您現在的位置 > 首頁 > 産品中心 > 銥迅第二代防火牆系統

  • 産品簡介
  • 功能模塊
  • 部署方式
  • 型号選型
  • 産品資質
  • 文檔資料

 産品簡介

新一代防火牆系統

                         提供立體化的安全防禦   

      銥迅下一代防火牆系統(英文:Yxlink Next Generation Firewall,簡稱:Yxlink NGFW)是一款可以全面應對應用層威脅的高性能防火牆。通過深入洞察網絡流量中的用戶、應用和内容,并借助全新的高性能單路徑異構并行處理引擎,NGFW能夠為用戶提供有效的應用層一體化安全防護,幫助用戶安全地開展業務并簡化用戶的網絡安全架構。

 

 


 

     銥迅下一代防火牆系統采用了全新的高性能單路徑異構并行處理引擎。該産品在多年的安全領域經驗積累基礎上,總結分析用戶的切身需求,是一款全新的可以全面應對應用層威脅的高性能防火牆。它集防火牆、入侵防禦、病毒防禦、負載均衡、流量控制等多種安全技術于一身,同時為用戶提供入侵記錄查詢、流量統計、日志審計功能。銥迅下一代防火牆系統通過深入洞察網絡流量中的用戶、應用和内容,并借助NGFW能夠為用戶提供有效的應用層一體化安全防護,幫助用戶安全地開展業務并簡化用戶的網絡安全架構。廣泛适用于“政府、金融、運營商、公安、能源、稅務、工商、社保、交通、衛生、教育、電子商務”等所有涉及網絡應用的各個行業。






防火牆


靈活的訪問控制機制:“迅下一代防火牆系統”可以實現基于源/目的IP地址、源/目的端口、時間的精細粒度的訪問控制。

 

網絡地址轉換功能:“銥迅下一代防火牆系統”擁有強大的地址轉換能力,同時支持源地址轉換、目的地址轉換和靜态地址映射,并支持一對一、多對一、多對多的動态地址轉換功能,能為用戶提供完整的地址轉換解決方案。

源地址轉換用于使用保留IP地址的内容網用戶通過“銥迅下一代防火牆系統”訪問互聯網時的地址轉換。對互聯網來說,訪問全部都是來自于“銥迅下一代防火牆系統”轉換後的地址,并不認為來自内部網絡的某個地址,能夠有效的隐藏内部網絡的拓撲結構等信息。同時内部用戶共享使用這些轉換地址,自身使用私有地址就可以正常訪問互聯網,有效解決了全局IP不足的問題。

内部網絡如果有對互聯網提供服務(如Web、FTP服務等)的服務器,可以使用目的地址轉換功能,将服務器自身的私有地址和服務端口通過“銥迅下一代防火牆系統”進行轉換。互聯網用戶訪問的為經過“銥迅下一代防火牆系統”轉化後的地址和端口,這樣可以有效的隐藏内部服務器信息,對服務器進行保護。

靜态地址映射提供内部網絡和外部網絡的單個地址對單個地址的一對一的地址映射,可以實現數據的雙向流動。


入侵防禦


“銥迅下一代防火牆系統”内置了多種默認安全規則集,規則涵蓋操作系統、數據庫、WEB、網絡設備、網絡協議等各個層面,用戶也可以根據需要進行自定義。用戶可通過靈活的規則制定,來建立控制粒度為單個IP的防護策略。
“銥迅下一代防火牆系統”提供一種主動的、實時的防護,其設計旨在對常規網絡流量中的惡意數據包進行檢測,阻止入侵活動,預先對攻擊性的流量進行自動攔截,使它們無法造成損失,而不是簡單地在監測到惡意流量的同時或之後發出警報。入侵防禦系統是通過直接串聯到網絡鍊路中而實現這一功能的,即入侵防禦系統接收到外部數據流量時,如果檢測到攻擊企圖,就會自動地将攻擊包丢掉或采取措施将攻擊源阻斷,而不把攻擊流量放進内部網絡。


病毒防禦
“銥迅下一代防火牆系統”具備高效、靈活的防病毒能力,實現針對HTTP、UDP、TCP、ICMP、SMTP、FTP等多種協議的病毒流量監測和控制,第一時間完成對木馬病毒、蠕蟲病毒、宏病毒,以及腳本病毒的查殺,控制或消除上述威脅對系統的危害。


