明御下一代防火墙基于脚色、深度使用的多核宁静架构打破了传统防火墙只是基于IP和端口的进攻机制。百兆到万兆的处置才能使明御下一代防火墙实用于多种网络情况,包罗中小企业级市场、当局构造、大型企业、电信运营商和数据中心等机构。丰厚的软件功效为网络提供差别条理及深度的宁静控制以及接入办理,比方基于脚色深度使用宁静的拜访控制、IPSec/SSL VPN、使用步伐办理、病毒过滤、内容宁静等。
安恒明御下一代防火墙具有以下次要特点:
• 全并行处置的宁静架构(多核)
• 深度使用宁静
• 全方位内容宁静
• 基于脚色和使用的办理
• 可扩展的模块化设计(多核)
安恒信息自主开辟的64位及时宁静操纵体系具有壮大的并行处置才能。操纵体系接纳专利的多处置器全并行架构,和罕见的多核处置器或NP/ASIC只卖力三层包转发的架构差别,完成了从网络层到使用层的多核全并行处置。因而,安恒下一代防火墙系列产品较业界其他的多核或NP/ASIC体系在同档的硬件设置装备摆设下有多达5倍的功能提拔,为同时开启多项防护功效奠基了功能底子,打破了传统宁静网关的功效适用性和功能的无法分身的范围。
随着网络的疾速开展,越来越多的使用都创建在HTTP/HTTPS等使用层协议之上。新的宁静要挟也随之嵌入到使用之中,而传统基于形态检测的防火墙只能根据端口或协议去设置宁静战略,基本无法辨认使用,更谈不上宁静防护。安恒下一代防火墙可依据使用的举动和特性完成对使用的辨认和控制,而不依赖于端口或协议,即便加密过的数据流也能应付裕如[yīng fù yù rú]。
安恒下一代防火墙系列产品提供全方位的宁静防护,包罗病毒过滤、内容过滤、网页拜访控制等功效,可防备病毒、特务软件、蠕虫、木马等网络打击。要害字过滤和基于凌驾2000万域名的Web页面分类数据库可以协助办理员轻松设置事情工夫克制拜访的网页,进步工作服从和控制对不良网站的拜访。病毒特性库、URL库可以经过网络办事及时下载,确保对新发作的病毒、新网页的实时呼应。
安恒下一代防火墙的使用和身份辨认功效可以满意越来越多的深度宁静需求。基于身份和脚色的办理(RBNS)让网络设置装备摆设愈加直观和精密化。差别的用户乃至统一用户在差别的所在或工夫都可以有差别的办理战略。用户拜访的内容也可以记载在本机存储模块或公用办事器中,经过用户的称号审视相干记载使查找更复杂。
基于脚色的办理形式次要包括基于“人”的拜访控制、基于“人”的网络资源(办事)的分派、基于”人“的日记审计三方面。基于脚色的办理形式可以经过对拜访者身份考核和确认,确定拜访者的拜访权限,分派响应的网络资源。在技能上可制止IP盗用大概PC终端被盗用引发的数据泄漏等题目。
明御下一代防火墙支持三种摆设形式,辨别是通明形式、路由形式、混淆形式。体系会依据进入设置装备摆设的数据包,主动选择准确的使用形式举行处置。
DAS-Gateway-NGFW支持支持静态路由(Static Routing)、ISP路由、源路由(Source-Based Routing,简称SBR)、源接口路由(Source-Interface-Based Routing,简称SIBR)、战略路由(Policy-Based Routing,简称PBR)、就近探测路由(Proximity Routing)、静态路由(包罗RIP、OSPF和BGP)和等价多径路由(Equal Cost MultiPath Routing,简称ECMP)和静态组播路由(Static Multicast-routing)。
DAS-Gateway-NGFW经过创立并实行NAT规矩来完成NAT功效。NAT规矩有两类,辨别为源NAT规矩(SNAT Rule)和目标NAT规矩(DNAT Rule)。SNAT转换源IP地点,从而隐蔽外部IP地点大概分享有限的IP地点;DNAT转换目标IP地点,通常是将受宁静网关掩护的外部办事器(如WWW办事器大概SMTP办事器)的IP地点转换成公网IP地点。
