English日本語
  • 需求分析
  • 産品簡介
  • 功能特點
  • 技術優勢
  • 典型應用
  • 用戶價值
 

需求分析

著名咨詢機構Gartner介紹爲應對當前與未來新一代的網絡安全威脅認爲防火牆必需要再一次升級爲“下一代防火牆”。第一代防火牆已基本無法探測到利用僵屍網絡作爲傳輸方法的威脅。由于采用的是基于服務的架構與Web2.0使用的普及,更多的通訊量都只是通過少數幾個端口及采用有限的幾個協議進行,這也就意味著基于端口/協議類安全策略的關聯性與效率都越來越低,僅僅是基于端口和ip的訪問控制和只能應對檢測外部攻擊而無法對內部的重要資産進行防護的機制必須做出改變。
Gartner使用“下一代防火牆”這一術語來說明升級防火牆的必要性,以應對業務程序使用IT的方法以及針對業務系統所發起的攻擊方法所發生的改變。下一代防火牆應該可以實現網絡層和應用層的訪問控制功能和內容過濾功能,應在關鍵網絡節點處檢測和限制從內部發起的網絡攻擊行爲,還應該具備雙向檢測能力,能夠有效檢測內部失陷主機等,防止病毒在內網中的蔓延、限制內部主機成爲黑客攻擊的跳板,下一代防火應該具備對數據核心防護的能力。

 

産品簡介

産品簡介

啓明星辰憑借多年安全網關市場的經驗積累,在UTM産品技術領先、市場成功的基礎上,正式推出了高性能、易管理、可升級的全新防火牆系列産品——天清漢馬USG防火牆。


天清漢馬USG防火牆基于啓明星辰ISE統一引擎開發,不存在OEM自第三方的功能,功能任意組合拆分,對系統性能影響很小。采用多核硬件架構和一體化的軟件設計,集防火牆、VPN、內容過濾、上網行爲管理、IPv6/IPv4雙協議棧、抗拒絕服務攻擊(Anti-DoS)等多種安全技術于一身,全面支持QoS、高可用性(HA)、日志審計等功能,高性能、綠色低炭。

 

功能特點

  • 方便的集中管理功能:通過集中管理中心實現對多台設備的統一管理、實時監控、集中升級和拓撲展示。
  • 強大的日志報表功能:記錄內容豐富:可對防火牆日志、攻擊日志、病毒日志、帶寬使用日志、Web訪問日志、Mail發送日志、關鍵資産訪問日志、用戶登錄日志等進行記錄;日志快速查詢:可對IP地址、端口、時間、危急程度、日志內容關鍵字等進行查詢;報表貼近需求:根據用戶具體需求,定制報表內容、定制報表名稱、定制企業LOGO,並可形成多種格式的報表文件。
  • 完善的上網行爲管理功能:采用獨立的上網行爲管理庫,通過互聯網實現每周更新;P2P控制:對Emule、BitTorrent、Maze、Kazaa等進行阻斷、限速;IM控制:基于黑白名單的IM登錄控制、文件傳輸阻止、查毒;支持主流IM軟件如QQ、MSN、雅虎通、Gtalk、Skype,可以實現賬號的細粒度控制;流媒體控制:對流媒體應用進行阻斷或限速,支持Kamun ppfilm 、PPLive、PPStream、QQ直播、TVAnts、沸點網絡電視、貓撲播霸等;網絡遊戲控制:對常見網絡遊戲如魔獸世界、征途、QQ遊戲大廳、聯衆遊戲大廳等的阻斷;股票軟件控制:對常用股票軟件如同花順、大參考、大智慧等的阻斷。
  • 高穩定性和可靠性:産品具有高性能,同時多核之間互爲備份,可靠性高;支持私有協議HA和VRRP,實現雙機熱備和冗余;支持HA備機可視化管理;抗DDOS攻擊;支持主流7種抗DDOS策略:ICMPFLOOD(4種算法)\SYNFLOOD(4種)\ACKFLOOD(1種)\SYNACKFLOOD(4種)\UDPFLOOD(4種)\DNSFLOOD(6種)\HTTPFLOOD(5種);每種抗攻擊策略支持最少4種高級算法。
  • 高網絡適用性:支持透明、路由和NAT模式部署;支持靜態路由、策略路由、RIP/OSPF/BGP動態路由,支持等價路由ECMP和加權路由WCMP,支持組播路由;支持IPv6:支持IPv4、IPv6雙棧運行、靜態IPv6路由、手工隧道、6to4隧道和ISATAP隧道;支持鏈路聚合,可通過手動方式、IEEE802.3ad 靜態LACP方式創建聚合鏈路;通過鏈路聚合可以增加鏈路帶寬,並起到負載均衡和鏈路備份的作用。
  • 完善的防火牆特性:支持基于源IP、目的IP、源端口、目的端口、時間、服務、用戶、文件、網址、關鍵字、郵件地址、腳本、MAC地址等方式進行訪問控制;支持流量管理、連接數控制、IP+MAC綁定、用戶認證等;支持全球攻擊區域分析展示;安全體系聯動:支持同天珣內網安全管理系統聯動,將防火牆防禦能力推進到桌面終端;支持天鏡漏掃聯動,自動將漏掃高危漏洞生成防護策略,保證內網終端安全。
 

