安信華下一代防火墻

產品概述

傳統防火墻使用基于IP和端口信息訪問控制和流量分類，結合對網絡層攻擊防護，如異常包攻擊防護、Flood攻擊防護等，實現了網絡層安全的訴求。然而，以直接破壞網絡基礎設施為目的的攻擊已經越來越少，新的攻擊者往往以竊取機密信息為主要目的，并且通常對網絡流量進行了。此外，用戶對帶寬資源的管理需求也日益增強，而面對海量應用，基于端口的分類方式難以有效落實管理意圖。

下一代防火墻從用戶、應用和行為的角度出發，重新實現了流量分類、訪問控制、攻擊防護和QoS等所有傳統防火墻功能，并基于這些功能進行了高級抽象，提供用戶策略、應用策略和行為策略等智能控制手段，有效解決了傳統防火墻無法解決的問題。

下一代防火墻具備APT防護功能，有別于基于特征的攻擊防護，APT防護結合了網絡行為特征分析技術、未知文件沙箱分析技術和未知流量分類技術，可對潛在的0day攻擊，行為、加密C&C流量等無法通過指紋特征識別的威脅進行定位、阻斷和溯源。

結合云安全管理平臺，下一代防火墻還可提供快速部署、智能策略分析、統一策略管理等功能。

產品架構

產品特點

多核并行處理技術

為了更好地發揮多核平臺的性能，下一代防火墻會根據硬件平臺的不同調整CP和DP的實例數，以實現性能的。在處理業務數據的過程中，每個DP都采用Run-to-completion的方式，即一個數據包從接收到所有業務處理完畢，均在同一個DP中完成，這種處理方式能夠顯著提高處理性能。

一體化報文處理引擎

安信華下一代防火墻采用了一體化報文處理引擎完成報文的統一解析。引擎首先分析用戶配置的各項功能，決定進行哪些分析，隨后一次性對二至七層所有需要進行解析的內容進行統一處理，并將結果一并送至策略控制模塊。策略控制模塊依據這些解析結果，匹配用戶配置的策略進行報文的后續處理。

基于用戶和應用的控制策略

認為，任何行為的背后都有對應的用戶，任何行為的途徑都可以抽象為一種應用。規范用戶的行為就保證了網絡資源的安全，所以下一代防火墻應以用戶和應用為中心。用戶的屬性應具有一致性和延續性，用戶通過不同方式訪問網絡資源，應用于該用戶的策略應始終保持一致。此外，基于用戶的策略也更有利于在網絡訪問權限與組織架構之間建立映射關系，簡化網絡管理員的配置管理工作。

智能用戶識別

下一代防火墻智能用戶識別支持靜態綁定、本地認證和第三方認證三種工作方式，并且會將未識別的用戶自動歸類為匿名用戶，便于網絡管理員按照需要這部分用戶的訪問策略。例如，未識別用戶僅允許訪問有限的資源、特定的應用，或者不允許訪問任何資源。

智能應用識別

下一代防火墻的重要特點是能夠準確地基于應用進行精細化的訪問控制，而這依賴于高效、精確的應用識別。下一代防火墻支持基于深度包檢測，深度流檢測以及智能行為分析三種應用識別技術。

APT防護技術

內的APT檢測技術廠商安天科技，推出了APT云防護系統。APT云防護系統由下一代防火墻與安天追影APT鑒定器共同組成。通過對網絡中的網站訪問、郵件收發、文件傳輸、網盤下載等應用進行深度分析，下一代防火墻能夠將各種可疑的訪問信息從網絡流量中還原出來，然后由追影系統進行深度分析。追影系統通過海量規則檢測、虛擬加載執行、動態監測分析等技術，對文件和URL對象進行深度安全分析，從而有效檢測shell code、0day格式溢出等高級安全威脅、動態識別惡意網站與腳本，并深度提取可執行樣本行為，生成高質量的自動化分析報告。

