Tallafocs de nova generació de la sèrie DCFW-1800

El tallafoc DCN Next Generation (NGFW) proporciona una visibilitat i un control complet i granular de les aplicacions. Pot identificar i prevenir possibles amenaces associades a aplicacions d’alt risc alhora que proporciona un control basat en polítiques sobre les aplicacions, els usuaris i els grups d’usuaris. Es poden definir polítiques que garanteixin l’amplada de banda a les aplicacions de missió crítica mentre restringeixen o bloquegen les aplicacions no autoritzades o malicioses. El DCN NGFW incorpora seguretat de xarxa completa i funcions de tallafocs avançades, proporciona un rendiment superior, una eficiència energètica excel·lent i una capacitat completa de prevenció d’amenaces.

Funcions clau i aspectes destacats

Identificació i control d’aplicacions granulars

El DCFW-1800E NGFW proporciona un control precís de les aplicacions web independentment del port, protocol o acció evasiva. Pot identificar i prevenir possibles amenaces associades a aplicacions d’alt risc alhora que proporciona un control basat en polítiques sobre les aplicacions, els usuaris i els grups d’usuaris.Seguretat Es poden definir polítiques que garanteixin l’amplada de banda a les aplicacions de missió crítica mentre restringeixen o bloquegen les aplicacions no autoritzades o malicioses.

Controlar la detecció i prevenció integral d'amenaces

El DCFW-1800E NGFW proporciona protecció en temps real per a aplicacions contra atacs de xarxa, inclosos virus, programes espia, cucs, xarxes de bot, falsificació ARP, DoS / DDoS, troians, desbordaments de memòria intermèdia i injeccions SQL. Incorpora un motor unificat de detecció d’amenaces que comparteix detalls de paquets amb diversos motors de seguretat (AD, IPS, filtratge d’URL, antivirus, etc.), que millora significativament l’eficiència de la protecció i redueix la latència de la xarxa.

Serveis de xarxa

• Encaminament dinàmic (OSPF, BGP, RIPv2)
• Encaminament estàtic i de polítiques
• Ruta controlada per una aplicació
• DHCP, NTP, servidor DNS i servidor intermediari DNS incorporats
• Mode de toc: es connecta al port SPAN
• Modes d'interfície: sniffer, port agregat, loopback, VLANS (802.1Q i Trunking)
• Commutació i encaminament L2 / L3
• Desplegament en línia transparent per cable virtual (capa 1)

Tallafoc

• Modes de funcionament: NAT / ruta, transparent (pont) i mode mixt
• Objectes de polítiques: predefinits, personalitzats i agrupació d'objectes
• Política de seguretat basada en l’aplicació, el rol i la geolocalització
• Suport de passarel·les de nivell d'aplicació i sessió: MSRCP, PPTP, RAS, RSH, SIP, FTP, TFTP, HTTP, DCE / RPC, DNS-TCP, DNS-UDP, H.245 0, H.245 1, H.323
• Suport NAT i ALG: NAT46, NAT64, NAT444, SNAT, DNAT, PAT, Full Cone NAT, STUN
• Configuració NAT: per política i taula NAT central
• VoIP: recorregut NAT SIP / H.323 / SCCP, perforació de pin RTP
• Vista de gestió de polítiques globals
• Inspecció de redundància de la política de seguretat
• Horaris: puntuals i recurrents

Prevenció d’intrusos

l Detecció d'anomalies de protocols, detecció basada en la taxa, signatures personalitzades, actualitzacions manuals, automàtiques de signatures push o pull, enciclopèdia integrada

• Accions IPS: per defecte, supervisar, bloquejar, restablir (IP dels atacants o IP de la víctima, interfície entrant) amb un temps de caducitat
• Opció de registre de paquets
• Selecció basada en filtres: gravetat, objectiu, SO, aplicació o protocol
• Exempció d'IP de signatures IPS específiques
• Mode sniffer IDS
• Protecció DoS basada en la taxa IPv4 i IPv6 amb paràmetres de llindar contra la inundació TCP Syn, escaneig de ports TCP / UDP / SCTP, escombrat ICMP, inundació de sessió TCP / UDP / SCIP / ICMP (font / destinació)
• Bypass actiu amb interfícies de bypass
• Configuració de prevenció predefinida

Antivirus

• Actualitzacions manuals, automàtiques de signatura push o pull

• Antivirus basat en flux: els protocols inclouen HTTP, SMTP, POP3, IMAP, FTP / SFTP

• Exploració de virus de fitxers comprimits

Defensa de l'atac

• Defensa anormal de l'atac de protocol

• Anti-DoS / DDoS, incloent SYN Flood, defensa contra inundacions de consulta DNS

