天融信产品交流

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,产品交流,1,天融信防火墙介绍,天融信,IDP,介绍,天融信网闸介绍,目录,2,软件模块化设计,3,灵活的硬件模块化设计,防火墙模块封装板,根据需要可以通过扩充模块，,增加端口的数量,根据需要可以选择,处理能力更好的机箱与引擎,防火墙机箱与引擎,防火墙接口模块,4,TopASIC,高性能防火墙,TopASIC,TM,构建新一代防火墙,自行开发，多项专利,稳定可靠,完全自主产权,模块化、层次化、可持续升级,全功能硬件加速，,TAPF,，大容量,L2,缓存,全线速性能,NAT,交换,七层过滤,VPN,路由,QoS,状态核检测,可编程,模块,TOS,ASIC,CPU,一级缓存,二级缓存,内存,Flash,NVRam,接口控制,高性能,CPU,，负责系统管理和策略授权。,策略授权,网络数据,可编程,ASIC,，集成全面,FW,功能，负责数据高速处理和转发。,TAPF,技术，减少,CPU,对数据处理过程的干预，实现报文快速转发。,大容量二级缓存，存放所有临时表项，无须与内存交互，充分提高性能。,5,零丢包率,天融信,TopASIC,处理器,传统架构,发送,接收,发送,接收,发送,接收,6,完全检测防火墙,7,产品特点,8,天融信防火墙主要特点,自主安全操作系统,TOS,完全内容检测,CCI,可扩展支持防病毒,支持,SSL VPN,集成“,CleanVPN,”,技术,多样化的用户认证,虚拟防火墙,集中策略管理,软件、硬件模块化,9,完全内容检测,CCI,1990,2000,垃圾邮件,病毒,木马,蠕虫,处理能力,拒绝服务攻击,1995,2005,社会学攻击,1,10,100,1000,完全内容检测,CCI,深度包检测,DPI,状态检测,SI,状态检测只检查数据包的包头；,深度包检测可对数据包内容进行检查；,而,CCI,则可实时将网络层数据还原为完整的应用层对象（如文件、网页、邮件等），并对这些完整内容进行全面检查，实现彻底的内容防护。,SI Stateful Inspection,DPIDeep Packet Inspection,CCIComplete Content Inspection,TOS,采用最新的,CCI,技术,10,强大的防病毒引擎,引擎性能优异,能够查杀多达,25,万余种的病毒,病毒库全球同步更新,能够为用户提供,7 X 24,小时防病毒服务,11,“,CleanVPN”,技术,Code Red,Virus,加密引擎,受保护网络,检测引擎,受保护网络,Code Red,Virus,病毒文件通过,VPN,设备检测阻断,加密引擎,检测引擎,加密数据通道,分支,总部,Internet,病毒文件通过,VPN,设备检测阻断,12,明文数据,SSL,协议密文,加密,SSL,协议密文,解密,明文数据,SSL VPN,SSL VPN,代理,公司内网资源,13,多样化用户认证,Internet,RADIUS,服务器,OTP,认证服务器,topsec,*,FW,将认证信息传给,RADIUS,服务器,进行认证,将认证结果传给防火墙,本地认证,Local Database,Web Portal,OTP,根据认证结果决定用户对资源的访问权限,第三方认证,RADIUS,TACACS/TACACS+,S/KEY,SECURID,LDAP,域认证,CA,14,虚拟防火墙,15,Topsec Policy Management,TopPolicy,分级管理功能,ROOT,管理员,一级管理员,二管理员,统一策略管理,统一状态监控,远程配置管理,拓扑可视化显示,远程配置管理,远程用户管理,报表系统,设备流量管理,设备日志审计,双机热备,设备软件集中升级,报警系统,可视化策略编辑,设备信息管理,设备配置版本管理,16,超低时延,科学研究表明，总时延小于,10ms,才能保证网络视频、语音质量,TopASIC,千兆小包时延,2.7us,，比传统架构防火墙小几百倍,Internet,视频会议,即时通讯,IP,语音,通讯,在线结算,ERP,17,天融信防火墙介绍,天融信,IDP,介绍,天融信网闸介绍,目录,18,防火墙不够智能！