天融信产品交流(1)

策略授权
完全自主产权 成全面FW功能， 网络数据 负责数据高速处
理 大和 容转 量发 二。 级缓存， 存放所有临时表项，
ASIC
模块化、层 次化、可持
无 充须 分全与 提功内 高能存 性硬交 能互 。件，加 速，TAPF，大 一级缓存接口控制二级缓存
续升级
容量L2缓存
稳定可靠 全线速性能
TopASICTM 构建新一代防火墙
•P2P等应用，利用80端口进行协商，然后利用开放的UDP进行大量文件共 享，导致机密泄漏和网络拥塞
天融信产品交流(1)
产品特点
高性能并行架构 基于目标系统的流重组检测引擎 丰富灵活的自定义规则 具有可视化实时报表的功能
天融信产品交流(1)
高性能并行处理架构
• TopIDP应用了先进的多核处理器硬件平台，将并行处理技术成功融 入天融信自主知识产权操作系统TOS（Topsec Operating System） 系统，形成了先进的多核架构技术体系；
天融信产品交流(1)
零丢包率
接
发
收
送
天融信TopASIC处理器
接
发
收
送
传统架构
天融信产品交流(1)
完全检测防火墙
天融信产品交流(1)
产品特点
天融信产品交流(1)
天融信防火墙主要特点
自主安全操作系统TOS 完全内容检测CCI 可扩展支持防病毒 支持SSL VPN 集成“CleanVPN” 技术 多样化的用户认证 虚拟防火墙 集中策略管理 软件、硬件模块化
产品特点
独立的仲裁系统
对流经仲裁系统所有信 息进行检查 确保内外网络的信息交互置于可控范围内 审计信息记录在案
天融信产品交流(1)
产品特点
专用硬件和专用通信协议
在天融信公司专用安全操作系统TOS内核中嵌入专用协议和认证 机制，使得设备的安全隔离能力大大增强； 内网主机和外网主机是内部网络和外部网络通用TCP/IP协议的终 点，各自的网络协议在仲裁主机实现剥离和重建。
解密 加密
明文数据 明文数据
SSL VPN代理 公司内网资源
天融信产品交流(1)
多样化用户认证
本地认证 Local Database Web Portal OTP
第三方认证
RADIUS,TACACS/TACACS+
ห้องสมุดไป่ตู้
S/KEY,SECURID,LDAP,域认证
CA…
进行认证
topsec
RADIUS服务器
天融信产品交流(1)
TopASIC高性能防火墙
TOS
…… 七层过滤
可编程 模块
状态
QoS 核检测 VPN
交换
NAT
路由
高性能CPU， 负责系统管理 和策略授权。
NVRam
内存 CPU
Flash
TAPF技术，减少
自行开发CP，U对多数据处理 项专可 过 现利编 程 报程 的 文A干 快S速预IC转，，发实集。
– 对木马、蠕虫病毒、 – 对主流的RPC漏洞攻击做检测和阻断 – 对利用系统漏洞、溢出、HTTP类攻击进行检测和
阻断 – 可以检测和阻断多种拒绝服务攻击 – 可以按照用户自定义的规则来进行入侵检测
天融信产品交流(1)
产品功能介绍
• 应用监控
– 可以识别和控制P2P、IM应用 – 可以对一些网络游戏、在线炒股进行监控和管理
• 项目名称：内蒙古地方税务局网络安全建设项目
• 项目名称：江苏省地税局网络安全系统项目
• 项目名称：山东省地税省级大集中网络建设项目
• 项目名称：哈尔滨市地方税务局网络安全系统项 目
• 项目名称：广西财政防火墙系统项目
• 项目名称：江西省财政厅安全防护与VPN接入
题
天融信产品交流(1)
产品特点
天融信产品交流(1)
产品特点
先进的三机三系统 独立的仲裁审计系统 专用硬件和专用通信协议 防范各类攻击和信息泄漏 应用级完全内容检测与审计 广泛的应用协议支持 安全、便捷的管理
天融信产品交流(1)
产品特点
先进的三机三系统模型
采用了最先进三机三系统的设计模型：软硬件结合的方式，系统 硬件平台由内网主机系统、仲裁主机系统、外网主机系统、专用 的安全隔离卡四部分组成 。
统一策略管理 统一状态监控 远程配置管理 拓扑可视化显示 远程配置管理 远程用户管理 报表系统 设备流量管理 设备日志审计 双机热备 设备软件集中升级 报警系统 可视化策略编辑 设备信息管理 设备配置版本管理
