大型企業(yè)防火墻經典案例

在外網安全方面：目前XX公司總部沒有部署網絡安全設備，所有的業(yè)務系統(tǒng)基本上都是裸露在互聯(lián)網上，缺乏合理的保護極易遭受來自互聯(lián)網的攻擊，可能造成核心業(yè)務數(shù)據(jù)的竊取、服務器和網絡癱瘓等問題，給企業(yè)帶來不必要的損失。

在內網安全方面：各分公司之間和總部通過VPN互聯(lián)，與總部處于統(tǒng)一內網環(huán)境，而分公司也缺乏安全防護設備對互聯(lián)網的危險流量進行清洗，所以極易造成下級分公司對總部服務器的攻擊；同時上?？偛康膬染W用戶，即使客戶端部署了殺毒軟件，由于客戶端環(huán)境和個人使用習慣等問題，IT制度無法得到很好地落實，經常會有員工關閉殺毒進程或卸載殺毒軟件的情況，而且最新的殺毒軟件也存在著面對新病毒的滯后和不完善性。特別是對于網絡安全意識薄弱的職員，不裝任何的殺毒軟件，在互聯(lián)網上隨意打開網頁、點擊鏈接，很容易身染中毒，并且導致局域網內的電腦感染病毒，我們將此類用戶成為內網安全管理的短板。
網絡規(guī)劃整體方案

1.方案拓撲

2方案描述

經過以上部署之后：

1.總部以及分公司的ACF上開啟網關防病毒功能后，能夠有效的遏制病毒通過網絡在集團網絡上的傳播，同時可以防止因為瀏覽Internet而造成的病毒感染；

2.總部對外發(fā)布的服務器將受到ACF的入侵防御IPS功能和服務器防護的保護，免收來自外網以及內網產生的攻擊；

ACF第二代防火墻介紹

網域ACF第二代防火墻是面向應用層設計，能夠精確識別用戶、應用和內容，具備完整安全防護能力，能夠全面替代傳統(tǒng)防火墻，并具有強勁應用層處理能力的全新網絡安全設備，產品解決了傳統(tǒng)安全設備在應用管控、應用可視化、應用內容防護等方面的巨大不足，同時開啟所有功能后性能不會大幅下降。
產品不但可以提供基礎網絡安全功能，如狀態(tài)監(jiān)測、VPN、抗DDos、NAT等；還實現(xiàn)了統(tǒng)一的應用安全防護，可以針對一個入侵行為中的各種技術手段進行統(tǒng)一的檢測和防護，如應用掃描、漏洞利用、WEB入侵、非法訪問、蠕蟲病毒、帶寬濫用、惡意代碼等。網域ACF第二代防火墻可以為不同規(guī)模的行業(yè)用戶的數(shù)據(jù)中心、廣域網邊界、互聯(lián)網邊界等場景提供更加精細、更加全面、更高性能的應用內容防護方案。

部署方式
ACF系列第二代防火墻支持路由（NAT）模式和網橋/透明模式以及旁路三種工作模式?？梢院芎玫倪m應各種網絡環(huán)境。

路由（NAT）模式

將設備串接網絡中，可以放于內網的任意子網邊界，或與核心交換機相連?？梢源嬖蟹阑饓蚵酚善?，具有全部的安全監(jiān)控和控制功能。

網橋/透明模式

以透明/網橋方式接入網絡，設備被串聯(lián)在用戶的出口設備（路由器或者負載均衡）與內部網絡之間,擁有除了路由轉發(fā)、NAT、VPN以外的全部控制和分析功能

旁路模式

以旁路方式接入網絡，可對網絡的用戶、應用以及內容進行全面的安全監(jiān)控和檢測，無需改動用戶網絡結構和配置，該模式只支持流量分析、web防護分析以及入侵檢測分析。

?IPS入侵防御
傳統(tǒng)的狀態(tài)檢測/包過濾防火墻是在網絡層/傳輸層工作，根據(jù)IP地址、端口等信息對數(shù)據(jù)包進行過濾，能夠對黑客攻擊起到部分防御作用。但是黑客仍然可以從合法的IP地址通過防火墻開放的端口對內網發(fā)起攻擊，目前很多攻擊和應用可以通過任意IP、端口進行，各種高級、復雜的攻擊單純的使用狀態(tài)檢測/包過濾防火墻無法進行阻擋，需要使用IPS（入侵防御系統(tǒng)）來配合防火墻實現(xiàn)對復雜攻擊的防御。IPS工作在第二層到第七層，通常使用特征匹配和異常分析的方法來識別網絡攻擊行為。

