1. 宝信多功能安全网关 —— eCop XSA 介绍 体验安全、快速的 Internet 访问之旅

2. eCop XSA 安全设备是基于高级应用层防火墙、虚拟专用网络 (VPN) 和 Web 缓存的解 决方案，它能够改善客户网络的安全和性能，并具有适应安全需求持续增长的可扩展 性，为用户提供了完善、全面的边界防护解决方案。 eCop XSA 是什么？ eCop XSA 是宝信软件与微软开展合作，为市场引入的基于 Microsoft ISA Server 2006 的多用途安全管理设备 一套集智能防火墙、 IPSec & SSL VPN 、双向代理与缓存、内 容过滤、防病毒、反垃圾邮件等功能的完整解决方案 基于独特的插件式可拓展结构，第三方厂商可通过开放的接口 开发增值应用，满足用户多样化需求 充分利用微软系统平台的各项安全管理技术，为其产品提供深 层次的安全防护，是微软安全解决方案中不可缺少的一部分

3. 为什么需要 eCop XSA ？ 黑客 日益复杂的攻击手段 1 23 各自为战的安全技术 越发复杂管理 越发复杂的管理 由单一型转为混合型 攻击更加频繁 漏洞增多 攻击周期急剧缩短 网络犯罪愈演愈烈 影响面和破坏力增大 对技术人员水平要求较高 安全产品难以使用部署 多个控制台 管理维护工作量大 居高不下的投资成本 存在太多的单点产品 无法协同工作 无力应对复杂攻击手段 隐藏真实安全事件源 不具备灵活的可扩展能力

4. eCop XSA 提供的解决方案 将智能防火墙、 VPN 、防病毒 和反垃圾邮件等多种安全技术 融合于一体，构建立体化安全 防护体系，有效抵御混合型攻 击 立体化的防御 1 23 高集成度的整合方案便捷的管理 较低的投资成本 全面的管理、报告和日志平 台 简化的管理 单一管理平台 简单的部署维护 简化的授权 交叉产品集成 MS 安全产品 MS 服务器应用程序 与 Microsoft IT 基础结构相集 成 AD 、 MOM ，等等 与合作伙伴、宝信安全方案相 集成

5. eCop XSA 功能特性

6. 多网络模式支持 DMZ_1 定义任何数量的网络 VPN 也作为网络 本地主机也作为网络 指定关系 (NAT/Route) 基于网络指定策略 对网络间的通讯进行检查 VPN 网络 eCop XSA 任何拓扑，任何策略 网络 A DMZ_n 本地主机 内网 _1 内网 _2 Internet

7. 智能的高级应用层防火墙 Application Layer Content ?????????????????????? 只检查数据包头部 应用层的内容看来就像是一个神秘的 “ 黑盒子 ” IP Header Source Address, Dest. Address, TTL, Checksum TCP Header Sequence Number Source Port, Destination Port, Checksum 基于端口号转发合法的数据流和应用层攻击使用相同的端口 合法的 HTTP 流量 非法的 HTTP 流量 攻击 非 HTTP 流量 内部网络 —— 传统型防火墙的缺陷 Internet

8. 智能的高级应用层防火墙 ——eCop XSA 的三层过滤状态数据包过滤 应用程序过滤 链路过滤 确定允许哪些数据包通过并到达受 保护的网络链路和应用程序层代理 服务。状态过滤只在需要时自动打 开端口，并在通信结束时自动关闭 这些端口。 为 Telnet 、 RealAudio 、 Windows Media technologies 、 IRC 以及许多 其他 Internet 协议和服务的多平面访 问提供了应用程序透明的链路网关。 XSA 链路层安全可以与动态数据包过 滤配合工作，从而增强安全性和易用性。 可以识别客户端 PC 应用程序协议 （如 HTTP 、 FTP 、和 Gopher ） 中的命令。 eCop XSA 代表客户 端 PC 进行操作，并对外部网络 隐藏网络拓扑结构和 IP 地址。 以动态、智能化的方式对通过防火墙的程序执行状态 包过滤（状态包检查）和应用程序层状态检查。此项 检查确保了通信的完整性并防止由入侵者、黑客、蠕 虫、病毒和可疑命令字符串引起的安全漏洞。在应用 层协议和连接状态的上下文中都进行状态检查。

