|
捷普新一代防火墙安全解决方案 2009年12月28日
转自《信息安全与通信保密》2009年第12期
信息化的快速发展,以P2P应用的兴起为代表的网络新时代下,网络安全问题日益突出,安全威胁在种类上越来越丰富,攻击形式呈现多样化。近几年P2P形式的多样化发展,P2P的滥用,内网上网行为的失控等新问题的出现,对网络安全形成新威胁,安全威胁的演变直接推动了安全技术的发展,网络安全企业不断跟进最新安全技术,不断推出满足用户需求、具有时代特色的安全产品,进一步促进了网络安全技术的发展。
一、 边界安全面临的问题
诸如P2P、IM、视频下载和点播的流量横行大肆吞噬了网络带宽,严重影响了其他用户使用网络,诸如MAIL、ERP等网络关键应用带宽无法保证。有很多网络用户在技术上无法对耗费巨大带宽的网络应用进行控制,只好采用下达严格的管理制度来实现网络控制,但是不能根本解决网络带宽占用的问题。
互联网的存在大量流量性攻击源。这些以消耗网络资源为目的的流量类攻击发展迅猛,却没有有效的防范、控制手段;网络攻击人员大量的恶意非法连接消耗带宽,淹没接受主机,造成拒绝服务(DoS)攻击;蠕虫病毒大量快速复制使得网络上的扫描数据包迅速增多,造成网络拥塞,占用大量带宽,从而使得网络瘫痪。而网络管理员无法知道异常流量的类型、来源、具体流向、流量大小、占用的网络端口、持续的时间等,也无法有效规划网络资源的使用。
2、 性能瓶颈
防火墙作为企业首选的网络安全措施,是企业网络的第一道防线。但是其性能有可能成为限制网络带宽的瓶颈,选择更高性能的新一代防火墙将成为防御网络黑客攻击的重要手段。随着P2P的广泛滥用,应用更加复杂和多样性,同时用户应用流量也从树状的层次化结构向扁平的网状结构转变。在这种转变下,原有网络C/S结构中服务器的瓶颈被突破,每台连入网络的设备既是Client也是Server。使用者通过大量的点对点的直接连接,使数据高速传输成为可能。这些变化影响传统网络的结构和设备,使人们开始关注更高性能的防火墙。
员工沉迷网络娱乐,影响工作效率。工作时间的网络娱乐活动,严重影响工作效率。更重要的是,如果公司的关键资源或机密信息一旦随着员工的QQ、MSN、邮件等传播到外网,会给企业带来不可估量的损失。
网络行为引发的法律风险,个别员工通过互联网发送非法信息,或在不良网站发帖,这些行为也时常使所在单位蒙上不白之冤。
网络泄密,互联网还给泄密提供了便捷的途径。商业秘密、研发机密经常通过网络轻易传递至外界甚至竞争对手,使组织蒙受巨大损失。
随着企业信息化的提高,我们需要能够抵挡外来攻击、能够强化安全策略、能够有效地记录Internet上的活动、能够优化带宽的使用,并具有稳定高效的运行方式。
4、 日志泛洪
防火墙每天都记录了海量的日志信息,要充分实现日志数据的价值,就需要进行日志的深度挖掘。在没有预先想定所需要的不良信息前提下,用户可以在日志文件中发现一些有用信息。怎样才能提高发现潜在攻击行为的机率呢?这需要借助数据挖掘方法,数据挖掘可以使用户快速查找日志数据中的异常信息,找出海量的数据所蕴含的具有战略意义的,潜在的规律。
面对上述的种种问题,我们需要为网络安全构筑第一道安全屏障,能够抵挡外来攻击、能够细化内部上网权限、能够优化带宽的使用、能够管控内网用户的上网行为,并具有稳定高效的运行方式。
针对以上问题,捷普公司推出的新一代防火墙以创新的网络安全架构,创新的多核硬件平台,高性能的专业多核处理器为基础,以自主版权的实时多任务安全网络操作系统为核心,采用DPI技术,具有应用流量识别/控制/排名、统一用户接入认证管理、行为管理功能、基于WEB的管理系统/日志报表系统、智能报表分析、完全对象的访问控制策略等多种技术,能够满足各种网络对安全的多层防护,高性能和高可靠性的需求。可以提供安全域划分、VPN接入、NAT地址转换和攻击防护等功能,吞吐率可达万兆,是业务安全保障的最佳选择。
