东森平台

English日本語
 

需求分析


著名咨询机构Gartner介绍为应对当前与未来新一代的网络宁静威胁认为防火墙必须要再一次升级为“下一代防火墙”。第一代防火墙已基本无法探测到利用僵尸网络作为传输要领的威胁。由于接纳的是基于服务的架构与Web2.0使用的普及,更多的通讯量都只是通过少数几个端口及接纳有限的几个协议进行,这也就意味着基于端口/协议类宁静计谋的关联性与效率都越来越低,仅仅是基于端口和ip的访问控制和只能应对检测外部攻击而无法对内部的重要资产进行防护的机制必须做出改变。

Gartner使用“下一代防火墙”这一术语来说明升级防火墙的须要性,以应对业务法式使用IT的要领以及针对业务系统所提倡的攻击要领所发生的改变。下一代防火墙应该可以实现网络层和应用层的访问控制功效和内容过滤功效,应在要害网络节点处检测和限制从内部提倡的网络攻击行为,还应该具备双向检测能力,能够有效检测内部失陷主机等,防止病毒在内网中的蔓延、限制内部主机成为黑客攻击的跳板,下一代防火墙应该具备对数据核心防护的能力。


 

产物简介

产物简介


东森平台凭借多年宁静网关市场的经验积累,在UTM产物技术领先、市场乐成的基础上,正式推出了高性能、易管理、可升级的全新防火墙系列产物——天清汉马USG防火墙。


天清汉马USG防火墙基于东森平台ISE统一引擎开发,不存在OEM自第三方的功效,功效任意组合拆分,对系统性能影响很小。接纳多核硬件架构和一体化的软件设计,集防火墙、VPN、内容过滤、上网行为管理、IPv6/IPv4双协议栈、抗拒绝服务攻击(Anti-DoS)等多种宁静技术于一身,全面支持QoS、高可用性(HA)、日志审计等功效,高性能、绿色低碳。


 

功效特点

  • 方便的集中管理功效:

    通过集中管理中心实现对多台设备的统一管理、实时监控、集中升级和拓扑展示。
  • 强大的日志报表功效:

    记录内容富厚:可对防火墙日志、攻击日志、病毒日志、带宽使用日志、Web访问日志、Mail发送日志、要害资产访问日志、用户登录日志等进行记录;日志快速查询:可对IP地址、端口、时间、危急水平、日志内容要害字等进行查询;报表贴近需求:凭据用户具体需求,定制报表内容、定制报表名称、定制企业LOGO,并可形成多种格式的报表文件。
  • 完善的上网行为管理功效:

    接纳独立的上网行为管理库,通过互联网实现每周更新;P2P控制:对Emule、BitTorrent、Maze、Kazaa等进行阻断、限速;IM控制:基于黑白名单的IM登录控制、文件传输阻止、查毒;支持主流IM软件如QQ、MSN、雅虎通、Gtalk、Skype,可以实现账号的细粒度控制;流媒体控制:对流媒体应用进行阻断或限速,支持Kamun ppfilm 、PPLive、PPStream、QQ直播、TVAnts、沸点网络电视、猫扑播霸等;网络游戏控制:对常见网络游戏如魔兽世界、征途、QQ游戏大厅、联众游戏大厅等的阻断;股票软件控制:对常用股票软件如同花顺、大参考、大智慧等的阻断。
  • 高稳定性和可靠性:

    产物具有高性能,同时多核之间互为备份,可靠性高;支持私有协议HA和VRRP,实现双机热备和冗余;支持HA备机可视化管理;抗DDOS攻击;支持主流7种抗DDOS计谋:ICMPFLOOD(4种算法)\SYNFLOOD(4种)\ACKFLOOD(1种)\SYNACKFLOOD(4种)\UDPFLOOD(4种)\DNSFLOOD(6种)\HTTPFLOOD(5种);每种抗攻击计谋支持最少4种高级算法。
  • 高网络适用性:

    支持透明、路由和NAT模式部署;支持静态路由、计谋路由、RIP/OSPF/BGP动态路由,支持等价路由ECMP和加权路由WCMP,支持组播路由;支持IPv6:支持IPv4、IPv6双栈运行、静态IPv6路由、手工隧道、6to4隧道和ISATAP隧道;支持链路聚合,可通过手动方式、IEEE802.3ad 静态LACP方式创建聚合链路;通过链路聚合可以增加链路带宽,并起到负载均衡和链路备份的作用。
  • 完善的防火墙特性:

