宝信多功能安全网关 —— eCop XSA 介绍

1. 宝信多功能安全网关 —— eCop XSA介绍 体验安全、快速的Internet访问之旅

2. eCop XSA是什么？ eCop XSA安全设备是基于高级应用层防火墙、虚拟专用网络 (VPN) 和 Web 缓存的解决方案，它能够改善客户网络的安全和性能，并具有适应安全需求持续增长的可扩展性，为用户提供了完善、全面的边界防护解决方案。 eCop XSA是宝信软件与微软开展合作，为市场引入的基于Microsoft ISA Server 2006的多用途安全管理设备 完整的边界安全 解决方案 微软与宝信的 合作产品 一套集智能防火墙、IPSec & SSL VPN、双向代理与缓存、内容过滤、防病毒、反垃圾邮件等功能的完整解决方案 基于独特的插件式可拓展结构，第三方厂商可通过开放的接口开发增值应用，满足用户多样化需求 开放性可扩展的 安全平台 与微软各类系统的 完美整合 充分利用微软系统平台的各项安全管理技术，为其产品提供深层次的安全防护，是微软安全解决方案中不可缺少的一部分

3. 为什么需要eCop XSA？ 黑客 2 3 1 日益复杂的攻击手段 各自为战的安全技术 越发复杂的管理 • 由单一型转为混合型 • 攻击更加频繁 • 漏洞增多 • 攻击周期急剧缩短 • 网络犯罪愈演愈烈 • 影响面和破坏力增大 • 对技术人员水平要求较高 • 安全产品难以使用部署 • 多个控制台 • 管理维护工作量大 • 居高不下的投资成本 • 存在太多的单点产品 • 无法协同工作 • 无力应对复杂攻击手段 • 隐藏真实安全事件源 • 不具备灵活的可扩展能力

4. eCop XSA提供的解决方案 2 3 1 立体化的防御 高集成度的整合方案 便捷的管理 • 交叉产品集成 • MS 安全产品 • MS 服务器应用程序 • 与 Microsoft IT 基础结构相集成 • AD、MOM，等等 • 与合作伙伴、宝信安全方案相集成 • 将智能防火墙、VPN、防病毒和反垃圾邮件等多种安全技术融合于一体，构建立体化安全防护体系，有效抵御混合型攻击 • 较低的投资成本 • 全面的管理、报告和日志平台 • 简化的管理 • 单一管理平台 • 简单的部署维护 • 简化的授权

5. eCop XSA功能特性

6. VPN 网络 DMZ_1 网络 A DMZ_n 任何拓扑，任何策略 多网络模式支持 Internet • 定义任何数量的网络 • VPN也作为网络 • 本地主机也作为网络 • 指定关系(NAT/Route) • 基于网络指定策略 • 对网络间的通讯进行检查 内网_1 eCop XSA 本地主机 内网_2

7. IP Header Source Address,Dest. Address,TTL, Checksum TCP Header Sequence NumberSource Port,Destination Port,Checksum Application Layer Content ???????????????????????????????????????????? • 基于端口号转发 • 合法的数据流和应用层攻击使用相同的端口 内部网络 合法的HTTP流量 非法的HTTP流量 攻击 非HTTP流量 智能的高级应用层防火墙 ——传统型防火墙的缺陷 • 只检查数据包头部 • 应用层的内容看来就像是一个神秘的“黑盒子” Internet

8. 状态数据包过滤 应用程序过滤 链路过滤 智能的高级应用层防火墙 ——eCop XSA的三层过滤 为 Telnet、 RealAudio、Windows Media technologies、 IRC 以及许多其他 Internet 协议和服务的多平面访问提供了应用程序透明的链路网关。XSA 链路层安全可以与动态数据包过滤配合工作，从而增强安全性和易用性。 可以识别客户端PC应用程序协议（如 HTTP、 FTP、和 Gopher）中的命令。eCop XSA代表客户端 PC 进行操作，并对外部网络隐藏网络拓扑结构和 IP 地址。 确定允许哪些数据包通过并到达受保护的网络链路和应用程序层代理服务。状态过滤只在需要时自动打开端口，并在通信结束时自动关闭这些端口。 以动态、智能化的方式对通过防火墙的程序执行状态包过滤（状态包检查）和应用程序层状态检查。此项检查确保了通信的完整性并防止由入侵者、黑客、蠕虫、病毒和可疑命令字符串引起的安全漏洞。在应用层协议和连接状态的上下文中都进行状态检查。

