一、产品概述
BMC PowerAegis5550/5560 提供的承载级的性能可以满足大型企业网络和服务提供商的需要。 BMC PowerAegis5550/5560 是一种能够提供空前保护能力的通用防火墙设备。它与PowerAegis操作系统(OS)紧密集成在一起,该操作系统是一种消除了安全漏洞和性能退化开销的专用固化系统。BMC PowerAegis5550/5560的集成VPN功能可以得到VPN加速卡(VAC)选件的支持,能够提供1.2 Gbps的吞吐量和5000个IPSec隧道。通过部署一个冗余的热备用单元来实现高可用性,该故障切换选件通过自动静态同步维护了同时连接。这保证了即使是在系统故障情况下,也能够维护对话,并且保证切换过程对网络用户而言是透明地完成。另外,BMC PowerAegis5550/5560还允许您向交流或直流型号添加可选的冗余、热插拔电源,使其成为一种真正的容错安全设备。
二、功能特性
1、强壮的安全特性
Internet的发展为企业、政府和专用网络带来了更大的安全风险。现有的解决方案如运行在应用层的基于代理的防火墙具有很多限制条件,包括性能低、需要昂贵的通用平台、使用开放系统如UNIX时本身具有安全风险等。
BMC PowerAegis统一安全网关能够提供空前的安全保护能力,它的保护机制的核心是能够提供面向静态连接防火墙功能的自适应安全算法(ASA)。静态安全性虽然比较简单,但与包过滤相比,功能却更加强劲;另外,与应用层代理防火墙相比,其性能更高,扩展性更强。ASA可以跟踪源和目的地址、传输控制协议(TCP)序列号、端口号和每个数据包的附加TCP标志。只有存在已确定连接关系的正确的连接时,访问才被允许通过BMC PowerAegis防火墙。这样做,内部和外部的授权用户就可以透明地访问企业资源,而同时保护了内部网络不会受到非授权访问的侵袭。
另外,实时嵌入式系统还能进一步提高BMC PowerAegis5540系列的安全性。虽然UNIX服务器是广泛采用公开源代码的理想开放开发平台,但通用的操作系统并不能提供最佳的性能和安全性。而专用的BMC PowerAegis5540是为了实现安全、高性能的保护而专门设计。
2、与IPsec互操作的安全VPN
从传统上来说,防火墙通过维护所连接网段之间所有连接的静态控制实现了边界安全性。目前,越来越多的客户正在寻求除了提供访问控制以外,还能提供VPN服务的防火墙。利用VPN,远程用户或分布在各地的分支机构能够以更低的成本安全地访问企业网,同时,使用Internet访问可以大大降低与以前的专线或其它专用网络相关的电信费用。公司就不需要维护大型的Modem池和访问服务器来处理远程的拨号用户,而这些都是需要花费大量资金并且让管理员头痛的事情。现在,只需要向ISP进行本地呼叫,用户就可以通过Internet安全的访问专用的企业Intranet。
PowerAegis5550/5560 实现了在Internet或所有IP网络上的安全保密通信。它集成了VPN的主要功能 - 隧道、数据加密、安全性和防火墙,能够提供一种安全、可扩展的平台来更好、更经济高效地使用公共数据服务来实现远程访问、远程办公和外部网连接。可以同时连接高达4个VPN层,为用户提供完整的IPsec标准实施方法,其中IPsec保证了保密性、完整性和认证能力。对于安全数据加密,BMC的IPsec实现方法全部支持56位数据加密标准(DES)和168位三重DES算法以及AES算法。
3、极端的可靠性
BMC PowerAegis提供了空前的可靠性,其平均无故障时间(MTBF)超过60000小时。即使是达到了这样高的水平,那些Internet、Intranet或Extranet连接是企业生命线的企业还是认识到了防火墙冗余是一项关键因素。防火墙的每一分钟停止运行都意味着收入、机会或关键信息的损失。BMC已经创建了配合PowerAegis5540使用的故障切换捆绑程序,能够简单、便宜地满足上述要求。该程序包为企业提供了特别设计在故障切换模式下运行的第二个防火墙。
4、令人惊奇的灵活性
BMC PowerAegis5540支持各种网络接口卡(NIC)。标准NIC包括单端口或4端口10/100快速以太网、千兆位以太网、4/16令牌环和双连接多模FDDI卡。
另外,PowerAegis5550/5560还提供多种电源选件,用户可以选择交流或48V直流电源。每一种选件都配有为第二个"故障切换"系统准备的成对儿产品,从而实现最高的冗余和高可用性。
三、主要特性和优点
- 端到端解决方案的组成部分 - 允许各公司将经济高效、无缝的网络基础设施扩展到分支机构
- 最低的拥有成本 - 安装、配置简单,网络中断时间更少;另外,允许透明地支持Internet多媒体应用,不再需要实际调整和重新配置每一台客户工作站或PC机
- 非UNIX的安全、实时和嵌入式系统 - 消除了通用操作系统所带来的风险,提供了突出的性能
- 基于标准的虚拟专网 - 使管理员可以降低通过Internet或其它公共IP网络将移动用户和远程站点与企业网络相连的成本
- 自适应安全算法 - 为所有的TCP/IP对话提供静态安全性,以保护敏感的保密资源
- 静态故障切换/热备用 - 提供高可用性,使网络可靠性最大
- 网络地址转换(NAT)-- 节省宝贵的IP地址;扩展网络地址空间;隐藏IP地址,使之不被外部得到
- 截断通过代理 - 提供业界最高的认证性能;通过重新使用现有认证数据库降低拥有成本
- 多种网络接口卡 - 为Web和所有其它的公共访问服务器、与不同合作伙伴的多种外部网链路、得到保护的记录和URL过滤服务器提供强大的安全性
- 支持多达38万个同时连接 - 部署很少的防火墙就能极大地提高代理服务器的性能
- 防止拒绝服务攻击 - 保护防火墙及其后面的服务器和客户机不受破坏性的黑客攻击
- 支持各种应用 - 全面降低防火墙对网络用户的影响
- Java Applet过滤 - 使防火墙可以在每个客户机或每个IP地址上终止具有潜在危险的Java应用
- 支持多媒体应用 - 降低了支持这些协议所需要的管理时间和成本;无需特殊的客户机配置
- 设置简单 - 只需6条命令就能实现一般的安全策略
- 紧凑设计 - 可以更加容易地部署在桌面或更小的办公设置中
- URL过滤 - 当与Websense企业软件配合使用时,可以提供控制哪些Web站点的用户可以出于计费的目的来访问和维护审计跟踪数据的能力;对PIX防火墙性能的影响最小
- 邮件保护 - 不再需要外部邮件在外围网络中转发,也防止了外部邮件转发过程中的拒绝服务攻击
四、性能规格
