下一代防火墙设计方案和对策V

1、WORD 格式整理版惠尔顿下一代防火墙（ NGWF ）设计方案深圳市惠尔顿信息技术有限公司2016年5月1日优质 .参考 .资料WORD 格式整理版目 录一、方案背景2二、网络安全现状2三、惠尔顿下一代防火墙（NGWF ）介绍及优势7四、惠尔顿NGWF 功能简介10五、部署模式及网络拓扑14六、项目报价15七、售后服务16优质 . 参考 .资料WORD 格式整理版一、方案背景无锡某部队响应国家公安部 82 号令号召，加强部队网络安全建设。 针对目前网络存在的涉密、泄密、木马、病毒等进行预防。二、网络安全现状近几年来，计算机和网络攻击的复杂性不断上升，使用传统的防火墙和入侵检测系统（ IDS）越

2、来越难以检测和阻挡。随着每一次成功的攻击，黑客会很快的学会哪种攻击方向是最成功的。漏洞的发现和黑客利用漏洞之间的时间差也变得越来越短， 使得 IT和安全人员得不到充分的时间去测试漏洞和更新系统。随着病毒、蠕虫、木马、后门和混合威胁的泛滥，内容层和网络层的安全威胁正变得司空见惯。复杂的蠕虫和邮件病毒诸如 Slammer 、 Blaster 、Sasser、 Sober 、MyDoom 等在过去几年经常成为头条新闻，它们也向我们展示了这类攻击会如何快速的传播通常在几个小时之内就能席卷全世界。许多黑客正监视着软件提供商的补丁公告，并对补丁进行简单的逆向工程，由此来发现漏洞。下图举例说明了一个已知漏洞

3、及相应补丁的公布到该漏洞被利用之间的天数。需要注意的是，对于最近的一些攻击，这一时间已经大大缩短了。IT 和安全人员不仅需要担心已知安全威胁， 他们还不得不集中精力来防止各种被称之为 “零小时”（zero-hour ）或“零日”（zero-day ）的新的未知的威胁。为了对抗这种新的威胁，安全技术也在不断进化，包括深度包检测防火墙、应用网关防火墙、内容过滤、反垃圾邮件、 SSL VPN、基于网络的防病毒和入侵防御系统（ IPS）等新技术不断被应用。但是黑客的动机正在从引起他人注意向着获取经济利益转移，我们可以看到一些更加狡猾的攻击方式正被不断开发出来，以绕过传统的安全设备， 而社会工程 （so

4、cial engineering ）陷阱也成为新型攻击的一大重点。优质 . 参考 .资料WORD 格式整理版传统的防火墙系统状态检测防火墙原本是设计成一个可信任企业网络和不可信任的公共网络之间的安全隔离设备，用以保证企业的互联网安全。状态检测防火墙是通过跟踪会话的发起和状态来工作的。通过检查数据包头，状态检测防火墙分析和监视网络层（ L3）和协议层（ L4），基于一套用户自定义的防火墙策略来允许、拒绝或转发网络流量。传统防火墙的问题在于黑客已经研究出大量的方法来绕过防火墙策略。这些方法包括：利用端口扫描器的探测可以发现防火墙开放的端口。攻击和探测程序可以通过防火墙开放的端口穿越防火墙。如 MS

5、N、QQ等 IM（即时通信） 工具均可通过 80 端口通信， BT、电驴、Skype 等 P2P 软件的通信端口是随机变化的，使得传统防火墙的端口过滤功能对他们无能为力。 SoftEther 等软件更可以将所有 TCP/IP 通讯封装成 HTTPS数据包发送，使用传统的状态检测防火墙简直防不胜防。优质 . 参考 .资料WORD 格式整理版SoftEther 可以很轻易的穿越传统防火墙PC 上感染的木马程序可以从防火墙的可信任网络发起攻击。由于会话的发起方来自于内部，所有来自于不可信任网络的相关流量都会被防火墙放过。当前流行的从可信任网络发起攻击应用程序包括后门、木马、键盘记录工具等，它们产生非

