Cortafuegos de próxima generación de la serie DCFW-1800

El cortafuegos DCN Next Generation (NGFW) proporciona una visibilidad y un control completos y granulares de las aplicaciones. Puede identificar y prevenir amenazas potenciales asociadas con aplicaciones de alto riesgo al tiempo que proporciona un control basado en políticas sobre aplicaciones, usuarios y grupos de usuarios. Se pueden definir políticas que garanticen el ancho de banda para aplicaciones de misión crítica mientras restringen o bloquean aplicaciones no autorizadas o maliciosas. El DCN NGFW incorpora seguridad de red integral y funciones avanzadas de firewall, proporciona un rendimiento superior, una excelente eficiencia energética y una capacidad integral de prevención de amenazas.

Características clave y aspectos destacados

Identificación y control granular de aplicaciones

El DCFW-1800E NGFW proporciona un control detallado de las aplicaciones web independientemente del puerto, el protocolo o la acción evasiva. Puede identificar y prevenir amenazas potenciales asociadas con aplicaciones de alto riesgo al tiempo que proporciona un control basado en políticas sobre aplicaciones, usuarios y grupos de usuarios.Seguridad Se pueden definir políticas que garanticen el ancho de banda para aplicaciones de misión crítica mientras restringen o bloquean aplicaciones no autorizadas o maliciosas.

Controle la detección y prevención integrales de amenazas

El DCFW-1800E NGFW proporciona protección en tiempo real para aplicaciones contra ataques de red, incluidos virus, spyware, gusanos, botnets, falsificación de ARP, DoS / DDoS, troyanos, desbordamientos de búfer e inyecciones SQL. Incorpora un motor de detección de amenazas unificado que comparte los detalles del paquete con varios motores de seguridad (AD, IPS, filtrado de URL, antivirus, etc.), lo que mejora significativamente la eficiencia de la protección y reduce la latencia de la red.

Servicios de red

• Enrutamiento dinámico (OSPF, BGP, RIPv2)
• Enrutamiento estático y de políticas
• Ruta controlada por una aplicación
• DHCP, NTP, servidor DNS y proxy DNS integrados
• Modo Tap: se conecta al puerto SPAN
• Modos de interfaz: sniffer, puerto agregado, loopback, VLANS (802.1Q y Trunking)
• Conmutación y enrutamiento L2 / L3
• Implementación en línea transparente de cable virtual (capa 1)

Cortafuegos

• Modos de funcionamiento: N / AT / ruta, transparente (puente) y modo mixto
• Objetos de política: agrupación de objetos predefinida, personalizada y
• Política de seguridad basada en la aplicación, el rol y la ubicación geográfica
• Pasarelas de nivel de aplicación y soporte de sesión: MSRCP, PPTP, RAS, RSH, SIP, FTP, TFTP, HTTP, DCE / RPC, DNS-TCP, DNS-UDP, H.245 0, H.245 1, H.323
• Compatibilidad con N / AT y ALG: N / AT46, N / AT64, N / AT444, SN / AT, DN / AT, PAT, Full Cone N / AT, STUN
• Configuración N / AT: por política y tabla N / AT central
• VoIP: SIP / H.323 / SCCP N / AT transversal, perforación de pines RTP
• Vista de gestión de políticas globales
• Inspección de redundancia de políticas de seguridad
• Horarios: únicos y recurrentes

Prevención de intrusiones

l Detección de anomalías de protocolo, detección basada en la velocidad, firmas personalizadas, actualizaciones de firmas manuales, automáticas push o pull, enciclopedia de amenazas integrada

• Acciones IPS: predeterminado, monitorear, bloquear, restablecer (IP del atacante o IP de la víctima, interfaz entrante) con un tiempo de vencimiento
• Opción de registro de paquetes
• Selección basada en filtros: gravedad, destino, SO, aplicación o protocolo
• Exención de IP de firmas IPS específicas
• Modo de rastreo de IDS
• Protección DoS basada en la velocidad IPv4 e IPv6 con configuración de umbral contra la inundación de sincronización de TCP, escaneo de puertos TCP / UDP / SCTP, barrido de ICMP, inundación de sesiones de TCP / UDP / SCIP / ICMP (origen / destino)
• Bypass activo con interfaces de bypass
• Configuración de prevención predefinida

Antivirus

• Actualizaciones de firmas push o pull manuales, automáticas

• Antivirus basado en flujo: los protocolos incluyen HTTP, SMTP, POP3, IMAP, FTP / SFTP

