1.企业网络安全现状

　　随着计算机网络的出现和互联网的飞速发展，企业基于网络的应用也在迅速增加，企业规模不断扩大的同时，企业网络的规模也在不断增加。基于网络信息系统给企业的经营管理带来了更大的经济效益，但随之而来的安全问题也在困扰着用户。很多企业在不同地区建立了自己的分公司或分支机构，总部和分支之间互相连通成为一个更大的网络，这样一个网网相连的企业网在为企业提高效率、增强竞争力的同时，却也面临着更多更为复杂的网络安全问题。

　　从互联网诞生以来，网络攻击就如影随形。从攻击的手段和目的角度可以把网络攻击分为三个时期：

　　第一个时期是从网络开始出现到2004年之前这段时间。这个时期的网络攻击基本上都不是为了获得某种利益，而是属于炫耀性攻击，攻击者得不到什么好处。这一时期流行的网络攻击手段是病毒、蠕虫程序，只会不断感染和扩张，病毒制作者获取不到任何商业利益。

　　第二个时期是从2004年下半年到2007年底这段时间。这个时期的网络攻击大多数都是为了商业利益，黑客攻击越来越有目的性，攻击的目标往往是能够给他们带来利润的用户。

　　第三个时期是2007年底到现在。这一时期的网络攻击除了为了经济利益以外，还有很多政治利益。黑客通过互联网窃密，窃取商业机密、军事机密、经济情报和科技情报等。安全业内的人将这种攻击行为叫做APT（Advanced Persistent Threat），即“针对特定目标的攻击”。

　　黑客的攻击手段越来越完善，有的甚至是通过社会工程学的方法。现阶段的网络攻击往往隐藏在应用中，并通过使用非常规端口来逃脱传统基于IP端口五元组的安全设备的识别。随着移动互联网的发展，很多的安全威胁开始隐藏在移动应用之中，通过无线接入对企业伸出罪恶之手。对于隐藏在企业网络中已经被感染的僵尸主机，黑客通过远程控制的方式对其发布指令，窃取公司机密信息或利用公司网络对第三方发起攻击。

　　APT攻击的发现比之前更困难，攻击事件可能是在平常看来最不重要的安全事件，通常都会把它忽略掉，因为它都不是什么重要的事情。可是它其实是积累地、慢慢地对企业造成威胁。因此，需要有专用的安全设备把这些看似无关紧要的安全事件整合起来，通过智能化的关联分析帮助用户判断哪些可能是潜在的安全威胁。

 

2.解决方案

2.1方案概要

　　面对不断演变的网络安全威胁，传统的网络安全产品已经不能满足企业的安全需求。普通防火墙只能在网络层保护内网的计算机、服务器等不受外网的恶意攻击，并不能阻断病毒、木马等非安全因素进入到内网。因此，有必要在公司的网络与互联网边界之间建立全新的安全防护机制，在公司的网络边界处将网络安全威胁拒之门外，防止其通过网络连接传播到内网的服务器或计算机上。

　　网康下一代防火墙（NGFW）是一款可以全面应对应用层威胁的高性能防火墙。通过深入洞察网络流量中的用户、应用和内容，并借助全新的高性能单路径异构并行处理引擎，NGFW能够为用户提供有效的应用层一体化安全防护，帮助用户安全地开展业务并简化用户的网络安全架构。

2.2解决方案

2.2.1基于应用的精细化访问控制

　　传统安全产品通过IP或者端口封堵各种协议，只能局限于标准的协议，如HTTP，SMTP，且主要是在网络层以及传输层进行，对应用层的内容无能为力，而且，如果IP与端口经过动态协商建立，比如QQ，P2P下载等，则完全不能胜任。

　　网康科技采用第三代的应用识别技术XAI，能够混合的使用明文特征、密文的流量模型、以及多个明文秘文混合的链接之间的行为关联，继而准确的识别出明文及密文加密应用，例如可以识别出迅雷加密协议下载的文件类型等。

　　同时为了避免隧道逃逸技术，防火墙还可以对翻墙、代理、隧道等高风险应用进行精确的识别，继而让用户准确的发现网内可能存在的木马文件传输隧道以及远程控制管理隧道并进行控制。

