观安观御第二代防火墙系统NGFW
立即咨询
首页
业务安全需求一、内外驱动力现有安全防护思路大多以网络层防护体系为主。
01、内部威胁,性能瓶颈
应用管控:网络办公越来越多,应用普及种类多,需要对应用和用户做识别,而不再只是IP和端口。
威胁升级:传统防火墙无法阻断来之应用层的威胁。
性能瓶颈:应对复杂的威胁攻击需要开启多功能,所有防护全部开启后性能下降严重已然影响业务的正常运行。
02、外部攻击,政策要求
安全事件:近年来网络安全攻击频率加快,攻击手段复杂,攻击来源隐蔽,攻击破坏性大,网络安全防护状态越来越严峻。
网络安全法:《GB/T22239-2019信息安全技术网络安全等级保护基本要求》第三级要求。
等级保护标准:第二十一条国家实行网络安全等级保护制度。
业务安全需求二、潜在安全威胁业务安全需求三、安全防护升级01、信息收集
搜集内部信息,内外网查询潜在门口外部获取,定位相关应用层服务域。
02、IP端口扫描
外部通过Ping扫描、资产扫描、ICMP学习、端口扫描及漏洞端口扫描进行网络攻击。
03、弱密码破解
外部获取账户、获取凭据进行暴力破解、暴力身份验证从而攻击内网应用或相关服务。
04、挟持/攻击
外部通过入侵主机、攻击或潜伏进行感染或跳板内网主机,从而突破防御进行内网横向攻击,内部应用攻击扩散。
05、建立后门、账户提权及逃脱
攻击者通过后门进行相应应用提权,对核心部位进行攻击,并潜伏逃脱安全检测,最后造成系统瘫痪、业务中断。
观安观御第二代防火墙系统(NGFW)新一代应用安全网关产品
产品定义:支持联机不中断网络运行;包含第一代防火墙功能:包过滤、NAT转换、状态性协议检测、VPN功能等;集成而非共处一个位置的网络入侵检测:支持面向安全漏洞和威胁的特征码;应用识别非端口、纯协议、纯服务的网络安全政策;身份识别、权限控制如黑白名单。
产品核心:以用户识别、应用识别为基础,提供应用层防火墙、入侵防护、防病毒、反APT、VPN、智能带宽管理、多出口、链路负载均衡、内容过滤、URL过滤、威胁情报联动等安全功能。
市场定位
适用于各行业网络出口、互联网边界IDC内部域隔离、互联网访问控制NAT及行业VPN等。
产品理念
分支互联安全、事前/事中/事后全过程闭环防护、协同防御、可视化运维。
产品架构
报文零拷贝技术、多核并行处理技术、一体化报文处理引擎。
适用于各行业网络出口、互联网边界IDC内部域隔离、互联网访问控制NAT及行业VPN等。
产品理念
分支互联安全、事前/事中/事后全过程闭环防护、协同防御、可视化运维。
产品架构
报文零拷贝技术、多核并行处理技术、一体化报文处理引擎。
产品介绍
从用户、应用和行为的角度出发,提供用户策略、应用策略和行为策略等。智能控制手段更新的下一代防火墙。
产品介绍/系统架构运行 于X86、MIPS、ARM及上述平台的KVM和VMware虚拟化平台。
基于 UIO技术对上层提供应用层零拷贝报文高速处理机制,显著提升了报文处理效率。。
零报文拷贝技术
用户、应用、终端、资源
减少CPU操作,降低开销,提高CPU计算效率。
用户、应用、终端、资源
减少CPU操作,降低开销,提高CPU计算效率。
多核并行处理技术
多核并行,保证并发
根据硬件平台的不同调整CP和DP的实例数,以实现性能的最大化;并通过智能分流器对流量进行。分配,避免跨节点开销,保障多核并行核心技术。
根据硬件平台的不同调整CP和DP的实例数,以实现性能的最大化;并通过智能分流器对流量进行。分配,避免跨节点开销,保障多核并行核心技术。
一体化报文处理引擎
一次解析,统一处理
采用一体化报文处理引擎完成报文的统一解析,一次解析,统一处理,避免了多模块、多进程之间的重复工作和报文拷贝。
采用一体化报文处理引擎完成报文的统一解析,一次解析,统一处理,避免了多模块、多进程之间的重复工作和报文拷贝。
核心技术 - 一体化安全策略与智能分析
采用一体化安全策略配置方式,在一个界面通过一条策略就能完成多维策略配置,访问控制、应用控制、入侵防御、病毒防护、URL过滤、会话限制等全方位安全防护规则配置,简化配置流程,提高策略执行效率。
能够自动对策略进行分析,识别出冲突策略、冗余策略、可合并策略、空策略、过期策略等,提供命中数统计和分析图表,便于管理员进行策略优化调整。
主要功能传统功能
安全域隔离、ACL过滤NAT转换、VPN互联、......
