McAfee Next Generation Firewall

McAfee Next Generation Firewall
Powered by Stonesoft
McAfee® Next Generation Firewall sastavni je dio McAfee Security Connected platforme.
McAfee Next Generation Firewall nadopunjuje McAfee rješenja za zaštitu krajnjih točaka i
ruba mreže sa svojim visokim performansama, svestranošću i modularnošću. Dodaje
kontrolu, preglednost i zaštitu koja uključuje napredne tehnike otkrivanja izbjegavanja
zaštite na udaljenim lokacijama i poslovnicama, podatkovnim centrima te na rubu
mreže.
Ključne prednosti
• Jedno rješenje za sve
sigurnosne kontrole na
mreži
• Jedno prilagodljivo i
prihvatljivo rješenje za sva
okruženja
• Jedan integrirani centar za
upravljanje.
• Jedno dinamično,
kontekstualno svjesno
rješenje.
• Rješenje koje se
prilagođava vašem
poslovanju.
• Jedno rješenje može biti
korišteno na tri načina: kao
hardverski uređaj, virtualni
uređaj ili kao softver.
McAfee Next Generation Firewall
Jedan upravljački centar
Većina starijih modela firewalla prisiljava
tvrtke da biraju između ključnih značajki,
a zatim dodaju nove sigurnosne
komponente kao odvojena individualno
upravljana rješenja. Neki firewalli nove
generacije nude impresivne značajke ali
bez potrebnih performansi i visoke
dostupnosti tako da ne pružaju pouzdanu
zaštitu i nadzor tijekom zahtjevnih
operacija.
Uz McAfee Security Management Center,
administratori imaju mogućnost
upravljanja i/ili nadziranja svih
sigurnosnih uređaja na mreži.
Omogućeno je upravljanje pravilima,
praćenje korištenja aplikacija i razine
korisnika, primjena pravila i generiranje
izvještaja. McAfee Security Management
Center daje vam snagu i fleksibilnost za
čvrstu zaštitu mreže te neometano
funkcioniranje vašeg poslovanja dok
potrebe rastu a prijetnje evoluiraju.
McAfee Next Generation Firewall unutar
svojeg učinkovitog, ekstenzivnog i vrlo
skalabilnog dizajna omogućuje kontrolu
aplikacije, prevenciju prodora (IPS), ima
funkcionalnost VPN-a, te inovativne
mogućnosti prevencije izbjegavanja
zaštite.
McAfee Next Generation Firewall osim
tehnike deep packet inspection, uključuje
moćne tehnike protiv izbjegavanja zaštite
koje dekodiraju i normaliziraju mrežni
promet za inspekciju na svim
protokolarnim slojevima. Detekcije
bazirane na digitalnim potpisima blokiraju
napade skrivene u prometu.
Jedno rješenje s višestrukim
ulogama
McAfee Next Generation Firewall može biti
konfiguriran za svaku potrebnu sigurnosnu
ulogu na mreži: tradicionalni ili
NGFW/VPN, tradicionalni ili IPS sljedeće
generacije ili layer 2 firewall.
Jedinstveni dizajn softvera
Ova nova generacija firewalla dostupna je
kao fizički uređaj, softver i kao virtualni
uređaj. Sve opcije softverski su bazirane a
ažuriranja i nove značajke dolaze
automatski. Rješenje nudi značajne
prednosti u performansama i
jednostavnost u korištenju pogotovo u
usporedbi s tradicionalnim proizvodima.
Jednostavna rekonfiguracija
McAfee Next Generation Firewall
administratorima omogućuje odabir,
samo-konfiguraciju i mijenjanje
platforme, kapaciteta, sigurnosnih
kontrola i mogućnosti vrlo jednostavno bez dodatnih naknada ili novih ugovora.
Ovaj dizajn omogućuje da McAfee Next
Generation Firewall podrži sve oblike
rada istodobno, ili se može brzo
rekonfigurirati i dodjeliti mu se
namjenske uloge, poput:
• Firewall, VPN sabirni uređaj ili balanser
opterećenja za više firewalla u
klasteru.
