銥迅第二代防火墻系統

YXLink Next Generation Firewall

產品介紹

銥迅第二代防火墻系統(YXLink Next Generation Firewall,以下簡稱YXLink NGFW),是一款可以有效解決應用層威脅的高性能防火墻。通過深入洞察網絡流量中的用戶、應用和內容,并借助高性能單路徑異構并行處理引擎,NGFW能夠為用戶提供有效的應用層一體化安全防護,幫助用戶安全地開展業務并簡化用戶的網絡安全架構。

145883700new.jpg

銥迅第二代防火墻系統采用了高性能單路徑異構并行處理引擎。該產品在多年的安全領域經驗積累基礎上,總結分析用戶的切身需求,是一款可以有效解決應用層威脅的高性能防火墻。它集防火墻、入侵防御、病毒防御、負載均衡、流量控制等多種安全技術于一身,同時為用戶提供入侵記錄查詢、流量統計、日志審計功能。

銥迅第二代防火墻系統通過深入洞察網絡流量中的用戶、應用和內容,并借助NGFW能夠為用戶提供有效的應用層一體化安全防護,幫助用戶安全地開展業務并簡化用戶的網絡安全架構。廣泛適用于“政府、金融、運營商、公安、能源、稅務、工商、社保、交通、衛生、教育、電子商務”等所有涉及網絡應用的各個行業。

防火墻

靈活的訪問控制機制:YXLink NGFW可以實現基于源/目的IP地址、源/目的端口、時間的精細粒度的訪問控制。


網絡地址轉換功能:YXLink NGFW擁有強大的地址轉換能力,同時支持源地址轉換、目的地址轉換和靜態地址映射,并支持一對一、多對一、多對多的動態地址轉換功能,能為用戶提供完整的地址轉換解決方案。


源地址轉換用于使用保留IP地址的內網用戶,通過YXLink NGFW訪問互聯網時的地址轉換。對互聯網來說,訪問全部都是來自于YXLink NGFW轉換后的地址,并不認為來自內部網絡的某個地址,能夠有效的隱藏內部網絡的拓撲結構等信息。同時內部用戶共享使用這些轉換地址,自身使用私有地址就可以正常訪問互聯網,有效解決了全局IP不足的問題。


內部網絡如果有對互聯網提供服務(如Web、FTP服務等)的服務器,可以使用目的地址轉換功能,將服務器自身的私有地址和服務端口通過銥迅第二代防火墻系統進行轉換?;ヂ摼W用戶訪問的為經過銥迅第二代防火墻系統轉化后的地址和端口,這樣可以有效的隱藏內部服務器信息,對服務器進行保護。


靜態地址映射提供內部網絡和外部網絡的單個地址對單個地址的一對一的地址映射,可以實現數據的雙向流動。


入侵防御


YXLink NGFW內置了多種默認安全規則集,規則涵蓋操作系統、數據庫、WEB、網絡設備、網絡協議等各個層面,用戶也可以根據需要進行自定義。用戶可通過靈活的規則制定,來建立控制粒度為單個IP的防護策略。


YXLink NGFW提供一種主動的、實時的防護,其設計旨在對常規網絡流量中的惡意數據包進行檢測,阻止入侵活動,預先對攻擊性的流量進行自動攔截,使它們無法造成損失,而不是簡單地在監測到惡意流量的同時或之后發出警報。入侵防御系統是通過直接串聯到網絡鏈路中而實現這一功能的,即入侵防御系統接收到外部數據流量時,如果檢測到攻擊企圖,就會自動地將攻擊包丟掉或采取措施將攻擊源阻斷,而不把攻擊流量放進內部網絡。


負載均衡


鏈路負載均衡:當內網和外網之間存在多條鏈路時,通過YXLink NGFW鏈路負載均衡功能可以實現在多條鏈路上分擔內網用戶訪問外網服務器的流量。鏈路負載均衡技術通過動態算法,能夠在多條鏈路中進行負載均衡,算法配置簡單,且具有自適應能力。同時,銥迅第二代防火墻系統提供了相應的策略設置以供用戶自定義源/目的IP的鏈路選擇。


