啟明星辰天清漢馬USG白皮書

《啟明星辰天清漢馬USG白皮書》由會員分享，可在線閱讀，更多相關《啟明星辰天清漢馬USG白皮書（8頁珍藏版）》請在裝配圖網上搜索。

1、 啟明星辰天清漢馬USG白皮書 2009-02-06 15:52出處：比特網作者：于捷【我要評論】 [導讀]天清漢馬USG一體化安全網關是啟明星辰研發(fā)的具有自主知識產權的統(tǒng)一威脅管理(UTM)產品，通過深層的數據包監(jiān)測技術和智能過濾技術為企業(yè)提供多層次的立體化安全防護。 1. 產品概述 　　【比特網綜合報道】天清漢馬USG一體化安全網關是啟明星辰研發(fā)的具有自主知識產權的統(tǒng)一威脅管理(UTM)產品，通過深層的數據包監(jiān)測技術和智能過濾技術為企業(yè)提供多層次的立體化安全防護。天清漢馬USG產品系列共計十余款產品型號，豐富的產品型號和靈活的接口配置能夠滿足政府、教育、金融、

2、企業(yè)、能源、運營商等用戶對性能、可用性和可靠性的需求。 　　 　　天清漢馬USG系列產品具備豐富的安全功能，如：防火墻、VPN、入侵防御(IPS)、防病毒、上網行為管理、抗拒絕服務攻擊(Anti-DoS)、內容過濾、反垃圾郵件等，同時全面支持QoS、高可用性(HA)、日志審計等功能，為網絡邊界提供了全面實時的安全防護，幫助用戶抵御日益復雜的安全威脅。 2. 產品架構 　　天清漢馬USG一體化安全網關采用“設計一體化、部署一體化、防御一體化、管理一體化”的一體化設計思想。 　　啟明星辰通過對網關類產品單一分析處理引擎的詳細分析和試驗驗證，得出網關類產品性能消耗50%來自于模式匹配，25

3、%來自于協(xié)議重組、25%來自于報文重組的結論。 　　 　　USG作為統(tǒng)一威脅管理類產品，功能涵蓋了入侵防御、防病毒、防垃圾郵件、內容過濾和流量管理等多項功能，那么必然包含多項的分析處理引擎，如何融合分析處理引擎，合并性能消耗關鍵業(yè)務單元成為UTM產品軟件結構設計首要考慮的問題。 　　基于以上研究數據，啟明星辰在天清漢馬USG一體化安全網關的軟件結構設計上引入了一體化的設計理念。即將入侵防御、防病毒、防垃圾郵件、內容過濾和流量管理等各項功能的分析處理引擎進行一體化設計，以達到性能最優(yōu)的目的。 　　 　　模式匹配是分析處理引擎的關鍵性能消耗單元，因此，分析處理引擎的一體化首先是模式匹配單

4、元的融合。對于不同的功能模塊，模式匹配是基于不同特征庫的，因此模式匹配的融合主要是特征庫的統(tǒng)一。 　　 　　天清漢馬USG一體化安全網關實現(xiàn)了特征庫的統(tǒng)一，通過對病毒特征庫、入侵特征庫、內容過濾特征庫、垃圾郵件特征庫等統(tǒng)一進行格式化和歸并處 理，并采用標簽的方式轉發(fā)到不同模塊的處理引擎進行分項處理。完全實現(xiàn)了分析處理引擎的一體化設計，極大的提高了多功能模塊同時運行時的運行效率。 　　 　　天清漢馬USG一體化安全網關本著安全高效的原則，采用“檢測與控制相分離，引擎特征相統(tǒng)一”的一體化設計思想，最終形成了以上的總體軟件結 構。其中包括，人機界面、報文接收模塊、報文處理模塊、報文發(fā)送模塊和

5、支撐庫，網絡報文首先通過報文接收模塊進行預處理后進入報文處理模塊，在報文處理模 塊，防火墻進行2-3層過濾，VPN負責接入控制;其次模塊匹配引擎和行為分析引擎分別根據統(tǒng)一特征庫和行為知識庫進行匹配查找;最后，對于合法報文直接 交由報文發(fā)送模塊進行報文轉發(fā)，對于非法報文，送交響應的處理引擎進行處理。整個過程的日志信息和數據流量信息送數據中心監(jiān)控和備案，管理中心負責整體的配置和調整。 3. 功能特性 　　 完善的防火墻特性 　　2 支持基于源IP、目的IP、源端口、目的端口、時間、服務、用戶、文件、網址、關鍵字、郵件地址、腳本、MAC地址等多種方式進行訪問控制 　　2 支持流量管理、連

6、接數控制、IP+MAC綁定、用戶認證等 　　 IPS-堅固的防御體系 　　2 業(yè)界最完善的攻擊特征庫，包括50多類，超過2000項的入侵攻擊特征 　　2 漏洞機理分析技術，精確抵御黑客攻擊、蠕蟲、木馬、后門 　　2 應用還原重組技術，抑制間諜軟件、灰色軟件、網絡釣魚的泛濫 　　2 網絡異常分析技術，全面防止拒絕服務攻擊 　　 業(yè)界領先的網絡防病毒技術 　　2 文件感染病毒、宏病毒、腳本病毒、蠕蟲、木馬、惡意軟件、灰色軟件，病毒庫總計>150,000 　　2 病毒類型根據危害程度劃分為：流行庫、高危庫、普通庫 　　 實用的流量監(jiān)控系統(tǒng)NetFlow 　　2 歷史帶寬使用趨勢分

