奇安信网神SecGate3600防火墙系统V3.6.6.0(NSG3300-5680-F)是一款能够全面应对传统网络攻击和高级威胁的创新型防火墙产品,其搭载飞腾、兆芯等卓越的国产化高性能处理器,内置银河麒麟、中标麒麟等高可靠国产化操作系统,采用自主研发的网络处理芯片并深度融合网神自研的第四代SecOS。可广泛运用于政府机构、各类企业和组织的业务网络边界,实现网络安全域隔离、精细化访问控制、高效的威胁防护和高级威胁检测等功能。该产品在下一代防火墙基础上超越性的集成了威胁情报、大数据分析和安全可视化等创新安全技术,为用户在网络边界构建数据驱动的新一代威胁防御平台。
| 产品型号 | NSG3300-5680-F |
| CPU: | 飞腾腾锐D2000(2.3GHz,8核) |
| 操作系统 | 银河麒麟V10 内核4.19.90 |
| 内存: | 32GB |
| 硬盘: | 1TB+4GB |
| 网络接口: | 1个管理口、1个HA口、8个千兆电口、8个千兆光口和12个万兆光口 |
| 整机规格: | 2U机箱 |
| 网络层吞吐量(双向): | IPv4:98699.678Mbps,IPv6:98699.686Mbps |
| 应用层吞吐量(单向): | IPv4:29913.623Mbps,IPv6:29920.431Mbps |
| TCP新建连接速率: | IPv4:70.000万/秒,IPv6:60.000万/秒 |
| TCP并发连接数: | IPv4:3000.000万,IPv6:3000.000万 |
| 基本功能: | 支持透明传输、路由转发模式部署,支持路由设置、高可用性、IPV6网络环境等。提供包过滤、地址转换、状态监测、动态开放端口、带宽管理、连接数控制等网络层访问控制功能: 提供应用类型控制、应用关键内容控制等应用层控制功能;此外还提供拒绝服务攻击防护、恶意代码防护、应用攻击防护等功能。 |
搭载飞腾、兆芯等卓越的国产化高性能处理器,搭载银河麒麟、中标麒麟等高可靠的国产化操作系统,采用自主研发的网络处理芯片并深度融合奇安信自研的第四代SecOS,打造的基于国产化平台的防火墙架构。完全符合自主可控安全可靠的相关要求。
性能优越功能丰富通过多年防火墙领域的技术积累,并结合“PK”体系的生态优势。奇安信国产化新一代智慧防火墙为用户提供最高可达160Gbps的安全处理能力以及基础访问控制、精细化应用控制、高性能威胁防护、失陷检测处置以及可视化关联分析等完备的安全能力。
数据驱动安全创新充分运用奇安信集团储备丰厚的安全大数据和威胁情报,并可与奇安信终端安全系统展开智能协同实现基于终端风险状态的动态访问控制,以数据驱动、协同联动打破传统静态、被动、孤立的防护模式局限性,使安全有效性和防御实时性实现了跨越式提升。
全景式平台化管理通过基于国产化平台的智能安全管理工具,针对规模化部署场景,通过“安全管理分析中心(SMAC)”,可对多达上千台设备实现集中状态监控、统一管理运维、全网分析预警和全局处置响应。
奇安信网神万兆系列防火墙能够很方便地对内部网、DMZ区和互联网进行访问控制,并可以灵活的进行地址转换,支持通过安全策略实现精细化访问控制,提供基于状态检测和应用层之上数据识别的动态包过滤技术,能够对网络中的数据包进行精细化的分类并实现攻击防护。对于内部员工访问外网进行源地址转换,一方面节省了地址资源,同时避免内部网络结构暴露;对于从外网访问内部服务器,进行IP映射和端口映射。有效保障内部网络和DMZ区服务器安全。
