2018年8月16日
一、需求概述
互联网及IT技术的应用在改变人类生活的同时,也滋生了各种各样的新问题,其中信息网络安全问题将成为其面对的最重要问题之一。网络带宽的扩充、IT应用的丰富、互联网用户的膨胀式发展,使得网络和信息平台早已成为攻击爱好者和安全防护者最激烈斗争的舞台。Web时代的安全问题已远远超于早期的单机安全问题,尽管防火墙、IDS、UTM等传统安全产品在不断的发展和自我完善,但是道高一尺魔高一丈,黑客们不仅专门针对安全设备开发各种工具来伪装攻击、逃避检测,在攻击和入侵的形式上也与应用相结合越来越紧密。这些都使传统的安全设备在保护网络安全上越来越难。目前更多的出现了以下的问题:
1.投资成本攀升,运维效率下降
2.“数据库泄密”、“网页遭篡改”等应用层安全事件频现
3.网络管理人员对企业流量束手无策
4.部署UTM,网络中断或访问变慢
5.内网出现威胁,追究责任困难
6.总部和分支之间的网络如何互连以实现安全资源共享
二、解决方案
2.1 方案概述
根据公司网络安全的需求,我们推荐采用深信服NGAF-1320下一代应用防火墙做出口网关,对内通讯以及内部服务器的安全提供保障,通过NGAF强大的流控功能对内部员工上网流量以及P2P等大流量行为进行控制,同时NGAF还提供了IPSec VPN互连的功能,可以用作总部分支的安全互连。针对分公司可以采用深信服S5000-AC上网行为管理网关作为分公司的互联网网关使用,通过AC设备的应用控制功能同样可以实现对内部员工的流量进行合理的管控,分公司通过AC上网行为管理的IPSec VPN功能与总部的NGAF防火墙进行互联,实现总部和分支的安全互联。
2.2 网络拓扑
2.3设备部署方式
总部:
●深信服NGAF-1320下一代应用防火墙
部署在总部互联网出口,通过专业的防火墙安全防护功能为内的流量以及服务器安全提供保障,通过流控功能实现内网用户流量的管控。
分支机构
●深信服S5000-AC上网行为管理网关
替换分公司原有出口网关,作为互联网网关使用,通过IPSec VPN功能与总部进行互联,实现总部资源的共享;通过流控功能实现对流量的管控;通过自带的企业级防火墙为内部提供安全保障。
三.产品选型和性能
根据对公司需求的分析,本方案推荐在总部使用深信服科技的NGAF-1320下一代应用防火墙作为出口网关。在分公司采用深信服S5000-AC上网行为管理网关作为出口网关。
总部
深信服NGAF-1320下一代应用防火墙 一台
重要性能指标:
NGAF支持6个千兆网络接口。
吞吐速度:400Mbps
并发会话数目:300,000
转发时延:0.1 ms
IPSec并发隧道数:1000
网络接口:
以太网接口:1000BASE-T (RJ-45> * 6
扩展接口:无
电源:
输入电压:180-240V
冗余电源:双电源
环境:
工作环境温度:-5~45 ℃
环境相对湿度:5~90%,非冷凝
硬件规格:
尺寸(cm> :43.9(W>×42.4(D>×4.45(H>
重量:7Kg
标准1U机架式结构
分公司
深信服S5000-AC上网行为管理网关 各一台
重要性能指标:
S5000-AC支持4个百兆网络接口<1 LAN、1 DMZ、2 WAN)。
吞吐速度:30Mbps
并发会话数目:30,000
转发时延:0.1 ms
网络接口:
局域网接口:100BASE-T (RJ-45> * 2
广域网接口:100BASE-T (RJ-45> * 2
扩展接口:无
串口:RS232*1
电源:
输入电压:180-240V
冗余电源:无
环境:
工作环境温度:-5~45 ℃
环境相对湿度:5~90%,非冷凝
硬件规格:
尺寸(cm> :42.7(W>×24.8(D>×4.45(H>
