一体化威胁防护解决方案

1.背景介绍

　　随着网络带宽的提升、网络应用的高速增长和移动业务应用的爆发式出现，权威机构统计数据称，当今有3/4的网络安全事件发生在应用层，过去简单的网络攻击也完全转变成混合攻击为主，同时内部员工的行为导致安全问题同样突出，单一的安全防护措施已经无法有效解决企业面临的网络安全挑战，今后应用层威胁将越来越普遍，传统的安全防护技术在面对当今威胁时几乎不战而败，核心的原因是传统的技术已经无法对当今网络中的流量进行应用层的精确识别，也就谈不上加以安全防护。

　　作为网络应用层安全、管理方面的专家，网康科技利用专有的应用特征和行为特征检测技术，可以精确的识别网络中的各种应用，目前网康科技的应用特征库已经收录了超过3000种互联网应用，还包括700余种移动互联网应用，是目前国内较全面的网络应用协议数据库。在对海量应用精确识别的基础之上，网康科技下一代防火墙通过简单的策略配置，即可实现对各种应用的细粒度控制，可完全阻断与企业业务无关的高风险应用；而对于支撑业务开展必须保障的关键应用，可进行攻击防护、入侵防御、病毒防护、间谍软件防护、URL过滤等一体化的安全检查。相比UTM产品，网康下一代防火墙采用高性能单路径异构并行处理引擎的一体化安全策略架构，在所有防护功能开启的前提下仍然能够保证设备的高性能运转。同时还采用了防木马病毒的云查杀引擎，查杀病毒和木马更有效，比本地杀毒引擎高3-5倍的性能，而且还大幅降低了防火墙系统资源开销，也使得网络更稳定、更顺畅。

2.网康下一代防火墙实施一体化防护威胁的技术方案

2.1基于应用配置安全策略，可降低威胁的传播途径

　　随着WEB2.0时代的到来，社交网络和即时通信等应用了得到了普遍使用，使得威胁的渗透从过去漏洞攻击方式，转向了更方便和广泛使用的新应用平台上进行传播。网康下一代防火墙提供大量应用的洞察和识别能力，能够让企业可以控制可能传播威胁的应用(比如P2P下载、代理逃逸应用)或应用动作(MSN文件传送或QQ文件传送)，来降低企业内部受到威胁的风险。

2.2利用一体化的安全策略，让安全配置更简单

　　网康下一代防火墙提供一体化的安全策略配置，相比模块化的安全配置策略，一条策略可以完成防木马病毒、防间谍软件、恶意网址过滤和文件内容过滤等功能，如此要比安全功能模块化的配置方法，在安全配置策略上数目上也要大量减少，让设备管理人员在维护配置更加简单。

2.3基于应用使能威胁一体化防护，让安全防护更高效

　　过去的威胁防护使能都是基于5元组策略来圈定生效，即使个别UTM厂商具有一体化安全策略也还是基于5元组的，而网康下一代防火墙是可以基于应用来选择流量是否做威胁一体化防护，能让安全防护更加高效。对于HTTP类别的应用，对于传统模块化的入侵防御、防病毒等是会对其所有细粒度的应用都会进行其耗时的安全扫描，然而对于类似安全的细粒度应用比如在HTTP协议下ERP应用系统、MSN聊天等应用对于企业来说是安全的，是不需要经过入侵防御和病毒防护等安全扫描过滤的，基于应用细粒度的一体化安全策略就可以避免此类应用的安全扫描，就可以给用户的网络带来访问此类应用的低延迟和高性能。另外同样我们只对高风险的应用和未知的TCP和UDP应用进行安全功能扫描，也大大提高圈定网络中恶意的流量经过全方位的安全扫描，而使安全扫描在网络中使用更加高效。

2.4威胁信息的内部集成关联，让威胁呈现更多维可视

　　传统的威胁发生的信息呈现基本是孤立的、平面化的，病毒事件仅报告病毒文件、源IP和目的IP等简单信息，入侵防御事件也仅报告入侵事件、入侵源和入侵目的等简单信息。网康下一代防火墙提供威胁信息的内部集成关联，可多维度呈现威胁信息，病毒事件呈现不但提供病毒文件、源IP和目的IP，还可以关联呈现其传播的应用、访问的URL地址、传播病毒文件的国家等信息。威胁的呈现多维可视，能让用户分析威胁事件更全面立体，并能够通过多种角度来控制威胁的再次入侵或感染，比如可通过应用、URL地址或国家等维度进行防范和控制。

3.网康下一代防火墙实施威胁一体化防护的配置指导

3.1一体化安全策略的配置指导

　　在网康下一代防火墙内配置一条安全策略，就可以开启所有的安全功能，比如针对三层安全区域到非安全区域的访问进行安全防护，可以一条策略开启默认的防病毒、防漏洞、防间谍软件、网址过滤、文件过滤和数据过滤功能，如下图。

3.2基于应用使能威胁一体化防护的配置指导

　　在企业网络内存在威胁风险概率很低的业务应用，比如银行网银、办公OA和企业网络会议等。在网康下一代防火墙内，我们可以针对这些安全的业务应用避免配置损耗网络访问延迟的安全扫描功能，为用户提供好的业务使用感受，如下图。

　　同样我们也可以针对存在威胁的可能性较大的应用，比如未知TCP和UDP应用开启相应的安全功能，使威胁的扫描更具针对性和高效性，如下图。

3.3威胁信息关联呈现的使用指导

　　在网康下一代防火墙内，可以通过一条威胁信息日志信息，关联呈现更多的日志和信息，如下图中点击威胁日志中的“详情关联”按钮。

　　在下图中我们可以看到此病毒木马文件的名称，包括关联下载的URL地址、文件类型、应用信息和国家等信息，能为用户提供更多为的信息，能看出此威胁的传入是通过未分类的可疑URL地址，使用HTTP协议下载了EXE文件，此文件名称还是我们常见的，但它却是隐藏了木马威胁。