网神SecGate-3600下一代极速防火墙NSG5500系列产品白皮书【V9.10.1】

1 网神 SecGate 3600 下一代极速防火墙 产品白皮书 网神 SecGate 3600 下一代极速防火墙 本文档解释权归网神信息技术 北京 股份有限公司产品部所有 网神信息技术 北京 股份有限公司 2 网神 SecGate 3600 下一代极速防火墙 目录目录 1产品概述 3 2产品特点 4 3产品功能 6 3 网神 SecGate 3600 下一代极速防火墙 1 产品概述产品概述 目前市场上主流的防火墙为状态检测防火墙 基于会话状态和五元组来过滤数据 在性 能有限的基础上 最大化的实现了对会话的控制 但是对于承载在数据包应用层中的木马 病毒 垃圾邮件 广告 应用程序等则无法识别 在云计算 大数据热门的今天 B S 架构 和 web2 0 的普及使用 让用户受到的攻击越来越多样化和深层次 现有传统防火墙已经力不 从心 传统的 UTM 产品 即便是多核的 由于采用 SMP 架构 并行计算仍然存在瓶颈 所以 UTM 虽然集合了防火墙 入侵防护 防病毒功能于一身 但在功能全面开启的情况下 相信 用户也能切身感受到由于产品的性能跟不上 正常的业务数据转发延迟被大大提高 甚至影 响正常访问 权衡之下 只能放弃 UTM 的部分功能 或者花更多的钱 买性能更高的 UTM 产品 在中大型企业 金融和电信行业 部分用户甚至不太愿意使用 UTM 产品 就是担心 UTM 产品成为自己网络中的 单行道 下一代防火墙保留了状态检测防火墙的优点 具有性能的同时具备内容过滤 入侵防御 流量管理 用户认证等多种应用层过滤技术于一身 弥补了状态检测防火墙的不足 为用户 提供了更全面的深度过滤功能 有效识别来自应用层的威胁 网神下一代极速防火墙 NSG 系列 围绕用户的真实需求 通过全新的 AMP 多核架构和 设计理念 在融合了下一代防火墙功能特点的基础上 实现了高性能极速转发 智能定位与 管控 应用精细识别 多种应用层过滤技术 虚拟防火墙定制化安全及立体可视化监控等一 系列特有功能 应用层和网络层安全模块的并行调度 提升了应用层处理性能 系统引擎与 安全引擎的用户态设计 避免了在大流量下数据报文分析对防火墙性能的影响 有效提高了 整机运行速度 友好的扁平化风格界面 配合直观的功能模块设计 帮助用户更加方便的进 行网络管理 可以说 网神下一代极速防火墙 NSG 系列在有效解决应用层瓶颈和多样化威胁 的基础上 为自身系统调度保证了足够的冗余空间 让防火墙的整体处理性能有了革命性的 飞跃 为用户提供了完美的网络安全解决方案 4 网神 SecGate 3600 下一代极速防火墙 2 产品特点产品特点 领先的下一代领先的下一代 SecOS 安全协议栈安全协议栈 完全自主知识产权的网神第三代 SecOS 操作系统 实现防火墙的控制层和数据转发层分 离 全模块化设计 实现独立的安全协议栈 突破传统防火墙性能转发能力 消除了因操作 系统漏洞带来的安全性问题 以及操作系统升级 维护对防火墙功能的影响 同时也减少了 因为硬件平台的更换带来的重复开发问题 由于采用先进的设计理念 使该 SecOS 具有更高 的安全性 开放性 扩展性和可移植性 下一代并行处理系统 高性能 集成化 单引擎下一代并行处理系统 高性能 集成化 单引擎 网神下一代极速防火墙完全自主研发单引擎一次性性数据包拆分和物理多核下并行虚拟 计算处理技术 实现数据包在 4 7 层高性能转发 实现应用层识别 用户身份识别 以及内 容识别 通过识别技术实现各功能模块联动 有效阻止来自应用层的威胁攻击 同时 应用 趋势和全栈数据可见性 识别应用和在应用层上执行独立于端口和协议 而不是根据纯端口 纯协议和纯服务的网络安全策略 用户可以根据安全要求等级 自动识别应用以及针对应用 风险等级实现控制与阻断 深度的网络行为关联深度的网络行为关联分析 智能安全防护分析 智能安全防护 网神下一代极速防火墙的整套安全防御体系都是基于网络用户行为实时分析 动态实时 防护设计 通过 云计算 中心自动收集安全威胁信息并快速寻找解决方案 及时更新攻击防 护规则库并以动态的方式实时部署到各用户设备中 保证用户的安全防护策略得到及时 