9. 智能的高级应用层防火墙 ——eCop XSA 应用程序筛选 器 eCop XSA 使用应用 程序筛选器来执行应 用程序级安全检查。 应用程序筛选器是注 册到特定协议端口的 动态链接库 (DLL) 。 每当把一个数据包发 送到该协议端口，它 就被传递给应用程序 筛选器，后者按照应 用程序逻辑来检查该 数据包，并根据策略 来决定该怎样处理。 智能应用程序筛选 eCop XSA 支持 100 个以上的 Internet 协议，管理员可根据自 身需求，基于端口数、类型、 TCP 或者 UDP 和方向定义附加协 议，具有良好的可扩展性。 eCop XSA 内部网络 非 HTTP 流量 攻击 非法的 HTTP 流量 合法的 HTTP 流量 Internet

10. Web 高速缓存 使用 RAM 缓存、磁盘 缓存和 HTTP 压缩技术 来增加速内部用户访 问外部网络的速度， 节约现有带宽资源。 1234 将内部 Web 服务器中 的数据寄存在 XSA 缓 存中，可以有效降低 Web 服务器负荷。 在网络流量不大时， 缓存中那些经常被访 问的对象会自动地被 更新，以优化带宽的 使用。 使用分层连接将客户 端的请求通过缓存服 务器链逐层向上游传 送，有效加速分支机 构的访问速度。 eCop XSA Internet 用户一 用户二 发起 Internet 访问请求 未发现需要 访问的内容 从外网服务 器下载数据 将数据存储 到缓存中 发起 Internet 访问请求 发现数据， 从缓存下载

11. 安全的发布 Web 应用 通过模拟已发布的服 务器来添加一个安全 层。服务器发布规则 保护内部服务器免遭 外部用户的不可靠访 问。 1234 智能应用程序过滤可 以检查流入服务器的 数据，保护所有已发 布的服务器免遭外部 攻击。 通过集成的 Windows 身份验证、 RADIUS 目录用户、活动目录、 等身份认证技术保证 到访用户的合法性 使用 SLL 安全的发布 Web 应用，与大多数 防火墙不同之处在于， XSA 可以对经过 SSL 加密的数据进行安全 性检查。 传统防火墙 Internet 身份认证在服 务器上进行 建立 SSL 通道 病毒通过加密 通道传送 无法检查 SLL 加密的数据 eCop XSA 在 XSA 上实现 单点认证 XSA 会解开加 密数据包检查 重新打包或直 接转发数据

12. 站点间的 VPN 连接 Internet 第三方 VPN 设备 DMZ eCop XSA 总部 分支机构 PPTP 连接： PPTP 连接：基于 PPTP 的 VPN 连接并未提供数据完整性验证，安全性较差 基于 IPSec 的 L2TP （推荐）： 基于 IPSec 的 L2TP （推荐）：利用 IPSec 提供数据保密性、数据完整性和数据源验证服务 IPSec 隧道模式： IPSec 隧道模式：当有一方采用第三方 VPN 服务器时只可以采用此模式 eCop XSA PPTP 连接 基于 IPSec 的 L2TPIPSec 隧道模式

13. 远程访问 VPN 及安全隔离 eCop XSA Internet 发出 VPN 连接请求 用户一 用户二 隔离区 内网 XSA 将其分 配到隔离区 向 XSA 发送 客户端脚本 检查通过后， 接入内网 向 XSA 发送 客户端脚本 检查不通过 断开连接 客户端脚本检查客户端是否满足公司安全策略  是否启用个人防火墙？  是否使用最新的防病毒升级包？  是否安装所需的补丁程序？ 如果检查成功，客户端将获得完全访问权限 如果检查失败，客户端将在超时时段以后断开连接 eCop XSA 支持远程访问 VPN ，同时可 以通过自定义客户端安全脚本对接 入终端进行安全体检。

14. 可扩展的安全功能 上网行为管理功能 提供可控制的上网访问，大幅提高员工工作效率；限制网络下载，并提供带宽管理功能保证关键应用；过滤敏感 信息、屏蔽非法网站和内容，还可以控制危险内容（病毒、间谍软件、恶意代码、木马等）的无意访问。 防毒、杀毒功能 强大的杀毒功能支持 HTTP 、 SMTP 、 POP3 、 FTP 、 NETBIOS 等多种协议的数据流，不仅可以查杀普通病毒邮 件，还可以检查出各种压缩包 （ zip ， rar ， gzip 等）隐藏的病毒。 反垃圾邮件功能 防垃圾邮件功能采用关键字、黑白名单、反向侦测 SMTP 服务器等多种过滤手段，垃圾邮件的识别率高、误判率 少。垃圾邮件库也可以在线更新，并且支持用户自己添加垃圾邮件规则。 基于独特的插件式可拓展结构，第三方厂商 可通过 SDK 和 API 提供各项增值功能。 以下是我们推荐的常用插件，目前国内 外已有数十种可供选择，并且数目还在 持续增长……！