产品管理安全网关产品说明书
(产品管理)安全网关产品说明书
安全网关产品说明书
介绍
欢迎且感谢您选购联通网络信息安全产品,用以构筑您的实时网络防护系统。ZXSECUS统壹威胁管理系统(安全网关)增强了网络的安全性,避免了网络资源的误用和滥用,帮助您更有效的使用通讯资源的同时不会降低网络性能。ZXSECUS统壹安全网关是致力于网络安全,易于管理的安全设备。其功能齐备,包括:
●应用层服务,例如病毒防护、入侵防护、垃圾邮件过滤、网页内容过滤以及
IM/P2P过滤服务。
●网络层服务,例如防火墙、入侵防护、IPSec和SSLVPN,以及流量控制。
●管理服务,例如用户认证、发送日志和方案到USLA、设备管理设置、安全
的web和CLI管理访问,以及SNMP。
ZXSECUS统壹安全网关采用ZXSECUS动态威胁防护系统(DTPSTM)具有芯片设计、网络通信、安全防御及内容分析等方面诸多技术优势。独特的基于ASIC上的网络安全构架能实时进行网络内容和状态分析,且及时启动部署于网络边界的防护关键应用程序,随时对您的网络进行最有效的安全保护。ZXSECUS设备介绍
所有的ZXSECUS统壹安全网关能够对从soho到企业级别的用户提供基于网络的反病毒,网页内容过滤,防火墙,VPN以及入侵防护等防护功能。ZXSECUS550
ZXSECUS550设备的性能,可用性以及可靠性迎合了企业级别的需求。ZXSECUS550同样也支持高可用性群集以及包括于HA设备主从设备切换时不会丢弃会话,该设备是关键任务系统的理想选择。
ZXSECUS350
ZXSECUS350设备易于部署和管理,为soho以及子机构之间的应用提供了高附加值和可靠的性能。ZXSECUS安装指南通过简单的步骤指导用户于几分钟之内运行设备。
ZXSECUS180
ZXSECUS180为soho以及中小型企业设计。ZXSECUS180支持的高级的性能例如802.1Q,虚拟域以及RIP和OSPF路由协议。
ZXSECUS120
ZXSECUS120设计应用于远程办公以及零售店管理.具备模拟modem接口,能够作为和互联网连接的备份或单独和互联网连接。
ZXSECUS70
ZXSECUS70设计应用于远程工作用户以及拥有10个或更小员工的小型远程办公用户。ZXSECUS70具有壹个外部调制解调器端口,能够作为和互联网连接的备份或单独和互联网连接。
ZXSECUS产品家族
ZXSECUS的产品家族涵盖了完备的网络安全解决方案包括邮件、日志、方案、网络管理,安全性管理以及ZXSECUS统壹安全网关的既有软件也有硬件设备的产品。
ZXSECUS产品的主要功能
基于web的管理器
ZXSECUS设备用户界面友好,基于web的图形界面管理工具管理接口。于运行Internet浏览器的计算机设备上使用HTTP或壹个安全的HTTPS连接,您便能够配置且管理ZXSECUS设备。基于web的管理器支持多种语言。您能够配置ZXSECUS设备使其接受来自任何ZXSECUS设备接口的HTTP和HTTPS管理访问。
使用基于web的管理器能够配置ZXSECUS设备的大部分设置以及监控设备的状态。使用基于web管理器进行的配置更改无需重新设置防火墙或中断服务便能够生效。完成所需的配置后,能够下载且保存该设置。您能够于任何时候恢复已经保存的配置。
虚拟域
配置虚拟域使其能够充当多个虚拟设备对多重网络提供防火墙和路由服务。系统状态
通过该页面,您能够查见当前ZXSECUS设备的状态信息,包括设备序列号、设备正常运行时间、系统资源使用情况、USServiceTM许可证信息、警告信息和会话信息。
网络配置
设置系统网络是指怎样将ZXSECUS设备配置到网络中作为防火墙设备生效。基本的网络设置包括设置ZXSECUS设备和DNS。高级配置包括于ZXSECUS设备网络配置中添加VLAN子接口和区域。
无线配置
配置ZXSECUS无线设备的无线LAN接口的内容。包括ZXSECUS无线LAN 接口、信道分配、系统无线设置、无线MAC过滤、无线监控。
配置使用DHCP
为用户提供便捷的自动网络配置服务。包括ZXSECUSDHCP服务器和中继代理、配置DHCP服务、查见地址租用信息。
系统配置
ZXSECUS设备几项非网络性功能配置,包括HA(高可用性)、SNMP、替换信息、超时设置以及基于web管理器的语言显示属性。
HA、SNMP以及替换信息是ZXSECUS设备全局配置的壹部分。更改操作模式应用到每个VDOM。
系统管理员设置
管理员能够访问ZXSECUS设备且配置其操作。于设备初始安装完成后,默认的配置只有壹个用户名为admin的管理员帐户。通过连接到基于web的管理器或CLI,您也能够控制每个管理员帐户的访问权限以及管理员连接到ZXSECUS 设备使用的IP地址。每个管理员均有壹定的访问权限级别。访问权限设置将访问
ZXSECUS设备划分为不同的访问控制类型,这些类型决定了对ZXSECUS设备的读或写的权限。
普通管理员账户根据其访问权限内容访问配置选项。如果启动了虚拟域,分配到壹个VDOM的普通管理员帐户不能访问全局配置选项以及其他任何VDOM 的配置。
Admin账户没有访问权限内容设置所以其权限是不受限制的。您不能够删除admin管理员帐户,可是您能够重命名该账户,对其设置信任主机以及更改其密码。默认情况下,admin账户没有密码设置。
系统维护
包括备份和恢复系统配置以及从USServiceDistributionetwork获得自动更新的内容。
静态路由
设置ZXSECUS设备的路由是指设置提供给ZXSECUS设备将数据包转发到壹个特殊目的地的所需的信息。设置静态路由是将数据包转发到除了出厂默认的网关以外的目的地。
您能够从出厂配置的默认的静态路由中配置默认网关。您必须编辑出厂默认的路由,将ZXSECUS设备的路由指定为不同的默认网关;或删除出厂配置的路由且指定默认的静态路由到达默认的网关。您也能够定义路由策略选项。路由策略中包含了检测流入数据属性的规则。使用路由策略,您能够配置ZXSECUS设备根据数据包包头的IP源和/或目标地址以及其他规则,例如哪个接口接收数据包以及设置哪个端口用来传输数据包这样的规则来路由数据包。
动态路由
动态路由协议使得ZXSECUS设备自动和邻近的路由器共享信息,以及获得邻近路由器广播的路由和网络状态信息。ZXSECUS设备支持以下的动态路由协议:路由信息协议(RIP)、开放最短路径优先(OSPF)、边缘网关协议(BGP)。