6、授权访问或将私密信息发送给攻击者。较老式的防火墙对每一个数据包进行检查，但不具备检查包负载的能力。病毒、蠕虫、木马和其它恶意应用程序能未经检查而通过。当攻击者将攻击负载拆分到多个分段的数据包里，并将它们打乱顺序发出时，较新的深度包检测防火墙往往也会被愚弄。使用笔记本电脑、 PDA 和便携邮件设备的移动用户会在他们离开办公室的时候被感染，并将威胁带回公司网络。边界防火墙对于从企业信任的内部网络发起的感染和攻击爱莫能助。优质 . 参考 .资料WORD 格式整理版图：被通过知名端口（80 端口）攻击的网站数基于主机的防病毒软件基于主机的防病毒软件是部署得最广泛的安全应用，甚至超过了边界防火墙。基于主

7、机的防病毒软件随着上世纪80 年代中期基于文件的病毒开始流行而逐渐普及，如今已成为最受信任的安全措施之一。但是基于主机的防病毒软件也有它的缺点，包括：需要安装、维护和保持病毒特征库更新，这就导致了大量的维护开销。很多用户并没有打开防病毒软件的自动更新功能，也没有经常的手动更新他们的病毒库，这就导致防病毒软件对最新的威胁或攻击无用。用户有时可能会有意或无意的关闭他们的单机安全应用程序。最新的复杂的木马程序能对流行的基于主机的防病毒软件进行扫描，并在它们加载以前就将它们关闭 这就导致即使有了最新的病毒特征码，事实上它们还是不能被检测出来。企业单纯依靠给予主机的防病毒软件和给操作系统和应用程序打补丁

8、的方法会使它们的内部系统面临很高的安全风险。随着业务中使用了越来越多的面向全球且需要持续运行的关键应用，停机来更新操作系统补丁、病毒特征码和应用升级变得越来越困难。而公司的 Web 、Email 、电子商务、数据库、应用等服务器由于长时间不打补丁会很容易在新的攻击方式下暴露出它们的漏洞。仅仅依靠基于主机的防病毒软件的另一个缺点是，事实上有害代码在被每一个优质 . 参考 .资料WORD 格式整理版主机的安全软件检测和阻挡之前就已经进入了公司的网络，这就大大威胁了企业关键业务系统和网络应用。采用功能单一的产品的缺点要想构建一个立体的安全防护体系，必须要考虑多层次的防护，包括：1. 防火墙2. VP

9、N 网关3. 入侵防御系统（ IPS）4. 网关防病毒5. 网页及 URL过滤6. 应用程序过滤及带宽控制采用功能单一的产品会带来成本增加，管理难度高的问题。如果想部署一个立体的安全防护体系，必须要将很多设备串接在网络中，这样会造成网络性能下降，故障率高，管理复杂。优质 . 参考 .资料WORD 格式整理版三、惠尔顿下一代防火墙（NGWF ）介绍及优势下一代防火墙，即 Next Generation Firewall，简称 NG Firewall ，是一款可以全面应对应用层威胁的高性能防火墙。通过深入洞察网络流量中的用户、应用和内容，并借助全新的高性能单路径异构并行处理引擎，NGFW 能够为用

10、户提供有效的应用层一体化安全防护，帮助用户安全地开展业务并简化用户的网络安全架构。作为应用层安全设备的领先厂商，惠尔顿公司的下一代防火墙安全平台通过动态威胁防御技术、风险分析扫描引擎提供了无与伦比的功能和检测能力。惠尔顿下一代防火墙具有以下优势：精细的应用层安全防护惠尔顿采用 DPI 的识别方式使得应用层协议可视化可控， NGWF 可以根据应用的行为和特征实现对应用进行识别和控制，而不仅仅依赖于端口或标准协议，摆脱了传统设备只能通过 IP 地址或者五元组控制的粗粒度，即使加密过的数据流也能进行管控。目前， NGWF 可以识别 700 多种应用，识别上千种网络行为动作，还可以与多种认证系统（ A

