产品需求
防护需求
在云环境中安全边界不同于传统网络,安全计算环境内部及外部区域边界、云计算平台上不同租户之间的区域边界、同一租户不同等级业务系统之间的区域边界以及安全计算环境与安全通信网络之间实现连接的边界均为网络边界。不同租户之间的区域边界、安全计算环境与安全通信网络之间的边界均可通过平台安全防护实现隔离与访问控制,但是同一租户不同业务系统间的东西向流量过滤和租户计算环境与租户外部网络边界的南北向流量防护仍需租户完成隔离与访问控制。
云租户通过传输网络透过平台安全防护机制为其提供的专用网络通道连接至云平台租用的 IAAS 服务进行访问,即使用户侧办公网络与云平台上的业务系统分别部署与不同的物理网络,但在业务交互过程中办公网络和业务网络依旧为同一个整体的逻辑网络。虽然平台安全防护可实现虚拟环境与云平台外部网络以及不同租户间的安全隔离和边界防护,但是租户办公人员透过专用网络通道对其业务系统的数据交互过程中仍然有不同安全级别网络(如:租户不同部门的办公网络区域、云平台上的核心业务区域)边界的存在。云环境下租户网络边界南北向防护(包括访问控制、入侵防护、恶意代码、防范)仍然是租户网络安全必不可少的部分。
合规性需求
《信息安全技术 网络安全等级保护基本要求》(等保 2.0) "安全区域边界"作为独立的控制项提出:应在网络边界或区域之间根据访问控制策略设置访问控制规则,默认情况下除允许通信外受控接口拒绝所有通信;应采取技术措施对网络行为进行分析,实现对网络攻击特别是新型网络攻击行为的分析;应在关键网络节点处对恶意代码进行检测和清除, 并维护恶意代码防护机制的升级和更新等具体要求。
《网络安全等级保护基本要求 第 2 部分: 云计算安全扩展要求》明确划分安全责任边界,云租户应对虚拟网络安全域的网络安全结构、访问控制、远程访问、入侵防范、安全审计等安全防护进行负责。
产品简介
虚拟边界防护产品是一款专业面向云租户的边界安全防护产品,为用户解决当前云环境下边界访问控制、入侵防护和病毒防护等安全问题。虚拟边界防护以虚拟机实例的方式交付,通过智能引流技术实现南北向流量的分层次、全方位、可扩展的安全隔离和安全防护。
虚拟边界防护产品包括防火墙防护引擎、抗 DOS 攻击引擎、IDS/IPS 引擎、病毒防护引擎、Web 防护引擎等,支持应用、用户的访问控制,入侵防御,web 安全防护,恶意代码防护,基于应用的流量控制,URL 过滤,文件过滤,关键字过滤,APT 防御,流量可视化,内容审计等丰富安全功能,为用户提供全面的云租户网络边界防护解决方案。
产品规格
| 名称 | 规格 | 单位 | 描述 |
|---|---|---|---|
| 虚拟边界防护 | 基础版 | 套 | 吞吐量:1Gbps,提供等保对租户虚拟网络安全区域边界的主要安全要求,供南北向访问控制(防护细粒度覆盖安全区域、源/目的 IP 地址、服务端口、应用特征、用户信息等内容)、远程访问安全、入侵攻击防范、恶意代码防护,并提供网络访问审计信息 |
| 虚拟边界防护 | 标准版 | 套 | 吞吐量:2Gbps,提供等保对租户虚拟网络安全区域边界的主要安全要求,供南北向访问控制(防护细粒度覆盖安全区域、源/目的 IP 地址、服务端口、应用特征、用户信息等内容)、远程访问安全、入侵攻击防范、恶意代码防护,并提供网络访问审计信息 |
功能详解
细粒度访问控制
通过深度防护规则实现网络访问控制,深度防护规则包含源地址、目的地址、源端口、源 MAC、流入网口、流出网口、访问控制、时间调度、服务、是否为长连接、深度防护策略等多个控制子选项,对于不符合规则的访问,系统可以拦截并发出日志告警。
