Firewall de próxima geração da série DCFW-1800

O DCN Next Generation Firewall (NGFW) fornece visibilidade abrangente e granular e controle de aplicativos. Ele pode identificar e prevenir ameaças potenciais associadas a aplicativos de alto risco, enquanto fornece controle baseado em políticas sobre aplicativos, usuários e grupos de usuários. Podem ser definidas políticas que garantem largura de banda para aplicativos de missão crítica enquanto restringem ou bloqueiam aplicativos não autorizados ou maliciosos. O DCN NGFW incorpora segurança de rede abrangente e recursos avançados de firewall, oferece desempenho superior, excelente eficiência energética e capacidade abrangente de prevenção de ameaças.

Principais recursos e destaques

Identificação e controle de aplicativos granulares

O DCFW-1800E NGFW fornece controle refinado de aplicativos da web, independentemente da porta, protocolo ou ação evasiva. Ele pode identificar e prevenir ameaças potenciais associadas a aplicativos de alto risco, enquanto fornece controle baseado em políticas sobre aplicativos, usuários e grupos de usuários.Segurança Podem ser definidas políticas que garantem largura de banda para aplicativos de missão crítica enquanto restringem ou bloqueiam aplicativos não autorizados ou maliciosos.

Controle de detecção e prevenção abrangentes de ameaças

O DCFW-1800E NGFW fornece proteção em tempo real para aplicativos contra ataques de rede, incluindo vírus, spyware, worms, botnets, ARP spoofing, DoS / DDoS, Trojans, buffer overflows e injeções de SQL. Ele incorpora um mecanismo de detecção de ameaças unificado que compartilha detalhes do pacote com vários mecanismos de segurança (AD, IPS, filtragem de URL, antivírus, etc.), o que aumenta significativamente a eficiência da proteção e reduz a latência da rede.

Serviços de Rede

• Roteamento dinâmico (OSPF, BGP, RIPv2)
• Roteamento estático e de política
• Rota controlada por um aplicativo
• DHCP integrado, NTP, servidor DNS e proxy DNS
• Modo Tap - conecta-se à porta SPAN
• Modos de interface: sniffer, porta agregada, loopback, VLANS (802.1Q e Trunking)
• Comutação e roteamento L2 / L3
• Implantação em linha transparente de fio virtual (camada 1)

Firewall

• Modos de operação: NAT / rota, transparente (ponte) e modo misto
• Objetos de política: predefinidos, personalizados e agrupamento de objetos
• Política de segurança baseada na aplicação, função e localização geográfica
• Gateways de nível de aplicativo e suporte de sessão: MSRCP, PPTP, RAS, RSH, SIP, FTP, TFTP, HTTP, DCE / RPC, DNS-TCP, DNS-UDP, H.245 0, H.245 1, H.323
• Suporte a NAT e ALG: NAT46, NAT64, NAT444, SNAT, DNAT, PAT, Full Cone NAT, STUN
• Configuração de NAT: por política e tabela central de NAT
• VoIP: SIP / H.323 / SCCP NAT traversal, RTP pin orifício
• Visão de gerenciamento de política global
• Inspeção de redundância de política de segurança
• Horários: único e recorrente

Prevenção de intrusão

l Detecção de anomalias de protocolo, detecção baseada em taxa, assinaturas personalizadas, atualizações manuais, automáticas push ou pull de assinatura, enciclopédia de ameaças integrada

• Ações IPS: padrão, monitorar, bloquear, redefinir (IP do invasor ou IP da vítima, interface de entrada) com um tempo de expiração
• Opção de registro de pacotes
• Seleção baseada em filtro: gravidade, destino, sistema operacional, aplicativo ou protocolo
• Isenção de IP de assinaturas IPS específicas
• Modo sniffer IDS
• Proteção DoS baseada em taxas IPv4 e IPv6 com configurações de limite contra inundação TCP Syn, varredura de porta TCP / UDP / SCTP, varredura ICMP, inundação de sessão TCP / UDP / SCIP / ICMP (origem / destino)
• Bypass ativo com interfaces de bypass
• Configuração de prevenção predefinida

Antivírus

• Atualizações manuais, automáticas push ou pull de assinatura

• Antivírus baseado em fluxo: os protocolos incluem HTTP, SMTP, POP3, IMAP, FTP / SFTP

• Verificação de vírus em arquivos compactados

Defesa de Ataque

• Defesa de ataque de protocolo anormal

• Anti-DoS / DDoS, incluindo SYN Flood, defesa DNS Query Flood

• Defesa de ataque ARP

Filtragem de URL

• Inspeção de filtragem de rede baseada em fluxo

• Filtragem da web definida manualmente com base em URL, conteúdo da web e cabeçalho MIME

