1
Multi-Function Firewall 2nd Edtion 1. 보안동향 2. SECUI MF2 소개 3. SECUI MF2 특장점 4. SECUI MF2 Series 2
1. 보안동향 새로운보안위협출현 보안과관련된외부환경의변화 Next Generation Firewall 등장 3
1. 보안동향 이전과다른새로운보안위협출현 기존 UTM 의한계점을이용한새로운공격유형발생 http(80) 서비스장애 Application 악성코드유입 좀비 PC/DDoS 내부정보유출 웹취약점공격 https(443) 개인정보유출 4
1. 보안동향 보안과관련된외부환경의변화 모바일기기확산및정보보호관련규제제정 어플리케이션 고성능장비 개인정보보호 IPv6 주소 트래픽제어 요구증대 의무화 보급시작 웹 / 어플보안위험성 모바일단말보급확대 네트워크대역폭확대 개인정보보호법제정및발효 IPv4 고갈할당중지 5
1. 보안동향 변화하는보안위협에대처하기위한 Next Generation Firewall 등장 Next Generation Firewall (NGFW) 기능적요소 UTM (Multi Function Firewall) Next-Generation Firewall 6
2. SECUI MF2 소개 SECUI MF2 SM DPI SC FDE 7
2. SECUI MF2 소개 SECUI MF2 is Multi-Function Firewall 2nd Edition Next-Generation Firewall 사상을구현한차세대보안제품 2011 NGFW 40G SECUI MF2 시리즈 (NG Firewall) 2007 UTM 4G, 17G SECUI NXG 시리즈, exshield (UTM, Multi Function Firewall) 2003 Appliance 2G NXG 시리즈 ( 방화벽, VPN) 2001 Software 1G secuiwall ( 방화벽 ) 8
2. SECUI MF2 소개 SM DPI (SECUI Multi-stage Deep Packet Inspection) 다단계 ( 다계층 ) 에대한정밀한 Deep Packet Inspection 을통해서외부공격차단, 악성코드유입방지, 좀비탐지및다양한어플리케이션들의식별및제어기능제공 IPS/DDoS Application Control Anti-Virus/Spam PCRE 시그니쳐및옵션완벽지원 가상도메인의프로파일별도지정 Anti-DDoS 전용장비의엔진적용 인터넷애플리케이션에대핚제어 다단계 Application Control 엔진 애플리케이션별 User ID 로행위제어 높은탐지율의 File-based 방식 File-based 대비 10 배이상빠른 Streambased 방식 ( 파일사이즈무제핚검사가능 ) Policy Virtual Domain IPS/DDoS Application Control Anti-Virus/Spam 9 DATA HEADER 9
2. SECUI MF2 소개 SC FDE (SECUI Clustering-based Flow Distribution Engine) 64 Bit SecuiOS TM 와고성능 Multi-Core 로구현한통합보안플랫폼 대칭형다중처리 (SMP) 와클러스터링기술이결합된최신하드웨어아키텍처 네트워크속도저하없이처리하도록멀티코어들을효율적으로사용하는부하분산처리기술적용 Balancer (Core Resource Flow) Input NIC NIC NIC Multi Core CPU Core Thread Thread Core Thread Thread Core Thread Thread Full Resource Checker Output NIC NIC NIC Core Core Core Core 멀티코어에최적의성능을구현하는 SECUI MF2 세션분산처리기술 10
3. SECUI MF2 특장점 개요 Application Control VPN (IPsec / SSL / Mobile) IPS & DDoS Web Filter Web Server Protection Anti-Virus Anti-Spam SMART HA SMART NAT (Policy Based NAT) 정책관리의편의성강화 11
3. SECUI MF2 특장점 Firewall VPN - IPSec VPN - SSL VPN(Clientless) - Mobile VPN Application Control Web Server Protection 유해사이트차단 Anonymizer 사이트차단 IPS & DDoS Anti-Virus Anti-Spam - RBL (Real-time Blocking List) 지원 SMART HA, By-Pass LACP, LLCF Multicast (PIM-SM, IGMP) RIP, OSPF, BGP SMART NAT (Policy Based) PBR (Policy Based Routing) 12
