需求分析
近年來,安全威脅呈現了“多、快、高”的發展趨勢。安全事件的數量越來越多;安全威脅入侵的蔓延速度和發現漏洞后攻擊出現的時間越來越快;安全威脅的層次越來越高,目前的威脅多數已經從網絡層發展到應用層。
面對邊界安全威脅的發展趨勢,傳統防火墻已經顯得無能為力,它無法檢測出封裝在有效數據內的惡意威脅與攻擊,也無法檢測和控制對企業網絡資源進行濫用的IM、P2P軟件。在這種情況下,融合多種安全能力,能夠針對網絡自身與應用系統進行破壞、利用網絡進行非法活動、網絡資源濫用等威脅,實現深層控制的安全網關UTM(統一威脅管理)設備應運而生。
產品簡介
產品簡介
天清漢馬USG一體化安全網關(UTM統一威脅管理)采用了業界最先進的基于多核硬件架構和一體化的軟件設計,集防火墻、VPN、入侵防御(IPS)、防病毒、上網行為管理、內網安全、反垃圾郵件、抗拒絕服務攻擊(Anti-DoS)、內容過濾等多種安全技術于一身,高性能、綠色低炭,同時全面支持各種路由協議、QoS、高可用性(HA)、日志審計等功能,為網絡邊界提供了全面實時的安全防護,幫助用戶抵御日益復雜的安全威脅。
啟明星辰天清漢馬USG一體化安全網關(UTM統一威脅管理)經過10多年的持續發展,獲得了多項專利授權,并擁有目前國內最多的客戶群體。根據賽迪顧問報告,從2007年至今連續多年位居中國統一威脅管理硬件市場占有率第一。(數據來源:CCID)。
功能特點
-
數據安全防護:
可發現并阻止常見的針對網絡數據庫發起的攻擊,可識別對Oracle、MySQL、MS-SQL等數據庫發起的非法獲取權限、創建、刪除等行為并進行阻斷。
-
精準的入侵防御:
在蠕蟲、后門、木馬、間諜軟件、WEB攻擊、抗拒絕服務等攻擊的防御方面具備了完善的檢測、阻斷、限流、審計報警等防御手段,完全滿足用戶的各種應用需要。
-
一鍵式配置:
啟明星辰安全網關獨特的一鍵式配置,實現復雜設備的簡單管理,降低用戶的管理成本。
-
統一策略:
在一條策略里可以完成對傳統防火墻五元組的控制,以及依據應用、內容和用戶區分的控制,同時完成更高級的帶寬管理、Web防護、數據庫防護、URL過濾、入侵防御和防病毒控制。
-
一體化安全引擎:
統一防御引擎將應用協議分析、異常行為管理、入侵防御等多個子系統集成于單一平臺,構造統一架構,綜合并優化各子系統,去除冗余,簡化數據處理流程,實現統一的安全引擎處理機制。
技術優勢
-
智能化的異常流量管理
內建了50多組異常檢測模塊,可以檢測各項偏離預期的網絡行為。
-
業務處理引擎
通過合適的數學模型計算出復雜、多變流量數據共有的屬性,把混合在其中的大多數簡單、重復流量數據預先檢出并進行快速轉發,能極大提升系統處理性能。
-
高效線速轉發
通過把占網絡流量大多數的、經常發生的簡單、重復流量,從主數據處理任務隊列剝離出來,交予協議加速引擎處理,可以釋放大量系統計算資源處理更加復雜的運算。
-
應用識別
基于應用行為和數據特征的應用識別, 有效地提升了應用的識別率,避免了誤判。
典型應用
天清漢馬USG一體化安全網關產品線豐富,可以為政府、教育、金融、企業、能源、運營商等用戶提供所需要的全系列的安全防護產品。
參數列表
指標項 | USG-20CYDP系列 |
設備形態 | 標準機架式硬件設備 |
電源 | 冗余雙電源 |
硬件接口 | 6個千兆GE電口,4個千兆SFP光口,4個萬兆光口SFP+ |
性能 | 設備網絡吞吐20Gbps |
最大并發連接數360W | |
每秒新建連接數15W | |
高可靠性 | 支持雙操作系統和系統分區備份,將系統A克隆至系統B;支持多個系統配置文件,可導入導出恢復配置;多系統設置可在Web界面上完成全部操作 |
支持負載均衡和雙機熱備,熱備和集群工作模式下支持多臺防火墻的配置自動同步 | |
