Download presentation
Presentation is loading. Please wait.
1
엑스게이트 제품 소개 www.axgate.com 빈틈없는 고성능 네트워크 보안 UTM / FW / VPN
Copyright ⓒ 2015 AXGATE Co., Ltd. All rights reserved.
2
Contents 01 02 03 04 05 06 AXGATE Series 제안 배경
일반 공통 기능 정의 제품 라인업 & 상세 성능 인증 및 특허 현황 Reference 01 02 03 04 05 06 Copyright ⓒ 2015 AXGATE Co., Ltd. All rights reserved.
3
AXGATE Series 제안 배경 www.axgate.com
Copyright ⓒ 2015 AXGATE Co., Ltd. All rights reserved.
4
전체 보안 시장 및 UTM 시장 동향 그러나 ! 성장세 ■ 전세계 사이버보안시장은 매년 5%씩 꾸준히 증가
■ 일부 FW, IPS, TMS , VPN 등 전통적인 보안시장은 점진적 하향세. 그러나 ! ■ UTM 시장은 매년 15%씩 꾸준한 성장세 ■ 타 업종의 하항세에 따른 풍선효과
5
Trojan은 통신채널을 조정하고 명령 수행
UTM ; Unified Threat Management 통합 위협 관리 시스템 : 단일 하드웨어에 여러 보안 기능(F/W, VPN, IPS 등)을 집적시킨 통합 보안 장비 IPS ▌UTM 도입의 필요성 혼합형 보안 공격 증가 - 고도화된 APT공격 이슈 - 멀웨어 포함 URL관련 공격이 66% 이상 비용의 절감 및 운영 편의 - 관리포인트를 줄여 필요한 H/W, S/W, 관리 인력 비용절감 - 공간 및 전력 절감 - 운영 편의성 증가 ▌ 혼합공격 및 대응 감염 좀비활동 Anti-Spam이 해당 메일을 Spam으로 판별하여 차단 Anti-Virus는 첨부된 유해코드를 탐지하여 악성코드를 제거하고 인가되지 않은 명령 실행을 방지 IPS는 통신명령과 제어 채널을 탐지하여 유해한 호스트의 통신과 전송을 차단 유해파일이 첨부된 Spam Mail발송 Trojan은 통신채널을 조정하고 명령 수행 전파 Trojan Downloader를 포함한 다양한 악성코드를 통한 감염 ▌단일 보안 아닌 통합 보안이 필수적
6
방화벽과 어플리케이션의 진화 ■ 방화벽의 진화 1 세대 : 패킷 단위의 접근 통제 (Packet Filtering) 2 세대 : 세션 단위 통제 (Stateful Inspection) 3 세대 : 공격 분석, DPI, IPS ■ 애플리케이션의 진화 Application은 사용자의 편의와 요구에 의해 점점 발전하고 있음 IP와 Port에 독립적인 Application은 보안에 큰 위협이 되고 있음 Application의 80% 이상이 HTTP/HTTPS를 사용함 ■ 기존 방화벽의 한계 Port나 URL을 제한하는 것으로 애플리케이션을 제어할 수 없음 더 이상 IP와 사용자가 완벽히 매치되지 않음 패킷 분석을 통해 컨텐츠를 분리해내기 어려움 많은 애플리케이션이 80/443 포트로 통신을 하며 이를 구분해서 제어할 수 없기 때문에 잠재적인 보안위협이 됨 단순한 Port나 IP가 아닌 Application과 사용자를 구분하고 제어할 수 있는 새로운 개념의 통합 보안 솔루션이 필요
7
급증한 IP트래픽 처리를 위한 고성능 제품의 필요성
■ IP 주소를 가진 기기 증가 -> IP 트래픽의 증가 IP 기반 단말기의 증가 – 스마트폰, 스마트패드, 태블릿이 보편화되어 1인 2기기 이상 사용이 일반화됨 - 다양한 IP 기반 어플리케이션의 사용 – VoIP, 화상회의, IP TV - Cloud 서비스 환경에서 많은 양의 데이터 처리 필요 안정적인 처리를 보장하는 고성능 제품이 필수적 전 세계 IP 트래픽의 변화 추이 81 EB 4 배 증가 20 EB (출처: 시스코 VNI, 2011)
8
급증한 IP트래픽 처리를 위한 고성능 제품의 필요성
■ 세션 수 급증으로 효과적인 처리 필요 IP 기반 단말기와 어플리케이션 사용이 증가함에 따라 기기 간, 기기와 서버 간 세션 수의 급증을 초래함 - 세션 수를 급증시켜 세션 처리 기능을 마비시키는 DDoS 공격이 증가 초당 처리 가능한 세션 수 (CPS, Connection Per Second)가 우수한 솔루션이 필수
9
UTM의 근본적 문제 - 성능저하 그러나 아직까지도 UTM의 가장 큰 문제는 바로 성능저하!
