下一代防火墙解决方案

1、项目背景
在现代社会中，随着互联网运用的普及和计算机网络技术的不断发展，互联网为整个社会带来了前所未有的变革，信息化成为社会发展的大趋势。现代生活的快节奏，迅速、及时、准确、有效的信息传递、处理，使得人类社会充斥了大量以互联网或以计算机处理器为主的系统及网络。系统一体化趋势，使网络化成为了整个信息社会的核心。与此同时，人们认识到计算机在给现代社会注入强大生命力同时，不可避免的成为对手攻击的重点对象。攻击与反攻击，成为信息社会中敌对双方利用互联网为作战平台，展开斗争的重要手段。而我国信息安全的前景，并不引人乐观。国家权威部门曾对国内网站的安全系统进行测试，发现不少单位的计算机系统都存在安全漏洞，有些单位还非常严重，随时可能被黑客入侵。任何网络都不是绝对安全的，值得一提的是，当前一些单位在急忙赶搭“网络快车”时，只管好用，不管安全，这种短视必然带来严重的恶果，因此，从思想上提高对计算机网络安全重要性的认识，是我们当前的首要任务。
2、现状分析
2.1、内部风险
随着单位网络用户的不断扩大，其安全意识、技术水平等参差不齐，给网络及信息系统安全带来了极大的威胁，我单位对网络的依赖程度越来越大，信息安全的重要性也在不断提升。所面临的安全问题越来越复杂，安全威胁也在飞速增长，同时网络带来前所未有的混合威胁的风险，如SQL注入攻击、跨站脚本攻击、DDoS攻击、网站挂马攻击、网络钓鱼攻击、网络病毒及恶意代码等，新型的应用层攻击给单位网络安全带来巨大威胁，严重影响单位网络安全，造成难以弥补的损失。
随着互联网的飞速发展，外部网络安全日趋严重，面对业务系统的信息安全攻击逐渐从网络层向应用层和系统层迁移。各类新型的黑客技术手段、计算机病毒、系统漏洞、应用程序漏洞以及网络中的不规范操作对单位业务系统均有可能造成严重的 威胁。在给内、外网用户提供优质服务的同时，也面临着各类的应用安全风险。
单位信息系统目前主要存在如下安全挑战：
    黑客攻击无孔不入，局域网缺乏有效的安全手段
      由于业务需要，单位需要与互联网进行连接，业务或办公数据在网络上传输，而网络设备、主机系统都不同程度存在一些安全漏洞，攻击者可以利用存在的漏洞进行破坏，可能引起数据破坏、业务中断甚至系统宕机，严重影响业务系统的正常运行。单位网站遭受黑客攻击、网页被篡改、网站无法访问、网站被挂马、遭用户投诉的概率越来越大。
    攻击方法日新月异，终端安全令人堪忧
      已经被攻破的内网主机中可能被植入木马或者其它恶意的程序，成为攻击者手中所控制的所谓“肉鸡”，攻击者可能以此作 为跳板进一步攻击内网其它机器，窃取商业机密，或者将其作为DDOS工具向外发送大量的攻击包，占用大量网络带宽。员工浏览嵌有木马或病毒的网页、收看带有恶意代码的邮件、随意使用U盘，都可能给攻击者带来可乘之机。
     网络安全风险很难被发现
      只有看到L2-7 层的攻击才能了解网络的整体安全状况，而基于组合方案（即部署了多种安全设备）的大多数用户没有 办法进行统一分析，也就无法快速定位安全问题的根源，同时也加大了安全运维的工作量。没有攻击并不意味着业务就不存在漏洞，一旦漏洞被利用就为时已晚。最近几年，大家都在谈论APT 攻击，而APT 攻击最令人头疼的就是它可以安静地潜伏在网络中，伺机行动，在没有窃取到机密信息之前，它会想尽一切办法将自己隐藏起来。所以，好的解决方案应该能够及时发现业务漏洞，防患于未然。同时，即使有大量的攻击也不意味着业务安全威胁很大，只有针对真实存在的业务漏洞进行的攻击才是有效的。看不到有效攻击的方案，就无法让您看到网络和业务的安全情况。
    传统的网络安全设备难以阻拦攻击

      防护技术不能存在短板，存在短板必然会被绕过，原有设备就形同虚设。传统的防火墙设备或者IPS 设备，只能针对网络层和传输层进行攻击防护，面对网络的第七层-应用层的各种攻击常常束手无策。只针对外部黑客对内网终端和服务器的 攻击进行防护，是远远不够的，如果终端和服务器主动向外发起的流量中存在攻击和泄密行为，也同样会带来很大危害。所以，流经网络的双向流量内容都需要进行检测，实时发现黑客针对内网的控制通道，阻断泄密的风险。
从分析看来，还有未知的安全隐患对我内部网络系统与应用系统带来的危害丝毫不比来自外网的小，在一定程度上更为频繁、破坏更为严重，因此，必须加强管理。
2.2、外部风险
由于Internet上资源的多样性、用户的复杂性，存在很多插件、威胁软件、采用密灌技术的网站、流氓网站、流氓软件等，使得网络用户在不知情情况下便感染病毒、受到攻击或其它安全威胁。因此，必须采用相应技术手段及设备防止这类威胁对我单位网络及信息系统的影响；同时，由于我单位网络接入到Internet，给外来黑客攻击、间谍软件提供了入侵机会，此类威胁将对今后的业务系统、关键数据造成巨大威胁，我们必须严加防范。
3、需求分析
根据以上的对当前安全现状的分析，我们提出以下应用需求：
 需要部署防火墙保证内外数据交换安全，并提供防病毒及应用程序过滤；
 在局域网内布置防病毒攻击；
 终端计算机管理方案（主要是端口和IP地址与机器码绑定管理）；
 上网带宽流量监控与内容过滤控制；
 未来涉及对公众提供对外资源服务，数据交换量较大，需要包含对外资源服务建设规划。
通过对应用需求、安全威胁分析，我们提出信息安全体系建设的总体需求及主要内容下如：
 改造网络出口，部署防火墙，保证数据交换安全；
 部署利谱第二代防火墙系统功能模块、开启应用程序过滤、内网身份认证；
 部署防毒墙、网络版杀毒软件，有效防止病毒和恶意软件的传播、感染；
 加强内网行为管理，通过软硬体系，构建全局安全网络和统一威胁管理；
 实现内网实名制上网，对上网用户进行身份认证；
 实现终端设备IP地址、MAC地址、交换机端口绑定，有效防范ARP欺骗、ARP病毒及攻击；
 实现基于应用的多策略的流量监控与控制；
 在提供对外资源服务时，构建服务器DMZ区、部署入侵检测系统、建设数据中心确保数据安全可靠。