准 确的动态更新 防范以多种形态出现的新恶意软件和攻击类型 APT 0 day 等攻击所带来的 日益增长的威胁 对称路由保证来回路径一致对称路由保证来回路径一致 下一代极速防火墙提供对称路由功能 用户可以通过启用接口的对称路由功能 实现用 户从哪里进来访问的数据 从哪里再返回出去 例如 用户内网对外提供一个 http 服务 同 时用户申请了联通和电信两个出口 当联通的用户从联通出口进来访问 http 服务时 对称路 由功能可以让服务器返回给用户的应答数据也从联通出口出去 当电信的用户从电信出口进 来访问 http 服务时 对称路由功能可以让服务器返回给用户的应答数据也从电信出口出去 5 网神 SecGate 3600 下一代极速防火墙 保证数据来回路径的一致性 安全高效的安全高效的 IPv6 核心技术核心技术 网神下一代极速防火墙 NSG 系列支持 IPv6 路由 IPv6 安全策略及 NAT64 DNS64 等 IPv6 核心功能 不仅支持全 IPv6 环境 同时 还支持 IPv6 环境访问 IPv4 资源 另一方面 得益于网神完全自主研发的 AMP 架构与第三代 SecOS 操作系统的支撑 网神下一代极速防 火墙 NSG 系列在 IPv6 性能上媲美 IPv4 性能 主动的主动的 IPS 攻击防护攻击防护 内置多种规则库 可以分别针对 HTTP FTP SMTP POP3 DNS 等协议进行防护 并可自定义特征签名 发现攻击或者入侵后会自动阻断并记录日志 并且可以有效的抵御各 种常见的 DOS DDOS 攻击 能够保证关键服务器的正常应用 同时具备在线升级功能 提供 最新的入侵特征 基于终端动态基于终端动态 QoS 控制控制 传统防火墙和 UTM 产品大多采用静态地址的流量控制 虽然某种程度上解决了用户带 宽不足的问题 但是无法解决当前应用的控制 以及网络带宽不能高效率使用的问题 网神 NSG 系列下一代极速防火墙结合用户的实际需求 不仅能实现静态的 QoS 控制 同时根据用 户实际业务 实现基于用户身份不同 应用与业务不同 以及终端设备的地域不同实现动态 QoS 控制 不仅能感知用户业务动态变化 而且能够将用户带宽高效率利用 安全隔离的虚拟系统安全隔离的虚拟系统 网神下一代极速防火墙 NSG 系列支持通过虚拟系统功能 将下一代极速防火墙虚拟成多 个相互隔离并独立运行的虚拟防火墙系统 每一个虚拟系统都可以为用户提供定制化的安全 防护功能 并可配备独立的管理员账号 在用户网络不断扩展时 通过虚拟系统功能不仅能 有效降低用户网络的复杂度 还能提高网络的灵活性 当这些相互隔离并独立运行的虚拟防 火墙系统需要通讯时 可以通过下一代极速防火墙提供的虚拟接口实现 而不需要通过物理 链路将它们进行连接 多维度报表分析展示多维度报表分析展示 根据网神下一代极速防火墙 NSG 系列产生的日志 用户可以直接在防火墙上生成报表 并支持根据地址 端口 应用 用户 区域多个维度来展示报表 报表分析可以作为用户审 6 网神 SecGate 3600 下一代极速防火墙 计安全事件 制作安全态势报表的依据 同时 网神下一代极速防火墙 NSG 提供完善的 SNMP 服务 支持通过 SNMP 服务器或者网神 SOC 中心对防火墙进行信息收集 集中管理 及策略下发 3 产品功能产品功能 可以支持路由 透明 混合接入模式网络接入方 式支持静态 DHCP 接入方式 支持基于源 IP 地址 目的 IP 地址 时间 用户 应用 服务 区域 安全域 物理接口 VPN 隧道等多种方式进行访问控 制 支持基于国家区域及国内省际区域的访问控制 支持动态端口协议 H 323 SIP FTP SQL NET TFTP PPTP 等 支持对 MSN QQ WebQQ 米聊 PC 版 阿里旺旺 百度 Hi 雅虎通 飞信等的即时通信应用限制 选配 支持对阿里通 KC 网络电话 UUCall 网络电话 酷宝网络电 话等网络电话类应用做限制 选配 支持对常见的在线视频应用 如优酷 优酷客户端 腾讯视频 新浪视频 搜狐视频 奇艺视频 网页版 PPTV QQ Live 快播等软件和网站应用控制 选配 支持对常见的在线音频应用 如 QQ 音乐 多米音乐 酷狗电 台 