11、D 、LDAP、Radius 等）无缝对接，自动识别出网络当中IP地址【 MAC 地址、用户身份】对应的用户信息，并建立组织的用户分组结构；满足了普通互联网边界行为管控的要求。可以识别和控制丰富的内网应用，如迅雷 P2P、RDP、Lotus Notes 、RTX、Citrix 、Oracle EBS、金蝶 EAS、用友 NC 、U8、SAP、LDAP 等，针对用户应用系统更新服务的诉求， NGWF 还可以精细识别 Microsoft SHAREPOINT 、奇虎 360 、Symantec 、Sogou 、Kaspersky 、 McNGWFee 、金山毒霸、江民杀毒等软件更新 ,保障在安全管

12、控严格的环境下，系统软件更新服务畅通无阻。因此，通过应用的协议识别制定的二到七层的应用访问控制策略，可以为用户提供更加精细和直观化控制界面，在一个界面下完成多套设备的运维工作，提升工作效率。WEB 应用的安全防护优质 . 参考 .资料WORD 格式整理版惠尔顿融合了漏洞防护、web安全防护等多种安全技术，具备12000+条漏洞特征库、木马插件等恶意内容特征库、 800+Web 应用威胁特征库，可以全面识别各种应用层和内容级别的各种安全威胁。 提供 URL过滤、文件过滤、 ActiveX 过滤、脚本过滤等多种 WEB 安全防护手段通过对应用流中的数据报文内容进行探测，从而确定数据报文的真正应用应

13、用层带宽管理惠尔顿内置专业流量管理产品以应用对象设置、 用户对象设置、时间对象设置、带宽通道对象设置、用户自定义对象设置基础，通过应用控制、流量管理、内容过滤等策略，最大限度地满足用户在流量管理方面的不同需求，实现用户网络人性化的精确管理。专业流量管理产品满足了企业不同业务主次之分，系统分为 0-7 共 8 个 QoS 优先级控制策略，从而为指定的应用和通道提供差异化的影响级别。同时也可以为特定的实时应用，如视频会议、 VOIP 等，预留固定的带宽，保证实时应用的流畅使用。IPS 漏洞防护支持 12000 多种流量异常特征库，并可以按优先级区分不同类型的漏洞攻击，按“高”，“中”，“低”区分；

14、包括敏感信息泄露 DOS 攻击 / 尝试获取用户特权的攻击 / 尝试获取管理员特权的攻击 / 网络流量中发现可执行文件的注入 / 可疑关键字和可疑文件的注入 / 远程过程调用告警 / 网络木马程序注入 / 客户端使用可疑端口通信 / 可疑的网络扫描 / 篡改标准协议和非法事件的告警 / 潜在的 web 攻击 /ICMP 告警 / 异常内容告警 / 公司机密泄露 / 尝试用默认账号窃取信息等。网络病毒防护病毒库数量： 100,000+ ，定期更新，基于流引擎查毒技术，针对 HTTP、FTP、SMTP、POP3 、IMAP 等协议进行查杀。线速的状态检测防火墙支持线路的带宽叠加，充分利用多条int

15、ernet接入；支持多线路的策略路由，智能选择更快的线路接入 internet ；支持三种工作模式（ NAT 模式、透明桥模式、路由模式） ；支持状态检测防火墙（基于 IP/IP 段/IP 组、IP/MAC 、PORT、时间控制等策略组合）；支持关键字、文件类型、域名等内容过滤；优质 . 参考 .资料WORD 格式整理版支持 VLAN 与静态路由优质 . 参考 .资料WORD 格式整理版四、惠尔顿NGWF 功能简介URL过滤支持 HTTP和 HTTPS告警和过滤，支持自定义的 URL 过滤，支持自定义的 HTTP特征对象识别 800+ 文件类型，支持文件名关键字的文件告警和文件过滤过滤；对需要

