網康NGFW企業網絡安全解決方案

2015年03月06日

網康NGFW企業網絡安全解決方案

1.企業網絡安全現狀

  隨著計算機網絡的出現和互聯網的飛速發展,企業基于網絡的應用也在迅速增加,企業規模不斷擴大的同時,企業網絡的規模也在不斷增加;诰W絡信息系統給企業的經營管理帶來了更大的經濟效益,但隨之而來的安全問題也在困擾著用戶。很多企業在不同地區建立了自己的分公司或分支機構,總部和分支之間互相連通成為一個更大的網絡,這樣一個網網相連的企業網在為企業提高效率、增強競爭力的同時,卻也面臨著更多更為復雜的網絡安全問題。

  從互聯網誕生以來,網絡攻擊就如影隨形。從攻擊的手段和目的角度可以把網絡攻擊分為三個時期:

  第一個時期是從網絡開始出現到2004年之前這段時間。這個時期的網絡攻擊基本上都不是為了獲得某種利益,而是屬于炫耀性攻擊,攻擊者得不到什么好處。這一時期流行的網絡攻擊手段是病毒、蠕蟲程序,只會不斷感染和擴張,病毒制作者獲取不到任何商業利益。

  第二個時期是從2004年下半年到2007年底這段時間。這個時期的網絡攻擊大多數都是為了商業利益,黑客攻擊越來越有目的性,攻擊的目標往往是能夠給他們帶來利潤的用戶。

  第三個時期是2007年底到現在。這一時期的網絡攻擊除了為了經濟利益以外,還有很多政治利益。黑客通過互聯網竊密,竊取商業機密、軍事機密、經濟情報和科技情報等。安全業內的人將這種攻擊行為叫做APT(Advanced Persistent Threat),即“針對特定目標的攻擊”。

  黑客的攻擊手段越來越完善,有的甚至是通過社會工程學的方法,F階段的網絡攻擊往往隱藏在應用中,并通過使用非常規端口來逃脫傳統基于IP端口五元組的安全設備的識別。隨著移動互聯網的發展,很多的安全威脅開始隱藏在移動應用之中,通過無線接入對企業伸出罪惡之手。對于隱藏在企業網絡中已經被感染的僵尸主機,黑客通過遠程控制的方式對其發布指令,竊取公司機密信息或利用公司網絡對第三方發起攻擊。

  APT攻擊的發現比之前更困難,攻擊事件可能是在平?磥碜畈恢匾陌踩录,通常都會把它忽略掉,因為它都不是什么重要的事情?墒撬鋵嵤欠e累地、慢慢地對企業造成威脅。因此,需要有專用的安全設備把這些看似無關緊要的安全事件整合起來,通過智能化的關聯分析幫助用戶判斷哪些可能是潛在的安全威脅。

 

2.解決方案

2.1方案概要

  面對不斷演變的網絡安全威脅,傳統的網絡安全產品已經不能滿足企業的安全需求。普通防火墻只能在網絡層保護內網的計算機、服務器等不受外網的惡意攻擊,并不能阻斷病毒、木馬等非安全因素進入到內網。因此,有必要在公司的網絡與互聯網邊界之間建立全新的安全防護機制,在公司的網絡邊界處將網絡安全威脅拒之門外,防止其通過網絡連接傳播到內網的服務器或計算機上。

  網康下一代防火墻(NGFW)是一款可以全面應對應用層威脅的高性能防火墻。通過深入洞察網絡流量中的用戶、應用和內容,并借助全新的高性能單路徑異構并行處理引擎,NGFW能夠為用戶提供有效的應用層一體化安全防護,幫助用戶安全地開展業務并簡化用戶的網絡安全架構。

2.2解決方案

2.2.1基于應用的精細化訪問控制

  傳統安全產品通過IP或者端口封堵各種協議,只能局限于標準的協議,如HTTP,SMTP,且主要是在網絡層以及傳輸層進行,對應用層的內容無能為力,而且,如果IP與端口經過動態協商建立,比如QQ,P2P下載等,則完全不能勝任。

  網康科技采用第三代的應用識別技術XAI,能夠混合的使用明文特征、密文的流量模型、以及多個明文秘文混合的鏈接之間的行為關聯,繼而準確的識別出明文及密文加密應用,例如可以識別出迅雷加密協議下載的文件類型等。

  同時為了避免隧道逃逸技術,防火墻還可以對翻墻、代理、隧道等高風險應用進行精確的識別,繼而讓用戶準確的發現網內可能存在的木馬文件傳輸隧道以及遠程控制管理隧道并進行控制。

