产品中心

您现在的位置 > 首页 > 产品中心 > 铱迅下一代防火墙

  • 产品简介
  • 功能模块
  • 部署方式
  • 型号选型
  • 产品资质
  • 文档资料

 产品简介

新一代防火墙系统

                         提供立体化的安全防御   

      铱迅下一代防火墙系统(英文:Yxlink Next Generation Firewall,简称:Yxlink NGFW)是一款可以全面应对应用层威胁的高性能防火墙。通过深入洞察网络流量中的用户、应用和内容,并借助全新的高性能单路径异构并行处理引擎,NGFW能够为用户提供有效的应用层一体化安全防护,帮助用户安全地开展业务并简化用户的网络安全架构。

 

 


 

     铱迅下一代防火墙系统采用了全新的高性能单路径异构并行处理引擎。该产品在多年的安全领域经验积累基础上,总结分析用户的切身需求,是一款全新的可以全面应对应用层威胁的高性能防火墙。它集防火墙、入侵防御、病毒防御、负载均衡、流量控制等多种安全技术于一身,同时为用户提供入侵记录查询、流量统计、日志审计功能。铱迅下一代防火墙系统通过深入洞察网络流量中的用户、应用和内容,并借助NGFW能够为用户提供有效的应用层一体化安全防护,帮助用户安全地开展业务并简化用户的网络安全架构。广泛适用于“政府、金融、运营商、公安、能源、税务、工商、社保、交通、卫生、教育、电子商务”等所有涉及网络应用的各个行业。

 

 

 


 

防火墙

 

灵活的访问控制机制:“迅下一代防火墙系统”可以实现基于源/目的IP地址、源/目的端口、时间的精细粒度的访问控制。

 

网络地址转换功能:“铱迅下一代防火墙系统”拥有强大的地址转换能力,同时支持源地址转换、目的地址转换和静态地址映射,并支持一对一、多对一、多对多的动态地址转换功能,能为用户提供完整的地址转换解决方案。

源地址转换用于使用保留IP地址的内容网用户通过“铱迅下一代防火墙系统”访问互联网时的地址转换。对互联网来说,访问全部都是来自于“铱迅下一代防火墙系统”转换后的地址,并不认为来自内部网络的某个地址,能够有效的隐藏内部网络的拓扑结构等信息。同时内部用户共享使用这些转换地址,自身使用私有地址就可以正常访问互联网,有效解决了全局IP不足的问题。

内部网络如果有对互联网提供服务(如Web、FTP服务等)的服务器,可以使用目的地址转换功能,将服务器自身的私有地址和服务端口通过“铱迅下一代防火墙系统”进行转换。互联网用户访问的为经过“铱迅下一代防火墙系统”转化后的地址和端口,这样可以有效的隐藏内部服务器信息,对服务器进行保护。

静态地址映射提供内部网络和外部网络的单个地址对单个地址的一对一的地址映射,可以实现数据的双向流动。

 

入侵防御


“铱迅下一代防火墙系统”内置了多种默认安全规则集,规则涵盖操作系统、数据库、WEB、网络设备、网络协议等各个层面,用户也可以根据需要进行自定义。用户可通过灵活的规则制定,来建立控制粒度为单个IP的防护策略。
“铱迅下一代防火墙系统”提供一种主动的、实时的防护,其设计旨在对常规网络流量中的恶意数据包进行检测,阻止入侵活动,预先对攻击性的流量进行自动拦截,使它们无法造成损失,而不是简单地在监测到恶意流量的同时或之后发出警报。入侵防御系统是通过直接串联到网络链路中而实现这一功能的,即入侵防御系统接收到外部数据流量时,如果检测到攻击企图,就会自动地将攻击包丢掉或采取措施将攻击源阻断,而不把攻击流量放进内部网络。

 

病毒防御
“铱迅下一代防火墙系统”具备高效、灵活的防病毒能力,实现针对HTTP、UDP、TCP、ICMP、SMTP、FTP等多种协议的病毒流量监测和控制,第一时间完成对木马病毒、蠕虫病毒、宏病毒,以及脚本病毒的查杀,控制或消除上述威胁对系统的危害。

 

负载均衡

 


 