智能识别
DPI、DFI智能识别应用、行为、用户、内容识别IP/MAC绑定、WEB认证短信认证、微信认证等。
网络适用
静态、动态、策略路由IPv4/v6 DHCP、 DNSSNMP、静态/动态NATIPsec VPN/SSL VPN虚拟化、VRF等。
网络管控
应用级带宽控制、带宽保障弹性带宽调节;用户上网行为管控与审计等。
安全防护
一体化安全防护策略DoS/DDoS、入侵检测、病毒防护、URL过滤、防扫描、弱口令检测等。
安全可视
实时应用、用户流量统计,网络站点热度排名,网络威胁统计,设备健康监控等。
功能介绍 - 传统防护第二代防火墙包括传统防火墙功能
提供灵活的安全区域隔离功能,通过系统自带的四个区域:信任域、非信任域、DMZ域、Local域,灵活的将网络隔离成不同的部分。
访问控制列表ACL增加了在接口上过滤数据包出入的灵活性,可以用来限制网络流量,也可以控制用户和设备对网络的使用。
提供NAT技术来动态、透明的为内网用户分配公网地址,以支持更多的内网用户同时访问Internet。
支持IPsec和GRE等多种VPN通信技术,保障企业多分支与总部的互联安全。
功能介绍 - 智能识别功能介绍 - 入侵攻击防护
入侵检测防御
内置高质量IPS规则库,同时支持用户自定义IPS特征,基于流重组高效检测引擎,能够实时检测并阻断网络流量中隐藏的各类漏洞,利用攻击、缓冲区溢出、病毒、蠕虫、木马后门等应用层攻击行为。
· 上万条最新IPS攻击特征,数量级业界领先;
· IPS特征库专家团队自主维护;
· 每周定期更新特征库,对最新发生的高危漏洞提供检测防御;
· 提供特征紧急升级服务。
· 上万条最新IPS攻击特征,数量级业界领先;
· IPS特征库专家团队自主维护;
· 每周定期更新特征库,对最新发生的高危漏洞提供检测防御;
· 提供特征紧急升级服务。
应用层防御
缓冲区溢出、信息泄露、SQL注入
木马蠕虫、系统漏洞、病毒文件
非法提权、拒绝服务、非法URL......
缓冲区溢出、信息泄露、SQL注入
木马蠕虫、系统漏洞、病毒文件
非法提权、拒绝服务、非法URL......
功能介绍 - 病毒攻击防护
功能介绍 - 其它攻击防护
功能介绍 - 加密流量审计与威胁防护
技术亮点 - VPN Overlay技术
技术亮点 - IPv6技术1、演进目的
· IPv4地址紧缺
· 地址解析开销大
· 安全性能需提升
· 下一代互联协议标准......
3、过渡方案
· NAT66
· 跨协议转换NAT64/46 ......
5、业务价值
· 保障业务安全稳定运行;
· 拥有不同过渡策略以适用于不同场景。
· 解决企业IPv4安全及地址分配殆尽等问题......
