Виртуальный межсетевой экран следующего поколения Hillstone CloudEdge
Hillstone CloudEdge предоставляет расширенные службы безопасности на уровнях 2-7, в дополнение к основным функциям межсетевого экрана для публичных и частных облачных пользователей. Он может быть развернут через Cloud Management Platform (CMP) как «Firewall as a Service» для решения с несколькими арендаторами в виртуальной среде. CloudEdge предоставляет базовые технологии как рекомендует NSS Labs и обеспечивает такой же надежный набор функций безопасности, который предлагается для физических сред. Администраторы безопасности могут быстро предоставлять и развертывать CloudEdge по мере роста и мгновенно начинать защищать виртуальные развертывания. CloudEdge идентифицирует и предотвращает потенциальные угрозы, связанные с приложениями высокого риска, обеспечивая при этом контроль над приложениями, пользователями и группами пользователей, основанный на политиках. Можно определить политики, которые гарантируют пропускную способность для критически важных приложений, ограничивая или блокируя неприемлемые или вредоносные приложения. Маршрутизация на основе политик и управление пропускной способностью также могут быть созданы для пользователей/групп в зависимости от времени суток и атрибутов приложений.
CloudEdge обеспечивает независимое управление, а также удаленный безопасный доступ для каждого арендатора в многопользовательских виртуальных и облачных средах. CloudEdge поддерживает основные технологии гипервизоров, включая KVM, Xen, Hyper-V, VMware ESXi и т.д. Он также поддерживает и тесно интегрирован с CMP, такими как Amazon Web Service (AWS), Microsoft Azure, AliCloud, Openstack и VMware vCenter.
Использует технологию Hillstone NGFW
CloudEdge обеспечивает те же самые надежные функции и преимущества Hillstone NGFW в виртуализированных и облачных развертываниях. Он может обеспечить комплексные функции безопасности, включая гранулярную идентификацию и контроль приложений, защиту от вторжений, антивирус, защиту от атак и т.д.
Включает контроль доступа для VPC
Виртуальные частные облака обеспечивают логические периметры безопасности для защиты виртуальных центров обработки данных. CloudEdge развертывается в VPC для обеспечения независимого управления, контроля и защиты для каждого арендатора.
Обеспечивает безопасную передачу данных через VPN
Функция CloudEdge VPN защищает передачу данных между VPC, VPC и ассоциированными корпоративными сетями или VPC на разных облачных платформах.
Легко развертывается и управляется
CloudEdge может быть легко изменён или создан из шаблонов для работы с высокодинамическими операциями виртуальных машин и виртуальных сред. Полностью интегрированные с CMP, администраторы могут запускать, останавливать и настраивать политики брандмауэра из самого CMP; администраторы также могут настраивать CloudEdge напрямую через SecureShell (SSH).
Обеспечивает многопользовательскую поддержку
Для максимального контроля и защиты поддерживаются выделенные конфигурации и политики безопасности для каждого арендатора.
Ключевые особенности
Сетевые службы
- Динамическая маршрутизация (OSPF, BGP, RIPv2)
- Статическая маршрутизация и маршрутизация на основе политик
- Маршруты, управляемые приложениями
- Встроенные DHCP, NTP, DNS сервера и DNS прокси
- Режим TAP – подключение к SPAN порту
- Режимы интерфейсов: снифер, агрегация портов, лупбек, VLAN (1Q и транкинг)
- L2/L3 коммутация и маршрутизация
- Прозрачное разворачивание – виртуальный кабель (L1)
Межсетевой экран
- Режимы работы: NAT/маршрутизация, прозрачный (мост) и смешанный режим
- Объекты политик: предопределённые, пользовательские и группировка объектов
- Политики безопасности, основанные на приложениях, роли и гео-локации
- Поддержка шлюзов уровня приложения (ALG) и сессий: MSRCP, PPTP, RAS, RSH, SIP, FTP, TFTP, HTTP, dcerpc, dns-tcp, dns-udp, H.245 0, H.245 1, H.323
- Поддержка NAT и ALG: NAT46, NAT64, NAT444, SNAT, DNAT, PAT, Full Cone NAT, STUN
- Конфигурации NAT: по политикам и централизованная NAT таблица
- VoIP: SIP/H.323/SCCP NAT traversal, RTP pin holing
- Глобальный просмотр управления политиками
- Проверка избыточности политик безопасности
- Расписания: одноразовые и повторяющиеся
Предотвращение вторжений
- Выявление аномалий протоколов, выявление на основании полосы пропускания, пользовательские сигнатуры, ручное или автоматическое, принудительное или по запросу обновление сигнатур, интегрированная энциклопедия угроз
