《NGFW企业网络安全解决方案》由会员分享,可在线阅读,更多相关《NGFW企业网络安全解决方案(10页珍藏版)》请在金锄头文库上搜索。
1、企业网络安全解决方案1. 企业网络安全现状随着计算机网络的出现和互联网的飞速发展,企业基于网络的应用也在迅速 增加,企业规模不断扩大的同时,企业网络的规模也在不断增加。基于网络信息 系统给企业的经营管理带来了更大的经济效益,但随之而来的安全问题也在困扰 着用户。很多企业在不同地区建立了自己的分公司或分支机构,总部和分支之间 互相连通成为一个更大的网络,这样一个网网相连的企业网在为企业提高效率、 增强竞争力的同时,却也面临着更多更为复杂的网络安全问题。从互联网诞生以来,网络攻击就如影随形。从攻击的手段和目的角度可以把 网络攻击分为三个时期:第一个时期是从网络开始出现到 2004 年之前这段时间。
2、这个时期的网络攻 击基本上都不是为了获得某种利益,而是属于炫耀性攻击,攻击者得不到什么好 处。这一时期流行的网络攻击手段是病毒、蠕虫程序,只会不断感染和扩张,病 毒制作者获取不到任何商业利益。第二个时期是从 2004年下半年到 2007 年底这段时间。这个时期的网络攻击 大多数都是为了商业利益,黑客攻击越来越有目的性,攻击的目标往往是能够给 他们带来利润的用户。第三个时期是 2007 年底到现在。这一时期的网络攻击除了为了经济利益以 外,还有很多政治利益。黑客通过互联网窃密,窃取商业机密、军事机密、经济 情报和科技情报等。安全业内的人将这种攻击行为叫做 APT(Advanced Persist
3、ent Threat),即“针对特定目标的攻击”黑客的攻击手段越来越完善,有的甚至是通过社会工程学的方法。现阶段的 网络攻击往往隐藏在应用中,并通过使用非常规端口来逃脱传统基于 IP 端口五 元组的安全设备的识别。随着移动互联网的发展,很多的安全威胁开始隐藏在移 动应用之中,通过无线接入对企业伸出罪恶之手。对于隐藏在企业网络中已经被 感染的僵尸主机,黑客通过远程控制的方式对其发布指令,窃取公司机密信息或 利用公司网络对第三方发起攻击。APT 攻击的发现比之前更困难,攻击事件可能是在平常看来最不重要的安 全事件,通常都会把它忽略掉,因为它都不是什么重要的事情。可是它其实是积 累地、慢慢地对企业造
4、成威胁。因此,需要有专用的安全设备把这些看似无关紧 要的安全事件整合起来,通过智能化的关联分析帮助用户判断哪些可能是潜在的 安全威胁。2. 解决方案2.1 方案概要面对不断演变的网络安全威胁,传统的网络安全产品已经不能满足企业的安 全需求。普通防火墙只能在网络层保护内网的计算机、服务器等不受外网的恶意 攻击,并不能阻断病毒、木马等非安全因素进入到内网。因此,有必要在公司的 网络与互联网边界之间建立全新的安全防护机制,在公司的网络边界处将网络安 全威胁拒之门外,防止其通过网络连接传播到内网的服务器或计算机上。网康下一代防火墙(NGFW)是一款可以全面应对应用层威胁的高性能防火 墙。通过深入洞察网
5、络流量中的用户、应用和内容,并借助全新的高性能单路径 异构并行处理引擎,NGFW能够为用户提供有效的应用层一体化安全防护,帮 助用户安全地开展业务并简化用户的网络安全架构。2.2 解决方案2.2.1 基于应用的精细化访问控制传统安全产品通过 IP 或者端口封堵各种协议,只能局限于标准的协议,如 HTTP,SMTP,且主要是在网络层以及传输层进行,对应用层的内容无能为力, 而且,如果IP与端口经过动态协商建立,比如QQ, P2P下载等,则完全不能胜 任。网康科技采用第三代的应用识别技术XAI,能够混合的使用明文特征、密文 的流量模型、以及多个明文秘文混合的链接之间的行为关联,继而准确的识别出 明
