東華下一代防火墻,是自主研發的面向移動互聯時代的全面保障L2-L7安全的新一代應用安全網關產品。產品采用多核硬件平臺,結合單路徑并行處理的用戶識別、應用識別和安全檢測引擎,從用戶、應用和行為的角度出發,實現了流量分類、訪問控制、攻擊防護和QoS等所有傳統防火墻功能,并基于這些功能進行了高級抽象,提供用戶策略、應用策略和行為策略等智能控制手段,有效解決了傳統防火墻無法解決的問題。 東華下一代防火墻具備APT防護功能,有別于基于特征的攻擊防護,APT防護結合了網絡行為特征分析技術、未知文件沙箱分析技術和未知流量分類技術,可對潛在的0day攻擊,泄密行為、加密C&C流量等無法通過指紋特征識別的威脅進行定位、阻斷和溯源。產品提供了用戶策略、應用策略、訪問策略、防護策略、路由策略、流控策略、NAT策略等多種控制策略,幫助用戶方便安全的開展業務的同時簡化網絡安全架構,是新一代網絡安全防護的最佳選擇。
東華下一代防火墻采用了一體化報文處理引擎完成報文的統一解析。引擎首先分析用戶配置的各項功能后一次性對二至七層所有需要進行解析的內容進行統一處理,并將結果一并送至策略控制模塊。策略控制模塊依據這些解析結果,匹配用戶配置的策略進行報文的后續處理。在單個處理核的處理進程上完成從報文接收、報文解析、策略控制、報文發送的所有工作。避免了多模塊、多進程之間的重復工作和報文拷貝。
東華下一代防火墻提供了用戶策略、應用策略、訪問策略、防護策略、路由策略、流控策略、NAT策略等多種控制策略,這些策略全部都圍繞用戶和應用進行組織:用戶策略規定了用戶如何接入網絡,用戶所屬的類別,以及具備的訪問權限等等。通過應用策略實現用戶與應用的選路,達到了負載均衡、優化廣域網訪問等目的。流控策略規定了用戶和應用對網絡帶寬資源的使用方式。NAT策略規定了用戶和應用跨內外網互訪問的映射方式。東華下一代防火墻的所有功能實現一體化處理,有助于提高引擎工作的效率和實施更有效的控制,而控制策略的適度分散則能明顯降低策略的復雜度,簡化網絡管理員的配置管理工作。
東華下一代防火墻智能用戶識別支持靜態綁定、本地認證和第三方認證三種工作方式,并且會將未識別的用戶自動歸類為匿名用戶,便于網絡管理員按照需要指定這部分用戶的訪問策略。此外,東華下一代防火墻還提供了便于其他特殊認證系統集成的API,允許其他認證系統將認證信息同步到下一代防火墻上。
東華下一代防火墻的重要特點是能夠準確地基于應用進行精細化的訪問控制,而這依賴于高效、精確的應用識別。東華下一代防火墻支持基于深度包檢測,深度流檢測以及智能行為分析三種應用識別技術。充分利用硬件平臺加速能力實現并提高深度包解析速度,有效識別多種加密應用和私有協議,進行行為模式歸納,識別未知應用。
我公司還提供一體化解決方案,在單臺設備中集成所有APT防護技術,對基于公有云環境是東華APT云防護系統的主要部署模式。一方面是因為只有在完全獨立的虛擬環境中,才能有效地對可疑文件的行為進行徹底的分析,而虛擬化分析需要大量的計算資源。另一方面,用戶可以通過公有云分享其他用戶已經上報的威脅,從而更高效地排除風險。在此過程中,所有傳輸都經過加密,并且有專門的機制確保用戶的隱私不被泄露。對基于私有云的玩意,我公司也提供基于私有云的部署,并可定期從公有云同步最新的防護數據,達到同樣的防護效果。
東華下一代防火墻針對網絡數據可實現精準的應用控制,提供豐富的應用審計,具有強大的web訪問策略。使應用的管控更全面、精準、便捷。針對應用的細分功能精準控制。也可以記錄下Web訪問的用戶、IP、主機、URL、網頁分類、網頁標題等信息。同時能智能排除不是Html的Web訪問,提高日志的可用性。
東華下一代防火墻支持基于接口的虛擬線路,網絡管理員可以規定每個線路的帶寬,作為流控的基準。滿足網絡管理員對不同部門及其下級機構設置具有層級關系的流量控制策略。可允許在最大帶寬范圍內進行智能帶寬借用(彈性帶寬),在網絡線路不繁忙時最大限度地利用網絡帶寬資源。
