产品概述 |
明御®安全网关为适应于企业、政府、高校、运营商等各类网络场景的应用需求,提供包括下一代防火墙、上网行为管理、QOS模块与IPS安全防御等功能模块在内的功能模块。该产品基于角色、深度应用的多核Plus® G2安全架构突破了传统防火墙只能基于IP和端口的防范限制。百兆到万兆的处理能力使该系列产品适用于多种网络环境,包括中小企业级市场、政府机关、大型企业、电信运营商和数据中心等机构。丰富的软件功能为网络提供不同层次及深度的安全控制以及接入管理,例如基于角色深度应用安全的访问控制、IPSec/SSL VPN、应用带宽管理、病毒过滤、内容安全等。
产品功能 |
| 产品特色 | 描述 |
| 攻击防护 | 支持TCP/IP攻击防护(IP碎片攻击、IP Option攻击、IP地址欺骗攻击、Land攻击、Smurf攻击、Fraggle攻击、Huge ICMP包攻击、ARP欺骗攻击、WinNuke攻击、Ping-of-Death攻击、Teardrop攻击); 支持扫描保护(IP地址扫描攻击、端口扫描攻击); 支持DDOS攻击防护:Syn Flood攻击、ICMP Flood攻击、UDP Flood攻击、DNS Query Flood攻击; 二层攻击防护(IP-MAC静态绑定、主机防御、ARP防护、DHCP Snooping)。 |
| 网络行为控制 | 支持对访问的URL、对访问的网页关键内容、WEB外发信息的、邮件内容、网络聊天行工具与各类应用行为的控制与审计。 |
| 入侵防御(IPS) | 支持IPS模式/IPS在线模拟模式、基于安全域或策略规则的IPS检测; 支持特征库在线与离线更新。 |
| 病毒过滤(AV) | 支持对应用协议防病毒扫描与控制:HTTP、FTP、SMTP、IMAP、POP3;支持对多层研所文件的防病毒扫描与控制:RAR、ZIP、GZIP、BZIP、TAR; 支持病毒库在线与离线更新。 |
| VPN | 支持IPSec VPN、SSL VPN、L2TP VPN、拨号VPN、PnPVPN,满足多种远程访问需求。 |
| 访问控制 | 可实现基于安全域、事件、用户角色与MAC地址的的访问控制。 |
| NAT/PAT功能 | 支持源地址映射、目的地址映射;支持多对多以及多对一的地址映射。 |
| 路由 | 支持多种路由模式:静态路由(目的路由、源路由、源接口路由)、动态路由(RIP以及OSPF)、策略路由(SBR以及SIBR)、ISP路由、策略路由、出站就近路由、静态组播路由、IGMP协议。 |
| QoS | 支持带宽管理,进行基于IP、应用、角色、以及弹性的网络流量管控。 |
产品亮点 |
高性能全并行处理的安全架构
采用64位实时安全操作系统,具备强大的并行处理能力。该系统采用专利的多处理器全并行架构,和常见的多核处理器或NP/ASIC只负责三层包转发的架构不同,实现了从网络层到应用层的多核全并行处理。因此,多核安全网关产品较业界其他的多核或NP/ASIC系统在同档的硬件配置下有多达5倍的性能提升,为同时开启多项防护功能奠定了性能基础,突破了传统安全网关的功能实用性和性能的无法两全的局限。
精细化应用管控
采用应用和身份识别功能实现深度安全需求。基于身份和角色的管理(RBNS)让网络配置更加直观和精细化。不同的用户甚至同一用户在不同的地点或时间都可以有不同的管理策略。用户访问的内容也可以记录在本机存储模块或专用服务器中,通过用户的名称审阅相关记录使查找更简单。基于角色的管理模式主要包含基于“人”的访问控制、基于“人”的网络资源(服务)的分配、基于”人“的日志审计三方面。基于角色的管理模式可以通过对访问者身份审核和确认,确定访问者的访问权限,分配相应的网络资源。在技术上可避免IP盗用或者PC终端被盗用引发的数据泄露等问题。