特征匹配方法類似于病毒檢測方法，通過攻擊數(shù)據(jù)包中的特征（字符串等）來進行判斷。例如前面提過的SoftEther的通信數(shù)據(jù)中都會包括“SoftEther Protocol”字符串，雖然這種應用使用HTTPS協(xié)議通過TCP443端口通信，使用包過濾防火墻無法進行防御。（因為如果將TCP443端口封閉的話，會導致所有HTTPS通信無法進行，這是無法想象的。）而使用IPS的特征匹配方法，通過查找“SoftEther Protocol”字符串便可輕易的將所有SoftEther流量過濾掉，而其他HTTPS應用不會受到影響。

而異常分析通過統(tǒng)計的方法計算網絡中各種流量的速率，并與管理員預設的閾值進行對比，超過閾值的通信便是可疑的攻擊行為。例如，管理員通過對本網絡應用的觀察和分析，認為在正常情況下某服務器每秒收到2000個以內SYN包屬于正常范圍。然而某一時刻ACF檢測到每秒有3000個以上的SYN發(fā)往該服務器，此時便有可能是由于有黑客對服務器發(fā)起了DoS（拒絕服務）攻擊。

ACF內置的IPS同時使用特征和異常兩種檢測方法，能夠檢測2200種以上攻擊和入侵行為如下圖所示，包括各種DoS（拒絕服務）/DDoS（分布式拒絕服務）攻擊。ACF的IPS是在線式的，直接部署在可信任網絡和不可信任網絡之間。這種在線式的IPS對各種攻擊均可直接阻斷并生成日志。而傳統(tǒng)的旁路式IDS（入侵檢測系統(tǒng)）對絕大多數(shù)的攻擊行為只能記錄日志，而不能進行阻

ACF內置的IPS還可以對SYN flood、ICMP flood等DoS/DDoS攻擊進行防御，對于每一種DoS/DDoS攻擊行為，都可以設置閾值，使策略符合實際網絡環(huán)境和應用情況，降低誤報和漏報率，并可以針對不同的源或目的IP地址的TCP、UDP、ICMP會話數(shù)量進行限制。

管理結構

網域ACF系列第二代防火墻的系統(tǒng)網管提供友好和通用的用戶界面，完整豐富的功能配置接口以及高安全，高可靠性的系統(tǒng)管理性能。系統(tǒng)管理主要由以下幾部分構成：

√系統(tǒng)管理接口

√命令解析內核

√管理對象的操作維護接口

ACF系列產品管理結構圖

流量管理
深圳網域數(shù)據(jù)安全ACF第二代防火墻可以對內外網流量進行精細的流量管理，可基于應用、用戶、時間、線路等制定靈活的流控策略。用戶可以通過設定保障通道，對關鍵的業(yè)務流量如視頻會議、協(xié)同辦公軟件等進行帶寬的合理保障，而對于一些非業(yè)務流量如P2P下載、視頻流媒體等可以通過限制通道進行限速。基于上行、下行的雙向帶寬控制；基于服務類型的帶寬管理；基于策略的帶寬管理；基于用戶的帶寬管理；基于子網的帶寬管理，基于IP/P2P的帶寬控制；
IM訪問控制：支持MSN、QQ/TM、AIM/ICQ、YMSG、Jabber/google-talk、POPO、UC、ET、WANGWANG、QQ Game、GLWORLD、Holdfast。
P2P下載控制：支持GNUTELLA、Edonkey、BT、FASTTRACK、Direct Connect(oDC、DC++)、Ares、OpenFT、Winmx、SoulSeek、Applejuice、kugoo、POCO、kuro、clubbox、mute、xdcc、waste、mp2p（Blubster、Piolet、RockitNet）、Http Range Get(FlashGet、XunLei、IDM)、goboogy、audiogalaxy、MMS/RTSP、SOFTETHER、maze、vmeet、pplive、qqlive、ppstream(recoo)、moptv、tvkoo、feidian、tvants。
游戲管理：支持基于平臺游戲和大型游戲的管理
股票管理：支持大智慧、同花順、錢龍、富遠、大有期貨等七類，近百家交易公司
服務流量控制：預定義服務流量控制，自定義服務流量控制。