下一代防火墙具备的5大核心功能
基础防火墙功能

支持多种形式的链路接入、负载均衡、NAT、路由协议、VPN、高可用性等，并具备扫描、Dos/DDos、常数据包等传统网络攻击的高性能防护能力。可满足用户基本的组网和安全需求。

网络识别与控制

能够对互联网应用、移动应用以及网址进行精确识别和控制，并结合多种用户认证、终端识别技术，帮助用户进行基于应用、用户、终端内容的多维度精细化访问控制和流量管理。

一体化威胁防护

融合病毒防护（AV）、入侵防御（IPS）等安全模块，全面对抗漏洞入侵、病毒、恶意代码、木马程序、间谍软件、恶意网址等新型网络威胁，同时可保障高性能的安全功能交付。

信息泄露防护

对邮件、网盘、论坛发帖等文件传输行为进行深入的内容过滤，并对邮件外发、论坛发帖等内容进行审计。通过内置及用户自定义的敏感信息特征库，并结合灵活的自定义策略规则，在网关为止实现信息泄露防护。

可视化只能管理

通过一体化引擎多安全模块数据联动，实现应用、IP/用户、内容、威胁、地址位置、策略命中等信息的全纬度管理，帮助用户洞悉流量、风险及威胁，并结合辩解的人机交互界面进行高效管理

1.背景介绍

  随着网络带宽的提升、网络应用的高速增长和移动业务应用的爆发式出现，权威机构统计数据称，当今有3/4的网络安全事件发生在应用层，过去简单 的网络攻击也完全转变成混合攻击为主，同时内部员工的行为导致安全问题同样突出，单一的安全防护措施已经无法有效解决企业面临的网络安全挑战，今后应用层 威胁将越来越普遍，传统的安全防护技术在面对当今威胁时几乎不战而败，最核心的原因是传统的技术已经无法对当今网络中的流量进行应用层的精确识别，也就谈 不上加以安全防护。

  作为网络应用层安全、管理方面的专家，下一代防火墙利用专有的应用特征和行为特征检测技术，可以精确的识别网络中的各种应用，目前应用特 征库已经收录了超过3000种互联网应用，还包括700余种移动互联网应用，是目前国内最全面的网络应用协议数据库。在对海量应用精确识别的基础之上，下一代防火墙通过简单的策略配置，即可实现对各种应用的细粒度控制，可完全阻断与企业业务无关的高风险应用；而对于支撑业务开展必须保障的关键应 用，可进行攻击防护、入侵防御、病毒防护、间谍软件防护、URL过滤等一体化的安全检查。相比UTM产品，下一代防火墙采用高性能单路径异构并行处理 引擎的一体化安全策略架构，在所有防护功能开启的前提下仍然能够保证设备的高性能运转。同时还采用了防木马病毒的云查杀引擎，查杀病毒和木马更有效，比本 地杀毒引擎高3-5倍的性能，而且还大幅降低了防火墙系统资源开销，也使得网络更稳定、更顺畅。
 

2.下一代防火墙实施一体化防护威胁的技术方案

2.1基于应用配置安全策略，可降低威胁的传播途径

 

  随着WEB2.0时代的到来，社交网络和即时通信等应用了得到了普遍使用，使得威胁的渗透从过去漏洞攻击方式，转向了更方便和广泛使用的新应用 平台上进行传播。下一代防火墙提供大量应用的洞察和识别能力，能够让企业可以控制可能传播威胁的应用(比如P2P下载、代理逃逸应用)或应用动作 (MSN文件传送或QQ文件传送)，来降低企业内部受到威胁的风险。
 

2.2利用一体化的安全策略，让安全配置更简单

 

  下一代防火墙提供一体化的安全策略配置，相比模块化的安全配置策略，一条策略可以完成防木马病毒、防间谍软件、恶意网址过滤和文件内容过滤等功能，如此要比安全功能模块化的配置方法，在安全配置策略上数目上也要大量减少，让设备管理人员在维护配置更加简单。
 

