明御下一代防火墙基于角色、深度应用的多核安全架构突破了传统防火墙只是基于IP和端口的防御机制。百兆到万兆的处理能力使明御下一代防火墙适用于多种网络环境,包括中小企业级市场、政府机关、大型企业、电信运营商和数据中心等机构。丰富的软件功能为网络提供不同层次及深度的安全控制以及接入管理,例如基于角色深度应用安全的访问控制、IPSec/SSL VPN、应用程序管理、病毒过滤、内容安全等。
安恒明御下一代防火墙具有以下主要特点:
• 全并行处理的安全架构(多核)
• 深度应用安全
• 全方位内容安全
• 基于角色和应用的管理
• 可扩展的模块化设计(多核)
安恒信息自主开发的64位实时安全操作系统具备强大的并行处理能力。操作系统采用专利的多处理器全并行架构,和常见的多核处理器或NP/ASIC只负责三层包转发的架构不同,实现了从网络层到应用层的多核全并行处理。因此,安恒下一代防火墙系列产品较业界其他的多核或NP/ASIC系统在同档的硬件配置下有多达5倍的性能提升,为同时开启多项防护功能奠定了性能基础,突破了传统安全网关的功能实用性和性能的无法两全的局限。
随着网络的快速发展,越来越多的应用都建立在HTTP/HTTPS等应用层协议之上。新的安全威胁也随之嵌入到应用之中,而传统基于状态检测的防火墙只能依据端口或协议去设置安全策略,根本无法识别应用,更谈不上安全防护。安恒下一代防火墙可根据应用的行为和特征实现对应用的识别和控制,而不依赖于端口或协议,即使加密过的数据流也能应付自如。
安恒下一代防火墙系列产品提供全方位的安全防护,包括病毒过滤、内容过滤、网页访问控制等功能,可防范病毒、间谍软件、蠕虫、木马等网络攻击。关键字过滤和基于超过2000万域名的Web页面分类数据库可以帮助管理员轻松设置工作时间禁止访问的网页,提高工作效率和控制对不良网站的访问。病毒特征库、URL库可以通过网络服务实时下载,确保对新爆发的病毒、新网页的及时响应。
安恒下一代防火墙的应用和身份识别功能能够满足越来越多的深度安全需求。基于身份和角色的管理(RBNS)让网络配置更加直观和精细化。不同的用户甚至同一用户在不同的地点或时间都可以有不同的管理策略。用户访问的内容也可以记录在本机存储模块或专用服务器中,通过用户的名称审阅相关记录使查找更简单。
基于角色的管理模式主要包含基于“人”的访问控制、基于“人”的网络资源(服务)的分配、基于”人“的日志审计三方面。基于角色的管理模式可以通过对访问者身份审核和确认,确定访问者的访问权限,分配相应的网络资源。在技术上可避免IP盗用或者PC终端被盗用引发的数据泄露等问题。
明御下一代防火墙支持三种部署模式,分别是透明模式、路由模式、混合模式。系统会根据进入设备的数据包,自动选择正确的应用模式进行处理。
DAS-Gateway-NGFW支持支持静态路由(Static Routing)、ISP路由、源路由(Source-Based Routing,简称SBR)、源接口路由(Source-Interface-Based Routing,简称SIBR)、策略路由(Policy-Based Routing,简称PBR)、就近探测路由(Proximity Routing)、动态路由(包括RIP、OSPF和BGP)和等价多径路由(Equal Cost MultiPath Routing,简称ECMP)和静态组播路由(Static Multicast-routing)。
DAS-Gateway-NGFW通过创建并执行NAT规则来实现NAT功能。NAT规则有两类,分别为源NAT规则(SNAT Rule)和目的NAT规则(DNAT Rule)。SNAT转换源IP地址,从而隐藏内部IP地址或者分享有限的IP地址;DNAT转换目的IP地址,通常是将受安全网关保护的内部服务器(如WWW服务器或者SMTP服务器)的IP地址转换成公网IP地址。
