上元信安第二代防火墙-logo
云市场服务保障
*请勿线下交易!90%的欺诈、纠纷、资金盗取均由线下交易导致。

商品介绍

产品亮点

多核并行处理技术 一体化报文处理引擎 基于用户和应用的控制策略 智能用户识别 智能应用识别 APT防护技术 智能流量控制 统计分析与可视化

产品说明

  上元信安下一代防火墙采用高性能多核架构,支持多种国产 CPU、多种国产操作系统;  

全面适配云环境,支持主流的虚拟化平台,包括 VMware、KVM 等。结合全面丰富的联动和 RESTful API 可编程接口,上元信安下一代防火墙具备高效的协同防御能力,包括沙箱联动,EDR 联动,威胁情报联动,态势感知联动等,为构建网络立体化防护提供有力支撑。 与此同时,上元信安下一代防火墙还具备 SD-WAN 智能组网能力,设备支持零接触上线(ZTP)Q,可通过云端管理平台实现对业务配置统一编排、设备集中运维、状态实时监控及可视化,最大程度的简化了运维管理的工作,降低资金和人力投入。

2. 关键技术

2.1.系统架构

上元信安下一代防火墙采用通用平台设计,系统采用 SunyaOS Optimized Linux,对上层安全功能屏蔽硬件差异,提供统一的软件接口。因此,上元信安下一代防火墙可运行于X86、MIPS、ARM 及国产化多核平台上,或者基于上述平台的 KVM 和 VMware 虚拟化平台。SunyaOS Optimized Linux 在 Linux 的基础上着重增强了自身的安全性,并基于 UIO 技术对上层提供应用层零拷贝报文高速处理机制,显著提升了报文处理效率。

上元信安下一代防火墙在软件架构上采用了控制与业务分离的设计,根据业务类型分为控制面(ControlPlane,简称 CP)和数据面(Data Plane,简称 DP)两部分,CP 主要处理鉴权、配置、路由、日志和高可用性等管理业务,并提供 WebUI、命令行、云管理平台和 SD-WAN API 等管理接口。DP 则处理网络层、应用层解析和各项安全策略的执行。每个 CP 或 DP 都与一个逻辑处理器进行绑定,避免由于系统调度对性能产生负面影响。同时,上元信安下一代防火墙采用了先进的 DPDK 快速数据包处理技术,旨在解决 linux 内核瓶颈,大幅提升了网络转发性能。

2.2.多核并行处理技术

为了更好地发挥多核平台的性能,上元信安下一代防火墙会根据硬件平台的不同调整CP 和 DP 的实例数,以实现性能的最大化。在处理业务数据的过程中,每个 DP 都采用 Runto-completion 的方式,即一个数据包从接收到所有业务处理完毕,均在同一个 DP 中完成,这种处理方式能够显著提高处理性能。但是,数据包之间存在各种逻辑关系,例如应用层分片或者多连接应用。以往的基于多核技术的网络产品,有的会将数据包随机发送到各个处理核,忽略这种内在的逻辑关系,这样做的直接后果是无法正确处理应用层分片和多连接应用的相关业务,并且从现象上,经过该设备会出现较多的乱序报文。一个改进的做法是在特定的功能点(如 NAT、应用识别、内容审计)对特定的报文进行重组,报文在多个处理核之间传递(同时需要共享内存、共享流表等),需要使用锁等方式进行同步和互斥,对处理性能有较大影响。在 X86 平台下如果处理不当,还有可能造成跨节点访问,性能下降更加显著,甚至可能出现 CPU 核数越多,性能反而越低的现象。上元信安通过智能分流器对流量进行分配。当数据包到达上元信安下一代防火墙时,首先由智能分流器对数据包进行初步分类。智能分流器根据当前启用的上层功能以及数据包的网络层、应用层信息,决定将该数据包投递到哪个处理核。智能分流器保证了数据包能在单个处理核上完成所有所需的处理(出于对某些特殊情况的处理,系统仍提供核间报文互操作机制),避免了跨节点访问内存的高昂开销,是保证多核并发性能的关键技术。 

2.3.一体化报文处理引擎

传统的报文处理流程中,多个功能模块往往是串行的关系,每个模块的处理相对独立,或者只共享少量的信息。这样做的好处是每个模块的实现相对简单,降低了开发的技术难度。 但是各个模块重复解析,有的还存在报文多次拷贝,降低了处理性能。更重要的是多个模块之间缺乏逻辑上的一致性导致难以综合所有信息进行高级策略管理和行为分析。上元信安采用了一体化报文处理引擎完成报文的统一解析。引擎首先分析用户配置的各项功能,决定进行哪些分析,随后一次性对二至七层所有需要进行解析的内容进行统一处理,并将结果一并送至策略控制模块。策略控制模块依据这些解析结果,匹配用户配置的策略进行报文的后续 处理。一体化报文处理引擎配合智能分流器,在单个处理核的处理进程上完成从报文接收、报 文解析、策略控制、报文发送的所有工作。一次解析,统一处理,避免了多模块、多进程之间的重复工作和报文拷贝。在策略统一处理时,还可基于用户策略、应用策略、安全策略等,进行更高层次的抽象,制定基于基础策略的高级策略。

