惠尔顿下一代防火墙解决方案.doc

惠尔顿NGFW解决方案惠尔顿下一代防火墙解决方案内外全栈防护深圳市惠尔顿信息技术有限公司地址: 深圳市南山区高新技术产业园区虚拟大学园电话: （0755）26546529 传真 （0755）26553507声明Copyright2012-2016 深圳市惠尔顿信息技术有限公司 版权所有。由深圳市惠尔顿信息技术有限公司提供的本方案中包含的所有信息，都将被视为机密信息，本方案仅供企事业单位流量管理、下一代防火墙解决方案时用。惠尔顿公司本着“凸显带宽潜能、增值网络应用”的经营理念，利用当今网络中最前沿的技术促使应用软件在网络的运行的更安全、更快速、更稳定、更容易管理。序言4一、应用现状41、网络现状42、存在的问题53、项目目标6二、下一代防火墙技术61、下一代防火墙的发展与标准62、智能防火墙63、入侵防护64、应用全栈可视65、网络边界高性能66、WEB应用防护7三、惠尔顿产品的功能特点71、网络高性能71.1、多核多线程71.2、多桥模式与软硬ByPass71.3、HA双机热备71.4、多线路带宽叠加与负载均衡82、IPS入侵防护83、WEB安全防护104、敏感信息防泄漏124、ARP防护124、端口扫描124、DDOS防护125、应用层流量管控126、网关查杀病毒147、智能追溯系统15四、产品部署模式151、双机热备152、网关模式163、透明桥模式16五、方案实施效果16六、产品选型16七、服务保证系统161、售后保障172、服务承诺173、增值服务18八、典型案例20序言网络防火墙自诞生以来，在网络安全防御系统中就建立了不可替代的地位。作为边界网络的第一道安全关卡防火墙经历了包过滤技术、应用层代理技术和状态检测技术的技术革命，通过 ACL访问控制策略、 NAT 地址转换策略以及抗网络攻击策略有效地阻断了一切未被明确允许的包通过，保护了网络的安全。防火墙就像大厦的门卫，对进出防火墙的一切数据包进行检查，保证合法数据包能够进入网络访问合法资源同时防止非法人员通过非法手段进入网络或干扰网络的正常运行。随着时代的变迁，大厦的门卫已经过时，失去了它原有的防御能力，人们开始不从门窗进进出出了。同样防火墙在面对网络的高速发展，应用的不断增多的时代也失去了它不可替代的地位。当攻击的类型从网络层上移到应用层的过程中，防火墙的防护功能也需要与时俱进，我们需要重新定义防火墙，2009年，Gartner 提出下一代防火墙的概念，下一代防火墙的概念在业内便得到了普遍的认可。一、应用现状1、网络现状在外网接入安全方面， XX公司总部部署网络安全设备，但是都是三层的网络安全设备，所有的业务系统基本上都是裸露在互联网上，缺乏合理的保护极易遭受来自互联网的攻击，可能造成核心业务数据的窃取、服务器拒绝服务、网络瘫痪、内外网的安全浏览等问题，给企业带来不必要的损失。在应用层威胁占比越来越重的今天，三层的网络安全设备已经无法满足当今的风险防护要求在内网安全方面，各分公司之间和总部通过VPN互联，与总部处于统一内网环境，而分公司也缺乏安全防护设备对互联网的危险流量进行清洗，所以极易造成下级分公司对总部服务器的攻击；同时总部的内网用户，即使客户端部署了杀毒软件，由于客户端环境和个人使用习惯等问题，IT制度无法得到很好地落实，经常会有员工关闭杀毒进程或卸载杀毒软件的情况，而且最新的杀毒软件也存在着面对新病毒的滞后和不完善性。特别是对于网络安全意识薄弱的职员，不装任何的杀毒软件，在互联网上随意打开网页、点击链接，很容易身染中毒，并且导致局域网内的电脑感染病毒，我们将此类用户成为内网安全管理的短板。网络拓扑图如下。针对部分的用户在网关的出口部署了高端的状态检测防火墙，但是日益增长的应用层攻击，蠕虫病毒以及网络环境的复杂性、多变性以及信息系统的脆弱性、开放性，决定了网络安全威胁的客观存在，目前基于三层的传统状态检测防火墙相关的安全设施依然导致网络缺乏足够的安全防护。2、 存在的问题2.1 流量泛滥当前的互联网存在种类众多的应用，基于前面的分析我们会发现，组织成员在使用互联网时更多的是进行娱乐活动，如网络电视、P2P下载等；诸如此类的使用会严重消耗组织的网络带宽，正常业务通讯得不到保障，只能通过增加办公成本来增加带宽，但是网速和带宽没有得到根本的改善。