分享

交大捷普国产防火墙应用案例

一、背景
近年来,由于国外设备、软件隐藏的“后门”和漏洞造成的失泄密事件已严重威胁到我国的国家安全。我国计算机网络系统中的操作系统、数据库、芯片等大多由国外厂商生产,很难判断设备是否存在“后门”或软件陷阱等安全漏洞,信息安全风险非常高。
面对日益严峻的信息安全形势,只有加快国产化步伐,建立起安全且可靠的关键核心技术体系,才能真正保障信息安全。而关键核心技术设备、信息产品和服务等的可控是保障网络信息安全的前提。
为应对日益复杂多变的信息安全威胁,西安交大捷普网络科技有限公司推出了基于国产芯片和国产操作系统的防火墙产品。捷普国产防火墙采用国产“飞腾 FT-1500A”处理器及“银河麒麟”操作系统,秉承下一代主动安全防护理念,设计和开发过程遵循软硬件模块的自主化与可靠性,可广泛应用于政府、能源等需要国产化产品的重点行业。
捷普国产防火墙的核心思想是立足于用户网络边界,构建以应用为核心的网络安全策略和以资产风险识别、整体安全威胁防护为显著特征的全方位的安全防护体系。除保护内部网络不被黑客攻击或入侵之外,注重从内部发现资产风险,及时进行安全加固,以应对 0 day 攻击及 APT 攻击的快速与多变形势。
二、产品简介
捷普防火墙是一款基于软硬件可控的下一代网络防火墙系统,硬件平台核心处理器采用了国产飞腾和国产海光处理器,搭配国产麒麟操作系统。捷普防火墙性能优异,运行稳定、可靠,且对大多数病毒木马天然免疫,最大限度提高了防火墙系统的自身安全性。通过对应用、用户、内容、威胁、时间、位置等维度的全面感知,提供多维度的应用层监控与分析,帮助用户掌握风险,整体实现高度国产化。系统实现 IPS、防病毒、内容防泄漏、垃圾邮件过滤、WEB 应用防御、僵尸网络阻断等应用层深度防御与应用识别相结合,有效提高了威胁防御的效率和准确性。
三、业务架构
4ce3c038a76a4aa382e35bc44de72dbf.png.jpg
功能特点
捷普国产防火墙在更先进架构的支撑下,集成了防火墙、 VPN、应用与身份识别、防病毒、入侵防御、行为管理、应用层内容安全防护、僵尸网络识别、威胁情报等综合安全防御 功能, 是专门为政府、能源的网络出口打造的基于协同防御体系的下一代国产安全防御系统。
智能化识别应用、精细化控制应用
通过智能化应用、用户身份识别技术,捷普国产防火墙可以将网络中单纯的 IP/端口、以及流量信息,转换为更容易理解、更加智能化的应用程序信息和用户身份信息,为后续的基于应用程序的策略控制和安全扫描,提供了识别基础。
系统内置应用识别库,支持 2000+种应用识别。在配置界面上为用户提供应用列表,并按照使用维度对应用进行分类,包括视频网站、P2P 下载、网络游戏、即时通讯、网络存储、网上支付、数据库等 27 个类别,并且支持达梦、南大通用、神通等国产数据库协议的识别和控制。
对于特征不明显、较难识别的应用或者未知类型的应用,比如 P2P 类型的应用,系统提供了应用智能识别功能,该功能是应用特征识别的补充,可按照数据连接的频率、地址及端口变化、数据包负载大小等因素综合考虑进行应用的动态识别和控制。
系统可以根据应用类型设置应用访问控制,应用流量管理以及应用安全扫描等不同的策略,从而对应用进行细粒度的控制和过滤。
一体化安全防护策略
在完成智能化识别和精细化控制以后,国产防火墙对于允许使用且可能存在高安全风险的网络应用,可以进行一体化的攻击、漏洞、病毒、URL 和内容等不同层次深度扫描,如果发现该应用中存在安全风险或攻击行为可以做进一步的阻断并且记录详细的安全日志和风险报表。
一体化安全防护策略将传统五元组访问控制与具有下一代防火墙特征的用户识别、应用识别控制有机的结合起来,同时对其他防火墙产品一贯分离且重复的安全策略配置方式,进行了高度集中和融合。
捷普国产防火墙在一条安全策略中即可全部或部分选择:应用行为识别、入侵防护、防病毒、僵尸网络防护、Web 应用防护、数据防泄漏。免去用户以往在多个不同安全配置页面间频繁切换,重复配置的不便。其结果是在其它防火墙产品上需要配置多达 6 条策略才能实现的功能,在捷普国产防火墙上只需要一条安全策略即可完成,且逻辑上更加清晰简单,便于理解,极大的提高了管理易用性和可维护性,防止了繁琐配置引起的错误风险。
全面的用户身份识别
作为下一代安全防御体系的显著特征之一,捷普国产防火墙对在线用户身份识别功能做了全面细致的支持。与传统的将用户认证策略混入防火墙策略配置中不同,捷普国产防火墙将用户认证从防火墙复杂的策略配置中抽离出来,从逻辑上做出更合理清晰的呈现。
用户可对不同的安全区域指定不同的认证策略,并可根据不同场景选择不同的身份识别方案,例如,可从域控服务器直接获取身份信息,与第三方认证服务器(Radius、AD、LDAP)认证,本地帐号库认证,证书认证,以及结合以上多种认证方式于一体的多因素认证。
同时,为方便用户理解和使用,系统对用户账号进行了集中管理和控制。只需集中配置好账户信息(包括本地数据库、Radius、AD、LDAP、短信、证书账号等)即可在用户认证策略、VPN 授权等多处便捷使用。
精细化的流量管理和分析
捷普国产防火墙基于强大细致的用户、应用识别能力,支持用户以安全区、IP 地址段、时间、用户、应用多维度的对流量进行管理和控制,包括限制应用上下行最大带宽、保证应用上下行最小带宽、保证带宽下的优先级排序以及每 IP 的进行应用流量控制,从而做到合理分配网络带宽,保证重要业务的正常优质运行,限制或防范非法滥用网络资源的应用对流量的过度占用等。
