欢迎user
新华三零信任一体机功能上涵盖了SDP控制器、SDP可信网关及终端安全管理平台三大组件,和SDP客户端(支持PC、移动端和SDK)一起形成零信任的基础架构。
SDP控制器
SDP控制器作为SDP核心组件之一,实现零信任安全准入控制,基于零信任安全模型,不再以网络为中心实现准入控制,而是以用户权限为中心实现应用级的安全准入,通过形成按需、动态的权限矩阵,结合IAM认证技术对用户身份进行管理,同时可对接第三方IAM平台实现用户身份的多因素认证。在用户认证基础上,对访问资源范围进行策略预设立,有效控制访问资源列表范围。主要包含身份管理、认证管理、权限管理、审计管理、风险分析组件。
SDP可信网关
作为实现网络及资源隐身的模块,安全网关在控制器的预验证、预授权、应用级访问准入、扩展性四点的基础上,为后端应用资源增加了一层隐身防护壳,即所有受安全网关连接控制的后端资源,没有对外暴露的服务或端口,只有通过验证且被授权的用户,才可以接入隐身的网络资源,并且范围被严格控制且实现动态开放与回收。此项能力大大增强了新的网络架构的安全等级,从而提升了针对不良攻击的防御系数。
终端安全管理平台
根据管理员配置的安全策略及环境基线要求,对终端的环境条件进行实时评估,其内容包括终端病毒库版本检查、终端补丁检查、终端安装的应用软件检查等,并根据评估结果进行打分,将最终的结果推送给SDP控制器,由控制器对用户的权限进行实时调整,保证最小化权限访问。
一体机融合终端环境管理平台、SDP控制器、SDP可信网关,一台设备融合多项功能,免去了多个组件分别部署的流程,部署简单方便,更便于维护。
可实时评估用户风险、终端风险、用户UEBA行为风险等信息,当出现不合规的安全访问行为和终端安全风险的情况时,可动态地调整用户的安全访问策略,包括终端的降权和强制用户下线操作。
将接入网关和后端服务器资源收缩在内部,用户访问业务首先访问到零信任控制器,认证通过后才可以访问到零信任网关,继而根据已有的权限列表而访问后端的业务系统。业务系统的IP与端口均不对外暴露,在未经过零信任认证前,业务系统无法被扫描、DDOS攻击、后门连接等攻击,业务系统自身存在的漏洞、弱密码等均不能被黑客利用。
结合云桌面实现数据不落地,可支持基于应用、功能、身份、接口等元素,按照最小化原则进行访问授权,保证攻击者即使获取了某台服务器的权限,也无法对其他服务器进行横向渗透。
在终端接入和数据传输过程中,系统整体的稳定性、高并发能力和高可用性能力是及其重要的,并且可在不同的用户场景下选择不同规格的可信网关,保持贴合客户需求的加密吞吐量和并发的接入用户数。
深度融合全网的身份管理、资产管理、权限管理、威胁管理数据,根据用户实时的安全风险和行为风险情况,根据已有的安全分析算法,进行自动化的编排协同,形成安全闭环处置能力。
提供整体的用户登录入口,并在用户完成身份认证后,提供其所授予的应用资源的导航界面,提升用户的使用体验。未授权的资源不可见,保证数据安全。
提供多因素认证能力,能对员工、供应商、合作伙伴、客户等对象进行整体统一的身份管理、权限管理和认证管理,并可实现分级管理,提升系统管理的的灵活性及便捷性。
硬件规格
项目 | 描述 |
接口 | 16个千兆以太电口、 4个Combo接口、 6个千兆以太光口, 2个万兆以太光口, 2个外 置USB接口(USB 2.0) |
扩展槽位 | 无 |
电源 | 双电源 |
最大理论加密流量 | 400M |
最大并发用户 | 1000 |
开启全威胁最大并发用户 | 500 |
外型尺寸 (高x宽x深) | 44.2 mm × 440 mm × 508 mm |
软件规格
防火墙 | 虚拟防火墙 安全区域划分 可以防御Land、Smurf、Fraggle、Ping of Death、Tear Drop、IP Spoofing、IP分片 报文、ARP欺骗、ARP主动反向查询、TCP报文标志位不合法超大ICMP报文、地址扫描、 端口扫描、 SYN Flood、UPD Flood、ICMP Flood、DNS Flood等多种恶意攻击 基础和扩展的访问控制列表 基于时间段的访问控制列表 基于用户、应用的访问控制列表 动态包过滤 ASPF应用层报文过滤 静态和动态黑名单功能 MAC和IP绑定功能 基于MAC的访问控制列表 支持802.1q VLAN 透传 |