    支持基于源IP、目的IP、源端口、目的端口、时间、服务、用户、文件、网址、要害字、邮件地址、脚本、MAC地址等方式进行访问控制;支持流量管理、连接数控制、IP+MAC绑定、用户认证等;支持全球攻击区域分析展示;支持SSLVPN远程宁静接入;宁静体系联动:支持同天珣内网宁静管理系吐洫动,将防火墙防御能力推进到桌面终端;支持天镜漏扫联动,自动将漏扫高危漏洞生成防护计谋,保证内网终端宁静。
 

技术优势

  • 全球化威胁泛起

    支持对AV/IPS等攻击事件的全球地图泛起,泛起信息包罗:基于经纬度、都市的攻击源、目地、攻击次数等,地图支持逐级缩放,支持国产化地图引擎。

  • 完善的数据库防护机制

    支持访问数据库行为内容审计。数据库审计结果包罗地址、端口、用户名、数据库名、表名、字段名、sql语句、操作行为、操作结果等。

  • 双协议栈全面防护

    支持IPv4和IPv6双栈协议下的上网行为管理,防病毒和主动防御功效。

  • URL智能自学习技术

    支持URL分类智能学习,可通过对已分类网站自动学习分类要害字,实现对未知网页的识别,无需管理员人工干预手工更新。

  • DMVPN使集团内网管理越发智能

    支持DMVPN,在增加一个新的分支节点网关后,不需要在中心网关更改任何配置,且支持路由推送,实现spoke to spoke互通,不必建立特别隧道。

  • 一体化宁静防护整体计谋

    支持一体化宁静计谋配置,可以通过一条计谋实现用户认证、IPS、AV、URL过滤、协议控制、流量控制、并发限制、新建限制、垃圾邮件过滤、审计等功效,简化用户管理。

  • 三重系统防护强度

    支持系统主要防护功效的统一化模板设置,模板分为高、中、低三个级别,分别对应差异防护强度,可通过Web界面选择切换及通过外置按键一键切换。

 

典型应用


电子政务网是各级政府为了加强信息化建设,通过互联网或者租用专线的方式把下属委、办、局以及下一级政府单元的局域网进行互联的网络。差异地域电子政务网在组网模式和建设思路上存在一定的差异化,但总体的网络结构如下:


防火墙-电子政务网总体结构图 


电子政务网总体结构图


电子政务网分为内网和外网。

天清汉马USG防火墙部署在各单元与外单元互联的出口,防止来自其他单元的入侵攻击等威胁,同时对电子政务内网用户相互间访问进行控制与日志审计,可有效检测和控制内部员工越权行为,并向管理员发出告警。

电子政务外网在建设模型上与内网相似,多数也是接纳专线或裸光纤的方式建网,外网与Internet逻辑隔离。天清汉马USG防火墙部署在各单元与互联网的出口,用于防止来自互联网的入侵威胁,而且可以作为边缘接入路由器部署。

天清汉马USG提供统一管理平台,可以通过信息中心统一管理全网的USG防火墙设备,并提供详尽直观的报表,能够让管理员迅速了解到整个网络的存在的宁静风险和趋势,为决定如何制定宁静计谋提供依据。


政府专网


政府专网是各部委与下属单元信息互联的网络。

政府专网全部接纳专线或裸光纤的方式构建。专网的宁静系统一般接纳下级信任上级的方式来建设,即只需要考虑上级单元对下级单元访问的宁静防护。专网系统一般来说,只在一级单元设互联网出口,各下属单元的互联网访问都从总部出口。

在互联网出口部署USG防火墙设备能够对所有从互联网的进出的流量进行过滤,防止来之互联网的入侵,而且对专网内用户访问互联网的内容进行过滤和审计。

在每个政府单元和下级单元的接口部署USG防火墙设备,可以有效防范来自下级单元的越权访问和恶意攻击。天清汉马同时可以作为边缘路由器接入网络。

天清汉马USG防火墙提供统一管理平台,可以通过信息中心统一管理全网的USG防火墙设备,并提供详尽直观的报表,能够让管理员迅速了解到整个网络的存在的宁静风险和趋势,为决定如何制定宁静计谋提供依据。


