網康下一代防火牆

網康下一代防火牆

網康下一代防火牆（NGFW）是一款可以全面應對套用層威脅的高性能防火牆。通過深入洞察網路流量中的用戶、套用和內容，並藉助全新的高性能單路徑異構並行處理引擎，NGFW能夠為用戶提供有效的套用層一體化安全防護，幫助用戶安全地開展業務並簡化用戶的網路安全架構。

相對傳統防火牆

網康下一代防火牆除了擁有傳統防火牆的所有防護功能外，還可以識別網路流量中的套用和用戶信息，實現用戶和套用級別的訪問控制；能夠識別不同套用所包含的內容信息中的威脅和風險，防禦套用層威脅；可識別和控制移動套用，防止BYOD帶來的風險；能通過主動防禦技術識別未知威脅，讓用戶對網路威脅構成一覽無餘。

相對UTM產品

網康下一代防火牆全面解決套用連線埠跳變引起的威脅逃逸，支持對未知威脅的感知並進行主動防禦，支持對移動套用的識別和控制，採用高性能單路徑異構並行處理引擎的一體化安全策略架構，在所有防護功能開啟的前提下仍然能夠保證設備的高性能運轉。

深度套用層洞察與控制

企業內使用的套用已經不再是簡單的“黑”與“白”的區分，“灰色”套用大量存在。只有全方位和多維度的套用層洞察能力，才能保證企業對黑色套用和灰色套用的有效控制。

1、深度的套用洞察能力　

網康NGFW採用深度識別技術，有效解決了傳統防火牆和IPS設備無法識別的逃逸手段，例如連線埠跳變、代理、隧道技術和SSL加密等。使客戶有能力對各種套用進行識別、檢測和控制。

2、全面的用戶識別手段　

網康NGFW能夠支持通過多種認證系統（MS AD、Radius、LDAP等）進行用戶認證和多種套用系統（POP3、SMTP、Kerberos等）的用戶識別，同時提供完善的用戶組織管理和導入功能。

3、精細的套用控制策略　

不同於傳統防火牆的五元組訪問控制策略，網康NGFW可基於套用和用戶進行訪問策略控制。區別於傳統的允許和禁止的簡單手段，網康下一代防火牆還可以對策略內的流量進行阻塞、多維度的安全掃描以及精細的流量管理。

4、豐富的流量管理功能

一體化套用層威脅防護

網康NGFW通過套用的洞察能力保證對採用動態連線埠、隧道、代理和SSL加密等技術手段的套用的可見性，防止威脅逃逸，並通過基於套用的全方位安全檢測手段（入侵防禦、防病毒、URL過濾等）來防禦威脅。

1、防逃逸的入侵防禦　

網康NGFW基於深度套用識別，有效解決了傳統入侵防禦技術無法應對連線埠逃逸帶來的威脅。提供漏洞、木馬、蠕蟲、後門、緩衝區溢出、掃描和SQL注入等多種攻擊或威脅方式的檢測和防禦，支持2500條以上的威脅特徵庫，並及時更新。

2、低時延的病毒檢測　

網康NGFW基於流技術提供高效的病毒防護功能，流技術的低延遲效果，能給用戶保證良好的網路使用體驗。支持對多種協定（HTTP、FTP、SMTP、POP3和IMAP等）流量和壓縮檔案（gzip，zip，rar等）中病毒的查殺，提供近10萬條實時更新的病毒特徵庫。

3、基於雲的URL過濾　

網康NGFW的URL過濾功能，採用了基於雲的主動掃描預防和線上內容識別的方法，快速發現並識別可疑網站，能有效的防禦掛馬網站、釣魚網站；識別已被植入木馬的傀儡主機，切斷其與外界的通信，消除風險；通過對高風險網站如色情、賭博等類別網站的控制，減少與掛馬、釣魚網站的接觸機會，降低風險。

4、一體化的安全策略　

網康NGFW提供基於套用的一體化安全策略，給用戶帶來了基於套用的全面安全功能和簡單、靈活的安全策略配置。在傳統防火牆的五元組策略基礎上，增加了套用、用戶、內容的三個維度，一條策略可同時對套用、用戶和內容進行匹配，減少了策略配置條目、降低了維護成本。