따라서 SMART한 네트워크 보안장비는… ■ 단일 기기가 통합적인 솔루션을 구현할 수 있어야 하고 (UTM) ■ 어플리케이션과 사용자를 구분할 수 있어야 하며 (차세대 방화벽) ■ 급증한 IP트래픽을 처리할 수 있는 고성능이어야 한다. 그러나 아직까지도 UTM의 가장 큰 문제는 바로 성능저하! 2015 기업 정보 보안 가이드 UTM 섹션 中
10
고성능 차세대 방화벽 ㆍ UTM, 엑스게이트 ■ AXGATE Series는 이러한 UTM의 근본적 문제인 성능저하를 해결합니다. 방화벽 Throughput & CPS 비교 각 벤더별 최고 사양 모델 엑스게이트 A 사 S 사 F 사 Throughput 패킷 사이즈 1024 Byte 120 Gbps 50 Gbps 40 Gbps 20 Gbps 64 Byte 24 Gbps 15 Gbps 3 Gbps 2 Gbps 초당 세션 수(CPS) 2,000,000 600,000 380,000 40,000 AXGATE-20000은 국내 벤더 제품 대비 Throughput에서는 2배 이상 CPS에서는 3배 이상의 월등히 우수한 성능을 가진 제품입니다. 수십 기가바이트에 달하는 대규모 트래픽과 순간 집중되는 많은 양의 세션을 빠르고 안전하고 빠르게 처리할 수 있는 고성능 통합 보안 솔루션입니다. AXGATE20000
11
Small-sized packet에서도 우수한 성능을 보이는 엑스게이트
- 프래그먼트 패킷 위주의 공격성 트래픽 증가 - 데이터센터의 패킷 분포를 보면 64byte 패킷이 35%, 128byte 패킷이 10% 정도로 소형 패킷이 절반 정도를 차지 - 작은 크기의 패킷은 네트워크 장비의 리소스를 큰 사이즈의 패킷 보다 많이 소모하게 됨 단순한 최대 성능 비교가 아니라 Small-sized Packet(64Byte)에서 우수한 성능을 보이는 제품 (단위: Gbps) 10G 지원 제품으로 선전하는 각 벤더의 최고 사양 제품이지만 당사와 A사를 제외하고 64byte 테스트 환경에서 급격한 성능 하락을 나타냄. 반면에 AXGATE-20000은 스몰 사이즈 패킷 처리 성능도 24 Gbps를 기록하는 REAL 10G 환경에 대응하는 솔루션입니다. 각 벤더 별 최고 사양 모델
12
AXGATE Series 특장점 / 주요 기능
Copyright ⓒ 2015 AXGATE Co., Ltd. All rights reserved.
13
AXGATE Series 특장점
14
AXGATE Series 주요 기능 VPN IPS Firewall QoS HA Anti-DDoS Content-Filter
스노트 룰 포맷 PCRE 지원 우회공격 탐지(URL obfuscation, TCP reassembly,…) 패킷 dump 회선 Fail-over 멀티 터널 패킷 로스(loss) 복구 흐름 제어 VPN IPS Flooding Scan/Sweep Protocol/Traffic Anomaly 자동학습 Zone 기반 방화벽 사용자 인증 기반 접근제어 사용자 별 통계 규칙 통합 Firewall Anti-DDoS Content-Filter QoS Application 제어 Web filter 사용자정의 URL filter FTP/TELNET 명령어 제어 Bandwidth 기반 보장/제한 PPS 제한 HA Anti-Virus / Anti-Spam L2/L3 Active-Active 지원 실시간 데이터 동기화 Stream/File based virus 탐지 RBL 지원
15
Multi-core 병렬처리로 성능저하 최소화
개별 모듈의 병렬 처리로 여러 기능(방화벽, IPS, QoS, DDoS, S SL VPN, 어플리케이션 제어 등) 동시 구동 시의 성능저하 최소화 Multi-Core System에 최적화된 설계 엑스게이트에서 자체 개발한 fast path를 통한 패킷포워딩 다양한 User Interface 제공 User Interface (CLI, GUI) Monitoring Management System Monitoring, Log 관리 통계 및 리포트 Contents Filtering Anti-Virus Anti-Spam 외부 침입, 바이러스, 유해사이트 IPS Anti-DDoS DDoS 공격으로부터 보호 Statefull Inspection FW Firewall (NAT) / VPN Flexible VPN Structure HA, Routing Protocol Network QoS Traffic sharing AXGATE Operating System 엑스게이트 자체 개발 OS
16
멀티코어에 최적화된 설계로 안정적 성능 구현 ■ High Performance ■ Fast Path 사용
멀티코어 분산 알고리즘이 IDLE 없이 CPU Core를 활용하여 최대의 성능을 구현 ■ Fast Path 사용 첫 번째 패킷은 분석 과정을 통해 어떤 보안 모듈에서 처리할 지 판단하는 Slow Path로 처리하고 두 번째 패킷부터는 선행된 패킷 처리를 참조하여 Fast Path(offload)에서 처리함으로써 Wire-Speed에 가까운 성능 구현 ■ Fast Rule 보안 정책 수에 독립적인 룰 적용 및 검색 속도를 가진 Packet Classification Algorithm를 사용
17
IP Address + 사용자ID 기반의 보안