重量:4Kg
1U机架式结构
四.产品功能介绍
4.1深信服NGAF下一代应用防火墙功能特性
深信服NGAF-1320功能特性
| 项目 | 指标 | 具体功能要求 |
| 部署方式 | 网关模式 | 支持网关模式,支持NAT、路由转发、DHCP等功能; |
| 网桥模式 | 支持网桥模式,以透明方式串接在网络中; | |
| 混杂模式 | 同时开启支持网关和网桥模式 | |
| 网关管理 | 管理界面 | 支持SSL加密WEB方式管理设备; |
| 分级管理 | 不同用户组的管理权限支持分配给不同管理员; | |
| 告警管理 | 支持攻击、病毒、服务器入侵、访问行为记录、内容过滤事件、系统日志告警等; | |
| 排障工具 | 提供图形化排障工具,便于管理员排查策略错误等故障; | |
| 实时监控 | 设备资源信息 | 提供设备实时CPU、内存、磁盘占有率、会话数、在线用户数、系统时间、网络接口等信息; |
| 流量状态 | 实时提供用户流量排名、应用流量排名、所有线路应用流速趋势、流量管理状态、连接监控信息; | |
| 安全状态 | 实时显示当天的安全状况,最后发生安全事件的时间、类型、总次数、源对象,帮助管理员处理安全事件; | |
| 防火墙/VPN功能 | 包过滤与状态检测 | 可以提供静态的包过滤和动态包过滤功能。支持的应用层报文过滤,包括:应用层协议:FTP、HTTP、SMTP、RTSP、H.323 |
| 抗攻击特性 | 支持防御Land、Smurf、Fraggle、WinNuke、Ping of Death、Tear Drop、IP Spoofing、CC、SYN Flood、ICMP Flood、UDP Flood、DNS Query Flood、ARP欺骗攻击防范、ARP主动反向查询、TCP报文标志位不合法攻击防范、支持IP SYN速度、超大ICMP报文攻击防范、地址/端口扫描的防范、DoS/DDoS攻击防范、ICMP重定向或不可达报文控制等功能,此外还支持静态和动态黑名单功能、MAC和IP绑定功能。 | |
| NAT功能 | 支持多个内部地址映射到同一个公网地址、多个内部地址映射到多个公网地址、内部地址到公网地址一一映射、源地址和目的地址同时转换、外部网络主机访问内部服务器、支持DNS映射功能 可配置支持地址转换的有效时间 支持多种NAT ALG,包括DNS、FTP、H.323、SIP等 | |
| IPSec VPN功能 | 支持AH、ESP协议、手工或通过IKE自动建立安全联盟、ESP支持DES、3DES、AES、国密办算法多种加密算法 支持MD5及SHA-1验证算法 支持IKE主模式及野蛮模式 支持NAT穿越 支持使用LZO高速压缩算法 | |
| 应用访问控制策略 | 应用识别 | 支持对600种以上应用、用户名进行识别,可以识别P2P、IM、OA办公应用、数据库应用、ERP应用、软件升级应用、木马外联、炒股软件、视频应用、代理软件、网银等协议;支持https(ssl)协议和sangfor <即公共平台的VPN,不包括SSL VPN)数据的识别;支持自定义规则。 |
| 应用访问策略 | 可以提供基于应用识别类型、用户名、接口、安全域、IP地址、端口、时间进行应用访问控制列表的制定 | |
| 威胁检测机制 | 威胁检测引擎 | 支持基于特征匹配、协议异常检测、智能应用识别等方式针对已知威胁进行检测; 支持基于威胁关联分析的检测机制,针对未知威胁进行分析检测 |
| IPS漏洞防护 | 防护攻击类型 | 包括蠕虫/木马/后门/DoS/DDoS攻击探测/扫描/间谍软件/利用漏洞的攻击/缓冲区溢出攻击/协议异常/ IPS逃逸攻击等 |
