江蘇南京-山石網科防火牆
概述
防火牆一方面可以阻止來自因特網的、對受保護網路的未授權訪問,另一方面允許內部網路使用者對因特網進行訪問。回顧發展歷程, 目前防火牆經歷了包過濾防火牆和狀態檢測防火牆兩個發展階段。包過濾防火牆實現了對IP資料包的過濾。由於防火牆只是工作在網路層和傳輸層,因此對資料所攜帶的內容沒有任何檢查,無法檢測來自應用層的攻擊行為,無法避免偽造資料包的惡意攻擊。隨後出現的狀態檢測防火牆實現了對資料包連線狀態的監控。狀態監測對每一個包的檢查不僅根據規則表,更考慮了資料包是否符合會話所處的狀態。狀態檢測防火牆透過檢查報文的協議型別和埠號等資訊,來監控基於連線的應用層協議。因此只能識別粗粒度的來自應用層的攻擊行為,另外也無法針對資料內容做檢查。
綜上所述,原有防火牆可實現包過濾,狀態檢測和粗粒度的應用防護。然而隨著網路的發展,網路應用不斷豐富。大量應用會建立在HTTP等基礎協議基之上,或者埠號採用隨機產生,或者採用諸如SSL的加密方式來隱藏內容。此時IP地址不等於使用者,協議端號不等於應用,資料包不等於行為。其次, 網路正在從千兆走向萬兆甚至10萬兆,網路頻寬增長迅速,防火牆應有足夠的效能和擴充套件性來應對這種變化。再次, 隨著遠端辦公的快速增長,這就要求防火牆既能抵抗外部攻擊,又能允許合法的遠端訪問,尤其重要的是應能識別進行VPN加密的資料。Hillstone山石網科的新一代防火牆集先進的軟硬體技術於一身,完全能夠應對我們當前所面臨的問題。
產品特點
深度應用安全
防火牆一方面可以阻止來自因特網的、對受保護網路的未授權訪問,另一方面允許內部網路使用者對因特網進行訪問。回顧發展歷程, 目前防火牆經歷了包過濾防火牆和狀態檢測防火牆兩個發展階段。包過濾防火牆實現了對IP資料包的過濾。由於防火牆只是工作在網路層和傳輸層,因此對資料所攜帶的內容沒有任何檢查,無法檢測來自應用層的攻擊行為,無法避免偽造資料包的惡意攻擊。隨後出現的狀態檢測防火牆實現了對資料包連線狀態的監控。狀態監測對每一個包的檢查不僅根據規則表,更考慮了資料包是否符合會話所處的狀態。狀態檢測防火牆透過檢查報文的協議型別和埠號等資訊,來監控基於連線的應用層協議。因此只能識別粗粒度的來自應用層的攻擊行為,另外也無法針對資料內容做檢查。
綜上所述,原有防火牆可實現包過濾,狀態檢測和粗粒度的應用防護。然而隨著網路的發展,網路應用不斷豐富。大量應用會建立在HTTP等基礎協議基之上,或者埠號採用隨機產生,或者採用諸如SSL的加密方式來隱藏內容。此時IP地址不等於使用者,協議端號不等於應用,資料包不等於行為。其次, 網路正在從千兆走向萬兆甚至10萬兆,網路頻寬增長迅速,防火牆應有足夠的效能和擴充套件性來應對這種變化。再次, 隨著遠端辦公的快速增長,這就要求防火牆既能抵抗外部攻擊,又能允許合法的遠端訪問,尤其重要的是應能識別進行VPN加密的資料。Hillstone山石網科的新一代防火牆集先進的軟硬體技術於一身,完全能夠應對我們當前所面臨的問題。
產品特點
深度應用安全
- 可對P2P、IM(即時通訊)、遊戲、辦公軟體以及基於SIP、H.323、HTTP等協議的應用進行控制。識別的應用多達幾百種,而且跟隨著應用的發展每天都在增加。應用特徵庫可獨立升級,不影響系統的穩定性。
- 採用交叉檢測(Cross Inspection)技術不僅對協議進行深度的分析,交叉檢測技術透過綜合分析使用者(User)狀態,應用(Application)狀態和行為(Behavior)狀態,來確認協議的真正含義,實現更精準和更快速的定位。
- 可對敏感檔案型別、關鍵字、URL連結地址、JAVA和Active X外掛進行限制。
- 基於身份和角色的管理(RBNS)讓網路配置更加直觀和精細化。不同的使用者甚至同一使用者在不同的地點或時間都可以有不同的管理策略。使用者訪問的內容也可以記錄在本機儲存模組或專用伺服器中,透過使用者的名稱審閱相關記錄使查詢更簡單。
- 基於角色的管理模式主要包含基於“人”的訪問控制、基於“人”的網路資源(服務)的分配、基於”人“的日誌審計三大方面。基於角色的管理模式可以透過對訪問者身份稽核和確認,確定訪問者的訪問許可權,分配相應的網路資源。在技術上可避免IP盜用或者PC終端被盜用引發的資料洩露等問題。
