24小時售前支持:159-9855-7370 售后服務熱線:0411-62887714
首頁 > 網絡安全服務 > 下一代防火墻
欄目列表

聯系我們/ Contact

 

400-6543-646
543646
[email protected]

大連下一代防火墻_安恒下一代防火墻_深信服下一代防火墻_綠盟下一代防火墻

業務咨詢:159-9855-7370 售后服務:0411-66327863

一、產品概述

明御下一代防火墻DAS-Gateway-NGFW是安恒公司自主研發、擁有知識產權的新一代安全網關產品。明御下一代防火墻基于角色、深度應用的多核安全架構突破了傳統防火墻只是基于IP和端口的防御機制。百兆到萬兆的處理能力使明御下一代防火墻適用于多種網絡環境,包括中小企業級市場、政府機關、大型企業、電信運營商和數據中心等機構。豐富的軟件功能為網絡提供不同層次及深度的安全控制以及接入管理,例如基于角色深度應用安全的訪問控制、IPSec/SSL VPN、應用程序管理、病毒過濾、內容安全等。

二、產品特點

安恒明御下一代防火墻具有以下主要特點:

• 全并行處理的安全架構(多核)
• 深度應用安全
• 全方位內容安全
• 基于角色和應用的管理
• 可擴展的模塊化設計(多核)

全并行處理的安全架構
安恒信息自主開發的64位實時安全操作系統具備強大的并行處理能力。操作系統采用專利的多處理器全并行架構,和常見的多核處理器或NP/ASIC只負責三層包轉發的架構不同,實現了從網絡層到應用層的多核全并行處理。因此,安恒下一代防火墻系列產品較業界其他的多核或NP/ASIC系統在同檔的硬件配置下有多達5倍的性能提升,為同時開啟多項防護功能奠定了性能基礎,突破了傳統安全網關的功能實用性和性能的無法兩全的局限。
深度應用安全
隨著網絡的快速發展,越來越多的應用都建立在HTTP/HTTPS等應用層協議之上。新的安全威脅也隨之嵌入到應用之中,而傳統基于狀態檢測的防火墻只能依據端口或協議去設置安全策略,根本無法識別應用,更談不上安全防護。安恒下一代防火墻可根據應用的行為和特征實現對應用的識別和控制,而不依賴于端口或協議,即使加密過的數據流也能應付自如。
全方位內容安全
安恒下一代防火墻系列產品提供全方位的安全防護,包括病毒過濾、內容過濾、網頁訪問控制等功能,可防范病毒、間諜軟件、蠕蟲、木馬等網絡攻擊。關鍵字過濾和基于超過2000萬域名的Web頁面分類數據庫可以幫助管理員輕松設置工作時間禁止訪問的網頁,提高工作效率和控制對不良網站的訪問。病毒特征庫、URL庫可以通過網絡服務實時下載,確保對新爆發的病毒、新網頁的及時響應。
基于角色和應用的管理
安恒下一代防火墻的應用和身份識別功能能夠滿足越來越多的深度安全需求。基于身份和角色的管理(RBNS)讓網絡配置更加直觀和精細化。不同的用戶甚至同一用戶在不同的地點或時間都可以有不同的管理策略。用戶訪問的內容也可以記錄在本機存儲模塊或專用服務器中,通過用戶的名稱審閱相關記錄使查找更簡單。

基于角色的管理模式主要包含基于“人”的訪問控制、基于“人”的網絡資源(服務)的分配、基于”人“的日志審計三方面。基于角色的管理模式可以通過對訪問者身份審核和確認,確定訪問者的訪問權限,分配相應的網絡資源。在技術上可避免IP盜用或者PC終端被盜用引發的數據泄露等問題。