• Layer 2 firewall – pogodan za
segmentaciju mreže, ali bez funkcije
usmjeravanja. Ovaj način također
podržava filtriranje non-IP starih
protokola ili protokola niže razine od
sloja 2.
• IPsec VPN – omogućuje visoku
dostupnost daljinskog pristupa za
poslovnice i udaljene urede. Uključen
antivirus, antispam i web filtriranje.
 Evasion Protection System - Obavlja
analize aplikacijskog sloja 7 i može
otkriti sofisticirane napade na rubu
mreže ili upravljati prometom
aplikacije unutar segmenata mreže.
Sprečavanje izbjegavanja zaštite
Kao dio rješenja, McAfee pruža
najnaprednije funkcije protiv
izbjegavanja zaštite od strane naprednih
prijetnji. Često se koriste tehnike
izbjegavanja koje rade u kombinaciji ili
sa više eksploatacijskih tehnika da
zaobiđu najnovije sigurnosne uređaje za
detekciju. Na taj način pomažu
motiviranim i dobro opremljenim
napadačima implementirati napredne
uporne prijetnje (Advanced Persistent
Threats - APTs).
McAfee nudi jedinstvenu i temeljitu
zaštitu od najvećih napada diljem svih
protokola i mrežnih slojeva. Ovaj NGFW
uspješno je testiran protiv više od 800
milijuna naprednih tehnika izbjegavanja
zaštite. Napredne tehnike protiv
izbjegavanja dekodiraju i normaliziraju
promet za inspekcije na svim slojevima
protokola:
• Normalizacija uklanja pokušaje
izbjegavanja prije inspekcije prijenosa
podataka.
• Detekcije bazirane na digitalnim
potpisima blokiraju napade skrivene u
prometu.
Prilagodite zaštitu vašem
poslovanju
Transparentni failoveri za sesije i podrška
za više verzija softvera unutar istog
klastera pruža najbolju dostupnost i
servisiranje bez prekida. Multilink
proširuje visoku dostupnost za pokrivanje
mreže i IPSec VPN konekcija. S McAfee
Next Genaration Firewallom dobivate
rješenje na razini vojne zaštite za
uporabu u svim okruženjima.
Virtualno rješenje
Kao VMware-ready virtualni uređaj, ovo
rješenje jednostavno je implementirati u
vašu virtualnu infrastrukturu kao virtualni
uređaj ili virtualni mehanizam. Svaki
virtualni uređaj može raditi neovisno, čak
i s vlastitom verzijom softvera i
operativnim sustavom. Virtualkama se
upravlja na isti način i s istom
funkcionalnošću kao fizičkim uređajem.
Podržani su virtualni firewall uređaji
unutar jednog fizičkog uređaja što
smanjuje troškove i povećava efikasnost.
Ova mogućnost nudi način da se logično
odvoji do 250 sigurnosnih gateway
konfiguracija u zasebno upravljane
jedinice. Ova sposobnost omogućuje
tvrtkama poput pružatelja sigurnosnih
usluga ponuditi i upravljati uslugama za
više korisnika koji koriste iste fizičke
elemente.
McAfee Next Generation Firewall
omogućava aktivno grupiranje do 16
nodova koji rade pri brzinama do 120
Gbps, pružajući veliku fleksibilnost u
situacijama gdje sigurnosne aplikacije
koje intenzivno vrše obrade (poput
dubinske inspekcije ili VPNa) zahtijevaju
veću učinkovitost.
Sagena
informatički inženjering d.o.o.
10000 Zagreb
Jakova Gotovca 1
t. 01 4559911
f. 01 4559912
e. [email protected]
www.sagena.hr
McAfee Next Generation Firewall Specifications
Supported Platforms
Appliances
MIL-320, MIL-320-C1, 1035, 1065, 1301, 1302, 3201, 3202, 3205, 3206, 5201, 5205, 5206
uređaji
Software
X86-based systems.
Virtual Appliance
VMware ESX virtualization platforms.
