PDF《任子行 SURF-NGSA 下一代防火墙》

任子行 SURF-NGSA 下一代防火墙 产品白皮书 文档编号 (V1.

0) 密级 内部使用 版本编号 日期 2014-06-04 版权声明 本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属任 子行网络技术股份有限公司所有,受到有关产权及版权法保护.任何个人、机构未经任子行网络技术股份 有限公司的书面授权许可,不得以任何方式复制或引用本文的任何片断. 版本变更记录 时间 版本 说明 修改人 2014-06-04 1.0 白皮书 张志伟 适用性声明 本文档用于描述任子行下一代防火墙的技术白皮书.本模板用于撰写任子行内外各种正式文件,包括技术 手册、标书、白皮书、会议通知、公司制度等文档使用. I /

14 目录 一. 产品概述.2 二. 产品特点.2 三. 关键技术.6 四. 典型部署.10

2 /

14 一. 产品概述 SURF-NGSA是任子行公司基于在互联网内容安全和行为管理领域多年的积累,以及对 下一代防火墙技术的深入研究推出的防火墙系列产品, 旨在为用户提供面向应用安全的高效、 安全、可靠的安全防护.SURF-NGSA防火墙通过多因子身份认证技术,将网络安全、应用 安全、管理安全有机地融合在一起,所采用的多核并行处理技术及单次解析引擎系统架构可 并行处理所有安全防护功能. 任子行NGSA包含第一代防火墙的所有标准功能,即常见的网络功能,如网络地址转换 (NAT)、包过滤和全状态包检测功能.任子行NGSA还集成了网络入侵防御功能,这不仅仅 是在传统防火墙架构上简单添加入侵防御子系统这么简单.任子行NGSA集成的入侵防御功能 是安全引擎的核心组件,无需经多个独立的安全层传输同样的流量,从而提高了性能,增强 了安全性. 任子行NGSA的主要特点是应用感知以及网络堆栈的完全可视化. 任子行NGSA不会像传统 防火墙一样只依靠端口或协议来阻止流量,而是会根据深度包检测引擎识别到的流量在应用 层执行网络安全策略.流量控制不再是单纯地阻止或允许特定应用,而是可用来管理带宽或 优先排序应用层流量.深度流量检测让IT部门可针对单个应用组件执行细粒度策略.例如,可 允许用户使用即时通讯客户端,但禁止文件共享. 动态应对变化多端的威胁是任子行NGSA的另一大重要特点.设备的签名库将不断更新, 用于识别新的威胁,更从容地应对不断升级的恶意软件. 二. 产品特点 ? 突破传统五元组的 八 元组的策略 任子行 NGSA 下一代防火墙在源 IP、目的 IP、源端口、目的端口、协议的基础上,在安 全策略中整合了用户 ID、应用程序 ID、以及内容 ID 等三大因素,形成了独具特色的

8 元组

3 /

14 的策略部署思想,使任子行 NGSA 下一代防火墙能够基于用户身份实现 IPS、AV、URL 过滤、 DOS/DDoS 防护及应用识别等多种安全特性,从而构建了全方位、立体化的安全防御体系. ?

20 大类超

2300 种应用识别 任子行 NGSA 下一代防火墙密切贴近国内用户使用习惯,内置

20 大类超过

2300 种应用 类别数据库,支持包括 P2P 下载、VoIP、Web/Web 2.0 应用、Web 即时通讯、安全更新、 代理和 VPN 软件、股票软件、即时通讯、流媒体、社交网络、数据库、私有协议、通讯网络 协议、通用网络软件、网络管理、文件传输、移动应用、邮件和协同软件、游戏、远程控制 在内的