3. SECUI MF2 특장점 Application Control 웹기술의발달로 http/https 를이용하는다양한인터넷애플리케이션에대한제어기능제공 프로토콜분석을통한다단계 Application Control 엔진탑재 사용자이동, IP 변경에상관없이애플리케이션별 User ID 로행위제어 13
3. SECUI MF2 특장점 VPN (IPSec / SSL / Mobile) 국제표준인증프로토콜과암호화알고리즘을모두지원하며, IPSec, SSL, Mobile VPN 을완벽하게지원 회선관리기능강화 : 자동속도체크, 회선장애해결, 회선속도별부하분산 xdsl 다중회선을효율적으로활용하기위한 Multi-Tunnel, Bonding, Load balancing 기능 SSL VPN 지원브라우저 USB 클라이언트 SSL VPN Intranet Web Server 1 < 사용자별접근권핚설정 > ERP Server Mobile SSL VPN 지원 OS Mobile SSL VPN Web based ERP Server Intranet Web Server 2 Web Server 2, ERP Server Web Server 1 & 2, ERP Server IPSec VPN 14
3. SECUI MF2 특장점 IPS & DDoS NCSC( 국정원 ), ECSC( 교과부 ), PCRE( 정규표현식 ) 시그니처및옵션완벽지원 가상보호도메인에대한보호프로파일별도지정, 보안정책의유연한적용 강력한 Anti-DDoS 기능 (Anti-DDoS 전용장비의엔진적용 ) 내부좀비 PC 모니터링및차단기능제공 가상도메인에대핚별도보호프로파일지원으로보앆정책의유연성보장 Virtual Domain (B) 국가정보원, 교육학술정보원표준시그니처 or PCRE 옵션지원 Virtual Domain (A) N/W IP Address TCP Stream Flooding Block Client Port Anti Spoofing To Server Packet SCAN Protection A Network B Network Virtual Domain 을이용핚개별보앆정책수립 내부좀비 PC 탐지및네트워크차단 15
3. SECUI MF2 특장점 Web Filter URL Filter 기능강화 - IP 주소입력을통한우회방지 (URL 에대한 IP 주소자동업데이트 ) - URL 만체크하는것이아니라 URI 필드로검사영역을확장한정밀한차단 - 프로파일별다양한경고페이지작성및설정기능 Anonymizer 사이트를이용한우회접속 HTTP request 차단 (Proxy 서버목록자동업데이트 ) Anonymizer Servers 쇼핑몰에접속하기위해 Proxy 서버접속시도 http://28.135.57.2 불법사이트우회접속차단 Internet 불법사이트직접접속차단 Anomymizer 서버목록 Update www.proxyserver.com. http://www.casino.com 16
3. SECUI MF2 특장점 Web Server Protection 금지패턴차단, URL 내확장자 (exe, dll, bat 등악성코드위험 ) 차단 명령어삽입차단, SQL 삽입차단, XSS 차단기능 웹사이트를주기적으로방문하여검색엔진의색인을위한 contents 를수집하는웹로봇탐지 / 차단 Attacker SQL Injection XSS Injection Command Line Injection SQL XSS User Command Web Server Web Server 17
3. SECUI MF2 특장점 Anti-Virus 빠른검색속도의 Stream-based 방식 or 높은탐지율의 File-based 방식모두사용 - 환경에따라 Stream-based 와 File-based 를선택하여사용 - File-Based : 2 가지바이러스엔진을선택가능 ( 높은탐지율 ) - Stream-Based: File-Based 방식보다 10 배이상빠름 ( 파일사이즈무제한 ) 파일의확장자및이름에대한검사예외설정으로불필요한시스템자원낭비방지 Anti Virus Stream-Based Anti Virus File-Based Files Input Most Recently DB Files Input Full Anti-Virus DB Latency Time Latency Time 18
