Интеллектуальные межсетевые экраны следующего поколения Hillstone T-Series

Постоянно контролируют вашу сеть

Интеллектуальные межсетевые экраны нового поколения (iNGFW) Hillstone T-Series используют три ключевые технологии обнаружения продвинутых атак и обеспечения постоянной защиты для сегодняшних сетей. Во-первых, они используют статистическую кластеризацию для обнаружения неизвестных вредоносных программ, используя запатентованный движок Hillstone Advanced Threat Detection (ATD). Во-вторых, они используют поведенческую аналитику для обнаружения аномального поведения сети, которая основана на движке Hillstone Abnormal Behavior Detection (ABD). Наконец, они используют механизм анализа корреляции угроз Hillstone для корреляции событий угроз, обнаруженных разрозненными движками, включая ATD, ABD, Sandbox и другие традиционные технологии обнаружения угроз на основе сигнатур, а также контекстную информацию для выявления передовых угроз.

Обнаружение неизвестных вредоносных программ

Hillstone построил проприетарный движок, который проанализировал около миллиона «известных» образцов вредоносных программ. Каждый образец классифицирован и охарактеризован на основе нескольких параметров, описывающих его действия, свойства и атрибуты. В рабочей среде, когда встречается новое вредоносное ПО, оно также анализируется, характеризуется и классифицируется. Затем оно сравнивается с базой данных известных образцов вредоносных программ, которые уже были проанализированы. Чем ближе неизвестный образец соответствует известному образцу, тем выше уровень достоверности, что данный образец является вариантом уже известного образца вредоносного ПО. Этот процесс называется «статистической кластеризацией» и обеспечивает точный метод идентификации новых вредоносных программ.

Обнаружение аномального поведения

Движок Hillstone Abnormal Behavior постоянно отслеживает сеть, чтобы узнать, как выглядит обычный сетевой трафик в конкретный день, время и месяц, предоставляя оповещения, когда сетевая активность превышает расчетные пороговые значения. Он использует 50-мерный массив для вычисления нормального сетевого трафика уровней L4-L7, называемого «моделирование поведения». Кроме того, он был обучен при помощи реальных инструментов взлома, чтобы убедиться, что он будет легко распознавать злонамеренную деятельность. Эти методы снижают количество ложных срабатываний и предоставляют пользователю множество возможностей для остановки атаки.

Богатые возможности расследований

Hillstone предлагает новый способ визуализации и анализа атак. Каждое действие, предпринятое потенциально вредоносным кодом, автоматически связывается с шагами внутри смертоносной цепочки (Kill Chain). Они дополняются богатой информацией для расследований, которая позволяет аналитику безопасности определить происхождение атаки, тяжесть атаки и используемую методологию. Hillstone также предоставляет файлы захвата пакетов, которые в сочетании с журналами трафика и syslog предоставляют администратору множество дополнительных данных. В дополнение, пользовательские данные, такие как посещаемые веб-сайты, используемые приложения и уровень риска приложений, приводят к наведению фокуса на эксплоит. Самое главное, Hillstone определяет точную политику брандмауэра, которая позволила злоумышленнику пройти через брандмауэр.

Упреждающее подавление

В дополнение к возможности изменения политик для предотвращения атак, Hillstone имеет несколько встроенных функций автоматического подавления. Эти функции содержат заранее определенные шаблоны, которые автоматически замедляют или блокируют атаку, если обнаружено подозрительное поведение. Администратор может изменять шаблоны, чтобы ограничить полосу пропускания или количество сессий, доступных злоумышленнику. Он также может корректировать ограничения, которые он устанавливает на сетевых ресурсах, в зависимости от типа атаки и уровня её серьезности. В случае, если атака является критической и уровень достоверности высокий, подавление может включать полную блокировку всех сетевых ресурсов. И если шаблон не существует или неактивен, администратор может быстро настроить временное подавление для этого события.

Ключевые особенности

Корреляционная аналитика угроз

Корреляция между неизвестными угрозами, аномальным поведением и поведением приложений для обнаружения потенциальных угроз или атак
Многомерные правила корреляции, автоматическое ежедневное обновление из облака

Обнаружение продвинутых угроз

Обнаружение продвинутого вредоносного программного обеспечения на основе поведения
Обнаружение более 2000 известных и неизвестных семейств вредоносных программ, включая Вирусы, Черви, Троянские программы, Переполнение буфера и т. д.
Обновление базы данных моделей поведения вредоносных программ онлайн, в режиме реального времени.