应用层深度防护
入侵防护
捷普国产防火墙内置 7000+威胁特征库,按照攻击手段将威胁入侵分为 13 大类,分别为可疑网络行为、尝试侦察行为、DDos 攻击、用户尝试攻击、RPC 攻击、shellcode 攻击、trojan 攻击、拒绝服务攻击、协议解析攻击、Web 应用攻击、misc 攻击、客户端攻击及其它攻击。
捷普国产防火墙可防护远程扫描、暴力破解、缓存区溢出、蠕虫病毒、木马后门、SQL注入、跨站脚本等各种网络及应用攻击。同时支持用户自定义规则,建立规则组等功能。并能够对检测到的入侵事件实时告警、阻断、记录和提供统计报表。
URL 过滤
捷普国产防火墙具备丰富的内置 URL 分类库,包含按照不同类型(如不良言论、色情暴力、网络钓鱼、论坛聊天等)划分的超过上亿条记录的 URL 信息,可实现对工作无关网站、不良信息、高风险网站的准确、高效过滤。
同时捷普国产防火墙内置的 Web 信誉库,通过对互联网站点资源(域名、IP 地址、URL等)进行威胁分析和信誉评级,将含有恶意代码的网站列入 Web 信誉库,可有效阻挡用户对挂马等不良信誉网站的有意或无意访问,实现对终端用户的安全保护。
防病毒
捷普国产防火墙采用流模式和启发式文件扫描技术,对利用 HTTP、SMTP、POP3、FTP、IM 等多种协议进行传播的病毒进行扫描,完成对木马病毒、蠕虫病毒、宏病毒、脚本病毒等的查杀,同时支持多线程并发控制、深层次压缩文件杀毒等功能。
此外,捷普国产防火墙将专业防病毒引擎和多核并行处理技术完美融合,实现高速病毒处理性能。
内容过滤
系统通过内容安全关键字,可对任意安全区域间交互的网页内容、搜索引擎信息内容、文件传输(文件名、格式、内容)、邮件收发(包括收发人、标题、内容、文件等)、论坛发言、服务器操作以及即时通讯内容等进行基于内容关键字的准确检测、阻断、告警、记录和信息还原,实现深度内容安全管理与跟踪,避免用户敏感信息、重要文件通过网络外泄,也避免了非法言论及不良信息的传播。
资产风险识别
捷普国产防火墙可根据用户指定的网络范围,通过自动及手动识别等多种方式,识别出多种资产类型,如 PC、移动设备、服务器等等资源类型。并在此基础上,评估资产安全因素,分析资产受攻击可能性、危害程度、攻击范围及防护难度。针对易受攻击的系统及应用软件进行打分告警、报表分析,如操作系统版本漏洞威胁度、上网浏览器客户端漏洞威胁度等,让用户实时了解当前网络资产资源中的脆弱度,勾勒脆弱度全景图,并可针对性的实施漏洞填补,升级补丁,防火墙策略访问控制,流量监控等安全措施,从而达到防范潜在入侵攻击的可能性。
便捷易用的VPN
捷普国产防火墙根据 VPN 使用场景,支持多种 VPN 隧道业务,包括 IPSec、GRE、PPTP、L2TP VPN 等。用户可通过 GRE 或 IPSec 隧道实现分公司与总部之间的数据安全传输,通过PPTP 或 L2TP VPN 隧道实现 PC 以及移动客户端与总部之间的数据安全传输。通过防火墙提供的二、三层隧道加密传输技术,用户可便捷的实现通过公网对内部网络任意应用资源的安全访问。
稳定可靠的高可用性
捷普国产防火墙的双机热备提供了一种保证网络可靠性的组网方式。通过对一个聚合集群中的两台安全设备进行电缆连接和配置,使其中一台设备作为主用设备,另一台作为备用设备。主用设备负责处理所有网络信息流,备用设备处于在线监听状态。一旦主设备出现故障,备份设备将在极短时间(心跳间隔)内晋升为主设备并接管信息流处理,从而保证网络的持续可用性。
捷普国产防火墙产品提供的 BYPASS 功能用于透明模式环境时设备意外断电或重启的情况下保证用户的网络通畅。当平台架设为透明模式时,如果平台掉电,将会导致整个网络瘫痪,而 BYPASS 功能可以保证当平台掉电时数据链路保持畅通,从而使局域网和外网保持连接。
全面可视化数据展示
捷普国产防火墙的数据中心记录、展示和统计各种日志以及威胁事件信息。用户可以及时查看设备的运行状态、管理操作记录以及网络中存在的各种威胁事件。系统提供可视化的威胁事件、攻击事件、用户流量情况、应用事件、漏洞风险、资产等的展示和安全审计功能,并提供了应用、威胁、用户、风险四个角度的分析报告,方便用户掌握当前所防护网络的安全状况。分析报告可自动定期生成,并支持 WPS、PDF、EXCEL、HTML 格式。
、产品优势
最可靠的可控技术
捷普防火墙在硬件层面采用了具有我国自主知识产权的飞腾处理器,不仅使产品安全性获得巨大提升,同时使系统具备高效的网络安全处理与转发能力。在软件层面,捷普防火墙基于银河麒麟自主知识产权的操作系统,具备开放性的系统架构及模块化的设计思想,支持国密检测认证的 UKey认证,实现身份识别、行为限制等功能。
最细致的可视化呈现
捷普防火墙可以提供清晰的全局和分类应用流量展现,结合用户信息、IP信息等因素,综合展现企业IT系统中流量的具体内容,成为网络中的“监控摄像头”,快速实时监控网络流量信息,设定报警策略,快速发 现入侵行为,直观显示资产风险态势、攻击威胁态势,全网风险一目了然。
最简单的策略管理
捷普防火墙不再依赖人工添加安全访问控制策略,系统智能策略管理通过网络流量分析,基于行为分析结果构建自适应策略,横向关联特征库、IP信誉库等功能模块,能够快速降低对使用者的要求,大大提高防护范 围和控制精度。
六、产品参数
设备型号
主要指标
性能参数(默认)




