Embed Size (px)
Citation preview
宝信多功能安全网关—— eCop XSA 介绍
体验安全、快速的 Internet 访问之旅
eCop XSA 安全设备是基于高级应用层防火墙、虚拟专用网络 (VPN) 和 Web 缓存的解决方案,它能够改善客户网络的安全和性能,并具有适应安全需求持续增长的可扩展性,为用户提供了完善、全面的边界防护解决方案。
eCop XSA 是什么?
eCop XSAeCop XSA 是宝信软件与微软开展合作,为市场引入的基于是宝信软件与微软开展合作,为市场引入的基于Microsoft ISA Server 2006Microsoft ISA Server 2006 的多用途安全管理设备的多用途安全管理设备
一套集智能防火墙、一套集智能防火墙、 IPSec & SSL VPNIPSec & SSL VPN 、双向代理与缓存、内、双向代理与缓存、内容过滤、防病毒、反垃圾邮件等功能的完整解决方案容过滤、防病毒、反垃圾邮件等功能的完整解决方案
基于独特的插件式可拓展结构,第三方厂商可通过开放的接口基于独特的插件式可拓展结构,第三方厂商可通过开放的接口开发增值应用,满足用户多样化需求开发增值应用,满足用户多样化需求
充分利用微软系统平台的各项安全管理技术,为其产品提供深充分利用微软系统平台的各项安全管理技术,为其产品提供深层次的安全防护,是微软安全解决方案中不可缺少的一部分层次的安全防护,是微软安全解决方案中不可缺少的一部分
为什么需要 eCop XSA ?
黑客
日益复杂的攻击手段日益复杂的攻击手段1 2 3各自为战的安全技术各自为战的安全技术 越发复杂越发复杂的管理管理
由单一型转为混合型
攻击更加频繁
漏洞增多
攻击周期急剧缩短
网络犯罪愈演愈烈
影响面和破坏力增大
对技术人员水平要求较高
安全产品难以使用部署
多个控制台
管理维护工作量大
居高不下的投资成本
存在太多的单点产品
无法协同工作
无力应对复杂攻击手段
隐藏真实安全事件源
不具备灵活的可扩展能力
eCop XSA 提供的解决方案
将智能防火墙、 VPN 、防病毒和反垃圾邮件等多种安全技术融合于一体,构建立体化安全防护体系,有效抵御混合型攻击
立体化的防御立体化的防御1 2 3高集成度的整合方案高集成度的整合方案 便捷的管理便捷的管理
较低的投资成本全面的管理、报告和日志平台简化的管理
单一管理平台简单的部署维护
简化的授权
交叉产品集成MS 安全产品MS 服务器应用程序
与 Microsoft IT 基础结构相集成
AD 、 MOM ,等等
与合作伙伴、宝信安全方案相集成
eCop XSA 功能特性
多网络模式支持
DMZ_1
定义任何数量的网络
VPN 也作为网络
本地主机也作为网络
指定关系 (NAT/Route)
基于网络指定策略
对网络间的通讯进行检查
VPN 网络
eCop XSA
任何拓扑,任何策略任何拓扑,任何策略
网络 ADMZ_n
本地主机
内网 _1
内网 _2
Internet
智能的高级应用层防火墙
Application Layer Application Layer ContentContent????????????????????????????????????????????
只检查数据包头部只检查数据包头部应用层的内容看来就像是一个神秘的“黑盒子”应用层的内容看来就像是一个神秘的“黑盒子”
IP HeaderIP HeaderSource Address,Dest. Address,TTL, Checksum
TCP TCP HeaderHeaderSequence NumberSource Port,Destination Port,Checksum
基于端口号转发基于端口号转发合法的数据流和应用层攻击使用相同的端口合法的数据流和应用层攻击使用相同的端口
合法的 HTTP 流量
非法的 HTTP 流量
攻击
非 HTTP 流量
内部网络
—— 传统型防火墙的缺陷
Internet
智能的高级应用层防火墙——eCop XSA 的三层过滤
确定允许哪些数据包通过并到达受保护的网络链路和应用程序层代理服务。状态过滤只在需要时自动打开端口,并在通信结束时自动关闭这些端口。
为 Telnet 、 RealAudio 、 Windows
Media technologies 、 IRC 以及许多其他 Internet 协议和服务的多平面访问提供了应用程序透明的链路网关。 XSA 链路层安全可以与动态数据包过滤配合工作,从而增强安全性和易用性。
可以识别客户端 PC 应用程序协议(如 HTTP 、 FTP 、和 Gopher )中的命令。 eCop
XSA 代表客户端 PC 进行操作,并对外部网络隐藏网络拓扑结构和 IP 地址。
