梭子鱼下一代防火墙解决方案

1、梭子鱼下一代防火墙解决方案梭子鱼中国2020年6月22日目录第一章梭子鱼公司简介3第二章前言4第三章网络现状及需求51.客户环境描述52.客户需求5第四章梭子鱼解决方案71.需求分析72.产品选型71)梭子鱼下一代防火墙F60082)梭子鱼下一代防火墙F40093)梭子鱼集中控管平台VC820103.方案拓扑114.方案实现121)梭子鱼VPN组网122)VPN高级功能153)WAN流量优化164)Web安全过滤185)应用安全206)智能流量控制217)应用路由228)入侵防御系统IPS229)安全防护手段2310)集中管理2411)DNS及DHCP服务305.快速部署安装311)集中控管平

2、台部署安装312)总部和门店防火墙的部署安装313)设备恢复技术32第一章 梭子鱼公司简介梭子鱼网络成立于2003年，秉承“复杂IT简单化”理念，为全球各行业组织与机构提供：性能卓越，简单易用，高效稳定的安全与存储解决方案。全球超过150,000组织与机构选择信赖梭子鱼，梭子鱼网络致力在安全与存储领域为用户提供行业领先，高满意度，高价值，定制化的 IT 解决方案。持续保持邮件和Web安全产品领先优势的同时，梭子鱼网络还将为用户提供一系列全方位的IT解决方案，其包括：邮件，Web，应用优化，网络安全，远程访问，存储与备份，邮件归档等，为各行业组织与机构提供真正的端到端的安全防护，同时支持硬件，虚

3、拟，云端以及各类混合的灵活部署模式。安全领域系列产品： - 梭子鱼病毒及垃圾邮件防火墙 - 梭子鱼邮件安全服务系统 - 梭子鱼Web安全网关 - 梭子鱼Web安全服务系统 - 梭子鱼Web应用防火墙 - 梭子鱼下一代防火墙 - 梭子鱼防火墙 - 梭子鱼负载均衡机 - 梭子鱼应用交付控制器（ADC） - 梭子鱼SSL VPN 存储领域系列产品： - 梭子鱼备份系统 - 梭子鱼邮件归档 - Yosemite备份软件- Copy 梭子鱼网络为全球超过150,000家组织与机构提供安全防护，应用优化和数据存储，拥有超过1亿客户端。梭子鱼网络核心客户主要集中在中级市场，覆盖行业包括：教育，政府，零售，金

4、融和医疗等。第二章 前言随着互联网的飞速发展， WEB 2.0, 3G/4G移动平台，云计算等技术的广泛应用，它们为企业带来业务便捷的同时，也带来了更多的安全威胁。在信息安全建设过程中，企业面临新一轮的挑战：l 传统的防火墙面对日益复杂的应用安全威胁已经显得力不从心；l 防火墙的部署、管理需要专业技术人员，小型企业或者企业分支机构难以维护；l 而防火墙/IPS/病毒墙这种“羊肉串式”的解决方案正变得日益复杂，IT投资性价比越来越低；基于上述需求，梭子鱼公司在推出了梭子鱼下一代防火墙(Next Generation Firewall)下一代防火墙。与传统的防火墙和UTM不同的是，NG采用独特的三

5、层引擎架构，除了传统的防火墙功能外，在应用安全，应用路由，VPN组网，WAN流量优化，集中管理方面都进行了专门的设计，独具特色。目前，梭子鱼下一代防火墙在分布式的网络环境有着广泛的应用。l 一方面，它非常适合于帮助用户组建大型分布式网络。例如：欧洲某金融企业部署了超过2500台NG防火墙，并建立VPN网络，全球只需4个IT管理员便可支撑系统的稳定运行。l 另一方面，它部署便捷。 例如：对于小型企业，管理员只需要把预配置U盘插入全新的NG设备，启动设备，即可运行。不需要管理员具备专业的知识。第三章 网络现状及需求1. 客户环境描述北京总部接入电信100M、联通50M、电信通20M 共3条线路，其

6、中以电信、联通线路为主线路，电信通线路主要作为备份。几十家门店分布在全国各省，使用Adsl动态IP拨号或光纤接入。下图为总部+单个门店的拓扑示意图。每个门店的网络架构大体一致。拓扑图：2. 客户需求1) 核心需求：1、总部与各门店之间建立VPN通道使得各软件系统之间可以加密安全通信；2、各门店的上网安全防护、流控管理等；2) 详细需求：1、总部服务器与门店服务器、门店服务器与总部服务器之间，会产生双方向的“主动发起”通讯,通讯内容主要基于HTTP协议。因此需要建立稳定的IPSEC Site-to-Site VPN隧道2、门店上网行为管理。包括网页访问过滤、网络应用控制、带宽流量管理、信息收发审