DAS-Gateway-NGFW支持当地用户认证、内部办事器用户认证(RADIUS、LDAP、MS AD)、Web认证、802.1X。
DAS-Gateway-NGFW提供普遍的使用层监控、统计和控制过滤功效。该功效可以对FTP、HTTP、P2P使用、及时通讯东西以及VoIP语音数据等使用举行辨认,并依据宁静战略设置装备摆设规矩,包管使用的正常通讯或对其举行指定的操纵,如监控、流量统计、流量控制和阻断等。DAS-Gateway-NGFW使用分片重组及传输层署理技能,使设置装备摆设可以顺应庞大的网络情况,即便在完备的使用层数据被分片传送且分片呈现失序、乱序的状况下,也能无效的获取使用层信息,从而包管宁静战略的无效实行。
DAS-Gateway-NGFW支持IPSec VPN、SSL VPN、拨号VPN、L2TP VPN、PnPVPN。
SCVPN功效包括设置装备摆设端和客户端两局部。设置装备摆设了SCVPN功效的宁静网关作为设置装备摆设端,具有以下功效:
• 承受客户端毗连;
• 为客户端分派IP地点、DNS办事器地点和WINS办事器地点;
• 举行客户端用户的认证与受权;
• 举行客户端主机的宁静检测;
• 对IPSec数据举行加密与转发;
IPSec VPN设置装备摆设庞大,维护本钱高,对网管职员技能要求高,针对该题目,DAS-Gateway-NGFW为企业用户提供了一种复杂易用的VPN技能——PnPVPN,即即插即用VPN。PnPVPN由两局部构成,辨别是PnPVPN Server和PnPVPN Client,各自功效形貌如下:
• PnPVPN Server:通常安排于企业总部,由总部IT工程师卖力维护,客户真个大少数设置装备摆设由办事器端下发。PnPVPN Server通常DAS-Gateway-NGFW充任,一台宁静网关可充任多个PnPVPN Server。
• PnPVPN Client:通常安排于企业分支机构(如服务处),可由总部工程师近程维护,只必要做复杂设置装备摆设(如客户端ID、暗码和办事器端IP地点),和Server端协商乐成后即可从Server端获取设置装备摆设信息(如DNS、WINS、DHCP地点池等)。PnPVPN Client通常由DAS-Gateway-NGFW充任。
DAS-Gateway-NGFW支持TCP/IP打击防护(IP碎片打击、IP Option打击、IP地点诈骗打击、Land打击、Smurf打击、Fraggle打击、Huge ICMP包打击、ARP诈骗打击、WinNuke打击、Ping-of-Death打击、Teardrop打击);支持扫描掩护(IP地点扫描打击、端口扫描打击);支持Flood掩护(Syn Flood打击、ICMP Flood打击、UDP Flood打击、DNS Query Flood打击);支持二层打击防护(IP-MAC静态绑定、主机进攻、ARP防护、DHCP Snooping)。
DAS-Gateway-NGFW具有允许证控制的病毒过滤功效,可以为用户提供高速、高功能以及低耽误的病毒过滤办理方案。设置装备摆设DAS-Gateway-NGFW的病毒过滤功效后,设置装备摆设可以探测种种病毒要挟,比方蠕虫、木马、歹意软件、歹意网站等,而且依据设置装备摆设对发明的病毒举行处置。
DAS-Gateway-NGFW接纳卡巴斯基病毒特性库,并集成Google Safe Browsing库,包括万余种病毒特性,支持病毒特性库的逐日主动晋级,也可以手动及时晋级。
DAS-Gateway-NGFW病毒过滤功效可扫描协议范例包罗POP3、HTTP、SMTP、IMAP4以及FTP;可扫描文件范例包罗存档文件(包括紧缩存档文件,支持紧缩范例有GZIP、BZIP2、TAR、ZIP和RAR)、PE(支持的加壳范例有ASPack 2.12、UPack 0.399、UPX的一切版本以及FSG的1.3、1.31、1.33和2.0版本)、HTML、Mail、RIFF、CryptFF和JPEG。
