您的位置首页  国际网球

国内防火墙品牌中科网威企业防火墙方案

  • 来源:互联网
  • |
  • 2017-02-11
  • |
  • 0 条评论
  • |
  • |
  • T小字 T大字

  随着云计算、Web2.0、移动互联网、物联网等新兴应用技术一起被广泛使用,企业面临日益增加的网络安全威胁,我国的网络安全形势变得日益严峻,Gartner在2009年白皮书中对定义NGFW的定义已无法覆盖细节技术需求时的认知已经明显不足,定义的下一代防火墙产品在国内的网络环境下并不能产生很好的防护效果。随着Internet接入的普及和带宽的增加,一方面员工上网条件得到改善,另一方面也给企业带来更高的网络使用危险性、复杂性和混乱性。互联网资源的滥用,给企业、政府、事业单位等各行业各组织带来了巨大的损失。无孔不入的病毒(尤其是木马、ARP欺骗等)、恶意软件、DOS攻击等仍然大肆泛滥,严重影响了企事业单位应用系统的运行和业务的正常运作;特别在针对内网安全方面(尤其是PC客户端准入安全检查)缺少专门的网络安全控制防护设备,无法查找和修复内网的安全隐患,从而无法有效的保护整个内部网络的安全性。所以企业需建立一套符合应用和用户识别、应用安全控制、内容安全防护、性能处理能力四个方面进行全方位网络安全防护的防火墙进行网络安全保障。

  1、产品方案原则

  可靠性及可用性:防火墙系统的可靠性包括内网安全可靠性、数据可靠性和单一设备可靠性三个方面。防火墙的可用性是通过冗余、高可用集群、应用与底层设备松耦合等特性来体现,从硬件设备冗余、链路冗余、应用容错等方面充分保证整体系统的可用性。

  安全性:遵循国家电子政务安全等保标准,设计安全防护体系保证企业信息数据中心安全。保障网络安全、主机安全、应用安全、数据保安全、安全管理。

  成熟性:从架构设计、软硬件选型和IT管理三个方面设计信息数据中心解决方案,采用经过大规模商用实践检验的架构方案和软硬件产品选型,采用符合《信息安全技术第二代防火墙安全技术要求》规范的IT管理方案,保障方案的成熟性。

  可扩展性:支撑信息中心的资源需要根据业务应用工作负荷需求进行弹性伸缩,IT基础架构应与业务系统松耦合,这样,在业务系统进行容量扩展时,只需增加相应数量的IT硬件设备,即可实现系统的灵活扩展。

  2、中科网威防火墙解决方案

  中科网威深入解读公安部推出的GA/T1177-2014《信息安全技术第二代防火墙安全技术要求》的下一代防火墙标准,在赞同Gartner给出下一代防火墙的定义与观点的基础上,又针对应用和用户识别、应用安全控制、内容安全防护、性能处理能力四个方面推出的下一代防火墙产品进行了如下改进与与优化。

  2.1应用层安全防护

  中科网威下一代防火墙采用DPI的识别方式使得应用层协议可视化可控,可以根据应用的行为和特征实现对应用进行识别和控制,而不仅仅依赖于端口或标准协议,摆脱了传统设备只能通过IP地址或者五元组控制的粗粒度,即使加密过的数据流也能进行管控。中科网威下一代防火墙可以识别700多种应用,识别上千种网络行为动作,还可以与多种认证系统(AD、LDAP、Radius等)无缝对接,自动识别出网络当中IP地址、MAC地址、用户身份对应的用户信息,并建立组织的用户分组结构;满足了普通互联网边界行为管控的要求。可以识别和控制丰富的内网应用,如迅雷P2P、RDP、LotusNotes、RTX、Citrix、OracleEBS、金蝶EAS、用友NC、U8、SAP、LDAP等,针对用户应用系统更新服务的诉求,中科网威下一代防火墙还可以精细识别MicrosoftSHAREPOINT、奇虎360、Symantec、Sogou、Kaspersky、金山毒霸、江民杀毒等软件更新,保障在安全管控严格的环境下,系统软件更新服务畅通无阻。通过应用的协议识别制定的二到七层的应用访问控制策略,可以为用户提供更加精细和直观化控制界面,在一个界面下完成多套设备的运维工作,提升工作效率。

