MPSec ISG1000系列上网行为管理网关是集终端接入认证、访问控制、上网行为审计/管控、智能安全防护、流量控制、VPN等多种功能于一体的多业务网关和上网行为管理网关产品。
MPSec ISG1000系列产品解决Internet的安全边界问题,并实现第一级安全过滤, 该产品的出现将使得传统串联网关式的多种产品,如传统ACL、防毒墙、IPS、DPI、流量控制、VPN等产品得到有效的整合,在网络边界树起了强大的立体防线,用户不需要在网络边际上部署一连串的安全设备,在管理和成本上都将为用户带来极大的效益。
MPSec ISG1000系列产品支持多种终端接入认证和管控方式,能够结合包过滤技术并实施L4-L7业务的识别与访问控制,能实现用户上网认证、上网记录审计、行为管控、风险网站的防钓鱼网站等深度安全审计和控制功能。真正做到“可管控、可透视、可营销、可信赖”。
MPSec ISG1000系列产品部署灵活适应性强,满足有线无线一体化管控要求,可广泛应用于政企互联网出口、金融机构营业网点与总部、教育城域网互联网出口等场景。
多样便捷的用户认证方式
提供多样便捷的互联网上网认证方式,包括基于用户名密码的本地认证、WEB认证,和第三方RADIUS/LDAP服务器结合进行外部认证,可进一步实现基于手机号码的短信认证,基于微信公众号的微信认证。适用于多样化的用户上网场景。
精细的上网行为识别与控制
精确识别6000种以上的应用,通过内容级的数据包挖掘技术,对同一种应用可精确识别多种行为,对用户的上网行为进行精细化的控制。
灵活的流量控制管理
流量管控技术可以有效地遏制各种应用抢夺宝贵的带宽和IT资源,从而确保网络资源的合理配置和关键业务的服务质量,显著提高网络的整体性能。可以对IP与应用进行流量嵌套,支持4层QoS,对客户业务进行灵活控制。
精准的虚实身份识别
基于虚实身份识别的用户信息中心,可对用户的各种虚拟账号进行记录,将该用户的所有日志信息进行统一分析归类以视图方式展现,并将用户的关键事件时间点在时光轴呈现,使得网络管理员可对网络情况使用分析有实际的辅助意义。
内容级实名制审计
对用户的网站访问、发帖记录、聊天账号、搜索内容、邮件内容进行全面的实名制审计,并支持对VPN隧道内各种应用实现分类,做到一切上网行为有迹可查。
丰富的互联网营销功能
提供Portal页面推送功能,配合AAS系列产品可实现不同地点的用户上网后,推送不同的广告页面,实现广告的精准定位和推送。支持APP缓存技术,移动用户极速下载APP,不占用出口带宽,提升客户业务体验,提高APP下载和使用率。
完善的日志管理与分析
提供各种日志功能、流量统计和分析功能、各种事件监控和统计功能、邮件告警功能,配合日志管理系统可以完成日志的记录、查询、分析以及报表的生成,为大数据分析提供完善的数据基础。
先进的硬件平台及软件架构
使用多核平台,高速安全处理,统一化的特征库和一体化分析处理引擎设计,极大的提高了多功能模块同时运行时的运行效率。
全面的网络攻击防护
支持DoS/DDoS攻击防护,支持MAC和IP绑定功能,支持智能防范蠕虫病毒技术、ARP攻击防护、超大ICMP报文攻击防范等等网络攻击防护。
高可靠性保障
支持双机状态热备功能,支持Active/Active和Active/Passive两种工作模式,实现负载分担和业务备份,支持自动同步特征库和策略库。支持双配置文件,设备关键部件均采用冗余设计。
|
产品型号 |
MPSec ISG1000-X1 |
|
硬件规格 |
|
|
CPU |
16核2.0GHz处理器 |
|
物理端口 |
12个千兆电口,12个千兆光口,4个万兆光口 |
|
Console接口 |
1个 |
|
管理接口 |
2个 |
|
USB接口 |
2个 |
|
BYPASS |
支持3对GE口(GE0和GE1、GE2和GE3、GE4和GE5) |
|
存储 |
标配2T硬盘 |
|
扩展槽位 |
4个扩展插槽,支持可扩展4GET4GEF、4XGEF、2QXGEF |
|
外形尺寸(W×D×H) |
440mm×520mm×86mm,高度约为2U |
