年4月19日防火墻方案文檔僅供參考防火墻方案

區域邏輯隔離建設（防火墻）國家等級保護政策要求不同安全級別的系統要進行邏輯隔離，各區域之間能夠按照用戶和系統之間的允許訪問規則控制單個用戶，決定允許或者禁止用戶對受控系統的資源訪問。國家等級化保護政策要求不同安全級別間的系統要進行區域的邏輯隔離，各區域之間能按照用戶和系統之間的允許訪問規則，控制擔擱用戶，決定允許或者拒絕用戶對受控系統的資源訪問。在網絡邊界部署防火墻系統，并與原有防火墻形成雙機熱備，部署防火墻能夠實現：網絡安全的基礎屏障：防火墻能極大地提高一個內部網絡的安全性，并經過過濾不安全的服務而降低風險。由于只有經過精心選擇的應用協議才能經過防火墻，因此網絡環境變得更安全。如防火墻能夠禁止諸如眾所周知的不安全的NFS協議進出受保護網絡，這樣外部的攻擊者就不可能利用這些脆弱的協議來攻擊內部網絡。防火墻同時能夠保護網絡免受基于路由的攻擊，如IP選項中的源路由攻擊和ICMP重定向中的重定向路徑。防火墻能夠拒絕所有以上類型攻擊的報文并通知防火墻管理員。強化網絡安全策略經過以防火墻為中心的安全方案配置，能將所有安全軟件（如口令、加密、身份認證、審計等）配置在防火墻上。與將網絡安全問題分散到各個主機上相比，防火墻的集中安全管理更經濟。例如在網絡訪問時，一次一密口令系統和其它的身份認證系統完全能夠不必分散在各個主機上，而集中在防火墻一身上。對網絡存取和訪問進行監控審計如果所有的訪問都經過防火墻，那么，防火墻就能記錄下這些訪問并作出日志記錄，同時也能提供網絡使用情況的統計數據。當發生可疑動作時，防火墻能進行適當的報警，并提供網絡是否受到監測和攻擊的詳細信息。另外，收集一個網絡的使用和誤用情況也是非常重要的。首先的理由是能夠清楚防火墻是否能夠抵擋攻擊者的探測和攻擊，而且清楚防火墻的控制是否充分。而網絡使用統計對網絡需求分析和威脅分析等而言也是非常重要的。防止內部信息的外泄經過利用防火墻對內部網絡的劃分，可實現內部網重點網段的隔離，從而限制了局部重點或敏感網絡安全問題對全局網絡造成的影響。再者，隱私是內部網絡非常關心的問題，一個內部網絡中不引人注意的細節可能包含了有關安全的線索而引起外部攻擊者的興趣，甚至因此而曝露了內部網絡的某些安全漏洞。使用防火墻就能夠隱蔽那些透漏內部細節如Finger，DNS等服務。精確流量管理經過部署防火墻設備，不但能夠實現精準訪問控制與邊界隔離防護，還能實現阻止由于病毒或者P2P軟件引起的異常流量、進行精確的流量控制等。對各級節點安全域實現全面的邊界防護，嚴格控制節點之間的網絡數據流。防止病毒木馬攻擊經過防火墻設備帶的防病毒模塊，能夠在網絡邊界處對惡意代碼、蠕蟲、木馬等病毒檢查和清除，防止全網遭受病毒感染的。經過防火墻的部署，實現網絡邊界的訪問控制和惡意代碼檢測清除，保障系統的安全。防火墻優勢基于用戶防護傳統防火墻中，策略都是依賴IP或MAC地址來區分數據流，這種描述方式非常不利于管理，很多場景也很難完成對網絡狀況的清晰掌握和精確控制。因此，實現基于用戶的防護是下一代防火墻的重要特征。NGFW?下一代防火墻融入天融信多年以來的安全產品研發經驗，總結并實現了一套靈活且強大的用戶身份管理系統，支持RADIUS、TACACS、LDAP、AD、郵件、證書、Ukey、短信等多種認證協議和認證方式。在用戶管理方面，實現了分級、分組、權限、繼承關系等功能，充分考慮到各種應用環境下不同的用戶需求。