重 获 对 网 络 安 全 的 控 制 权 锐 捷 网 络 下 一 代 防 火 墙
目 录 Contents 网 络 安 全 威 胁 与 挑 战 下 一 代 防 火 墙 特 色 解 决 方 案 成 功 案 例
Web 2.0 应 用 存 在 安 全 风 险 运 营 商 业 务 G2B/G2C 业 务 网 购 / 社 交 / 搜 索 网 上 银 行 Web 2.0 时 代, 应 用 可 以 在 全 球 进 行 实 时 且 近 乎 即 时 的 通 信 和 信 息 交 换 对 新 生 应 用 的 识 别 和 监 测 成 为 网 络 安 全 防 护 重 点, 如 何 实 现 对 于 应 用 的 精 确 识 别 和 管 控? 3
传 统 安 全 防 护 已 失 效 基 于 IP/ 端 口 防 护 失 效! 网 络 安 全 应 用 安 全 新 型 网 络 安 全 设 备, 需 具 备 基 于 应 用 访 问 控 制 4
信 息 安 全 高 性 能 防 护 需 求 习 总 书 记 通 过 高 清 视 频 发 表 2014 年 新 春 贺 辞 在 线 高 清 视 频 要 求 高 性 能 海 底 捞 远 程 聚 餐 仿 真 视 频 会 议 交 互 要 求 网 络 低 延 迟 信 息 安 全 产 品 需 要 具 备 高 性 能 特 性, 避 免 成 为 网 络 瓶 颈 5
面 对 这 些 挑 战, 网 络 安 全 路 在 哪 里? 6
网 络 安 全 防 护 亟 需 专 业 的 防 火 墙 设 备 基 于 用 户 / 应 用 访 问 控 制 高 性 能 安 全 防 护 下 一 代 防 火 墙 融 合 安 全 简 单 运 维 安 全 7
目 录 Contents 网 络 安 全 威 胁 与 挑 战 下 一 代 防 火 墙 特 色 解 决 方 案 成 功 案 例
锐 捷 下 一 代 防 火 墙 简 单 安 全 架 构 网 络 安 全 架 构 体 系 传 输 安 全 融 合 安 全 应 用 安 全 可 靠 安 全 管 理 安 全 双 引 擎 分 离 AV IPS APP VPN 应 用 层 全 并 行 算 法 虚 拟 防 火 墙 全 面 IPv6 行 为 管 控 与 审 计 Web 安 全 防 护 软 硬 件 Bypass+HA 多 级 冗 余 架 构 集 中 管 理 运 维 平 台 高 性 能 ASIC 架 构 ( 双 引 擎 分 离 ) 基 于 用 户 / 应 用 / 内 容 访 问 控 制 9
高 性 能 安 全 防 护 10
高 性 能 双 引 擎 分 离 10GE 网 络 引 擎 0101010101110 101101010000101 1011010101110 10GE 10GE 交 换 芯 片 CPU 内 容 引 擎 10GE 网 络 引 擎 : 完 成 底 层 路 由 / 交 换 转 发, 并 对 整 机 各 模 块 进 行 管 理 与 状 态 监 控 ; 内 容 引 擎 : 负 责 将 数 据 流 进 行 网 络 层 安 全 处 理 与 应 用 层 安 全 处 理 双 引 擎 分 离, 降 低 CPU 利 用 率 提 升 小 包 传 输 速 率 11
高 性 能 一 体 化 处 理 引 擎 访 问 控 制 病 毒 扫 描 入 侵 检 测 URL 过 滤 传 统 UTM 引 擎 解 包 封 包 解 包 封 包 解 包 封 包 解 包 封 包 FW AV IPS URL 访 问 控 制 病 毒 扫 描 入 侵 检 测 URL 过 滤 一 体 化 引 擎 解 包 封 包 FW AV IPS URL 12 一 次 报 文 解 封 装, 全 流 程 走 完 所 有 处 理 步 骤
高 效 链 路 负 载 均 衡 Internet DNS 代 理 地 址 库 路 由 电 信 联 通 移 动 策 略 路 由 链 路 负 载 均 衡 负 载 均 衡 NGFW 智 能 DNS 过 载 链 路 保 护 优 选 互 联 网 路 径, 合 理 利 用 多 条 带 宽 资 源 避 免 选 路 规 划 不 合 理 造 成 上 网 慢 带 宽 资 源 浪 费 13