2.2、应用安全据统计，网络上75%以上的安全威胁来自于应用层，而传统的三层网络安全设备却无法防御。因此，我们需要从第二层到第七层应用层的整体防护手段来防护全新的安全威胁。应用的漏洞，系统的漏洞，协议的变种等是黑客利用的常见手段，下一代防火墙的检测了网络连接的整个过程，包括不断实时更新的网络漏洞库，从协议的异常切断黑客入侵的整个过程。2.3、web安全应用WEB化是大势所趋，WEB应用的增加，导致应用安全威胁的其中很大部分是针对WEB应用的，制定特定的WEB应用的防护策略是网络安全的基本防护方案之一。OWASP发布的常见TOP 10威胁将成为安全越来越多的安全隐患。2.4、病毒蠕虫攻击高风险网站导致病毒、木马、流氓软件在内网散播，造成无法正常的使用网络。研究发现：45% Kazaa含恶意代码，众多的互联网访问都存在被恶意软件入侵的可能，BT、MSN等已成为病毒、蠕虫、间谍软件的重要传播渠道。病毒、木马及流氓软件轻者会给使用目标计算机及网络时带来一些麻烦；严重者会在组织网络中传播木马病毒，导致组织信息外泄；更严重者不仅会导致信息外泄，更能导致组织网络瘫痪，无法正常使用互联网。2.5、潜在的泄密风险 大数据时代，数据的价值已被提到一个新的高度，因此数据的防泄密成了企业必须做的工作。全面的数据防泄密功能是下一代防火墙的主要工作之一。通过精细的设置外发防护，漏洞入侵可以很好的防止在流量外发过程中敏感信息的泄密。2.6、缺乏风险分析与管控改进可能性 企业应用在运行过程中，往往也会因受到攻击被限制规则阻断，导致运行异常。下一代防火墙提供的审计日志，通过日志，企业运维人员可以了解到业务运行中是否遭到了攻击，或者因 某种限制觃则导致异常，了解业务服务是否存在异常。3、项目目标建立基于从2层到7层的安全防护体系，将日益增加的应用层攻击，网络蠕虫病毒的传播阻断，管控应用层流量，防护应用服务器的攻击，并针对特定的web应用服务器，将web应用攻击进行更有针对性的防范。二、下一代防火墙技术1、下一代防火墙的发展与标准针对上述安全风险、网络环境、应用系统的变化，传统网络安全设备的无能为力，市场咨询分析机构 Gartner 在 2009 年发布了一份名为Defining the Next-GenerationFirewall的文章，给出了真正能够满足用户当前安全需求的下一代防火墙（NGFW）定义。 在 Gartner 看来，NGFW 应该是一个线速网络安全处理平台，在功能上至少应当具备以下几个属性：l 联机配置，不中断网络运行。l 标准的第一代防火墙能力：包过滤、网络地址转换(NAT)、状态性协议检测、VPN等等。l 集成的而非仅仅共处一个位置的网络入侵检测：支持面向安全漏洞的特征码和面向威胁的特征码。IPS 与防火墙的互动效果应当大于这两部分效果的总和。例如提供防火墙规则来阻止某个地址不断向 IPS 加载恶意传输流。这个例子说明，在 NGFW 中，应该由防火墙建立关联，而不是操作人员去跨控制台部署解决方案。集成具有高质量的 IPS 引擎和特征码，是 NGFW 的一个主要特征。l 应用意识和全栈可见性：识别应用和在应用层上执行独立于端口和协议，而不是根据纯端口、纯协议和纯服务的网络安全政策。例子包括允许使用 Skype，但关闭 Skype 中的文件共享或始终阻止 GoToMyPC。l 智能的防火墙：防火墙收集外来信息来做出更好的阻止决定或建立优化的阻止规则库。例子包括利用目录集成将阻止行为与用户身份绑在一起，或建立地址的黑白名单。Gartner 认为，随着防火墙和 IPS 更新周期的自然到来，或者随着带宽需求的增加和随着成功的攻击，促使更新防火墙，大企业将用 NGFW 替换已有的防火墙。不断变化的威胁环境，以及不断变化的业务和 IT 流程将促使网络安全经理在他们的下一个防火墙/IPS 更新周期时寻找 NGFW。