2.3基于应用使能威胁一体化防护，让安全防护更高效

 

  过去的威胁防护使能都是基于5元组策略来圈定生效，即使个别UTM厂商具有一体化安全策略也还是基于5元组的，而下一代防火墙是可以基于应 用来选择流量是否做威胁一体化防护，能让安全防护更加高效。对于HTTP类别的应用，对于传统模块化的入侵防御、防病毒等是会对其所有细粒度的应用都会进 行其耗时的安全扫描，然而对于类似安全的细粒度应用比如在HTTP协议下ERP应用系统、MSN聊天等应用对于企业来说是安全的，是不需要经过入侵防御和 病毒防护等安全扫描过滤的，基于应用细粒度的一体化安全策略就可以避免此类应用的安全扫描，就可以给用户的网络带来访问此类应用的低延迟和高性能。另外同 样我们只对高风险的应用和未知的TCP和UDP应用进行安全功能扫描，也大大提高圈定网络中恶意的流量经过全方位的安全扫描，而使安全扫描在网络中使用更 加高效。
 

2.4威胁信息的内部集成关联，让威胁呈现更多维可视

 

　　传统的威胁发生的信息呈现基本是孤立的、平面化的，病毒事件仅报告病毒文件、源IP和目的IP等简单信息，入侵防御事件也仅报告入侵事件、入侵 源和入侵目的等简单信息。下一代防火墙提供威胁信息的内部集成关联，可多维度呈现威胁信息，病毒事件呈现不但提供病毒文件、源IP和目的IP，还可以 关联呈现其传播的应用、访问的URL地址、传播病毒文件的国家等信息。威胁的呈现多维可视，能让用户分析威胁事件更全面立体，并能够通过多种角度来控制威 胁的再次入侵或感染，比如可通过应用、URL地址或国家等维度进行防范和控制。
 

3.下一代防火墙实施威胁一体化防护的配置指导

3.1一体化安全策略的配置指导

 

　　在下一代防火墙内配置一条安全策略，就可以开启所有的安全功能，比如针对三层安全区域到非安全区域的访问进行安全防护，可以一条策略开启默认的防病毒、防漏洞、防间谍软件、网址过滤、文件过滤和数据过滤功能，如下图。
 

 

3.2基于应用使能威胁一体化防护的配置指导

 

  在企业网络内存在威胁风险概率很低的业务应用，比如银行网银、办公OA和企业网络会议等。在下一代防火墙内，我们可以针对这些安全的业务应用避免配置损耗网络访问延迟的安全扫描功能，为用户提供最好的业务使用感受，如下图。
 

 

同样我们也可以针对存在威胁的可能性较大的应用，比如未知TCP和UDP应用开启相应的安全功能，使威胁的扫描更具针对性和高效性，如下图。
 

 

3.3威胁信息关联呈现的使用指导

 

　　在下一代防火墙内，可以通过一条威胁信息日志信息，关联呈现更多的日志和信息，如下图中点击威胁日志中的“详情关联”按钮。
 

 

  在下图中我们可以看到此病毒木马文件的名称，包括关联下载的URL地址、文件类型、应用信息和国家等信息，能为用户提供更多为的信息，能看出此 威胁的传入是通过未分类的可疑URL地址，使用HTTP协议下载了EXE文件，此文件名称还是我们常见的，但它却是隐藏了木马威胁。
 

1.背景介绍

1.1 什么是僵尸网络

 

  僵尸网络(Botnet)通用性的定义是控制者(称为Botmaster)出于恶意目的，传播僵尸程序控制大量主机，并通过一对多的命令与控制 信道所组成的网络。它是在网络蠕虫、木马、后门工具等传统恶意代码形态的基础上发展并融合而产生的一种复合攻击方式。它与其他攻击方式最大的区别特性在于 攻击者和僵尸程序之间存在一对多的控制关系。
 

1.2 僵尸网络的危害

 

