安信华下一代防火墙
产品概述
传统防火墙使用基于IP和端口信息访问控制和流量分类,结合对网络层攻击防护,如异常包攻击防护、Flood攻击防护等,实现了网络层安全的诉求。然而,以直接破坏网络基础设施为目的的攻击已经越来越少,新的攻击者往往以窃取机密信息为主要目的,并且通常对网络流量进行了。此外,用户对带宽资源的管理需求也日益增强,而面对海量应用,基于端口的分类方式难以有效落实管理意图。
下一代防火墙从用户、应用和行为的角度出发,重新实现了流量分类、访问控制、攻击防护和QoS等所有传统防火墙功能,并基于这些功能进行了高级抽象,提供用户策略、应用策略和行为策略等智能控制手段,有效解决了传统防火墙无法解决的问题。
下一代防火墙具备APT防护功能,有别于基于特征的攻击防护,APT防护结合了网络行为特征分析技术、未知文件沙箱分析技术和未知流量分类技术,可对潜在的0day攻击,行为、加密C&C流量等无法通过指纹特征识别的威胁进行定位、阻断和溯源。
结合云安全管理平台,下一代防火墙还可提供快速部署、智能策略分析、统一策略管理等功能。
产品架构
产品特点
多核并行处理技术
为了更好地发挥多核平台的性能,下一代防火墙会根据硬件平台的不同调整CP和DP的实例数,以实现性能的。在处理业务数据的过程中,每个DP都采用Run-to-completion的方式,即一个数据包从接收到所有业务处理完毕,均在同一个DP中完成,这种处理方式能够显著提高处理性能。
一体化报文处理引擎
安信华下一代防火墙采用了一体化报文处理引擎完成报文的统一解析。引擎首先分析用户配置的各项功能,决定进行哪些分析,随后一次性对二至七层所有需要进行解析的内容进行统一处理,并将结果一并送至策略控制模块。策略控制模块依据这些解析结果,匹配用户配置的策略进行报文的后续处理。
基于用户和应用的控制策略
认为,任何行为的背后都有对应的用户,任何行为的途径都可以抽象为一种应用。规范用户的行为就保证了网络资源的安全,所以下一代防火墙应以用户和应用为中心。用户的属性应具有一致性和延续性,用户通过不同方式访问网络资源,应用于该用户的策略应始终保持一致。此外,基于用户的策略也更有利于在网络访问权限与组织架构之间建立映射关系,简化网络管理员的配置管理工作。
智能用户识别
下一代防火墙智能用户识别支持静态绑定、本地认证和第三方认证三种工作方式,并且会将未识别的用户自动归类为匿名用户,便于网络管理员按照需要这部分用户的访问策略。例如,未识别用户仅允许访问有限的资源、特定的应用,或者不允许访问任何资源。
智能应用识别
下一代防火墙的重要特点是能够准确地基于应用进行精细化的访问控制,而这依赖于高效、精确的应用识别。下一代防火墙支持基于深度包检测,深度流检测以及智能行为分析三种应用识别技术。
APT 防护技术
内的APT检测技术厂商安天科技,推出了APT云防护系统。APT云防护系统由下一代防火墙与安天追影APT鉴定器共同组成。通过对网络中的网站访问、邮件收发、文件传输、网盘下载等应用进行深度分析,下一代防火墙能够将各种可疑的访问信息从网络流量中还原出来,然后由追影系统进行深度分析。追影系统通过海量规则检测、虚拟加载执行、动态监测分析等技术,对文件和URL对象进行深度安全分析,从而有效检测shell code、0day格式溢出等高级安全威胁、动态识别恶意网站与脚本,并深度提取可执行样本行为,生成高质量的自动化分析报告。
智能流量控制
下一代防火墙支持基于接口的虚拟线路,网络管理员可以规定每个线路的带宽,作为流控的基准。在虚拟线路下,最多可支持4级通道的设定,满足网络管理员对不同部门及其下级机构设置具有层级关系的流量控制策略。每一级通道都可按照不同的用户、应用、地址和时间等,设置带宽限制、带宽保障、每IP带宽等等,并可允许在带宽范围内进行智能带宽借用(弹性带宽),在网络线路不繁忙时限度地利用网络带宽资源。
统计分析与可视化
统计分析与可视化是网络管理员有效管理网络的效工具。下一代防火墙提供了多种可视化统计分析功能。
安信华下一代防火墙解决方案
网络安全防护面临的新问题
计算机和互联网应用在给人类生产和生活带来方便的同时,也滋生了各种各样的新问题,其中网络安全问题是重要的问题之一。网络带宽的扩充、应用的丰富、互联网用户的爆炸式增长,特别是Web 2.0的产生和发展,使得网络面临着不同于以往的安全管理问题,们不仅专门针对安全设备开发各种工具来攻击、逃避检测,而且在攻击和入侵的形式上也与应用结合的越来越紧密。网络管理人员面临着新一代的各种网络威胁,已经无法使用传统防火墙、入侵检测系统等设备获得完整的安全控制管理和防御能力。
■ 网络应 用日益丰富,传统安全管理不利
■ 网络带宽 和流量处于失控状态
■ 安全设备不断增加,网络效率随之下降
■ 管理成本高, 问题定位困难
■ 数据内 容外泄事件频发,业务安全直接受到威胁
方案设计思路
为了更好的对网络进行保护,达到更为全面、可靠的保护效果,安信华下一代防火墙解决方案按照分区保护的思路进行设计,我们会将网络分成互联网出口区、核心业务区、机构互连区三部分,针对每一部分不同的特点和需要有针对性的部署安信华下一代防火墙,并启用相应的功能,达到的防护效果。
互联网出口区的防火墙承担了网络与外界联系的安全保障工作,一方面要为办公网络提供安全防护和管理,另一方面还需要提供对外的服务发布和安全防护。
核心业务区的防火墙主要是保护OA服务器、文件服务器、邮件服务器等主要业务系统的安全。
机构互连区的防火墙负责为各分支机构和移动客户端提供安全的数据传输通道,并对分支机构对内部网络的访问进行控制和安全防护。
方案价值和效果
多种安全功能融为一体,提供深度安全防护
在网络边缘提供病毒、木马、后门程序的过滤,与桌面杀毒软件形成呼应,为终端用户提供更为安全的网络环境。
阻断病毒感染源头,防止病毒的反复感染,相互下载和快速更新。
切断僵尸网络,防止客户端僵尸网络利用,受到国家监管部门追究责任。
防止病毒窃取数据的回传,加强企业数据安全,防止企业形象和经济利溢的损失。
深度检测网络中的数据包,特别是来自互联网的访问行为,通过特征匹配、行为分析等手段,挖掘其中可能存在的安全隐患,并对异常和非法的访问行为进行阻断。
实现精确的应用行为管控,有效利用有限的网络资源
实现基于应用的访问控制,提高访问控制的精度,帮助企业更好的控制网络访问的行为。
从应用的角度出发进行带宽和流量的监测和控制,控制隐性流量对于网络的影响,终结网络带宽无序使用的局面。
过滤不良网站的访问行为,净化企业网络环境,防止不良网站带来的各种负面影响。
统一配置和报告,让网络管理更加简单、透明
实现了应用、流量、内容、用户、威胁的可视化,帮助企业更好的了解网络的安全状况,挖掘潜在的网络风险。
单台设备集成多项安全功能,形成统一的纵深防护体系,配置简单、实施成本低、管理方便。