基 于 用 户 / 应 用 / 内 容 访 问 控 制 14
基 于 用 户 / 应 用 / 内 容 访 问 控 制 应 用 辨 析 管 控 用 户 分 类 管 控 内 容 扫 描 管 控 深 层 细 粒 度 应 用 识 别, 监 控 捕 捉 应 用 行 为, 准 确 对 特 定 应 用 加 以 拦 截 和 限 制 用 户 行 为 清 晰 掌 握, 实 现 分 级 分 组 分 权 管 理, 满 足 多 种 应 用 环 境 下 用 户 需 求 传 输 内 容 精 确 管 控, 精 确 监 管 传 输 内 容 合 法 性, 实 时 阻 断 敏 感 言 论 15
基 于 用 户 访 问 控 制 ISP 1 防 火 墙 策 略 不 是 针 对 设 备 IP, 而 是 针 对 用 户 2 用 户 接 入 网 络 后, 防 火 墙 与 身 份 认 证 系 统 对 接 3 身 份 认 证 系 统 返 回 验 证 结 果 4 防 火 墙 访 问 控 制 和 内 容 过 滤 策 略 下 发 锐 捷 下 一 代 防 火 墙 身 份 认 证 支 持 三 种 应 用 场 景 与 客 户 原 有 第 三 方 身 份 认 证 系 统 对 接 与 锐 捷 身 份 认 证 系 统 对 接 无 身 份 认 证 系 统 客 户, 支 持 防 火 墙 本 地 认 证 16
基 于 应 用 访 问 控 制 局 域 网 应 用 互 联 网 应 用 0101010101110 1011010100001 0110101011110 应 用 特 征 库 应 用 特 征 扫 描 一 体 化 引 擎 网 络 系 统 应 用 财 务 软 件 应 用 OA 办 公 应 用 P2P 下 载 应 用 监 管 优 化 安 全 应 用 精 确 识 别, 细 粒 度 管 控 网 络 行 为 17
基 于 内 容 访 问 控 制 Web 过 滤 可 针 对 搜 索 引 擎 论 坛 发 贴 等 基 于 URL 关 键 字 等 内 容 进 行 web 过 滤 ; 根 据 主 题 址 址 大 小 附 件 等 进 行 邮 件 过 滤 威 胁 防 护 防 止 间 谍 软 件 漏 洞 攻 击 渗 入 网 络 ; 实 现 基 于 数 据 流 的 间 谍 软 件 扫 描 统 一 的 威 胁 签 名 格 式 实 现 漏 洞 的 攻 击 防 护 文 件 / 数 据 检 测 阻 止 特 定 文 件 类 型 以 及 控 制 敏 感 数 据 模 型 的 传 输 ; 以 降 低 未 授 权 文 件 数 据 传 输 的 风 险 将 威 胁 扫 描 数 据 检 测 和 Web 过 滤 进 行 了 统 一 18
可 视 化 的 全 方 位 访 问 控 制 (5W1H)! Where Which APP How Who When What 用 户 正 确 地 点 可 信 时 间 合 理 终 端 健 康 应 用 安 全 操 作 合 规 实 现 接 入 可 信 应 用 可 控 审 计 合 规 的 访 问 控 制 安 全 19
融 合 安 全 启 发 式 病 毒 扫 描 应 用 协 议 解 析 病 毒 特 征 库 报 文 预 处 理 压 缩 解 码 脱 壳 文 件 解 码 H1 AV 引 擎 扫 描 H2 扫 描 结 果 文 件 发 送 文 件 发 送 扫 描 文 件 接 收 延 时 小 流 扫 描 处 理 H3 处 理 性 能 扫 描 文 件 接 收 延 时 大 传 统 基 于 文 件 型 的 病 毒 扫 描 H1: 全 并 行 多 核 架 构, 充 分 发 挥 系 统 性 能, 多 倍 提 升 文 件 解 码 脱 壳 效 率 H2: 病 毒 库 树 型 存 储, 最 大 查 找 次 数 固 定, 时 延 不 随 病 毒 库 数 量 线 性 增 长 20 H3: 流 扫 描 处 理 技 术, 数 据 接 收 扫 描 发 送 同 步 时 行, 延 迟 更 小
