深信服万兆应用防火墙招标参数
深信服万兆应用防火墙招标参数
深信服下一代防火墙招标参数
硬件平台国产设备,2U机架式硬件平台,采用多核处理器; 安全系统采用专用安全操作系统; 电源48V直流供电;提供42m 直流电源线 性能吞吐量6Gbps,并发连接100万; 设备接口6个千兆电口4个千兆光口,两路电口Bypass(公司盖章支持) 网关管理1.支持网关、网桥、旁路、混杂模式部署;支持SSL加密WEB方式管理设备;支持攻击、病毒、服务器入侵、内容过滤事件、系统日志告警等;提供图形化排障工具,便于管理员排查策略错误等故障; 2.提供实时智能模块间联动封锁的源IP以便实现动态智能安全管理(需提供截图证明) 网络适应性1.ARP、域名解析、IP UNNUMBERED、DHCP中继、DHCP服务器、DHCP 客户端,支持静态路由、RIP v1/2、OSPF、策略路由; 2.必须支持基于应用制定策略路由的智能选路功能 防火墙功能1.可以提供静态的包过滤和动态包过滤功能; 2.支持的应用层报文过滤,包括:应用层协议:FTP、HTTP、SMTP、RTSP、 H.323(Q.931,H.245,RTP/RTCP)、SQLNET、MMS、PPTP等;传输层协议:TCP、UDP; 3.支持防御Land、Smurf、Fraggle、WinNuke、Ping of Death、Tear Drop、IP Spoofing、CC、SYN Flood、ICMP Flood、UDP Flood、DNS Query Flood、ARP欺骗攻击防范、ARP主动反向查询、TCP报文标志位不合法攻击防范、支持IP SYN速度限制、超大ICMP报文攻击防范、地址/端口扫描的防范、DoS/DDoS攻击防范、ICMP重定向或不可达报文控制等功能,此外还支持静态和动态黑名单功能、MAC和IP绑定功能; 4.风险评估可以实现与FW、IPS、服务器防护模块的智能策略联动,自动生成策略(需提供截图证明) IPS漏洞防护1.防护攻击类型:包括蠕虫/木马/后门/DoS/DDoS攻击探测/扫描/间谍软件/利用漏洞的攻击/缓冲区溢出攻击/协议异常/ IPS逃逸攻击等; 2.漏洞分为保护服务器和保护客户端两大类,便于策略部署(需提供截图证明); 3.漏洞详细信息显示:漏洞ID、漏洞名称、漏洞描述、攻击对象、危险等级、参考信息、地址等内容,便于维护;可根据源区域、目的区域、目的IP组,目的IP组支持多选进行IPS策略的配置;攻击特征库: 2200+,并且能够自动或者手动升级; 4.支持TCP协议的乱序重传、TCP分包; 5.支持自动拦截、记录日志、上传灰度威胁到“云端”(需提供截图证明); 6.必须是微软“MAPP”计划会员,特征库必须获得CVE“兼容性认证证书”(需提供截图证明)
深信服上网行为管理产品功能
深信服上网行为管理 主要作用: 能够全面封堵网站浏览、QQ聊天等各种工作无关网络行为 封堵和流控当前的BT、eMule等,和未来可能出现的各种P2P应用 杜绝不良网站和风险文件的访问及下载,防范DOS攻击及ARP欺骗等 独特的敏感内容拦截和安全审计功能,防止机密泄露 全面记录网络行为日志,避免法律风险,并让IT管理者对网络效能和行为进行方便的统计、审计、分析、报表 再辅以SANGFOR M5X00-AC的其他安全扩展功能,全方位保障您的网络安全 通过采用SANGFOR M5X00-AC上网行为管理解决方案,可以保障组织管理者实现完善的网络访问行为管控和行为审计,并达到如下效果: 1.规范员工上网行为(如禁止上班时间QQ聊天、炒股、网络游戏等),提升工作效率 上班时间从事私人活动,是办公室皆知的秘密。管理者却难以阻止员工在上班时间浏览无关网站、QQ聊天、在线炒股等工作无关的网络行为,员工工作效率的下降将直接影响组织的竞争力。而通过SANGFOR AC可以把与工作无关的上网行为降低到最低,去除员工的分心,让他们专注于工作中。 2.流量控制、带宽管理,提升带宽利用率 对严重吞噬带宽的P2P行为,SANGFOR AC不仅能彻底封堵,还能对其占用的带宽进行流量管控。基于用户(组)、时间段、应用类型的带宽管理和带宽通道划分,结合智能QoS,既保证了业务应用对带宽的需求,又避免了对带宽的滥用,提升带宽使用效率。 3.修补安全漏洞、提升内网安全级别 色情、反动网站的浏览和未知文件的下载安装,导致病毒、木马等被员工主动“邀请”进入内网,SANGFOR AC将过滤该行为,并提供网关杀毒功能从源头消除威胁;源自内网的DOS攻击、ARP欺骗等也将被SANGFOR AC彻底防御;而组织内网使用低版本操作系统、不及时打补丁、不安装指定的杀毒/防火墙软件、安装使用违规软件的终端用户,SANGFOR AC亦能侦测发现,从而修复内网安全短板。 4.防范信息机密外泄、保护组织信息资产安全 员工使用Email邮件可能将组织的信息机密发送到公网、甚至竞争对手,SANGFOR AC特有的“邮件延迟审计”专利技术,将彻底防范该泄密行为;员工的网络发帖、webmail行为,SANGFOR AC同样可以过滤和记录;而SANGFOR AC 对QQ、MSN等聊天内容的记录和审计,将警示通过IM聊天工具泄密的行为。 5.规范员工网络行为、避免法律风险 员工利用组织的Internet连接,访问反动、邪教等不良网站,发表非法言论,收集和发布色情图片等非法网络活动,将导致组织违反法律法规、承受法律诉讼等。SANGFOR AC上网行为管理设备可以管控和过滤员工的此类行为,并详细记录和审计员工的各种网络行为日志,做到有据可查,使组织避免法律风险。
深信服下一代应用层防火墙彩页
