Виртуальный межсетевой экран следующего поколения Hillstone CloudEdge

Hillstone CloudEdge предоставляет расширенные службы безопасности на уровнях 2-7, в дополнение к основным функциям межсетевого экрана для публичных и частных облачных пользователей. Он может быть развернут через Cloud Management Platform (CMP) как «Firewall as a Service» для решения с несколькими арендаторами в виртуальной среде. CloudEdge предоставляет базовые технологии как рекомендует NSS Labs и обеспечивает такой же надежный набор функций безопасности, который предлагается для физических сред. Администраторы безопасности могут быстро предоставлять и развертывать CloudEdge по мере роста и мгновенно начинать защищать виртуальные развертывания. CloudEdge идентифицирует и предотвращает потенциальные угрозы, связанные с приложениями высокого риска, обеспечивая при этом контроль над приложениями, пользователями и группами пользователей, основанный на политиках. Можно определить политики, которые гарантируют пропускную способность для критически важных приложений, ограничивая или блокируя неприемлемые или вредоносные приложения. Маршрутизация на основе политик и управление пропускной способностью также могут быть созданы для пользователей/групп в зависимости от времени суток и атрибутов приложений.

CloudEdge обеспечивает независимое управление, а также удаленный безопасный доступ для каждого арендатора в многопользовательских виртуальных и облачных средах. CloudEdge поддерживает основные технологии гипервизоров, включая KVM, Xen, Hyper-V, VMware ESXi и т.д. Он также поддерживает и тесно интегрирован с CMP, такими как Amazon Web Service (AWS), Microsoft Azure, AliCloud, Openstack и VMware vCenter.


 


 

Использует технологию Hillstone NGFW

CloudEdge обеспечивает те же самые надежные функции и преимущества Hillstone NGFW в виртуализированных и облачных развертываниях. Он может обеспечить комплексные функции безопасности, включая гранулярную идентификацию и контроль приложений, защиту от вторжений, антивирус, защиту от атак и т.д.

Включает контроль доступа для VPC

Виртуальные частные облака обеспечивают логические периметры безопасности для защиты виртуальных центров обработки данных. CloudEdge развертывается в VPC для обеспечения независимого управления, контроля и защиты для каждого арендатора.

Обеспечивает безопасную передачу данных через VPN

Функция CloudEdge VPN защищает передачу данных между VPC, VPC и ассоциированными корпоративными сетями или VPC на разных облачных платформах.

Легко развертывается и управляется

CloudEdge может быть легко изменён или создан из шаблонов для работы с высокодинамическими операциями виртуальных машин и виртуальных сред. Полностью интегрированные с CMP, администраторы могут запускать, останавливать и настраивать политики брандмауэра из самого CMP; администраторы также могут настраивать CloudEdge напрямую через SecureShell (SSH).

