宝信多功能安全网关eCopXSA30概述课件

宝信多功能安全网关——eCopXSA介绍体验安全、快速的Internet访问之旅eCopXSA安全设备是基于高级应用层防火墙、虚拟专用网络(VPN)和Web缓存的解决方案，它能够改善客户网络的安全和性能，并具有适应安全需求持续增长的可扩展性，为用户提供了完善、全面的边界防护解决方案。eCopXSA是什么？完整的边界安全解决方案与微软各类系统的完美整合开放性可扩展的安全平台eCopXSA是宝信软件与微软开展合作，为市场引入的基于MicrosoftISAServer2006的多用途安全管理设备一套集智能防火墙、IPSec&SSLVPN、双向代理与缓存、内容过滤、防病毒、反垃圾邮件等功能的完整解决方案基于独特的插件式可拓展结构，第三方厂商可通过开放的接口开发增值应用，满足用户多样化需求充分利用微软系统平台的各项安全管理技术，为其产品提供深层次的安全防护，是微软安全解决方案中不可缺少的一部分为什么需要eCopXSA？黑客日益复杂的攻击手段123各自为战的安全技术越发复杂的管理由单一型转为混合型攻击更加频繁漏洞增多攻击周期急剧缩短网络犯罪愈演愈烈影响面和破坏力增大对技术人员水平要求较高安全产品难以使用部署多个控制台管理维护工作量大居高不下的投资成本存在太多的单点产品无法协同工作无力应对复杂攻击手段隐藏真实安全事件源不具备灵活的可扩展能力eCopXSA提供的解决方案将智能防火墙、VPN、防病毒和反垃圾邮件等多种安全技术融合于一体，构建立体化安全防护体系，有效抵御混合型攻击立体化的防御123高集成度的整合方案便捷的管理较低的投资成本全面的管理、报告和日志平台简化的管理单一管理平台简单的部署维护简化的授权交叉产品集成MS安全产品MS服务器应用程序与MicrosoftIT基础结构相集成AD、MOM，等等与合作伙伴、宝信安全方案相集成eCopXSA功能特性智能的高级应用层防火墙ApplicationLayerContent????????????????????????????????????????????只检查数据包头部应用层的内容看来就像是一个神秘的“黑盒子”IPHeaderSourceAddress,

Dest.Address,

TTL,

ChecksumTCPHeaderSequenceNumber

SourcePort,

DestinationPort,

Checksum基于端口号转发合法的数据流和应用层攻击使用相同的端口合法的HTTP流量非法的HTTP流量攻击非HTTP流量内部网络——传统型防火墙的缺陷Internet智能的高级应用层防火墙——eCopXSA的三层过滤确定允许哪些数据包通过并到达受保护的网络链路和应用程序层代理服务。状态过滤只在需要时自动打开端口，并在通信结束时自动关闭这些端口。为Telnet、RealAudio、WindowsMediatechnologies、IRC以及许多其他Internet协议和服务的多平面访问提供了应用程序透明的链路网关。XSA链路层安全可以与动态数据包过滤配合工作，从而增强安全性和易用性。可以识别客户端PC应用程序协议（如HTTP、FTP、和Gopher）中的命令。eCopXSA代表客户端PC进行操作，并对外部网络隐藏网络拓扑结构和IP地址。以动态、智能化的方式对通过防火墙的程序执行状态包过滤（状态包检查）和应用程序层状态检查。此项检查确保了通信的完整性并防止由入侵者、黑客、蠕虫、病毒和可疑命令字符串引起的安全漏洞。在应用层协议和连接状态的上下文中都进行状态检查。Web高速缓存使用RAM缓存、磁盘缓存和HTTP压缩技术来增加速内部用户访问外部网络的速度，节约现有带宽资源。1234将内部Web服务器中的数据寄存在XSA缓存中，可以有效降低Web服务器负荷。在网络流量不大时，缓存中那些经常被访问的对象会自动地被更新，以优化带宽的使用。使用分层连接将客户端的请求通过缓存服务器链逐层向上游传送，有效加速分支机构的访问速度。eCopXSAInternet用户一用户二发起Internet访问请求未发现需要访问的内容从外网服务器下载数据将数据存储到缓存中发起Internet访问请求发现数据，从缓存下载安全的发布Web应用通过模拟已发布的服务器来添加一个安全层。服务器发布规则保护内部服务器免遭外部用户的不可靠访问。1234智能应用程序过滤可以检查流入服务器的数据，保护所有已发布的服务器免遭外部攻击。通过集成的Windows身份验证、RADIUS目录用户、活动目录、等身份认证技术保证到访用户的合法性使用SSL安全的发布Web应用，与大多数防火墙不同之处在于，XSA可以对经过SSL加密的数据进行安全性检查。传统防火墙Internet身份认证在服务器上进行建立SSL通道病毒通过加密通道传送无法检查SLL加密的数据eCopXSA在XSA上实现单点认证XSA会解开加密数据包检查重新打包或直接转发数据站点间的VPN连接Internet第三方VPN设备DMZeCopXSA总部分支机构PPTP连接：基于PPTP的VPN连接并未提供数据完整性验证，安全性较差基于IPSec的L2TP（推荐）：利用IPSec提供数据保密性、数据完整性和数据源验证服务IPSec隧道模式：当有一方采用第三方VPN服务器时只可以采用此模式eCopXSAPPTP连接基于IPSec的L2TPIPSec隧道模式远程访问VPN及安全隔离eCopXSAInternet发出VPN连接请求用户一用户二隔离区内网XSA将其分配到隔离区体检客户端进行体检检查通过后，接入内网体检客户端进行体检检查不通过断开连接客户端脚本检查客户端是否满足公司安全策略是否启用个人防火墙/安装最新的防病毒库/安装所需的补丁程序？检查包括注册表、进程、文件、MAC地址等客户端体检最常用的体检内容

检查条件可以独立或者组合，灵活满足接入体检需求如果检查成功，客户端将获得完全访问权限如果检查失败，客户端将在超时时段以后断开连接eCopXSA支持远程访问VPN，同时可以通过自定义客户端安全脚本对接入终端进行安全体检。灵活地发布服务器eCopXSA简化服务器发布配置，使配置任务点击间轻松完成。可用于发布各种协议的服务器，只需输入服务器IP地址、端口、发布端口，就可以快捷地将服务器发布。

丰富的VPN接入体检可以