下一代防火墙设计方案V2.doc

1、惠尔顿下一代防火墙（NGWF）设计方案深圳市惠尔顿信息技术有限公司2016年 5月 1日惠尔顿下一代防火墙 1 400 6886 502目 录一、方案背景 .1二、网络安全现状 .1三、惠尔顿下一代防火墙（NGWF ）介绍及优势 .5四、惠尔顿 NGWF 功能简介 .8五、部署模式及网络拓扑 .10六、项目报价 .11七、售后服务 .12惠尔顿下一代防火墙 2 400 6886 502一、方案背景无锡某部队响应国家公安部 82 号令号召，加强部队网络安全建设。针对目前网络存在的涉密、泄密、木马、病毒等进行预防。二、网络安全现状近几年来，计算机和网络攻击的复杂性不断上升，使用传统的防火墙和入

2、侵检测系统（IDS）越来越难以检测和阻挡。随着每一次成功的攻击，黑客会很快的学会哪种攻击方向是最成功的。漏洞的发现和黑客利用漏洞之间的时间差也变得越来越短，使得 IT 和安全人员得不到充分的时间去测试漏洞和更新系统。随着病毒、蠕虫、木马、后门和混合威胁的泛滥，内容层和网络层的安全威胁正变得司空见惯。复杂的蠕虫和邮件病毒诸如Slammer、Blaster、Sasser、Sober、MyDoom 等在过去几年经常成为头条新闻，它们也向我们展示了这类攻击会如何快速的传播通常在几个小时之内就能席卷全世界。许多黑客正监视着软件提供商的补丁公告，并对补丁进行简单的逆向工程，由此来发现漏洞。下图举例说明了一

3、个已知漏洞及相应补丁的公布到该漏洞被利用之间的天数。需要注意的是，对于最近的一些攻击，这一时间已经大大缩短了。IT 和安全人员不仅需要担心已知安全威胁，他们还不得不集中精力来防止各种被称之为“零小时” （zero-hour）或“零日” （zero-day）的新的未知的威胁。为了对抗这种新的威胁，安全技术也在不断进化，包括深度包检测防火墙、应用网关防火墙、内容过滤、反垃圾邮件、SSL VPN、基于网络的防病毒和入侵防御系统（IPS）等新技术不断被应用。但是黑客的动机正在从引起他人注意向着获取经济利益转移，我们可以看到一些更加狡猾的攻击方式正被不断开发出来，以绕过传统的安全设备，而社会工程（soc

4、ial engineering）陷阱也成为新型攻击的一大重点。惠尔顿下一代防火墙 3 400 6886 502传统的防火墙系统状态检测防火墙原本是设计成一个可信任企业网络和不可信任的公共网络之间的安全隔离设备，用以保证企业的互联网安全。状态检测防火墙是通过跟踪会话的发起和状态来工作的。通过检查数据包头，状态检测防火墙分析和监视网络层（L3）和协议层（L4） ，基于一套用户自定义的防火墙策略来允许、拒绝或转发网络流量。传统防火墙的问题在于黑客已经研究出大量的方法来绕过防火墙策略。这些方法包括： 利用端口扫描器的探测可以发现防火墙开放的端口。 攻击和探测程序可以通过防火墙开放的端口穿越防火墙。如

5、 MSN、QQ 等IM（即时通信）工具均可通过 80 端口通信，BT、电驴、Skype 等 P2P 软件的通信端口是随机变化的，使得传统防火墙的端口过滤功能对他们无能为力。SoftEther 等软件更可以将所有 TCP/IP 通讯封装成 HTTPS 数据包发送，使用传统的状态检测防火墙简直防不胜防。惠尔顿下一代防火墙 4 400 6886 502SoftEther 可以很轻易的穿越传统防火墙 PC 上感染的木马程序可以从防火墙的可信任网络发起攻击。由于会话的发起方来自于内部，所有来自于不可信任网络的相关流量都会被防火墙放过。当前流行的从可信任网络发起攻击应用程序包括后门、木马、键盘记录工具等

6、，它们产生非授权访问或将私密信息发送给攻击者。 较老式的防火墙对每一个数据包进行检查，但不具备检查包负载的能力。病毒、蠕虫、木马和其它恶意应用程序能未经检查而通过。 当攻击者将攻击负载拆分到多个分段的数据包里，并将它们打乱顺序发出时，较新的深度包检测防火墙往往也会被愚弄。 使用笔记本电脑、PDA 和便携邮件设备的移动用户会在他们离开办公室的时候被感染，并将威胁带回公司网络。边界防火墙对于从企业信任的内部网络发起的感染和攻击爱莫能助。惠尔顿下一代防火墙 5 400 6886 502图：被通过知名端口（80 端口）攻击的网站数基于主机的防病毒软件基于主机的防病毒软件是部署得最广泛的安全应用，甚至

7、超过了边界防火墙。基于主机的防病毒软件随着上世纪 80 年代中期基于文件的病毒开始流行而逐渐普及，如今已成为最受信任的安全措施之一。但是基于主机的防病毒软件也有它的缺点，包括： 需要安装、维护和保持病毒特征库更新，这就导致了大量的维护开销。 很多用户并没有打开防病毒软件的自动更新功能，也没有经常的手动更新他们的病毒库，这就导致防病毒软件对最新的威胁或攻击无用。 用户有时可能会有意或无意的关闭他们的单机安全应用程序。 最新的复杂的木马程序能对流行的基于主机的防病毒软件进行扫描，并在它们加载以前就将它们关闭 这就导致即使有了最新的病毒特征码，事实上它们还是不能被检测出来。企业单纯依靠给予主机的防病