DAS-Gateway-NGFW支持本地用户认证、外部服务器用户认证(RADIUS、LDAP、MS AD)、Web认证、802.1X。
DAS-Gateway-NGFW提供广泛的应用层监控、统计和控制过滤功能。该功能能够对FTP、HTTP、P2P应用、实时通信工具以及VoIP语音数据等应用进行识别,并根据安全策略配置规则,保证应用的正常通信或对其进行指定的操作,如监控、流量统计、流量控制和阻断等。DAS-Gateway-NGFW利用分片重组及传输层代理技术,使设备能够适应复杂的网络环境,即使在完整的应用层数据被分片传送且分片出现失序、乱序的情况下,也能有效的获取应用层信息,从而保证安全策略的有效实施。
DAS-Gateway-NGFW支持IPSec VPN、SSL VPN、拨号VPN、L2TP VPN、PnPVPN。
SCVPN功能包含设备端和客户端两部分。配置了SCVPN功能的安全网关作为设备端,具有以下功能:
• 接受客户端连接;
• 为客户端分配IP地址、DNS服务器地址和WINS服务器地址;
• 进行客户端用户的认证与授权;
• 进行客户端主机的安全检测;
• 对IPSec数据进行加密与转发;
IPSec VPN配置复杂,维护成本高,对网管人员技术要求高,针对该问题,DAS-Gateway-NGFW为企业用户提供了一种简单易用的VPN技术——PnPVPN,即即插即用VPN。PnPVPN由两部分组成,分别是PnPVPN Server和PnPVPN Client,各自功能描述如下:
• PnPVPN Server:通常放置于企业总部,由总部IT工程师负责维护,客户端的大多数配置由服务器端下发。PnPVPN Server通常DAS-Gateway-NGFW充当,一台安全网关可充当多个PnPVPN Server。
• PnPVPN Client:通常放置于企业分支机构(如办事处),可由总部工程师远程维护,只需要做简单配置(如客户端ID、密码和服务器端IP地址),和Server端协商成功后即可从Server端获取配置信息(如DNS、WINS、DHCP地址池等)。PnPVPN Client通常由DAS-Gateway-NGFW充当。
DAS-Gateway-NGFW支持TCP/IP攻击防护(IP碎片攻击、IP Option攻击、IP地址欺骗攻击、Land攻击、Smurf攻击、Fraggle攻击、Huge ICMP包攻击、ARP欺骗攻击、WinNuke攻击、Ping-of-Death攻击、Teardrop攻击);支持扫描保护(IP地址扫描攻击、端口扫描攻击);支持Flood保护(Syn Flood攻击、ICMP Flood攻击、UDP Flood攻击、DNS Query Flood攻击);支持二层攻击防护(IP-MAC静态绑定、主机防御、ARP防护、DHCP Snooping)。
DAS-Gateway-NGFW具有许可证控制的病毒过滤功能,能够为用户提供高速、高性能以及低延迟的病毒过滤解决方案。配置DAS-Gateway-NGFW的病毒过滤功能后,设备能够探测各种病毒威胁,例如蠕虫、木马、恶意软件、恶意网站等,并且根据配置对发现的病毒进行处理。
DAS-Gateway-NGFW采用卡巴斯基病毒特征库,并集成Google Safe Browsing库,包含万余种病毒特征,支持病毒特征库的每日自动升级,也可以手动实时升级。
DAS-Gateway-NGFW病毒过滤功能可扫描协议类型包括POP3、HTTP、SMTP、IMAP4以及FTP;可扫描文件类型包括存档文件(包含压缩存档文件,支持压缩类型有GZIP、BZIP2、TAR、ZIP和RAR)、PE(支持的加壳类型有ASPack 2.12、UPack 0.399、UPX的所有版本以及FSG的1.3、1.31、1.33和2.0版本)、HTML、Mail、RIFF、CryptFF和JPEG。
