1、惠尔顿下一代防火墙(NGWF)设计方案深圳市惠尔顿信息技术有限公司2016年 5月 1日惠尔顿下一代防火墙 1 400 6886 502目 录一、方案背景 1二、网络安全现状 1三、惠尔顿下一代防火墙(NGWF )介绍及优势 5四、惠尔顿 NGWF 功能简介 8五、部署模式及网络拓扑 10六、项目报价 11七、售后服务 12惠尔顿下一代防火墙 2 400 6886 502一、方案背景无锡某部队响应国家公安部 82 号令号召,加强部队网络安全建设。针对目前网络存在的涉密、泄密、木马、病毒等进行预防。二、网络安全现状近几年来,计算机和网络攻击的复杂性不断上升,使用传统的防火墙和入侵检测系统(I
2、DS)越来越难以检测和阻挡。随着每一次成功的攻击,黑客会很快的学会哪种攻击方向是最成功的。漏洞的发现和黑客利用漏洞之间的时间差也变得越来越短,使得 IT 和安全人员得不到充分的时间去测试漏洞和更新系统。随着病毒、蠕虫、木马、后门和混合威胁的泛滥,内容层和网络层的安全威胁正变得司空见惯。复杂的蠕虫和邮件病毒诸如Slammer、Blaster、Sasser、Sober、MyDoom 等在过去几年经常成为头条新闻,它们也向我们展示了这类攻击会如何快速的传播通常在几个小时之内就能席卷全世界。许多黑客正监视着软件提供商的补丁公告,并对补丁进行简单的逆向工程,由此来发现漏洞。下图举例说明了一个已知漏洞及相
3、应补丁的公布到该漏洞被利用之间的天数。需要注意的是,对于最近的一些攻击,这一时间已经大大缩短了。IT 和安全人员不仅需要担心已知安全威胁,他们还不得不集中精力来防止各种被称之为“零小时” (zero-hour)或“零日” (zero-day)的新的未知的威胁。为了对抗这种新的威胁,安全技术也在不断进化,包括深度包检测防火墙、应用网关防火墙、内容过滤、反垃圾邮件、SSL VPN、基于网络的防病毒和入侵防御系统(IPS)等新技术不断被应用。但是黑客的动机正在从引起他人注意向着获取经济利益转移,我们可以看到一些更加狡猾的攻击方式正被不断开发出来,以绕过传统的安全设备,而社会工程(social eng
4、ineering)陷阱也成为新型攻击的一大重点。惠尔顿下一代防火墙 3 400 6886 502传统的防火墙系统状态检测防火墙原本是设计成一个可信任企业网络和不可信任的公共网络之间的安全隔离设备,用以保证企业的互联网安全。状态检测防火墙是通过跟踪会话的发起和状态来工作的。通过检查数据包头,状态检测防火墙分析和监视网络层(L3)和协议层(L4) ,基于一套用户自定义的防火墙策略来允许、拒绝或转发网络流量。传统防火墙的问题在于黑客已经研究出大量的方法来绕过防火墙策略。这些方法包括: 利用端口扫描器的探测可以发现防火墙开放的端口。 攻击和探测程序可以通过防火墙开放的端口穿越防火墙。如 MSN、QQ
5、 等IM(即时通信)工具均可通过 80 端口通信,BT、电驴、Skype 等 P2P 软件的通信端口是随机变化的,使得传统防火墙的端口过滤功能对他们无能为力。SoftEther 等软件更可以将所有 TCP/IP 通讯封装成 HTTPS 数据包发送,使用传统的状态检测防火墙简直防不胜防。惠尔顿下一代防火墙 4 400 6886 502SoftEther 可以很轻易的穿越传统防火墙 PC 上感染的木马程序可以从防火墙的可信任网络发起攻击。由于会话的发起方来自于内部,所有来自于不可信任网络的相关流量都会被防火墙放过。当前流行的从可信任网络发起攻击应用程序包括后门、木马、键盘记录工具等,它们产生非授
6、权访问或将私密信息发送给攻击者。 较老式的防火墙对每一个数据包进行检查,但不具备检查包负载的能力。病毒、蠕虫、木马和其它恶意应用程序能未经检查而通过。 当攻击者将攻击负载拆分到多个分段的数据包里,并将它们打乱顺序发出时,较新的深度包检测防火墙往往也会被愚弄。 使用笔记本电脑、PDA 和便携邮件设备的移动用户会在他们离开办公室的时候被感染,并将威胁带回公司网络。边界防火墙对于从企业信任的内部网络发起的感染和攻击爱莫能助。惠尔顿下一代防火墙 5 400 6886 502图:被通过知名端口(80 端口)攻击的网站数基于主机的防病毒软件基于主机的防病毒软件是部署得最广泛的安全应用,甚至超过了边界防火