Обнаружение аномального поведения

Моделирование поведения на основе L3-L7 трафика для выявления аномального поведения сети, такого как HTTP-сканирования, спама, слабых паролей SSH/FTP
Обнаружение DDoS, включая флуды, сокстрессы, zip смерти, отражения, DNS, SSL-DDosы и DDoSы на уровне приложений
Поддерживает проверку зашифрованного туннельного трафика для неизвестных приложений
Обновление базы данных аномального поведения онлайн, в режиме реального времени.

Видимость и подавление угроз

Индекс сетевого риска, критические ресурсы и статус риска хостов, степень и достоверность риска хостов и угроз
Сопоставление цепочек событий угроз на каждом хосте
Расследование угроз, включая анализ угроз, базу знаний, историю и PCAP.
Предопределенные и настраиваемые правила подавления

Сетевые службы

Динамическая маршрутизация (OSPF, BGP, RIPv2)
Статическая маршрутизация и маршрутизация на основе политик
Маршруты, управляемые приложениями
Встроенные DHCP, NTP, DNS сервера и DNS прокси
Режим TAP – подключение к SPAN порту
Режимы интерфейсов: снифер, агрегация портов, лупбек, VLAN (1Q и транкинг)
L2/L3 коммутация и маршрутизация
Прозрачное разворачивание – виртуальный кабель (L1)

Межсетевой экран

Режимы работы: NAT/маршрутизация, прозрачный (мост) и смешанный режим
Объекты политик: предопределённые, пользовательские и группировка объектов
Политики безопасности, основанные на приложениях, роли и гео-локации
Поддержка шлюзов уровня приложения (ALG) и сессий: MSRCP, PPTP, RAS, RSH, SIP, FTP, TFTP, HTTP, dcerpc, dns-tcp, dns-udp, H.245 0, H.245 1, H.323
Поддержка NAT и ALG: NAT46, NAT64, NAT444, SNAT, DNAT, PAT, Full Cone NAT, STUN
Конфигурации NAT: по политикам и централизованная NAT таблица
VoIP: SIP/H.323/SCCP NAT traversal, RTP pin holing
Глобальный просмотр управления политиками
Проверка избыточности политик безопасности
Расписания: одноразовые и повторяющиеся

Предотвращение вторжений

Выявление аномалий протоколов, выявление на основании полосы пропускания, пользовательские сигнатуры, ручное или автоматическое, принудительное или по запросу обновление сигнатур, интегрированная энциклопедия угроз
Действия IPS: по умолчанию, мониторинг, блокировка, сброс (IP атакующего или жертвы, входящий интерфейс) с истечением таймера
Функция журналирования пакетов
Выбор на основе фильтров: северити, цель, ОС, приложение или протокол
Исключение IP из специфических IPS сигнатур
Режим снифера IDS
IPv4 и IPv6 DoS защита на основе полосы пропускания с настройками порогов срабатывания от TCP Syn флуда, сканирования портов TCP/UDP/SCTP, ICMP сканирования, TCP/UDP/SCIP/ICMP флуда сессий (источника/назначения)
Активный байпас с обходными интерфейсами
Предопределенная конфигурация предотвращения

Антивирус

Ручное, автоматическое, принудительное или по запросу обновление сигнатур,
Потоковый антивирус, включает протоколы: HTTP, SMTP, POP3, IMAP, FTP/SFTP
Сканирование на вирусы сжатых файлов

Защита от атак

Защита от атак, использующих анормальные протоколы
Анти DoS/DDoS, включая защиту от SYN флуда и флуда DNS запросов
Защита от ARP атак

Фильтрация URL

Потоковая веб инспекция
Определяемая вручную веб фильтрация на основе URL, веб содержимого и MIME заголовка
Динамическая веб фильтрация с облачной базой данных с категоризацией в реальном времени: более 140 миллионов URLей с 64 категориями (8 из которых связаны с безопасностью)
Переопределение профилей веб фильтрации: позволяет администратору временно назначать другие профили для пользователей, групп, IP
Дополнительные функции веб фильтрации:
- Фильтрация Java Applet, ActiveX и/или куки
- Блокировка HTTP Post
- Поиск в журнале по ключевым словам
- Исключение сканирования зашифрованных соединений определённых категорий для обеспечения приватности
Локальные категории веб фильтрации и переопределение категорий

