铱迅第二代防火墙系统

YXLink Next Generation Firewall

产品介绍

铱迅第二代防火墙系统(YXLink Next Generation Firewall,以下简称YXLink NGFW),是一款可以有效解决应用层威胁的高性能防火墙。通过深入洞察网络流量中的用户、应用和内容,并借助高性能单路径异构并行处理引擎,NGFW能够为用户提供有效的应用层一体化安全防护,帮助用户安全地开展业务并简化用户的网络安全架构。

145883700new.jpg

铱迅第二代防火墙系统采用了高性能单路径异构并行处理引擎。该产品在多年的安全领域经验积累基础上,总结分析用户的切身需求,是一款可以有效解决应用层威胁的高性能防火墙。它集防火墙、入侵防御、病毒防御、负载均衡、流量控制等多种安全技术于一身,同时为用户提供入侵记录查询、流量统计、日志审计功能。

铱迅第二代防火墙系统通过深入洞察网络流量中的用户、应用和内容,并借助NGFW能够为用户提供有效的应用层一体化安全防护,帮助用户安全地开展业务并简化用户的网络安全架构。广泛适用于“政府、金融、运营商、公安、能源、税务、工商、社保、交通、卫生、教育、电子商务”等所有涉及网络应用的各个行业。

防火墙

灵活的访问控制机制:YXLink NGFW可以实现基于源/目的IP地址、源/目的端口、时间的精细粒度的访问控制。


网络地址转换功能:YXLink NGFW拥有强大的地址转换能力,同时支持源地址转换、目的地址转换和静态地址映射,并支持一对一、多对一、多对多的动态地址转换功能,能为用户提供完整的地址转换解决方案。


源地址转换用于使用保留IP地址的内网用户,通过YXLink NGFW访问互联网时的地址转换。对互联网来说,访问全部都是来自于YXLink NGFW转换后的地址,并不认为来自内部网络的某个地址,能够有效的隐藏内部网络的拓扑结构等信息。同时内部用户共享使用这些转换地址,自身使用私有地址就可以正常访问互联网,有效解决了全局IP不足的问题。


内部网络如果有对互联网提供服务(如Web、FTP服务等)的服务器,可以使用目的地址转换功能,将服务器自身的私有地址和服务端口通过铱迅第二代防火墙系统进行转换。互联网用户访问的为经过铱迅第二代防火墙系统转化后的地址和端口,这样可以有效的隐藏内部服务器信息,对服务器进行保护。


静态地址映射提供内部网络和外部网络的单个地址对单个地址的一对一的地址映射,可以实现数据的双向流动。


入侵防御


YXLink NGFW内置了多种默认安全规则集,规则涵盖操作系统、数据库、WEB、网络设备、网络协议等各个层面,用户也可以根据需要进行自定义。用户可通过灵活的规则制定,来建立控制粒度为单个IP的防护策略。


YXLink NGFW提供一种主动的、实时的防护,其设计旨在对常规网络流量中的恶意数据包进行检测,阻止入侵活动,预先对攻击性的流量进行自动拦截,使它们无法造成损失,而不是简单地在监测到恶意流量的同时或之后发出警报。入侵防御系统是通过直接串联到网络链路中而实现这一功能的,即入侵防御系统接收到外部数据流量时,如果检测到攻击企图,就会自动地将攻击包丢掉或采取措施将攻击源阻断,而不把攻击流量放进内部网络。


负载均衡


链路负载均衡:当内网和外网之间存在多条链路时,通过YXLink NGFW链路负载均衡功能可以实现在多条链路上分担内网用户访问外网服务器的流量。链路负载均衡技术通过动态算法,能够在多条链路中进行负载均衡,算法配置简单,且具有自适应能力。同时,铱迅第二代防火墙系统提供了相应的策略设置以供用户自定义源/目的IP的链路选择。