国内下一代防火墙第一品牌 深信服下一代防火墙(Next-Generation Application Firewall )NGAF 是面向应用层设计,能够精确识别用户、应用和内容,具备完整安全防护能力,能够全面替代传统防火墙,并具有强劲应用层处理能力的全新网络安全设备。NGAF 解决了传统安全设备在应用识别、访问控制、内容安全防护等方面的不足,同时开启所有功能后性能不会大幅下降。作为传统防火墙的升级替代产 品,深信服NGAF 不同于工作在L2-L4 层的传统防火墙,可以对全网流量进行 双向深入数据内容层面的全面透析。在 安全策略制定方面,区域别于传统防火 墙五元组安全策略,深信服NGAF 可对L2-L7层更多的元素(如,用户、应用类型、URL 、数据内容等)制定双向的安全访问策略,使安全策略更精细、更有效,且满足业务的合规性;在安全防护能力方面,提升了传统的抗攻击的能力,不仅能防护网络层的攻击,针对来源更广泛、攻击更容易、危害更大的应用层攻击也可以进行防护,实现L2-L7层的安全防护。同时,深信服NGAF 采用全新的软硬件架构,减小在多种复杂的安全策略和L2-L7层多功能防护功能全部开启时性能的消耗,实现应用层高性能。 功能列表 项目 具体功能 部署方式 支持路由,透明,旁路,虚拟网线,混合部署模式; 实时监控 实时提供CPU 、内存、磁盘占用率、会话数、在线用户数、网络接口的鞥设备资源信息;提供安全事件信息,包括最近安全事件、服务器安全事件、终端安全事件等,事件信息提供发 生事件、源IP 、目的IP 、攻击类型以及攻击的URL 等;提供实时智能模块间联动封锁的源IP 以便实现动态智能安全管理; 网络适应性 支持ARP 代理、静态ARP 绑定,配置DNS 及DNS 代理、支持DHCP 中继、DHCP 服务器、 DHCP 客户端;支持SNMP v1,v2,v3,支持SNMP Trap ;支持静态路由、RIP v1/2、OSPF 、 策略路由;支持链路探测,端口聚合,接口联动; 包过滤与状态检测 提供静态的包过滤和动态包过滤功能;支持的应用层报文过滤,包括:应用层协议:FTP 、 HTTP 、SMTP 、RTSP 、H.323(Q.931,H.245, RTP/RTCP )、SQLNET 、MMS 、PPTP 等;传 输层协议:TCP 、UDP ; NAT 地址转换 支持多个内部地址映射到同一个公网地址、多个内部地址映射到多个公网地址、内部地址到 公网地址一一映射、源地址和目的地址同时转换、外部网络主机访问内部服务器、支持DNS 映射功能;可配置支持地址转换的有效时间;支持多种NAT ALG ,包括DNS 、FTP 、H.323、 SIP 等 抗攻击特性 支持防御Land 、Smurf 、Fraggle 、WinNuke 、Ping of Death 、Tear Drop 、IP Spoofing 、 SYN Flood 、ICMP Flood 、UDP Flood 、DNS Query Flood 、ARP 欺骗攻击防范、ARP 主 动反向查询、TCP 报文标志位不合法攻击防范、支持IP SYN 速度限制、超大ICMP 报文攻击 防范、地址/端口扫描的防范、DoS/DDoS 攻击防范、ICMP 重定向或不可达报文控制等功能, 此外还支持静态和动态黑名单功能、MAC 和IP 绑定功能;
应用防火墙技术参数
应用防火墙技术参数: 品牌要求:网神、网御星云、山石网科 系统功能 设备参数接口数目 ★至少6个10/100/1000自适应电口+2SFP插槽,其中包 括1个带外管理口,1个HA口,4个业务接口, 1U设备性能参数 ★至少1200Mbps网络吞吐量,应用层吞吐量不小于 500Mbps,http新建速率大于5000/s,http最大并发为40 万,网络并发连接数150万 防护策略防护规则提供内置规则,同时支持用户自定义防护特征Web扫描 ★提供Web安全扫描功能(提供相应截图) 自定义Web安全扫描任务,定期进行Web安全扫描 安全特性HTTP RFC符合 性 支持对HTTP和HTTPS的协议合法性进行验证 网络层防护 支持访问控制功能,能够有效防御基于网络层的攻击 应能支持URL级别访问控制,支持IP级别黑、白名单WEB应用防护 可防御蠕虫、缓冲区溢出、目录遍历等攻击 可以识别和阻断应用层拒绝服务攻击,如CC攻击等 可以对网页请求/响应内容中的非法关键字进行检测、过 滤,非法上传阻断,包括Webshell攻击防护 应能识别和阻断敏感信息泄露、恶意代码攻击、错误配置 攻击、隐藏字段攻击、会话劫持攻击、参数篡改攻击、缓 冲区溢出攻击、弱口令攻击 ★支持HTTPS卸载和加壳:即客户端到服务器端可以任 意选择HTTPS和HTTP,强化应用层安全(需要提供截图) 可以识别和阻断SQL注入攻击,Cookie 注入攻击,命令注 入攻击 可以防御防盗链攻击、爬虫防护,应能控制网络扫描行为 可以进行HTTP报文请求的字段进行严格,中等和宽松的 限制 可以识别和阻断跨站脚本(XSS)注入式攻击 主动防御 ★能根据攻击状态进行学习,形成动态阻断列表(提供相 应截图,加盖原厂公章) ★能根据阻断状态,动态建模(提供相应截图,加盖原厂 公章) 网页篡改防护 ★系统支持网页防篡改模块,支持linux,windows,Aix, FreeBSD等主流操作系统(需要提供截图,加盖原厂公章) 采用基于文件过滤驱动保护技术、事件触发机制相结合方 式
深信服上网行为管理产品白皮书
