伟思信安ViGap安全隔离与信息交换系统V6.5 技术白皮书
2.3.2、伟思ViGap6.5-500功能特点
是为企业级中心节点设计的多功能安全隔离系统,考虑到企业级节点在用户
数量、应用类型、安全性以及管理上的特殊需求,ViGap6.5-500设计开发了一系列企业安全交换套件,主要特点包括:
? 作为企业级节点,安全隔离系统必须具备更高的数据交换能力,ViGap6.5
-500为企业级用户提供业内领先的数据交换处理性能,在FTP、HTTP文件上传/下载等应用中采用数据交换分发技术、断点续传技术,大幅提高文件传输效率,达到业内最高的交换性能。
? 据统计,企业级节点是各类网络攻击的主要目标,伟思ViGap6.5-500具备
高安全性和抗攻击性特性,采用内置IDS入侵检测与联动系统,实现对攻击的自动防御。
? 具备流量控制功能,满足企业级节点对网内客户端的流量管理需求。 ? ViGap500具备第三方日志输出与集中管理功能,能够实现与企业级网管中
心的集成,方便管理员进行高效的网络管理。
2.3.3、伟思ViGap6.5-1000功能特点
是为电信级核心节点设计的高性能、高可靠性、多功能安全隔离系统,除了具备ViGap6.5-300、ViGap6.5-500的所有功能以外,ViGap6.5-1000专门针对电信级服务质量与性能要求进行了革命性设计,其主要特点包括:
? 全新设计基于ASIC硬件芯片的DPI深度内容过滤引擎,将应用安全过滤功
能置于硬件芯片内完成,彻底消除了性能瓶颈,实现最高达5Gbps的隔离交换吞吐量,是目前业内唯一一个万兆级隔离网闸系统。
? 低延时和高并发同样是电信级隔离系统的技术要求,伟思ViGap6.5-1000
安全隔离与信息交换系统借助创新的硬件架构满足各类电信级应用的延时要求,达到20万以上并发,完全满足电信级要求。
? 能够及时发现背景流量中各种类型的攻击流量,针对攻击类型迅速对攻击
流量进行拦截。能够阻止TearDrop、Land、Jolt、IGMP Nuker、Boink、Smurf、Bonk、BigPing、OOB等数百种DoS拒绝服务攻击,在10000pps攻击流量下,抗攻击性达到99.99%。
16
伟思信安ViGap安全隔离与信息交换系统V6.5 技术白皮书
? 提供业内最高质量的双机热备功能,能够实现快速主备机切换。
? 采用ALG应用层网关技术深度识别各类应用,使管理员获得详细地网络应用
活动审计信息,包括HTTP访问、邮件收发、FTP文件上传/下载、MSN聊天等,并能够对各类P2P应用、流媒体进行安全检查,实现网络应用协议流量排名及协议安全过滤,消除新应用类型带来的安全隐患。
? 采用伟思公司最新研发的多路ASIC芯片隔离交换矩阵技术,实现了真正的
多隔离部件,多链路,多安全域安全隔离接入。
? 支持SSO(Single Sign-on)单点登录,系统支持Radius、LDAP、AD(Active
Directory)等CAS认证模式。
17
三、ViGap功能 3.1、ViGap产品定位
现有的各项网络安全技术可以在一定程度上解决已知的部分网络安全问题,但是,对于网络应用中每时每刻都在发生和产生的每一种新的网络蠕虫、DoS攻击、分布式DoS、缓冲区溢出攻击等各类网络安全问题,已有的各类网络安全技术中,仍然没有一种能彻底预防的安全技术来确保一个企业的信息系统的安全。即使是使用一些高级的安全技术,例如网络防火墙,加密技术和代理,但是对任何一个单一的安全技术,网络安全问题都得不到很好的解决。 下图示意描述了现今可用的各种网络安全解决方案,在这个示意图中,按照应用的不同,网络本身被分为两个部分,即网络层和应用层。