MPSec ISG1000安全网关产品

MPSec ISG1000 F5和F2W安全网关

1产品概述 (1)

2产品特征 (3)

3产品规格 (5)

4典型应用场景 (7)

5订购信息 (10)

1 产品概述

1.1 产品图片

图一 MPSec ISG1000-F2/F2W网关正面图

图二 MPSec ISG1000-F5网关正面图

1.2 产品描述

MPSec ISG1000系列是面向运营商互联网专线、中小企业互联网出口应用、营业网点与总部之间的VPN 接入而开发的新一代高性能出口安全网关产品。

MPSec ISG1000系列产品采用自主开发的MPSec OS安全操作系统平台，突破硬件处理器对应用层安

全检测的性能瓶颈，能以高性能提供上网行为管理、流量控制、防病毒、IPS、VPN等功能。

MPSec ISG1000系列产品集防火墙、上网行为管理、流量控制、VPN、路由、WIFI等功能于一体，能够将多种业务部署在同一节点，在充分节约用户投资的情况下提供安全、灵活、便捷的一体化组网与接入方案，有效降低整体的运维成本。

2 产品特征

采用先进的硬件平台及软件架构

全线产品使用MIPS多核平台，高速安全处理，统一化的特征库和一体化分析处理引擎设计，极大的提高了多功能模块同时运行时的运行效率。

应用层多业务安全并发高性能

采用多核算法，突破安全产品硬件瓶颈。实现防火墙、VPN、防病毒、IPS防攻击、上网行为管理、流量控制、日志查询与审计多业务并发的真正高性能处理。

灵活的上网行为控制与审计

MPSec ISG1000系列安全出口网关能精确收集用户浏览的网站、发表的内容，结合用户认证系统可以精准定位到每个用户的上网行为。另外安全出口网关支持对VPN隧道内流量识别，可精确规范和审计隧道内的上网行为，并支持对隧道内各种应用实现分类，提供快速查询功能。

精确灵活的流量控制管理

MPSec ISG1000系列安全出口网关能够全面识别互联网常见应用，包括经常造成带宽滥用、工作效率降低的BT下载、IM及时通讯、在线视频、炒股、游戏等。将安全出口网关部署于网络的出口，可以有效地遏制各种应用抢夺宝贵的带宽和IT资源，从而确保网络资源的合理配置和关键业务的服务质量，显著提高网络的整体性能。

MPSec ISG1000系列安全出口网关支持灵活精确的流量控制，可以对IP与应用进行流量嵌套，支持4层QoS，可以对客户业务进行精细化控制。

支持全面的网络攻击防护

支持DoS/DDoS攻击防护，支持MAC和IP绑定功能，支持智能防范蠕虫病毒技术、ARP攻击防护、TCP 报文标志位不合法攻击防范、超大ICMP报文攻击防范等等网络攻击防护。

完善的日志管理与审计

提供各种日志功能、流量统计和分析功能、各种事件监控和统计功能、邮件告警功能，配合日志管理

系统可以完成日志的记录、查询和分析。

高性能的硬件VPN处理

内置专用的硬件VPN协处理模块，支持GRE、L2TP、IPSec、SSL VPN等多种VPN业务模式。支持多种平台移动终端VPN接入。

高可靠性保障

支持双机状态热备功能，支持Active/Active和Active/Passive两种工作模式，实现负载分担和业务备份，支持自动同步特征库和策略库。支持双配置文件，设备关键部件均采用冗余设计。

灵活的无线接入

MPSec ISG1000系列支持插3G卡，支持3G拨号，可以在3G上建立IPSEC VPN，可以作为主链路或者主IPSEC VPN的备份链路，能够做到即时切换。