天融信产品交流(1)
超低时延 Internet
•科学研究表明，总时延小 于10ms才能保证网络视频、 语音质量
采用天融信公司专有完全内容检测模块，过滤所有交换数据， 全面解析网络传输信息，通过深层次细粒度的内容过滤，预先 拦截内、外网用户禁止访问的内容
天融信产品交流(1)
产品特点
广泛的应用协议支持
支持 HTTP、HTTPS、SMTP、POP3、FTP、TELNET、SQL、 OACLE、、NULL_TCP等 支持用户基于标准TCP、UDP开发的自定义协议软件 无需对自定义协议软件进行二次修改开发 可以根据需求开发新的专用协议处理过滤功能
无法检测的部分 Packet Payload
防火墙只能做到包头信息的过虑，无法检测数据包数据 部分的特征。
基于数据包包头信息的检测阻断方式，主要对主机的服 务进行控制，无法阻断通过公开端口流入的有害流量， 防火墙主要用于对服务的访问控制，并不是对蠕虫或者 黑客攻击的解决方案。
• 蠕虫可以穿透防火墙并迅速传播，导致主机瘫痪，吞噬宝贵网络带宽
•TopASIC千兆小包时延 2.7us，比传统架构防火墙 小几百倍
视频会议 IP语音 通讯 在线结算 ERP
即时通讯
天融信产品交流(1)
目录 天融信防火墙介绍 天融信IDP介绍 天融信网闸介绍
天融信产品交流(1)
防火墙不够智能！
Firewall的过滤部分 IP Header TCP Header
TOS采用最新的CCI技术
状态检测只检查数据包的包头； 深度包检测可对数据包内容进行检查； 而CCI则可实时将网络层数据还原为完整的应用 层对象（如文件、网页、邮件等），并对这些完 整内容进行全面检查，实现彻底的内容防护。
天融信产品交流(1)
强大的防病毒引擎
引擎性能优异 能够查杀多达25万余种的病毒 病毒库全球同步更新 能够为用户提供7 X 24小时防病毒服务
天融信产品交流(1)
产品特点
防范各类攻击和信息泄漏
专用的入侵检测引擎、杀毒引擎、黑白名单、数字签名、访问 控制策略、安全协议通道等技术的使用，可以使设备发现、过 滤并阻塞各种已知、未知的攻击，病毒和蠕虫等恶意代码，有效 保护内部网络系统的安全性 。
天融信产品交流(1)
产品特点
应用级完全内容检测与审计
天融信产品交流(1)
完全内容检测CCI
垃圾邮件 1000
完全内容检测 蠕虫
CCI
100
木马
处理能力
深度包检测
病毒
10
DPI
社会学攻击
1
状态检测
SI
拒绝服务攻击
1990
1995
2000
2005
SI —Stateful Inspection DPI—Deep Packet Inspection CCI—Complete Content Inspection
天融信产品交流(1)
三机三系统的特点和优势
内/外端机是内/外网网络协议的终点，网络协议不可延伸 信息落地，仲裁机对剥离的应用层信息进行安全检查，控制网 间传播内容，保护重要资源 仲裁机网络协议不可达，自身安全性大大提高 攻击者即使同时获得内外网机的权限，也无法构建不受控通道
天融信产品交流(1)
********
Internet
OTP 认证服务器
将认证结果 传给防火墙
FW将认证信息传给 根据认证结果决定用
RADIUS服务器
户对资源的访问权限
天融信产品交流(1)
虚拟防火墙
天融信产品交流(1)
Topsec Policy Management
ROOT管理员 一级管理员
二管理员
TopPolicy分级管理功能
天融信产品交流(1)
产品特点
安全、便捷的管理
设备本身的管理和维护，都通过仲裁主机进行管理。仲裁主机 采用专用协议，与内外部网络没有任何关联，保证了设备管理 的可靠性和安全性；同时可以灵活方便地进行管理。
天融信产品交流(1)
税务成功案例一览
• 项目名称：山东省国税局网络安全项目
• 项目名称：国家税务总局信息系统安全审计项目
天融信产品交流(1)
“CleanVPN”技术
病毒文件通过VPN 设备检测阻断
加密数据通道
Virus Code Red