而在各种网络安全方法中,包括了防范已知网络安全问题和未知网络安全问题的方法,各种网络安全技术都分别解决了相应部分的网络安全问题。GAP安全解决方法优势在于它既能阻塞又能预防。阻塞发生在已经知道的攻击而预防则是对于未知的攻击。 已知防护措施(阻塞)FireWall网络层保护应用层保护ApplicationProxy未知防护措施(防护)ViGapApplicationScanner 在上图的左上部分,是防火墙产品主要防范的网络安全问题,它能够对已
知的攻击提供适当的保护,这也就意味着防火墙必须进行调整来鉴别威胁。左下部分描绘应用代理,能够在应用层对已知道的攻击进行阻塞。在右下角表述的是一些新的技术,例如内容检测,主机保护和对应用程序扫描等。但是,目前针对应用层未知攻击的各种防护方法还不是很好。ViGap产品的功能定位即主要在这一层上,它既能阻止网络层和操作系统层的已知的攻击,又能防止网络层和操作系统层受到未知的攻击,解决了防范未知网络攻击的安全难题。
ViGap引入新的安全层次,但是在传输数据时不会对网络和操作系统服务造成任何危害。作为网络安全设备,ViGap提供四种最主要的保护:网络漏洞,操作系统的不稳定,软件漏洞,D.O.S攻击。
3.2、ViGap产品功能 ViGap系列产品具有三大系列十几种型号,产品具有全面的网关安全隔离与数据交换功能,随着伟思ASIC硬件体系架构设计水平的提升,深层协议分析技术的不断完善,使得伟思ViGap安全隔离与信息交换系统V6.5的应用功能更加全面,具体功能如下: 3.2.2、HTTP功能
ViGap提供了功能强大的HTTP协议分析模块,可以允许可信网络用户自如地访问不可信网络上的各种网络资源,也可以允许不可信网络上的用户安全地访问可信网络上的WEB服务。
3.2.3、EMAIL功能
ViGap也提供了功能完善的SMTP/POP(3)协议分析模块,可以允许可信网络用户自如地通过ViGap收发来自不可信网络上的各种电子邮件,也可以允许不可信网络上的用户安全地通过ViGap来收发可信网络上的电子邮件。
3.2.4、FTP功能
ViGap的FTP协议分析模块,提供了和HTTP功能和Email功能一样安全的
FTP服务支持。
3.2.5、内容过滤功能
针对关键字(词)进行检索,按照匹配的原理,对通过ViGap传输的数据进行过滤和检查,可以保护网络的各种敏感资源和数据,也保护了可信网络资源。
3.2.6、黑名单功能 针对通过ViGap传输的数据的文件名进行过滤的黑名单功能,不仅可以有效阻止敏感文件的交换,并且可以有效防范通过附件文件对可信网络的各种攻击。
3.2.7、IDS入侵检测功能
ViGap在设备两端内置了IDS入侵检测引擎,该引擎可有效保护系统自身及受保护网络免受攻击者的频繁攻击。该系统将自动分析对受保护内网的访问请求,并与ViGAP隔离系统实现内部联动对可疑数据包采取拒绝连接的方式防御攻击。
3.2.8、SAT(服务器地址映射)功能 ViGap具备完善的SAT功能,可信端服务器可通过SAT功能将自身的特定服务虚拟映射到ViGap的不可信端接口上,通过隔离系统的不可信端虚拟端口对外提供服务,访问者仅能访问虚拟端口而无法直接连接服务器,从而对外屏蔽服务器,防止服务器遭到攻击。
3.2.9、身份认证功能
不同于部门级网络,大型网络对身份认证的要求极高,且需要基于第三方的统一身份认证服务。ViGap除了提供基本的用户名/口令身份认证功能以外,还可与外部认证系统集成支持扩展的Radius、PKI数字证书、SecureID等多种强