  2.2WEB应用安全防护

  中科网威下一代防火墙融合了漏洞防护、Web安全防护等多种安全技术,具备12000多条漏洞特征库、木马插件等恶意内容特征库、800多条Web应用威胁特征库,可以全面识别各种应用层和内容级别的各种安全威胁。提供URL过滤、文件过滤、ActiveX过滤、脚本过滤等多种WEB安全防护手段通过对应用流中的数据报文内容进行探测,从而确定数据报文的真正应用。

  中科网威下一代防火墙WEB应用防护通过主动防御已知和未知攻击,实时阻断各种黑客攻击,如防SQL注入、XSS攻击、网站扫描、WEBSHELL、会话劫持攻击等。

  SQL注入攻击产生的原因是由于在开发WEB应用时,没有对用户输入的数据做合法性检查和判断,用户在提交一段数据库查询代码,根据程序返回的结果,获得默写他想得知的数据,这就是所谓的SQL注入。中科网威下一代防火墙通过高效的URL过滤技术,过滤SQL注入的关键信息,从而有效的避免网站服务器受到的SQL注入攻击。跨站攻击产生的原理是攻击者通过向WEB页面里插入恶意HTML代码,从而达到特殊目的。中科网威下一代防火墙通过先进的数据包正则表达式匹配原理,可以准确地过滤数据包中包含的跨站式攻击的恶意代码,从而保护用户的WEB服务器安全。

  2.3应用带宽管理

  中科网威下一代防火墙内置专业流量管理以应用对象设置、用户对象设置、时间对象设置、带宽通道对象设置、用户自定义对象设置基础,通过应用控制、流量管理、内容过滤等策略,最大限度地满足用户在流量管理方面的不同需求,实现用户网络人性化的精确管理。专业流量管理产品满足了企业不同业务主次之分,系统分为0-7共8个QoS优先级控制策略,从而为指定的应用和通道提供差异化的影响级别。同时也可以为特定的实时应用,如视频会议、VOIP等,预留固定的带宽,保证实时应用的流畅使用。

  IPS入侵防护

  中科网威下一代防火墙支持12000多种流量异常特征库,并可以按优先级区分不同类型的漏洞攻击,按高,中,低区分;包括敏感信息泄露DOS攻击/尝试获取用户特权的攻击/尝试获取管理员特权的攻击/网络流量中发现可执行文件的注入/可疑关键字和可疑文件的注入/远程过程调用告警/网络木马程序注入/客户端使用可疑端口通信/可疑的网络扫描/篡改标准协议和非法事件的告警/潜在的web攻击/ICMP告警/异常内容告警/公司机密泄露/尝试用默认账号窃取信息等。

  2.4病毒防护

  中科网威下一代防火墙内置病毒库数量100,000+定期持续更新,基于流引擎病毒查杀技术,针对HTTP、FTP、SMTP、POP3、IMAP等协议进行病毒查杀。

  采用流模式和启发式文件扫描技术,对利用HTTP、SMTP、POP3、FTP、IM等多种协议进行传播的病毒进行扫描,完成对木马病毒、蠕虫病毒、宏病毒、脚本病毒等的查杀,同时支持多线程并发控制、深层次压缩文件杀毒、病毒白名单等功能。中科网威下一代防火墙将专业防病毒引擎和多核并行处理技术完美融合,实现高速病毒处理性能。

  2.5状态检测防火墙

  支持线路的带宽叠加,充分利用多条Internet接入;

  支持多线路的策略路由,智能选择更快的线路接入Internet;