构建健康安全、高效可管的互联网 SANFOR AC上网行为管理 产品白皮书 目录 1 互联网对组织提出的挑战................................... 错误!未定义书签。 2 上网行为管理给用户带来的价值............................. 错误!未定义书签。 管理网络带宽......................................... 错误!未定义书签。 避免法律和泄密风险................................... 错误!未定义书签。 提升工作效率......................................... 错误!未定义书签。 提升内网可靠可用性................................... 错误!未定义书签。 管理网络带宽......................................... 错误!未定义书签。 3 功能实现................................................. 错误!未定义书签。 规划用户分组结构..................................... 错误!未定义书签。 建立身份认证体系..................................... 错误!未定义书签。 分析网络流量......................................... 错误!未定义书签。 优化和分配带宽资源................................... 错误!未定义书签。 网页访问控制......................................... 错误!未定义书签。 管理IM即时通讯工具.................................. 错误!未定义书签。 控制BT等P2P行为.................................... 错误!未定义书签。 控制其他网络应用行为................................. 错误!未定义书签。 防泄密和法律风险..................................... 错误!未定义书签。 日志审计和报表中心................................... 错误!未定义书签。 内网可靠可用性增强................................... 错误!未定义书签。 管理和配置的易用性................................... 错误!未定义书签。 4 领先的技术优势........................................... 错误!未定义书签。
深信服上网行为 管理设备功能介绍(2)
深信服上网行为AC-5000 管理设备功能 1) 控制功能:细致的访问控制,有效管理用户上网 对于内网用户的网页访问行为,AC不仅通过内置URL库,关键字过滤等方式进行管控。对于采用SSL加密的网页,如钓鱼网站等,AC的证书验证链接黑白名单技术同样可以管控。AC不仅管理用户使用WEB、FTP、EMAIL等常用服务,通过深度内容检测技术,实现对QQ、MSN、SKYPE等IM聊天工具,BT、电骡等P2P下载工具,PPLive、QQLive 等在线影音工具,网络游戏,在线炒股等网络应用行为进行管理和控制。SINFOR AC具有国内最大的应用协议识别库。 针对目前P2P行为泛滥的趋势,SINFOR AC的P2P智能识别技术能够对不常用的、未来可能出现的P2P软件进行有效管控。并且对P2P行为严重吞噬带宽资源的问题,提供流量控制功能。 上网行为的管理必须以识别为基础。SINFOR AC支持本地认证、和第三方认证(包括LDAP、AD、Radius、POP3、PROXY等),丰富的用户识别方式方便组织的使用。 AC所具备的多种网络访问控制功能,可以基于用户/用户组、基于时间段、基于不同目标行为进行灵活权限控制,实现人性化管理要求。 表1:访问控制功能一览表 认证方式 支持触发式WEB认证、本地认证、和第三方认证(包括LDAP、AD、Radius、POP3、PROXY等)、Dkey认证等 账户自动创建 支持未建帐户的新用户以其计算机名/IP地址作为用户名自动创建帐户;支持将指定IP段的用户自动创建到指定用户组,并同时绑定IP、MAC等。 IP-MAC绑定 支持对用户绑定IP、绑定MAC、或同时绑定IP和MAC; 支持三层网络环境下的IP-MAC绑定功能 单点登录 支持AD单点登录,无需在域控服务器上安装任何插件;支持POP3、PROXY单点登录 AD同步 支持自动将AD服务器上指定OU/指定安全组读取到设备的树形用户分组结构中,并定期保持与AD自动同步 用户认证 组织结构 用户分组支持树形结构,支持父组、子组、组内套组等 网址过滤 内置800万条以上预分类URL库; 允许手工输入新URL和新分类; 关键字过滤 可过滤搜索引擎搜索的指定关键字(关键字可定义); 可针对网页正文关键字进行网页过滤; 可过滤BBS、Webmail等外发含有指定关键字的言论 SSL网站过滤 支持对SSL加密的钓鱼网站、炒股网站、证券基金网站、在线购物网站的识别和过滤 网页控制 文件类型过滤 过滤通过HTTP、FTP下载、上传指定类型的文件; 支持对非标准端口FTP文件传输行为的过滤 邮件控制 地址限制 可根据发件人地址过滤SMTP外发邮件;
深信服用户管理以及流量管理配置教程
