迈普MPSec NSSAG1000(以下简称“NSSAG1000”)是采用飞腾系列国产芯片的业界领先的综合型网络安全审计网关产品。该产品融合了应用控制、行为审计、网络业务优化等功能,能够为用户提供有效的应用层一体化控制和审计,帮助用户高效管理内部网络,提升办公效率,防范法律风险。
NSSAG1000采用迈普自主安全的硬件,集成迈普自主设计、制造,共享迈普20多年的路由器硬件制造工艺,在产品可靠性与生命周期延续上,可以得到很好的价值保障。
该产品采用国产安全操作系统平台,可以深度识别、管控和审计近千种IM聊天软件、P2P下载软件、炒股软件、网络游戏应用、流媒体在线视频应用等常见应用,并利用智能流控、智能阻断、智能路由等技术提供强大的带宽管理特性。配合创新的网络应用行为精细化管理功能、清晰易管理日志等功能,提供业界最全面、完善的网络行为管理解决方案。
该产品同时提供防火墙、入侵防御等安全功能,一台设备即可满足用户的常用网络安全需求,可部署于政府、金融、运营商、交通、教育、企业等各个行业内部网络,可满足等级保护合规,防病毒,流量管理,应用控制,恶意网址过滤等多种场景。
经过权威机构检测
NSSAG1000系列通过了公安三所等机构的严格检验,是首批通过检测检验的信创安全产品。整机采用先进的国产芯片和元器件,包括国产多核CPU、国产内存条、国产Flash、国产交换芯片等,网络安全设备实现芯片级的自主安全,杜绝国外芯片或元器件存在的“后门”隐患。
自主稳定的硬件平台
NSSAG1000硬件由迈普自主设计、制造,共享迈普20多年的网络设备硬件制造工艺,在产品可靠性与生命周期延续上,可以得到很好的价值保障。
● 硬件平台稳定可靠:共享迈普20多年的网络设备硬件制造工艺,超过25万台设备的长期验证,保障NSSAG1000稳定运行可靠。
● 双电源插槽,可根据业务重要性灵活选配单/双交流电源。出现电源故障可热插拔替换,确保业务连续性。
精细化的应用访问控制
NSSAG1000通过了权威机构的软件测试,完全满足信创场景功能和性能需求。支持深度应用识别技术,可根据协议特征、行为特征及关联分析等,准确识别7000种以上网络应用,包括移动终端应用。在此基础上,该产品为用户提供了精细而灵活的应用安全访问控制。
● 一体化访问控制:从用户、应用、内容、时间、威胁、位置进行一体化的管控和防御。内容层的防御与应用识别深度结合,一体化处理。例如:识别出网络购物的流量,进而针对性地进行对应的网络安全审计,效率更高,误报更少。
● 精准应用识别:提供了精细化的应用识别机制。用户可根据应用名称、应用类别、风险级别、所用技术、应用特征等精确筛选出感兴趣的应用类型,如具备文件传输功能的通讯软件,或存在已知漏洞、基于浏览器的Web视频应用等等,从而实现精细化的应用管控。
● 灵活应用控制:基于深度应用识别及精细化的应用筛选,支持灵活的安全控制功能,包括策略阻止、会话限制、流量管控、应用引流或时间限制等。
多样便捷的用户认证方式
提供多样便捷的互联网上网认证方式,包括基于用户名密码的本地认证、WEB认证,和第三方RADIUS/LDAP服务器结合进行外部认证,基于手机号码的短信认证,基于微信公众号的微信认证,适用于多样化的用户上网场景。
精准的虚拟身份识别
基于虚拟身份识别的用户信息中心,可对用户的各种虚拟账号进行记录,将该用户的所有日志信息进行统一分析归类以视图方式展现,并将用户的关键事件时间点在时光轴呈现,使得网络管理员可对网络情况使用分析有实际的辅助意义。
内容级实名制审计
NSSAG1000可精确收集用户浏览的网站、发表的内容,结合用户认证系统可以精准定位到每个用户的上网行为,实现全面的实名制审计。另外上网行为管理网关支持对VPN隧道内流量识别,可精确规范和审计隧道内的上网行为,并支持对隧道内各种应用实现分类,提供快速查询功能。
|
产品规格/产品型号 |
MPSec NSSAG1000-G4 V3 |
|
|
硬件架构 |
CPU |
飞腾CPU |
|
硬盘 |
选配 |
|
|
内存 |
16G |
|
|
固定接口 |
以太口 |
24个千兆电口,8个千兆光口,8个万兆光口 |
|
Console口 |
1 |
|
|
USB口 |
1 |
|
|
扩展插槽 |
接口扩展插槽 |
3 |
|
电气特性 |
电源 |
两个电源插槽,可选配单/双电源 |
|
输入 |
交流100-240VAC/50-60HZ |
|
|
风扇 |
静音风扇 |
|
|
环境特性 |
工作环境温度 |
0-45℃ |
|
工作环境湿度 |
20%-85%,无凝结 |