F4000G(千兆)

1U 标准机架
CPU:飞腾 FT1500A
(1.5GHz ,4核)
  操作系统:银河麒麟 V4.0.2 (桌面版)
  内存:8GB
  硬盘:1TB
  网卡: 1个HA口、1个管理 口、4个千兆电口、4个千兆光口
整机网络层吞吐(双向):
IPv4:3673.462Mbps
IPv6:3677.603Mbps
  整机应用层吞吐(单向) :
IPv4:1600.142Mbps
IPv6:1619.211Mbps
  整机 TCP 新建:
IPv4:5 万/秒,IPv6:5万/秒
  整机TCP并发:
IPv4:500万,IPv6:500万
七、成功案例
某市应急管理局边界出口仅部署传统防火墙,基于五元组对流量进行限制,无法精确识别流量中的各种应用,限制非法应用,防御外部的攻击,保障正常的互联网访问。通过替换部署我司下一代防火墙,对应用、用户、内容、威胁、时间、位置等维度的全面感知,提供多维度的应用层监控与分析,帮助用户掌握风险,实现 IPS、防病毒、内容防泄漏、垃圾邮件过滤、WEB应用防御、僵尸网络阻断等应用层深度防御与应用识别相结合,有效提高了威胁防御的效率和准确性。

应用单位
西安交大捷普网络科技有限公司



版权说明:论坛帖子主题均由合作第三方提供并上传,若内容存在侵权,请进行举报

没找到任何评论,期待你打破沉寂

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

联系在线客服