天融信产品交流[1]

PPT文档演模板
天融信产品交流[1]
防火墙不够智能！
Firewall的过滤部分 IP Header TCP Header
无法检测的部分 Packet Payload
防火墙只能做到包头信息的过虑，无法检测数据包数据 部分的特征。
基于数据包包头信息的检测阻断方式，主要对主机的服 务进行控制，无法阻断通过公开端口流入的有害流量， 防火墙主要用于对服务的访问控制，并不是对蠕虫或者 黑客攻击的解决方案。
先进的三机三系统模型
采用了最先进三机三系统的设计模型：软硬件结合的方式，系统 硬件平台由内网主机系统、仲裁主机系统、外网主机系统、专用 的安全隔离卡四部分组成 。
PPT文档演模板
天融信产品交流[1]
三机三系统的特点和优势
内/外端机是内/外网网络协议的终点，网络协议不可延伸 信息落地，仲裁机对剥离的应用层信息进行安全检查，控制网 间传播内容，保护重要资源 仲裁机网络协议不可达，自身安全性大大提高 攻击者即使同时获得内外网机的权限，也无法构建不受控通道
PPT文档演模板
天融信产品交流[1]
TopASIC高性能防火墙
TOS
…… 七层过滤
可编程 模块
状态
QoS 核检测 VPN
交换
NAT
路由
高性能CPU， 负责系统管理 和策略授权。
NVRam
内存 CPU
Flash
TAPF技术，减少
自行开发CP，U对多数据处理 项专可 过 现利编 程 报程 的 文A干 快S速预IC转，，发实集。
SSL VPN
SSL 协议密文 SSL 协议密文
解密 加密
明文数据 明文数据
PPT文档演模板
SSL VPN代理 公司内网资源
天融信产品交流[1]
多样化用户认证
本地认证 Local Database Web Portal OTP
第三方认证
RADIUS,TACACS/TACACS+
S/KEY,SECURID,LDAP,域认证
PPT文档演模板
天融信产品交流[1]
产品特点
应用级完全内容检测与审计
采用天融信公司专有完全内容检测模块，过滤所有交换数据， 全面解析网络传输信息，通过深层次细粒度的内容过滤，预先 拦截内、外网用户禁止访问的内容
PPT文档演模板
天融信产品交流[1]
产品特点
广泛的应用协议支持
支持 HTTP、HTTPS、SMTP、POP3、FTP、TELNET、SQL、 OACLE、、NULL_TCP等 支持用户基于标准TCP、UDP开发的自定义协议软件 无需对自定义协议软件进行二次修改开发 可以根据需求开发新的专用协议处理过滤功能
PPT文档演模板
天融信产品交流[1]
网络卫士安全隔离与信息交换系统
网络卫士安全隔离与信息交换系统（TopRules系统）采用自主研发 的安全操作系统（TOS操作系统）、专用的硬件设计、内核级入侵监测、 领先的病毒查杀技术、完善的身份认证、严格的访问控制和安全审计等各 种安全模块，通过对信息进行还原、扫描、过滤、认证，同时将防病毒、 入侵检测、审计等安全处理整合在一起，有效地防止非法攻击、恶意代码 和病毒渗入，同时防止内部机密信息的泄露，实现网间信息的安全隔离和 可控交换。
内网主机和外网主机是内部网络和外部网络通用TCP/IP协议的终 点，各自的网络协议在仲裁主机实现剥离和重建。
PPT文档演模板
天融信产品交流[1]
产品特点
防范各类攻击和信息泄漏
专用的入侵检测引擎、杀毒引擎、黑白名单、数字签名、访问 控制策略、安全协议通道等技术的使用，可以使设备发现、过 滤并阻塞各种已知、未知的攻击，病毒和蠕虫等恶意代码，有效 保护内部网络系统的安全性 。
TopASICTM 构建新一代防火墙
天融信产品交流[1]
零丢包率
PPT文档演模板
接
发
收
送
天融信TopASIC处理器
接
发
收
送
传统架构
天融信产品交流[1]
完全检测防火墙
PPT文档演模板
天融信产品交流[1]
产品特点
PPT文档演模板
天融信产品交流[1]
天融信防火墙主要特点
自主安全操作系统TOS 完全内容检测CCI 可扩展支持防病毒 支持SSL VPN 集成“CleanVPN” 技术 多样化的用户认证 虚拟防火墙 集中策略管理 软件、硬件模块化
天融信产品交流
PPT文档演模板
