多功能安全网关

1、多功能安全网关 NBAD Defender北京方正奥德计算机系统有限公司 北京方正蓝康信息技术有限公司 安全高效，源自方正管理 系统主要特性可主动侦测并拦截HTTP/FTP/POP3/SMTP/IMAP等Internet运用最普遍的入侵攻击模式.安全强化的操作系统核心，防止系统本身遭受入侵威胁可弹性运用多条宽带连接(ADSL/Cable Modem)取代昂贵的高速专线可同时连接多家ISP达到对外线路负载平衡及容错备份，并支持Internet Server负载平衡采用专属之Windows GUIClient管理接口，支持SSL安全存取协议，安全性高于WEB的管理接口，系统本身不会有HTTP Se

2、rver的安全漏洞存在除了可防御外来可疑入侵之外，也可防堵内部对外进行自动化的攻击（例如：Code Red, Nimda.）可同时运行Routing/NAT/BridgeMode于DMZ区段模块化安全管理机制，管理者可任意设定不同模块管理者权限提供网站过滤(URL Filter)功能提供防毒过滤功能模块，支持IMAP4, POP3,SMTP通讯协议病毒过滤内建实时的封包监听工具(Sniffing Tools)及图形化的解析封包内容，可设定监听规则对远程网络进行监听提供网络蜜罐（Honeypots）入侵诱捕功能，配合内建的实时封包分析工具(Packet Sniffer)，以有效诱捕网络黑客,忠实

3、记录其行为支持DHCP服务器功能支持Bypass功能(选择性配置)，不需担心服务中断的可能性支持双机热备（Fail-Over）功能，达到完整的冗余机制三层式的系统架构设计(信息搜集系统汇整分析系统中央管理接口)，可建构企业的中央安全管理与监控机制NBAD defender T M Security Gateway多功能网络安全网关(UTM)目前企业已普遍完成防火墙系统建设，但是一般的防火墙系统已无法有效的阻挡入侵威胁，单纯的入侵检测系统也只限于侦测而无法有效的阻挡入侵攻击，中小企业或学校单位基于经费考虑更难以支付昂贵专属的入侵检测系统。方正管理基于本身入侵检测与防御技术专长并结合了防火墙技术，

4、开发整合了动态防火墙、入侵防御侦测、VPN、多线宽带负载平衡、服务器负载平衡及带宽管理等多种安全机制于一身的NBAD defender 多功能网络安全防御系统，通过高效能的系统平台，可满足各类型企业或学校单位对信息安全及管理一次性需求。 网址: http:/www. IFS-5000IFS-1000IFS-200/500IFS-2000卓越的安全机制防火墙系统技术部份，NBAD defender具备封包过滤及动态检测能力，而且可同时启动两种封包过滤与分析的检测机制，并且也提供各种通讯协议的高级封包过滤选项(包括ICMP Type、TCP Flags、IP Option等)，以及完全支持FTP(

5、active/passive)协议，动态产生FTP联机的防火墙规则。通过完整的动态检测设计，使得攻击者无法进行SYN/FIN/RST flooding攻击。NBAD defender 的TCP Defender功能可有效阻挡各类TCP攻击及操作系统特征扫描(Fingerprint，包括SYN/FIN/XMAS/NULL等特征扫描、Land攻击、SYN/FIN/ACK/RST Flooding攻击等)。入侵防御模块入侵检测技术部份，可侦测并阻拦NetBIOS、POP3、SMTP、IMAP、FTP、DNS及800多种HTTP的攻击类型，同时也可辨认各类IDS逃避技术(包括Double Slashe

6、s、Reverse Traversal、Self-Reference、Parameter Hiding等)。通过状态过滤能力，可自动重组TCP Segment后再进行比对，同时也提供Regular Expression的比对方式。NBAD defender 可自动解译Hex/Unicode编码的URL，再进行比对；内建超过1,000多URL攻击特征并可自行新增HTTP攻击特征；具透明的HTTP代理重新导向能力并可支持HTTP/1.1 Connection Reuse联机；可限制HTTP Method，如GET、POST、HEAD、OPTION等也是NBAD defender的特色。IP碎片防护

