下一代防火墙

       随着社交网络、云计算、大数据等新热点的出现，互联网迈向了历史上从未有过的繁荣阶段，随之所面临的信息化安全问题日益复杂。面对层出不穷的应用层威胁与未知威胁，“下一代防火墙”应时而生。

        交大捷普从市场实际需求出发，结合多年的技术积累与“下一代防火墙”的发展趋势，推出全新下一代防火墙。捷普下一代应用防火墙面向大中企业和数据中心，通过对应用、用户、内容、威胁、时间、位置等维度的全面感知，提供多维度的应用层监控与分析，帮助用户掌握风险，精准预警。IPS、防病毒、内容防泄漏、垃圾邮件过滤、WEB应用防御、僵尸网络阻断等应用层深度防御与应用识别相结合，有效提高了威胁防御的效率和准确性。智能配置优化技术大大降低下一代防火墙的整体运营成本。同时，采用功能统一引擎和多核并行处理技术，有效提升了业务处理能力，满足大型网络的实际防护需求，持续、简单、高效地提供下一代网络安全服务。

1.  产品特点

⑴  最全面的安全防护能力

       越来越多的信息资产连接到了互联网上，网络攻击和信息窃取形成巨大的产业链，这对下一代防火墙的防护范围提出了更高要求，捷普下一代防火墙具备最全面的安全防护能力：

• 全面防护：集传统防火墙、入侵防御、防病毒、数据防泄漏、僵尸网络防护、垃圾邮件过滤、WEB攻击防御、DDoS攻击防护、带宽管理、上网行为管理等功能于一身，简化部署，提高管理效率。

• 
  

• 入侵防护：超过4000种漏洞特征的攻击检测和防御，端口扫描检测和C&C通道检测极大降低命令控制和数据窃取的可能性；

• 
  

• 防病毒：高性能病毒引擎，基于文件和流2种扫描方式，可防护百万级的病毒、木马和恶意软件，病毒特征库本周更新；

• 
  

• WEB攻击防护：HTTP协议校验、WEB服务器/插件、漏洞、爬虫等专业应用层防御手段保护HTTP协议，禁止非法上传防护和下载；

• 
  

• 僵尸网络防护：通过80/8080端口和异常协议检测机制避免感染bot程序，及时切断内网“僵尸主机”与黑客的连接；

• 
  

• 邮件防护：精准防护邮件炸弹，邮件等级三级标记/隔离、超大邮件/过期邮件直接丢弃等专业处理确保内网邮件安全无虞；

• 
  

• 数据防泄漏：对传输的文件和内容进行识别过滤，可识别160+中常见文件类型，识别常见文件的真实类型和内容，防止企业关键信息通过文件泄露；

• 
  

• Anti-DDoS：可以识别和防范SYN flood、UDP flood等数十种DDos攻击，通过单包攻击防护、攻击阀值设置、攻击紧急状态和自学习检测清洗4个方面全面抵御DDos攻击。

• 
  

• 上网行为管理：内置1000万预定义URL分类库，精确阻止员工访问恶意网站带来的威胁，可对员工发帖、FTP等上网行为进行控制和审计；

• 
  

• 用户认证：支持本地、Radius、Tacacs、AD域、POP、LDAP等6种认证方式识别用户，同时支持操作系统版本、文件、进程等6种认证检查方式，应对移动化办公趋势，保证终端安全准入；

• 
  

• QoS管理：基于应用灵活的3级通道带宽嵌套机制对流量进行控制处理，优先级高的通道在所属线路带宽不足时优先获得设置的保障带宽，在所属线路带宽富裕的情况下优先获得最大带宽；

