1、 惠尔顿 NGFW 解决方案深圳市惠尔顿信息技术有限公司 第 1 页/共 32 页惠尔顿下一代防火墙解决方案内外全栈防护深 圳 市 惠 尔 顿 信 息 技 术 有 限 公 司地 址 : 深 圳 市 南 山 区 高 新 技 术 产 业 园 区 虚 拟 大 学 园电 话 : ( 0755) 26546529 传 真 ( 0755) 26553507惠尔顿 NGFW 解决方案深圳市惠尔顿信息技术有限公司 第 2 页/共 32 页声明Copyright2012-2016 深圳市惠尔顿信息技术有限公司 版权所有。由深圳市惠尔顿信息技术有限公司提供的本方案中包含的所有信息,都将被 视为机密信息,本方案仅供
2、企事业单位流量管理、下一代防火墙解决方案时用。惠尔顿公司本着“凸显带宽潜能、增值网络应用”的经营理念,利用当今网络中最前沿的技术促使应用软件在网络的运行的更安全、更快速、更稳定、更容易管理。惠尔顿 NGFW 解决方案深圳市惠尔顿信息技术有限公司 第 3 页/共 32 页序言 .4一、应用现状 .41、网络现状 .42、存在的问题 .53、项目目标 .6二、下一代防火墙技术 .61、下一代防火墙的发展与标准 .62、智能防火墙 .63、入侵防护 .64、应用全栈可视 .65、网络边界高性能 .66、WEB 应用防护 .7三、惠尔顿产品的功能特点 .71、网络高性能 .71.1、多核多线程 .71
3、.2、多桥模式与软硬 ByPass.71.3、HA 双机热备 .71.4、多线路带宽叠加与负载均衡 .82、IPS 入侵防护 .83、WEB 安全防护 .104、敏感信息防泄漏 .124、ARP 防护 .124、端口扫描 .124、DDOS 防护 .125、应用层流量管控 .126、网关查杀病毒 .147、智能追溯系统 .15四、产品部署模式 .151、双机热备 .152、网关模式 .163、透明桥模式 .16五、方案实施效果 .16六、产品选型 .16七、服务保证系统 .161、售后保障 .172、服务承诺 .173、增值服务 .18八、典型案例 .20惠尔顿 NGFW 解决方案深圳市惠尔顿
4、信息技术有限公司 第 4 页/共 32 页序言网络防火墙自诞生以来,在网络安全防御系统中就建立了不可替代的地位。作为边界网络的第一道安全关卡防火墙经历了包过滤技术、应用层代理技术和状态检测技术的技术革命,通过 ACL 访问控制策略、 NAT 地址转换策略以及抗网络攻击策略有效地阻断了一切未被明确允许的包通过,保护了网络的安全。防火墙就像大厦的门卫,对进出防火墙的一切数据包进行检查,保证合法数据包能够进入网络访问合法资源同时防止非法人员通过非法手段进入网络或干扰网络的正常运行。随着时代的变迁,大厦的门卫已经过时,失去了它原有的防御能力,人们开始不从门窗进进出出了。同样防火墙在面对网络的高速发展,
5、应用的不断增多的时代也失去了它不可替代的地位。当攻击的类型从网络层上移到应用层的过程中,防火墙的防护功能也需要与时俱进,我们需要重新定义防火墙,2009 年,Gartner 提出下一代防火墙的概念,下一代防火墙的概念在业内便得到了普遍的认可。一、应用现状1、网络现状在外网接入安全方面, XX 公司总部部署网络安全设备,但是都是三层的网络安全设备,所有的业务系统基本上都是裸露在互联网上,缺乏合理的保护极易遭受来自互联网的攻击,可能造成核心业务数据的窃取、服务器拒绝服务、网络瘫痪、内外网的安全浏览等问题,给企业带来不必要的损失。在应用层威胁占比越来越重的今天,三层的网络安全设备已经无法满足当今的风