6、文及密文加密应用,例如可以识别出迅雷加密协议下载的文件类型等。同时为了避免隧道逃逸技术,防火墙还可以对翻墙、代理、隧道等高风险应 用进行精确的识别,继而让用户准确的发现网内可能存在的木马文件传输隧道以 及远程控制管理隧道并进行控制。网康NGFW拥有国内最全面的网络应用协议数据库,包括超过1600种的网 络应用协议和500种以上的移动应用。网康NGFW能够根据多种条件及其组合对网络应用进行灵活的管理,包括: 用户、部门及其组合;时间段,如上班时间、下班时间、周末等;提供自定义协 议,对特定的应用进行控制;对网络应用进行封堵、允许、以及流量控制管理。网康NGFW能够对各种网络应用进行精细粒度的管理
7、控制,比如可以通过 阻塞某一种具体的网络电视、流媒体来减少带宽资源浪费,保障员工工作的效率 等。此外,对于一些多协议多用途的应用(如 IM), NGFW 可以精确识别子协 议,将更多细节纳入策略框架中。例如:允许通过QQ聊天与文件传输进行产品 技术支持,且保障QQ远程协助的带宽,但禁止玩QQ游戏,禁止欣赏音乐视频2.2.2 网络拥塞避免网康NGFW可将每条物理链路划分为三级嵌套(主通道、子通道、微通道) 的层次结构,保证各用户、各VLAN的各种网络应用在限定的带宽通道内传输。 如管理员可为企业一级部门设置一个主通道,还可以为二级部门设置子通道,为 三级部门设置微通道,也可以对单个用户或单个/某
8、类应用分配一个独立的带宽 通道。通过层次化的管理,管理员将不同部门用户的不同应用分别限制在一定带宽 之内,保证了不同用户、不同VLAN、不同应用在预先规定的通道内按照设定的 速率、时间段各行其道。这样既可以保证每个应用的正常使用,避免各部门间的 无序带宽争夺,又可以防止某些应用占用带宽过大而造成整个公司网络的拥塞。三级嵌套的通道结构允许通道之间可存在借用关系:当上级通道的保证带宽 有富余时,下级通道可以借用上级通道的剩余带宽。通过对通道内的数据流“削 峰填谷”,抑制突发流量,复用空闲带宽,从而保证通道内数据流能平稳有序地 传输。网康NGFW的各级带宽通道均可以划分不同的优先级,优先级高的通道
9、可以优先使用系统空闲的带宽资源。从而对于 P2P 下载等无关应用进行带宽限 制,对于 ERP 等关键引用进行带宽保障,提升带宽资源使用率,保障关键业务 的质量。2.2.3 流量负载均衡及应用路由网康 NGFW 能够实现基于端口和流量的负载均衡功能,该功能基于时间、 VLAN、内部地址、外部地址、端口对象等条件,将满足条件的流量按照一定选 路算法转发到相应的链路出口上去。在负载算法上,能够实现发生故障时进行链路切换、链路带宽接近饱和时进 行流量分担、按照相应的权重比例进行流量负载均衡。从而帮助用户实现了链路 备份功能和流量分担功能。同时,负载算法还支持强制进行负载,NGFW能够根据目的IP地址归
10、属不 同的运营商来选择对应的出口,通过将去往不同运营商的流量强制转发到相应的 线路出口,从而实现南北互通功能,提高用户访问网络的速度。网康NGFW还可以基于应用层进行负载均衡,不依赖于传统的IP端口来判 断流量,而是通过对应用流量协议特征的识别,将不同的应用转发到不同的线路 上去。特别是将网页访问、 ERP 业务等实时性应用转发到优质线路,将 P2P 这 类对实时性要求不高又极大占用带宽资源的应用转发到一般线路。从而使得优质 线路上主要承载最有价值的业务流量,提升这些重要业务的上网体验,最大化优 质线路的带宽价值。2.2.4 企业用户管理用户是下一代网络安全产品的核心要素,任何一条策略都是针对
11、一个用户或 者部门设置的,因此对于用户的识别、认证与管理能力决定了网络安全产品的安 全防护效果。网康 NGFW 提供了丰富的用户认证方式以及符合企业实际的用户 管理能力,很好地满足企业对于用户的管理要求。当用户数目较多、组织结构比较复杂时,按照实际的组织结构管理用户是最 有效的方式,易于管理员查询、定位和设置策略。网康 NGFW 支持树型结构管 理用户,能够完全按照企业的实际情况建立用户组。网康NGFW可将AD域服务器中用户权限组信息导入到用户组织列表中, 对于那些拥有多AD子域服务器的网络环境,NGFW可同时同步所有AD子域服 务器中的用户信息数据,实现全网用户的统一管理。同时,可以自定义
