迪普
迪普科技 DSE数据库透明加密系统 DSE1000系列产品说明书
迪普科技数据库透明加密系统是一款基于透明加密技术的安全加密系统,该产品能够实现对数据库数据的加密存储、访问控制增强、应用访问安全以及三权分立等功能。
数据库加密系统基于主动防御机制,有效防止明文存储引起的数据泄密、突破边界防护的外部黑客攻击、来自于内部高权限用户的数据窃取、防止绕开合法应用系统直接访问数据库,从根本上解决数据库敏感数据泄漏问题,真正实现了数据高度安全、应用完全透明、密文高效访问等技术特点。
■加密过程无感知,保证业务连续性
支持闪电加密模式,加密过程业务不受影响,保证业务连续性。
■加解密速度快,性能影响低
内核级加解密模块对数据加密、解密过程性能要求小,保障业务流畅性。
■加密方式多样化
支持原生加密、通用加、闪电加密三种加密模式,可结合实际业务需求灵活选择加密方式。
■加密算法多样化
加密引擎支持多种主流加密算法,并支持SM4等国密算法。
■多维度数据资产细粒度加密
可支持敏感数据表、列等不同细粒度的数据加密。
DSE1000 数据库透明加密系统
**此特性仅在特定款型支持。
迪普与华三的战争
迪普与华三的战争前言:基于自己长期对IT业的关注和兴趣,今天在我的博客上发表第三篇与网络设备有关的文章,感谢各位网友的长期关注,希望此文能给大家带来些许参考价值。
为了更好的阅读该文,敬请读者朋友先阅读一下我之前写的两篇博文:《HP收购3com给网络世界带来的变化》,《华三人-雇工的前世今生和未来》。
正文:迪普公司是一家纯民营企业,脱胎于H3C。
迪普公司成立之初的定位是做安全产品与服务,也可以说是为了弥补华三安全产品作为国外品牌产品无法进入政府、军队等行业的缺陷而成立的。
不过,世事总是在变化的,迪普觉得自己可以有更大的野心,迪普可以做成另外一个H3)。
发生在2009年11月的HP收购3com事件加快了迪普践行自己野心的步伐,于是迪普以迅雷不及掩耳之势完成了对H3C 公司 Commware平台的复制和修改,并起名为Commplat平台。
这一步极为关键,迪普此后就通过吸心大法迅速练就了与华三一样的内功,具备了独步天下的本钱,迪普也完成了自己天蚕般华丽的蜕变。
但,迪普的幕后老板Z先生却保持刻意的低调,他觉得迪普还没有到正面挑战H3C的时候。
与之相对应,迪普公司给外界的印象也大抵如此:迪普公司到目前为止还不是一家真正完整的公司,高级管理层不完整、市场团队不完整、服务团队也不完整,可能唯一显得比较完整的就是研发团队了。
这样一个迪普对外界是很有迷惑性的,就有很多人对迪普凭啥发起对华三的战争一直很不理解,迪普的实力还远不足以挑战华三。
但迪普的幕后老板Z先生可不这么想,首先是网络行业的巨大成长空间和利益空间让迪普不可能不为之所动,其次迪普有一颗英雄的心,更为重要的是迪普可以通过吸心大法获得与华三一样的内功。
我们都知道,华三的主业交换机和路由器的毛利率高达50%以上,华三号称每年的销售额已经高达百亿元。
由此可见,交换机和路由器在中国还是个很赚钱的营生。
在这样一个巨大的蛋糕面前,没有谁不会为此心动。
在H3C做一个最高级别的高管,HP每年能给予你的回报不会超过500万美元,再加上灰色部分,这个数字也不会超过600万美元。
迪普与华三的战争
迪普与华三的战争前言:基于自己长期对IT业的关注和兴趣,今天在我的博客上发表第三篇与网络设备有关的文章,感谢各位网友的长期关注,希望此文能给大家带来些许参考价值。
为了更好的阅读该文,敬请读者朋友先阅读一下我之前写的两篇博文:《HP收购3com给网络世界带来的变化》,《华三人-雇工的前世今生和未来》。