2.4.基于用户、应用、终端和资源的控制策略

上元信安认为,任何行为的背后都有对应的用户,任何行为的途径都可以抽象为一种应用。规范用户的行为就保证了网络资源的安全,所以上元信安下一代防火墙应以用户和应用为中心。用户的属性应具有一致性和延续性,用户通过不同方式访问网络资源,应用于该用户的策略应始终保持一致。此外,基于用户的策略也更有利于在网络访问权限与组织架构之间建立映射关系,简化网络管理员的配置管理工作。

上元信安下一代防火墙提供了用户策略、应用策略、终端策略、访问策略、防护策略、路由策略、流控策略、NAT 策略等多种控制策略,这些策略全部都围绕用户和应用进行组织:用户策略规定了用户如何接入网络,用户所属的类别,以及具备的访问权限等等。应用策略规定了哪些人可以使用哪些应用,以及这些应用可以进行哪些行为。访问策略规定了用户和应用对网络资源的访问权限。路由策略规定了用户和应用如何进行网络选路,达到负载 均衡、优化广域网访问等目的。流控策略规定了用户和应用对网络带宽资源的使用方式NAT策略规定了用户和应用跨内外网互访问的映射方式。

上元信安下一代防火墙将上述几类策略区分开来,并非因为这些功能在实现上相互分离 ——实际上所有功能都在一体化报文处理引擎中完成。功能实现的集中有助于提高引擎工作的效率和实施更有效的控制,而控制策略的适度分散则能明显降低策略的复杂度,简化网络管理员的配置管理工作。

3. 产品特色功能

3.1 全方位防御体系

上元信安下一代防火墙通过事前风险监测、事中防护响应、事后取证分析形成了全方位 的安全防御体系,为用户提供全面的安全防护。

Ø 事前风险监测:上元防火墙能够在事前自动识别网络内主机资产和服务器资产的网络信息,能够识别内网资产的开放端口、弱密码等安全风险,同时提供多种可视化系统监控数据,帮助用户有效监测和预知网络风险。

Ø 事中防护响应:上元防火墙在事中提供了深入的全方位安全防护能力,包括入侵防护、病毒防护 DOS/DDOS 攻击防护、URL 过滤、防暴力破解、威胁情报应急响应、APT 攻击防护、EDR 联动防护等,为用户提供一个多层次防御体系,保障企业和组织的网络安全。

Ø 事后追溯审计:上元防火墙在事后能够进行追踪溯源、取证分析,根据日志分析事 件来源和原因,并进行针对性加固措施;能够通过黑客视角或资产视角对攻击事件进行综合分析,将抽象的网络形象化,将攻击行为可视化,帮助用户快速了解网络的安全情况。同时,上元防火墙基于资产视角,将所有攻击行为深度分解为四个阶

段,为用户展示出一条完整的攻击链,帮助管理员对处于不同攻击阶段的高风险资 产进行针对性安全加固处理。    

 

产品参数

交付方式镜像
可用区域华北1(青岛), 华北2(北京), 华东1(杭州), 华东2(上海), 华南1(深圳)

产品截图

https://photogallery.oss-cn-hangzhou.aliyuncs.com/photo/1618795440282390/undefined9bab2e40912b444cbbf71762b6d2ba08.png

