《防火墙升级方案》由会员分享,可在线阅读,更多相关《防火墙升级方案(6页珍藏版)》请在金锄头文库上搜索。
1、XXXX 防火墙升级方案一、概述1、背景XXXX现在所使用的网关设备为XXX,由于该设备的主要功能是安全网关等功能,在防 入侵、防病毒、行为管理、流量控制等众多控制功能的缺失或者过于简单,现已不能满足 XXXX的业务发展需求。2、防火墙 所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的结构上构建的一道保护屏障,是一企业网络安全的第一道防线。防火墙能在网络与网络之间建立起一个安全网关,从而保护内部网免受非法用户的侵入 防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成。防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件。该计算机流入流出
2、的 所有网络通信和数据包均要经过防火墙。3、需求分析根据XXXX的业务发展需求升级更换的防火墙需要具备以下功能:(1) 、基于应用程序的流量控制以及行为管理 流量控制:对内网用户进行流量限制,可以设定优先级,优先级别越高,流量和速度就越有保证,如设定QQ为最高级别,那么不管出口带宽占用再高,也会优先保证QQ的带 宽。行为管理:对内网用户进行基于应用程序的流控以及行为管理,如可以限定用户不能访 问某个网站(包括HTTPS)或者只允许用户只能够访问指定网站指定端口等。(2) 、ARP 绑定把 IP 和 MAC 地址绑定在一起,通过策略控制,没有绑定的用户以及与绑定列表不匹配 的用户均能正常通讯,这
3、一设定能最大限度限制ARP欺骗等病毒攻击。(3) 、多出口(WAN) 能够支持多出口,能够限定某部分用户走那一个出口。(4) 、防病毒 能够对恶意代码、病毒进行识别和过滤,(5) 、内外网隔离 把外网和内网完全隔离开,并且内网能够访问外网,外网不能访问内网,最大限度保证内网的网络安全。4、安全策略(1)、安全域策略:将外网设定为untrust区域,将内网设定为trust区域,服务器区域为DMZ。源安全域目的安全域服务安全域地址用户安全域地址tr ustanyanyunt rustanyany源安全域目的安全域服务安全域地址用户安全域地址tr ustanyanydmzanyany源安全域目的安全
4、域服务安全域地址用户安全域地址dmzanyanyunt rustanyany(2) 、流量控制: 整体流量控制将划分为第一层流控、第二层流控,每一层流控下再划分三个根管道,根 管道下面再划分子管道,子管道下还可以再可以划分子管道,每一个管道都可以分配上传和 下载的流量,实现精确的应用程序流量控制。流控例子:第一级流控:一号根管道:应用程序流量管道卜一级子管道一号:办公应用程序卜二级子管道一号:办公应用程序1卜二级子管道二号:办公应用程序2卜子管道二号:通讯应用程序卜二级子管道一号:通讯应用程序1二号根管道: P2P 程序三号根管道:流媒体第二级流控:速率控制根I入謔根管道子子管道子勰子管道子宓
5、根誰子訓子眩道第二謊控r11默认詐L 亠J二、产品介绍1、概述XXXX 下一代防火墙可精确识别数千种网络应用,并提供详尽的应用风险分析和灵活的 策略管控。结合用户识别、内容识别,XXXX下一代防护墙可为用户提供可视化及精细化的 应用程序安全管理,同时XXXX下一代防火墙内置了先进的威胁检测引擎及专业的WEB服 务器防护功能,能够抵御包括病毒、木马、脚本等各种网络攻击。2、产品亮点(1) 、精细化应用管控XXXX下一代防火墙支持深度应用识别技术,可根据协议特征、行为特征及关联分析等, 准确识别数千种网络应用,其中包括400 余种移动应用。并且,可支持 SSL 加密流量的应用 识别。在此基础上,为
6、用户提供了精细而灵活的应用安全管控功能。(2) 、全面威胁检测和防护XXXX 下一代防火墙提供了基于深度应用、协议检测和攻击原理分析的入侵防御技术, 可有效过滤病毒、木马、蠕虫、间谍软件、漏洞攻击、逃逸攻击等安全威胁,为用户提供L2- L7 层网络安全防护。高性能的病毒过滤。领先的基于流扫描技术的检测引擎可实现低延时的高性能过滤。支 持对HTTP、FTP及各种邮件传输协议流量和压缩文件(zip,gzip, rar等)中病毒的查杀。专业的 Botnet 过滤功能。通过专业的僵尸主机地址以及 Botnet 外网恶意伺服器 IP 地 址的过滤,从根本上阻断僵尸网络向机构内网的渗透,有效抵御僵尸网络的