正文:迪普公司是一家纯民营企业,脱胎于H3C。
迪普公司成立之初的定位是做安全产品与服务,也可以说是为了弥补华三安全产品作为国外品牌产品无法进入政府、军队等行业的缺陷而成立的。
不过,世事总是在变化的,迪普觉得自己可以有更大的野心,迪普可以做成另外一个H3)。
发生在2009年11月的HP收购3com事件加快了迪普践行自己野心的步伐,于是迪普以迅雷不及掩耳之势完成了对H3C 公司 Commware平台的复制和修改,并起名为Commplat平台。
这一步极为关键,迪普此后就通过吸心大法迅速练就了与华三一样的内功,具备了独步天下的本钱,迪普也完成了自己天蚕般华丽的蜕变。
但,迪普的幕后老板Z先生却保持刻意的低调,他觉得迪普还没有到正面挑战H3C的时候。
与之相对应,迪普公司给外界的印象也大抵如此:迪普公司到目前为止还不是一家真正完整的公司,高级管理层不完整、市场团队不完整、服务团队也不完整,可能唯一显得比较完整的就是研发团队了。
这样一个迪普对外界是很有迷惑性的,就有很多人对迪普凭啥发起对华三的战争一直很不理解,迪普的实力还远不足以挑战华三。
但迪普的幕后老板Z先生可不这么想,首先是网络行业的巨大成长空间和利益空间让迪普不可能不为之所动,其次迪普有一颗英雄的心,更为重要的是迪普可以通过吸心大法获得与华三一样的内功。
我们都知道,华三的主业交换机和路由器的毛利率高达50%以上,华三号称每年的销售额已经高达百亿元。
由此可见,交换机和路由器在中国还是个很赚钱的营生。
在这样一个巨大的蛋糕面前,没有谁不会为此心动。
在H3C做一个最高级别的高管,HP每年能给予你的回报不会超过500万美元,再加上灰色部分,这个数字也不会超过600万美元。
H3C与迪普
迪普科技最近在市场上碰到了几次,由于对这个公司比较陌生,于是google了一下,于是有意外的收获发现,原来迪普科技就是H3C的中国壳公司。
查看了H3C和迪普科技的网站,发现迪普科技主要是销售H3C的安全的产品。
马上打电话问了一下在杭州的朋友,咨询迪普科技与H3C的关系。
从朋友的电话中了解到,迪普之所以只销售H3C的安全产品,是因为目前在政府市场中几乎不允许选择国外的安全产品。
而H3C目前就是外资公司,所以不能进入政府行业。
而且目前迪普科技的产品已经进入了中央政府采购的名单,所以在以后的打单中会经常发现,尤其是在行业销售中。
把迪普科技的产品型号和H3C的产品型号做了一个对应的关系,希望在竞争中能够把握好对应的关系。
迪普防火墙安装调试步骤
先创建一个VLAN10,然后给VLAN10接口一个ip地址,192.168.1.1/24。
把除了外网接口g0_0和管理口都加入到一个VLAN10里面。
如图1,2,3.
1
2
3
然后配置安全域,把g0_0接口加入到untrust中,把其他剩余的接口全部加入到turst中。
如图4
4
然后配置一条静态路由。
如图5
5
然后配置DHCP,需要配置接口,地址池,网关地址,域名服务器,配置完点击左上角开启DHCP功能。
如图6
6
然后做一条源NAT使内网可以访问到外网。
如图7
7
再做几条目的NAT,把内网服务器的地址给映射到公网。
如图8
8
然后做一条包过滤策略引用。
如图9
9
因为做映射的时候用到了80端口,所以要在管理员里面把80端口访问设备的方法关掉,把启用HTTP打勾去掉。
如图10。
迪普产品配置文档-基础篇(2012-11-05)
配置了关键字过滤功能,但无法过滤?
• 在配置行为审计的前提下,添加关键字过滤参数
35
35
UAG审计及流控
问题与排查
旁路模式,当设备异常重启或断电后,为何网络产生风暴?