12、LDAP 的导入入口。网康 NGFW 支持二层网络环境和三层网络环境下的 IP/MAC 绑定。可自动 阻塞那些非法占用他人IP地址的用户。网康 NGFW 提供了多种用户认证和识别方式,为用户管理提供了灵活而完 善的方案。包括基本的 IP/MAC 绑定、三层网络环境下的 IP/MAC 绑定、网关 Web认证、AD域透明认证、LDAP认证、RADIUS认证、POP3认证、PPPoE 认证账号识别、第三方用户识别等,支持与城市热点、深澜等身份认证系统进行 单点登录联动。通过规划并部署合适的认证方式,可以把互联网访问管理应用到 具体用户,实现基于用户身份的访问管理。2.2.5 应用层安全防护网康NGF
13、W通过应用的洞察能力保证对采用动态端口、隧道、代理和SSL 加密等技术手段的应用的可见性,防止威胁逃逸,并通过基于应用的全方位安全 检测手段(入侵防御、防病毒木马、恶意网址过滤,间谍软件检测等)以及领先 的云安全技术来防御威胁。网康NGFW基于深度应用识别,有效解决了传统入侵防御技术无法应对端 口逃逸带来的威胁。提供漏洞、蠕虫、后门、缓冲区溢出、扫描和SQL注入等 多种攻击或威胁方式的检测和防御,支持3000 条以上的威胁特征库,并及时更 新。网康NGFW采用“云查杀”和“本地病毒检测”双引擎,木马与病毒识别 率业内领先。支持对多种协议(HTTP、FTP、SMTP、POP3和I MAP等)流量
14、 和压缩文件(gzip, zip,rar等)中木马与病毒的查杀,提供近10万条实时的本 地木马与病毒特征库,同时云中心提供超过500万木马与病毒文件特征的查杀能 力。网康NGFW的URL过滤功能,采用了基于云的主动扫描预防和在线内容识 别的方法,快速发现并识别可疑网站,能有效的防御挂马网站、钓鱼网站;识别 已被植入木马的傀儡主机,切断其与外界的通信,消除风险;通过对高风险网站 如色情、赌博等类别网站的控制,减少与挂马、钓鱼网站的接触机会,降低风险。网康 NGFW 通过网络行为分析,可以准确定位主机上的间谍软件,减少数 据泄漏风险,有效保护企业信息资产和个人隐私安全。网康 NGFW 提供基于应用
15、的一体化安全策略,给用户带来了基于应用的全 面安全功能和简单、灵活的安全策略配置。在传统防火墙的五元组策略基础上, 增加了应用、用户、内容的三个维度,一条策略可同时对应用、用户和内容进行 匹配,减少了策略配置条目、降低了维护成本。2.2.6 僵尸主机定位随着WEB2.0时代的到来,社交网络和即时通信等应用了得到了普遍使用, 使得僵尸工具的传播从过去邮件或漏洞攻击方式,转向了更方便和广泛使用的新 应用平台上进行传播。网康NGFW提供大量应用的洞察和识别能力,能够让企 业可以控制可能传播僵尸工具的应用(比如P2P下载)或应用动作(MSN文件 传送),来降低企业内部感染僵尸网络的风险。网康NGFW提
16、供完备的入侵防御功能,能够对已知特征的僵尸网络进行防 御。更重要的,僵尸网络是种复合型攻击方式,可能会通过下载木马、蠕虫或后 门程序来对被控制主机进行二次感染,来进行后续更严重的攻击。网康下一代防 火墙提供一体化全方位的防护,通过防木马病毒、防间谍软件、恶意网址过滤、 DDoS 攻击防护和文件内容过滤等功能,能够避免僵尸主机后续更严重的攻击给 企业带来损失。对于新型或者自我更新能力很快的僵尸网络,网康NGFW通过智能的行为 分析方式,来定位感染的僵尸主机,能帮助企业 IT 管理员尽早发现僵尸主机并 及时处理掉。2.2.7 数据防泄漏对于企业网络边界的数据泄漏防护上,首先是选择能够控制会造成敏感数据 泄漏的应用。企业的应用毕竟会从“利”和“弊”两个方面来看待,对于企业完 全没有任何好处的应用就可以完全阻断,而避免它造成数据泄漏,比如大部分企 业需要禁止P2P下载应用,因为其对企业的IT业务来说是没有
