通過以上機構的內(nèi)網(wǎng)拓撲簡圖可見，現(xiàn)有的防火墻已經(jīng)使用了5年的時間，而且僅僅只用來作為普通防火墻來做包過濾， 近幾年來，公司每年都會出現(xiàn)病毒風暴，從而影響公司內(nèi)網(wǎng)網(wǎng)絡， 嚴重的時候公司財務部都無法進行稅務報稅，因此防御病毒對整個網(wǎng)絡的干擾也是此次網(wǎng)絡安全整體改造的一方面。

桌面的機器管理，一直都未納入管理體制中，多數(shù)PC機器都是由于私自安裝一些陌生的程序而感染到病毒的，因此我們也計劃引入桌面機的管理體制，從統(tǒng)計PC機的物理配置開始，限制陌生軟件的使用，從而杜絕病毒的滲透。

背景介紹

如今網(wǎng)絡世界發(fā)生了巨大的變化：首先，成千萬的應用都基于Web,通過端口來區(qū)分應用的方法已經(jīng)過時了。端口在傳統(tǒng)防火墻面前就像一個個封閉的管道，管道里跑著各式各樣的應用，而傳統(tǒng)防火墻除了能看到管道的外體，對管道里發(fā)生的事情一無所知。

其次，應用也不像過去、非黑即白，而是黑白混合，是灰度的。舉個例子，聊天工具到底是安全的還是危險的?誰也說不清楚。也許對方的聊天工具已被木馬控制，發(fā)來一個文件本身就是木馬，一打開就中招了。傳統(tǒng)的思路就是把聊天工具封堵了，但這樣很多基于聊天工具的正常工作也無法開展了。

另外，現(xiàn)在的攻擊目的也在轉(zhuǎn)變，攻擊系統(tǒng)的惡作劇越來越少，有經(jīng)濟目地的信息竊取越來越多，如竊取個人賬戶、企業(yè)機密等。而且這種攻擊不僅僅是針對操作系統(tǒng)，應用和數(shù)據(jù)庫都成為了攻擊目標。所以即使IDS、IPS在，網(wǎng)絡依然被篡改，信息依然被竊取，這也是近年來網(wǎng)頁防篡改系統(tǒng)、WAF產(chǎn)品逐漸盛行的原因。

最后，傳統(tǒng)的IPS和AV大部分都是基于特征庫匹配的DPI技術，只能對于已知的威脅進行防護，而對于哪些最新的威脅變種或者未曝光的未知威脅卻無能為力。近年來的"0 Day"零日漏洞攻擊越來越多，比如微軟的"極光"、"MPEG-2".

但是大多數(shù)傳統(tǒng)防火墻廠商卻沒有改進自己的技術，倒一窩蜂的置身于性能競賽中。防火墻的吞吐量記錄不斷被刷新，但在面對各種新的應用和攻擊方面卻仿佛視而不見。這好比過去的模擬電視，尺寸越來越大，外觀越來越漂亮，但數(shù)字電視的到來卻一夜間給模擬電視敲響了喪鐘。

梭子魚下一代防火墻解決方案介紹

如下圖所示，我們將部署一臺梭子魚下一代防火墻(以下簡稱NG Firewall)產(chǎn)品替換原有防火墻，由于我們梭子魚的物理性能高達1.4G的路由性能，所以完全可以支持內(nèi)網(wǎng)2000名員工的上網(wǎng)服務，同時具有AV防病毒及IPS入侵檢測的功能。

其次梭子魚下一代防火墻產(chǎn)品，擁有7層應用層數(shù)據(jù)過濾的功能，因此，我們可以為公司內(nèi)網(wǎng)員工提供應用過濾，可以屏蔽一些P2P下載，網(wǎng)頁視頻，IM通訊等服務。當然，對其他應用層服務，我們計劃做一些帶寬限制或者帶寬保留服務，保證我們正常業(yè)務的流量。

同時在整體方案中，我們計劃將分支機構，也部署梭子魚NG Firewall其意義為：1、IPSEC-VPN連接總部梭子魚設備; 2、便于分支機構的網(wǎng)絡安全防衛(wèi);3、對內(nèi)網(wǎng)的數(shù)據(jù)流進行應用層識別及帶寬管理。