全面的威胁检测与防御
安全网关提供全方位的安全防护,包括病毒过滤、入侵防御、内容过滤、网页访问控制和应用流量整形等功能,可防范病毒、间谍软件、蠕虫、木马等网络攻击。关键字过滤和基于超过2000万域名的Web页面分类数据库可以帮助管理员轻松设置工作时间禁止访问的网页,提高工作效率和控制对不良网站的访问。病毒特征库、攻击库、URL库可以通过网络服务实时下载,确保对新爆发的病毒、攻击、新网页的及时响应。
可适用于各类应用场景
具备强大的网络适应能力,具备复杂环境下的安全部署能力,可分别将安全隔离、安全防御、行为管控等模块灵活运用于各类应用场景中。
应用场景 |
政企单位的互联网应用场景
对于政企单位的信息化系统而言,门户网站发布,企业 ERP、CRM、单位邮箱、视频会议等业务,通过互联网平台可实现更广泛、更便利、更经济的接入访问;同时互联网也为员工获取信息,掌握更新的讯息提供了途径。但由于互联网的开放性,也使得通过互联网平台的业务访问面临诸多的安全问题,如果不能得到有效解决,将严重影响企业信息化的建设。通过引入明御安全网关,可实现:
- 提供更全面的安全防护,保护面向公网的服务;
- 杜绝员工访问恶意网站,减少恶意代码渗入;
- 链路自动切换,提升可靠性保障;
- 基于应用的带宽控制提升业务连续性。
企业网安全域隔离场景
从企业信息资源共享的趋势看,不同系统之间存在着互访的需求,比如办公网内的人员需要了解公司研发的一些最新进展,财务人员也需要访问公司的 OA系统处理日常办公事宜,核心生产系统也需要对企业其他系统共享信息,这就使得企业信息网络往往面临着既要隔离以保障安全,又要共享以支撑企业正常的经营活动的矛盾。为此采取划分安全域并控制不同安全域间的互访,成为大多数企业安全建设的常见手段。
以大型企业为例,通过引入明御安全网关,可实现:
- 整合身份认证与访问控制,更有效限制非法访问;
- 综合多种安全技术,防范威胁蔓延;
- 深度流量监测与统计增强安全管理可视性;
- 实时监控域间访问行为,满足企业合规性。
高校互联网应用场景
高效互联网的出口典型特征为高并发量、多出口链路以及多角色访问,针对高校互联网出口的安全特点和需求,安恒提供一体化的安全网关,部署在校园网和互联网出口链路之间:
- 对上网行为进行监控与管理,可实现实名制审计;
- 链路负载均衡,提升链路可用性与稳定性;
- 进行深度防御,保障校园网的安全性;
- 实现病毒过滤,防止校园内出现安全隐患。
运营商应用场景
随着移动运营商加强移动互联网建设,使得移动互联网的用户数和流量带宽都在持续高速增长,移动运营商面临地址资源日益紧张,不能满足用户增长的速度;日益猖獗的网络攻击严重影响网络的稳定运营;为满足工信部监管要求,需要具有用户上网日志审计的能力等需求。明御安全网关可提供以下解决方案:
- 支持海量接入访问:采用独有的端口复用功能,可满足省级移动运营商的百万级移动互联网用户,通过私网地址复用访问移动运营商的移动业务平台(如 WAP等),以及私网用户通过NAT方式访问互联网带来的性能要求;
- 确保稳定运营:强大的网络攻击防御,可对移动运营商移动业务平台及用户提供相应的安全防护功能, 确保移动互联网的稳定运营;
- 满足监管要求:明御安全网关可对省级移动运营商移动互联网平台的接入访问进行有效记录,包括NAT日志、IM上下线日志和URL日志, 满足安全事件溯源的监管要求。