| 防护对象分类 | 漏洞分为保护服务器和保护客户端两大类,同时具备安全界别分类:如“高”、“中”、“低”等。 | |
| 漏洞描述 | 漏洞详细信息显示:漏洞ID、漏洞名称、漏洞描述、攻击对象、危险等级、参考信息、地址等内容,便于维护 | |
| 策略制定 | 可根据源区域、目的区域、目的IP组,目的IP组支持多选进行IPS策略的配置 | |
| 特征库数量 | 攻击特征库: 2200+ , 并且能够自动或者手动升级 | |
| 防躲避 | 支持TCP协议的乱序重传、TCP分包 | |
| 处理动作 | 支持自动拦截、记录日志、上传灰度威胁到“云端” | |
| 服务器防护 | Web攻击防护 | 保护服务器免受基于Web应用的攻击,如SQL注入防护、XSS攻击防护、CSRF攻击防护、支持根据网站登录路径保护口令暴力破解; |
| Web服务隐藏 | 支持Web网站隐藏,包括HTTP响应报文头和HTTP出错页面的过滤,web响应报文头可自定义 | |
| 策略制定 | 配置选项:可设置源、目的区域、目的IP和端口号,端口号支持设置Web应用、FTP、mysql、telnet、ssh服务的端口号 | |
| 其他应用防护 | 支持FTP隐藏、ftp弱口令防护、telnet弱口令防护 | |
| 访问权限控制 | 支持文件上传服务器过滤、支持指定URL的黑名单、加入排除URL目录功能 | |
| 病毒防护 | 病毒引擎 | 基于流引擎查毒技术,可以针对HTTP、FTP、SMTP、POP3等协议进行查杀 |
| 防护类型 | 能实时查杀大量文件型、网络型和混合型等各类病毒;并采用新一代虚拟脱壳和行为判断技术,准确查杀各种变种病毒、未知病毒。 | |
| 病毒库数量 | 支持10万条以上的病毒库,并且可以自动或者手动升级 | |
| 处理动作 | 检测到病毒后的操作:支持记录日志、阻断连接 | |
| WEB安全防护 | URL过滤 | 对用户web行为进行过滤,保护用户免受攻击;支持只过滤HTTP GET、HTTP POST、HTTPS等应用行为;并进行阻断和记录日志 |
| 文件类型过滤 | 支持针对上传、下载等操作进行文件过滤;支持自定义文件类型进行过滤;支持基于时间表的策略制定;支持的处理动作包括:阻断和记录日志 | |
| ActiveX过滤 | 支持基于签名证书的ActiveX过滤;支持添加白名单和合法网站列表;支持基于应用类型的ActiveX过滤,如视频、在线杀毒、娱乐等; | |
| 脚本过滤 | 支持基于操作类型的脚本过滤,如注册表读写、文件读写、变形脚本、威胁对象调用、恶意图片等 | |
| 流量管理 | 多线路技术 | 网关必须能同时连接多条线路,且支持多线路复用和智能选路技术(必须提供自主知识产权证明,加盖厂商公章>; |
| 虚拟多线路 | 必须支持将多条线路虚拟映射到设备上,实现对多线路的分别流控; | |
| 父子通道 | 必须支持流量父子通道技术,且至少支持三级父子通道; | |
| 应用流控 | 支持基于应用类型划分与分配带宽 | |
| 网站流控 | 支持基于网站类型划分与分配带宽; | |
| 文件流控 | 支持基于文件类型划分与分配带宽; | |
| 时间控制 | 支持基于时间段的带宽划分与分配策略; | |
| 目标IP流控 | 支持基于访问行为的目标IP实现带宽划分与分配; | |
| 流量配额 | 支持对单个用户\用户组设置日流量、月流量配额功能; | |
| 用户管理 | 本地认证 | 支持触发式WEB认证,静态用户名密码认证等; |
| 第三方认证 | 支持LDAP、Radius、POP3、Proxy等第三方认证; | |