2、状态检测防火墙NGFW 涵盖传统的状态检测防火墙、IPS 的主要功能，内部能够实现联动，支持包过滤与状态检测的防火墙功能，能提供静态的和动态包过滤与状态检测过滤功能，能够防御 DOS/DDOS、land Attack,smurf,syn flood,icmp flood 、Syn Attack、Ping of death、ping Sweep、Tear drop、IP Sweep、Syn fragments、ip spoof、portscan、ip source route、ip record route、ip bad option等常见网络层攻击，能提供一对一、多对一、多对多等地址转换方式（包括 DNS、FTP、H.323、SIP的动态NAT）；支持网络层的透传与tag VLAN的隔离，支持静态路由、RIP v1/2、OSPF、策略路由等多种路由协议。3、流量全局可视可控惠尔顿NGFW设备可以对内外网流量进行精细的流量管理，可基于应用、用户、时间、线路等制定灵活的流控策略。用户可以通过设定保障通道，对关键的业务流量如视频会议、协同办公软件等进行带宽的合理保障，而对于一些非业务流量如P2P下载、视频流媒体等可以通过限制通道进行限速。如下图：精细的带宽流控源自于对应用协议的精准识别，NGFW内置应用特征识别库和URL分类库，应用特征识别库可以识别1000多种应用类型。是用来判断和检测上网数据的应用类型的，根据数据包的特征值或者协议、端口、方向、数据包长度匹配、数据包内容匹配等多个条件来检测应用类型，能够很好的检测通过端口或协议无法区分的应用类型，比如QQ、P2P等。 应用特征识别库分为内置规则和自定义规则，内置规则库可以由设备定时更新，自定义规则可以增加、删除、修改。如下图所示：URL库主要用于基于用户、时间、网页内容的过滤，通过内置的千万级URL库，可以精确识别网页类型，对不良网页进行封堵，防止终端上网过程中访问挂马网站，造成终端的中毒，避免终端成为内网安全防护的短板。可以识别2000多种应用，800多种智能手机应用，识别上万种网络行为特征动作，可以识别和控制丰富的内网应用，如迅雷P2P、BT、QQ旋风、QQ、MSN、RDP、Lotus Notes、RTX、Citrix、Oracle EBS、金蝶EAS、用友NC、U8、SAP、LDAP等，针对用户应用系统更新服务的应用，AF还可以精细识别奇虎360、Symantec、 Sogou、Kaspersky、McAfee、金山毒霸、江民杀毒等软件更新,保障在安全管控严格的环境下，系统软件更新服务畅通无阻。通过应用的协议识别制定的二到七层的应用访问控制策略，可以为用户提供更加精细和直观化控制界面，在一个界面下完成多套设备的运维工作，提升工作效率。4、AAA识别、授权、审计功能网络中的用户并不一定需要平等对待，通常，许多企业策略仅仅是允许通过 IP 属性建立网络及网络资源的ACL。NGFW 提供基于用户与用户组的访问控制策略，它使管理员能够基于各个用户和用户组（而不是仅仅基于 IP 地址）来查看和控制应用使用情况。在所有功能中均可获得用户信息，包括应用访问控制策略的授权制定和安全防护策略创建、审计调查取证和分析报告。1、用户组织架构树NGFW 可以按照组织的行政结构建立树形用户分组，将用户分配到指定的用户组中，以实现网络访问权限的授予与继承。用户创建的过程简单方便，除手工输入帐户方式外， NGFW能够根据 OU 或 Group 读取 AD 域控服务器上用户组织结构，并保持与 AD 的自动同步，方便管理员管理。此外，NGFW 支持账户自动创建功能，依据管理员分配好的 IP 段与用户组的对应关系，基于新用户的源 IP 地址段自动将其添加到指定用户组、同时绑定 IP/MAC，并继承管理员指定的网络权限。管理员亦可将用户信息编辑成 Excel、 TXT 文件，将账户导入，实现快捷的创建用户和分组信息。2、丰富的身份认证体系本地认证：Web 认证、用户名/密码认证、IP/MAC/IP-MAC 绑定第三方认证：AD域、LDAP、Radius ，数字证书等；双因素认证：USB-Key 认证，一次性口令（OTP）；单点登录：AD域、HTTP POST 等；强制认证：强制指定 IP 段的用户必须使用单点登录（如必须登录 AD 域等）丰富的认证方式，帮助组织管理员有效区分用户，建立组织身份认证体系，进而形成树形用户分组，映射组织行政结构，实现用户与资源的一一对应，从而根据组织结构实现授权，并对组织结构中的用户进行事后的审计。