Облачная песочница

Загрузка вредоносных файлов в облачную песочницу для анализа
Поддержка протоколов: HTTP/HTTPS, POP3, IMAP, SMTP и FTP
Поддержка типов файлов: PE, ZIP, RAR, Office, PDF, APK, JAR и SWF
Направление передачи файлов и управление размером файла
Предоставление полного отчёта анализа поведения для вредоносных файлов

IP репутация

Блокировка IP ботнет серверов с глобальной базой данных IP репутации

Расшифровка SSL

Идентификация приложений для шифрованного SSL трафика
Поддержка IPS для шифрованного SSL трафика
Поддержка антивируса для шифрованного SSL трафика
URL фильтрация для шифрованного SSL трафика
Белые списки для шифрованного SSL трафика
Режим разгрузки SSL-прокси

Идентификация конечных узлов

Поддержка идентификации IP-адреса конечного узла, количества конечных узлов, времени в сети, времени автономной работы и продолжительности он-лайн работы
Поддержка 10 операционных систем
Поддержка запросов на основании количества IP адресов и конечных узлов

Контроль передачи файлов

Контроль передачи файлов на основе имени файла, типа и размера
Идентификация протокола передачи файлов, включая: HTTP, HTTPS, FTP, SMTP, POP3 и SMB protocols
Идентификация сигнатур и суффиксов файлов для более чем 100 типов файлов

Контроль приложений

Более 3000 приложений, которые могут быть отфильтрованы по имени, категории, подкатегории, технологии и риску
Каждое приложение содержит описание, факторы риска, зависимости, обычно используемые порты и URLи для дополнительной информации
Действия: блокировка, сброс сессии, мониторинг, ограничение трафика
Идентификация и контроль приложений в облаке
Обеспечение многомерного мониторинга и статистики для приложений, работающих в облаке, включая категорию риска и характеристики

Качество обслуживания (QoS)

Максимальная/гарантированная полоса пропускания для туннелей, IP или пользователей
Распределение туннелей на основе доменов безопасности, интерфейсов, адресов, групп пользователей, пользователей, групп серверов, серверов, групп приложений, приложений, TOS, VLAN
Распределение полосы пропускания по времени, приоритету или эквивалентное разделение полосы пропускания
Поддержка Type of Service (TOS) и Differentiated Services (DiffServ)
Приоритетное распределение оставшейся полосы пропускания
Максимальное количество одновременных подключений на IP-адрес

Балансировка нагрузки на сервера

Алгоритмы балансировки: взвешенное хеширование, взвешенное количество активных соединение и взвешенный циклический
Защита сеанса, сохранение сеанса и мониторинг состояния сеанса
Проверка работоспособности сервера, мониторинг сеансов и защита сеанса

Балансировка нагрузки каналов связи

Двунаправленная балансировка нагрузки каналов связи
Балансировка нагрузки исходящих соединений, включая маршрутизацию на основе политик, ECMP и взвешенную встроенную маршрутизацию ISP и динамическое обнаружение
Балансировка нагрузки входящих соединений поддерживает SmartDNS и динамическое обнаружение
Автоматическое переключение соединений на основе полосы пропускания, задержки, джиттера, возможности подключения, приложения и т.д.
Проверка работоспособности соединения при помощи ARP, PING и DNS

