需求分析
著名咨詢機構Gartner介紹為應對當前與未來新一代的網絡安全威脅認為防火墻必需要再一次升級為“下一代防火墻”。第一代防火墻已基本無法探測到利用僵尸網絡作為傳輸方法的威脅。由于采用的是基于服務的架構與Web2.0使用的普及,更多的通訊量都只是通過少數幾個端口及采用有限的幾個協議進行,這也就意味著基于端口/協議類安全策略的關聯性與效率都越來越低,僅僅是基于端口和ip的訪問控制和只能應對檢測外部攻擊而無法對內部的重要資產進行防護的機制必須做出改變。
Gartner使用“下一代防火墻”這一術語來說明升級防火墻的必要性,以應對業務程序使用IT的方法以及針對業務系統所發起的攻擊方法所發生的改變。下一代防火墻應該可以實現網絡層和應用層的訪問控制功能和內容過濾功能,應在關鍵網絡節點處檢測和限制從內部發起的網絡攻擊行為,還應該具備雙向檢測能力,能夠有效檢測內部失陷主機等,防止病毒在內網中的蔓延、限制內部主機成為黑客攻擊的跳板,下一代防火墻應該具備對數據核心防護的能力。
產品簡介
產品簡介
啟明星辰憑借多年安全網關市場的經驗積累,在UTM產品技術領先、市場成功的基礎上,正式推出了高性能、易管理、可升級的全新防火墻系列產品——天清漢馬USG防火墻。
天清漢馬USG防火墻基于啟明星辰ISE統一引擎開發,不存在OEM自第三方的功能,功能任意組合拆分,對系統性能影響很小。采用多核硬件架構和一體化的軟件設計,集防火墻、VPN、內容過濾、上網行為管理、IPv6/IPv4雙協議棧、抗拒絕服務攻擊(Anti-DoS)等多種安全技術于一身,全面支持QoS、高可用性(HA)、日志審計等功能,高性能、綠色低碳。
功能特點
通過集中管理中心實現對多臺設備的統一管理、實時監控、集中升級和拓撲展示。
記錄內容豐富:可對防火墻日志、攻擊日志、病毒日志、帶寬使用日志、Web訪問日志、Mail發送日志、關鍵資產訪問日志、用戶登錄日志等進行記錄;日志快速查詢:可對IP地址、端口、時間、危急程度、日志內容關鍵字等進行查詢;報表貼近需求:根據用戶具體需求,定制報表內容、定制報表名稱、定制企業LOGO,并可形成多種格式的報表文件。
采用獨立的上網行為管理庫,通過互聯網實現每周更新;P2P控制:對Emule、BitTorrent、Maze、Kazaa等進行阻斷、限速;IM控制:基于黑白名單的IM登錄控制、文件傳輸阻止、查毒;支持主流IM軟件如QQ、MSN、雅虎通、Gtalk、Skype,可以實現賬號的細粒度控制;流媒體控制:對流媒體應用進行阻斷或限速,支持Kamun ppfilm 、PPLive、PPStream、QQ直播、TVAnts、沸點網絡電視、貓撲播霸等;網絡游戲控制:對常見網絡游戲如魔獸世界、征途、QQ游戲大廳、聯眾游戲大廳等的阻斷;股票軟件控制:對常用股票軟件如同花順、大參考、大智慧等的阻斷。
產品具有高性能,同時多核之間互為備份,可靠性高;支持私有協議HA和VRRP,實現雙機熱備和冗余;支持HA備機可視化管理;抗DDOS攻擊;支持主流7種抗DDOS策略:ICMPFLOOD(4種算法)\SYNFLOOD(4種)\ACKFLOOD(1種)\SYNACKFLOOD(4種)\UDPFLOOD(4種)\DNSFLOOD(6種)\HTTPFLOOD(5種);每種抗攻擊策略支持最少4種高級算法。
支持透明、路由和NAT模式部署;支持靜態路由、策略路由、RIP/OSPF/BGP動態路由,支持等價路由ECMP和加權路由WCMP,支持組播路由;支持IPv6:支持IPv4、IPv6雙棧運行、靜態IPv6路由、手工隧道、6to4隧道和ISATAP隧道;支持鏈路聚合,可通過手動方式、IEEE802.3ad 靜態LACP方式創建聚合鏈路;通過鏈路聚合可以增加鏈路帶寬,并起到負載均衡和鏈路備份的作用。
支持基于源IP、目的IP、源端口、目的端口、時間、服務、用戶、文件、網址、關鍵字、郵件地址、腳本、MAC地址等方式進行訪問控制;支持流量管理、連接數控制、IP+MAC綁定、用戶認證等;支持全球攻擊區域分析展示;安全體系聯動:支持同天珣內網安全管理系統聯動,將防火墻防御能力推進到桌面終端;支持天鏡漏掃聯動,自動將漏掃高危漏洞生成防護策略,保證內網終端安全。
技術優勢
支持對AV/IPS等攻擊事件的全球地圖呈現,呈現信息包含:基于經緯度、城市的攻擊源、目地、攻擊次數等,地圖支持逐級縮放,支持國產化地圖引擎。
支持訪問數據庫行為內容審計。數據庫審計結果包含地址、端口、用戶名、數據庫名、表名、字段名、sql語句、操作行為、操作結果等。
支持IPv4和IPv6雙棧協議下的上網行為管理,防病毒和主動防御功能。
支持URL分類智能學習,可通過對已分類網站自動學習分類關鍵字,實現對未知網頁的識別,無需管理員人工干預手工更新。
支持DMVPN,在增加一個新的分支節點網關后,不需要在中心網關更改任何配置,且支持路由推送,實現spoke to spoke互通,不必建立額外隧道。