  網康NGFW擁有國內最全面的網絡應用協議數據庫,包括超過1600種的網絡應用協議和500種以上的移動應用。

  網康NGFW能夠根據多種條件及其組合對網絡應用進行靈活的管理,包括:用戶、部門及其組合;時間段,如上班時間、下班時間、周末等;提供自定義協議,對特定的應用進行控制;對網絡應用進行封堵、允許、以及流量控制管理。

  網康NGFW能夠對各種網絡應用進行精細粒度的管理控制,比如可以通過阻塞某一種具體的網絡電視、流媒體來減少帶寬資源浪費,保障員工工作的效率等。此外,對于一些多協議多用途的應用(如IM),NGFW可以精確識別子協議,將更多細節納入策略框架中。例如:允許通過QQ聊天與文件傳輸進行產品技術支持,且保障QQ遠程協助的帶寬,但禁止玩QQ游戲,禁止欣賞音樂視頻等等。

2.2.2網絡擁塞避免

  網康NGFW可將每條物理鏈路劃分為三級嵌套(主通道、子通道、微通道)的層次結構,保證各用戶、各VLAN的各種網絡應用在限定的帶寬通道內傳輸。如管理員可為企業一級部門設置一個主通道,還可以為二級部門設置子通道,為三級部門設置微通道,也可以對單個用戶或單個/某類應用分配一個獨立的帶寬通道。

  通過層次化的管理,管理員將不同部門用戶的不同應用分別限制在一定帶寬之內,保證了不同用戶、不同VLAN、不同應用在預先規定的通道內按照設定的速率、時間段各行其道。這樣既可以保證每個應用的正常使用,避免各部門間的無序帶寬爭奪,又可以防止某些應用占用帶寬過大而造成整個公司網絡的擁塞。

  三級嵌套的通道結構允許通道之間可存在借用關系:當上級通道的保證帶寬有富余時,下級通道可以借用上級通道的剩余帶寬。通過對通道內的數據流“削峰填谷”,抑制突發流量,復用空閑帶寬,從而保證通道內數據流能平穩有序地傳輸。網康NGFW的各級帶寬通道均可以劃分不同的優先級,優先級高的通道可以優先使用系統空閑的帶寬資源。從而對于P2P下載等無關應用進行帶寬限制,對于ERP等關鍵引用進行帶寬保障,提升帶寬資源使用率,保障關鍵業務的質量。

2.2.3流量負載均衡及應用路由

  網康NGFW能夠實現基于端口和流量的負載均衡功能,該功能基于時間、VLAN、內部地址、外部地址、端口對象等條件,將滿足條件的流量按照一定選路算法轉發到相應的鏈路出口上去。

  在負載算法上,能夠實現發生故障時進行鏈路切換、鏈路帶寬接近飽和時進行流量分擔、按照相應的權重比例進行流量負載均衡。從而幫助用戶實現了鏈路備份功能和流量分擔功能。

  同時,負載算法還支持強制進行負載,NGFW能夠根據目的IP地址歸屬不同的運營商來選擇對應的出口,通過將去往不同運營商的流量強制轉發到相應的線路出口,從而實現南北互通功能,提高用戶訪問網絡的速度。

  網康NGFW還可以基于應用層進行負載均衡,不依賴于傳統的IP端口來判斷流量,而是通過對應用流量協議特征的識別,將不同的應用轉發到不同的線路上去。特別是將網頁訪問、ERP業務等實時性應用轉發到優質線路,將P2P這類對實時性要求不高又極大占用帶寬資源的應用轉發到一般線路。從而使得優質線路上主要承載最有價值的業務流量,提升這些重要業務的上網體驗,最大化優質線路的帶寬價值。

2.2.4企業用戶管理

  用戶是下一代網絡安全產品的核心要素,任何一條策略都是針對一個用戶或者部門設置的,因此對于用戶的識別、認證與管理能力決定了網絡安全產品的安全防護效果。網康NGFW提供了豐富的用戶認證方式以及符合企業實際的用戶管理能力,很好地滿足企業對于用戶的管理要求。

  當用戶數目較多、組織結構比較復雜時,按照實際的組織結構管理用戶是最有效的方式,易于管理員查詢、定位和設置策略。網康NGFW支持樹型結構管理用戶,能夠完全按照企業的實際情況建立用戶組。

  網康NGFW可將AD域服務器中用戶權限組信息導入到用戶組織列表中,對于那些擁有多AD子域服務器的網絡環境,NGFW可同時同步所有AD子域服務器中的用戶信息數據,實現全網用戶的統一管理。同時,可以自定義LDAP的導入入口。

