1、背景

      随着信息化技术的快速发展，企业信息化需求日益增多，市场空间广阔，市场容量在未来5-10年将继续稳步增长。当今中小企业与大企业一样，都广泛使用信息技术以不断提高企业的竞争力。企业信息设施在提高企业效益的同时，也给企业增加了风险隐患。大企业所面临的安全问题也一直困扰着中小企业，近年来越来越多的网络安全攻击也给中小企业带来了巨大的损失。

  信达网安公司发挥自身产品和方案综合优势，凭借对行业的深度理解和研究，推出了包含安全防护、行为管控、流量管控、行为审计等特色应用的企业信息化解决方案。

2、产品概述

      信达网安下一代防火墙是面向应用层设计，能够精确识别用户、应用和内容，具备安全防护能力，能够全面替代传统防火墙，并具有强劲应用层处理能力的全新网络安全设备，下一代防火墙解决了传统安全设备在应用管控、应用可视化、应用内容防护等方面的巨大不足，同时开启所有功能后性能不会大幅下降。

  下一代防火墙不但可以提供基础网络安全功能，如状态监测、VPN、抗DDos、NAT等；还实现了统一的应用安全防护，可以针对一个入侵行为中的各种技术手段进行统一的检测和防护，如应用扫描、漏洞利用、WEB入侵、非法访问、蠕虫病毒、带宽滥用、恶意代码等。下一代防火墙可以为不同规模的行业用户的数据中心、广域网边界、互联网边界等场景提供更加精细、更加全面、更高性能的应用内容防护方案。

其核心理念是在用户网络边界建立以应用为核心的网络安全策略，通过逐层递进方式实现用户/应用行为的可视、可控、合规和安全，最终保障网络应用被安全高效的使用。

   更精细的应用层安全控制：

   1、贴近国内应用、持续更新的应用识别规则库

   2、支持包括 AD 域、Radius 等多种用户身份识别方式

   3、面向用户与应用策略配置，减少错误配置的风险

  更全面的内容级安全防护：

   1、基于攻击过程的服务器保护，防御黑客扫描、入侵、破坏三步曲

   2、强化的 WEB 应用安全，支持多种 SQL 注入防范、XSS 攻击、CSRF、权限控制等

   3、完整的终端安全保护，支持漏洞、病毒防护等

   4、双向内容检测，功能防御策略智能联动

3、产品优势技术

      随着网络带宽的增加 ，网络应用以成倍的速度增加，应用层应用在无情地免费地侵蚀着宝贵的网络带宽，而网络安全的威胁更多的来源于应用层，对应用层的网络访问控制需要采用新的解决方案。精确的识别出应用、阻断有安全隐患的应用、保证合法应用正常使用、防止端口盗用等问题，已成为现阶段企事业用户对网络安全担忧的主题之一。

3.1精细的应用层安全防护

      下一代防火墙采用DPI的识别方式使得应用层协议可视化可控，下一代防火墙可以根据应用的行为和特征实现对应用进行识别和控制，而不仅仅依赖于端口或标准协议，摆脱了传统设备只能通过IP地址或者五元组控制的粗粒度，即使加密过的数据流也能进行管控。

      目前，下一代防火墙可以识别700多种应用，识别上千种网络行为动作，还可以与多种认证系统（AD、LDAP、Radius等）无缝对接，自动识别出网络当中IP地址【MAC地址、用户身份】对应的用户信息，并建立组织的用户分组结构；满足了普通互联网边界行为管控的要求。可以识别和控制丰富的内网应用，如迅雷P2P、RDP、Lotus Notes、RTX、Citrix、Oracle EBS、金蝶EAS、用友NC、U8、SAP、LDAP等，针对用户应用系统更新服务的诉求，下一代防火墙还可以精细识别Microsoft SHAREPOINT、奇虎360、Symantec、 Sogou、Kaspersky、金山毒霸、江民杀毒等软件更新，保障在安全管控严格的环境下，系统软件更新服务畅通无阻。