防火墙-政府专网结构示意图


政府专网结构示意图



教育行业


高教校园网


高校校园网出口一般会和多个ISP互联,同时和CERNET互联。


USG防火墙设备部署在高校网络出口,可以抵御来自互联网的威胁,掩护DMZ区服务器免受攻击,以及学生对学校重要服务器的攻击。同时,开启计谋路由功效,网络流量进行分流处置。对于高校出口带宽占用率一直高居不下是一直困扰网管人员的问题,天清汉马USG防火墙可以提供完整的带宽管理解决方案。天清汉马USG防火墙通过对网络出口的流量进行统计,分析带宽使用趋势,同时对带宽占用较大的P2P流量进行限制和封锁,让校园网出口的带宽得到充实的利用。


对于校园网内的各学生宿舍、图书馆、教学楼等单元,与学校网络中心的接口通过透明模式接入天清汉马USG防火墙,同时开启网页内容过滤功效,防止学生访问不良网站。


防火墙-高教校园网结构示意图 


高教校园网结构示意图



中/基教教育城域网


中基市场中,连接Internet通常有两种方式,一种为通过ISP与 Internet直接连接,另外一种为通过教育城域网与Internet统一连接。


对于前者,学校通常在网络出口处部署一台USG防火墙设备,防御来自互联网的攻击,同时开启Web内容过滤功效,防止学生利用利用网络浏览不良网站。


对于后者,只需要在地域教委的Internet出口部署USG防火墙设备既可以防御来自互联网的威胁,又可以做到对所辖区域学校访问互联网的流量进行统一管理,统一过滤各学校访问不良网站的流量。


 防火墙-中/基教校园网结构示意图


中/基教校园网结构示意图


企业市场


中小企业


在全国范围内拥有分支机构的中小企业网络,多数通过互联网来实现总部与分支机构的互联互通。


防火墙-中小企业网络结构示意图


中小企业网络结构示意图


部署USG防火墙设备让中小企业用户可以在一个统一的架构上建立自己的宁静基础设施,而以往困扰用户的宁静产物协调性、资金和技术匮乏和缺乏中小企业级宁静解决方案等问题也能够得到完全解决。


USG防火墙设备产物部署在总部和分支机构网络Internet出口,抵御来自互联网攻击威胁。同时可作为VPN网关,各分支机构与总部之间开启VPN隧道,保证相互间通信的保密性。SOHO员工和在外出差的员工可以在任何时候通过VPN客户端与总部的天清汉马USG防火墙建立VPN隧道,访问公司内部的资源,实现高效宁静的网络应用。


大型企业


对于大型企业,网络规模较大、用户数量多、业务系统较多,网络建设类似于城域网。在宁静建设方面也存在多点建设,除去在集团总部的互联网出口需要宁静防控外,各下属单元也有宁静防护需求。


防火墙-大型企业网络结构示意图


大型企业网络结构示意图


在总部互联网出口部署的天清汉马USG防火墙能够抵御来自互联网的入侵攻击,同时为出差员工提供VPN接入,确保通信的保密性。


在各单元出口部署USG防火墙设备,可以有效控制差异部门之间的越权访问。


天清汉马USG防火墙提供统一管理平台,可以通过信息中心统一管理全网的USG防火墙设备,并提供详尽直观的报表,能够让管理员迅速了解到整个网络的存在的宁静风险和趋势,为决定如何制定宁静计谋提供依据。

用户价值

下一代防火墙应宁静局势和市场需求而生,可以对应用、业务和用户完全识别并加以控制、可以资助企业降低管理难度、减少运维成本,在宁静技术和管理计谋方面资助企业用户实现价值。同时,下一代防火墙在事中防御的基础上,增加了事前的风险预知和事后的检测&响应能力,通过资产识别、漏洞分析、计谋自检等技术主动发现被掩护的资产工具,以及被掩护工具的风险状况,资助有关部门、机构和人员及时对网络宁静风险信息进行监测评估,最大限度掩护资产宁静。

7*24小时服务热线

400-624-3900


网站地图