  支持三种工作模式(NAT模式、透明桥模式、路由模式);

  支持状态检测防火墙(基于IP/IP段/IP组、IP/MAC、PORT、时间控制等策略组合);

  支持关键字、文件类型、域名等内容过滤;

  支持VLAN与静态路由;

  3、产品方案优势

  3.1更加细腻的应用安全防护

  不断更新应用规则库,基于应用层,细腻控制识别上千种网络行为动作;精细识别奇虎360、Symantec、Sogou、Kaspersky、金山毒霸、江民杀毒等软件更新,保障在安全管控严格的环境下,系统软件更新服务畅通无阻;

  3.2WEB应用与服务器防护

  融合了漏洞防护、Web安全防护等安全技术,具备12000多条漏洞特征库、木马插件等恶意内容特征库、1000多条Web应用威胁特征库,可以全面识别各种应用层和内容级别的安全威胁保障服务器安全;

  3.3深度IPS入侵防护

  内置2500多条威胁特征库,深度防护远程扫描、暴力破解、缓存区溢出、蠕虫病毒、木马后门、SQL注入、跨站脚本等各种网络及应用攻击,实时阻断各种黑客攻击,如防SQL注入、XSS攻击、网站扫描、WEBSHELL、会话劫持攻击等;

  3.4更强大病毒入侵防护

  内置病毒库数量100,000+以上并定期持续更新,基于流引擎病毒查杀技术,采用流模式和启发式文件扫描技术,对利用HTTP、SMTP、POP3、FTP、IM等多种协议进行传播的病毒进行扫描,完成对木马病毒、蠕虫病毒、宏病毒、脚本病毒等的查杀。

  4、防火墙部署方式

  4.1路由模式(网关模式)

  中科网威下一代防火墙通过网关模式串接在用户网络链路中,所有流量都通过设备处理,对内网用户上网数据实施所有的审计、控制、拦截、防护管理等功能。若将设备作为企业的Internet出口网关,下一代防火墙功能保障企业网络的安全,多线路技术扩展出口带宽、NAT功能代理内网用户上网,实现基本的路由功能等。

  注:图中ANYSEC安全网关即为下一代防火墙网关

  部署方式:设备的WAN口与广域网的接入线路相连,一般是光纤、ADSL等线路或者是路由器。LAN口(或DMZ)同局域网的交换机相连,内网PC将网关指向设备局域网接口,进而通过设备NAT上网。

  4.2网桥模式

  网桥模式部署的中科网威下一代防火墙同样串接在用户的网络链路中,如同连接在出口网关和内网交换机之间的智能网线,对流经设备的所有数据进行审计、控制、拦截、流量管理等操作。网桥模式主要适用于不希望更改网络结构、路由配置、IP配置的用户。

  部署方式:将设备的的运行模式调整为桥接模式,并选定两个或者以上桥接接口后配置

  一个管理IP。然后将选定的桥接接口分别连接企业的出口网关和局域网的核心交换机即可。

  局域网内的任何网络设备和PC都不需要做改动。

  4.3旁路模式

  采用旁路模式部署的中科网威下一代防火墙,将与局域网核心交换机连接Internet出口防火墙(或路由器)端口的镜像端口相连,部署实施简单,完全不影响原有网络结构,降低了网络单点故障的发生概率。主要用于监听、审计局域网中的数据量及用户的网络行为。

  因为旁路模式部署的中科网威ANYSEC上网行为管理获得的是上网出口链路中数据的拷贝,因而主要用于满足管理者的内网监控和行为记录需求,同时能够对用户的TCP行为进行管控。

  深圳市中科网威科技有限公司

  合作咨询:胡经理,在线交流:

  更多详情请登录产品官网

免责声明:本站所有信息均搜集自互联网,并不代表本站观点,本站不对其真实合法性负责。如有信息侵犯了您的权益,请告知,本站将立刻处理。联系QQ:1640731186
友荐云推荐