  網康NGFW支持二層網絡環境和三層網絡環境下的IP/MAC綁定?勺詣幼枞切┓欠ㄕ加盟薎P地址的用戶。

  網康NGFW提供了多種用戶認證和識別方式,為用戶管理提供了靈活而完善的方案。包括基本的IP/MAC綁定、三層網絡環境下的IP/MAC綁定、網關Web認證、AD域透明認證、LDAP認證、RADIUS認證、POP3認證、PPPoE認證賬號識別、第三方用戶識別等,支持與城市熱點、深瀾等身份認證系統進行單點登錄聯動。通過規劃并部署合適的認證方式,可以把互聯網訪問管理應用到具體用戶,實現基于用戶身份的訪問管理。

2.2.5應用層安全防護

  網康NGFW通過應用的洞察能力保證對采用動態端口、隧道、代理和SSL加密等技術手段的應用的可見性,防止威脅逃逸,并通過基于應用的全方位安全檢測手段(入侵防御、防病毒木馬、惡意網址過濾,間諜軟件檢測等)以及領先的云安全技術來防御威脅。

  網康NGFW基于深度應用識別,有效解決了傳統入侵防御技術無法應對端口逃逸帶來的威脅。提供漏洞、蠕蟲、后門、緩沖區溢出、掃描和SQL注入等多種攻擊或威脅方式的檢測和防御,支持3000條以上的威脅特征庫,并及時更新。

  網康NGFW采用“云查殺”和“本地病毒檢測”雙引擎,木馬與病毒識別率業內領先。支持對多種協議(HTTP、FTP、SMTP、POP3和IMAP等)流量和壓縮文件(gzip,zip,rar等)中木馬與病毒的查殺,提供近10萬條實時的本地木馬與病毒特征庫,同時云中心提供超過500萬木馬與病毒文件特征的查殺能力。

  網康NGFW的URL過濾功能,采用了基于云的主動掃描預防和在線內容識別的方法,快速發現并識別可疑網站,能有效的防御掛馬網站、釣魚網站;識別已被植入木馬的傀儡主機,切斷其與外界的通信,消除風險;通過對高風險網站如色情、賭博等類別網站的控制,減少與掛馬、釣魚網站的接觸機會,降低風險。

  網康NGFW通過網絡行為分析,可以準確定位主機上的間諜軟件,減少數據泄漏風險,有效保護企業信息資產和個人隱私安全。

  網康NGFW提供基于應用的一體化安全策略,給用戶帶來了基于應用的全面安全功能和簡單、靈活的安全策略配置。在傳統防火墻的五元組策略基礎上,增加了應用、用戶、內容的三個維度,一條策略可同時對應用、用戶和內容進行匹配,減少了策略配置條目、降低了維護成本。

2.2.6僵尸主機定位

  隨著WEB2.0時代的到來,社交網絡和即時通信等應用了得到了普遍使用,使得僵尸工具的傳播從過去郵件或漏洞攻擊方式,轉向了更方便和廣泛使用的新應用平臺上進行傳播。網康NGFW提供大量應用的洞察和識別能力,能夠讓企業可以控制可能傳播僵尸工具的應用(比如P2P下載)或應用動作(MSN文件傳送),來降低企業內部感染僵尸網絡的風險。

  網康NGFW提供完備的入侵防御功能,能夠對已知特征的僵尸網絡進行防御。更重要的,僵尸網絡是種復合型攻擊方式,可能會通過下載木馬、蠕蟲或后門程序來對被控制主機進行二次感染,來進行后續更嚴重的攻擊。網康下一代防火墻提供一體化全方位的防護,通過防木馬病毒、防間諜軟件、惡意網址過濾、DDoS攻擊防護和文件內容過濾等功能,能夠避免僵尸主機后續更嚴重的攻擊給企業帶來損失。

  對于新型或者自我更新能力很快的僵尸網絡,網康NGFW通過智能的行為分析方式,來定位感染的僵尸主機,能幫助企業IT管理員盡早發現僵尸主機并及時處理掉。

2.2.7數據防泄漏

  對于企業網絡邊界的數據泄漏防護上,首先是選擇能夠控制會造成敏感數據泄漏的應用。企業的應用畢竟會從“利”和“弊”兩個方面來看待,對于企業完全沒有任何好處的應用就可以完全阻斷,而避免它造成數據泄漏,比如大部分企業需要禁止P2P下載應用,因為其對企業的IT業務來說是沒有任何好處的,并且還會帶來很大的數據泄漏風險。而對于企業有“利”的應用,可能也存在對企業造成數據泄漏風險的動作,比如MSN Messenger,可以方便企業內部員工與客戶進行即時溝通,但其傳輸文件的應用動作會給企業帶來重要數據泄漏的可能。網康NGFW具有深入的應用洞察和識別能力,企業IT人員可通過對應用的合理控制,能夠為企業大大減少數據泄漏的傳輸途徑。