7、计、用户上网行为的分析统计、内网ARP病毒控制、带宽利用率等等。网址、应用、协议等特征库必须及时、全面3、网络安全性。需要对客户手机等非内部设备的流量做出限制。除了要支持常见的TCP/IP五元组ACL外，还需要支持基于应用层的ACL（如基于某应用层协议、某访问域名等等）4、广域网加速。门店与总部之间的VPN隧道跨越了千山万水，需要广域网加速技术来提高响应速度，降低业务延时5、DNS解析服务。它将会成为门店所有设备的DNS服务器。需要支持基于域名匹配的转发规则：即用户请求XXX.com/net/cn时通过VPN隧道转发给总部DNS服务器，用户请求其他域名时转发给外网公共DNS服务器6、集中统一管

8、理。总部管理人员可以对各门店VPN设备进行统一管理、配置、升级等，并实时监控各门店VPN设备的健康状况。第四章 梭子鱼解决方案1. 需求分析*公司具有多个分支网络，需要在总部和分支之间建立VPN以满足数据的安全、快速传输和可靠访问的需求，并要求对每个网络实现上网行为管理，应用控制和有效的流量优化。由于涉及到多个不同地方的网络管理，极需一套方便快捷的集中管理平台对所有网络进行统一管理和维护，以提高管理效率和降低维护成本，促进公司业务增长。针对*公司网络建设中的主要需求，通过相关技术可行性分析，梭子鱼提出以下解决方案，采用适合于分布式网络环境的梭子鱼下一代防火墙解决方案来满足*网络建设的需求。2.

9、 产品选型梭子鱼下一代防火墙具有最新且最全面的下一代防火墙技术。不同于一些单项技术领先的下一代防火墙，梭子鱼下一代防火墙专门为分布式网络设计，从十几个到数以千计的分支地点的网络互联、安全防护与安全管理，甚至不管员工在公司还是漫游，只要通过VPN 方式远程接入都可以得到防护和管理。 梭子鱼下一代防火墙极大的简化管理，批量推送安全策略到整个广域网（WAN）中。其高级安全机制，能够提供面向应用的流量管理，优化对WAN 的访问，根据流量状况和链路状况快速智能的路由流量。例如，一条高质量的WAN 链路故障中断，则备份的链路将自动激活，并且根据QoS 策略分配带宽，确保最重要的商业应用享有足够带宽。又或者

10、让某个子网或某些用户或某个重要的终端优先享有带宽。梭子鱼下一代防火墙可以满足*当前的网络环境和主要需求。本方案涉及的产品型号主要有：总部：梭子鱼下一代防火墙F600一台，梭子鱼集中控管平台VC820一套（需提供硬件平台和虚拟化环境）。分支：梭子鱼下一代防火墙F400。1) 梭子鱼下一代防火墙F600项目梭子鱼下一代防火墙F600性能防火墙吞吐量4.7GbpsVPN吞吐量950MbpsIPS吞吐量1316Mbps并发连接300,000新建连接/S16,000硬件机架底盘1U尺寸(in)1.7*16.8*15.6重量(kg)5.4以太网电口10*1GbE+1*10/1001GB光纤SFP(标准/最

11、大)0/4电源单电源产品特性防火墙支持应用控制支持IPS支持Web安全支持智能流量控制支持IPSec VPN支持广域网优化支持2) 梭子鱼下一代防火墙F400项目梭子鱼下一代防火墙F400性能防火墙吞吐量3.9GbpsVPN吞吐量700MbpsIPS吞吐量900Mbps并发连接300,000新建连接/S16,000硬件机架底盘1U尺寸(in)1.7*16.8*17.7重量(KG)5.4以太网电口8*1GbE电源单电源产品特性防火墙支持应用控制支持IPS支持Web安全支持智能流量控制支持IPSec VPN支持广域网优化支持3) 梭子鱼集中控管平台VC820梭子鱼集中控管平台为虚拟化平台，需要提供

