东软NetEye虚拟安全网关(NISG-VA)

东软NetEye虚拟安全网关(NISG-VA)系列产品是面向应用的下一代防火墙(NGFW)虚拟化版本。它通过模块化设计,集防火墙、VPN、DoS/DDoS攻击防御、入侵防御、防病毒、反垃邮件、URL过滤、应用协议识别与控制等多项尖端安全技术于一身,为用户提供业界领先的虚拟化及云计算环境下的安全解决方案。
• 技术优势
支持业界领先的虚拟化平台
NISG-VA支持业界领先的虚拟化平台,包括VMware、Citrix以及KVM,可以简单、快速地部署在虚拟化平台,并通过虚拟化行业领先的VMware Ready和Citrix Ready认证。NISG-VA可以对虚拟机之间的流量进行防护,可以对物理防火墙和虚拟防火墙集中和统一地管理,为虚拟化数据中心提供一体化的安全防护。
支持业界领先的云计算平台
随着越来越多的企业使用云计算服务,通过与业界领先的公有云巨头Amazon合作,NISG-VA支持业界领先的云计算平台,Amazon Web Services (AWS),推出先于业界同行的基于Amazon 的NISG-VA for Amazon,为Amazon公有云用户提供一套安全可靠、按需付费的Amazon Virtual Private Cloud (VPC)安全解决方案。
一体化的应用安全防护
通过模块化的设计,NISG-VA集入侵防御系统(IPS)、防病毒(AV)、反垃圾邮件(AS)以及URL过滤等安全模块与防火墙/VPN于一身,为虚拟化数据中心及云计算环境下的用户铸就全方位、一体化的应用安全防护网关。
 
• 功能特色
业界领先的下一代防火墙(NGFW
细粒度的应用识别和控制
区别于传统防火墙只能识别端口和IP地址,作为下一代防火墙的NISG可以实现基于应
用、用户以及内容的识别。
• 东软NISG可以提供基于应用层协议的细粒度检测与控制,包括社交软件、及时通讯工具、
Web应用、P2P下载工具、网络电视、流媒体、电话会议、文件共享、在线游戏、炒股软
件、远程登录、加密代理、邮件客户端等,可帮助管理员有效管理网络活动。NISG能够
检测出不断扩展的应用协议,为用户提供可扩展的签名库,可实现定期升级。
• 区别于传统防火墙只能识别到IP地址层面,NISG可以通过身份认证机制识别到具体的
用户,因此NISG可帮助管理员更加精确、可视并灵活地管理具体用好的网络活动。例如
,通过身份识别机制,使用NISG管控经常变更IP地址的销售人员的网络活动将会变得更
加便捷和高效。
• NISG可以基于应用识别和QoS实现细粒度的应用控制,帮助管理员更加高效地管理网络
活动。例如,通过将不同应用的数据包分类,NISG可精确地识别关键业务数据流,从而
保障从网络层到应用层的全面服务质量(QoS)。在因带宽的大量占用而导致的网络过载
或者堵塞的情况下,NISG仍让能够保证关键业务流不受到延迟或丢包的影响,从而为相
关业务应用提供全面的性能保证。
一体化的安全防护
有效过滤网络流量仅仅解决了企业的部分网络安全问题,要防止威胁入侵公司的信息资源
及中断正在进行的程序,必须采取一套全面、行之有效的解决方案。多种防护引擎与防火
墙的有紧密集成有效保护企业的内部网络免受拒绝服务攻击、漏洞利用、病毒、间谍软件
等一系列攻击。
DoS/DDoS攻击防御
针对DDoS攻击日益严重、追查困难、影响大、范围广、攻击方法多的特点,NISG能够精
确识别和准确防范众多的DoS/DDoS攻击,进行有效检测和防御,实现攻击的智能防范,
最大限度地保障用户的网络层及应用层网络安全。
入侵防御模块(IPS)
NISG集成了世界领先的入侵防御技术,基于具有自主知识产权及国际专利技术的东软事
件描述语言(NEL)引擎,以及数千种攻击防御签名,支持对已知和未知网络及应用层攻
击的检测及防御。
防病毒模块 (AV)
NISG集成业界知名防病毒引擎,检测精度高。支持对大文件扫描、压缩以及嵌套压缩文
档的扫描,支持HTTP、SMTP、POP3、FTP、IMAP等协议扫描,全面检测病毒入侵的各项源
头。支持在线升级防病毒引擎和特征库,提供实时的病毒防护。
反垃圾邮件模块 (AS)
NISG集成业界知名垃圾邮件检查引擎,检测精度高。支持基于IP信誉以及基于内容的垃圾
邮件过滤。支持在线升级反垃圾邮件引擎和特征库,提供实时的垃圾邮件防护。
URL 过滤模块
NISG集成URL过滤模块内嵌业界领先的URL过滤引擎,过滤精度高。基于页面内容和URL
类别,提供细粒度的URL访问控制策略。支持URL黑白名单以及将自定义的策略添加到
URL库中以满足企业的特定需求。URL库和分类可定期升级,以适应网络的不断发展演变。
灵活的网络适应性
IPv6 Ready
NISG通过业界标准的IPv6 Ready认证,全面支持支持从网络层、应用层到内容级别的IPv6
协议。
可扩展的虚拟系统(Vsys)
管理员可以将一台NISG产品在逻辑上划分成多台Vsys,每台虚拟防火墙都可以看成是完
全独立的防火墙设备,拥有独立的管理员、安全策略、路由策略、用户认证数据库等。
各台虚拟防火墙的安全策略互不影响,如果两个接口属于不同的虚拟防火墙,那么两个
接口相连网络内的主机可以使用相同的IP地址。
三层交换模式
采用三层交换技术消除了原来工作模式的复杂性,为部署和配置带来了极大的灵活性。该
技术将二层交换和三层路由的优势结合成为一个有机的整体,利用第三层协议中的信息来
加强第二层交换功能,并实现了三层数据包的高速转发。该技术的采用使得VLAN、Trunk
、Channel等技术能够很方便地在设备上实施,减轻管理员配置维护的工作负担。
安全连接性
多样化的VPN部署模式
NISG支持企业级的VPN功能,包括IPSec VPN 和SSL VPN,为用户提供灵活的VPN解决方
案,SG可精确地识别关键业务数据流,从而保障从网络层到应用层的全面服务质量
(QoS)。在因带宽的大量占用而导致的网络过载或者堵塞的情况下,NISG仍让能够保证
关键业务流不受到延迟或丢包的影响,从而为相关业务应用提供全面的性能保证。
VPN客户端
NISG支持东软自有品牌的VPN 客户端。
易管性
丰富的管理接口
为适应不同的管理需求和风格,NISG支持多样化的管理接口,包括CLI (Telnet, SSH及
Console)和WebUI (HTTPS)。同时,标准的syslog和SNMP接口可以与第三方监控和管理
工具集成。
实时Dashboard管理
通过直观的Dashboard信息,管理员可以实时监控系统信息,动态过滤出到重要的系统
信息。

附件:NISG-VA阿里云部署手册