       因此，通过应用的协议识别制定的二到七层的应用访问控制策略，可以为用户提供更加精细和直观化控制界面，在一个界面下完成多套设备的运维工作，提升工作效率。

3.2 WEB应用的安全防护

      下一代防火墙融合了漏洞防护、Web安全防护等多种安全技术，具备12000多条漏洞特征库、木马插件等恶意内容特征库、800多条Web应用威胁特征库，可以全面识别各种应用层和内容级别的各种安全威胁。提供URL过滤、文件过滤、ActiveX过滤、脚本过滤等多种WEB安全防护手段通过对应用流中的数据报文内容进行探测，从而确定数据报文的真正应用。

       WEB应用防护通过主动防御已知和未知攻击，实时阻断各种黑客攻击，如SQL注入、XSS攻击、网站扫描、WEB SHELL、会话劫持攻击等。

（1）防SQL注入攻击

        SQL注入攻击产生的原因是由于在开发WEB应用时，没有对用户输入的数据做合法性检查和判断，用户在提交一段数据库查询代码，根据程序返回的结果，获得默写他想得知的数据，这就是所谓的SQL 注入。下一代防火墙通过高效的URL 过滤技术，过滤SQL注入的关键信息，从而有效的避免网站服务器受到的SQL注入攻击。

（2）防XSS跨脚本攻击

       跨站攻击产生的原理是攻击者通过向WEB页面里插入恶意HTML代码，从而达到特殊目的。下一代防火墙通过先进的数据包正则表达式匹配原理，可以准确地过滤数据包中包含的跨站式攻击的恶意代码，从而保护用户的WEB服务器安全。

3.3 应用层带宽管理

      下一代防火墙内置专业流量管理产品以应用对象设置、用户对象设置、时间对象设置、带宽通道对象设置、用户自定义对象设置基础，通过应用控制、流量管理、内容过滤等策略，最大限度地满足用户在流量管理方面的不同需求，实现用户网络人性化的精确管理。专业流量管理产品满足了企业不同业务主次之分，系统分为0-7共8个QoS优先级控制策略，从而为指定的应用和通道提供差异化的影响级别。同时也可以为特定的实时应用，如视频会议、VOIP等，预留固定的带宽，保证实时应用的流畅使用。

3.4 IPS漏洞防护

  支持12000多种流量异常特征库，并可以按优先级区分不同类型的漏洞攻击，按“高”，“中”，“低”区分；包括敏感信息泄露DOS攻击/尝试获取用户特权的攻击/尝试获取管理员特权的攻击/网络流量中发现可执行文件的注入/可疑关键字和可疑文件的注入/远程过程调用告警/网络木马程序注入/客户端使用可疑端口通信/可疑的网络扫描/篡改标准协议和非法事件的告警/潜在的web攻击/ICMP告警/异常内容告警/公司机密泄露/尝试用默认账号窃取信息等。

3.5 网络病毒防护

     病毒库数量：100,000+，定期更新，基于流引擎查毒技术，针对HTTP、FTP、SMTP、POP3、IMAP等协议进行查杀。

3.6多线路负载均衡机制

    高效负载算法：自主研发的高效负载均衡算法，支持按照源IP轮询、会话轮询、线路负载、最佳路径等多种链路自动均衡算法，保证用户访问互联网的最佳体验。

     ISP目的选择：可基于电信、移动、联通、网通、铁通、中国选择不同的出口。

    应用的选择：可基于智能应用识别特征库，例如下载类应用走电信、财务类应用做移动等。

    用户源的选择：可基于不同的用户组、用户、IP源选择，走不同的出口线路。

    链路健康检查：ICMP/TCP/DNS侦测链路健康状态，保证业务正常

 

3.7 线速的状态检测防火墙

    支持线路的带宽叠加，充分利用多条Internet接入；

    支持多线路的策略路由，智能选择更快的线路接入Internet；

    支持三种工作模式（NAT模式、透明桥模式、路由模式）；

    支持状态检测防火墙（基于IP/IP段/IP组、IP/MAC、PORT、时间控制等策略组合）；

    支持关键字、文件类型、域名等内容过滤；

    支持VLAN与静态路由；

4、主要功能介绍

4.1 入侵防御

       信达网安经过多年网络安全领域的沉淀和积累，打造了一支资深的攻击特征库团队和安全服务团队，在蠕虫、后门、木马、间谍软件、Web攻击、拒绝服务等攻击的防御方面具备了完善的检测、阻断、限流、审计等防御手段，并随时关注业界最新发现的安全漏洞和接收全球用户反馈的攻击特征，并在第一时间做出响应和提供更新，实时完善攻击特征库，提供最及时、最全面的入侵防御。