NGFW 支持为未认证通过的用户分配受限的网络访问权限，将通过 Web 认证的用户重定向至显示指定网页，需要先行进行认证才能访问受限的网络资源，提升应用访问的安全性，实现更细粒度的访问控制。5、IPS入侵内外双重防护IPS（Intrusion Prevention System 入侵防御系统）位于防火墙和网络的设备之间，综合IDS与防火墙的功能，使二者产生联动。这样，如果IDS检测到攻击，防火墙会在这种攻击扩散到网络的其它地方之前阻止这个恶意的通信。IPS系统依靠对数据包的内容的深度检测，IPS将检查入网的数据包，确定这种数据包的真正用途，然后决定是否允许这种数据包进入你的网络。NGFW 的入侵防护分析引擎具备 7000+条漏洞特征库、木马等恶意内容特征库、含4000+Web 应用威胁特征库，可以全面识别各种应用层和内容级别的单一安全威胁；而且入侵防护引擎还提供了多种典型的黑客入侵行为的模板，可以有效关联各种威胁进行分析，最大成的提高了威胁检测精度。另外，公司组建了专业的安全攻防团队，可以为用户定期提供最新的威胁特征库更新，以确保防御的及时性。传统的状态检测防火墙工作在网络层与传输层，根据五元组（源IP地址、源端口、目标IP地址、目标端口、协议类型）信息对数据包进行过滤，能够对黑客攻击起到部分防御作用。但是黑客仍然可以从合法的IP地址通过防火墙开放的端口对内网发起攻击，目前很多攻击和应用可以通过任意IP、端口进行，各种高级、复杂的攻击单纯的使用状态检测/包过滤防火墙无法进行阻挡，需要使用IPS（入侵防御系统）来配合防火墙实现对复杂攻击的防御。IPS工作在第二层到第七层，通常使用特征匹配和异常分析的方法来识别网络攻击行为。NGFW的IPS不仅可以对服务器进行漏洞防护，也可以对客户端漏洞进行防护如下图:特征匹配方法类似于病毒检测方法，通过攻击数据包中的特征（字符串等）来进行判断。例如SoftEther的通信数据中都会包括“SoftEtherProtocol”字符串，虽然这种应用使用HTTPS协议通过TCP443端口通信，使用包过滤防火墙无法进行防御。（因为如果将TCP443端口封闭的话，会导致所有HTTPS通信无法进行，这是无法想象的。）而使用IPS的特征匹配方法，通过查找“SoftEtherProtocol”字符串便可轻易的将所有SoftEther流量过滤掉，而其他HTTPS应用不会受到影响。而异常分析通过统计的方法计算网络中各种流量的速率，并与管理员预设的阈值进行对比，超过阈值的通信便是可疑的攻击行为。例如，管理员通过对本网络应用的观察和分析，认为在正常情况下某服务器每秒收到2000个以内SYN包属于正常范围。然而某一时刻NGFW检测到每秒有3000个以上的SYN发往该服务器，此时便有可能是由于有黑客对服务器发起了DoS（拒绝服务）攻击。NGFW内置的IPS同时使用特征和异常两种检测方法，能够检测7000种以上攻击和入侵行为如下图所示，包括各种DoS（拒绝服务）/DDoS（分布式拒绝服务）攻击。NGFW的IPS是在线式的，直接部署在可信任网络和不可信任网络之间。这种在线式的IPS对各种攻击均可直接阻断并生成日志。而传统的旁路式IDS（入侵检测系统）对绝大多数的攻击行为只能记录日志，而不能进行阻NGFW内置的IPS还可以对SYN flood、ICMP flood等DoS/DDoS攻击进行防御，对于每一种DoS/DDoS攻击行为，都可以设置阈值，使策略符合实际网络环境和应用情况，降低误报和漏报率，并可以针对不同的源或目的IP地址的TCP、UDP、ICMP会话数量进行限制。6、Web安全防护专门针对 Web 应用面临的各种最新的威胁提供额外的安全防护，包括 SQL 注入、XSS攻击、OS 命令注入、CSRF 攻击、口令爆破、弱口令探测、应用信息探测、非法上传威胁文件等，从根源上解决了 Web 系统被入侵、数据被篡改的可能性；NGFW 能够有效防护 owasp 提出的 10 大 web 安全威胁的主要攻击，主要功能如：服务器保护功能主要用于内网的WEB服务器免受各种攻击，web应用防护可以针对内网的web服务器设计防攻击策略，GFW支持OWASP top 10 的安全防护，OWASP top 10的安全威胁，可以防止OS命令注入、SQL注入、XSS跨站攻击N等各种针对web应用的攻击行为。