12、物理服务器和虚拟化平台的支持。支持的虚拟化平台虚拟化平台文件格式VMware hypervisor ESX 3.5 或以上*.ovaOpen-source Xen images for Xen 4.1或以上*.zipXen fully virtualized images.*.hvm.xvaCitrix-compatible paravirtualization Citrix Xen 6.0.0或以上*.pv.xva系统要求项目最低配置推荐配置CPU双核8核或以上内存2GB16GB或以上硬件空间80GB250GB或以上（具备RAID）3. 方案拓扑各门店网络出口处部署梭子鱼下一代防火墙F400

13、，总部网络出口处部署梭子鱼下一代防火墙F600，皆以网关形式部署，各门店到总部的链路建立VPN进行安全通讯，梭子鱼下一代防火墙支持标准的IPSec VPN，可与现有的第三方支持标准IPSec协议的设备建立VPN通道。在总部内网部署梭子鱼下一代防火墙实现对分布在不同地方的梭子鱼设备进行集中管理，通过访问该集中管理平台可实现配置防火墙的所有功能，并可以实时监控到所有梭子鱼防火墙的状态和网络情况。梭子鱼集中管理平台和梭子鱼下一代防火墙之间的通讯经过加密。部署拓扑如下图所示：4. 方案实现1) 梭子鱼VPN组网VPN是防火墙部署和管理的难点之一。特别是对于大型网络，如果采用传统的WEB/命令行管理方式

14、，需要登录到每一台防火墙进行配置，因此，管理员的工作量将随着部署设备的数量而线性增长。而且，后续的VPN监控也非常困难。图形化VPN组网对于梭子鱼下一代防火墙来说，管理10台设备和管理100台的VPN，其工作量几乎没有增加。通过梭子鱼下一代防火墙集中管理平台，管理员可以在单一图形化界面中，采用鼠标拖动的方式，完成所有NG设备的VPN配置和隧道管理。梭子鱼采用私有点到点VPN协议（TINA）建立VPN网络，TINA协议是在IPSec协议基础上经过进一步的安全强化和可用性优化研发出来的，具备IPSec VPN所有的功能，并且具有很多IPSec VPN无法实现的高级功能。通过TINA VPN组网，

15、图形化VPN管理模块VPN组网一，星型VPN组网，门店到总部之间建立VPN通道对已经加入到梭子鱼下一代防火墙集中控管中心的防火墙设备，只要选择需要建立VPN的网点，使用鼠标拖动线条，即可在任意两点之间建立VPN通道，无需命令行操作，无需登录具体的防火墙操作。建立VPN只是一拖一拉的过程，十分简单便捷。星型VPN组网VPN组网二，全网状VPN组网，各门店之间，总部和门店之间建立VPN通道同样，只需拖动鼠标即可根据需要简便建立VPN。梭子鱼VPN支持VPN中继功能，某两地间的VPN建立可通过第三点建立，如果在多链路的情况下还可以支持VPN的failover功能，即其中一条业务VPN断开的情况下可以

16、自动无缝地切换到另外一条VPN继续保证业务的畅通运行。梭子鱼特有的VPN Earth地图而且，梭子鱼下一代防火墙特有的VPN Earth模块，可以实现全球VPN设备和隧道的图形化监控。如下图所示：可直观显示当前VPN的健康状态，可通过地图快速登录对应的梭子鱼防火墙设备进行查看。NG Earth 地图多链路VPN负载均衡l 如何实现VPN隧道在多条链路上的负载均衡?l 如何实现VPN隧道的冗余和无缝切换?l 如何保证在低带宽链路上，数据的有效传输?对于传统的IPSEC VPN设备来说，这都是非常难于解决的问题。利用梭子鱼公司专门研发的TINA技术，下一代防火墙设备可以提供一个多链路环境下，完美的

17、链路负载均衡和流量优化的解决方案。如果*以后具有多链路的网络环境。该解决方案可以为用户提供如下功能：l VPN链路备份功能。一条链路作为主链路，一条链路作为备份链路。当主链路出现故障时，VPN隧道会自动切换到备份链路。而且，在VPN隧道切换过程中，不会造成任何的业务中断。l VPN链路负载均衡（如下图所示）。当企业拥有多条链路时，VPN在多条链路同时传输数据，并互为备份。而且，利用梭子鱼的TI(智能流量)技术，管理员可以把不同的应用数据流分配到不同的VPN链路，并提供带宽管理功能。l 数据压缩和缓存技术。通过梭子鱼特有的VPN压缩技术，可以实现高达95%的数据压缩效率，有效节约带宽。这对于低带