三、產品功能

靈活的部署模式
明御下一代防火墻支持三種部署模式,分別是透明模式、路由模式、混合模式。系統會根據進入設備的數據包,自動選擇正確的應用模式進行處理。
路由功能
DAS-Gateway-NGFW支持支持靜態路由(Static Routing)、ISP路由、源路由(Source-Based Routing,簡稱SBR)、源接口路由(Source-Interface-Based Routing,簡稱SIBR)、策略路由(Policy-Based Routing,簡稱PBR)、就近探測路由(Proximity Routing)、動態路由(包括RIP、OSPF和BGP)和等價多徑路由(Equal Cost MultiPath Routing,簡稱ECMP)和靜態組播路由(Static Multicast-routing)。
網絡地址轉化(NAT)
DAS-Gateway-NGFW通過創建并執行NAT規則來實現NAT功能。NAT規則有兩類,分別為源NAT規則(SNAT Rule)和目的NAT規則(DNAT Rule)。SNAT轉換源IP地址,從而隱藏內部IP地址或者分享有限的IP地址;DNAT轉換目的IP地址,通常是將受安全網關保護的內部服務器(如WWW服務器或者SMTP服務器)的IP地址轉換成公網IP地址。
用戶認證
DAS-Gateway-NGFW支持本地用戶認證、外部服務器用戶認證(RADIUS、LDAP、MS AD)、Web認證、802.1X。
應用識別與控制
DAS-Gateway-NGFW提供廣泛的應用層監控、統計和控制過濾功能。該功能能夠對FTP、HTTP、P2P應用、實時通信工具以及VoIP語音數據等應用進行識別,并根據安全策略配置規則,保證應用的正常通信或對其進行指定的操作,如監控、流量統計、流量控制和阻斷等。DAS-Gateway-NGFW利用分片重組及傳輸層代理技術,使設備能夠適應復雜的網絡環境,即使在完整的應用層數據被分片傳送且分片出現失序、亂序的情況下,也能有效的獲取應用層信息,從而保證安全策略的有效實施。
VPN功能
DAS-Gateway-NGFW支持IPSec VPN、SSL VPN、撥號VPN、L2TP VPN、PnPVPN。

SCVPN功能包含設備端和客戶端兩部分。配置了SCVPN功能的安全網關作為設備端,具有以下功能:
 
• 接受客戶端連接;
• 為客戶端分配IP地址、DNS服務器地址和WINS服務器地址;
• 進行客戶端用戶的認證與授權;
• 進行客戶端主機的安全檢測;
• 對IPSec數據進行加密與轉發;

IPSec VPN配置復雜,維護成本高,對網管人員技術要求高,針對該問題,DAS-Gateway-NGFW為企業用戶提供了一種簡單易用的VPN技術——PnPVPN,即即插即用VPN。PnPVPN由兩部分組成,分別是PnPVPN Server和PnPVPN Client,各自功能描述如下:
• PnPVPN Server:通常放置于企業總部,由總部IT工程師負責維護,客戶端的大多數配置由服務器端下發。PnPVPN Server通常DAS-Gateway-NGFW充當,一臺安全網關可充當多個PnPVPN Server。
• PnPVPN Client:通常放置于企業分支機構(如辦事處),可由總部工程師遠程維護,只需要做簡單配置(如客戶端ID、密碼和服務器端IP地址),和Server端協商成功后即可從Server端獲取配置信息(如DNS、WINS、DHCP地址池等)。PnPVPN Client通常由DAS-Gateway-NGFW充當
攻擊防護
DAS-Gateway-NGFW支持TCP/IP攻擊防護(IP碎片攻擊、IP Option攻擊、IP地址欺騙攻擊、Land攻擊、Smurf攻擊、Fraggle攻擊、Huge ICMP包攻擊、ARP欺騙攻擊、WinNuke攻擊、Ping-of-Death攻擊、Teardrop攻擊);支持掃描保護(IP地址掃描攻擊、端口掃描攻擊);支持Flood保護(Syn Flood攻擊、ICMP Flood攻擊、UDP Flood攻擊、DNS Query Flood攻擊);支持二層攻擊防護(IP-MAC靜態綁定、主機防御、ARP防護、DHCP Snooping)。
病毒過濾
DAS-Gateway-NGFW具有許可證控制的病毒過濾功能,能夠為用戶提供高速、高性能以及低延遲的病毒過濾解決方案。配置DAS-Gateway-NGFW的病毒過濾功能后,設備能夠探測各種病毒威脅,例如蠕蟲、木馬、惡意軟件、惡意網站等,并且根據配置對發現的病毒進行處理。

DAS-Gateway-NGFW采用卡巴斯基病毒特征庫,并集成Google Safe Browsing庫,包含萬余種病毒特征,支持病毒特征庫的每日自動升級,也可以手動實時升級。

DAS-Gateway-NGFW病毒過濾功能可掃描協議類型包括POP3、HTTP、SMTP、IMAP4以及FTP;可掃描文件類型包括存檔文件(包含壓縮存檔文件,支持壓縮類型有GZIP、BZIP2、TAR、ZIP和RAR)、PE(支持的加殼類型有ASPack 2.12、UPack 0.399、UPX的所有版本以及FSG的1.3、1.31、1.33和2.0版本)、HTML、Mail、RIFF、CryptFF和JPEG。
網絡行為控制
DAS-Gateway-NGFW網絡行為控制功能可以根據需要針對不同用戶、不同網絡行為、不同時間進行靈活的控制規則設置,對用戶的網絡行為進行全面的行為控制、行為審計(記錄行為日志)和內容審計(記錄內容)。

