信息安全服务

当前位置:首页 > 解决方案 > 信息安全服务

启明星辰天清汉马USG防火墙简介

文: 来源:本站 发表时间:2019-03-31 浏览量:

启明星辰天清汉马USG防火墙简介

 

启明星辰凭借多年安全网关市场的经验积累,在UTM产品技术领先、市场成功的基础上,正式推出了高性能、易管理、可升级的全新防火墙系列产品——天清汉马USG防火墙。天清汉马USG防火墙采用多核硬件架构和一体化的软件设计,集防火墙、VPN、内容过滤、上网行为管理、IPv6/IPv4双协议栈、抗拒绝服务攻击(Anti-DoS)等多种安全技术于一身,全面支持QoS、高可用性(HA)、日志审计等功能,高性能、绿色低炭。

n  产品架构和特点

  1. VSOS智能架构和一体化ISE安全引擎

    天清汉马USG防火墙采用启明星辰自主研发的专用安全操作系统VSOS,该系统面向网络吞吐和安全处理,采用基于组件的多平面架构,整个系统分为控制平面、数据平面、系统服务平面和硬件抽象平面,通过控制平面和数据平面的分离,不同于LinuxFreeBSD等通用操作系统追求均衡的方向,集中主要资源于网络吞吐和安全处理,使系统具有极强的实时性和网络吞吐能力。

    天清汉马USG防火墙使用高效的ISEIntegrated security engine)整合内容引擎。它将状态包过滤、VPNIDS、内容过滤、用户认证等多个子系统集成于单一平台,构造统一架构,综合并优化各子系统,去除冗余,简化数据处理流程,实现统一的安全引擎处理机制。

     

  2. 智能应用感控技术

     

    天清汉马USG防火墙具有与传统的基于端口和IP协议不同的方式进行应用识别的能力,并执行访问控制策略。例如允许用户使用QQ的文本聊天、文件传输功能但不允许进行语音视频聊天,或者允许使用WebMail收发邮件但不允许附加文件等。应用识别带来的额外好处是可以合理优化带宽的使用情况,保证关键业务的畅通。

  3. IPV6完美扩展

    虽然IPv6在网络厂商应用较为广泛,但在安全厂商中,支持IPv6的网络安全产品(如防火墙、UTMIPS等)还是较少,启明星辰天清汉马USG-FW防火墙支持IPv6功能包括:IPv6环境下的状态包过滤、静态路由、OSPF动态路由、FTPALG等基本安全控制,以及IPv6/v4 双协议栈功能;设备在同一信息安全网络中同时支持 IPv4 IPv6协议的安全控制日渐得到关注。

n  功能特性

  1. 完善的防火墙特性

  • 支持基于源IP、目的IP、源端口、目的端口、时间、服务、用户、文件、网址、关键字、邮件地址、脚本、MAC地址等方式进行访问控制

  • 支持流量管理、连接数控制、IP+MAC绑定、用户认证等

  • 支持虚拟防火墙:可以将接口划分给不同的虚拟防火墙,每个虚拟防火墙具有独立的管理员、安全域、资源对象、安全策略、NAT规则、静态路由等配置

  • 同终端无缝结合:支持同天珣内网安全管理系统联动,将防火墙防御能力推进到桌面终端

  1. 高网络适用性

  • 支持透明、路由和NAT模式部署

  • 支持静态路由、策略路由、RIP/OSPF/BGP动态路由,支持等价路由ECMP和加权路由WCMP,支持组播路由

  • 支持STP,可以同二层网络设备进行生成树计算

  • 支持IGMP Snooping,优化在桥模式下的组播流量

  • 支持私有HAVRRP

  • 支持IPv6:支持IPv4IPv6双栈运行、静态IPv6路由、手工隧道、6to4隧道和ISATAP隧道。

  • 支持链路聚合,可通过手动方式、IEEE802.3ad 静态LACP方式创建聚合链路;通过链路聚合可以增加链路带宽,并起到负载均衡和链路备份的作用

  1. 高稳定性和可靠性

  • 产品具有高性能,同时多核之间互为备份,可靠性高

  • 支持私有协议HAVRRP,实现双机热备和冗余

  • 支持两个以上的操作系统和多配置文件

  1. DDOS攻击

  • 支持主流7种抗DDOS策略:ICMPFLOOD(4种算法)\SYNFLOOD4种)\ACKFLOOD1种)\SYNACKFLOOD4种)\UDPFLOOD4种)\DNSFLOOD6种)\HTTPFLOOD5种);每种抗攻击策略支持最少4种高级算法

  • 阀值设定和检测算法相结合的方式会更加精准

  1. 支持APT云防御 

  • 支持白名单和虚拟沙箱执行结合的方式应对0day攻击威胁,通过网关设备与私有云中心联动,私有云模块负责监测发现,联动到网关设备进行阻断。

  • 白名单超过1亿,超过8000万个病毒变种;动态分析支持对超过100种典型恶意行为组合识别,涵盖格式溢出、自删除、请求驱动加载、镜像劫持等关键行为;采用规模化虚拟机和硬件加速引擎技术,提供更快的处理速度

  1. 数据库安全防护

  • 支持对主流数据库协议能够做到基于用户的命令级访问控制。为了更好有效的防护,防止脱库事件发生,我们可以通过定制的方式实现对grant(授权)、revoke(删权)等的访问控制.