7、墙。基于主机的防病毒软件随着上世纪 80 年代中期基于文件的病毒开始流行而逐渐普及,如今已成为最受信任的安全措施之一。但是基于主机的防病毒软件也有它的缺点,包括: 需要安装、维护和保持病毒特征库更新,这就导致了大量的维护开销。 很多用户并没有打开防病毒软件的自动更新功能,也没有经常的手动更新他们的病毒库,这就导致防病毒软件对最新的威胁或攻击无用。 用户有时可能会有意或无意的关闭他们的单机安全应用程序。 最新的复杂的木马程序能对流行的基于主机的防病毒软件进行扫描,并在它们加载以前就将它们关闭 这就导致即使有了最新的病毒特征码,事实上它们还是不能被检测出来。企业单纯依靠给予主机的防病毒软件和给操作
8、系统和应用程序打补丁的方法会使它们的内部系统面临很高的安全风险。随着业务中使用了越来越多的面向全球且需要持续运行的关键应用,停机来更新操作系统补丁、病毒特征码和应用升级变得越来越困难。而公司的 Web、Email、电子商务、数据库、应用等服务器由于长时间不打补丁会很容易在新的攻击方式下暴露出它们的漏洞。仅仅依靠基于主机的防病毒软件的另一个缺点是,事实上有害代码在被每一个主惠尔顿下一代防火墙 6 400 6886 502机的安全软件检测和阻挡之前就已经进入了公司的网络,这就大大威胁了企业关键业务系统和网络应用。采用功能单一的产品的缺点要想构建一个立体的安全防护体系,必须要考虑多层次的防护,包括
9、:1. 防火墙2. VPN 网关3. 入侵防御系统(IPS)4. 网关防病毒5. 网页及 URL 过滤6. 应用程序过滤及带宽控制采用功能单一的产品会带来成本增加,管理难度高的问题。如果想部署一个立体的安全防护体系,必须要将很多设备串接在网络中,这样会造成网络性能下降,故障率高,管理复杂。惠尔顿下一代防火墙 7 400 6886 502三、惠尔顿下一代防火墙(NGWF)介绍及优势下一代防火墙,即 Next Generation Firewall,简称 NG Firewall,是一款可以全面应对应用层威胁的高性能防火墙。通过深入洞察网络流量中的用户、应用和内容,并借助全新的高性能单路径异构并行
10、处理引擎,NGFW 能够为用户提供有效的应用层一体化安全防护,帮助用户安全地开展业务并简化用户的网络安全架构。作为应用层安全设备的领先厂商,惠尔顿公司的下一代防火墙安全平台通过动态威胁防御技术、风险分析扫描引擎提供了无与伦比的功能和检测能力。惠尔顿下一代防火墙具有以下优势:精细的应用层安全防护惠尔顿采用 DPI 的识别方式使得应用层协议可视化可控,NGWF 可以根据应用的行为和特征实现对应用进行识别和控制,而不仅仅依赖于端口或标准协议,摆脱了传统设备只能通过 IP 地址或者五元组控制的粗粒度,即使加密过的数据流也能进行管控。目前,NGWF 可以识别 700 多种应用,识别上千种网络行为动作,还
11、可以与多种认证系统(AD、LDAP、Radius 等)无缝对接,自动识别出网络当中 IP 地址【MAC 地址、用户身份】对应的用户信息,并建立组织的用户分组结构;满足了普通互联网边界行为管控的要求。可以识别和控制丰富的内网应用,如迅雷 P2P、RDP、Lotus Notes、RTX、Citrix 、Oracle EBS、金蝶 EAS、用友NC、U8、SAP、LDAP 等,针对用户应用系统更新服务的诉求,NGWF 还可以精细识别 Microsoft SHAREPOINT、奇虎 360、Symantec、 Sogou、Kaspersky、McNGWFee、金山毒霸、江民杀毒等软件更新,保障在安全管