Обеспечивает многопользовательскую поддержку

Для максимального контроля и защиты поддерживаются выделенные конфигурации и политики безопасности для каждого арендатора.
Ключевые особенности
Сетевые службы
  • Динамическая маршрутизация (OSPF, BGP, RIPv2)
  • Статическая маршрутизация и маршрутизация на основе политик
  • Маршруты, управляемые приложениями
  • Встроенные DHCP, NTP, DNS сервера и DNS прокси
  • Режим TAP – подключение к SPAN порту
  • Режимы интерфейсов: снифер, агрегация портов, лупбек, VLAN (1Q и транкинг)
  • L2/L3 коммутация и маршрутизация
  • Прозрачное разворачивание – виртуальный кабель (L1)
Межсетевой экран
  • Режимы работы: NAT/маршрутизация, прозрачный (мост) и смешанный режим
  • Объекты политик: предопределённые, пользовательские и группировка объектов
  • Политики безопасности, основанные на приложениях, роли и гео-локации
  • Поддержка шлюзов уровня приложения (ALG) и сессий: MSRCP, PPTP, RAS, RSH, SIP, FTP, TFTP, HTTP, dcerpc, dns-tcp, dns-udp, H.245 0, H.245 1, H.323
  • Поддержка NAT и ALG: NAT46, NAT64, NAT444, SNAT, DNAT, PAT, Full Cone NAT, STUN
  • Конфигурации NAT: по политикам и централизованная NAT таблица
  • VoIP: SIP/H.323/SCCP NAT traversal, RTP pin holing
  • Глобальный просмотр управления политиками
  • Проверка избыточности политик безопасности
  • Расписания: одноразовые и повторяющиеся
Предотвращение вторжений
  • Выявление аномалий протоколов, выявление на основании полосы пропускания, пользовательские сигнатуры, ручное или автоматическое, принудительное или по запросу обновление сигнатур, интегрированная энциклопедия угроз
  • Действия IPS: по умолчанию, мониторинг, блокировка, сброс (IP атакующего или жертвы, входящий интерфейс) с истечением таймера
  • Функция журналирования пакетов
  • Выбор на основе фильтров: северити, цель, ОС, приложение или протокол
  • Исключение IP из специфических IPS сигнатур
  • Режим снифера IDS
  • IPv4 и IPv6 DoS защита на основе полосы пропускания с настройками порогов срабатывания от TCP Syn флуда, сканирования портов TCP/UDP/SCTP, ICMP сканирования, TCP/UDP/SCIP/ICMP флуда сессий (источника/назначения)
  • Активный байпас с обходными интерфейсами
  • Предопределенная конфигурация предотвращения
Антивирус
  • Ручное, автоматическое, принудительное или по запросу обновление сигнатур,
  • Потоковый антивирус, включает протоколы: HTTP, SMTP, POP3, IMAP, FTP/SFTP
  • Сканирование на вирусы сжатых файлов
Защита от атак
  • Защита от атак, использующих анормальные протоколы
  • Анти DoS/DDoS, включая защиту от SYN флуда и флуда DNS запросов
  • Защита от ARP атак
Фильтрация URL
  • Потоковая веб инспекция
  • Определяемая вручную веб фильтрация на основе URL, веб содержимого и MIME заголовка
  • Динамическая веб фильтрация с облачной базой данных с категоризацией в реальном времени: более 140 миллионов URLей с 64 категориями (8 из которых связаны с безопасностью)
  • Переопределение профилей веб фильтрации: позволяет администратору временно назначать другие профили для пользователей, групп, IP
  • Дополнительные функции веб фильтрации:
    • Фильтрация Java Applet, ActiveX и/или куки
    • Блокировка HTTP Post
    • Поиск в журнале по ключевым словам
    • Исключение сканирования зашифрованных соединений определённых категорий для обеспечения приватности
  • Локальные категории веб фильтрации и переопределение категорий
Облачная песочница
  • Загрузка вредоносных файлов в облачную песочницу для анализа
  • Поддержка протоколов: HTTP/HTTPS, POP3, IMAP, SMTP и FTP
  • Поддержка типов файлов: PE, ZIP, RAR, Office, PDF, APK, JAR и SWF
  • Направление передачи файлов и управление размером файла
  • Предоставление полного отчёта анализа поведения для вредоносных файлов
IP репутация
  • Блокировка IP ботнет серверов с глобальной базой данных IP репутации
Идентификация конечных узлов
  • Поддержка идентификации IP-адреса конечного узла, количества конечных узлов, времени в сети, времени автономной работы и продолжительности он-лайн работы
  • Поддержка 10 операционных систем
  • Поддержка запросов на основании количества IP адресов и конечных узлов
Контроль приложений
  • Более 3000 приложений, которые могут быть отфильтрованы по имени, категории, подкатегории, технологии и риску
  • Каждое приложение содержит описание, факторы риска, зависимости, обычно используемые порты и URLи для дополнительной информации
  • Действия: блокировка, сброс сессии, мониторинг, ограничение трафика
  • Идентификация и контроль приложений в облаке
  • Обеспечение многомерного мониторинга и статистики для приложений, работающих в облаке, включая категорию риска и характеристики
Качество обслуживания (QoS)
  • Максимальная/гарантированная полоса пропускания для туннелей, IP или пользователей
  • Распределение туннелей на основе доменов безопасности, интерфейсов, адресов, групп пользователей, пользователей, групп серверов, серверов, групп приложений, приложений, TOS, VLAN
  • Распределение полосы пропускания по времени, приоритету или эквивалентное разделение полосы пропускания
  • Поддержка Type of Service (TOS) и Differentiated Services (DiffServ)
  • Приоритетное распределение оставшейся полосы пропускания
  • Максимальное количество одновременных подключений на IP-адрес
Балансировка нагрузки на сервера
  • Алгоритмы балансировки: взвешенное хеширование, взвешенное количество активных соединение и взвешенный циклический