百度音乐等软件和网站应用控制 选配 支持对应用软件更新的控制 包括 windows 系统更新 360 安 全卫士更新 360 杀毒更新 360 软件下载更新 驱动精灵更 新 瑞星软件更新 以及卡巴斯基杀毒等软件的更新 选配 访问控 制 安全规则控 制 支持对代理软件 翻墙工具的识别和管控 选配 7 网神 SecGate 3600 下一代极速防火墙 可对 BT 网际快车 盛大下载器 QQ 旋风等多种文件共享 应用限制 选配 可对网易邮箱 QQ 邮箱 新浪邮箱 阿里云邮箱等邮件应用 做限制 可对金牛财顺 中投卓越 同花顺 股票悄悄看等股票证券类 应用做限制 可对招商银行 建设银行 农业银行 工商银行 民生银行 中国银行 浦发银行等网络银行做限制 支持对暗黑 3 跑跑卡丁车 征途 植物 OL 完美世界 浩 方对战平台等网游或对战平台等游戏的禁止及流量控制 选配 支持使用 ARP 对接入的 IP MAC 进行 双向静态地址绑定 防止 ARP 攻击 防 ARP 欺骗与攻击 可以支持源 目的地址 端口转换 双向地址转换 支持一对一 一对多 多对一地址转换方式 支持根据路由自动选择的地址转换方式 byroute 支持 full cone NAT 网络地址转 换能力 支持动态 静态地址转换 接口支持路由模式 交换模式 Access Trunk Bridge VLAN ID 同交换机互联可承载多 VLAN 链路 支持 802 1q 协议 支持 VLAN 接口 子接口 桥接口功能 支持聚合接口 聚合接口支持路由和交换两种工作模式 Channel 模式支持轮询 热备 802 3ad 802 3ad 支持 3 种负 载算法 根据源目的 mac 组合 根据 mac 和 ip 组合 根据 ip 和 TCP UDP 端口组合 网络管 理 网络适应能 力 支持隧道接口 可实现隧道接口 over OSPF 8 网神 SecGate 3600 下一代极速防火墙 支持接口镜像 可将接口发送或接收的流量镜像至其余指定接 口 支持静态 动态 ARP 表维护 静态 动态 MAC 表维护 支持人 工干预 支持 MAC 地址自定义 支持 DHCP 服务器 客户端 支持 DHCP 地址绑定 根据 MAC 地址静态分配 IP 地址 支持 DHCP 域名服务器 WINS SMTP POP3 支持静态路由 支持静态路由状态监控 支持静态 动态多播路由 实现多播路由下稀疏模式和多播路 由监控 支持策略路由 可基于源目的地址 网关 ip 下一跳接口 用户 服务 应用实现策略路由 支持策略路由状态监控 支持策略路由优先级调整 可根据不同应用场景调整策略路由 默认优先级 支持 ISP 路由 内置 ISP 信息 实现 ISP 智能选路 支持动态路由 RIP v1 v2 OSPF BGP 支持对称路由 用于实现来回路径一致功能 支持路由负载均衡 可进行基本网关配置 支持 4 种均衡方式 最优路径 流量 会话 主机 最优路径方式可进行链路带宽 繁忙占用比例 探测地址和最 优链路出接口的配置 支持 3 种链路健康探测类型 ICMP TCP HTTP 路由功能 支持组播流量的透传和转发 支持 IPv6 地址配置 IPv6 邻居的动态管理和静态配置IPv6 功能 支持 NAT64 和 DNS64 9 网神 SecGate 3600 下一代极速防火墙 支持 IPv6 下的静态路由及安全策略配置 可支持 254 个虚拟系统 具体数目视型号而定 支持虚系统接口 用于虚系统之间通信 支持系统资源 CPU 内存和存储空间 的分配 支持基础防火墙功能 路由 安全策略 NAT 及攻击防护 黑名单和入侵防御功能的独立配置 虚拟系统 支持虚系统配置 日志及监控统计的独立管理 防火墙系统支持多种 灵活的身份认证技术 包括基于 web 的本地认证 客户端认证和第三方 RADIUS LDAP AD 认 证 支持基于 IP 地址白名单绑定 支持基于源 目的安全域 源 目的地址以及认证服务器的用户 认证策略 支持基于时间调度 策略控制的用户管理机制 支持个性化的用户认证页面设置 支持 web 认证客户端 可以在使用 web 认证客户端时进行 NAT 探测 用户认证 支持认证用户角色的配置 可分多级带宽级别 最高可支持 3 