PDF《任子行 SURF-NGSA 下一代防火墙》

20 大类

2300 多种应用和应用协议的识别,全面覆盖国内外日常的应用.而且任子行 公司每天都在密切关注应用发展的趋势,不断对应用进行更新. ? 内容级别的深度过滤 任子行 NGSA 下一代防火墙采用基于攻击过程的内容级安全防护策略, 将数据包还原到内 容级别进行更加深入、更加全面的检测,提供了 IP 黑名单、DOS 防御、僵尸网络防护、用户 认证、应用控制、入侵防御、站点分类过滤、病毒过滤、恶意网址过滤、数据安全等多达十 层的基于数据包头和数据内容的精细过滤功能,形成了从网络层到应用层一体化安全防御体 系,进行更加精准的特征匹配,并与底层高性能平台结合,实现高效率与高精度并重的内容 过滤,确保用户业务系统稳定可靠运行. ? 基于客户端类型的身份认证方式 任子行 NGSA 下一代防火墙提供多种身份验证功能, 并集成了强大的安全准入控制. 在针 对终端到网关的认证支持多种认证协议与认证方式的同时,通过对认证终端的操作系统环境 进行系统服务、软件、文件、进程、注册表等细粒度管控策略.

4 /

14 ? 全方位可视化 任子行 NGSA 下一代防火墙在设计上秉承安全 可视化 的理念,打造了一整套多维度、 全方位的实时在线网络安全监测系统,从 应用可视化 、 流量可视化 、 威胁可视化 、 内容可视化 、 用户可视化 五个角度实现了对网络安全状况的综合展示,包括对历史 数据的精确还原以及对各种数据的智能统计分析.通过对海量数据进行关联分析和数据挖掘, 以形象的

图表和数据展现了网络应用、安全威胁、流量分布、内容安全、人员网络使用情况 等多方面的信息,帮助用户在使用过程中不断了解自己的网络安全状况,并在此基础上进行 更好的策略和配置的优化,使管理者清晰的认知网络运行状态,从而实现对内部任一主机乃 至全网络的网络应用情况及安全事件信息进行准确的定位与实时跟踪,实现更为有效的网络 安全管理. ? 电信级转发平台 任子行 NGSA 下一代防火墙采用多核并行处理技术, 实现在核内、 核间任务的合理分工与 调度.来自网络层的数据包进入多核并行控制器后,多核并行控制器将数据包均衡的分配到 各个不同的 CPU,以便完成后续多颗 CPU 的并行事务处理. 同时任子行 NGSA 下一代防火墙通过单次解析引擎系统架构,也放弃了 UTM 多引擎,多 次解析的架构,将漏洞、病毒、Web 攻击、恶意代码/脚本、URL 库等众多应用层威胁统一进 行检测匹配,大大提升了引擎处理效率及系统性能,实现了万兆级的应用安全防护能力,完 全满足电信级网络环境要求.

5 /

14 ?

3 大层级冗余的可靠性保障 任子行 NGSA 下一代防火墙支持双机状态热备功能,支持 Active/Active 和Active/Passive 两种工作模式,实现负载分担和业务备份.由物理级冗余、系统级冗余、方案级冗余共同构 成的多层级的冗余化架构体系,为用户提供电信级的高可靠性,确保用户的网络环境永续不 断.

6 /

14 三. 关键技术 ? 多核并行处理技术 SURF-NGSA 下一代防火墙采用多核 并行处理技术,将时间并行与空间并行进 行有机的结合,通过部署多安全引擎、多 网络服务引擎的方式来实现整机流量的分 布式并行处理,极大地提升了整体的处理 性能,可以完全满足电信级网络环境的要 求. ? 单次解析引擎系统架构 SURF-NGSA 下一代防火墙采用先进 的一体化的单次解析引擎系统架构,实现 网络入侵、安全漏洞、web 攻击、恶意代 码/脚本、URL 库多种应用一次匹配,大大 提高了系统的处理能力,在所有应用层防 护功能均开启的情况下实现万兆级处理性 能. ? 新型恶意软件的检测和防御 随着新型恶意软件功能的不断增强,企业必须能够在威胁已具有定义的特征文件之前立 即检测这些威胁.任子行下一代防火墙甚至在特征文件可用之前就能根据对可执行文件和网 络流量进行的直接分析,为组织提供保护其网络的多元化方法. Sow-scan 使用基于云的方法,通过在安全的虚拟化环境中直接查看以前看不到的恶意可 执行文件的行为,来封堵查杀这些文件.例如(更改注册表值或操作系统文件、禁用安全机 制或者向正在运行的进程中注入代码).并且会自动开发一个特征文件并在下一个可用内容 更新中将其提供给所有客户.