| 1、智能防禦 |
| |
系統自動統計、分析通過防火牆的各種連接數據,探測出攻擊者,立即斷開該主機與內網的任何連接,並將其IP地址列入黑名單,還會根據用戶要求對其進行反向拍照,保護內網所有主機的安全。 |
| |
| 2、自動反掃描 |
| |
本系統在內核設計中引入自動反掃描機制,以最快的速度發現掃描器,即時斷開其連接,並將該IP地址列入黑名單,在一定時間(約三分鐘)內,該主機無法再對防火牆系統和防火牆保護的內網進行任何訪問。 |
| |
| |
| 3、零積累DDoS智能識別防禦技術 |
| |
為本公司專利技術,處於國際領先地位,不但能有效識別、吸收各種SYN攻擊包,而且徹底解決了積累問題,能有效抵擋50M帶寬以上的Synflood變IP攻擊包。 |
| |
| 4、蜜罐(攻擊陷阱)技術 |
| |
蜜罐,是網絡安全界的前沿技術,藍盾蜜罐能虛擬WWW、FTP、SMTP、TELNET等網絡服務,引導黑客對其進行攻擊,同時對黑客的整個攻擊過程進行 、記錄,為進一步對黑客的追蹤、取証提供了有力的線索和証據,這樣,黑客在攻擊真正目標前已提前落網。 |
| |
| 5、反向拍照技術 |
| |
一般防火牆只能記錄下攻擊者的IP地址,對黑客的身份一無所知,而藍盾防火牆不但能記下黑客的IP,還能給黑客拍一個“全身照”,將黑客主機的特征信息(如主機名、用戶名、MAC、操作系統名稱、版本號、開放的端口、服務等)全部記錄下來,防止黑客事後抵賴。 |
| |
| 6、服務器監控技術 |
| |
通過配套的服務器監控軟件,能實時監控服務器上進程、註冊表、日誌、開放端口、網絡連接等重要信息,一發現有異常,會立即報警,並通知出口防火牆進行攔截。 |
| |
| 主要功能模塊說明: |
| 平台支持: |
| |
採用專用硬件平台與專用的安全操作系統。 |
| |
| 自動反掃描: |
| |
採用基於操作系統內核的會話檢測技術,在內核設計中具有自動反掃描機制,能以最快的速度發現掃描器,即時斷開其連接,並將該IP地址列入黑名單,在一定時間內,該主機無法再對防火牆系統和防火牆保護的內網進行任何訪問。 |
| |
| 智能防禦: |
| |
能同時支持多個公網出口,按管理員制定的策略對出網數據進行分流;並具有物理斷開功能,在緊急情況下,可斷開任一網絡接口的連接,即時中止該網絡接口的任何通信。 |
| |
| 聯動功能: |
| |
具有聯動功能,能夠與IDS入侵檢測產品進行聯動。 |
| 自動反掃描: |
| |
本系統在內核設計中引入自動反掃描機制,以最快的速度發現掃描器,即時斷開 其連接,並將該IP地址列入黑名單,在一定時間(約三分鐘)內,該主機無法再對防 火牆系統和防火牆保護的內網進行任何訪問。 |
| |
| 安全服務器(SSN)保護: |
| |
提供安全服務器區。 |
| |
| 零積累DDoS智能識別防禦: |
| |
零積累DDoS智能識別防禦: 為本公司專利技術,處於國際領先地位,不但能有效識別、吸收各種SYN攻擊包,而且徹底解決了積累問題,能有效抵擋50M帶寬以上的Synflood變IP攻擊包。可阻止ActiveX、Java、Javascript入侵。 |
| |
| 防蠕虫病毒攻擊: |
| |
防火牆有一內置病毒防禦模塊,並附帶有病毒特征庫,能有效過濾、攔截各蠕虫病毒傳染、攻擊包,保護內網主機的安全。 |
| |
| 防變種DDoS攻擊: |
| |
能分析出各種變種DDoS攻擊包,自動進行有效防禦。 |
| |
| 防內部攻擊: |
| |
防禦內網用戶因中毒等原因發起的對出口和外網的攻擊,無論防火牆工作在NAT模式還是透明模式,都能保証有效識別、攔截、吸收掉內網發起的攻擊包,不為攻擊者建立攻擊通道,保証網絡的暢通。 |
| |
| 先進的蜜罐(攻擊陷阱)技術: |
| |
蜜罐,是網絡安全界的前沿技術,藍盾蜜罐能虛擬WWW、FTP、SMTP、TELNET等網絡服務,誤導黑客對其進行攻擊,同時對黑客的整個攻擊過程進行 、記錄,為進一步對黑客的追蹤、取証提供了有力的線索和証據,這樣,黑客在攻擊真正目標前已提前落網。 |
| |
| 支持TCP標誌位檢測: |
| |
通過對TCP標誌位(如SYN、ACK等標誌位)的檢測,可以判別出連接的發起方,分辨出該連接是由內網發起,還是由外網發起的,防止外網黑客通過低端常用服務端口向內網主機的高端口發起連接,從而攻擊內部主機。 |
| |
| 支持多種身份認証方式: |
| |
支持OTP 、S/KEY 、SECUREID 、TACACS/TACACS+、CA、RADIUS/RADIUS+遠程訪問認証、PKI、PAP口令認証、CHAP、口令方式、數字証書等當前各種常用的身份認証協議。 |
| |
| 支持RADIUS認証: |
| |
防火牆可以和現有的RADIUS認証服務器接口,實現出網認証。內網用戶通過防火牆配套客戶端認証軟件,與防火牆握手通訊,向防火牆提交認証信息,防火牆通過Radius協議訪問第三方認証服務器,檢驗用戶的口令,並確認用戶的訪問權限。 |
| |
| 分組透明代理: |