• Defensa de l'atac ARP

Filtratge d'URL

• Inspecció de filtratge web basat en flux

• Filtrat web definit manualment basat en URL, contingut web i capçalera MIME

• Filtratge web dinàmic amb base de dades de categorització en temps real basada en el núvol: més de 140 milions d’URL amb 64 ​​categories (8 de les quals estan relacionades amb la seguretat)

• Funcions addicionals de filtratge web:

- Filtreu Java Applet, ActiveX o cookie

- Bloqueja la publicació HTTP

- Registre de paraules clau de cerca

- Eximeix l'exploració de les connexions xifrades en determinades categories per privadesa

• Substitució de perfils de filtratge web: permet a l'administrador assignar temporalment diferents perfils a l'usuari / grup / IP

• Filtració de categories locals i substitució de classificació de categories

Reputació IP

• Bloqueig IP del servidor Botnet amb base de dades de reputació IP global

Desxifrat SSL

• Identificació d'aplicacions per al trànsit xifrat SSL

• Habilitació IPS per al trànsit xifrat SSL

• Habilitació AV per al trànsit xifrat SSL

• Filtre d'URL per al trànsit xifrat SSL

• Llista blanca de trànsit xifrat SSL

• Mode de descàrrega de proxy SSL

Identificació del punt final

• Suport per identificar IP de punt final, quantitat de punt final, temps en línia, temps fora de línia i durada en línia

• Suport a 2 sistemes operatius

• Suport a la consulta basada en la quantitat d’IP i de punt final

Control de transferència de fitxers

• Control de transferència de fitxers basat en el nom, el tipus i la mida del fitxer

• Identificació de protocols de fitxers, inclosos els protocols HTTP, HTTPS, FTP, SMTP, POP3 i SMB

• Signatura de fitxers i identificació de sufixos per a més de 100 tipus de fitxers

Control de l'aplicació

• Més de 3.000 aplicacions que es poden filtrar per nom, categoria, subcategoria, tecnologia i risc

• Cada aplicació conté una descripció, factors de risc, dependències, ports típics utilitzats i URL com a referència addicional

• Accions: bloquejar, restablir la sessió, controlar, configurar el trànsit

• Identificar i controlar les aplicacions del núvol al núvol

• Proporcionar estadístiques i monitoratge multidimensionals per a aplicacions en el núvol, incloses les categories i característiques del risc

Qualitat del servei (QoS)

• Túnels d'amplada de banda màxima / garantida o base IP / usuari

• Assignació de túnels basada en el domini de seguretat, interfície, adreça, grup d'usuaris / usuaris, grup servidor / servidor, grup d'aplicacions / aplicacions, TOS, VLAN

• Amplada de banda assignada per temps, prioritat o igual amplada de banda compartida

• Suport al tipus de servei (TOS) i als serveis diferenciats (DiffServ)

• Assignació prioritària de l’amplada de banda restant

• Connexions simultànies màximes per IP

Equilibri de càrrega del servidor

• Hash ponderat, connexió mínima ponderada i round-robin ponderat

• Protecció de la sessió, persistència de la sessió i control de l'estat de la sessió

• Comprovació de la salut del servidor, supervisió de la sessió i protecció de la sessió

Equilibri de càrrega d'enllaços

• Equilibri de càrrega d'enllaç bidireccional

• L’equilibri de càrrega d’enllaços de sortida inclou encaminament basat en polítiques, ECMP i encaminament d’ISP incrustat i ponderat i detecció dinàmica

• L'equilibri de càrrega d'enllaços entrants admet la detecció dinàmica i el DNS intel·ligent

• Canvi automàtic d’enllaços en funció de l’amplada de banda, latència, fluctuació, connectivitat, aplicació, etc.

• Vincular la inspecció sanitària amb ARP, PING i DNS

VPN

• VPN IPSec

- Mode IPSEC Phase 1: mode de protecció d'identificació agressiu i principal

- Opcions d’acceptació d’iguals: qualsevol identificador, identificador específic, identificador d’un grup d’usuaris de marcatge telefònic

- Admet IKEv1 i IKEv2 (RFC 4306)

- Mètode d'autenticació: certificat i clau compartida prèviament

- Suport de configuració del mode IKE (com a servidor o client)

- DHCP sobre IPSEC

Caducitat de la clau de xifratge IKE configurable, freqüència de manteniment de la travessia NAT

- Encriptació de la proposta de fase 1 / fase 2: DES, 3DES, AES128, AES192, AES256

- Autenticació de la proposta de fase 1 / fase 2: MD5, SHA1, SHA256, SHA384, SHA512

