易尚ES4000网关防火墙，是易尚公司为满足大型企业及服务提供商网络安全需求而设计开发的千兆级产品，尤其适合大型的千兆网络远程访问环境，其专用的高可靠性端口可在防火墙出现故障时实现无缝接管信息的传输。

　　易尚ES4000是应用在网络边界的安全保护硬件产品。它采用新一代ASIC硬件设计体系，通过内容处理芯片和内容处理加速单元，与其它专用硬件一起，利用易尚专有操作系统ESOS的实时分析和协调处理能力，通过优化内容搜索、模式识别和数据分析，来达到病毒扫描、VPN、内容过滤和基于网络的入侵检测处理的高性能，创造了业界性能新纪录。

　　易尚ES4000已经应用于院校、大型企业、电信等行业，在初期的测试和后期实际应用中，其全面的安全防护理念和超高的性能，都得到了用户的好评。较之国内其他品牌产品，其整体性设计（国内产品普遍为模块化设计）方案，也为用户带来了很高的性能稳定性。

　　目前，网络病毒的危害已经到了非常严重的地步，特别是今年流行的冲击波和震荡波病毒，对使用网络的用户带来了前所未有的危害。而易尚ES4000的特有的网关防病毒功能，为用户使用网络带来了巨大的安全防护能力。可以有效防止外部网络中的病毒对内部网络的侵害。

　　另外，易尚ES4000还具有负载均衡功能，负载均衡技术较之先期的双机热备份技术有更好的应用前景，负载均衡技术可以提供更高的带宽要求，可以实现双机的同步分担负载，实现更高的性能需要。以下的方案主要基于易尚ES4000产品所独特的负载均衡技术的解决方案。

　　中国数码集团是为各个企业提供INTERNET接入的厂商，其所管理的网络设备和带宽资源以前只采用了黑洞攻击检测产品，而对于访问控制等安全需要一直都在考虑中，但是并没有实施，主要是由于其选择的防火墙产品不能满足其网络性能实际的需要。

　　由于中国数码集团提供了上百家企业的外部网络接入，其流量特别是突发流量是非常惊人的，因而其早期选择的多家产品都不能满足其性能上的需要。而且，其完成了网络改造以后，网络已经实现了全冗余的负载均衡方式，如果选择的防火墙产品没有此项功能，就不能满足中国数码集团网络安全的新的需要。

　　易尚ES4000提供4G的吞吐量，并发会话可以达到100万，而且，双机热备份功能和负载均衡功能可以满足用户的性能和功能需要。其实施以后的网络拓扑：

　　　　

　　

　　采用以上设计方案，易尚ES4000可以控制进出网络的信息流向和信息包，可以对数据包的内容进行过滤，防止蠕虫、恶意代码等进行过滤；提供使用和流量的日志和审计，对网络的正常使用提供依据。

　　易尚ES4000产品是易尚公司的高端产品，可以为用户的网络安全提供多种防护。下面是易尚ES4000产品介绍：

　　虚拟专用网（VPN）

　　支持在网络之间或网络与客户端之间进行安全通讯，能够在两个相距遥远的独立网络间建立安全的连接，或者远程办公和出差人员安全地连接到公司的网络中。

　　易尚的VPN功能符合工业标准，与第三方VPN网关、微软和其他提供商的客户端兼容。

　　 IPSec 安全通道模式

　　 硬件加速加密

　　 加密算法（DES、3DES、AES）

　　 自动IKE和手工密钥交换

　　 PPTP标准

　　 L2TP标准

　　 基于IPSec VPN流量控制的防火墙策略

　　 IPSec、PPTP和L2TP通过

　　 IPSec NAT穿越

　　 VPN集中器(Hub and Spoke)

　　 IPSec 冗余

　　Web 内容过滤

　　易尚网关防火墙可设置内容过滤来扫描和屏蔽URL或网页中的所有HTTP内容。被屏蔽的网页会由一条Web管理器上编辑的警报信息所替代。为避免合法网页中出现屏蔽列表中的内容而被屏蔽，可以在免屏蔽列表中添加该合法网页或网站的URL，免屏蔽列表的优先级高于URL屏蔽。

　　脚本过滤可阻止网页的插件，例如ActiveX、Java Applets和Cookies。　　

　　病毒及蠕虫防护

　　易尚网关防火墙可更新的蠕虫、病毒库能够阻止数千种最新的具有很大破坏力的病毒和蠕虫。可以扫描HTTP、SMTP、POP3、IMAP和FTP中被感染病毒的文件。还可以对加密的 IPSec VPN 流量中的数据。对每种协议，可针对不同的数据流单独配置病毒防护。

　　能100%检测发现当前病毒组织Wild List(www.wildlist.org)公开的所有病毒

　　能检测发现以PKZip格式压缩起来的病毒

　　能检测发现Email中以UUENCODE格式编码过的病毒

　　能检测发现Email中以MIME编码格式编码过的病毒

　　在扫描时记录所有已发生行为的日志　

入侵监测系统　　

　　易尚网关防火墙网络入侵检测系统 (NIDS) 是一个实时网络入侵检测工具，可以检测到1300多种网络攻击行为。可阻断30多种DOS和DDOS攻击，当发现其中一种攻击时，该系统会把检测到的信息记录到日志，可通过配置Email警告系统来对发生的攻击进行实时警报。 　　