如下图： 针对黑客的攻击过程扫描-攻击-破坏，采取服务器应用隐藏的防护策略，如在客户端访问HTTP服务器的时候，服务器会通过HTTP报文头部返回字段信息，例如Server、via等，via可能会泄露代理服务器的版本信息，攻击者可以利用相应的版本漏洞发起攻击，而通过隐藏HTTP服务器的返回信息，可以破坏攻击者的扫描，9、终端安全浏览NGFW支持安全浏览 (网页防火墙,上网不再中毒),保护您的电脑,上网时不受病毒木马感染,过滤掉广告和病毒、绿色上网。支持钓鱼网址、挂马网址的识别与过滤。支持危险插件的过滤与恶意脚本的过滤。l 能识别那些下载文件会自动安装的插件，包括所有通过浏览器自动下载的文件。l 能根据插件白名单对插件进行过滤，内置常用安全插件列表供用户选择，还可以自定义白名单（支持插件名称、证书名称和域名）。l 能根据插件证书的合法性进行过滤，包括：检查插件签名是否过期，对插件签名进行证书链控制。l 能记录控件过滤日志，包括被过滤控件名称及被拒绝的原因，并能在数据中心查出来。10、终端安全可信多数传统安全设备仅仅提供基于服务器的漏洞防护，内网终端仍然存在漏洞被利用的问题，对于终端漏洞的利用视而不见。NGFW 同时提供基于终端的漏洞保护能防护如：后门程序预防、协议脆弱性保护、exploit 保护、网络共享服务保护、shellcode 预防、间谍程序预防等基于终端的漏洞防护，有效防止了终端漏洞被利用而成为黑客攻击的跳板。同时，NGFW支持控制终端的安全，漏洞检测，也支持外设管控例如管控U盘，网卡实现网络专线。11、应用信息隐藏NGFW 对主要的服务器（WEB 服务器、FTP 服务器、邮件服务器等）反馈信息进行了有效的隐藏。防止黑客利用服务器返回信息进行有针对性的攻击。例如：HTTP 出错页面隐藏：用于屏蔽 Web 服务器出错的页面，防止 web 服务器版本信息泄露、数据库版本信息泄露、网站绝对路径暴露，应使用自定义页面返回。HTTP(S)响应报文头隐藏：用于屏蔽 HTTP(S)响应报文头中特定的字段信息。FTP 信息隐藏：用于隐藏通过正常 FTP 命令反馈出的 FTP 服务器信息，防止黑客利用 FTP软件版本信息采取有针对性的漏洞攻击。12、URL 防护&URL智能分类NGFW内置URL分类特征库，包括50多种大类，100多种小类的数千万的URL条目；内置动态的智能URL学习与识别技术，根据学习的URL分类，动态提取学习到的词库，在根据词库智能分类新建了的URL条目。智能学习的条目分类达到70多类，一直的学习到的词库达到3000多条目，而且智能学习的算法修改并弥补了科技类、体育类等专业性很强的URL智能分类。13、弱口令暴力破解防护弱口令就是使用一些可以容易被推测到的口令，如顺序数字123456，字典序abcdef，ABC123等，这类口令通常使用暴力尝试的方式便可以破解。弱口令被视为众多认证类 web 应用程序的普遍风险问题，NGFW 通过对弱口令的检查，制定弱口令检查规则控制弱口令广泛存在于 web 应用程序中。同时通过时间锁定的设置防止黑客对 web 系统口令的暴力破解。14、病毒网关防护NGFW集成防病毒引擎，可以针对标准的邮件SMTP、POP3、IMAP协议、HTTP、FTP协议的病毒进行查杀。无论企业使用何种邮件服务器和客户端，NGFW都可以对电子邮件中的病毒进行过滤，防止病毒通过邮件传播。还支持HTTP协议和FTP协议，对于Web浏览、下载、Web邮件及FTP文件传输过程中携带的病毒，以及使用非标准端口的协议应用（如在使用代理服务器的环境中，HTTP协议不使用TCP80端口，却使用了TCP 8080或则8003端口），NGFW均可进行拦截，查杀。除了传统的 HTTP、FTP、SMTP、POP3 等协议，还可以针对商务应用（文件共享等）传输的文件进行精确的木马、病毒、蠕虫查杀；亦可查杀上述协议上传下载的压缩文件（zip，rar，gzip等）中的病毒。在NGFW上启用防病毒功能，便可将外网病毒传入内网的风险降至最低。