2、技术类型
双栈协议
隧道技术
NAT-PT......
4、发展方式
在能建立IPv6的情况下使用纯IPv6
不能使用IPv6链路下使用隧道技术
IPv6或IPv4纯互通情况下使用ALG技术......
6、客户价值
满足未来用户IP信息规划
满足企业高新技术需求
满足未来法规及标准要求
高可扩展性使其保证业务安全稳定运行......
应用场景 - 互联网边界安全安全需求
多出口链路备份,链路负载均衡
多出口链路备份,链路负载均衡
外部病毒、攻击,恶意软件防护
内网用户上网行为管理,滥用网络带宽
解决方案
通过ISP策略路由、等价路由、链路探测等实现多出口智能选路功能;
通过一体化报文处理引擎中IPS、AV、URL过滤等实现对外部病毒、攻击、恶意站点防御;
通过应用层访问控制,带宽管理,URL过滤,内容。过滤等策略实现用户上网管理。
应用场景 - 域间安全隔离安全需求
· 安全域需求
· 网络中域内区域隔离
· 网络中域内通信隔离
· 安全域需求
· 网络中域内区域隔离
· 网络中域内通信隔离
解决方案
· 基于用户、应用、时间等多维度访问控制
· 防止网络威胁在不同安全域间蔓延
· 保护核心服务器区业务安全
· 访问日志审计,满足企业合规性要求
应用场景 - 远程互联安全安全需求
分支接入总部的安全策略
远程VPN用户接入总部
广域网安全隔离
分支接入总部的安全策略
远程VPN用户接入总部
广域网安全隔离
解决方案
· 细粒度的用户接入以及应用安全控制策略,保障分支安全接入总部,保障总部网络应用安全;
· 通过对VPN接入总部的流量进行安全扫描,实现远程VPN用户的安全接入;
· 一体化安全引擎。
应用场景 - 安全SD-WAN安全需求
组网规模庞大,架构复杂,难以理清配置思路
组网规模庞大,架构复杂,难以理清配置思路
跨省市运维,运维难度大
人力、时间、资金投入成本高
人力、时间、资金投入成本高
解决方案
· 支持多种WAN链路灵活接入,总部与分支间构建Overlay VPN网络。
· 安全的访问公有云中的业务和数据。
· 全面防护用户总部和分支网络安全
· 保障SD-WAN的安全性。
· 保障SD-WAN的安全性。
产品部署 - 路由模式
路由模式部署
观安观御第二代防火墙支持以静态配置、PPPoE拨号、DHCP获取IP地址三种路由部署方式,PPPoE拨号能够适应最常见的ADSL拨号接入场景。
路由模式下防火墙一般会部署在网络的边界,作为边界网关通常还需要配置路由、NAT等网络层功能。
产品部署 - 透明模式
透明(桥接)模式部署
观安观御第二代防火墙支持透明部署,通过配置VLAN并将物理接口以UnTagged模式加入同一VLAN来实现,从一个物理口上收到的报文会广播到同一VLAN下的所有UnTagged接口(在没有目的MAC转发表项时)。
一般情况下“一进一出”的透明部署方式最为常用。透明部署可以不改变原网络中所有网络设备的配置而将防火墙接入到网络中,而且防火墙仍然具备所有安全功能。
产品部署 - 旁路模式
旁路模式部署
· 观安观御第二代防火墙支持旁路方式部署到网络中,可对网络中镜像后的流量进行应用行为监控、流量分析、入侵/病毒防护监控等。
· 旁路部署方式仅能对网络中流量进行监控,无法对实际网络中的流量进行控制。
产品部署 - HA模式
HA模式部署
· 观安观御第二防火墙支持HA双机冗余部署,可有效防止单台设备故障或链路故障导致网络中断,保障网络业务的连续性,提高系统和业务的高可靠性。
· 第二代防火墙支持以主-备或主-主两种工作模式运行,可满足不同的组网需求。
· 第二代防火墙支持以主-备或主-主两种工作模式运行,可满足不同的组网需求。
产品优势
产品价值符合政策要求,满足等保合规
符合国家网络安全法要求;
满足《等级保护基本要求》
响应网络安全空间战略......