　　网康NGFW拥有国内较全面的网络应用协议数据库，包括超过1600种的网络应用协议和500种以上的移动应用。

　　网康NGFW能够根据多种条件及其组合对网络应用进行灵活的管理，包括：用户、部门及其组合；时间段，如上班时间、下班时间、周末等；提供自定义协议，对特定的应用进行控制；对网络应用进行封堵、允许、以及流量控制管理。

　　网康NGFW能够对各种网络应用进行精细粒度的管理控制，比如可以通过阻塞某一种具体的网络电视、流媒体来减少带宽资源浪费，保障员工工作的效率等。此外，对于一些多协议多用途的应用（如IM），NGFW可以精确识别子协议，将更多细节纳入策略框架中。例如：允许通过QQ聊天与文件传输进行产品技术支持，且保障QQ远程协助的带宽，但禁止玩QQ游戏，禁止欣赏音乐视频等等。

2.2.2网络拥塞避免

　　网康NGFW可将每条物理链路划分为三级嵌套（主通道、子通道、微通道）的层次结构，保证各用户、各VLAN的各种网络应用在限定的带宽通道内传输。如管理员可为企业一级部门设置一个主通道，还可以为二级部门设置子通道，为三级部门设置微通道，也可以对单个用户或单个/某类应用分配一个独立的带宽通道。

　　通过层次化的管理，管理员将不同部门用户的不同应用分别限制在一定带宽之内，保证了不同用户、不同VLAN、不同应用在预先规定的通道内按照设定的速率、时间段各行其道。这样既可以保证每个应用的正常使用，避免各部门间的无序带宽争夺，又可以防止某些应用占用带宽过大而造成整个公司网络的拥塞。

　　三级嵌套的通道结构允许通道之间可存在借用关系：当上级通道的保证带宽有富余时，下级通道可以借用上级通道的剩余带宽。通过对通道内的数据流“削峰填谷”，抑制突发流量，复用空闲带宽，从而保证通道内数据流能平稳有序地传输。网康NGFW的各级带宽通道均可以划分不同的优先级，优先级高的通道可以优先使用系统空闲的带宽资源。从而对于P2P下载等无关应用进行带宽限制，对于ERP等关键引用进行带宽保障，提升带宽资源使用率，保障关键业务的质量。

2.2.3流量负载均衡及应用路由

　　网康NGFW能够实现基于端口和流量的负载均衡功能，该功能基于时间、VLAN、内部地址、外部地址、端口对象等条件，将满足条件的流量按照一定选路算法转发到相应的链路出口上去。

　　在负载算法上，能够实现发生故障时进行链路切换、链路带宽接近饱和时进行流量分担、按照相应的权重比例进行流量负载均衡。从而帮助用户实现了链路备份功能和流量分担功能。

　　同时，负载算法还支持强制进行负载，NGFW能够根据目的IP地址归属不同的运营商来选择对应的出口，通过将去往不同运营商的流量强制转发到相应的线路出口，从而实现南北互通功能，提高用户访问网络的速度。

　　网康NGFW还可以基于应用层进行负载均衡，不依赖于传统的IP端口来判断流量，而是通过对应用流量协议特征的识别，将不同的应用转发到不同的线路上去。特别是将网页访问、ERP业务等实时性应用转发到优质线路，将P2P这类对实时性要求不高又极大占用带宽资源的应用转发到一般线路。从而使得优质线路上主要承载较有价值的业务流量，提升这些重要业务的上网体验，较大化优质线路的带宽价值。

2.2.4企业用户管理

　　用户是下一代网络安全产品的核心要素，任何一条策略都是针对一个用户或者部门设置的，因此对于用户的识别、认证与管理能力决定了网络安全产品的安全防护效果。网康NGFW提供了丰富的用户认证方式以及符合企业实际的用户管理能力，很好地满足企业对于用户的管理要求。

　　当用户数目较多、组织结构比较复杂时，按照实际的组织结构管理用户是较有效的方式，易于管理员查询、定位和设置策略。网康NGFW支持树型结构管理用户，能够完全按照企业的实际情况建立用户组。

　　网康NGFW可将AD域服务器中用户权限组信息导入到用户组织列表中，对于那些拥有多AD子域服务器的网络环境，NGFW可同时同步所有AD子域服务器中的用户信息数据，实现全网用户的统一管理。同时，可以自定义LDAP的导入入口。