* 기술 특허 보유 : 사용자인증을 통한 네트워크 자원 사용제어 방법 (한국/ ) ■ ID 기반 사용자 정책의 추가 구성으로 보안기능 강화 및 편의성 향상 ( IP Address + User Name or ID ) ■ AD, RADIUS, LDAP 등 연동 가능 Policy 목적지/ 포트 시간 그룹 A 인트라넷, 메일서버 접근 허용 All time 그룹 B 개발서버 접근, DB access 차단 6 to 9 그룹 C All Pass 일주일 간 - IP 관리 부담 해소 - User name 기반의 보안정책 수립 : 방화벽, Contents filter, IPS, QoS 사용자 인증 정보를 Log와 통계에 반영하여 관리의 편의성 제공 - 신뢰성 있는 3rd Party 인증을 통한 사용자 접근관리 : Radius, LDAP, Local DB 사용자 단말에 제약 없이 ID/PW 인증을 통한 접근 권한 획득 - 개별 단말 MAC 정보관리의 부담 해소 - Layer 2 기반 NAC 솔루션의 단점 보안 - User object group 을 이용 보안정책 수립 - IP 주소 및 사용자 계정을 이용하여 접근제어 - 사용자 PC Agent 설치 없이 Web을 통한 인증 - MAC 주소를 이용한 인증 지원 (L2 연결 시) - 사용자 별 이용 트래픽 통계 지원 ? Deny Permit Internet Local DB LDAP RADIUS Logging + Statistics 임직원 정보 그룹 : Sales ID : kimdaelee Pass : x323Sfe Authentication Server 사용자 그룹별 보안 정책 User Authentication 기반 방화벽 로그 User Authentication 기반 Traffic TOP 통계
18
Zone 기반 정책으로 단위 별 보안 ■ Security Zone 기반 보안 정책 ■ 보안정책의 효율성 극대화
단순한 IP Address Group이 아닌 실제 인터페이스를 binding하는 인터페이스의 묶음으로 인터페이스를 사전에 정의된 Zone에 할당하여 Identity를 부여 ■ 보안정책의 효율성 극대화 - Contents Filter, IPS, Anti-DDoS, Firewall 등의 보안 모듈을 Security Zone 별로 적용 - 불필요한 보안 모듈 적용으로 인한 성능 저하 방지 - Zone 간 세부 정책 설정으로 보안성 강화 - 내부 네트워크 구성에 따라 층 별/부서 별 Zone 설정이 가능하며 서로 다른 보안 정책을 부여해야 할 때 용이함 - 보안 정책의 추가/삭제/수정이 용이 Security Zone 기반 Traffic 통계
19
완벽히 분리된 가상화 방화벽 제공 ■ 가상 방화벽 확장성 확보 가용성 증가 관리 편의성 비용 절감
■ 가상 방화벽 방화벽을 논리적으로 가상화하여 한대의 AXGATE 방화벽을 이용하여 여러 개의 단위 별 독립적인 방화벽 서비스 제공 확장성 확보 가용성 증가 관리 편의성 비용 절감 Zone 기반 정책 사용으로 독립적인 방화벽 운영 Virtual Routing 논리적으로 분리된 방화벽을 제공하므로 기존 내부 네트워크 환경의 변화 없이 적용 가능
20
완벽히 분리된 가상화 방화벽 제공 AXGATE 1대로 기능 충족 ■ 가상 방화벽 적용 전 ■ 가상 방화벽 적용 후
- 하나의 방화벽으로는 고객사 별 라우팅을 분리할 수 없음 - 고객사 수만큼 방화벽 필요 - 공간 부족 - 중앙 관리 어려움 - 비용절감 - 공간 부족 해결 - 전원 절약 - 관리문제 해결
21
CLOUD 완벽히 분리된 가상화 방화벽 제공 ■ 클라우드 환경에서의 활용 도입 효과
■ 클라우드 환경에서의 활용 CLOUD VM1 VM2 VM3 VM4 . . . VLAN VLAN VLAN VLAN TRUNK 도입 효과 : 가상 머신(Virtual Machine)별 독립적인 보안 기능 운영 독립적인 보안기능
22
Dcube 솔루션으로 안정적인 통신환경 제공
* 기술 특허 보유 : IP채널 본딩을 통한 데이터 전송방법 (한국/ ) ■ DCUBE 란? : 엑스게이트의 독자적인 기술로 IPsec과 연동해 안정성 높은 고대역폭의 암호화된 채널을 제공하는 WAN Channel Bonding Algorithm - 저가의 인터넷 회선을 묶어 고대역폭의 VPN 채널 제공 다중화한 인터넷 회선은 대역폭 기반 로드밸런싱으로 최대 속도 보장 화상전화, VoIP 사용, CCTV 모니터링 등 본-지점 간 통신량이 늘어 회선 속도 향상에 대한 요구, 품질 저하 없는 무중단 서비스에 대한 요구가 늘고 있음 전용선에 비해 불안정한 xDSL 회선의 장애를 대비해 최적화된 회선 관리 알고리즘을 통하여 Session 끊김 없이 즉각적인 fail-over 수행 AXGATE30(원격 장애 처리 시스템) 을 활용하여 설정한 조건 (모뎀, 스위치 ping test 등)에 일치할 시에 자동 장애 복구
23
Dcube 솔루션으로 안정적인 통신환경 제공
* 기술 특허 보유 : IP채널 본딩을 통한 데이터 전송방법 (한국/ ) ■ 터널 구간에서 유실된 패킷을 재전송하여 보정 - Loss Control : Loss 발생 시 Packet Load-Balancing 모드에서 유발되는 Jitter 최소화 - Dcube 전송 중 발생하는 Loss를 감지하여, 해당 Packet을 재전송 받아 Reorder ■ 회선 속도 감지하여 부하 분산 – 회선 가용성 최대화 - Bandwidth Aggregation을 통해 각 회선의 대역폭에 맞게 Traffic 부하를 분산 - 기존 방식의 경우 한 회선이 급격히 품질이 떨어졌을 때 장애가 없는 회선도 같이 속도가 저하되므로 전체 VPN Tunnel 대역폭에 큰 영향을 줌 바로 뒷 장에 확대된 도표 있음.