• Filtragem dinâmica da web com banco de dados de categorização em tempo real baseado em nuvem: mais de 140 milhões de URLs com 64 categorias (8 das quais relacionadas à segurança)

• Recursos adicionais de filtragem da web:

- Filtrar miniaplicativo Java, ActiveX ou cookie

- Bloquear postagem HTTP

- Registrar palavras-chave de pesquisa

- Isenção de varredura de conexões criptografadas em certas categorias para privacidade

• Substituição do perfil de filtragem da Web: permite que o administrador atribua temporariamente diferentes perfis ao usuário / grupo / IP

• Filtro da Web categorias locais e substituição de classificação de categoria

Reputação de IP

• Bloqueio de IP do servidor de botnet com banco de dados de reputação de IP global

Decodificação SSL

• Identificação de aplicativo para tráfego criptografado SSL

• Habilitação IPS para tráfego criptografado SSL

• Ativação AV para tráfego criptografado SSL

• Filtro de URL para tráfego criptografado SSL

• Lista de permissões de tráfego criptografado SSL

• Modo de descarregamento de proxy SSL

Identificação de Endpoint

• Suporte para identificar IP de endpoint, quantidade de endpoint, tempo on-line, tempo off-line e duração on-line

• Suporta 2 sistemas operacionais

• Suporte a consulta com base em IP e quantidade de endpoint

Controle de transferência de arquivos

• Controle de transferência de arquivos com base no nome, tipo e tamanho do arquivo

• Identificação de protocolo de arquivo, incluindo protocolos HTTP, HTTPS, FTP, SMTP, POP3 e SMB

• Assinatura de arquivo e identificação de sufixo para mais de 100 tipos de arquivo

Controle de aplicativos

• Mais de 3.000 aplicativos que podem ser filtrados por nome, categoria, subcategoria, tecnologia e risco

• Cada aplicativo contém uma descrição, fatores de risco, dependências, portas típicas usadas e URLs para referência adicional

• Ações: bloquear, redefinir sessão, monitorar, modelagem de tráfego

• Identificar e controlar aplicativos em nuvem na nuvem

• Fornece monitoramento multidimensional e estatísticas para aplicativos em nuvem, incluindo categoria e características de risco

Qualidade de serviço (QoS)

• Túneis de largura de banda máxima / garantida ou IP / base de usuário

• Alocação de túnel com base no domínio de segurança, interface, endereço, usuário / grupo de usuários, servidor / grupo de servidores, aplicativo / grupo de aplicativos, TOS, VLAN

• Largura de banda alocada por tempo, prioridade ou compartilhamento igual de largura de banda

• Suporte para Tipo de Serviço (TOS) e Serviços Diferenciados (DiffServ)

• Alocação priorizada da largura de banda restante

• Máximo de conexões simultâneas por IP

Balanceamento de carga do servidor

• Hashing ponderado, conexão mínima ponderada e round robin ponderado

• Proteção de sessão, persistência de sessão e monitoramento de status de sessão

• Verificação de integridade do servidor, monitoramento de sessão e proteção de sessão

Balanceamento de carga de link

• Balanceamento de carga de link bidirecional

• O balanceamento de carga do link de saída inclui roteamento baseado em políticas, ECMP e roteamento ISP integrado e ponderado e detecção dinâmica

• O balanceamento de carga de link de entrada suporta DNS inteligente e detecção dinâmica

• Comutação automática de link com base na largura de banda, latência, jitter, conectividade, aplicativo, etc.

• Vincular a inspeção de integridade com ARP, PING e DNS

VPN

• VPN IPSec

- Modo IPSEC Fase 1: modo agressivo e principal de proteção ID

- Opções de aceitação de pares: qualquer ID, ID específico, ID em um grupo de usuários dial-up

- Suporta IKEv1 e IKEv2 (RFC 4306)

- Método de autenticação: certificado e chave pré-compartilhada

- Suporte à configuração do modo IKE (como servidor ou cliente)

- DHCP sobre IPSEC

- Vencimento da chave de criptografia IKE configurável, frequência NAT traversal keep-alive