MPSec ISG1000-F2W支持WIFI接入，提供WLAN终端灵活接入，支持802.11b/g/n，支持802.11n 2*2 MIMO接入。

3 产品规格3.1 硬件规格

3.2 软件规格

4 典型应用场景

4.1 互联网专线接入

1.ISG1000部署在互联网出口，作为企业用户内部办公、上网使用，或者作为内部服务器对外

提供访问。

2.产品使用的功能一般包括：

●边界控制：为内网、外网、服务器区等提供严格的访问控制

●NAT：为局域网提供内部地址转换

●策略路由、负载均衡：优化用户互联网访问，提升用户体验

●HQoS：对业务、IP进行流量控制，保障关键应用

●上网行为管理：对网点或者总部上互联网业务进行上网行为控制与审计

●入侵防护：对局域网尤其是服务器区提供实时入侵攻击防护

●病毒防护：对服务器区提供病毒攻击防护

●移动用户SSL VPN接入

3.MPSec ISG1000产品在此场景的主要亮点是：

●NAT、上网行为控制、上网行为日志审计与查询，本地日志存储与查询；

●流量控制、HQoS、基于应用的流量控制、基于IP的流量控制；

●ISG1000-F2W支持WIFI用户接入，支持IEEE 802.11b/g/n；

4.2 营业网点接入

1.此应用场景主要应用在银行或者金融机构的营业网点与总部机构（地市分行或者总公司）之

间建立IPSEC VPN传输OA等其他业务，银行网点可通过本地互联网出口上互联网。

2.产品使用的功能一般包括：

●边界控制：为内网、外网、提供严格的访问控制

●NAT：为局域网提供内部地址转换

●负载均衡：优化用户互联网访问，提升用户体验

●HQoS：对业务、IP进行流量控制，保障关键应用

●VPN：封装网点与总部的关键内网业务

●上网行为管理：对网点或者总部上互联网业务进行上网行为控制与审计

●入侵防护：对局域网尤其是服务器区提供实时入侵攻击防护

●病毒防护：对服务器区提供病毒攻击防护

3.MPSec ISG1000产品在此场景的主要亮点是：

●NAT、上网行为控制、上网行为日志审计与查询，本地日志存储与查询；

●流量控制、HQoS、基于应用的流量控制、基于IP的流量控制；

●ISG1000-F2W支持WIFI用户接入，支持IEEE 802.11b/g/n；

5 订购信息

应用安全网关产品白皮书 v6.2

新一代的SSL VPN产品网康应用安全网关6.2 产品白皮书北京网康科技有限公司 2012年5月

版权声明北京网康科技有限公司?2012版权所有，保留一切权力。本文件中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属北京网康科技有限公司（以下简称网康科技）所有，受到有关产权及版权法保护。未经网康科技书面许可不得擅自拷贝、传播、复制、泄露或复写本文档的全部或部分内容。信息更新本文档仅用于为最终用户提供信息，并且随时可由网康科技更改或撤回。适用版本本文档适用于ASG 6.2版本。免责条款根据适用法律的许可范围，网康科技按“原样”提供本文档而不承担任何形式的担保，包括（但不限于）任何隐含的适销性、特殊目的适用性或无侵害性。在任何情况下，网康科技都不会对最终用户或任何第三方因使用本文档造成的任何直接或间接损失或损坏负责，即使网康科技明确得知这些损失或损坏，这些损坏包括（但不限于）利润损失、业务中断、信誉或数据丢失。期望读者期望了解本产品主要技术特性的用户、企业管理人员、系统管理员、网络管理员等。本文档假设您对下面的知识有一定的了解： ?Web与HTTP ?TCP/IP协议 ?SSL与IPSec ?网络安全基础知识 ?Windows操作系统

目录 1 背景 (5) 1.1 企业应用发展趋势 (5) 1.2 企业应用安全的新挑战 (5) 1.3 网康科技虚拟应用网络VAN新理念 (6) 2 网康科技应用安全网关ASG (7) 2.1 ASG产品系统架构 (8) 2.2 应用安全网关工作原理 (8) 2.3 用户使用场景 (9) 2.3.1 采用浏览器访问企业内部应用 (9) 2.3.2 使用客户端软件访问企业内部应用 (9) 2.3.3 在分支机构内部的用户 (10) 2.4 应用安全网关ASG主要功能列表 (10) 3 应用安全网关ASG功能特点与优势 (10) 3.1 SSL与IPSec二合一 (10) 3.2 高强的用户认证技术与动态认证功能模块添加 (11) 3.2.1 用户认证模板 (12) 3.2.2 动态添加第三方认证 (12) 3.3 全面支持安卓与苹果智能终端 (12) 3.4 高度整合虚拟应用，完美支持“云”计算 (13) 3.5 支持多种类型的浏览器插件 (14) 3.6 单点登陆（SSO） (14) 3.7 支持用户自注册与在线审核 (15) 3.8 用户账户的自助管理 (15) 3.9 虚拟站点，支持门户定制化 (17) 3.10 支持自用软件的自助上传 (18) 3.11 基于应用的访问策略控制 (18) 3.12 客户终端接入扫描与终端流量控制 (19) 3.13 完备的系统管理方式 (19) 3.14 丰富的日志与统计报表工具 (20) 3.15 双机与多机热备 (20) 3.16 简便易用，快速部署 (22) 3.16.1 无需安装客户端软件，即插即用 (22) 3.16.2 Web优化技术 (22) 3.16.3 支持各种网络环境 (22) 3.16.4 动态页面重构技术，完美支持WEB应用访问 (23) 3.16.5 使用SSL Tunnel技术支持所有的C/S架构应用 (23) 3.16.6 大量使用配置模板与默认设置，方便管理 (24) 3.16.7 典型配置指导 (24) 3.16.8 开机快速初始化，无需复杂配置 (24) 4 应用安全网关的部署建议 (26) 4.1 网关方式部署 (26)

虚拟化安全趋势杀毒

虚拟化安全趋势杀毒虚拟化安全可行性探讨对于虚拟化系统的病毒问题，口前都是用物理机的解决方案进行，但是使用这样的解决方案存在很多的问题，具体如下： 1（在每个虚拟机上部署防病毒软件，这会更多的占用ESX Server的资源，如:CPU、内存、I/O等内容，造成虚拟化密度低，造成投资； 2（如果全部的防病毒软件同时进行系统扫描，这样会形成“病毒风暴”把 ESX Server的资源全部吃满，其至造成宕机； 3（每个虚拟机上都部署防病毒软件，管理员就要对每个虚拟机进行登录管理、监控、维护，比如病毒码升级、软件故障处理等，会造成管理的复杂； 4（虚拟机存在使用和关闭两种情况，对于关闭的虚拟系统是不能够部署新的病毒码的，但是这个虚拟机是和虚拟化平台底层可以通信的，所以很容易被利用造成破坏；由于存在以上的众多问题，我们需要一为虚拟环境所打造的防病毒解决方案，此方案应该是只在每台物理服务器上安装一次，同时达到如下效果：（-）提升硬件服务器使用率 a）相同硬件能提高虚拟机密度 b）提高300,服务器使用率（二）简化管理 a）以主机为单位的保护管理 b）一次性安装，部署（三）自动继承的保护 a）虚拟镜像即装即防 b）即便裸机也能立即保护

这样的虚拟化解决方案才是理想的解决方案，其工作原理如下图：其能够实现如下功能：（―）在访问扫描文件打开/关闭触发杀毒引擎进行扫描提供对文件的扫描数据（二）按需扫描杀毒引擎发起对所有客户档案系统进行扫描（三）缓存和筛选数据和结果的缓存，以减少数据流量和优化性能基于文件名、后缀名进行排除清单（四）整治删除，清除，阻断，隔离基于VC报警系统对处理进行通告 VMware系统首推的解决方案为趋势科技的Deep Security,解决方案如下：此产品的性能非常理想，我们通过第三方测试结果、在我们实际环境中的测试进行了验证，验证情况如下：

安全网关和IDS互动解决方案

安全网关和IDS互动解决方案该方案特点：通过安全网关（被动防御体系）与入侵检测系统（主动防御体系）的互动，实现“主动防御和被动防御”的结合。对在企业内网发起的攻击和攻破了安全网关第一道关卡的黑客攻击，可以依靠入侵检测系统阻断和发现攻击的行为，同时通过与安全网关的互动，自动修改策略设置上的漏洞不足，阻挡攻击的继续进入。两者的联动示意如下图：方案概述： 1、项目简介某市电力局为安徽省级电力公司下属的二级单位，信息化程度较高，目前已经建成生产技术和运行子系统、用电管理子系统、办公自动化子系统、财务子系统、物资子系统和人劳党政子系统等。该电力局内部网络与三个外网相连，分别通过路由器与省电力公司网络、下属六个县局