6、险防护要求在内网安全方面,各分公司之间和总部通过 VPN 互联,与总部处于统一内网环境,而分公司也缺乏安全防护设备对互联网的危险流量进行清洗,所以极易造成下级分公司对总部服务器的攻击;同时总部的内网用户,即使客户端部署了杀毒软件,由于客户端环境和个人使用习惯等问题,IT 制度无法得到很好地落实,经常会有员工关闭杀毒进程或卸载杀毒软件的情况,而且最新的杀毒软件也存在着面对新病毒的滞后和不完善性。特别是对于网络安全意识薄弱的职员,不装任何的杀毒软件,在互联网上随意打开网页、点击链接,很容易身染中毒,并且导致局域网内的电脑感染病毒,我们将此类用户成为内网安全管理的短板。网络拓扑图如下。惠尔顿 NGF
7、W 解决方案深圳市惠尔顿信息技术有限公司 第 5 页/共 32 页针对部分的用户在网关的出口部署了高端的状态检测防火墙,但是日益增长的应用层攻击,蠕虫病毒以及网络环境的复杂性、多变性以及信息系统的脆弱性、开放性,决定了网络安全威胁的客观存在,目前基于三层的传统状态检测防火墙相关的安全设施依然导致网络缺乏足够的安全防护。2、 存在的问题2.1 流量泛滥当前的互联网存在种类众多的应用,基于前面的分析我们会发现,组织成员在使用互联网时更多的是进行娱乐活动,如网络电视、P2P 下载等;诸如此类的使用会严重消耗组织的网络带宽,正常业务通讯得不到保障,只能通过增加办公成本来增加带宽,但是网速和带宽没有得到
8、根本的改善。2.2、应用安全据统计,网络上 75%以上的安全威胁来自于应用层,而传统的三层网络安全设备却无法防御。因此,我们需要从第二层到第七层应用层的整体防护手段来防护全新的安全威胁。应用的漏洞,系统的漏洞,协议的变种等是黑客利用的常见手段,下一代防火墙的检测了网络连接的整个过程,包括不断实时更新的网络漏洞库,从协议的异常切断黑客入侵的整个过程。惠尔顿 NGFW 解决方案深圳市惠尔顿信息技术有限公司 第 6 页/共 32 页2.3、web 安全应用 WEB 化是大势所趋,WEB 应用的增加,导致应用安全威胁的其中很大部分是针对 WEB 应用的,制定特定的 WEB 应用的防护策略是网络安全的基
9、本防护方案之一。OWASP 发布的常见 TOP 10 威胁将成为安全越来越多的安全隐患。2.4、病毒蠕虫攻击高风险网站导致病毒、木马、流氓软件在内网散播,造成无法正常的使用网络。研究发现:45% Kazaa 含恶意代码,众多的互联网访问都存在被恶意软件入侵的可能,BT、MSN 等已成为病毒、蠕虫、间谍软件的重要传播渠道。病毒、木马及流氓软件轻者会给使用目标计算机及网络时带来一些麻烦;严重者会在组织网络中传播木马病毒,导致组织信息外泄;更严重者不仅会导致信息外泄,更能导致组织网络瘫痪,无法正常使用互联网。2.5、潜在的泄密风险大数据时代,数据的价值已被提到一个新的高度,因此数据的防泄密成了企业必
10、须做的工作。全面的数据防泄密功能是下一代防火墙的主要工作之一。通过精细的设置外发防护,漏洞入侵可以很好的防止在流量外发过程中敏感信息的泄密。2.6、缺乏风险分析与管控改进可能性企业应用在运行过程中,往往也会因受到攻击被限制规则阻断,导致运行异常。下一代防火墙提供的审计日志,通过日志,企业运维人员可以了解到业务运行中是否遭到了攻击,或者因 某种限制觃则导致异常,了解业务服务是否存在异常。3、项目目标建立基于从 2 层到 7 层的安全防护体系,将日益增加的应用层攻击,网络蠕虫病毒的传播阻断,管控应用层流量,防护应用服务器的攻击,并针对特定的 web 应用服务器,将 web 应用攻击进行更有针对性的
