产品概述
威盾®下一代防火墙是在传统防火墙的技术积累基础上,融合国内外最新技术研发的下一代高性能、多功能安全网关。
威盾首创了多核威盾下一代防火墙架构(Flow Flag & Fast Forward),独特的专用数据通讯引擎和模块化安全引擎能够实现高达60G的安全处理性能。
威盾®下一代防火墙产品除了状态检测防火墙、IPsec VPN、内容过滤、IPS等传统安全功能外,还集成了应用流量管理ATM (Application Traffic Management)、抗分布式拒绝服务ADS(Anti-DDoS)和网络可视化NV(Network Visualization) 模块,配合Web UI界面、全功能命令界面,能够为企业网络提供全方位的安全防护。
流量控制:在应用识别和用户识别的基础上,通过细粒度流量划分和两层八级QoS管道嵌套技术实现基于应用和用户的流量管理。
入侵防御:下一代防火墙的入侵防御解决方案基于多核架构、全并行的流检测引擎和基于攻击原理的入侵防御检测引擎。基于深度应用识别,积极防范复杂应用攻击;基于多核构架满足深度应用分析、入侵防御功能的高CPU和高内存资源需求;基于深度应用原理、攻击原理的入侵防御解决方案;支持HTTP、FTP、SMTP等多种常见的应用和协议的攻击防护;定期更新攻击特征库,安全专家积极响应新的攻击和漏洞;基于策略或者安全域的入侵防御,可针对不同的服务器对象定制不同的规则集合。
VPN:下一代防火墙的IPsec vpn功能使用通过专有的硬件进行IPSec信息加密解密,对CPU 负担较小,性能远高于传统的IPsec vpn设备。因此相同的组网条件下,可以达到更高的吞吐能力和更低的数据传输延迟。同时,下一代防火墙还具有冗余性组网、动态路由部署和集中管理监控等功能。
深度应用识别:可对P2P、IM(即时通讯)、游戏、办公软件以及基于SIP、H.323、HTTP等协议的应用进行控制。识别的应用多达1200多种,其中包括200 多种常用移动应用识别,帮助企业加强BYOD安全管理。应用特征库跟随着应用的发展每天都在增加,并且可独立升级,不影响系统的稳定性。
采用交叉检测(Cross Inspection)技术不仅对协议进行深度的分析,交叉检测技术通过综合分析用户(User)状态,应用(Application)状态和行为(Behavior)状态,来确认协议的真正含义,实现更精准和更快速的定位。
可对敏感文件类型、关键字、URL链接地址、JAVA和Active X插件进行限制。
基于身份和角色的管理(RBNS)让网络配置更加直观和精细化。不同的用户甚至同一用户在不同的地点或时间都可以有不同的管理策略。用户访问的内容也可以记录在本机存储模块或专用服务器中,通过用户的名称审阅相关记录使查找更简单。
链路负载均衡:威盾®下一代防火墙能够支持专业的链路负载均衡技术,在多条链路的业务场景下,通过出站的负载、入站的负载、结合运营商和其他协议方式的负载,让用户的链路带宽得到充分利用,为用户选择最快的链路,解决链路利用率不均衡、单点故障、访问效果差、链路资源浪费等问题,保障业务的稳定性。
IPv6过渡技术:下一代防火墙以IPv4/IPv6双栈、NAT转换技术、隧道技术为主,为用户提供了一整套同时承载IPv4、IPv6业务,并逐渐从IPv4到IPv6演进的解决方案。
攻击防护:下一代防火墙是基于域实现的,即在设备在每个安全域上提供所有攻击防护功能,用户可根据组网在不同安全域上有针对性的开启攻击防护功能。它的攻击防护功能覆盖范围广泛,对各种Flood攻击、各种扫描或欺骗攻击、畸形报文攻击、反射式攻击具有防护功能,并且可提供攻击趋势图、统计信息和审计日志。
URL过滤:URL过滤策略规则可以基于系统预定义的URL类别和用户自定义的URL类别,对用户所访问的网页进行过滤。关键字过滤策略规则可以基于用户自定义的关键字类别,对用户所访问的网页进行过滤,同时,能够通过SSL代理功能对用户所访问的含有某特定关键字的HTTPS加密网页进行过滤。
● 结合中国地区内容访问的政策、法规和习惯量身定制
● 具有超过2千万条域名的分类web页面库,实时同步更新
高可靠组网:为了解决单台设备部署时的单点故障,推出了系列高可靠性组网解决方案,主要包括AP模式和AA模式。 设备AP模式工作时,一台设备工作在主,一台设备工作在备,其可以适应任何网络拓扑。 设备AA模式部署时,两台设备均处于Active状态。一般来说,AA方案对客户周边网络的依赖性比较高。
上网认证:对用户和主机进行身份的确认,即为”验证”,验证用户是否可以获得访问权限。下一代防火墙的上网认证功能就是针对用户进行的上网权限的认证功能。下一代防火墙可支持的上网认证方式有IP-MAC-端口绑定、Web 认证、短信认证、单点登录、802.1X认证、PKI等。
1. 高性能的安全网关和防攻击能力
提供超强的安全网关吞吐能力,能够满足网络中所有网络环境的吞吐要求。同时,产品内置了防攻击模块,能够有效地避免网络攻击对网络的影响。
1) 纵深攻击防护,全面过滤网络威胁。通过对链路层到应用层L2-L7层面进行全方位安全分析与防御。针对各个层面不同的安全属性,分别采取相互独立的安全防御技术针对性防御,从整体上提升安全防御能力。
2) 专业 WEB 安全,满足用户web 安全深层次需求。支持SQL注入、跨站脚本、CC攻击等检测与过滤,避免Web服务器遭受攻击破坏;支持外链检查和目录访问控制,防止Web Shell和敏感信息泄露,避免网页篡改与挂马,满足用户Web服务器深层次安全防护需求。
3) 智能安全防护,更快、更准、更多发现威胁。新一代防火墙突破传统检测技术的瓶颈,不依赖于代码特征,而是采用基于威胁行为分析的方法,通过对网络中终端主机的行为进行分析,由于感染了变种恶意代码的主机其应用层行为将变得异常,智能防护即根据这种异常发现变种恶意软件;通过对业务系统的正常运行状态进行学习,建立起业务动态安全模型,依靠这个模型能够检测出网络异常行为,进而判断是哪种网络攻击。这种方式能够大幅提升攻击检测的灵敏度与准确性,帮助用户防范慢速 DDOS、CC 等隐蔽型应用层网络攻击。
2. 先进的应用层管控机制
能够为用户提供先进的应用层管控技术,包括URL过滤、带宽管理、P2P/IM管理等等,能够使用户在保证网络连通的前提下更细粒度的管控自己的网络。应用精准识别及灵活控制。下一代防火墙支持深度应用识别技术,能够准确识别数千种网络应用,其中包括600 余种移动应用、300 余种云应用。并为用户提供包括应用类别、应用风险等级、所用技术、应用特征分布等多维可视化信息,从而帮助用户及时发现应用安全隐患。同时,支持灵活的应用安全控制功能,包括策略阻止、会话限制、流量管控、应用引流或时间限制等,使得应用管控十分得心应手。
3. 完善的日志记录
下一代防火墙支持系统日志、配置日志、流量日志、攻击日志及会话日志等类型日志的海量信息记录,方便管理者查看。