,HTTP-80 Nimda/P2P,SMTP-25,BackOrifice-31337,蠕虫可以穿透防火墙并迅速传播，导致主机瘫痪，吞噬宝贵网络带宽,P2P,等应用，利用,80,端口进行协商，然后利用开放的,UDP,进行大量文件共享，导致机密泄漏和网络拥塞,IP Header,TCP Header,Packet Payload,无法检测的部分,Firewall,的过滤部分,防火墙只能做到包头信息的过虑，无法检测数据包数据部分的特征。,基于数据包包头信息的检测阻断方式，主要对主机的服务进行控制，无法阻断通过公开端口流入的有害流量，防火墙主要用于对服务的访问控制，并不是对蠕虫或者黑客攻击的解决方案。,19,产品特点,高性能并行架构,基于目标系统的流重组检测引擎,丰富灵活的自定义规则,具有可视化实时报表的功能,20,高性能并行处理架构,TopIDP,应用了先进的多核处理器硬件平台，将并行处理技术成功融入天融信自主知识产权操作系统,TOS,（,Topsec Operating System,）系统，形成了先进的多核架构技术体系；,在此基础上的,TopIDP,产品具有高速的数据并行检测处理和转发能力，能够胜任 高速网络的安全防护要求。,21,基于目标系统的流重组检测引擎,22,丰富灵活的自定义规则,TopIDP,产品内置了丰富灵活的自定义规则能力，能够根据协议、源端口、目的端口及协议内容自行定义攻击行为,借助于灵活的自定义规则能力，用户可以轻松定义自己的应用层检测和控制功能。,23,可视化的实时报表功能,TopIDP,产品提供了可视化的实时报表功能，可以实时显示按发生次数排序的攻击事件排名，使网络攻击及其威胁程度一目了然。,应用配套的,TopPolicy,产品，可以实时显示,Top10,攻击者、,Top10,被攻击者、,Top10,攻击事件等统计报表，更可以显示,24,小时连续变化的事件发生统计曲线图。,24,TopIDP,以威胁抵御为核心功能,应用威胁,蠕虫,/,病毒,DoS/DDoS,间谍软件,网络钓鱼,带宽滥用,垃圾邮件,TopIDP,是以应用层威胁抵御为核心功能的综合威胁抵御产品,TopIDP,支持对各种新威胁的识别和抵御，可以不断给用户带来增值安全服务，降低用户,TCO,25,产品功能介绍,具有完整的防火墙功能,入侵防御功能,对木马、蠕虫病毒、,对主流的,RPC,漏洞攻击做检测和阻断,对利用系统漏洞、溢出、,HTTP,类攻击进行检测和阻断,可以检测和阻断多种拒绝服务攻击,可以按照用户自定义的规则来进行入侵检测,26,产品功能介绍,应用监控,可以识别和控制,P2P,、,IM,应用,可以对一些网络游戏、在线炒股进行监控和管理,规则库管理,系统规则库手动更新、定时更新,自定义规则库导入、导出,动作,通过,/,拒绝、,Tcp Reset,、日志开关、防火墙联动（,IDS,模式）、记录报文等,27,产品功能介绍,规则,2200,条系统规则，,16,项系统规则集,支持自定义规则，自定义规则集,28,产品功能介绍,系统规则集,29,产品功能介绍,Web,日志和报表,基本信息首页：入侵排名（前,10,名）,IPS,详细事件（日志）,攻击排名：持续时间、清空,TP,日志和报表,事件监视（最近,1,小时）、流量监视,日报、周报、月报等,30,报表功能,产品功能介绍,31,天融信防火墙介绍,天融信,IDP,介绍,天融信网闸介绍,目录,32,隔离概念的提出,国外,最早提出隔离概念，,70,年代美国、俄罗斯和以色列等国都存在此方面的技术应用和相关法规,国内,隔离要求最早是由国家