18、宽链路的用户，无疑是一个好消息。 如果未来业务的扩展有多条链路，可建立多链路VPN，根据不同业务的优先级分配网络流量，并且可以做到VPN链路的Failover功能，该功能是IPSec VPN不能实现的。2) VPN高级功能用户自定义加密算法对企业而言，必须要实现远程到本地网络的安全访问。梭子鱼下一代防火墙具备不限点到点和端到点数量的VPN 功能，VPN 的客户端支持Windows、linux 和Mac OS X，可满足出差在外的员工通过VPN客户端远程连接到总部访问所需的资源，方便而又简单。梭子鱼下一代防火墙提供自适应极强的点到点连接，甚至可以穿透第三方的防火墙和其他网络地址转换设备。VPN

19、的隧道具备心跳检测功能，在掉线时可自动重建连接。其加密算法包括AES128, AES256, DES, 3DES, Blowfish 等，十分广泛。用户也可以通过API 集成自己的加密算法。流量调整与QoS网络资源总是有限的，基于带宽优化的需求，梭子鱼下一代防火墙能够根据时间、应用类型、用户身份等调整VPN 隧道内外部的流量，以确保远程机构有足够的带宽访问重要的商业Web 应用。 梭子鱼下一代防火墙突出了智能点对点流量管理功能，大大优化了广域网的性能和功能。信息管理人员可以轻松管理应用层路径，根据多链路、多通道和不同的流量情况安排链路的优先顺序。对于梭子鱼设备间的VPN 通道数据可以进行压缩和

20、缓存,实测压缩率可达95%，有效释放带宽占用。3) WAN流量优化为了进一步优化数据在广域网传输的效率，梭子鱼下一代防火墙提供强大高效的数据传输加速功能，显著减少数据的传输时延和提高访问的响应时间。梭子鱼采用字节缓存技术，流量压缩技术，协议优化技术来提供点到点WAN流量的优化。梭子鱼同时提供对7层应用状态检测控制QoS的的功能，应用路由，流量优先级控制，链路聚合和Failover的功能。所有以上的功能都可以通过一台设备提供，不需要额外的设备模块。数据压缩梭子鱼下一代防火墙可以通过点到点（梭子鱼下一代防火墙）之间的流量数据压缩功能降低数据在广域网上传输的时延。梭子鱼采用ZLIB数据压缩算法实现减

21、少数据传输容量，从而提高网络带宽，实现加速数据传输。梭子鱼WAN优化功能会检查数据的冗余性，对于重复的数据会使用更少的字符数据去代替，从而减少数据对带宽的占用。该功能需在梭子鱼TINA VPN隧道中才能实现。数据缓存为了减少数据传输对企业网络带宽的占用，并且提高各种业务应用数据的传输，如Email，FTP，Web等。梭子鱼下一代防火墙提供两种不同的数据缓存方式。-数据去重这是梭子鱼下一代防火墙提供的重要特性，可提供字节级的缓存，网络序列缓存或者字典压缩。数据去重功能可以减少网络中重复传输的数据，所以可以有效的减少在WAN中重复传输的字节数。网络数据流被分成相同大小的数据块，通过MD5进行校验计

22、算，数据包头和相关信息会存储在一个本地的数据库里面。如果梭子鱼发现有重复的数据传输，存在数据库中具有更小体积的hash就会被代替用于发送。梭子鱼同样支持双向字节缓存，即从一端发出的数据会被另一端去重并存到本地的数据库中，当本端发送数据的时候会以体积更小的hash代替发送。数据去重功能工作在传输层，即可透明加速梭子鱼下一代防火墙点到点VPN隧道之间的任何TCP流量。-对象缓存除了数据去重功能之外，梭子鱼下一代防火墙可以提供HTTP流量对象级的缓存，也称之为代理缓存，该功能需通过梭子鱼HTTP代理实现。总而言之，当客户端发送HTTP请求对象到服务器的时候（如文档，图片等），该请求会被HTTP代理拦

23、截，梭子鱼代理此请求访问服务器端，并搜索是否有此次请求的对象，如有该请求对象在代理缓存里面，则本地的缓存会将此副本发送给客户端，而不用重复把此请求再发送到服务器端经过一次完成耗时的传输过程。如果该请求对象不在代理缓存里面，梭子鱼HTTP代理则会缓存本次请求的对象以供未来使用。该功能可以有效减少重复数据在WAN上的传输。协议优化梭子鱼下一代防火墙提供网络协议传输优化功能，如HTTP，SMB/CIFS，SMB2等，梭子鱼通过相关优化技术有效减少WAN环境下端到端之间协议信息的传输，这可以使应用访问的响应时间大大减少，比如，如果用户浏览windows文件服务器上的某个目录，SMB协议优化技术会缓存目