12、控严格的环境下,系统软件更新服务畅通无阻。因此,通过应用的协议识别制定的二到七层的应用访问控制策略,可以为用户提供更加精细和直观化控制界面,在一个界面下完成多套设备的运维工作,提升工作效率。WEB 应用的安全防护惠尔顿下一代防火墙 8 400 6886 502惠尔顿融合了漏洞防护、web 安全防护等多种安全技术,具备 12000+条漏洞特征库、木马插件等恶意内容特征库、 800+Web 应用威胁特征库,可以全面识别各种应用层和内容级别的各种安全威胁。提供 URL 过滤、文件过滤、ActiveX 过滤、脚本过滤等多种 WEB 安全防护手段通过对应用流中的数据报文内容进行探测,从而确定数据报文的
13、真正应用应用层带宽管理惠尔顿内置专业流量管理产品以应用对象设置、用户对象设置、时间对象设置、带宽通道对象设置、用户自定义对象设置基础,通过应用控制、流量管理、内容过滤等策略,最大限度地满足用户在流量管理方面的不同需求,实现用户网络人性化的精确管理。专业流量管理产品满足了企业不同业务主次之分,系统分为 0-7 共 8 个 QoS 优先级控制策略,从而为指定的应用和通道提供差异化的影响级别。同时也可以为特定的实时应用,如视频会议、VOIP 等,预留固定的带宽,保证实时应用的流畅使用。IPS 漏洞防护支持 12000 多种流量异常特征库,并可以按优先级区分不同类型的漏洞攻击,按“高” , “中” ,
14、 “低”区分;包括敏感信息泄露 DOS 攻击/尝试获取用户特权的攻击/尝试获取管理员特权的攻击/网络流量中发现可执行文件的注入/可疑关键字和可疑文件的注入/远程过程调用告警/网络木马程序注入/客户端使用可疑端口通信/可疑的网络扫描/篡改标准协议和非法事件的告警/潜在的 web 攻击/ICMP 告警/异常内容告警/公司机密泄露/尝试用默认账号窃取信息等。网络病毒防护病毒库数量:100,000+,定期更新,基于流引擎查毒技术,针对HTTP、FTP、SMTP、POP3、IMAP 等协议进行查杀。线速的状态检测防火墙支持线路的带宽叠加,充分利用多条 internet 接入;支持多线路的策略路由,智能选
15、择更快的线路接入 internet;支持三种工作模式(NAT 模式、透明桥模式、路由模式) ;支持状态检测防火墙(基于 IP/IP 段/IP 组、IP/MAC、PORT、时间控制等策略组合) ;支持关键字、文件类型、域名等内容过滤;惠尔顿下一代防火墙 9 400 6886 502支持 VLAN 与静态路由惠尔顿下一代防火墙 10 400 6886 502四、惠尔顿 NGWF 功能简介URL 过滤 支持 HTTP 和 HTTPS 告警和过滤,支持自定义的 URL 过滤,支持自定义的 HTTP 特征对象文件过滤识别 800+文件类型,支持文件名关键字的文件告警和过滤;对需要存储到磁盘的文件计算
16、其 MD5 值和抓取时的流信息,方便文件后续的管理ActiveX 过滤支持针对上传、下载等操作进行文件过滤;支持自定义文件类型进行过滤;支持基于时间表的策略制定;支持的处理动作包括:阻断和记录日志Web防火墙脚本过滤 支持基于操作类型的脚本过滤,如注册表读写、文件读写、变形脚本、威胁对象调用、恶意图片等漏洞防护类型敏感信息泄露 DOS 攻击/尝试获取用户特权的攻击/尝试获取管理员特权的攻击/网络流量中发现可执行文件的注入/可疑关键字和可疑文件的注入/远程过程调用告警/网络木马程序注入/客户端使用可疑端口通信/可疑的网络扫描/篡改标准协议和非法事件的告警/潜在的 web 攻击/ICMP 告警/异
17、常内容告警/公司机密泄露/尝试用默认账号窃取信息等漏洞攻击严重程度 可以按优先级区分不同类型的漏洞攻击,按“高” ,“中” , “低”区分IPS漏洞防护规则库数量 支持 12000 多种流量异常特征库,定期更新惠尔顿下一代防火墙 11 400 6886 502病毒引擎 基于流引擎查毒技术,针对 HTTP、FTP、SMTP、POP3、IMAP等协议进行查杀病毒防护 病毒库数量 病毒库数量:100,000+,定期更新对象设置 支持基于 IP/IP 组/用户/用户组、第七层应用、时间段的控制带宽保证 保障最低带宽,预留固定带宽(带宽预留)带宽限制 限制最大带宽带宽 QoS 带宽自定义优先级控制流量
