高性能架構

天融信下一(yi)代(dai)防火(huo)墻采用(yong)自(zi)主研發的(de)(de)64位(wei)多(duo)核(he)(he)(he)多(duo)平(ping)臺并行(xing)安全(quan)操作(zuo)系(xi)(xi)統(tong)NGTOS，NGTOS系(xi)(xi)統(tong)能(neng)夠(gou)充分(fen)利用(yong)多(duo)核(he)(he)(he)CPU的(de)(de)計(ji)算資源(yuan)，完(wan)美(mei)支持多(duo)路多(duo)核(he)(he)(he)的(de)(de)全(quan)功(gong)能(neng)并行(xing)業務(wu)處(chu)理(li)，在(zai)系(xi)(xi)統(tong)上(shang)層引擎(qing)(qing)的(de)(de)設計(ji)中，采用(yong)了特有的(de)(de)用(yong)戶態協議棧，不但(dan)具有更高(gao)的(de)(de)執行(xing)效(xiao)(xiao)率，還原(yuan)生并且完(wan)整支持IPv4/v6雙棧。同(tong)(tong)(tong)時，通過(guo)采用(yong)基于多(duo)元組的(de)(de)一(yi)體(ti)化流(liu)檢(jian)(jian)測(ce)機制，一(yi)次(ci)檢(jian)(jian)查同(tong)(tong)(tong)時覆(fu)蓋多(duo)個安全(quan)引擎(qing)(qing)的(de)(de)檢(jian)(jian)查需要，無(wu)需多(duo)個引擎(qing)(qing)多(duo)次(ci)檢(jian)(jian)查，保證天融信下一(yi)代(dai)防火(huo)墻在(zai)處(chu)理(li)復雜(za)網絡(luo)流(liu)量和安全(quan)威脅的(de)(de)同(tong)(tong)(tong)時能(neng)夠(gou)保持快速(su)高(gao)效(xiao)(xiao)的(de)(de)處(chu)理(li)效(xiao)(xiao)果。

深度識別管控

天融信NGFW?下一(yi)代防火墻的(de)(de)應(ying)用識(shi)(shi)(shi)別(bie)引擎(qing)綜合運用單包特征(zheng)(zheng)識(shi)(shi)(shi)別(bie)、多包特征(zheng)(zheng)識(shi)(shi)(shi)別(bie)、統計(ji)特征(zheng)(zheng)識(shi)(shi)(shi)別(bie)等多種識(shi)(shi)(shi)別(bie)方式進行細粒度(du)(du)、深層(ceng)次(ci)應(ying)用和協議識(shi)(shi)(shi)別(bie)，同(tong)時(shi)采(cai)用多層(ceng)匹配(pei)模(mo)式與(yu)多級過(guo)濾(lv)架構及基于的(de)(de)加密流量識(shi)(shi)(shi)別(bie)方法，實現對應(ying)用層(ceng)協議和應(ying)用程序的(de)(de)精(jing)準識(shi)(shi)(shi)別(bie)。同(tong)時(shi)，天融信NGFW?下一(yi)代防火墻支持內容(rong)(rong)深度(du)(du)過(guo)濾(lv)，通過(guo)對多種網絡協議的(de)(de)內容(rong)(rong)進行讀取分析(xi)，從精(jing)確(que)匹配(pei)的(de)(de)關鍵字(zi)到(dao)(dao)內容(rong)(rong)模(mo)糊查找，從基于文件(jian)內容(rong)(rong)到(dao)(dao)基于文件(jian)屬性的(de)(de)檢測，從被動(dong)的(de)(de)事件(jian)上報(bao)到(dao)(dao)主動(dong)攔(lan)截，全(quan)方位的(de)(de)數據安全(quan)防護措施(shi)能(neng)夠真正的(de)(de)幫助企(qi)業實現網絡數據安全(quan)。