|
重量 |
14.88kg |
|
电源 |
模块化冗余电源:输入电压(AC):100V ~ 240V,50Hz ~ 60Hz |
|
风扇 |
2个,内置风扇散热 |
|
温度 |
工作温度0~40℃ |
|
存储温度-40~70℃ |
|
|
湿度 |
工作湿度5%~90%/RH,无凝结 |
|
存储湿度0%~95%/RH,无凝露 |
|
|
软件规格 |
|
|
支持路由模式、透明(网桥)模式、旁路部署、混合模式 |
|
|
网络功能 |
支持VLAN子接口、端口聚合 |
|
支持DHCP服务器、DHCP中继代理 |
|
|
支持静态路由、策略路由、ISP路由、OSPF、OSPF V3、RIPv1/v2等 |
|
|
支持IPv6访问控制、IPv6路由,IPv6安全防护 |
|
|
用户认证 |
本地用户认证、绑定IP认证、绑定MAC认证 |
|
外部服务器用户认证(RADIUS、LDAP)、 Web认证、短信认证、微信认证 |
|
|
支持用户MAC感知,当用户MAC地址变更后,要求重新认证,避免冒名认证现象;支持伪Portal抑制技术,支持通过http302重定向或html-refresh方式抑制非正常的http或https的页面请求,从而保障系统稳定高效运行;支持基于https协议推送认证页面 |
|
|
URL过滤 |
大于55种以上的千万级URL分类库,支持URL分类库的在线与离线升级 |
|
支持识别恶意网站、违法网站 |
|
|
支持URL库实时在线升级 |
|
|
行为分析与审计 |
可设置任意关键字库,用以匹配识别各种途径外发信息中的文字信息 |
|
支持邮件控制,支持基于发件人黑、白名单,收件人黑白名单、主题、内容关键字、邮件大小、附件个数进行行为过滤 |
|
|
可针对论坛发帖审计,记录发帖的标题、正文,并可根据设定的关键字库进行发帖内容的阻断 |
|
|
可针对搜索引擎,记录搜索关键字信息,并根据关键字阻断搜索 |
|
|
可以对FTP上传、下载文件进行记录 |
|
|
流量分析 |
支持连续自动识别及自动分类基于7层网络流量 |
|
支持实时和历史监控各链路上行/下行流量,带宽,在线用户数,TOP N用户/应用深度流量分析 |
|
|
支持查看指定用户/用户组/应用/应用组的带宽、流量、连接数 |
|
|
支持应用、用户查看的深度查看,可查看源/目的地址、协议类型,并将应用与用户深度关联 |
|
|
支持流量信息区域图/柱状图/饼状图/曲线图等多视图展现 |
|
|
支持对设备转发流量统计,CPU使用率,内存、会话、转发流量4项统计值 |
|
|
流量控制 |
支持地址+用户+服务+应用+时间的方式进行QoS管理,可以针对所选用户整体进行QoS管理,支持QoS嵌套 |
|
支持每IP/用户限速,支持IP限速与应用限速嵌套 |
|
|
支持四级层次化QoS |
|
|
支持用户(用户组)+应用(应用组)+时间等条件组合的带宽管理 |
|
|
支持流量限额功能,可基于用户、源IP、目的IP、时间、应用等维度,进行日流量总额、月流量总额;可对达到限额阀值的用户进行弹窗提醒;针对超过限额的用户可选择禁止上网或者加入至惩罚流控通道 |
|
|
安全防护 |
支持SYN Flood、UDP Flood、ICMP Flood等多种DoS/ DDoS攻击防护 |
|
支持ARP攻击防护 |
|
|
支持 Ping of Death、Land-Base、Tear Drop、Smurf等异常包攻击 |
|
|
支持弱口令扫描 |
|
|
防病毒 |
基于流的病毒过滤 |
|
支持压缩病毒文件的扫描 |
|
|
支持上百万种病毒的查杀,病毒库定期与及时更新 |
|
|
应用识别与控制 |
针对六千多种应用的识别、阻断、限流、干扰、告警等 |
|
支持基于链路、服务、源/目的IP、IP组、时间、应用等任意组合进行应用控制 |
|
|
支持应用智能和快速识别模式配置,应用智能识别可有效识别P2P和迅雷行为,识别模式可选择严格、适中、宽松,支持排除扫描端口配置 |
|
|