阻断非法请求,避免损失损害
对网络边界流量进行全面分析和检测;
对不合法的访问和请求给予阻断并追踪对机密资源保护免受黑客入侵保护业务系统,避免企业损失损害。
对不合法的访问和请求给予阻断并追踪对机密资源保护免受黑客入侵保护业务系统,避免企业损失损害。
规范行为操作,预防内部攻击
上网行为得到规范化改进;
提高网络利用率、规避恶意攻击风险;
提高网络利用率、规避恶意攻击风险;
实时检测内外网恶意信息源的访问情况。
有效拦截攻击威胁,保护访问不受侵害。
流量监测识别,加强安全能力
实时监测识别流量,保证关键业务持续运转
协同联动,获取并防御已知或未知威胁提升企业整体安全防护能力。
防火墙经典成功案例 - 企业单位/某市XX酒店项目背景
1、酒店人员众多,业务复杂,流量构成丰富;
2、对外提供网络服务,并发流量高;
3、需要支持大量流量运行,设备故障时需要保障业务务无中断。
项目需求
1、内部网络流量控制和策略下发。
2、核心层数据流量的抓取分析和阻断。
3、机密设备 (服务器、数据库) 需要较高等级的安全防护。
4、外部人员需要VPN远程接入内网办公,其数据传输的安全保障。
1、内部网络流量控制和策略下发。
2、核心层数据流量的抓取分析和阻断。
3、机密设备 (服务器、数据库) 需要较高等级的安全防护。
4、外部人员需要VPN远程接入内网办公,其数据传输的安全保障。
解决方案
1、在核心层部署防火墙监测数据流量和行为操作,识别并阻断内网/外网的风险威胁,追踪攻击IP,记录安全事件并审计分析。
2、在核心层下层部署防火墙进行透明桥接,对来往流量进行监测审计,分析流量发现已知或未知威胁,并对其进行策略操作。
3、在核心层、机密数据层旁部署防火墙进行旁路审计,审计流量、应用、用户、用户行为等。
1、在核心层部署防火墙监测数据流量和行为操作,识别并阻断内网/外网的风险威胁,追踪攻击IP,记录安全事件并审计分析。
2、在核心层下层部署防火墙进行透明桥接,对来往流量进行监测审计,分析流量发现已知或未知威胁,并对其进行策略操作。
3、在核心层、机密数据层旁部署防火墙进行旁路审计,审计流量、应用、用户、用户行为等。
项目成效
1、保障业务生产网络安全,核心设备避免感知并阻断未知或已知威胁入侵;
1、保障业务生产网络安全,核心设备避免感知并阻断未知或已知威胁入侵;
2、旁路设备全面监测审计生产网业务流量,分析恶意流量进行追踪溯源;
3、生产网络安全能力提升,域隔离设备保护核心网络安全;
4、外部员工办公入网行为监控,保护外部访问安全。
防火墙经典成功案例 - 政务信息/某市XX公安局项目背景
1、政务办公网承载大量部委内部各司局的关键业务系统,安全防护等级要求非常高;
2、传统安全防护无法持续为对外服务的业务系统提供安全稳定性;
3、安全屏障防攻击,敏感数据防窃取。
项目需求
1、防病毒需求:能够实时防止内网用户在互联网访问的过程中进行病毒拦截。
1、防病毒需求:能够实时防止内网用户在互联网访问的过程中进行病毒拦截。
2、IPS、IDS需求:能够实时防护内部服务器漏洞及外部漏洞扫描攻击;
3、Web应用防护需求:能够防护外网攻击及内网敏感数据泄露
4、.安全维护需求:智能日志分析,提供数据表象。
解决方案
1、避免传统攻击及应用层攻击的风险,保护办公网服务器安全。