7、析、帶寬應用分布、帶寬使用實時統(tǒng)計、IP流量排名等 　　 多種手段全面清除垃圾郵件 　　2 黑名單、白名單、可追查性檢查 　　2 病毒掃描、附件類型和附件大小過濾、關鍵字過濾等 　　 安全豐富的VPN使組網變得簡單 　　2 豐富的手段：GRE、IPSec、L2TP、SSL VPN 　　2 高效的性能：VPN硬件加速卡 　　2 靈活的部署：Hub-Spoken、Full-Mesh、DVPN 　　 完善的P2P、IM、流媒體、網絡游戲和股票軟件控制能力 　　2 P2P控制：對Emule、BitTorrent、Maze、Kazaa等進行阻斷、限速 　　2 IM控制：基于黑白名單的

8、IM登錄控制、文件傳輸阻止、查毒;支持主流IM軟件如QQ、MSN、雅虎通、Gtalk、Skype 　　2 流媒體控制：對流媒體應用進行阻斷或限速，支持Kamun ppfilm 、PPLive、PPStream、QQ直播、TVAnts、沸點網絡電視、貓撲播霸等 　　2 網絡游戲控制：對常見網絡游戲如魔獸世界、征途、QQ游戲大廳、聯(lián)眾游戲大廳等的阻斷 　　2 股票軟件控制：對常用股票軟件如同花順、大參考、大智慧等的阻斷 　　 網絡接入控制(NAC) 　　2 終端安全審查：對終端的運行進程、系統(tǒng)補丁、病毒特征庫更新等安全信息實時檢查，禁止不符合安全要求的用戶接入網絡，同時可對終端進行加固策

9、略實施和注冊表保護等功能。 　　2 網絡行為管理：根據主機源地址，目標地址，目標服務，安全狀態(tài)，控制策略，訪問進程限制 共同決定主機的訪問策略。 　　2 終端共計防護：通過自帶的安全終端實現(xiàn)網關與終端的配合，增強防范ARP欺騙、TCP flood、UDP flood等多種類型的攻擊。 　　2 終端實時操控：實時對網絡的終端在線信息、服務運行情況、主機進程管理、網絡連接信息和電腦補丁信息等進行監(jiān)控和安全控制。 　　 強大的日志報表功能 　　2 記錄內容豐富：可對防火墻日志、攻擊日志、病毒日志、帶寬使用日志、Web訪問日志、Mail發(fā)送日志、關鍵資產訪問日志、用戶登錄日志等進行記錄 　

10、　2 日志快速查詢：可對IP地址、端口、時間、危急程度、日志內容關鍵字等進行查詢 　　2 報表貼近需求：根據用戶具體需求，定制報表內容、定制報名名稱、定制企業(yè)LOGO，并可形成多種格式的報表文件。 　　 方便的集中管理功能 　　2 通過集中管理中心實現(xiàn)對多臺設備的統(tǒng)一管理、實時監(jiān)控、集中升級和拓撲展示 4. 產品系列 　　 5. 典型應用 　　中小企業(yè) 　　對于擁有企業(yè)一級網絡和下屬二級網絡的中小企業(yè)網絡，大都通過互聯(lián)網來實現(xiàn)總部與二級網絡的互聯(lián)互通。 　　 　　部署USG網關讓中小企業(yè)用戶可以在一個統(tǒng)一的架構上建立自己的安全基礎設施，而以往困擾用戶的安全產品協(xié)調性、資

11、金和技術匱乏和缺乏中小企業(yè)級安全解決方案等問題也能夠得到完全解決。 　　USG網關產品部署在總部一級網絡和分支二級網絡Internet出口，同時開啟FW、AV和IPS功能，全面抵御來自互聯(lián)網的病毒和攻擊威脅。同時可作為VPN網關，各二級網絡與總部之間開啟VPN隧道，保證相互間通信的保密性。在外出差的員工可以在任何時候通過VPN客戶端與總部的天清漢馬USG一體化安全網關建立VPN隧道，訪問公司內部的資源，實現(xiàn)高效安全的網絡應用。 　　大型企業(yè) 　　對于跨國大型企業(yè)，網絡規(guī)模較大、用戶數量多、業(yè)務系統(tǒng)較多，網絡建設類似于城域網。在安全建設方面也存在多點建設，除去在集團總部的互聯(lián)網出口需要安全

12、防控外，各下屬單位也有安全防護需求。 　　 　　圖1. 大型企業(yè)網絡結構示意圖 　　在總部互聯(lián)網出口部署的天清漢馬USG一體化安全網關能夠抵御來自互聯(lián)網的入侵攻擊，同時為出差員工提供VPN接入，確保通信的保密性。 　　在各分支機構出口部署USG網關，不但可以保證各分支機構與總部之間業(yè)務通信的完整性和保密性同時可以有效控制不同機構之間的越權訪問，并且防止病毒在內網的大規(guī)模爆發(fā)。 　　天清漢馬USG一體化安全網關提供統(tǒng)一管理平臺，可以通過信息中心統(tǒng)一管理全網的USG網關，并提供詳盡直觀的報表，能夠讓管理員迅速了解到整個網絡的存在的安全風險和趨勢，為決定如何制定安全策略提供依據。 6. 市場品牌 　　 　　 　　第一個圖說明：IDC證明：啟明星辰UTM品牌排名國內廠商第一。 　　第二個圖說明：CCID證明：啟明星辰UTM品牌排名國內廠商第一。