负载均衡 | 支持链路及服务器负载均衡功能,支持基于应用、 ISP等元素的智能选路,支持ICMP、 UDP、TCP等协议的健康监测, 支持基于地址端口、 HTTP协议、 SSL协议的持续性探测, 实现带宽繁忙、故障保护。 |
病毒防护 | 基于病毒特征进行检测 支持病毒库手动和自动升级 报文流处理模式 支持 HTTP、FTP、SMTP、POP3 协议 支持的病毒类型: Backdoor、Email-Worm、IM-Worm、P2P-Worm、Trojan、 AdWare、Virus 等 支持病毒日志和报表 |
深度入侵防御 | 支持对黑客攻击、蠕虫/病毒、木马、恶意代码、间谍软件/广告软件、 DoS/DDoS 常 等攻击的防御 支持缓冲区溢出、 SQL 注入、 IDS/IPS 逃逸等攻击的防御 支持攻击特征库的分类(根据攻击类型、目标机系统进行分类)、分级(分高、中、 低、提示四级) 支持攻击特征库的手动和自动升级(TFTP 和 HTTP) 支持对 BT 等 P2P/IM 识别和控制 |
邮件/网页/ 应用层过滤 | 邮件过滤 SMTP 邮件地址过滤 邮件标题过滤 邮件内容过滤 邮件附件过滤 网页过滤 HTTPURL 过滤 HTTP 内容过滤 应用层过滤 Java Blocking ActiveXBlocking SQL 注入攻击防范 |
行为和内容审计 | 可基于用户对访问内容进行审计、溯源 |
数据防泄漏 | 对传输的文件和内容进行识别过滤,可准确识别常见文件的真实类型,如 Word、 Excel、PPT、PDF、ZIP、RAR、EXE、DLL、AVI、MP4 等, 并对敏感内容进行过 滤。 |
URL 过滤 | 支持对超过 50 种 URL 类别的预定义,支持 URL 规则黑白名单,并可以对访问 URL 的 流量进行丢弃、重置、重定向、日志记录,列入黑名单等操作。 |
应用识别与管控 | 可识别海量应用类型,访问控制精度到应用功能,例如:区分微信的登录、发送消息、 接收消息,语音通话,图片等 应用识别与入侵检测、防病毒、内容过滤相结合,提高检测性能和准确率。 |
NAT | 支持多个内部地址映射到同一个公网地址 支持多个内部地址映射到多个公网地址 支持内部地址到公网地址一一映射 支持源地址和目的地址同时转换 支持外部网络主机访问内部服务器 支持内部地址直映射到接口公网IP地址 支持DNS映射功能 可配置支持地址转换的有效时间 支持多种NAT ALG,包括DNS、FTP、H.323、ILS、MSN、NBT、PPTP、SIP等 |
路由特性 | 全面支持多种路由协议,如RIP、OSPF、BGP、IS-IS等; |
易维护性 | 支持基于命令行的配置管理 支持Web方式进行远程配置管理 支持H3C SSM安全管理中心进行设备管理 支持标准网管SNMPv3,并且兼容SNMP v1和v2 智能安全策略 |
新华三面向百行百业零信任工作空间解决方案,通过身份识别与访问管理(IAM)、软件定义边界(SDP)、微隔离(MSG)等技术架构,以动态权限管控、应用服务隐藏、细粒度访问、统一管控门户、统一身份认证五大能力,构建安全办公新边界。更是针对中小企业推出零信任一体机解决方案。
零信任一体机组网应用示意图
(1)主机选购一览表
项目 | 数量 | 备注 |
H3C SecCenter ZTNA-AK8010(100节点)组合包 | 1 | 必配 |
H3C SecCenter ZTNA-AK8010(60节点)组合包 | 1 | 必配 |
(2)软件选购一览表
项目 | 数量 | 备注 |
SDP控制器 | 1 | 选配 |
单用户节点 | 1 | 选配 |