基于上述特性，網絡終端在訪問網絡前，被強制要求到NGFW?下一代防火墻進行身份認證來完成對其的“合法性”檢查。除此之外，NGFW?下一代防火墻還集成了強大的安全準入控制功能，針對身份認證經過后的網絡終端操作系統環境進行系統服務、軟件、文件、進程、注冊表等細粒度的檢測與控制來實現對其的“合規性”檢查。經過對網絡終端“合法性”與“合規性”的雙重審核后，NGFW?下一代防火墻將根據其身份認證信息（用戶ID）經過智能過濾引擎實現基于用戶身份的安全防護策略部署與可視化監控。面向應用與內容安全精細的應用識別與控制天融信NGFW?下一代防火墻能夠實現對即時通訊、P2P下載、游戲、股票、視頻等多種應用類型進行深層次識別與細粒度控制。例如，能夠在識別出用戶使用的即時通訊軟件是MSN、QQ、Yahoo!Messenger還是網易泡泡等客戶端的基礎上，準確捕捉到用戶正在進行的是文字通訊、語音視頻、文件傳輸還是音樂播放等行為，從而有目的、有針對性地加以攔截和限制。而對于占用大量網絡帶寬資源的P2P下載類應用程序，在能夠進行準確識別與封堵的基礎上，還能夠經過QoS管理框架對其使用帶寬實現精確控制，從而確保正常業務的通訊質量。全面保障WEB應用安全隨著微博、網絡社區、視頻分享等等這些WEB2.0時代下典型應用技術的廣泛使用，對于WEB應用進行深入檢測與細粒度控制，也是天融信NGFW?下一代防火墻關注的重點。例如，能夠對微博應用的登錄、發布、轉發、評論、私信等行為進行精細的識別與控制。同時，NGFW?下一代防火墻內置龐大的URL分類庫，包括惡意網站，違反國家法規與政策，潛在不安全網站，浪費帶寬，大眾興趣，文化、時評、聊天與論壇，行業分類，計算機技術相關等8個大類，下含80多個子類，超過600萬個URL地址分類庫。用戶可根據上述網站類別，對自身網絡的WEB應用實施全面化管控，杜絕非法、違規網站的訪問行為，從而凈化網絡應用環境。強大的攻擊檢測能力天融信NGFW?下一代防火墻攻擊檢測引擎采用協議分析、模式識別、統計閥值和流量異常監視等綜合技術手段來判斷入侵行為，能夠準確地發現并阻斷各種網絡惡意攻擊，包括溢出攻擊、RPC攻擊、WEBCGI攻擊、拒絕服務、木馬、蠕蟲、系統漏洞等在內的11大類超過3800種網絡攻擊行為。專業的攻擊規則庫建立在天融信公司TopLAB攻防實驗室與廠商、國家權威機構長期合作的基礎上，經過不斷跟蹤、挖掘和分析各種新的威脅信息而積累形成，而且將其直接應用于產品，保障了天融信NGFW?下一代防火墻對各種攻擊行為檢測的全面、準確和及時有效。除此之外，NGFW?下一代防火墻采用獨創的SecDFA規則匹配算法，確保其在高吞吐的網絡應用環境中展現出強大的應用層攻擊檢測性能。一體化智能過濾引擎天融信NGFW?下一代防火墻系列產品，采用高度集成的一體化智能過濾引擎技術。其能夠在一次數據拆包過程中，對數據進行并行深度檢測，從而保證了協議深度識別的高效性。另外，天融信NGFW?下一代防火墻產品基于八元組高級訪問控制設計，除傳統的五元組控制以外，實現了用戶身份信息、應用程序指紋及內容特征的識別與控制，充分體現了下一代防火墻關注“用戶”與“應用”的設計理念。高效轉發平臺TOS安全系統平臺天融信NGFW?系列產品基于天融信公司十余年高品質安全產品開發經驗結晶的TOS（TopsecOperatingSystem）安全系統平臺。