  • Защита сеанса, сохранение сеанса и мониторинг состояния сеанса
  • Проверка работоспособности сервера, мониторинг сеансов и защита сеанса
Балансировка нагрузки каналов связи
  • Двунаправленная балансировка нагрузки каналов связи
  • Балансировка нагрузки исходящих соединений, включая маршрутизацию на основе политик, ECMP и взвешенную встроенную маршрутизацию ISP и динамическое обнаружение
  • Балансировка нагрузки входящих соединений поддерживает SmartDNS и динамическое обнаружение
  • Автоматическое переключение соединений на основе полосы пропускания, задержки, джиттера, возможности подключения, приложения и т.д.
  • Проверка работоспособности соединения при помощи ARP, PING и DNS
VPN
  • IPSec VPN:
    • Режимы фазы 1 IPSEC: aggressive и main
    • Варианты приёмки узлов: любой ID, определённый ID, ID в пользовательской dialup группе
    • Поддержка IKEv1 и IKEv2 (RFC 4306)
    • Методы аутентификации: сертификат и предопределённый ключ
    • Поддержка IKE mode configuration (как сервер или клиент)
    • DHCP через IPSEC
    • Настраиваемые срок действия ключа шифрования IKE, частота отправки keep alive NAT traversal
    • Phase 1/Phase 2 Proposal шифрование: DES, 3DES, AES128, AES192, AES256
    • Phase 1/Phase 2 Proposal аутентификация: MD5, SHA1, SHA256, SHA384, SHA512
    • Поддержка групп Phase 1/Phase 2 Diffie-Hellman: 1,2,5
    • XAuth в режиме сервера и для dialup пользователей
    • Dead peer detection
    • Определение повторной отправки
    • Keep-alive c автоматическим ключом для Phase 2 SA
  • Поддержка областей SSL VPN: позволяет использовать несколько пользовательских SSL VPN-подключений, связанных с группами пользователей (URL пути, дизайн)
  • Варианты настройки IPSec VPN: на основе маршрутов или политик
  • Варианты разворачивания IPSec VPN: шлюз-шлюз, все со всеми, звезда, резервный туннель, VPN терминация в прозрачном режиме
  • Однократный вход предотвращает одновременные логины с одинаковым именем пользователя
  • Ограничение одновременного количества пользователей на SSL портал
  • Модуль проброса портов SSL VPN шифрует клиентские данные и посылает их на сервер приложений
  • Поддержка клиентов, работающих на iOS, Android и Windows XP/Vista включая 64-битные Windows OS
  • Проверка целостности хоста и проверка ОС перед подключением SSL туннеля
  • Проверка МАС хоста на портале
  • Возможность очистки кеша перед завершением SSL VPN сессии
  • Клиентский и серверный режимы L2TP, L2TP поверх IPSec и GRE поверх IPSec
  • Просмотр и управление IPSec и SSL VPN соединениями
  • PnPVPN
IPv6
  • Управление через IPv6, IPv6 журналирование и режим высокой доступности
  • IPv6 туннелирование, DNS64/NAT64 и т.д.
  • Протоколы маршрутизации IPv6: ISIS, RIPng, OSPFv3 и BGP4+, статическая маршрутизация, маршрутизация на основе политик
  • IPS, идентификация приложений, контроль доступа, защита от ND атак
Высокая доступность
  • Резервные сигнальные интерфейсы
  • Актив/актив и актив/пассив
  • Синхронизация автономных сессий
  • Резервный интерфейс управления HA
  • Отказоустойчивость:
    • Мониторинг состояния порта, локального и удалённого соединения
    • Отказоустойчивость с учётом состояния
    • Досекундное переключение
    • Уведомление о сбое
  • Варианты разворачивания:
    • HA с агрегацией соединений
    • Все со всеми HA
    • Географически распределённый HA
Идентификация устройств и пользователей
  • Локальная база данных пользователей
  • Удалённая идентификация пользователей: TACACS+, LDAP, Radius, AD
  • Единая точка входа: Windows AD
  • 2-х факторная аутентификация: поддержка сторонних производителей, интегрированный сервер тоукенов (физических и SMS)
  • Политики на основании пользователей и устройств
  • Синхронизация пользовательских групп на основе AD и LDAP
  • Поддержка 802.1X, SSO прокси
Администрирование
  • Доступ к управлению: HTTP/HTTPS, SSH, telnet, консоль
  • Централизованное управление: Hillstone Security Manager (HSM), web service API
  • Системная интеграция: SNMP, syslog, партнёрские отношения
  • Быстрое разворачивание: автоустановка USB, локальное и удалённое выполнение скриптов
  • Динамический статус в панели управления в реальном времени и разворачивающиеся виджеты наблюдения
  • Поддержка языков: Английский
Журналирование и отчётность
  • Возможности журналирования: локальная память и хранилище (если доступно), множественные syslog сервера и множественные платформы Hillstone Security Audit (HSA)
  • Шифрованное журналирование и обеспечение целостности журналов с загрузкой журналов по расписанию через HSA
  • Надёжное журналирование с использованием TCP (RFC 3195)
  • Подробные журналы трафика: переадресованные, нарушенные сеансы, локальный трафик, недопустимые пакеты
  • Всесторонние журналы событий: системный и административный аудит активности, сетевые и маршрутизации, VPN, аутентификации пользователей, событий, связанных с WiFi
  • Возможность разрешения имени по IP и порту
  • Краткая форма формата журнала трафика
  • Три предопределённых отчёта: безопасность, потоки и сети
  • Отчёты, заданные пользователем
  • Отчёты могут быть экспортированы в PDF и получены через Email и FTP
REST API
  • Объекты: книги адресов и сервисов
  • Политики: Антивирусные, IPS, DNAT/SNAT, безопасности
  • Конфигурация: интерфейсов, маршрутизации, зон
Виртуализация
  • Гипервизоры: KVM, VMware ESXi, Xen, AMI (AWS), Hyper-V
  • Публичный облака: AWS, Azure, AliCloud и т.д.
Ресурсы