支持应用特征库在线升级 |
|
|
防私接防共享 |
可自定义限定单IP支持的终端数量以及冻结时间,支持添加信任列表,支持例外排除功能,可针对终端类型分别设置阀值数量 |
|
非法外联 |
支持非法外联学习和防护特性,可有效保障服务器安全,可定义外联白名单地址和端口;支持通过流量自学习能获得服务器合法的外联行为,检测流量中的异常访问流量,可以自动拦截 |
|
健康检查 |
支持基于接口和目的地址进行健康检查,可自定义检查间隔、重试次数等 |
|
VPN |
支持HA可同步IPsec VPN状态,当HA主备切换时无需VPN重建,业务零中断 |
|
支持IPsec VPN冷备份技术,指定VPN主备链路,当主链路存活时,备链路不接受不发送报文,避免主备链路同时收发包来回路径不一致导致业务中断的情况 |
|
|
HA |
支持主备/主主模式的高可靠性组网,双机热备及会话同步 |
|
智能DNS |
支持基于全局或链路进行DNS透明代理,支持指定DNS或继承链路DNS配置,针对多链路支持基于优先级、权重、流量算法进行DNS负载 |
|
支持基于负载链路进行dns-dnat机制,解决用户主机配置DNS解析结果,与实际转发运营商链路解析结果有冲突,从而导致跨运营商访问慢的问题;支持进行DNS探测,针对探测失败情况,支持选择禁用dns-dnat功能或禁用负载链路出接口 |
|
|
日志和报表 |
支持Syslog日志 |
|
支持NAT日志记录、上网行为日志、URL日志等 |
|
|
支持对应用、用户、流量等多维度的统计分析,并自动输出汇总、对比、趋势等报表 |
|
|
支持提供专用的日志审计系统软件 |
|
|
系统维护 |
支持基于SSL协议的远程安全管理 |
|
支持Web界面及全命令行模式进行系统配置 |
|
|
支持控制台抓包排障 |
|
|
特征库升级 |
特征库支持在线与离线升级 |
主要需求:
l封堵与工作无关的应用,提升工作效率;
l实名制审计,网络安全合规;
l流量控制,保障主要业务带宽。
解决方案:
l通过精确细粒的应用识别和控制,对指定的应用进行有效封堵;
l通过精准的数据流分析,对用户的上网行为进行全方位的审计和存储,并支持用户上网轨迹回溯;
l通过对用户(用户组)、应用(应用组)、时间等多维度组合的带宽管理,限制与主要业务无关的应用流量,保障主要业务优质体验。
主要需求:
l金融网点建设外网WLAN,为来宾用户、网点工作人员提供便捷的互联网服务;
l基于每网点的广告推送,实现移动金融业务推广;
l保障网点关键数据流安全;
l实名上网日志统一收集,集中分析处理;
解决方案:
l丰富便捷的认证方式(RADIUS/LDAP、短信、微信认证等),提供来宾用户实名制上网服务;
l通过精确细粒的应用识别和控制,识别关键应用及业务的实名日志,并上报分行日志分析平台;
l支持IPSec VPN保护设备管理流、认证流、日志流上传的安全传输;
l在分行部署运营支撑平台,针对不同网点进行定制化的Portal推送,实现广告精准投放;
l在分行部署日志分析平台,对网点设备进行统一管理和维护,对用户实名上网日志进行统一收集和分析
|
产品型号 |
描述 |
|
|
网关主机 |
MPSec ISG1000-X1-AC |
上网行为管理网关,配置24个千兆COMBO口,2个万兆光口,内置硬盘,冗余交流电源,1U设备。 |
|
特征库升级授权模块 |
ISG1000-X1-3IN1-1Y |
ISG1000-X1-3IN1-1Y,安全,MPSec ISG1000-X1-AC产品三合一特征库升级1年期授权,含AC、IPS、AV特征库升级授权 |
|
特征库升级授权模块 |
ISG1000-X1-AC-1Y |
MPSec ISG1000-X1产品应用特征库升级1年期授权 |
|
特征库升级授权模块 |
ISG1000-X1-IPS-1Y |
MPSec ISG1000-X1产品攻击事件库升级1年期授权 |
|
特征库升级授权模块 |
ISG1000-X1-AV-1Y |
MPSec ISG1000-X1产品病毒库升级1年期授权 |