7、 支持IP碎片封包(IP Fragment)防护功能，可自行设定最大/最小碎片封包的长度，并可设定是否让重迭或重复的碎片封包通过，以阻挡各类IP fragment DoS的攻击，譬如：太小、太大或重复的IP fragment攻击(包括teardop、nestea、bonk、ping-of-death、jolt等)。同时NBAD defender 具备Anti IP Spoofing能力以及Ethernet防火墙功能，以对非IP协议的流量进行过滤与控制。 网址: http:/www. 由ISS信息安全监控中心统计数据得知，HTTP的攻击类型占所有入侵类型非常高的比例，NBAD defender

8、可有效的阻挡信息黑客常用的POP3、SMTP、IMAP、FTP及1000多种HTTP等攻击类型，当系统侦测到进入NBAD defender 的入侵攻击封包后，会立即启动入侵防御机制阻挡后续的入侵攻击行为，非常适合学校、企业或大型企业分置单位建设对外或内部的安全防御系统。安全高效,源自方正管理 NBAD Defender攻击的方向也可能是由内部对外部发动攻击，例如:Code Red, Nimda等Worm型态的自动攻击模式，当企业内部因遭受感染后而自动的对外部发动攻击时，NBAD defender也会有效将其阻挡，以防止企业形象受损。防毒墙功能模块NBAD defender 支持In-Line的

9、病毒过滤机能, 并支持IMAP4, POP3,SMTP三种通讯协议, 当网络用户以这三种方式与外界进行邮件通信时,NBAD defender 将自动过滤这些信息或档案是否夹带有病毒。防毒墙与入侵防御模块部份的需求是一样的,需要定时更新病毒特征以维护病毒扫描最新及时状态,NBAD defender将定时下载最新病毒码,以维持NBAD defender 防毒引擎为最新状态。虚拟私有网络模块 NBAD defender VPN支持IPSec协议，提供Transport及Tunnel Mode能力，并支持IKE Pre-Shared Secret认证模式，企业可安心地与远程的分公司或上下游厂商网络连接

10、。而通过DES、3DES、CAST、BLOWFISH、AES等加密机制，可确保数据传输的的机密性、正确性与可用性。负载平衡及带宽管理模块多线宽带负载平衡、服务器负载平衡及带宽管理的功能，也是MIS中心、计算机机房或实验室需独立于现有对外主干的Internet联机安全防御最佳选择，因应视频会议应用的日益普及，通过对外多线宽带整合及带宽管理功能，系统管理者可妥善的分配与管理进行视频会议所需的带宽，以避免影响其他的正常运作下的信息流。网络蜜罐（Honey pot）入侵诱捕机制可模拟HTTP,网络邻居, FTP, SMTP, POP3等网络服务,以有效诱捕网络黑客,忠实记录其行为.并能实时与攻击特征数

11、据库进行比对,一旦确认攻击者怀有恶意,还能动态新增防火墙规则,自动阻挡黑客的入侵。 网址: http:/www. 安全高效,源自方正管理 NBAD Defender中央管理机制NBAD defender 采三层式的系统架构设计(信息搜集系统汇整分析系统中央管理接口)，可建构企业的中央安全管理与监控机制，对部署于外围单位多点系统进行安全政策修订及系统更新的工作，皆可通过中央管理系统进行完全的控管，非常方便于系统管理者的工作。双系统热备功能(Fail Over) NBAD defender 支持双系统热备功能，在双系统热备的运作模式下，当其中一台无法正常运作时，另一台将立即接手并维持网络的正常运作

12、。实时封包解析模块(Packet Sniffer)NBAD defender 内建实时封保解析功能，系统管理者可于Client端管理接口上实时的解析流经任何一个界面封包，配合Honey-Pot的功能可对入侵者的行为进行高级的分析。 网址: http:/www. F支持By pass功能 (可选)NBAD defender 在透通模式下支持By-Pass的功能，当系统或硬件发生故障时，By-Pass接口将立即发挥其功能以防止联机服务的中断。网址/端口转换模块NBAD defender 加强型NAT/PAT的网络及Port地址转换功能，可依不同网络区段设定所要转换的IP地址，有效的节省内部合法IP