24
Dcube 솔루션으로 안정적인 통신환경 제공
* 기술 특허 보유 : IP채널 본딩을 통한 데이터 전송방법 (한국/ ) Out of Order 타 장비의 경우 AXGATE VPN Retransmission Request From #4 To #9 Bonding Concentrator Bonding Concentrator Retransmission Request #4 Jitter by Out of Order Loss Loss Reduced Jitter by Loss control of DCube 회선 속도 총 6M (2M+2M+2M) Bandwidth Aggregation Bandwidth Aggregation 회선 속도 총 9M (2M+3M+4M) 2M 3M 4M 2M 3M 4M Retransmission Retransmission Bonding CPE Bonding CPE
25
터널 구간의 데이터 흐름을 제어하여 장애 방지 ■ Flow Control
: 악성코드 감염 등으로 대역폭 이상의 데이터가 터널로 유입 시 터널이 유실되는 장애가 발생할 경우 데이터 흐름 제어를 통해 터널로의 데이터 폭주를 막고 Tunneling을 유지하는 기능 타 장비의 경우 AXGATE VPN Bonding Concentrator Bonding Concentrator 터널 유실 장애 발생 흐름 제어 터널 유지 Bonding CPE Bonding CPE
26
다양한 라우팅 프로토콜 지원 Static, RIP, OSPF Routing, PBR 지원
사용자 기반의 라우팅 지원으로 사용자 별로 다른 경로 지정 가능 Multicast Routing을 통한 네트워크/시스템 자원의 절감 User-Based Routing Multicast Routing PIM-DM, PIM-SM 지원 IGMP 지원
27
다양한 라우팅 프로토콜 지원 ■ Unicast와 Multicast 비교 구간 Int. Unicast Multicast # 1
IP-TV Server OUT 100 개소 X 100명 X 1Mbps= 10Gbps 1Mbps # 2 Network Concentrator IN 100 개소 X 1Mbps= 100Mbps # 3 CPE 100명 X 1Mbps= 10Gbps 100 명 X 1Mbps= 100Mbps 100 개소 X 1Mbps100Mbps 거점 수: 100 개소 / 거점 별 사용자 수: 100명 / 트래픽: HD급 영상 – 1Mbps
28
다양한 형태의 이중화 구성 지원 ■ Center 이중화, DRC 구성 시 멀티 터널 구성 (표준 IPSec VPN의 터널링 한계 보완) ■ L4 Switch 없이 HA 구성이 가능하며 전환 시 Session 과 Tunnel은 모두 유지됨 ■ 장애 해결 시 다른 장비에 영향을 주지 않고 HA 멤버로 복귀하며 자동으로 VPN Traffic 부하 분산됨 Virtual IP Health check Health check IP Backup 브릿지 브릿지 Session sync Session sync Health-check Health-check Health check Health check IP Backup Virtual IP IP Backup on Router Mode - 대상장비가 VRRP를 지원하지 않는 경우 Health Check를 통해 장애 시 대체 경로 제공 Router Mode - Active-Active Mode - Active-Standby Mode Bridge Mode - Active-Standby Mode - 기존 Network의 구성 변경 없이 HA 구성 지원
29
SSL VPN ■ 원격지에서 공중망을 통해 내부 네트워크의 시스템 자원을 안전하게 사용할 수 있도록
ID/Password방식 MAC Address 고정기능 VPN GW 사용자 별 접속 정책 설정 VPN Client계정 기반 세션 로그 연결 상태 체크, 알람 기능 연결 실패 시 자동 재접속(사용자정의) 설치 파일 배포, Web 기반 배포 PC, 모바일 등의 다양한 기기 지원 27
30
IPS / Anti-DDoS Signature detection Protocol Anomaly Traffic Anomaly
■ 다양해지는 공격 유형에 대한 능동적인 대처 ■ 지능화, 다양화되고 있는 외부 침입 공격에 대한 다양한 탐지/차단 Traffic Anomaly Protocol Anomaly Signature detection 5000 여 개 이상의 시그니처 기반 Rule 제공 Evasion Attack 탐지 사용자 정의 Rule 지원 Snort 기반 Worm/Virus와 Backdoor, Web을 통한 Spyware, Malware 차단 시그니처 보유 PCRE를 통한 다양한 형태의 외부 공격 차단 Black/White List를 통한 Filtering 지원 자동/수동 업데이트로 최신의 시그니처 유지 VoIP 보안 기능 지원 (SIP Traffic Attack)
31
어플리케이션 제어 ■ 단순한 Port 차단이 아닌 Application Level의 탐지, 제어, 차단
