需求分析
著名咨询机构Gartner介绍为应对当前与未来新一代的网络安全威胁认为防火墙必需要再一次升级为“下一代防火墙”。第一代防火墙已基本无法探测到利用僵尸网络作为传输方法的威胁。由于采用的是基于服务的架构与Web2.0使用的普及,更多的通讯量都只是通过少数几个端口及采用有限的几个协议进行,这也就意味着基于端口/协议类安全策略的关联性与效率都越来越低,仅仅是基于端口和ip的访问控制和只能应对检测外部攻击而无法对内部的重要资产进行防护的机制必须做出改变。
Gartner使用“下一代防火墙”这一术语来说明升级防火墙的必要性,以应对业务程序使用IT的方法以及针对业务系统所发起的攻击方法所发生的改变。下一代防火墙应该可以实现网络层和应用层的访问控制功能和内容过滤功能,应在关键网络节点处检测和限制从内部发起的网络攻击行为,还应该具备双向检测能力,能够有效检测内部失陷主机等,防止病毒在内网中的蔓延、限制内部主机成为黑客攻击的跳板,下一代防火墙应该具备对数据核心防护的能力。
产品简介
产品简介
启明星辰凭借多年安全网关市场的经验积累,在UTM产品技术领先、市场成功的基础上,正式推出了高性能、易管理、可升级的全新防火墙系列产品——天清汉马USG防火墙。
天清汉马USG防火墙基于启明星辰ISE统一引擎开发,不存在OEM自第三方的功能,功能任意组合拆分,对系统性能影响很小。采用多核硬件架构和一体化的软件设计,集防火墙、VPN、内容过滤、上网行为管理、IPv6/IPv4双协议栈、抗拒绝服务攻击(Anti-DoS)等多种安全技术于一身,全面支持QoS、高可用性(HA)、日志审计等功能,高性能、绿色低碳。
功能特点
支持双链路故障切换,且主备模式切换小于等于1s
通过集中管理中心实现对多台设备的统一管理、实时监控、集中升级和拓扑展示。
记录内容丰富:可对防火墙日志、攻击日志、病毒日志、带宽使用日志、Web访问日志、Mail发送日志、关键资产访问日志、用户登录日志等进行记录;日志快速查询:可对IP地址、端口、时间、危急程度、日志内容关键字等进行查询;报表贴近需求:根据用户具体需求,定制报表内容、定制报表名称、定制企业LOGO,并可形成多种格式的报表文件。
采用独立的上网行为管理库,通过互联网实现每周更新;P2P控制:对Emule、BitTorrent、Maze、Kazaa等进行阻断、限速;IM控制:基于黑白名单的IM登录控制、文件传输阻止、查毒;支持主流IM软件如QQ、MSN、雅虎通、Gtalk、Skype,可以实现账号的细粒度控制;流媒体控制:对流媒体应用进行阻断或限速,支持Kamun ppfilm 、PPLive、PPStream、QQ直播、TVAnts、沸点网络电视、猫扑播霸等;网络游戏控制:对常见网络游戏如魔兽世界、征途、QQ游戏大厅、联众游戏大厅等的阻断;股票软件控制:对常用股票软件如同花顺、大参考、大智慧等的阻断。
产品具有高性能,同时多核之间互为备份,可靠性高;支持私有协议HA和VRRP,实现双机热备和冗余;支持HA备机可视化管理;抗DDOS攻击;支持主流7种抗DDOS策略:ICMPFLOOD(4种算法)\SYNFLOOD(4种)\ACKFLOOD(1种)\SYNACKFLOOD(4种)\UDPFLOOD(4种)\DNSFLOOD(6种)\HTTPFLOOD(5种);每种抗攻击策略支持最少4种高级算法。
支持透明、路由和NAT模式部署;支持静态路由、策略路由、RIP/OSPF/BGP动态路由,支持等价路由ECMP和加权路由WCMP,支持组播路由;支持IPv6:支持IPv4、IPv6双栈运行、静态IPv6路由、手工隧道、6to4隧道和ISATAP隧道;支持链路聚合,可通过手动方式、IEEE802.3ad 静态LACP方式创建聚合链路;通过链路聚合可以增加链路带宽,并起到负载均衡和链路备份的作用。
支持基于源IP、目的IP、源端口、目的端口、时间、服务、用户、文件、网址、关键字、邮件地址、脚本、MAC地址等方式进行访问控制;支持流量管理、连接数控制、IP+MAC绑定、用户认证等;支持全球攻击区域分析展示;支持SSLVPN远程安全接入;安全体系联动:支持同天珣内网安全管理系统联动,将防火墙防御能力推进到桌面终端;支持天镜漏扫联动,自动将漏扫高危漏洞生成防护策略,保证内网终端安全。
技术优势
支持对AV/IPS等攻击事件的全球地图呈现,呈现信息包含:基于经纬度、城市的攻击源、目地、攻击次数等,地图支持逐级缩放,支持国产化地图引擎。
支持访问数据库行为内容审计。数据库审计结果包含地址、端口、用户名、数据库名、表名、字段名、sql语句、操作行为、操作结果等。
支持IPv4和IPv6双栈协议下的上网行为管理,防病毒和主动防御功能。
支持URL分类智能学习,可通过对已分类网站自动学习分类关键字,实现对未知网页的识别,无需管理员人工干预手工更新。
支持DMVPN,在增加一个新的分支节点网关后,不需要在中心网关更改任何配置,且支持路由推送,实现spoke to spoke互通,不必建立额外隧道。
支持一体化安全策略配置,可以通过一条策略实现用户认证、IPS、AV、URL过滤、协议控制、流量控制、并发限制、新建限制、垃圾邮件过滤、审计等功能,简化用户管理。
