明御防火墙DAS-TGFW
来源:
7.公司产品/0.思维导图/明御防火墙DAS-TGFW.xmindtmp/xmind/明御防火墙DAS-TGFW-outline.json明御防火墙(DAS-TGFW)-V6R01C01SPC200-产品白皮书(信创版)-赵帅-20251118_093427.docx明御防火墙解决方案-赵帅-20240718_134201.docx明御防火墙(DAS-TGFW)-V6R01C01SPC200-产品招标参数(信创版)-赵帅-20260514_133632_134101.docx4.1.2-防火墙_150949.pptx- 网络安全整体结构理解图
0. 产品介绍思路
从整体安全结构往下讲,明御防火墙处在最基础、最直观的位置:边界 / 边缘安全区。它先回答“谁能进出、从哪进出、访问什么、是否允许、是否有攻击”这些问题。没有防火墙,互联网出口、DMZ、总部和分支、业务区和办公区之间就缺少基本的访问控制和安全隔离。
接着 明御APT攻击预警平台AI-APT 的思路讲,AI-APT 偏“旁路看流量、发现高级威胁”,明御防火墙偏“串在边界上做访问控制、威胁阻断和安全网关”。AI-APT 发现攻击后可以把风险 IP 同步给防火墙阻断;EDR 发现失陷主机后也可以联动防火墙封堵;AiLPHA/XSIAM 则把防火墙日志、告警和处置结果纳入 SOC 统一运营。
明御防火墙(DAS-TGFW)的定位是智能安全网关:传统防火墙 + IPS + AV + 上网行为管控 + VPN + 威胁情报 + Web 防护 + 策略分析 + AI 智能安全中心 + 产品联动。在等保 2.0 里,它主要支撑边界防护、访问控制、入侵防范、恶意代码防范、安全审计和安全区域隔离。部署位置一般在互联网出口、DMZ 边界、数据中心出口、总部/分支出口、关键业务区边界;部署方式可以是路由模式、透明模式、混合模式、旁挂模式、双机热备、虚拟系统、集中管理和 VPN 组网。
1. 一句话总览
明御防火墙DAS-TGFW 是边界侧的智能安全网关:通过安全域划分、访问控制、应用识别、IPS、AV、威胁情报、SSL 解密、VPN、策略分析、智能事件分析和联动封堵,保护互联网出口、DMZ、数据中心、总部和分支等关键网络边界。
通俗记忆:
明御防火墙 = 分区分域 + 访问控制 + 威胁阻断 + VPN互联 + 策略优化 + 联动处置它不是只做“放行/阻断”的传统包过滤设备。它更像边界上的综合安全网关,既管访问,又看应用和用户,还能做入侵防御、病毒防护、威胁情报检测、DGA 检测、日志分析和联动阻断。
2. 产品是干什么用的
明御防火墙主要解决五类问题:
| 客户问题 | 产品做法 | 输出结果 |
|---|---|---|
| 互联网出口暴露,外部攻击容易进来 | 部署在出口边界,基于安全域、IP、MAC、用户、应用、服务、时间做访问控制 | 边界访问策略、阻断日志、出口防护能力 |
| 传统防火墙看不懂应用和攻击内容 | 集成 IPS、AV、Web 防护、URL/文件/内容过滤、SSL 解密、威胁情报 | 入侵告警、病毒阻断、恶意 URL/DGA/C&C 检测 |
| 分支、合作伙伴、远程办公访问总部不安全 | 提供 IPSec VPN、SSL VPN、国密算法和集中策略管理 | 总分互联、移动办公安全接入、加密传输 |
| 策略越来越多,冗余和风险难排查 | 对访问控制、认证、带宽、策略路由、NAT 等做策略分析 | 冲突、冗余、隐藏、过期、未命中策略优化建议 |
| 多台防火墙难统一运维 | 配套集中管理平台,统一监控、配置、升级、日志收集和统计报表 | 全网设备状态、集中日志、统一策略和运维报表 |
一句话定位:用一台边界安全网关,把访问控制、威胁防护、VPN 互联、策略优化和联动响应放到网络边界上统一落地。