1、避免传统攻击及应用层攻击的风险,保护办公网服务器安全。
2、为内网终端、服务器提供漏洞、病毒的防护及检测,提高网络抗攻击能力;
3、替换传统串联或UTM部署模式,简化组网拓扑便于管理,提高业务系统对外服务的稳定性。
3、替换传统串联或UTM部署模式,简化组网拓扑便于管理,提高业务系统对外服务的稳定性。
项目成效
1、可以实现对各网络区域的网络防护,展示客区域的威胁动态;
1、可以实现对各网络区域的网络防护,展示客区域的威胁动态;
2、可以监控和分析用户行为流量,帮助用户判断对恶意流量进行阻断。
3、通过对安全问题的流程化处理,落实安全责任;
4、实现半自动化、自动化的安全运维,提高安全运维效率。
5、通过对原始事件的分析帮助客户看见问题及安全风险。
防火墙经典成功案例 - 医疗行业/某市XX医疗项目背景
1、医院信息化平台HIS系统24小时不间断运行保障和业务稳定安全性的困难;
2、外部接入安全,内部攻击防范;
3、HIS逐步向CIS/GMIS演进,医疗信息安全已成为制约医疗信息共享/开放的瓶颈。
项目需求
1、互联网出口安全防护建设;
2、远程医疗、银医保接入安全防护:医院防统方、内部各区域之间的安全防护;
3、院网蠕虫病毒防护;医院敏感医疗信息防泄露;
4、无线安全接入以及无线攻击检测与防御等。
解决方案
1、解决医院院网在互联网接入中带来的黑客攻击、蠕虫病毒传播等安全问题;
1、解决医院院网在互联网接入中带来的黑客攻击、蠕虫病毒传播等安全问题;
2、接入远程医疗安全接入、银医保安全接入,为新业务拓展提供安全支撑;
3、实现医院内外网之问安全可信的数据交换与传输,保障医院敏感信息被泄露的风险。
项目成效
1. 可以实现对医疗内外网的安全防护,隔离内外网用户
1. 可以实现对医疗内外网的安全防护,隔离内外网用户
2. 保护核心管理区域设备安全,全面保障医疗网络安全
3. 实现半自动化、自动化的安全运维,提高安全运维效率
4. 通过对原始事件的分析帮助客户看见问题及安全风险。
产品推荐
迪普科技零信任安全ZTS系列产品也是以打造安全生态为发展目标的一套安全生态化的零信任架构产品,该产品以:“彻底消除网络中的默认受信机制,假定所有网络环境均具有恶意性质”为设计理念,严格遵照零信任的基本原则对整体方案进行分解实现组合落地,这种方式不仅能够让零信任的网络架构在客户网络中轻松实践,也能够更好的适用不同的网络环境,最终实现向零信任网络安全架构转型的目标。
衣览SCM打通研、产、销,AIGC智能推款,多岗位多部门上下游供应商,内外部高效协同,多触点”1+N+X"协同网络,实现供应链全程闭环管理,小单快反时代,助力企业搭建柔性供应链管理体系,”以销定产“实现服装企业降本增效。
万户软件Flex合同管理系统是协助企业管理本企业所有合同信息的全生命周期的办公应用系统。 如果您是合同管理员,您需要了解本文档所有内容,尤其需要关注的是系统设置模块,因为设置项可以改变整个系统的业务走向。 如果您是合同专员用户,您无需了解管理员设置里面的全部内容,请着重了解合同业务需要进行业务流转的必要条件。
百度智能云大模型增值服务依托百度持续超20%研发投入占比的技术和产品,构建业内顶尖的产业级大模型【文心大模型】,强大的【千帆】一站式企业级大模型平台,提供先进的生成式AI生产及应用全流程开发工具链。
数字化社区
视频
文章
