东华下一代防火墙,是自主研发的面向移动互联时代的全面保障L2-L7安全的新一代应用安全网关产品。产品采用多核硬件平台,结合单路径并行处理的用户识别、应用识别和安全检测引擎,从用户、应用和行为的角度出发,实现了流量分类、访问控制、攻击防护和QoS等所有传统防火墙功能,并基于这些功能进行了高级抽象,提供用户策略、应用策略和行为策略等智能控制手段,有效解决了传统防火墙无法解决的问题。 东华下一代防火墙具备APT防护功能,有别于基于特征的攻击防护,APT防护结合了网络行为特征分析技术、未知文件沙箱分析技术和未知流量分类技术,可对潜在的0day攻击,泄密行为、加密C&C流量等无法通过指纹特征识别的威胁进行定位、阻断和溯源。产品提供了用户策略、应用策略、访问策略、防护策略、路由策略、流控策略、NAT策略等多种控制策略,帮助用户方便安全的开展业务的同时简化网络安全架构,是新一代网络安全防护的最佳选择。
东华下一代防火墙采用了一体化报文处理引擎完成报文的统一解析。引擎首先分析用户配置的各项功能后一次性对二至七层所有需要进行解析的内容进行统一处理,并将结果一并送至策略控制模块。策略控制模块依据这些解析结果,匹配用户配置的策略进行报文的后续处理。在单个处理核的处理进程上完成从报文接收、报文解析、策略控制、报文发送的所有工作。避免了多模块、多进程之间的重复工作和报文拷贝。
东华下一代防火墙提供了用户策略、应用策略、访问策略、防护策略、路由策略、流控策略、NAT策略等多种控制策略,这些策略全部都围绕用户和应用进行组织:用户策略规定了用户如何接入网络,用户所属的类别,以及具备的访问权限等等。通过应用策略实现用户与应用的选路,达到了负载均衡、优化广域网访问等目的。流控策略规定了用户和应用对网络带宽资源的使用方式。NAT策略规定了用户和应用跨内外网互访问的映射方式。东华下一代防火墙的所有功能实现一体化处理,有助于提高引擎工作的效率和实施更有效的控制,而控制策略的适度分散则能明显降低策略的复杂度,简化网络管理员的配置管理工作。
东华下一代防火墙智能用户识别支持静态绑定、本地认证和第三方认证三种工作方式,并且会将未识别的用户自动归类为匿名用户,便于网络管理员按照需要指定这部分用户的访问策略。此外,东华下一代防火墙还提供了便于其他特殊认证系统集成的API,允许其他认证系统将认证信息同步到下一代防火墙上。
东华下一代防火墙的重要特点是能够准确地基于应用进行精细化的访问控制,而这依赖于高效、精确的应用识别。东华下一代防火墙支持基于深度包检测,深度流检测以及智能行为分析三种应用识别技术。充分利用硬件平台加速能力实现并提高深度包解析速度,有效识别多种加密应用和私有协议,进行行为模式归纳,识别未知应用。
我公司还提供一体化解决方案,在单台设备中集成所有APT防护技术,对基于公有云环境是东华APT云防护系统的主要部署模式。一方面是因为只有在完全独立的虚拟环境中,才能有效地对可疑文件的行为进行彻底的分析,而虚拟化分析需要大量的计算资源。另一方面,用户可以通过公有云分享其他用户已经上报的威胁,从而更高效地排除风险。在此过程中,所有传输都经过加密,并且有专门的机制确保用户的隐私不被泄露。对基于私有云的玩意,我公司也提供基于私有云的部署,并可定期从公有云同步最新的防护数据,达到同样的防护效果。
东华下一代防火墙针对网络数据可实现精准的应用控制,提供丰富的应用审计,具有强大的web访问策略。使应用的管控更全面、精准、便捷。针对应用的细分功能精准控制。也可以记录下Web访问的用户、IP、主机、URL、网页分类、网页标题等信息。同时能智能排除不是Html的Web访问,提高日志的可用性。
东华下一代防火墙支持基于接口的虚拟线路,网络管理员可以规定每个线路的带宽,作为流控的基准。满足网络管理员对不同部门及其下级机构设置具有层级关系的流量控制策略。可允许在最大带宽范围内进行智能带宽借用(弹性带宽),在网络线路不繁忙时最大限度地利用网络带宽资源。