支持一體化安全策略配置,可以通過一條策略實現用戶認證、IPS、AV、URL過濾、協議控制、流量控制、并發限制、新建限制、垃圾郵件過濾、審計等功能,簡化用戶管理。
支持系統主要防護功能的統一化模板設置,模板分為高、中、低三個級別,分別對應不同防護強度,可通過Web界面選擇切換及通過外置按鍵一鍵切換。
典型應用
電子政務網是各級政府為了加強信息化建設,通過互聯網或者租用專線的方式把下屬委、辦、局以及下一級政府單位的局域網進行互聯的網絡。不同地區電子政務網在組網模式和建設思路上存在一定的差異化,但總體的網絡結構如下:
電子政務網總體結構圖
電子政務網分為內網和外網。
天清漢馬USG防火墻部署在各單位與外單位互聯的出口,防止來自其他單位的入侵攻擊等威脅,同時對電子政務內網用戶相互間訪問進行控制與日志審計,可有效檢測和控制內部員工越權行為,并向管理員發出告警。
電子政務外網在建設模型上與內網相似,多數也是采用專線或裸光纖的方式建網,外網與Internet邏輯隔離。天清漢馬USG防火墻部署在各單位與互聯網的出口,用于防止來自互聯網的入侵威脅,并且可以作為邊緣接入路由器部署。
天清漢馬USG提供統一管理平臺,可以通過信息中心統一管理全網的USG防火墻設備,并提供詳盡直觀的報表,能夠讓管理員迅速了解到整個網絡的存在的安全風險和趨勢,為決定如何制定安全策略提供依據。
政府專網
政府專網是各部委與下屬單位信息互聯的網絡。
政府專網全部采用專線或裸光纖的方式構建。專網的安全系統一般采用下級信任上級的方式來建設,即只需要考慮上級單位對下級單位訪問的安全防護。專網系統一般來說,只在一級單位設互聯網出口,各下屬單位的互聯網訪問都從總部出口。
在互聯網出口部署USG防火墻設備能夠對所有從互聯網的進出的流量進行過濾,防止來之互聯網的入侵,并且對專網內用戶訪問互聯網的內容進行過濾和審計。
在每個政府單位和下級單位的接口部署USG防火墻設備,可以有效防范來自下級單位的越權訪問和惡意攻擊。天清漢馬同時可以作為邊緣路由器接入網絡。
天清漢馬USG防火墻提供統一管理平臺,可以通過信息中心統一管理全網的USG防火墻設備,并提供詳盡直觀的報表,能夠讓管理員迅速了解到整個網絡的存在的安全風險和趨勢,為決定如何制定安全策略提供依據。
政府專網結構示意圖
高教校園網
高校校園網出口一般會和多個ISP互聯,同時和CERNET互聯。
USG防火墻設備部署在高校網絡出口,可以抵御來自互聯網的威脅,保護DMZ區服務器免受攻擊,以及學生對學校重要服務器的攻擊。同時,開啟策略路由功能,網絡流量進行分流處理。對于高校出口帶寬占用率一直高居不下是一直困擾網管人員的問題,天清漢馬USG防火墻可以提供完整的帶寬管理解決方案。天清漢馬USG防火墻通過對網絡出口的流量進行統計,分析帶寬使用趨勢,同時對帶寬占用較大的P2P流量進行限制和封鎖,讓校園網出口的帶寬得到充分的利用。
對于校園網內的各學生宿舍、圖書館、教學樓等單位,與學校網絡中心的接口通過透明模式接入天清漢馬USG防火墻,同時開啟網頁內容過濾功能,防止學生訪問不良網站。
高教校園網結構示意圖
中/基教教育城域網
中基市場中,連接Internet通常有兩種方式,一種為通過ISP與 Internet直接連接,另外一種為通過教育城域網與Internet統一連接。
對于前者,學校通常在網絡出口處部署一臺USG防火墻設備,防御來自互聯網的攻擊,同時開啟Web內容過濾功能,防止學生利用利用網絡瀏覽不良網站。
對于后者,只需要在地區教委的Internet出口部署USG防火墻設備既可以防御來自互聯網的威脅,又可以做到對所轄區域學校訪問互聯網的流量進行統一管理,統一過濾各學校訪問不良網站的流量。
中/基教校園網結構示意圖
企業市場
中小企業
中小企業網絡結構示意圖
部署USG防火墻設備讓中小企業用戶可以在一個統一的架構上建立自己的安全基礎設施,而以往困擾用戶的安全產品協調性、資金和技術匱乏和缺乏中小企業級安全解決方案等問題也能夠得到完全解決。
USG防火墻設備產品部署在總部和分支機構網絡Internet出口,抵御來自互聯網攻擊威脅。同時可作為VPN網關,各分支機構與總部之間開啟VPN隧道,保證相互間通信的保密性。SOHO員工和在外出差的員工可以在任何時候通過VPN客戶端與總部的天清漢馬USG防火墻建立VPN隧道,訪問公司內部的資源,實現高效安全的網絡應用。
大型企業
大型企業網絡結構示意圖
在總部互聯網出口部署的天清漢馬USG防火墻能夠抵御來自互聯網的入侵攻擊,同時為出差員工提供VPN接入,確保通信的保密性。
在各單位出口部署USG防火墻設備,可以有效控制不同部門之間的越權訪問。
天清漢馬USG防火墻提供統一管理平臺,可以通過信息中心統一管理全網的USG防火墻設備,并提供詳盡直觀的報表,能夠讓管理員迅速了解到整個網絡的存在的安全風險和趨勢,為決定如何制定安全策略提供依據。
Copyright ? 啟明星辰 版權所有 京ICP備05032414號 京公網安備11010802024551號