| 双因素认证 | 必须支持以USB-Key方式实现双因素身份认证; | |
| IP、MAC认证 | 支持IP认证、MAC认证,及IP/MAC绑定认证等; | |
| 新用户认证 | 根据新用户的源IP网段实现: | |
| 1. 新用户差异化账户创建规则; | ||
| 2. 新用户差异化自动分组规则; | ||
| 3. 新用户差异化认证规则; | ||
| 4. 新用户差异化IP、MAC绑定规则; | ||
| 公用账户 | 支持多人使用同一帐号登录,且支持重复登陆检测机制; | |
| 账户有效期 | 指定账户支持有效期,并支持自动过期; | |
| 单点登录 | 支持AD、POP3、Proxy单点登录,简化用户操作; | |
| 可强制指定用户、指定IP段的用户必须使用单点登录; | ||
| 强制AD认证 | 指定用户必须用AD域账户登录操作系统,否则禁止上网; | |
| 认证失败 | 支持为认证失败用户提供基本网络访问权限机制; | |
| 页面跳转 | 认证成功的用户支持页面跳转: | |
| 1. 跳转到用户原本输入的URL地址; | ||
| 2. 跳转到管理员指定的URL地址; | ||
| 3. 跳转到该用户上息排行页面; | ||
| 4. 跳转到注销页面。 | ||
| 认证后公告 | 支持向认证通过的用户显示指定网页; | |
| 帐户导入 | 支持从本地导入和扫描导入,支持以文本导入帐户/分组/IP/MAC/描述/密码等信息; | |
| 支持从LDAP服务器导入账户及分组信息; | ||
| 组织结构 | 用户分组支持树形结构,支持父组、子组、组内套组等; | |
| 用户状态查询 | 支持用户登录注销历史查询,包括显示上网流量 | |
| 网络协议 | IP服务 | ARP、域名解读、IP UNNUMBERED、DHCP中继、DHCP服务器、DHCP客户端 |
| 路由服务 | 支持静态路由、RIP v1/2、OSPF、策略路由 | |
| 日志管理 | 数据中心 | 设备必须支持内置数据中心和数据中心; |
| 数据中心必须内置MySQL,无需单独安装其他数据库; | ||
| 日志分级审查 | 管理员登录数据中心只能审计指定用户组的日志; | |
| 统计报表 | 支持自定义统计指定IP/用户组/用户/应用在指定时间段内的服务器安全风险、终端安全风险、上网行为、网络流量等内容,并形成报表; | |
| 趋势报表 | 支持自定义统计指定IP/用户组/用户/应用在指定时间段内的服务器安全风险、终端安全风险、上网行为、网络流量等内容形成报表; | |
| 汇总报表 | 支持将指定时间段、指定应用的流量、行为、用户访问分布等汇总并输出报表; | |
| 汇总对比报表 | 必须支持将所有用户/用户组/IP的所有安全风险的统计/流量/趋势等与前一天/前一周/前一月对比并输出报表; | |
| 指定对比报表 | 必须支持将指定用户/用户组/IP的指定安全风险的统计/流量/趋势等与前一天/前一周/前一月对比并输出报表; | |
| IPS\服务器防护统计 | 必须支持将应用的受攻击对象进行统计排行和报表输出,支持按照行为次数和应用的排行统计各攻击类型名称;支持各种攻击类型的报表输出和统计; | |
| 病毒信息统计 | 必须支持将内网可能中毒的用户进行统计排行和报表输出,支持按照行为次数和用户数的排行统计各新增病毒名称,支持根据病毒、恶意脚本、恶意插件信息统计新增恶意URL排行; | |
| 危险行为报表 | 必须支持对终端发生的危险行为(木马、间谍软件、垃圾邮件发送>进行统计和报表输出; | |
| 风险智能报表 | 必须能根据管理者自定义的风险行为特征自动挖掘并输出风险行为智能报表; | |