服务器负载均衡:服务器负载均衡可以高效地使由多个独立计算机组成的松耦合的服务系统构成一个虚服务器;客户端应用程序与服务系统交互时,就像与一台高性能、高可用的服务器交互一样,客户端无须作任何修改。部分服务器的切入和切出不会中断服务,而用户觉察不到这些变化。


YXLink NGFW通过调度算法,将客户端请求合理地均衡到后端各台服务器上,消除系统可能存在的瓶颈。同时,通过健康性检测功能,能实时监测应用服务器的状态,保证在部分硬件和软件发生故障的情况下,整个系统的服务仍然可用。


YXLink NGFW支持以下五种调度算法:


静态轮询:将外部请求按基于权重轮流分配到集群中的真实服务器上,它均等地对待每一台服务器,而不管服务器上实际的连接数和系统负载;


动态轮询:根据真实服务器的实时状态来分配请求,这样可以保证处理能力强的服务器能处理更多的访问流量,设备可以自动问询真实服务器的负载情况,并动态地调整其权值;


最小链接优先:通过"最小连接"调度算法动态地将网络请求调度到已建立的链接数最少的服务器上,如果集群系统的真实服务器具有相近的系统性能,采用“最小连接"调度算法可以较好地均衡负载;


源IP哈希:根据请求的源IP地址,作为散列键(HASH KEY)从静态分配的散列表找出对应的服务器,若该服务器是可用的且未超载,将请求发送到该服务器,否则返回空;


URL哈希:URL HASH架构对URL进行一次HASH算法,然后通过HASH结果找到对应的服务器。因为针对单一个URL的HASH结果是一样的,所以理论上这个URL会被永久分配到固定的一台服务器上。另外因为经过了hash算法,所以分配URL就很均匀,同时访问量也可以达到均衡。


流量监测与流量控制


流量监测:YXLink NGFW可辨识HTTP、FTP、P2P、DNS、SSH、TCP、UDP等多种协议。同时,允许用户修改流量监测策略,提供了人性化的技术支持手段的危害。


ngfw-1.jpg

流量控制:YXLink NGFW提供流量控制功能,可控制单个IP地址或地址段的上、下行带宽,带宽的限制可以针对到协议级。通过以上功能,阻断一切非授权用户流量,管理合法网络资源的利用,有效保证关键应用全天候畅通无阻,通过保护关键应用带宽来不断提升企业IT产出率和收益率。


UTM与第二防火墙的区别


现代基于DPI技术的防火墙类产品中会大量使用特征码匹配功能,随着网络应用和攻击类型的爆炸式增加,这里特征码越来越多。处理的性能和延时也受到严重影响。虽然采用了多核处理器并行处理技术,但是随着的网络流量的急剧扩容,简单的特征码匹配加多核处理器的方案也力不从心了。


鉴于当前防火墙技术的功能单一性,产生了UTM(Unified Threat Management),安全网关。UTM设备具备防火墙(FW)、入侵防御(IPS)、防病毒(AV)、应用层防护、流量控制等功能,此项技术属于补丁式的设备堆叠,其部署效果如下图所示:


此解决方案存在投资高、维护成本高、效率低、维护复杂等缺点,尤其是多种功能的“串糖葫芦式”的叠加,对于UTM来说,性能是最大的瓶颈。


因此,出现了第二代防火墙技术:


第二代防火墙对比UTM最大的核心技术点就是高性能单路径异构并行处理,简单描述即UTM采用多种功能堆叠,串行处理,数据包多次检测的技术,如下图:


而第二代防火墙技术采取单次解析、多核并行处理的技术,大大提高了设备的处理能力。


功能模块

较为完善的防火墙特性:支持基于源IP、目的IP、源端口、目的端口、时间等方式进行访问控制;支持正向、反向地址转换,能为用户提供完整的地址转换解决方案。


较强的入侵防御能力:庞大的内置安全规则集,涵盖操作系统、数据库、WEB、网络设备、网络协议各个层面;灵活的规则制定机制,用户可自定义规则,建立访问控制策略。


可靠的病毒防御:支持对HTTP、UDP、TCP、ICMP、SMTP、FTP等多种协议的病毒流量监测与控制;支持对木马病毒、蠕虫病毒、宏病毒、脚本病毒的查杀。


可靠的流量监测与控制:可监测HTTP、FTP、P2P、DNS、SSH、TCP、UDP等多种协议;P2P流量控制;对Emule、BitTorrent、Maze、Kazaa等进行阻断、限速;支持对HTTP、VoIP等其他协议的流量控制。


高网络适用性:支持透明、网关、策略路由、旁路等多种部署模式;支持静态路由、策略路由、端口镜像、支持802.1X协议、支持STP。


高稳定性和可靠性:采用多核架构,同时多核之间互为备份;支持私有协议HA和VRRP,实现双机热备和冗余。


全面的统计、日志报表功能:按时间以柱状图的形式,统计入侵行为;实时对接口流量进行监测,可按时间对某一个端口按照不同的协议对流量进行统计和查询;对设备的CPU、内存、磁盘容量进行统计;对入侵类别、拦截原因进行统计;按照源IP、目的IP入侵行为进行统计。


防火墙


灵活的访问控制机制


铱迅第二代防火墙系统可以实现基于源/目的IP地址、源/目的端口、时间的精细粒度的访问控制。


ngfw-2.jpg

网络地址转换功能


铱迅第二代防火墙系统拥有强大的地址转换能力,同时支持源地址转换、目的地址转换和静态地址映射,并支持一对一、多对一、多对多的动态地址转换功能,能为用户提供完整的地址转换解决方案。


ngfw-3.jpg

入侵防御

铱迅第二代防火墙系统提供一种主动的、实时的防护,其设计旨在对常规网络流量中的恶意数据包进行检测,阻止入侵活动,预先对攻击性的流量进行自动拦截,使它们无法造成损失,而不是简单地在监测到恶意流量的同时或之后发出警报。


病毒防御

铱迅第二代防火墙系统具备高效、灵活的防病毒能力,实现针对HTTP、UDP、TCP、ICMP、SMTP、FTP 等多种协议的病毒流量监测和控制,及时完成对木马病毒、蠕虫病毒、宏病毒,以及脚本病毒的查杀,控制或消除上述威胁对系统的危害。


负载均衡

铱迅第二代防火墙系统的支持链路负载均衡和服务器负载均衡,提供了一种廉价、有效、透明的方法扩展网络设备和服务器的带宽、增加吞吐量、加强网络数据处理能力,提高网络的灵活性和可用性。


流量监测与流量控制

铱迅第二代防火墙系统可辨识HTTP、FTP、P2P、DNS、SSH、TCP、UDP等多种协议。同时,允许用户修改流量监测策略,提供了人性化的技术支持手段。


ngfw-4.jpg

部署方式

透明或路由模式

透明网桥模式指在两台运行的设备中间插入YXLink NGFW,整个设备相当于一个网线,对流量并不产生影响。在透明网桥模式下,YXLink NGFW可以阻断、过滤来自2-7层的攻击,而让其他正常的流量通过。透明网桥部署模式的最大特点是快速、简便,可做到即插即用,先部署后配置,不影响现有网络拓扑。

路由模式是修改网络相关路由配置,将YXLink NGFW串接入网络中,实现其防护功能。


策略路由模式

通过配置策略路由,只将需要防护的服务器流量发送到YXLink NGFW。

型号选型

具体信息请联系当地销售或代理商

产品资质

公安部计算机信息系统安全产品质检合格证书

检验合格.jpg

公安部销售许可证

销许6-1.jpg

软件产品证书

产品-1.jpg

国家漏洞库兼容性资质证书(NGFW)

兼容2-1.jpg

国家信息安全产品3C认证

3c2-1.jpg