2020/11/15
天融信产品交流[1]
目录
天融信防火墙介绍 天融信IDP介绍 天融信网闸介绍
PPT文档演模板
天融信产品交流[1]
软件模块化设计
PPT文档演模板
天融信产品交流[1]
灵活的硬件模块化设计
防火墙机箱与引擎
防火墙接口模块
防火墙模块封装板 1. 根据需要可以通过扩充模块，增加端口的数量 2. 根据需要可以选择 处理能力更好的机箱与引擎
• 蠕虫可以穿透防火墙并迅速传播，导致主机瘫痪，吞噬宝贵网络带宽
•P2P等应用，利用80端口进行协商，然后利用开放的UDP进行大量文件共 享，导致机密泄漏和网络拥塞
PPT文档演模板
天融信产品交流[1]
产品特点
高性能并行架构 基于目标系统的流重组检测引擎 丰富灵活的自定义规则 具有可视化实时报表的功能
TOS采用最新的CCI技术
状态检测只检查数据包的包头； 深度包检测可对数据包内容进行检查； 而CCI则可实时将网络层数据还原为完整的应用 层对象（如文件、网页、邮件等），并对这些完 整内容进行全面检查，实现彻底的内容防护。
PPT文档演模板
天融信产品交流[1]
强大的防病毒引擎
引擎性能优异 能够查杀多达25万余种的病毒 病毒库全球同步更新 能够为用户提供7 X 24小时防病毒服务
PPT文档演模板
天融信产品交流[1]
完全内容检测CCI
垃圾邮件 1000
完全内容检测 蠕虫
CCI
100
木马
处理能力
深度包检测
病毒
10
DPI
社会学攻击
1
状态检测
SI
拒绝服务攻击
1990
1995
2000
2005
SI —Stateful Inspection DPI—Deep Packet Inspection CCI—Complete Content Inspection
• 规则库管理
– 系统规则库手动更新、定时更新 – 自定义规则库导入、导出
• 动作
– 通过/拒绝、Tcp Reset、日志开关、防火墙联动 （IDS模式）、记录报文等
PPT文档演模板
天融信产品交流[1]
产品功能介绍
• 规则
– 2200条系统规则，16项系统规则集 – 支持自定义规则，自定义规则集
PPT文档演模板
PPT文档演模板
ROOT管理员 一级管理员
二管理员
TopPolicy分级管理功能
统一策略管理 统一状态监控 远程配置管理 拓扑可视化显示 远程配置管理 远程用户管理 报表系统 设备流量管理 设备日志审计 双机热备 设备软件集中升级 报警系统 可视化策略编辑 设备信息管理 设备配置版本管理
天融信产品交流[1]
PPT文档演模板
天融信产品交流[1]
可视化的实时报表功能
•TopIDP产品提供了可视化 的实时报表功能，可以实 时显示按发生次数排序的 攻击事件排名，使网络攻 击及其威胁程度一目了然。 •应用配套的TopPolicy产品， 可以实时显示Top10攻击者、 Top10被攻击者、Top10攻 击事件等统计报表，更可 以显示24小时连续变化的 事件发生统计曲线图。
PPT文档演模板
天融信产品交流[1]
产品特点
PPT文档演模板
天融信产品交流[1]
产品特点
先进的三机三系统 独立的仲裁审计系统 专用硬件和专用通信协议 防范各类攻击和信息泄漏 应用级完全内容检测与审计 广泛的应用协议支持 安全、便捷的管理
PPT文档演模板
天融信产品交流[1]
产品特点
CA…
进行认证
topsec
RADIUS服务器
********
Internet
OTP 认证服务器
PPT文档演模板
将认证结果 传给防火墙
FW将认证信息传给 根据认证结果决定用
RADIUS服务器
户对资源的访问权限
天融信产品交流[1]
虚拟防火墙
PPT文档演模板
天融信产品交流[1]
Topsec Policy Management
PPT文档演模板
天融信产品交流[1]
产品特点
独立的仲裁系统
对流经仲裁系统所有信 息进行检查 确保内外网络的信息交互置于可控范围内 审计信息记录在案
PPT文档演模板
天融信产品交流[1]
产品特点
专用硬件和专用通信协议
在天融信公司专用安全操作系统TOS内核中嵌入专用协议和认证 机制，使得设备的安全隔离能力大大增强；
