宝信多功能安全网关eCopXSA3.0概述.ppt

1、,宝信多功能安全网关 eCop XSA介绍,体验安全、快速的Internet访问之旅,eCop XSA安全设备是基于高级应用层防火墙、虚拟专用网络 (VPN) 和 Web 缓存的解决方案，它能够改善客户网络的安全和性能，并具有适应安全需求持续增长的可扩展性，为用户提供了完善、全面的边界防护解决方案。,eCop XSA是什么？,完整的边界安全 解决方案,与微软各类系统的 完美整合,开放性可扩展的 安全平台,eCop XSA是宝信软件与微软开展合作，为市场引入的基于Microsoft ISA Server 2006的多用途安全管理设备,一套集智能防火墙、IPSec & SSL VPN、双向代理与缓

2、存、内容过滤、防病毒、反垃圾邮件等功能的完整解决方案,基于独特的插件式可拓展结构，第三方厂商可通过开放的接口开发增值应用，满足用户多样化需求,充分利用微软系统平台的各项安全管理技术，为其产品提供深层次的安全防护，是微软安全解决方案中不可缺少的一部分,为什么需要eCop XSA？,黑客,日益复杂的攻击手段,1,2,3,各自为战的安全技术,越发复杂的管理,由单一型转为混合型 攻击更加频繁 漏洞增多 攻击周期急剧缩短 网络犯罪愈演愈烈 影响面和破坏力增大,对技术人员水平要求较高 安全产品难以使用部署 多个控制台 管理维护工作量大 居高不下的投资成本,存在太多的单点产品 无法协同工作 无力应对复杂攻击

3、手段 隐藏真实安全事件源 不具备灵活的可扩展能力,eCop XSA提供的解决方案,将智能防火墙、VPN、防病毒和反垃圾邮件等多种安全技术融合于一体，构建立体化安全防护体系，有效抵御混合型攻击,立体化的防御,1,2,3,高集成度的整合方案,便捷的管理,较低的投资成本 全面的管理、报告和日志平台 简化的管理 单一管理平台 简单的部署维护 简化的授权,交叉产品集成 MS 安全产品 MS 服务器应用程序 与 Microsoft IT 基础结构相集成 AD、MOM，等等 与合作伙伴、宝信安全方案相集成,eCop XSA功能特性,多网络模式支持,DMZ_1,定义任何数量的网络 VPN也作为网络 本地主机也

4、作为网络 指定关系(NAT/Route) 基于网络指定策略 对网络间的通讯进行检查,VPN 网络,eCop XSA,任何拓扑，任何策略,网络 A,DMZ_n,本地主机,内网_1,内网_2,Internet,智能的高级应用层防火墙,Application Layer Content ?,只检查数据包头部 应用层的内容看来就像是一个神秘的“黑盒子”,传统型防火墙的缺陷,Internet,智能的高级应用层防火墙,eCop XSA的三层过滤,状态数据包过滤,应用程序过滤,链路过滤,确定允许哪些数据包通过并到达受保护的网络链路和应用程序层代理服务。状态过滤只在需要时自动打开端口，并在通信结束时自动关闭这

5、些端口。,为 Telnet、 RealAudio、Windows Media technologies、 IRC 以及许多其他 Internet 协议和服务的多平面访问提供了应用程序透明的链路网关。XSA 链路层安全可以与动态数据包过滤配合工作，从而增强安全性和易用性。,可以识别客户端PC应用程序协议（如 HTTP、 FTP、和 Gopher）中的命令。eCop XSA代表客户端 PC 进行操作，并对外部网络隐藏网络拓扑结构和 IP 地址。,以动态、智能化的方式对通过防火墙的程序执行状态包过滤（状态包检查）和应用程序层状态检查。此项检查确保了通信的完整性并防止由入侵者、黑客、蠕虫、病毒和可疑命

6、令字符串引起的安全漏洞。在应用层协议和连接状态的上下文中都进行状态检查。,智能的高级应用层防火墙,eCop XSA应用程序筛选器,eCop XSA使用应用程序筛选器来执行应用程序级安全检查。应用程序筛选器是注册到特定协议端口的动态链接库 (DLL)。每当把一个数据包发送到该协议端口，它就被传递给应用程序筛选器，后者按照应用程序逻辑来检查该数据包，并根据策略来决定该怎样处理。,智能应用程序筛选,eCop XSA支持100个以上的Internet协议，管理员可根据自身需求，基于端口数、类型、TCP或者UDP和方向定义附加协议，具有良好的可扩展性。,eCop XSA,内部网络,非HTTP流量,攻击,

