产品亮点
CT-NGFW支持多种形态部署方式,根据客户的使用场景,可以提供基于硬件平台的整机部署,也可以提供通用服务器的软件部署,亦可以提供基于虚拟化环境下的虚机部署。
CT-NGFW统一安全引擎ISE(Integration Security Engine)的一次扫描提取报文的信息会根据开启的深度扫描功能动态调整,避免不必要的资源消耗。
CT-NGFW应用安全业务策略的下发和存储采用二叉树的形式,使其多条策略的匹配效率变得高效。
相对于传统防火墙的五元组安全策略,瓷器活下一代防火墙安全策略增加了身份、应用、内容三个维度,一条策略可同时对网络特性、应用协议和报文内容进行匹配,减少了策略配置条目,大大降低了维护成本。
除了感知五元组外,CT-NGFW还可以统计和控制报文的分片状态、TOS值、TTL值、TCP状态、会话数等。
CT-NGFW支持本地认证、Radius认证、Tacacs+认证、CA 认证、LADP/AD 认证等多种用户认证方式,并可对用户进行分类管理和执行安全策略。可识别和提取用户应用登陆账号信息,如QQ账号等。
通过智能化应用识别技术,依据应用流量的内容特征、行为特征以及历史关联信息等因素,CT-NGFW可识别1000多种网络常见应用, 其中包括加密的应用以及200多种移动应用。
基于关键字过滤和URL过滤功能,CT-NGFW实现了对报文内容的全面识别控制。除非压缩页面外,CT-NGFW可过滤gzip、inflate、trunk等压缩内容,并支持各种现有的字符集,关键词之间支持或/与的组合过滤,使报文内容无法遁形。
在传统的UTM设备中,与处理引擎相对独立一样,配置管理界面中各功能配置也是相对独立的,在配置完成防火墙策略配置后,要启动入侵检测就要到IPS配置页面配置,要启动应用识别要要到应用控制页面配置,等等。这就对维护UTM的技术人员提出了很高的技术要求,无法满足设备配置人性化需求。
CT-NGFW提供了一站式配置界面,并且功能模板化,可用通过配置向导,简单点击选择,拥有简单网络知识的运维人员就可以在几分钟内完成专业的网络和策略配置。
CT-NGFW采用融合的DPI(Deep Packet Inspection,深度包检测)和动态流识别技术,结合协议特征、流量特征以及行为模式识别技术,对网络访问应用精确识别,包括各种加密协议。
CT-NGFW中已预置超过1000多种热门应用协议的特征库,精准识别管理各种应用协议,随心所欲控制,省心、放心。覆盖传统协议、即时通讯、电子邮件、网络游戏、P2P下载、网络视频、股票软件、流媒体、网络电话、网盘、手机类应用等应用。能限制BT\迅雷\PPLIVE\电驴等P2P软件,封锁多种主流炒股软件。
在网络内部,可能存在用户带宽分配不均、被病毒感染主机发生异常流量的情况,需要带宽划分,连接数控制等手段解决。另一方面,对于高优先级流量——实时语音、邮件、重要领导等需要专门的带宽保证措施。
CT-NGFW智能流量管理模块实现了8层通道、基于通道优先级进行差分化服务、保证带宽等特性,用户可以结合应用识别、3A用户管理等模块去细粒度、精准地控制流量,从而优化出口带宽,保证关键业务的通畅并使带宽得到充分高效地利用。
基于模式匹配、异常检测、统计分析等入侵检测和协议分析技术,CT-NGFW可阻挡各种入侵攻击,如蠕虫、木马、间谍软件、广告软件、缓冲区溢出、扫描、非法连接、SQL注入、XSS跨站脚本等攻击,攻击特征库可在线更新或离线更新。
鉴于DDoS攻击发起容易,攻击效果直接,导致DDoS攻击越来越普遍。DDoS攻击发生时,缺少抗DDoS攻击功能或此功能不完善的网关会出现无法提供服务。基于特征比对、状态监测、连接数限制等多种DDoS攻击识别清洗技术,CT-NGFW可清洗各种网络层至应用层的DDoS攻击流量,如SYN/SYN ACK/ACK Flood、HTTP get flood、DNS query flood、CC等。
