瑞星下一代防火墙RFW-NG采用硬件化设计,其多核处理器和专用处理芯片,可以高速处理和转发数据流。瑞星下一代防火墙能够为用户提供有效的应用层一体化安全防护,帮助用户安全地开展业务并简化用户的网络安全架构,保障内网数据的私有性和安全性。
➢ 专用硬件:采用X86多核CPU,优势在于网络层到应用层指令全面。
➢ RSOS:定制化专用安全操作系统。
➢ 安全功能:防病毒、IPS、反垃圾邮件、上网行为管理、Web过滤、应用控制、流量控制、用户管理等应用层管理。
➢ 升级服务:RSService升级服务,提供定期更新,保证对最新安全威胁提供最快的响应。
可以针对IP地址、服务、端口等参数决定是否允许数据包通过,在第三层(网络层)和第四层(传输层)进行数据过滤。RFW-NG防火墙基于状态检测包过滤技术,会跟踪会话从建立、维持到中止的全过程,已建合法连接的后续数据通信可以直接放行,极大的简化了配置、提供了效率。
RFW-NG在路由模式下支持各种路由方法,包括静态路由、动态路由(可以直接参与到RIP、OSPF、BGP路由及组播路由运算中,而非仅仅让动态路由协议穿越)、也可以支持策略路由(根据不同的源地址、目的地址、端口等确定下一条路由网关)。RFW-NG可以自动实现多链路间的负载分担和冗余(故障中断链路上的流量会自动切换到正常的链路),大大提高网络的效率和可用性。
内网的多台Web服务器对外提供同样的服务,可以使用RFW-NG通过NAT方式实现多台设备间的负载均衡。并可以通过Ping、TCP、HTTP等方式进行健康检查,发生故障的服务器会被自动剔除出负载均衡组。
RFW-NG的VPN功能支持IPSec、PPTP、L2TP、GRE四种VPN协议,提供了前所未有的方便和灵活的选择。对远程移动用户或企业的出差用户来说,既可以使用Windows系统自带的PPTP/L2TP拨号软件,也可以使用IPSec客户端软件和企业建立VPN的连接。
RFW-NG的病毒过滤针对标准协议,与应用无关。无论用户使用何种Email服务器和客户端,只要使用的是标准的SMTP、POP3、IMAP协议,RFW-NG都可以对电子邮件中的病毒进行过滤,防止病毒通过邮件传播。RFW-NG还支持HTTP协议和FTP协议,对于Web浏览、下载、Web邮件及FTP文件传输过程中携带的病毒均可进行拦截。对于使用非标准端口的协议应用,RFW-NG同样可以对其中的病毒进行过滤。RFW-NG还可以对管理员指定的文件名类型进行过滤。例如,通过过滤“*.mp3”文件可以有效阻止内网用户上网下载mp3歌曲;过滤“*.exe”文件可以防止可执行文件的下载。
RFW-NG内置的IPS同时使用特征和异常两种检测方法,能够检测7000种以上攻击和入侵行为,包括各种DoS(拒绝服务)/ DDoS(分布式拒绝服务)攻击。除了系统自带的入侵特征,RFW-NG也支持用户自定义特征,对入侵防护的需求实现个性化配置。
连接Internet的办公网中,有很多与工作无关或对网络有害的应用。比如QQ、微信等IM软件、P2P软件、游戏、炒股等应用。RFW-NG的应用控制功能可以不通过检查TCP/IP端口也能够探测应用,对应用进行细粒度的控制,动作包括阻断、通过、流量整形和用户控制。
RFW-NG支持信息泄露防护功能,可实现检测及阻断可能造成泄漏的数据,及对数据进行归档。信息通过Web、电子邮件、FTP、NNTP、IM及会话控制等方式进行传输进,都可以被有效的控制和监控。当发现有数据泄露行为时,可采取的处理动作包括屏蔽、例外、封禁、隔离来源IP或接口等方式。