路由监控
截取路由监控表,该列表是用于显示ZXSECUS设备中路由表条目的。包括显示路由信息、搜索ZXSECUS路由表。
防火墙策略
防火墙策略控制所有通过ZXSECUS设备的通讯流量。添加防火墙策略控制ZXSECUS接口、区域以及VLAN子接口之间的连接和流量。
防火墙地址
能够根据需要添加、编辑以及删除防火墙地址。防火墙地址将被添加到防火墙策略的源以及目标地址字段。添加到防火墙策略中的地址是用来和ZXSECUS 设备接收到数据包的源以及目标地址相匹配的。
防火墙服务
设置服务识别防火墙接收或拒绝的通信会话类型。您能够于策略中添加任何预先定义的服务。您也能够创建用户服务或于服务组中添加服务。
防火墙时间表
设置时间表控制激活和中止策略的时间。您能够设置固定时间表或循环时间表。使用固定时间表创建壹项策略于指定的时间段内生效。循环时间表每周进行
壹个循环。您能够使用循环时间表设置壹项策略只于指定的壹天中循环几次或壹星期中某些天之内生效。
防火墙虚拟IP地址配置
配置ZXSECUS虚拟IP地址、IP地址池以及配置于防火墙策略中使用。
保护内容表
使用保户内容表对防火墙策略控制的流量应用不同的保护设置。VPNIPSEC
ZXSECUS设备于通道模式下执行IP安全载荷封载(ESP)协议。加密数据包跟普通数据包壹样能够路由到任何IP地址网络。互联网密钥交换(IKE)是根据预先定制的密钥或X.509电子证书自动执行的。您也能够于功能项中手动设置密钥。只有NAT/路由模式能够支持接口模式。NAT/路由模式下,能够创建对VPN 通道建立本地终端。
配置PPTP
ZXSECUS设备支持点对点通道协议进行俩个对等体之间的PPP通讯流量。Windows或LinuxPPTP用户能够和配置作为PPTP服务器的ZXSECUS设备建立壹个PPTP通道。您也能够配置ZXSECUS设置将PPTP数据包转送到置于ZXSECUS设备之后的网络中的PPTP服务器。PPTP配置只适用于NAT/路由模式。
VPNSSL设置
通过基于web的管理器配置VPN菜单项下SSL功能。只有运行于NAT/路由模式下的ZXSECUS设备支持SSLVPN功能。
VPN证书
通过基于web管理器操作且管理X.509安全证书的内容。包括有关生成证书请求、安装已签的证书、以及导入CA根证书和证书撤消列表、备份和恢复已安装的证书以及私有密钥的信息。
设置用户
建立用户帐户、用户组以及外部验证服务器内容。通过定义认证用户(或称为用户组)能够控制对网络资源的访问。
反病毒保护
创建防火墙保护文件时,进入反病毒保护菜单访问反病毒配置选项。系统范围内配置了反病毒设置的同时,能够于每项保护内容表中执行具体的设置操作。IPS(入侵防护保护)
ZXSECUS入侵防护系统(IPS)将特征和异常入侵防护结合,降低了威胁的潜伏期,增强了设备的可靠性。创建防火墙保护内容列表同时能够配置IPS选项。Web过滤
配置web过滤选项,Web过滤功能必须于活动的内容保护文件中启动才能生效。
反垃圾邮件
配置内容保护列表项中垃圾邮件过滤功能。包括垃圾邮件过滤、禁忌词汇、黑/白名单、高级垃圾邮件过滤选项配置、使用Perl正则表达式。
IM/P2P
IM/P2P是有关即时通讯的用户管理工具以及网络中使用IM以及P2P功能的状态说明。IM以及P2P必须于活动的内容保护列表中启动才能够生效。
日志和方案
包括日志记录功能、查见日志文件以及通过web管理器查见方案的内容。ZXSECUS设备提供了较为宽泛的日志记录功能,能够记录如网络流量,系统以及网络内容保护表的日志。通过详细的日志信息和方案能够对历史状态以及当前状态的网络活动进行分析,有助于识别涉及网络安全性的问题,减少网络的误用和滥用。
应用安全网关产品白皮书 v6.2
新一代的SSL VPN产品 网康应用安全网关6.2 产品白皮书 北京网康科技有限公司 2012年5月
版权声明 北京网康科技有限公司?2012版权所有,保留一切权力。 本文件中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属北京网康科技有限公司(以下简称网康科技)所有,受到有关产权及版权法保护。未经网康科技书面许可不得擅自拷贝、传播、复制、泄露或复写本文档的全部或部分内容。 信息更新 本文档仅用于为最终用户提供信息,并且随时可由网康科技更改或撤回。 适用版本 本文档适用于ASG 6.2版本。 免责条款 根据适用法律的许可范围,网康科技按“原样”提供本文档而不承担任何形式的担保,包括(但不限于)任何隐含的适销性、特殊目的适用性或无侵害性。在任何情况下,网康科技都不会对最终用户或任何第三方因使用本文档造成的任何直接或间接损失或损坏负责,即使网康科技明确得知这些损失或损坏,这些损坏包括(但不限于)利润损失、业务中断、信誉或数据丢失。 期望读者 期望了解本产品主要技术特性的用户、企业管理人员、系统管理员、网络管理员等。本文档假设您对下面的知识有一定的了解: ?Web与HTTP ?TCP/IP协议 ?SSL与IPSec ?网络安全基础知识 ?Windows操作系统
目录 1 背景 (5) 1.1 企业应用发展趋势 (5) 1.2 企业应用安全的新挑战 (5) 1.3 网康科技虚拟应用网络VAN新理念 (6) 2 网康科技应用安全网关ASG (7) 2.1 ASG产品系统架构 (8) 2.2 应用安全网关工作原理 (8) 2.3 用户使用场景 (9) 2.3.1 采用浏览器访问企业内部应用 (9) 2.3.2 使用客户端软件访问企业内部应用 (9) 2.3.3 在分支机构内部的用户 (10) 2.4 应用安全网关ASG主要功能列表 (10) 3 应用安全网关ASG功能特点与优势 (10) 3.1 SSL与IPSec二合一 (10) 3.2 高强的用户认证技术与动态认证功能模块添加 (11) 3.2.1 用户认证模板 (12) 3.2.2 动态添加第三方认证 (12) 3.3 全面支持安卓与苹果智能终端 (12) 3.4 高度整合虚拟应用,完美支持“云”计算 (13) 3.5 支持多种类型的浏览器插件 (14) 3.6 单点登陆(SSO) (14) 3.7 支持用户自注册与在线审核 (15) 3.8 用户账户的自助管理 (15) 3.9 虚拟站点,支持门户定制化 (17) 3.10 支持自用软件的自助上传 (18) 3.11 基于应用的访问策略控制 (18) 3.12 客户终端接入扫描与终端流量控制 (19) 3.13 完备的系统管理方式 (19) 3.14 丰富的日志与统计报表工具 (20) 3.15 双机与多机热备 (20) 3.16 简便易用,快速部署 (22) 3.16.1 无需安装客户端软件,即插即用 (22) 3.16.2 Web优化技术 (22) 3.16.3 支持各种网络环境 (22) 3.16.4 动态页面重构技术,完美支持WEB应用访问 (23) 3.16.5 使用SSL Tunnel技术支持所有的C/S架构应用 (23) 3.16.6 大量使用配置模板与默认设置,方便管理 (24) 3.16.7 典型配置指导 (24) 3.16.8 开机快速初始化,无需复杂配置 (24) 4 应用安全网关的部署建议 (26) 4.1 网关方式部署 (26)
安全网关和IDS互动解决方案
安全网关和IDS互动解决方案 该方案特点: 通过安全网关(被动防御体系)与入侵检测系统(主动防御体系)的互动,实现“主动防御和被动防御”的结合。对在企业内网发起的攻击和攻破了安全网关第一道关卡的黑客攻击,可以依靠入侵检测系统阻断和发现攻击的行为,同时通过与安全网关的互动,自动修改策略设置上的漏洞不足,阻挡攻击的继续进入。两者的联动示意如下图: 方案概述: 1、项目简介 某市电力局为安徽省级电力公司下属的二级单位,信息化程度较高,目前已经建成生产技术和运行子系统、用电管理子系统、办公自动化子系统、财务子系统、物资子系统和人劳党政子系统等。 该电力局内部网络与三个外网相连,分别通过路由器与省电力公司网络、下属六个县局
网络和银行网络进行数据交换。 2、安全方案 通过对该电力局的网络整体进行系统分析,考虑到目前网上运行的业务需求,本方案对原有网络系统进行全面的安全加强,主要实现以下目的: 1)保障现有关键应用的长期可靠运行,避免病毒和黑客攻击; 2)防止内外部人员的非法访问,特别是对内部员工的访问控制; 3)确保网络平台上数据交换的安全性,杜绝内外部黑客的攻击; 4)方便内部授权员工(如:公司领导,出差员工等)从互联网上远程方便地、安全地 访问内部网络,实现信息的最大可用性; 5)能对网络的异常行为进行监控,并作出回应,建立动态防护体系。 为了实现上述目的,我们采用了主动防御体系和被动防御体系相结合的全面网络安全解决方案,如下图所示。
主动防御体系 主动防御体系由漏洞扫描和入侵检测及与安全网关的联动系统组成。 主要在网络中心增加“入侵检测系统”、“漏洞扫描系统”和统一的“安全策略管理”平台。用户主动防范攻击行为,尤其是防范从单位内部发起的攻击。 对在企业内网发起的攻击和攻破了安全网关第一道关卡的黑客攻击,可以依靠入侵检测系统阻断和发现攻击的行为,同时通过与安全网关的互动,自动修改策略设置上的漏洞不足,阻挡攻击的继续进入。 本方案在交换机上连入第三方的入侵检测系统,并将其与交换机相连的端口设置为镜像端口,由IDS传感器对防火墙的内口、关键服务器进行监听,并进行分析、报警和响应;在入侵检测的控制台上观察检测结果,并形成报表,打印。 在实现安全网关和入侵检测系统的联动后,可以通过下面方法看到效果:使用大包ping 位于安全网关另一边的主机(这属于网络异常行为)。IDS会报警,ping通一个icmp包后无法再ping通。这时检查安全网关“访问控制策略”会发现动态地添加了阻断该icmp的策略。 “漏洞扫描系统”是一种网络维护人员使用的安全分析工具,主动发现网络系统中的漏洞,修改安全网关和入侵检测系统中不适当的设置,防患于未然。 “安全策略管理”统一管理全网的安全策略(包括:安全网关、入侵检测系统和防病毒等),作到系统安全的最优化。 被动防御体系 被动防御体系主要采用上海本公司的SGW系列安全网关(Firewall+VPN)产品。 在Cisco路由器4006与3640之间,插入安全网关SGW25是必须的。主要起到对外防止黑客入侵,对内进行访问控制和授权员工从外网安全接入的问题,SGW25在这里主要发挥防火墙和VPN的双重作用。 1)保障局域网不受来自外网的黑客攻击,主要担当防火墙功能; 2)能够根据需要,让外网向internet的访问提供服务,如:Web,Mail,DNS等服务; 3)对外网用户访问(internet)提供灵活的访问控制功能。如:可以控制任何一个内 部员工能否上网,能访问哪些网站,能不能收发email、ftp等,能够在什么时间 上网等等。简而言之,能够基于“六元组”【源地址、目的地址、源端口号(即: 服务)、目的端口号(即:服务)、协议、时间】进行灵活的访问控制。 4)下属单位能够通过安全网关与安全客户端软件之间的安全互联,建立通过
安全网关产品说明书
安全网关产品说明书集团文件发布号:(9816-UATWW-MWUB-WUNN-INNUL-DQQTY-
安全网关产品说明书 介绍 欢迎并感谢您选购联通网络信息安全产品,用以构筑您的实时网络防护系统。ZXSECUS统一威胁管理系统(安全网关)增强了网络的安全性,避免了网络资源的误用和滥用,帮助您更有效的使用通讯资源的同时不会降低网络性能。ZXSECUS统一安全网关是致力于网络安全,易于管理的安全设备。其功能齐备,包括:应用层服务,例如病毒防护、入侵防护、垃圾邮件过滤、网页内容过滤以及IM/P2P过滤服务。 网络层服务,例如防火墙、入侵防护、IPSec与SSLVPN,以及流量控制。 管理服务,例如用户认证、发送日志与报告到USLA、设备管理设置、安全的web与CLI管理访问,以及SNMP。 ZXSECUS统一安全网关采用ZXSECUS动态威胁防护系统(DTPSTM)具有芯片设计、网络通信、安全防御及内容分析等方面诸多技术优势。独特的基于ASIC上的网络安全构架能实时进行网络内容和状态分析,并及时启动部署在网络边界的防护关键应用程序,随时对您的网络进行最有效的安全保护。 ZXSECUS设备介绍 所有的ZXSECUS统一安全网关可以对从soho到企业级别的用户提供基于网络的反病毒,网页内容过滤,防火墙,VPN以及入侵防护等防护功能。 ZXSECUS550 ZXSECUS550设备的性能,可用性以及可靠性迎合了企业级别的需求。ZXSECUS550同样也支持高可用性群集以及包括在HA设备主从设备切换时不会丢弃会话,该设备是关键任务系统的理想选择。 ZXSECUS350