異常流量清洗

天融信NGFW?下一代防火墻內(nei)置(zhi)流(liu)量(liang)檢測(ce)清洗引擎，支(zhi)持基(ji)于IP、ICMP、TCP、UDP、DNS、HTTP、NTP等(deng)眾(zhong)多(duo)(duo)協(xie)議類(lei)型(xing)的防護策略，能夠檢測(ce)與防御流(liu)量(liang)型(xing)DDOS攻(gong)(gong)擊(ji)（如(ru)(ru)UDP Flood、TCP SYN Flood等(deng)）、應用型(xing)DDOS攻(gong)(gong)擊(ji)（如(ru)(ru)CC、DNS Flood、慢速(su)連接耗(hao)盡等(deng)）、DOS攻(gong)(gong)擊(ji)（如(ru)(ru)Land、Teardrop、Smurf等(deng)）、非法(fa)協(xie)議攻(gong)(gong)擊(ji)（如(ru)(ru)IP流(liu)、TCP無標記、無確認(ren)FIN等(deng)）四大類(lei)拒絕服務攻(gong)(gong)擊(ji)。采用多(duo)(duo)種防御機制(zhi)，通過流(liu)量(liang)業務預警、比例(li)抽樣(yang)分(fen)析(xi)、源(yuan)認(ren)證、源(yuan)限(xian)速(su)、步(bu)進(jin)式(shi)協(xie)議分(fen)析(xi)、模(mo)式(shi)過濾、業務應用防護、強制(zhi)保護等(deng)多(duo)(duo)種技術手(shou)段，精準、快速(su)地(di)阻(zu)斷攻(gong)(gong)擊(ji)流(liu)量(liang)，保障用戶業務網絡通暢。

未知威脅防御

天融信NGFW?下(xia)一代(dai)防(fang)(fang)火(huo)(huo)墻支持基于異常行(xing)(xing)(xing)(xing)為分析(xi)(xi)和APT聯動的(de)未(wei)知(zhi)威脅防(fang)(fang)御(yu)。異常行(xing)(xing)(xing)(xing)為分析(xi)(xi)功能(neng)(neng)，內(nei)置統計(ji)智(zhi)能(neng)(neng)學(xue)習(xi)算法，基于特(te)定IP、子網等對(dui)(dui)象對(dui)(dui)新建連接數、并發連接數、流量等數據智(zhi)能(neng)(neng)學(xue)習(xi)，形成一定周期內(nei)的(de)正常業務基線，與(yu)(yu)實(shi)(shi)時數據比(bi)對(dui)(dui)分析(xi)(xi)，發現異常及時告(gao)警。通(tong)過與(yu)(yu)APT沙(sha)箱進(jin)行(xing)(xing)(xing)(xing)聯動，提供虛擬(ni)模擬(ni)運(yun)行(xing)(xing)(xing)(xing)環境(jing)，根(gen)據運(yun)行(xing)(xing)(xing)(xing)動作與(yu)(yu)運(yun)行(xing)(xing)(xing)(xing)結果(guo)判斷(duan)是否為惡意(yi)代(dai)碼，并將惡意(yi)特(te)征分析(xi)(xi)結果(guo)（特(te)征碼）上傳(chuan)至防(fang)(fang)火(huo)(huo)墻，防(fang)(fang)火(huo)(huo)墻更(geng)新本地動態(tai)特(te)征庫，以此應對(dui)(dui)未(wei)知(zhi)的(de)惡意(yi)攻(gong)擊，從而形成“旁路實(shi)(shi)時檢測、串行(xing)(xing)(xing)(xing)動態(tai)阻斷(duan)”的(de)聯動方案，達到(dao)對(dui)(dui)基于未(wei)知(zhi)威脅攻(gong)擊的(de)主(zhu)動防(fang)(fang)御(yu)效(xiao)果(guo)。

