东软NetEye集成安全网关(NISG)

安全网关的“3G”时代来临

随着信息技术应用不断发展,用户今天面对的信息安全威胁也由过去单纯的拒绝服务攻击转向夹杂着病毒、垃圾邮件、恶意URL挂马、漏洞扫描、黑客渗透等更为复杂的应用层攻击。而更值得引起管理员关注的是内部员工上网行为难以控制也逐渐成为了最新关注焦点,面对这些传统的安全网关已经无法有效的起到网络安全防护的作用。如果简单的用堆叠的手段将防火墙、防病毒网关、垃圾邮件网关、入侵检测与防御系统、上网行为管理等产品一并部署到网络中,不仅增加了投资成本和管理部署的复杂程度,无形中还降低了网络的可用性和可扩展性。

为了解决上述问题,东软率先推出了第三代信息安全网关—东软NetEye集成安全网关(NISG)。NISG是以先进架构为基础,以东软多年创新的流过滤检测技术为核心,融合多种安全技术的先进安全产品。该产品有效的解决了面对最新威胁及传统安全产品堆叠所带来的问题,在确保网络稳定的前提下,极大提升了综合安全防护能力。

东软NetEye NISG采用虚拟化、云检测等先进技术手段,并融入东软特有的攻击检测描述语言NEL专利技术,具备了安全实用、高效过滤、检测准确等特点。

  • 细粒度的应用识别与可视化管理
    传统防火墙可以实现基于IP地址和端口层面的流量控制;UTM在基于IP地址和端口进行控制的基础上,集成一体化的安全功能。但是UTM仅能识别到协议和IP层面,无法识别具体的应用以及用户;东软是全球领先的下一代防火墙厂商,东软NetEye集成安全网关(NISG)产品能够实现基于应用、用户和内容的智能识别与控制。
    区别于传统防火墙和UTM产品只能识别到IP和协议层面,东软NISG可以通过应用识别技术识别数千种应用,包括社交软件、及时通讯工具、Web应用、P2P下载工具、网络电视、流媒体、电话会议、文件共享、在线游戏、炒股软件、远程登录、加密代理、邮件客户端等,帮助管理员有效管理网络活动。东软NISG能够检测出不断扩展的应用协议,为用户提供可扩展的签名库,可实现定期升级。
    东软NISG通过身份认证机制识别到具体的用户,更加精确、可视并灵活地管理具体用好的网络活动。例如,通过身份识别机制,使用NISG管控经常变更IP地址的销售人员的网络活动将会变得更加便捷和高效。
    东软NISG可基于应用识别和QoS实现细粒度的应用控制,更加高效地管理网络活动。例如,通过将不同应用的数据包分类,东软NISG可精确地识别关键业务数据流,从而保障从网络层到应用层的全面服务质量(QoS)。在因带宽的大量占用而导致的网络过载或者堵塞的情况下,NISG仍能够保证关键业务流不受到延迟或丢包的影响,从而为相关业务应用提供全面的性能保证。
    可扩展的虚拟系统(Vsys)
    虚拟系统是一个逻辑概念,可以将一台NSIG(物理设备或虚拟化设备)在逻辑上划分成多台虚拟NISG,每个虚拟系统都可以被看成是一台完全独立的设备,可拥有独立的管理员、安全策略、用户认证数据库等。每个虚拟系统能够实现防火墙的大部分特性,每个虚拟系统之间相互独立,一般情况下不允许相互通信。东软NISG虚拟系统适用于:
            服务提供商为不同的用户提供服务
            企业内部的网络隔离 
    因此更加灵活、具备更高成本效益、更易于管理、复杂度也更低。
    全球率先支持IPv6的安全网关
    由于IPv6与IPv4具有完全不同的报文结构,对于防火墙/UTM这种需要深度检测的边界防护设备带来巨大的挑战。因此,安全网关需要:
           类似路由器一样,作为网络节点支持IPv6