链路负载均衡:当内网和外网之间存在多条链路时,通过“铱迅下一代防火墙系统”链路负载均衡功能可以实现在多条链路上分担内网用户访问外网服务器的流量。“铱迅下一代防火墙系统”链路负载均衡技术通过动态算法,能够在多条链路中进行负载均衡,算法配置简单,且具有自适应能力。同时,“铱迅下一代防火墙系统”提供了相应的策略设置以供用户自定义源/目的IP的链路选择。

 

服务器负载均衡:服务器负载均衡可以高效地使由多个独立计算机组成的松耦合的服务系统构成一个虚服务器;客户端应用程序与服务系统交互时,就像与一台高性能、高可用的服务器交互一样,客户端无须作任何修改。部分服务器的切入和切出不会中断服务,而用户觉察不到这些变化。

 

“铱迅下一代防火墙系统”通过调度算法,将客户端请求合理地均衡到后端各台服务器上,消除系统可能存在的瓶颈。同时,通过健康性检测功能,能实时监测应用服务器的状态,保证在部分硬件和软件发生故障的情况下,整个系统的服务仍然可用。

 

“铱迅下一代防火墙系统”支持以下五种调度算法:

静态轮询:将外部请求按基于权重轮流分配到集群中的真实服务器上,它均等地对待每一台服务器,而不管服务器上实际的连接数和系统负载;

动态轮询:根据真实服务器的实时状态来分配请求,这样可以保证处理能力强的服务器能处理更多的访问流量,设备可以自动问询真实服务器的负载情况,并动态地调整其权值;

 

最小链接优先:通过“最小连接"调度算法动态地将网络请求调度到已建立的链接数最少的服务器上,如果集群系统的真实服务器具有相近的系统性能,采用“最小连接"调度算法可以较好地均衡负载;

源IP哈希:根据请求的源IP地址,作为散列键(HASH KEY)从静态分配的散列表找出对应的服务器,若该服务器是可用的且未超载,将请求发送到该服务器,否则返回空;

 

URL哈希:URL HASH架构对URL进行一次HASH算法,然后通过HASH结果找到对应的服务器。因为针对单一个URL的HASH结果是一样的,所以理论上这个URL会被永久分配到固定的一台服务器上。另外因为经过了hash算法,所以分配URL就很均匀,同时访问量也可以达到均衡。

 

流量监测与流量控制

流量监测:“铱迅下一代防火墙系统”可辨识HTTP、FTP、P2P、DNS、SSH、TCP、UDP等多种协议。同时,允许用户修改流量监测策略,提供了人性化的技术支持手段的危害。

 


流量控制:“铱迅下一代防火墙系统”提供流量控制功能,可控制单个IP地址或地址段的上、下行带宽,带宽的限制可以针对到协议级。通过以上功能,阻断一切非授权用户流量,管理合法网络资源的利用,有效保证关键应用全天候畅通无阻,通过保护关键应用带宽来不断提升企业IT产出率和收益率。

 


UTM与下一代防火墙的区别

现代基于DPI技术的防火墙类产品中会大量使用特征码匹配功能,随着网络应用和攻击类型的爆炸式增加,这里特征码越来越多。处理的性能和延时也受到严重影响。虽然采用了多核处理器并行处理技术,但是随着的网络流量的急剧扩容,简单的特征码匹配加多核处理器的方案也力不从心了。
鉴于当前防火墙技术的功能单一性,产生了UTM(Unified Threat Management),安全网关。UTM设备具备防火墙(FW)、入侵防御(IPS)、防病毒(AV)、应用层防护、流量控制等功能,此项技术属于补丁式的设备堆叠,其部署效果如下图所示:


此解决方案存在投资高、维护成本高、效率低、维护复杂等缺点,尤其是多种功能的“串糖葫芦式”的叠加,对于UTM来说,性能是最大的瓶颈。
因此,出现了下一代防火墙技术:

下一代防火墙对比UTM最大的核心技术点就是高性能单路径异构并行处理,简单描述即UTM采用多种功能堆叠,串行处理,数据包多次检测的技术,如下图:




而下一代防火墙技术采取单次解析、多核并行处理的技术,大大提高了设备的处理能力。