宝信多功能安全网关eCopXSA30概述PPT演示文稿

1、宝信多功能安全网关宝信多功能安全网关 eCop XSA介绍介绍 体验安全、快速的体验安全、快速的InternetInternet访问之旅访问之旅 eCop XSA安全设备是基于高级应用层防火墙、虚拟专用网络 (VPN) 和 Web 缓存的解 决方案，它能够改善客户网络的安全和性能，并具有适应安全需求持续增长的可扩展 性，为用户提供了完善、全面的边界防护解决方案。 eCop XSA是什么？是什么？ 完整的边界安全完整的边界安全 解决方案解决方案 与微软各类系统的与微软各类系统的 完美整合完美整合 开放性可扩展的开放性可扩展的 安全平台安全平台 为什么需要为什么需要eCop XSAeCop XSA

2、？ 黑客 123 的的 由单一型转为混合型 攻击更加频繁 漏洞增多 攻击周期急剧缩短 网络犯罪愈演愈烈 影响面和破坏力增大 对技术人员水平要求较高 安全产品难以使用部署 多个控制台 管理维护工作量大 居高不下的投资成本 存在太多的单点产品 无法协同工作 无力应对复杂攻击手段 隐藏真实安全事件源 不具备灵活的可扩展能力 eCop XSAeCop XSA提供的解决方案提供的解决方案 将智能防火墙、VPN、防病毒 和反垃圾邮件等多种安全技术 融合于一体，构建立体化安全 防护体系，有效抵御混合型攻 击 123 较低的投资成本 全面的管理、报告和日志平 台 简化的管理 单一管理平台 简单的部署维护 简化

3、的授权 交叉产品集成 MS 安全产品 MS 服务器应用程序 与 Microsoft IT 基础结构相集 成 AD、MOM，等等 与合作伙伴、宝信安全方案相 集成 eCop XSA功能特性功能特性 多网络模式支持多网络模式支持 DMZ_1 定义任何数量的网络定义任何数量的网络 VPN也作为网络也作为网络 本地主机也作为网络本地主机也作为网络 指定关系指定关系(NAT/Route) 基于网络指定策略基于网络指定策略 对网络间的通讯进行检查对网络间的通讯进行检查 VPN 网络 eCop XSA 任何拓扑，任何策略 网络网络 A DMZ_n 本地主机本地主机 内网内网_1 内网内网_2 Interne

4、t 智能的高级应用层防火墙智能的高级应用层防火墙 ? ? Source Address, Dest. Address, TTL, Checksum Sequence Number Source Port, Destination Port, Checksum 合法的合法的HTTP流量流量 非法的非法的HTTP流量流量 攻击攻击 非非HTTP流量流量 内部网络内部网络 传统型防火墙的缺陷传统型防火墙的缺陷 Internet 智能的高级应用层防火墙智能的高级应用层防火墙 eCop XSAeCop XSA的三层过滤的三层过滤 确定允许哪些数据包通过并到达受确定允许哪些数据包通过并到达受 保护的网络链

5、路和应用程序层代理保护的网络链路和应用程序层代理 服务。状态过滤只在需要时自动打服务。状态过滤只在需要时自动打 开端口，并在通信结束时自动关闭开端口，并在通信结束时自动关闭 这些端口。这些端口。 为为 Telnet、 RealAudio、Windows Media technologies、 IRC 以及许多以及许多 其他其他 Internet 协议和服务的多平面访协议和服务的多平面访 问提供了应用程序透明的链路网关。问提供了应用程序透明的链路网关。 XSA 链路层安全可以与动态数据包过链路层安全可以与动态数据包过 滤配合工作，从而增强安全性和易用滤配合工作，从而增强安全性和易用 性。性。 可

6、以识别客户端可以识别客户端PC应用程序协议应用程序协议 （如（如 HTTP、 FTP、和、和 Gopher） 中的命令。中的命令。eCop XSA代表客户代表客户 端端 PC 进行操作，并对外部网络进行操作，并对外部网络 隐藏网络拓扑结构和隐藏网络拓扑结构和 IP 地址地址。 以动态、智能化的方式对通过防火墙的程序执行状态 包过滤（状态包检查）和应用程序层状态检查。此项 检查确保了通信的完整性并防止由入侵者、黑客、蠕 虫、病毒和可疑命令字符串引起的安全漏洞。在应用 层协议和连接状态的上下文中都进行状态检查。 智能的高级应用层防火墙智能的高级应用层防火墙 eCop XSAeCop XSA应用程序

7、筛选器应用程序筛选器 eCop XSA使用应用 程序筛选器来执行应 用程序级安全检查。 应用程序筛选器是注 册到特定协议端口的 动态链接库 (DLL)。 每当把一个数据包发 送到该协议端口，它 就被传递给应用程序 筛选器，后者按照应 用程序逻辑来检查该 数据包，并根据策略 来决定该怎样处理。 智能应用程序筛选智能应用程序筛选 eCop XSA支持支持100个以上的个以上的 Internet协议，管理员可根据自协议，管理员可根据自 身需求，基于端口数、类型、身需求，基于端口数、类型、 TCP或者或者UDP和方向定义附加协和方向定义附加协 议，具有良好的可扩展性。议，具有良好的可扩展性。 eCop