7、威胁。支持千万级URL特征库的URL过滤功能。可帮助网络管理员轻松实现网页浏览访问控 制,避免恶意URL带来的威胁渗入。(3) 、强大的网络适应性XXXX 下一代防火墙具备强大的网络适应能力,具备复杂环境下的安全部署能力,满足 用户多样化的网络功能需求。智能链路负载均衡功能。其出站动态探测和入站 SmartDNS 等功能允许网络访问流量在 多条链路上实现智能分担,极大提升链路利用效率和用户网络访问体验。内置VPN加速芯片。可显著提升IPSec/SSL VPN性能,支持大规模网络环境中VPN部 署。结合iOS及An droid平台下的VPN客户端,可为用户提供移动终端远程接入解决方案。3、功能规
8、格(1)、应用识别 全新一代基于应用特征、行为和关联信息的应用识别 支持应用类别、风险等级等多维度的应用定义 多达几千种的应用特征库 应用特征库支持网络实时更新(2)、用户认证 支持本地用户认证支持外部服务器用户认证(RADIUS、LDAP、MS AD) Web 认证 802.1X 支持 MS AD 用户组同步 支持 Web 认证后的 SSO(2)、SSL 解密 支持基于 https 加密流量的应用识别 支持识别加密流量并阻断不可信流量 支持加密流量白名单设置(4)、防火墙 基于深度应用识别的访问控制 基于应用 / 角色的安全策略 丰富的路由特性 强大的 NAT 及 ALG(5)、攻击防护 多
9、种畸形报文攻击防护 SYN Flood、DNS Query Flood 等多种 DoS/DDoS 攻击防护 支持 ARP 攻击防护(6)、入侵防御 基于状态、精准的高性能攻击检测和防御 实时攻击源阻断、 IP 屏蔽、攻击事件记录 支持针对 HTTP、 SMTP、 IMAP、 POP3、 VOIP、 NETBIOSP 等 20 余种协议和应用 的攻击检测和防御支持缓冲区溢出、SQL注入和跨站脚本攻击的检测和防护 支持自定义入侵防御特征 提供预定义防御配置模板 提供 7000 多种特征的攻击检测和防御,特征库支持网络实时更新 支持专业的 Web Server 防护功能,含 CC 攻击防护和外链防护
10、等(7)、病毒过滤 基于流的病毒过滤 支持压缩病毒文件的扫描超过130万的病毒特征库,病毒库支持网络实时更新Botnet Filter 支持专业的僵尸主机地址、 Botnet 外网恶意伺服器 IP 地址的过滤网页访问控制基于角色、时间、优先级、网页类别等条件的Web网页访问控制 支持自定义 URL 类别 支持千万级 URL 特征库, URL 库支持网络实时更新(8)、带宽管理 根据安全域、接口、地址、用户/用户组、服务/服务组、应用/应用组、 TOS、 Vlan 等 信息划分管道 支持两层八级管道嵌套 对多层级管道进行最大带宽限制、最小带宽保证、每 IP 或每用户的最大带宽限制 和最小带宽保证
11、 基于时间和优先级的差分服务,支持带宽均分策略 对剩余带宽根据优先级进行弹性分配 主动抑制服务器端传送流量(9) 、链路负载均衡 Outbound相关功能PBR支持ECMP、时间以及权重、支持内置ISP路由和动态 探测 Inbound相关功能支持SmartDNS (支持DNS A记录解析)、支持动态探测 可根据带宽占用及时延情况自动进行链路切换 支持通过 ARP、 PING、 DNS 等方法来检测链路状态(10) 、服务器负载均衡 支持服务器健康检查和服务器会话保护、支持会话保持 支持加权哈希、加权轮询、加权最小会话数等算法 支持服务器会话状态的监控(11) 、VPN 支持 IPSec VPN
12、 及创新的 PnPVPN 支持 SSL VPN ( 可选 USB-key) 支持 L2TP、 GRE 协议 支持 IKEv2 协议 支持 Xauth 协议 支持 OCSP 和 SCEP 协议 支持 Android、 iOS 等移动设备的安全接入(12) 、IPv6 访问控制 ND 攻击防护隧道、DNS64/NAT64等多种过渡技术 IPv6路由(静态路由、RIP ng、0SPFv3、BGP4+ )高可用性(HA) 主/主模式 (A/A) 和主/备模式 (A/P) 支持配置、会话同步(13)、虚拟系统 (VSYS) 支持对每个 VSYS 分配系统资源 支持 CPU 虚拟化 支持防火墙、 IPSec VPN、 SSL VPN 功能 支持监控统计(14)、监控统计 支持 URL 日志、 NAT 日志、会话日志、威胁日志等 支持实时流量统计和分析功能 支持安全事件统计功能
