Multi-Function Firewall 2nd Edition
1. 보안동향
2. SECUI MF2 소개
3. SECUI MF2 특장점
4. SECUI MF2 Series
Multi-Function Firewall 2nd Edition
보안동향
- 새로운 보안 위협 출현
- 보안과 관련된 외부 환경의 변화
- Next Generation Firewall 등장
Beyond Korea, Go Global
1. 보안 동향 이전과 다른 새로운 보안위협의 출현
기존 UTM의 한계점을 이용한 새로운 공격 유형 발생
서비스 장애
악성코드 유입
내부정보 유출
개인정보 유출
웹 취약점 공격
좀비 PC/DDoS
Application
http(80)
https(443)
4
Beyond Korea, Go Global
보안과 관련된 외부 환경의 변화
웹/어플 보안위험성
모바일 단말 보급 확대
네트워크 대역폭 확대
개인정보보호법 제정 및 발효
IPv4 고갈 할당 중지
모바일 기기 확산 및 정보보호관련 규제 제정
어플리케이션 트래픽 제어
고성능 장비 요구 증대
개인 정보보호 의무화
IPv6 주소 보급 시작
5
1. 보안 동향
Beyond Korea, Go Global
Next Generation Firewall 등장
변화하는 보안 위협에 대처하기 위한 Next Generation Firewall 등장
Next Generation Firewall (NGFW) 기능적 요소
Next-Generation Firewall UTM (Multi Function Firewall)
6
1. 보안 동향
SECUI MF2 소개
- SECUI MF2
- SM DPI
- SC FDE
Beyond Korea, Go Global
Multi-Function Firewall 2nd Edition
’11
’07
’03
’01
Next-Generation Firewall 사상을 구현한 차세대 보안제품
Software
UTM
Appliance
NGFW
2G
4G, 17G
1G
40G SECUI MF2 시리즈 (NG Firewall)
SECUI NXG 시리즈 , eXshield (UTM, Multi Function Firewall)
NXG 시리즈 (방화벽, VPN)
secuiWall (방화벽)
2. SECUI MF2 소개
8
Beyond Korea, Go Global
SM DPI (SECUI Multi-stage Deep Packet Inspection)
다단계(다 계층)에 대한 정밀한 Deep Packet Inspection을 통해서 외부 공격 차단, 악성코드 유입방지
좀비 탐지 및 다양한 어플리케이션들의 식별 및 제어 기능 제공
IPS/DDoS Application Control Anti-Virus/Spam - PCRE 시그니처 및 옵션 완벽 지원 - 가상 도메인의 프로파일 별도 지정 - Anti-DDoS 전용장비의 엔진 적용
- 인터넷 애플리케이션에 대한 제어 - 다단계 Application Control 엔진 - 애플리케이션 별User ID로 행위 제어
- 높은 탐지율의 File-based 방식 - File-based 대비 10배 이상 빠른 Stream-based 방식(파일사이즈 무제한 검사 가능)
Policy Virtual Domain
IPS/DDoS
Application Control
Anti-Virus/Spam
DATA HEADER
9
2. SECUI MF2 소개
Beyond Korea, Go Global
SC FDE (SECUI Clustering-based Flow Distribution Engine)
64 Bit SecuiOSTM와 고성능 Multi-Core로 구현한 통합 보안 플랫폼
대칭형 다중처리(SMP)와 클러스터링 기술이 결합된 최신 하드웨어 아키텍처
네트워크 속도 저하 없이 처리하도록 멀티코어들을 효율적으로 사용하는 부하 분산 처리 기술 적용
멀티코어에 최적의 성능을 구현하는 SECUI MF2 세션 분산 처리 기술
Core
Core
Core
Core
Core Core
Core
Thread
Thread
Thread
Thread
Thread
Thread
Multi Core CPU
Reso
urce
Check
er Balancer (Core Resource Flow)
NIC
NIC
NIC
NIC
NIC
NIC
Input Output
2. SECUI MF2 소개
FULL
SECUI MF2 특장점 - 개요
- Application Control
- Web Filter
- SMART HA
- SMART NAT ( Policy Based NAT )
- 정책 관리 편의성 강화
- 로그 활용능력 강화
- IPv6 정책
- 표준 구성
- VPN (IPsec / SSL / Mobile)
- IPS & DDoS
- Web Server Protection
- Anti-Virus
- Anti-Spam
- 솔루션 연동
- 보안 포털
- 통합 관리 (SECUI CM)
Beyond Korea, Go Global
SECUI MF2 특장점
SMART HA, By-Pass
LACP, LLCF