深信服用户管理以及流量管理配置教程 新增用户组 登陆设备后点击左边的“导航菜单” “用户与策略管 理” “组/用户” 在右边会出现设备的用户组织结构,这里出现了 default 、公司领导、普通员工、服务器和网络管理中 心五个用户组。其中default 用户组是系统默认存在的, 其它四个是通过以下方法增加的。 如下图所示,点击右边的“成员管理” “新增” 5 也网踣曽理中壯 选择“组”选项,就会出现如下界面 SANGFOR I 心口 导菜单 ? b 对尊定袈 >上网荒略 /用户管理 卜组/用戶 用尸辱人 LDAF 自动同步 丿用尸认证 认证谑顼 外部认证服备器 悽索;输丄关龍字模翔攫素涓 ^default 熨公司鞍 导 记普逼员工 也网貉昔理中心 点击这里增 加新用户组 纽曙徑: 描述宿息: 鈕信息; 策略引用: 子组牛數:h 直J 横有策略 4 直服雰蛊 爼织嬴員及上网策略设置 r*fc 田口 約用L 新増▼ X 删底 #批垦會
需in组 在“组名列表”种输入工作组的名称点击“提交”即可。 公司领导、普通员工、服务器和网络管理中心四个用户组都 是这样添加进去的。 二、在用户组中添加用户 如下图所示,以在“网络管理中心”用户组增加新用户为例,点击“网络管理中心”用户组,右边会列出该用户组中的所有用户,点击“成员管理”“新增”“用户”
出现如下图界面,其中在“启用此用户”那里打钩,这里的 策略是用IP 地址作为用户名,在“显示名”那里填写了显 示名后,该显示名会附加出现在登陆名后 SANGFOR I Aca.D 搜亲:辐I 实键孚模釉援索爼 ^defauLt 旦公司 颉导 记普il 最工 題服务器 展隔管强中石 爼跖径: 齟信息: 策曙引鹅: 『网络管理中心 子飽个数:0 - 毂:育策喀 J 成员笞逢 策略列表 1+新— x 删除豪扌比 点击这里新 增用户 92 125 92.13 爭用尸 冶 W.此一凸2 一 147 務组
深信服防火墙差异优势说明
深信服下一代防火墙高校数据中心差异优势 支持对不同部门的业务流量进行实时流量分析,发现存在的漏洞威胁,并对发现漏洞次数最多的服务器进行排名,分析攻击类型,详情以及建议方案。 背景:对于高校用户来说,目前事先发现自身业务漏洞的方式只能借助漏洞扫描设备,而漏扫设备存在两个不足,一是扫描时发出的攻击包可能影响正常业务开展;二是扫描都是阶段性、分批次的,无法实时监控所有业务系统的动态漏洞信息;一旦出现0day,响应还是不够及时;同时由于托管了很多二级学院及部门系统,需要分别分析分别处理,因此需要针对每个系统/部门生成单独的报表,包括系统存在哪些漏洞、外部如何攻击他的,哪些攻击真正有效等。 价值:深信服可以提供一种更加高效的解决方案,通过对业务流的全流量分析,能够提供被动式[不主动发包,不影响业务]的7*24小时业务漏洞检测手段,帮助用户更好的对可能存在对风险进行预警。
支持异常流量检测功能,能够区分正常业务流量和潜藏在其中的危险流量。能够有效识别RDP(3389)、SSH (22)、FTP(20,21)、DNS(53)、HTTP(80)、HTTS(443)、SMTP(25)、POP3(110)等常见应用,常用
端口中的未知应用,可疑流量,能区分出占用这些正常应用的合法端口的危险行为。 背景:目标对象被黑客控制后,会在后端被开放一些端口进行数据的通信,而为了绕过安全设备的检测,黑客往往会采用一些知名端口来进行数据通信,所以如何能够识别知名端口是否跑了未知应用,已知应用跑在非标准端口就成了事后防护的主要检测手段; 价值:可检测知名端口是否跑了未知流量,已知应用是否运行在非标准端口,提供异常流量检测预警。 支持ASP,JSP,PHP语言编写的Webshell文件上传检测,支持对已被上传Webshell服务器的检测(单独检测工具)。 背景:Webshell 是黑客进行Web入侵常用的脚本工具,通常情况下是一个ASP、PHP或者JSP程序页面,也叫作网站后门木马,在入侵一个网站后,常常将这些木马放置在服务器WEB目录中,与正常网页混在一起。通过Webshell长期操纵和控制受害者网站; 价值:深信服可针对Webshell文件上传提供事前和事后全面的解决方案,内置独立的语义解析引擎结合常见Webshell后门特征规则,使得深信服的Webshell后门识别率达到99%以上。针对疑似被植入Webshell后门的服务器,深信服也具备事后检测工具,一键解决安全隐患。
深信服上网行为管理功能参数
AC-4300-RY上网行为管理产品功能性能参数 项目指标具体功能要求 性能吞吐量2.5Gbps,标配6个千兆电口,4个千兆光口,标准2U设备,配备冗余电源 部署方式网关模式支持网关模式,支持NAT、路由转发、DHCP等功能;网桥模式支持网桥模式,以透明方式串接在网络中; 旁路模式支持旁路模式,无需更改网络配置,实现上网行为审计; 网关管理管理界面支持SSL加密WEB方式、SSH命令行方式管理设备; 分级管理不同用户组的管理权限支持分配给不同管理员; 集中管理多台设备支持通过统一平台集中管理、集中配置等; 被控设备加入统一平台支持以硬件证书验证身份; 告警管理支持攻击、泄密告警,危险行为告警、邮件延迟审计告警等; 加密连接具有IPSec VPN远程加密访问和连接的模块,并能提供IPSec VPN客户端授权远程接入访问; 排障工具提供图形化排障工具,便于管理员排查策略错误等故障; 上网故障排除系统支持开启直通后,流量控制模块依然生效,避免全部数据直通导致线路流量过大; 实时监控设备资源信息提供设备实时CPU、内存、磁盘占有率、会话数、在线用户数、系统时间、网络接口等信息; 流量状态实时提供用户流量排名、应用流量排名、所有线路应用流速趋势、流量管理状态、连接监控信息; 安全状态实时显示当天的安全状况,最后发生安全事件的时间、类型、总次数、源对象,帮助管理员管理内网安全; 