- Criptografia da Proposta da Fase 1 / Fase 2: DES, 3DES, AES128, AES192, AES256

- Fase 1 / Fase 2: autenticação da proposta: MD5, SHA1, SHA256, SHA384, SHA512

- Suporte Fase 1 / Fase 2 Diffie-Hellman: 1,2,5

- XAuth como modo de servidor e para usuários dial-up

- Detecção de pares mortos

- Detecção de repetição

- Autokey keep-alive para Fase 2 SA

• Suporte a domínio VPN IPSEC: permite vários logins SSL VPN personalizados associados a grupos de usuários (caminhos de URL, design)

• Opções de configuração VPN IPSEC: com base em rota ou com base em políticas

• Modos de implantação VPN IPSEC: gateway a gateway, full mesh, hub-and-spoke, túnel redundante, terminação VPN em modo transparente

• O login único evita logins simultâneos com o mesmo nome de usuário

• Limitação de usuários simultâneos do portal SSL

• O módulo de encaminhamento de porta SSL VPN criptografa os dados do cliente e os envia para o servidor de aplicativos

• Suporta clientes que executam iOS, Android e Windows XP / Vista, incluindo SO Windows de 64 bits

• Verificação da integridade do host e verificação do sistema operacional antes das conexões de túnel SSL

• Verificação de host MAC por portal

• Opção de limpeza de cache antes de encerrar a sessão SSL VPN

• Cliente L2TP e modo de servidor, L2TP sobre IPSEC e GRE sobre IPSEC

• Visualize e gerencie conexões IPSEC e SSL VPN

• PnPVPN

IPv6

• Gerenciamento sobre IPv6, registro IPv6 e HA

• Tunelamento IPv6, DNS64 / NAT64, etc

• Protocolos de roteamento IPv6, roteamento estático, roteamento de política, ISIS, RIPng, OSPFv3 e BGP4 +

• IPS, identificação de aplicativo, controle de acesso, defesa contra ataque ND

VSYS

• Alocação de recursos do sistema para cada VSYS

• virtualização de CPU

• Firewall de suporte a VSYS não raiz, VPN IPSec, VPN SSL, IPS, filtragem de URL

• Monitoramento e estatística VSYS

Alta disponibilidade

• Interfaces de pulsação redundantes

• Ativo / Ativo e Ativo / Passivo

• Sincronização de sessão independente

• Interface de gerenciamento HA reservada

• Failover:

- Monitoramento de porta, link local e remoto

- Failover stateful

- Failover sub-segundo

- Notificação de falha

• Opções de implantação:

- HA com agregação de link

- Full mesh HA

- HA geograficamente disperso

Identidade do usuário e do dispositivo

• Banco de dados de usuários locais

• Autenticação de usuário remoto: TACACS +, LDAP, Radius, Active

• Logon único: Windows AD

• Autenticação de 2 fatores: suporte de terceiros, servidor de token integrado com físico e SMS

• Políticas baseadas em dispositivos e usuários

• Sincronização de grupos de usuários baseada em AD e LDAP

• Suporte para 802.1X, proxy SSO

Administração

• Acesso de gerenciamento: HTTP / HTTPS, SSH, telnet, console

• Gestão central: DCN Security Manager, APIs de serviço web

• Integração do sistema: SNMP, Syslog, parcerias de aliança

• Implementação rápida: instalação automática de USB, execução de script local e remota

• Status do painel dinâmico em tempo real e widgets de monitoramento detalhado

• Suporte de idioma: Inglês

Logs e relatórios

• Instalações de registro: memória local e armazenamento (se disponível), vários servidores Syslog

• Registro criptografado e upload de registro em lote programado

• Registro confiável usando a opção TCP (RFC 3195)

• Registros de tráfego detalhados: encaminhados, sessões violadas, tráfego local, pacotes inválidos, URL, etc.

• Registros de eventos abrangentes: auditorias de atividades administrativas e de sistema, roteamento e rede, VPN, autenticações de usuários

• Opção de resolução de nome de porta de serviço e IP

• Opção de formato de registro de tráfego breve

• Três relatórios predefinidos: relatórios de segurança, fluxo e rede

• Relatórios definidos pelo usuário

• Os relatórios podem ser exportados em PDF por e-mail e FTP

Especificações

Aplicação típica
Para empresas e provedores de serviços, o DCFW-1800E NGFW pode gerenciar todos os seus riscos de segurança com os melhores IPS, inspeção SSL e proteção contra ameaças do mercado. A série DCFW-1800E pode ser implantada na borda da empresa, no data center híbrido e em segmentos internos. As múltiplas interfaces de alta velocidade, alta densidade de porta, eficácia de segurança superior e alto rendimento desta série mantêm sua rede conectada e segura.

Informações do pedido