11、防范。惠尔顿 NGFW 解决方案深圳市惠尔顿信息技术有限公司 第 7 页/共 32 页二、下一代防火墙技术1、下一代防火墙的发展与标准针对上述安全风险、网络环境、应用系统的变化,传统网络安全设备的无能为力,市场咨询分析机构 Gartner 在 2009 年发布了一份名为Defining the Next-GenerationFirewall的文章,给出了真正能够满足用户当前安全需求的下一代防火墙(NGFW)定义。 在 Gartner 看来,NGFW 应该是一个线速网络安全处理平台,在功能上至少应当具备以下几个属性: 联机配置,不中断网络运行。 标准的第一代防火墙能力:包过滤、网络地址转换(NA
12、T)、状态性协议检测、VPN 等等。 集成的而非仅仅共处一个位置的网络入侵检测:支持面向安全漏洞的特征码和面向威胁的特征码。IPS 与防火墙的互动效果应当大于这两部分效果的总和。例如提供防火墙规则来阻止某个地址不断向 IPS 加载恶意传输流。这个例子说明,在 NGFW 中,应该由防火墙建立关联,而不是操作人员去跨控制台部署解决方案。集成具有高质量的 IPS 引擎和特征码,是 NGFW 的一个主要特征。 应用意识和全栈可见性:识别应用和在应用层上执行独立于端口和协议,而不是根据纯端口、纯协议和纯服务的网络安全政策。例子包括允许使用 Skype,但关闭 Skype 中的文件共享或始终阻止 GoTo
13、MyPC。 智能的防火墙:防火墙收集外来信息来做出更好的阻止决定或建立优化的阻止规则库。例子包括利用目录集成将阻止行为与用户身份绑在一起,或建立地址的黑白名单。Gartner 认为,随着防火墙和 IPS 更新周期的自然到来,或者随着带宽需求的增加和随着成功的攻击,促使更新防火墙,大企业将用 NGFW 替换已有的防火墙。不断变化的威胁环境,以及不断变化的业务和 IT 流程将促使网络安全经理在他们的下一个防火墙/IPS 更新周期时寻找 NGFW。2、状态检测防火墙NGFW 涵盖传统的状态检测防火墙、IPS 的主要功能,内部能够实现联动,支持包过滤与状态检测的防火墙功能,能提供静态的和动态包过滤与状
14、态检测过滤功能,能够防御 DOS/DDOS、land Attack,smurf,syn flood,icmp flood 、Syn Attack、Ping of death、ping Sweep、Tear drop、IP Sweep、Syn fragments、ip spoof、portscan、ip source route、ip record route、ip bad option 等常见网络层攻击,能提供一对一、惠尔顿 NGFW 解决方案深圳市惠尔顿信息技术有限公司 第 8 页/共 32 页多对一、多对多等地址转换方式(包括 DNS、FTP、H.323、SIP 的动态 NAT) ;支持网
15、络层的透传与 tag VLAN 的隔离,支持静态路由、RIP v1/2、OSPF、策略路由等多种路由协议。3、流量全局可视可控惠尔顿 NGFW 设备可以对内外网流量进行精细的流量管理,可基于应用、用户、时间、线路等制定灵活的流控策略。用户可以通过设定保障通道,对关键的业务流量如视频会议、协同办公软件等进行带宽的合理保障,而对于一些非业务流量如 P2P 下载、视频流媒体等可以通过限制通道进行限速。如下图:精细的带宽流控源自于对应用协议的精准识别,NGFW 内置应用特征识别库和 URL 分类库,应用特征识别库可以识别 1000 多种应用类型。是用来判断和检测上网数据的应用类型的,根据数据包的特征值
16、或者协议、端口、方向、数据包长度匹配、数据包内容匹配等多个条件来检测应用类型,能够很好的检测通过端口或协议无法区分的应用类型,比如 QQ、P2P 等。 应用特征识别库分为内置规则和自定义规则,内置规则库可以由设备定时更新,自定义规则可以增加、删除、修改。如下图所示:惠尔顿 NGFW 解决方案深圳市惠尔顿信息技术有限公司 第 9 页/共 32 页URL 库主要用于基于用户、时间、网页内容的过滤,通过内置的千万级 URL 库,可以精确识别网页类型,对不良网页进行封堵,防止终端上网过程中访问挂马网站,造成终端的中毒,避免终端成为内网安全防护的短板。可以识别 2000 多种应用,800 多种智能手机应
