下一代防火墙设计方案V2.docx

下一代防火墙设计方案V2.docx

《下一代防火墙设计方案V2.docx》由会员分享，可在线阅读，更多相关《下一代防火墙设计方案V2.docx（12页珍藏版）》请在冰豆网上搜索。

下一代防火墙设计方案V2

下一代防火墙设计方案V2

惠尔顿下一代防火墙

（NGWF）

设计方案

深圳市惠尔顿信息技术有限公司

2016年5月1日

一、方案背景

无锡某部队响应国家公安部82号令号召，加强部队网络安全建设。

针对目前网络存在的涉密、泄密、木马、病毒等进行预防。

二、网络安全现状

近几年来，计算机和网络攻击的复杂性不断上升，使用传统的防火墙和入侵检测系统（IDS）越来越难以检测和阻挡。

随着每一次成功的攻击，黑客会很快的学会哪种攻击方向是最成功的。

漏洞的发现和黑客利用漏洞之间的时间差也变得越来越短，使得IT和安全人员得不到充分的时间去测试漏洞和更新系统。

随着病毒、蠕虫、木马、后门和混合威胁的泛滥，内容层和网络层的安全威胁正变得司空见惯。

复杂的蠕虫和邮件病毒诸如Slammer、Blaster、Sasser、Sober、MyDoom等在过去几年经常成为头条新闻，它们也向我们展示了这类攻击会如何快速的传播——通常在几个小时之内就能席卷全世界。

许多黑客正监视着软件提供商的补丁公告，并对补丁进行简单的逆向工程，由此来发现漏洞。

下图举例说明了一个已知漏洞及相应补丁的公布到该漏洞被利用之间的天数。

需要注意的是，对于最近的一些攻击，这一时间已经大大缩短了。

IT和安全人员不仅需要担心已知安全威胁，他们还不得不集中精力来防止各种被称之为“零小时”（zero-hour）或“零日”（zero-day）的新的未知的威胁。

为了对抗这种新的威胁，安全技术也在不断进化，包括深度包检测防火墙、应用网关防火墙、内容过滤、反垃圾邮件、SSLVPN、基于网络的防病毒和入侵防御系统（IPS）等新技术不断被应用。

但是黑客的动机正在从引起他人注意向着获取经济利益转移，我们可以看到一些更加狡猾的攻击方式正被不断开发出来，以绕过传统的安全设备，而社会工程（socialengineering）陷阱也成为新型攻击的一大重点。