技術優勢

  • 全球化威脅呈現

    支持對AV/IPS等攻擊事件的全球地圖呈現,呈現信息包含:基于經緯度、城市的攻擊源、目地、攻擊次數等,地圖支持逐級縮放,支持國産化地圖引擎

  • 完善的數據庫防護機制

    支持訪問數據庫行爲內容審計。數據庫審計結果包含地址、端口、用戶名、數據庫名、表名、字段名、sql語句、操作行爲、操作結果等。

  • 雙協議棧全面防護

    支持IPv4和IPv6雙棧協議下的上網行爲管理,防病毒和主動防禦功能

  • URL智能自學習技術

    支持URL分類智能學習,可通過對已分類網站自動學習分類關鍵字,實現對未知網頁的識別,無需管理員人工幹預手工更新。

  • DMVPN使集團內網管理更加智能

    支持DMVPN,在增加一個新的分支節點網關後,不需要在中心網關更改任何配置,且支持路由推送,實現spoke to spoke互通,不必建立額外隧道。

  • 一體化安全防護整體策略

    支持一體化安全策略配置,可以通過一條策略實現用戶認證、IPS、AV、URL過濾、協議控制、流量控制、並發限制、新建限制、垃圾郵件過濾、審計等功能,簡化用戶管理。

  • 三重系統防護強度

    支持系統主要防護功能的統一化模板設置,模板分爲高、中、低三個級別,分別對應不同防護強度,可通過Web界面選擇切換及通過外置按鍵一鍵切換。

 

典型應用


電子政務網是各級政府爲了加強信息化建設,通過互聯網或者租用專線的方式把下屬委、辦、局以及下一級政府單位的局域網進行互聯的網絡。不同地區電子政務網在組網模式和建設思路上存在一定的差異化,但總體的網絡結構如下:


防火牆-電子政務網總體結構圖 


電子政務網總體結構圖



電子政務網分爲內網和外網。

天清漢馬USG防火牆部署在各單位與外單位互聯的出口,防止來自其他單位的入侵攻擊等威脅,同時對電子政務內網用戶相互間訪問進行控制與日志審計,可有效檢測和控制內部員工越權行爲,並向管理員發出告警。

電子政務外網在建設模型上與內網相似,多數也是采用專線或裸光纖的方式建網,外網與Internet邏輯隔離。天清漢馬USG防火牆部署在各單位與互聯網的出口,用于防止來自互聯網的入侵威脅,並且可以作爲邊緣接入路由器部署。

天清漢馬USG提供統一管理平台,可以通過信息中心統一管理全網的USG防火牆設備,並提供詳盡直觀的報表,能夠讓管理員迅速了解到整個網絡的存在的安全風險和趨勢,爲決定如何制定安全策略提供依據。


政府專網


政府專網是各部委與下屬單位信息互聯的網絡。

政府專網全部采用專線或裸光纖的方式構建。專網的安全系統一般采用下級信任上級的方式來建設,即只需要考慮上級單位對下級單位訪問的安全防護。專網系統一般來說,只在一級單位設互聯網出口,各下屬單位的互聯網訪問都從總部出口。

在互聯網出口部署USG防火牆設備能夠對所有從互聯網的進出的流量進行過濾,防止來之互聯網的入侵,並且對專網內用戶訪問互聯網的內容進行過濾和審計。

在每個政府單位和下級單位的接口部署USG防火牆設備,可以有效防範來自下級單位的越權訪問和惡意攻擊。天清漢馬同時可以作爲邊緣路由器接入網絡。

天清漢馬USG防火牆提供統一管理平台,可以通過信息中心統一管理全網的USG防火牆設備,並提供詳盡直觀的報表,能夠讓管理員迅速了解到整個網絡的存在的安全風險和趨勢,爲決定如何制定安全策略提供依據。


