需求分析
产品优势
高性能软
硬件架构
爱思考下一代防火墙采用高性能软硬件架构,以智能用户识别与智能应用识别为基础。
防范攻击
和社工渗透
实现了完全以用户和应用为中心的控制策略,先进的APT防护技术能够有效防范0DAY攻击和社工渗透等新型威胁。
丰富直观
可视化信息
丰富而直观的可视化信息,可以方便地查看策略实施效果、定位网络问题,指导网络管理员进行更合理的规划乃至网络投资决策。
功能特点
多核并行处理技术
爱思考通过智能分流器对流量进行分配。当数据包到达爱思考下一代防火墙时,首先由智能分流器对数据包进行初步分类。智能分流器根据当前启用的上层功能以及数据包的网络层、应用层信息,决定将该数据包投递到哪个处理核。
一体化报文处理引擎
爱思考采用了一体化报文处理引擎完成报文的统一解析。引擎首先分析用户配置的各项功能,决定进行哪些分析,随后一次性对二至七层所有需要进行解析的内容进行统一处理,并将结果一并送至策略控制模块。策略控制模块依据这些解析结果,匹配用户配置的策略进行报文的后续处理。
基于用户和应用的控制策略
爱思考下一代防火墙提供了用户策略、应用策略、访问策略、防护策略、路由策略、流控策略、NAT策略等多种控制策略,这些策略全部都围绕用户和应用进行组织:用户策略规定了用户如何接入网络,用户所属的类别,以及具备的访问权限等等。
智能用户识别
爱思考下一代防火墙智能用户识别支持静态绑定、本地认证和第三方认证三种工作方式,并且会将未识别的用户自动归类为匿名用户,便于网络管理员按照需要指定这部分用户的访问策略。例如,未识别用户仅允许访问有限的资源、特定的应用,或者不允许访问任何资源。
智能应用识别
ASG的重要特点是能够准确地基于应用进行精细化的访问控制,而这依赖于高效、精确的应用识别。爱思考下一代防火墙支持基于深度包检测,深度流检测以及智能行为分析三种应用识别技术。
上网行为管理
精准的应用控制ASG针对网络应用的管控更全面、精准、便捷。针对应用的细分功能精准控制,可以基于用户、位置、时间、应用、行为、内容等6个维度来配置策略。
入侵防御
入侵防护系统对缓冲区溢出、SQL注入、暴力猜测、DoS攻击、扫描探测、蠕虫病毒、木马后门等各类黑客攻击和恶意流量进行实时检测及报警,并通过与防火墙联动、发送邮件、SNMP trap等方式进行威胁防御。目前防火墙可携带的最大协议特征库可达到16000条,流行库达到7000条以上,满足大部分业务也有场景需求。
病毒防护功能
防病毒功能使用安天科技股份有限公提供的AVL系统反病毒引擎。当前爱思考下一代防火墙病毒库已经到达600万,反病毒引擎可以处置各种复杂情况,可以检测蠕虫、病毒、木马、黑客工具、流氓软件、风险程序等各种类型,并提供在非完整流、完整流、文件、URL等不同对象的检测,同时具有完善的基于场景和基于安天独有的VCS(抓毒精灵)技术的未知病毒检测能力。
智能流量控制
爱思考下一代防火墙支持基于接口的虚拟线路,网络管理员可以规定每个线路的带宽,作为流控的基准。在虚拟线路下,最多可支持4级通道的设定,满足网络管理员对不同部门及其下级机构设置具有层级关系的流量控制策略。每一级通道都可按照不同的用户、应用、地址和时间等,设置带宽限制、带宽保障、每IP带宽等等,并可允许在最大带宽范围内进行智能带宽借用(弹性带宽),在网络线路不繁忙时最大限度地利用网络带宽资源。
多种类型的VPN
爱思考下一代防火墙支持主流的VPN技术,包括IPSec VPN、SSL VPN、GRE等,提供多种平台使用的客户端,实现VPN互联。爱思考下一代防火墙能以网关模式、单臂模式进行部署;IPSec全面支持NAT穿越,支持Hub-Spoken、Full-Mesh、DVPN等部署;SSL VPN支持Tunnel应用方式,支持端到端部署。
统计分析与可视化
统计分析与可视化是网络管理员有效管理网络的最有效工具。爱思考下一代防火墙提供了多种可视化统计分析功能。
2009年,著名咨询机构Gartner介绍为应对当前与未来新一代的网络安全威胁认为防火墙必需要再一次升级为“下一代防火墙”。第一代防火墙已基本无法探测到利用僵尸网络作为传输方法的威胁。由于采用的是基于服务的架构与Web2.0使用的普及,更多的通讯量都只是通过少数几个端口及采用有限的几个协议进行,这也就意味着基于端口/协议类安全策略的关联性与效率都越来越低。深层数据包检查入侵防御系统(IPS)可根据已知攻击对操作系统与漏失部署补丁的软件进行检查,但却不能有效的识别与阻止应用程序的滥用,更不用说对于应用程序中的具体特性的保护了。
Gartner将网络防火墙定义为在线安全控制措施,即:可实时在各受信级网络间执行网络安全策略。Gartner使用“下一代防火墙”这一术语来说明升级防火墙的必要性,以应对业务程序使用IT的方法以及针对业务系统所发起的攻击方法所发生的改变。
产品简介
■ 自主研发
爱思考下一代防火墙,是本公司自主研发的面向移动互联时代的全面保障L2-L7安全的新一代应用安全网关产品。该系列产品采用X86多核硬件平台,结合单路径并行处理的用户识别、应用识别和安全检测引擎,实现对用户、应用和内容的深入分析,为用户提供高性能、可视化、精准有效的应用层一体化安全防护体系。
■ 多重安全
下一代防火墙以用户识别、应用识别为基础,提供应用层防火墙、入侵防护、防病毒、反APT和VPN智能带宽管理、多出口链路负载均衡、内容滤、URL过滤、威胁情报联动等多重安全功能。
■ 云向接口
产品提供云向接口,基于大数据平台架构的安全云管理平台可实时监控网络拓扑和设备状态,通过自动配置下发有效简化专业设备的上线部署难度,移动端的实时监控降低维护成本的同时更让安全随时随地可见是新一代网络安全防护的最佳选择。
产品部署
部署方式
DEPLOYMENT MODE
在部署方面,爱思考下一代防火墙支持传统的桥接、路由、旁路和混合部署模式,并可以VNF的形态部署在NFV环境中。
配合爱思考云安全管理平台,可以支持各种主流大二层网络技术,重新定义云数据中心内部网络边界,使得安全防护成为可能。
同时,通过NFV技术实现安全功能资源池化,部署更灵活,更具有弹性,可以根据业务按需扩展,解决单一设备性能瓶颈的问题。
爱思考下一代防火墙软件架构图(左)