售后支持范围

售后服务时间: 9:00~18:00

产品资质

  • 产品资质
    商品介绍图片

各区域对应的image ID

镜像版本:vNGFWV4.2
区域ImageId区域ImageId
美国(硅谷)m-rj9ioyapydxbwo64cy1d美国(弗吉尼亚)m-0xi5plzdn2g9ms7c9mh5
阿联酋(迪拜)m-eb3i2lx7bwvghyio842t沙特(利雅得)m-l4v705syfohpsb690zao
英国(伦敦)m-d7o3g1e8vj4okgbuzrwr德国(法兰克福)m-gw80dk4f8mkavcar0n2l
郑州(联通合营)m-5zl3xpbpdkqxh8rzm0vq华北3(张家口)m-8vb6vb8pqt0db6dumnvj
华北6(乌兰察布)m-0jliwmwv6yg7chraujpz华南1(深圳)m-wz9hm8vwgxlf3bcfdhz0
华南 1 金融云m-j5e28dr8ku3srr1cgocj华东 2 金融云m-zm091kaz21cjfuwinggi
华东2(上海)m-uf64sbugc4rlh3ekm48f华北1(青岛)m-m5e4a6mpd427mbvvznt0
华东5(南京-本地地域)m-gc7dw7mhopm2wij0gi11华北5(呼和浩特)m-hp32aolmc0gf3o62l0ej
cn-huhehaote-nebula-1m-i5u49uwdma0g89eoj8rr中国香港m-j6cglg2nk3lcv2ex1179
华南2(河源)m-f8z7x8rt11io4d7kabfg华东1(杭州)m-bp1h6tv5keccmjwt3efp
华南3(广州)m-7xv0diy7wdjgxz61y8bp华东6(福州-本地地域)m-gw0bj3qlcqu6egc0c76q
西南1(成都)m-2vcj8k0gnll1ulu66dui华北2(北京)m-2ze352w93h9jf7fdv76v
新加坡m-t4n9ici7xeh67r78czfj马来西亚(吉隆坡)m-8ps9nh369efaci8s8684
印度尼西亚(雅加达)m-k1a2zwscnl71zwy5h82o澳大利亚(悉尼)m-p0wcsv5tjusrn0lxw8sw
泰国(曼谷)m-0jo89twyxmw66sz856jb菲律宾(马尼拉)m-5ts0y155nkgdx2w04u4n
日本(东京)m-6weenn6azxyptvuunvdt韩国(首尔)m-mj79sc1uuadkxx8vevhp

提示:使用API方式购买云市场镜像前,需先认真阅读并认可相应的镜像协议。

本页面内容由服务商提供

使用指南

立即下载

用户评论

综合评分
--

暂无评价

安全
4009030002 转12823
4000670050
提交工单

建议您还可搭配以下商品

云堡垒机-云匣子(免费试用一个月)
云匣子解决云上资产管理混乱,运维操作不透明、难管控等问题,保障企业运维安全。云匣子是支持手机运维的云堡垒机,主要功能包括:云资产管理、账号统一认证管理、权限管理、应用管理、运维审计等功能。
0
中远麒麟堡垒机
可1c1g运行的通用堡垒机系统,包含堡垒机,SSL VPN,动态口令,CA证书为一体,可节约大量ECS资源,支持认证、授权、审计的通用云堡垒机系统。
200
昂楷云数据库审计系统
昂楷基于阿里云平台,推出昂楷云数据库审计(简称CAAS),同时支持RDS云数据库、ECS自建数据库,符合等级保护三级标准,帮助用户满足合规性要求
0
深信服虚拟下一代防火墙镜像【集中管控版-结合授权使用】
六万在线用户的一致选择,自主创新,不断迭代,持续快速增长的虚拟下一代防火墙。可以被深信服多云安全平台统一管控。PS:请务必选择默认镜像AF V8.0.35R1,不要选择其他镜像,以免造成授权失败
0
【烽火星空】常用数据库审计、数据安全、透明加密、脱敏、防勒索、防泄漏、漏洞扫描、数据水印、数据迁移、...
针对常用的数据库提供数据库审计、数据安全、数据库透明加密、数据库防勒索、数据防泄漏系统、数据库漏洞扫描、动态脱敏、数据安全管理平台、数据库防火墙 Oracle MySQL PostgreSQL Sql Server等通用数据库
0
悟空CRM
悟空CRM系统首次发布于2012年2月1日,采用先进的LAMP构架,具有良好的开放性、可扩展性、安全性和透明性;我们以CRM为理念基础,结合中小型企业的特点,调查了解各行业的需求,悟出了企业管理之道,形成了自身的特点和优势,在改善企业营销能力、加强企业决策支持、实现企业信息化等方面能提供现实有效的支持和帮助。
0.00
邮密—邮件安全管家
邮密采用一种用户自保式的敏感数据保护方法,支持腾讯企业邮箱、126企业邮箱、263企业邮箱、阿里云邮箱,也可以适配其他任意厂商邮箱。
0
云盒子专有云企业云盘_企业网盘_文档云存储_移动协作平台
云盒子企业网盘4.0,是云盒子科技倾力打造,基于专有云架构的企业文档存储、协作平台,适用于任何组织实现文档云协作。
0.00
云堡垒机-云匣子(10资产)
云匣子是支持手机运维的云堡垒机,主要功能包括:云资产管理、账号统一认证管理、权限管理、应用管理、运维审计等功能,解决云上资产管理混乱,运维操作不透明、难管控等问题。保障企业运维安全。
360
云数据库加密_企业版(MysqlTDE)
安华金和云数据库加密使用透明加密技术,在不影响MySQL原有功能的基础上,实现对高敏感及重要文件的加密保护。能够主动保护内部的数据安全,对数据库系统进行有效的安全加固
0