奇安信网神SecGate3600防火墙通过部署双机热备,在网络关键位置上部署两台防火墙,提高网络的可靠性。当一台设备故障时,可以通过另一台设备进行通信,保证业务正常运行。双机热备的全冗余组网能够进一步提升网络可靠性,避免多条链路故障时业务中断。支持多种形式的VPN隧道,完全覆盖Client-to-Site和Site-to-Site应用场景。同时,防火墙支持多种类型的6in4隧道,包括手工隧道、isatap、6to4隧道,保证IPv6网络到IPv4网络的访问。防火墙支持在多出口的环境中根据用户实际需求,匹配多种方式的负载均衡算法,包括备份、轮询、源地址哈希、源地址目的地址哈希、目的地址哈希、源地址轮询、最优链路带宽负载、最优链路带宽备份、随机、流量均衡、时延负载、跳数负载等十二种。
奇安信网神SecGate3600防火墙的整体框架采用AMP+架构,是更加优化的多核异步并行处理架构。整体架构分为三大部分:配置管理平面:由CPU0负责处理。控制平面(control-plane):由CPU0负责处理,其中智能分析功能,由CPU1负责处理。数据平面(data-plane):由剩余的CPU平均分配处理。在AMP+架构下,多个平面负责各自不同的任务,实现了分层、独立、异步并发的工作体系。为防火墙系统的性能带来了革命性的提升,配置管理平面、控制平面、数据平面的三层分离,保证了防火墙的整体稳定性及可靠性。防火墙系统采用的AMP+架构对此进行了优化,CPU不再与网口进行绑定,而是由将网卡的收发包队列根据数据平面的CPU个数平均分配到每个CPU上,这样就保证了数据平面CPU的并行度,实现了CPU利用率的最大化,这样可以承载更大的出口大流量
出口部署奇安信网神SecGate3600防火墙,分支机构与总部建立VPN,实现链路互为备份及负载,并实现边界安全隔离及互联网威胁攻击防御,解决多分支互联,业务安全传输的痛点;提升总部/分支一体化防御策略,加强对外部访问的安全控制,对全网流量进行深度威胁检测,并利用本地的威胁情报对可疑行为进行深入分析,阻断病毒扩散、漏洞入侵,并实时预警、阻断高隐蔽性威胁。
某央企局域网内有一万余台终端,三十多个业务系统。由于终端数量众多,没有统一的管理手段,而且使用人员水平也是参差不齐,同时出口处是一台已经运行9年的思科PIX防火墙,基本已经丧失了安全防护效果,导致网络安全问题频发通过智慧防火墙对互联网出口流量进行病毒查杀、漏洞及间谍软件防护、同时利用威胁情报检测内网失陷主机,阻断IOC链接。通过部署奇安信网神SecGate3600防火墙系统一个月内帮助客户定位了将近150台内网失陷主机,并进行了处置,有效抑制了内网恶意流量泛滥的情况。通过智慧防火墙上开启攻击防护,有效抑制了内网问题主机对负载均衡设备的泛洪攻击,保护了老旧的负载均衡设备的稳定运行,为二期项目负载均衡设备替换赢得了时间。
科大讯飞由于科大讯飞信息化建设较早,目前出口的安全网关设备运行时间过长,且只有基础防火墙功能,没有防病毒、入侵防御等高级安全功能,已经丧失了安全防护效果。针对客户面临的问题和提出的要求,我们为科大讯飞制定了以恶意流量过滤和失陷主机检测的安全方案,在科大讯飞总部串接部署高端智慧墙,启用反病毒、入侵检测、应用识别和URL过滤、IOC威胁情报检测等安全功能,对现网流量进行实时的深度检测和过滤。
中南集团中南集团总部数据中心为全体员工提供信息服务。由于当前“勒索”病毒、信息泄漏安全事件频发,用户亟需加强数据中心安全防护能力,特别是针对病毒的防护能力。我们通过在集团总部数据中心部署奇安信新一代智慧防火墙,同时开启防病毒、漏洞防护、文件过滤等安全组件,极大的提升了数据中心新旧机房的安全防护水平。针对病毒防护,同时开启防火墙的云查杀功能,在对未知文件,恶意访问检测时,可依托奇安信安全大数据的能力,领先的威胁情报能力,检测能力较之前大幅提高。
