1.背景介绍

　　随着计算机网络的出现和互联网的飞速发展，企业基于网络的应用也在迅速增加，企业规模不断扩大的同时，企业网络的规模也在不断增加。基于网络信息系统给企业的经营管理带来了更大的经济效益，但随之而来的安全问题也在困扰着用户。

　　从互联网诞生以来，网络攻击就如影随形。从攻击的手段和目的角度可以把网络攻击分为三个时期：

　　第一个时期是从网络开始出现到2004年之前这段时间。这个时期的网络攻击基本上都不是为了获得某种利益，而是属于炫耀性攻击，攻击者得不到什么好处。这一时期流行的网络攻击手段是病毒、蠕虫程序，只会不断感染和扩张，病毒制作者获取不到任何商业利益。

　　第二个时期是从2004年下半年到2007年底这段时间。这个时期的网络攻击大多数都是为了商业利益，黑客攻击越来越有目的性，攻击的目标往往是能够给他们带来利润的用户。

　　第三个时期是2007年底到现在。这一时期的网络攻击除了为了经济利益以外，还有很多政治利益。黑客通过互联网窃密，窃取商业机密、军事机密、经济情报和科技情报等。安全业内的人将这种攻击行为叫做APT（Advanced Persistent Threat），即“针对特定目标的攻击”。

　　面对不断演变的网络安全威胁，传统的网络安全产品越来越难以满足企业的安全需求。普通防火墙只能在网络层保护内网的计算机、服务器等不受外网的恶意攻击，并不能阻断病毒、木马等非安全因素进入到内网；而大多数运行在企业广域网出口的入侵防护、防毒墙等设备为了能够识别特征不断变化、种类不断增加的病毒木马，只能不断更新和增加本地特征库。而受到设备CPU运算性能影响，本地特征库规模不能过于庞大；受到厂家更新病毒库的频率影响，设备对病毒木马的查杀也存在不同程度的滞后性。

2.网康下一代防火墙云安全技术方案

2.1基于云技术识别木马病毒

　　木马病毒的云查杀功能较早由杀毒软件在用户的客户端进行安装和使用，随着技术的日趋强大、成熟，云查杀早已从当初集成于各种安全软件之中的附加功能逐渐演变为今天各杀毒软件的重点功能。而在网络设备中集成病毒木马的云查杀技术，网康下一代防火墙是领军家。从当初的病毒特征库存放在设备自身，到现今的特征库移到了云端，云查杀带来的便利不仅仅是降低了设备的资源消耗，更是集成了实时更新的云端木马病毒处理能力，为企业网络提供了更有效率的安全防护。

　　在传统的杀毒模式中，可疑程序的收集、分析、判定都是在设备上进行的，病毒木马特征库也只能靠定期升级的办法来更新。这就造成了设备一旦开启病毒木马检测模块，系统资源占用率就变高，查杀率也不理想，而云查杀引擎则可以大大缓解这些问题。

　　云查杀引擎基于云端的设计，能让设备快速共享来自整个互联网的病毒木马特征库。当今的病毒木马种类繁多，变种出现的速度极快，传统特征库的更新模式已经无法适应现在的互联网环境，只有云查杀这种模式，才能更好地保障企业网络的安全。传统的安全设备本地只能存储千万数量级的病毒木马特征库，而将病毒特征文件放置在云端后，可对上亿的病毒木马特征库进行匹配。

　　在云查杀的工作流程中，设备不再需要完成可疑程序的分析、判定等工作，而是将更多的运算工作交给服务器的云端执行，因此大大降低了设备的系统资源占用率，不仅能更有效地保护网络安全，对设备的性能损耗还会降到最低。采用了云查杀引擎后，设备的性能吞吐比传统方式高5到10倍。

