随着网络技术的发展,防火墙需要支持对应用层的过滤和威胁防护,如何保障开启应用层过滤和威胁防护情况下能够高效、快速、稳定运行是新一代防火墙必须面对的问题。金盾第二代防火墙采用自主研发且优化后的多核并行处理结构,突破传统防火墙处理数据的瓶颈,更大程度上提升了防火墙的性能。更高效的性能、更快速的转发速度是第二代防火墙的基石,让集成的多种安全防护功能,在全面启用的情况下,仍然能轻松应对,保证极快的整体转发速度。
金盾第二代防火墙内置应用识别库,支持2000+种应用识别。在配置界面上为用户提供应用列表,并可将应用进行26个维度分类,包括按风险等级分类(1-5级威胁度),按商业类别、子类别分类(如媒体类,图片视频子类),按实现技术分类(如P2P),以及按照特征标签分类(如消耗带宽类,传输文件类应用等)。同时支持按照以上5维度的任意组合供用户对应用进行详细查询定位。
作为第二代防火墙显著特征之一,金盾第二代防火墙对在线用户身份识别功能做了全面细致的支持。与传统的将用户认证策略混入防火墙策略配置中不同,金盾第二代防火墙将用户认证从防火墙复杂的策略配置中抽离出来,从逻辑上做出更合理清晰的呈现。用户可对不同的安全区域指定不同的认证策略,并可根据不同场景选择不同的身份识别方案,例如,可从域控服务器直接获取身份信息,与第三方认证服务器(Radius、AD、LDAP)认证,本地帐号库认证,证书认证,以及结合以上多钟认证方式于一体的多因素认证。
产品基于安全引擎的一体化设计,在配置界面上为用户提供了较传统防火墙和UTM完全不同的清晰和简捷的管理体验,即一体化策略配置。一体化配置策略将传统五元组访问控制与具有第二代防火墙特征的用户识别、应用识别控制有机的结合起来,同时对其他防火墙产品一贯分离且重复的安全策略配置方式,进行了高度集中和融合。
金盾第二代防火墙基于强大细致的用户、应用识别能力和灵活的3级通道带宽嵌套机制对流量进行控制处理,保障优先级高的通带宽;支持用户以安全区、IP地址段、时间、用户、应用多维度的对流量进行管理和控制,包括限制应用上下行最大带宽、保证应用上下行最小带宽、保证带宽下的优先级排序以及每IP的进行应用流量控制,从而做到合理分配网络带宽,保证重要业务的正常优质运行,限制或防范非法滥用网络资源的应用对流量的过度占用等。
通过智能化应用、用户身份识别技术,NGFW可以将网络中单纯的IP/端口、以及流量信息,转换为更容易理解、更加智能化的应用程序信息和用户身份信息,为后续的基于应用程序的策略控制和安全扫描,提供了识别基础。
NGFW可以根据风险级别、应用类型、是否消耗带宽等多种方式对应用及应用动作进行细致分类,并且通过应用级访问控制,应用流量管理以及应用安全扫描等不同的策略对应用分别进行细粒度的控制和过滤。
在完成智能化识别和精细化控制以后,NGFW对于允许使用且可能存在高安全风险的网络应用,可以进行攻击、漏洞、病毒、URL和内容等不同层次深度扫描,如果发现该应用中存在安全风险或攻击行为可以做进一步的阻断并且记录成为详细的安全日志和风险报表。
NGFW可以主动、先发性的对用户内网脆弱资产进行风险评估,并提出加固方案,是用户的内网安全管理专家,同时又可以通过接入云端,简化运维,对安全威胁在线分析和把控,是用户的云端安全管理专家。
方案简介
金盾NGFW第二代防火墙是金盾软件构筑在最新一代64位多核硬件平台基础之上,采用最新的应用层安全防护理念,同时结合先进的多核高速数据包并发处理技术,研发而成的下一代企业级边界安全产品。他集成了防火墙、VPN、应用于身份识别、防病毒、入侵防御、虚拟系统、行为管理、应用层内容安全防护、威胁情报等综合安全防御功能,为用户各个安全域出口打造的基于协同防护的下一代安全防御系统。
方案功能
金盾软件第二代防火墙墙(NGFW)拥有更全面的安全防护能力,三重防护抵御未知威胁。
系统监控
系统监控主要用于显示设备的实时信息,包括:应用风险系数、Top高风险应用、应用类型排行、应用流速趋势、Top应用、接口流量监控、最新威胁列表、最新流量排行、服务器安全、Top安全策略,各模块的实时信息可根据用户的使用需求进行配置。
数据中心
数据中心主要用于展示设备采集、统计和分析得到的各种安全事件信息和日志记录,包括:汇总概览、统计分析、应用分析、智能分析、流量监控、日志记录、审计记录、分析报告和数据维护。
DLP数据防泄漏
对传输的文件和内容进行识别过滤,可识别160+中常见文件类型,识别常 见文件的真实类型和内容,防止企业关键信息通过文件泄露。
防火墙
提供基于接口的访问控制策略;提供多种协议的广播转发控制;支持黑/白名单;包过滤策略;对象策略相关配置;提供连接排序和基于IP的连接限制;支持IP与MAC地址的绑定;提供地址转换;支持应用代理配置,支持流量控制。支持SNAT和DNAT。
安全防护
安全防护用于检测各种攻击、入侵防御、病毒、垃圾邮件事件,以及应用行为和内容安全事件的识别,包括:应用行为、DDOS攻击检测、WAF防护、内容安全、入侵防御、URL过滤、僵尸网络、垃圾邮件。
风险分析
风险分析主要包含漏洞分析和WEB扫描:漏洞分析是对安全策略的漏洞防护能力的检测扫描,针对配置的安全策略,检测对指定扫描目标的安全防护;Web扫描是针对某web应用的漏洞扫描,输入要扫描的目标URL,开始扫描,则扫描的实时信息会实时显示给用户。
网络管理
支持物理接口、子接口、vlan接口、聚合接口配置,接口支持虚拟网络、ADSL、DDNS、VPN的设置。支持静态路由、策略路由、多播路由、动态路由;支持动态路由将直连、RIP等路由重新发布入OSPF自治系统;支持DHCP服务配置;支持DNS服务器配置;支持IPv6、VPN、SSLVPN、双机热备、负载均衡、无线和移动接入。
用户管理
能够配置用户、用户组及角色对象,;支持可信任接入配置;支持Radius、Tacacs、POP、LDAP、MSAD服务器认证服务器配置、短信认证配置、802.1x认证配置;内置CA中心。
