纽盾介绍

上海纽盾科技发展有限公司 成立于2009年，是注册在上海高新技术开发区的一家网络安全设备供应商，专业从事网络通信产品研发、生产、销售及服务，为客户提供全网解决方案。纽盾科技以其贴近用户的差异化创新，持之以恒的科研投入，严格有效的质量控制，快捷放心的售后服务，赢得了客户信赖，是中国主流的网络解决方案供应商。目前已研发生产出多个系列的产品和系统解决方案：上网行为管理设备，全系列的光电安全交换设备、全系列网关安全设备、内网异常故障侦测设备、3G系列和安全监控应用解决方案。 上海纽盾科技以“安全”为主轴，研发生产的产品已经获得广大用户的认可，并且与上千家经销商建立了紧密的合作关系，我公司的产品已经在各行各业的网络安全方面发挥着重要的作用。

纽盾科技不断拓展网络渠道，已经建立了全国性通畅的销售和服务网络，公司分支涉及北京、杭州、南京、广州、青岛等10多个重要城市，保证了任何产品都能在最短时间内迅速销售到达全国各地，并能快速响应客户服务的要求。

纽盾科技坚持以自主创新技术为持续发展之本。公司拥有研发人员20余人，主要研发成员来自于美国硅谷、台湾的科研机构以及国内的高校。纽盾科技每年超过20%的销售额用于研发投入，近年来先后推出中国最高性能电信级交换机、多核开放式标准高端路由器，防火墙、3G路由器能，所有产品均拥有自主知识产权。纽盾科技以自主研发的网络安全产品，以NEWDON为主要品牌标识，为客户提供安全、高效的网络安全设备。

纽盾科技秉承“科技源自生活，纽盾服务社会”的核心经营理念，坚持“以满足客户安全需求为主”的发展道路，聚焦于行业网络解决方案，以更贴合业务的解决方案，更高质量的产品和更快捷放心的服务回报全球客户，不断为客户创造价值，打造中国创造的纽盾通信品牌，成为世界一流的安全解决方案提供商。

上海 (总部)

公司地址：上海市国定东路300号3号楼411室

上海纽盾北京 (分部)

公司地址：北京市海淀区北三环西路32号恒润国际大厦1602室

联系人：杜建刚

2010年主推产品：上网行为管理器

产品描述

第七层带宽优化暨内容管理网关

n 概要– Overview

n NAF 关键特色

n NAF 第七层的带宽管理防火墙

n NAF 用户认证与黑名单管理(AAA)

n NAF 行为与内容管理

n NAF 内容侧录与统计分析

概要– Overview

NAF系列设备是一款In-line（桥接）模式的专用于网络网关的硬件产品，以DPI（Deep Packet Inspect，深度包检测）技术为核心，支持软/硬件Bypass，除了提供基于七层应用的带宽管理和应用优化功能之外，也在7层应用程序/IM/P2P 阻挡, 过滤, 管控、记录，提供优势的Web接口管理，以用户、时间、位置、通讯协议、内容格式进行管控或浏览；在带宽管理方面，配合用户自定义的带宽策略以及核心带宽自动分配算法，可以为网络链路划分多个虚拟带宽通道，能够实现最大带宽限制、保证带宽、带宽租借、应用优先级等一系列带宽管理功能，保证关键应用带宽，限制非业务应用带宽，改善和保障了整体网络应用的服务质量。

NAF 关键特色:

ü 第七层应用辨识QoS、VPN防火墙- 限制内部用户上网Internet的P2P、多媒体在线视频、聊天、网络游戏等应用，保障时延要求高的诸如VoIP、视频会议等应用的带宽，保证音/视频通讯的效果。

ü AAA认证管理- 在线使用者状况及账号应用浏览，并监视在线用户、过去认证纪录；具备黑名单管理机制，协助管理员处分/管制违规或中毒用户。

ü 上网行为管理(IM过滤) - 对IM的登录、文字聊天、语音聊天及文件传输进行过滤。

ü 上网行为管理(web网页、URL过滤) - 对于Internet上日益泛滥的Http、Https网页进行识别和过滤，防止用户访问钓鱼网站、SSL 加密的色情、反动网站等；具备预分类的 URL地址库，并可以识别和管理部分论坛、网络聊天室等采用的非 TCP/80 端口的 URL 地址。

ü 邮件过滤、邮件稽核管理- SMTP 、POP3、Web根据邮件的标题关键词和正文关键词、附带文件案进行邮件发送的过滤。根据收件人地址、邮件大小、附件个数、邮件标题关键词和正文关键词对发送的邮件进行拦截，人工稽核后才决定是否允许外发。

ü 上网内容侧录–侧录内容包括：Web网页记录、论坛张贴记录、邮件记录、ftp记录、IM记录、session会话记录。

ü 统计分析报表–提供本机设备、实体端口端口、TCP服务统计、IP统计、线路统计分析

NAF 第七层的带宽管理防火墙

作为业界领先的应用优化与流量管控解决方案，NAF系统结合带宽自动分配算法、令牌桶算法、随机公平队列等技术，能够全面识别和控制包括P2P、VoIP、视频/流媒体、HTTP、网络游戏、数据库等在内的多种应用，提供虚拟带宽通道划分、最大带宽限制、保证带宽、带宽租借、应用优先级等一系列带宽管理功能，为用户提供主动式的、智能化的、可视化的带宽管理服务，达到可视、可测、可控、可优化的管理目标，为带宽优化与管控、网络规划提供科学的依据。