　　高可靠性（HA）　

　　易尚网关防火墙的高可靠性支持主-主、主-备模式，确保避免因HA组中有一台出现故障而产生服务中断现象。

　　提供系统故障切换功能。

　　状态失败恢复。

　　接口和主机的状态检测。

　　链路状态监控。

　　冗余电源。　　

　　VLAN　　

　　使用虚拟局域网（VLAN）技术，一台易尚网关防火墙可以为多个安全域内的电脑提供安全服务。来自不同安全域的流量被分配了各自的VLAN 标识。易尚网关防火墙可以识别不同的VLAN标识，并根据这个标识给不同的安全域设定不同的安全策略和VPN加密策略。易尚网关防火墙还可以在不同的安全域之间的网络和VPN数据流上应用不同的认证、内容过滤和防病毒保护等策略。

　　流量管理

　　流量管理允许网络管理员实时监视、分析和分配各类网络流量使用的带宽，确保在用户上网浏览或在执行其他非关键性应用时而不会影响关键性业务的流量。

　　根据IP地址、应用或时间段来进行管理。

　　设定保障带宽和最大带宽。

　　流量控制分三个优先级。

　　系统管理

　　易尚网关防火墙拥有强大的管理体系，让网络管理员可以高安全、低成本、简易方便地管理大量的设备和远程VPN客户端。

　　提供快速配置模版，根据配置模版，实现简单配置。

　　内建的Web UI实现了安全的浏览器界面配置管理。

　　远程管理：通过浏览器界面，使用HTTPS远程登录管理；还可以通过命令行界面，使用SSH远程管理。

　　命令行界面：提供Console口或安全远程连接。

　　电子邮件告警、SNMP告警。

　　通过与Syslog或WebTrends集成，实现外部监控、分析和管理。

　　通过易尚的ESCentreManager集中化管理和监控。　　

　　易尚ES4000的特性：　　　

　　防火墙性能:

2.25Gbps

　　3DES:530Mbps

　　并发会话数:975,000

　　每秒新建会话数：20,000

　　策略：100,000

　　时间表：256 　　

　　工作模式

　　透明模式：是

　　路由模式：是

　　NAT：是

　　PAT(端口地址转换）：是

　　虚拟IP(Virtual IP):是

　　IP路由--静态路由：是

　　每个端口的用户数：没有限制 　　

　　网络功能

　　多个广域网口支持

　　多区域支持

　　各区域间路由 　　

　　防火墙攻击检测

　　Dos & DDoS阻断(30多种):是

　　SNY flood：是

　　ICMP flood: 是

　　UDP flood: 是

　　Smurf flood:是

　　Ping of death: 是

　　IP spoofing: 是

　　Land attack: 是

　　Tear drop attack: 是

　　IP address sweep attack: 是

　　WinNuke attack: 是

　　IP source route: 是

　　Java/ActiveX/Cookies: 是

　　指纹识别（Fingerprinting）:是

　　Ping 扫描:是

　　端口扫描:是

　　缓冲区溢出:是

　　操作系统识别:是

　　Brute Force Attack:是

　　CGI脚本:是

　　Web 服务器攻击:是

　　Web浏览攻击:是

　　SMTP (SendMail) 攻击:是

　　IMAP/POP 攻击:是

　　Bind和Cache在内的DNS攻击:是

　　IP 欺骗: 是

　　特洛伊木马攻击:是 　　

　　VPN

　　专用隧道：3,000

　　手动密钥、IKE：是

　　DES&3DES&AES加密：是

　　SHA-1:是

　　MD5:是

　　完全正向保密(DH群组)：1,2,5

　　数据重演检测：是

　　野蛮模式和主模式：是

　　远程接入VPN(Remote access VPN)：是

　　L2TP：是

　　PPTP：是

　　站点间VPN(Site-to-site VPN)：是

　　集中星型VPN网络拓扑：是

　　IPSec NAT Traversal：是

　　IPSec 冗余：是 　　

　　防火墙和VPN用户认证　

　　内置数据库：是

　　RADIUS数据库：是

　　LDAP数据库: 是

　　IP/MAC地址绑定：是 　　

　　流 量 管 理

　　保障带宽：适用

　　最大带宽：适用

　　优先使用带宽：适用 　　

　　安全区域

　　默认

　　自定义 　　

　　VLAN

　　支持802.1q 　　

　　高可靠性(HA)

　　主-主模式：是

　　主-备模式：是

　　设备故障监测：是

　　链路故障监测：是

　　故障切换网络通知：是 　　

　　系 统 管 理

　　网址浏览器配置管理(WebUI、HTTP and HTTPS）

　　console：RS-232 9600

　　命令行界面(telnet)

　　安全命令外壳SSH

　　SNMP完全自定义MIB 　　

　　管理

　　多个管理员

　　超级管理员、普通管理员

　　可信主机

　　软件升级和配置变动：TFTP/WebUI 　　

　　日志/监控

　　系统日志(Syslog):外部

　　电子邮件(三个地址)

　　Web Trends:外部

　　SNMP:是 　　

　　Flash盘

　　64MB 　　

　　电源

　　自适应交流电源: 100-240伏

　　输入电流：6安

　　功率消耗：最大 460瓦

　　频率：50-60赫 　　

　　外 型 尺 寸

　　42.7 x 33 x 8.9厘米, 重量8公斤 　　

　　接 口

　　3个10/100 BaseTX 端口

　　2个多模光纤端口

　　1个10/100/1000兆自适应端口

　　1 个RS232 Console 端口（9600）　　

　　支持的标准

　　ARP, TCP/IP, UDP, ICMP, HTTP, RADIUS, IPSec , MD5,SHA-1, AES, DES, 3DES, IKE, TFTP (client), SNMP, PPTP,L2TP,RIPv1/v2，IEEE802.1q 　　

　　安全标准

　　FCC Class A Part 15, CSA/CUS S 　　

　　存储温度

　　-25 - 70 °C 　　

　　工作环境温度

　　0-40 °C 　　

　　湿度

　　5%-90%，无冷凝 　　

　　平均故障间隔时间

　　6-8年