DCFW-1800-serie, nieuwe generatie firewall

De DCN Next Generation Firewall (NGFW) biedt uitgebreide en gedetailleerde zichtbaarheid en controle van applicaties. Het kan potentiële bedreigingen identificeren en voorkomen die verband houden met toepassingen met een hoog risico, terwijl het beleidsgebaseerde controle biedt over toepassingen, gebruikers en gebruikersgroepen. Er kan beleid worden gedefinieerd dat bandbreedte garandeert aan bedrijfskritische applicaties, terwijl ongeautoriseerde of kwaadaardige applicaties worden beperkt of geblokkeerd. De DCN NGFW bevat uitgebreide netwerkbeveiliging en geavanceerde firewallfuncties, biedt superieure prestaties, uitstekende energie-efficiëntie en uitgebreide mogelijkheden om bedreigingen te voorkomen.

Belangrijkste kenmerken en hoogtepunten

Gedetailleerde identificatie en controle van applicaties

De DCFW-1800E NGFW biedt fijnmazige besturing van webapplicaties, ongeacht poort, protocol of ontwijkende actie. Het kan potentiële bedreigingen identificeren en voorkomen die verband houden met toepassingen met een hoog risico, terwijl het beleidsgebaseerde controle biedt over toepassingen, gebruikers en gebruikersgroepen.Veiligheid Er kan beleid worden gedefinieerd dat bandbreedte garandeert aan bedrijfskritische applicaties, terwijl ongeautoriseerde of kwaadaardige applicaties worden beperkt of geblokkeerd.

Beheer uitgebreide bedreigingsdetectie en -preventie

De DCFW-1800E NGFW biedt real-time bescherming voor applicaties tegen netwerkaanvallen, waaronder virussen, spyware, wormen, botnets, ARP-spoofing, DoS / DDoS, Trojaanse paarden, bufferoverflows en SQL-injecties. Het bevat een uniforme engine voor bedreigingsdetectie die pakketdetails deelt met meerdere beveiligingsengines (AD, IPS, URL-filtering, antivirus, enz.), Wat de beveiligingsefficiëntie aanzienlijk verbetert en de netwerklatentie vermindert.

Netwerkdiensten

• Dynamische routering (OSPF, BGP, RIPv2)
• Statische en beleidsroutering
• Route gecontroleerd door een applicatie
• Ingebouwde DHCP, NTP, DNS-server en DNS-proxy
• Tap-modus - maakt verbinding met de SPAN-poort
• Interfacemodi: sniffer, port geaggregeerd, loopback, VLANS (802.1Q en Trunking)
• L2 / L3-omschakeling en routing
• Virtuele draad (laag 1) transparante inline implementatie

Firewall

• Bedrijfsmodi: NAT / route, transparant (bridge) en gemengde modus
• Beleidsobjecten: vooraf gedefinieerd, aangepast en objectgroepering
• Beveiligingsbeleid op basis van applicatie, rol en geolocatie
• Gateways op toepassingsniveau en sessieondersteuning: MSRCP, PPTP, RAS, RSH, SIP, FTP, TFTP, HTTP, DCE / RPC, DNS-TCP, DNS-UDP, H.245 0, H.245 1, H.323
• NAT- en ALG-ondersteuning: NAT46, NAT64, NAT444, SNAT, DNAT, PAT, Full Cone NAT, STUN
• NAT-configuratie: per beleid en centrale NAT-tabel
• VoIP: SIP / H.323 / SCCP NAT-traversal, RTP-pinholing
• Globale beleidsbeheerweergave
• Controle van de redundantie van het beveiligingsbeleid
• Roosters: eenmalig en terugkerend

Inbraakpreventie

l Detectie van protocolafwijkingen, op snelheid gebaseerde detectie, aangepaste handtekeningen, handmatige, automatische updates van push- of pull-handtekeningen, geïntegreerde dreigingsencyclopedie

• IPS-acties: standaard, bewaken, blokkeren, resetten (IP van aanvaller of IP-adres van het slachtoffer, inkomende interface) met een vervaltijd
• Pakketlogboekoptie
• Filtergebaseerde selectie: ernst, doel, besturingssysteem, toepassing of protocol
• IP-vrijstelling van specifieke IPS-handtekeningen
• IDS-sniffer-modus
• IPv4- en IPv6-rate-based DoS-bescherming met drempelinstellingen tegen TCP Syn-flood, TCP / UDP / SCTP-poortscan, ICMP-sweep, TCP / UDP / SCIP / ICMP-sessie-flooding (bron / bestemming)
• Actieve bypass met bypass-interfaces
• Vooraf gedefinieerde preventieconfiguratie

Antivirus

• Handmatige, automatische updates van push- of pull-handtekeningen

• Flow-gebaseerde antivirus: protocollen omvatten HTTP, SMTP, POP3, IMAP, FTP / SFTP