传统的防火墙系统

状态检测防火墙原本是设计成一个可信任企业网络和不可信任的公共网络之间的安全隔离设备，用以保证企业的互联网安全。

状态检测防火墙是通过跟踪会话的发起和状态来工作的。

通过检查数据包头，状态检测防火墙分析和监视网络层（L3）和协议层（L4），基于一套用户自定义的防火墙策略来允许、拒绝或转发网络流量。

传统防火墙的问题在于黑客已经研究出大量的方法来绕过防火墙策略。

这些方法包括：

●利用端口扫描器的探测可以发现防火墙开放的端口。

●攻击和探测程序可以通过防火墙开放的端口穿越防火墙。

如MSN、QQ等IM（即时通信）工具均可通过80端口通信，BT、电驴、Skype等P2P软件的通信端口是随机变化的，使得传统防火墙的端口过滤功能对他们无能为力。

SoftEther等软件更可以将所有TCP/IP通讯封装成HTTPS数据包发送，使用传统的状态检测防火墙简直防不胜防。

SoftEther可以很轻易的穿越传统防火墙

●PC上感染的木马程序可以从防火墙的可信任网络发起攻击。

由于会话的发起方来自于内部，所有来自于不可信任网络的相关流量都会被防火墙放过。

当前流行的从可信任网络发起攻击应用程序包括后门、木马、键盘记录工具等，它们产生非授权访问或将私密信息发送给攻击者。

●较老式的防火墙对每一个数据包进行检查，但不具备检查包负载的能力。

病毒、蠕虫、木马和其它恶意应用程序能未经检查而通过。

●当攻击者将攻击负载拆分到多个分段的数据包里，并将它们打乱顺序发出时，较新的深度包检测防火墙往往也会被愚弄。

●使用笔记本电脑、PDA和便携邮件设备的移动用户会在他们离开办公室的时候被感染，并将威胁带回公司网络。

边界防火墙对于从企业信任的内部网络发起的感染和攻击爱莫能助。

图：

被通过知名端口（80端口）攻击的网站数

基于主机的防病毒软件

基于主机的防病毒软件是部署得最广泛的安全应用，甚至超过了边界防火墙。

基于主机的防病毒软件随着上世纪80年代中期基于文件的病毒开始流行而逐渐普及，如今已成为最受信任的安全措施之一。

但是基于主机的防病毒软件也有它的缺点，包括：

●需要安装、维护和保持病毒特征库更新，这就导致了大量的维护开销。

●很多用户并没有打开防病毒软件的自动更新功能，也没有经常的手动更新他们的病毒库，这就导致防病毒软件对最新的威胁或攻击无用。

●用户有时可能会有意或无意的关闭他们的单机安全应用程序。

●最新的复杂的木马程序能对流行的基于主机的防病毒软件进行扫描，并在它们加载以前就将它们关闭–这就导致即使有了最新的病毒特征码，事实上它们还是不能被检测出来。

企业单纯依靠给予主机的防病毒软件和给操作系统和应用程序打补丁的方法会使它们的内部系统面临很高的安全风险。

随着业务中使用了越来越多的面向全球且需要持续运行的关键应用，停机来更新操作系统补丁、病毒特征码和应用升级变得越来越困难。

而公司的Web、Email、电子商务、数据库、应用等服务器由于长时间不打补丁会很容易在新的攻击方式下暴露出它们的漏洞。

仅仅依靠基于主机的防病毒软件的另一个缺点是，事实上有害代码在被每一个主机的安全软件检测和阻挡之前就已经进入了公司的网络，这就大大威胁了企业关键业务系统和网络应用。

采用功能单一的产品的缺点

要想构建一个立体的安全防护体系，必须要考虑多层次的防护，包括：

1.防火墙

2.VPN网关

3.入侵防御系统（IPS）

4.网关防病毒

5.网页及URL过滤

6.应用程序过滤及带宽控制

采用功能单一的产品会带来成本增加，管理难度高的问题。

如果想部署一个立体的安全防护体系，必须要将很多设备串接在网络中，这样会造成网络性能下降，故障率高，管理复杂。

三、惠尔顿下一代防火墙（NGWF）介绍及优势

下一代防火墙，即NextGenerationFirewall，简称NGFirewall，是一款可以全面应对应用层威胁的高性能防火墙。

通过深入洞察网络流量中的用户、应用和内容，并借助全新的高性能单路径异构并行处理引擎，NGFW能够为用户提供有效的应用层一体化安全防护，帮助用户安全地开展业务并简化用户的网络安全架构。

作为应用层安全设备的领先厂商，惠尔顿公司的下一代防火墙安全平台通过动态威胁防御技术、风险分析扫描引擎提供了无与伦比的功能和检测能力。

惠尔顿下一代防火墙具有以下优势：

精细的应用层安全防护

惠尔顿采用DPI的识别方式使得应用层协议可视化可控，NGWF可以根据应用的行为和特征实现对应用进行识别和控制，而不仅仅依赖于端口或标准协议，摆脱了传统设备只能通过IP地址或者五元组控制的粗粒度，即使加密过的数据流也能进行管控。

目前，NGWF可以识别700多种应用，识别上千种网络行为动作，还可以与多种认证系统（AD、LDAP、Radius等）无缝对接，自动识别出网络当中IP地址【MAC地址、用户身份】对应的用户信息，并建立组织的用户分组结构；满足了普通互联网边界行为管控的要求。

可以识别和控制丰富的内网应用，如迅雷P2P、RDP、LotusNotes、RTX、Citrix、OracleEBS、金蝶EAS、用友NC、U8、SAP、LDAP等，针对用户应用系统更新服务的诉求，NGWF还可以精细识别MicrosoftSHAREPOINT、奇虎360、Symantec、Sogou、Kaspersky、McNGWFee、金山毒霸、江民杀毒等软件更新,保障在安全管控严格的环境下，系统软件更新服务畅通无阻。

因此，通过应用的协议识别制定的二到七层的应用访问控制策略，可以为用户提供更加精细和直观化控制界面，在一个界面下完成多套设备的运维工作，提升工作效率。

WEB应用的安全防护

 惠尔顿融合了漏洞防护、web安全防护等多种安全技术，具备12000+条漏洞特征库、木马插件等恶意内容特征库、800+Web应用威胁特征库，可以全面识别各种应用层和内容级别的各种安全威胁。