安全网关产品介绍
安全网关产品介绍 一、产品定义 简单的说:是为互联网接入用户解决边界安全问题的安全服务产品。 详细的说:“安全网关”是集防火墙、防病毒、防垃圾邮件、IPS 入侵防御系统/IDS入侵检测系统、内容过滤、VPN、DoS/DdoS攻击检测、P2P应用软件控制、IM应用软件控制等九大功能和安全报表统计分析服务为一体的网络信息安全产品。 二、产品特点 1)采用远程管理方式,利用统一的后台管理平台对放在客户网络边界的网关设备进行远程维护和管理。 2)使用范围广,所有运营商的互联网专线用户均可使用。 3)解决对信息安全防护需求迫切、资金投入有限、专业人员缺乏的客户群体,以租用方式为用户提供安全增值服务,实现以较低成本获得全面防御。 4)功能模块化、部署简便、配置灵活。 四、(UTM)功能模块 1)防火墙功能及特点:针对IP地址、服务、端口等参数,实现网络层、传输层及应用层的数据过滤。 2)防病毒功能及特点:能够有效检测、消除现有网络的病毒和蠕虫。实时扫描输入和输出邮件及其附件。
3)VPN功能及特点:可以保护VPN网关免受Ddos(distributed Deny of Service)攻击和入侵威胁,并且提供更好的处理性能,简化网络管理的任务,能够快速适应动态、变化的网络环境。 4)IPS(Intrusion Prevention System , 入侵防御系统)功能及特点:发现攻击和恶意流量立即进行阻断;实时的网络入侵检测和阻断。随时更新攻击特征库,保障防御最新的安全事件攻击。 5)Wed内容过滤功能及特点:处理浏览的网页内容,阻挡不适当的的内容和恶意脚本。 6)垃圾邮件过滤功能及特点:采用内容过滤、邮件地址/MIME头过滤、反向DNS解析以及黑名单匹配等多种垃圾邮件过滤手段。 7)DoS/DDoS(distributed Deny of Service)攻击检测功能:“安全网关”能够有效检测至少以下典型的DoS/DDoS攻击,并可以根据设定的Tcp_syn_flood、udp_flood等阀值阻断部分攻击。 8)P2P应用软件控制功能:可以实现对BitTorrent、eDonkey、Gnutella、KaZaa、Skype、WinNY,Xunlei等P2P软件的通过、阻断及限速。 9)IM应用软件控制功能:“安全网关”提供对IM应用软件的控制功能,可以实现对AIM、ICQ、MSN、Yahoo!、SIMPLE、QQ等IM软件的控制,包括:阻断登录、阻断文件传输等控制。 10)安全报表服务:“安全网关”提供用户报表定制功能,能够根据用户的要求对报表格式、发送方式及发送频率进行定制。其中内容包括:A、安全服务套餐报表;B、安全策略设置一览表;C、网络带宽占用及流量分析报告或报表;D、攻击事件分析报告或报表;E、按名称的病毒排名:本客户的病毒爆发次数排名;F、按IP的病毒排名:本客户所有计算机的病毒爆发多少排名;G、垃圾邮件排名:统计垃
安全网关产品说明书
安全网关产品说明书 介绍 欢迎并感谢您选购联通网络信息安全产品,用以构筑您的实时网络防护系统。ZXSECUS 统一威胁管理系统(安全网关)增强了网络的安全性,避免了网络资源的误用和滥用,帮助您更有效的使用通讯资源的同时不会降低网络性能。ZXSECUS统一安全网关是致力于网络安全,易于管理的安全设备。其功能齐备,包括: 应用层服务,例如病毒防护、入侵防护、垃圾邮件过滤、网页内容过滤以及IM/P2P过滤服务。 网络层服务,例如防火墙、入侵防护、IPSec与SSLVPN,以及流量控制。 管理服务,例如用户认证、发送日志与报告到USLA、设备管理设置、安全的web与CLI 管理访问,以及SNMP。 ZXSECUS统一安全网关采用ZXSECUS动态威胁防护系统(DTPSTM)具有芯片设计、网络通信、安全防御及内容分析等方面诸多技术优势。独特的基于ASIC上的网络安全构架能实时进行网络内容和状态分析,并及时启动部署在网络边界的防护关键应用程序,随时对您的网络进行最有效的安全保护。 ZXSECUS设备介绍 所有的ZXSECUS统一安全网关可以对从soho到企业级别的用户提供基于网络的反病毒,网页内容过滤,防火墙,VPN以及入侵防护等防护功能。 ZXSECUS550 ZXSECUS550设备的性能,可用性以及可靠性迎合了企业级别的需求。ZXSECUS550同样也支持高可用性群集以及包括在HA设备主从设备切换时不会丢弃会话,该设备是关键任务系统的理想选择。 ZXSECUS350 ZXSECUS350设备易于部署与管理,为soho以及子机构之间的应用提供了高附加值与可靠的性能。ZXSECUS安装指南通过简单的步骤指导用户在几分钟之内运行设备。ZXSECUS180 ZXSECUS180为soho以及中小型企业设计。ZXSECUS180支持的高级的性能例如,虚拟域以及RIP与OSPF路由协议。 ZXSECUS120
安全网关产品说明书模板
安全网关产品说明 书
安全网关产品说明书
介绍 欢迎并感谢您选购联通网络信息安全产品, 用以构筑您的实时网络防护系统。ZXSEC US统一威胁管理系统( 安全网关) 增强了网络的安全性, 避免了网络资源的误用和滥用, 帮助您更有效的使用通讯资源的同时不会降低网络性能。ZXSEC US统一安全网关是致力于网络安全, 易于管理的安全设备。其功能齐备, 包括: ●应用层服务, 例如病毒防护、入侵防护、垃圾邮件过滤、网 页内容过滤以及IM/P2P过滤服务。 ●网络层服务, 例如防火墙、入侵防护、IPSec与SSL VPN, 以 及流量控制。 ●管理服务, 例如用户认证、发送日志与报告到USLA、设备管 理设置、安全的web与CLI管理访问, 以及SNMP。 ZXSEC US统一安全网关采用ZXSEC US动态威胁防护系统( DTPSTM) 具有芯片设计、网络通信、安全防御及内容分析等方面诸多技术优势。独特的基于ASIC上的网络安全构架能实时进行网络内容和状态分析, 并及时启动部署在网络边界的防护关键应用程序, 随时对您的网络进行最有效的安全保护。 ZXSEC US设备介绍