8、毒软件和给操作系统和应用程序打补丁的方法会使它们的内部系统面临很高的安全风险。随着业务中使用了越来越多的面向全球且需要持续运行的关键应用，停机来更新操作系统补丁、病毒特征码和应用升级变得越来越困难。而公司的 Web、Email、电子商务、数据库、应用等服务器由于长时间不打补丁会很容易在新的攻击方式下暴露出它们的漏洞。仅仅依靠基于主机的防病毒软件的另一个缺点是，事实上有害代码在被每一个主惠尔顿下一代防火墙 6 400 6886 502机的安全软件检测和阻挡之前就已经进入了公司的网络，这就大大威胁了企业关键业务系统和网络应用。采用功能单一的产品的缺点要想构建一个立体的安全防护体系，必须要考虑多层

9、次的防护，包括：1. 防火墙2. VPN 网关3. 入侵防御系统（IPS）4. 网关防病毒5. 网页及 URL 过滤6. 应用程序过滤及带宽控制采用功能单一的产品会带来成本增加，管理难度高的问题。如果想部署一个立体的安全防护体系，必须要将很多设备串接在网络中，这样会造成网络性能下降，故障率高，管理复杂。惠尔顿下一代防火墙 7 400 6886 502三、惠尔顿下一代防火墙（NGWF）介绍及优势下一代防火墙，即 Next Generation Firewall，简称 NG Firewall，是一款可以全面应对应用层威胁的高性能防火墙。通过深入洞察网络流量中的用户、应用和内容，并借助全新的高性能

10、单路径异构并行处理引擎，NGFW 能够为用户提供有效的应用层一体化安全防护，帮助用户安全地开展业务并简化用户的网络安全架构。作为应用层安全设备的领先厂商，惠尔顿公司的下一代防火墙安全平台通过动态威胁防御技术、风险分析扫描引擎提供了无与伦比的功能和检测能力。惠尔顿下一代防火墙具有以下优势：精细的应用层安全防护惠尔顿采用 DPI 的识别方式使得应用层协议可视化可控，NGWF 可以根据应用的行为和特征实现对应用进行识别和控制，而不仅仅依赖于端口或标准协议，摆脱了传统设备只能通过 IP 地址或者五元组控制的粗粒度，即使加密过的数据流也能进行管控。目前，NGWF 可以识别 700 多种应用，识别上千种网

11、络行为动作，还可以与多种认证系统（AD、LDAP、Radius 等）无缝对接，自动识别出网络当中 IP 地址【MAC 地址、用户身份】对应的用户信息，并建立组织的用户分组结构；满足了普通互联网边界行为管控的要求。可以识别和控制丰富的内网应用，如迅雷 P2P、RDP、Lotus Notes、RTX、Citrix 、Oracle EBS、金蝶 EAS、用友NC、U8、SAP、LDAP 等，针对用户应用系统更新服务的诉求，NGWF 还可以精细识别 Microsoft SHAREPOINT、奇虎 360、Symantec、 Sogou、Kaspersky、McNGWFee、金山毒霸、江民杀毒等软件更新

12、,保障在安全管控严格的环境下，系统软件更新服务畅通无阻。因此，通过应用的协议识别制定的二到七层的应用访问控制策略，可以为用户提供更加精细和直观化控制界面，在一个界面下完成多套设备的运维工作，提升工作效率。WEB 应用的安全防护惠尔顿下一代防火墙 8 400 6886 502惠尔顿融合了漏洞防护、web 安全防护等多种安全技术，具备 12000+条漏洞特征库、木马插件等恶意内容特征库、 800+Web 应用威胁特征库，可以全面识别各种应用层和内容级别的各种安全威胁。提供 URL 过滤、文件过滤、ActiveX 过滤、脚本过滤等多种 WEB 安全防护手段通过对应用流中的数据报文内容进行探测，从而

13、确定数据报文的真正应用应用层带宽管理惠尔顿内置专业流量管理产品以应用对象设置、用户对象设置、时间对象设置、带宽通道对象设置、用户自定义对象设置基础，通过应用控制、流量管理、内容过滤等策略，最大限度地满足用户在流量管理方面的不同需求，实现用户网络人性化的精确管理。专业流量管理产品满足了企业不同业务主次之分，系统分为 0-7 共 8 个 QoS 优先级控制策略，从而为指定的应用和通道提供差异化的影响级别。同时也可以为特定的实时应用，如视频会议、VOIP 等，预留固定的带宽，保证实时应用的流畅使用。IPS 漏洞防护支持 12000 多种流量异常特征库，并可以按优先级区分不同类型的漏洞攻击，按“高”

14、， “中” ， “低”区分；包括敏感信息泄露 DOS 攻击/尝试获取用户特权的攻击/尝试获取管理员特权的攻击/网络流量中发现可执行文件的注入/可疑关键字和可疑文件的注入/远程过程调用告警/网络木马程序注入/客户端使用可疑端口通信/可疑的网络扫描/篡改标准协议和非法事件的告警/潜在的 web 攻击/ICMP 告警/异常内容告警/公司机密泄露/尝试用默认账号窃取信息等。网络病毒防护病毒库数量：100,000+，定期更新，基于流引擎查毒技术，针对HTTP、FTP、SMTP、POP3、IMAP 等协议进行查杀。线速的状态检测防火墙支持线路的带宽叠加，充分利用多条 internet 接入；支持多线路的策略路由，智能选择更快的线路接入 internet；支持三种工作模式（NAT 模式、透明桥模式、路由模式） ；支持状态检测防火墙（基于 IP/IP 段/IP 组、IP/MAC、PORT、时间控制等策略组合） ；支持关键字、文件类型、域名等内容过滤；惠尔顿下一代防火墙 9 400 6886 502支持 VLAN 与静态路由