Multicast (PIM-SM, IGMP)
RIP, OSPF, BGP
SMART NAT (Policy Based)
PBR (Policy Based Routing)
Firewall
VPN
- IPSec VPN
- SSL VPN
- Mobile VPN
IPS & DDoS
Anti-Virus
Anti-Spam
- RBL (Real-time Blocking List) 지원
Application Control
Web Server Protection
유해사이트 차단
Anonymizer 사이트 차단
3. SECUI MF2 특장점
12
Beyond Korea, Go Global
Application Control
웹을 이용하는 다양한 인터넷 애플리케이션에 대한 제어 기능 제공
프로토콜 분석을 통한 다단계 Application Control 엔진 탑재
- 사용자 이동, IP 변경에 상관 없이 애플리케이션 별 User ID로 행위 제어
13
3. SECUI MF2 특장점
Beyond Korea, Go Global
Anonymizer Servers
Web Filter
URL Filter 기능 강화
- IP 주소 입력을 통한 우회 방지 (URL에 대한 IP 주소 자동 업데이트)
- URL만 체크 하는 것이 아니라 URI 필드로 검사 영역을 확장한 정밀한 차단
- 프로파일 별 다양한 경고 페이지 작성 및 설정 기능
Anonymizer 사이트를 이용한 우회 접속 HTTP request 차단 (Proxy 서버 목록 자동 업데이트)
쇼핑몰에 접속하기 위해 Proxy 서버 접속 시도 http://28.135.57.2
http://www.casino.com
Anomymizer 서버 목록Update
www.proxyserver.com …
불법사이트 우회접속 차단
불법사이트 직접 접속 차단 Internet
3. SECUI MF2 특장점
14
Update Servers
Beyond Korea, Go Global
SMART HA (High Availability)
Router, Bridge 모드 혼용 사용이 가능한 Advanced HA 제공
HA Port Bonding 기능으로 Port의 가용성을 높임
Plug-in으로 빠르고 편리한 장비확장
HA 멤버 장애 시 Hot Swap으로 서비스의 영향이 없는 안전한 교체 지원
외부망
내부망 DMZ망
외부망
내부망
15
3. SECUI MF2 특장점
HA용 L2 switch L3
L3
HA
장애 대체장비
장애발생
신규 증설 Plug-in 방식
MAX 16대
Hot Swap 교체
Bridge Mode Router Mode
Beyond Korea, Go Global
SMART NAT (Policy Based NAT)
Client Web server (1.1.1.1)
External Internal
www.secui.com
(2.2.2.101)
PB NAT (Policy Based NAT) 기능을 통한 네트워크 구성의 유연성 확보
정책 수 만큼의 NAT 정책 사용 가능
1:1, 1:M, N:M, 1:N 등 다양한 형태의 NAT에 대해 간편하게 모두 구현 가능
16
3. SECUI MF2 특장점
Beyond Korea, Go Global
정책 관리 편의성 강화 (Grouping, Drag & Drop)
정책 그룹핑을 통한 연관 정책 관리의 편의성 제공
Drag & Drop기능 추가로 편의성 극대화
미사용, 미참조 객체 / 정책 검색 기능을 강화하여 불필요한 정책자원 낭비 예방
정책 Drag & Drop을 통해 더욱 편리해진 정책 편집 기능
사용하지 않는 객체 / 정책 검색 기능으로 효율적인 자원 활용
17
3. SECUI MF2 특장점
Beyond Korea, Go Global
정책 편의성 강화 (URL 정책/사용자 정책)
내부 사용자 정보를 관리하는 LDAP/ RADIUS 서버연동을 통해 방화벽 정책 적용
방화벽 정책에 URL 입력 및 URL 접속 정보 수집, 정책 적용
정책에 적용된 URL 접속 허용, 허용되지 않은 URL 접속 차단
18
3. SECUI MF2 특장점
LDAP/RADIUS
SECUI MF2
Object List
Policy
Source IP Object Destination IP Object 서비스
관리자
User Group A
User Group B
User Group C
Beyond Korea, Go Global
•방화벽 정책 편집 이동기능
•프로세스 상태확인 및 재 시작 가능
One Click
•기능별 특성에 맞는 출력 구성
•로그 축약기능으로 구현된 DDoS 로그
Variety
로그 활용능력 강화
19
3. SECUI MF2 특장점
• Command 단의 상세한 검색옵션 기능 추가
•특성화된 검색 옵션을 통해 다양성 확보
Detail
검색된 로그에서 보안정책으로 바로 이동 하는 기능을 통해 운영 편의성 극대화
로그 종류별 출력방식을 보다 강화하여 로그 활용도 증대
세밀한 로그 검색 기능을 통해 분석력 강화
Beyond Korea, Go Global 20
3. SECUI MF2 특장점 IPv6 정책
