《国电集团报价(UTM综合安全网关解决方案》由会员分享,可在线阅读,更多相关《国电集团报价(UTM综合安全网关解决方案(19页珍藏版)》请在金锄头文库上搜索。
1、中国国电海南分公司东软综合安全网关解决方案信桥公司2015-9一. 建设背景为了满足中国国电海南分公司日益增长的业务对网络安全的要 求,提高信息化水平并且能够满足日后新业务、新需求的需要,为各 类业务的开展提供有效的支撑, 提升整个信息系统的价值 . 为此,在 根据中国国电海南分公司现有的网络安全硬件环境基础上, 对相关的 国家标准、 行业标准和实施方案等进行了充分学习研究, 认真理解最 新相关系统建设的相关法律法规和要求, 对项目建设的基本需求进行 了一定的调查研究,保证了建设方案的正确性、可操作性、先进性和 实用性。二. 建设目标1、 部署一台东软综合安全网关部署到互联网出口,对网络出口进
2、行安全防护,保障网络互联边界处安全。2、 为了确保计算机网络安全,必须建立一整套的安全防护体 系,进行多层次、多手段的检测和防护。入侵防御系统 就是安全防护体系中重要的一环,它能够及时识别网络 中发生的入侵行为并实时报警。 可以检测网络中的攻击, 并对对攻击行为进行有效的主动防御和阻断。三. 东软安全网关介绍东软是国内最早自主研发安全网关产品的厂商之一,早在 1999 年,联想集团基于网络安全对中国信息产业发展的重要性考虑, 在联 想研究院设立信息安全研究室,开始进行技术和产品方面的积累。 。东软根据多年信息安全实践经验以及对用户未来需求的把握,建 立了“下一代安全架构(: )”的技术理念,在
3、产品开发中以“弹 性架构的安全平台” 作为安全设备的技术框架和基础设施, 该平台规 范了底层硬件、平台软件、 安全应用和高可靠的标准接口,为包括安 全网关在内的各类安全网关提供了基础的操作系统和二次开发平台。 东软针对“弹性架构的安全平台” ,专门成立了新技术研究所,并巨 资引入业内领先的技术和人才, 进行持续数年的研发, 才取得了技术 上的突破。 该平台目前已成为东软防火墙、 、等系列安全网关产品的 基础平台。彻底解决了传统安全产品开发周期长、可靠性低、适应范 围窄等关键问题,体现了产品技术平台化、模块化的发展趋势,为东 软安全网关的快速开发和发展打下了坚实的技术基础。东软安全网关基于经过防
4、火墙、等产品长期考验的“弹性架构的 安全平台”,在稳定性、成熟度上具有先天的优势。东软安全网关将 协议状态分析、非缓存病毒检测技术、基于状态的流模式快速匹配、 智能协议异常检测、应用软件监控等技术完美地结合在一起,配合实 时更新的病毒特征库和入侵攻击特征库, 可有效防御基于网络入侵行 为,阻断网络病毒的传播,并具有丰富的上网行为管理。在众多国内 乃至全球安全厂商中,东软已经成为安全网关产品市场和技术的领跑 者。东软安全网关体系架构包括:安全网关主机、升级服务器、统一 安全管理系统三个主要组件。其核心为安全网关主机,该主机基于专 用硬件平台,采用自主研发的高安全实时嵌入式操作系统,以及自主研发的
5、统一安全引擎。在软件体系上具有模块化结构,针对不同的应 用环境和不同的安全策略,可以配置不同的功能模块。东软安全网关主机架构示意图东软为了提供给网络管理员更方便实用的产品管理机制,特别开 发了安全管理系统软件平台, 搭配专为不同性质的产品所开发设计的 管理程序, 构成一套完整的产品管理系统。 网管人员可以轻易通过网 络,远程管理并且监控东软安全网关全系列产品。作为国内领先的专业的安全厂商,东软在服务用户的过程中很早 就认识到传统安全设备的局限性。早在 2001 年,我们在国内率先推 出集防火墙、防病毒、功能于一身的产品。近年来一直在技术上努力 创新,针对多安全功能整合、 并行处理等方面进行软件