上网行为监控实时显示设置过滤条件的用户上网行为监控,支持手动设置刷新时间; 用户管理本地认证支持触发式WEB认证,静态用户名密码认证等; 第三方认证支持LDAP、Radius、POP3、Proxy等第三方认证; 支持ISA\ lotus ldap\novel ldap\oracle、sql server、db2、mysql等数 据库等第三方认证; 双因素认证支持以USB-Key方式实现双因素身份认证; IP、MAC认证支持绑定IP认证、绑定MAC认证,及IP/MAC绑定认证等; 支持通过SNMP服务器跨三层获取MAC地址; 支持当用户MAC地址变动时,需要重新认证; 短信认证支持短信认证方式,用户输入手机号作为用户名,通过短信猫或短信平台发送验证码; 短信认证能够根据不同用户推送不同认证页面,该认证页面可自定义,编辑 内容包括文字、颜色风格、图片,且图片支持轮询播放 公用账户支持多人使用同一帐号登录,且支持重复登陆检测机制; 账户有效期指定账户支持有效期限制,并支持自动过期; 单点登录支持AD、POP3、Proxy、PPPOE、H3C IMC/CAMS、锐捷SAM、城市热点等系统进行认证单点登录,简化用户操作; 可强制指定用户、指定IP段的用户使用单点登录;
深信服流量控制功能说明
流量控制技术说明 1.带宽管理 1.1流量可视化 带宽有限,应用无限——组织不断地扩展互联网出口带宽,但仍然感觉不充裕,一旦内网存在网络行为不规范、滥用带宽资源的用户,IT管理员的工作就会饱受抱怨:网络太慢、业务系统访问迟缓、页面迟迟打不开、邮件发送缓慢等。 对此,AC为IT管理员提供了网络流量可视化方案,登陆AC控制台后,管理员可以查看出口流量曲线图、当前流量TOP N应用、用户流量排名、当前网络异常状况(包括DOS 攻击、ARP欺骗等)等信息,直观了解当前网络运行状况。 此外,数据中心(Network Database Center,NDC)对内网用户的各种网络行为流量进行记录、审计,借助图形化报表直观显示统计结果等,帮助管理员了解流量TOP N用户、TOP N应用等,并自动形成报表文档,定时发送到指定邮箱,让IT管理员轻松掌控用户网络行为分布和带宽资源使用等情况,了解流控策略效果,为带宽管理的决策提供准确依据。 如果您是一位大型机构的CIO或CEO,您需要面对的问题将远不止这些,而AC数据中心的功能需要您亲身体验和掌握。当您面对数据中心的Web页面,通过几次鼠标点击就发现网络及管理中存在的问题时,您将感受到领先技术带来的极富乐趣的用户体验。 1.2流量管理 当您了解了带宽的使用情况,并对带宽进行优化和分配后,我们即将对用户(组)的上网行为做进一步的管理和控制。 1.2.1多线路复用和智能选路 很多组织拥有电信、网通等两条以上互联网出口链路,如何同时复用多条链路并做到流量的负载均衡与智能分担?通过AC特有的多线路复用及带宽叠加技术,AC复用多条链路形成一条互联网总出口,提升整体带宽水平。再结合多线路智能选路专利技术(专利号:ZL200610061591.9),AC将出网流量自动匹配最佳出口。
深信服和您一起解析防火墙的前世今生
深信服和您一起解析防火墙的前世今生 [内容摘要]:面对现在网络复杂的应用情况,传统防火墙已经显得力不从心,下一代火墙应运而生。作为国内规模最大、创新能力最强的前沿网络设备供应商——深信服科技推出下一代应用防火墙(NGAF)产品,也是中国首家推出下一代防火墙的本土厂商。 关键词:深信服下一代防火墙上网行为管理 前世 防火墙自诞生以来,在网络安全防御系统中就建立了不可替代的地位。防火墙就像城墙,对进出防火墙的一切数据包进行检查,保证合法数据包能够进入网络访问合法资源同时防止非法人员通过非法手段进入网络或干扰网络的正常运行。随着时代的变迁,曾经如城墙般稳固的传统防火墙已黯然失色,失去了它原有的防御能力。面对网络的高速发展、应用不断增多的时代,逐渐被新的继任者重新定义了“防火墙”。 我们不禁要问:曾经在IP/端口的网络时代发挥了巨大作用的“传统防火墙”为什么会被历史所淘汰?最主要的原因还在于“对网络应用快速发展的3大不适应症状” 1.安全不适症 传统防火墙基于IP/端口无法对应用层进行识别与控制,无法确定哪些应用经过了防火墙。面对应用层的攻击,无法检测或拦截嵌入到普通流量中的恶意攻击代码,比如病毒、蠕虫、木马等。 2.管理不适症 传统防火墙的网络访问控制需要配置大量的策略,并且这些基于IP/端口策略可读性非常之差,经常会造成错配、漏配的情况,留下的这些隐患,往往给黑客们以可乘之机。 3.维护不适症 由于防火墙功能上的缺失使得企业在网络安全建设的时候针对现有多样化的攻击类型采取了打补丁式的设备叠加方案,在一定程度上能弥补防火墙功能单一的缺陷。但在这种环境中,同一数据包经过串联的各类设备,被重复拆包,重复解析,使整个网络的效率变得低下,运行速度缓慢。而独立设备、管理复杂,需要培养熟悉各类设备、各厂商设备的高级管理人员。无法进行统一的安全风险分析,以及无法提供足够的空间和环境支持,大大提高了维护成本。 今生 2009年10月Gartner提出“Defining the Next-Generation Firewall(NGFW)”一文,重新定义下一代防火墙,下一代防火墙的概念在业内便得到了普遍的认可。目前仅有不到1%的Internet连接采用NGFW来保护。Gartner认为,到2014年底,这个比例将增加到占安装量的35%,60%新购买的防火墙将是下一代防火墙(NGFW)。 在这个全新领域,国内规模最大的前沿网络设备厂商,同时也是全球网络设备领域发展最快
深信服防火墙的招标参数样本