DAS-Gateway-NGFW網絡行為控制功能主要包括以下幾個方面:
  
• URL過濾
• 網頁關鍵字過濾
• Web外發信息控制
• 郵件過濾
• 網絡聊天控制
• 應用行為控制
• 日志管理
URL過濾
URL過濾功能可以控制用戶對某些網站的訪問,并能對訪問行為進行日志記錄。通過配置URL過濾功能,可以實現:
 
• 控制用戶對某類網站的訪問。比如,阻止用戶訪問賭博、色情類網站。
• 分時段控制用戶對某類網站的訪問。比如,阻止用戶在上班時間訪問在線聊天類網站,下班后則允許訪問。
• 控制用戶對網址中含有特定關鍵字的網站的訪問。比如,阻止用戶訪問網址中含有關鍵字“游戲”的網站。

網頁關鍵字功能
DAS-Gateway-NGFW可以對用戶訪問含有特定關鍵字內容的網站的行為進行控制,并能對訪問行為及所訪問網站的內容進行日志記錄。比如,阻止用戶訪問含“賭博”詞匯的網站,并記錄訪問日志。
Web外發信息控制
Web外發信息功能可以對用戶在某網站發布信息或者發布含有特定關鍵字信息的行為進行控制,并能對發布行為及信息內容進行日志記錄。例如,阻止用戶在社區論壇類網站發布含有關鍵字“輿論”的信息,并記錄日志。
郵件過濾
郵件過濾功能主要用于當用戶通過SMTP或者Web郵箱(包括Gmail加密郵箱)發送郵件時,根據郵件的發件人、收件人、內容、附件名稱和附件大小對郵件的發送行為進行控制,并能記錄發送郵件的日志、內容和附件。
網絡聊天控制
網絡聊天功能可以控制用戶使用MSN、QQ和雅虎通聊天的行為,并記錄上下線日志。
應用行為控制
應用行為控制功能可以對FTP和HTTP應用程序行為進行控制和審計,包括:
  
• 對FTP的Login、Get、Put行為進行行為控制和行為審計;
• 對HTTP的Connect、Get、Put、Head、Options、Post、Trace行為進行行為控制和行為審計。
• 阻止下載HTTP二進制文件(如.bat、.com等)以及ActiveX和Java Applet對象。
日志管理
DAS-Gateway-NGFW網絡行為控制日志信息可以對用戶的上網行為進行全面記錄,包括網頁訪問記錄、外發郵件行為、內容及附件記錄、論壇發帖記錄、IM行為和聊天內容記錄以及FTP/HTTP使用記錄等等。
高可靠性
高可靠性(High Availability),簡稱為HA,能夠在通信線路或設備產生故障時提供備用方案,從而保證數據通信的暢通,有效增強網絡的可靠性。

DAS-Gateway-NGFW支持HA的2種工作模式:Active-Passive(A/P)模式和Active-Active(A/A)模式。
統計功能
DAS-Gateway-NGFW的統計功能包括基于接口的統計功能、基于地址的統計功能、基于應用的統計功能以及統計集功能。
  
• 基于接口的統計功能:統計流經特定接口的數據量、數據包。
• 基于地址的統計功能:統計以特定地址為源/目的地址的數據量、數據包。
• 基于服務的統計功能:統計屬于特定服務的數據量、數據包。
• 統計集:統計流經安全網關的數據量。
日志管理功能
DAS-Gateway-NGFW擁有日志管理功能。DAS-Gateway-NGFW的日志功能記錄并輸出安全網關的各種日志信息,分別是事件(Event)、告警(Alarm)、安全(Security)、配置(Configuration)、網絡(Network)、流量(Traffic)和調試(Debug)信息。
IPV6功能
DAS-Gateway-NGFW支持互聯網協議版本6,即IPv6(Internet Protocol Version 6),DAS-Gateway-NGFW為IPv4和IPv6同時支持的雙棧系統固件,同時支持隧道技術(當前版本支持手工IPv6隧道)實現IPv6的通信。
 
業務咨詢:159-9855-7370

微信會友 歡迎加入
英雄联盟图片