智能下一代防火墙

山石网科A系列智能下一代防火墙采用全新硬件架构设计,具备硬件解密引擎、高密接口、可扩展存储等硬件特性,拥有智能感知、情报集成、融合安全以及无限延展等能力,可有效检测未知威胁事件以及检测内网失陷主机,加强物联网设备的管控与防护,致力于向全行业全场景的客户提供业界领先的网络安全防护能力。

智能感知,未知威胁检测和防御

本地智能威胁检测和防御

山石网科iNGFW本地内置高级威胁检测引擎,通过感知恶意软件行为,来进行未知防御检测

沙箱联动智能威胁检测和防御

山石网科iNGFW可将本地未识别文件与沙箱联动,感知试图通过网页、电邮等方式入侵的恶意软件的行为,从而进行未知防御检测
山石智影或山石云影可帮助客户遏制恶意软件带来的风险,并提供详细的报告,进而协助客户处理未知威胁事件

云边协同智能威胁检测和防御

山石网科iNGFW可将本地未识别事件上报云端,云端结合第三方情报或者专家知识库判别风险,并将安全信息同步至本地,以抵御威胁事件
同时,云端会将该信息同步至全局iNGFW,使得全局iNGFW具备同等抵御能力

情报集成,全生命周期的安全防护方案

预先防范

攻击前

热点威胁防御

山石网科iNGFW协同山石云·瞻威胁情报中心,在攻击前可向客户提供高危威胁情报信息,帮助客户事前做好防范

高筑城池

攻击中

威胁特征实时赋能

云边协同,部署本地实时威胁情报,提升客户威胁检测能力

及时止损

攻击后

威胁日志分析

从海量威胁中聚焦重点威胁,云端联动,获取威胁事件更全面的上下文信息,同时,iNGFW可以通过情报信息检测到失陷主机试图对外的连接,防止威胁的进一步扩散,加强内网安全

融合安全,物联网设备的管控与防护

合规准入

支持通过IP、MAC以及IP和MAC的绑定关系实现IoT设备的准入,实现IoT设备的防私接

全景洞察

支持对IoT设备的类型、厂家、型号等信息进行识别,实现精确分类

智能阻断

支持对IoT设备的行为进行监控,对异常行为进行检测与隔离,实现IoT设备被攻陷后的隔离,保护数据中心核心资产,加强内网安全防护

山石网科iNGFW助力企业级用户构建融合安全网络

无限延展,客户定制化需求扩展

山石网科iNGFW无限延展的能力,在提升客户定制化需求交付能力的同时,
保障了客户需求的快速化、准确化响应

融合构架

山石网科iNGFW采用了融合构架的硬件通用处理器,使得通用处理性能大大提升,使得用户需求定制化的能力大为提升

容器化服务

山石网科iNGFW具备扩展平面,支持将客户自编程的应用以容器化服务的方式集成在设备内部,使得快速部署定制化需求成为可能

开放的API

Stone OS对外提供的API,全面涵盖安全策略、iQoS、PTF、设备数据监控等主要模块,为客户定制化需求提供数据基础

产品详情

随着IT技术的不断发展,新兴技术的不断涌现,攻击类型逐年增加,高级威胁攻击的攻击手段更加多样复杂,通常具有隐蔽性、目的性、持续性、多变性等特点,无法被基于签名技术检测方式的传统防火墙或者下一代防火墙有效检测。这也是目前 APT 等网络攻击屡屡得逞的重要原因。高级威胁攻击在我国不断威胁着政府、金融、科研和教育等企事业单位。山石网科A系列智能下一代防火墙采用了全新的威胁检测技术,基于机器学习技术进行行为分析,准确发现变种恶意软件等未知威胁,从而弥补了传统检测技术的弊端。

安全防护正在从“个体或单个组织”的防护,转变为“安全情报驱动”的信息共享、集体协作的方式,山石智能下一代防火墙通过和山石云瞻威胁情报中心联动,掌握业界高危热点威胁事件及防护建议,以防御最新威胁;获取全面实时的攻击IOC特征,以提升威胁检测的有效性;对设备已发生的威胁事件,提供关联的攻击者的位置、攻击方式、技术手段以及攻击目标等情报信息,为客户进一步威胁处置决策提供有效建议。

随着万物互联时代的到来,网络不在由主机、服务器、移动终端等设备构成,还存在大量的物联网设备,网络安全防护能力需要关注物联网网络安全,识别物联网设备因失陷而产生的安全风险,以及增强对物联网设备的管控。而传统防火墙或者下一代防火墙仅能对主机、服务器、移动终端等设备进行防护和监管,无法对物联网设备提供有效的防护。山石网科A系列智能下一代防火墙可以识别网络摄像头等物联网设备,同时具备对物联网设备的安全防护与合规管控能力,可为客户打造融合网络的防护体验。

山石网科A系列智能下一代防火墙采用全新硬件架构,具备硬件解密引擎、高密接口、可扩展存储,提供业界领先的安全防护性能 ,可灵活部署于互联网出口、内网安全隔离、数据中心、分支机构安全互联等场景,致力为政府、金融、企业、教育、能源、运营商等客户提供专业的网络安全解决方案以及全面的安全防护能力。