分 支
检测引擎 加密引擎
受保护网络
Internet
病毒文件通过VPN 设备检测阻断
检测引擎
Code Red Virus
加密引擎 总部
受保护网络
天融信产品交流(1)
SSL VPN
SSL 协议密文 SSL 协议密文
• 在此基础上的TopIDP产品具有高速的数据并行检测处理和转发能力， 能够胜任 高速网络的安全防护要求。
天融信产品交流(1)
基于目标系统的流重组检测引擎
天融信产品交流(1)
丰富灵活的自定义规则
•TopIDP产品内置了丰富灵活的自定义规则能力，能够根据协议、源端口、 目的端口及协议内容自行定义攻击行为 •借助于灵活的自定义规则能力，用户可以轻松定义自己的应用层检测和控 制功能。
天融信产品交流(1)
目录 天融信防火墙介绍 天融信IDP介绍 天融信网闸介绍
天融信产品交流(1)
隔离概念的提出
国外 ➢ 最早提出隔离概念，70年代美国、俄罗斯和以色列等国都存在 此方面的技术应用和相关法规
国内 ➢ 隔离要求最早是由国家保密局提出的，并已严格在涉密网内执 行 ➢ 中共中央办公厅2002年第17号文件明确强调：“政务内网和政 务外网之间物理隔离，政务外网与互联网之间逻辑隔离”
• 规则库管理
– 系统规则库手动更新、定时更新 – 自定义规则库导入、导出
• 动作
– 通过/拒绝、Tcp Reset、日志开关、防火墙联动 （IDS模式）、记录报文等
天融信产品交流(1)
产品功能介绍
• 规则
– 2200条系统规则，16项系统规则集 – 支持自定义规则，自定义规则集
天融信产品交流(1)
天融信产品交流(1)
网络卫士安全隔离与信息交换系统
网络卫士安全隔离与信息交换系统（TopRules系统）采用自主研发 的安全操作系统（TOS操作系统）、专用的硬件设计、内核级入侵监测、 领先的病毒查杀技术、完善的身份认证、严格的访问控制和安全审计等各 种安全模块，通过对信息进行还原、扫描、过滤、认证，同时将防病毒、 入侵检测、审计等安全处理整合在一起，有效地防止非法攻击、恶意代码 和病毒渗入，同时防止内部机密信息的泄露，实现网间信息的安全隔离和 可控交换。
天融信产品交流(1)
TopRules解决的问题
• 保证安全隔离的同时，实现网间高效、受控的数据交换 • 三机三系统的特有结构，保证了设备自身高度的安全性 • 信息落地，内部专用安全协议，专用硬件，解决了由于
TCP/IP协议的脆弱性所带来的众多网络攻击问题 • 采用了安全隔离策略，有效地解决了涉秘网络信息泄漏的问
天融信产品交流(1)
TopIDP以威胁抵御为核心功能
蠕虫/病毒
应用威胁
网络钓鱼
•TopIDP是以应用层威胁抵御为核心功能的综合威胁抵御产品 •TopIDP支持对各种新威胁的识别和抵御，可以不断给用户带来增值安全 服务，降低用户TCO
天融信产品交流(1)
产品功能介绍
• 具有完整的防火墙功能 • 入侵防御功能
天融信产品交流(1)
可视化的实时报表功能
•TopIDP产品提供了可视化 的实时报表功能，可以实 时显示按发生次数排序的 攻击事件排名，使网络攻 击及其威胁程度一目了然。 •应用配套的TopPolicy产品， 可以实时显示Top10攻击者、 Top10被攻击者、Top10攻 击事件等统计报表，更可 以显示24小时连续变化的 事件发生统计曲线图。
产品功能介绍
系 统 规 则 集
天融信产品交流(1)
产品功能介绍
• Web日志和报表
– 基本信息首页：入侵排名（前10名） – IPS详细事件（日志） – 攻击排名：持续时间、清空
• TP日志和报表
– 事件监视（最近1小时）、流量监视 – 日报、周报、月报等
天融信产品交流(1)
产品功能介绍
报表功能
天融信产品交流(1)
2020/11/15
天融信产品交流(1)
目录 天融信防火墙介绍 天融信IDP介绍 天融信网闸介绍
天融信产品交流(1)
软件模块化设计
天融信产品交流(1)
灵活的硬件模块化设计
防火墙机箱与引擎
防火墙接口模块
防火墙模块封装板 1. 根据需要可以通过扩充模块，增加端口的数量 2. 根据需要可以选择 处理能力更好的机箱与引擎