一、深信服NGAF防火墙
深信服防火墙简介:提供L2-L7的全面防御能力,提供专业的应用层防御能力内部融合众多安全模块如IPS、WAF、AV、URL过滤等,精确封锁恶意威胁全球热点TOP10应用攻击及企业高危的应用层攻击,如SQL及Webshell水坑、鱼叉、邮件等钓鱼攻击,勒索病毒、远控木马、异常流量等深度检测,抵御外联风险细粒度内容过滤、应用识别,精细化访问控制、策略优化等机制可帮助用户将风险最小化
部署场景:
门户网站保护:通过边界+云端+终端的协同联动,对企业门户网站进行立体化纵深防护;事前:对门户网站进行风险监测,基于云端庞大的漏洞库,对高危漏洞进行扫描、评估事中:对web攻击及恶意扫描行为进行防御,有效抵御外部的web攻击事后:通过边界与端点协同联动有效发现端点侧的非法篡改行为,防止网站被非法篡改互联网出口安全防护场景
一、互联网出口管理及带宽资源管理
1、多链路链路出口负载均衡 2、基于应用、国家、ISP等智能选路 3、动态/双向NAT 4、基于国家、地域、时间等访问控制 5、基于应用类型、网站类型、文件类型等流量控制 6、基于内网IP、时间、用户等流量控制
二、业务&用户为核心的全面可视化能力
1、业务及用户安全状态总览 2、事前风险全面评估、事中风险动态保护、时候持续检测,攻击链可视及溯源分析
三、终端上网安全管理
1、细粒度应用控制,3000+应用控制规则 2、丰富的URL类库,全面保障上网安全 3、内容安全-文件及邮件内容级深度检测、
四、基于业务和用户的漏洞攻击防御
1、业务侧网络设备、服务、协议等针对业务的漏洞攻击防御,防非法入侵及绕过风险 2、用户侧防止针对用户的漏洞攻击防御,包括邮件、网页、短信等社工类攻击
五、未知威胁防御
1、通过外部情报定位未知威胁 2、云端沙箱监控恶意威胁行为,深度取证 3、海量日志关联分析,热点威胁防患于未然 4、应急响应,专杀工具,高效闭环风险
二、奇安信网神防火墙
是基于状态检测包过滤和应用级代理的复合型硬件防火墙,是专门面向大中型企业、政府、 、高校等用户开发的新一代专业防火墙设备,支持外部攻击防范、内网安全、网络访问权限控制、网络流量监控和带宽管理、动态路由、网页内容过滤、邮件内容过滤、IP冲突检测等功能,能够有效地保证网络的安全;产品提供灵活的网络路由/桥接能力,支持策略路由,多出口链路聚合;提供多种智能分析和管理手段,支持邮件告警,支持日志审计,提供全面的网络管理监控,协助网络管理员完成网络的安全管理。
产品:企业级防火墙
一、硬件架构及系统:
1、 采用多核处理器硬件构架,具有自主知识产权的SecOS多核操作系统;
2、 接口数量:接口支持至少8个10/100/1000自适应电口,4个千兆SFP插槽,并具备专用RJ45管理接口和AUX口;
3、 标准2U机箱 冗余电源,设备面板具有液晶屏,能够显示产品品牌、型号、CPU/内存占用率、网络接口状态等信息。
二、性能参数:
吞吐率≥6Gbps并发连接数≥240万新建连接速率≥40000/秒支持可扩展VPN隧道数≥3000条MTBF=80000小时
三、功能参数
1、 网络接入方式:可以支持路由、透明以及混合接入模式,满足复杂应用环境的接入需求;
2、 防病毒过滤:具备内置病毒过滤模块,并支持病毒规则库升级;
3、 RBL反垃圾邮件:支持RBL反垃圾邮件功能,通过与反垃圾邮件服务器联动实现反垃圾邮件功能;
4、 支持基于源IP地址、目的IP地址、时间、用户、网址、VPN隧道、物理接口等多种方式进行访问控制;
5、 支持保护主机、保护服务、限制主机、限制服务等四种连接限制,可对任一设定地址范围内的主机进行新建连接和并发连接的保护;
6、 支持动态端口协议:H.323、SIP、FTP、RTSP、SQL*NET、MMS、TFTP、PPTP;
7、 防火墙支持分段直接寻址安全规则搜索MSDAL算法;
8、 支持MSN、QQ、skype、等Instant Messenger通信的限制;
9、 可限制BT、eDonkey、kazaa、winmx、讯雷等多种P2P应用限制;
10、 可按接口、IP进行IP/MAC对探测,支持单、双向静态地址绑定,防止ARP攻击;
11、 支持对HTTP、SMTP、POP3、FTP等协议的深度内容过滤,支持收、发信人地址、邮件主题、邮件内容关键字、附件名称过滤;支持ftp的GET、PUT命令控制;支持自定义URL黑、百名单、网页关键字的过滤及日志记录;
12、 支持对移动代码如Java 、Active-X的过滤;
13、 可以支持源、目的地址/端口转换、双向地址转换;
14、 支持一对一,一对多,多对一地址转换方式
15、 支持多纯透明子桥和接口联动;
16、 支持802.1d生成树,能进行802.1d的生成树协商;支持与交换机的Trunk接口对接
17、 支持DHCP服务器、中继及客户端;
18、 支持DNS中继,手动及自动寻找上级DNS服务器
19、 支持IPv6功能包括DHCPv6、IPv6路由、策略路由和基于IPv6的安全策略控制
20、 可分多级带宽级别支持保证带宽、限制带宽
21、 支持静态和动态路由,动态路由支持RIP和OSPF动态路由协议;静态路由协议支持基于源地址、目的地址、METRIC值、绑定端口的路由;支持基于服务的策略路由
22、 支持多路由负载均衡,可支持16条链路负载
23、 可实现多线路自动备份,自动切换
24、 支持基于应用(ARP/PING/TCP/HTTP)的链路探测
25、 支持双机热备功能,包括主备模式(A/S),主主模式(A/A)
26、 支持VRRP协议;支持桥模式HA
27、 支持通用SUIP入侵检测系统联动协议,能够与天阗、天眼等主流入侵检测产品进行联动;
28、 可根据接口选择开启并阻断以下攻击行为:
29、 syn flood_Wsl、icmp flood、udp flood、 tcp scan、 udp scan、 ping sweep Wsl、 teardrop、land、ping of death、smurf、winnuke、圣诞树、tcp 无标记、syn fin、无确认fin、松散源路由、严格源路由、ip 安全选项、ip记录路由、 ip 流攻击、ip时间戳等攻击
30、 具备独立蠕虫过滤功能,对sobig ramen welchia agobot opaserv blaster sadmind slapper,novarg slammer zafi bofra dipnet等主流蠕虫病毒的识别、过滤和拦截
31、 当发生安全事件的时候支持以邮件、声音、SNMP、控制台等方式告警
32、 可自动检测网段内IP地址冲突,并报警
33、 日志可分级、分类;可按设备管理、安全规则、抗攻击等进行分类查看,可按紧急、一般事件分等级查看;
34、 系统要能够提供多种日志存储方式,可以缓存在设备本地,也可以将日志以专用格式Syslog输出;
35、 可通过SecGateManager软件对日志进行收集、分析,能提供详尽日志统计报表