  一般认为僵尸网络的危害主要5个方面，从危害大范围和严重程度来看，威胁最大的是DDoS攻击和垃圾邮件。有些DDoS攻击事件，曾经造成某中 型城域网的全部宽带用户无法上网长达2个多小时，垃圾邮件也大量的消耗着带宽。 僵尸网络用来监听网络流量、记录键盘操作、大规模身份窃取通常可能会给最终用户或企业带来重大经济损失。此外，僵尸网络也可以用来扩散新的恶意软件和伪造 点击量、骗取奖金或操控网上投票或游戏。而对于企业来说，僵尸网络最严重的危害是DDoS攻击造成网络拥堵和窃取企业内部重要的数据。
 

 

2. 下一代防火墙防护僵尸网络的技术方案

2.1 减少僵尸工具传播途径

 

  随着WEB2.0时代的到来，社交网络和即时通信等应用了得到了普遍使用，使得僵尸工具的传播从过去邮件或漏洞攻击方式，转向了更方便和广泛使 用的新应用平台上进行传播。下一代防火墙提供大量应用的洞察和识别能力，能够让企业可以控制可能传播僵尸工具的应用(比如P2P下载)或应用动作 (MSN文件传送)，来降低企业内部感染僵尸网络的风险。
 

2.2 防御已知的僵尸网络威胁

 

  下一代防火墙提供完备的入侵防御功能，能够对已知特征的僵尸网络进行防御。更重要的，僵尸网络是种复合型攻击方式，可能会通过下载木马、蠕 虫或后门程序来对被控制主机进行二次感染，来进行后续更严重的攻击。下一代防火墙提供一体化全方位的防护，通过防木马病毒、防间谍软件、恶意网址过 滤、DDoS攻击防护和文件内容过滤等功能，能够避免僵尸主机后续更严重的攻击给企业带来损失。
 

2.3 智能定位被感染的僵尸主机

 

对于新型或者自我更新能力很快的僵尸网络，下一代防火墙通过智能的行为分析方式，来定位感染的僵尸主机，能帮助企业IT管理员尽早发现僵尸主机并及时处理掉。
 

 

3. 下一代防火墙防护僵尸网络的配置指导

3.1降低僵尸工具传播途径

 

首先建议企业能够根据需要按照白名单方式配置安全策略，并根据下面的原则来建立：
 

    • 企业内都使用了哪些应用和协议？
    • 确定哪些应用是企业商业目的，并且是哪些员工必须使用的？
    • 哪些网络应用仅仅是为了员工个人需要使用的，什么时间使用比较合适等等？

  然后，通过白名单方式控制从内网到外网的流量，防火墙的默认禁止策略防止企业不需要的且高风险应用或流量访问外网，不仅大大降低了僵尸网络的传播途径，同时也减少了僵尸网络利用一些未知端口或应用进行逃逸向外连接通信。
 

　　如下图为白名单的举例：
 

 

　　如果企业只能采用黑名单的方式配置安全策略，需要根据以下的原则进行建立：
 

    • 禁止网络使用一些不好的应用，比如P2P下载和代理应用等。
    • 禁止一些应用内具有高风险的功能或动作，比如文件传输、远程桌面、隧道能力等，拿SSH应用来说，我们可以放开其远程连接调试，但是需要禁止其传输文件的能力和动作，来避免数据泄露或者被黑客利用SSH协议传送恶意文件进入内网。

如下图为黑名单方式的举例：
 

 

  对于企业网络管理员采用黑名单的配置方式，还需要经常利用下一代防火墙产品多关注网络中高风险应用和未知应用，尤其是未知应用需要多关注其源和 去往的目的，而对于分析和排查是好的应用，可以通过自定义应用方法，将其免除掉以后再排查。而对于发现高风险应用或者某些未知应用对于企业安全会造成风 险，可以通过应用控制安全策略将其禁止掉。
 

3.2 防御已知僵尸网络威胁

 