| 流速趋势报表 | 必须支持将指定时间段内、指定用户组/用户/应用的网络流量以条带叠加图的形式直观显示; | |
| 报表订阅 | 支持将统计/趋势/查询等报表自动发送到指定邮箱; | |
| 报表导出 | 支持导出统计/趋势/查询等报表,包括Excel、PDF等格式; |
深信服S5000-AC功能特性
| 分类 | 功能 | 详细指标 |
| 访问控制 | 危险网站阻隔 | 用户可自定义对色情、病毒、钓鱼网站的阻隔访问 |
| 访问控制策略 | 提供基于组、时间、服务、网址策略、内容策略等多种对象组合的安全访问控制策略 | |
| P2P拦截 | 使用深度内容检测技术实现对包括QQ、MSN、SKYPE、BT等任何P2P软件的流量阻隔 | |
| 用户认证 | 提供Web登录认证功能,提供本地用户数据库和LDAP,Radius用户数据集成功能 | |
| 文件上传下载控制 | 对Http、Ftp文件上传、下载类型和大小进行控制,也能对QQ,MSN等P2P软件的文件传送进行拦截 | |
| IPMAC绑定 | 提供灵活的IPMAC绑定策略 | |
| 代理识别功能 | 能识别采用Http,Https,Socks等代理服务器绕过防火墙检查的行为,从而进行阻断 | |
| 敏感数据拦截 | 对Http、Ftp、Smtp、Imap等应用协议做敏感数据拦截,以防泄密或引起法律纠纷 | |
| 访问审计 | 邮件延迟审计 | 对外发邮件进行延迟缓存,审计后才能发出,确保信息资产不外泄 |
| 实时监控 | 实时监控用户的上网行为。 | |
| 访问监控 | 监控用户所有的上网记录,包括Web访问、Ftp、Telnet、邮件<含Webmail)及附件、QQ、MSN、ICQ、Yahoo Message等流行IM的数据。以防止信息泄密。 | |
| 流量分析 | 能按用户、协议和时间对Internet流量进行统计分析,以优化员工对Internet的资源使用情况。 | |
| 管理功能 | 管理员权限 | 权限粒度细致,分级管理 |
| 本地管理 | GUI方式 | |
| 远程管理 | GUI方式 | |
| 配置备份 | 使用加密的配置文件进行配置备份和分发 | |
| Firmware升级 | 通过远程升级Firmware获得更新的软件版本和更多功能模块 | |
| 高可靠设计 | 自动恢复 | 看门狗提供自动恢复功能,配置恢复功能 |
| 双机备份 | 支持双机备份功能 | |
| 多线路备份 | 支持2~4条线路的备份 | |
| 日志 | 日志容量 | 可以使用的日志服务器,容量无。 |
| 日志备份 | 支持自动定时备份 | |
| 日志导入 | 支持转换日志为标准的TXT文件,便于导入到MS SQL或ORACLE数据库进行二次开发和分析 | |
| 数据中心 | 可用SINFOR 的数据中心进行详细的分析 | |
| 网络特性 | 支持的Internet接口 | PSTN/ISDN ADSL/xDSL Cable Modem DDN/ATM WLAN |
| 支持的协议 | IPv4、IPv6 | |
| 网络分区 | WAN、DMZ、LAN | |
| 多线路支持 | 支持2-4条Internet线路的负载均衡和备份,提供智能选择最优线路等多种负载均衡策略 | |
| 工作方式 | 路由模式、透明模式 |
Copyright © 2019-2025 51dongshi.net 版权所有
违法及侵权请联系:TEL:177 7030 7066 E-MAIL:11247931@qq.com 本站由北京市万商天勤律师事务所王兴未律师提供法律服务
