需求分析
某公司拥有大型的网络架构,网关处已经部署了防火墙,内网交换机cisco 4506支持着公司内部大约2000人的上网业务。机构内部也已经应用了众多信息系统,包括OA系统、HR系统、WEB服务器、邮件服务器等,各业务应用系统都或多或少的通过互联网平台得到整体应用。
随着网络的发展,网络应用不断丰富。公司的大量应用建立在HTTP等基础协议之上,或者随机产生端口号,或者采用SSL加密等方式来隐藏内容。而企业的IP地址和各项应用站点又是面向互联网的用户。因此如何"看清"应用中的内容并进行防御,这是对此次网络整改中的防火墙提出了新要求。其次,网络正在从千兆走向万兆甚至10万兆,网络带宽增长迅速,防火墙应有足够的性能和扩展性来应对这种变化。再次,随着远程办公的快速增长,要求防火墙既能抵抗外部攻击,又能允许合法的远程访问VPN,尤其重要的是能够识别加密过的数据。
该公司信息中心的有关领导,一直在寻找能够解决网络整体安全的方案,从集团公司的网关安全作为出发点,着重确保服务器区安全,以及服务器中的应用服务的稳定及安全的整体解决方案。
客户网络现状分析
通过以上机构的内网拓扑简图可见,现有的防火墙已经使用了5年的时间,而且仅仅只用来作为普通防火墙来做包过滤, 近几年来,公司每年都会出现病毒风暴,从而影响公司内网网络, 严重的时候公司财务部都无法进行税务报税,因此防御病毒对整个网络的干扰也是此次网络安全整体改造的一方面。
桌面的机器管理,一直都未纳入管理体制中,多数PC机器都是由于私自安装一些陌生的程序而感染到病毒的,因此我们也计划引入桌面机的管理体制,从统计PC机的物理配置开始,限制陌生软件的使用,从而杜绝病毒的渗透。
背景介绍
如今网络世界发生了巨大的变化:首先,成千万的应用都基于Web,通过端口来区分应用的方法已经过时了。端口在传统防火墙面前就像一个个封闭的管道,管道里跑着各式各样的应用,而传统防火墙除了能看到管道的外体,对管道里发生的事情一无所知。
其次,应用也不像过去、非黑即白,而是黑白混合,是灰度的。举个例子,聊天工具到底是安全的还是危险的?谁也说不清楚。也许对方的聊天工具已被木马控制,发来一个文件本身就是木马,一打开就中招了。传统的思路就是把聊天工具封堵了,但这样很多基于聊天工具的正常工作也无法开展了。#p#
另外,现在的攻击目的也在转变,攻击系统的恶作剧越来越少,有经济目地的信息窃取越来越多,如窃取个人账户、企业机密等。而且这种攻击不仅仅是针对操作系统,应用和数据库都成为了攻击目标。所以即使IDS、IPS在,网络依然被篡改,信息依然被窃取,这也是近年来网页防篡改系统、WAF产品逐渐盛行的原因。
最后,传统的IPS和AV大部分都是基于特征库匹配的DPI技术,只能对于已知的威胁进行防护,而对于哪些最新的威胁变种或者未曝光的未知威胁却无能为力。近年来的"0 Day"零日漏洞攻击越来越多,比如微软的"极光"、"MPEG-2"。
但是大多数传统防火墙厂商却没有改进自己的技术,倒一窝蜂的置身于性能竞赛中。防火墙的吞吐量记录不断被刷新,但在面对各种新的应用和攻击方面却仿佛视而不见。这好比过去的模拟电视,尺寸越来越大,外观越来越漂亮,但数字电视的到来却一夜间给模拟电视敲响了丧钟。
梭子鱼下一代防火墙解决方案介绍
如下图所示,我们将部署一台梭子鱼下一代防火墙(以下简称NG Firewall)产品替换原有防火墙,由于我们梭子鱼的物理性能高达1.4G的路由性能,所以完全可以支持内网2000名员工的上网服务,同时具有AV防病毒及IPS入侵检测的功能。
其次梭子鱼下一代防火墙产品,拥有7层应用层数据过滤的功能,因此,我们可以为公司内网员工提供应用过滤,可以屏蔽一些P2P下载,网页视频,IM通讯等服务。当然,对其他应用层服务,我们计划做一些带宽限制或者带宽保留服务,保证我们正常业务的流量。