支持鏈路聚合功能,支持802.3ad和靜態輪詢、熱備等多種模式,MAC、MAC&IP、IP&Port多種聚合負載算法 | |
產品聯動 | 設備支持入侵檢測系統、漏洞掃描、內網安全管理系統等設備進行聯動 |
網絡功能 | 支持透明部署、路由模式、混合模式三種部署模式 |
支持靜態路由,動態路由(OSPF、RIP、BGP、ISIS等),VLAN間路由,單臂路由,組播路由等; | |
支持基于應用的策略路由,可實現為不同的應用類型智能選擇相應的鏈路; | |
ISP路由,支持聯通、電信、教育網、移動等ISP服務商地址列表,列表可導出及導入,可通過Web界面選擇不同的ISP服務商實現快速切換 | |
支持源NAT和目的NAT,支持動態、靜態NAT | |
支持IP/MAC綁定 | |
支持基于IEEE 802.1Q和Cisco ISL的兩種VLAN封裝協議,兩種封裝可任意切換,并支持Vlan Trunk | |
支持鏈路聚合功能,支持802.3ad和靜態輪詢、熱備等多種模式,MAC、MAC&IP、IP&Port多種聚合負載算法 | |
IPV6 | 支持IPv6配置。 |
支持IPV6下的RIPng、OSPFv3動態路由。 | |
支持IPv6/IPv4翻譯策略技術,包括支持靜態NAT-PT、動態NAT-PT技術。 | |
支持雙棧、6to4隧道實現IPv6終端穿越IPV4網絡的訪問。 | |
支持IPv6會話管理功能,可對TCP、UDP、ICMPv6等協議各個狀態的超時時間進行設置。 | |
訪問控制 | 支持基于數據包的安全域、地址、用戶及用戶組、MAC、端口號、服務、域名等進行安全策略控制 。 |
支持一體化安全策略配置,一條策略包含用戶認證、入侵防御、防病毒、URL過濾、協議控制(包含WEB)、流量控制、并發、新建限制、垃圾郵件過濾、審計等功能,簡化用戶管理等功能。 | |
支持根據規則序號、規則名、源地址、目的地址、入侵防護策略、服務、認證用戶、認證用戶組、所屬策略組、備注進行規則查詢 | |
WEB安全 | 支持Web服務攻擊防護功能,包括:對SQL注入、XSS跨站腳本、Web shell惡意上傳等行為進行攔截。 |
支持WEB服務器錯誤信息替換,防止服務器信息泄露。 | |
拒絕服務攻擊 | 持主流ICMPFLOOD\SYNFLOOD\ACKFLOOD\SYNACKFLOOD\UDPFLOOD攻擊防護,采用專業高效的攻擊防護算法,非采用簡單的閾值進行攻擊防護 |
支持專業的HTTP Flood攻擊防護;可以實現get和post的攻擊防護,且get防護算法支持4類;支持獨立url處理動作;以上防護功能均可以基于聚類分析、可信度、回探等多種防御機制 | |
支持抗地址欺騙攻擊、抗源路由攻擊、抗Smurf攻擊、抗LAND攻擊、抗Winnuke攻擊、抗Queso掃描、抗SYN/FIN掃描、抗NULL掃描、抗圣誕樹攻擊、抗FIN掃描、抗Fraggle攻擊 | |
日志管理 | 支持多個Syslog服務器(≥3),將日志發送到不同的日志服務器進行備份 |
支持日志中文化,可顯示配置命令日志的操作人 | |
支持緊急、報警、通知、等8個級別,端口聯動、VPN、URL過濾等28個小類的自定義日志統計。 | |
流量統計 | 支持按照應用類型流量,URL分類流量統計,并獨立顯示TOP10的應用及所占比例,可按照應用識別特征庫分類顯示所有或部分分類的流量趨勢曲線 |
支持基于IP/IP組、服務/服務組和時間等配置帶寬策略 | |
支持按指定時間段統計多個物理網口和VLAN接口上下行曲線流速數值對比 | |
兼容性 | 支持安全管理平臺通過標準SNMP協議或Syslog日志格式等方式采集數據進行統一管理 |
支持通過安全管理平臺對防火墻/安全網關進行安全策略統一配置和下發 |
京公網安備11010802024551號