保密局提出的，并已严格在涉密网内执行,中共中央办公厅,2002,年第,17,号文件明确强调：“政务内网和政务外网之间物理隔离，政务外网与互联网之间逻辑隔离”,33,网络卫士安全隔离与信息交换系统,网络卫士安全隔离与信息交换系统（,TopRules,系统）采用自主研发的安全操作系统（,TOS,操作系统）、专用的硬件设计、内核级入侵监测、领先的病毒查杀技术、完善的身份认证、严格的访问控制和安全审计等各种安全模块，通过对信息进行还原、扫描、过滤、认证，同时将防病毒、入侵检测、审计等安全处理整合在一起，有效地防止非法攻击、恶意代码和病毒渗入，同时防止内部机密信息的泄露，实现网间信息的安全隔离和可控交换。,34,TopRules,解决的问题,保证安全隔离的同时，实现网间高效、受控的数据交换,三机三系统的特有结构，保证了设备自身高度的安全性,信息落地，内部专用安全协议，专用硬件，解决了由于,TCP/IP,协议的脆弱性所带来的众多网络攻击问题,采用了安全隔离策略，有效地解决了涉秘网络信息泄漏的问题,35,产品特点,36,先进的三机三系统,独立的仲裁审计系统,专用硬件和专用通信协议,防范各类攻击和信息泄漏,应用级完全内容检测与审计,广泛的应用协议支持,安全、便捷的管理,产品特点,37,产品特点,先进的三机三系统模型,采用了最先进三机三系统的设计模型：软硬件结合的方式，系统,硬件平台由内网主机系统、仲裁主机系统、外网主机系统、专用,的安全隔离卡四部分组成,。,38,三机三系统的特点和优势,内,/,外端机是内,/,外网网络协议的终点，网络协议不可延伸,信息落地，仲裁机对剥离的应用层信息进行安全检查，控制网间传播内容，保护重要资源,仲裁机网络协议不可达，自身安全性大大提高,攻击者即使同时获得内外网机的权限，也无法构建不受控通道,39,产品特点,独立的仲裁系统,对流经仲裁系统所有信 息进行检查,确保内外网络的信息交互置于可控范围内,审计信息记录在案,40,产品特点,专用硬件和专用通信协议,在天融信公司专用安全操作系统,TOS,内核中嵌入专用协议和认证,机制，使得设备的安全隔离能力大大增强；,内网主机和外网主机是内部网络和外部网络通用,TCP/IP,协议的终,点，各自的网络协议在仲裁主机实现剥离和重建。,41,产品特点,防范各类攻击和信息泄漏,专用的入侵检测引擎、杀毒引擎、黑白名单、数字签名、访问,控制策略、安全协议通道等技术的使用，可以使设备发现、过,滤并阻塞各种已知、未知的攻击，病毒和蠕虫等恶意代码，有效,保护内部网络系统的安全性 。,42,产品特点,应用级完全内容检测与审计,采用天融信公司专有完全内容检测模块，过滤所有交换数据，全面解析网络传输信息，通过深层次细粒度的内容过滤，预先拦截内、外网用户禁止访问的内容,43,产品特点,广泛的应用协议支持,支持,HTTP,、,HTTPS,、,SMTP,、,POP3,、,FTP,、,TELNET,、,SQL,、,OACLE,、,NULL_TCP,等,支持用户基于标准,TCP,、,UDP,开发的自定义协议软件,无需对自定义协议软件进行二次修改开发,可以根据需求开发新的专用协议处理过滤功能,44,产品特点,安全、便捷的管理,设备本身的管理和维护，都通过仲裁主机进行管理。仲裁主机采用专用协议，与内外部网络没有任何关联，保证了设备管理的可靠性和安全性；同时可以灵活方便地进行管理。,45,税务成功案例一览,项目名称：山东省国税局网络安全项目,项目名称：国家税务总局信息系统安全审计项目,项目名称：内蒙古地方税务局网络安全建设项目,项目名称：江苏省地税局网络安全系统项目,项目名称：山东省地税省级大集中网络建设项目,项目名称：哈尔滨市地方税务局网络安全系统项目,项目名称：广西财政防火墙系统项目,项目名称：江西省财政厅安全防护与,VPN,接入,项目名称：江西省财政厅网络安全建设项目,项目名称：云南地税系统“金税工程”,46,47,