■ 업무 중요도 낮은 Application에 대한 Traffic/Packet/Session 제한 인터넷 메신저 - NATEON, MSN, Yahoo 메신져 등 - 메신저 접근 제어 - 파일 전송 차단 / QoS 대역폭 제한 P2P - e-Donkey, Torrent, Webhard 등 - P2P 접근 제어 - 파일 전송 차단 / QoS 대역폭 제한 SNS, Webhard, Webmail FTP, Telnet 업로드/다운로드
32
WEB URL 필터링 유해사이트 ■ 업무 상 불필요한 사이트의 접속 차단 ■ 악성코드, 웜 등을 유포하는 유해 사이트 차단
방송통신위원회 SafeNet DB 유해 사이트 DB 연동 사이트 필터링 PICS(Platform for Internet Content Selection) HTML Meta tag에 포함된 내용 등급에 따른 필터링 Custom Category 사이트 특징에 따른 사용자 정의 URL Group 필터링 게임 site 증권 site 유해 site 유해사이트
33
WEB Editor 필터링 ■ 특성화된 기능 WEF (웹 브라우저, 웹사이트, SNS에 댓글, 메일, 파일 업로드 차단)
- 웹메일 쓰기 제한 – 사내정보 외부유출 사전 방지 - 각종 커뮤니티 글쓰기, 댓글 제한 – 업무 이외 활동 제약(업무집중력 강화) - 파일 업로드 차단과 병행 시 효울적인 보안적용 가능 - 공공기관의 경우 – 공무원들의 커뮤니티 및 SNS 댓글 통제, 제한 현재 정치 이슈가 되고 있는 정치적 중립의무 위반 행위 방지 커뮤니티 차단 가능 사이트 - 국내 Top 500 site 차단 - Alexa( - 랭키탓컴( - 미 차단 Site (4곳) : ivancity.com / oilpainting.me / photonews.me / afreeca.com
34
Anti-Virus ■ 트로이안, 바이러스, 악성코드 및 기타 악의적 위협 탐지 ■ 파일을 대상으로 한 스캔 & 악성코드 탐지
Web 다운로드, 파일 첨부, FTP 전송 등을 통한 파일 이동 시 파일을 임의의 공간에 저장하여 악성코드 및 바이러스 검사 File-based 탐지 PCRE 및 Hash 기반의 시그니처 190만개 이상 보유 멀티쓰레드 기반 고성능 스캔 다양한 파일 포맷 지원 패킹 및 압축 파일 검사 FTP, HTTP, SMTP, POP3 Protocol 지원 파일 저장 > 검사 > 전달 packet stream을 실시간으로 패턴과 비교하여 검사 Network를 통한 악성코드 탐지 Stream-based 탐지 패킷 전송 > 검사 > 통과
35
Anti-Spam Black/ White list Keyword RBL SMTP, POP3, IMAP Protocol 지원
견적서 안내 Black/ White list SMTP, POP3, IMAP Protocol 지원 메일제목, 본문, 파일명 키워드 Filtering 메일사이즈, 수신자 수, 첨부파일 제한 RBL연동을 통한 탐지 및 차단 Black/White List에 의한 Filtering Good Casino Viagra Sex update Keyword From Spammer RBL
36
Traffic Shaping을 통해 주요 트래픽의 속도를 보장
■ 제한 및 보장 정책으로 트래픽 제어 기능 우선 순위 지정을 통해 Application 별 트래픽 관리 P2P, 메신저 등과 같은 비 업무 트래픽 제한 업무, VoIP 등과 같은 주요 트래픽에 대한 보장 VPN Tunnel 대역폭 관리: 인터넷과 VPN Traffic의 QoS 적용을 통해 VPN Tunnel의 안정성 향상 ■ PPS 제어 ■ QoS 정책 상세 5-Tuple(Src IP 주소, Dst IP 주소, Src Port, Dst Port, Protocol) 을 모두 이용한 설정 가능 내부, 외부 Traffic의 방향(upload, download) 별 제어 1000 개 이상의 QoS 정책 설정 가능 Protocol 별 Rate Limit 제공을 통해 Bandwidth를 관리하여 Traffic 폭주, Session 폭주 제어 Internet VoIP FTP SMTP Priority 1 Priority 2 Priority 3 Priority 4 1M 2M 10M QoS(Quality of Service)
37
다양한 관리 기능으로 운영 편의성 증대 ■ 장비 관리 : 장비의 HW 정보와 리소스 사용율, 인터페이스
상태 등의 상세 정보 확인 가능 생성 시간, 활성 시간, 마지막 Hit 시간, No Hit 시간 등 관리 정보 제공 정책 시뮬레이션 및 필터링 실시간 트래픽 분석, 패킷 캡쳐 네트워크 진단 도구 제공
38
GUI / TMS를 통해 실시간 상태 모니터링 ■ 회선 관리 ■ 장애 관리 편의성 제공 ■ 접속 사용자 현황
인터페이스 상태 (물리, 가상, 터널) 회선 연결 상태 ■ 장애 관리 편의성 제공 장애 포인트만 확인 가능한 별도 대쉬보드 장애 이력 및 유형 관리 ■ 접속 사용자 현황 ■ GUI 홈 대쉬보드 – 세션 추이 확인(실시간)
39
일반 공통 기능 정의 www.axgate.com
Copyright ⓒ 2015 AXGATE Co., Ltd. All rights reserved.