RFW-NG支持完善的HA(高可用性)模式,包括A-P(热备式)HA和A-A(负载均衡式)HA,并且最高可以支持32台设备的HA集群,对网络的高可用性提供了最高级别的保证。
RFW-NG硬件虚拟化指把一台硬件设备划分为多台逻辑设备,实现多部门、用户、租户(云计算)等共享硬件设备,从而最大化利用设备性能,提高资源使用效率,同时减少安全设备数量,节约成本且便于管理。除非手动配置互通,虚拟域之间是完全物理隔离,不用担心数据在设备本身被窃取。
RFW-NG支持多种部署方式,包括:NAT/路由模式、透明模式、路由/透明混合模式和旁路模式,可以满足各种规模、各种复杂网络环境的需求。
NAT/路由方式部署
透明方式部署
混合方式部署
旁路部署
RFW-NG为用户提供了多种安全功能,用户根据自己的需求选择相应的功能。如,用户通过将其部署在Internet接入处,可以针对HTTP、FTP、邮件和IM类软件进行病毒过滤,启用IPS功能防护DMZ的服务器。RFW-NG也支持对垃圾邮件的过滤,一种是外界垃圾邮件发送者发送的垃圾邮件,另外一种是内部用户感染病毒后,发送的垃圾邮件。通过RFW-NG的VPN功能,用户可以远程连接到企业内部网,或者将通过SSL VPN的加密代理方式访问内部服务器。
中大型企业不仅仅关注Internet的安全,而且也关注内网的安全,与其他组织互联的安全。如何保障内网安全?一方面采用传统的终端软件的解决方案,另外一方面采用大网分区化,细化区域间的安全过滤规则。将内部网通过Vlan划分成若干分区,分区之间通过Vlan Trunk到RFW-NG实现路由和策略控制。这样分区之间的数据通讯就可以得到RFW-NG的监控和安全管理。分支公司和其他业务关联公司或者直接部署RFW-NG予以隔离,或者连接到现有的RFW-NG进行安全控制。对于访问Internet的流量同样也进行多种安全手段的控制,比如防病毒、IPS、反垃圾邮件、流量控制等等。
分布式企业的特点用户众多,地域范围广,网络复杂。如何在庞大的网络中控制住病毒的传播与流窜是颇具挑战的工作。我们的建议是通过防火墙对病毒的隔离功能,将大网分割成小网,将病毒的爆发和传播控制在小范围内。在本方案中,每个分公司上联总公司的节点处部署RFW-NG设备,在总公司的Internet接入区和总公司与内部网之间部署RFW-NG设备,实现病毒防护。当病毒在一个小的区域爆发后,比如某个分公司的内部网,被RFW-NG隔离在本区域内,不会传染到整个大网络,同样当Internet爆发病毒后,由于RFW-NG的防护功能,病毒被挡在公司网络之外。
中石化
青海省公安厅
潍坊市公安局
人民银行
国家计算机病毒应急处理中心
全国人大信息中心
国土资源部信息中心
北京市工商行政管理局
高邮市交通局
河南省孟津县财政局
宁波市镇海区财政局
上海市市政工程管理局
四川省雅安市人民政府
太原市人大常委会办公厅
中华人民共和国水利部
云南省罗平县鲁布革水力发电厂
甘肃省天水供电局
潮州大唐电力
绍兴市燃气产业集团有限公司
北京市广安门医院
解放军307医院
沈煤集团红阳三矿
中原油田公共事业管理处
中国工商银行深圳市分行
广州兴业银行
黑龙江省同江市教育局
河北经贸大学经济管理学院
四川省宜宾普什集团有限公司
中国福特宝公司
嘉兴环华家具有限公司
上峰集团有限公司
中国国际旅行社总社
重庆大新药业股份公司
中色科技股份有限公司
北京北控三兴信息技术有限公司
北京世纪华侨城实业有限公司