관리자가 설정한 IPv6 주소 기반 접근제어 정책을 기준으로 IPv6 패킷에 대한 허용/차단 여부를 판별
IPv4/IPv6를 위한 통합보안 게이트웨이 방화벽
유해트래픽 차단 기능과 터널링 기능 제공하여 IPv4 망에서 자연스러운 IPv6 변환 및 구축 지원
IPv4 IPv6 IPv6 IPv6
IPv4
IPv4 IPv6
IPv4 IPv6
Beyond Korea, Go Global
정상 동작 시
표준 구성
L4 스위치 없는 Active-Active HA(이중화) 구성 권고
장애 발생 시에도 정책 및 세션 동기화로 서비스 단절 없이 정상적인 네트워크 사용 가능
21
3. SECUI MF2 특장점
장애 발생 시
서버팜
DMZ망
외부망
내부망
장애
서버팜
DMZ망
외부망
내부망
Beyond Korea, Go Global
VPN (IPSec / SSL / Mobile)
국제 표준 인증 프로토콜과 암호화 알고리즘을 모두 지원하며, IPSec, SSL, Mobile VPN 을 완벽하게 지원
회선관리 기능 강화 : 자동속도 체크, 회선장애 해결, 회선 속도별 부하분산
xDSL다중 회선을 효율적으로 활용하기 위한 Multi-Tunnel, Bonding , Load balancing 기능
SSL VPN 지원 브라우저
Mobile SSL VPN 지원 OS
Intranet Web
Server 1
Web based ERP Server
Intranet Web
Server 2
Mobile SSL VPN
IPSec VPN
USB 클라이언트
SSL VPN
ERP Server
Web Server 2 ERP Server
Web Server 1&2 ERP Server
<사용자 별 접근 권한 설정>
3. SECUI MF2 특장점
22
애플 아이폰(아이패드)
삼성 안드로이드 폰/패드
윈도우 모바일 6.5
Beyond Korea, Go Global
IPS & DDoS
NCSC(국정원), ECSC(교과부), PCRE(정규표현식)시그니처 및 옵션 완벽 지원
가상 보호 도메인에 대한 보호 프로파일 별도 지정, 보안 정책의 유연한 적용
강력한 Anti-DDoS 기능 (Anti-DDoS 전용장비의 엔진 적용)
내부 좀비 PC 모니터링 및 차단 기능 제공
A Network B Network
좀비PC
Virtual Domain (A)
Virtual Domain (B)
N/W IP Address
N/W IP Address
TCP Stream
Client Port
To Server Packet
Flooding Block
Anti Spoofing
SCAN Protection
3. SECUI MF2 특장점
23
-Virtual Domain을 이용한 개별보안 정책 수립
-내부 좀비PC 탐지 및 네트워크 차단
Beyond Korea, Go Global
Web Server Protection
금지패턴 차단, URL 내 확장자(exe, dll, bat 등 악성코드 위험) 차단
명령어 삽입 차단, SQL 삽입차단, XSS 차단 기능
웹사이트를 주기적으로 방문하여 검색 엔진의 색인을 위한 contents를 수집하는 웹 로봇 탐지/차단
Web Server User
Attacker
SQL Injection
XSS Injection
Command Line Injection
…
SQL
Com- mand
24
3. SECUI MF2 특장점
XSS
Beyond Korea, Go Global
Anti-Virus
빠른 검색 속도의 Stream-based 방식 or 높은 탐지율의 File-based 방식 모두사용
- 환경에 따라 Stream-based와 File-based를 선택하여 사용
· File-Based : 2가지 바이러스 엔진을 선택 가능(높은 탐지율)
· Stream-Based: File-Based 방식 보다 10배 이상 빠름 (파일사이즈 무제한)
파일의 확장자 및 이름에 대한 검사 예외 설정으로 불필요한 시스템 자원 낭비 방지
Anti-Virus Stream-Based Anti-Virus File-Based
Most Recently DB
3. SECUI MF2 특장점
Output Input
Full Anti-Virus DB Buffer
(File) Scan (File)
Deliver (File)
Time
Output Input
Buffer Scan (Packet)
Deliver
Latency Time
25
Latency
Beyond Korea, Go Global
Anti-Spam
Global Anti-Spam 솔루션으로 다국어 키워드 필터 지원
- 제목, 본문, 정규식 표현 적용 가능
발신자 도메인이 실제 도메인인지 DNS Query를 통해 자동 확인
RBL (Real time Blocking List) 기능 지원
- RBL 캐시 기능 지원 (방화벽 black list 이용)
비허용 명령어 차단, 메일주소 허용/차단, 외부 스팸 탐지 서버 관리
Mail-Server 정상메일만 수신 메일 Relay 차단
메일발신자당 세션제한
차단키워드 목록
RBL
비허용 명령어 차단
메일크기제한
스팸메일
악성메일
정상메일
26