如下图所示，NEWDON NAF系统的主要功能包括四个部分：

n Internet上网行为管控与流量的实时检测、分类

n 应用优化与带宽控制

n 带宽控制策略的调整与优化。

L7行为管控与流量的实时检测、分类

l 网络流量的实时监控与分析–NAF实时提供了实时流量采集及分析，实时流量资料每隔5秒自动刷新，让用户可以全面掌控网络带宽的使用情况，使得网络运行状况、应用情况、带宽使用情况等状况完全可视化。

l 应用层自动识别和智能分类- NAF提供50种以上网址分类数据库(URL DATABASES)并支持600多种协议和应用基础的自动识别，涵盖了P2P、IM（实时通讯）、视频/流媒体、网络游戏、炒股软件、企业内部核心应用等应用和协议，基本覆盖了目前主流的网络协议和应用类型。

l L7行为管控 – NAF提供第7层应用层防火墙，可识别Telnet、ftp、http、IM、P2P等应用程序让管理员可以详细了解被阻断的协议以及源/目标IP地址、发生时间、源/目标、端口应用类型、协议类型等详细信息。同时提供被阻断的基于用户（IP地址）和基于协议的统计分析报告，提供可客制化禁止存取时的提示相关画面。

NAF 用户认证与黑名单管理(AAA)

用户与认证管理是上网行为稽核审计最重要的元素之一，任何策略多是依据认证后的用户而设的，因此对于用户的识别、认证与管理能力决定了上网行为管理的效果。NAF可以通过本地或第三方用户认证和授权系统，对用户使用网络的合法性进行安全地身份认证，支持多种认证方式，包括web认证、802.1x的认证、第三方的RADIUS服务器认证和第三方LDAP服务器认证等方式，并通过授权用户的角色决定其访问网络的权限，网络服务质量，策略路由等属性；用户的身份认证的同时也可以对用户做Binding检查，对用户的PC端的主机名，IP地址，MAC地址，VLAN ID，接入的虚拟端口号，接入的实体端口号的各种组合进行严格检查；AG系列产品并不只是在认证的时刻才对用户进行Binding检查，而是在用户访问网络的整个过程中，发出的和接收的每一个packet都做Binding检查，在结合Session状态检测功能后，可以完全杜绝在整个认证和访问过程中任何非法仿冒用户的行为。另外NAF还可以设置静态用户，该种用户不需要进行认证，而是开机后直接可以访问网络资源，在所有访问过程中都会进行严格的终端Binding检查，以保证用户的合法性。支持自动Binding功能和用户自动学习功能，这样可以减少管理员手工配置用户的工作量。

认证管理

Web认证 - 结合本地数据库、POP3、AD、LDAP或RADIUS服务器等认证方式，为接入用户提供 Web 认证功能

IP/MAC绑定 -支持绑定IP和MAC

用户分组 -根据管理需要，可将使用者分配到不用级别的用户组中

免认证功能 -可设定特殊IP不需要认证即可访问网络

认证通过后显示指定页面 -可将认证通过的用户强制导向到企业入口网页，如组织的公告页面等

认证冲突处理 -支持账号重复登录，当超出最大登录允许数后，支持是否踢掉前一次登录

IP使用者名称称对照表 -便在统计时以用户名称为统计对象。支持手动配置和批量导入。

用户授权

针对不同的用户组提供各种不同的授权策略，包括：

到达目的的授权，即授权用户可以访问哪些网络资源，不可以访问哪些网络资源，这个资源可以是某一个服务器，或某个IP网段地址。

使用时间的授权，即授权用户什么时间可以访问哪些网络资源，什么时间不可以访问哪些网络资源。

使用带宽的授权，即授权用户以多大上行和下载带宽来访问网络。

使用类型的授权，即授权用户访问某个服务器的某种特定的服务，其他未授权的服务则禁止访问，比如，对Email服务器的访问，只允许一般用户访问Email服务，只有网管才能访问Email服务器的其他服务（telnet，web，P2P/IM等）。

用户可以同时发起的session数的授权，这个功能可以限制用户过度占用网络资源，同时也可以有效的降低内网用户在感染病毒或木马后，对整个网络的影响，从而减少从内网内部发起网络攻击的机率。

用户黑名单和警告，系统自动检测和统计所有用户的流量和Session数，一旦用户的网络访问超过正常水平，可以自动把用户加入黑名单，进行惩罚，并产生警告日志。

基于策略的认证控制

NAF对于用户认证的方法，用户认证的授权和用户认证的计费都是基于策略进行组合的，根据实际网络的需要，我们可以定制多种用户认证和管理的策略针对不同的用户类型，不同的用户群组进行更加有效和有针对性地管理配置。

