- 1、本文档共17页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
惠尔顿下一代防火墙
(NGWF)
设计方案
深圳市惠尔顿信息技术有限公司
2016年5月1日
目 录
一、方案背景 1
二、网络安全现状 1
三、惠尔顿下一代防火墙(NGWF)介绍及优势 5
四、惠尔顿NGWF功能简介 8
五、部署模式及网络拓扑 10
六、项目报价 11
七、售后服务 12
一、
许多黑客正监视着软件提供商的补丁公告,并对补丁进行简单的逆向工程,由此来发现漏洞。下图举例说明了一个已知漏洞及相应补丁的公布到该漏洞被利用之间的天数。需要注意的是,对于最近的一些攻击,这一时间已经大大缩短了。
IT和安全人员不仅需要担心已知安全威胁,他们还不得不集中精力来防止各种被称之为“零小时”(zero-hour)或“零日”(zero-day)的新的未知的威胁。为了对抗这种新的威胁,安全技术也在不断进化,包括深度包检测防火墙、应用网关防火墙、内容过滤、反垃圾邮件、SSL VPN、基于网络的防病毒和入侵防御系统(IPS)等新技术不断被应用。但是黑客的动机正在从引起他人注意向着获取经济利益转移,我们可以看到一些更加狡猾的攻击方式正被不断开发出来,以绕过传统的安全设备,而社会工程(social engineering)陷阱也成为新型攻击的一大重点。
传统的防火墙系统
状态检测防火墙原本是设计成一个可信任企业网络和不可信任的公共网络之间的安全隔离设备,用以保证企业的互联网安全。状态检测防火墙是通过跟踪会话的发起和状态来工作的。通过检查数据包头,状态检测防火墙分析和监视网络层(L3)和协议层(L4),基于一套用户自定义的防火墙策略来允许、拒绝或转发网络流量。
传统防火墙的问题在于黑客已经研究出大量的方法来绕过防火墙策略。这些方法包括:
利用端口扫描器的探测可以发现防火墙开放的端口。
攻击和探测程序可以通过防火墙开放的端口穿越防火墙。如MSN、QQ等IM(即时通信)工具均可通过80端口通信,BT、电驴、Skype等P2P软件的通信端口是随机变化的,使得传统防火墙的端口过滤功能对他们无能为力。SoftEther等软件更可以将所有TCP/IP通讯封装成HTTPS数据包发送,使用传统的状态检测防火墙简直防不胜防。
SoftEther可以很轻易的穿越传统防火墙
PC上感染的木马程序可以从防火墙的可信任网络发起攻击。由于会话的发起方来自于内部,所有来自于不可信任网络的相关流量都会被防火墙放过。当前流行的从可信任网络发起攻击应用程序包括后门、木马、键盘记录工具等,它们产生非授权访问或将私密信息发送给攻击者。
较老式的防火墙对每一个数据包进行检查,但不具备检查包负载的能力。病毒、蠕虫、木马和其它恶意应用程序能未经检查而通过。
当攻击者将攻击负载拆分到多个分段的数据包里,并将它们打乱顺序发出时,较新的深度包检测防火墙往往也会被愚弄。
使用笔记本电脑、PDA和便携邮件设备的移动用户会在他们离开办公室的时候被感染,并将威胁带回公司网络。边界防火墙对于从企业信任的内部网络发起的感染和攻击爱莫能助。
图:被通过知名端口(80端口)攻击的网站数
基于主机的防病毒软件
基于主机的防病毒软件是部署得最广泛的安全应用,甚至超过了边界防火墙。基于主机的防病毒软件随着上世纪80年代中期基于文件的病毒开始流行而逐渐普及,如今已成为最受信任的安全措施之一。但是基于主机的防病毒软件也有它的缺点,包括:
需要安装、维护和保持病毒特征库更新,这就导致了大量的维护开销。
很多用户并没有打开防病毒软件的自动更新功能,也没有经常的手动更新他们的病毒库,这就导致防病毒软件对最新的威胁或攻击无用。