•       超过4000种预定义攻击特征。
•       实时在线更新。
•       提供WAF级别的安全 防护，有效的防御和预警Web服务器的攻击，包括网页防爬虫、网页防篡改、HTTPS防护、DDoS攻击防护、Web攻击过滤、漏洞防护自学习等。
•       处理网络类威胁，包括安全漏洞、木马后门、可以行为、CGI访问、CGI攻击、缓存溢出、拒绝服务、蠕虫病毒、网络数据库攻击、间谍软件、安全扫描、网络设备攻击、欺骗劫持。
•       保证基础网络安全。
•       分级事件及操作配置。
•       虚拟补丁管理。

4.2 病毒防护

      信达网安下一代防火墙拥有大量病毒特征库，配合先进的防病毒引擎，能够精准识别并清除流行木马和顽固病毒。病毒检测引擎针对非缓存流检测模式进行了全面结构调整和优化，使防火墙的病毒检测率和处理性能获得质的突破：在保持高病毒检测率的同时，系统性能下降不超过20%。

•        可以在HTTP,SMTP,FTP,POP3,IMAP等多种协议下病毒防御，支持非标准端口的HTTP,SMTP,FTP,POP3,IMAP协议中的病毒检测。
•        支持路由、透明、混合等各种工作模式下的网络病毒检测，支持无IP地址的透明桥下的网络病毒检测模式，支持VPN 模式下的病毒扫描。
•        采用高效的病毒防御引擎和国内知名病毒厂商特征库，可检测不少于300万以上种病毒。
•        可以根据不同的源IP地址、目的IP地址、服务、时间、接口、用户等，采用不同的病毒防御策略。
•   可以过滤邮件病毒、文件病毒、恶意网页代码、木马后门、蠕虫等多种类型的病毒
•   特征库定时更新，支持病毒库本地升级，病毒库可实时在线升级。

4.3 DDOS攻击防护

     当受到攻击时，伴随而来的会出现网络异常情形发生，网络异常大概可分为以下三种：

（1）通信协议异常

        例如由外界网络流入大量过长的IP数据包、大量的IP碎片数据包、异常的TCP通信协议连机状态、被截断的IP数据包、无法重组的IP数据包等。

（2）IP/Port扫描异常

       通过IP扫瞄，黑客得以窥知目的端内网络结构和情形；通过Port扫描，黑客可以得知目标主机已开启的服务端口。

（3）网络流量异常

      例如突然产生大量的TCP SYN、TCP、UDP、ICMP、IGMP等数据包，占据正常网络使用带宽。

      当上述攻击数据包发起时，经过改造的恶意数据包可能会造成企业内部网络系统死机无法对外提供正常的服务；IP/Port扫瞄的行为将让企业内部的网络架构轻易被黑客得知；大量的异常流量数据包也可能造成企业核心路由器、交换机等因承载过重而死机。

      信达网安下一代防火墙内置DDOS攻击防御模块，可以检测各项偏离预期的网络行为。依据RFC标准规范制作通信协议异常检测模块，可以阻止不符合标准通信协议规范的数据包。支持网络流量异常检测，不单只使用计数的方式，还使用专门的统计算法，可以准确地检测网络流量的异常情形。

4.4 应用访问控制

      应用访问控制是信达网安下一代防火墙的重要功能。借助于应用识别功能，可以准确识别网络上正在运行的应用，应用流量的准确识别不但可洞悉整个网络的运行情况，而且可针对具体需求做用户行为的准确管控，这在一定程度上既可保证业务流的高效运行也可预防由于内网机器受到攻击而生产的威胁，同时识别应用类型也是应用审计与应用流量控制的基础。

      随着P2P应用的广泛流行和基于Web的应用的兴起，令传统的利用固定端口来区分应用类型的设备无能无力。应用识别功能把对报文的协议解析、深度内容检测以及关联分析结合起来，通过对大量实际环境中的流量的分析，总结出每种应用的流量模型，把对数据包的协议解析、深度内容检测和关系分析的结果综合起来，由决策引擎通过与流量模拟的匹配程度，智能的判定应用类型，相比传统的应用识别技术，还具有以下特点：