40
일반 공통 사항 국내 최초, 최고의 성능 120G 방화벽 보유 [일반공통사항] 국가정보원으로부터 CC(EAL4) 인증
전용 OS 기반의 H/W 일체형 제품 IPS PCRE 정책지원 전원 이중화(일부제품) 주요기능 방화벽 침입차단시스템(IPS) Anti-DDos Anti-Virus QoS VPN SSL-VPN Contents Filtering (Web URL Filtering / Web Editor Filtering) 국내 최초, 최고의 성능 120G 방화벽 보유
41
방화벽 [Firewall 기능] 사용자 그룹 및 방화벽 정책기반 라우팅 기능 지원
Security Zone 별 개별 정책 적용 및 로그, 통계 관리 기능 제공 VLAN별 필터링 규칙 설정 기능 지원 장비 Interface(물리적) 별 Security Zone 설정 제공 보안정책(Rule) 수와 관계없이 일정한 성능 유지 사용자 인증 Role-based 정책을 통한 사용자 제어 방식의 방화벽 추가 장비 없이 다양한 HA 구성이 가능 시스템 구현 (특허보유) 네트워크 구성에 변경 없이 Bridge 모드 지원 별도의 에이전트 설치가 필요 없는 Agent-less 사용자 인증 기능 Zone 별, 사용자 별 통계정보(트래픽량, 세션량, 서비스 별 등) 제공 구현 가상 패킷 시뮬레이션을 이용한 정책 검사 기능 지원 Split DNS서비스 제공 미참조, 미사용 보안 정책 및 객체 검색 기능 제공 세션 제한 / 세션 affinity 기능 중복 정책 검색 기능 지원 국가별 IP 차단 기능 Stateful Inspection 방식의 방화벽시스템 구현 FQDN 객체 지원 패킷 필터링 및 IP/Port에 따른 필터링 기능 제공 만료 정책 검색 / 알람 기능 MAC 필터링, MAC White List 지원 다양한 네트워크 주소 변환(SNAT, DNAT, LSNAT, Net-NAT, NAT64, IPv6-to-IPv6 등) 기능 지원 DNAT위한 Proxy-arp기능 다양한 정적 정책 기반 및 동적 라우팅 (STATIC, RIP, OSPF등) 기 능 지원 Radius, LDAP, AD, MS-SQL, ORACLE, Local DB등과 연동하여 사용자 기반 보안정책 수립으로 보안성 강화
42
VPN [VPN 기능] 표준 IPsec Protocol 지원 및 IKE v1, v2를 모두 지원
IKE Diffie-Hellman group 1,2,5,14,15,16,17,18 3DES, AES(128,192,256), SEED, ARIA(128,192,256)등 암호화 알고리즘 지원 SHA1, SHA-256, SHA-384, HAS-160, MD5 등의 무결성 알고리즘 지원 NAT-Traversal 및 Dead Peer Detection 기능 지원 Multi-tunnel 지원을 통해 L4 switch 없이 Active-Active 구성 가능 Bandwidth-Based Load-balancing WAN Channel Bonding Algorithm 지원 (다중 회선 사용시 회선 Bonding 기능 지원) : Dcube Bondingg (특허보유) 전송 중 발생하는 Loss 트래픽 감시 및 해당 패킷 수신 후 재전송 기능 지원 터널링 패킷 Flow Control L2 Bridge VPN기능 클라이언트 프로그램을 통한 SSL VPN 기능 지원 (Gateway to Client VPN) VPN 클라이언트 계정 기반 세션 로그 모바일 환경에서의 VPN 지원 (Android, iOS) 임베디드 단말에 VPN 지원
43
IPS / Anti-DDoS / Anti-Virus / Anti-Spam
TCP/UDP/ICMP/HTTP/DNS Flooding 공격 방어 SIP Flooding 공격 방어, SCAN/SWEEP 공격 방어 Protocol Anomaly, Traffic Anomaly 공격에 대한 차단 기능 제공 Traffic Anomaly 자동 학습 기능 지원 Black / White List를 통한 필터링 기능 지원 [Anti-Virus] 파일 기반 탐지 FTP, HTTP, SMTP, POP3 지원 [Anti-Spam] 제목, 본문에 삽입된 키워드, 문장에 대한 필터링 기능 PCRE기반 키워드 매칭 메일 사이즈, 수신자 수, 첨부파일 제한 메일 주소 기반 Black/White List Real-time Black List기반 Spam 탐지 및 차단 TAG / FORWARD 지원 [IPS] 5000 여 개 이상의 시그니처 기반 Rule 제공 시그니처 기반, 프로토콜 기반, 트래픽 기반 비정상 행위 탐지 및 차단 Signature Action 변경 가능 (패턴, 패턴 그룹, 위험 등급) Snort 기반 웜 / 바이러스와 Backdoor 및 웹을 통한 Spyware, Malware 차단 시그니처 보유 PCRE를 통한 다양한 형태의 외부 공격차단 가능 자체 IPS 및 Anti-Virus 시그니처 적용 정밀 탐지 및 차단 수행 실시간 패턴 및 정책 업데이트 기능 제공 Stream 기반의 Anti-Virus 기능 제공 Evasion Attack 탐지 사용자 정의 Rule 및 Snort Rule 형식 지원 시뮬레이션 모드 지원 임계치 기반의 시그니처 탐지 지원
44
어플리케이션ㆍ웹 필터링 [ 어플리케이션ㆍ웹 필터링] Kennel Level 패킷 처리 방식의 Filtering 기법 구현
