天清汉马USG防火墙—安全变得简单从天清汉马开始产品简介天清汉马新一代USG防火墙是集防火墙、VPN、上网行为管理AC、内容过滤、防病毒、入侵防护等多种安全技术于一身,高性能、绿色低碳,同时全面支持各种路由协议、QoS、高可用性(HA)、日志审计等功能,为网络边界提供了全面实时的安全防护,帮助用户抵御日益复杂的安全威胁。
*的扩展能力天清汉马新一代USG防火墙采用了一体化的设计方案,在一个产品中协调统一地实现了接入安全需要考虑的方方面面。采用天清汉马USG防火墙,可以从整体上解决了接入安全的问题。用户可不必考虑产品部署、兼容性等困惑,也不再因为多个产品难于维护管理而苦恼,天清汉马USG防火墙是低成本、高效率、易管理的理想解决方案。
VSOS智能架构和一体化ISE安全引擎
天清汉马新一代USG防火墙采用启明星辰自主研发的专用安全操作系统VSOS,该系统面向网络吞吐和安全处理,采用基于组件的多平面架构,整个系统分为控制平面、数据平面、系统服务平面和硬件抽象平面,通过控制平面和数据平面的分离,不同于Linux,FreeBSD等通用操作系统追求均衡的方向,集中主要资源于网络吞吐和安全处理,使系统具有*的实时性和网络吞吐能力。
天清汉马新一代USG防火墙使用高效的ISE(Integrated security engine)整合内容引擎。它将状态包过滤、VPN、IDS、内容过滤、用户认证等多个子系统集成于单一平台,构造统一架构,综合并优化各子系统,去除冗余,简化数据处理流程,实现统一的安全引擎处理机制。
功能特点
完善的防火墙特性支持基于源IP、目的IP、源端口、目的端口、时间、服务、用户、文件、、关键字、邮件地址、脚本、MAC地址等方式进行访问控制;
支持流量管理、连接数控制、IP+MAC绑定、用户认证等;
支持虚拟防火墙:可以将接口划分给不同的虚拟防火墙,每个虚拟防火墙具有独立的管理员、安全域、资源对象、安全策略、NAT规则、静态路由等配置;
同终端无缝结合:支持同天珣内网安全管理系统联动,将防火墙防御能力推进到桌面终端;
高网络适用性支持透明、路由和NAT模式部署;
支持静态路由、策略路由、RIP/OSPF/BGP动态路由,支持等价路由ECMP和加权路由WCMP,支持组播路由;
支持STP,可以同二层网络设备进行生成树计算;
支持IGMP Snooping,优化在桥模式下的组播流量;
支持私有HA和VRRP;
支持*6:支持*4、*6双栈运行、静态*6路由、手工隧道、6to4隧道和ISATAP隧道;
支持链路聚合,可通过手动方式、IEEE802.3ad 静态LACP方式创建聚合链路;通过链路聚合可以增加链路带宽,并起到负载均衡和链路备份的作用
高稳定性和******性产品具有高性能,同时多核之间互为备份,******性高;
支持私有协议HA和VRRP,实现双机热备和冗余;
支持两个以上的操作系统和多配置文件;
抗DDOS攻击支持主流7种抗DDOS策略:ICMPFLOOD(4种算法)/SYNFLOOD(4种)/ACKFLOOD(1种)/SYNACKFLOOD(4种)/UDPFLOOD(4种)/DNSFLOOD(6种)/HTTPFLOOD(5种);每种抗攻击策略支持***少4种******算法;
阀值设定和检测算法相结合的方式会更加******;
支持APT云防御支持白名单和虚拟沙箱执行结合的方式应对0day攻击威胁,通过网关设备与私有云中心联动,私有云模块负责监测发现,联动到网关设备进行阻断。
白名单超过1亿,超过8000万个病毒变种;动态分析支持对超过100种典型恶意行为组合识别,涵盖格式溢出、自删除、请求驱动加载、镜像劫持等关键行为;采用规模化虚拟机和硬件加速引擎技术,提供更快的处理速度。