用户有时可能会有意或无意的关闭他们的单机安全应用程序。
最新的复杂的木马程序能对流行的基于主机的防病毒软件进行扫描,并在它们加载以前就将它们关闭 – 这就导致即使有了最新的病毒特征码,事实上它们还是不能被检测出来。
企业单纯依靠给予主机的防病毒软件和给操作系统和应用程序打补丁的方法会使它们的内部系统面临很高的安全风险。随着业务中使用了越来越多的面向全球且需要持续运行的关键应用,停机来更新操作系统补丁、病毒特征码和应用升级变得越来越困难。而公司的Web、Email、电子商务、数据库、应用等服务器由于长时间不打补丁会很容易在新的攻击方式下暴露出它们的漏洞。仅仅依靠基于主机的防病毒软件的另一个缺点是,事实上有害代码在被每一个主机的安全软件检测和阻挡之前就已经进入了公司的网络,这就大大威胁了企业关键业务系统和网络应用。
采用功能单一的产品的缺点
要想构建一个立体的安全防护体系,必须要考虑多层次的防护,包括:
防火墙
VPN网关
入侵防御系统(IPS)
网关防病毒
网页及URL过滤
应用程序过滤及带宽控制
采用功能单一的产品会带来成本增加,管理难度高的问题。如果想
您可能关注的文档
- 培训EMCS_MS_XS030925解答.ppt
- 优化SQL积累探讨.doc
- 用于夫妻的成语探讨.doc
- 土木工程词典探讨.doc
- 小学六年级体育全集探讨.doc
- 小学六年级上册科学实验探讨.doc
- 中国联通VoLTE局数据规范v0探讨.doc
- 小学六年级科学(苏教版)上册问题解答探讨.doc
- 土木工程毕业设计计算书探讨.doc
- 小学科学赵传鹏食物中的营养学案探讨.doc
- 2025年烟台市正大城市建设发展有限公司招聘工作人员12名笔试参考题库附带答案详解.doc
- 2025年衢州市属国企公开招聘工作人员笔试参考题库附带答案详解.doc
- 2025中铁四局集团有限公司法律合规部公开招聘1人笔试参考题库附带答案详解.docx
- 2025中国建筑股份有限公司岗位招聘【人力资源部(干部人事部)】笔试参考题库附带答案详解.docx
- 2025年滁州定远县中盐东兴盐化股份有限公司招聘2人笔试参考题库附带答案详解.doc
- DB1331T109-2025雄安新区建设工程抗震设防标准(963.84KB)(1).pdf
- 2025辽宁省能源控股集团所属抚矿集团招聘76人笔试参考题库附带答案详解.pdf
- 2024陕西延长石油集团华特新材料股份有限公司社会招聘8人笔试参考题库附带答案详解.pdf
- 2023内蒙古大唐国际锡林浩特矿业有限公司采煤自营专项社会招聘32人笔试参考题库附带答案详解.pdf
- 2024年12月云南大学国际合作与交流处公开招聘(1人)笔试历年典型考题(历年真题考点)解题思路附带答案详解.doc
最近下载
- 注册安全工程师中级其他安全生产专业实务(其他安全类案例)模拟试卷5.pdf VIP
- 2025低压分布式光伏入网技术规范.docx VIP
- GB生产设备安全卫生设计总则.doc VIP
- 产教融合、校企合作——黄淮学院的探索与实践.ppt VIP
- 注册安全工程师中级其他安全生产专业实务(其他安全类案例)模拟试卷9.pdf VIP
- 《呼吸防护用品 自吸过滤式防颗粒物呼吸器》GB 2626-2019-2020.7.1.docx VIP
- 危险货物包装标志.docx VIP
- 地下水质量标准GB148482017.docx VIP
- 《心理学史教学大纲.doc VIP
- GBT-用于校准表面污染监测仪的参考源 α、β和光子发射体及编制说明.pdf VIP
文档评论(0)