방송통신심의위원회 제공 Safenet DB 연동을 통한 유해사이트 차단 기능 제공 Web Editor Filtering 기능(커뮤니티, 포털, SNS, 웹메일 등의 댓글, 쓰기, 업로드 차단) 사용자 정의 URL 차단 기능 제공 FTP 필터링 : 파일 다운로드 및 업로드 제어 기능 Telnet Command, 파일 업로드 및 다운로드 제어 Anonymizer 서버 접속 차단 IM(Instant Messenger), 인터넷 이메일, Game, P2P, SNS, Web-Hard 접근 제어 기능 제공 어플리케이션 단계별 제어 (사용차단/파일전송차단/사용대역폭제한) Black/White List를 통한 필터링 기능 지원 Proxy 서버 필터링 Post Method 파일 첨부 금지 및 데이터 크기 제한 URL 시뮬레이션 기능 DNS 필터링 HTTPS 도메인 필터링
45
기타 [ 네트워크] [ IPv6] [ QoS] [ HA] [ 관리] Transperent, Router Mode
Static, RIP. OSPF Routing Policy-based Routing / User-based Routing Multicast Routing (PIM-SM, PIM-DM, IGMP) 지원 VRRP, IP Backup 802.1q VLAN 802.3ad Ling Aggregation Virtual Routing 지원 IPIP, GRE Tunnel DHCP Server / Client / Relay [ IPv6] IPv6 Firewall / IPS / Anti-DDoS / NAT / IPsec IPv6 Routing IPv4 / IPv6 Transition (Dual Stack, NAT-PT, Tunneling, 6 to 4, ISATAP) IPv6 DHCP IPv6 RA (Router Advertisement) [ QoS] Rule 기반 대역폭 보장 / 제한 정책 PPS 제어 우선 순위 지정 [ HA] Active-Active, Active-Standby 세션 끊김 없는 안정적인 Failover 세션 동기화 / 정책 동기화 (자동, 수동) Virtual MAC 지원 최대 32대 구성 HA간 시간 동기화 제공 [ 관리] Dashboard형식의 모니터링 정책 Import / Export기능 자동 / 수동 시그니처 업데이트 실시간 세션 검색 CPS. BPS, PPS 정보 제공 백업 로그 viewer 패킷 캡쳐 기능 실시간 트래픽 분석 기능 통계 리포트 제공 각종 로그 검색 기능 알람 기능 제공
46
제품 라인 업 & 상세 성능 www.axgate.com
Copyright ⓒ 2015 AXGATE Co., Ltd. All rights reserved.
47
AXGATE Series 라인 업 대형규모 통합보안장비 IT보안인증사무국 CC인증(EAL4) 제품 20000 중대형규모 통합보안장비 10000 중형규모 통합보안장비 7000 4000 중소규모 통합보안장비 5000 소규모 방화벽 및 VPN전용 2300 1300 VPN전용 1000 300 100 50 80
48
Bypass (Copper / Fiber) Concurrent Sessions (Max)
제품 Specification ▌ Enterprise Model AXGATE 4000 AXGATE 7000 AXGATE 10000 AXGATE 20000 Appearance CPU Intel 3.5GHz / 4Core Intel Xeon 3.5GHz / 4Core Intel Xeon 2.53GHz / 4Core x 2 Intel Xeon 2.9GHz / 8Core x 2 Memory 8 GB 32 GB 24 GB 64 GB Flash Memory 4 GB HDD 1 TB 2 TB 4 TB Power 300W Redundant 380W Redundant 600W Redundant 800W Redundant NIC 10/100/1000 Base-T 6 (Max 14) 8 (Max 20) Option (Max 28) Option (Max 32) 1000 Base-X 4 (Max 12) 8 (Max 28) 8 (Max 32) 1G Combo - 10G Base-R Option (Max 4) 2 (Max 8) 4 (Max 6) 4 (Max 16) Option Module - 4/8Ports 10/100/1000 Base-T - 4/8Ports 1000 Base-X - 2/4Ports 10G Base-R - 4Ports 10/100/1000 Base-T + 4Ports 1000 Base-X - 2Ports 10G Base-X - 4/8 Ports 10/100/1000 Base-T - 4/8 Ports 1000 Base-X - 2/4 Ports 10G Base-R Bypass (Copper / Fiber) (2/0) Option F/W Throughput (Max) 40 G 120 G IPS Throughput (Max) 6.1 G 7.9 G 10.1 G 20 G VPN Throughput (Max) 8.9 G 12.4 G 7.8 G 19 G VPN Tunnel (권장) 41,000 50,000 40,000 80,000 Concurrent Sessions (Max) 5,000,002 25,000,000 14,000,000 30,000,000 OS AOS Dimensions (WxHxD mm) 438x88x405 430x88x455 430x88x460 440x88x560 Weight (kg) 9.1 11.2 12.5 16
49
Bypass (Copper / Fiber) Concurrent Sessions (Max)