針對越來越多的移動辦公人員，我們建議起用梭子魚NG Firewall 的SSL-VPN功能，這樣既可以便于公司領導外出期間，使用公司內(nèi)部系統(tǒng)，又可以非常安全的為公司服務器提供數(shù)據(jù)保障。

梭子魚下一代防火墻產(chǎn)品介紹

2010年，梭子魚公司將推出一款名為NG Firewall的網(wǎng)絡安全產(chǎn)品，這是一款基于應用層設計和開發(fā)的防火墻產(chǎn)品，也稱7層防火墻。梭子魚NG Firewall可以針對豐富的應用提供更完整的可視化內(nèi)容安全保護方案，解決了傳統(tǒng)防火墻在應用管控、應用防護、未知威脅處理方面的巨大不足，具備了傳統(tǒng)防火墻和IPS、AV的所有功能，并可在全功能開啟后達到8-10Gbps的最高性能，是UTM產(chǎn)品在同等工作狀態(tài)下的10-25倍。

梭子魚NG Firewall 七層防火墻時代的到來

梭子魚推出的新一代的7層防火墻-梭子魚下一代防火墻 ,這是一個劃時代的產(chǎn)品。她從TCP 7層出發(fā)，基于應用的類型和內(nèi)容提供安全解決方案，同時還包含了傳統(tǒng)防火墻和IPS的所有功能。

NG Firewall可以基于應用的類型實現(xiàn)可視化管控。NG Firewall可以恢復安全設備對應用的可視化感知，對同一端口上運行的不同應用類型進行區(qū)分，在根據(jù)客戶需要對同一端口的不同應用進行管理。

NG Firewall可以提供更加完整的應用防護功能。 NG Firewall可以提供兩個維度防護：終端防護(AV、Web安全過濾等)、服務器防護(IPS、WAF、DDoS防護等)。其中WAF(web application firewall)的各種功能包括了：對弱密碼的保護、對數(shù)據(jù)注入攻擊的保護、服務器信息隱藏等。

NG Firewall能夠基于應用的內(nèi)容實現(xiàn)更精確的安全防護。她既能讓用戶訪問各種應用，又能對其中的內(nèi)容進行信息過濾和危險流量攔截，還可以通過關聯(lián)分析技術識別出未知威脅，并及時處理。

當然，NG Firewall依然可以對端口進行封堵，也保留了傳統(tǒng)防火墻中的NAT、路由等用戶普遍需要的功能。通過NG Firewall,用戶可以向傳統(tǒng)的防火墻和IPS說再見了。

NG Firewall不僅具備它們的各種有用的功能，還終于實現(xiàn)了對應用層的保護。用戶可以看見網(wǎng)絡管道中跑著那些應用，有哪些內(nèi)容，存在哪些風險，并且均可以一一進行控制和記錄。有人會問，AF是不是就是UTM?好像實現(xiàn)的功能很相似。事實上，他們是完全不同的產(chǎn)品。UTM只能算是防火墻產(chǎn)品的改進版，通過疊加各種模塊來彌補傳統(tǒng)防火墻產(chǎn)品在應用層的不足。但是，UTM依然工作在TCP的3-4層，而不是在第7層，一旦把應用層的功能開啟后，性能將大幅度下降，這也不難解釋一些號稱10G的UTM設備在開啟全功能后，性能迅速下降到400Mbp左右。

而梭子魚NG Firewall 則完全基于7層設計，并通過多核并行計算技術，數(shù)據(jù)包一次掃描技術，深度內(nèi)容識別及快速還原等技術，使得她在全功能開啟后最高性能依然能達到8-10G.

準備迎接下一代防火墻時代的來臨

無獨有偶，梭子魚推出的產(chǎn)品NG Firewall同全球著名分析機構Gartner定義的NGFW(下一代防火墻)十分接近。Gartner認為下一代防火墻必須有以下幾點：

標準的防火墻功能，如網(wǎng)絡地址轉(zhuǎn)換，狀態(tài)檢測，VPN和大企業(yè)需要的功能。

入侵防御系統(tǒng)和防火墻真正一體化。

應用程序感知能力，自動識別和控制應用程序。

額外的防火墻智能，為輔助決策提供更多信息，如信譽分析，與活動目錄(AD)集成，有用的阻塞或漏洞列表。

而梭子魚下一代防火墻產(chǎn)品涵蓋了下一代防火墻的主要功能，并兼?zhèn)鋀AF的功能。

zhenggaofeng