需求分析

某公司擁有大型的網(wǎng)絡(luò)架構(gòu)，網(wǎng)關(guān)處已經(jīng)部署了防火墻，內(nèi)網(wǎng)交換機(jī)cisco 4506支持著公司內(nèi)部大約2000人的上網(wǎng)業(yè)務(wù)。機(jī)構(gòu)內(nèi)部也已經(jīng)應(yīng)用了眾多信息系統(tǒng)，包括OA系統(tǒng)、HR系統(tǒng)、WEB服務(wù)器、郵件服務(wù)器等，各業(yè)務(wù)應(yīng)用系統(tǒng)都或多或少的通過(guò)互聯(lián)網(wǎng)平臺(tái)得到整體應(yīng)用。

隨著網(wǎng)絡(luò)的發(fā)展，網(wǎng)絡(luò)應(yīng)用不斷豐富。公司的大量應(yīng)用建立在HTTP等基礎(chǔ)協(xié)議之上，或者隨機(jī)產(chǎn)生端口號(hào)，或者采用SSL加密等方式來(lái)隱藏內(nèi)容。而企業(yè)的IP地址和各項(xiàng)應(yīng)用站點(diǎn)又是面向互聯(lián)網(wǎng)的用戶。因此如何"看清"應(yīng)用中的內(nèi)容并進(jìn)行防御，這是對(duì)此次網(wǎng)絡(luò)整改中的防火墻提出了新要求。其次，網(wǎng)絡(luò)正在從千兆走向萬(wàn)兆甚至10萬(wàn)兆，網(wǎng)絡(luò)帶寬增長(zhǎng)迅速，防火墻應(yīng)有足夠的性能和擴(kuò)展性來(lái)應(yīng)對(duì)這種變化。再次，隨著遠(yuǎn)程辦公的快速增長(zhǎng)，要求防火墻既能抵抗外部攻擊，又能允許合法的遠(yuǎn)程訪問(wèn)VPN，尤其重要的是能夠識(shí)別加密過(guò)的數(shù)據(jù)。

該公司信息中心的有關(guān)領(lǐng)導(dǎo)，一直在尋找能夠解決網(wǎng)絡(luò)整體安全的方案，從集團(tuán)公司的網(wǎng)關(guān)安全作為出發(fā)點(diǎn)，著重確保服務(wù)器區(qū)安全，以及服務(wù)器中的應(yīng)用服務(wù)的穩(wěn)定及安全的整體解決方案。

客戶網(wǎng)絡(luò)現(xiàn)狀分析

通過(guò)以上機(jī)構(gòu)的內(nèi)網(wǎng)拓?fù)浜?jiǎn)圖可見(jiàn)，現(xiàn)有的防火墻已經(jīng)使用了5年的時(shí)間，而且僅僅只用來(lái)作為普通防火墻來(lái)做包過(guò)濾， 近幾年來(lái)，公司每年都會(huì)出現(xiàn)病毒風(fēng)暴，從而影響公司內(nèi)網(wǎng)網(wǎng)絡(luò)， 嚴(yán)重的時(shí)候公司財(cái)務(wù)部都無(wú)法進(jìn)行稅務(wù)報(bào)稅，因此防御病毒對(duì)整個(gè)網(wǎng)絡(luò)的干擾也是此次網(wǎng)絡(luò)安全整體改造的一方面。

桌面的機(jī)器管理，一直都未納入管理體制中，多數(shù)PC機(jī)器都是由于私自安裝一些陌生的程序而感染到病毒的，因此我們也計(jì)劃引入桌面機(jī)的管理體制，從統(tǒng)計(jì)PC機(jī)的物理配置開(kāi)始，限制陌生軟件的使用，從而杜絕病毒的滲透。

背景介紹

如今網(wǎng)絡(luò)世界發(fā)生了巨大的變化：首先，成千萬(wàn)的應(yīng)用都基于Web，通過(guò)端口來(lái)區(qū)分應(yīng)用的方法已經(jīng)過(guò)時(shí)了。端口在傳統(tǒng)防火墻面前就像一個(gè)個(gè)封閉的管道，管道里跑著各式各樣的應(yīng)用，而傳統(tǒng)防火墻除了能看到管道的外體，對(duì)管道里發(fā)生的事情一無(wú)所知。

其次，應(yīng)用也不像過(guò)去、非黑即白，而是黑白混合，是灰度的。舉個(gè)例子，聊天工具到底是安全的還是危險(xiǎn)的？誰(shuí)也說(shuō)不清楚。也許對(duì)方的聊天工具已被木馬控制，發(fā)來(lái)一個(gè)文件本身就是木馬，一打開(kāi)就中招了。傳統(tǒng)的思路就是把聊天工具封堵了，但這樣很多基于聊天工具的正常工作也無(wú)法開(kāi)展了。#p#

