深信服下一代防火墙AF解决专项方案模板.docxVIP

深信服下一代防火墙NGAF 处理方案 深信服科技 20XX-03-09 需求概述 方案背景 xxx企业成立于1997年……. 网络安全现实状况 近几年来，计算机和网络攻击复杂性不停上升，使用传统防火墙和入侵检测系统（IDS）越来越难以检测和阻挡。伴随每一次成功攻击，黑客会很快学会哪种攻击方向是最成功。漏洞发觉和黑客利用漏洞之间时间差也变得越来越短，使得IT和安全人员得不到充足时间去测试漏洞和更新系统。伴随病毒、蠕虫、木马、后门和混合威胁泛滥，内容层和网络层安全威胁正变得司空见惯。复杂蠕虫和邮件病毒诸如Slammer、Blaster、Sasser、Sober、MyDoom等在过去几年常常成为头条新闻，它们也向我们展示了这类攻击会怎样快速传输——通常在多个小时之内就能席卷全世界。 很多黑客正监视着软件提供商补丁公告，并对补丁进行简单逆向工程，由此来发觉漏洞。下图举例说明了一个已知漏洞及对应补丁公布到该漏洞被利用之间天数。需要注意是，对于最近部分攻击，这一时间已经大大缩短了。 IT和安全人员不仅需要担心已知安全威胁，她们还不得不集中精力来预防多种被称之为“零小时”（zero-hour）或“零日”（zero-day）新未知威胁。为了对抗这种新威胁，安全技术也在不停进化，包含深度包检测防火墙、应用网关防火墙、内容过滤、反垃圾邮件、SSL VPN、基于网络防病毒和入侵防御系统（IPS）等新技术不停被应用。不过黑客动机正在从引发她人注意向着获取经济利益转移，我们能够看到部分愈加狡猾攻击方法正被不停开发出来，以绕过传统安全设备，而社会工程（social engineering）陷阱也成为新型攻击一大关键。 图：系统漏洞被黑客利用速度越来越快 带有社会工程陷阱元素攻击包含间谍软件、网络欺诈、基于邮件攻击和恶意Web站点等。这些攻击设计为欺骗用户暴露敏感信息，下载和安装恶意程序、跟踪软件或运行恶意代码。很多这类攻击设计为使用传统浏览器或Email技术（如ActiveX、XML、SMTP等），并伪装为正当应用，所以传统安全设备极难加以阻挡。现在比以往任何时候全部更需要优异检测和安全技术。 传统防火墙系统 状态检测防火墙原本是设计成一个可信任企业网络和不可信任公共网络之间安全隔离设备，用以确保企业互联网安全。状态检测防火墙是经过跟踪会话提议和状态来工作。经过检验数据包头，状态检测防火墙分析和监视网络层（L3）和协议层（L4），基于一套用户自定义防火墙策略来许可、拒绝或转发网络流量。 传统防火墙问题在于黑客已经研究出大量方法来绕过防火墙策略。这些方法包含： 利用端口扫描器探测能够发觉防火墙开放端口。 攻击和探测程序能够经过防火墙开放端口穿越防火墙。如MSN、QQ等IM（即时通信）工具均可经过80端口通信，BT、电驴、Skype等P2P软件通信端口是随机改变，使得传统防火墙端口过滤功效对她们无能为力。SoftEther等软件更能够将全部TCP/IP通讯封装成HTTPS数据包发送，使用传统状态检测防火墙简直防不胜防。 SoftEther能够很轻易穿越传统防火墙 PC上感染木马程序能够从防火墙可信任网络提议攻击。因为会话提议方来自于内部，全部来自于不可信任网络相关流量全部会被防火墙放过。目前流行从可信任网络提议攻击应用程序包含后门、木马、键盘统计工具等，它们产生非授权访问或将私密信息发送给攻击者。 较传统防火墙对每一个数据包进行检验，但不含有检验包负载能力。病毒、蠕虫、木马和其它恶意应用程序能未经检验而经过。 当攻击者将攻击负载拆分到多个分段数据包里，并将它们打乱次序发出时，较新深度包检测防火墙往往也会被愚弄。 使用笔记本电脑、PDA和便携邮件设备移动用户会在她们离创办公室时候被感染，并将威胁带回企业网络。边界防火墙对于从企业信任内部网络提议感染和攻击爱莫能助。 图：被经过著名端口（80端口）攻击网站数 基于主机防病毒软件 基于主机防病毒软件是布署得最广泛安全应用，甚至超出了边界防火墙。基于主机防病毒软件伴随上世纪80年代中期基于文件病毒开始流行而逐步普及，现在已成为最受信任安全方法之一。不过基于主机防病毒软件也有它缺点，包含： 需要安装、维护和保持病毒特征库更新，这就造成了大量维护开销。 很多用户并没有打开防病毒软件自动更新功效，也没有常常手动更新她们病毒库，这就造成防病毒软件对最新威胁或攻击无用。 用户有时可能会有意或无意关闭她们单机安全应用程序。 最新复杂木马程序能对流行基于主机防病毒软件进行扫描，并在它们加载以前就将它们关闭 – 这就造成即使有了最新病毒特征码，实际上它们还是不能被检测出来。 企业单纯依靠给主机防病毒软件和给操作系统和应用程序打补丁方法会使它们内部系统面临很高安全风险。伴随业务中使用了越来越多面向全球且需要连续运行关键应用，停机来