同时在整体方案中,我们计划将分支机构,也部署梭子鱼NG Firewall其意义为:1、IPSEC-VPN连接总部梭子鱼设备; 2、便于分支机构的网络安全防卫;3、对内网的数据流进行应用层识别及带宽管理。
针对越来越多的移动办公人员,我们建议起用梭子鱼NG Firewall 的SSL-VPN功能,这样既可以便于公司领导外出期间,使用公司内部系统,又可以非常安全的为公司服务器提供数据保障。
梭子鱼下一代防火墙产品介绍
2010年,梭子鱼公司将推出一款名为NG Firewall的网络安全产品,这是一款基于应用层设计和开发的防火墙产品,也称7层防火墙。梭子鱼NG Firewall可以针对丰富的应用提供更完整的可视化内容安全保护方案,解决了传统防火墙在应用管控、应用防护、未知威胁处理方面的巨大不足,具备了传统防火墙和IPS、AV的所有功能,并可在全功能开启后达到8-10Gbps的最高性能,是UTM产品在同等工作状态下的10-25倍。#p#
梭子鱼NG Firewall 七层防火墙时代的到来
梭子鱼推出的新一代的7层防火墙-梭子鱼下一代防火墙 ,这是一个划时代的产品。她从TCP 7层出发,基于应用的类型和内容提供安全解决方案,同时还包含了传统防火墙和IPS的所有功能。
NG Firewall可以基于应用的类型实现可视化管控。NG Firewall可以恢复安全设备对应用的可视化感知,对同一端口上运行的不同应用类型进行区分,在根据客户需要对同一端口的不同应用进行管理。
NG Firewall可以提供更加完整的应用防护功能。 NG Firewall可以提供两个维度防护:终端防护(AV、Web安全过滤等)、服务器防护(IPS、WAF、DDoS防护等)。其中WAF(web application firewall)的各种功能包括了:对弱密码的保护、对数据注入攻击的保护、服务器信息隐藏等。
NG Firewall能够基于应用的内容实现更精确的安全防护。她既能让用户访问各种应用,又能对其中的内容进行信息过滤和危险流量拦截,还可以通过关联分析技术识别出未知威胁,并及时处理。
当然,NG Firewall依然可以对端口进行封堵,也保留了传统防火墙中的NAT、路由等用户普遍需要的功能。通过NG Firewall,用户可以向传统的防火墙和IPS说再见了。
NG Firewall不仅具备它们的各种有用的功能,还终于实现了对应用层的保护。用户可以看见网络管道中跑着那些应用,有哪些内容,存在哪些风险,并且均可以一一进行控制和记录。有人会问,AF是不是就是UTM?好像实现的功能很相似。事实上,他们是完全不同的产品。UTM只能算是防火墙产品的改进版,通过叠加各种模块来弥补传统防火墙产品在应用层的不足。但是,UTM依然工作在TCP的3-4层,而不是在第7层,一旦把应用层的功能开启后,性能将大幅度下降,这也不难解释一些号称10G的UTM设备在开启全功能后,性能迅速下降到400Mbp左右。
而梭子鱼NG Firewall 则完全基于7层设计,并通过多核并行计算技术,数据包一次扫描技术,深度内容识别及快速还原等技术,使得她在全功能开启后最高性能依然能达到8-10G。
准备迎接下一代防火墙时代的来临
无独有偶,梭子鱼推出的产品NG Firewall同全球著名分析机构Gartner定义的NGFW(下一代防火墙)十分接近。Gartner认为下一代防火墙必须有以下几点:
标准的防火墙功能,如网络地址转换,状态检测,VPN和大企业需要的功能。
入侵防御系统和防火墙真正一体化。
应用程序感知能力,自动识别和控制应用程序。
额外的防火墙智能,为辅助决策提供更多信息,如信誉分析,与活动目录(AD)集成,有用的阻塞或漏洞列表。
而梭子鱼下一代防火墙产品涵盖了下一代防火墙的主要功能,并兼备WAF的功能。