网御UTM（Unified Threat Management）安全网关采用******的多核多线程并行运算技术、USE统一安全引擎技术、柱面神经元技术和内容加速技术******功能全开状态下的高吞吐量运行，通过高效的模版式配置管理、状态感控、无线接入和持续的安全服务，配合基于行为分析而优化的配置流程，构成一个******的全业务融合安全架构。网御UTM集成了状态检测防火墙、VPN、网关防病毒、入侵防护（IPS）、上网行为管理、反垃圾邮件等安全防护功能，还全面支持策略管理、IM/P2P管理、负载均衡、高可用性（HA）和带宽管理等功能。可以阻挡未的访问、网络入侵、病毒、蠕虫、木马、间谍软件、钓鱼、垃圾邮件，以及其他类型的安全威胁。支持防火墙、IPS、流控等安全业务板卡。

产品优势

USE统一安全引擎

网御UTM安全网关从研发之初即采用了构建在专用硬件平台和VSP实时操作系统上的高度模块化的USE统一安全引擎。它将应用协议分析、异常行为管理、入侵防御等多个子系统集成于单一平台，构造统一架构，综合并优化各子系统，去除冗余，简化数据处理流程，实现统一的安全引擎处理机制。网御对USE统一引擎技术进行了模块间交互优化，基于此统一引擎构造出三个子引擎：UEE统一加密引擎、UCE统一控制引擎、UDE统一检测引擎，分别实现VPN、流量控制、访问控制和应用防护四大功能模块。

USE统一安全引擎示意图
多核多线程并行运算技术

网御UTM安全网关利用64位高性能多核CPU的并行处理能力为应用层数据处理提供快速运算保障。通过流引擎和多核CPU调度算法，******多核CPU的平均负载分担，使性能和容量可以随CPU核数的增加线性增长，******限度开发多核CPU的执行效率，实现功能全开情况下设备的高吞吐量运行。

模版式配置管理
UTM产品功能强大，而用户需求多种多样，为了帮助用户面对众多功能时能够迅速匹配自身需求、快速部署、降低维护工作量，网御对UTM安全网关内置数百项功能进行模版式配置管理，这体现在以下几个方面。

入侵防御功能的模版式配置管理
网御UTM安全网关把内置IPS设置按检测强度及类型归纳为4种标准模版，用户可通过Web界面随意切换，并可自定义专属模版。

病毒防御功能的模版式配置管理
与入侵防御功能的模版式管理类似，网御UTM安全网关内置的病毒防御功能按照检测类型归纳为3种标准模版。此外，网御基于自有的防病毒引擎技术，在业界了两种防病毒引擎扫描强度模式：快速扫描模式和******扫描模式，两种模式通过Web界面进行切换。

上网行为管理的模版式配置管理
网御UTM安全网关内置的上网行为管理功能可管理的应用种类繁多，为了避免用户进行大量重复劳动，网御把所有功能归纳为2大类共5种模版，用户可方便的选择使用。

系统整体防护的模版式配置管理
从系统整体防护强度出发，网御UTM安全网关定义了高、中、低三套防护模型，每套模型对应的防护强度控制涵盖入侵防御、防病毒、上网行为、协议控制等主要防护功能。用户除了可以在Web界面中迅速切换三套模型外，还可以利用状态感控功能通过外置按键一键切换。