• Escaneo de virus de archivos comprimidos

Defensa de ataque

• Defensa de ataque de protocolo anormal

• Anti-DoS / DDoS, incluido SYN Flood, defensa de DNS Query Flood

• Defensa de ataque ARP

Filtrado de URL

• Inspección de filtrado web basada en flujo

• Filtrado web definido manualmente basado en URL, contenido web y encabezado MIME

• Filtrado web dinámico con base de datos de categorización en tiempo real basada en la nube: más de 140 millones de URL con 64 categorías (8 de las cuales están relacionadas con la seguridad)

• Funciones adicionales de filtrado web:

- Filtrar applet de Java, ActiveX o cookie

- Bloquear publicación HTTP

- Palabras clave de búsqueda de registros

- Exento de escaneo de conexiones cifradas en ciertas categorías para mayor privacidad

• Anulación de perfil de filtrado web: permite al administrador asignar temporalmente diferentes perfiles al usuario / grupo / IP

• Categorías locales del filtro web y anulación de clasificación de categorías

Reputación de IP

• Bloqueo de IP de servidor de botnet con base de datos de reputación de IP global

Descifrado SSL

• Identificación de la aplicación para tráfico encriptado SSL

• Habilitación de IPS para tráfico cifrado SSL

• Habilitación AV para tráfico encriptado SSL

• Filtro de URL para tráfico encriptado SSL

• Lista blanca de tráfico cifrado SSL

• Modo de descarga de proxy SSL

Identificación de punto final

• Soporte para identificar IP de punto final, cantidad de punto final, tiempo en línea, tiempo fuera de línea y duración en línea

• Soporta 2 sistemas operativos

• Consulta de soporte basada en IP y cantidad de terminales

Control de transferencia de archivos

• Control de transferencia de archivos según el nombre, el tipo y el tamaño del archivo

• Identificación del protocolo de archivo, incluidos los protocolos HTTP, HTTPS, FTP, SMTP, POP3 y SMB

• Firma de archivo e identificación de sufijo para más de 100 tipos de archivos

Control de aplicaciones

• Más de 3000 aplicaciones que se pueden filtrar por nombre, categoría, subcategoría, tecnología y riesgo.

• Cada aplicación contiene una descripción, factores de riesgo, dependencias, puertos típicos utilizados y URL para referencia adicional

• Acciones: bloquear, restablecer sesión, monitorear, modelar el tráfico

• Identificar y controlar las aplicaciones en la nube en la nube.

• Proporcionar monitoreo y estadísticas multidimensionales para aplicaciones en la nube, incluida la categoría y las características de riesgo.

Calidad de servicio (QoS)

• Túneles de ancho de banda máximo / garantizado o IP / usuario

• Asignación de túnel basada en el dominio de seguridad, interfaz, dirección, usuario / grupo de usuarios, servidor / grupo de servidores, aplicación / grupo de aplicaciones, TOS, VLAN

• Ancho de banda asignado por tiempo, prioridad o igual ancho de banda compartido

• Soporte de tipo de servicio (TOS) y servicios diferenciados (DiffServ)

• Asignación priorizada del ancho de banda restante

• Número máximo de conexiones simultáneas por IP

Equilibrio de carga del servidor

• Hash ponderado, conexión mínima ponderada y round robin ponderado

• Protección de la sesión, persistencia de la sesión y supervisión del estado de la sesión

• Verificación del estado del servidor, monitoreo de sesiones y protección de sesiones

Equilibrio de carga de enlaces

• Equilibrio de carga de enlace bidireccional

• El equilibrio de carga del enlace saliente incluye enrutamiento basado en políticas, ECMP y enrutamiento ISP integrado ponderado y detección dinámica

• El equilibrio de carga del enlace entrante admite DNS inteligente y detección dinámica

• Cambio de enlace automático basado en ancho de banda, latencia, jitter, conectividad, aplicación, etc.

• Vincular la inspección de estado con ARP, PING y DNS

VPN

• VPN IPSec

- Modo IPSEC Phase 1: modo de protección de identificación principal y agresivo

- Opciones de aceptación de pares: cualquier ID, ID específico, ID en un grupo de usuarios de acceso telefónico

- Soporta IKEv1 e IKEv2 (RFC 4306)

- Método de autenticación: certificado y clave precompartida

- Soporte de configuración del modo IKE (como servidor o cliente)

- DHCP sobre IPSEC

- Caducidad de la clave de cifrado IKE configurable, frecuencia de mantenimiento de N / AT transversal

- Cifrado de propuesta Fase 1 / Fase 2: DES, 3DES, AES128, AES192, AES256

- Autenticación de propuesta de fase 1 / fase 2: MD5, SHA1, SHA256, SHA384, SHA512