　　网康NGFW支持二层网络环境和三层网络环境下的IP/MAC绑定。可自动阻塞那些非法占用他人IP地址的用户。

　　网康NGFW提供了多种用户认证和识别方式，为用户管理提供了灵活而完善的方案。包括基本的IP/MAC绑定、三层网络环境下的IP/MAC绑定、网关Web认证、AD域透明认证、LDAP认证、RADIUS认证、POP3认证、PPPoE认证账号识别、第三方用户识别等，支持与城市热点、深澜等身份认证系统进行单点登录联动。通过规划并部署合适的认证方式，可以把互联网访问管理应用到具体用户，实现基于用户身份的访问管理。

2.2.5应用层安全防护

　　网康NGFW通过应用的洞察能力保证对采用动态端口、隧道、代理和SSL加密等技术手段的应用的可见性，防止威胁逃逸，并通过基于应用的全方位安全检测手段（入侵防御、防病毒木马、恶意网址过滤，间谍软件检测等）以及先进的云安全技术来防御威胁。

　　网康NGFW基于深度应用识别，有效解决了传统入侵防御技术无法应对端口逃逸带来的威胁。提供漏洞、蠕虫、后门、缓冲区溢出、扫描和SQL注入等多种攻击或威胁方式的检测和防御，支持3000条以上的威胁特征库，并及时更新。

　　网康NGFW采用“云查杀”和“本地病毒检测”双引擎，木马与病毒识别率业内领先。支持对多种协议（HTTP、FTP、SMTP、POP3和IMAP等）流量和压缩文件（gzip，zip，rar等）中木马与病毒的查杀，提供近10万条实时的本地木马与病毒特征库，同时云中心提供超过500万木马与病毒文件特征的查杀能力。

　　网康NGFW的URL过滤功能，采用了基于云的主动扫描预防和在线内容识别的方法，快速发现并识别可疑网站，能有效的防御挂马网站、钓鱼网站；识别已被植入木马的傀儡主机，切断其与外界的通信，消除风险；通过对高风险网站如色情、赌博等类别网站的控制，减少与挂马、钓鱼网站的接触机会，降低风险。

　　网康NGFW通过网络行为分析，可以准确定位主机上的间谍软件，减少数据泄漏风险，有效保护企业信息资产和个人隐私安全。

　　网康NGFW提供基于应用的一体化安全策略，给用户带来了基于应用的全面安全功能和简单、灵活的安全策略配置。在传统防火墙的五元组策略基础上，增加了应用、用户、内容的三个维度，一条策略可同时对应用、用户和内容进行匹配，减少了策略配置条目、降低了维护成本。

2.2.6僵尸主机定位

　　随着WEB2.0时代的到来，社交网络和即时通信等应用了得到了普遍使用，使得僵尸工具的传播从过去邮件或漏洞攻击方式，转向了更方便和广泛使用的新应用平台上进行传播。网康NGFW提供大量应用的洞察和识别能力，能够让企业可以控制可能传播僵尸工具的应用（比如P2P下载）或应用动作（MSN文件传送），来降低企业内部感染僵尸网络的风险。

　　网康NGFW提供完备的入侵防御功能，能够对已知特征的僵尸网络进行防御。更重要的，僵尸网络是种复合型攻击方式，可能会通过下载木马、蠕虫或后门程序来对被控制主机进行二次感染，来进行后续更严重的攻击。网康下一代防火墙提供一体化全方位的防护，通过防木马病毒、防间谍软件、恶意网址过滤、DDoS攻击防护和文件内容过滤等功能，能够避免僵尸主机后续更严重的攻击给企业带来损失。

　　对于新型或者自我更新能力很快的僵尸网络，网康NGFW通过智能的行为分析方式，来定位感染的僵尸主机，能帮助企业IT管理员尽早发现僵尸主机并及时处理掉。

2.2.7数据防泄漏

　　对于企业网络边界的数据泄漏防护上，首先是选择能够控制会造成敏感数据泄漏的应用。企业的应用毕竟会从“利”和“弊”两个方面来看待，对于企业完全没有任何好处的应用就可以完全阻断，而避免它造成数据泄漏，比如大部分企业需要禁止P2P下载应用，因为其对企业的IT业务来说是没有任何好处的，并且还会带来很大的数据泄漏风险。而对于企业有“利”的应用，可能也存在对企业造成数据泄漏风险的动作，比如MSN Messenger，可以方便企业内部员工与客户进行即时沟通，但其传输文件的应用动作会给企业带来重要数据泄漏的可能。网康NGFW具有深入的应用洞察和识别能力，企业IT人员可通过对应用的合理控制，能够为企业大大减少数据泄漏的传输途径。