三、惠尔顿产品的功能特点1、网络高性能为了实现强劲的应用层处理能力， NGFW采用了更为先进的一体化单次解析引擎，将漏洞、病毒、Web 攻击、恶意代码/脚本、URL 库等众多应用层威胁统一进行检测匹配，从而提升了工作效率，实现了万兆级的应用安全防护能力。1.1 单次解析架构要进行应用层威胁过滤，就必须将数据报文重组才能检测，而报文重组、特征检测都会极大地消耗内存和 CPU，因此，NGFW所采用的单次解析引擎通过统一威胁特征、统一匹配引擎，针对每个数据包做到了只有一次报文重组和特征匹配，消除了重复性工作对内存和资源的占用，从而系统的工作效率提高了70%-80%。1.2 多核多进程采用业界独有威胁分析引擎（TAE），是能够实现所有入侵防御功能的线速处理引擎。其处理能力高达10G并能够保证处理延迟小于毫秒级，完全满足IP话音，关键交易等时延敏感应用的要求。即使有上万条过滤器同时工作，系统的性能也不会降低。软件设计为内核下的多进程，采用PF_RING/NFQ方式获取数据报，然后将获取的数据包均衡分发给多个进程处理，每个进程分别调度给不同的CPU内核处理，充分利用多核的计算能力，运行效率与稳定性大大提高。结合高性能的多核硬件平台为客户提供业界性能卓越的一次性数据处理的应用层安全解决方案。在优化的光纤网络中，或者对端支持GSO的网卡中，内核支持硬件网卡对于大数据包的数据分段处理，而不是在CPU中实现分段处理，优化网络传输性能。1.3 多桥模式与软硬ByPass提供真正的HA功能，两台以上设备完全同步并可以同时工作（Active-Active）模式或热备模式（Active - Standby）。即使发生最坏的情况，系统自动恢复时，IPS仍可以工作在交换模式，不会成为业务的阻断点。NGFW支持两进两出，高端设备支持四进四出，保障网络的高速畅通，多桥模式也适用于多个VLAN模式，每个VLAN对应一个网桥，并设置不同的网络管控策略。作为多用途的网络安全设备如果以桥接模式接入到网络中时，难免会存在造成网络单点故障的风险，鉴于此，惠尔顿下一代防火墙系统可以在系统断电或故障的时候自动将网桥串接的一对网口置成直连状态，保证网络畅通，不影响正常业务。系统同时提供软硬件ByPass两个层次方案以降低风险：l 硬件采用ByPass设计，避免产生网络中断，掉电后网络直通。l 支持软件ByPass，当系统软件出现故障，网络正常使用1.4 HA双机热备惠尔顿下一代防火墙NGFW系统支持双机热备，主备模式实现设备的冗余，采用冗余模式，在主设备出现故障的时候，备用设备自动接管服务，保证了网络的无故障运行。系统同时采用多硬盘模式保证系统本身的稳定运行，一个是系统盘：CF卡用于系统本身，一个是数据盘：大容量硬盘用于网络流量、上网行为的内容记录；即使在数据硬盘因频繁读写损坏的情况下，也能保持系统的正常稳定运行。1.5 多线路带宽叠加与负载均衡惠尔顿下一代防火墙设备多WAN端口支持带宽汇聚，可以使用多条ADSL取代光纤，汇聚线路增加带宽，降低线路成本。支持多线路负载均衡功能，优化对外带宽使用。并可以根据需要设置是否支持自动线路备份，当一条线路掉线，会自动改用另一个WAN端口的线路连接，确保联机不掉线。设备支持多达6条线路的带宽叠加，成倍增加网络带宽，支持多达6条Internet线路的负载均衡。2、精细的应用层安全控制NGFW采用多级分层的过滤技术，以基于内核操作系统的会话层检测技术，提供了从链路层到应用层的全面安全控制。在MAC层提供了基于MAC地址的访问控制能力，同时支持对二层协议的过滤能力；在网络层和传输层提供了基于会话与连接状态跟踪的分组过滤，可以根据五元组进行过来吧，并进行全安正的协议状态跟踪与还原。在应用层，基于DPI/DFI的应用内容分析技术，可以根据应用的行为和特征实现对应用的识别和控制，而不仅仅依赖于端口或协议，可以对高层应用协议命令、访问路径、内容、访问的文件资源、关键字词等内容实现细粒度的安全访问控制，摆脱了传统防火墙只能通过五元组来控制的尴尬，即使加密过的数据流也能应付自如。因此，通过应用可视化引擎制定的 L3-L7 一体化应用控制策略, 可以为用户提供更加精细和直观化控制界面，在一个界面下完成多套设备的运维工作，提升工作效率。