負載均衡




鍊路負載均衡:當内網和外網之間存在多條鍊路時,通過“銥迅下一代防火牆系統”鍊路負載均衡功能可以實現在多條鍊路上分擔内網用戶訪問外網服務器的流量。“銥迅下一代防火牆系統”鍊路負載均衡技術通過動态算法,能夠在多條鍊路中進行負載均衡,算法配置簡單,且具有自适應能力。同時,“銥迅下一代防火牆系統”提供了相應的策略設置以供用戶自定義源/目的IP的鍊路選擇。

 

服務器負載均衡:服務器負載均衡可以高效地使由多個獨立計算機組成的松耦合的服務系統構成一個虛服務器;客戶端應用程序與服務系統交互時,就像與一台高性能、高可用的服務器交互一樣,客戶端無須作任何修改。部分服務器的切入和切出不會中斷服務,而用戶覺察不到這些變化。


“銥迅下一代防火牆系統”通過調度算法,将客戶端請求合理地均衡到後端各台服務器上,消除系統可能存在的瓶頸。同時,通過健康性檢測功能,能實時監測應用服務器的狀态,保證在部分硬件和軟件發生故障的情況下,整個系統的服務仍然可用。


“銥迅下一代防火牆系統”支持以下五種調度算法:

靜态輪詢:将外部請求按基于權重輪流分配到集群中的真實服務器上,它均等地對待每一台服務器,而不管服務器上實際的連接數和系統負載;

動态輪詢:根據真實服務器的實時狀态來分配請求,這樣可以保證處理能力強的服務器能處理更多的訪問流量,設備可以自動問詢真實服務器的負載情況,并動态地調整其權值;

 

最小鍊接優先:通過“最小連接"調度算法動态地将網絡請求調度到已建立的鍊接數最少的服務器上,如果集群系統的真實服務器具有相近的系統性能,采用“最小連接"調度算法可以較好地均衡負載;

源IP哈希:根據請求的源IP地址,作為散列鍵(HASH KEY)從靜态分配的散列表找出對應的服務器,若該服務器是可用的且未超載,将請求發送到該服務器,否則返回空;

 

URL哈希:URL HASH架構對URL進行一次HASH算法,然後通過HASH結果找到對應的服務器。因為針對單一個URL的HASH結果是一樣的,所以理論上這個URL會被永久分配到固定的一台服務器上。另外因為經過了hash算法,所以分配URL就很均勻,同時訪問量也可以達到均衡。


流量監測與流量控制

流量監測:“銥迅下一代防火牆系統”可辨識HTTP、FTP、P2P、DNS、SSH、TCP、UDP等多種協議。同時,允許用戶修改流量監測策略,提供了人性化的技術支持手段的危害。



流量控制:“銥迅下一代防火牆系統”提供流量控制功能,可控制單個IP地址或地址段的上、下行帶寬,帶寬的限制可以針對到協議級。通過以上功能,阻斷一切非授權用戶流量,管理合法網絡資源的利用,有效保證關鍵應用全天候暢通無阻,通過保護關鍵應用帶寬來不斷提升企業IT産出率和收益率。



UTM與下一代防火牆的區别

現代基于DPI技術的防火牆類産品中會大量使用特征碼匹配功能,随着網絡應用和攻擊類型的爆炸式增加,這裡特征碼越來越多。處理的性能和延時也受到嚴重影響。雖然采用了多核處理器并行處理技術,但是随着的網絡流量的急劇擴容,簡單的特征碼匹配加多核處理器的方案也力不從心了。
鑒于當前防火牆技術的功能單一性,産生了UTM(Unified Threat Management),安全網關。UTM設備具備防火牆(FW)、入侵防禦(IPS)、防病毒(AV)、應用層防護、流量控制等功能,此項技術屬于補丁式的設備堆疊,其部署效果如下圖所示:


此解決方案存在投資高、維護成本高、效率低、維護複雜等缺點,尤其是多種功能的“串糖葫蘆式”的疊加,對于UTM來說,性能是最大的瓶頸。
因此,出現了下一代防火牆技術:

下一代防火牆對比UTM最大的核心技術點就是高性能單路徑異構并行處理,簡單描述即UTM采用多種功能堆疊,串行處理,數據包多次檢測的技術,如下圖:




而下一代防火牆技術采取單次解析、多核并行處理的技術,大大提高了設備的處理能力。