　　在发生的一些数据泄漏事件中，通常都会与企业内部的“人”有关，传统的边界设备通常可见和控制的是“IP”地址，并且不能有效的对“人”进行管理和控制数据外发的行为。网康NGFW具有完善的用户识别能力，通过一体化的安全策略可以基于“人”的维度，控制高风险应用的使用、授权数据外发的行为和记录数据传输的事件，不但降低了没有授权的“人”会造成数据泄漏的风险，还会帮助企业对造成数据泄漏风险的“人”进行事后审计和处理。

　　随着网络应用不断丰富，大量应用会建立在HTTP等基础协议之上，或者端口号随机产生。基于传统基本协议的内容过滤方式对现在的大量应用失效性越来越严重，比如对于WEB Mail的附件、微博和MSN的文件传输、网盘的文件上传等。网康NGFW基于应用构建文件类型和内容的扫描能力，并且支持几百种常见应用的文件类型和内容控制，能够细粒度到应用的动作进行识别和控制，比如用户选择内容过滤是针对MSN的聊天内容还是文件传输。其中对于文件内容的扫描，网康提供给用户自定义正则表达式的方式，同时可指定关键信息的命中阀值来决策阻断或告警，另外，还提供一些预定义的特征方式给用户选择扫描，比如身份证号、银行卡号和手机号码等。而对于文件类型的扫描，支持近百种常见的文件类型（包括各种Office文件、音视频文件，图片和压缩文件等），文件类型的识别是采用文件特征匹配方式，修改文件后缀仍可准确识别。

2.2.8IPsec VPN分支互联

　　网康NGFW提供良好的人机管理界面和功能，让企业在日常IT管理维护中节省可观的内部管理和支持成本。通过NGFW构建起来的VPN专网中能够很容易实施OA、ERP、CRM等软件应用并进行远程互联，极大提高企业的工作效率，给企业带来无尽的效益。网康NGFW对分支节点网络流量可以进行分流，可以将一条线路专门用来上网，另一条线路专门用来在总部和分公司之间传输数据，这样既安全又通畅。

　　网康NGFW支持对VPN隧道中的流量进行安全检测，防止木马和病毒通过VPN隧道传播，全方位保护企业网络安全。

 

3.优势亮点

3.1先进的应用识别技术

　　凭借网康科技在应用识别和内容控制领域8年的技术积累，实现了对近3000种网络应用的识别，其中包含了300多种高风险应用，从各种维度对不同应用做出评价。

3.2丰富的用户识别类型

　　支持基于IP/MAC、计算机名、POP3、Proxy、LDAP、AD域、Radius、Portal进行认证，同时支持和多种认证系统联动，实现单点认证。

3.3国内较大的URL库

　　拥有国内较大的、包含3000万中文网页的URL库，每日更新，即时发现恶意网站。

3.4先进的主动防御技术

　　基于行为分析感知僵尸主机和间谍软件，通过多维度的数据分析和多种类型日志的智能关联集成，实现应用威胁的可视化，便于用户提早发现网络中潜在的威胁，并主动调整安全策略。

3.5云安全速度更快准确率更高

　　采用云安全技术对网络流量进行病毒和木马检测，云安全技术具有特征库大和实时更新的特点，对病毒和木马的检测更加有效。同时由于将内容扫描的计算转移到云端进行，大大降低了防火墙的计算资源消耗，提升了网络吞吐能力。

3.6高性能的应用安全防护

　　采用网康特色专利技术的多核加速转发引擎，充分发挥硬件优势，实现高性能的应用安全防护。

3.7移动识别和管理

　　支持近700种移动互联网应用，覆盖iOS、Android、Windows等多种移动平台，涵盖聊天、微博、视频、地图等多种主流应用类型。

3.8数据防泄漏

　　通过对网络流量进行指定特征的关键信息及文件类型的扫描，网康NGFW可以有效地防止企业的信息资产泄漏。