3. 在等保 2.0 里哪里体现
明御防火墙在等保 2.0 中主要体现于 边界防护、访问控制、入侵防范、恶意代码防范、安全审计、通信传输保护和安全区域隔离。
| 等保相关方向 | 明御防火墙对应能力 | 怎么理解 |
|---|---|---|
| 边界防护 | 在互联网出口、DMZ、数据中心、分支出口等边界部署 | 重要网络区域与其他区域可靠隔离,外联入口可控 |
| 访问控制 | 基于安全域、用户、应用、服务、时间、IP、MAC 等维度配置策略 | 按最小权限控制谁能访问什么 |
| 入侵防范 | IPS、Web 防护、异常包检测、DDoS/扫描防护、威胁情报 | 在边界侧识别并阻断攻击流量 |
| 恶意代码防范 | AV 病毒防护、文件过滤、恶意 URL、C&C、DGA 域名检测 | 阻断木马、蠕虫、勒索、挖矿、恶意外联 |
| 安全审计 | 安全日志、威胁事件、策略命中、攻击者/受害者视角分析 | 提供测评、追责、复盘需要的日志证据 |
| 通信传输保护 | IPSec VPN、SSL VPN、国密算法支持 | 保障总部、分支、移动办公之间的加密通信 |
| 集中管理 | 集中管理平台、统一策略下发、日志汇总、报表 | 多区域、多分支设备统一运维和集中管控 |
注意边界:
Important
防火墙是边界和网关侧核心设备,但不能替代主机加固、漏洞扫描、APT 深度分析、数据安全和 SOC 运营。涉及终端处置靠 EDR,深度流量威胁分析靠 AI-APT,集中关联和运营闭环靠 AiLPHA/XSIAM。
4. 产品功能有几个大的功能模块
按 XMind、白皮书和招标参数,可以记成 9 个大功能模块:
| 模块 | 作用 |
|---|---|
| 网络与部署特性 | 路由、透明、混合、旁挂部署;VSYS 虚拟系统;静态/动态路由;NAT/NAT64;链路负载均衡 |
| VPN 与安全互联 | 支持 IPSec VPN、SSL VPN,适合总部-分支、Client-Site、移动办公和远程接入 |
| 一体化安全策略 | 一条策略同时识别安全域、MAC、IP、服务、时间、用户、应用,并联动 IPS、AV、URL、文件、Web、SSL 解密等动作 |
| 策略分析 | 一键发现冲突、冗余、隐藏、合并、过期、未命中策略,支撑访问控制最小化和日常策略优化 |
| 入侵防御与 Web 防护 | IPS 检测木马、蠕虫、DDoS、扫描、漏洞利用;Web 防护覆盖 SQL 注入、WebShell、XSS、CMS 等 |
| 病毒防护与内容控制 | AV、文件过滤、URL 过滤、内容过滤、DNS 过滤,识别邮件、网页、下载文件、压缩包和违规访问 |
| 威胁情报与加密流量检测 | 支持 IP/域名/文件 Hash 情报查询,检测 C&C、勒索、僵尸网络、挖矿、矿池;通过 SSL 解密检测 HTTPS 等加密流量 |
| 管理运维与日志分析 | 用户识别、应用识别、资产识别、会话管理、黑名单、升级回滚、集中管理平台、日志分析 |
| 智能安全中心与协同防御 | AI 智能安全客服、DGA 检测、智能事件分析、EDR 联动、APT 联动、AiLPHA 联动、云端沙箱联动 |
也可以简化成四层架构:
网络接入层 -> 访问控制层 -> 威胁防护层 -> 管理联动层5. 产品部署在哪里
结合网络结构图,明御防火墙主要部署在 边界 / 边缘安全区,也可以部署在 DMZ、数据中心、总部和分支出口、关键业务区边界等位置。
常见位置:
- 互联网出口 / 边界区:放在边界路由器和企业内网之间,控制内外网进出流量,是最典型部署点。
- DMZ 区域边界:保护公网 Web、邮件、API、代理、堡垒机等对外服务,避免外部攻击直接进入内网。