安全資源虛擬化

天融(rong)信NGFW?下一代防火墻(qiang)的(de)虛(xu)(xu)擬(ni)防火墻(qiang)功能支持為(wei)每個虛(xu)(xu)擬(ni)系(xi)統(tong)(tong)分(fen)配(pei)固定的(de)系(xi)統(tong)(tong)資(zi)源，支持資(zi)源對(dui)象、網(wang)絡管理(li)、訪問控制(zhi)、用戶(hu)管理(li)、帶寬管理(li)、流量控制(zhi)、會(hui)話管理(li)、應用識(shi)別、病毒防御(yu)、入侵防御(yu)、WEB分(fen)類(lei)過(guo)濾、內(nei)容(rong)過(guo)濾、審計報表等(deng)各種(zhong)功能虛(xu)(xu)擬(ni)化。虛(xu)(xu)系(xi)統(tong)(tong)之間互(hu)相隔離(li)，既(ji)能使得系(xi)統(tong)(tong)管理(li)、配(pei)置管理(li)更加清晰簡便，又能避免因(yin)為(wei)一個虛(xu)(xu)擬(ni)系(xi)統(tong)(tong)的(de)故(gu)障(zhang)或業務(wu)繁忙等(deng)原因(yin)而影響其他虛(xu)(xu)擬(ni)系(xi)統(tong)(tong)。

安全可視化

天(tian)融信(xin)(xin)(xin)NGFW?下一(yi)代防火墻具有(you)專(zhuan)門的(de)(de)(de)(de)監控和數(shu)(shu)據(ju)(ju)中(zhong)(zhong)(zhong)心功能模(mo)塊(kuai)，管理(li)員通(tong)過監控面板可以快速地查看設(she)備(bei)的(de)(de)(de)(de)流(liu)(liu)量統(tong)(tong)(tong)計(ji)(ji)信(xin)(xin)(xin)息(xi)和了解(jie)設(she)備(bei)當前的(de)(de)(de)(de)運行(xing)(xing)情(qing)況。可以根(gen)據(ju)(ju)接口、應用(yong)(yong)(yong)、用(yong)(yong)(yong)戶(hu)(hu)、用(yong)(yong)(yong)戶(hu)(hu)組、服務器(qi)、 IPSec VPN 查看設(she)備(bei)的(de)(de)(de)(de)流(liu)(liu)量統(tong)(tong)(tong)計(ji)(ji)信(xin)(xin)(xin)息(xi)，查看設(she)備(bei)受到(dao)的(de)(de)(de)(de)威(wei)脅信(xin)(xin)(xin)息(xi)，查看設(she)備(bei)的(de)(de)(de)(de) IPv4 和 IPv6 連接信(xin)(xin)(xin)息(xi)，查看在線(xian)的(de)(de)(de)(de)用(yong)(yong)(yong)戶(hu)(hu)信(xin)(xin)(xin)息(xi)。數(shu)(shu)據(ju)(ju)中(zhong)(zhong)(zhong)心主要實現對(dui)安全(quan)防護平臺(tai)中(zhong)(zhong)(zhong)的(de)(de)(de)(de)信(xin)(xin)(xin)息(xi)做統(tong)(tong)(tong)計(ji)(ji)，包括(kuo)對(dui)網(wang)絡事件(jian)的(de)(de)(de)(de)匯總和歸檔(dang)，相關數(shu)(shu)據(ju)(ju)的(de)(de)(de)(de)管理(li)和日(ri)志的(de)(de)(de)(de)查看，并根(gen)據(ju)(ju)需要實現報(bao)告的(de)(de)(de)(de)生成和數(shu)(shu)據(ju)(ju)導(dao)出(chu)。另(ling)外，天(tian)融信(xin)(xin)(xin)NGFW?下一(yi)代防火墻內置審(shen)計(ji)(ji)系統(tong)(tong)(tong)，可以對(dui)設(she)定用(yong)(yong)(yong)戶(hu)(hu)的(de)(de)(de)(de)上(shang)(shang)網(wang)行(xing)(xing)為、上(shang)(shang)網(wang)流(liu)(liu)量、上(shang)(shang)網(wang)時長等進行(xing)(xing)數(shu)(shu)據(ju)(ju)審(shen)計(ji)(ji)，如(ru)針(zhen)對(dui)相關關鍵字的(de)(de)(de)(de)網(wang)頁(ye)訪問(wen)情(qing)況、針(zhen)對(dui)固定格式數(shu)(shu)據(ju)(ju)、文件(jian)的(de)(de)(de)(de)上(shang)(shang)傳(chuan)下載(zai)行(xing)(xing)為等，幫助用(yong)(yong)(yong)戶(hu)(hu)從(cong)多種角度、多維度的(de)(de)(de)(de)了解(jie)網(wang)絡使用(yong)(yong)(yong)情(qing)況。