一体化安全防护
虚拟边界防护采用一体化安全防护引擎,通过一条安全策略可制定多维度制定访问控制策略,并融入网络行为管控、入侵防御、病毒过滤等多重防护能力,完成南北向流量一体化安全检测和防护。
深度内容过滤
采用完全内容检测技术;基于流和透明代理的过滤方式,对 HTTP、SMTP、POP3、IMAP、FTP 等协议的深度内容过滤。深度解析流量类型和内容,实现关键字过滤,FTP,Telnet 命令过滤,邮件内容过滤等。
入侵防御
产品内置 4000 条以上的入侵攻击特征库,在蠕虫安全漏洞、木马后门、可以行为、CGI 访问、CGI 攻击、缓存溢出、拒绝服务、蠕虫病毒、网络数据库攻击、间谍软件、安全扫描、网络设备攻击、欺骗劫持等攻击的防御方面具备了完善的检测、阻断、限流、审计报警等防御手段。同时提供 WAF 级别的应用攻击安全防护,有效的防御和预警 Web 服务器的攻击,包括网页防爬虫、网页防篡改、HTTPS 防护、DDoS 攻击防护、Web 攻击过滤、漏洞防护自学习等。
病毒防护
产品采用高效的病毒防御引擎和国内知名病毒厂商特征库,内置病毒特征数量不少于 300 万。可根据源 IP 地址、目的 IP 地址、服务、时间、接口、用户等,采用不同的病毒防御策略,对邮件病毒、文件病毒、恶意网页代码、木马后门、蠕虫等多种类型的病毒进行过滤。
应用管控
虚拟边界防护不仅具有网络入侵防御和网络病毒防御功能,同时还具有丰富的应用管控功能。可以根据不同的时间、群组,来对即时聊天软件、网游、P2P 软件等下达严格的管理策略。
文件过滤
对文件名与文件类型过滤,包括可执行程序、office 文件、文本文件、压缩文件、音频视频文件、图像图形文件、镜像文件等等类型的文件。
会话管理
虚拟边界防护支持对当前设备的会话进行监控,可查看会话的发起用户、源目地址、端口、协议、策略、存在时间和超时时间等,具有完备的状态检测表追踪连接会话状态支持针对全局基于 IP 进行并发会话和新建会话的限制。
产品优势
高效灵活的处理引擎
虚拟边界防护具有良好的系统可扩展性和功能可裁剪性,能够平滑扩展支撑业务日益增长的用户网络结构。通过 HOOK 架构提供高效的转发机制。将 FW、DPI、AV、IPS、QOS 等多个安全引擎有机的组织在一起,并提供灵活的扩展性。为后继的特性添加预留位置。
流量可视化
服务器内部运行的众多虚拟机群之间的通信,以及虚拟机群与其他网络设备或外部网络的通信信息在虚拟边界防护的管控下由虚拟边界防护提供一个统一的可配置、管理的基于 Web 的显示界面。对虚拟机中的流量信息进行实时监控、显示,便于管理员掌握虚拟机群中搭载的服务或系统的工作状态。
双病毒检测引擎
虚拟边界防护的双引擎杀毒是目前业内最强最顶尖的杀毒技术。双引擎杀毒同时支持快速扫描与深度扫描两种检测引擎,能够根据被检测应用层协议与应用场景选择不同的病毒检测引擎,使病毒防护实现真正意义上的高效与精准兼顾,并最终确保在各种网络应用环境下均可达到最佳的病毒检测效果。
另外,虚拟边界防护提供专业版与企业版两种不同级别的病毒库。用户可根据自身的网络应用环境,以及病毒防护相关的具体需求,有针对性的选择适合的病毒库版本。
统一策略管理
通过虚拟边界防护,客户可以在网络层面控制对 ECS/RDS/SLB 等常用云资产的访问,解决对云资产的异常访问问题。
实时入侵防御
内置威胁检测引擎,可同步更新全网威胁情报,对来自互联网的威胁进行实时检测和阻断。
应用场景
通过虚拟机实例的方式交付虚拟边界防护产品,部署于租户虚拟专用网络边界。通过数据引流机制实现租户虚拟网络南北向流量流经防火墙,完成南北向流量的访问控制、入侵防御和病毒查杀等防护。