13、地址的资源，并防止内部重要设备IP地址的曝露。此外，NBAD defender 的NAT/PAT Module可完全兼容于FTP协议,自动处理FTP数据联机。安全高效,源自方正管理 NBAD DefenderSEPCIFS-200IFS-500IFS-1000IFS-2000IFS-5000规格及效能防火墙最大效能 (Throughput Mbps)1002004001G4G最大用户数 (Max.Users)200500100020005000内置线路跳离 (Traffic By Pass) - 电源冗余(Redudant Power)- 系统运作模式路由& 透通 & NAT模式 (Routi

14、ng & Bridge /In-link& NATMode)混合模式 (NAT+Bridge+Routing Mode)监听模式 (Span Mode)高可用性 (High Availability) 系统管理管理接口 (GUI)英 / 简英/ 简英 / 简英 / 简英 / 简Console 界面 ,安全线连管理 (SSH)系统设定:备份 / 恢复 / 导出 / 导入 (Configuration Backup)使用者限权管理 (Administrator and read only user levels)集中管理系统 (Device Manager)网络使用分析功能流量统计分析 - 每时

15、/ 日 / 周 / 月 / 年 (Traffic Analysis )实时封包分析 (Packet Sniffer)实时联机监控管理 (Real Time Sessions Monitor)自定义过滤联机规则 (Define Filter Condition)负载平衡 ( 多线路负载平衡 & 服务器负载平衡 )多线路负载平衡 (Multi homing)线路故障备份 (Multihoming Failover)自动切换预设网关 (Auto-Switch default Gateway) 策略式负载平衡线路分流执行策略 (Policy Based Routing)支持服务器负载平衡执行策略 (S

16、erver Loadbalance)带宽管理策略式带宽管理 (Policy Based Loadbalance)保证及最大带宽设定 (Minimal,Maximal Bandwidth Management )最大及每秒联机数管理防止 DOS and DDOS(Session Limiter)虚拟私有网络 VPNIPSec加密方式(AES/DES/3DES/CAST128/BLOWFISH)验证方式MD5/SHA-1(Authentication MD5/SHA-1)防护Relay攻击(Relay Attack)VPN 模式 (IPSEC /PPTP)系统日志 / 警报160GB 硬盘系统记录

17、空间 (Internal 160GB HD)系统日志支持多部服务器 (Syslog)实时警报事件发送 Mail/SNMP(Alert messages)实时警报监控 (Alert Monitor)依每日 / 周 / 月 / 年制作 2D/3D 报表 (Reporting System)报表导出格式 TXT or CSV (Report Export TXT or CSV )支持Web图形化管理系统,提供Top N事件报表查询及统计排名其它网络功能网址过滤 (URL Filter)DHCP, NetFlow V1,V5HTTP 传输代理服务器 (HTTP Transparent Proxy) 网

18、址: http:/www. 产品规格安全高效,源自方正管理 NBAD Defender 产品规格SEPCIFS-200IFS-500IFS-1000IFS-2000IFS-5000防火墙功能端口重定向 (PAT) / 虚拟服务器 (Virtual IP) / IP 对应 (Mapping)提供基本防火墙策略 (Basic Firewall Rule)防火墙设定向导 (Firewall Rule Wizard)IP 伪造防御功能 (Anti-IP Spoofing)自定义防火墙封包状态 (Stateful Packet Inspection)IP 封包碎片保护器 (IP Fragment Pro

19、tection)TCP 防护器 (TCP Defender)入侵检测与防御入侵检测系统 IDS(Layer 3) 自动侦测阻挡 TCP Port Scan / TCP SYN Scan / UDP Scan / TCP FIN Scan / OS Detection / SYN Flooding / Ping Flooding / IP Fragment Attack / Smurf Attack 等入侵防御系统 IPS(Layer7) 攻击特征超过 6000 条并可以自定义规则自动防御 Buffer Overflow/DOS/Worm/Web Application Attack/Trojan/Backdoor/Attempted Recon/IM/P2P 等攻击特征可依Policy设定Reset、Drop或Log攻击事件具备实时阻断攻击能力用户自定义攻击特征 / 主动辨认并阻挡1,000种以上攻击手法辨识IP、TCP、UDP、ICMP、NETBIOS、ARP、ESP、AH、IPX等封包，并完整解析封包的网络七层架构支持IEEE 802.1q VLAN环境异常通讯协议侦测(Protocol Anomaly Detection)发送TCP Reset中断入侵攻击联机丢弃攻击封包(Drop Attach Packet)流量异常分析攻击特征码(Signature)通过L