1.3.2汇聚防火墙(4台) 硬件平台国产设备,2U机架式硬件平台,采用多核处理器; 安全系统采用专用安全操作系统; 电源48V直流供电;提供42m 直流电源线 性能吞吐量6Gbps,并发连接100万; 设备接口6个千兆电口4个千兆光口,两路电口Bypass(公司盖章支持) 网关管理1.支持网关、网桥、旁路、混杂模式部署;支持SSL加密WEB方式管理设备;支持攻击、病毒、服务器入侵、内容过滤事件、系统日志告警等;提供图形化排障工具,便于管理员排查策略错误等故障; 2.提供实时智能模块间联动封锁的源IP以便实现动态智能安全管理(需提供截图证明) 网络适应性1.ARP、域名解析、IP UNNUMBERED、DHCP中继、DHCP服务器、DHCP客户端,支持静态路由、RIP v1/2、OSPF、策略路由; 2.必须支持基于应用制定策略路由的智能选路功能 防火墙功能1.可以提供静态的包过滤和动态包过滤功能; 2.支持的应用层报文过滤,包括:应用层协议:FTP、HTTP、SMTP、RTSP、H.323(Q.931,H.245,RTP/RTCP)、SQLNET、MMS、PPTP 等;传输层协议:TCP、UDP; 3.支持防御Land、Smurf、Fraggle、WinNuke、Ping of Death、Tear Drop、IP Spoofing、CC、SYN Flood、ICMP Flood、UDP Flood、DNS Query Flood、ARP欺骗攻击防范、ARP主动反向查询、TCP报文标志位不合法攻击防范、支持IP SYN速度限制、超大ICMP报文攻击防范、地址/端口扫描的防范、DoS/DDoS攻击防范、ICMP重定向或不可达报文控制等功能,此外还支持静态和动态黑名单功能、MAC和IP绑定功能; 4.风险评估可以实现与FW、IPS、服务器防护模块的智能策略联动,自动生成策略(需提供截图证明) IPS漏洞防护1.防护攻击类型:包括蠕虫/木马/后门/DoS/DDoS攻击探测/扫描/间谍软件/利用漏洞的攻击/缓冲区溢出攻击/协议异常/ IPS逃逸攻击等;2.漏洞分为保护服务器和保护客户端两大类,便于策略部署(需提供截图证明); 3.漏洞详细信息显示:漏洞ID、漏洞名称、漏洞描述、攻击对象、危险等级、参考信息、地址等内容,便于维护;可根据源区域、目的区域、目的IP组,目的IP组支持多选进行IPS策略的配置;攻击特征库: 2200+,并且能够自动或者手动升级; 4.支持TCP协议的乱序重传、TCP分包; 5.支持自动拦截、记录日志、上传灰度威胁到“云端”(需提供截图证明); 6.必须是微软“MAPP”计划会员,特征库必须获得CVE“兼容性认证证书”(需提供截图证明)
深信服防火墙NGAF方案白皮书
深信服下一代防火墙NGAF方案白皮书
目录 一、企业级网络安全建设需要什么 (4) 1.传统割裂的各种安全产品? (4) 2.“雇佣兵”式的安全服务? (5) 3.企业级的网络安全到底需要什么? (5) 二、深信服下一代防火墙的定位 (6) 1.适用于国内环境的下一代防火墙 (6) 2.我们不仅交付产品,还为您持续输送安全能力 (7) 三、深信服下一代防火墙为企业安全赋能 (7) 1.看懂安全现状和风险 (7) 1.1业务安全状况可视 (7) 1.2威胁危害效果可视 (8) 1.3安全事件实时通报 (9) 2.持续对抗新型威胁 (10) 2.1产品快速迭代应对已知威胁 (10) 2.2完整的APT攻击检测链 (11) 2.3云检测平台应对未知威胁 (12) 3.简化安全运营 (13) 3.1任务化的风险管理 (13) 3.2全网安全统一管控 (14) 3.3威胁情报预警与处置 (15) 3.4风险评估与策略联动 (15)
3.5智能联动封锁机制 (16) 四、高效稳定的底层架构设计 (16) 1.分离平面设计 (16) 2.多核并行处理 (17) 3.单次解析架构 (17) 4.跳跃式扫描技术 (18) 5.Sangfor Regex正则引擎 (18) 6.产品性能评测报告 (19) 五、深信服下一代防火墙品牌优势 (19) 1.市场引领者 (19) 2.专业权威的认可 (20) 3.专业安全攻防团队 (21) 4.产品可靠稳定 (21) 六、典型场景和案例 (22) 典型应用场景 (22) 典型应用案例 (23) 七、部分客户列表 (25)
深信服上网行为管理M5000-AC产品参数及介绍
南京秉创信息技术有限公司 --------深信服M5000-AC上网行为管理设备 主要技术特点: 1.深度内容检测技术,封堵所有P2P软件(BT、电驴等); 2.邮件延迟审计专利,保证所有邮件先延迟、后发送; 3.监控所有即时通讯软件(QQ、MSN等)聊天记录; 4.独有网络访问准入规则,只允许符合上网策略的用户连接Internet; 5.详细的日志中心,记录所有上网行为; 6.分组管理,对特定组启用监控/不监控; 适用于内网用户数在100人以下的小型网络 功能特性: 一、上网行为控制,规范员工上网行为,提高工作效率; 多种认证机制,细致的用户分组和权限划分,基于时间段为用户分配合适的权限; 独特的WEB认证、基于浏览器实现方便的用户识别与认证; 网页过滤、关键字过滤、深度内容检测等多种控制功能,管控员工在上班时间访问与工作无关的网站、网络聊天、网络游戏、炒股、看电影、P2P行为、文件上传下载等;管控Email、FTP等行为。 独有的网络访问准入系统(专利技术),只允许符合指定条件的用户才可以连接Internet,避免内网用户遭受病毒、木马、间谍软件等安全威胁; 二、强大的监控和审计,保护内部数据安全、防止机密信息泄漏 记录所有访问过的网址、网页标题和网页内容、HTTP/FTP上传下载、通过BBS、BLOG 发表的内容;各种搜索记录,QQ、MSN等聊天内容等,所有上网记录,均可完整再现; 特有的邮件延迟审计专利技术,保证所有Email邮件先审计、后发送;Webmail网页邮件内容全面记录,包括正文和附件。 防止公司机密信息通过邮件、即时通讯软件、BBS等途径泄漏; 独特的“免审计Key”功能,彻底免除对组织高层领导的网络行为记录;