• 中高端的GA、GE、TS设备,前三对儿接口默认自带断电保护,如镜像连接设备0、 1接口,设备正常运行下,0、1口为旁路且独立,当设备异常断电后,会启动断 掉保护机制,即0、1直通。建议使用不同接口对实现旁路,或SW上VLAN隔离
UAG 旁路部署模式
旁路部署方式 非在线部署
Internet 路由器
镜像 内部网络 交换机
对镜像流量进行用户行为审计
25
25
UAG审计及流控
调研信息
组网模式:在线模式、旁路模式、网关模式 PFP断电保护主机:是否使用,使用接口插卡类型(电、光) 开启安全策略:根据用户需求,如行为审计、流量分析、带宽限速等 UMC统一管理中心:是否安装
32
32
UAG审计及流控
配置步骤(7)
创建其他安全策略 修改管理员密码 修改管理地址,需同步修改日志输出“源IP” 添加管理默认路由
修改SNMP参数 修改日志保存时间(系统日志、业务日志、操作日志) 以上策略是否开启根据需求而定,配置方法参考用户手册
上下行链路接口类型(光、电)及速率、双工状态 部署链路数量 中、高端UAG,自带前三对儿电口断电保护功能
26
26
UAG审计及流控
配置步骤(1)
确认组网模式
•
•
透明桥接模式下几乎支持UAG所有功能,流控、审计、限速、web认证等
桥地址切忌与其他接口网段冲突,包括带外管理口
迪普安全产品线主打胶片
FW1000-TM-E
国家发改委
国家环保部
FW1000-TS-E
FW1000-GE-N FW1000-GA-N FW1000-GA-E FW1000-GM-N
中国银行 中国邮政
FW1000-GS-N FW1000-GC-N FW1000-ME-N FW1000-MA-N FW1000-MS-N
• 中国联通集采,防火墙中标50%份额,中国移动防火墙集采全线入围 • 中国银行三家安全产品供应商之一,全面应用于中行总行及全国十余家省行 • 国家电网变电二次装置协议库存采购,防火墙连续三年份额保持第一份额,IDS
中标份额超过40% • 国家电网信息协议库存货物招标,防火墙、IPS连续两年全线中标 • 南方电网二次安全防护防火墙招标,中标份额超过50%
教育行 业解决 方案
医疗行 业解决 方案
……
OVC虚拟化
紧耦合与流定义
L2~7虚拟化 全网融合
N:1虚拟化
产品技术体系
纵向虚拟化
1:M虚拟化 安全、应用交付与网络融合
APP-X
ConPlat
APP-ID
迪普安全产品线主打胶片
产品技术创新
L2~7融合操作系统ConPlat、高性能硬件架构APP-X、应用识别与威胁特征库APP-ID使得迪普 科技的产品在具有丰富网络特性的同时,天然识别和支持应用,全面满足应用对安全及效率的 需求
迪普安全产品线主打胶片
专业安全研究及服务能力
• 具备公安部、保密局、解放军、国家测评中心、国家认证中心等国内安全资质 • 当前国内最高的信息安全服务二级资质 • 经验丰富的服务成员,持有包括CISSP、ISO27001实施专家、ISO20000、CISP 、
迪普VPN1000-GS-E场景配置-互联网网关
03 组网配置
端口计划
接口 gige0_0 - gige0_7 为二层接口,access模式,加入VLAN10 VLAN地址为76.2.20.254
WAN口 gige0_28 76.2.11.100/24
管理口 192.168.0.1/24
04 配置安全域
将接口 gige0_0 – gige0_7、vlan-if10、tunnel ssl0 加入 Trust,将gige0_28加入Untrust,将接口 gige0_27加入DMZ。
VPN1000-GS-E
配置互联网网关功能
目录 CONTENTS
01计划配置拓扑 02VLAN配置 03组网配置 04配置安全域 05路由管理 0 6 N AT 配 置 07测试
01 计划配置拓扑
• 这是最常用的场景,由VPN1000-GS-E充当小型办公环境的互联网路由。
• 公司A已有互联网出口网关 76.2.11.254,局域网网段为 76.2.20.0/24, 局域网内计算机接入 VPN1000 端口 gige0_0 -- gige0_7 以访问互联网。