  • web防护功能里面有单独的针对SQL注入和缓冲区溢出攻击的防护功能

  1. 全面的VPN支持

  • VPN支持: IPSecL2TPSSL VPNGRE

  • 丰富的应用:专用VPN客户端、USBKEY

  • 灵活的部署:Hub-SpokenFull-MeshDMVPNMGREVPN)、网关-网关的SSL VPN

  • 支持移动终端的VPN接入

     

  1. 完善的上网行为管理功能

  • 采用独立的上网行为管理库,通过互联网实现每周更新。

  • P2P控制:对EmuleBitTorrentMazeKazaa等进行阻断、限速

  • IM控制:基于黑白名单的IM登录控制、文件传输阻止、查毒;支持主流IM软件如QQMSN、雅虎通、GtalkSkype,可以实现账号的细粒度控制。

  • 流媒体控制:对流媒体应用进行阻断或限速,支持Kamun ppfilm PPLivePPStreamQQ直播、TVAnts、沸点网络电视、猫扑播霸等

  • 网络游戏控制:对常见网络游戏如魔兽世界、征途、QQ游戏大厅、联众游戏大厅等的阻断

  • 股票软件控制:对常用股票软件如同花顺、大参考、大智慧等的阻断

  1. 强大的日志报表功能

  • 记录内容丰富:可对防火墙日志、攻击日志、病毒日志、带宽使用日志、Web访问日志、Mail发送日志、关键资产访问日志、用户登录日志等进行记录

  • 日志快速查询:可对IP地址、端口、时间、危急程度、日志内容关键字等进行查询

  • 报表贴近需求:根据用户具体需求,定制报表内容、定制报名名称、定制企业LOGO,并可形成多种格式的报表文件。

  1. 方便的集中管理功能

  • 通过集中管理与数据分析中心实现对多台设备的统一管理、实时监控、集中升级和拓扑展示。

     

n  产品参数列表

访问控制

访问控制

基于源/目的IP地址、MAC地址、域名、端口或协议、服务、网口、时间、用户的访问控制

带宽控制

基于源/目的IP地址、端口、服务、网口、时间、应用等安全策略的带宽控制

策略隔离

支持基于策略的网间隔离功能,同一时间内网主机只能访问DMZ和外网,保护内网防止被入侵

IP/MAC绑定

实现IP/MAC地址绑定,且支持IP/MAC地址对儿的自动探测和唯一性检查

应用控制

支持应用层访问控制,包括P2P软件、IM软件、炒股软件、网游软件等

NAT

支持类型

源地址转换(多对一/SNAT)、目的地址转换(DNAT)、目的端口转换(PAT)DDNS下的目的地址转换

高可用性

双机热备

主-主模式(A-A)、主-备模式(A-P)、支持抢占优先级设置

同步信息

配置同步、会话同步

智能监测

二层链路检测、三层地址检测

VPN

VPN种类

GREIPSec VPNL2TP VPNSSL VPN

VPN算法

加密算法:DES3DESAESSM1(国密,SCB2)/认证算法:SHA-1MD5

VPN硬件加速

内置VPN硬件加速芯片(部分型号支持)

VPN国密算法

可选配VPN国密算法加密卡(部分型号支持)

数字证书

支持CA证书和证书管理(PKI

VPN集中管理

多台设备VPN的集中配置与集中监控

其他特性

完美向前保护(PFS)、手动认证方式、IKE认证方式

用户认证

认证方式

本地认证、RADIUS认证、LDAP协议认证、WINDOWS活动目录

CA认证

内置CA、第三方CA

增强认证

专用认证客户端、图形识别码、USB-KEY、动态口令卡

应用过滤

Web过滤

URL过滤、屏蔽列表、免屏蔽列表、关键字过滤、内容过滤

邮件过滤

SMTP命令过滤、邮件地址屏蔽、主题屏蔽、附件屏蔽、邮件大小过滤

文件传输控制

禁止特定文件类型通过;限制通过文件的大小

上网行为管理

IM

基于黑白名单的IM登录控制、文件传输阻止、查毒;支持主流IM软件,并可在线升级

P2P

支持对主流P2P软件的阻断、限速,并可在线升级

流媒体控制

支持对主流流媒体应用软件的阻断或限速,并可在线升级

网络游戏

支持对主流网络游戏软件的阻断,并可在线升级

股票软件

支持对常用股票软件的阻断,并可在线升级

监控日志

审计

Syslog日志

支持Syslog安全访问日志,并支持日志级别分类(可与标准Syslog服务器兼容)

NETFLOW日志

支持基于NETFLOW的流量访问日志

自动报表

自动生成定制化的数据分析报表,支持HTML/PDF/EXCEL/WORD/CSV等格式

系统管理

多种管理方式

HTTPSHTTPCLITELNETSSHSNMP

SNMP

支持SNMP V1/V2/V3

动态图表展示

设备主页面动态图表展示系统威胁信息、运行信息、流量信息

私有MIB

支持CPU利用率、内存利用率、会话数、转发速率、产品型号等信息获取

液晶屏显示

可显示CPU利用率、内存利用率、接口地址、接口状态、接口流量、HA状态等(200B不支持液晶显示)

集中管理

多台设备的统一管理、实时监控、集中升级

管理权限分级

支持设备、集中管理与数据分析中心的分级分权管理

配置备份

支持配置文件的备份与恢复,并支持双配置文件,支持配置文件的自动配置。

在线帮助

在线的模块功能介绍和配置指导文件,提供实施在线式帮助

安全诊断

在线Debug方式诊断自身功能模块运行问题、在线抓取业务数据包,用于网络调试

n  产品资质

  • 中国国家版权局颁发的《计算机软件著作权登记证书》

  • 中华人民共和国公安部颁发的《计算机信息系统安全专用产品销售许可证》

  • 中国国家信息安全认证中心颁发的《国家信息安全认证产品认证证书》

  • 中国国家信息安全测评中心颁发的《信息安全产品EAL3等级认证证书》

  • 中国国家信息安全测评中心颁发的《自主原创测评证书》

  • 中国人民解放军信息安全测评认证中心颁发的《军用信息安全产品认证证书》