- 採用多核Plus G2架構和新一代的全並行流檢測引擎技術,在同檔的硬體配置下有多達5倍的效能提升。防火牆最高可達20萬每秒新建連線, 20Gbps吞吐量和1000萬併發會話。
- 所有的裝置都支援對IPSec的硬體加速。每一個CPU核都有一個內嵌的IPSec處理引擎,這保證了在CPU核數增加時,IPSec的效能得到相應提高。IPSec最高可達8Gbps吞吐量和3萬隧道數。
- SG-6000支援三種型別的擴充套件模組:介面擴充套件模組,應用處理擴充套件模組,儲存擴充套件模組。模組化設計充分保護使用者投資。
- 採用完全獨立的控制平面和資料平面組成。獨立的控制平面設計,不會因為流量過大或異常攻擊而導致裝置無法管理和日誌無法記錄。
- 多核安全閘道器每秒處理的TCP會話請求是同檔次產品5倍以上,具備超強的DDoS攻擊防護能力。
- 獨具特色的即插即用VPN(PnP VPN),可以讓遠端分支機構只需簡單的使用者名稱和密碼即可自動從中心端下載網路和安全配置,完全解決了傳統IPSec VPN裝置配置難、使用難、維護成本高的缺點。
- 靈活的部署模式: 支援基於路由的VPN和基於策略的VPN。支援靜態IP對端、動態IP對端、撥號VPN對端。可為使用者提供點對點、星型、網形等VPN部署方式。
- 支援VPN/GRE/L2TP, 以及GRE-over-IPSec/L2TP-over-IPSec。
- IPSec VPN嚴格遵循RFC國際標準,其支援的演算法有DES、3DES、AES128、AES192、AES128和AES256等。
- 支援路由、透明、混合等部署方式,同時支援靜態路由、動態(OSPF/RIP)路由、策略路由等,滿足不同使用者網路的需求。
- 提供一對一、多對一、多對多等NAT方式;支援多種應用協議NAT穿越,提供H.323、SIP、FTP、TFTP、RSH、RTSP、SQL Net、HTTP、MS-RPC、PPTP/GRE、SUN-RPC等 ALG功能。
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/23985881/viewspace-1034117/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 山石網科防火牆SSLVPN接面合AD域認證配置步驟防火牆
- 江蘇南京-網路安全解決方案(科來網路分析)
- 山石網科連續第三年入圍Gartner企業級防火牆魔力象限防火牆
- 江蘇南京-高校網路管理解決方案(科來網路分析)
- 山石網科釋出智慧下一代防火牆新版本應對未知威脅防火牆
- 江蘇南京-能源行業網路管理解決方案行業
- 防火牆 | 網路協議防火牆協議
- rmi、防火牆與網閘防火牆
- WAb防火牆與傳統防火牆防火牆
- 防火牆防火牆
- 阿里巴巴江蘇總部落戶南京阿里
- “AI+山石網科” 讓安全發生“智“的改變!AI
- 內網滲透-防火牆資訊內網防火牆
- 網路安全——防火牆詳解防火牆
- 天網防火牆的配置方法防火牆
- Nginx + Lua 搭建網站WAF防火牆Nginx網站防火牆
- 網路防火牆的配置與管理防火牆
- 防火牆(firewall)防火牆
- SQL防火牆SQL防火牆
- 防火牆IPTABLES防火牆
- RouterOS防火牆ROS防火牆
- iptables防火牆防火牆
- 防火牆配置防火牆
- 防火牆入侵於檢測——————3、思科 PIX 防火牆和 ASA 防火牆產品線防火牆
- AutoRun病毒防火牆如何使用 AutoRun病毒防火牆教程防火牆
- 軟體防火牆與硬體防火牆詳解防火牆
- 全面分析防火牆及防火牆的滲透(轉)防火牆
- Gartner 釋出最新報告,山石網科6款產品入選
- win10 防火牆設定方法_win10怎麼設定網路防火牆Win10防火牆
- WAF與網路防火牆的區別防火牆
- 網閘原理和防火牆的區別防火牆
- CentOS 防火牆操作CentOS防火牆
- 防火牆介紹防火牆
- CentOS 7.0防火牆CentOS防火牆
- linux 防火牆Linux防火牆
- 防火牆透明模式防火牆模式
- 配置防火牆示例防火牆
- 電影:防火牆防火牆