　　由于云查杀引擎有更高的性能、更全面的病毒木马特征库，与传统查杀引擎相比，对病毒和木马的识别更高更准更快。

2.2基于云技术识别恶意网站

　　“恶意网站”用作一个集合名词，指故意在计算机系统上执行恶意任务的病毒、蠕虫和特洛伊木马的非法网站。这类网站通常都有一个共同特点，他们通常情况下是以某种网页形式可以让人们正常浏览页面内容，同时非法获取电脑里面的各种数据。

　　网康下一代防火墙的URL过滤功能，采用了基于云的主动扫描预防和在线内容识别的方法，快速发现并识别可疑网站，能有效的防御挂马网站、钓鱼网站；识别已被植入木马的傀儡主机，切断其与外界的通信，消除风险；通过对高风险网站如色情、赌博等类别网站的控制，减少与挂马、钓鱼网站的接触机会，降低风险。

　　网康科技拥有国内较大的、包含3000万中文网页的URL库，每日更新，发现恶意网站，保障企业网络的安全。

3.网康下一代防火墙配置方式

　　网康下一代防火墙提供基于应用的一体化安全策略，给用户带来了基于应用的全面安全功能和简单、灵活的安全策略配置。在传统防火墙的五元组策略基础上，增加了应用、用户、内容的三个维度，一条策略可同时对应用、用户和内容进行匹配，减少了策略配置条目、降低了维护成本。

　　网康下一代防火墙安全策略提供记录日志功能，当安全策略为允许时，可以设定防病毒配置、防漏洞配置、防间谍软件配置、网址过滤配置、文件过滤配置、数据过滤配置来使用防病毒、防漏洞、防间谍软件、网址过滤、文件过滤及数据过滤的功能。通过【策略配置】→【策略配置】→【安全策略】进入页面，点击新建按钮，弹出如下图所示页面：

　　名称（必填项）：输入所要创建的安全策略的名称；

　　描述：可以追加一些描述信息，便于识别；

　　优先级：用来确定策略在列表中的位置，即匹配的优先级；

　　感兴趣流量：设置策略条件来匹配感兴趣的流量；

　　源地址：选择策略生效的内部地址，可通过以下方式选择

　　方式一：请从【策略配置】→【对象配置】→【地址对象】/【地址组对象】已配置的地址（组）对象和用户对象中选择。

　　方式二：通过选择窗口的快捷方式 – 新建按钮来添加地址（组）对象。

　　源域：选择策略的生效源域，可通过以下方式选择：

　　方式一：通过【网络配置】→【接口与区域】→【区域】标签页已配置的区域

　　方式二：通过选择域窗口快捷创建区域

　　用户：选择策略生效的用户，从选择用户窗口中进行选择，添加用户请参考【用户管理】。

　　目的地址：选择策略生效的外部地址，可通过以下方式选择

　　方式一：请从【策略配置】→【对象配置】→【地址对象】/【地址组对象】已配置的地址（组）对象和用户对象中选择。

　　方式二：通过选择窗口的快捷方式 – 新建按钮来添加地址（组）对象。

　　应用：设置策略对何种应用协议生效。

　　服务：选择策略对哪些服务生效，可通过以下方式进行选择

　　方式一：请从【策略配置】→【对象配置】→【服务对象】/【服务组对象】选择已配置的服务（组）对象。

　　方式二：通过选择窗口的快捷方式 – 新建按钮来添加应用（组）对象。

　　动作：设置匹配策略条件后采取的控制动作

　　生效时间：选择策略的生效时间，默认为所有时间，可通过以下方式进行选择

　　请从【策略配置】→【对象配置】→【时间调度对象】已配置的应用对象中选择。

　　通过选择窗口的快捷方式 – 新建按钮来添加时间调度对象。

　　动作：设置策略的动作，包括允许该请求和阻塞该请求。选择允许时，可同时进行防病毒配置、防漏洞配置、防间谍软件配置、网址过滤配置、文件过滤配置、数据过滤配置，防病毒配置如下图所示：

　　记录流量日志：记录匹配策略的流量日志。

　　第2步：配置好感兴趣流量和动作后，点击确定

　　第3步：点击生效按钮，执行立即生效操作，策略配置到生效过程完成。