8、 XSA 内部网络内部网络 非非HTTP流量流量 攻击攻击 非法的非法的HTTP流量流量 合法的合法的HTTP流量流量 Internet WebWeb高速缓存高速缓存 使用RAM 缓存、磁盘 缓存和HTTP压缩技术 来增加速内部用户访 问外部网络的速度， 节约现有带宽资源。 1234 将内部Web服务器中的 数据寄存在XSA缓存中， 可以有效降低Web服务 器负荷。 在网络流量不大时， 缓存中那些经常被访 问的对象会自动地被 更新，以优化带宽的 使用。 使用分层连接将客户 端的请求通过缓存服 务器链逐层向上游传 送，有效加速分支机 构的访问速度。 eCop XSA Internet 用户一用户

9、一 用户二用户二 发起Internet 访问请求 未发现需要 访问的内容 从外网服务 器下载数据 将数据存储 到缓存中 发起Internet 访问请求 发现数据， 从缓存下载 安全的发布安全的发布WebWeb应用应用 通过模拟已发布的服 务器来添加一个安全 层。服务器发布规则 保护内部服务器免遭 外部用户的不可靠访 问。 1234 智能应用程序过滤可 以检查流入服务器的 数据，保护所有已发 布的服务器免遭外部 攻击。 通过集成的 Windows 身份验证、 RADIUS 目录用户、活动目录、 等身份认证技术保证 到访用户的合法性 使用SSL安全的发布 Web应用，与大多数 防火墙不同之处在于，

10、 XSA可以对经过SSL 加密的数据进行安全 性检查。 传统防火墙传统防火墙 Internet 身份认证在服 务器上进行 建立建立SSL通道通道 病毒通过加密 通道传送 无法检查SLL 加密的数据 eCop XSA 在XSA上实现 单点认证 XSA会解开加 密数据包检查 重新打包或直 接转发数据 站点间的站点间的VPNVPN连接连接 Internet 第三方第三方VPN设备设备eCop XSA 总部总部 分支机构分支机构 基于PPTP的VPN连接并未提供数据完整性验证，安全性较差 利用IPSec提供数据保密性、数据完整性和数据源验证服务 当有一方采用第三方VPN服务器时只可以采用此模式 eCo

11、p XSA PPTP连接连接基于基于IPSec的的L2TPIPSec隧道模式隧道模式 远程访问远程访问VPNVPN及安全隔离及安全隔离 eCop XSA Internet 发出VPN 连接请求 用户一用户一 用户二用户二 隔离区隔离区 内网内网 XSA将其分 配到隔离区 体检客户端 进行体检 检查通过后， 接入内网 体检客户端 进行体检 检查不通过 断开连接 客户端脚本检查客户端是否满足公司安全策略客户端脚本检查客户端是否满足公司安全策略 是否启用个人防火墙是否启用个人防火墙 / 安装安装最新的防病毒库最新的防病毒库 / 安装所需的安装所需的 补丁补丁 程序程序？ 检查包括注册表、进程、文件、

12、检查包括注册表、进程、文件、MAC地址等客户端体检地址等客户端体检 最常用的体检内容最常用的体检内容 检查条件可以独立或者组合，灵活满足接入体检需求检查条件可以独立或者组合，灵活满足接入体检需求 如果检查成功，客户端将获得完全访问权限如果检查成功，客户端将获得完全访问权限 如果检查失败，客户端将在超时时段以后断开连接如果检查失败，客户端将在超时时段以后断开连接 eCop XSA支持远程访问支持远程访问VPN，同时可同时可 以通过自定义客户端安全脚本对接以通过自定义客户端安全脚本对接 入终端进行安全体检。入终端进行安全体检。 灵活地发布服务器灵活地发布服务器 eCop XSA简化服务器发布配置，

13、使简化服务器发布配置，使 配置任务点击间轻松完成。配置任务点击间轻松完成。 可用于发布各种协议的服务器，只可用于发布各种协议的服务器，只 需输入需输入服务器服务器IP地址、端口、发布端地址、端口、发布端 口，就可以快捷地将服务器发布。口，就可以快捷地将服务器发布。 丰富的丰富的VPNVPN接入体检接入体检 可以专门定制的体检客户端，支持包括注册表、进程、文件、MAC地址等体检内容， 只需在eCop-XSA配置管理页面中进行简单的配置，就可以轻松的实现VPN接入体检功 能。 可扩展的安全功能可扩展的安全功能 上网行为管理功能上网行为管理功能 提供可控制的上网访问，大幅提高员工工作效率；限制网络下载，并提供带宽管理功能保证关键应用；过滤 敏感信息、屏蔽非法网站和内容，还可以控制危险内容（病毒、间谍软件、恶意代码、木马等）的无意访问。 防毒、杀毒功能防毒、杀毒功能 强大的杀毒功能支持HTTP、SMTP、POP3、FTP、NETBIOS等多种协议的数据流，不仅可以查杀普通病 毒邮件，还可以检查出各种压缩包（zip，rar，gzip等）隐藏的病毒。 反垃圾邮件功能反垃圾邮件功能 防垃圾邮件功能采用关键字、黑白名单、反向侦测SMTP服务器等多种过滤手段