启明星辰天清汉马USG防火墙简介
启明星辰凭借多年安全网关市场的经验积累,在UTM产品技术领先、市场成功的基础上,正式推出了高性能、易管理、可升级的全新防火墙系列产品——天清汉马USG防火墙。天清汉马USG防火墙采用多核硬件架构和一体化的软件设计,集防火墙、VPN、内容过滤、上网行为管理、IPv6/IPv4双协议栈、抗拒绝服务攻击(Anti-DoS)等多种安全技术于一身,全面支持QoS、高可用性(HA)、日志审计等功能,高性能、绿色低炭。
n 产品架构和特点
-
VSOS智能架构和一体化ISE安全引擎
天清汉马USG防火墙采用启明星辰自主研发的专用安全操作系统VSOS,该系统面向网络吞吐和安全处理,采用基于组件的多平面架构,整个系统分为控制平面、数据平面、系统服务平面和硬件抽象平面,通过控制平面和数据平面的分离,不同于Linux,FreeBSD等通用操作系统追求均衡的方向,集中主要资源于网络吞吐和安全处理,使系统具有极强的实时性和网络吞吐能力。
天清汉马USG防火墙使用高效的ISE(Integrated security engine)整合内容引擎。它将状态包过滤、VPN、IDS、内容过滤、用户认证等多个子系统集成于单一平台,构造统一架构,综合并优化各子系统,去除冗余,简化数据处理流程,实现统一的安全引擎处理机制。
-
智能应用感控技术
天清汉马USG防火墙具有与传统的基于端口和IP协议不同的方式进行应用识别的能力,并执行访问控制策略。例如允许用户使用QQ的文本聊天、文件传输功能但不允许进行语音视频聊天,或者允许使用WebMail收发邮件但不允许附加文件等。应用识别带来的额外好处是可以合理优化带宽的使用情况,保证关键业务的畅通。
-
IPV6完美扩展
虽然IPv6在网络厂商应用较为广泛,但在安全厂商中,支持IPv6的网络安全产品(如防火墙、UTM、IPS等)还是较少,启明星辰天清汉马USG-FW防火墙支持IPv6功能包括:IPv6环境下的状态包过滤、静态路由、OSPF动态路由、FTP、ALG等基本安全控制,以及IPv6/v4 双协议栈功能;设备在同一信息安全网络中同时支持 IPv4 和IPv6协议的安全控制日渐得到关注。
n 功能特性
-
完善的防火墙特性
-
支持基于源IP、目的IP、源端口、目的端口、时间、服务、用户、文件、网址、关键字、邮件地址、脚本、MAC地址等方式进行访问控制
-
支持流量管理、连接数控制、IP+MAC绑定、用户认证等
-
支持虚拟防火墙:可以将接口划分给不同的虚拟防火墙,每个虚拟防火墙具有独立的管理员、安全域、资源对象、安全策略、NAT规则、静态路由等配置
-
同终端无缝结合:支持同天珣内网安全管理系统联动,将防火墙防御能力推进到桌面终端
-
高网络适用性
-
支持透明、路由和NAT模式部署
-
支持静态路由、策略路由、RIP/OSPF/BGP动态路由,支持等价路由ECMP和加权路由WCMP,支持组播路由
-
支持STP,可以同二层网络设备进行生成树计算
-
支持IGMP Snooping,优化在桥模式下的组播流量
-
支持私有HA和VRRP
-
支持IPv6:支持IPv4、IPv6双栈运行、静态IPv6路由、手工隧道、6to4隧道和ISATAP隧道。
-
支持链路聚合,可通过手动方式、IEEE802.3ad 静态LACP方式创建聚合链路;通过链路聚合可以增加链路带宽,并起到负载均衡和链路备份的作用
-
高稳定性和可靠性
-
产品具有高性能,同时多核之间互为备份,可靠性高
-
支持私有协议HA和VRRP,实现双机热备和冗余
-
支持两个以上的操作系统和多配置文件
-
抗DDOS攻击
-
支持主流7种抗DDOS策略:ICMPFLOOD(4种算法)\SYNFLOOD(4种)\ACKFLOOD(1种)\SYNACKFLOOD(4种)\UDPFLOOD(4种)\DNSFLOOD(6种)\HTTPFLOOD(5种);每种抗攻击策略支持最少4种高级算法
-
阀值设定和检测算法相结合的方式会更加精准
-
支持APT云防御
-
支持白名单和虚拟沙箱执行结合的方式应对0day攻击威胁,通过网关设备与私有云中心联动,私有云模块负责监测发现,联动到网关设备进行阻断。
-
白名单超过1亿,超过8000万个病毒变种;动态分析支持对超过100种典型恶意行为组合识别,涵盖格式溢出、自删除、请求驱动加载、镜像劫持等关键行为;采用规模化虚拟机和硬件加速引擎技术,提供更快的处理速度
-
数据库安全防护
-
支持对主流数据库协议能够做到基于用户的命令级访问控制。为了更好有效的防护,防止脱库事件发生,我们可以通过定制的方式实现对grant(授权)、revoke(删权)等的访问控制.