产品特性与功能

功能类别	功能描述
操作系统	支持多系统引导，并可配置启动顺序
	支持系统分区备份，支持将系统A克隆至系统B
	支持多个系统配置文件，可导入导出恢复配置
工作模式	透明模式，路由模式，混合模式，支持多透明桥、端口聚合
*6	支持*6地址、地址组配置
	支持*6安全控制策略设置，能针对*6的目的/源地址、目的/源服务端口、服务、扩展头属性等条件进行安全访问规则的设置
	支持*6静态路由
	支持*6/*4翻译策略技术，包括支持静态NAT-PT、动态NAT-PT、NAPT-PT技术
	支持双栈、6to4隧道实现*6网络与*4网络访问
防火墙	支持近百种标准服务（如SIP、GRE、H323、OSPF），支持用户定义服务和服务组
	ALG应用代理(SIP，H.323, TNS, RSTP，RAS等NAT穿越)
	支持IP/MAC地址绑定
	可基于IP地址、协议、物理接口、时间、应用、用户等下达安全策略
	支持虚拟防火墙应用，提供基于角色的管理员控制，支持多工作模式的虚拟域
	可采用防火墙策略方式定义带宽限制，设置优先级，支持******、***小、保障带宽
网络适应性	支持静态路由，动态路由（OSPF、RIP、PIM-SM等），支持RIPing、OSPFv3,VLAN间路由，单臂路由，组播路由等
	支持多出口路由负载均衡
	支持802.11B,802.11G协议，支持设备作为WiFi热点（即AP），为客户机提供无线安全接入服务
	支持3G(CDMA2000)协议，支持用户通过3G提供上行网络接入
VPN	PPTP、IPSec和 SSL VPN
	支持DES, 3DES, AES 256加密算法， SHA-1 / MD5 认证
	静态VPN，动态拨号VPN支持
	支持子网重叠，VPN通道保持，NAT穿越
	基于策略和路由的VPN，GRE支持，OSPF穿越支持
	支持动态分配虚拟IP，支持虚拟IP与口令用户或证书用户进行绑定。
入侵防护	实时的基于网络的入侵检测和阻断系统
	具备3000种以上攻击特征库规则列表，并可自定义特征库
	当检测到攻击时，可同时向多个邮件地址自动发出报警
	支持抗DDOS/DOS攻击，可积极防御syn flood、Ping flood、up flood、teardrop、sweep、land-base、ping of death、smurf、winnuke、圣诞树、碎片等DDoS攻击
	支持根据不同的源*4/*6地址、目的*4/*6地址、服务、时间、接口、用户等，采用不同的入侵防护策略
防病毒	能够****检测，消除感染现有网络的病毒和蠕虫，实时的扫描输入和输出邮件及其附件（支持HTTP、FTP、POP3、SMTP、IMAP、IM、NNTP）协议
	支持根据不同的源*4/*6地址、目的*4/*6地址、服务、时间、接口、用户等，采用不同的病毒防御策略
	FTP使用断点续传工具传输时，支持病毒检查
Web内容过滤	处理所有的网页内容，阻挡不适当的内容和恶意脚本
	支持URL域名、关键词模式匹配，支持黑白名单列表，支持双向内容扫描
	支持免屏蔽列表、脚本过滤、阻止网页的插件（如ActiveX，Java Applets和Cookies）
流量控制与优化	支持基于源/目的IP地址、IP地址段、端口、服务、网口、时间、应用等安全策略的带宽管理
	基于主机的带宽管理，支持仅通过一条策略即可实现对的IP地址组里每IP用户进行上下行限速，也可以只对单个IP进行上下行限速
	支持基于源/目的IP地址、IP地址段、端口、服务、网口、时间、应用等安全策略的带宽管理
上网行为管理	支持*4和*6双栈协议下的上网行为管理
	识别和控制常见文档类型的传输
	识别和控制常见搜索引擎的搜索关键字，支持用户自定义搜索关键字
	支持协议命令进行识别和控制，支持针对关键字、附件文件名、恶意JavaScript代码等信息进行细粒度控制。
	支持基于*4/*6地址、协议、时间、用户等多种管控条件，支持基于以上条件的访问控制和带宽限制
	支持挂马网站过滤，支持通过对访问目标URL过滤的方式，阻止对含木马/病毒网站、钓鱼网站、僵尸网络的访问
反垃圾邮件	支持黑白名单、反向DNS技术，关键词/词语过滤，邮件地址，MIME
	支持反垃圾邮件，支持实时黑名单RBL，在线查询垃圾邮件服务器，阻断垃圾邮件源
漏洞扫描	后门、服务探测、文件共享、系统补丁、IE漏洞等主动式扫描
主动防御	通过对访问目标URL过滤的方式，阻止对含木马网/病毒网站、钓鱼网站、僵尸网络的访问，内置恶意URL地址库
认证方式	支持LDAP、Radius 、TACACS/TACACS+、WindowsAD、PKI证书等认证
关联安全应用	支持CSC安全关联协议，可实现与内网安全管理系统之间的联动
安全管理	可通过LeadSec安全管理系统，实现安全审计、日志分析、安全报警等功能
	支持Web图形界面、SSH和串口命令行等管理方式，支持使用前面板按键和主机液晶屏进行快速设置
	支持多管理员分级管理，支持特征库级联式升级
	支持基于WEB界面的CLI命令行功能
	支持对CPU、内存、磁盘、网口、用户在线状态、连接数、路由表等信息的监控
日志	可对流量、攻击事件、垃圾邮件、Web过滤、FTP/HTTP/内容，进行日志审计
	可根据关键字、源/目的地址、日期和时间进行搜索日志
	支持日志中文化，可显示配置命令日志的操作人
高可用性	支持Active- Active，Active-Passive模式的HA，支持HA接口备份
	支持多WAN口备份和负载均衡
	支持多端口聚合，实现*扩展带宽，支持备份接口
	支持双机热备，且切换时间小于1秒钟
	支持2～32台UTM的多机集群的负载均衡
	支持虚拟网关功能
智能报表	风险评估智能报表，要求至少支持风险、法律风险、工作效率、离职风险等智能报表
	对AV/IPS等攻击事件的地图呈现，呈现信息包含：基于经纬度、城市的攻击源、目地、攻击次数等，地图支持逐级缩放（截图证明）。支持国产化地图引擎
	支持访问数据库行为内容审计（截图证明）。数据库审计结果包含地址、端口、用户名、数据库名、表名、字段名、sql语句、操作行为、操作结果等(截图证明)。