融 合 安 全 多 样 VPN 分 支 机 构 中 心 站 点 3G /Wi-Fi IPsec VPN 移 动 用 户 接 入 点 SSL VPN ADSL 隧 道 内 容 安 全 过 滤 SOHO 用 户 主 流 全 支 持 iphone ipad Android WP MAC 终 端 光 纤 ADSL WiFI 3G NAT IPsec/SSL /L2TP/GRE VPN MCE 全 兼 容 全 链 路 全 类 型 21 支 持 多 种 类 型 链 路 VPN 组 网, 兼 容 多 种 终 端 接 入
应 用 安 全 虚 拟 防 火 墙 管 控 平 台 管 控 平 台 管 控 平 台 主 控 制 平 台 管 控 平 台 管 控 平 台 管 控 平 台 逻 辑 独 立 管 控 配 置 文 件 独 立 保 存 备 份 ; 分 级 多 管 理 员 权 限 vips1 vav1 vips2 vav2 vips3 vav3 vips4 vav4 vips5 vav5 vipsn vavn vapp1 vapp2 vapp3 vapp4 vapp5 vappn vfw1 vfw2 vfw3 vfw4 vfw5 vfwn vcpu1 vcpu2 vcpu3 vcpu4 vcpu5 vcpun 独 立 安 全 防 护 逻 辑 划 分 单 独 IPS AV APP 攻 击 资 源 RG-SecOS 模 块 化 操 作 系 统 高 性 能 MIPS 多 核 架 构 硬 件 资 源 划 分 每 个 防 火 墙 都 有 独 立 CPU 运 算 资 源 22 防 火 墙 逻 辑 隔 离, 简 化 运 维 降 低 配 置 管 控 复 杂 度
应 用 安 全 全 面 IPv6 IPv6 面 临 三 大 问 题 IPv6 和 IPv4 双 协 议 栈 同 时 支 持 情 况 不 好 IPv6 或 双 协 议 栈 环 境 下 无 安 全 措 施, 稀 缺 防 火 墙 和 入 侵 防 御 设 备 IPv6 无 流 控 设 备 下 一 代 防 火 墙 全 面 解 决 支 持 双 协 议 栈, 在 一 条 链 路 上 可 同 时 防 御 IPv4 和 IPv6 双 协 议 栈 ; IPv6 病 毒 入 侵 检 测 防 护 ; IPv6 应 用 管 识 别 和 流 量 管 控 IPv4/IPv6 双 栈 防 御, 为 IPv6 网 络 提 供 全 面 保 护 23
可 靠 安 全 软 硬 件 Bypass+ 高 可 用 (HA) 拥 有 第 三 代 ByPass 模 块 检 测 到 引 擎 不 工 作 检 测 引 擎 满 负 荷 两 台 防 火 墙 同 步 连 接 状 态 检 测 引 擎 检 测 引 擎 FW1 FW2 二 层 回 退 机 制 拥 塞 分 压 机 制 ByPass 功 能 : 设 备 掉 电 时, 继 电 器 装 置 会 迅 速 连 通 网 络, 保 证 网 络 连 通 性 二 层 回 退 机 制 : 检 测 引 擎 或 软 件 系 统 故 障 设 备 故 障 时, 会 转 至 二 层 工 作 模 式, 将 接 数 据 报 文 进 行 二 层 转 发, 切 换 时 延 在 1ms 以 下 拥 塞 分 压 机 制 : 网 络 流 量 超 过 设 备 检 测 能 力 时, 可 将 部 分 流 量 直 接 转 发, 以 保 证 网 络 业 务 的 连 续 性 24 SW1 SW2 当 防 火 墙 1 故 障, 与 交 换 机 失 去 联 系, 交 换 机 自 动 切 断 与 交 换 机 连 接, 交 换 机 将 此 链 路 关 闭, 保 持 数 据 通 畅