服務器負載均衡:服務器負載均衡可以高效地使由多個獨立計算機組成的松耦合的服務系統構成一個虛服務器;客戶端應用程序與服務系統交互時,就像與一臺高性能、高可用的服務器交互一樣,客戶端無須作任何修改。部分服務器的切入和切出不會中斷服務,而用戶覺察不到這些變化。


YXLink NGFW通過調度算法,將客戶端請求合理地均衡到后端各臺服務器上,消除系統可能存在的瓶頸。同時,通過健康性檢測功能,能實時監測應用服務器的狀態,保證在部分硬件和軟件發生故障的情況下,整個系統的服務仍然可用。


YXLink NGFW支持以下五種調度算法:


靜態輪詢:將外部請求按基于權重輪流分配到集群中的真實服務器上,它均等地對待每一臺服務器,而不管服務器上實際的連接數和系統負載;


動態輪詢:根據真實服務器的實時狀態來分配請求,這樣可以保證處理能力強的服務器能處理更多的訪問流量,設備可以自動問詢真實服務器的負載情況,并動態地調整其權值;


最小鏈接優先:通過"最小連接"調度算法動態地將網絡請求調度到已建立的鏈接數最少的服務器上,如果集群系統的真實服務器具有相近的系統性能,采用“最小連接"調度算法可以較好地均衡負載;


源IP哈希:根據請求的源IP地址,作為散列鍵(HASH KEY)從靜態分配的散列表找出對應的服務器,若該服務器是可用的且未超載,將請求發送到該服務器,否則返回空;


URL哈希:URL HASH架構對URL進行一次HASH算法,然后通過HASH結果找到對應的服務器。因為針對單一個URL的HASH結果是一樣的,所以理論上這個URL會被永久分配到固定的一臺服務器上。另外因為經過了hash算法,所以分配URL就很均勻,同時訪問量也可以達到均衡。


流量監測與流量控制


流量監測:YXLink NGFW可辨識HTTP、FTP、P2P、DNS、SSH、TCP、UDP等多種協議。同時,允許用戶修改流量監測策略,提供了人性化的技術支持手段的危害。


ngfw-1.jpg

流量控制:YXLink NGFW提供流量控制功能,可控制單個IP地址或地址段的上、下行帶寬,帶寬的限制可以針對到協議級。通過以上功能,阻斷一切非授權用戶流量,管理合法網絡資源的利用,有效保證關鍵應用全天候暢通無阻,通過保護關鍵應用帶寬來不斷提升企業IT產出率和收益率。


UTM與第二防火墻的區別


現代基于DPI技術的防火墻類產品中會大量使用特征碼匹配功能,隨著網絡應用和攻擊類型的爆炸式增加,這里特征碼越來越多。處理的性能和延時也受到嚴重影響。雖然采用了多核處理器并行處理技術,但是隨著的網絡流量的急劇擴容,簡單的特征碼匹配加多核處理器的方案也力不從心了。


鑒于當前防火墻技術的功能單一性,產生了UTM(Unified Threat Management),安全網關。UTM設備具備防火墻(FW)、入侵防御(IPS)、防病毒(AV)、應用層防護、流量控制等功能,此項技術屬于補丁式的設備堆疊,其部署效果如下圖所示:


此解決方案存在投資高、維護成本高、效率低、維護復雜等缺點,尤其是多種功能的“串糖葫蘆式”的疊加,對于UTM來說,性能是最大的瓶頸。


因此,出現了第二代防火墻技術:


第二代防火墻對比UTM最大的核心技術點就是高性能單路徑異構并行處理,簡單描述即UTM采用多種功能堆疊,串行處理,數據包多次檢測的技術,如下圖:


而第二代防火墻技術采取單次解析、多核并行處理的技術,大大提高了設備的處理能力。


功能模塊

較為完善的防火墻特性:支持基于源IP、目的IP、源端口、目的端口、時間等方式進行訪問控制;支持正向、反向地址轉換,能為用戶提供完整的地址轉換解決方案。


較強的入侵防御能力:龐大的內置安全規則集,涵蓋操作系統、數據庫、WEB、網絡設備、網絡協議各個層面;靈活的規則制定機制,用戶可自定義規則,建立訪問控制策略。


可靠的病毒防御:支持對HTTP、UDP、TCP、ICMP、SMTP、FTP等多種協議的病毒流量監測與控制;支持對木馬病毒、蠕蟲病毒、宏病毒、腳本病毒的查殺。


可靠的流量監測與控制:可監測HTTP、FTP、P2P、DNS、SSH、TCP、UDP等多種協議;P2P流量控制;對Emule、BitTorrent、Maze、Kazaa等進行阻斷、限速;支持對HTTP、VoIP等其他協議的流量控制。


高網絡適用性:支持透明、網關、策略路由、旁路等多種部署模式;支持靜態路由、策略路由、端口鏡像、支持802.1X協議、支持STP。


高穩定性和可靠性:采用多核架構,同時多核之間互為備份;支持私有協議HA和VRRP,實現雙機熱備和冗余。


全面的統計、日志報表功能:按時間以柱狀圖的形式,統計入侵行為;實時對接口流量進行監測,可按時間對某一個端口按照不同的協議對流量進行統計和查詢;對設備的CPU、內存、磁盤容量進行統計;對入侵類別、攔截原因進行統計;按照源IP、目的IP入侵行為進行統計。


防火墻


靈活的訪問控制機制


銥迅第二代防火墻系統可以實現基于源/目的IP地址、源/目的端口、時間的精細粒度的訪問控制。


ngfw-2.jpg

網絡地址轉換功能


銥迅第二代防火墻系統擁有強大的地址轉換能力,同時支持源地址轉換、目的地址轉換和靜態地址映射,并支持一對一、多對一、多對多的動態地址轉換功能,能為用戶提供完整的地址轉換解決方案。


ngfw-3.jpg

入侵防御

銥迅第二代防火墻系統提供一種主動的、實時的防護,其設計旨在對常規網絡流量中的惡意數據包進行檢測,阻止入侵活動,預先對攻擊性的流量進行自動攔截,使它們無法造成損失,而不是簡單地在監測到惡意流量的同時或之后發出警報。


病毒防御

銥迅第二代防火墻系統具備高效、靈活的防病毒能力,實現針對HTTP、UDP、TCP、ICMP、SMTP、FTP 等多種協議的病毒流量監測和控制,及時完成對木馬病毒、蠕蟲病毒、宏病毒,以及腳本病毒的查殺,控制或消除上述威脅對系統的危害。


負載均衡

銥迅第二代防火墻系統的支持鏈路負載均衡和服務器負載均衡,提供了一種廉價、有效、透明的方法擴展網絡設備和服務器的帶寬、增加吞吐量、加強網絡數據處理能力,提高網絡的靈活性和可用性。


流量監測與流量控制

銥迅第二代防火墻系統可辨識HTTP、FTP、P2P、DNS、SSH、TCP、UDP等多種協議。同時,允許用戶修改流量監測策略,提供了人性化的技術支持手段。


ngfw-4.jpg

部署方式

透明或路由模式

透明網橋模式指在兩臺運行的設備中間插入YXLink NGFW,整個設備相當于一個網線,對流量并不產生影響。在透明網橋模式下,YXLink NGFW可以阻斷、過濾來自2-7層的攻擊,而讓其他正常的流量通過。透明網橋部署模式的最大特點是快速、簡便,可做到即插即用,先部署后配置,不影響現有網絡拓撲。

路由模式是修改網絡相關路由配置,將YXLink NGFW串接入網絡中,實現其防護功能。


策略路由模式

通過配置策略路由,只將需要防護的服務器流量發送到YXLink NGFW。

型號選型

具體信息請聯系當地銷售或代理商

產品資質

公安部計算機信息系統安全產品質檢合格證書

檢驗合格.jpg

公安部銷售許可證

銷許6-1.jpg

軟件產品證書

產品-1.jpg

國家漏洞庫兼容性資質證書(NGFW)

兼容2-1.jpg

國家信息安全產品3C認證

3c2-1.jpg