-
web防护功能里面有单独的针对SQL注入和缓冲区溢出攻击的防护功能
-
全面的VPN支持
-
多VPN支持: IPSec、L2TP、SSL VPN、GRE
-
丰富的应用:专用VPN客户端、USBKEY等
-
灵活的部署:Hub-Spoken、Full-Mesh、DMVPN(MGREVPN)、网关-网关的SSL VPN
-
支持移动终端的VPN接入
-
完善的上网行为管理功能
-
采用独立的上网行为管理库,通过互联网实现每周更新。
-
P2P控制:对Emule、BitTorrent、Maze、Kazaa等进行阻断、限速
-
IM控制:基于黑白名单的IM登录控制、文件传输阻止、查毒;支持主流IM软件如QQ、MSN、雅虎通、Gtalk、Skype,可以实现账号的细粒度控制。
-
流媒体控制:对流媒体应用进行阻断或限速,支持Kamun ppfilm 、PPLive、PPStream、QQ直播、TVAnts、沸点网络电视、猫扑播霸等
-
网络游戏控制:对常见网络游戏如魔兽世界、征途、QQ游戏大厅、联众游戏大厅等的阻断
-
股票软件控制:对常用股票软件如同花顺、大参考、大智慧等的阻断
-
强大的日志报表功能
-
记录内容丰富:可对防火墙日志、攻击日志、病毒日志、带宽使用日志、Web访问日志、Mail发送日志、关键资产访问日志、用户登录日志等进行记录
-
日志快速查询:可对IP地址、端口、时间、危急程度、日志内容关键字等进行查询
-
报表贴近需求:根据用户具体需求,定制报表内容、定制报名名称、定制企业LOGO,并可形成多种格式的报表文件。
-
方便的集中管理功能
-
通过集中管理与数据分析中心实现对多台设备的统一管理、实时监控、集中升级和拓扑展示。
n 产品参数列表
访问控制 |
访问控制 |
基于源/目的IP地址、MAC地址、域名、端口或协议、服务、网口、时间、用户的访问控制 |
带宽控制 |
基于源/目的IP地址、端口、服务、网口、时间、应用等安全策略的带宽控制 |
|
策略隔离 |
支持基于策略的网间隔离功能,同一时间内网主机只能访问DMZ和外网,保护内网防止被入侵 |
|
IP/MAC绑定 |
实现IP/MAC地址绑定,且支持IP/MAC地址对儿的自动探测和唯一性检查 |
|
应用控制 |
支持应用层访问控制,包括P2P软件、IM软件、炒股软件、网游软件等 |
|
NAT |
支持类型 |
源地址转换(多对一/SNAT)、目的地址转换(DNAT)、目的端口转换(PAT)、DDNS下的目的地址转换 |
高可用性 |
双机热备 |
主-主模式(A-A)、主-备模式(A-P)、支持抢占优先级设置 |
同步信息 |
配置同步、会话同步 |
|
智能监测 |
二层链路检测、三层地址检测 |
|
VPN |
VPN种类 |
GRE、IPSec VPN、L2TP VPN、SSL VPN |
VPN算法 |
加密算法:DES、3DES、AES、SM1(国密,原SCB2)/认证算法:SHA-1、MD5、 |
|
VPN硬件加速 |
内置VPN硬件加速芯片(部分型号支持) |
|
VPN国密算法 |