– 对木马、蠕虫病毒、 – 对主流的RPC漏洞攻击做检测和阻断 – 对利用系统漏洞、溢出、HTTP类攻击进行检测和
阻断 – 可以检测和阻断多种拒绝服务攻击 – 可以按照用户自定义的规则来进行入侵检测
PPT文档演模板
天融信产品交流[1]
产品功能介绍
• 应用监控
– 可以识别和控制P2P、IM应用 – 可以对一些网络游戏、在线炒股进行监控和管理
PPT文档演模板
天融信产品交流[1]
TopIDP以威胁抵御为核心功能
蠕虫/病毒
应用威胁
网络钓鱼
•TopIDP是以应用层威胁抵御为核心功能的综合威胁抵御产品
•TopIDP支持对各种新威胁的识别和抵御，可以不断给用户带来增值安全 服务，降低用户TCO
PPT文档演模板
天融信产品交流[1]
产品功能介绍
• 具有完整的防火墙功能 • 入侵防御功能
天融信产品交流Baidu Nhomakorabea1]
产品功能介绍
系 统 规 则 集
PPT文档演模板
天融信产品交流[1]
产品功能介绍
• Web日志和报表
– 基本信息首页：入侵排名（前10名） – IPS详细事件（日志） – 攻击排名：持续时间、清空
• TP日志和报表
– 事件监视（最近1小时）、流量监视 – 日报、周报、月报等
PPT文档演模板
超低时延 Internet
PPT文档演模板
•科学研究表明，总时延小 于10ms才能保证网络视频、 语音质量
•TopASIC千兆小包时延 2.7us，比传统架构防火墙 小几百倍
视频会议 IP语音 通讯 在线结算 ERP 即时通讯
天融信产品交流[1]
目录
天融信防火墙介绍 天融信IDP介绍 天融信网闸介绍
天融信产品交流[1]
产品功能介绍
报表功能
PPT文档演模板
天融信产品交流[1]
目录
天融信防火墙介绍 天融信IDP介绍 天融信网闸介绍
PPT文档演模板
天融信产品交流[1]
隔离概念的提出
国外 ➢ 最早提出隔离概念，70年代美国、俄罗斯和以色列等国都存在 此方面的技术应用和相关法规
国内 ➢ 隔离要求最早是由国家保密局提出的，并已严格在涉密网内执 行 ➢ 中共中央办公厅2002年第17号文件明确强调：“政务内网和政 务外网之间物理隔离，政务外网与互联网之间逻辑隔离”
PPT文档演模板
天融信产品交流[1]
基于目标系统的流重组检测引擎
PPT文档演模板
天融信产品交流[1]
丰富灵活的自定义规则
•TopIDP产品内置了丰富灵活的自定义规则能力，能够根据协议、源端口、 目的端口及协议内容自行定义攻击行为
•借助于灵活的自定义规则能力，用户可以轻松定义自己的应用层检测和控 制功能。
PPT文档演模板
天融信产品交流[1]
高性能并行处理架构
• TopIDP应用了先进的多核处理器硬件平台，将并行处理技术成功融 入天融信自主知识产权操作系统TOS（Topsec Operating System） 系统，形成了先进的多核架构技术体系；
• 在此基础上的TopIDP产品具有高速的数据并行检测处理和转发能力， 能够胜任 高速网络的安全防护要求。
PPT文档演模板
天融信产品交流[1]
“CleanVPN”技术
病毒文件通过VPN 设备检测阻断
加密数据通道
Virus Code Red
分 支
检测引擎 加密引擎
受保护网络
Internet
PPT文档演模板
病毒文件通过VPN 设备检测阻断
检测引擎
Code Red Virus
加密引擎 总部
受保护网络
天融信产品交流[1]
策略授权
完全自主产权 成全面FW功能， 网络数据 负责数据高速处
理 大和 容转 量发 二。 级缓存， 存放所有临时表项，
ASIC
模块化、层 次化、可持
无 充须 分全与 提功内 高能存 性硬交 能互 。件，加 速，TAPF，大 一级缓存接口控制二级缓存
续升级
容量L2缓存
稳定可靠 全线速性能
PPT文档演模板
PPT文档演模板
天融信产品交流[1]
TopRules解决的问题
• 保证安全隔离的同时，实现网间高效、受控的数据交换
• 三机三系统的特有结构，保证了设备自身高度的安全性
• 信息落地，内部专用安全协议，专用硬件，解决了由于 TCP/IP协议的脆弱性所带来的众多网络攻击问题
• 采用了安全隔离策略，有效地解决了涉秘网络信息泄漏的问 题