• QQ咨询

  • 在线咨询
  • 技术支持QQ
  • welcome
  • 培训咨询QQ
  • welcome

. 首页 > 安全产品 > 安全防护 > LanSecS下一代防火墙

LanSecS下一代防火墙

 

产品概述

LanSecS®下一代防火墙NGFW融合了应用控制、行为审计、网络业务优化等功能的综合应用网关产品,以路由、透明或混合模式部署在网络的关键节点上,对数据进行2-7层的全面检查和分析,深度识别、管控和审计近千种IM聊天软件、P2P下载软件、炒股软件、网络游戏应用、流媒体在线视频应用等常见应用,并利用智能流控、智能阻断、智能路由等技术提供强大的带宽管理特性,配合创新的应用网络行为精细化管理功能、清晰易管理日志等功能,可提供全面、完善的网络行为管理解决方案。NGFW系列产品提供不同档次的多款型号,适用于数据中心、大型网络边界、中小型企业等全业务应用场景。

 

产品功能

 

产品特点

 

 v强大的网络适应性

LanSecS下一代防火墙可以灵活的支持透明网桥、路由、旁路、混合部署等多种部署方式,满足不同的用户环境。网络接口支持VLAN子接口、桥接口、聚合接口,可以在网络中与上下联网络设备进行互联对接。

NAT支持源地址、目的地址NAT,支持一对一、一对多、多对多地址转换,支持静态路由、动态路由(RIP\OSPF)、策略路由、应用路由、ISP路由。能够充分适应目前国内网络的特点,降低用户网络建设成本。

 

v精细化访问控制

WEB2.0技术的发展,使得传统网关产品采用五元组的访问控制方式早已变得力不从心,而设备的出现让访问控制变得简单,基于7元组(用户/组、应用/组、源地址、目的地址、服务、源接口、目的接口)以及时间的访问控制策略,能有效的控制自然人、应用的访问控制。在该访问策略中,还可以对应用行为和内容进行控制,比如控制QQ传文件但不控制QQ收发消息;过滤关键字,防止涉密信息通过邮件泄密等等。

 

v多级流量管理

设备使用了卓越的应用识别技术,由于该识别技术有效的融合了DPI和DFI两种识别方法的优点,大幅度提升了应用识别的准确度。但是随着企业规模不断扩大,网络带宽管理需要更精细的管理。

 

v应用识别及审计

设备的应用识别具备传统的深度包检测(DPI)和深度流检测(DFI)两种技术,其中深度包检测(DPI)是基于特征库对数据包的2~7层数据内容进行指纹匹配,从而识别出流量对应的应用;深度流检测(DFI)则对同一数据流上多个数据包进行综合分析,通过该数据流的交互过程、报文关联特征、报文序列规则等分析识别流量对应的应用。

除此之外,设备还创造性地引入了深度行为检测(DBI)的新概念。通过对用户网络流量的统计分析,我们可以得出特定用户的流量模型,基于流量模型对用户行为进行匹配,真正做到万变不离其宗,有效识别未知应用,使得企业信息安全和网络资源得到最大限度的保障。

在应用审计方面,由于对应用流量的深度分析,所以在审计方面设备拥有得天独厚的优势。一方面能够对每一个应用的每一个行为进行精细化审计,另一方面又能根据设备、用户组、用户进行多维统计分析,让网络管理员对大到整个网络的全局状况,小到一个用户的瞬时行为都了若指掌,全面与细节不再成为矛盾。同时,应用层检测的一体化设计,也使得审计模块无须重复对数据包细致分析,充分发挥并行处理的优势,将开启审计功能造成的性能衰减降至最低。

 

部署模式

设备属于串行部署设备,能够工作在三种模式下:透明模式、路由模式、混合模式。如果设备通过桥接口对外连接,物理接口无IP地址,则设备工作在透明模式下;若设备以IP层对外连接,接口配置有IP地址,则工作在路由模式下;若设备同时具有工作在路由模式和透明模式的接口,则设备工作在混合模式下。

 

v透明模式

采用透明模式把设备接入到网络中时,可以不改变已有的网络结构,此时设备对子网用户和路由器来说完全透明,感觉不到设备的存在。

v路由模式

当设备位于内部网络和外部网络之间时,需要将设备与内部网络、外部网络相连的接口分别配置成不同网段的ip地址,重新规划原有的网络拓扑,此时相当于一台路由器。

v混合模式

设备既有工作在路由模式的接口(接口具有IP地址),又有工作在透明模式的接口(接口无IP地址),此时设备工作在混合模式下。