DAS-Gateway-NGFW网络举动控制功效可以依据必要针对差别用户、差别网络举动、差别工夫举行机动的控制规矩设置,对用户的网络举动举行片面的举动控制、举动审计(记载举动日记)和内容审计(记载内容)。
DAS-Gateway-NGFW网络举动控制功效次要包罗以下几个方面:
• URL过滤
• 网页要害字过滤
• Web外发信息控制
• 邮件过滤
• 网络谈天控制
• 使用举动控制
• 日记办理
URL过滤功效可以控制用户对某些网站的拜访,并能对拜访举动举行日记记载。经过设置装备摆设URL过滤功效,可以完成:
• 控制用户对某类网站的拜访。好比,制止用户拜访打赌、色情类网站。
• 分时段控制用户对某类网站的拜访。好比,制止用户在下班工夫拜访在线谈天类网站,上班后则容许拜访。
• 控制用户对网址中含有特定要害字的网站的拜访。好比,制止用户拜访网址中含有要害字“游戏”的网站。
DAS-Gateway-NGFW可以对用户拜访含有特定要害字内容的网站的举动举行控制,并能对拜访举动及所拜访网站的内容举行日记记载。好比,制止用户拜访含“打赌”词汇的网站,并记载拜访日记。
Web外发信息功效可以对用户在某网站公布信息大概公布含有特定要害字信息的举动举行控制,并能对公布举动及信息内容举行日记记载。比方,制止用户在社区论坛类网站公布含有要害字“言论”的信息,并记载日记。
邮件过滤功效次要用于当用户经过SMTP大概Web邮箱(包罗Gmail加密邮箱)发送邮件时,依据邮件的发件人、收件人、内容、附件称号和附件巨细对邮件的发送举动举行控制,并能记载发送邮件的日记、内容和附件。
网络谈天功效可以控制用户利用MSN、QQ和雅虎通谈天的举动,并记载上下线日记。
使用举动控制功效可以对FTP和HTTP使用步伐举动举行控制和审计,包罗:
• 对FTP的Login、Get、Put举动举行举动控制和举动审计;
• 对HTTP的Connect、Get、Put、Head、Options、Post、Trace举动举行举动控制和举动审计。
• 制止下载HTTP二进制文件(如.bat、.com等)以及ActiveX和Java Applet工具。
DAS-Gateway-NGFW网络举动控制日记信息可以对用户的上彀举动举行片面记载,包罗网页拜访记载、外发邮件举动、内容及附件记载、论坛发帖记载、IM举动和谈天内容记载以及FTP/HTTP利用记载等等。
高牢靠性(High Availability),简称为HA,可以在通讯线路或设置装备摆设发生妨碍时提供备用方案,从而包管数据通讯的流通,无效加强网络的牢靠性。
DAS-Gateway-NGFW支持HA的2种事情形式:Active-Passive(A/P)形式和Active-Active(A/A)形式。
DAS-Gateway-NGFW的统计功效包罗基于接口的统计功效、基于地点的统计功效、基于使用的统计功效以及统计集功效。
• 基于接口的统计功效:统计流经特定接口的数据量、数据包。
• 基于地点的统计功效:统计以特定地点为源/目标地点的数据量、数据包。
• 基于办事的统计功效:统计属于特定办事的数据量、数据包。
• 统计集:统计流经宁静网关的数据量。
DAS-Gateway-NGFW拥有日记办理功效。DAS-Gateway-NGFW的日记功效记载并输入宁静网关的种种日记信息,辨别是事情(Event)、告警(Alarm)、宁静(Security)、设置装备摆设(Configuration)、网络(Network)、流量(Traffic)和调试(Debug)信息。
DAS-Gateway-NGFW支持互联网协议版本6,即IPv6(Internet Protocol Version 6),DAS-Gateway-NGFW为IPv4和IPv6同时支持的双栈体系固件,同时支持隧道技能(以后版本支持手工IPv6隧道)完成IPv6的通讯。