- Действия IPS: по умолчанию, мониторинг, блокировка, сброс (IP атакующего или жертвы, входящий интерфейс) с истечением таймера
- Функция журналирования пакетов
- Выбор на основе фильтров: северити, цель, ОС, приложение или протокол
- Исключение IP из специфических IPS сигнатур
- Режим снифера IDS
- IPv4 и IPv6 DoS защита на основе полосы пропускания с настройками порогов срабатывания от TCP Syn флуда, сканирования портов TCP/UDP/SCTP, ICMP сканирования, TCP/UDP/SCIP/ICMP флуда сессий (источника/назначения)
- Активный байпас с обходными интерфейсами
- Предопределенная конфигурация предотвращения
Антивирус
- Ручное, автоматическое, принудительное или по запросу обновление сигнатур,
- Потоковый антивирус, включает протоколы: HTTP, SMTP, POP3, IMAP, FTP/SFTP
- Сканирование на вирусы сжатых файлов
Защита от атак
- Защита от атак, использующих анормальные протоколы
- Анти DoS/DDoS, включая защиту от SYN флуда и флуда DNS запросов
- Защита от ARP атак
Фильтрация URL
- Потоковая веб инспекция
- Определяемая вручную веб фильтрация на основе URL, веб содержимого и MIME заголовка
- Динамическая веб фильтрация с облачной базой данных с категоризацией в реальном времени: более 140 миллионов URLей с 64 категориями (8 из которых связаны с безопасностью)
- Переопределение профилей веб фильтрации: позволяет администратору временно назначать другие профили для пользователей, групп, IP
- Дополнительные функции веб фильтрации:
- Фильтрация Java Applet, ActiveX и/или куки
- Блокировка HTTP Post
- Поиск в журнале по ключевым словам
- Исключение сканирования зашифрованных соединений определённых категорий для обеспечения приватности
- Локальные категории веб фильтрации и переопределение категорий
Облачная песочница
- Загрузка вредоносных файлов в облачную песочницу для анализа
- Поддержка протоколов: HTTP/HTTPS, POP3, IMAP, SMTP и FTP
- Поддержка типов файлов: PE, ZIP, RAR, Office, PDF, APK, JAR и SWF
- Направление передачи файлов и управление размером файла
- Предоставление полного отчёта анализа поведения для вредоносных файлов
IP репутация
- Блокировка IP ботнет серверов с глобальной базой данных IP репутации
Идентификация конечных узлов
- Поддержка идентификации IP-адреса конечного узла, количества конечных узлов, времени в сети, времени автономной работы и продолжительности он-лайн работы
- Поддержка 10 операционных систем
- Поддержка запросов на основании количества IP адресов и конечных узлов
Контроль приложений
- Более 3000 приложений, которые могут быть отфильтрованы по имени, категории, подкатегории, технологии и риску
- Каждое приложение содержит описание, факторы риска, зависимости, обычно используемые порты и URLи для дополнительной информации
- Действия: блокировка, сброс сессии, мониторинг, ограничение трафика
- Идентификация и контроль приложений в облаке
- Обеспечение многомерного мониторинга и статистики для приложений, работающих в облаке, включая категорию риска и характеристики
Качество обслуживания (QoS)
- Максимальная/гарантированная полоса пропускания для туннелей, IP или пользователей
- Распределение туннелей на основе доменов безопасности, интерфейсов, адресов, групп пользователей, пользователей, групп серверов, серверов, групп приложений, приложений, TOS, VLAN
- Распределение полосы пропускания по времени, приоритету или эквивалентное разделение полосы пропускания
- Поддержка Type of Service (TOS) и Differentiated Services (DiffServ)
- Приоритетное распределение оставшейся полосы пропускания
- Максимальное количество одновременных подключений на IP-адрес
Балансировка нагрузки на сервера
- Алгоритмы балансировки: взвешенное хеширование, взвешенное количество активных соединение и взвешенный циклический
- Защита сеанса, сохранение сеанса и мониторинг состояния сеанса
- Проверка работоспособности сервера, мониторинг сеансов и защита сеанса
Балансировка нагрузки каналов связи
- Двунаправленная балансировка нагрузки каналов связи
- Балансировка нагрузки исходящих соединений, включая маршрутизацию на основе политик, ECMP и взвешенную встроенную маршрутизацию ISP и динамическое обнаружение
- Балансировка нагрузки входящих соединений поддерживает SmartDNS и динамическое обнаружение
- Автоматическое переключение соединений на основе полосы пропускания, задержки, джиттера, возможности подключения, приложения и т.д.
