第二代防火墙
产品概述
长扬科技第二代防火墙是面向移动互联时代的全面保障L2-L7安全的新一代应用安全网关产品。产品基于通用X86多核硬件平台和飞腾、龙芯等国产化硬件平台,结合单路径并行处理的用户识别、应用识别和安全检测引擎,实现对用户、应用和内容的深入分析,为用户提供高性能、可视化、精准有效的应用层一体化安全防护体系。长扬第二代防火墙以用户识别、应用识别为基础,提供应用层防火墙、入侵防护、防病毒、反APT、VPN、智能带宽管理、多出口 链路负载均衡、内容过滤、URL过滤等多重安全功能。产品提供云向接口,基于大数据平台架构的安全云管理平台可实时监控网络 拓扑和设备状态,通过自动配置下发有效简化专业设备的上线部署难度,移动端的实时监控降低维护成本的同时更让安全随时随地可见是新一代网络安全防护的最佳选择。
客户价值
工业控制系统互联网边界防护和工业控制系统内部安全域间隔离,满足等级保护中的边界访问控制技术要求;
工业控制系统内部应根据业务特点划分为不同的安全域,安全域之间应采用技术隔离手段;
在网络边界根据访问控制策略设置访问控制规则,保护内部网络免受来自外部的安全威胁。
产品特点
高性能
长扬第二代防火墙基于通用X86多核硬件平台和飞腾、龙芯等国产化硬件平台,结合自主研发的工控安全操作系统,采用攻击特征库、病毒库树形存储、流扫描处理、零拷贝并行流处理等高效的防御技术,整个解析过程一次拆包,确保开启多重防护功能后依然保证高速度、低时延的安全防护。
虚拟化灵活扩展
长扬第二代防火墙支持虚拟化技术,自研工控安全操作系统可以运行在KVM、XEN、Vmware等开源虚拟系统之上,CPU、内存、接口、存储等核心资源全部独立分开,实现真正的资源隔离和管理隔离,根据虚拟资源的分配可以灵活的实现性能提升和平台扩展,是虚拟化和云系统的最佳安全实践。
一体化安全引擎
长扬第二代防火墙为客户提供基于用户和应用的一体化安全防护,用户身份验证和4到7层的安全防护并行完成,让安全多维度,无死角。匹配数通引擎的数据经过一体化引擎可以根据用户设定并行通过威胁入侵检测、病毒扫描检测、web安全分类以及内容过滤引擎,有效阻止木马、蠕虫、SQL注入、XSS攻击和溢出攻击等,保障文件传输安全,阻断对不良站点和非法链接的访问,并基于内容分析作出防范。
精确上网行为管理与审计
长扬第二代防火墙将用户和应用作为安全防护的核心维度,采用先进的用户识别和应用识别技术,实现对用户和应用的精细管控和行为审计。
系统支持基于IP/MAC绑定、Radius、LDAP认证,Portal认证 等多种身份识别方式。支持上千种网络应用软件的识别和精确控制,包括主流应用、高风险应用和移动终端热点应用,通过对应用行为和内容的深入分析进行更加精细化和准确的管控,使网络管理更贴近用户预期。
全面的入侵防御
长扬科技经过多年在网络安全领域沉淀和积累,打造了一支资深的攻击特征库团队和安全服务团队,随时关注业界最新发现的安全漏洞和接收全球用户反馈的攻击特征,并在第一时间做出响应和提供更新,实时完善攻击特征库,提供最及时、最全面的入侵防御。系统支持超过3000种预定义攻击特征,可实时在线更新,有效防护蠕虫、SQL注入、溢出等攻击,保证基础网络安全,通过分级事件及操作配置和虚拟补丁管理创造以人为本网络。
APT攻击防御
长扬第二代防火墙与业界威胁情报分析厂商合作,在设备上提供入侵攻击特征库、病毒特征库和恶意网址库,配合先进的检测引擎,能够精准识别并阻断攻击行为,对于未知威胁和APT事件,则提交云端威胁分析系统,进行高级模拟分析,共享其检测结果和特征升级,为用户信息系统免遭互联网病毒侵扰打造全面立体的防护。
智能带宽管理
长扬第二代防火墙能够全面识别互联网常见应用,包括经常造成带宽滥用、工作效率降低的P2P下载、IM及时通讯、在线视频、炒股、游戏等。将长扬第二代防火墙部署于网络的出口,可以有效地遏制各种应用抢夺宝贵的带宽和IT资源,从而确保网络资源的合理配置和关键业务的服务质量,显著提高网络的整体性能。
独立的VPN模块
长扬第二代防火墙内置专用的硬件VPN模块,支持GRE、IPSec、SSL 等多种VPN业务模式,支持多种平台移动终端VPN接入。 支持对VPN隧道内的数据流进行管理,规范VPN隧道内上网行为并消除管理盲区。通过配置长扬统一安全管理软件,可对零散的VPN分支做集中式管理,可实现统一配置下发、告警集中处理、统一日志上报,有效减少管理员工作量。
灵活方式组网
长扬第二代防火墙支持MCE \IPSEC、802.1Q、GRE、VPN track等网络特性,并支持PPPoE、DHCP、Vlan、Trunk等多种接入方式,可以灵活部署在路由模式、透明模式和混合模式的网络中。系统支持IPv4/IPv6双协议栈,支持NAT64、NAT46、NAT66等地址转换技术,可以方便的部署在v6、v4网络边界,为更新升级过程中的网络提供安全方案。
配置维护简洁
长扬第二代防火墙的安全策略采用集中展示,独立配置,一体化检测的方案,为用户提供清晰可见的策略展现,最大程度的提升用户配置和查看的体验。防火墙策略、应用控制策略、审计策略、安全防护策略、入侵检测策略、防病毒策略、VPN策略、流控策略集中展示,独立配置, 管理者可以根据不同的管控需求,为不同的用户定制不同的管理策略,灵活方便,维护简单,条理清晰,效果良好。
高可靠性
长扬第二代防火墙支持双机热备、VRRP和软硬件bypass功能,不会成为网络瓶颈和故障点,确保网络高可靠性。当设备CPU、内存等参数高于一定阈值时,自动bypass设备,让整个设备变为纯透明转发,保证业务不中断。
应用场景
工业控制系统互联网边界防护
第二代防火墙部署于工业控制系统网络与互联网的出口,实现等级保护中的边界访问控制技术要求。
在网络边界根据访问控制策略设置访问控制规则,默认情况下除允许通信外受控接口拒绝所有通信;
删除多余或无效的访问控制规则,优化访问控制列表,并保证访问控制规则数量最小化;
对源地址、目的地址、源端口、目的端口和协议等进行检查,以允许/拒绝数据包进出。
工业控制系统内部域间隔离
第二代防火墙部署于生产执行层和过程监控层边界,通过防火墙的多安全域隔离功能实现工业控制系统网络不同生产单元之间的边界隔离与访问控制。
工业控制系统内部应根据业务特点划分为不同的安全域,安全域之间应采用技术隔离手段;
在工业控制系统与企业其他系统之间部署访问控制设备,配置访问控制策略,禁止任何穿越区域边界的E-Mail_ Web、Telnet、Rlogin、FTP等通用网络服务;
在工业控制系统内安全域和安全域之间的边界防护机制失效时,及时进行报警。
