天融信下一代防火墙产品介绍

天融信下一代防火墙TOPSECNGFW天融信起源2006.猎豹系列防火墙问世TOPSEC

-Cheetah(猎豹)系列国内首款ASIC架构防火墙线速级网络转发微秒级网络延迟芯片级攻击防护强大的网络适应能力1996.国内首台自主防火墙2005.国内首套安全操作系统...成就-大规模实际应用案例中南海政务网国家大剧院青藏铁路北京地铁10号线成都地铁国家奥林匹克体育中心中国安全硬件市场领导者年份防火墙/VPN

市场占有率品牌

排名统计来源2015上21.9%1IDC2015,11201418.9%10.5%1IDC2015,7

CCID2015,6201319.2%1IDC2013,05201219.4%1IDC2012,04201114.6%1IDC2011，09201017.8%1IDC2011,05200916.8%1IDC2010,05200810.1%1IDC2009,05200719.2%1IDC2008,03200616.3%1IDC2007,03200518.9%1CCID2006,01200419.1%1CCID2005,03200317.0%1IDC2004,03200215.2%1CCID2003,02200110.7%1CCID2002,02200012.0%1CCID2001,02印记北京奥运会南京青奥会上海世博会中国载人航天国庆60周年深圳大运会广州亚运会十八大APECCHINA新应用新技术不断涌现云计算WEB2.0移动互联日趋严重的安全威胁HTTP/MAIL/FTP……SaaS/PaaS/IaaS博客/网络社区……复杂的网络管理多网络故障点网络转发性能低下UTMUTM如何应对?部署更多的防护设备过高的成本投入问题仍然无法解决FireWall/VPNIPSAntiVirusACM传统UTM的解决方案ROUTE/SW/Webui/HA…ManagementEngineNICFWEngineIPSEngineAVEngineURLFilter

Engine……Engine“串行”方式的内部流处理复杂的策略配置体系全功能开启后低下的转发性能安全产品的功能堆叠下一代防火墙-Gartner支持联机“bump-in-the-wire”配置，不中断网络运行。发挥网络传输流检查和网络安全政策执行平台的作用，至少具有以下特性：传统防火墙：NGFW必须拥有传统防火墙所提供的所有功能，如基于连接状态的访问控制、NAT、VPN等等。支持与防火墙自动联动的集成化IPS：NGFW内置的防火墙与IPS之间应该具有联动的功能，例如IPS检测到某个IP地址不断地发送恶意流量，可以直接告知防火墙并由其来做更简单有效的阻止。这个告知与防火墙策略生成的过程应当是由NGFW自动完成的，而不再需要管理员介入。应用识别、控制与可视化：NGFW必须具有与传统的基于端口和IP协议不同的方式进行应用识别的能力，并执行访问控制策略。智能化联动：获取来自“防火墙外面”的信息，作出更合理的访问控制，例如从域控制器上获取用户身份信息，将权限与访问控制策略联系起来。支持新信息馈送和新技术集成的升级路径来应对未来的威胁。Gartner2012！1996年国内首台自主防火墙2005年国内首台安全内核TOS防火墙2006年国内首台ASIC防火墙“猎豹”系列2009年国内首台超百G防火墙“擎天”系列NGFW天融信防火墙发展历程安全技术融合面向应用安全全方位可视化高效转发平台多层级冗余架构基于用户防护天融信NGFW产品定义®一体化安全-安全技术融合未知威胁防御一体化访问控制应用识别Web防护病毒防御入侵防御负载均衡流量控制流量分析远程接入统一身份认证Botnet防护入侵防御3800种网络攻击规则库高性能全检测技术IPSNLBFWAVWebFilterVPNACM上网行为管理应用识别（P2P/游戏/股票/视频/即时通讯/远程控制……）基于应用特征与行为识别技术内容过滤（HTTP/FTP/DNS/SMTP/POP3/IMAP/TELNET等协议的深度控制）基于用户、应用、网站等下钻式报表统计和呈现防共享上网域名访问控制多业务集成Web应用防护WEB攻击防护（数百种HTTP/WEBCGI攻击防护）服务器信息隐藏文件上传、下载控制、内容过滤（关键字、控件）超过50类的网站过滤和审计支持恶意网站的过滤病毒防御双引擎查杀技术超千万级流行病毒库负载均衡多链路负载均衡与备份多链路智能选路技术多算法的服务器负载均衡远程接入全面的隧道接入技术IPSEC/SSL/L2TP/PPTP/GRE全面支持国密局算法SM1(SCB2)/SM2/SM3算法全面支持windows/linux/android/ios等主流OS虚拟桌面与虚拟应用发布FWIPv4/v6双栈多元组访问控制（五元组/AV/AR/IPS/MAC/时间/QOS）虚拟防火墙流量管理高可用性（双系统、AS/AA/SP）安全特性（反垃圾邮件、ARP攻击防护、跨三层路由的IP/MAC绑定、DDoS防护、MPLS报文解析）APT防御海量攻击规则库未知威胁攻击防御面向用户、基于应用、基于内容应用APP用户USER内容ContentHighPerformanceNextGenerationFireWallAPPAPT统一身份认证远程终端内网终端外部认证服务器Radius/LDAP/AD/TACACSNGFWAuthenticationAuthorization外网应用WWWFTPMAIL…内网应用OAERPCRM…“与/或”组合认证指纹IP地址时间动态令牌短信硬件特征码证书USBKey用户名/口令多因子组合认证

