|
1.采用了先进的智能化防护监测器
对于骨干网络上巨大的数据流量,大部分现有的防火墙以及IDS产品都不能提供令人满意的安全服务。现有的防火墙无法对伪装成合法数据包的攻击作出正确的响应,而IDS产品只是对攻击作出相应的警报而不能够有效阻止这种攻击行为。
NXG系列产品克服了现有的防火墙,IDS以及IPS设备的缺陷,并且可以在高速度、高带宽的网络环境中使用。NXG产品采用了“智能防护监测器” (Intelligence Blocking Sensor),通过修改安全配置,能够自动检测并阻止有害数据流进入网络。
1)检测及阻断扫描行
典型的蠕虫攻击数据流就是给成千上万的目标地址发送数据包,而这些数据包都是从一个用户地址发出去的,并且使用了相同的服务。这就是典型的扫描攻击(目的就是为了找到打开了相应端口的主机)。
NXG产品提供了“扫描攻击的检测以及阻断”功能。此功能如下:
检测前10个数据包格式的扫描行为
为了传送发送者的IP地址,产生扫描模式的数据流,并且在内核的阻止列表里设置相应的阻断时间
当一个数据包到达NXG的时候,这个数据包与内核中的阻止列表进行匹配,如果这个数据包匹配阻止列表中的某个选项则在设置好的时间段内此数据包将被拒绝进入防火墙。
2)对WEB攻击的防范
§ 现有的典型WEB攻击方式包括对Unicode 漏洞的攻击以及对CGI漏洞的攻击,Code-red,以及尼姆达蠕虫。 在一个游戏网站安装配置IDS之后,发现总共出现了50,297次攻击,而其中有47,949攻击是针对WEB服务的攻击。
§ 运行一个有漏洞的WEB服务器相当于是对Code-red,Nimda以及其他30多个蠕虫病毒提供了一个传播基地,而传统的放火墙对于这些蠕虫是无能为力的。
4)内容过滤
5)对Dos以及DDoS的攻击防范
NXG可以防范DoS以及DDOS攻击,NXG分析某一个系统中存在的攻击模式,并且以次阻断攻击数据流-包括 SYN flooding,ping flooding,UDP flooding,DNS 查询攻击,死亡之Ping等等。
NXG在内核设置了阻止列表以实现对DDoS攻击的防范,当数据包刚刚到达放火墙并且还没有造成负载之前就匹配进来的数据包跟阻止列表。并且被NXG的DDoS防范功能检测到的数据包
2. 卓越的防火墙和VPN
• 在多种千兆级网络环境中,需要高速处理数据包和安全规则,NXG超越了目前防火墙技术的极限。
扩展的状态检测
• 扩展的状态检测适用于多种应用程序,而且可提高L3层的状态检测功能。扩展的状态检测通过
动态控制流量可实时管理网络服务。
• NXG为使用动态端口的应用程序提供安全通道
独创的分类算法
• 为避免过滤型防火墙瓶颈问题,NXG采用独创的分类算法,提供不受策略数和连接的会话数影响的高速处理性能
• NXG彻底解决了目前防火墙和其它安全设备由于策略数的增加而导致网络瓶颈的问题。
3. 高可用性和高性能介绍 — 一个NXG的情况下
为避免一个NXG中的模块出现异常,将HA设定为Active-Standby或Active-Active模式
|
