- 产品介绍
下一代防火墙从业务、用户、应用和行为的角度出发,重新构建了基于安全控制、流量分类、攻击防护和QoS等所有传统防火墙的功能体系,并基于这些功能进行了智能化升级,提供用户策略、应用策略和行为策略等智能控制手段,有效解决了传统防火墙无法解决的问题。下一代防火墙在单一设备中,通过集成防火墙、VPN、上网行为管理、流量控制、入侵检测、防病毒、WAF、SDWAN等模块,以其丰富的产品特性、安全功能,满足不同场景下用户的安全需求。
-
- 强大的安全控制能力
- 具备强大的安全控制能力,包括七元组访问控制、七元组会话控制、应用行为控制、带宽及QoS控制;
-
- 入侵防御和病毒过滤
- 支持入侵防御技术和病毒过滤功能,产品采用多种专利技术和创新技术,对确保多种安全能力的融合,性能的持续恒定起到了重要作用;
-
- 业务级多链路负载
- 采用专业级链路负载均衡功能,可以动态监控链路的实时状态,提供多种专业的静态和动态流量分担方法,有效提升多链路接入的效率、可靠性和整体性能;
-
- Web安全防护
- 内置Web安全防护模块,帮助用户进行Web安全防御,提高网站安全性,包含WEB安全防护规则,内容关键字过滤、HTTP协议合规性和URL参数合规性检查等功能;
-
- SD-WAN组网
- SD-WAN产品满足组网方式,软件定义的WAN (SD-WAN)技术通过提供改进的性能、降低的成本和增强的安全性来重塑现代企业网络;
-
- 智能流量控制
- 基于接口的虚拟线路,网络管理员可以规定每个线路的带宽,作为流控的基准。在虚拟线路下,满足网络管理员对不同部门及其下级机构设置具有层级关系的流量控制策略;
-
- 多维度网络状态可视化呈现
- 通过有效的可视化呈现,安全管理者可一目了然地观察到网络的现状从而做出有效的针对性策略,来确保核心业务的安全可靠运行;
- 数据吞吐技术 +-
防火墙设备在大多数场景下,处于用户网络的串行关口位置,负责承载、解析、转发所有的用户流量,对流量进行审计、控制、乃至威胁发现、病毒检测等业务,因此高效的数据吞吐能力,是防火墙设备的核心技术之一。
- 分布式并行处理技术 +-
基于私有分布式交换架构硬件的分布式并行处理能力,系统内部集成软硬件结合分布式分流模块和分布式管理模块两个关键模块,前者可实现多个独立高性能防火墙引擎分布式并行处理业务;后者可实现多个防火墙引擎的多虚一统一管控,并支持主备倒换、故障隔离、热插拔等高可靠性保障特性。
- 智能应用识别 +-
能够准确地基于应用进行精细化的访问控制,而这依赖于高效、精确的应用识别,下一代防火墙支持基于深度包检测、深度流检测以及智能行为分析三种应用识别技术。
- 深度包检测技术 +-
深度包检测技术包括碎片重组、协议分析和特征匹配三部分,碎片重组不仅能够在网络层对分片的IP、TCP等进行重组,还能够在应用层进一步对报文内容进行还原。还原后的报文通过协议分析进行预处理,提取出协议变量,然后由特征匹配对这些协议变量进行识别,这种精细匹配有效提高了识别准确度。盛邦安全研发的快速匹配算法,可同时对多个协议变量进行匹配,并充分利用硬件平台加速能力,有效提高深度包解析的速度。
- 智能行为分析技术 +-
通过应用智能行为分析技术,归纳出一类应用的公共特征,从而识别未知应用,这是智能分析技术的核心思想。
- 智能用户识别 +-
智能用户识别技术支持静态绑定、本地认证和第三方认证三种工作方式,并且会将未识别的用户自动归类为匿名用户,便于网络管理员按照需要指定这部分用户的访问策略。
- 典型部署
透明模式
防火墙部署在交换机之间,业务口二层接入,不改变网络架构前提,同时提供安全防护能力。
路由模式
采用路由模式时,可以完成ACL包过滤、ASPF动态过滤、NAT转换等功能。
旁路模式
物理旁路,逻辑串行,数据经过防火墙,防火墙做安全控制。
下一代防火墙采用多平面架构和多核并行化技术,以智能应用识别为基础,实现了多维度的、以用户和应用为中心的强安全控制策略,并具备流控和链路负载均衡功能。通过下一代防火墙丰富而直观的可视化信息,可以方便地查看策略实施效果、定位网络问题,指导网络管理员进行更合理的规划乃至网络投资决策。