- Soporte Diffie-Hellman Fase 1 / Fase 2: 1,2,5

- XAuth como modo de servidor y para usuarios de acceso telefónico

- Detección de pares muertos

- Detección de repetición

- Autokey Keep-Alive para Phase 2 SA

• Soporte de dominio IPSEC VPN: permite múltiples inicios de sesión VPN SSL personalizados asociados con grupos de usuarios (rutas URL, diseño)

• Opciones de configuración de VPN IPSEC: basadas en rutas o basadas en políticas

• Modos de implementación de VPN IPSEC: puerta de enlace a puerta de enlace, malla completa, concentrador y radio, túnel redundante, terminación de VPN en modo transparente

• El inicio de sesión único evita los inicios de sesión simultáneos con el mismo nombre de usuario

• Limitación de usuarios simultáneos del portal SSL

• El módulo de reenvío de puertos SSL VPN cifra los datos del cliente y envía los datos al servidor de aplicaciones

• Admite clientes que ejecutan iOS, Android y Windows XP / Vista, incluido el sistema operativo Windows de 64 bits

• Comprobación de la integridad del host y comprobación del sistema operativo antes de las conexiones de túnel SSL

• Comprobación de host MAC por portal

• Opción de limpieza de caché antes de finalizar la sesión de VPN SSL

• Modo cliente y servidor L2TP, L2TP sobre IPSEC y GRE sobre IPSEC

• Ver y administrar conexiones VPN IPSEC y SSL

• PnPVPN

IPv6

• Gestión sobre IPv6, registro de IPv6 y HA

• Túneles IPv6, DNS64 / N / AT64, etc.

• Protocolos de enrutamiento IPv6, enrutamiento estático, enrutamiento de políticas, ISIS, RIPng, OSPFv3 y BGP4 +

• IPS, identificación de aplicaciones, control de acceso, defensa contra ataques ND

VSYS

• Asignación de recursos del sistema a cada VSYS

• virtualización de CPU

• Cortafuegos de soporte VSYS no root, IPSec VPN, SSL VPN, IPS, filtrado de URL

• Seguimiento y estadística de VSYS

Alta disponibilidad

• Interfaces de latido redundantes

• Activo / Activo y Activo / Pasivo

• Sincronización de sesión independiente

• Interfaz de gestión reservada HA

• Conmutación por error:

- Monitoreo de puertos, enlaces locales y remotos

- Conmutación por error con estado

- Conmutación por error de menos de un segundo

- Notificación de fallas

• Opciones de implementación:

- HA con agregación de enlaces

- HA de malla completa

- HA dispersa geográficamente

Identidad de usuario y dispositivo

• Base de datos de usuarios locales

• Autenticación de usuario remoto: TACACS +, LDAP, Radius, Active

• Inicio de sesión único: Windows AD

• Autenticación de 2 factores: soporte de terceros, servidor de token integrado con físico y SMS

• Políticas basadas en usuarios y dispositivos

• Sincronización de grupos de usuarios basada en AD y LDAP

• Soporte para 802.1X, SSO Proxy

Administración

• Acceso de administración: HTTP / HTTPS, SSH, telnet, consola

• Gestión central: DCN Seguridad Manager, API de servicios web

• Integración de sistemas: SNMP, Syslog, alianzas

• Implementación rápida: instalación automática de USB, ejecución de script local y remota

• Estado del tablero dinámico en tiempo real y widgets de monitoreo detallado

• Soporte de idiomas: inglés

Registros e informes

• Instalaciones de registro: almacenamiento y memoria local (si está disponible), varios servidores Syslog

• Registro cifrado y carga programada de registros por lotes

• Registro confiable usando la opción TCP (RFC 3195)

• Registros de tráfico detallados: reenviados, sesiones violadas, tráfico local, paquetes no válidos, URL, etc.

• Registros de eventos completos: auditorías de actividad administrativa y del sistema, enrutamiento y redes, VPN, autenticaciones de usuarios

• Opción de resolución de nombre de puerto de servicio e IP

• Opción de formato de registro de tráfico breve

• Tres informes predefinidos: seguridad, flujo e informes de red

• Informes definidos por el usuario

• Los informes se pueden exportar en PDF a través de correo electrónico y FTP

Especificaciones

Aplicación tipica
Para las empresas y los proveedores de servicios, DCFW-1800E NGFW puede gestionar todos sus riesgos de seguridad con los mejores IPS, inspección SSL y protección contra amenazas de la industria. La serie DCFW-1800E se puede implementar en el perímetro empresarial, el centro de datos híbrido y en todos los segmentos internos. Las múltiples interfaces de alta velocidad, la alta densidad de puertos, la eficacia de seguridad superior y el alto rendimiento de esta serie mantienen su red conectada y segura.

información del pedido