智能流量控制

下一代防火墻支持基于接口的虛擬線路，網絡管理員可以規定每個線路的帶寬，作為流控的基準。在虛擬線路下，最多可支持4級通道的設定，滿足網絡管理員對不同部門及其下級機構設置具有層級關系的流量控制策略。每一級通道都可按照不同的用戶、應用、地址和時間等，設置帶寬限制、帶寬保障、每IP帶寬等等，并可允許在帶寬范圍內進行智能帶寬借用（彈性帶寬），在網絡線路不繁忙時限度地利用網絡帶寬資源。

統計分析與可視化

統計分析與可視化是網絡管理員有效管理網絡的效工具。下一代防火墻提供了多種可視化統計分析功能。

安信華下一代防火墻解決方案

網絡安全防護面臨的新問題

計算機和互聯網應用在給人類生產和生活帶來方便的同時，也滋生了各種各樣的新問題，其中網絡安全問題是重要的問題之一。網絡帶寬的擴充、應用的豐富、互聯網用戶的爆炸式增長，特別是Web 2.0的產生和發展，使得網絡面臨著不同于以往的安全管理問題，們不僅專門針對安全設備開發各種工具來攻擊、逃避檢測，而且在攻擊和入侵的形式上也與應用結合的越來越緊密。網絡管理人員面臨著新一代的各種網絡威脅，已經無法使用傳統防火墻、入侵檢測系統等設備獲得完整的安全控制管理和防御能力。

■ 網絡應用日益豐富，傳統安全管理不利

■ 網絡帶寬和流量處于失控狀態

■ 安全設備不斷增加，網絡效率隨之下降

■ 管理成本高，問題定位困難

■ 數據內容外泄事件頻發，業務安全直接受到威脅

方案設計思路

為了更好的對網絡進行保護，達到更為全面、可靠的保護效果，安信華下一代防火墻解決方案按照分區保護的思路進行設計，我們會將網絡分成互聯網出口區、核心業務區、機構互連區三部分，針對每一部分不同的特點和需要有針對性的部署安信華下一代防火墻，并啟用相應的功能，達到的防護效果。

互聯網出口區的防火墻承擔了網絡與外界聯系的安全保障工作，一方面要為辦公網絡提供安全防護和管理，另一方面還需要提供對外的服務發布和安全防護。

核心業務區的防火墻主要是保護OA服務器、文件服務器、郵件服務器等主要業務系統的安全。

機構互連區的防火墻負責為各分支機構和移動客戶端提供安全的數據傳輸通道，并對分支機構對內部網絡的訪問進行控制和安全防護。

方案價值和效果

多種安全功能融為一體，提供深度安全防護

在網絡邊緣提供病毒、木馬、后門程序的過濾，與桌面殺毒軟件形成呼應，為終端用戶提供更為安全的網絡環境。

阻斷病毒感染源頭，防止病毒的反復感染，相互下載和快速更新。

切斷僵尸網絡，防止客戶端僵尸網絡利用，受到國家監管部門追究責任。

防止病毒竊取數據的回傳，加強企業數據安全，防止企業形象和經濟利溢的損失。

深度檢測網絡中的數據包，特別是來自互聯網的訪問行為，通過特征匹配、行為分析等手段，挖掘其中可能存在的安全隱患，并對異常和非法的訪問行為進行阻斷。

實現精確的應用行為管控，有效利用有限的網絡資源

實現基于應用的訪問控制，提高訪問控制的精度，幫助企業更好的控制網絡訪問的行為。

從應用的角度出發進行帶寬和流量的監測和控制，控制隱性流量對于網絡的影響，終結網絡帶寬無序使用的局面。

過濾不良網站的訪問行為，凈化企業網絡環境，防止不良網站帶來的各種負面影響。

統一配置和報告，讓網絡管理更加簡單、透明

實現了應用、流量、內容、用戶、威脅的可視化，幫助企業更好的了解網絡的安全狀況，挖掘潛在的網絡風險。

單臺設備集成多項安全功能，形成統一的縱深防護體系，配置簡單、實施成本低、管理方便。