24、录列表使得以后访问相同目录的时候可以在本地很快的返回相关信息，而不用再一次重复访问过程等待文件服务器的再一次响应。实时的7层应用分析和控制 梭子鱼下一代防火墙具有深度包检测技术，通过对7层应用的控制来达到提高带宽利用率的目的。比如，在上班时间可以封堵无关的应用如聊天软件等，保证正常应用（如SMTP、OA等）的带宽。减少不必要的带宽浪费，提高WAN的访问效率。WAN优化配置界面4) Web安全过滤梭子鱼下一代防火墙提高用户的工作效率、阻止恶意软件的下载或其他基于Web的威胁，避免员工访问不当网站或服务器。其网址库包含为70类，超过2亿条地址记录。在此基础上，梭子鱼NG每天自动的更新30万个网址信

25、息，因而总能领先不当网站一步，避免员工访问这些网站。通过简单的操作，NG Web过滤能够实现用户“何人何时访问何种网站”，以及相对应的动作，如功能限制，时间规则约束、弹出警告和完全阻止。对于*公司的企业网络，设置策略仅允许认证用户访问网络；或者给重要的用户或用户组分配更多的带宽，而限制一般用户一般应用的带宽；梭子鱼下一代防火墙将用户身份与IP地址关联构建基于角色的访问控制体系。NG支持多种认证方式，进而可以制定面向用户的策略；Active Directory, NTLM, MC CHAP, RADIUS, RSA SecurID, LDAP/LDAPS, TACACS+及X.509 认证等。U

26、RL过滤配置界面，多达70大类URL分类5) 应用安全梭子鱼下一代防火墙的应用安全通过三个层面来实现：l 应用识别。NG的ACPF防火墙引擎技术可以高效的识别广泛的互联网应用和协议。例如：web访问，QQ，Skype，MSN都可以通过TCP 80端口进行通信，NG可以准确鉴别这些应用。l 应用控制。一方面，NG不仅可以允许或者禁止应用程序，而且，可以只禁止某些应用程序行为（如：MSN文件传输）；另一方面，NG可以对所识别的应用程序进行流量控制（例如：限制HTTP的流量不超过1Mbps）；l 安全检测。NG的入侵检测引擎和内容安全引擎将对允许通过应用流量进行安全检查。依托Barracuda 全球

27、安全实验室的技术支持，NG入侵检测引擎可以防护超过4000种攻击；并且持续不断的进行着攻击库的更新行为。需要说明的是，上述操作，只需要在单条防火墙规则配置实现，管理非常简洁。管理员不需要切换到不同的引擎配置界面进行操作。选择进行控制的应用6) 智能流量控制网络资源总是有限的，基于带宽优化的需求，梭子鱼下一代防火墙能够根据时间、应用类型、用户身份等调整VPN 隧道内外部的流量，以确保远程机构有足够的带宽访问重要的商业Web 应用。梭子鱼下一代防火墙突出了智能点对点流量管理功能，大大优化了广域网的性能和功能。信息管理人员可以轻松管理应用层路径，根据多链路、多通道和不同的流量情况安排链路的优先顺序。

28、对于梭子鱼设备间的VPN 通道数据可以进行压缩和缓存,实测压缩率可达95%，有效释放带宽占用。7) 应用路由为了保障互联网业务的高可用性，很多企业都采用多条互联网出口链路。如何高效的使用这些互联网链路，同时，确保链路高可用性?梭子鱼下一代防火墙提供了很好的解决方案。在多链路环境下，NG独具特色的应用路由引擎可以根据协议的特征，为不同的业务数据流分配Internet出口链路，而且通过其QoS引擎可以有效保障实时应用的带宽使用优先级。梭子鱼下一代防火墙支持多种链路接入，可根据需要选择性价比最好的链路接入组合，不必再花钱购买链路均衡设备。不用担心某个链路掉线，只要还有其他的链路存在，流量会自动切换到

29、其他的链路上；如果备用的链路带宽不足，设备将自动调整流量，优先保障重要的应用、网络或分支机构的接入。如下图：8) 入侵防御系统IPS梭子鱼NGFW 入侵检测防御系统模块（ IPS），可大大幅度提升网络安全，主要通过提供完整而全面的实时网络保护，从而免遭受广泛的网络威胁，安全漏洞，操作系统漏洞，应用程序和数据库的漏洞，从而防御诸如SQL 注入和溢出的网络攻击。此外，IPS 阻止间谍软件和蠕虫进入企业网络，以防止欺诈和保护隐私。通过不断监测网络和系统活动的恶意或可疑行为，梭子鱼NGFW 可以实时反应，阻止和防止这类活动。如果检测到攻击，梭子鱼NGFW 可以一边允许传递流量或检测和记录入侵尝试，一边