• Scannen van gecomprimeerde bestanden op virussen

Aanvalverdediging

• Abnormale verdediging tegen aanvallen via protocol

• Anti-DoS / DDoS, inclusief SYN Flood, DNS Query Flood-verdediging

• ARP-aanvalsverdediging

URL-filtering

• Flow-gebaseerde webfilterinspectie

• Handmatig gedefinieerde webfiltering op basis van URL, webinhoud en MIME-header

Dynamische webfiltering met cloudgebaseerde realtime categorisatiedatabase: meer dan 140 miljoen URL's met 64 categorieën (waarvan 8 beveiligingsgerelateerd)

• Extra webfilterfuncties:

- Filter Java-applet, ActiveX of cookie

- Blokkeer HTTP-post

- Zoekwoorden in logboeken

- Vrijgesteld scannen van gecodeerde verbindingen op bepaalde categorieën voor privacy

• Webfilterprofiel overschrijven: stelt de beheerder in staat om tijdelijk verschillende profielen toe te wijzen aan gebruiker / groep / IP

• Webfilter lokale categorieën en overschrijven categorieclassificatie

IP-reputatie

• Botnetserver IP-blokkering met wereldwijde IP-reputatiedatabase

SSL-decodering

• Applicatie-identificatie voor SSL-gecodeerd verkeer

• IPS-activering voor SSL-gecodeerd verkeer

• AV-activering voor SSL-gecodeerd verkeer

• URL-filter voor SSL-gecodeerd verkeer

• Witte lijst met SSL-gecodeerd verkeer

• SSL-proxy-offload-modus

Eindpunt identificatie

• Ondersteuning om het IP-adres van het eindpunt, het aantal eindpunten, de onlinetijd, de offlinetijd en de onlineduur te identificeren

• Ondersteuning van 2 besturingssystemen

• Ondersteuning van query's op basis van IP en aantal eindpunten

Controle van bestandsoverdracht

• Controle van bestandsoverdracht op basis van bestandsnaam, type en grootte

• Bestandsprotocol-identificatie, inclusief HTTP-, HTTPS-, FTP-, SMTP-, POP3- en SMB-protocollen

• Bestandshandtekening en identificatie van achtervoegsels voor meer dan 100 bestandstypen

Applicatiebeheer

• Meer dan 3.000 applicaties die kunnen worden gefilterd op naam, categorie, subcategorie, technologie en risico

• Elke applicatie bevat een beschrijving, risicofactoren, afhankelijkheden, typische gebruikte poorten en URL's voor extra referentie

• Acties: blokkeren, sessie resetten, bewaken, traffic shaping

• Identificeer en beheer cloudtoepassingen in de cloud

• Zorg voor multidimensionale monitoring en statistieken voor cloud-applicaties, inclusief risicocategorie en kenmerken

Quality of Service (QoS)

• Max / gegarandeerde bandbreedte tunnels of IP / gebruikersbasis

• Tunneltoewijzing op basis van beveiligingsdomein, interface, adres, gebruiker / gebruikersgroep, server / servergroep, applicatie / app-groep, TOS, VLAN

• Bandbreedte toegewezen door tijd, prioriteit of gelijk delen van bandbreedte

• Type service (TOS) en gedifferentieerde services (DiffServ) ondersteuning

• Prioritaire toewijzing van resterende bandbreedte

• Maximumaantal gelijktijdige verbindingen per IP

Verdeling van serverbelasting

• Gewogen hashing, gewogen laagste verbinding en gewogen round-robin

• Sessiebeveiliging, sessiepersistentie en monitoring van de sessiestatus

• Serverstatuscontrole, sessiebewaking en sessiebescherming

Link Load balancing

• Bidirectionele load balancing van de link

• Load balancing voor uitgaande links omvat op beleid gebaseerde routering, ECMP en gewogen, embedded ISP-routering en dynamische detectie

• Load balancing voor inkomende links ondersteunt Smart DNS en dynamische detectie

• Automatische link-switching op basis van bandbreedte, latentie, jitter, connectiviteit, applicatie, etc.

• Koppel gezondheidsinspectie aan ARP, PING en DNS

VPN

• IPSec VPN

- IPSEC Phase 1-modus: agressieve en hoofd-ID-beschermingsmodus

- Peer-acceptatie-opties: elke ID, specifieke ID, ID in een inbelgebruikersgroep

- Ondersteunt IKEv1 en IKEv2 (RFC 4306)

- Verificatiemethode: certificaat en vooraf gedeelde sleutel

- IKE-modus configuratie-ondersteuning (als server of client)

- DHCP via IPSEC

- Configureerbare IKE-coderingssleutel vervallen, NAT-traversal keep-alive-frequentie

- Fase 1 / Fase 2 Voorstelcodering: DES, 3DES, AES128, AES192, AES256

- Fase 1 / fase 2 Voorstelverificatie: MD5, SHA1, SHA256, SHA384, SHA512

- Phase 1 / Phase 2 Diffie-Hellman-ondersteuning: 1,2,5

- XAuth als servermodus en voor inbelgebruikers

- Dode peer-detectie

- Herhaal detectie

- Autokey keep-alive voor Phase 2 SA

• Ondersteuning voor IPSEC VPN-realm: maakt meerdere aangepaste SSL VPN-logins mogelijk die zijn gekoppeld aan gebruikersgroepen (URL-paden, ontwerp)