以动态、智能化的方式对通过防火墙的程序执行状态包过滤(状态包检查)和应用程序层状态检查。此项检查确保了通信的完整性并防止由入侵者、黑客、蠕虫、病毒和可疑命令字符串引起的安全漏洞。在应用层协议和连接状态的上下文中都进行状态检查。
智能的高级应用层防火墙——eCop XSA 应用程序筛选器
eCop XSA 使用应用程序筛选器来执行应用程序级安全检查。应用程序筛选器是注册到特定协议端口的动态链接库 (DLL) 。每当把一个数据包发送到该协议端口,它就被传递给应用程序筛选器,后者按照应用程序逻辑来检查该数据包,并根据策略来决定该怎样处理。
智能应用程序筛选
eCop XSA 支持 100 个以上的Internet 协议,管理员可根据自身需求,基于端口数、类型、 TCP 或者 UDP 和方向定义附加协议,具有良好的可扩展性。
eCop XSA
内部网络
非 HTTP 流量
攻击
非法的 HTTP 流量
合法的 HTTP 流量Internet
Web 高速缓存使用 RAM 缓存、磁盘缓存和 HTTP压缩技术来增加速内部用户访问外部网络的速度,节约现有带宽资源。
1 2 3 4
将内部 Web 服务器中的数据寄存在 XSA
缓存中,可以有效降低 Web 服务器负荷。
在网络流量不大时,缓存中那些经常被访问的对象会自动地被更新,以优化带宽的使用。
使用分层连接将客户端的请求通过缓存服务器链逐层向上游传送,有效加速分支机构的访问速度。
eCop XSAInternet
用户一
用户二
发起 Internet访问请求
未发现需要访问的内容 从外网服务
器下载数据
将数据存储到缓存中发起 Internet
访问请求
发现数据,从缓存下载
安全的发布 Web 应用通过模拟已发布的服务器来添加一个安全层。服务器发布规则保护内部服务器免遭外部用户的不可靠访问。
1 2 3 4
智能应用程序过滤可以检查流入服务器的数据,保护所有已发布的服务器免遭外部攻击。
通过集成的 Windows
身份验证、 RADIUS
目录用户、活动目录、等身份认证技术保证到访用户的合法性
使用 SLL 安全的发布Web 应用,与大多数防火墙不同之处在于,XSA 可以对经过 SSL
加密的数据进行安全性检查。
传统防火墙
Internet
身份认证在服务器上进行
建立 SSL 通道
病毒通过加密通道传送
无法检查 SLL加密的数据
eCop XSA
在 XSA上实现单点认证
XSA会解开加密数据包检查
重新打包或直接转发数据
站点间的 VPN 连接
Internet
第三方 VPN 设备
DMZDMZ
eCop XSA
总部 分支机构
PPTPPPTP 连接连接::基于 PPTP 的 VPN连接并未提供数据完整性验证,安全性较差基于基于 IPSecIPSec 的的 L2TPL2TP ((推荐):推荐):利用 IPSec 提供数据保密性、数据完整性和数据源验证服务IPSecIPSec 隧道模式:隧道模式:当有一方采用第三方 VPN 服务器时只可以采用此模式
eCop XSA
PPTP 连接基于 IPSec 的L2TP
IPSec 隧道模式
远程访问 VPN 及安全隔离
eCop XSA
Internet
发出VPN连接请求
用户一
用户二
隔离区内网
XSA 将其分配到隔离区
向 XSA 发送客户端脚本
检查通过后,接入内网向 XSA 发
送客户端脚本
检查不通过断开连接
客户端脚本检查客户端是否满足公司安全策略是否启用个人防火墙?
是否使用最新的防病毒升级包?
是否安装所需的补丁程序?
如果检查成功,客户端将获得完全访问权限如果检查失败,客户端将在超时时段以后断开连接
eCop XSA 支持远程访问 VPN ,同时可以通过自定义客户端安全脚本对接入终端进行安全体检。
可扩展的安全功能
上网行为管理功能提供可控制的上网访问,大幅提高员工工作效率;限制网络下载,并提供带宽管理功能保证关键应用;过滤敏感信息、屏蔽非法网站和内容,还可以控制危险内容(病毒、间谍软件、恶意代码、木马等)的无意访问。 防毒、杀毒功能强大的杀毒功能支持 HTTP 、 SMTP 、 POP3 、 FTP 、 NETBIOS 等多种协议的数据流,不仅可以查杀普通病毒邮件,还可以检查出各种压缩包( zip , rar , gzip 等)隐藏的病毒。反垃圾邮件功能防垃圾邮件功能采用关键字、黑白名单、反向侦测 SMTP 服务器等多种过滤手段,垃圾邮件的识别率高、误判率少。垃圾邮件库也可以在线更新,并且支持用户自己添加垃圾邮件规则。
基于独特的插件式可拓展结构,第三方厂商可通过 SDK 和 API 提供各项增值功能。
以下是我们推荐的常用插件,目前国内以下是我们推荐的常用插件,目前国内外已有数十种可供选择,并且数目还在外已有数十种可供选择,并且数目还在持续增长持续增长……!……!