제품 Specification ▌ Middle-sized Model AXGATE 1000 AXGATE 1300 AXGATE 2300 AXGATE 5000 Appearance CPU MIPS 1GHz / 4Core Intel 1.7GHz / 4Core Intel 2.4GHz / 4Core Intel Xeon 3.4GHz / 4Core Memory 4 GB 8 GB Flash Memory HDD 1 TB Power 150W Single 300W Redundant NIC 10/100/1000 Base-T 4 6 (Max 10) 8 (Max 16) 1000 Base-X - 4 (Max 4) 4 (Max 8) Option (Max 4) 1G Combo 10G Base-R Option (Max 2) Option Module - 4Ports 10/100/1000 Base-T - 4Ports 1000 Base-X - 4/8Ports 10/100/1000 Base-T - 4/8Ports 1000 Base-X - 2Ports 10G Base-R Bypass (Copper / Fiber) (2/0) (1/0) (2/2) F/W Throughput (Max) 8 G 10 G 16 G 20 G IPS Throughput (Max) 1.35 G 1.9 G 2.5 G 7.2 G VPN Throughput (Max) 2.8 G 2 G 2.7 G 4 G VPN Tunnel (권장) 10,000 20,000 40,000 Concurrent Sessions (Max) 2,000,000 5,000,000 4,000,000 OS AOS Dimensions (WxHxD mm) 430x44x403 430x44x310 443x44x405 430x88x450 Weight (kg) 7 6 7.2 9.5 참고 !! : 기본 8Ports x 10/100/1000 BASE-T는 변경 불가능 기본 4Ports x 1000Base-X 는 장비 출고시. But, 옵션모듈과 변경 가능. : 기본 6Ports x 10/100/1000 BASE-T는 변경 불가능.
50
Bypass (Copper / Fiber) Concurrent Sessions (Max)
제품 Specification ▌ Branch Model AXGATE 50 AXGATE 80 AXGATE 100 AXGATE 300 Appearance CPU MIPS 500MHz / 2Core MIPS 700MHz / 2Core Intel 1.8GHz / 2Core Intel 1.7GHz / 4Core Memory 1 GB 4 GB Flash Memory 2 GB HDD - 500 GB Power 30W Single 40W Single 150W Single NIC 10/100/1000 Base-T 6 1000 Base-X 1G Combo 10G Base-R Bypass (Copper / Fiber) (1/0) (2/0) F/W Throughput (Max) 1.9 G 2 G 3.6 G 6 G IPS Throughput (Max) 273 M 503 M 970 M VPN Throughput (Max) 624 M 998 M 326 M VPN Tunnel (권장) 5,000 10,000 20,000 Concurrent Sessions (Max) 300,000 500,000 2,000,000 OS AOS Dimensions (WxHxD mm) 246x44x172 300x44x158 428x44x300 430x44x310 Weight (kg) 1.5 1.2 4 5
51
인증 및 특허 현황 Copyright ⓒ 2015 AXGATE Co., Ltd. All rights reserved.
52
인증 및 특허 현황 ■ CC인증 (IT보안인증사무국 EAL4) ■ 특허권 AXGATE V1.0 2012. 05. 21.
AXGATE IPS V 침입방지시스템 보안요구사항 V1.0 AXGATE V AXGATE TMS V2.1 (EAL2) 통합보안관리 제품 보안요구사항 V1.0 ■ 특허권 사용자 인증을 통한 네트워크 자원 사용 제어 방법(FW) 웹 인증 화면을 통해 사용자를 인증하고 인증된 사용자 그룹별 정책을 적용하여 효율적으로 네트워크 자원 사용을 제어하는 기술 서브트리를 활용한 쿼드트리 기반의 패킷 분류 방법(FW) EAQT(영역분할사분트리)알고리즘을 이용한 빠른 패킷 분류를 실행하는 방법으로 쿼드트리에 별도의 서브트리를 구비하여 룰 정보가 루트노드로 편중되지 않고 별도의 해시 테이블이나 추가적인 쿼드트리를 이용하여 달성되도록 한 기술 DNS정보를 이용한 패킷 필터링 방법 및 방화벽 장치(FW) 고가의 DPI 기술이나 고비용의 프로세서를 사용하지 않고도 HTTPS의 암호화된 패킷에 대한 접근제어를 가능하게 하는 DNS정보를 이용한 패킷 필터링 기술 IP 채널 본딩을 통한 데이터 전송 방법(VPN) 인터넷에 연결된 다중 IP채널을 가상의 터널에 종속시켜 본딩하고, 이 때 각 IP채널에 대한 고효율의 로드밸런싱을 구현하며 데이터 전송 효율을 극대화 시키는 방법
53
REFERENCE www.axgate.com 공공 / 교육&금융 / 기업
Copyright ⓒ 2015 AXGATE Co., Ltd. All rights reserved.
54
납품 실적 - 공공
55
납품 실적 - 공공
56
납품 실적 - 공공
57
납품 실적 – 교육&금융
58
납품 실적 - 기업
59
납품 실적 - 기업
60
Thank You (주)엑스게이트 www.axgate.com
경기도 성남시 분당구 삼평동 625 판교세븐벤처밸리 1단지 2동 402호 엑스게이트 대표전화 : / 팩스 : / Copyright ⓒ 2015 AXGATE Co., Ltd. All rights reserved.
Similar presentations