防火牆-政府專網結構示意圖


政府專網結構示意圖


教育行業


高教校園網


高校校園網出口一般會和多個ISP互聯,同時和CERNET互聯。


USG防火牆設備部署在高校網絡出口,可以抵禦來自互聯網的威脅,保護DMZ區服務器免受攻擊,以及學生對學校重要服務器的攻擊。同時,開啓策略路由功能,網絡流量進行分流處理。對于高校出口帶寬占用率一直高居不下是一直困擾網管人員的問題,天清漢馬USG防火牆可以提供完整的帶寬管理解決方案。天清漢馬USG防火牆通過對網絡出口的流量進行統計,分析帶寬使用趨勢,同時對帶寬占用較大的P2P流量進行限制和封鎖,讓校園網出口的帶寬得到充分的利用。


對于校園網內的各學生宿舍、圖書館、教學樓等單位,與學校網絡中心的接口通過透明模式接入天清漢馬USG防火牆,同時開啓網頁內容過濾功能,防止學生訪問不良網站。


防火牆-高教校園網結構示意圖 


高教校園網結構示意圖



中/基教教育城域網


中基市場中,連接Internet通常有兩種方式,一種爲通過ISP與 Internet直接連接,另外一種爲通過教育城域網與Internet統一連接。


對于前者,學校通常在網絡出口處部署一台USG防火牆設備,防禦來自互聯網的攻擊,同時開啓Web內容過濾功能,防止學生利用利用網絡浏覽不良網站。


對于後者,只需要在地區教委的Internet出口部署USG防火牆設備既可以防禦來自互聯網的威脅,又可以做到對所轄區域學校訪問互聯網的流量進行統一管理,統一過濾各學校訪問不良網站的流量。


 防火牆-中/基教校園網結構示意圖


中/基教校園網結構示意圖


企業市場


中小企業


在全國範圍內擁有分支機構的中小企業網絡,大都通過互聯網來實現總部與分支機構的互聯互通。


防火牆-中小企業網絡結構示意圖


中小企業網絡結構示意圖


部署USG防火牆設備讓中小企業用戶可以在一個統一的架構上建立自己的安全基礎設施,而以往困擾用戶的安全産品協調性、資金和技術匮乏和缺乏中小企業級安全解決方案等問題也能夠得到完全解決。


USG防火牆設備産品部署在總部和分支機構網絡Internet出口,抵禦來自互聯網攻擊威脅。同時可作爲VPN網關,各分支機構與總部之間開啓VPN隧道,保證相互間通信的保密性。SOHO員工和在外出差的員工可以在任何時候通過VPN客戶端與總部的天清漢馬USG防火牆建立VPN隧道,訪問公司內部的資源,實現高效安全的網絡應用。


大型企業


對于大型企業,網絡規模較大、用戶數量多、業務系統較多,網絡建設類似于城域網。在安全建設方面也存在多點建設,除去在集團總部的互聯網出口需要安全防控外,各下屬單位也有安全防護需求。


防火牆-大型企業網絡結構示意圖


大型企業網絡結構示意圖


在總部互聯網出口部署的天清漢馬USG防火牆能夠抵禦來自互聯網的入侵攻擊,同時爲出差員工提供VPN接入,確保通信的保密性。


在各單位出口部署USG防火牆設備,可以有效控制不同部門之間的越權訪問。


天清漢馬USG防火牆提供統一管理平台,可以通過信息中心統一管理全網的USG防火牆設備,並提供詳盡直觀的報表,能夠讓管理員迅速了解到整個網絡的存在的安全風險和趨勢,爲決定如何制定安全策略提供依據。

用戶價值

下一代防火牆應安全局勢和市場需求而生,可以對應用、業務和用戶完全識別並加以控制、可以幫助企業降低管理難度、減少運維成本,在安全技術和管理策略方面幫助企業用戶實現價值。同時,下一代防火牆在事中防禦的基礎上,增加了事前的風險預知和事後的檢測&響應能力,通過資産識別、漏洞分析、策略自檢等技術主動發現被保護的資産對象,以及被保護對象的風險狀況,幫助有關部門、機構和人員及時對網絡安全風險信息進行監測評估,最大限度保護資産安全。

服務熱線

400-624-3900 800-810-6038

客服電話:400-624-3900

周一至周五 9:00-17:30