数据库安全防护支持对主流数据库协议能够做到基于用户的命令级访问控制。为了更好有效的防护,防止脱库事件发生,我们可以通过定制的方式实现对grant()、revoke(删权)等的访问控制.;
web防护功能里面有单独的针对SQL注入和缓冲区溢出攻击的防护功能;
全面的VPN支持多VPN支持: IPSec、L2TP、SSL VPN、GRE;
丰富的应用:专用VPN客户端、USBKEY等;
灵活的部署:Hub-Spoken、Full-Mesh、DMVPN(MGREVPN)、网关-网关的SSL VPN;
支持移动终端的VPN接入;
完善的上网行为管理功能采用独立的上网行为管理库,通过互联网实现每周更新;
P2P控制:对Emule、BitTorrent、Maze、Kazaa等进行阻断、限速;
IM控制:基于黑白名单的IM登录控制、文件传输阻止、查毒;支持主流IM软件如QQ、MSN、雅虎通、Gtalk、Skype,可以实现账号的细粒度控制;
流媒体控制:对流媒体应用进行阻断或限速,支持Kamun ppfilm 、PPLive、PPStream、QQ直播、TVAnts、沸点网络电视、猫扑播霸等;
网络游戏控制:对常见网络游戏如魔兽世界、征途、QQ游戏大厅、联众游戏大厅等的阻断;
软件控制:对常用软件如同花顺、大参考、大智慧等的阻断;
强大的日志报表功能记录内容丰富:可对防火墙日志、攻击日志、病毒日志、带宽使用日志、Web访问日志、Mail发送日志、关键资产访问日志、用户登录日志等进行记录;
日志快速查询:可对IP地址、端口、时间、危急程度、日志内容关键字等进行查询;
报表贴近需求:根据用户具体需求,定制报表内容、定制报名名称、定制企业LOGO,并可形成多种格式的报表文件。
方便的集中管理功能通过集中管理与数据分析中心实现对多台设备的统一管理、实时监控、集中升级和拓扑展示。
典型应用
中小企业在全国范围内拥有分支机构的中小企业网络,大都通过互联网来实现总部与分支机构的互联互通。
部署USG-FW防火墙让中小企业用户可以在一个统一的架构上建立自己的安全基础设施,而以往困扰用户的安全产品协调性、资金和技术匮乏和缺乏中小企业级安*********方案等问题也能够得到******解决。USG-FW防火墙部署在总部和分支机构网络Internet出口,全面抵御来自互联网的病毒和攻击威胁。同时可作为VPN网关,各分支机构与总部之间开启VPN隧道,******相互间通信的保密性。SOHO员工和在外出差的员工可以在任何时候通过VPN客户端与总部的天清汉马USG-FW防火墙建立VPN隧道,访问公司内部的资源,实现高效安全的网络应用。
大型企业
对于大型企业,网络规模较大、用户数量多、业务系统较多,网络建设类似于城域网。在安全建设方面也存在多点建设,除去在集团总部的互联网出口需要安全防控外,各下属单位也有安全防护需求。
在总部互联网出口部署的天清汉马USG-FW防火墙能够抵御来自互联网的入侵攻击,同时为出差员工提供VPN接入,确保通信的保密性。
该园区网互联网出口防火墙采用了我司万兆系列USG-FW-16600GP-NW型号,性能参数简介如下:
******并发连接数:400万
每秒新建连接数:30万
整机吞吐量:80Gbps
VPN加密吞吐量 :4Gbps
在各单位出口部署USG-FW防火墙,可以有效控制不同部门之间的越权访问。
天清汉马USG-FW防火墙提供统一管理平台,可以统一管理全网的USG-FW防火墙,并提供详尽直观的报表,能够让管理员迅速了解到整个网络的存在的安全风险和趋势,为决定如何制定安全策略提供依据。