3. SECUI MF2 특장점 Anti-Spam Global Anti-Spam 솔루션으로다국어키워드필터지원 - 제목, 본문, 정규식표현적용가능 발신자도메인이실제도메인인지 DNS Query 를통해자동확인 RBL (Real time Blocking List) 기능지원 - RBL 캐쉬기능지원 ( 방화벽 black list 이용 ) 비허용명령어차단, 메일주소허용 / 차단, 외부스팸탐지서버관리 정상메일만수싞 Mail -Server 메일 Relay 차단 RBL 메일발싞자당세션제핚 비허용명령어차단 차단키워드목록 메일크기제핚 19
3. SECUI MF2 특장점 SMART HA (High Availability) Router, Bridge 모드혼용사용이가능한 Advanced HA 제공 HA Port Bonding 기능으로 Port의가용성을높임 Plug-in 으로빠르고편리한장비확장 HA 멤버장애시 Hot Swap으로서비스의영향이없는안전한교체지원 싞규증설 L3 장애대체장비 Router Mode Bridge Mode Plug-in 방식 외부망 외부망......... Max 16 대 장애발생 Hot Swap 교체 DMZ 망 HA L3 HA 용 L2 switch 내부망 내부망 20
3. SECUI MF2 특장점 SMART NAT (Policy Based NAT) PB NAT (Policy Based NAT) 기능을통한네트웍구성의유연성확보 정책수만큼의 NAT 정책사용가능 1:1, 1:M, N:M, 1:N 등다양한형태의 NAT 에대해간편하게모두구현가능 External Internal 1:1 NAT PAT www.secu.com (2.2.2.101) 1:M NAT SMART NAT Exclusive NAT Client Web Server (1.1.1.1) N:M NAT LS NAT 21
3. SECUI MF2 특장점 정책관리의편의성강화 정책그룹핑을통한연관정책관리의편의성제공 Drag & Drop 기능추가로편의성극대화 미사용, 미참조객체 / 정책검색기능을강화하여불필요한정책자원낭비예방 정책 D r a g & D r o p 을통해더욱편리해진정책편집기능 사용하지않는객체 / 정책검색기능으로효율적인자원활용 22
4. SECUI MF2 Series Line Up Spec 인증 ( 국가정보원 CC, IPv6, TTA) 23
Performance 4. SECUI MF2 Series Line Up MF2 6000 MF2 3000 MF2 1000 MF2 2000 MF2 100 MF2 500 Firewall Max 500Mbps Firewall Max 2Gbps Firewall Max 4Gbps Firewall Max 10Gbps Firewall Max 20Gbps (10G Interface) Firewall Max 40Gbps (10G Interface) Small Scale Network Medium Scale Network Large Scale Network 24
4. SECUI MF2 Series Spec 구분 SECUI MF2 100 SECUI MF2 500 SECUI MF2 1000 SECUI MF2 2000 SECUI MF2 3000 SECUI MF2 6000 Chassis HDD - 250GB 500GB 1TB 2TB 2TB H/W 1G Copper (bypass) 4 Ports(2) 6 Ports(2) 6 Ports(4) 8 Ports(8) 8 Ports(8) 8 Ports(8) 1G Fiber - - 2 Ports 8 Ports 4 Ports option 10G Fiber - - - - 4 Ports 8 Ports Power Supply Single Single Single Dual Dual Dual 성능 Firewall Max 500 Mbps 2 Gbps 4 Gbps 10 Gbps 20 Gbps 40 Gbps Expansion Modules 1G Fiber ByPass 2-port 1G Fiber ByPass Module (MF2 2000, 3000, 6000) 10G Fiber ByPass 2-port 10G Fiber ByPass Module (MF2 3000, 6000) 25
4. SECUI MF2 Series 인증 ( 국가정보원 CC, IPv6, TTA) 국가정보원 CC 인증 9 월평가완료예정 모델명 : SECUI MF2 V1.0 인증범위 : EAL4(FW+VPN) 9 월평가완료예정 모델명 : SECUI OS V2.0 인증범위 : IPv6 운용적합성 인증번호 : TTA-V-N-11-058, 059, 060 모델명 : SECUI MF2 100, 6000, 1000 인증범위 : IPv6 Router Core 적합성및상호운용성 26
감사합니다. 27 영업문의사항 - 아이티윈ㆍ남정현부장 : 010-3865-4146 ㆍ김형택차장 : 010-8286-3125