3. SECUI MF2 특장점
Beyond Korea, Go Global
솔루션 연동 (SCAN, NAC, 개인정보보호, PC 가상화)
다양한 보안 솔루션 연동을 통해 보다 강력한 보안 기능 제공
27
3. SECUI MF2 특장점
Management
Application Control
Blacklist Firewall
IPS DDoS
VPN
Anti Virus Anti-Spam SSL
개인정보
점검
개인정보보호
SECUI SCAN
SCAN
NAC Policy
Server
NAC 취약점 점검
Virtual Center
PC 가상화
도입효과
사용자 개인정보보호 활동 강화
개인정보 파일을 검출
외부 유출사고 위험 감소
비밀번호 불필요한 소지 방지
도입효과
지속적인 취약점 제거
자산 변동에 따른 취약점 파악
위험 변화에 능동적 대처
항시 취약점 분석 체계 유지
도입효과
Network 인증관리/자원수집
PC OS / Virus 패치
PC 보안 무결성 검사 및 치료
도입효과
정보 유출 차단 효과
TCO 절감
업무생산성 향상
능동적 IT 자산 보호
Beyond Korea, Go Global
보안 포털
28
3. SECUI MF2 특장점
글로벌 위협 정보와 클라우드 기반 분석정보를 실시간 제공하는 정보보호 서비스
국내외 취약점 정보와 위협 정보로 실시간 예보 및 경보 지원
침해사고 대응 분석, 기술자료 제공
보안공지
대시보드
탐지패턴
정보
기술문서 보안위협
정보
취약점
정보
악성코드 배포지
악성코드 정보
경보발령
보안업데이트 / 뉴스
CVE 정보
Exploit DB
분석 보고서
화이트 페이퍼
TOP 10 정보
취약점/탐지/위협 정보
IPS Signature
Blacklist
시큐아이
보안 정보센터
Beyond Korea, Go Global
통합관리 (SECUI CM)
원격지에 분산 설치된 다수의 네트워크 보안장비를 그룹화하여 중앙에서 집중관리
29
3. SECUI MF2 특장점
SECUI CM
SECUI MF2 Series
- Line Up
- Specifications
- 인증 (국가정보원 CC, IPv6, TTA)
Beyond Korea, Go Global
Line Up 4. SECUI MF2 Series
31
Perf
orm
an
ce
Small Scale
Network
Medium Scale
Network
Large Scale
Network
MF2 100
500Mbps Firewall Max
MF2 1000
4Gbps Firewall Max
MF2 2000
10Gbps Firewall Max
MF2 3000
20Gbps Firewall Max
(10G Interface)
MF2 6000
40Gbps Firewall Max
(10G Interface)
MF2 1500
6Gbps Firewall Max
MF2 500
2Gbps Firewall Max
1Gbps Firewall Max
MF2 300
Beyond Korea, Go Global
Specifications
32
4. SECUI MF2 Series
구분 SECUI MF2
100
SECUI MF2
300
SECUI MF2
500
SECUI MF2
1000
SECUI MF2
1500
SECUI MF2
2000
SECUI MF2
3000
SECUI MF2
6000
H/W
Chassis
HDD - 250GB 250GB 500GB 500GB 1TB 2TB 2TB
1G Copper (bypass)
4 Ports(2) 6 Ports(2) 6 Ports(2) 6 Ports(4) 8 Ports(4) 8 Ports(8) 8 Ports(8) 8 Ports(8)
1G Fiber - - - 2 Ports 4 Ports 8 Ports 4 Ports option
10G Fiber - - - - - - 4 Ports 8 Ports
Power Supply Single Single Single Single Dual Dual Dual Dual
성능 Firewall Max 500Mbps 1 Gbps 2 Gbps 4 Gbps 6 Gbps 10 Gbps 20 Gbps 40 Gbps
Expansion Modules
1G Fiber ByPass 2-port 1G Fiber Bypass Module (MF2 2000, 3000, 6000)
10G Fiber ByPass 2-port 10G Fiber Bypass Module (MF2 3000, 6000)
Beyond Korea, Go Global 33
인증 (국가정보원 CC, IPv6, TTA)
인증번호 TTA-058, 08.3, 060, 082, 080, 081, 059
모델 명 100/500/1000/1500/2000/3000/6000
인증범위 IPv6 Router Core 적합성 및 상호운용성
인증번호 NISS-0415-2012
모델 명 SECUI MF2 V2.0
Logo ID 02-C-000648
Version SecuiOS V2.0(64bit)
4. SECUI MF2 Series
인증범위 IPv6 Router 인증범위 FW+VPN(EAL4)
Top Related