3、全面的内容级安全防护NGFW 的深度识别技术不但可以将数据包的内容进行全面的威胁检测，而且还可以针对黑客入侵过程中使用的不同攻击方法进行关联分析，从而精确定位出一个黑客的攻击行为，有效阻断威胁风险的发生。深度检测的威胁识别技术改变了传统 IPS 等设备防御威胁种类单一，威胁检测经常出现漏报、误报的问题，可以帮助用户最大程度减少风险短板的出现，保证业务系统稳定运行。例如，NGFW支持对HTTP的URL过滤外，更可以控制HTTP的POST,GET,HEAD等动作的过滤，也支持对FTP命令与文件传输中的内容过滤，通过将文件资源和URL资源的ACL控制内存的存取。支持对url中的VBScript、JAVA Script、ActiveX、Applet的风险进行评估与管控。NGFW的系统核心层实现的传输内容的还原、内容的细粒度检测，深度的防范网络3层至7层的风险。4、完整的安全防护方案只提供基于应用层安全防护功能的方案，并不是一个完整的安全方案。对于用户来说，还需要采购基础网络层的安全设备（FW、VPN），这既增加了成本，也增加了组网复杂度、提升了运维难度。从技术角度来说，一个黑客完整的攻击入侵过程包括了网络层和应用层、内容级别等多个层次方式方法，如果将这些威胁割裂开处理进行防护，各种防护设备之间缺乏智能的联动，很容易出现“三不管”的灰色地带，出现防护真空。因此，“具备完整的 L2-L7 完整的安全防护功能”就是 Gartner 定义的“额外的防火墙智能”实现前提，才能做到真正的内核级联动，为用户的业务系统提供一个真正的“铜墙铁壁”。惠尔顿的NGFW根据STRIDE安全模型自顶而下定制了完整的安全防护方案。欺骗（Spoofing）ARP Spoof，IP Spoof篡改（Tempering）WEB防篡改，文件系统防篡改，注册表防篡改否认（Repudiation）日志，高性能日志审计信息泄露（Information Disclosure）敏感信息防泄漏，特征表达式过滤拒绝服务（Denial of Service）DOS，DDOS，SYN Flood特权提升（Elevation of Privilege）OS漏洞防护，应用漏洞防护5、敏感信息防泄漏基于传统基本http协议的内容过滤方式对现在的大量应用失效性越来越严重，比如对于WEB Mail的附件、微博和MSN的文件传输、网盘的文件上传等。Web应用的后面都关联着一个数据库或者非结构化的存储内容，这些数据库大多保存不少的敏感关键信息，这些敏感信息再持续的流经NGFW设备时会触发敏感信息防泄密的阈值，并进行阻断。NGFW设备能匹配用户设置的关键信息：用户身份，邮箱帐号，银行卡、身份证号码、社保帐号、信用卡号、手机号码，电话号码，禁止外发或者匹配审计条件。NGFW也能基于非结构化的数据存储的WEB应用内的文件类型和内容的扫描，支持数百种常见应用的文件类型和内容控制，能够细粒度到应用的动作进行识别和控制，比如用户选择内容过滤是针对MSN的聊天内容还是文件传输。而对于文件类型的扫描，支持近百种常见的文件类型（包括各种Office文件、音视频文件，图片和压缩文件等），文件类型的识别是采用文件特征匹配方式，修改文件后缀仍可准确识别。l 管理用户通过web方式向外发送敏感信息，文件关键词、文件类型的识别、过滤、告警；l 管理员工通过邮件方式向外发送敏感信息，文件关键词、文件类型的识别、过滤、告警；l 管理员工通过IM工具向外发送敏感信息，文件关键词、文件类型的识别、过滤、告警；l 管理员工通过论坛方式向外发送敏感信息，文件关键词、文件类型的识别、过滤、告警。l 管理员工通过网盘外发送敏感信息，文件关键词、文件类型的识别、过滤、告警。外发方式功能描述SMTP邮件外发记录SMTP外发邮件的发件人，收件人，主题，正文，附件。并支持审核批准后外发。WEB邮件外发记录WEB外发邮件的发件人，收件人，主题，正文，附件。加密邮件外发记录SSL加密邮件的发件人，收件人，主题，正文，附件，包括gmail、hotmail，加密web邮件外发。论坛外发记录论坛、微博、博客发帖，跟帖，附件跟帖等，SSL加密论坛也可以审计与记录IM外发管控记录QQ聊天内容，文件外发内容，QQ邮箱外发审计与记录，此类包括MSN，skype，阿里旺旺等FTP文件上传审计FTP，telnet，printer等文件上传工具的上传与下载客户端U盘禁止客户端U盘的使用，但是允许无线USB的非存储设备使用。