（1）基于协议状态分析

      信达网安下一代防火墙对已知协议和RFC规范的深入理解，可准确、高效的对各种协议进行解析。例如，对于一次HTTP访问，先由协议解析出访问的URL、Host、User-Agent等信息，再将解析出来的信息进行特征匹配，这样可以带来以下优点：

• 提高性能，不需要对整个报文进行模板匹配，可以提高应用识别的性能。
•   降低误识别率，因为进行模式匹配的字段由整个报文缩小为特定的协议参数，可使特征写的更加精确，减少误识别率。

（2）基于应用行为检测

      不同的应用类型体现在会话连接或数据流上的状态各有不同；基于这一系列流量的行为特征，通过分析会话连接流的包长、连接速率、发送/接收的流量比例、包与包之间的间隔等信息来识别应用类型。

      只有在准确识别应用协议的基础上，才能对应用做到深入、全面和准确地控制。不但可以准确、高效的识别出网络流量的应用类型，而且可以精准的识别出应用的行为。随着特征库的不断更新，支持的应用和行为在不断增加。网络中的应用日新月益，拥有强大的安全服务团队的支持，可以随时对网络中的新应用进行跟踪分析，持续的更新应用特征库。

4.5应用层防护

（1）URL过滤

      下一代防火墙具有业界领先的基于云端的URL 分类库，内含按照不同类型（如不良言论、色情暴力、网络“钓鱼”、论坛聊天等）划分的超过上亿条记录的URL 信息，可实现对工作无关网站、不良信息、高风险网站的准确、高效过滤； 

        同时下一代防火墙内置的Web 信誉库，通过对互联网站点资源（域名、IP 地址、URL 等）进行威胁分析和信誉评级，将含有恶意代码的网站列入Web 信誉库，可有效阻挡用户对挂马等不良信誉网站的有意或无意访问，实现对终端用户的安全保护。

（2）内容过滤

      通过内容安全关键字，下一代防火墙可对任意安全区域间交互的网页内容、搜索引擎信息内容、文件传输（文件名、格式、内容）、邮件收发（包括收发人、标题、内容、文件等）、论坛发言、服务器操作、以及即时通讯内容等进行基于内容关键字的准确检测、阻断、告警、记录和信息还原，实现深度内容安全管理与跟踪，避免用户机密信息、重要文件通过网络外泄，也避免了非法言论及不良信息的传播。

4.6 VPN数据安全传输

      信达网安下一代防火墙支持标准的IPsecVPN、SSL VPN，支持点对网和网对网的接入方式，提供高安全的加密隧道方案。通过简单配置用户就能轻松搭建安全的VPN隧道连接；满足各种总分型场景用户对数据传输的便捷性、安全性以及高性价比的要求。

      对能源、交通、政务等一些分散型及偏远型的分支节点，专线成本高、灵活性差的缺点暴露无遗；信达网安下一代防火墙支持4G网络并支持4G IPsecVPN加密连接，4G连接提供按需拨号，无需改变原有网络架构，在主线路故障时主动承接和中心端的网络加密通信，具备数据完整性、数据传输安全、高性价比、网络无改变等特性。

4.7 防止私接路由及WiFi

      可应用在跨三层的网络环境，能够快速识别“一拖N”的网络私接行为，精准定位“N”即私接用户数量，并进行有效的管控；及时发现非法热点预防个人用户私接路由，拒绝未知网络终端节点，减少非法接入带来的数据及内网入侵风险；让整个网络拓扑清晰可控，有效预防数据泄露的安全风险；极大的降低了管理员网络维护的工作量。

4.8日志记录和统计报表

      下一代防火墙让用户随时可以了解当前网络正在发生什么。具体体现为，可实时了解当前网络中正遭受哪些威胁攻击（包括入侵攻击、病毒、恶意站点及敏感信息），以及相应的威胁等级、攻击数目等。

       同时，用户可实时了解当前网络中一段时间以来各网络接口带宽使用情况，流量排名前十的应用以及流量使用排名前十的用户，并可实时互查应用与用户流量间的使用关系。除了实时网络状况，下一代防火墙为用户提供按日、按周、按月、按年的安全趋势分析报表以及以往所有的访问控制和安全日志。从而让用户对安全威胁、业务应用、用户流量、网络负载从时间、数量、程度上通过各种形象化图形和数据手段有了高度可视化的跟踪和了解。

下一代防火墙解决方案