9. 智能的高级应用层防火墙 ——eCop XSA应用程序筛选器 智能应用程序筛选 eCop XSA使用应用程序筛选器来执行应用程序级安全检查。应用程序筛选器是注册到特定协议端口的动态链接库 (DLL)。每当把一个数据包发送到该协议端口，它就被传递给应用程序筛选器，后者按照应用程序逻辑来检查该数据包，并根据策略来决定该怎样处理。 eCop XSA支持100个以上的Internet协议，管理员可根据自身需求，基于端口数、类型、TCP或者UDP和方向定义附加协议，具有良好的可扩展性。 合法的HTTP流量 内部网络 Internet 非法的HTTP流量 攻击 eCop XSA 非HTTP流量

10. 用户一 Web高速缓存 使用分层连接将客户端的请求通过缓存服务器链逐层向上游传送，有效加速分支机构的访问速度。 使用RAM 缓存、磁盘缓存和HTTP压缩技术来增加速内部用户访问外部网络的速度，节约现有带宽资源。 将内部Web服务器中的数据寄存在XSA缓存中，可以有效降低Web服务器负荷。 在网络流量不大时，缓存中那些经常被访问的对象会自动地被更新，以优化带宽的使用。 1 2 3 4 发起Internet 访问请求 未发现需要 访问的内容 从外网服务器下载数据 Internet eCop XSA 用户二 发现数据，从缓存下载 将数据存储到缓存中 发起Internet 访问请求

11. 安全的发布Web应用 通过集成的 Windows 身份验证、 RADIUS 目录用户、活动目录、等身份认证技术保证到访用户的合法性 通过模拟已发布的服务器来添加一个安全层。服务器发布规则保护内部服务器免遭外部用户的不可靠访问。 智能应用程序过滤可以检查流入服务器的数据，保护所有已发布的服务器免遭外部攻击。 使用SLL安全的发布Web应用，与大多数防火墙不同之处在于，XSA可以对经过SSL加密的数据进行安全性检查。 1 2 3 4 在XSA上实现单点认证 身份认证在服务器上进行 重新打包或直接转发数据 传统防火墙 建立SSL通道 Internet eCop XSA 病毒通过加密通道传送 无法检查SLL加密的数据 XSA会解开加密数据包检查

12. 站点间的VPN连接 DMZ 分支机构 总部 基于IPSec的L2TP IPSec隧道模式 PPTP连接 Internet eCop XSA eCop XSA 第三方VPN设备 • PPTP连接：基于PPTP的VPN连接并未提供数据完整性验证，安全性较差 • 基于IPSec的L2TP（推荐）：利用IPSec提供数据保密性、数据完整性和数据源验证服务 • IPSec隧道模式：当有一方采用第三方VPN服务器时只可以采用此模式

13. 用户一 远程访问VPN及安全隔离 eCop XSA支持远程访问VPN，同时可以通过自定义客户端安全脚本对接入终端进行安全体检。 • 客户端脚本检查客户端是否满足公司安全策略 • 是否启用个人防火墙？ • 是否使用最新的防病毒升级包？ • 是否安装所需的补丁程序？ • 如果检查成功，客户端将获得完全访问权限 • 如果检查失败，客户端将在超时时段以后断开连接 向XSA发送客户端脚本 发出VPN连接请求 隔离区 内网 XSA将其分配到隔离区 Internet eCop XSA 用户二 检查不通过 断开连接 检查通过后，接入内网 向XSA发送客户端脚本

14. 可扩展的安全功能 基于独特的插件式可拓展结构，第三方厂商可通过SDK和API提供各项增值功能。 以下是我们推荐的常用插件，目前国内外已有数十种可供选择，并且数目还在 持续增长……！ 上网行为管理功能 提供可控制的上网访问，大幅提高员工工作效率；限制网络下载，并提供带宽管理功能保证关键应用；过滤敏感信息、屏蔽非法网站和内容，还可以控制危险内容（病毒、间谍软件、恶意代码、木马等）的无意访问。 防毒、杀毒功能 强大的杀毒功能支持HTTP、SMTP、POP3、FTP、NETBIOS等多种协议的数据流，不仅可以查杀普通病毒邮件，还可以检查出各种压缩包（zip，rar，gzip等）隐藏的病毒。 反垃圾邮件功能 防垃圾邮件功能采用关键字、黑白名单、反向侦测SMTP服务器等多种过滤手段，垃圾邮件的识别率高、误判率少。垃圾邮件库也可以在线更新，并且支持用户自己添加垃圾邮件规则。

15. 技术支持工程师 刘欢 上海浦东张江高科技园区郭守敬路515号 邮政编码：201203 电话：021-50801155-1470 liuhuan_205404@baosight.com http://www.baosight.com 诚挚感谢！