東華下一代防火墻支持主流的VPN技術,包括IPSec VPN、SSL VPN、L2TP和GRE等。能以網關模式、單臂模式進行部署;IPSec全面支持NAT穿越,支持Hub-Spoken、Full-Mesh、DVPN等部署;SSL VPN支持Web、Agent、Tunnel應用方式,支持端到端部署。
統計分析與可視化是網絡管理員有效管理網絡的最有效工具。東華下一代防火墻提供了多種可視化統計分析功能。從實時統計分析、歷史統計分析、基于時間軸的日志等多個維度進行可視化展現。
東華下一代防火墻采用精于應用層復雜業務運算的多核架構,結合安全操作系統,采用攻擊特征庫、病毒庫樹形存儲、流掃描處理、零拷貝并行流處理等高效的防御技術,整個解析過程一次拆包,確保開啟多重防護功能后依然保證高速度、低時延的安全防護。
東華下一代防火墻為客戶提供基于用戶和應用的一體化安全防護,用戶身份驗證和4到7層的安全防護并行完成,讓安全多維度,無死角。匹配數通引擎的數據經過一體化引擎可以根據用戶設定并行通過威脅入侵檢測、病毒掃描檢測、web安全分類以及內容過濾引擎,有效阻止木馬、蠕蟲、SQL注入、XSS攻擊和溢出攻擊等,保障文件傳輸安全,阻斷對不良站點和非法鏈接的訪問,并基于內容分析作出防范。
東華下一代防火墻將用戶和應用作為安全防護的核心維度,采用先進的用戶識別和應用識別技術,實現對用戶和應用的精細管控和行為審計。系統支持基于IP/MAC綁定、Radius、LDAP認證,Portal認證、微信認證、短信網關等多種身份識別方式。支持上千種網絡應用軟件的識別和精確控制,包括主流應用、高風險應用和移動終端熱點應用,通過對應用行為和內容的深入分析進行更加精細化和準確的管控,使網絡管理更貼近用戶預期。
東華下一代防火墻將用戶和應用作為安全防護的核心維度,采用先進的用戶識別和應用識別技術,實現對用戶和應用的精細管控和行為審計。系統支持基于IP/MAC綁定、Radius、LDAP認證,等多種身份識別方式。支持上千種網絡應用軟件的識別和精確控制,包括主流應用、高風險應用和移動終端熱點應用,通過對應用行為和內容的深入分析進行更加精細化和準確的管控,使網絡管理更貼近用戶預期。
東華下一代防火墻擁有海量病毒特征庫,配合先進的防病毒引擎,能夠精準識別并清除流行木馬和頑固病毒,對于未知威脅和APT事件,則上交云系統,進行高級模擬分析,共享其檢測結果和特征升級,為用戶信息系統免遭互聯網病毒侵擾打造全面立體的防護。
東華下一代防火墻能夠全面識別互聯網常見應用,包括經常造成帶寬濫用、工作效率降低的P2P下載、IM及時通訊、在線視頻、炒股、游戲等。將東華下一代防火墻部署于網絡的出口,可以有效地遏制各種應用搶奪寶貴的帶寬和IT資源,從而確保網絡資源的合理配置和關鍵業務的服務質量,顯著提高網絡的整體性能。
東華下一代防火墻支持雙機熱備、VRRP和軟硬件bypass功能,不會成為網絡瓶頸和故障點,確保網絡高可靠性。當設備CPU、內存等參數高于一定閾值時,自動bypass設備,讓整個設備變為純透明轉發,保證業務不中斷。
東華下一代防火墻的安全策略采用集中展示,獨立配置,一體化檢測的方案,為用戶提供清晰可見的策略展現,最大程度的提升用戶配置和查看的體驗。轉發策略、應用控制策略、審計策略、入侵檢測策略、防病毒策略、VPN策略、流控策略集中展示,獨立配置, 管理者可以根據不同的管控需求,為不同的用戶定制不同的管理策略,靈活方便,維護簡單,條理清晰,效果良好。
東華下一代防火墻支持MCE \IPSEC、802.1Q、GRE、VPN track等網絡特性,并支持PPPoE、DHCP、Vlan、Trunk等多種接入方式,可以靈活部署在路由模式、透明模式和混合模式的網絡中。系統支持IPv4/IPv6雙協議棧,支持NAT64、NAT46、NAT66等地址轉換技術,可以方便的部署在v6、v4網絡邊界,為更新升級過程中的網絡提供安全方案。