网盘云外发支持华为云、阿里云、百度云、360云等网盘云存储的外发PC文件操作记录用户文件的新建，修改，移动，删除等操作，并提供报告敏感信息外泄用户身份，邮箱帐号，银行卡、身份证号码、社保帐号、信用卡号、手机号码，电话号码6、WEB防篡改NGFW支持免客户端安装的web防篡改，web的防篡改基于算法的相似度比较实现，智能可控，性能更高。针对固定不变的网站元素，例如内联的图片，文档，外链，通过智能学习，形成网页的知识库，然后根据知识库，采用精确匹配的方式比对，确定网页是否防篡改。7、智能追溯系统上网行为智能追溯功能通过跟踪NGFW中所有的丢包记录情况，判别丢包的类型和原因，从而帮助客户、技术人员和研发人员迅速定位客户不能上网、上网速度慢等问题。7.1、数据丢包追溯假如某一个用户的访问被禁止，在浏览器状态下，设备会智能推送禁止的原因信息给使用者，告知不能访问的原因。但是在非浏览器的网络访问情境下，用户的数据访问无法告知，而惠尔顿NGFW的智能追溯系统能定位该用户的所有策略，并精确定位是哪个策略禁止该用户的网络访问。7.2、用户访问慢追溯假如某一个用户的internet访问变得缓慢，在非网络性能的情况下，其他用户的访问是正常的，怎样才能定位该用户的问题呢？惠尔顿NGFW的智能追溯系统能定位该用户的所有流量管理策略，并精确定位是哪个流控策略哪个流量控制通道使用过载而导致了数据包通行畅通。7.3、网络性能追溯假如整个网络的访问速度变得比较慢，问题在哪个环节呢？惠尔顿NGFW的智能追溯系统能定位内部网络与外部网络的性能分析，甚至包括针对特定应用服务器的性能分析，并精确定位是网络故障时延、丢包、抖动等因素。7.4、一切均可追溯系统问题、配置问题、设备管理问题、丢包问题、外发泄密问题，一切都可追溯。四、建议部署模式建议设备使用网关部署模式，NGFW设备置于internet出口网关，替代原有的三层状态检测防火墙，所有数据流直接经由设备端口通过，适合可更改网络架构的客户。在此模式设备的所有功能都有效，包括防火墙(DDOS防护,ARP防护，PortScan等)、NAT/路由、流量控制/带宽管理、IPS入侵防护、WAF、内容过滤、用户访问控制、数据中心、统计报告、安全扩展功能等。在此模式下，可提供多至4个WAN的广域网线路接入，支持策略路由，负载均衡，南北通，充分利用用户的带宽价值。支持跨三层的IP/MAC绑定。单线路的WAN接入如下图：部署方式： 设备的WAN口与广域网接入线路相连，支持光纤、ADSL、Cable Modem或者DDN路由器； NGFW的LAN口同局域网的交换机相连； 内网PC将网关指向NGFW的局域网接口，通过NGFW代理上网。 大型网络使用双机热备，组织为了网络稳定可靠，采用了双机VRRP部署，NGFW支持两台以上设备同时以主机模式、主备模式运行，完美支持组织的VRRP环境，起到设备冗余与负载均衡的作用。五、方案实施效果1、全网全栈的安全防护惠尔顿NGFW实现从L2-L7（从链路层到应用层）的全网全栈安全防护。2、应用层的流量通道带宽优化管理通过带宽通道细致地划分应用流量的优先级，优化关键应用的传输量，降低关键应用的传输时延。3、 细粒度的应用层内容管控细致地关键字词，文档类型，URL类型等应用层的内容管控。4、 敏感数据防泄密从多维度多层面解决了敏感关键数据的外发与泄密。六、产品选型与报价1、报价说明项目的总体报价=产品报价+安装调试费+升级服务费其中： 产品报价=全国统一报价安装调试费=项目金额的10%2、项目报价序号类别明细数目单价（RMB）费用（RMB）备注1根据网络规划，推荐使用惠尔顿NGFW类产品W1500NGFW1免费一年的协议库/URL库升级W1000NGFW3免费一年的协议库/URL库升级2服务费升级服务费1安装调试费1产品安装调试和培训，项目金额的10%4合计：3、选型产品技术参数型号W1000NGFWW1500NGFWW2000NGFW端口RJ456*1G6*1G6*1G扩展光口-4*SFP4*SFP并发连接数600,000