           解析多个扩展头,以便能够执行深度数据包检测
           需要支持IPv6/IPv4的转换技术IPv6
    东软NISG从网络层、应用层到内容层,全面支持IPv6,并获得业界权威的IPv6 Ready 认证。
    简单高效的安全策略配置模型
    为方便客户的策略配置,东软NISG为客户提供了基于三种应用场景的策略配置模型:
    出口控制
    为用户提供基于出口控制的策略配置。该应用场景主要适应于内网用户对外访问的流量控制,通过应用识别与控制技术,东软NISG可以灵活控制内网用户的对外访问。例如工作时间限制员工对linkedIn等社交网络的访问;对HR人员则开放社交网络招聘网页的访问。
    客户端防护
    为用户提供基于客户端防护的策略配置。该应用场景主要适应于保护企业内部的联网用户,东软NISG通过集成的多项安全技术,包括应用级识别与控制、IPS、防病毒、反垃圾邮件,URL过滤等有效防御用户上网遇到的各种威胁,保证企业内网客户端的安全。
    服务器防护
    为用户提供基于服务器防护的策略配置。该应用场景主要适应于保护企业内部用于对外提供服务的各类服务器的安全。东软NISG通过集成的多项安全技术,包括IPS、防病毒、反垃圾邮件等,有效防御企业内部服务器的安全。
    灾备能力
    东软NISG 提供强大的高可用特性,包括设备的主备/主主模式、以太网通道、冗余接口、VPN冗余网关、链路聚合、服务器负载均衡,保护用户网络永不间断。
    用户友好型的产品界面
    东软NISG 为用户提供友好、易用的产品界面,包括初始化向导、可定制化的主页、多样化的报表等,为用户带来完美的使用和配置体验。
    全球更新订购服务
    东软NISG提供从东软云数据中心辐射遍及亚太、日本、欧洲、北美的数据库更新服务,包括应用识别库、病毒库、垃圾邮件特征库、入侵攻击签名库、URL分类库,供全球用户实时更新数据库。 作为微软主动防御计划(MAPP)成员,NISG 产品可第一时间修复微软系统的相关漏洞,为用户提供零时差的安全防护。
    虚拟化及云计算环境的支持
    东软NISG 拥有虚拟化及云版本,为用户提供在虚拟化和云计算环境中的网络及应用安全防护。虚拟化版本支持业界领先的VMware、Citrix、KVM 等虚拟化平台,并通过VMware Ready 和Citrix Ready 认证;云版本可有效保护云计算环境的安全,目前已通过与世界公有云巨头亚马逊(Amazon)的合作,登录Amazon Web Services (AWS)公有云超市,为广大Amazon VPC 用户提供弹性灵活、按需启动和付费的安全保护。
  • 业界领先的下一代防火墙
    细粒度的应用识别和控制
    区别于传统防火墙只能识别端口和IP地址,作为下一代防火墙的NISG可以实现基于应用、用户以及内容的识别。
     
    东软NISG可以提供基于应用层协议的细粒度检测与控制,包括社交软件、及时通讯工具、Web应用、P2P下载工具、网络电视、流媒体、电话会议、文件共享、在线游戏、炒股软件、远程登录、加密代理、邮件客户端等,可帮助管理员有效管理网络活动。能够检测出不断扩展的应用协议,为用户提供可扩展的签名库,可实现定期升级。
     
    区别于传统防火墙只能识别到IP地址层面,东软NISG可以通过身份认证机制识别到具体的用户,帮助管理员更加精确、可视并灵活地管理具体用好的网络活动。例如,通过身份识别机制,使用NISG管控经常变更IP地址的销售人员的网络活动将会变得更加便捷和高效。
     