  不管企业网络内是采用白名单还是黑名单方式来生效安全策略，都可以对网络内的流量进行已知僵尸网络防护，可以考虑开启对Botnet通信特征检测的防漏洞功能，开启间谍恶意软件扫描检测和阻断恶意网址的过滤。
 

对于使用白名单方式配置安全策略，开启漏洞防护、间谍软件检测和恶意网址过滤，见下图：
 

 

 

 

 

对于使用黑名单方式配置安全策略，我们对最后一条放开所有从内到外网的安全访问策略，开启漏洞防护、间谍软件检测和恶意网址过滤，见下图：
 

 

3.3 智能定位和可视化分析被感染的僵尸主机

 

  下一代防火墙通过智能的行为分析方式，来定位感染的僵尸主机，其中行为模型已经由厂商来提供了默认优化的行为特征，比如恶意网站访问的行 为，为15分钟内连续访问超过2次恶意网站类别（包括钓鱼/挂马/恶意网站等），又比如15分钟使用HTTP按照IP地址访问超过300数量，都是比较典 型的僵尸网络的行为，那么用户可以根据自身的网络情况，可以调整其次数或数量的阈值来更准确的发现网络中的僵尸主机，如下图中的配置界面。对于只能分析结 果是以每天汇总报告一次，并且用户可以查看每天智能分析的僵尸主机的结果。
 

 

除了智能分析僵尸网络行为，也是可以通过可视化的一些信息内容，也可以分析出某些主机是肯定被感染了僵尸网络，下图几个图就是在客户现场中发现的实际案例。
 

 
 

此图我们可以通过Top应用的连接数量排名，可以清楚看出RPC应用连接在网络中已经过高，占比高达80%以上，网络中的RPC应用的使用出来了极大不正常。
 

 

此图的可视效果可以看出RPC应用关联查看到是内网一个主机58.119.28.31发起如此多的连接，目的地址也很分散。
 

 

此图是RPC应用下关联出的目的地址国家信息，可以看出此内网机器访问的地址去往不同的国家，到此时我们应该可以肯定的认为58.119.28.31为僵尸网络控制的主机。
 

 

关联搜索查看一下此主机58.119.28.31的日志，我们能够更确认其在向外不停的发起IP地址扫描，此为僵尸网络的一个行为特征。
 

1.背景

  在企业信息化发展过程中，企业网络对出口带宽的需求日益增加，为此很多企业都同时租用多个运行商链路，或者一个运营商的多条链路。通过多链路接入可以增加带 宽，同时起到分流作用；多链路接入还可以起到链路备份功能，如果其中的一条线路断开，则自动使用另外一条线路；所以，在企业网络出口以多链路方式接入变得 越来越普遍，如何更高效的利用多链路带宽资源成为一个新的挑战。
 

2.典型用户问题

   随着业务规模的发展，初建网络时的一个出口链路已经不能满足业务流量的带宽需求，所以许多企业通过新增出口链路的方式来扩展带宽。相比于直接扩容初始链路的 带宽，新增出口链路更为灵活、方便和节约成本。同时，多条链路可以提高出口的稳定性，如果其中有一条链路出现故障，导致中断，另外的链路可以将流量接管过 来，起到备份保障的作用。

   多出口链路的部署方式，改变了业务流量“一条道跑到黑”的模式，当业务流量走到网关的十字路口前，从哪个出口走出去，成为多链路负载均衡需要解决的技术问题。
 

　　 1）多条链路带宽差异大：企业网络初建时，迫于成本压力，一般出口带宽都较小，而后期新增链路的带宽都比较大，造成非对称的多出口链路。如果业务流量不能合理分配，就会造成一条链路带宽被占满，其它链路还处于空闲，导致大量带宽被浪费。