16、存储到磁盘的文件计算其 MD5 值和抓取Web时的流信息，方便文件后续的管理防火墙支持针对上传、下载等操作进行文件过滤；支持自定义ActiveX过滤 文件类型进行过滤；支持基于时间表的策略制定；支持的处理动作包括：阻断和记录日志脚本过滤支持基于操作类型的脚本过滤，如注册表读写、文件读写、变形脚本、威胁对象调用、恶意图片等敏感信息泄露 DOS 攻击 / 尝试获取用户特权的攻击 /尝试获取管理员特权的攻击 / 网络流量中发现可执行文件的注入 / 可疑关键字和可疑文件的注入 / 远程过IPS 漏洞防护类型程调用告警 / 网络木马程序注入 / 客户端使用可疑端漏口通信 / 可疑的网络扫描 / 篡改标准

17、协议和非法事件洞的告警 / 潜在的 web 攻击 /ICMP 告警 / 异常内容告警防/ 公司机密泄露 / 尝试用默认账号窃取信息等护可以按优先级区分不同类型的漏洞攻击，按“高”，漏洞攻击严重程度“中”，“低”区分规则库数量支持 12000 多种流量异常特征库，定期更新优质 . 参考 .资料WORD 格式整理版病病毒引擎基于流引擎查毒技术， 针对 HTTP、FTP、SMTP、POP3、IMAP毒等协议进行查杀防病毒库数量： 100,000+ ，定期更新护病毒库数量对象设置支持基于 IP/IP 组/ 用户 / 用户组、第七层应用、时间段的控制流带宽保证保障最低带宽，预留固定带宽（带宽预留）量带宽

18、限制限制最大带宽管理带宽 QoS带宽自定义优先级控制应用封堵指定任何第七层应用 / 第七层应用的组合的封堵、限流用户组织根据企业的组织结构设置用户 / 用户树用在线用户详细统计在线用户流量、网速、当前服务，并立刻给予策略户用户认证支持网页自动登录、客户端登录认证，自定义登录后属性认证本地用户支持用户的批量导入、 LDAP/AD 导入、内网主机自动扫描第三方认证支持第三方的 RADIUS、LADP/MS AD 、POP3 认证服务器目标 IP能定位用户访问的目的地，并进行分析定位定QQ 帐号、位网络身份能识别网络用户使用常见网络应用（邮件地址、MSN 帐号、网络帐号）时的身份报警上网报警发送违规

19、关键字词告警邮件报警发送违规邮件内容告警优质 . 参考 .资料WORD 格式整理版IM 报警发送违规使用 IM 告警URL过滤URL库URL自定义关键字过滤网页过滤发帖管理内容过外发文件告警滤扩展名识别搜索引擎过滤地址过滤附件过滤邮件关键字过滤Webmail过滤支持内嵌 url 库千万级 URL库，并智能分类， 如：体育、教育、钓鱼网站等等定期升级自定义域名与 URL的过滤或者放行，精细的 HTTP自定义支持网页中的关键字词支持根据访问的URL分类进行过滤过滤匹配关键字的网络发贴行为； 支持允许用户浏览帖子但不准发贴功能；支持根据外发文件类型、关键字等条件的过滤告警，支持对 HTTP、FTP、

20、Email 附件方式外发文件的识别、报警、过滤等管理措施；支持基于外发文件的扩展名识别外发文件类型；支持多搜索引擎关键字词的过滤支持根据发件人地址过滤外发邮件；支持基于扩展名过滤含指定文件类型的邮件外发行为；过滤匹配关键字的邮件外发行为；支持允许用户登录 Webmail 收邮件，而禁止发送 Webmail 邮件的功能；客防火墙检查支持客户端防火墙的安全检测优质 . 参考 .资料WORD 格式整理版户防病毒检查支持客户端防病毒的安全检测端操作系统漏洞扫描支持客户端操作系统的漏洞扫描准入 WINDOWS 登录 绑定用户登录计算机，拔出 Key 自动锁屏客户端连接到应用服务器后自动断开与internet的VPN 专线效果连接支持禁止 USB、光驱、软驱、红外、无线网络、CF禁止外设卡等进程黑白名单支持设置进程黑白名单优质 . 参考 .资料WORD 格式整理版五、部署模式及网络拓扑部署模式：1. 网关模式2. 路由模式3. 桥模式优质 . 参考 .资料WORD 格式整理版六、项目报价产品描述单价数量折扣小计（元）（台）（