所有的ZXSEC US统一安全网关能够对从soho到企业级别的用户提供基于网络的反病毒, 网页内容过滤, 防火墙, VPN以及入侵防护等防护功能。 ZXSEC US550 ZXSEC US550设备的性能, 可用性以及可靠性迎合了企业级别的需求。ZXSEC US550同样也支持高可用性群集以及包括在HA 设备主从设备切换时不会丢弃会话, 该设备是关键任务系统的理想选择。 ZXSEC US350 ZXSEC US350设备易于部署与管理, 为soho以及子机构之间的应用提供了高附加值与可靠的性能。ZXSEC US 安装指南经过简单的步骤指导用户在几分钟之内运行设备。 ZXSEC US180 ZXSEC US180为soho以及中小型企业设计。ZXSEC US180支持的高级的性能例如802.1Q, 虚拟域以及RIP与OSPF路由协议。ZXSEC US120 ZXSEC US120设计应用于远程办公以及零售店管理.具备模拟modem接口, 能够作为与互联网连接的备份或单独与互联网连接。 ZXSEC US70
MPSec ISG1000安全网关产品
MPSec ISG1000 F5和F2W安全网关
目录 1产品概述 (1) 2产品特征 (3) 3产品规格 (5) 4典型应用场景 (7) 5订购信息 (10)
1 产品概述 1.1 产品图片 图一 MPSec ISG1000-F2/F2W网关正面图 图二 MPSec ISG1000-F5网关正面图 1.2 产品描述 MPSec ISG1000系列是面向运营商互联网专线、中小企业互联网出口应用、营业网点与总部之间的VPN 接入而开发的新一代高性能出口安全网关产品。 MPSec ISG1000系列产品采用自主开发的MPSec OS安全操作系统平台,突破硬件处理器对应用层安
全检测的性能瓶颈,能以高性能提供上网行为管理、流量控制、防病毒、IPS、VPN等功能。 MPSec ISG1000系列产品集防火墙、上网行为管理、流量控制、VPN、路由、WIFI等功能于一体,能够将多种业务部署在同一节点,在充分节约用户投资的情况下提供安全、灵活、便捷的一体化组网与接入方案,有效降低整体的运维成本。
2 产品特征 采用先进的硬件平台及软件架构 全线产品使用MIPS多核平台,高速安全处理,统一化的特征库和一体化分析处理引擎设计,极大的提高了多功能模块同时运行时的运行效率。 应用层多业务安全并发高性能 采用多核算法,突破安全产品硬件瓶颈。实现防火墙、VPN、防病毒、IPS防攻击、上网行为管理、流量控制、日志查询与审计多业务并发的真正高性能处理。 灵活的上网行为控制与审计 MPSec ISG1000系列安全出口网关能精确收集用户浏览的网站、发表的内容,结合用户认证系统可以精准定位到每个用户的上网行为。另外安全出口网关支持对VPN隧道内流量识别,可精确规范和审计隧道内的上网行为,并支持对隧道内各种应用实现分类,提供快速查询功能。 精确灵活的流量控制管理 MPSec ISG1000系列安全出口网关能够全面识别互联网常见应用,包括经常造成带宽滥用、工作效率降低的BT下载、IM及时通讯、在线视频、炒股、游戏等。将安全出口网关部署于网络的出口,可以有效地遏制各种应用抢夺宝贵的带宽和IT资源,从而确保网络资源的合理配置和关键业务的服务质量,显著提高网络的整体性能。 MPSec ISG1000系列安全出口网关支持灵活精确的流量控制,可以对IP与应用进行流量嵌套,支持4层QoS,可以对客户业务进行精细化控制。 支持全面的网络攻击防护 支持DoS/DDoS攻击防护,支持MAC和IP绑定功能,支持智能防范蠕虫病毒技术、ARP攻击防护、TCP 报文标志位不合法攻击防范、超大ICMP报文攻击防范等等网络攻击防护。 完善的日志管理与审计 提供各种日志功能、流量统计和分析功能、各种事件监控和统计功能、邮件告警功能,配合日志管理
网康应用安全网关NS-ASG产品介绍
网康应用安全网关ASG —— 产品概述 NS-ASG 产品是集IPSEC VPN和SSL VPN为一体的新一代VPN产品,为客户实现安全、易用、高效的连接。 需求背景 要想有效率且安全地运作网络服务,会遇到如下问题: ●不在单位内网的员工可能使用各种移动终端访问公司内网的CRM/OA/知识库等应 用系统 ●有较多分支机构,租赁端到端的专线价格昂贵 ●重要的专线资源没有备份,出现问题会造成业务中断 ●高校用户从外网访问教育网资源速度过于缓慢 ●WLAN等移动网络因为其开放性带来的安全问题 功能特性 IPSec VPN ASG提供标准的IPSec网络层连接功能,解决异地机构安全互连的问题。 SSL VPN ASG使用安全套接层(SSL协议)提供数据加密,保证数据在公网上传输的安全。企业员工、合作伙伴、移动办公人员可以通过任何标准的浏览器实现远程安全接入。 接入用户认证 ASG支持多种静态与动态用户认证技术,用于对远程接入用户进行高精度的认证与授权。另外,这些用户认证技术可以通过功能组合的方式来完成双因素可多因素认证。 应用访问授权 ASG的用户在使用VPN服务时,直观看到的是每一个他有权使用的内部应用。用户对于应用的使用权限通过访问安全策略来限制。 终端准入控制 ASG支持对客户接入的终端计算机进行安全扫描,对于不符合安全接入条件的计算机予以屏蔽。安全扫描要素包括:操作系统种类、版本、操作系统补丁、文件、注册表、进程、杀毒软件以及IP地址等。 日志报表 ASG可以对系统管理员的登录与操作、用户登录信息、应用资源的使用以及系统错误都形成日志,并且提供了丰富的信息统计与报表工具。 产品优势 IPSec VPN+SSL VPN双通道,提供高速、强壮的互连互通 考虑到IPSec与SSL各自的技术特性,可以来综合两种技术于一般使用场景中,即远程
SecGateway文档安全网关产品解决方案
SecGateway文档安全网关产品解决方案服务器是企业核心数据信息的处理中心,与企业的办公网络有效隔离至关重要。华途安全网关是一款专用于企业数据中心与办公网络有效隔离的嵌入式专用设备,为企业部署的OA、PDM等应用系统提供有效的安全保障。 I. 需求分析 1. 企业应用需求 为了便于管理,企业都相继采用了OA、CRM、ERP等业务管理系统来支撑企业业务的运转,应用系统的服务器上存放企业多年来积累的核心数据(可能有订单、用户信息、CAD图纸、源代码等内容),为了应用方便,服务器可以从公网直接(或拨VPN进入公司)访问,访问时可获取有权限阅读的全部资料。 安全防护存在的问题: 1) 非授权用户如果获取了密码,也能访问到服务器里的敏感内容? 2) 合法用户用家里的电脑或笔记本访问服务器、下载资料后,这些资料会不会泄露? 企业先行对应策略: 对问题1,目前较常见的解决方案是“动态口令”,即用硬件的动态口令卡或手机短信/应用程序,产生一组随机密钥。配合系统口令,才能访问。但这无法解决问题2。 华途网关可以完美地解决上面的问题。 2. 预期目标 对应用系统的访问精确控制,非内部员工无法访问,非授权用户无法访问;通过非法途径从服务器上下载的资料无效。 II. 解决方案 华途安全网关是一款专用于企业数据中心与办公网络有效隔离的嵌入式专用设备。采用链路加密的方式,实现客户端的准入,应用程序的客户端可以是浏览器,也可以是其他应用程序。如果是浏览器,这个浏览器不仅可以访问对应的WEB服务器,而且可以访问其他的Web站点。 1. 工作原理