　　 2） 多运营商网络质量差异大：目前，国内的网络运营商之间竞争激烈，不同运营商的网络质量不同，跨运营商的访问存在延迟很大，丢包较多的现状。比如访问互联网 的一个WEB站点，一般DNS服务器对一个域名只能解析出一个IP，如果该域名解析出是联通的IP，电信线路的用户访问该IP的体验将非常缓慢。那么内网 用户访问该WEB站点的流量该从哪个运营商的出口链路出去，才能有更好的网络体验，是网关设备必须要解决的问题。

　　 3） 多种应用对带宽需求差异大：随着互联网技术的快速发展，网络上的各种应用层出不穷，各种网络应用对带宽的需求不同。比如P2P下载对带宽需求非常大，因为 P2P会产生大量连接，连接地址不仅数量众多而且均不固定，可以迅速的挤占出口带宽，导致业务流量无法正常转发，影响企业业务运转和工作效率。
 

3.解决之道

  下一代防火墙NGFW产品在提供全方位的安全防护的功能的基础上，在网关模式部署时提供多链路负载均衡功能，以适应用户多运营商链路或同运营商多链路接入的应用场景

多链路负载均衡结构图
 

1)实时检测备份链路

 

   NGFW产品提供对多条链路的连通性实时检测功能，以实现多条链路的冗余备份功能。如果出口链路的物理端口Down掉，NGFW以中断方式快速切换到活 动链路转发流量。同时，NGFW通过ICMP、TCP等协议的质询和应答，实时检测每条出口链路的逻辑连通性，即使端口处于UP，但由于远端故障导致的检 测报文超时，NGFW同样会执行链路切换的动作，以保证网络连接的可用性。
 

2)基于权重流量分担

 

   NGFW产品提供了基于优先级和权重的多链路流量分担算法以满足不同应用场景的需求。针对多条带宽差异较大的非对称链路接入场景，基于权重流量分担算法可以按照每条链路的带宽比例分配出口流量，以达到更高效的利用出口链路带宽的目的。
 

3)运营商智能选路

 

   NGFW产品内置国内的电信、联通、移动和教育网四大固网运营商的地址库，可以智能的依据目的IP的运营商属性来决定流量走向，将属于该运营商的访问自 动的指向该运营商的链路，实现“南北互通”自动化。其余未识别出运营商属性的流量，例如国外网络的访问等可通过默认路由转发。并且，NGFW会定期更新各 大运营商的地址变化，保障智能路由优选的准确性。
 

4)智能应用引流

 

   NGFW产品基于3100多种应用的识别能力，可以将网络中各种应用进行准确分类和精细识别。例如，非业务应用的P2P下载应用经常挤占业务流量，导致 业务处理缓慢，影响工作效率，对于此类与业务无关的应用可引流至链路质量相对较差的链路进行转发；视频会议、语音通信等对实时性要求较高，可引流至链路质 量较高的链路上转发，以保证应用交付质量，提高企业业务处理的效率。
 

5)智能域名引流
 

   为了保证企业国际业务流量达到最佳的访问体验，同时又符合国家对访问国际网站的合法性要求，NGFW提供了根据域名信息智能引流的功能。得益于超强的应 用识别技术，NGFW可准确识别网络流量中的域名信息，并配置指定域名的引流策略，同时结合DNS代理功能保证最优的DNS解析结果。例如可通过 DNS代理功能，将www.google.com的解析请求送至国际链路的DNS服务器解析，进而由企业的国际链路转发对该域名的访问。
 

4.总结

   防火墙产品作为企业内网安全的守护者，抵御各种网络威胁对内网设备的攻击，一般部署在企业网络的最外层，需要以网关模式直接与运营商链路连接。所以，下一代 防火墙产品必须支持灵活的多链路负载功能，以应对当前企业网络信息化快速发展的需求。下一代防火墙提供的多链路负载均衡方案，不仅能够通过多链路的冗 余备份技术提高企业网络的可用性，还能基于各种流量分担技术、智能选路和引流技术保障企业网络出口带宽的有效利用，保障业务流量的实时性和可靠性，从而提 高企业信息化业务的工作效率。