网络和银行网络进行数据交换。 2、安全方案通过对该电力局的网络整体进行系统分析，考虑到目前网上运行的业务需求，本方案对原有网络系统进行全面的安全加强，主要实现以下目的： 1)保障现有关键应用的长期可靠运行，避免病毒和黑客攻击； 2)防止内外部人员的非法访问，特别是对内部员工的访问控制； 3)确保网络平台上数据交换的安全性，杜绝内外部黑客的攻击； 4)方便内部授权员工（如：公司领导，出差员工等）从互联网上远程方便地、安全地访问内部网络，实现信息的最大可用性； 5)能对网络的异常行为进行监控，并作出回应，建立动态防护体系。为了实现上述目的，我们采用了主动防御体系和被动防御体系相结合的全面网络安全解决方案，如下图所示。

主动防御体系主动防御体系由漏洞扫描和入侵检测及与安全网关的联动系统组成。主要在网络中心增加“入侵检测系统”、“漏洞扫描系统”和统一的“安全策略管理”平台。用户主动防范攻击行为，尤其是防范从单位内部发起的攻击。对在企业内网发起的攻击和攻破了安全网关第一道关卡的黑客攻击，可以依靠入侵检测系统阻断和发现攻击的行为，同时通过与安全网关的互动，自动修改策略设置上的漏洞不足，阻挡攻击的继续进入。本方案在交换机上连入第三方的入侵检测系统,并将其与交换机相连的端口设置为镜像端口，由IDS传感器对防火墙的内口、关键服务器进行监听，并进行分析、报警和响应；在入侵检测的控制台上观察检测结果，并形成报表，打印。在实现安全网关和入侵检测系统的联动后,可以通过下面方法看到效果：使用大包ping 位于安全网关另一边的主机（这属于网络异常行为）。IDS会报警，ping通一个icmp包后无法再ping通。这时检查安全网关“访问控制策略”会发现动态地添加了阻断该icmp的策略。 “漏洞扫描系统”是一种网络维护人员使用的安全分析工具，主动发现网络系统中的漏洞，修改安全网关和入侵检测系统中不适当的设置，防患于未然。 “安全策略管理”统一管理全网的安全策略（包括：安全网关、入侵检测系统和防病毒等），作到系统安全的最优化。被动防御体系被动防御体系主要采用上海本公司的SGW系列安全网关(Firewall+VPN)产品。在Cisco路由器4006与3640之间，插入安全网关SGW25是必须的。主要起到对外防止黑客入侵，对内进行访问控制和授权员工从外网安全接入的问题，SGW25在这里主要发挥防火墙和VPN的双重作用。 1)保障局域网不受来自外网的黑客攻击，主要担当防火墙功能； 2)能够根据需要，让外网向internet的访问提供服务，如：Web，Mail，DNS等服务； 3)对外网用户访问（internet）提供灵活的访问控制功能。如：可以控制任何一个内部员工能否上网，能访问哪些网站，能不能收发email、ftp等，能够在什么时间上网等等。简而言之，能够基于“六元组”【源地址、目的地址、源端口号（即：服务）、目的端口号（即：服务）、协议、时间】进行灵活的访问控制。 4)下属单位能够通过安全网关与安全客户端软件之间的安全互联，建立通过

Deep-Security虚拟化安全解决方案

XXX 虚拟化安全解决方案

趋势科技（中国）有限公司 2011年9月

目录第1章.概述 (3) 第2章.XXX虚拟化安全面临威胁分析 (4) 第3章.XXX虚拟化基础防护必要性 (7) 第4章.趋势科技虚拟化安全解决方案 (8) 第5章.XXX虚拟化安全部署方案 (14) 5.1.VMware平台部署方案 (14) 5.2.趋势虚拟安全方案集中管理 (15) 5.3.XXX虚拟化防护解决方案拓扑 (15) 第6章.趋势科技DeepSecurity介绍 (16) 6.1.DeepSecuirty架构 (16) 6.2.DeepSecuirty部署及整合 (18) 6.3.DeepSecuirty主要优势 (19) 6.4.DeepSecuirty模块 (21)

第1章.概述 XXX内的大量服务器承担着为各个业务部门提供基础设施服务的角色。随着业务的快速发展，数据中心空间、能耗、运维管理压力日趋凸显。应用系统的部署除了购买服务器费用外，还包括数据中心空间的费用、空调电力的费用、监控的费用、人工管理的费用，相当昂贵。如果这些服务器的利用率不高，对企业来说，无疑是一种巨大的浪费。在XXX，这些关键应用系统已经被使用Vmware服务器虚拟化解决方案。这解决企业信息化建设目前现有的压力，同时又能满足企业响应国家节能减排要求。而服务器虚拟化使XXX能够获得在效率、成本方面的显著收益以及在综合数据中心更具环保、增加可扩展性和改善资源实施时间方面的附加利益。但同时，数据中心的虚拟系统面临许多与物理服务器相同的安全挑战，从而增加了风险暴露，再加上在保护这些IT资源方面存在大量

安全网关产品说明书

安全网关产品说明书集团文件发布号：（9816-UATWW-MWUB-WUNN-INNUL-DQQTY-

安全网关产品说明书介绍欢迎并感谢您选购联通网络信息安全产品，用以构筑您的实时网络防护系统。ZXSECUS统一威胁管理系统（安全网关）增强了网络的安全性，避免了网络资源的误用和滥用，帮助您更有效的使用通讯资源的同时不会降低网络性能。ZXSECUS统一安全网关是致力于网络安全，易于管理的安全设备。其功能齐备，包括：应用层服务，例如病毒防护、入侵防护、垃圾邮件过滤、网页内容过滤以及IM/P2P过滤服务。网络层服务，例如防火墙、入侵防护、IPSec与SSLVPN，以及流量控制。管理服务，例如用户认证、发送日志与报告到USLA、设备管理设置、安全的web与CLI管理访问，以及SNMP。 ZXSECUS统一安全网关采用ZXSECUS动态威胁防护系统（DTPSTM）具有芯片设计、网络通信、安全防御及内容分析等方面诸多技术优势。独特的基于ASIC上的网络安全构架能实时进行网络内容和状态分析，并及时启动部署在网络边界的防护关键应用程序，随时对您的网络进行最有效的安全保护。 ZXSECUS设备介绍所有的ZXSECUS统一安全网关可以对从soho到企业级别的用户提供基于网络的反病毒，网页内容过滤，防火墙，VPN以及入侵防护等防护功能。 ZXSECUS550 ZXSECUS550设备的性能，可用性以及可靠性迎合了企业级别的需求。ZXSECUS550同样也支持高可用性群集以及包括在HA设备主从设备切换时不会丢弃会话，该设备是关键任务系统的理想选择。 ZXSECUS350