隨著多核技術的廣泛應用，TOS以多核硬件架構為基礎，分為系統內核層、硬件抽象層及安全引擎層。在安全引擎層內，根據安全功能模塊協議特性的不同，分為網絡引擎組（NETWORKEngines）與應用引擎組（APPEngines）。經過將引擎組與多核硬件架構的完美整合，使TOS在系統層面實現了全功能多核并行流處理。而在硬件抽象層則采用多種加速技術，根據各個核心的實時負載情況，將流量按會話的方式動態均衡到CPU的各個核心，從而確保整個CPU效率執行的最大化。TopTURBO數據層高速處理TopTURBO是天融信自主原創實現數據層多核快速轉發的高性能業務處理技術。經過天融信NGFW?產品研發團隊在TOS系統平臺上所進行的大量性能優化工作，利用TopTURBO技術將數據層高速處理解決方案平滑遷移到多核硬件平臺上，與當今最先進的高性能多核架構合而為一，從而獲得更高的網絡處理性能。在當前主流的基于多核架構的安全設備中，大多采用“中斷+輪詢”的數據包處理方式。此種處理方式存在系統資源消耗大、極易引起資源競爭、系統響應慢等缺點。具體表現在設備的網絡吞吐和新建連接達到瓶頸后，即使再增加CPU核數，性能也很難繼續提升。針對上述問題，天融信NGFW?產品研發團隊在TOS基礎上開發出TopTURBO多核數據層高速處理技術。該技術特點在于：不再采用傳統的SMP多核系統架構，經過對CPU資源合理優化配置，使每個CPU核心獨立完成相關工作，減少核心分配的資源競爭。不再采用傳統的內存及消息管理模式，采用預分配內存及天融信獨創的無鎖消息管理方式，消除消息分配的資源競爭。不再采用傳統的中斷方式網卡收發包機制，采用CPU獨立收包方式，減小系統消耗。優化TOS系統處理流程實現高速建立新連接，提高了新建連接效率，從而使設備具有較高的新建連接性能。天融信TOS安全系統平臺經過在硬件抽象層引入TopTURBO數據層高速處理技術，使NGFW?下一代防火墻系列產品擁有高達24Gbps的網絡吞吐能力。多層級冗余化作為下一代防火墻技術，一個十分重要的特性是設備自身要具有靈活、豐富的高可用機制去適應整網業務連續性保障方案。天融信公司擁有廣泛的用戶群體，對各類用戶的網絡架構有著深刻的理解并在各種復雜網絡環境中有著豐富的產品部署經驗。利用這一無與倫比的優勢，將NGFW?下一代防火墻高可用特性設計為以物理級冗余、系統級冗余及方案級冗余的多層級冗余化架構體系，使其能夠平滑、完整的與整網業務連續性保障方案實現融合。物理級冗余天融信公司擁有強大的硬件研發團隊及設施完善的硬件實驗室，憑借一直以來自主設計與研發硬件平臺積累的豐富經驗，使NGFW?下一代防火墻具有板卡冗余、模塊冗余及鏈路冗余多種物理層面的可靠性保障機制。系統級冗余天融信NGFW?下一代防火墻采用雙操作系統設計來應對因升級失敗、文件系統錯誤等系統故障而導致的設備工作異常。主用與備用系統之間采用分布式設計，設備在正常狀態下產生的任何系統讀寫、維護等操作均在主用系統上完成，而備用系統為確保自身完整性則始終處于寫保護狀態。一旦主用系統發生故障，備用系統將快速、全面的接管設備工作并可實現對主用系統的系統還原。方案級冗余天融信NGFW?下一代防火墻針對不同的網絡環境能夠提供多種雙機（或多機）部署解決方案，包括熱備、負載均衡及連接保護模式。多樣化的雙機（或多機）部署模式以及良好的網絡兼容性使N