| |
對高層應用服務(如:HTTP、FTP、SMTP、POP3、NNTP等)進行分組透明代理。 |
| |
| 基於時間的訪問控制: |
| |
可設置、限制內網用戶的上網時間段,節約資源及減少風險。 |
| |
| 支持遠程集中管理: |
| |
可在不同的地點、不同的操作系統對防火牆進行配置集中管理。防火牆通過數字証書認証、管理主機地址認証、端口控制鑰匙等完善的認証措施與管理信息的加密傳輸,實現全局防火牆設備的集中管理。實現統一的安全策略部署,保証各環節安全策略的一致性,提供了整個系統的安全強度。 |
| |
| 獨特管理端口軟鑰匙控制技術: |
| |
防火牆的管理端口經常成為黑客攻擊的目標,為增強防火牆自身的安全性,用隨機配置鑰匙軟件才能打開管理端口,提高安全。 |
| |
| 內核級URL過濾: |
| |
防火牆採用獨特的內核級URL過濾技術,它能自動提取帶有URL信息的數據包,對該類數據包進行深層分析、過濾,不但過濾效率比代理方式的URL過濾高,而且對通過外網代理PROXY的非法URL也能有效攔截。 |
| |
| 內核級文件過濾: |
| |
可對一些重要的文件讀寫進行限制,如內網主機的賬號文件。避免因管理員疏忽而引起的信息洩漏。 |
| |
| 文件下載類型限制: |
| |
系統能對管理員設定的文件類型的下載和傳輸進行攔截,阻止下載電影等占用出口帶寬的大數據量文件,保証主要業務數據的暢通。 |
| |
| 內容安全過濾: |
| |
對網頁中的有危害腳本、 內容、反動內容等進行限制,保証內網的安全和用戶健康上網。 |
| |
| 非健康信息過濾庫: |
| |
內置一過濾數據庫,能有效攔截常見的十三萬個黃色、反動站點,禁止內網用戶瀏覽不健康的內容。 |
| |
| 支持多種工作模式: |
| |
支持路由模式、透明(橋接)模式、混合模式(路由與透明兩種模式同時工作)。 |
| |
| 支持多出口分流: |
| |
能同時支持多個公網出口, 按管理員制定的策略對出網數據進行分流。 |
| |
| 支持GUI管理: |
| |
支持SSH或WEB的遠程方式管理。 |
| |
| 支持SNMP協議: |
| |
支持SNMP集中管理與監控,即支持第三方網管軟件查詢防火牆工作狀態信息。防火牆作為網絡中的安全設備,對SNMP協議的支持會為網管員帶來很大便利。 |
| |
| 支持802.1Q VLAN Trunk協議: |
| |
支持802.1Q VLAN Trunk協議,Trunk通過一個單獨的物理線路負載多個VLAN的數據通信,允許你在網絡內擴展多個VLAN。 |
| |
| 完整的H.323協議族支持: |
| |
H.323標準是為在網絡上實現多媒體業務(實時的語音、視頻和數據)而
制定的,支持H.232協議族,順利實現多媒體業務。 |
| |
| 支持IGMP協議: |
| |
支持多播IGMP協議,完成多播用戶管理。 |
| |
| 內嵌高加密強度VPN 模塊: |
| |
系統內嵌有一VPN模塊,全面支持IPSEC、L2TP、PPTP等協議,支持DES、3DES(168bit)、Blowfish、IDEA等加密算法和MD5、RSA、SHA等認証算法,提供高強度的加密認証能力。 |
| |
| 移動 VPN 客戶端: |
| |
系統配套有一VPN客戶端軟件,通過該軟件,可與防火牆中的VPN 模塊進行連接、協商,自動構建 VPN 通道,實現遠程加密通信。 |
| |
| 豐富的日誌與強大的安全審計能力: |
| |
深層日誌及分析功能,支持日誌的自動導出與分析,支持防火牆配置文件的導入與導出。 |
| |
| 獨特的服務器監控分析模塊: |
| |
通過配置的分析軟件監控服務器上進程、日誌、連接、開放端口、註冊表等信息,一發現有異常變化,立即通知防火牆進行攔截、報警。 |
| |
| 雙向網絡地址轉換: |
| |
系統支持動態、靜態、雙向的NAT,並支持“一對一”的地址轉換。 |
| |
| 物理斷開功能: |
| |
在藍盾防火牆的每個網絡接口都內置有一個物理開關,可控制斷開任一網絡接口的連接,終止在該接口處的任何數據通信。 |
| |
| 支持防火牆雙機熱備份與負載均衡: |
| |
通過主、備防火牆進行雙機熱備份,使一台防火牆出現故障時,另一台防火牆進入正常工作。 |
| |
| 負載均衡: |
| |
藍盾防火牆可以支持一個服務器陣列,這個陣列經過防火牆對外表現為單台的機器,防火牆將外部來的訪問在這些服務器之間進行均衡,同時可以識別出故障的服務器。 |
| |
| 系統架構: |
| |
模塊化、插槽式的系統架構。 |
| |
| 流量控制: |
| |
對用戶訪問帶寬進行分配及限制。 |
| |
| 反向拍照技術: |
| |
一般防火牆只能記錄下攻擊者的IP地址,對黑客的身份一無所知,而藍盾防火牆不但能記下黑客的IP,還能給黑客拍一個“全身照”,將黑客主機的特征信息(如主機名、用戶名、MAC、操作系統名稱、版本號、開放的端口、服務等)全部記錄下來,防止黑客事後抵賴。 |
