防火墙购买探索.docx

北京（怀柔） 量子伟业 网络升级-防火墙 网络负责人：陆思远 防火墙的作用： 防火墙作为内部网与外部网之间的一种访问控制设备， 常常安装在内部网和外部网交界点上。防火墙具有很好的网络安全保护作用。入侵者必须首先穿越防火墙的安全防线，才能接触目标计算机。你可以将防火墙配置成许多不同保护级别。高级别的保护可能会禁止一些服务，如视频流等，但至少这是你自己的保护选择。 主要作用： （1）Internet防火墙可以防止Internet上的危险(病毒、资源盗用)传播到网络内部。 （2）能强化安全策略； （3）能有效记录Internet上的活动； （4）可限制暴露用户点； （5）它是安全策略的检查点。?  软件防火墙与硬件防火墙区别: 硬件防火墙:系统是嵌入式的系统。一般开源的较多。硬件防火墙是通过硬件和软件的组合来达到隔离内外部网络的目的。软??防火墙:一般寄生在操作系统平台。软件防火墙是通过纯软件的的方式实现隔离内外部网络的目的。硬件防火墙是流行趋势，相比软件防火墙除成本外很有优势。1、性能优势。防火墙的性能对防火墙来说是至关重要的。它决定了每秒钟通过防火墙的数据流量。单位是Bps，从几十M到几百M不等，还有千兆防火墙甚至达到几G的防火墙。而软件防火墙则不可能达到如此高的速率。 硬件防火墙是通过硬件实现的功能，所以效率高，其次因为它本身就是专门为了防火墙这一个任务设计的，内核针对性很强，所以在抗攻击能力比软件防火墙高很多。2、CPU占用率的优势。硬件防火墙的CPU占用率当然是0了，而软件防火墙就不同了，如果处于节约成本的考虑将防火墙软件安装在提供服务的主机上，当数据流量较大时，CPU占用率将是主机的杀手，将拖跨主机。?3、售后支持。硬件防火墙厂家会对防火墙产品有跟踪的服务支持，而软件防火墙的用户能得到这种机会的相对较少，而且厂家也不会在软件防火墙上下太大的功夫和研发经费。  网络现状: 怀柔量子伟业分支 无法有效抵御来自公网的网络攻击，出口流量基本透明，公网指一条去网本局域网13网段的路由就能访问13网段的pc(只有13网段的地址进行了ip地址映射) 在公网传输的数据基本上是透明的，如果有人进行嵌入式抓包 （在公网设备上开启一块buffer 进行持续抓包可进行数据捕获。 无法进行对流量的控制可监管。没有更详细的访问控制策略， 无法防止公网上的网络病毒，无法做到vpn远程互联 下一代华为防火墙USG6320 产品外观 规格参数 特点 经济实惠（6000RMB） 适合中小型企业 一机多用，全面防护 1产品详细功能提供 精准的访问控制 统防火墙主要通过端口和IP进行访问控制，下一代防火墙的核心功能依然是访问控制。USG6000在控制的维度和精细程度上都有很大的提高： 一体化防护： 从应用、用户、内容、时间、威胁、位置6个维度进行一体化的管控和防御。内容层的防御与应用识别深度结合，一体化处理。例如： 识别出Oracle的流量，进而针对性地进行对应的入侵防御，效率更高，误报更少。 基于应用： 运用多种技术手段，准确识别包括移动应用及Web应用内的6000+应用协议及应用的不同功能，继而进行访问控制和业务加速。例如：区分微信的语音和文字后采取不同的控制策略。 基于用户： 通过Radius、LDAP、AD等8种用户识别手段集成已有用户认证系统简化管理。基于用户进行访问控制、QoS管理和深度防护。 基于位置： 与全球位置信息结合，识别流量发起的位置信息；掌控应用和攻击发起的位置，第一时间发现网络异常情况。根据位置信息可以实现对不同区域访问流量的差异化控制。支持根据IP自定义位置  全面的安全防护 越来越多的信息资产连接到了互联网上，网络攻击和信息窃取形成巨大的产业链，这对下一代防火墙的防护范围提出了更高要求。USG6000具备全面的防护功能： 一机多能： 集传统防火墙、VPN、入侵防御、防病毒、数据防泄漏、带宽管理、上网行为管理等功能于一身，简化部署，提高管理效率。 入侵防护（IPS）： 超过3500+漏洞特征的攻击检测和防御。支持Web攻击识别和防护，如跨站脚本攻击、SQL注入攻击等； 防病毒（AV）： 高性能病毒引擎，可防护500万种以上的病毒和木马，病毒特征库每日更新； 数据防泄漏： 对传输的文件和内容进行识别过滤。可识别120+种常见文件类型，防止通过修改后缀名的病毒攻击。能对Word、Excel、PPT、PDF、RAR等30+文件进行还原和内容过滤，防止企业关键信息通过文件泄露。 SSL解密： 作为代理，可对SSL加密流量进行应用层安全防护，如IPS、AV、数据防泄漏、URL过滤等。 Anti-DDoS： 可以识别和防范SYN flood、UDP flood等10+种DDoS攻击，识别500多万种病毒。 上网行为管理