深信服上网行为管理安全网关
深信服上网行为管理安全网关 一、深信服上网行为管理安全网关产品 SINFOR M5100-AC-S 38000元/台适用中小型网络,标配4个100M电口; SINFOR M5400-AC-S 100000元/台适用中型网络,标配2个100M电口4个1000M 电口; SINFOR M5400-AC-P 150000元/台适用中大型网络,标配4个1000M电口2个1000M光口 二、深信服上网行为管理安全网关产品截图 (1)防火墙模块 (2)分组模块
(3)控制模块 (4)流量控制模块 (5)记录审计模块
三、深信服产品介绍 针对网络安全问题和用户需求,SINFOR M5X000-AC上网行为管理设备为您提供了完善的解决方案。针对内网用户的各种互联网访问行为,能够全面封堵网站浏览、QQ聊天等各种工作无关网络行为;封堵和流控当前的BT、eMule等,和未来可能出现的各种P2P 应用;杜绝不良网站和风险文件的访问及下载,防范DOS攻击及ARP欺骗等;独特的敏感内容拦截和安全审计功能,防止机密泄露;全面记录网络行为日志,避免法律风险,并让IT管理者对网络效能和行为进行方便的统计、审计、分析、报表;再辅以SINFOR M5X00-AC 的其他安全扩展功能,全方位保障您的网络安全。 四、深信服上网行为管理安全网关产品特色 产品主要特点: 网关+终端、行为+内容的完整上网行为管理解决方案; 业界最丰富的用户认证方式,网络准入规则提供安全终端接入; 针对用户组、用户、应用提供更细粒度的访问控制; 针对应用协议、网站类型、文件类型等智能流量管理; URL库数量:1000万以上 最全的应用识别协议库,24大类,370多条应用识别规则; 精准识别SSL加密流量、未知P2P行为、加密IM软件聊天内容; 独立日志中心,提供海量存储、内容检索、模糊查询、自动报表等功能 支持网关、网桥、旁路等多种部署方式;网桥模式下并支持多路桥接功能
深信服用户管理以及流量管理配置教程
深信服用户管理以及流量管理配置教程 一、新增用户组 登陆设备后点击左边的“导航菜单”→“用户与策略管 理”→“组/用户” 在右边会出现设备的用户组织结构,这里出现了 default、公司领导、普通员工、服务器和网络管理中 心五个用户组。其中default用户组是系统默认存在的,其它四个是通过以下方法增加的。 如下图所示,点击右边的“成员管理”→“新增” 选择“组”选项,就会出现如下界面
在“组名列表”种输入工作组的名称点击“提交”即可。公司领导、普通员工、服务器和网络管理中心四个用户组都是这样添加进去的。 二、在用户组中添加用户 如下图所示,以在“网络管理中心”用户组增加新用户为例,点击“网络管理中心”用户组,右边会列出该用户组中的所有用户,点击“成员管理”→“新增”→“用户”
出现如下图界面,其中在“启用此用户”那里打钩,这里的策略是用IP地址作为用户名,在“显示名”那里填写了显示名后,该显示名会附加出现在登陆名后。
有时候会出现下面的警告
这是因为该IP地址以前已经被设备识别了,被设备默认加入了default用户组中了,而同一个用户是不能同时存在两个不同的用户组中的。因此,去default用户组寻找到该用户,并将该用户移动到“网络管理中心”用户组中。如下图所示: 出现以下界面 单击选择“网络管理中心”,出现以下界面
点击“移动”即可。 这样,就可以把所有需要的用户添加到相应的用户组中了。 三、新增线路 所谓线路这里就是指出去外网的链路,藤县水利电业有限公司现在只有一条正在使用的外网链路,所以只需要设置一条线路即可。 如上图所示,进入导航菜单→流量管理→虚拟线路配置 在右边的“虚拟线路列表”中点击“新增”出现以下界面
深信服流控方案
深信服上网流量管理 解决方案 深信服科技有限公司 2013年XX月XX日
目录 第1章概述 (4) 第2章需求分析 (5) 第3章建设原则 (6) 第4章设计思路 (9) 第5章方案介绍 (10) 5.1解决方案 (10) 5.1.1部署模式 (10) 5.1.2身份认证 (12) 5.1.3应用识别 (14) 5.1.4流量控制 (17) 5.2设备选型 (23) 5.2.1公司介绍 (23) 5.2.2产品介绍 (24) 5.3方案优势 (24) 5.3.1全面 (24)
5.3.2灵活 (25) 5.3.3有效 (25) 5.4应用价值 (25) 5.4.1提升工作效率 (26) 5.4.2提高带宽利用率 (26) 第6章典型案例 (28) 6.1中粮集团 (28) 6.2清远供电局 (31) 6.3其他部分用户名单 (33) 第7章售后服务 (35) 7.1深信服服务体系介绍 (35) 7.1.1简述 (35) 7.1.2技术支持及服务内容 (36) 7.2深信服服务及维修流程 (37)
项目概述,客户背景介绍……