另外，現(xiàn)在的攻擊目的也在轉(zhuǎn)變，攻擊系統(tǒng)的惡作劇越來(lái)越少，有經(jīng)濟(jì)目地的信息竊取越來(lái)越多，如竊取個(gè)人賬戶、企業(yè)機(jī)密等。而且這種攻擊不僅僅是針對(duì)操作系統(tǒng)，應(yīng)用和數(shù)據(jù)庫(kù)都成為了攻擊目標(biāo)。所以即使IDS、IPS在，網(wǎng)絡(luò)依然被篡改，信息依然被竊取，這也是近年來(lái)網(wǎng)頁(yè)防篡改系統(tǒng)、WAF產(chǎn)品逐漸盛行的原因。

最后，傳統(tǒng)的IPS和AV大部分都是基于特征庫(kù)匹配的DPI技術(shù)，只能對(duì)于已知的威脅進(jìn)行防護(hù)，而對(duì)于哪些最新的威脅變種或者未曝光的未知威脅卻無(wú)能為力。近年來(lái)的"0 Day"零日漏洞攻擊越來(lái)越多，比如微軟的"極光"、"MPEG-2"。

但是大多數(shù)傳統(tǒng)防火墻廠商卻沒(méi)有改進(jìn)自己的技術(shù)，倒一窩蜂的置身于性能競(jìng)賽中。防火墻的吞吐量記錄不斷被刷新，但在面對(duì)各種新的應(yīng)用和攻擊方面卻仿佛視而不見(jiàn)。這好比過(guò)去的模擬電視，尺寸越來(lái)越大，外觀越來(lái)越漂亮，但數(shù)字電視的到來(lái)卻一夜間給模擬電視敲響了喪鐘。

梭子魚(yú)下一代防火墻解決方案介紹

如下圖所示，我們將部署一臺(tái)梭子魚(yú)下一代防火墻（以下簡(jiǎn)稱NG Firewall）產(chǎn)品替換原有防火墻，由于我們梭子魚(yú)的物理性能高達(dá)1.4G的路由性能，所以完全可以支持內(nèi)網(wǎng)２０００名員工的上網(wǎng)服務(wù)，同時(shí)具有AV防病毒及IPS入侵檢測(cè)的功能。

其次梭子魚(yú)下一代防火墻產(chǎn)品，擁有７層應(yīng)用層數(shù)據(jù)過(guò)濾的功能，因此，我們可以為公司內(nèi)網(wǎng)員工提供應(yīng)用過(guò)濾，可以屏蔽一些Ｐ２Ｐ下載，網(wǎng)頁(yè)視頻，ＩＭ通訊等服務(wù)。當(dāng)然，對(duì)其他應(yīng)用層服務(wù)，我們計(jì)劃做一些帶寬限制或者帶寬保留服務(wù)，保證我們正常業(yè)務(wù)的流量。

同時(shí)在整體方案中，我們計(jì)劃將分支機(jī)構(gòu)，也部署梭子魚(yú)ＮＧ Firewall其意義為：1、IPSEC-VPN連接總部梭子魚(yú)設(shè)備； 2、便于分支機(jī)構(gòu)的網(wǎng)絡(luò)安全防衛(wèi)；3、對(duì)內(nèi)網(wǎng)的數(shù)據(jù)流進(jìn)行應(yīng)用層識(shí)別及帶寬管理。

針對(duì)越來(lái)越多的移動(dòng)辦公人員，我們建議起用梭子魚(yú)NG Firewall 的SSL-VPN功能，這樣既可以便于公司領(lǐng)導(dǎo)外出期間，使用公司內(nèi)部系統(tǒng)，又可以非常安全的為公司服務(wù)器提供數(shù)據(jù)保障。

梭子魚(yú)下一代防火墻產(chǎn)品介紹

2010年，梭子魚(yú)公司將推出一款名為NG Firewall的網(wǎng)絡(luò)安全產(chǎn)品，這是一款基于應(yīng)用層設(shè)計(jì)和開(kāi)發(fā)的防火墻產(chǎn)品，也稱7層防火墻。梭子魚(yú)NG Firewall可以針對(duì)豐富的應(yīng)用提供更完整的可視化內(nèi)容安全保護(hù)方案，解決了傳統(tǒng)防火墻在應(yīng)用管控、應(yīng)用防護(hù)、未知威脅處理方面的巨大不足，具備了傳統(tǒng)防火墻和IPS、AV的所有功能，并可在全功能開(kāi)啟后達(dá)到8-10Gbps的最高性能，是UTM產(chǎn)品在同等工作狀態(tài)下的10-25倍。#p#