捷普新一代防火墙采用先进的多核处理器硬件平台和实时多任务并行网络操作系统,构建强大的高性能并行多核技术架构体系。该架构使用高性能的专业多核网络处理器,并且增强了硬件平台的可扩展性,具有高速的数据传输和转发能力。架构基于专用的实时多任务并行安全网络操作系统,该安全操作系统是具有自主版权的模块化并行实时多任务64位多线程操作系统。该产品与其它同类产品相比,具有更稳定安全的底层。同时,专有的多核处理器控制技术,使得操作系统能够提供高效快速的反应。最大程度上的与硬件结合,可以保证对大数据流量的网络进行高速处理。
图1多元化安全策略
捷普防火墙具备多元化安全策略。采用面向对象的设计思想,提出了安全域的设计理念。新的设计思想及理念,打破了旧版防火墙访问控制策略的局限性,具有更全面的访问控制方式,更好的扩展性。
捷普防火墙能够对低安全级别的的安全区域进行基于五元组的访问控制策略设置。对具有特殊行为需求、或者特殊安全需求的安全区域,不但可进行基于五元组的访问控制策略设置,还可进行基于时间因素、服务质量、行为管理等高级策略的设置,构建了防火墙多元化的强大访问控制能力。图1给出了多元化安全策略模型。
捷普防火墙通过分析客户网络的数据应用案例,从Ip/业务/会话三个层面对数据建立控制模型。该模型可以实现对用户数据的安全控制,同时基于静态策略/动态绑定的控制方式,可实现对网络流量进行精细监控和分析。
多层次的流量控制,能有效的识别已知的应用和基于行为侦测未知的异常数据流,并加以控制优化。从而提高网络的有效利用率,优化网络环境,更好的为正常业务提供服务。
捷普防火墙独有的立体化、精细化的带宽控制技术,可以最大程度满足用户的需求,以保证适合的用户在适合的时间,能够得到适合的带宽来满足特定的应用,最大程度减小网络带宽的滥用。
捷普防火墙首创无延迟的并发DPI技术并将该技术率先使用在新一代防火墙上,该技术在数据转发与内容过滤采取并行处理,使用零拷贝技术使数据在进行内核过滤时同时进行无等待转发。采用该技术,解决了传统基于代理的内容过滤技术效率低下,影响防火墙性能,且无法满足多种协议等问题。具有处理效率高、匹配精度强、配置灵活方便、可扩展性好的特点。
捷普防火墙利用深度内容检测技术,管控多种网络娱乐行为。包括: IM信息、网络游戏、P2P等应用行为的管控;网页过滤;邮件过滤;FTP文件过滤等。最大程度的管理内部成员的上网行为,提升工作效率,净化网络环境。
5、 可视化的智能报表
捷普防火墙智能报表系统具有以下特点:
(1)支持按设备建立不同数据分区,定期自动进行当前数据的备份与过期数据的清理工作。
(2)系统支持二级过滤功能,大量的噪音数据可以在设备端由代理直接丢弃,在日志服务器端还可以进行进一步的过滤以减少数据库的压力。
(3)系统提供全面的运行状态与网络事件监控功能,可以多视角、全面地监视在线网络设备和主机发生的各种事件、网络行为,帮助用户实时了解网络安全设备的安全环境、响应事件等的使用状况。强大全面的监视功能使得对于大型复杂网络设备的监视和管理变得易如反掌。
(4)自动报表可以按照每天、每月、每年等周期的方式对网络事件进行全面安全分析与评估,生成各类统计信息的直观综合视图。报表支持强大的定制功能,用户可以自定义报表的统计内容、统计条件等。
6、 电信级的高可用性
捷普防火墙支持业界最强大的高可用性,包括基于标准VRRP协议的双机热备负载均衡能力、基于802.3ad协议的链路备份功能、多出口链路自检测功能以及服务器负载均衡功能,同时提供透明模式的ByPass功能。通过提供最全面的高可用性功能,确保网络链路时刻处于正常运行状态,保证客户网络的核心利益。
采用交大捷普提供的防火墙产品安全解决方案,可以帮助客户抵御外部攻击,进行内部权限的细粒度差异性划分,并对流量、上网行为进行管控。不但整合web安全和策略控制,而且能够加速网络内容传输和应用,同时又将互联网网关带宽减少至50%或更低。保护关键应用,发挥网络最大价值,实现应用流量的带宽管理,为网络的流量安全提供强大支撑。
捷普新一代防火墙是西安交大捷普网络科技有限公司2009年最新推出的新一代网关产品,采用了的全新的多核软/硬件体系架构,系统功能更强大,性能更加稳定,接入方式更加灵活,进一步满足了用户的需求。
|