18、管理应用封堵 指定任何第七层应用/第七层应用的组合的封堵、限流用户组织 根据企业的组织结构设置用户/用户树在线用户 详细统计在线用户流量、网速、当前服务,并立刻给予策略用户认证 支持网页自动登录、客户端登录认证,自定义登录后属性本地用户 支持用户的批量导入、LDAP/AD 导入、内网主机自动扫描用户认证第三方认证 支持第三方的 RADIUS、LADP/MS AD、POP3 认证服务器目标 IP定位 能定位用户访问的目的地,并进行分析网络身份 能识别网络用户使用常见网络应用(邮件地址、QQ 帐号、MSN帐号、网络帐号)时的身份定位报警上网报警 发送违规关键字词告警惠尔顿下一代防火墙 12 40
19、0 6886 502邮件报警 发送违规邮件内容告警IM 报警 发送违规使用 IM 告警URL 过滤 支持内嵌 url 库千万级 URL 库,并智能分类,如:体育、教育、钓鱼网站等等URL 库 定期升级URL 自定义 自定义域名与 URL 的过滤或者放行,精细的 HTTP 自定义关键字过滤 支持网页中的关键字词网页过滤 支持根据访问的 URL 分类进行过滤发帖管理 过滤匹配关键字的网络发贴行为;支持允许用户浏览帖子但不准发贴功能;外发文件告警支持根据外发文件类型、关键字等条件的过滤告警,支持对 HTTP、FTP、Email 附件方式外发文件的识别、报警、过滤等管理措施;扩展名识别 支持基于外发文
20、件的扩展名识别外发文件类型;搜索引擎过滤 支持多搜索引擎关键字词的过滤地址过滤 支持根据发件人地址过滤外发邮件;附件过滤 支持基于扩展名过滤含指定文件类型的邮件外发行为;邮件关键字过滤 过滤匹配关键字的邮件外发行为;内容过滤Webmail 过滤 支持允许用户登录 Webmail 收邮件,而禁止发送Webmail 邮件的功能;惠尔顿下一代防火墙 13 400 6886 502防火墙检查 支持客户端防火墙的安全检测防病毒检查 支持客户端防病毒的安全检测操作系统漏洞扫描 支持客户端操作系统的漏洞扫描WINDOWS 登录 绑定用户登录计算机,拔出 Key 自动锁屏VPN 专线效果 客户端连接到应用服
21、务器后自动断开与 internet 的连接禁止外设 支持禁止 USB、光驱、软驱、红外、无线网络、CF卡等客户端准入进程黑白名单 支持设置进程黑白名单惠尔顿下一代防火墙 14 400 6886 502五、部署模式及网络拓扑部署模式:1.网关模式2.路由模式3.桥模式惠尔顿下一代防火墙 15 400 6886 502六、项目报价产品质保期一年,一年内免费维护更新协议库。超过质保期每年交维护更新费用,费用价格是产品单价的 10%产品 描述 单价(元)数量(台)折扣 小计(元)惠尔顿下一代防火墙W3080NGWF专用 2U千兆硬件平台,4*RJ45,4*SFP,可扩展;吞吐量:4G,L7 处理能
22、力:2G,ByPass,应用防火墙、IPS、安全浏览、内容过滤、流量监控、带宽管理、用户访问控制、数据中心、统计/风险报告388800 1 30% 116400安装维护调试培训费用第一年免费惠尔顿下一代防火墙 16 400 6886 502七、售后服务5 * 8的电话和现场支持7 *24 的会员管理网络平台及呼叫服务2小时响应承诺制服务优点:凡是产品问题,都只需通过一个技术支持源即可解决。 通过惠尔顿会员管理网络平台,客户和产品信息都存在统一的数据库中,最终用户的技术人员可以高效地获得所需的产品和历史维护记录信息,积极主动地提高知识和网络整体操作水平。 如果出现通过会员管理系统无法解决的重大问题,可以在 24小时内与惠尔顿工程师取得联系,排除故障。 如果发生的问题不能快速地得到解决,惠尔顿有一个问题上报流程,确保服务请求的连续性。 惠尔顿有一个实验室来模拟复杂的问题,以便排除故障。
