北京(怀柔)量子伟业网络升级-防火墙
网络负责人:陆思远
防火墙的作用:
防火墙作为内部网与外部网之间的一种访问控制设备,常常安装在内部网和外部网交界点上。防火墙具有很好的网络安全保护作用。入侵者必须首先穿越防火墙的安全防线,才能接触目标计算机。你可以将防火墙配置成许多不同保护级别。高级别的保护可能会禁止一些服务,如视频流等,但至少这是你自己的保护选择。
主要作用:
(1)Internet防火墙可以防止Internet上的危险(病毒、资源盗用)传播到网络内部。(2)能强化安全策略;
(3)能有效记录Internet上的活动;(4)可限制暴露用户点;
(5)它是安全策略的检查点。
软件防火墙与硬件防火墙区别:
硬件防火墙:系统是嵌入式的系统。一般开源的较多。硬件防火墙是通过硬件和软件的组合来达到隔离内外部网络的目的。
软件防火墙:一般寄生在操作系统平台。软件防火墙是通过纯软件的的方式实现隔离内
外部网络的目的。硬件防火墙是流行趋势,相比软件防火墙除成本外很有优势。
1、性能优势。防火墙的性能对防火墙来说
是至关重要的。它决定了每秒钟通过防火墙的数据流量。单位是Bps,从几十M到几百M不等,还有千兆防火墙甚至达到几G的防火墙。而软件防火墙则不可能达到如此高的速率。硬件防火墙是通过硬件实现的功能,所以效率高,其次因为它本身就是专门为了防火墙这一个任务设计的,内核针对性很强,所以在抗攻击能力比软件防火墙高很多。2、CPU占用率的优势。硬件防火墙的CPU
占用率当然是0了,而软件防火墙就不同了,如果处于节约成本的考虑将防火墙软件安
装在提供服务的主机上,当数据流量较大时,CPU占用率将是主机的杀手,将拖跨主机。
3、售后支持。硬件防火墙厂家会对防火墙
产品有跟踪的服务支持,而软件防火墙的用户能得到这种机会的相对较少,而且厂家也不会在软件防火墙上下太大的功夫和研发
经费。
网络现状:
1.怀柔量子伟业分支无法有效抵御来自公网的网络攻击,出口流量基本透明,公网指一条去网本局域网13网段的路由就能访问13网段的pc(只有13网段的地址进行了ip地址映射)
2.在公网传输的数据基本上是透明的,如果有人进行嵌入式抓包(在公网设备上开启一块buffer 进行持续抓包可进行数据捕获。
3.无法进行对流量的控制可监管。没有更详细的访问控制策略,
4.无法防止公网上的网络病毒,无法做到vpn远程互联
下一代华为防火墙USG6320 产品外观
规格参数
特点
1.经济实惠(6000RMB)
2.适合中小型企业
3.一机多用,全面防护
1产品详细功能提供
精准的访问控制
统防火墙主要通过端口和IP进行访问控制,下一代防火墙的核心功能依然是访问控制。USG6000在控制的维度和精细程度上都有很大的提高:
一体化防护:
从应用、用户、内容、时间、威胁、位置6个维度进行一体化的管控和防御。内容层的防御与应用识别深度结合,一体化处理。例如:识别出
Oracle的流量,进而针对性地进行对应的入侵防御,效率更高,误报更少。
基于应用:
运用多种技术手段,准确识别包括移动应用及Web应用内的6000+应用协议及应用的不同功能,继而进行访问控制和业务加速。例如:区分微
信的语音和文字后采取不同的控制策略。
基于用户:
通过Radius、LDAP、AD等8种用户识别手段集成已有用户认证系统
简化管理。基于用户进行访问控制、QoS管理和深度防护。
基于位置:
与全球位置信息结合,识别流量发起的位置信息;掌控应用和攻击发起
的位置,第一时间发现网络异常情况。根据位置信息可以实现对不同区
域访问流量的差异化控制。支持根据IP自定义位置
全面的安全防护
越来越多的信息资产连接到了互联网上,网络攻击和信息窃取形成巨大的产业链,这对下一代防火墙的防护范围提出了更高要求。USG6000具备全面的防护功能:一机多能:
集传统防火墙、VPN、入侵防御、防病毒、数据防泄漏、带宽管理、上网
行为管理等功能于一身,简化部署,提高管理效率。
入侵防护(IPS):
超过3500+漏洞特征的攻击检测和防御。支持Web攻击识别和防护,如
跨站脚本攻击、SQL注入攻击等;
防病毒(AV):
高性能病毒引擎,可防护500万种以上的病毒和木马,病毒特征库每日
更新;
数据防泄漏:
对传输的文件和内容进行识别过滤。可识别120+种常见文件类型,防止
通过修改后缀名的病毒攻击。能对Word、Excel、PPT、PDF、RAR等
30+文件进行还原和内容过滤,防止企业关键信息通过文件泄露。
SSL解密:
作为代理,可对SSL加密流量进行应用层安全防护,如IPS、AV、数据
防泄漏、URL过滤等。
Anti-DDoS:
可以识别和防范SYN flood、UDP flood等10+种DDoS攻击,识别500