- Fase 1 / Fase 2 Suport Diffie-Hellman: 1,2,5

- XAuth com a mode de servidor i per a usuaris de marcatge telefònic

- Detecció d’iguals morts

- Detecció de reproducció

- Autokey keep-alive per a la fase 2 SA

• Suport al regne VPN IPSEC: permet diversos inicis de sessió VPN SSL personalitzats associats a grups d’usuaris (camins d’URL, disseny)

• Opcions de configuració de IPSEC VPN: basades en rutes o basades en polítiques

• Modes de desplegament de VPN IPSEC: passarel·la a passarel·la, malla completa, concentrador de ràdio i túnel redundant, terminació VPN en mode transparent

• L'inici de sessió únic impedeix iniciar la sessió simultàniament amb el mateix nom d'usuari

• Limitació d’usuaris concurrents del portal SSL

• El mòdul de reenviament de ports VPN SSL xifra les dades del client i envia les dades al servidor d'aplicacions

• Admet clients que executen iOS, Android i Windows XP / Vista, inclòs el sistema operatiu Windows de 64 bits

• Comprovació de la integritat de l'amfitrió i comprovació del sistema operatiu abans de les connexions de túnels SSL

• Comprovació de l’amfitrió MAC per portal

• Opció de neteja de memòria cau abans de finalitzar la sessió SSL VPN

• Mode client i servidor L2TP, L2TP sobre IPSEC i GRE sobre IPSEC

• Veure i gestionar les connexions VPN IPSEC i SSL

• PnPVPN

IPv6

• Gestió sobre IPv6, registre IPv6 i HA

• Túnel IPv6, DNS64 / NAT64, etc.

• Protocols d’encaminament IPv6, encaminament estàtic, encaminament de polítiques, ISIS, RIPng, OSPFv3 i BGP4 +

• IPS, identificació d’aplicacions, control d’accés, defensa d’atacs ND

VSYS

• Assignació de recursos del sistema a cada VSYS

• Virtualització de la CPU

• El servidor de seguretat VSYS no arrel suporta tallafocs, VPN IPSec, VPN SSL, IPS, filtratge d’URL

• Seguiment i estadística de VSYS

Alta disponibilitat

• Interfícies de batecs del cor redundants

• Actiu / Actiu i Actiu / Passiu

• Sincronització de sessió autònoma

• Interfície de gestió reservada HA

• Failover:

- Monitorització d'enllaços portuaris, locals i remots

- Connexió per error estatal

- Connexió per fallada del segon segon

- Notificació d’error

• Opcions de desplegament:

- HA amb agregació d'enllaços

HA de malla completa

- HA dispersa geogràficament

Identitat d'usuari i dispositiu

• Base de dades d’usuaris locals

• Autenticació d'usuari remot: TACACS +, LDAP, Radius, Actiu

• Inici de sessió únic: Windows AD

• Autenticació de 2 factors: suport de tercers, servidor de token integrat amb físic i SMS

• Polítiques basades en usuaris i dispositius

• Sincronització de grups d'usuaris basada en AD i LDAP

• Suport per a 802.1X, servidor intermediari SSO

Administració

• Accés de gestió: HTTP / HTTPS, SSH, telnet, consola

• Gestió central: DCN Security Manager, API de serveis web

• Integració del sistema: SNMP, Syslog, aliances d’aliança

• Desplegament ràpid: instal·lació automàtica USB, execució de scripts local i remot

• Estat dinàmic del tauler de control en temps real i widgets de supervisió de drill-in

• Suport lingüístic: anglès

Registres i informes

• Instal·lacions de registre: memòria i emmagatzematge local (si està disponible), diversos servidors Syslog

• Registre xifrat i càrrega de registres per lots programada

• Registre fiable mitjançant l'opció TCP (RFC 3195)

• Registres de trànsit detallats: sessions reenviades, incomplides, trànsit local, paquets no vàlids, URL, etc.

• Registres d’esdeveniments complets: auditories d’activitats del sistema i administratives, encaminament i xarxes, VPN, autenticacions d’usuaris

• Opció de resolució de noms de ports IP i serveis

• Breu opció de format de registre de trànsit

• Tres informes predefinits: informes de seguretat, de flux i de xarxa

• Informes definits per l'usuari

• Els informes es poden exportar en PDF per correu electrònic i FTP

Especificacions

Aplicació típica
Per a empreses i proveïdors de serveis, DCFW-1800E NGFW pot gestionar tots els seus riscos de seguretat amb els millors sistemes IPS de la indústria, la inspecció SSL i la protecció contra les amenaces. La sèrie DCFW-1800E es pot desplegar a la vora empresarial, al centre de dades híbrid i a diferents segments interns. Les múltiples interfícies d’alta velocitat, l’alta densitat de ports, l’eficàcia de seguretat superior i l’alt rendiment d’aquesta sèrie mantenen la vostra xarxa connectada i segura.

Informació de la comanda