支持系统主要防护功能的统一化模板设置,模板分为高、中、低三个级别,分别对应不同防护强度,可通过Web界面选择切换及通过外置按键一键切换。
典型应用
电子政务网是各级政府为了加强信息化建设,通过互联网或者租用专线的方式把下属委、办、局以及下一级政府单位的局域网进行互联的网络。不同地区电子政务网在组网模式和建设思路上存在一定的差异化,但总体的网络结构如下:
电子政务网总体结构图
电子政务网分为内网和外网。
天清汉马USG防火墙部署在各单位与外单位互联的出口,防止来自其他单位的入侵攻击等威胁,同时对电子政务内网用户相互间访问进行控制与日志审计,可有效检测和控制内部员工越权行为,并向管理员发出告警。
电子政务外网在建设模型上与内网相似,多数也是采用专线或裸光纤的方式建网,外网与Internet逻辑隔离。天清汉马USG防火墙部署在各单位与互联网的出口,用于防止来自互联网的入侵威胁,并且可以作为边缘接入路由器部署。
天清汉马USG提供统一管理平台,可以通过信息中心统一管理全网的USG防火墙设备,并提供详尽直观的报表,能够让管理员迅速了解到整个网络的存在的安全风险和趋势,为决定如何制定安全策略提供依据。
政府专网
政府专网是各部委与下属单位信息互联的网络。
政府专网全部采用专线或裸光纤的方式构建。专网的安全系统一般采用下级信任上级的方式来建设,即只需要考虑上级单位对下级单位访问的安全防护。专网系统一般来说,只在一级单位设互联网出口,各下属单位的互联网访问都从总部出口。
在互联网出口部署USG防火墙设备能够对所有从互联网的进出的流量进行过滤,防止来之互联网的入侵,并且对专网内用户访问互联网的内容进行过滤和审计。
在每个政府单位和下级单位的接口部署USG防火墙设备,可以有效防范来自下级单位的越权访问和恶意攻击。天清汉马同时可以作为边缘路由器接入网络。
天清汉马USG防火墙提供统一管理平台,可以通过信息中心统一管理全网的USG防火墙设备,并提供详尽直观的报表,能够让管理员迅速了解到整个网络的存在的安全风险和趋势,为决定如何制定安全策略提供依据。
政府专网结构示意图
高教校园网
高校校园网出口一般会和多个ISP互联,同时和CERNET互联。
USG防火墙设备部署在高校网络出口,可以抵御来自互联网的威胁,保护DMZ区服务器免受攻击,以及学生对学校重要服务器的攻击。同时,开启策略路由功能,网络流量进行分流处理。对于高校出口带宽占用率一直高居不下是一直困扰网管人员的问题,天清汉马USG防火墙可以提供完整的带宽管理解决方案。天清汉马USG防火墙通过对网络出口的流量进行统计,分析带宽使用趋势,同时对带宽占用较大的P2P流量进行限制和封锁,让校园网出口的带宽得到充分的利用。
对于校园网内的各学生宿舍、图书馆、教学楼等单位,与学校网络中心的接口通过透明模式接入天清汉马USG防火墙,同时开启网页内容过滤功能,防止学生访问不良网站。
高教校园网结构示意图
中/基教教育城域网
中基市场中,连接Internet通常有两种方式,一种为通过ISP与 Internet直接连接,另外一种为通过教育城域网与Internet统一连接。
对于前者,学校通常在网络出口处部署一台USG防火墙设备,防御来自互联网的攻击,同时开启Web内容过滤功能,防止学生利用利用网络浏览不良网站。
对于后者,只需要在地区教委的Internet出口部署USG防火墙设备既可以防御来自互联网的威胁,又可以做到对所辖区域学校访问互联网的流量进行统一管理,统一过滤各学校访问不良网站的流量。
中/基教校园网结构示意图
企业市场
中小企业
中小企业网络结构示意图
部署USG防火墙设备让中小企业用户可以在一个统一的架构上建立自己的安全基础设施,而以往困扰用户的安全产品协调性、资金和技术匮乏和缺乏中小企业级安全解决方案等问题也能够得到完全解决。
USG防火墙设备产品部署在总部和分支机构网络Internet出口,抵御来自互联网攻击威胁。同时可作为VPN网关,各分支机构与总部之间开启VPN隧道,保证相互间通信的保密性。SOHO员工和在外出差的员工可以在任何时候通过VPN客户端与总部的天清汉马USG防火墙建立VPN隧道,访问公司内部的资源,实现高效安全的网络应用。
大型企业
大型企业网络结构示意图
在总部互联网出口部署的天清汉马USG防火墙能够抵御来自互联网的入侵攻击,同时为出差员工提供VPN接入,确保通信的保密性。
在各单位出口部署USG防火墙设备,可以有效控制不同部门之间的越权访问。
天清汉马USG防火墙提供统一管理平台,可以通过信息中心统一管理全网的USG防火墙设备,并提供详尽直观的报表,能够让管理员迅速了解到整个网络的存在的安全风险和趋势,为决定如何制定安全策略提供依据。
型号:USG-FW-4000-T-NF2800
规格:标准2U设备,双电源,标配6个10/100/1000M自适应千兆电接口,2个SFP+万兆接口(不含光模块)、2个SFP千兆接口(不含光模块)及2个接口扩展槽。
Copyright © 启明星辰 版权所有 京ICP备05032414号 京公网安备11010802024551号