明 星 产 品 X9300 防 火 墙 主 要 特 征 RG-WALL 1600-X9300 固 化 8 个 SFP+ 口 +16 个 SFP 口 +16 个 千 兆 电 口 80G 吞 吐 (1518 字 节 ) IPv6 虚 拟 防 火 墙 安 全 控 制 240G SSD 超 高 性 能 :64 字 节 小 包 55G 吞 吐, 是 大 用 户 大 数 据 量 场 景 的 保 障 丰 富 安 全 功 能 :IPv6 应 用 识 别 安 全 控 制 虚 拟 防 火 墙 各 种 VPN 应 用 加 速 : 提 供 更 方 便 的 日 志 存 储 和 更 快 的 日 志 查 询, 广 域 网 加 速 25
明 星 产 品 X8500 防 火 墙 主 要 特 征 RG-WALL 1600-X8500 2*10GE SFP+ 8Combo 18GE 120G SSD 用 在 对 性 能 要 求 高 的 小 型 数 据 中 心 场 景 大 小 包 20G 吞 吐 : 小 包 吞 吐 性 能 高, 能 更 好 的 满 足 网 络 中 对 性 能 的 要 求 丰 富 的 接 口 :X8500 固 化 了 丰 富 的 接 口, 能 支 持 灵 活 的 部 署 齐 全 的 安 全 功 能 :IPv6 广 域 网 加 速 VPN 防 病 毒 入 侵 检 测 Web 过 滤 等 硬 件 芯 片 加 速 性 能 提 升, 大 小 包 吞 吐 20G( 建 行 入 围 测 试 数 据 为 19.84G) 26
目 录 Contents 网 络 安 全 威 胁 与 挑 战 下 一 代 防 火 墙 特 色 解 决 方 案 成 功 案 例
建 设 银 行 入 围 测 试 测 试 效 果 : 排 名 第 3( 超 过 H3C 绿 盟 天 融 信 网 康 亿 阳 启 明 星 辰 等 ) 功 能 测 试 效 果 : 性 能 达 到 要 求, 基 础 项 全 部 通 过 28
西 南 林 业 大 学 现 状 : 因 学 生 上 网 需 求, 使 用 联 通 互 联 网 线 路 扩 容 至 10Gbps, 之 前 用 户 使 用 路 由 器 作 为 出 口, 实 际 使 用 最 高 仅 达 3Gbps, 严 重 制 约 其 带 宽 利 用, 而 且 当 前 路 由 器 NAT 性 能 严 重 不 足, 导 致 上 网 速 度 较 慢,CPU 较 高 上 线 峰 值 流 量 5.43Gbps 测 试 后 : 最 高 流 量 峰 值 可 达 5.43Gbps, 开 启 高 性 能 NAT 路 由 高 速 转 发 功 能 后,CPU 利 用 率 只 有 1%~2%, 让 8000 名 学 生 在 高 峰 期 也 可 流 畅 上 网 29
湖 北 工 程 学 院 现 状 湖 北 工 程 学 院 内 网 / 服 务 器 有 主 机 中 毒 情 况, 频 繁 发 起 大 量 异 常 链 接, 引 起 外 部 对 内 网 攻 击, 占 用 带 宽, 攻 击 泛 滥 ; 原 部 署 Cisco 防 火 墙 设 备 性 能 低, 成 为 出 口 瓶 颈, 学 生 抱 怨 多 ; 按 照 要 求, 需 要 记 录 学 生 行 为 的 Syslog 日 志, 日 志 数 量 大 X8500 部 署 后 开 启 DDoS 防 护 策 略 后, 内 网 未 出 现 非 法 链 接 攻 击 问 题, 不 再 影 响 学 生 正 常 需 求 ; 使 用 高 性 能 NAT 后, 防 火 墙 X8500 承 载 数 千 人 数 的 上 网 需 求 ; 实 现 Syslog 对 接 后, 可 将 事 件 / 安 全 日 志 ( 包 括 病 毒 网 页 入 侵 检 测 等 日 志 ) 转 存 到 服 务 器 中, 提 升 日 志 存 储 能 力 30
THANKS 星 网 锐 捷 网 络 有 限 公 司 地 址 : 北 京 海 淀 区 复 兴 路 29 号 中 意 鹏 奥 大 厦 东 塔 A 座 11 层 邮 编 :100036 Office Tel: 010-51710166 Fax: 010-51413399 Mobile Phone:18910943036 www.ruijie.com.cn