7、非法的HTTP流量,合法的HTTP流量,Internet,Web高速缓存,使用RAM 缓存、磁盘缓存和HTTP压缩技术来增加速内部用户访问外部网络的速度，节约现有带宽资源。,1,2,3,4,将内部Web服务器中的数据寄存在XSA缓存中，可以有效降低Web服务器负荷。,在网络流量不大时，缓存中那些经常被访问的对象会自动地被更新，以优化带宽的使用。,使用分层连接将客户端的请求通过缓存服务器链逐层向上游传送，有效加速分支机构的访问速度。,eCop XSA,Internet,用户一,用户二,发起Internet 访问请求,未发现需要 访问的内容,从外网服务器下载数据,将数据存储到缓存中,发起Inter

8、net 访问请求,发现数据，从缓存下载,安全的发布Web应用,通过模拟已发布的服务器来添加一个安全层。服务器发布规则保护内部服务器免遭外部用户的不可靠访问。,1,2,3,4,智能应用程序过滤可以检查流入服务器的数据，保护所有已发布的服务器免遭外部攻击。,通过集成的 Windows 身份验证、 RADIUS 目录用户、活动目录、等身份认证技术保证到访用户的合法性,使用SSL安全的发布Web应用，与大多数防火墙不同之处在于，XSA可以对经过SSL加密的数据进行安全性检查。,传统防火墙,Internet,身份认证在服务器上进行,建立SSL通道,病毒通过加密通道传送,无法检查SLL加密的数据,eCop

9、 XSA,在XSA上实现单点认证,XSA会解开加密数据包检查,重新打包或直接转发数据,站点间的VPN连接,Internet,第三方VPN设备,DMZ,eCop XSA,总部,分支机构,PPTP连接：基于PPTP的VPN连接并未提供数据完整性验证，安全性较差,基于IPSec的L2TP（推荐）：利用IPSec提供数据保密性、数据完整性和数据源验证服务,IPSec隧道模式：当有一方采用第三方VPN服务器时只可以采用此模式,eCop XSA,PPTP连接,基于IPSec的L2TP,IPSec隧道模式,远程访问VPN及安全隔离,eCop XSA,Internet,发出VPN连接请求,用户一,用户二,隔离

10、区,内网,XSA将其分配到隔离区,体检客户端 进行体检,检查通过后，接入内网,体检客户端 进行体检,检查不通过 断开连接,客户端脚本检查客户端是否满足公司安全策略 是否启用个人防火墙 / 安装最新的防病毒库 / 安装所需的补丁 程序？ 检查包括注册表、进程、文件、MAC地址等客户端体检最常用的体检内容 检查条件可以独立或者组合，灵活满足接入体检需求 如果检查成功，客户端将获得完全访问权限 如果检查失败，客户端将在超时时段以后断开连接,eCop XSA支持远程访问VPN，同时可以通过自定义客户端安全脚本对接入终端进行安全体检。,灵活地发布服务器,eCop XSA简化服务器发布配置，使配置任务点击

11、间轻松完成。,可用于发布各种协议的服务器，只需输入服务器IP地址、端口、发布端口，就可以快捷地将服务器发布。,丰富的VPN接入体检,可以专门定制的体检客户端，支持包括注册表、进程、文件、MAC地址等体检内容，只需在eCop-XSA配置管理页面中进行简单的配置，就可以轻松的实现VPN接入体检功能。,可扩展的安全功能,上网行为管理功能 提供可控制的上网访问，大幅提高员工工作效率；限制网络下载，并提供带宽管理功能保证关键应用；过滤敏感信息、屏蔽非法网站和内容，还可以控制危险内容（病毒、间谍软件、恶意代码、木马等）的无意访问。 防毒、杀毒功能 强大的杀毒功能支持HTTP、SMTP、POP3、FTP、NETBIOS等多种协议的数据流，不仅可以查杀普通病毒邮件，还可以检查出各种压缩包（zip，rar，gzip等）隐藏的病毒。 反垃圾邮件功能 防垃圾邮件功能采用关键字、黑白名单、反向侦测SMTP服务器等多种过滤手段，垃圾邮件的识别率高、