|
|
存储环境温度 |
-40~70℃ |
|
|
存储环境湿度 |
5%-95%,无凝结 |
|
|
尺寸 |
宽度 |
442mm |
|
高度 |
1U |
|
|
深度 |
380mm |
|
|
软件规格 |
||
|
功能规格 |
功能描述 |
|
|
部署模式 |
● 支持路由模式、透明(网桥)模式、旁路部署、混合模式 |
|
|
网络功能 |
● 支持VLAN子接口、端口聚合 ● 支持DHCP服务器、DHCP中继代理 ● 支持静态路由、策略路由、ISP路由、RIP、OSPF ● 支持IPv6访问控制、IPv6路由(静态路由、OSPFv3) |
|
|
用户认证 |
● 本地用户认证、绑定IP认证 ● 外部服务器用户认证(RADIUS、LDAP、MS AD、TACACS+) ● Web认证、微信认证、短信认证 |
|
|
URL过滤 |
● 支持千万级URL云端库 ● 支持55种以上的URL分类,可广泛识别恶意网站、违法网站 ● URL库实时在线升级 |
|
|
行为分析与审计 |
● 可设置任意关键字库,用以匹配识别各种途径外发信息中的文字信息 ● 支持SMTP/POP3邮件信息审计,包括记录发件人、收件人、抄送人、主题、时间等 ● 支持WebMail邮件审计,包括记录发件人、收件人、抄送人、主题、时间等 ● 可针对论坛发帖审计,记录发帖的标题、正文,并可根据设定的关键字库进行发帖内容的阻断 ● 可针对搜索引擎,记录搜索关键字信息,并根据关键字阻断搜索 ● 可以对FTP上传、下载文件进行记录 |
|
|
流量分析 |
● 支持连续自动识别及自动分类基于7层网络流量 ● 支持实时和历史监控各链路上行/下行流量,带宽,在线用户数,TOP N用户/应用深度流量分析 ● 支持查看指定时间段内、指定用户/用户组/应用/应用组的带宽、流量、连接数 ● 支持应用、用户查看的深度查看,可查看源/目的地址,协议类型、端口号、并将应用与用户深度关联 ● 支持流量信息区域图/柱状图/饼状图/曲线图等多视图展现和导出 ● 支持时间轴方式记录账号网络访问过程,支持将客户多种审计条件统一管理查看 ● 支持对设备转发流量统计,CPU使用率,内存、会话、转发流量4项统计趋势图 |
|
|
流量管理 |
● 支持用户+应用+时间的方式进行QoS管理,可以针对所选用户整体进行QoS管理,支持QoS嵌套 ● 支持每IP/用户限速,支持IP限速与应用限速嵌套 ● 支持四级层次化QoS ● 支持用户(用户组)+应用(应用组)+时间等条件组合的带宽管理 |
|
|
安全防护 |
● 支持SYN Flood、UDP Flood、HTTP Flood等多种DoS/ DDoS攻击防护 ● 支持ARP攻击防护 |
|
|
防病毒 |
支持防病毒功能 |
|
|
入侵防御 |
支持入侵防御功能 |
|
|
应用识别与控制 |
● 针对五千多种应用的识别、阻断、限流、干扰、告警、输出报表等 ● 支持基于链路、区域、源/目的IP、IP组、时间、应用等任意组合进行应用控制 ● 支持应用特征库在线升级 |
|
|
双机热备 |
● 支持双机热备及会话同步 ● 支持非对称路由处理技术,系统升级时不中断业务 |
|
|
日志和报表 |
● 支持Syslog日志和二进制日志 ● 支持NAT日志记录、上网行为日志、URL日志等 ● 支持对应用、用户、流量等多维度的统计分析,并自动输出汇总、对比、趋势等报表 ● 支持将统计/趋势/查询等报表自动发送到指定邮箱 |
|
|
系统维护 |
● 支持基于SSL协议的远程安全管理 ● 支持Web界面及全命令行模式进行系统配置 ● 支持升级断点续传 ● 支持控制台抓包排障 |
|
l 采用网关模式部署在互联网出口;
l 提供NAT、负载均衡、路由等出口特性;
l 提供身份认证功能,验证上网用户身份合法性;
l 对网络社区/P2P/IM/网络游戏/炒股/网络视频/网络多媒体/非法网站访问等各种应用进行监控和管理,提高员工工作效率,保障关键应用和服务的带宽;
l 对恶意URL进行过滤,对非法言论进行审计和阻断;
l 开启防病毒、防攻击功能,加强出口边界的安全防护,筑牢网络安全第一道防线;
l 不改变现有网络拓扑,仅做行为审计满足法律法规要求;
l 采用旁路模式部署于核心交换机,核心交换机通过端口镜像把需要分析的流量引流给NSSAG1000;
l 针对用户网络访问行为进行网址访问审计、文件传输审计、论坛发帖审计、应用使用审计、邮件收发审计、在线用户分析等;
l 对日志留存6个月以上,以方便事后审计溯源。