17、用,识别上万种网络行为特征动作,可以识别和控制丰富的内网应用,如迅雷 P2P、BT 、QQ 旋风、QQ、MSN 、RDP、Lotus Notes、 RTX、Citrix、Oracle EBS、金蝶 EAS、用友 NC、U8、SAP、LDAP 等,针对用户应用系统更新服务的应用,AF 还可以精细识别奇虎 360、Symantec、 Sogou、Kaspersky、McAfee、金山毒霸、江民杀毒等软件更新,保障在安全管控严格的环境下,系统软件更新服务畅通无阻。通过应用的协议识别制定的二到七层的应用访问控制策略,可以为用户提供更加精细和直观化控制界面,在一个界面下完成多套设备的运维工作,提升工作效
18、率。4、 AAA 识别、授权、审计功能网络中的用户并不一定需要平等对待,通常,许多企业策略仅仅是允许通过 IP 属性惠尔顿 NGFW 解决方案深圳市惠尔顿信息技术有限公司 第 10 页/共 32 页建立网络及网络资源的 ACL。NGFW 提供基于用户与用户组的访问控制策略,它使管理员能够基于各个用户和用户组(而不是仅仅基于 IP 地址)来查看和控制应用使用情况。在所有功能中均可获得用户信息,包括应用访问控制策略的授权制定和安全防护策略创建、审计调查取证和分析报告。1、用户组织架构树NGFW 可以按照组织的行政结构建立树形用户分组,将用户分配到指定的用户组中,以实现网络访问权限的授予与继承。用户
19、创建的过程简单方便,除手工输入帐户方式外, NGFW 能够根据 OU 或 Group 读取 AD 域控服务器上用户组织结构,并保持与 AD 的自动同步,方便管理员管理。此外,NGFW 支持账户自动创建功能,依据管理员分配好的 IP 段与用户组的对应关系,基于新用户的源 IP 地址段自动将其添加到指定用户组、同时绑定 IP/MAC,并继承管理员指定的网络权限。管理员亦可将用户信息编辑成 Excel、 TXT 文件,将账户导入,实现快捷的创建用户和分组信息。2、丰富的身份认证体系本地认证:Web 认证、用户名/密码认证、IP/MAC/IP-MAC 绑定第三方认证:AD 域、LDAP、Radius
20、,数字证书等;双因素认证:USB-Key 认证,一次性口令(OTP) ;单点登录:AD 域、HTTP POST 等;强制认证:强制指定 IP 段的用户必须使用单点登录(如必须登录 AD 域等)丰富的认证方式,帮助组织管理员有效区分用户,建立组织身份认证体系,进而形成树形用户分组,映射组织行政结构,实现用户与资源的一一对应,从而根据组织结构实现授权,并对组织结构中的用户进行事后的审计。NGFW 支持为未认证通过的用户分配受限的网络访问权限,将通过 Web 认证的用户重定向至显示指定网页,需要先行进行认证才能访问受限的网络资源,提升应用访问的安全性,实现更细粒度的访问控制。5、 IPS 入侵内外双重防护IPS(Intrusion Prevention System 入侵防御系统)位于防火墙和网络的设备之间,综合 IDS 与防火墙的功能,使二者产生联动。这样,如果 IDS 检测到攻击,防火墙会在这种攻击扩散到网络的其它地方之前阻止这个恶意的通信。IPS 系统依靠对数据包的内容的深度检测,IPS 将检查入网的数据包,确定这种数据包的真正用途,然后决定是否允许这种数据包进入你的网络。NGFW 的入侵防护分析引擎具备 7000+条漏洞特征库、木马等恶意内容特征库、含4000+Web 应用威胁特征库,可以全面识别各种应用层和内容级别的单一安全威胁;而且
