【默认不带入侵防御、病毒防护、上网行为管理、带宽管理功能，如需此类安全防护功能，需选配防火墙全功能模块】

【一】精细化的多维管控

（1）支持丰富的用户认证方式，包括TACACS+、RADIUS、LDAP 等外部服务器用户认证，以及本地认证、Web认证、802.1x认证等。

（2）支持针对用户实施精细化的访问控制、应用限制、带宽保证等管控手段。

（3）支持深度应用识别技术，可根据协议特征、行为特征及关联分析等准确识别数千种网络应用，为用户提供包括应用类别、应用风险等级、所用技术、应用特征分布等多维可视化信息。

（4）支持根据应用类型进行策略阻止、会话限制、流量管控、应用引流或时间限制等操作。

（5）支持针对SSL加密流量进行解密并对解密后的流量进行应用识别，支持对SSL解密流量开启安全防护功能，如IPS、AV、URL过滤、数据安全防护等功能。

（6）支持近百种主流文件类型的特征码及后缀名双重识别，并支持基于文件类型、文件大小、文件名称进行数据传输安全控制。

【二】协议识别与控制功能

（1）支持基于协议的访问控制，能够实现用户自定义安全策略，其控制条件可以是IP地址、端口、协议类型和时间的组合。

（2）支持GB/T28181、GB35114及主流安防厂商视频私有协议的识别，支持对采用非GB/T28181、GB35114的终端进行阻断，并产生告警日志。

（3）支持识别SIP、RTSP及ONVIF等协议并能制定协议过滤规则。

【三】全面的威胁检测与安全防护

（1）支持对ARP欺骗、IP地址欺骗、IP地址扫描、端口扫描攻击的防护，并支持设置边界流量过滤规则。

（2）支持对SQL 注入、跨站脚本、CC等攻击进行检测与过滤；支持外链检查防护和自定义外链特性，类型支持HTTP、HTTPS、FTP。

（3）具备百万级的病毒特征库规则列表，支持对RAR、ZIP、GZIP、BZIP2、TAR等压缩文件类型的病毒检测，并支持基于安全策略和安全域启用防病毒功能。

（4）具备僵尸网络特征库，支持通过监测C＆C连接发现内网肉鸡，阻断僵尸网络/勒索软件等高级威胁进一步破坏。

【四】丰富的VPN接入能力

（1）支持常见的主流VPN技术，包括IPSec VPN、SSL VPN、L2TP VPN、PnPVPN、拨号VPN、GRE over IPSec VPN等VPN接入方式。

（2）支持国家商用密码算法SM2/SM3/SM4。

（3）支持IPsec VPN以预共享密钥、数字证书认证、XAuth扩展认证方式建立隧道，并支持多线路VPN隧道的智能选路功能，多线路VPN隧道间备份。

（4）支持SSL VPN客户端硬件特征码绑定认证，支持对登录的用户端系统进行端点安全检查，至少包括指定文件、指定进程、系统补丁、浏览器版本、杀毒软件等。

【五】全面支持IPv6

（1）支持基于IPv6的访问控制、攻击防护、IPv6路由、应用识别与管控。

（2）支持隧道、DNS64/NAT64、IPv6 OVER IPv4 GRE隧道等多种过渡技术。

【六】智能链路选择及负载均衡技术

（1）支持动态探测链路响应速度并选择最优链路进行转发。

（2）支持入站SmartDNS，能自动判断访问者的IP地址并解析出对应的IP地址，提升网站访问速度。

（3）支持基于应用协议的路由功能，根据应用类型进行路由选择，并支持在多个链路上实现负载分担。

（4）支持服务器的负载均衡，提供加权轮询、加权最小连接数、加权散列等多种负载均衡方式，并支持web界面实时显示所有服务器的状态和当前连接数。

【七】高可靠技术

（1）支持主-主和主-备模式，支持HA设备之间的会话自动同步。

（2）主备模式下支持基于设备优先级的主设备抢占功能。