梭子魚(yú)NG Firewall 七層防火墻時(shí)代的到來(lái)

梭子魚(yú)推出的新一代的7層防火墻-梭子魚(yú)下一代防火墻 ，這是一個(gè)劃時(shí)代的產(chǎn)品。她從TCP 7層出發(fā)，基于應(yīng)用的類型和內(nèi)容提供安全解決方案，同時(shí)還包含了傳統(tǒng)防火墻和IPS的所有功能。

NG Firewall可以基于應(yīng)用的類型實(shí)現(xiàn)可視化管控。NG Firewall可以恢復(fù)安全設(shè)備對(duì)應(yīng)用的可視化感知，對(duì)同一端口上運(yùn)行的不同應(yīng)用類型進(jìn)行區(qū)分，在根據(jù)客戶需要對(duì)同一端口的不同應(yīng)用進(jìn)行管理。

NG Firewall可以提供更加完整的應(yīng)用防護(hù)功能。 NG Firewall可以提供兩個(gè)維度防護(hù)：終端防護(hù)（AV、Web安全過(guò)濾等）、服務(wù)器防護(hù)（IPS、WAF、DDoS防護(hù)等）。其中WAF（web application firewall）的各種功能包括了：對(duì)弱密碼的保護(hù)、對(duì)數(shù)據(jù)注入攻擊的保護(hù)、服務(wù)器信息隱藏等。

NG Firewall能夠基于應(yīng)用的內(nèi)容實(shí)現(xiàn)更精確的安全防護(hù)。她既能讓用戶訪問(wèn)各種應(yīng)用，又能對(duì)其中的內(nèi)容進(jìn)行信息過(guò)濾和危險(xiǎn)流量攔截，還可以通過(guò)關(guān)聯(lián)分析技術(shù)識(shí)別出未知威脅，并及時(shí)處理。

當(dāng)然，NG Firewall依然可以對(duì)端口進(jìn)行封堵，也保留了傳統(tǒng)防火墻中的NAT、路由等用戶普遍需要的功能。通過(guò)NG Firewall，用戶可以向傳統(tǒng)的防火墻和IPS說(shuō)再見(jiàn)了。

NG Firewall不僅具備它們的各種有用的功能，還終于實(shí)現(xiàn)了對(duì)應(yīng)用層的保護(hù)。用戶可以看見(jiàn)網(wǎng)絡(luò)管道中跑著那些應(yīng)用，有哪些內(nèi)容，存在哪些風(fēng)險(xiǎn)，并且均可以一一進(jìn)行控制和記錄。有人會(huì)問(wèn)，AF是不是就是UTM？好像實(shí)現(xiàn)的功能很相似。事實(shí)上，他們是完全不同的產(chǎn)品。UTM只能算是防火墻產(chǎn)品的改進(jìn)版，通過(guò)疊加各種模塊來(lái)彌補(bǔ)傳統(tǒng)防火墻產(chǎn)品在應(yīng)用層的不足。但是，UTM依然工作在TCP的3-4層，而不是在第7層，一旦把應(yīng)用層的功能開(kāi)啟后，性能將大幅度下降，這也不難解釋一些號(hào)稱10G的UTM設(shè)備在開(kāi)啟全功能后，性能迅速下降到400Mbp左右。

而梭子魚(yú)NG Firewall 則完全基于7層設(shè)計(jì)，并通過(guò)多核并行計(jì)算技術(shù)，數(shù)據(jù)包一次掃描技術(shù)，深度內(nèi)容識(shí)別及快速還原等技術(shù)，使得她在全功能開(kāi)啟后最高性能依然能達(dá)到8-10G。

準(zhǔn)備迎接下一代防火墻時(shí)代的來(lái)臨

無(wú)獨(dú)有偶，梭子魚(yú)推出的產(chǎn)品NG Firewall同全球著名分析機(jī)構(gòu)Gartner定義的NGFW（下一代防火墻）十分接近。Gartner認(rèn)為下一代防火墻必須有以下幾點(diǎn)：

標(biāo)準(zhǔn)的防火墻功能，如網(wǎng)絡(luò)地址轉(zhuǎn)換，狀態(tài)檢測(cè)，VPN和大企業(yè)需要的功能。

入侵防御系統(tǒng)和防火墻真正一體化。

應(yīng)用程序感知能力，自動(dòng)識(shí)別和控制應(yīng)用程序。

額外的防火墻智能，為輔助決策提供更多信息，如信譽(yù)分析，與活動(dòng)目錄（AD）集成，有用的阻塞或漏洞列表。

而梭子魚(yú)下一代防火墻產(chǎn)品涵蓋了下一代防火墻的主要功能，并兼?zhèn)鋀AF的功能。