30、拖放违规数据包。根据威胁的严重程度，按照防火墙基本规则，分配非常细微的动作，使得梭子鱼NGFW 允许，阻止或基于严重性，场所、 用户/组、 类型和应用程序记录可疑流量。定期自动更新签名日志可确保梭子鱼下一代防火墙不断保持更新攻击库，识别最新的威胁，安全漏洞。9) 安全防护手段异常的数据包来源于有故障的网络设备，但也常常导致对整个网络的攻击。异常数据包有可能导致网络遭到DoS攻击，网络设备容易因为这些异常数据包当机或终止流量。异常数据包攻击包括Ping of Death, TearDrop, NewTear, Bonk, Syndrop, Chargen, WinNuke, Land and J

31、olt2。梭子鱼下一代防火墙通过对每一个数据包进行完整的检测防止异常数据包攻击： 异常IP 包检测：检测数据包是否符合TCP 标准 碎片攻击检测：收到IP 碎片后，NG 防火墙将重组碎片，避免其中隐藏攻击。 为防止碎片攻击，防火墙不会直接将IP 碎片转发到目标系统中。 异常头检测：对TCP、UDP 和ICMP，NG 将检测其相应协议层报头的合法性。 TCP 序列号伪造检测：对TCP 数据包进行sequence number （序列号）检查。 当今世界遍布着僵尸网络，NG 在网络边界进行防护，过滤恶意的DDoS 攻击，以确保合法访问持续可用。梭子鱼下一代防火墙具备TCP SYN Flood 检测

32、功能，作为TCP 代理，将合法的TCP 流量转发到内网中。此外，为防止资源耗尽攻击，NG 防火墙可以定义速率控制阀值，当某个原地址会话数到达允许的最大值之后，NG 将丢弃该地址的数据包。 为防止IP欺骗，将检测数据包源地址的反向路由路径（RRP）。基于路由表，源自网络接口的回复将保留在防火墙中以便能返回给发送者，如果接口上来源与应答不符，该数据包将被丢弃。该防护机制对所有协议有效，可按用户需求设置。 地址解析协议（ARP）攻击是一种常见的攻击技术，可能导致特定计算机或整个网络都无法正常工作。梭子鱼下一代防火墙具有多种ARP安全机制可防止ARP欺骗、ARP缓存溢出、ARP缓存破环。10) 集中管

33、理梭子鱼网络为中大型企业及服务商提供高性价比的解决方案。其先进功能的代表即梭子鱼NC控制中心，不限管理员数量、不限应用数量提供基于角色的集中管理。梭子鱼NG控制中心允许管理员在中央配置所有设备的所有应用，设置管理安全策略和网络访问策略，升级版本，用户配置。所有操作均基于图形化界面。梭子鱼集中控管中心图形化登陆界面对于大型分布式网络，防火墙的集中管理是必然的选择。NG集中管理平台（NG CC）正是基于这一需求而设计的。NG CC采用三层管理架构，即管理客户端，CC管理服务器，NG 防火墙。 NG管理客户端采用图形化管理界面，管理员不需要学习繁琐的命令行。通过NG CC，可以帮助用户实现如下功能：

34、l 图形化集中管理。所有配置，监控，都通过单一图形化界面实现；l 分级多域管理。对于大型企业来说，可以根据公司组织架构，定义不同的管理员角色。这样，不同部门/分公司的IT人员将只能够管理该部门/分公司所部署的NG防火墙；NG CC在业界已经广泛应用，成熟稳定。另外，对于NG CC的功能特点，需要特别说明两点：l NG CC 可以集中管理防火墙的所有底层配置，包括端口IP，路由等等，而不仅仅是防火墙安全规则；l 当NG CC不可用时， 管理员可以直接登录NG防火墙，利用emergency 模式进行所有配置管理工作；基于模板的管理通过创建模板，管理员能节省大量的时间。管理员采用模板和全局性安全对象能快速的配置成百上千的设备，避免在一台台设备上重复相同的配置。通过基于模板的集中管理，管理员仅需要定义一套设置，网络中的所有设备即可引用该模板。用户也可以创建多个模板构成模板库以方便不同的设备引