全新硬件构架,性能超乎想象

随着信息化的进一步发展,网络流量日益激增,防火墙作为边界网络面向外部网络的桥梁,不但要提供可靠的安全防护能力,还需要具备强大的网络数据吞吐能力。时至今日,传输层中定义的网络端口号,已经不能满足精细化标记流量的诉求,只有深入解析应用所承载的内容,才可以深度感知网络行为。山石网科智能下一代防火墙,采用高性能通用架构处理器,提供极致的网络吞吐能力,特别是诸如IPS、AV等应用安全的处理能力,夯实了网络防护的基础。

随着信息安全技术的进一步发展,加密流量在整体网络流量中的占比也逐年提升,现阶段,约80%的网络流量都属于加密流量,不少安全威胁也混杂在加密流量之中。如何对加密流量进行高效解密,并感知其中的安全威胁,是下一代防火墙面临的挑战。山石网科智能下一代防火墙,采用SSL硬件解密引擎,相比于纯软件解密,SSL解密效率有着极大提升,有力的捍卫了客户的网络安全。

在操作系统层面,山石网科智能下一代防火墙采用自主研发的全并行安全操作系统StoneOS,采用“一次解包,并行处理”的数据报文解析技术,即数据报文经一次解包后,由各个安全模块并行检测。同时,该技术向下延伸至硬件构架,即在多核CPU的每个核心上运行安全业务,最大化的利用了多核CPU运算处理能力,确保山石网科智能下一代防火墙在处理复杂网络流量和安全威胁的同时能够保持快速高效的处理效果。

传统网络防火墙设备,主机固化的接口数量较少,在客户实际使用过程中,经常需要购买接口扩展卡来满足日渐复杂的接口适配需求,这使得客户的建设成本以及维护成本直线提升。山石智能下一代防火墙,在硬件设计上,采用高密接口的设计理念,主机固化类型丰富的高密接口,完全满足典型客户接口适配需求,助力用户降低硬件投入成本以及后续维护成本。

智能协同,未知威胁检测和防御

山石网科智能下一代防火墙具备本地智能、沙箱联动智能以及云端智能等三种智能能力,利用机器学习以及行为分析,帮助客户发现未知网络威胁,定位风险主机,保护业务与数据安全。

  • 本地智能未知威胁检测和防御能力。山石网科智能下一代防火墙内置高级威胁检测引擎,通过感知恶意软件的行为,来进行未知威胁检测。此外,山石网科智能下一代防火墙还具备DGA动态域名检测、DNS隧道检测等检测能力,可有效识别僵尸网络和失陷主机。
  • 沙箱联动智能未知威胁检测和防御能力。山石网科智能下一代防火墙能够将本地未识别的文件进行沙箱联动,可以精准检测试图利用网页、电邮等方式入侵内网的变种恶意软件,进而实现对未知威胁的防护。山石智影(本地沙箱)或山石云影(云沙箱)基于静态分析和动态行为捕获,全面检测未知威胁,帮助客户遏制由此带来的风险,如敏感信息泄露、业务中断等。并可提供恶意文件的详细行为报告,包括网络行为、进程行为、文件行为等,为客户提供威胁处理建议。
  • 云端智能协同未知威胁检测和防御能力。当山石网科智能下一代防火墙检测到未识别的数据之后,会将该数据上送云端,云端结合第三方情报以及专家知识库进行大数据分析,生成单点安全信息,并同步至本地智能下一代防火墙,以抵御威胁事件。同时,云端会在全局的维度,将单点安全信息共享给其他智能下一代防火墙,实现从“单点未知威胁检测”到“全局已知威胁防御”的转变,进一步提升全局智能下一代防火墙的未知威胁检测和防御能力。

情报集成,提前一步发现威胁

山石云瞻威胁情报中心具备获取国内外知名安全情报供应商所提供的威胁情报的能力。山石智能下一代防火墙和山石云瞻威胁情报中心联动,提供贯穿“攻击前、攻击中、攻击后”等三个关键节点的全生命周期安全防护解决方案。

  • 攻击前,热点威胁防御。山石网科智能下一代防火墙通过联动山石云瞻威胁情报中心,可第一时间获取热点威胁事件,同时根据设备现有策略,明确针对热点威胁事件的防御状态和防范措施。一方面,客户可根据防范措施进行主动防御。另一方面,设备可自动将热点情报和设备威胁检测结果进行关联,以方便客户能更进一步了解客户相关资产是否已存在热点高危漏洞或者已失陷主机。
  • 攻击中,威胁特征实时赋能。山石网科智能下一代防火墙将山石云瞻威胁情报中心所提供的威胁情报自动化集成到本地,通过云端与本地的智能协同,提升客户威胁检测能力。
  • 攻击后,威胁日志自动聚焦及关联分析。结合山石云瞻威胁情报中心,山石网科智能下一代防火墙可帮助客户从海量告警信息中自动聚焦重点威胁,提升运维效率;通过云端联动,获取攻击者和威胁事件更全面的上下文信息。