安全网关产品介绍

安全网关产品介绍一、产品定义简单的说：是为互联网接入用户解决边界安全问题的安全服务产品。详细的说：“安全网关”是集防火墙、防病毒、防垃圾邮件、IPS 入侵防御系统/IDS入侵检测系统、内容过滤、VPN、DoS/DdoS攻击检测、P2P应用软件控制、IM应用软件控制等九大功能和安全报表统计分析服务为一体的网络信息安全产品。二、产品特点 1）采用远程管理方式，利用统一的后台管理平台对放在客户网络边界的网关设备进行远程维护和管理。 2）使用范围广，所有运营商的互联网专线用户均可使用。 3）解决对信息安全防护需求迫切、资金投入有限、专业人员缺乏的客户群体，以租用方式为用户提供安全增值服务，实现以较低成本获得全面防御。 4）功能模块化、部署简便、配置灵活。四、（UTM）功能模块 1）防火墙功能及特点：针对IP地址、服务、端口等参数，实现网络层、传输层及应用层的数据过滤。 2）防病毒功能及特点：能够有效检测、消除现有网络的病毒和蠕虫。实时扫描输入和输出邮件及其附件。

3）VPN功能及特点：可以保护VPN网关免受Ddos（distributed Deny of Service）攻击和入侵威胁，并且提供更好的处理性能，简化网络管理的任务，能够快速适应动态、变化的网络环境。 4）IPS（Intrusion Prevention System , 入侵防御系统）功能及特点：发现攻击和恶意流量立即进行阻断；实时的网络入侵检测和阻断。随时更新攻击特征库，保障防御最新的安全事件攻击。 5）Wed内容过滤功能及特点：处理浏览的网页内容，阻挡不适当的的内容和恶意脚本。 6）垃圾邮件过滤功能及特点：采用内容过滤、邮件地址/MIME头过滤、反向DNS解析以及黑名单匹配等多种垃圾邮件过滤手段。 7）DoS/DDoS（distributed Deny of Service）攻击检测功能：“安全网关”能够有效检测至少以下典型的DoS/DDoS攻击，并可以根据设定的Tcp_syn_flood、udp_flood等阀值阻断部分攻击。 8）P2P应用软件控制功能：可以实现对BitTorrent、eDonkey、Gnutella、KaZaa、Skype、WinNY，Xunlei等P2P软件的通过、阻断及限速。 9）IM应用软件控制功能：“安全网关”提供对IM应用软件的控制功能，可以实现对AIM、ICQ、MSN、Yahoo!、SIMPLE、QQ等IM软件的控制，包括：阻断登录、阻断文件传输等控制。 10）安全报表服务：“安全网关”提供用户报表定制功能，能够根据用户的要求对报表格式、发送方式及发送频率进行定制。其中内容包括：A、安全服务套餐报表；B、安全策略设置一览表；C、网络带宽占用及流量分析报告或报表；D、攻击事件分析报告或报表；E、按名称的病毒排名：本客户的病毒爆发次数排名；F、按IP的病毒排名：本客户所有计算机的病毒爆发多少排名；G、垃圾邮件排名：统计垃

趋势科技网络病毒墙_(_NVW_)_解决方案

趋势科技网络病毒墙 ( NVW ) 解决方案 I概述如今的网络恶意攻击，诸如网络病毒和互联网蠕虫的四处蔓延已使现有的安全防措施捉襟见肘。这些网络恶意攻击是危险的，因为它们在网络层传播，无法通过传统的病毒码文件方法来检测，且通常是利用操作系统和软件程序的漏洞发起攻击。虽然厂商们针对这些漏洞发布了补丁程序，但大多数公司通常都无法真正应用这些补丁，因为他们要花很多时间来从众多的设备中确定哪些设备需要打补丁，有时还会怀疑厂商提供的补丁是否可靠。此外，这些网络恶意数据包在传播过程中要使用网络资源，从而造成网络带宽严重拥塞，降低了企业的生产效率。现有传统防病毒理念无法有效抵御当前的网络病毒恶意攻击，因为它们只能对威胁进行监控而无法及时提供可靠的信息来帮助IT 管理人员防御或遏制攻击，或在安全威胁渗透进入网络后采取及时的行动。IT 管理人员在遏制这些攻击时遇到的共同问题包括： ●没有足够的信息来确定相关的漏洞打补丁的优先顺序 ●无法准确、快速的获得最新的病毒预警 ●无法隔离未安装补丁程序和/或被感染的机器以防止病毒传播 ●防毒产品的部署率没有达到100%，某些客户机或服务器没有安装防毒软件 ●病毒代码库的更新速度永远赶不上病毒传播的速度 ●很难精确定位感染源并管理整个公司网络的远程清除工作 ●无法判断移动（笔记本）用户从外部把病毒带到办公室里来 ●远程办公用户通过与公司建立的连接（安全或不安全）将病毒带到公司部 ●无法对不符合安全策略要求和已感染设备的网络访问进行控制

因此最新的网络蠕虫传播已经不再需要借助文件系统了，传统的防病毒措施已经不能适应新的网络安全需求，再加上防病毒及安全策略的统一强制实施比较困难，当病毒进入到企业部会发生: ●部的网络流量突然暴长，瞬间到达锋值 ●没有任何办法将这种网络流量降下来，除非找到染毒的机器并把所有感染病毒的系统都关掉，或将他们从网络中隔离开（把网线拔掉） ●为了避免病毒传播到外网，只有将服务器或者网关服务器停机 ●直到了解了病毒的具体信息才知道该采取什么措施 ●费大量人力去手动一台一台的去清除已经感染了病毒的系统（采用病毒专杀工具），将病毒/蠕虫程序或木马程序清除出系统 ●如果新的病毒代码或者已知安全漏洞的补丁没有被100%部署的话，第二波病毒爆发很有可能会卷土重来上述问题造成目前IT 管理人员非常被动与非常没有安全感，如何能够有一个让IT 管理人员放心、安心的网络安全解决方案已经成为越来越重要的课题。针对这些目前传统防病毒产品无法很好解决的问题，趋势科技推出了业界唯一一款在网络层阻挡网络病毒的硬件产品 - 趋势科技?网络病毒墙?（Trend Micro? VirusWall?） - 这是一款病毒爆发安全防护设备，采用部署在网络层的趋势科技网络病毒墙，可以阻挡网络病毒（如互联网蠕虫），在病毒爆发前和爆发期间识别高危险性的安全漏洞，在病毒进入网络时隔离和清理包括未受保护的设备在的感染源。网络病毒墙能够在整个企业组织围强制实施统一的防毒安全策略，精确地定位和远程自动或本地清除网络中的感染源，帮助 IT 管理人员降低安全风险，最大限度地缩短网络停机时间，减轻病毒爆发带来的管理负担。 II趋势科技网络病毒墙功能特色 A.NVW的价值所在