- Проверка работоспособности соединения при помощи ARP, PING и DNS
VPN
- IPSec VPN:
- Режимы фазы 1 IPSEC: aggressive и main
- Варианты приёмки узлов: любой ID, определённый ID, ID в пользовательской dialup группе
- Поддержка IKEv1 и IKEv2 (RFC 4306)
- Методы аутентификации: сертификат и предопределённый ключ
- Поддержка IKE mode configuration (как сервер или клиент)
- DHCP через IPSEC
- Настраиваемые срок действия ключа шифрования IKE, частота отправки keep alive NAT traversal
- Phase 1/Phase 2 Proposal шифрование: DES, 3DES, AES128, AES192, AES256
- Phase 1/Phase 2 Proposal аутентификация: MD5, SHA1, SHA256, SHA384, SHA512
- Поддержка групп Phase 1/Phase 2 Diffie-Hellman: 1,2,5
- XAuth в режиме сервера и для dialup пользователей
- Dead peer detection
- Определение повторной отправки
- Keep-alive c автоматическим ключом для Phase 2 SA
- Поддержка областей SSL VPN: позволяет использовать несколько пользовательских SSL VPN-подключений, связанных с группами пользователей (URL пути, дизайн)
- Варианты настройки IPSec VPN: на основе маршрутов или политик
- Варианты разворачивания IPSec VPN: шлюз-шлюз, все со всеми, звезда, резервный туннель, VPN терминация в прозрачном режиме
- Однократный вход предотвращает одновременные логины с одинаковым именем пользователя
- Ограничение одновременного количества пользователей на SSL портал
- Модуль проброса портов SSL VPN шифрует клиентские данные и посылает их на сервер приложений
- Поддержка клиентов, работающих на iOS, Android и Windows XP/Vista включая 64-битные Windows OS
- Проверка целостности хоста и проверка ОС перед подключением SSL туннеля
- Проверка МАС хоста на портале
- Возможность очистки кеша перед завершением SSL VPN сессии
- Клиентский и серверный режимы L2TP, L2TP поверх IPSec и GRE поверх IPSec
- Просмотр и управление IPSec и SSL VPN соединениями
- PnPVPN
IPv6
- Управление через IPv6, IPv6 журналирование и режим высокой доступности
- IPv6 туннелирование, DNS64/NAT64 и т.д.
- Протоколы маршрутизации IPv6: ISIS, RIPng, OSPFv3 и BGP4+, статическая маршрутизация, маршрутизация на основе политик
- IPS, идентификация приложений, контроль доступа, защита от ND атак
Высокая доступность
- Резервные сигнальные интерфейсы
- Актив/актив и актив/пассив
- Синхронизация автономных сессий
- Резервный интерфейс управления HA
- Отказоустойчивость:
- Мониторинг состояния порта, локального и удалённого соединения
- Отказоустойчивость с учётом состояния
- Досекундное переключение
- Уведомление о сбое
- Варианты разворачивания:
- HA с агрегацией соединений
- Все со всеми HA
- Географически распределённый HA
Идентификация устройств и пользователей
- Локальная база данных пользователей
- Удалённая идентификация пользователей: TACACS+, LDAP, Radius, AD
- Единая точка входа: Windows AD
- 2-х факторная аутентификация: поддержка сторонних производителей, интегрированный сервер тоукенов (физических и SMS)
- Политики на основании пользователей и устройств
- Синхронизация пользовательских групп на основе AD и LDAP
- Поддержка 802.1X, SSO прокси
Администрирование
- Доступ к управлению: HTTP/HTTPS, SSH, telnet, консоль
- Централизованное управление: Hillstone Security Manager (HSM), web service API
- Системная интеграция: SNMP, syslog, партнёрские отношения
- Быстрое разворачивание: автоустановка USB, локальное и удалённое выполнение скриптов
- Динамический статус в панели управления в реальном времени и разворачивающиеся виджеты наблюдения
- Поддержка языков: Английский
Журналирование и отчётность
- Возможности журналирования: локальная память и хранилище (если доступно), множественные syslog сервера и множественные платформы Hillstone Security Audit (HSA)
- Шифрованное журналирование и обеспечение целостности журналов с загрузкой журналов по расписанию через HSA
- Надёжное журналирование с использованием TCP (RFC 3195)
- Подробные журналы трафика: переадресованные, нарушенные сеансы, локальный трафик, недопустимые пакеты
- Всесторонние журналы событий: системный и административный аудит активности, сетевые и маршрутизации, VPN, аутентификации пользователей, событий, связанных с WiFi
- Возможность разрешения имени по IP и порту
- Краткая форма формата журнала трафика
- Три предопределённых отчёта: безопасность, потоки и сети
- Отчёты, заданные пользователем
- Отчёты могут быть экспортированы в PDF и получены через Email и FTP
REST API
- Объекты: книги адресов и сервисов
- Политики: Антивирусные, IPS, DNAT/SNAT, безопасности
- Конфигурация: интерфейсов, маршрутизации, зон
Виртуализация
- Гипервизоры: KVM, VMware ESXi, Xen, AMI (AWS), Hyper-V
- Публичный облака: AWS, Azure, AliCloud и т.д.
Ресурсы