6、体系结构的改 进和优化,并寻找合适的高性能硬件平台。目前,东软已经拥有提供 业界最优秀产品的能力,产品线覆盖百兆、千兆以及万兆级。东软安全网关采用了独特的高性能、高安全性、高可靠性的操作 系统,提高了自身安全性的同时,加速了多线程的内容处理,为运行 在其上层的防火墙、 、防病毒等安全引擎提供了强大而安全的性能支 持。东软安全网关在各个安全引擎中运用了新的算法和技术, 针对病 毒检测,内容分析等海量扫描活动使用了高效的启发式扫描; 针对传 统包过滤无法检测的威胁, 采用了完全内容检测技术; 针对未知的攻 击行为,使用了实时动态保护技术。3.1 技术优势3.1.1 通用安全平台东软安全网关采用东软
7、自主研发的专用安全操作系统,该系统参 照国际标准,基于完善的体系结构设计, 将实时操作系统、 网络处理、 安全应用等技术完美地结合在一起,具有高效、智能、安全、健壮、易扩展等特点磊新IB务平西图错误!未指定样式名。-错误!未指定顺序。通用安全平台体系结构图管设iff暂卅IPV4 EngineErtgin-UrikPr&cssi價息口恚中心IE女褛收面向网络吞吐和安全处理,采用基于组件的多平面架构,整个系统分为控制平面、数据平面、系统服务平面和硬件抽象平面,通过控 制平面和数据平面的分离,不同于,等通用操作系统追求均衡的方向, 集中主要资源于网络吞吐和安全处理,使系统具有极强的实时性和网 络吞吐
8、能力通过将系统功能与资源管理分别工作在不同的平面,各平面和模块之间共同遵循标准接口函数,使系统具有高度灵活性和可扩展性。通过将硬件驱动与资源管理独立为一个单独的硬件抽象平面模块,对上层软件提供统一调用接口,对下层硬件统一定义驱动标准, 适应多种不同规格的硬件架构,实现与多种专用芯片的无缝融合,可 充分利用从,至V、多核多线程、内容加速芯片等各种先进硬件平台的 优势,使东软安全网关在性能方面一路领先。统一安全引擎(:)东软安全网关采用高效的统一防御引擎。它将应用协议分析、异 常行为管理、入侵防御等多个子系统集成于单一平台,构造统一架构, 综合并优化各子系统,去除冗余,简化数据处理流程,实现统一的
9、安 全引擎处理机制。图错误!未指定样式名。-错误!未指定顺序。统一安全引擎示意图克服了传统上各个安全引擎独自为战的缺点,通过高效的引擎集 成技术,将各个安全功能有机地整合为一体,协议分析机、应用识别、 内容检测、异常分析等引擎协同工作,对于监测的数据包,一次性拆 包即可完成2-7层的检测,同时采用联想的专利技术基于摘要索引的内容处理加速算法,有效地提高了引擎的处理效率。统一安全引擎通过多协议融合分析技术和事件关联再分析技术, 综合内容实体,时间因素,提高了安全事件的检测率。采用标准化的 技术,对内提供统一服务接口,使安全功能易于扩展,充分满足安全 需求的快速发展;对外实现安全策略的统一配置,给
10、用户带来可管理 的等级化安全。高可靠的多重冗余协议基于东软拥有的高可靠设计专利技术,利用电信骨干网可靠性运 营维护专业经验,东软安全网关通过自有的多重冗余协议,在物理层、 链路层、网络层、实体层等多个层面实现多元化冗余设计,有效地保 障东软安全网关在用户网络应用中的高可用性。Ml312;端口聖合-从訪火H主葯火堆圏鉄取机胳樹S4:备畑fflr構踣冗余-从訪火HInternetMRP鑿畫冗余协逹图错误!未指定样式名。-错误!未指定顺序。 多重冗余协议基于多出口负载均衡的链路备份。链路层支持多口出口,实现多出口 间的负载均衡和备份, 任何一条链路的故障瘫痪不会影响网络 的正常运行。基于 802.3
11、 标准的端口聚合。 物理端口支持 802.3 标准, 可实现多物 理端口聚合,帮助用户做到“零投资”带宽倍增。基于状态自动探测的双机热备。 当主系统发生故障或对应线路的网络 故障时, 备份机可自动检测并切换到主状态, 接管主系统的工 作,切换时间小于 1 秒钟。基于状态增量同步的多机集群。 支持主动负载均衡、会话保护 和接管以及主动配置同步等功能, 尤其是采用国内首创的 “状 态增量同步技术”解决多台安全网关之间的状态一致性问题, 实现了业务在多台安全网关之间的平滑任意分布和切换, 解决 了采用协议和动态路由协议带来的“业务续断问题”,最多可 以支持高达 8 台的安全网关集群。3.1.4 无缓