安全网关部署方案

安全网关部署方案随着企业网络的普及和网络开放性，共享性，互连程度的扩大，网络的信息安全问题也越来越引起人们的重视。一个安全的计算机局域网络应该具有可靠性、可用性、完整性、保密性和真实性等特点。计算机局域网络不仅要保护计算机网络设备安全和计算机网络系统安全，还要保护数据安全。这样，局域网络信息安全问题就成为危害网络发展的核心问题，与外界的因特网连接使信息受侵害的问题尤其严重。目前局域网信息的不安全因素来自病毒、黑客、木马、垃圾邮件等几个方面。另外域网内部的信息安全更是不容忽视的。网络内部各节点之间通过网络共享网络资源，就可能因无意中把重要的涉密信息或个人隐私信息存放在共享目录下，因此造成信息泄漏；甚至存在内部人员编写程序通过网络进行传播，或者利用黑客程序入侵他人主机的现象。因此，网络安全不仅要防范外部网，同时更防范内部网安全。因此，企业采取统一的安全网关策略来保证网络的安全是十分需要的。一个完整的安全技术和产品包括：身份认证、访问控制、流量监测、网络加密技术、防火墙、入侵检测、防病毒、漏洞扫描等；而造成安全事件的原因则包括技术因素、管理因素以及安全架构设计上的疏漏等问题。安全网关是各种技术有机融合，具有重要且独特的保护作用，其范围从协议级过滤到十分复杂的应用级过滤，对保护计算机局域网起着关键性的作用。

安全网关部署拓扑图：（图1）

上图为安全网关部署示意图，包含了组建局域网网的基本要素。下面对其各个部分进行讲解。一、安全网关接入网络。安全网关一般具有2个W AN口以及4个LAN口。如上图所示，外网IP为221.2.197.149，连接网线到W AN口上。LAN的口IP地址是可以自由设置的，图中设定的2个LAN口的IP为192.168.0.1（局域网用户）以及10.0.0.1（服务器用网段）。另外安全网关具有了无线网络功能，分配IP地址为192.168.10.1。下面对上述接入方式进行详细说明。 1.路由NET部署图一所示接入方式即为路由NET部署拓扑图。安全网关设备部署在网络的出口位置，实现路由、NAT转发功能。同时可以开启Qos （流量）控制、URL过滤、IM限制等功能，这种部署模式是最为常见的部署模式，应用客户最多。 2. 透明模式部署拓扑图

安全网关产品说明书

安全网关产品说明书介绍欢迎并感谢您选购联通网络信息安全产品，用以构筑您的实时网络防护系统。ZXSECUS 统一威胁管理系统（安全网关）增强了网络的安全性，避免了网络资源的误用和滥用，帮助您更有效的使用通讯资源的同时不会降低网络性能。ZXSECUS统一安全网关是致力于网络安全，易于管理的安全设备。其功能齐备，包括：应用层服务，例如病毒防护、入侵防护、垃圾邮件过滤、网页内容过滤以及IM/P2P过滤服务。网络层服务，例如防火墙、入侵防护、IPSec与SSLVPN，以及流量控制。管理服务，例如用户认证、发送日志与报告到USLA、设备管理设置、安全的web与CLI 管理访问，以及SNMP。 ZXSECUS统一安全网关采用ZXSECUS动态威胁防护系统（DTPSTM）具有芯片设计、网络通信、安全防御及内容分析等方面诸多技术优势。独特的基于ASIC上的网络安全构架能实时进行网络内容和状态分析，并及时启动部署在网络边界的防护关键应用程序，随时对您的网络进行最有效的安全保护。 ZXSECUS设备介绍所有的ZXSECUS统一安全网关可以对从soho到企业级别的用户提供基于网络的反病毒，网页内容过滤，防火墙，VPN以及入侵防护等防护功能。 ZXSECUS550 ZXSECUS550设备的性能，可用性以及可靠性迎合了企业级别的需求。ZXSECUS550同样也支持高可用性群集以及包括在HA设备主从设备切换时不会丢弃会话，该设备是关键任务系统的理想选择。 ZXSECUS350 ZXSECUS350设备易于部署与管理，为soho以及子机构之间的应用提供了高附加值与可靠的性能。ZXSECUS安装指南通过简单的步骤指导用户在几分钟之内运行设备。ZXSECUS180 ZXSECUS180为soho以及中小型企业设计。ZXSECUS180支持的高级的性能例如，虚拟域以及RIP与OSPF路由协议。 ZXSECUS120

安全网关业务常见问题

安全网关业务常见问题 Q:安全网关支持哪些网络接入模式？ A:安全网关支持两种网络接入模式:一种是网桥模式，一种是网关模式。网关模式下有ADSL拨号、静态路由、DHCP client端三种外网接入类型。 Q:网桥模式下安全网关应该部署在网络中的什么位置？ A:如果安全网关采用网桥模式，通常情况下应该部署在企业接入设备（防火墙或者路由器）的后面。安全网关的两个网口（内网口和外网口）连接的是同一网段的两个部分,用户只需给安全网关配置一个本网段的IP地址，不需要改变网络拓扑以及其它配置，透明接入网络。 Q:网关模式下安全网关应该部署在网络中的什么位置？ A:如果安全网关采用网关模式，通常情况下应该部署在企业网络出口处，做为宽带网络接入设备，保护整个内部网络。 Q:无法通过浏览器登录安全网关的管理页面？ A:出现这种情况有以下几个原因：未将登陆pc加入安全网关的管理客户端网络无法连通（该登陆PC到安全网关的链路） Q:为什么在外网ping不通安全网关的外网口地址？ A:安全网关出于安全考虑对外网口是禁ping的，因此是ping不通外网口地址的。不过从内网PC能ping通安全网关的外网口地址。 Q:安全网关支持哪些方式的VPN? A:对于企业连接不同地域网络的需求，安全网关提供了VPN功能，企业可以通过Internet连接不同地域的网络。安全网关提供IPSEC和PPTP VPN接入方法。安全网关的VPN功能适用于网关接入模式下。 Q:安全网关安装完毕后，为什么能ping通外网，而无法浏览网页？ A:出现这种情况有以下的原因如果安全网关作为网桥模式部署在防火墙的后面，并且做了访问控制的策略，由于安全网关对于扫描的协议采取的是非透明的方式，所以需要增加安全网关的地址到策略中；未在安全网关中设置本地区的DNS服务器，或pc客户端的DNS设置有误。 Q:安全网关支持DHCP服务器功能吗？ A:安全网关可以做为一个单一DHCP 服务器使用，也可以成为其他DHCP服务器的代理。网关模式支持DHCP服务器功能，网桥模式下不支持DHCP服务器功能。 Q:如果忘记安全登录密码，怎么办？