第2章需求分析 (拓扑图,网络结构描述,应用描述,现存问题……) 随着信息技术的快速发展,网络应用更新换代频繁,新兴应用不断涌现。互联网在给生活和工作带来便捷的同时也对上网流量管理带来了新的挑战。随着互联网的普及,企业业务几乎都依托于互联网进行。ERP、CRM、OA、Mail、电子商务、视频会议等系统已成为基础设施,共同构成业务信息化平台。但是在内部网络中,除了这些关键业务系统外,还存在着P2P下载、在线视频、网络炒股、购物、游戏、在线小说等非关键业务应用,形成了复杂的网络应用“脉络”。 在众多的网络应用中,尤以P2P应用的带宽侵蚀性最为强烈。据调查统计,P2P应用对带宽占用比大致是40%~60%,在极端情况下占用比会达到80%~90%。同时,再加上其他与工作无关的应用占用了带宽资源。核心业务应用得不到充分的带宽资源,员工在日常工作中反应网络慢,严重影响工作效率。因此,企业需要完善的上网流量管理方案,对带宽资源进行合理的分配。 传统的流控方式是使用QoS技术实现基于源地址、目的地址、源端口、目的端口以及协议类型等“五元组”的流量控制。通过“五元组”定义各种流量,针对不同流量实施不同的排队机制和拥塞机制以实现控制流量的目的。但这种传统的IP数据包流量识别和QoS技术,仅根据数据包头中的“五元组”信息进行分析,却无法识别出流量中所涉及的应用,因此,无法对应用进行精细的流控。
深信服AC系列上网行为管理
深信服AC系列上网行为管理产品作为中国上网行为管理领域的第一品牌,可助您实现对互联网访问行为的全面管理。深信服上网行为管理产品凭借强大的功能和简便的操作,可在网页过滤、行为控制、流量管理、防止内网泄密、防范法规风险、互联网访问行为记录、上网安全等多个方面为您提供最有效的解决方案。 深信服科技在IDC中国发布的2010年下半年中国安全内容管理市场(上网行为管理市场)报告中占有率达到40%,在2009年占有率达到33.8%,蝉联市场占有率第一。 深信服上网行为管理为您解决以下问题: 防止带宽资源滥用 深信服AC系列上网行为管理产品通过基于应用类型、网站类别、文件类型、用户/用户组、时间段等的细致带宽分配策略限制P2P、在线视频、大文件下载等不良应用所占用的带宽,保障OA、ERP等办公应用获得足够的带宽支持,提升上网速度和网络办公应用的使用效率。 防止无关网络行为影响工作效率 深信服AC系列上网行为管理产品可基于用户/用户组、应用、时间等条件的上网授权策略可以精细管控所有与工作无关的网络行为,并可根据各组织不同要求进行授权的灵活调整,包括基于不同用户身份差异化授权、智能提醒等。 记录上网轨迹满足法规要求 深信服AC系列上网行为管理产品可以帮助组织详尽记录用户的上网轨迹,做到网络行为有据可查,满足组织对网络行为记录的相关要求、规避可能的法规风险。 管控外发信息,降低泄密风险 深信服AC系列上网行为管理产品充分考虑网络使用中的主动泄密、被动泄密行为,从事前防范、事中告警、事后追踪等多方面防范泄密,为组织保护信息资产安全,降低网络风险。
掌握组织动态、优化员工管理 深信服AC系列上网行为管理产品通过风险智能报表来自动发现存在离职风险或有工作效率问题的员工,并通过关键字报表和热贴报表来反映员工思想动态。风险智能报表能够自动提示管理者关注离职倾向、泄密风险、工作效率降低等员工管理风险,而关键字报表和热贴排行等报表将有助于组织深入了解员工的思想动态,并以此为基础实施组织文化建设、制度改进等针对性措施,从而提高员工管理水平。 为网络管理与优化提供决策依据 深信服AC系列上网行为管理产品提供了丰富的网络可视化报表,能够提供详细报告让管理者清晰掌握互联网流量的使用情况,找到造成网络故障的原因和网络瓶颈所在,从而对精细化管理网络并持续加以优化提供了有效依据。 防止病毒木马等网络风险 通过部署深信服AC系列上网行为管理产品,利用其内置的危险插件和恶意脚本过滤等创新技术过滤挂马网站的访问、封堵不良网站等,从源头上切断病毒、木马的潜入,再结合终端安全强度检查与网络准入、DOS防御、ARP欺骗防护等多种安全手段,实现立体式安全护航,确保组织安全上网。 低成本且有效推行IT制度 深信服AC系列上网行为管理产品能够实现用户网络权限的细致分配以及带宽的优化管理,通过事前精细规范、事中智能提醒、事后报表呈现等手段实现有效管理;通过将是否具备上网权限与用户对IT制度的遵从情况进行绑定,强制要求用户遵从组织IT制度里的各项细则规定(如必须安装指定的杀毒软件或桌面管理软件等),并且可以根据组织要求进行各种智能提醒,通过创新技术的应用,让IT管理制度融入每位用户的日常工作中。 深信服"第二代上网行为管理"推出的上网安全桌面产品,弥补了传统上网行为管理在安全方面的不足。上网安全桌面产品采用了业内领先的"沙盒"以及"重定向"等技术,仅占用电脑极小部分内存,在不改变用户使用习惯、不增加操作复杂度的前提下,将内网与风险重重的互联网隔离开,防止病毒、木马对电脑和内部局域网的侵袭,保护内网电脑与企业信息、个人隐私安全。同时,位于网关处的上网行为管理设备与终端安全桌面形成了端到端的安全解决方案,上网安全桌面与AC设备的恶意网址过滤等创新技术相结合,实现立体式安全护航,形成一套真正适合企业级市场的上网行为管理方案。 目前在上网安全领域,深信服上网安全桌面产品得到了大量客户的认可,已有招商银行等大型金融、企业客户使用。 防止病毒对电脑的破坏: 访问互联网时,常常会无意中下载到一些包含恶意病毒的文件,这些病毒程序通常是极具破坏力的,严重时会造成计算机系统的崩溃。当内网用户使用安全桌面上网,"沙盒"以及"重定向"技术使本机内真实系统与文件、注册表得到了保护,而访问目录权限功能使病毒无法访问继而感染本机内部文件,有效地防止了病毒对本机系统的破坏,弥补传统杀毒产品对安全事件事前防护的不足。 防止电脑数据泄露: 互联网上同样充斥着各种木马程序,当用户上网时,木马就可能通过一封经过伪装的邮件附件,非正规网站上下载的文件,甚至是浏览器程序漏洞,悄悄潜入这台电脑。这样黑客便可以肆无忌惮的通过木马