Supported Roles
Firewall/VPN (layer 3), IPS/IDS (layer 2), layer 2 firewall
Virtual Context
Virtualization to separate logical context with separate interfaces, addressing, routing and
policies
Firewall/VPN-Specific Functionality
General
Stateful and stateless packet filtering, circuit-level firewall with TCP proxy protocol agent
Firewall protocol agents
FTP, H.323, HTTP, HTTPS, IMAP4, MGCP, MS RPC, NetBios Datagram, Oracle SQL Net, POP3,
RSH, SCCP, SIP, SMTP, SSH, SunRPC, TCP Proxy, TFTP
VPN
Protocols
IKEv1, IKEv2, and IPsec with IPv4 and IPv6v6
Encryption
AES-128, AES-256, AES-GCM-128, AES-GCM-256, Blowfish, DES, 3DES*
Message digest algorithms
AES-XCBC-MAC, MD5, SHA-1, SHA-2-256, SHA-2-512
Diffie-Hellman
DH group 1, 2, 5, 14, 19, 20, 21
Authentication
RSA, DSS, ECDSA signatures with X.509 certificates, pre-shared keys, hybrid, XAUTH, EAP
Other
• IPCOMP deflate compression
• NAT-T
• Dead peer detection
• MOBIKE
Site-to-site VPN
• Policy-based VPN, Route-Based VPN (GRE, IP-IP, SIT)
• Hub and spoke, full mesh, partial mesh topologies
• Multilink fuzzy-logic-based dynamic link selection
• Multilink modes: load sharing, active/standby, link aggregation
Client-to-gateway VPN
• IPsec VPN client for Microsoft Windows
• Automatic configuration updates from gateway
• Automatic failover with multilink
• Client security checks
• Secure domain logon
User authentication
Internal user database, LDAP, MS Active Directory, RADIUS, TACACS+
High availability
• Active-active/active-standby firewall clustering up to 16 nodes
• Stateful failover (including VPN connections)
• VRRP
• Server load balancing
• Link aggregation (802.3ad)
• Link failure detection
ISP Multihoming
Multilink: High availability and load balancing between multiple ISPs, including VPN connections,
multilink VPN link aggregation, QoS-based link selection
IP address assignment
• FW clusters: Static, IPv4, IPv6
• FW single nodes: static, DHCP, PPPoA, PPPoE, IPv4, static IPv6
• Services: DHCP Server and DHCP relay for IPv4
Address translation
• IPv4, IPv6
• Static NAT, source NAT with port address translation (PAT), destination NAT with PAT
Routing
Static IPv4 and IPv6 routes, policy-based routing, static multicast routing
Dynamic routing
IGMP proxy, RIPv2, OSPFv2,BGP, PIM-SM
SIP
Allows RTP media streams dynamically, NAT traversal, deep inspection, interoperability with
RFC3261-compliant SIP devices
CIS redirection
HTTP, FTP, SMTP protocols redirection to content inspection server (CIS)
Sagena
informatički inženjering d.o.o.
10000 Zagreb
Jakova Gotovca 1
t. 01 4559911
f. 01 4559912
e. [email protected]
www.sagena.hr
Antivirus (subscription required)
• Scanned protocols
• HTTP, HTTPS, POP3,IMAP, SMTP
• Engine
• File-based, local signature database, automatic real-time updates
Antispam (subscription required)
Scanned protocols
SMTP
Engine
Scoring based spam detection
Filtering methods
• Customizable email envelope/header/content matching
• Local antispoofing and relay
• Honeypot filtering
• SPF/MX record matching
• DNS based blacklists
Virtual engines
FW/VPN virtualization to separate logical engines with separate interfaces, addressing, routing
and policies
IPS and Layer 2 Firewall-Specific Functionality
General
• Stateless packet filtering for Ethernet protocols (Dix/IEEE)
• Stateful packet filtering for IP protocols
• Logical Interface matching for VLANs and physical interfaces
• MAC address filtering
High availability
• Layer 2 firewall clustering (active-passive)
• IDS clustering (active-active/active-passive)
• IPS serial clustering (active-active)
• Fail-open interface support (IPS role)
• Dynamic inspection overload handling (IPS role)
DoS/DDoS protection
SYN / UDP flood detection
Reconnaissance
TCP/UDP/ICMP scan, stealth and slow scan detection
General Functionality (All Roles)
Encapsulation
• Ethernet, 802.1q VLAN, PPPoA**, PPPoE**
Access control
• IPv4 and IPv6
• Tunneled IP
• IP-in-IP
• IPV6 encapsulation
• GRE
Advanced access contro
• Interface zones
• Time
• TLS information
• Domain names
• User information
• Applications
Traffic management and QoS
• Policy-based traffic shaping
• Guaranteed/maximum/bandwidth prioritization
• Differentiated services code point (DSCP) matching/marking
• Concurrent session limiting
• Policy-based TCP MSS rewrite
Sagena
informatički inženjering d.o.o.