可选配VPN国密算法加密卡(部分型号支持) |
|
数字证书 |
支持CA证书和证书管理(PKI) |
|
VPN集中管理 |
多台设备VPN的集中配置与集中监控 |
|
其他特性 |
完美向前保护(PFS)、手动认证方式、IKE认证方式 |
|
用户认证 |
认证方式 |
本地认证、RADIUS认证、LDAP协议认证、WINDOWS活动目录 |
CA认证 |
内置CA、第三方CA |
|
增强认证 |
专用认证客户端、图形识别码、USB-KEY、动态口令卡 |
|
应用过滤 |
Web过滤 |
URL过滤、屏蔽列表、免屏蔽列表、关键字过滤、内容过滤 |
邮件过滤 |
SMTP命令过滤、邮件地址屏蔽、主题屏蔽、附件屏蔽、邮件大小过滤 |
|
文件传输控制 |
禁止特定文件类型通过;限制通过文件的大小 |
|
上网行为管理 |
IM |
基于黑白名单的IM登录控制、文件传输阻止、查毒;支持主流IM软件,并可在线升级 |
P2P |
支持对主流P2P软件的阻断、限速,并可在线升级 |
|
流媒体控制 |
支持对主流流媒体应用软件的阻断或限速,并可在线升级 |
|
网络游戏 |
支持对主流网络游戏软件的阻断,并可在线升级 |
|
股票软件 |
支持对常用股票软件的阻断,并可在线升级 |
|
监控日志 审计 |
Syslog日志 |
支持Syslog安全访问日志,并支持日志级别分类(可与标准Syslog服务器兼容) |
NETFLOW日志 |
支持基于NETFLOW的流量访问日志 |
|
自动报表 |
自动生成定制化的数据分析报表,支持HTML/PDF/EXCEL/WORD/CSV等格式 |
|
系统管理 |
多种管理方式 |
HTTPS、HTTP、CLI、TELNET、SSH、SNMP |
SNMP |
支持SNMP V1/V2/V3 |
|
动态图表展示 |
设备主页面动态图表展示系统威胁信息、运行信息、流量信息 |
|
私有MIB |
支持CPU利用率、内存利用率、会话数、转发速率、产品型号等信息获取 |
|
液晶屏显示 |
可显示CPU利用率、内存利用率、接口地址、接口状态、接口流量、HA状态等(200B不支持液晶显示) |
|
集中管理 |
多台设备的统一管理、实时监控、集中升级 |
|
管理权限分级 |
支持设备、集中管理与数据分析中心的分级分权管理 |
|
配置备份 |
支持配置文件的备份与恢复,并支持双配置文件,支持配置文件的自动配置。 |
|
在线帮助 |
在线的模块功能介绍和配置指导文件,提供实施在线式帮助 |
|
安全诊断 |
在线Debug方式诊断自身功能模块运行问题、在线抓取业务数据包,用于网络调试 |
n 产品资质
-
中国国家版权局颁发的《计算机软件著作权登记证书》
-
中华人民共和国公安部颁发的《计算机信息系统安全专用产品销售许可证》
-
中国国家信息安全认证中心颁发的《国家信息安全认证产品认证证书》
-
中国国家信息安全测评中心颁发的《信息安全产品EAL3等级认证证书》
-
中国国家信息安全测评中心颁发的《自主原创测评证书》
-
中国人民解放军信息安全测评认证中心颁发的《军用信息安全产品认证证书》