12、存的协议重组和跨数据包连续匹配技术东软安全网关还针对协议重组模块为保存会话信息、应用层协议 分析和解码、 特征匹配等工作而带来的大量内存拷贝动作, 采取了无 缓存的协议重组和跨数据包连续匹配技术, 减少了数据的延迟, 此技 术已申请相关的专利。图错误!未指定样式名。-错误!未指定顺序。无缓存连续检测技术示意图3.2产品特色321双引擎病毒防护东软安全网关通过对防病毒功能的不断优化,全新推出了双病毒 防护引擎(标准引擎、增强引擎)和双病毒库(标准病毒库、增强型 病毒库)。一方面避免了不同引擎因设计思路不同而发生的个别漏报 情况,另一方面双引擎合并使得内置病毒库的数量达到600W以上,全面实现了对
13、各种标准/变种病毒、蠕虫的准确查杀。基于统一引擎 设计原理,使得双病毒防护引擎完美结合,在保证检测率的同时产品 性能也不会出现明显下降。全开启性能产品的全开启性能是指同时开启入侵防御和防病毒等主要安全 模块后的性能表现,所以想要突破产品的性能瓶颈就必须从优化入侵 检测引擎和防病毒引擎两部分入手。东软具有业界领先的入侵检测引擎和防病毒引擎,同时采用硬件架构,使得全部功能都打开整体性能下降小于30%匹 inuTMrsiABS3 冲 UTM/ 宵 B3.3基本功能细粒度的高性能网络访问控制在东软安全网关中,通过深度防护规则实现网络访问控制,深度 防护规则包含源地址、目的地址、源端口、源、流入网口、流
14、出网口、 访问控制、时间调度、服务、是否为长连接、深度防护策略等多个控 制子选项,对于不符合规则的访问,系统可以拦截并发出日志告警。支持基于物理接口、源地址、目的地址、地址、域名、端口或 协议、时间、用户的访问控制。支持状态检测功能,支持连接状态非优先匹配和连接状态优先 匹配两种状态检测模式;不仅支持基于源地址、目的地址、地 址、域名、端口或协议、时间、用户的访问控制,还支持基于 的访问控制。支持基于策略的、3、等协议的透明代理,支持自定义端 口的透明代理功能, 支持基于透明代理的深度内容过滤; 支持 多线程透明代理控制。支持透明代理服务,支持二级服务器的透明代理; 支持地址绑定, 支持地址对
15、的自动探测和唯一性检查; 支持的 批量绑定。支持基于客户端的本地认证、远程认证,以及等第三方认证; 支持基于的证书方式认证。可以根据、协议、网络接口、时间定义、端口、 P2P应用的带宽分配策略; 支持最小保证带宽和最大限制带宽; 支持多种带 宽定义, 包括最小保证带宽和最大限制带宽; 支持分层带宽控 制,可分 4 层进行控制,保证细粒度管理水平;支持带宽优先 级管理,可为不同用户、应用、策略分配不同的优先级。3.3.2 性能和功能完美匹配的病毒防御东软和江民科技在病毒防御方面深入技术合作,东软安全网关的 病毒检测引擎针对非缓存流检测模式进行了全面结构调整和优化, 由 东软和江民科技共同组建的网络病毒攻防实验室为该引擎提供专用 病毒规则库, 使安全网关的病毒检测率和处理性能获得质的突破: 在 保持高病毒检测率的同时,系统性能下降不超过 20%,是业界第一个 建议用户把网络访问控制、 病毒防御、 入侵防御等全部功能同时开启 使用的安全网关产品 可以在 3 等多种协议下病毒防御,支持自定义非标准端口的 3 协议中的病毒检测。支持路由、透明、混合等各种工作模式下的网络病毒检测,支 持无地址的透明桥下的网络病毒检测模式,支持 模式下的病 毒扫描。采用自有知识产权的病毒防御引擎 (包括病毒检测引擎和病毒 分析引擎),采用国内知名病