级优先级带宽控制策略 支持基于接口 上下行链路的带宽配额和限流 支持最大保证带宽 最大限制带宽 支持对上传和下载的流量进行控制 支持对用户身份进行带宽控制 支持对应用程序带宽分配与管理 选配 支持对服务带宽分配和管理 可按共享和独享策略对带宽进行限制 QoS 支持带宽动态分配 实现数据流按需动态分配控制 10 网神 SecGate 3600 下一代极速防火墙 基于用户身份 IP 地址 应用程序与协议的实时统计分析 支持基于安全域及 IP 地址的新建和并发连接数限制 支持对双向 出域 入域的连接数限制 连接数限制 支持单个 IP 及所有 IP 的新建和并发连接数限制 防火墙支持内嵌 VPN 功能模块 并可以提供 VPN 客户端软 件 可方便地建立点对点 远程访问 主机到主机的加密隧道 支持手工隧道与自动隧道 IKE 自动协商隧道 支持 DES 3DES AES128 AES256 国密算法 SM1 等加密 算法 支持 MD5 SHA 1 验证算法 支持标准 IKE IPSEC 协议与其他厂商 IPSEC VPN 设备进行 互联 互通 支持基于证书的认证 VPN 的 AD 扩展认证 RADIUS 扩展 认证 LDAP 扩展认证 VPN 功能 IPSec VPN 支持安全策略对 VPN 隧道的引用 能对隧道内数据进行威胁 防护和内容过滤 支持多线路负载均衡和冗余备份 支持基于权重 会话 最优路径的链路分配机制 链路负载均 衡 支持多种协议链路健康检测功能 支持服务器轮询方式负载 支持服务器权重值的轮询方式负载 服务器 负载均衡 支持源地址 HASH 算法负载 支持路由模式和透明模式下的双机热备功能 包括主备模式 A S 主主模式 A A 支持基于组 权重 的抢占与非抢占模式的 HA 配置 支持 HA 接口监控 链路探测 高可靠 性 高可用性 双机 支持配置和动态信息自动同步 11 网神 SecGate 3600 下一代极速防火墙 可根据选择开启并阻断以下攻击行为 flood icmp flood udp flood tcp scan udp scan ping sweep teardrop land ping of death smurf winnuke 圣 诞树 tcp 无标记 syn fin 无确认 fin 松散源路由 严格源 路由 ip 安全选项 ip 记录路由 ip 流攻击 ip 时间戳等攻 击 可对如下攻击做防护 拒绝服务 缓冲区溢出 恶意扫描 木 马后门 病毒蠕虫 僵尸网络 跨站脚本 SQL 注入 WEB 攻击 其它攻击 具备内置独立的入侵防护 IPS 功能 并支持 IPS 规则库单独升 级 可以进行独立的 IPS 防护 基于特征库的防护 特征库数目不 少于 3000 支持基于用户的定制策略 支持基于源 目的区域 源 目的地址 VPN 隧道 用户 服务 应用 时间 地理区域的入侵防护策略 针对攻击可以采取放行 阻断 日志记录 重置会话等多种处 理方式 攻击防 御 IPS 功能 选 配 特征库支持手动 自动升级 支持多种管理员角色权限 超级 审计 安全 配置 账户 虚系统配置 虚系统审计管理权限 支持自定义管理权限的设置 包括模块 系统 网路 路由 对象 安全 VPN PKI 用户认证 行为管理 应用安全 日志 监控 账户 虚系统 支持管理员采用密码和证书认证两种方式安全登录管理 双系统支持 系统回滚 系统管 理 设备管理 配置文件手动备份 可备份 3 份历史配置 12 网神 SecGate 3600 下一代极速防火墙 系统时间支持手动配置 本地同步 在线 NTP 服务器同步三 种设定方式 支持多种管理方式 包括中文 WEB 本地 CONSOLE 远程 SSH TELNET http https 等 支持防火墙系统 IPS 系统 IPS 特征更新 APP 特征更新的 独立 license 管理 支持 IPS APP 特征库自动升级 定期升级 支持 IPS APP 特征库在线升级 支持指定升级服务器和代理 服务器 集成在线抓包 链路探测等常用诊断工具 支持 SNMP v1 v2c v3 支持 v1 v2c v3 下的 Trap 功能 支持通过 SNMP 协议进行日志审计 配置管理以及状态监控 集中管理 SN