VPN

IPSec VPN:
- Режимы фазы 1 IPSEC: aggressive и main
- Варианты приёмки узлов: любой ID, определённый ID, ID в пользовательской dialup группе
- Поддержка IKEv1 и IKEv2 (RFC 4306)
- Методы аутентификации: сертификат и предопределённый ключ
- Поддержка IKE mode configuration (как сервер или клиент)
- DHCP через IPSEC
- Настраиваемые срок действия ключа шифрования IKE, частота отправки keep alive NAT traversal
- Phase 1/Phase 2 Proposal шифрование: DES, 3DES, AES128, AES192, AES256
- Phase 1/Phase 2 Proposal аутентификация: MD5, SHA1, SHA256, SHA384, SHA512
- Поддержка групп Phase 1/Phase 2 Diffie-Hellman: 1,2,5
- XAuth в режиме сервера и для dialup пользователей
- Dead peer detection
- Определение повторной отправки
- Keep-alive c автоматическим ключом для Phase 2 SA
Поддержка областей SSL VPN: позволяет использовать несколько пользовательских SSL VPN-подключений, связанных с группами пользователей (URL пути, дизайн)
Варианты настройки IPSec VPN: на основе маршрутов или политик
Варианты разворачивания IPSec VPN: шлюз-шлюз, все со всеми, звезда, резервный туннель, VPN терминация в прозрачном режиме
Однократный вход предотвращает одновременные логины с одинаковым именем пользователя
Ограничение одновременного количества пользователей на SSL портал
Модуль проброса портов SSL VPN шифрует клиентские данные и посылает их на сервер приложений
Поддержка клиентов, работающих на iOS, Android и Windows XP/Vista включая 64-битные Windows OS
Проверка целостности хоста и проверка ОС перед подключением SSL туннеля
Проверка МАС хоста на портале
Возможность очистки кеша перед завершением SSL VPN сессии
Клиентский и серверный режимы L2TP, L2TP поверх IPSec и GRE поверх IPSec
Просмотр и управление IPSec и SSL VPN соединениями
PnPVPN

IPv6

Управление через IPv6, IPv6 журналирование и режим высокой доступности
IPv6 туннелирование, DNS64/NAT64 и т.д.
Протоколы маршрутизации IPv6: ISIS, RIPng, OSPFv3 и BGP4+, статическая маршрутизация, маршрутизация на основе политик
IPS, идентификация приложений, контроль доступа, защита от ND атак

VSYS

Распределение ресурсов для каждого VSYS
CPU виртуализация
Безрутовая VSYS поддержка: межсетевого экрана, IPSec VPN, SSL VPN, IPS, URL фильтрации
VSYS мониторинг и статистика

Высокая доступность

Резервные сигнальные интерфейсы
Актив/актив и актив/пассив
Синхронизация автономных сессий
Резервный интерфейс управления HA
Отказоустойчивость:
- Мониторинг состояния порта, локального и удалённого соединения
- Отказоустойчивость с учётом состояния
- Досекундное переключение
- Уведомление о сбое
Варианты разворачивания:
- HA с агрегацией соединений
- Все со всеми HA
- Географически распределённый HA

Идентификация устройств и пользователей

Локальная база данных пользователей
Удалённая идентификация пользователей: TACACS+, LDAP, Radius, AD
Единая точка входа: Windows AD
2-х факторная аутентификация: поддержка сторонних производителей, интегрированный сервер тоукенов (физических и SMS)
Политики на основании пользователей и устройств
Синхронизация пользовательских групп на основе AD и LDAP
Поддержка 802.1X, SSO прокси

Администрирование

Доступ к управлению: HTTP/HTTPS, SSH, telnet, консоль
Централизованное управление: Hillstone Security Manager (HSM), web service API
Системная интеграция: SNMP, syslog, партнёрские отношения
Быстрое разворачивание: автоустановка USB, локальное и удалённое выполнение скриптов
Динамический статус в панели управления в реальном времени и разворачивающиеся виджеты наблюдения
Поддержка языков: Английский

Журналирование и отчётность

Возможности журналирования: локальная память и хранилище (если доступно), множественные syslog сервера и множественные платформы Hillstone Security Audit (HSA)
Шифрованное журналирование и обеспечение целостности журналов с загрузкой журналов по расписанию через HSA
Надёжное журналирование с использованием TCP (RFC 3195)
Подробные журналы трафика: переадресованные, нарушенные сеансы, локальный трафик, недопустимые пакеты
Всесторонние журналы событий: системный и административный аудит активности, сетевые и маршрутизации, VPN, аутентификации пользователей, событий, связанных с WiFi
Возможность разрешения имени по IP и порту
Краткая форма формата журнала трафика
Три предопределённых отчёта: безопасность, потоки и сети
Отчёты, заданные пользователем
Отчёты могут быть экспортированы в PDF и получены через Email и FTP