• 拓扑图如下:
内网工作组
工作站IP:76.2.20.2/24
VPN1000-GS-E
gige0_0-gige0_7 VLAN10:76.2.20.1/24
gige0_28 WAN IP:76.2.11.100/24
GATE:76.2.11.254
外网区域
互联网
02 VLAN配置
在VLAN管理中,增加VLAN10,并配置VLAN10 IP地址为 76.2.20.254
07 测试
将工作站配置IP 76.2.20.1/24 Gate 76.2.20.254,接入 gige0_0 – gige0_7 中任意接口。 测试 ping 76.2.11.254、61.139.2.69 都为联通状态。 访问互联网正常,实现部署意图。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
最大并发连接数≥300万
每秒新建连接数≥40K
吞吐量(1518字节)≥8Gbps
吞吐量(64字节)≥1.5Gbps
基于实际应用使用要求,中标产品需进行此项功能的单独测试,测试通过才能签订合同
IPSec VPN性能≥1.2Gbps
基本功能
包过滤、用状态检测防火墙
★支持IPsec VPN、SSL VPN,内置硬件加密芯片,无需单独付费购买IPsec VPN(2000用户以上)和SSL VPN(100用户以上)的license(制造商和投标人必须对此项要求进行单独承诺,并加盖公章)
具备中国信息安全测评中心《国家信息安全测评信息技术产品安全测评证书EAL3级》
具备中国信息安全认证中心《中国国家信息安全产品认证证书》
★保修和服务要求
提供三年保修服务,并提供制造商三年售后服务承诺原件,加盖制造商公章
千兆核心(出口)应用防火墙技术指标、参数和技术功能要求FW1000-GC-N
功能及指标要求
参数及技术功能要求
★设备配置要求
非UTM产品,分布式架构,防火墙采用多核处理器硬件架构
业务槽位数≥1
支持接口类型:千兆光口,千兆电口
≥2个千兆光口
≥6个10/100/1000 M以太网电口
配置双交流电源
配置三年应用协议特征库
★支持多条链路的路由负载均衡(制造商和投标人必须对此项要求进行单独承诺,并加盖公章)
支持FTP、HTTP、SMTP、RTSP、H323协议簇的状态报文过滤,支持基于源IP、目的IP、MAC、用户、域名、服务、应用、时间段安全策略设置。
支持专业的协议库,可对各种P2P协议进行基于用户的细粒度管理和控制,如迅雷、BT、eMule、PPLive、QQLive等
支持专业的协议库,对各种网络应用的审计,可按时间、用户行为、源IP、目的IP进行审计
支持专业的URL库,基于内容分类的URL访问控制,内置URL过滤特征库100万条以上,支持Web访问的黑、白名单设置
支持对IP/MAC地址自动探测和唯一性检查
支持Syslog、NAT转换、攻击防范、黑名单、地址绑定等日志
支持流量监控日志
支持二进制格式日志、支持用户行为流日志
防火墙必须支持一对一、地址池等NAT方式
必须支持必须支持多种应用协议,如FTP、H323、RAS、RTSP、SIP、ICMP、DNS、PPTP、NBT的NAT ALG功能
支持策略NAT ALG功能
支持策略NAT功能
支持应用层过滤,必须支持Java Blocking、ActiveX过滤,支持FTP协议深度检测,支持FTP命令字过滤,支持URL过滤
具备公安部《计算机信息系统安全专用产品销售许可证-千兆》
具备信息安全产品测评认证中心《国家信息安全认证产品型号认证证书-千兆》或中国信息安全测评中心《国家信息安全测评信息技术产品自主原创测评证书》
具备国家保密局《涉密信息系统产品检测证书》
具备解放军《军用信息安全产品认证证书》
具备国家版权局《计算机软件著作权登记证书》
支持静态路由、RIP v1/2、OSPF、BGP、策略路由等
部署模式
支持二层模式(透明模式)、三层模式(路由和NAT模式)和混合模式
配套管理
友好的Web图形界面配置,支持SSH、、TELNET、CONSOLE命令行模式配置
必须支持网管软件统一网管,支持SNMPv1、SNMPv2C、SNMPv3
★资质证明