大型企业防火墙经典案例

大型企业防火墙经典案例

在外网安全方面：目前XX公司总部没有部署网络安全设备，所有的业务系统基本上都是裸露在互联网上，缺乏合理的保护极易遭受来自互联网的攻击，可能造成核心业务数据的窃取、服务器和网络瘫痪等问题，给企业带来不必要的损失。

在内网安全方面：各分公司之间和总部通过VPN互联，与总部处于统一内网环境，而分公司也缺乏安全防护设备对互联网的危险流量进行清洗，所以极易造成下级分公司对总部服务器的攻击；同时上海总部的内网用户，即使客户端部署了杀毒软件，由于客户端环境和个人使用习惯等问题，IT制度无法得到很好地落实，经常会有员工关闭杀毒进程或卸载杀毒软件的情况，而且最新的杀毒软件也存在着面对新病毒的滞后和不完善性。特别是对于网络安全意识薄弱的职员，不装任何的杀毒软件，在互联网上随意打开网页、点击链接，很容易身染中毒，并且导致局域网内的电脑感染病毒，我们将此类用户成为内网安全管理的短板。
网络规划整体方案

1.方案拓扑

2方案描述

经过以上部署之后：

1.总部以及分公司的ACF上开启网关防病毒功能后，能够有效的遏制病毒通过网络在集团网络上的传播，同时可以防止因为浏览Internet而造成的病毒感染；

2.总部对外发布的服务器将受到ACF的入侵防御IPS功能和服务器防护的保护，免收来自外网以及内网产生的攻击；

ACF第二代防火墙介绍

网域ACF第二代防火墙是面向应用层设计，能够精确识别用户、应用和内容，具备完整安全防护能力，能够全面替代传统防火墙，并具有强劲应用层处理能力的全新网络安全设备，产品解决了传统安全设备在应用管控、应用可视化、应用内容防护等方面的巨大不足，同时开启所有功能后性能不会大幅下降。
产品不但可以提供基础网络安全功能，如状态监测、VPN、抗DDos、NAT等；还实现了统一的应用安全防护，可以针对一个入侵行为中的各种技术手段进行统一的检测和防护，如应用扫描、漏洞利用、WEB入侵、非法访问、蠕虫病毒、带宽滥用、恶意代码等。网域ACF第二代防火墙可以为不同规模的行业用户的数据中心、广域网边界、互联网边界等场景提供更加精细、更加全面、更高性能的应用内容防护方案。

部署方式
ACF系列第二代防火墙支持路由（NAT）模式和网桥/透明模式以及旁路三种工作模式。可以很好的适应各种网络环境。

路由（NAT）模式

将设备串接网络中，可以放于内网的任意子网边界，或与核心交换机相连。可以代替原有防火墙或路由器，具有全部的安全监控和控制功能。

网桥/透明模式

以透明/网桥方式接入网络，设备被串联在用户的出口设备（路由器或者负载均衡）与内部网络之间,拥有除了路由转发、NAT、VPN以外的全部控制和分析功能

旁路模式

以旁路方式接入网络，可对网络的用户、应用以及内容进行全面的安全监控和检测，无需改动用户网络结构和配置，该模式只支持流量分析、web防护分析以及入侵检测分析。

 IPS入侵防御
传统的状态检测/包过滤防火墙是在网络层/传输层工作，根据IP地址、端口等信息对数据包进行过滤，能够对黑客攻击起到部分防御作用。但是黑客仍然可以从合法的IP地址通过防火墙开放的端口对内网发起攻击，目前很多攻击和应用可以通过任意IP、端口进行，各种高级、复杂的攻击单纯的使用状态检测/包过滤防火墙无法进行阻挡，需要使用IPS（入侵防御系统）来配合防火墙实现对复杂攻击的防御。IPS工作在第二层到第七层，通常使用特征匹配和异常分析的方法来识别网络攻击行为。

特征匹配方法类似于病毒检测方法，通过攻击数据包中的特征（字符串等）来进行判断。例如前面提过的SoftEther的通信数据中都会包括“SoftEther Protocol”字符串，虽然这种应用使用HTTPS协议通过TCP443端口通信，使用包过滤防火墙无法进行防御。（因为如果将TCP443端口封闭的话，会导致所有HTTPS通信无法进行，这是无法想象的。）而使用IPS的特征匹配方法，通过查找“SoftEther Protocol”字符串便可轻易的将所有SoftEther流量过滤掉，而其他HTTPS应用不会受到影响。

而异常分析通过统计的方法计算网络中各种流量的速率，并与管理员预设的阈值进行对比，超过阈值的通信便是可疑的攻击行为。例如，管理员通过对本网络应用的观察和分析，认为在正常情况下某服务器每秒收到2000个以内SYN包属于正常范围。然而某一时刻ACF检测到每秒有3000个以上的SYN发往该服务器，此时便有可能是由于有黑客对服务器发起了DoS（拒绝服务）攻击。

ACF内置的IPS同时使用特征和异常两种检测方法，能够检测2200种以上攻击和入侵行为如下图所示，包括各种DoS（拒绝服务）/DDoS（分布式拒绝服务）攻击。ACF的IPS是在线式的，直接部署在可信任网络和不可信任网络之间。这种在线式的IPS对各种攻击均可直接阻断并生成日志。而传统的旁路式IDS（入侵检测系统）对绝大多数的攻击行为只能记录日志，而不能进行阻

ACF内置的IPS还可以对SYN flood、ICMP flood等DoS/DDoS攻击进行防御，对于每一种DoS/DDoS攻击行为，都可以设置阈值，使策略符合实际网络环境和应用情况，降低误报和漏报率，并可以针对不同的源或目的IP地址的TCP、UDP、ICMP会话数量进行限制。

管理结构

网域ACF系列第二代防火墙的系统网管提供友好和通用的用户界面，完整丰富的功能配置接口以及高安全，高可靠性的系统管理性能。系统管理主要由以下几部分构成：

√系统管理接口

√命令解析内核

√管理对象的操作维护接口

ACF系列产品管理结构图

流量管理
深圳网域数据安全ACF第二代防火墙可以对内外网流量进行精细的流量管理，可基于应用、用户、时间、线路等制定灵活的流控策略。用户可以通过设定保障通道，对关键的业务流量如视频会议、协同办公软件等进行带宽的合理保障，而对于一些非业务流量如P2P下载、视频流媒体等可以通过限制通道进行限速。基于上行、下行的双向带宽控制；基于服务类型的带宽管理；基于策略的带宽管理；基于用户的带宽管理；基于子网的带宽管理，基于IP/P2P的带宽控制；
IM访问控制：支持MSN、QQ/TM、AIM/ICQ、YMSG、Jabber/google-talk、POPO、UC、ET、WANGWANG、QQ Game、GLWORLD、Holdfast。
P2P下载控制：支持GNUTELLA、Edonkey、BT、FASTTRACK、Direct Connect(oDC、DC++)、Ares、OpenFT、Winmx、SoulSeek、Applejuice、kugoo、POCO、kuro、clubbox、mute、xdcc、waste、mp2p（Blubster、Piolet、RockitNet）、Http Range Get(FlashGet、XunLei、IDM)、goboogy、audiogalaxy、MMS/RTSP、SOFTETHER、maze、vmeet、pplive、qqlive、ppstream(recoo)、moptv、tvkoo、feidian、tvants。
游戏管理：支持基于平台游戏和大型游戏的管理
股票管理：支持大智慧、同花顺、钱龙、富远、大有期货等七类，近百家交易公司
服务流量控制：预定义服务流量控制，自定义服务流量控制。