NAF采用的是非常灵活的基于安全策略的用户认证体制，不是所有接入网络的网络资源都需要认证，而是根据实际需要决定哪些需要进行用户认证，而且这些认证策略又可以和用户AAA策略进行任意组合，提供非常灵活强大的用户认证管策略。例如：我们可以定制安全策略，让从IP地址是10.0.0.5-10.0.0.9的IP范围在访问服务器10.0.0.10的email服务的时候需要进行WEB认证，而10.0.0.5-10.0.0.9的IP范围在访问10.0.0.11的WEB服务的时候采用802.1x认证，这时也就是说除了上述条件之外，其他所有的访问服务都可以不需要认证，只有符合上述安全策略的时候，用户就必须先进行合法认证，然后才能获得相应的网络服务。

NAF 行为与内容管理

掌握员工或学生、客户等网络的行为管理需掌握四大要素，第一Who 、上网的人是谁? 第二When、上网时间何时? 第三Where 、存取哪些网络资源? 如网站、网页、下载文件、邮件、聊天等第四What 、具体的内容是什么? 针对日趋复杂的网络行为， NAF提供丰富而完整的上网行为管理包括：URL网站过滤、HTTP/HTTPS网页过滤、MAIL邮件过滤与稽核、IM即时消息的控制，甚至上网内容的侧录。

网站与网页过滤–URL / Web filter

大量的网络应用，如IM, P2P, 网络电视, 游戏等等，也借助HTTP协议或port 80，一方面躲避防火墙的封锁一方面携带病毒或者后门程序，为内网带来极大的风险，NAF内建丰富的URL分类数据库引擎及设定策略，对于危害国家社会或儿童的网站可予以过滤：

1 URL 数据库 - 预先分类的 URL地址数据库

2 非标准端口 URL 管理 -可以识别和管理部分论坛、网络聊天室等采用的非 TCP/80 端口的 URL 地址

3 引擎搜索关键词过滤

4 HTTPS网页识别和过滤，防止用户访问钓鱼网站、SSL 加密的色情、反动网站

5 过滤包含默认关键词的网络帖子；可加强论坛管理，禁止发布不良信息发布

6 可识别FTP/HTTP网页的文件上传和文件下载，并进行过滤

邮件过滤与稽核–MAIL filter

NAF具备完整的邮件过滤及稽核管理的功能，针对网络SMTP、POP3、Webmail服务协议进行控管，具体的控管方式说明如下：。

1 根据发件人的地址进行邮件发送的过滤

2 邮件的标题关键词和正文关键词进行邮件发送的过滤

3 邮件附件的类型进行邮件发送的过滤

4 WebMail 正文关键词过滤通过 WebMail 发送的邮件

5 根据符合特定条件对发送的邮件进行拦截，人工稽核后才决定是否允许外发；这些条件包括：收件人地址、邮件标题关键词和正文关键词、邮件大小、附件个数。

即时消息管制- IM filter

IM是网络族群沟通极重要的工具，适当的使用可增进办公效率，甚至增加业绩；不当的使用则为企业带来怠惰、病毒等不良影响，因此IT部门对IM的管理不可不慎重。 NAF可以管理的IM很多，而对于IM这样的工具除了可以阻挡之外，并提供多样化选择：

1 对IM的登录、文字聊天、语音聊天及文件传输进行过滤

2 可以根据内网主机的IP地址对各种IM软件进行过滤

3 可以根据用户组对对各种IM软件进行过滤

4 可以根据不同的时间段，进行差异化的IM过滤

左图说明企业有限度的开放网际应用服务的使用，同时也以限制带宽及监视侧录方式积极控管这些工具不被滥用

NAF 内容侧录与统计分析

设备内置Reporter，实现日志的存储、查询、稽核等，图形化日志统计工具，通过图形化的Reporter，方便用户对行为日志的查询、稽核、统计，并支持以饼状图、柱状图、曲线图等形式直观显示统计结果如下：

内容侧录

Web, ftp 网页记录– (1)记录用户所访问网站的 URL 地址 (2)记录内网用户向公网 BBS、论坛、部落格发布的内容及附件 (3)记录用户所访问网页的标题内容 (4)对在搜索引擎中搜索的关键词进行记录 (5)记录用户通过 HTTP上传的文件信息和文件名 (6)记录用户通过FTP 下载的文件信息，记录上传的文件信息 (7)。

Mail 邮件记录- (1)记录用户通过客户端(SMTP协议)发送邮件的信息及通过客户端(POP3协议)接收邮件的信息，包括：发件人、收件人、邮件主题、正文、附件、日期、邮件大小等 (2)记录用户通过WebMail收发邮件的信息，包括：发件人、收件人、邮件主题、正文、附件、日期、邮件大小、邮件提供商等。

IM 聊天记录- 记录MSN、Yahoo messager、QQ、ICQ等登录信息、聊天内容及文件传输记录。

统计分析

URL访问排名 - 根据记录内网站访问次数进行排名统计。

网页下载文件类型排名 -可基于IP地址排名，亦可基于文件类型排名。

查看前十名服务流量的统计分析

查看前十名IP或认证用户的传输速率、新建会话数、在线会话数。

根据实际端口查看IP/服务流量的统计分析