提供URL过滤、文件过滤、ActiveX过滤、脚本过滤等多种WEB安全防护手段通过对应用流中的数据报文内容进行探测，从而确定数据报文的真正应用

应用层带宽管理

  惠尔顿内置专业流量管理产品以应用对象设置、用户对象设置、时间对象设置、带宽通道对象设置、用户自定义对象设置基础，通过应用控制、流量管理、内容过滤等策略，最大限度地满足用户在流量管理方面的不同需求，实现用户网络人性化的精确管理。

专业流量管理产品满足了企业不同业务主次之分，系统分为0-7共8个QoS优先级控制策略，从而为指定的应用和通道提供差异化的影响级别。

同时也可以为特定的实时应用，如视频会议、VOIP等，预留固定的带宽，保证实时应用的流畅使用。

IPS漏洞防护

   支持12000多种流量异常特征库，并可以按优先级区分不同类型的漏洞攻击，按“高”，“中”，“低”区分；

包括敏感信息泄露DOS攻击/尝试获取用户特权的攻击/尝试获取管理员特权的攻击/网络流量中发现可执行文件的注入/可疑关键字和可疑文件的注入/远程过程调用告警/网络木马程序注入/客户端使用可疑端口通信/可疑的网络扫描/篡改标准协议和非法事件的告警/潜在的web攻击/ICMP告警/异常内容告警/公司机密泄露/尝试用默认账号窃取信息等。

网络病毒防护

   病毒库数量：

100,000+，定期更新，基于流引擎查毒技术，针对HTTP、FTP、SMTP、POP3、IMAP等协议进行查杀。

线速的状态检测防火墙

 支持线路的带宽叠加，充分利用多条internet接入；

  支持多线路的策略路由，智能选择更快的线路接入internet；

  支持三种工作模式（NAT模式、透明桥模式、路由模式）；

  支持状态检测防火墙（基于IP/IP段/IP组、IP/MAC、PORT、时间控制等策略组合）；

  支持关键字、文件类型、域名等内容过滤；

 支持VLAN与静态路由

四、惠尔顿NGWF功能简介

Web防火墙

URL过滤

支持HTTP和HTTPS告警和过滤，支持自定义的URL过滤，支持自定义的HTTP特征对象

文件过滤

识别800+文件类型，支持文件名关键字的文件告警和过滤；对需要存储到磁盘的文件计算其MD5值和抓取时的流信息，方便文件后续的管理

ActiveX过滤

支持针对上传、下载等操作进行文件过滤；支持自定义文件类型进行过滤；支持基于时间表的策略制定；支持的处理动作包括：

阻断和记录日志

脚本过滤

支持基于操作类型的脚本过滤，如注册表读写、文件读写、变形脚本、威胁对象调用、恶意图片等

IPS漏洞防护

漏洞防护类型

敏感信息泄露DOS攻击/尝试获取用户特权的攻击/尝试获取管理员特权的攻击/网络流量中发现可执行文件的注入/可疑关键字和可疑文件的注入/远程过程调用告警/网络木马程序注入/客户端使用可疑端口通信/可疑的网络扫描/篡改标准协议和非法事件的告警/潜在的web攻击/ICMP告警/异常内容告警/公司机密泄露/尝试用默认账号窃取信息等

漏洞攻击严重程度

可以按优先级区分不同类型的漏洞攻击，按“高”，“中”，“低”区分

规则库数量

支持12000多种流量异常特征库，定期更新

病毒防护

病毒引擎

基于流引擎查毒技术，针对HTTP、FTP、SMTP、POP3、IMAP等协议进行查杀

病毒库数量

病毒库数量：

100,000+，定期更新

流量管理

对象设置

支持基于IP/IP组/用户/用户组、第七层应用、时间段的控制

带宽保证

保障最低带宽，预留固定带宽（带宽预留）

带宽限制

限制最大带宽

带宽QoS

带宽自定义优先级控制

应用封堵

指定任何第七层应用/第七层应用的组合的封堵、限流

用户认证

用户组织

根据企业的组织结构设置用户/用户树

在线用户

详细统计在线用户流量、网速、当前服务，并立刻给予策略

用户认证

支持网