智慧型化主動防禦

網康NGFW的主動威脅防禦體系提供基於行為分析、多種類型日誌的智慧型關聯和威脅分析可視化的防護手段，幫助用戶有效發現網路中存在的未知威脅並加以控制、及時調整安全策略增強安全防禦。

1、套用威脅可視　

網康NGFW支持根據國家和地區繪製網路流量和威脅統計分布圖，對去往和來源於不同國家和地區的流量與威脅做到可視化。

網康NGFW基於殭屍網路的行為進行分析並發現網路中的傀儡主機，用戶可以通過隔離控制，保障用戶網路不被殭屍網路滲透。

2、安全基線對比分析　

網康NGFW不僅提供針對用戶網路中套用及威脅的排名統計分析，還提供基線分析，能夠幫助用戶對比前一天、前一周或前一個月相同時段的套用和威脅情況。網康NGFW支持4個維度（新增、消失、增長明顯和減少明顯）的基線對比方法，幫助用戶直觀感受網路中套用和威脅的變化，有效預測和防禦潛在威脅。

3、威脅集成關聯分析　

網康NGFW具備多維度的數據分析功能，如掃描到的威脅、URL分類過濾、檔案類型過濾、源和目的用戶、地域國家的分布等。同時支持對每一種維度內的數據進行過濾再分析，為用戶提供數據廣度的關聯和深度的挖掘分析呈現，進而協助用戶分析出潛在的威脅，並能夠基於套用進行風險控制。

網康NGFW提供了流量日誌、威脅日誌、URL過濾日誌、檔案過濾日誌等多種日誌信息，支持從一種日誌的內容鑽取到其他日誌的相關內容。比如，從掃描到威脅的日誌條目可以查看相關流量日誌，並進一步查看URL過濾的日誌內容。

完備的基礎防火牆特性

1、基於五元組的ACL

網康NGFW支持基於五元組（源地址、目的地址、源連線埠、目的連線埠、協定類型）的訪問控制。

2、傳統攻擊防護

網康NGFW可防護連線埠掃描、DDOS攻擊、SYN Flood、ICMP Flood、UDP Flood、TearDrop、LAND、WinNuke、Smurf、Fraggle和Ping Of Death等傳統攻擊方式。

3、基礎網路功能　

網康NGFW提供了多種地址轉換能力、靜態路由、基於IPsec的VPN、動態路由協定（RIP、OSPF）、HA、ALG等組網功能。

BYOD識別與管理

1、移動終端的識別和管理　

網康NGFW可以智慧型識別用戶的移動終端類型，結合對移動套用的識別更好地控制由移動設備引入網路所帶來的安全風險。

2、移動套用的識別和管理　

網康已率先支持超過500種移動網際網路套用。覆蓋蘋果、安卓、塞班等多種移動平台，涵蓋聊天、微博、視頻、地圖等多種主流套用類型。確保網路管理無盲區，全面實現對PC、移動終端的全面管控。

高性能單路徑引擎

1、數據流的單路徑處理引擎　

網康NGFW在數據報文轉發過程中，從網路L2-L7層僅作單次報文和協定的解析，報文依次經過轉發引擎、套用引擎和內容引擎，一次完成報文的單次網路解析、套用用戶洞察和安全掃描等；網康NGFW提供統一策略框架，做到多種安全策略的一次匹配過程，同時在單路徑處理過程中，網路L2-L7層數據信息可集成輸出並完整可視化。

2、高性能異構並行框架　

網康NGFW基於Intel的高性能硬體平台和其DPDK軟體技術，使用較少的核就可達到小包萬兆的報文高轉發能力。同時，網康NGFW通過異構並行架構，不但提供高性能的網路轉發，而且提供高性能的套用和內容的並行處理，保證全方位安全特性開啟的高可用。

全網設備集中管理

通過軟、硬體一體的安全管理中心（Security Management Center，簡稱SMC），可同時管理2000台下一代防火牆。SMC集設備集中管理、全網狀態監控以及全局威脅分析等功能於一體，可幫助已經部署了多台網康下一代防火牆的用戶更好的降低管理成本、掌控全網狀態，並且在全網大數據挖掘的基礎上實現強大的威脅預警和分析能力。
配置下發方便安全，大幅降低管理成本
網路管理者可首先在SMC提供的WebUI中預設需實施的安全策略、防護規則、VPN隧道等配置，然後通過

設備狀態盡收眼底，輕鬆掌控全網狀態