20131028 天清汉马USG-FW-P系列防火墙技术白皮书 V6.doc

20131028_天清汉马USG-FW-P系列防火墙技术白皮书_V6天清汉马USG-FW- P系列防火墙
技术白皮书
二零一三年十月
目录
1 概述 1
2 天清汉马USG防火墙产品特点与技术优势 2
智能的VSP通用安全平台 2
高效的USE统一安全引擎 3
高可靠的MRP多重冗余协议 4
完备的关联安全标准 5
基于应用的内容识别控制 6
智能匹配技术 6
多线程扫描技术 7
应用感控技术 7
精确细致的WEB过滤技术 8
可信架构主动云防御技术 8
IPv6包状态过滤技术 9
3 天清汉马USG防火墙产品主要功能 10
4 典型组网 17
政府行业 17
电子政务网 17
政府专网 18
教育行业 19
高教校园网 19
中/基教教育城域网 20
企业市场 21
中小企业 21
大型企业 22
概述
诞生20多年来,网络已经在全球经济中扎根发芽,蓬勃成长为参天大树,对各个行业的发展起着举足轻重的作用。随着时间的推移,网络的安全问题也日益严重,在开放的网络环境中,网络边界安全成为网络安全的重要组成部分。在网络安全的术语里,有一个名词叫做“安全域”,其主要作用就是将网络按照业务、保护等级、行为等方面划分出不同的边界,定义出各自的安全领域。举个简单的例子,在PC上安装了相关的杀毒软件,PC本身就是一个最简单的安全域。对于单位用户,安全域往往由若干网络设备和用户主机构成,其边界安全主要在于与互联网的边界、与其他业务网络的边界等。
防火墙是解决网络边界安全的重要设备,它主要工作在网络层之下,通过对协议、地址和服务端口的识别和控制达到防范入侵的目的,可以有效的防范基于业务端口的攻击。
天清汉马USG防火墙是北京启明星辰信息安全技术有限公司凭借在信息安全领域多年的经验积累,总结分析用户的切身需求,推出新一代的P系列防火墙产品。天清汉马USG防火墙采用高性能的硬件架构和一体化的软件设计,除了实现了状态检测防火墙功能,还同时支持VPN、上网行为管理、抗拒绝服务攻击(Anti-DoS)、内容过滤、AV、入侵防御等多种安全技术,同时全面支持QoS、高可用性(HA)、日志审计等功能,为网络边界提供了全面实时的安全防护。
天清汉马USG防火墙可直接通过功能许可激活的方式,获得包括防病毒(AV)、入侵防御(IPS)、防垃圾邮件(Anti-Spam)和内网安全功能。
天清汉马USG防火墙产品线丰富,可以为政府、教育、金融、企业、能源、运营商等用户提供所需要的全系列的安全防护产品。
产品综述
产品综述
天清汉马下一代p系列USG防火墙是集防火墙、VPN、上网行为管理AC、内容过滤、防病毒、入侵防护等多种安全技术于一身,高性能、绿色低碳,同时全面支持各种路由协议、QoS、高可用性(HA)、日志审计等功能,为网络边界提供了全面实时的安全防护,帮助用户抵御日益复杂的安全威胁。
天清汉马USG防火墙采用了一体化的设计方案,在一个产品中协调统一地实现了接入安全需要考虑的方方面面。采用天清汉马USG防火墙,可以从整体上解决了接入安全的问题。用户可不必考虑产品部署、兼容性等困惑,也不再因为多个产品难于维护管理而苦恼,天清汉马USG防火墙是低成本、高效率、易管理的理想解决方案。
天清汉马USG防火墙产品线丰富,可以为政府、教育、金融、企业、能源、运营商等用户提供所需要的全系列的安全防护产品。
自从天清汉马USG防火墙推向市场以来,很快就凭借其强大的功能和在实际应用中优异表现,赢得了众多机构和用户的广泛赞誉。
特点说明
天清汉马USG防火墙具有如下特点:
完善的防火墙特性
支持基于源IP、目的IP、源端口、目的端口、时间、服务、用户、文件、网址、关键字、邮件地址、脚本、MAC地址等方式进行访问控制
支持流量管理、连接数控制、IP+MAC绑定、用户认证等
支持虚拟防火墙:可以将接口划分给不同的虚拟防火墙,每个虚拟防火墙具有独立的管理员、安全域、资源对象、安全策略、NAT规则、静态路由等配置
同终端无缝结合:支持同天珣内网安全管理系统联动,将防火墙防御能力推进到桌面终端
高网络适用性
支持透明、路由和NAT模式部署
支持静态路由、策略路由、RIP/OSPF/BGP动态路由,支持等价路由ECMP和加权路由WCMP,支持组播路由
支持STP,可以同二层网络设备进行生成树计算
支持IGMP Snooping,优化在桥模式下的组播流量
支持私有HA和VRRP
支持IPv6:支持IPv4、IPv6双栈运行、静态IPv6路由、手工隧道、6to4隧道和IS