新一代多核安全网关-SG-6000-M3100

新一代多核安全网关 SG-6000-M3100 SG-6000是Hillstone山石网科公司全新推出的新一代多核安全网关系列产品。其基于角色，深度应用的多核Plus?G2安全架构突破了传统防火墙只能基于IP和端口的防范限制。处理器模块化设计可以提升整体处理能力，突破传统UTM在开启病毒防护或IPS等功能所带来的性能下降的局限。SG-6000-M3100处理能力高达1Gbps，适用于政府机关、企业、教育等机构，可部署在网络的主要结点、及Internet出口，为网络提供基于角色，深度应用安全的访问控制、IPSec/SSLVPN、应用带宽管理、病毒过滤、入侵防护、上网行为管理等安全服务。产品亮点新一代防火墙 - 深度应用安全随着网络的快速发展，越来越多的应用都建立在HTTP/HTTPS等应用层协议之上。新的安全威胁也随之嵌入到应用之中，而传统基于状态检测的防火墙只能依据端口或协议去设置安全策略，根本无法识别应用，更谈不上安全防护。 Hillstone山石网科新一代防火墙可以根据应用的行为和特征实现对应用的识别和控制，而不依赖于端口或协议，即使加密过的数据流也能应付自如。 StoneOS?识别的应用多达几百种，而且跟随着应用的发展每天都在增加；其中包括P2P、IM(即时通讯)、游戏、办公软件以及基于SIP、H.323、HTTP等协议的应用。同时，应用特征库通过网络服务可以实时更新，无须等待新版本软件发布。全面的VPN解决方案 SG-6000多核安全网关支持多种IPSec VPN的部署，它能够完全兼容标准的IPSec VPN。SG-6000系列产品对VPN(包括SSL VPN)都提供硬件加速，结合多核平台的处理能力，可为用户提供高容量、高性能的VPN解决方案。 Hillstone独具特色的即插即用VPN，可以让远端分支机构只需简单的用户名和密码即可自动从中心端下载网络和安全配置，完全解决了传统IPSec VPN设备配置难、使用难、维护成本高的缺点。 SG-6000多核安全网关还通过集成第三代SSL VPN实现角色访问控制和即插即用特性，为用户提供方便、快捷的安全远程接入服务。内容安全(UTM Plus?) SG-6000可选UTM Plus?软件包提供病毒过滤，入侵防御，内容过滤，上网行为管理和应用流量整形等功能，可以防范病毒，间谍软件，蠕虫，木马等网络的攻击。关键字过滤和基于超过2000万域名的Web页面分类数据库可以帮助管理员轻松设置工作时间禁止访问的网页，提高工作效率和控制对不良网站的访问。病毒库，攻击库，URL库可以通过网络服务实时下载，确保对新爆发的病毒、攻击、新的URL做到及时响应。安全可视化 - 基于角色和应用的管理没有能见度就谈不上安全。StoneOS?的应用和身份识别，能够满足越来越多的深度安全需求。基于身份和角色的管理(RBNS)让网络配置更加直观和精细化。不同的用户甚至同一用户在不同的地点或时间都可以有不同的管理策略。用户访问的内容也可以记录在本机存储模块或专用服务器中，通过用户的名称审阅相关记录使查找更简单。

安全网关产品说明书模板

安全网关产品说明书

介绍欢迎并感谢您选购联通网络信息安全产品, 用以构筑您的实时网络防护系统。ZXSEC US统一威胁管理系统( 安全网关) 增强了网络的安全性, 避免了网络资源的误用和滥用, 帮助您更有效的使用通讯资源的同时不会降低网络性能。ZXSEC US统一安全网关是致力于网络安全, 易于管理的安全设备。其功能齐备, 包括: ●应用层服务, 例如病毒防护、入侵防护、垃圾邮件过滤、网页内容过滤以及IM/P2P过滤服务。 ●网络层服务, 例如防火墙、入侵防护、IPSec与SSL VPN, 以及流量控制。 ●管理服务, 例如用户认证、发送日志与报告到USLA、设备管理设置、安全的web与CLI管理访问, 以及SNMP。 ZXSEC US统一安全网关采用ZXSEC US动态威胁防护系统( DTPSTM) 具有芯片设计、网络通信、安全防御及内容分析等方面诸多技术优势。独特的基于ASIC上的网络安全构架能实时进行网络内容和状态分析, 并及时启动部署在网络边界的防护关键应用程序, 随时对您的网络进行最有效的安全保护。 ZXSEC US设备介绍

所有的ZXSEC US统一安全网关能够对从soho到企业级别的用户提供基于网络的反病毒, 网页内容过滤, 防火墙, VPN以及入侵防护等防护功能。 ZXSEC US550 ZXSEC US550设备的性能, 可用性以及可靠性迎合了企业级别的需求。ZXSEC US550同样也支持高可用性群集以及包括在HA 设备主从设备切换时不会丢弃会话, 该设备是关键任务系统的理想选择。 ZXSEC US350 ZXSEC US350设备易于部署与管理, 为soho以及子机构之间的应用提供了高附加值与可靠的性能。ZXSEC US 安装指南经过简单的步骤指导用户在几分钟之内运行设备。 ZXSEC US180 ZXSEC US180为soho以及中小型企业设计。ZXSEC US180支持的高级的性能例如802.1Q, 虚拟域以及RIP与OSPF路由协议。ZXSEC US120 ZXSEC US120设计应用于远程办公以及零售店管理.具备模拟modem接口, 能够作为与互联网连接的备份或单独与互联网连接。 ZXSEC US70