  在發生的一些數據泄漏事件中,通常都會與企業內部的“人”有關,傳統的邊界設備通?梢姾涂刂频氖“IP”地址,并且不能有效的對“人”進行管理和控制數據外發的行為。網康NGFW具有完善的用戶識別能力,通過一體化的安全策略可以基于“人”的維度,控制高風險應用的使用、授權數據外發的行為和記錄數據傳輸的事件,不但降低了沒有授權的“人”會造成數據泄漏的風險,還會幫助企業對造成數據泄漏風險的“人”進行事后審計和處理。

  隨著網絡應用不斷豐富,大量應用會建立在HTTP等基礎協議之上,或者端口號隨機產生;趥鹘y基本協議的內容過濾方式對現在的大量應用失效性越來越嚴重,比如對于WEB Mail的附件、微博和MSN的文件傳輸、網盤的文件上傳等。網康NGFW基于應用構建文件類型和內容的掃描能力,并且支持幾百種常見應用的文件類型和內容控制,能夠細粒度到應用的動作進行識別和控制,比如用戶選擇內容過濾是針對MSN的聊天內容還是文件傳輸。其中對于文件內容的掃描,網康提供給用戶自定義正則表達式的方式,同時可指定關鍵信息的命中閥值來決策阻斷或告警,另外,還提供一些預定義的特征方式給用戶選擇掃描,比如身份證號、銀行卡號和手機號碼等。而對于文件類型的掃描,支持近百種常見的文件類型(包括各種Office文件、音視頻文件,圖片和壓縮文件等),文件類型的識別是采用文件特征匹配方式,修改文件后綴仍可準確識別。

2.2.8IPsec VPN分支互聯

  網康NGFW提供良好的人機管理界面和功能,讓企業在日常IT管理維護中節省可觀的內部管理和支持成本。通過NGFW構建起來的VPN專網中能夠很容易實施OA、ERP、CRM等軟件應用并進行遠程互聯,極大提高企業的工作效率,給企業帶來無盡的效益。網康NGFW對分支節點網絡流量可以進行分流,可以將一條線路專門用來上網,另一條線路專門用來在總部和分公司之間傳輸數據,這樣既安全又通暢。

  網康NGFW支持對VPN隧道中的流量進行安全檢測,防止木馬和病毒通過VPN隧道傳播,全方位保護企業網絡安全。

 

3.優勢亮點

3.1領先的應用識別技術

  憑借網康科技在應用識別和內容控制領域8年的技術積累,實現了對近3000種網絡應用的識別,其中包含了300多種高風險應用,從各種維度對不同應用做出評價。

3.2豐富的用戶識別類型

  支持基于IP/MAC、計算機名、POP3、Proxy、LDAP、AD域、Radius、Portal進行認證,同時支持和多種認證系統聯動,實現單點認證。

3.3國內最大的URL庫

  擁有國內最大的、包含3000萬中文網頁的URL庫,每日更新,即時發現惡意網站。

3.4先進的主動防御技術

  基于行為分析感知僵尸主機和間諜軟件,通過多維度的數據分析和多種類型日志的智能關聯集成,實現應用威脅的可視化,便于用戶提早發現網絡中潛在的威脅,并主動調整安全策略。

3.5云安全速度更快準確率更高

  采用云安全技術對網絡流量進行病毒和木馬檢測,云安全技術具有特征庫大和實時更新的特點,對病毒和木馬的檢測更加有效。同時由于將內容掃描的計算轉移到云端進行,大大降低了防火墻的計算資源消耗,提升了網絡吞吐能力。

3.6高性能的應用安全防護

  采用網康獨有專利技術的多核加速轉發引擎,充分發揮硬件優勢,實現高性能的應用安全防護。

3.7移動識別和管理

  支持近700種移動互聯網應用,覆蓋iOS、Android、Windows等多種移動平臺,涵蓋聊天、微博、視頻、地圖等多種主流應用類型。

3.8數據防泄漏

  通過對網絡流量進行指定特征的關鍵信息及文件類型的掃描,網康NGFW可以有效地防止企業的信息資產泄漏。

來源:煙臺三和網絡系統有限公司
煙臺三和網絡系統有限公司
王鋼
經營模式 :
經銷批發
所在地區 :
山東省 煙臺市 芝罘區 芝罘屯路12號科技市場115室

地址:山東煙臺科技市場115室

Tel:(86) 0535-6655824

Fax:(86)0535-6666862

http://www.bnbqz.com