• IPSEC VPN-configuratieopties: route-gebaseerd of policy-gebaseerd

• IPSEC VPN-implementatiemodi: gateway-to-gateway, full mesh, hub-and-spoke, redundante tunnel, VPN-beëindiging in transparante modus

• Eenmalige aanmelding voorkomt gelijktijdige aanmeldingen met dezelfde gebruikersnaam

• Beperking van gelijktijdige gebruikers van SSL-portal

• SSL VPN port forwarding-module codeert clientgegevens en stuurt de gegevens naar de applicatieserver

• Ondersteunt clients met iOS, Android en Windows XP / Vista, inclusief 64-bits Windows OS

• Hostintegriteitscontrole en OS-controle vóór SSL-tunnelverbindingen

• MAC-hostcontrole per portaal

• Optie voor opschonen van cache voordat de SSL VPN-sessie wordt beëindigd

• L2TP-client- en servermodus, L2TP via IPSEC en GRE via IPSEC

• Bekijk en beheer IPSEC- en SSL VPN-verbindingen

• PnPVPN

IPv6

• Beheer via IPv6, IPv6-logboekregistratie en HA

• IPv6-tunneling, DNS64 / NAT64, enz

• IPv6-routeringsprotocollen, statische routering, beleidsroutering, ISIS, RIPng, OSPFv3 en BGP4 +

• IPS, applicatie-identificatie, toegangscontrole, verdediging tegen ND-aanvallen

VSYS

• Toewijzing van systeembronnen aan elke VSYS

• CPU-virtualisatie

• Niet-root VSYS ondersteunt firewall, IPSec VPN, SSL VPN, IPS, URL-filtering

• VSYS-monitoring en statistiek

Hoge beschikbaarheid

• Redundante hartslaginterfaces

• Actief / actief en actief / passief

• Standalone sessiesynchronisatie

• HA gereserveerde beheerinterface

• Failover:

- Monitoring van poorten, lokale en externe verbindingen

- Stateful failover

- Failover van minder dan een seconde

- Storingsmelding

• Implementatie-opties:

- HA met linkaggregatie

- Volledig mesh HA

- Geografisch verspreid HA

Identiteit van gebruiker en apparaat

• Lokale gebruikersdatabase

• Gebruikersauthenticatie op afstand: TACACS +, LDAP, Radius, Actief

• Eenmalige aanmelding: Windows AD

• 2-factor authenticatie: ondersteuning door derden, geïntegreerde token-server met fysiek en sms

• Gebruikers- en apparaatgebaseerd beleid

• Synchronisatie van gebruikersgroepen op basis van AD en LDAP

• Ondersteuning voor 802.1X, SSO Proxy

Administratie

• Beheertoegang: HTTP / HTTPS, SSH, telnet, console

• Centraal beheer: DCN Security Manager, webservice-API's

• Systeemintegratie: SNMP, Syslog, alliantiepartnerschappen

• Snelle implementatie: automatische USB-installatie, lokale en externe scriptuitvoering

• Dynamische real-time dashboardstatus en inzoombewakingswidgets

• Taalondersteuning: Engels

Logboeken en rapportage

• Logging faciliteiten: lokaal geheugen en opslag (indien beschikbaar), meerdere Syslog-servers

• Versleutelde logboekregistratie en gepland uploaden van batchlogboeken

• Betrouwbare logboekregistratie met behulp van de TCP-optie (RFC 3195)

• Gedetailleerde verkeerslogboeken: doorgestuurde, geschonden sessies, lokaal verkeer, ongeldige pakketten, URL, enz.

• Uitgebreide gebeurtenislogboeken: audits van systeem- en administratieve activiteiten, routering en netwerken, VPN, gebruikersauthenticaties

• Optie voor het omzetten van IP- en servicepoortnamen

• Korte indeling van verkeerslogboek

• Drie vooraf gedefinieerde rapporten: beveiligings-, stroom- en netwerkrapporten

• Door de gebruiker gedefinieerde rapportage

• Rapporten kunnen worden geëxporteerd in PDF via e-mail en FTP

Specificaties

Typische applicatie
Voor bedrijven en serviceproviders kan DCFW-1800E NGFW al hun beveiligingsrisico's beheren met de beste IPS-, SSL-inspectie en bescherming tegen bedreigingen in de branche. De DCFW-1800E-serie kan worden ingezet aan de rand van de onderneming, het hybride datacenter en over interne segmenten heen. De meerdere high-speed interfaces, hoge poortdichtheid, superieure beveiligingsefficiëntie en hoge doorvoer van deze serie houden uw netwerk verbonden en veilig.

order informatie