通过客户端实现准入控制。加密客户端上的应用程序通过SecGateway访问OA/PDM等服务器。非涉密客户端计算机,在通过安全网关时,会被安全网关筛选和拒绝,无法通过SecGateway访问OA/PDM服务器。 自动完成对经过网关的数据进行强制加解密——上传解密,下载加密。保证服务器上的数据是明文,脱离服务器的数据是密文,确保内部网络环境的流通性。 2. 系统部署图 B/S网关和C/S网关合二为一。B/S架构的应用和C/S架构应用的本质区别在于,C/S架构的客户端是特定的,并且是和服务器配套的。而B/S应用的客户端可以是任意的浏览器,这个浏览器客户端不仅可以访问对应的应用服务器,而且可以访问其他的Web站点。 3. 方案效果 1) 企业部署华途安全网关后,根据用户配置策略,对通过网关的文档数据进行透明加密,在不知不觉中完成文件的加解密工作,不会影响应用程序的工作
产品管理安全网关产品说明书
(产品管理)安全网关产品说明书
安全网关产品说明书
介绍 欢迎且感谢您选购联通网络信息安全产品,用以构筑您的实时网络防护系统。ZXSECUS统壹威胁管理系统(安全网关)增强了网络的安全性,避免了网络资源的误用和滥用,帮助您更有效的使用通讯资源的同时不会降低网络性能。ZXSECUS统壹安全网关是致力于网络安全,易于管理的安全设备。其功能齐备,包括: ●应用层服务,例如病毒防护、入侵防护、垃圾邮件过滤、网页内容过滤以及 IM/P2P过滤服务。 ●网络层服务,例如防火墙、入侵防护、IPSec和SSLVPN,以及流量控制。 ●管理服务,例如用户认证、发送日志和方案到USLA、设备管理设置、安全 的web和CLI管理访问,以及SNMP。 ZXSECUS统壹安全网关采用ZXSECUS动态威胁防护系统(DTPSTM)具有芯片设计、网络通信、安全防御及内容分析等方面诸多技术优势。独特的基于ASIC上的网络安全构架能实时进行网络内容和状态分析,且及时启动部署于网络边界的防护关键应用程序,随时对您的网络进行最有效的安全保护。ZXSECUS设备介绍 所有的ZXSECUS统壹安全网关能够对从soho到企业级别的用户提供基于网络的反病毒,网页内容过滤,防火墙,VPN以及入侵防护等防护功能。ZXSECUS550
ZXSECUS550设备的性能,可用性以及可靠性迎合了企业级别的需求。ZXSECUS550同样也支持高可用性群集以及包括于HA设备主从设备切换时不会丢弃会话,该设备是关键任务系统的理想选择。 ZXSECUS350 ZXSECUS350设备易于部署和管理,为soho以及子机构之间的应用提供了高附加值和可靠的性能。ZXSECUS安装指南通过简单的步骤指导用户于几分钟之内运行设备。 ZXSECUS180 ZXSECUS180为soho以及中小型企业设计。ZXSECUS180支持的高级的性能例如802.1Q,虚拟域以及RIP和OSPF路由协议。 ZXSECUS120 ZXSECUS120设计应用于远程办公以及零售店管理.具备模拟modem接口,能够作为和互联网连接的备份或单独和互联网连接。 ZXSECUS70 ZXSECUS70设计应用于远程工作用户以及拥有10个或更小员工的小型远程办公用户。ZXSECUS70具有壹个外部调制解调器端口,能够作为和互联网连接的备份或单独和互联网连接。 ZXSECUS产品家族
蓝盾安全网关产品
蓝盾安全网关产品 蓝盾防火墙 产品概述 蓝盾防火墙分为蓝盾百兆政务2000,蓝盾百兆政务3000,蓝盾百兆政务4000,蓝盾百兆政务5000 蓝盾千兆4000,蓝盾千兆5000及蓝盾千兆5000H。蓝盾防火墙提供强大的网关防护功能,能够帮助企业、政府以及学校在其网络连接Internet 处设置基本的安全保护措施。高效率、高安全性的蓝盾防火墙将强大的信息分析功能、高效包过滤功能、多种安全措施综合运用,它根据系统管理者设定的安全规则保护内部网络,提供完善的安全性设置,通过高性能的网络核心进行访问控制。系统采用模块化设计,通过直观、简明的web界面对系统进行配置和操作。是一套功能强大、安全性高的网络安全系统。 产品优势 蓝盾防火墙具有智能防御、自动反扫描、防蠕虫病毒攻击、防变种DDoS攻击、防内部攻击等防御功能,具备独特的DDoS网关防御技术、先进的蜜罐(攻击陷阱)技术及入侵检测功能;在认证管理能力方面,蓝盾防火墙支持多种身份、RADIUS认证,分组透明代理,支持远程集中管理,具备独特管理端口软钥匙控制技术,支持分级权限管理;有针对非健康信息的过滤库,并支持内核级的URL过滤和文件过滤,应用层和内容安全过滤及HTTP过滤和电子邮件过滤。支持多种工作模式和协议,支持联动。有丰富的日志与强大的安全审计能力及双向网络地址转换,双机热备等功能。 特性与功能 外网防护:深度包检测防火墙功能 内网安全:内网防火墙、带宽管理(QoS) 网络服务:VPN(IPSec)、负载均衡(Load Balancing)、DHCP服务器、动态DNS代理(DynDNS)、HA高可用性 系统管理:日志审计(Log & Audit)、报表与警告(Report & Warning)
梭子鱼Web安全网关产品介绍