10000 Zagreb
Jakova Gotovca 1
t. 01 4559911
f. 01 4559912
e. [email protected]
www.sagena.hr
Inspection
Dynamic context detection
• Protocol
• Application
• File type (Flash, GIF, JPEG, MPEG, OLE, PDF, PNG, RIFF, RTF, text file, binary file)
Protocol normalization
Full protocol normalization for Ethernet, IPv4, IPv6, ICMP, UDP, TCP, DNS, FTP, HTTP, IMAP,
IMAPS, SMTP, SSH, NBT, SMB, SMB2, MSRPC, POP3, POP3S, SIP, TFTP, HTTPS (SSL/TLS), GRE,
IP-in-IP, IPv6 encapsulation
Protocol-specific inspection
DNS, FTP, HTTP, IMAP, IMAPS, SMTP, SSH, NBT, SMB, SMB2, MSRPC, POP3, POP3S, SIP, TFTP,
HTTPS
Protocol-independent
fingerprinting
Any TCP/UDP protocol
Evasion and anomaly
detection
• Multilayer traffic normalization
• Vulnerability-based fingerprints
• Fully upgradable software-based inspection engine
• Evasion and anomaly logging
Custom fingerprinting
• Protocol independent fingerprint matching
• Regular expression-based fingerprint language
• Snort signature converter
• Custom application fingerprinting
TLS inspection
HTTPS client and server stream decryption and inspection
DoS/DDoS protection
Concurrent connection limiting, interface-based log compression exemption list
Correlation
Local correlation, log server correlation
Reconnaissance
TCP/UDP/ICMP scan, stealth and slow scan detection
Blocking methods
Direct blocking, connection reset, blacklisting (local and distributed), HTML response, redirect
Traffic recording Automatic traffic recordings/excerpts from misuse situations
Updates
• Automatic dynamic updates through McAfeeSecurity Management Center
• Current coverage of over 3,000 protected vulnerabilities
Web filtering (subscription required)
Protocols
HTTP, HTTPS
Engine
Webroot category-based URL filtering, blacklist/whitelist
Database
• More than 280 million top-level domains and sub-pages (billions of URLs)
• Support for more than 43 languages
• 82 categories
Management and monitoring
Centralized management
Enterprise-level centralized management, logging and reporting system
SNMP monitoring
SNMPv1, SNMPv2c, and SNMPv3
Traffic capturing
Console tcpdump, remote capture through SMC
High security management
communication
256-bit security strength in engine – management communication
Platform Certifications
VPN Consortium
VPNC interoperability certified: Basic, AES, certification, IKEv2, and IPv6
ICSA Labs
Network IPS, Network Firewall, IPv6, High Availability, USGv6
VMware
Virtual appliance VMware-ready certified
RSA
Secured by RSA certified with RSA SecureID and RSA envision
Arcsight
Common Event Log format (CEF) certified
Q1Labs
Log Event Enhanced Format (LEEF) certified
Microsoft
IPSec VPN client certified for Windows Vista, compatible with Windows 7
* Supported encryption algorithms depend on used license.
** Firewall/VPN role only.
Sagena
informatički inženjering d.o.o.
10000 Zagreb
Jakova Gotovca 1
t. 01 4559911
f. 01 4559912
e. [email protected]
www.sagena.hr