趋势科技网络病毒墙(NVW)处理办法

趋势科技网络病毒墙( NVW ) 解决方案 I概述如今的网络恶意攻击，诸如网络病毒和互联网蠕虫的四处蔓延已使现有的安全防范措施捉襟见肘。这些网络恶意攻击是危险的，因为它们在网络层传播，无法通过传统的病毒码文件方法来检测，且通常是利用操作系统和软件程序的漏洞发起攻击。虽然厂商们针对这些漏洞发布了补丁程序，但大多数公司通常都无法真正应用这些补丁，因为他们要花很多时间来从众多的设备中确定哪些设备需要打补丁，有时还会怀疑厂商提供的补丁是否可靠。此外，这些网络恶意数据包在传播过程中要使用网络资源，从而造成网络带宽严重拥塞，降低了企业的生产效率。现有传统防病毒理念无法有效抵御当前的网络病毒恶意攻击，因为它们只能对威胁进行监控而无法及时提供可靠的信息来帮助IT 管理人员防御或遏制攻击，或在安全威胁渗透进入网络后采取及时的行动。IT 管理人员在遏制这些攻击时遇到的共同问题包括： ●没有足够的信息来确定相关的漏洞打补丁的优先顺序 ●无法准确、快速的获得最新的病毒预警 ●无法隔离未安装补丁程序和/或被感染的机器以防止病毒传播 ●防毒产品的部署率没有达到100%，某些客户机或服务器没有安装防毒软件

●病毒代码库的更新速度永远赶不上病毒传播的速度 ●很难精确定位感染源并管理整个公司网络的远程清除工作 ●无法判断移动（笔记本）用户从外部把病毒带到办公室里来 ●远程办公用户通过与公司建立的连接（安全或不安全）将病毒带到公司内部 ●无法对不符合安全策略要求和已感染设备的网络访问进行控制因此最新的网络蠕虫传播已经不再需要借助文件系统了，传统的防病毒措施已经不能适应新的网络安全需求，再加上防病毒及安全策略的统一强制实施比较困难，当病毒进入到企业内部会发生: ●内部的网络流量突然暴长，瞬间到达锋值 ●没有任何办法将这种网络流量降下来，除非找到染毒的机器并把所有感染病毒的系统都关掉，或将他们从网络中隔离开（把网线拔掉） ●为了避免病毒传播到外网，只有将邮件服务器或者网关服务器停机 ●直到了解了病毒的具体信息才知道该采取什么措施 ●费大量人力去手动一台一台的去清除已经感染了病毒的系统（采用病毒专杀工具），将病毒/蠕虫程序或木马程序清除出系统 ●如果新的病毒代码或者已知安全漏洞的补丁没有被100%部署的话，第二波病毒爆发很有可能会卷土重来

格尔SSL安全认证网关产品白皮书

格尔ＳＳＬ安全认证网关　产品白皮书　Ｖ２．０　　　　　　　　上海格尔软件股份有限公司　２００４年１２月

上海格尔软件股份有限公司　１保密事宜：　本文档包含上海格尔软件股份有限公司的专有商业信息和保密信息。　接受方同意维护本文档所提供信息的保密性，承诺不对其进行复制，或向评估小组以外、非直接相关的人员公开此信息。对于以下三种信息，接受方不向格尔公司承担保密责任：　１　）接受方在接收该文档前，已经掌握的信息。　２　）可以通过与接受方无关的其它渠道公开获得的信息。　３　）可以从第三方，以无附加保密要求方式获得的信息。

上海格尔软件股份有限公司　２目录　１系统概述．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．３１．１信息传输的安全需求．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．３１．２一般ＳＳＬ连接存在的问题．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．３２系统原理．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．５２．１ＳＳＬ简介．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．５２．２格尔ＳＳＬ安全代理系统原理．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．５３格尔ＳＳＬ安全认证网关系统结构．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．７３．１网络拓朴结构．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．７３．２格尔ＳＳＬ安全认证网关系统组成和结构．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．８４格尔ＳＳＬ安全认证网关功能．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．１１５第三方产品兼容．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．１３５．１第三方ＣＡ兼容．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．１３５．２第三方设备厂商兼容．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．１３６格尔ＳＳＬ安全认证网关产品特点．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．１３７运行环境．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．１５８产品相关特性．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．１５８．１硬件特性．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．１５８．２物理特性．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．１５８．３电气特性．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．１６８．４工作环境．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．１６

网康应用安全网关NS-ASG产品介绍

网康应用安全网关ASG —— 产品概述 NS-ASG 产品是集IPSEC VPN和SSL VPN为一体的新一代VPN产品，为客户实现安全、易用、高效的连接。需求背景要想有效率且安全地运作网络服务，会遇到如下问题： ●不在单位内网的员工可能使用各种移动终端访问公司内网的CRM/OA/知识库等应用系统 ●有较多分支机构，租赁端到端的专线价格昂贵 ●重要的专线资源没有备份，出现问题会造成业务中断 ●高校用户从外网访问教育网资源速度过于缓慢 ●WLAN等移动网络因为其开放性带来的安全问题功能特性 IPSec VPN ASG提供标准的IPSec网络层连接功能，解决异地机构安全互连的问题。 SSL VPN ASG使用安全套接层（SSL协议）提供数据加密，保证数据在公网上传输的安全。企业员工、合作伙伴、移动办公人员可以通过任何标准的浏览器实现远程安全接入。接入用户认证 ASG支持多种静态与动态用户认证技术，用于对远程接入用户进行高精度的认证与授权。另外，这些用户认证技术可以通过功能组合的方式来完成双因素可多因素认证。应用访问授权 ASG的用户在使用VPN服务时，直观看到的是每一个他有权使用的内部应用。用户对于应用的使用权限通过访问安全策略来限制。终端准入控制 ASG支持对客户接入的终端计算机进行安全扫描，对于不符合安全接入条件的计算机予以屏蔽。安全扫描要素包括：操作系统种类、版本、操作系统补丁、文件、注册表、进程、杀毒软件以及IP地址等。日志报表 ASG可以对系统管理员的登录与操作、用户登录信息、应用资源的使用以及系统错误都形成日志，并且提供了丰富的信息统计与报表工具。产品优势 IPSec VPN+SSL VPN双通道，提供高速、强壮的互连互通考虑到IPSec与SSL各自的技术特性，可以来综合两种技术于一般使用场景中，即远程