梭子鱼Web安全网关产品介绍 梭子鱼Web安全网关(Barracuda Webfilter Fireware)是一款软硬件集成的web安全防护解决方案,具备5大功能(病毒防护、间谍软件防护、Web内容过滤、流量管理、web 应用管理),是是国际上最受信赖的web安全网关产品之一。 随着WEB应用成为互联网上主要应 用,企业面临的Web风险几乎无处不再。 主要体现在三个方面:1 网络安全:无 处不在的病毒与间谍软件严重威胁企业 网络安全。2 上网行为管理员工不受限 制的网上冲浪、聊天等行为必需得到管 理,否则企业浪费大量的工作时间。3 网 络资源方面视频、音频、P2P等大量占 用带宽,企业资源严重浪费。因此,企 业迫切需求Web安全类的产品,对其Web 应用进行防护,梭子鱼能满足用户的上述需求。 梭子鱼WEB安全网关工作原理 如上图,一个Web请求产生到得到响应,需要经过梭子鱼Web安全网关10层过滤。依次是客户端策略过滤,客户机是否感染检测,间谍协议扫描与阻断(防止间谍向外发送信息),Web内容过滤。对于响应得信息则依次进行服务端策略检查、第二层病毒扫描(clamd),第一层病毒扫描(barracuda),文件类型阻断,间谍下载扫描。 梭子鱼WEB安全网关对Web进行病毒检测,组止WEB病毒下载。梭子鱼WEB安全网关通过对
比间谍URL库、间谍软件扫描及间谍软件协议侦测来阻断间谍软件在企业内部传播。梭子鱼WEB安全网关会通知网络管理员哪些网络中的设备感染了间谍或病毒及其名称,并且可显示这些间谍软件试图对外通讯的数量。 对于Web内容过滤,梭子鱼提供300万条57种分类的URL地址库,可以设置:阻断、警告、监控、允许四种访问方式,结合策略例外的设定,可以轻松的设置某个用户或某个组用户在什么时候可以访问什么网站以及访问多长时间。例如:可以设置允许12:00-13:00员工访问运动站点,允许研发部门下在可执行文件。 可以设置阻断MIME类型,在浏览网页的时候,禁止打开图片、流媒体等。 可以设置禁止使用基于WEB的邮件系统。 可以设置强制使用google,msn的安全搜索功能。 可以设置AIM、Yahoo、MSN、ICQ等即时通讯工具,最新版本可以关闭Skype通讯。 可以设置关闭alexa,remote Approach Tracker 等常用的应用程序及Office、yahoo 工具的自动升级功能。 可以对内部或外部IP地址及端口设置关闭(不允许访问)或开启(白名单访问)。 梭子鱼Web安全网关带有Cache功能,能帮助企业加快对网站的访问速度,不同型号的缓存区大小不同,请参照设备型号表。 易于安装及使用 安装通常在半小时内完成,简单设置IP,连通网线后,设备就开始运行并进行WEB安全防护。梭子鱼提供两种安装模式: 1.串联安装方式 梭子鱼串联接入到网络出口的主干上,所有的Internet网络流量都经过梭子鱼Web安全网关,进行过滤。梭子鱼将执行内容过滤,扫描是否有病毒或间谍软件下载。检测或阻断向外的间谍软件协议请求。扫描所有端口的外发流量,侦测是否有间谍活动并检测被感染的客户端。
安全访问网关(SAG)产品网关用户使用手册4.0
目录 第一章前言 (3) 第二章SAG简介 (4) 2.1 SAG系统特点.................................................................................. 错误!未定义书签。 2.2 SAG应用环境.................................................................................. 错误!未定义书签。第三章初次使用.. (6) 3.1采用WebUI方式登录 (6) 3.2客户端软件 (8) 第四章配置说明........................................................................................... 错误!未定义书签。 4.1 SSO应用 (15) 4.1.1 SSH访问过程 ....................................................................... 错误!未定义书签。 4.1.2 TELNET访问过程................................................................ 错误!未定义书签。 4.1.3 RLOGIN访问过程................................................................ 错误!未定义书签。 4.1.4 FTP访问过程........................................................................ 错误!未定义书签。 4.1.5 RDP访问过程....................................................................... 错误!未定义书签。 4.1.6 VNC访问过程 ...................................................................... 错误!未定义书签。 4.1.7 X11访问过程........................................................................ 错误!未定义书签。 4.1.8应用程序访问过程................................................................ 错误!未定义书签。 4.2非SSO应用 ..................................................................................... 错误!未定义书签。 4.2.1 SSH访问过程 ....................................................................... 错误!未定义书签。 4.2.2 TELNET访问过程................................................................ 错误!未定义书签。 4.2.3 RLOGIN访问过程................................................................ 错误!未定义书签。 