多万种病毒。
上网行为管理:
采用基于云的URL分类过滤,预定义的URL分类库已超过8500万,阻止员工访问恶意网站带来的威胁。并可对员工的发帖、FTP等上网行为
进行控制。可对上网记录进行审计。
安全互联:
丰富的VPN特性,确保企业总部和分支间高可靠安全互联。支持IPSec VPN、SSL VPN、L2TP VPN、MPLS VPN、GRE等;
QoS管理:
基于应用灵活的管理流量带宽的上限和下限,可基于应用进行策略路由和QoS标签着色。支持对URL分类的QoS标签着色,例如:优先转发对
财经类网站的访问。
负载均衡:
支持服务器间的负载均衡。对多出口场景,可按照链路质量、链路带宽比例、链路权重基于应用进行负载均衡。
虚拟化:
支持多种安全业务的虚拟化,包括防火墙、入侵防御、反病毒、VPN等。
不同用户可在同一台物理设备上进行隔离的个性化管理。
2015年网络安全发展趋势
一、数据安全成为新一代信息安全体系的主要特征
数据安全经过多年的发展酝酿,已经逐步得到用户认可和重视。这一方面源于移动、云计算和大数据的快速发展,用户信息化、智能化程度明显提高,继而推动数据集中化趋势,数据成为用户信息的核心资产,数据安全自然成为信息安全的高地;另一方面,随着APT等新型攻击的出现,围绕渗透、接触数据核心资产的网络路径穷举法捉襟见肘,用户意识到传统的系统安全、边界安全将无法防卫以数据窃取为主要目的的攻击行为,必须创新数据安全防御才能应对云时代、移动互联网时代的IT新变化。
目前一些具有创新意识的用户已经着手规划“数据安全体系”,作为信息安全体系中的新重点来进行建设,这些行动也将有利于解决云计算、移动互联网带来的系统边界模糊化导致的安全防护难题。
二、加密技术作为数据安全基础技术得到用户更广泛接受
2014,信息泄密事件愈演愈烈,金融、运营商、电商等个人信息数据最汇集的行业泄密事件曝光度越高,无论企业还是个人,数据安全都成为焦点问题。而数据加密技术是最基本的安全技术,被誉为信息安全的核心,也是保护数据传输和存储安全的惟一实用的方法和最
重要的防线。
随着BYOD普及,云计算、大数据的应用,新时代数据安全也纳入到企业数据保护范畴。特别是在国家网络战争时期,自主可控的加密技术和产品更受到推崇。明朝万达以多年自主研发的数据加解密技术为核心,以国密算法并兼容国际主流标准加解密算法为基础,实现本地存储数据加密、移动存储数据加密、文档加密、邮件加密、业务应用数据加密和数据传输加密等丰富的加密功能,保障企业数据全生命周期安全,统一管理PC终端、云桌面及虚拟化终端、移动智能设备和物联网设备等各种终端,有效应对企业IT架构的快速变革与延伸,构建全IT架构统一管理的数据安全体系。
三、数据安全建设成为助推信息安全与应用系统融合的发动机
面对现今复杂的安全形势,传统的安全解决方案已经无法满足,安全不再是一个产品或者几个产品的组合,而是一整套思路、方法论以及认知。今日,国家政府、企事业单位尝试不用的业务创新推动企业发展,随之搭建了与之对应的业务系统支撑业务流程,数据安全问题却成为影响应用系统建设与发展的一大困扰,企业都担忧数据在应用过程中被泄露。
只有从实际业务需求出发,建设适应新形式新技术的信息安全体
系才能推动业务发展。明朝万达聚焦数据安全,有的放矢的为企业客户重筑数据安全防御之道,保障业务数据安全,维护业务安全发展,通过数据安全建设实现原有信息安全与应用系统的高耦合。
四、数据安全纳入主流行业信息安全标准体系中
‘棱镜门’和‘RSA后门’事件的发生,伴随国家禁采win8、禁用赛门铁克数据防泄漏产品等政策的提出,信息安全受到政府及重点行业前所未有的重视。与此同时,千万级数据泄露的安全事件逐年递增,涉事范围覆盖了军事、经济等重要领域,还包括发展迅速的互联网产业,自主可控的安全措施大势所趋。
2014,政府、金融等领域信息安全监管标准相继试点出台,虽然还有待完善,但已经显露出其严肃的态度。2015年将迈入信息安全建设的高峰期,而数据是信息保护的核心,特别是政府、金融、互联网等主流行业数据安全建设势在必行,数据安全标准的建设也将应运而起。
五、历经2014年行业整合,数据安全品牌集中度显著提高。
2014年,国内安全产业进行了大范围的并购和调整,多家信息安全企业实施产业并购战略弥补数据安全短板,增强核心竞争力,形
成完整的战略布局。并购后的企业在数据安全人才、技术、产品和客户等方面实现资源汇集。2015,整合还将继续,整合后的市场角逐拉开帷幕,强强联合、优胜劣汰的趋势不可逆转,数据安全品牌集中度显著提高。从宏观层面来看,新的一年,国家及社会机构在信息安全领域的投入有望大幅提升,将为我国的信息安全产业带来前所未有的发展机遇。