东华下一代防火墙支持主流的VPN技术,包括IPSec VPN、SSL VPN、L2TP和GRE等。能以网关模式、单臂模式进行部署;IPSec全面支持NAT穿越,支持Hub-Spoken、Full-Mesh、DVPN等部署;SSL VPN支持Web、Agent、Tunnel应用方式,支持端到端部署。
统计分析与可视化是网络管理员有效管理网络的最有效工具。东华下一代防火墙提供了多种可视化统计分析功能。从实时统计分析、历史统计分析、基于时间轴的日志等多个维度进行可视化展现。
东华下一代防火墙采用精于应用层复杂业务运算的多核架构,结合安全操作系统,采用攻击特征库、病毒库树形存储、流扫描处理、零拷贝并行流处理等高效的防御技术,整个解析过程一次拆包,确保开启多重防护功能后依然保证高速度、低时延的安全防护。
东华下一代防火墙为客户提供基于用户和应用的一体化安全防护,用户身份验证和4到7层的安全防护并行完成,让安全多维度,无死角。匹配数通引擎的数据经过一体化引擎可以根据用户设定并行通过威胁入侵检测、病毒扫描检测、web安全分类以及内容过滤引擎,有效阻止木马、蠕虫、SQL注入、XSS攻击和溢出攻击等,保障文件传输安全,阻断对不良站点和非法链接的访问,并基于内容分析作出防范。
东华下一代防火墙将用户和应用作为安全防护的核心维度,采用先进的用户识别和应用识别技术,实现对用户和应用的精细管控和行为审计。系统支持基于IP/MAC绑定、Radius、LDAP认证,Portal认证、微信认证、短信网关等多种身份识别方式。支持上千种网络应用软件的识别和精确控制,包括主流应用、高风险应用和移动终端热点应用,通过对应用行为和内容的深入分析进行更加精细化和准确的管控,使网络管理更贴近用户预期。
东华下一代防火墙将用户和应用作为安全防护的核心维度,采用先进的用户识别和应用识别技术,实现对用户和应用的精细管控和行为审计。系统支持基于IP/MAC绑定、Radius、LDAP认证,等多种身份识别方式。支持上千种网络应用软件的识别和精确控制,包括主流应用、高风险应用和移动终端热点应用,通过对应用行为和内容的深入分析进行更加精细化和准确的管控,使网络管理更贴近用户预期。
东华下一代防火墙拥有海量病毒特征库,配合先进的防病毒引擎,能够精准识别并清除流行木马和顽固病毒,对于未知威胁和APT事件,则上交云系统,进行高级模拟分析,共享其检测结果和特征升级,为用户信息系统免遭互联网病毒侵扰打造全面立体的防护。
东华下一代防火墙能够全面识别互联网常见应用,包括经常造成带宽滥用、工作效率降低的P2P下载、IM及时通讯、在线视频、炒股、游戏等。将东华下一代防火墙部署于网络的出口,可以有效地遏制各种应用抢夺宝贵的带宽和IT资源,从而确保网络资源的合理配置和关键业务的服务质量,显著提高网络的整体性能。
东华下一代防火墙支持双机热备、VRRP和软硬件bypass功能,不会成为网络瓶颈和故障点,确保网络高可靠性。当设备CPU、内存等参数高于一定阈值时,自动bypass设备,让整个设备变为纯透明转发,保证业务不中断。
东华下一代防火墙的安全策略采用集中展示,独立配置,一体化检测的方案,为用户提供清晰可见的策略展现,最大程度的提升用户配置和查看的体验。转发策略、应用控制策略、审计策略、入侵检测策略、防病毒策略、VPN策略、流控策略集中展示,独立配置, 管理者可以根据不同的管控需求,为不同的用户定制不同的管理策略,灵活方便,维护简单,条理清晰,效果良好。
东华下一代防火墙支持MCE \IPSEC、802.1Q、GRE、VPN track等网络特性,并支持PPPoE、DHCP、Vlan、Trunk等多种接入方式,可以灵活部署在路由模式、透明模式和混合模式的网络中。系统支持IPv4/IPv6双协议栈,支持NAT64、NAT46、NAT66等地址转换技术,可以方便的部署在v6、v4网络边界,为更新升级过程中的网络提供安全方案。