一体化安全网关选购指南

一体化安全网关选购指南 2010年4月

目录前言、构建安全、可管理的内部网络 (3) 一、一体化安全网关----企业边界管理的利器 (4) 二、一体化安全网关应用效果 (6) 2.1. 规范员工上网行为、提升工作效率 (6) 2.2. 保护内部信息资产安全、防止机密信息泄漏 (6) 2.3. 强化带宽管理，提升带宽利用率 (6) 2.4. 降低组织机构的法律风险 (7) 2.5. 多种安全增强功能，全方位保障内网安全 (7) 三、一体化安全网关设备功能介绍 (8) 四、一体化安全网关设备技术优势 (12) 4.1. 深度内容检测技术—彻底封堵QQ、炒股、常见P2P软件 (12) 4.2. P2P智能识别（专利技术）--管控加密的、不常见和版本泛滥的P2P行为 (12) 4.3. SSL加密网站识别和过滤（专利技术）--反钓鱼网站等 (12) 4.4. 邮件的延迟审计（专利技术）--敏感邮件先延迟、审计后再发送 (13) 4.5. 免审计Key--从设备底层免除对高层领导的行为记录与审计 (13) 4.6. 强大的内容检索工具--方便对海量日志的检索、查询、审计 (13) 4.7. 细致的流量管理系统--优化带宽资源，提升带宽使用效率 (14) 4.8. 特有的网络准入规则（专利技术）--修补内网安全短板 (14) 五、一体化安全网关设备部署模式 (15) 5.1. 网关模式（路由模式） (15) 5.2. 网桥模式（透明模式） (15)

前言、构建安全、可管理的内部网络互联网接入的普及和带宽的增加，改善了组织机构内网员工的上网条件，却因缺乏有效的管控技术和机制，给组织机构带来更多的安全威胁，互联网滥用等问题日益严重。 IDC对全球企业网络使用情况调查后发现，员工在上班时间非法使用邮件、浏览与工作无关的Web网站、从事BT等P2P下载或在线收看流媒体的情况非常普遍。调查结果表明：员工在上班时间发生的网络活动，30%-40%都与工作无关。那么国内组织机构的互联网应用情况又如何呢？据有关机构调查统计，中国员工比其它地区的员工每周多花7.6小时使用IM、玩网络游戏、P2P下载或在线影音娱乐，严重影响了工作效率和带宽使用效率。在办公室长时间上网、遭受钓鱼网站等仿冒诈骗、IM聊天软件病毒和木马、因网络安全缺口而带来的安全风险等问题，在中国的情况远比其它地区更为严峻！另外，由于内部网络缺乏有效的管控技术措施，员工滥用互联网导致内网感染病毒木马、信息机密泄漏等事件，已逐渐成为内部网络安全的最大威胁。据美国CSI/FBI的调查结果显示，政府、企业等机构因重要信息被窃所造成的损失，已远远超过病毒感染和黑客攻击所造成的损失，80%以上的安全威胁来自内部。而据中国公安部最新统计，70％的泄密犯罪来自于机构内部，电脑应用单位80％未设立相应的安全管理系统、技术措施和制度。如何解决在互联网应用过程中暴露的网络访问行为不可控、内网安全管理不完善的问

MPSec ISG1000安全网关产品

MPSec ISG1000 F5和F2W安全网关

目录 1产品概述 (1) 2产品特征 (3) 3产品规格 (5) 4典型应用场景 (7) 5订购信息 (10)

1 产品概述 1.1 产品图片图一 MPSec ISG1000-F2/F2W网关正面图图二 MPSec ISG1000-F5网关正面图 1.2 产品描述 MPSec ISG1000系列是面向运营商互联网专线、中小企业互联网出口应用、营业网点与总部之间的VPN 接入而开发的新一代高性能出口安全网关产品。 MPSec ISG1000系列产品采用自主开发的MPSec OS安全操作系统平台，突破硬件处理器对应用层安

全检测的性能瓶颈，能以高性能提供上网行为管理、流量控制、防病毒、IPS、VPN等功能。 MPSec ISG1000系列产品集防火墙、上网行为管理、流量控制、VPN、路由、WIFI等功能于一体，能够将多种业务部署在同一节点，在充分节约用户投资的情况下提供安全、灵活、便捷的一体化组网与接入方案，有效降低整体的运维成本。

2 产品特征采用先进的硬件平台及软件架构全线产品使用MIPS多核平台，高速安全处理，统一化的特征库和一体化分析处理引擎设计，极大的提高了多功能模块同时运行时的运行效率。应用层多业务安全并发高性能采用多核算法，突破安全产品硬件瓶颈。实现防火墙、VPN、防病毒、IPS防攻击、上网行为管理、流量控制、日志查询与审计多业务并发的真正高性能处理。灵活的上网行为控制与审计 MPSec ISG1000系列安全出口网关能精确收集用户浏览的网站、发表的内容，结合用户认证系统可以精准定位到每个用户的上网行为。另外安全出口网关支持对VPN隧道内流量识别，可精确规范和审计隧道内的上网行为，并支持对隧道内各种应用实现分类，提供快速查询功能。精确灵活的流量控制管理 MPSec ISG1000系列安全出口网关能够全面识别互联网常见应用，包括经常造成带宽滥用、工作效率降低的BT下载、IM及时通讯、在线视频、炒股、游戏等。将安全出口网关部署于网络的出口，可以有效地遏制各种应用抢夺宝贵的带宽和IT资源，从而确保网络资源的合理配置和关键业务的服务质量，显著提高网络的整体性能。 MPSec ISG1000系列安全出口网关支持灵活精确的流量控制，可以对IP与应用进行流量嵌套，支持4层QoS，可以对客户业务进行精细化控制。支持全面的网络攻击防护支持DoS/DDoS攻击防护，支持MAC和IP绑定功能，支持智能防范蠕虫病毒技术、ARP攻击防护、TCP 报文标志位不合法攻击防范、超大ICMP报文攻击防范等等网络攻击防护。完善的日志管理与审计提供各种日志功能、流量统计和分析功能、各种事件监控和统计功能、邮件告警功能，配合日志管理