DAS-Gateway-NGFW网络行为控制功能可以根据需要针对不同用户、不同网络行为、不同时间进行灵活的控制规则设置,对用户的网络行为进行全面的行为控制、行为审计(记录行为日志)和内容审计(记录内容)。
DAS-Gateway-NGFW网络行为控制功能主要包括以下几个方面:
• URL过滤
• 网页关键字过滤
• Web外发信息控制
• 邮件过滤
• 网络聊天控制
• 应用行为控制
• 日志管理
URL过滤功能可以控制用户对某些网站的访问,并能对访问行为进行日志记录。通过配置URL过滤功能,可以实现:
• 控制用户对某类网站的访问。比如,阻止用户访问赌博、色情类网站。
• 分时段控制用户对某类网站的访问。比如,阻止用户在上班时间访问在线聊天类网站,下班后则允许访问。
• 控制用户对网址中含有特定关键字的网站的访问。比如,阻止用户访问网址中含有关键字“游戏”的网站。
DAS-Gateway-NGFW可以对用户访问含有特定关键字内容的网站的行为进行控制,并能对访问行为及所访问网站的内容进行日志记录。比如,阻止用户访问含“赌博”词汇的网站,并记录访问日志。
Web外发信息功能可以对用户在某网站发布信息或者发布含有特定关键字信息的行为进行控制,并能对发布行为及信息内容进行日志记录。例如,阻止用户在社区论坛类网站发布含有关键字“舆论”的信息,并记录日志。
邮件过滤功能主要用于当用户通过SMTP或者Web邮箱(包括Gmail加密邮箱)发送邮件时,根据邮件的发件人、收件人、内容、附件名称和附件大小对邮件的发送行为进行控制,并能记录发送邮件的日志、内容和附件。
网络聊天功能可以控制用户使用MSN、QQ和雅虎通聊天的行为,并记录上下线日志。
应用行为控制功能可以对FTP和HTTP应用程序行为进行控制和审计,包括:
• 对FTP的Login、Get、Put行为进行行为控制和行为审计;
• 对HTTP的Connect、Get、Put、Head、Options、Post、Trace行为进行行为控制和行为审计。
• 阻止下载HTTP二进制文件(如.bat、.com等)以及ActiveX和Java Applet对象。
DAS-Gateway-NGFW网络行为控制日志信息可以对用户的上网行为进行全面记录,包括网页访问记录、外发邮件行为、内容及附件记录、论坛发帖记录、IM行为和聊天内容记录以及FTP/HTTP使用记录等等。
高可靠性(High Availability),简称为HA,能够在通信线路或设备产生故障时提供备用方案,从而保证数据通信的畅通,有效增强网络的可靠性。
DAS-Gateway-NGFW支持HA的2种工作模式:Active-Passive(A/P)模式和Active-Active(A/A)模式。
DAS-Gateway-NGFW的统计功能包括基于接口的统计功能、基于地址的统计功能、基于应用的统计功能以及统计集功能。
• 基于接口的统计功能:统计流经特定接口的数据量、数据包。
• 基于地址的统计功能:统计以特定地址为源/目的地址的数据量、数据包。
• 基于服务的统计功能:统计属于特定服务的数据量、数据包。
• 统计集:统计流经安全网关的数据量。
DAS-Gateway-NGFW拥有日志管理功能。DAS-Gateway-NGFW的日志功能记录并输出安全网关的各种日志信息,分别是事件(Event)、告警(Alarm)、安全(Security)、配置(Configuration)、网络(Network)、流量(Traffic)和调试(Debug)信息。
DAS-Gateway-NGFW支持互联网协议版本6,即IPv6(Internet Protocol Version 6),DAS-Gateway-NGFW为IPv4和IPv6同时支持的双栈系统固件,同时支持隧道技术(当前版本支持手工IPv6隧道)实现IPv6的通信。