物联管控,构建融合安全

万物互联的时代已经到来,企业级客户的网络中,不单充斥着主机、服务器、移动终端等设备,也会根据客户实际的业务需求,部署大量如网络摄像头等物联网设备。物联网设备的安全防护以及合规管控,成为了山石网科智能下一代防火墙的发展方向。

  • 物联网设备准入功能。支持通过IP、MAC以及IP和MAC的绑定关系实现物联网设备的准入,同时可以杜绝物联网设备私自接入的行为。
  • 物联网设备信息辨识。通过物联网设备的指纹信息,可以辨识物联网设备的类型、制造商、型号等相关信息,进而实现精确分类统计。
  • 物联网设备安全防护。支持对物联网设备的行为进行监控,可以对异常行为进行检测与隔离,当物联网设备被攻陷后,山石网科智能下一代防火墙可对其采取隔离措施,确保用户网络安全。

精细化多维管控

安全防护的基础是对用户网络业务环境的全面感知,山石网科智能下一代防火墙通过网络流量深度检测和解析技术,能够对应用、用户、内容、国家地理等进行多维度精准识别,为用户提供了丰富而灵活的安全管控功能。

  • 应用精准识别及灵活控制。山石网科智能下一代防火墙采用深度应用识别技术,能够准确识别数千种网络应用,其中包括600余种移动应用、300余种云应用。并为用户提供包括应用类别、应用风险等级、所用技术、应用特征分布等多维可视化信息,从而帮助用户及时发现应用安全隐患。同时,山石网科智能下一代防火墙支持灵活的应用安全控制功能,包括策略阻止、会话限制、流量管控、应用引流或时间限制等,使得应用管控十分得心应手。
  • 用户认证及管控。山石网科智能下一代防火墙支持一套丰富的用户认证系统, 支持本地认证以及 TACACS+、RADIUS、LDAP 等多种外部认证协议,支持口令认证、短信认证、证书认证、令牌认证、邮件认证等多种认证方式。并可针对用户实施精细化的访问控制、应用限制、带宽保证等管控手段。
  • 基于国家地理位置的访问控制。能够精确识别攻击源/目的IP所处的国家地理位置,从而可以根据业务通信要求实施基于国家地理位置的访问控制, 快速阻断攻击流量。
  • 数据传输安全:基于数据深度检测技术,实现数据类型、大小、名称的文件传输控制,阻止关键性、敏感性、机密性数据及文件通过网络途径外发泄漏,满足企业数据传输行为的合规性管理要求。

全面威胁检测与防护

山石网科智能下一代防火墙提供了基于深度应用、协议检测和攻击原理分析的入侵防御技术,可有效过滤病毒、木马、蠕虫、间谍软件、漏洞攻击、逃逸攻击等安全威胁,为用户提供 L2-L7层网络安全防护。

  • 优化的攻击识别算法。能够有效抵御如SYN Flood、UDP Flood、HTTP Flood 等 DoS/DDoS 攻击,保障网络与应用系统的安全可用性。
  • 专业Web攻击防护功能。支持SQL 注入、跨站脚本、CC 攻击等检测与过滤,避免Web 服务器遭受攻击破坏;支持外链检查和目录访问控制,防止Web Shell 和敏感信息泄露,避免网页篡改与挂马,满足用户Web 服务器深层次安全防护需求。
  • 高性能的病毒过滤。领先的基于流扫描技术的检测引擎可实现低延时的高性能过滤。支持对 HTTP/HTTPS、FTP、SMB及各种邮件传输协议流量和压缩文件(zip,gzip,rar等)中病毒的查杀。
  • 支持千万级URL。特征库的URL过滤功能可帮助网络管理员轻松实现网页浏览访问控制,避免恶意URL带来的威胁渗入。

lSSL 加密流量全面的威胁防护。可针对SSL加密流量和加密邮件综合运用包括入侵防御、病毒防护、URL过滤在内的多种管控手段,实现加密流量应用层威胁的全面防护。

强大的网络适应性

山石网科智能下一代防火墙具备强大的网络适应能力,具备复杂环境下的安全部署能力,满足用户多样化的网络功能需求。

  • 智能链路负载均衡功能。其出站动态探测和入站SmartDNS等功能允许网络访问流量在多条链路上实现智能分担,极大提升链路利用效率和用户网络访问体验。
  • 支持RIP、OSPF和BGP等动态路由协议。可根据网络系统的运行情况自动调整动态路由表,满足运营商、高校等复杂网络环境部署。

统一集中管理

山石网科智能下一代防火墙支持集中管理,借助HSM安全管理平台,可对多设备进行统一策略管理、设备配置管理及实时安全监控,从而实现网络的快速部署以及发生安全事件的及时响应,提高管理效率,降低运维成本。

山石网科智能下一代防火墙支持“山石云•景”云运维功能,支持通过web和手机APP实时监控多设备的CPU、内存、流量趋势,以及应用、用户排名、威胁信息,云景还为用户提供7×24 小时告警监控,便于用户能够及时获知网络中的动态变化及安全风险。