- 数据中心 / 关键业务区出口:部署在核心业务、数据库、服务器区和其他区域之间,做安全隔离和精细访问控制。
- 总部与分支出口:总部和分支都部署防火墙,通过 IPSec VPN/SSL VPN 形成安全互联,并由总部集中管理。
- 远程办公入口:作为 SSL VPN 入口,为移动办公、外包、合作伙伴访问内网应用提供加密接入。
- 内网安全域之间:在办公区、生产区、研发区、运维区等安全域边界做分区分域和横向访问控制。
- 旁挂分析位置:接入网络出口镜像流量,发现并上报可疑文件和行为,为防御策略提供依据。
记忆图:
边界与安全域交界处
├─ 互联网出口:外部攻击入口、员工上网出口、NAT/VPN/访问控制
├─ DMZ边界:公网Web/API/邮件/堡垒机等对外服务隔离
├─ 数据中心出口:核心业务和数据库区的安全隔离
├─ 总部/分支出口:总分VPN互联和统一边界防护
├─ 远程办公入口:SSL VPN安全接入
├─ 内网安全域:办公/生产/研发/运维之间的横向访问控制
└─ 旁挂位置:镜像流量分析和可疑行为上报6. 产品部署方式有哪些
| 部署方式 | 适用场景 | 记忆点 |
|---|---|---|
| 路由模式 | 互联网出口、总部/分支出口、数据中心出口 | 串接为网关设备,负责转发和安全防护 |
| 透明模式 | 不方便改 IP 和路由的网络改造 | 串接但不作为网关,只检测或阻断经过流量 |
| 混合模式 | 复杂网络、部分区域需要路由、部分区域需要透明 | 路由和透明结合,适配存量网络 |
| 旁挂模式 | 只想先分析出口镜像流量或评估风险 | 不串业务链路,分析可疑文件和行为 |
| 双机热备 | 核心出口、关键业务区、连续性要求高 | 支持主备和主主,同步配置和运行状态 |
| VSYS 虚拟系统 | 多业务区、多租户、云计算中心、集团隔离 | 一台物理设备虚拟成多台逻辑防火墙 |
| IPSec VPN | 总部-分支、站点到站点、客户端到站点 | 加密、认证、完整性、反重放 |
| SSL VPN | 员工远程办公、外包/合作伙伴临时接入 | 客户端远程访问内网应用,部署轻量 |
| 集中管理部署 | 多分支、多设备、多区域统一运维 | 总部集中下发策略、升级、汇总日志和报表 |
核心部署口径:
防火墙通常串在边界上;
出口用路由模式最常见;
不改网络用透明模式;
复杂网络用混合模式;
只分析镜像流量用旁挂模式;
关键链路用双机热备;
集团/云/多租户用VSYS;
总部分支和远程办公用VPN;
多设备统一运维用集中管理。7. 新人速记
明御防火墙DAS-TGFW
├─ 是什么:边界侧智能安全网关
├─ 干什么:分区分域、访问控制、威胁阻断、VPN互联、策略优化、日志审计
├─ 等保作用:边界防护、访问控制、入侵防范、恶意代码防范、安全审计、通信保护
├─ 功能模块:网络特性、VPN、安全策略、策略分析、IPS/Web、AV/内容、威胁情报、运维日志、智能联动
├─ 部署位置:互联网出口、DMZ、数据中心、总部/分支出口、远程办公入口、内网安全域边界
├─ 部署方式:路由、透明、混合、旁挂、双机热备、VSYS、IPSec VPN、SSL VPN、集中管理
└─ 产品边界:负责边界控制和阻断,深度检测/终端处置/SOC闭环要联动AI-APT、EDR、AiLPHA/XSIAM8. 一句话复述
明御防火墙DAS-TGFW 是部署在互联网出口、DMZ、数据中心、总部和分支等安全边界上的智能安全网关,通过安全域隔离、访问控制、IPS、AV、Web 防护、威胁情报、SSL 解密、VPN、策略分析、智能事件分析和产品联动,帮助客户落实等保 2.0 的边界防护、访问控制、入侵防范、恶意代码防范、安全审计和集中管理要求。