合规性安全准入802.1XWEBPortalOTP身份认证服务外设注册表进程软件文件用户身份合法性基于用户的安全防护策略部署基于用户的可视化管控全新第六代猎豹2-7层高性能安全处理高精度应用识别APT攻击防御智能安全管理蜕变OS

kernelHALvSYSTEM1DATAEngineManagementEngine…Engine1…WebUI/CLIMonitorAuditEnginenAPP-EngineAI/IPS/AVSSL/URL/DLP…NET-EngineFWDDOS/IPSEC…IPv4/v6APP-EngineAI/IPS/AVSSL/URL/DLP…NET-EngineFWDDOS/IPSEC…IPv4/v6HACPU1CORE0COREn…CPU2CORE0COREn……CPUnCORE0COREn…NGTOS

-

Next

Generation

Topsec

Operating

System…vSYS2vSYSn

Hypervisor64位系统架构多路多核全并行处理用户态IPv4/IPv6双栈全业务虚拟化TopTURBO/TopASIC下一代天融信安全操作系统2-7层高性能安全处理HighPerformance安全系统平台多路多核硬件架构一体化流检测多核全并行处理引擎NGTOSEngine12-7层高性能安全处理-多核全并行安全处理引擎OS

kernelFW+APPEnginePFEngine…IPSECEngineDDoSEngineIPLayer（v4/v6）TransportLayerNGTOS协议栈Core1Coren用户态内核态……NIC2URLEngineAVEngineIPSEngineApplicationLayer…专用协议栈一体化流检测多核全并行业务处理……FW+APPEnginePFEngine…IPSECEngineDDoSEngineIPLayer（v4/v6）TransportLayerNGTOSEnginenURLEngineAVEngineIPSEngine…ApplicationLayerSharedSocketNIC1NICnTopTURBO2-7层高性能安全处理-一体化流检测QoSTimeMac源地址源端口目的地址协议内容特征Session身份认证信息1110100111000110001111010100011100011111110011010111100111011000110001101010011101110001000目的端口

应用程序指纹AVIPSURL…一体化规则库…病毒库、URL、攻击规则库2-7层高性能安全处理-多路多核硬件架构CacheMulti-CoreCORE0CORE1CORE2CORE3CORE4CORE5CORE6CORE7CacheMulti-CoreCORE0CORE1CORE2CORE3CORE4CORE5CORE6CORE7QPIQPICacheMulti-CoreCORE0CORE1CORE2CORE3CORE4CORE5CORE6CORE7CacheMulti-CoreCORE0CORE1CORE2CORE3CORE4CORE5CORE6CORE7QPIQPIQPI10G10G…10G10G10G10G…10G10G10G10G…10G10G……PCI-EPCI-EPCI-EPCI-EDDR3DDR3DDR3DDR3DDR3DDR3DDR3DDR3DDR3DDR3DDR3DDR3DDR3DDR3DDR3DDR3高性能高密集低功耗2-7层高性能安全处理-性能参数整机吞吐●最大并发连接数每秒新建连接数应用层吞吐小包吞吐160G120G40G160万1亿●●●●多层级冗余化设计链路冗余多机冗余/负载系统冗余板卡冗余物理级冗余系统级冗余方案级冗余模块冗余全新第六代猎豹2-7层高性能安全处理高精度应用识别APT攻击防御智能安全管理高精度应用识别-TopSNIPERTopSNIPER多模检测深度解析匹配统计特征匹配单包特征匹配多包特征匹配算法插件匹配强关联匹配应用特征库应用分析系统应用验证系统应用发布系统应用识别专家团队Topsec安全云平台…TopSNIPER双核心引擎字符串多模匹配单元特征匹配单元检测引擎1Active检测引擎2Standby精准识别精细分类应需而动多包特征匹配高精度应用识别-精准识别单包特征匹配算法插件匹配统计特征匹配深度解析匹配关联匹配主流应用识别率>98%加密应用识别率:100%误报率：零高精度应用识别-精细分类移动应用云应用WEBN.0传统应用高精度应用识别-应需而动互联网应用与内容分析平台提取分析验证发布互联网应用监测与跟踪用户特定应用需求行业特定应用需求自动验证Automatic实时发布Realtime专业分析Professional全新第六代猎豹2-7层高性能安全处理高精度应用识别APT攻击防御智能安全管理已知安全漏洞缺陷已知木马行为特征已知攻击行为特征APT攻击防御0DAY漏洞新型恶意软件变种木马病毒新型僵尸网络未知恶意网站APT防御系统SandBox海量混合威胁特征库可信白名单恶意黑名单病毒特征库CheetahVI本地特征库APT攻击防御-未知威胁主动防御恶意策略动态更新APT攻击防御-已知威胁全面防御APT防御系统病毒特征库CheetahVI全面精确及时Topsec安全云平台实时更新海量混合威胁特征库可信白名单恶意黑名单1.5亿WEB信誉库URL应用特征库AI病毒特征库AV攻击规则库IPS4900+600万+2000万+2000+全新第六代猎豹2-7层高性能安全处理高精度应用识别APT攻击防御智能安全管理智能安全管理配置建议策略优化漏洞修复健康复查流量分析配置检查漏洞扫描体检报告网络流量安全事件用户行为运行状态Intelligent全面威胁分析实时安全监控主动风险控制TopPolicy智能安全管理-实时安全监控智能安全管理-全面威胁分析流量分析配置检查漏洞扫描智能安全管理-主动风险控制TopPolicy……流量分析配置分析漏洞分析“体检报告”修复策略1修复策略2修复策略n管理中心（TopPolicy）全网可视化分支1分支2分支n攻击统计/排名应用统计/排名病毒统计/排名节点安全可视全局安全可视业务需求完成省会主中心与总行骨干网络的边界安全防护关键技术防火墙为SP（连接保护模式）模式双心跳接