    东软NISG可以基于应用识别和QoS实现细粒度的应用控制,帮助管理员更加高效地管理网络活动。例如,通过将不同应用的数据包分类,NISG可精确地识别关键业务数据流,从而保障从网络层到应用层的全面服务质量(QoS)。在因带宽的大量占用而导致的网络过载或者堵塞的情况下,NISG仍让能够保证关键业务流不受到延迟或丢包的影响,从而为相关业务应用提供全面的性能保证。
    一体化的安全防护
    有效过滤网络流量仅仅解决了企业的部分网络安全问题,要防止威胁入侵公司的信息资源及中断正在进行的程序,必须采取一套全面、行之有效的解决方案。多种防护引擎与防火墙的有紧密集成有效保护企业的内部网络免受拒绝服务攻击、漏洞利用、病毒、间谍软件等一系列攻击。
    DoS/DDoS攻击防御
    针对DDoS攻击日益严重、追查困难、影响大、范围广、攻击方法多的特点,NISG能够精确识别和准确防范众多的DoS/DDoS攻击,进行有效检测和防御,实现攻击的智能防范,最大限度地保障用户的网络层及应用层网络安全。
    入侵防御模块(IPS)
    东软NISG集成了世界领先的入侵防御技术,基于具有自主知识产权及国际专利技术的东软事件描述语言(NEL)引擎,以及数千种攻击防御签名,支持对已知和未知网络及应用层攻击的检测及防御。
    防病毒模块 (AV)
    东软NISG集成业界知名防病毒引擎,检测精度高。支持对大文件扫描、压缩以及嵌套压缩文档的扫描,支持HTTP, SMTP, POP3, FTP, IMAP等协议扫描,全面检测病毒入侵的各项源头。支持在线升级防病毒引擎和特征库,提供实时的病毒防护。
    反垃圾邮件模块 (AS)
    东软NISG集成业界知名垃圾邮件检查引擎,检测精度高。支持基于IP信誉以及基于内容的垃圾邮件过滤。支持在线升级反垃圾邮件引擎和特征库,提供实时的垃圾邮件防护。
    URL 过滤模块
    东软NISG集成URL过滤模块内嵌业界领先的URL过滤引擎,过滤精度高。基于页面内容和URL类别,提供细粒度的URL访问控制策略。支持URL黑白名单以及将自定义的策略添加到URL库中以满足企业的特定需求。URL库和分类可定期升级,以适应网络的不断发展演变。
    灵活的网络适应性
    IPv6 Ready
    东软NISG通过业界标准的IPv6 Ready认证,全面支持支持从网络层、应用层到内容级别的IPv6协议。
    可扩展的虚拟系统(Vsys)
    管理员可以将一台NISG产品在逻辑上划分成多台Vsys,每台虚拟防火墙都可以看成是完全独立的防火墙设备,拥有独立的管理员、安全策略、路由策略、用户认证数据库等。各台虚拟防火墙的安全策略互不影响,如果两个接口属于不同的虚拟防火墙,那么两个接口相连网络内的主机可以使用相同的IP地址。
    三层交换模式
    采用三层交换技术消除了原来工作模式的复杂性,为部署和配置带来了极大的灵活性。该技术将二层交换和三层路由的优势结合成为一个有机的整体,利用第三层协议中的信息来加强第二层交换功能,并实现了三层数据包的高速转发。该技术的采用使得VLAN、Trunk、Channel等技术能够很方便地在设备上实施,减轻管理员配置维护的工作负担。
    安全连接性
    多样化的VPN部署模式
    东软NISG支持企业级的VPN功能,包括IPSec VPN 和SSL VPN,为用户提供灵活的VPN解决方案,SG可精确地识别关键业务数据流,从而保障从网络层到应用层的全面服务质量(QoS)。在因带宽的大量占用而导致的网络过载或者堵塞的情况下,NISG仍让能够保证关键业务流不受到延迟或丢包的影响,从而为相关业务应用提供全面的性能保证。
    VPN客户端
    支持东软自有品牌的VPN 客户端。
    易管性
    丰富的管理接口
    为适应不同的管理需求和风格,NISG支持多样化的管理接口,包括CLI (Telnet, SSH及Console)和WebUI (HTTPS)。同时,标准的syslog和SNMP接口可以与第三方监控和管理工具集成。
    实时Dashboard管理
    通过直观的Dashboard信息,管理员可以实时监控系统信息,动态过滤出到重要的系统信息。