升级；支持防护攻击类型包括蠕虫/木马/后门/DoS/DDoS攻击探测/扫描/间谍软件/利用漏洞的攻击/缓冲区溢出攻击/协议异常/ IPS逃逸攻击等； 

支持防护对象分类：漏洞分为保护服务器和保护客户端两大类，同时具备安全界别分类：如“高”、“中”、“低”等；能显示漏洞详细信息：漏洞ID、漏洞名称、漏洞描述、攻击对象、危险等级、参考信息、地址等内容，便于维护；可根据源区域、目的区域、目的IP组，目的IP组支持多选进行IPS策略制定；支持TCP协议的乱序重传、TCP分包等放躲避功能；支持自动拦截、记录日志、上传灰度威胁到“云端”等动作处理；

服务器防护

支持Web攻击防护，保护服务器免受基于Web应用的攻击，如SQL注入防护、XSS攻击防护、CSRF攻击防护、支持根据网站登录路径保护口令暴力破解；支持FTP隐藏、ftp弱口令防护、telnet弱口令防护；

支持Web网站隐藏，包括HTTP响应报文头和HTTP出错页面的过滤，web响应报文头可自定义；

提供详细的策略制定选项，可设置源、目的区域、目的IP和端口号，端口号支持设置Web应用、FTP、mysql、telnet、ssh服务的端口号；

支持文件上传服务器过滤、支持指定URL的黑名单、加入排除URL目录功能

病毒防护

支持基于流引擎查毒技术，可以针对HTTP、FTP、SMTP、POP3等协议进行查杀；能实时查杀大量文件型、网络型和混合型等各类病毒；并采用新一代虚拟脱壳和行为判断技术，准确查杀各种变种病毒、未知病毒；内置10万条以上的病毒库，并且可以自动或者手动升级；检测到病毒后支持记录日志、阻断连接；

WEB安全防护

支持URL过滤，对用户web行为进行过滤，保护用户免受攻击；支持只过滤HTTP GET、HTTP POST、HTTPS等应用行为；并进行阻断和记录日志；

支持针对上传、下载等操作进行文件过滤；支持自定义文件类型进行过滤；支持基于时间表的支持文件类型过滤，动作包括：阻断和记录日志；

支持基于签名证书的ActiveX过滤；支持添加白名单和合法网站列表；支持基于应用类型的ActiveX过滤，如视频、在线杀毒、娱乐等；

支持基于操作类型的脚本过滤，如注册表读写、文件读写、变形脚本、威胁对象调用、恶意图片等。

流量管理

支持多线路技术，网关必须能同时连接多条外网线路，且支持多线路复用和智能选路技术；

支持虚拟多线路：将多条外网线路虚拟映射到设备上，实现对多线路的分别流控；

支持流量父子通道技术，至少支持三级父子通道；

支持基于应用类型划分与分配带宽；支持基于网站类型划分与分配带宽；支持基于文件类型划分与分配带宽；支持基于时间段的带宽划分与分配策略；支持基于访问行为的目标IP实现带宽划分与分配；支持对单个用户\用户组设置日流量、月流量配额功能；

用户管理

支持多种认证方式包括触发式WEB认证，静态用户名密码本地认证，第三方认证，IP认证、MAC认证，及IP/MAC绑定认证等USB-Key方式实现双因素身份认证；

支持新用户认证：能够新根据新用户的源IP网段实现：新用户差异化账户创建规则，新用户差异化自动分组规则，用户认证，新用户差异化认证规则，新用户差异化IP、MAC绑定规则；

支持强制AD认证，指定用户必须用AD域账户登录操作系统，否则禁止上网；支持为认证失败用户提供基本网络访问权限机制；支持认证成功的用户支持页面跳转；支持向认证通过的用户显示指定网页；指定账户支持有效期限制，并支持自动过期；支持用户分组如树形结构，支持父组、子组、组内套组等；支持用户登录注销历史查询，包括显示上网流量；支持多人使用同一帐号登录，且支持重复登陆检测机制；

支持AD、POP3、Proxy单点登录，简化用户操作；可强制指定用户、指定IP段的用户必须使用单点登录；

支持从本地导入和扫描导入，支持以文本导入帐户/分组/IP/MAC/描述/密码等信息；支持从LDAP服务器导入账户及分组信息；

日志审计

设备支持内置数据中心和独立数据中心；独立数据中心内置MySQL，无需单独安装其他数据库；

支持日志分级审查，管理员登录数据中心只能审计指定用户组的日志；

报表

支持多种报表，包括统计报表、趋势报表、汇总报表、自定义报表等常规报表，以及风险智能报表、关键字报表、热帖报表等高级报表；实现用户及用户组的上网流量、时间、行为的查询、统计、排行等各类统计趋势报表功能，提供危险行为用户排行、网站访问时长排行、等数百种细节报表；

支持服务器防护统计，病毒信息统计内网可能中毒的用户进行统计排行和报表输出，支持按照行为次数和用户数的排行统计各新增病毒名称，支持根据病毒、恶意脚本、恶意插件信息统计新增恶意URL排行；能将统计/趋势/查询等报表自动发送到指定邮箱。