奇安信网神SecGate3600防火墙是一款能够全面应对传统网络攻击和高级威胁的创新型防火墙产品,可广泛运用于政府机构、各类企业和组织的业务网络边界,实现网络安全域隔离、精细化访问控制、高效的威胁防护和高级威胁检测等功能。该产品在下一代防火墙基础上超越性的集成了威胁情报、大数据分析和安全可视化等创新安全技术,并通过与网络威胁感知中心、安全管理分析申心、终端安全管理系统等的智能协同,为用户在网络边界构建数据驱动的新一代威胁防御平台。
智慧防御一一全面防护网络攻击
通过威胁情报、安全大数据和协同联动等新技术的运用,极大消除传统防御盲区,高效防御并预防病毒、漏洞利用、恶意软件、僵尸网络等主流威胁由网络边界僵入,进而实现全面、高效的业务网络防护。
智慧感知一-及时洞察潜在威胁
基于精准的高级威胁发现能力和配套的可视化工具、平台运用,显著增强网络的全局可见性和网络威胁的感知能力,通过实时洞察威胁态势、防御漏洞和失陷资产,及时发现网内潜伏的异常凤险及高级威胁。
智慧管理一一提升响应处置效率
基于智能化的人机协同设计及配套的管理分析平台,持续助推用户的安全运营落地,大幅降低规模化部暑用户的运维管理成本,避免误配置凤险,并显菩提升快速响应和处置的能力。
基础组网功能力 |
部署模式 |
支持路由模式、透明模式、交换模式、混合模式以及旁路模式接入。 |
路由特性 |
默认路由、静态路由、策略路由、支持RIP、RIPng、OSPF、BGP等动态路由。 |
|
IP协议 |
支持IPV4、IPV6双栈。 |
|
NAT |
支持对源目的地址、端口的转换;包括一对一,一对多,多对一,多对多地址转换方式。 |
|
负载均衡 |
支持基于IP、ISP、应用、用户、服务等的多链路负载均衡,支持DNS流量的负载均衡,支持基于服务器地址的负载均衡;支持IPSec VPN的多链路备份和负载。 |
|
网络服务 |
支持DHCP服务器、DNS透明代理、ARP代理等网络服务。 |
|
VPN |
IPSec VPN、SSL VPN、L2TP、PPTP、GRE、 IPSecVPN支持国密算法。 |
|
虚拟系统 |
支持虚拟系统路由、交换、监控、审计、安全、防护等全隔离。 |
|
高可靠性 |
支持双机热备功能,支持路由和透明模式下的“主-备”、“主-主”模式,支持接口联动,链路探测。 |
|
精细化访问控制 |
访问控制 |
支持基于IP、安全域、VLAN、时间、用户、地理区域、服务协议及应用等多种方式进行访问控制,支持一条安全策略配置应用控制、入侵防护、URL过滤、病毒检测、内容过滤、网络行为管理等高级访问控制功能,并支持安全策略的快速检索,冗余策略分析。 |
应用识别 |
可精确识别7000余种互联网应用,1000余种移动应用,支持应用云识别。 |
|
行为管控 |
支持对HTTP、SMTP、POP3、IMAP、FTP、TELNET协议进行细粒度的控制,过滤不受信任的网络行为。 |
|
用户认证 |
支持基于web的无客户端方式的用户认证,具备集成AD活动目录、LDAP、RADIUS的第三方认证。 |
|
文件过滤 |
不基于后缀名方式实现对文档、压缩、归档三大类共30多种常用文档类型过滤。 |
|
邮件过滤 |
支持对邮件收发件人进行过滤,基于RBL黑名单及自定义IP地址黑名单两种方式的反垃圾邮件支持。 |
|
URL过滤 |
预置86大类URL资源库,可手动离线或自动在线进行更新升级,支持URL云查询,支持云端URL查询分析,支持自定义URL过滤。 |
|
内容过滤 |
实现HTTP、FTP、POP3、SMTP、IMAP五种应用协议的双向内容传输过滤,支持预定义敏感信息库及自定义敏感信息库两种方式进行敏感信息定义。 |
|
带宽管理 |
支持根据IP地址、用户、服务、应用、时间等信息划分虚拟QoS通道进行带宽管理,支持多层级调度类嵌套的最大带宽限制和最小带宽保证。 |
|
一体化威胁防护 |
攻击防护 |