• 
  

• 安全互联：丰富的VPN特性，确保企业总部和分支机构之间高可靠安全互联。支持IPsec VPN、SSL VPN、L2TP VPN、PPTP、GRE等；

• 
  

• 弱口令检测：检测口令复杂度策略配置是否满足要求，提前发现弱口令漏洞，预防危险发生；

• 
  

• 虚拟化：支持多种安全业务的虚拟化，包括防火墙、入侵防御、防病毒等，不同用户可在同一台物理设备上进行隔离的个性化管理；

• 
  

• 抵御未知威胁：具备云安全中心联动能力，提供全面且有效的未知威胁解决方案。当网络中出现可疑文件时，可将此文件上传至云沙箱运行。一旦文件出现异常行为，进程在沙箱内终止，不会感染到网络中的任何主机与系统，助企业能够绕过传统防御手段的威胁与攻击。

⑵   最细致的可视化呈现

       捷普下一代防火墙可以提供清晰的全局和分类应用流量展现，结合用户信息、IP信息等因素，综合展现企业IT系统中流量的具体内容，成为网络中的“监控摄像头“，快速实时监控网络流量信息，设定报警策略，快速发现入侵行为。

       捷普下一代防火墙内置应用风险系数、Top高风险应用、应用类型排行、应用流速趋势、Top应用、接口流量监控、最新威胁列表、最新流量排行、服务器安全、Top安全策略等实时监控信息，支持应用、威胁、网址、内容过滤等TOP排名统计，还支持应用/IP趋势分析、Top连接增长/减少、Top消耗带宽应用/IP等趋势分析。

       捷普下一代防火墙内置安全态势模块，直观显示资产风险态势、攻击威胁态势，全网风险一目了然。

⑶   最简单的策略管理

        捷普下一代防火墙不再是仅仅依赖于人工来添加安全访问控制策略，智能策略管理通过网络流量的分析，基于行为分析结果构建自适应策略，横向关联特征库、IP信誉库等功能模块，能够快速降低对使用者的要求，大大提高防护范围和控制精度。

• 快速部署上线：内置场景配置向导模板和关键字、文件、应用、URL等类别，不依赖使用者的经验也能快速地部署常用防护策略。

• 
  

• 策略优化：基于端口/业务的流量学习，感知网络整体业务环境，基于业务和安全风险进行智能化分析，最终自动生成策略建议。

• 策略精简：自动发现重复和长期没有使用的策略，精简策略规模，简化管理。

⑷   最智能的融合协同

       在黑客攻击日益盛行的形式下，攻击方法层出不穷，安全产品不再是孤立存在、单打独斗地与攻击抗衡，捷普下一代防火墙会与威胁情报中心、安全一体化管理系统、漏洞扫描、终端安全、捷普管家等系统构建协同的工作机制，确保一旦单点受到攻击，全网实施策略升级及综合预警、响应的快速防御效果，对黑客攻击实施精准打击。

2.  产品部署

1.   互联网出口边界防护

       作为边界防护的安全设备，防火墙部署在互联网出口，实现不同安全域之间的访问控制，同时，针对各种终端提供精细化访问控制、入侵防御、防病毒、内容放过滤、URL管控、DDoS防护、邮件防护、流量控制等功能，提供一体化的安全防护。

2.   企业内网安全管控

       部署在公司内部的财务、ERP、OA等服务器群前面，精细控制访问权限，防止非法访问，防止企业重要的信息被泄露，保护核心业务获取必要的带宽资源。

3.   数据中心边界防护

       部署在数据中心边界，提供高性能安全防护，通过入侵防御、防病毒、内容防泄漏、DDoS防护等功能保护关键业务和客户隐私信息，避免损害单位形象，造成经济或声誉的损失。安全业务虚拟化功能提供增值服务，保护用户投资。

4.   广域网纵向安全互联

       作为广域网边界安全网关，通过VPN功能保证传输安全，通过身份认证保证用户可信，通过入侵防御、防病毒、内容防泄漏、URL、邮件过滤等功能对出入广域网的流量进行深层检测，过滤应用层垃圾流量，防止病毒、木马等威胁向分支机构间横向传播，影响业务开展，优化广域网带宽，保障关键业务稳定运行。