4.2.4 FTP访问过程........................................................................ 错误!未定义书签。 4.2.5 RDP访问过程....................................................................... 错误!未定义书签。 4.2.6 VNC访问过程 ...................................................................... 错误!未定义书签。 4.2.7 X11访问过程........................................................................ 错误!未定义书签。 4.3系统管理 (18) 4.3.1 Web操作日志........................................................................ 错误!未定义书签。 4.3.2个人配置................................................................................ 错误!未定义书签。
天清Web应用安全网关产品综述
天清Web应用安全网关产品综述 2.1 产品简介 天清Web应用安全网关(Web Application Gateway,以下简称:天清WAG),是启明星辰公司自行研制开发的新一代Web安全防护与应用交付类网络安全产品,主要针对Web 服务器进行第7层流量分析,防护以Web应用程序漏洞为目标的攻击,并针对Web应用访问进行各方面优化,以提高Web或网络协议应用的可用性、性能和安全性,确保业务应用能够快速、安全、可靠地交付。 天清WAG应用了一套HTTP会话规则集,这些规则涵盖诸如SQL注入、以及XSS等常见的Web攻击。同时通过自定义规则,识别并阻止更多攻击。解决诸如防火墙、UTM等传统设备束手无策的Web系统安全问题。 图1.天清WAG - 源自天清Web IPS 天清WAG在2007年面市的天清入侵防御系统Web IPS系列产品成熟的Web 入侵防御技术与大客户经验积累的基础上,更深层次聚焦Web安全防护与应用交付,提供了专业化的Web攻击防护能力。同时,针对Web系统安全热点问题,如SSL攻击检测、Web敏感信息防护、网页防篡改、多服务器负载均衡等,有着完善的解决方案。 天清WAG始终致力于提供Web安全与应用交付融合的解决方案,确保Web或网络协议应用的可用性、性能和安全性:
图2.天清WAG三大发展核心 ?Web安全:依托多年安全检测积累、持续的安全研究投入,围绕《OWASP Top 10 Application Security Risks》,提供快速全面的Web安全解决方案。 ?应用交付:依托全系列多核硬件、以及上市公司资源投入优势,以高速、高可用为目标,优化业务资源,改善访问体验。 ?全产品应用安全解决方案:基于启明星辰面向应用安全的天阗、天清汉马、天清、天玥、天珣、天镜等全系列产品,提供完善的全产品应用安全解决方案。 2.2 产品系列简介 图3.天清WAG - 全系列MIPS64多核SoC(System on Chip)处理器
亿赛通文档安全网关产品介绍
文档加密安全网关 产品概述 随着电子信息化建设力度的不断加大,企业越来越多的利用各种应用系统来实现信息的共享和交换,以提高其商务竞争能力和办公效率。在当今这个信息经济时代,除了要能够随时随地获取信息之外,确保信息的机密性和完整性显得更为重要。日益加剧的市场竞争和层出不穷的病毒木马,使得数据的安全性受到极大威胁。 亿赛通FileNetSec(文档安全网关)系统是从文件在企业的使用流程入手,将数据泄露防护与企业现有OA系统、文件服务系统、ERP系统、CRM系统等企业应用系统完美结合,有效解决文档在脱离企业应用系统环境后的安全问题。 应用范围 FileNetSec广泛用于保护各类文档服务器、资源管理服务器、OA、ERP、PDM 等应用服务器的数据安全可控。 功能特性 智能透明加密 文件安全网关为集成硬件设备,硬件部分采用性能强大的网关设备,内置加固、精简的Linux内核系统,系统采用国际先进的高强度加密算法进行文档加密,加解密过程智能透明,不会改变用户的任何操作习惯,也不改变原有信息的格式和状态。 超强文档保护 文档被强制加密后,只有具备相应密钥的用户才能正常打开,但却无法通过复制粘贴、拷屏拖拽、打印另存等方式窃取文档信息;在密钥不匹配的情况下,文档打开后将以乱码形式呈现,无论通过何种非法途径均无法读取文档内容。 精确访问控制
FileNetSec文档安全网关支持远程用户访问公司资源,它通过国际先进的加密技术提供基于网络的访问途径,通过与企业各种应用系统的集成,用户可以访问基于Web的各种数据资源以及共享文件。并且系统可以实现功能强大的访问控制,通过策略配置可以实现只允许可信的用户和连接访问,拒绝具有安全威胁的用户和连接访问,从而大幅提高整体网络的安全性。 支持双机热备 FileNetSec文档安全网关可以根据用户网络的特点和具体要求,在保证网络架构高效简洁的前提下,同时实现网络的负载均衡。当出现高峰突发访问时,FileNetSec到服务器的连接数并不会突然增加,从而对服务器起到一定的压力缓解作用。因此用户在访问同一资源时并不会出现时快时慢的现象,用户体验更为良好。 产品优势 广泛的适用性 FileNetSEC兼容HTTP、HTTPS、FTP、SMB等多种应用层协议,能够与企业各种应用系统完美耦合,并且支持大多数常见格式文件的加解密,方便企业后续的需求升级和应用拓展。对于基于B/S架构的常见应用系统(如CRM、OA、ERP、PDM等),亿赛通文档安全网关都能提供完美支持,为企业安全个性化需求提供更多保障。 高度的安全性 系统采用网络协议过滤技术 ,对数据管理和存储环境与外部的文档传输进行强制加密和解密,实现数据管理和存储环境与外界安全隔离。 安装管理简便 作为一款可被部署在局域网或广域网之中的文档安全产品,FileNetSec的安装和管理都非常简单容易。对于客户来说,使用一台(或多台)文档安全网关就可以实现全面的集中管理。企业可以自定义用户和组、网络对象、访问权限和安全策略,从而实现任意地点的安全访问。