支持攻击防护类型包括:Flood(SYN Flood、ICMP Flood、UDP Flood、IP Flood)、恶意扫描(禁止tracert、IP地址扫描攻击、端口扫描)、欺骗防护(IP欺骗、DHCP监控辅助检查)、异常包攻击(Ping of Death、Teardrop、IP选项、TCP异常、Smurf、Fraggle、Land、Winnuke、DNS异常、IP分片、ICMP管控(禁止ICMP分片、禁止路由重定向报文、禁止不可达报文、禁止超时报文、ICMP报文大小限制)、应用层Flood(DNS Flood、HTTP Flood)、SYN Cookie。 |
病毒防护 |
搭载人工智能引擎,能免疫90%以上的加壳和变种病毒,并支持病毒云查杀技术对HTTP、FTP、SMTP、POP3和IMAP流量进行病毒查杀。 |
|
入侵防御 |
可识别并阻断7000余种漏洞入侵和间谍软件,支持对拒绝服务、缓冲区溢出、恶意扫描、木马后门、病毒蠕虫、僵尸网络、跨站脚本、SQL注入、WEB攻击、弱口令扫描等入侵行为防御,支持生成动态策略。 |
|
可视化智能管理 |
设备管理 |
Web界面(Http、Https)、命令行界面(SSH、Console、CLI)。 |
管理权限 |
支持超级管理员、策略管理员和审计管理员三权分立管理,支持自定义管理员权限。 |
|
网络分析 |
以应用程序、用户、IP地址、国家/地区为主视角,通过字节数、会话、威胁、内容、URL五个维度排名统计,展示用户网络当前的活动状态及策略使用情况定位网络中的异常行为。 |
|
威胁分析 |
以威胁活动、访问恶意URL的主机、访问恶意域名的主机等策略为主视角,关注捕捉到的网络中的高级威胁行为。从而判断内网中是否有失陷主机或安全策略是否存在安全漏洞。 |
|
阻断分析 |
智慧防火墙通过展示应用、用户、威胁、内容、域名、URL的阻断事件,用户可以判断网络中的恶意行为及有问题的用户,也可以判断安全策略中是否存在误拦截正常行为的情况。 |
|
日志输出 |
支持流量日志、威胁日志、域名日志、URL过滤日志等多维度可视化分析和日志外发,支持基于IP、用户、应用等多达90多种过滤条件模糊搜索自定义时间段内的历史日志。 |
|
统计分析 |
支持按应用、IP、用户等类型对相应类型的字节数、会话数进行在指定时间范围内进行排序,支持基于接口、安全域的新建连接数、并发连接数的历史统计。支持基于网络中的流量趋势及增长应用、下降应用、带宽消耗、威胁的排行统计。并支持威胁地图,帮助用户了解网络中威胁基于地理位置的分布的风险。 |
|
监控分析 |
支持会话监控、用户监控、资产监控、路由监控、系统资源监控。 |
|
协同防御 |
终端联动 |
智慧防火墙可以与奇安信天擎终端安全管理系统进行联动,增强防火墙对应用特征及木马特征的识别。 |
天眼联动 |
智慧防火墙支持与天眼的分析平台联动进行高级威胁检测,也支持与天眼的文件威胁鉴定器(沙箱)联动进行文件威胁检测。 |
|
NGSOC联动 |
智慧防火墙支持与NGSOC平台联动,防火墙将日志发送到NGSOC平台进行深度分析,并响应NGSOC平台的处置策略,实现威胁的拦截和防护。 |
|
ITS联动 |
智慧防火墙支持与ITS联动,提高用户认证的安全度。 ??删除 |
|
云端联动 |
智慧防火墙支持与奇安信安全云进行联动,实现病毒云查杀、URL云识别、应用云识别、云沙箱、云端情报推送功能。 |
数据驱动安全创新
充分运用奇安信集团储备丰厚的安全大数据和互联网威胁情报,并与云端、终端安全系统展开智能协同,以数据驱动、协同联动打破传统静态、被动、孤立的防护模式局限性,使安全有效性和防御实时性实现了跨越式提升。
系统架构高效可靠
采用卓越的第四代SecOS操作系统,基于单引擎异步并行处理、管理和数据平面分离政诸多数据处理机制优化,设备可在大流量、复杂场景、多安全功能开启情况下始终保持高性能,并确保在极端条件下依然稳定可靠。
全景式平台化管理
提供丰富的平台化安全管理工具,针对规模化部署场景,通过“安全管理分析中心(SMAC)”、“网络威胁感知中心”等配套平台,可对多达上千台设备实现集中状态监控、统一管理运维、全网分析预警和全局处置晌应。