典型应用

典型部署

网络访问控制兼顾病毒防御解决方案

网御UTM安全网关可以部署在Internet和内部网络之间，执行网络访问控制功能，防止外部用户对内网核心资源的非法访问，同时，也可以阻挡来自Internet的病毒、蠕虫、木马、间谍软件、恶意软件。网御UTM安全网关的病毒过滤针对标准协议，与应用无关。无论用户使用何种服务器和客户端，只要使用的是标准的SMTP、POP3协议，网御UTM安全网关都可以对电子邮件中的病毒进行过滤，防止病毒通过邮件传播。网御UTM安全网关还支持HTTP协议和FTP协议，对于Web浏览、下载、Web邮件及FTP文件传输过程中携带的病毒均可进行拦截。

入侵防御解决方案

将网御UTM安全网关部属于防火墙之前，主要目的是防御来自于外网针对防火墙和内网的攻击。防火墙往往是攻击的对象******，一旦防火墙遭到攻击后，将会有很大的机会造成网络中断。且防火墙仅具有四层封包解析的功能，对于利用七层的攻击手法或是利用合法掩护非法的网络行为便无法有效管控。通过IPS的保护，除了对于来自外网针对内网或防火墙的暴力攻击能够有效阻挡之外，对于所有进出的封包均进行详细的七层分析，利用合法方式进行非法存取的攻击将无所遁形。

上网行为管理解决方案

企业单位在进行网路安全防护的时候往往只重视来自于外网的安全威胁，却忽略了内网的安全防护。据统计目前企业所面临的安全威胁有 40% 来自于内网，包含了带宽的滥用，无意义的上网行为，机密信息外泄以及恶意软件的使用等等。
在内网行为管理解决方案的网络拓扑中将网御UTM安全网关部属于路由器与内网之间，主要目的是防御来自于内网的攻击，同时可针对于内网对于外网的存取应用进行管理。通过使用网御UTM安全网关，可辨识多种类别如 IM / VoIP / P2P / FTP 等已知的网路应用软件。除了开放与禁止的网络行为管理之外还可针对不同的应用予以不同的带宽使用以及传输总量限制，可让企业网路实施弹性管理，也不会因为防止网路攻击而影响到正常的网路访问，让企业的网路带宽投资得到******的回报。

中小型企业及分支机构解决方案

中小型企业及分支机构由于所处的地理位置、成本限制，往往不能使用专线接入的方式，网御UTM安全网关除了支持常见的通过路由器接入方式外，还为中小型企业专门设置了3G上行网络接入功能和ADSL拨号接入功能，为用户提供了多种选择。通过打开3G网络接入功能，用户可接入中国电信天翼CDMA2000网络。
在下行网络接入方面，中小型企业出于节省成本和移动办公的需要，经常采用无线路由器的方式提供无线或无线/有线混合的内网接入服务，而不使用安全设备，即便有使用安全设备的愿望，也因为通过路由器后安全设备不能识别到主机信息而放弃。因此，网御UTM安全网关集成了无线路由功能，打开此功能后，可提供相当于无线路由器的接入能力，同时可识别到无线接入的主机信息，实现无盲区的全网防护。