第1章     需求概述

1.1        背景介绍

随着云计算、物联网技术的成熟，云计算开始大规模应用，越来越多的业务系统逐步向统一的数据中心集中，更多的用户通过统一的互联网出口来进行业务的访问。另一方面，许多时候为了提高整网安全性，也在进行统一互联网出口建设。在用户侧和数据中心侧发生的变化，都使互联网出口的建设由分散出口模式转变成为统一互联网出口模式。互联网出口建设模式的变化，给出口建设带来了很大的改变：

一方面，网络规模成倍增加。分散建设出口时，出口的用户局限于一个或者几个分支，用户数量有限，出口带宽也有限。然而在统一互联网出口之后，通过出口访问互联网的用户成倍增加，网络规模类似于城域网，出口带宽倍增。对于大型机构或公司，可达到10G甚至更高。集中的访问请求同时也使得出口的重要性和稳定性要求大大提高，一旦出现故障将造成大范围的影响。因此，统一互联网出口建设不但要提供更高的网络性能，同时还必须要保障不间断的网络服务，以满足高峰期用户的访问需求。

第2章    解决方案

2.1        对外发布业务防护

2.1.1    对外Web应用安全防护

下一代防火墙具备专业的Web应用防护能力，针对互联网出口对外发布业务可以提供安全防护功能主要有：

1. 1.        SQL注入，XSS攻击，Webshell文件上传，网站扫描，CSRF，文件包含攻击，目录遍历攻击，系统命令注入等OWASPTOP 10 Web安全威胁；

2. 2.        针对常见网站内容管理系统CMS的安全防护；

3. 3.        基于HTTP协议异常检测，缓冲区溢出检测等；

4. 4.        服务器版本信息隐藏；

5. 5.        Web弱口令检测以及口令暴力破解防护；

6. 6.        提供网站管理后台登录二次认证；

7. 1.2    对外服务底层漏洞防护

下一代防火墙可以在互联网出口为对外发布服务器的底层漏洞提供入侵防护功能，所发布的漏洞特征库数量超过4000条，通过CVE Compatible认证，做为微软MAPP合作计划伙伴，能够在第一时间获取到业界最新的漏洞信息，保证漏洞特征库的时效性和先进性。

2.2        实时漏洞分析，定位有效攻击

下一代防火墙提供的实时漏洞分析功能，可以根据经过设备的业务流量分析其中是否存在漏洞。

通过结合针对已知漏洞发起的攻击日志来定位对业务服务器能够真正产生威胁的有效攻击。

2.3        基于业务/用户的安全运维

面对数据大集中，多业务运维场景，下一代防火墙还提供强大的综合风险报表功能，首先能够帮助用户从当前发现的漏洞数量和检测到的攻击为网络整体安全情况进行一个风险评估，并给出当前网络安全环境的评级。

其次综合风险报表从业务和用户两个维度对进行详细分析，按照受攻击类型、漏洞类型和威胁类型进行统计分析，并根据每个业务对应的服务器IP进行针对性的安全分析，提供相应的服务安全说明，使得报表的可读性更高，方便用户从报告中分析出下一步的安全加固策略。

2.4        威胁情报与应急响应

随着互联网的蓬勃发展，国内外的黑客事件不断进入我们的视线，2014年的Bash破壳漏洞、心脏滴血漏洞等重大安全事件震惊了整个互联网，层出不穷的0Day漏洞以及各类安全事件盛行当今网络，严重威胁着企业的业务安全和数据安全。传统基于”防御”为核心的安全理念在面对新型攻击威胁的时候显示被动和力不从心，目前国际上新型的安全防护理念是以威胁情报的获取以及快速响应为发展方向，正因为如此，下一代防火墙推出了威胁情报预警与处置功能，专门设立了威胁情报预警与处置中心。该中心能够及时推送最受业界关注的热点安全事件，在安全事件爆发后的48小时内提供完整的0Day漏洞检测和防护方案，令用户可专注于自身业务，无需时刻关注互联网是否出现新的重大安全事件，并可通过威胁情报中心了解到近期的安全时势动态。当发生重大网络安全事件时，用户无需再为每台服务器、网络设备进行漏洞验证和补丁升级，威胁处置中心可自动对被保护对象进行扫描检测、对扫描发现的威胁提供一键防护，用户只需按动一键防护按钮，设备即可自动生成针对所有被发现的威胁的防护策略。

威胁预警与处置中心会将最新发现的漏洞威胁同步推送到设备端进行预警。

推送的预警信息中包含了对漏洞的检测工具和对应的攻击防御特征规则，用户可根据预警提示展开自查，并根据自查结果一键生成防护策略。

第3章     方案优势与价值

3.1          立体化的安全防护体系

整个网络的安全体系采用“事前、事中、事后”进行建设，以达到L2-L7的整体安全防护效果：

事前：利用下一代防火墙设备中的实时安全自检系统，能够实时的通过用户访问服务器资源的流量中发现及时发现服务器的漏洞，对业务服务器的安全状况进行实时的安全体检，及时告知管理员服务器的漏洞风险情况，防止真空期出现的同时结合风险评估报表、异常应用分布、异常流量分布等报表，让管理员充分了解网络安全短板，从而制定针对性的安全防护策略。

事中：不同于工作在L2-L4层的传统防火墙，下一代防火墙可以对全网流量进行双向深入数据内容层面的全面透析。在安全策略制定方面，区域别于传统防火墙五元组安全策略，第二代防火墙可对L2-L7层更多的元素（如，用户、应用类型、URL、数据内容等）制定双向的安全访问策略，使安全策略更精细、更有效，且满足业务的合规性；在安全防护能力方面，提升了传统的抗攻击的能力不仅能防护网络层的攻击，还能针对来源更广泛、攻击更容易、危害更大的应用层攻击进行防护，实现L2-L7层的安全防护。

利用下一代防火墙产品提供的病毒、木马、终端漏洞、Web入侵等各种L2-L7威胁的检测、防护，只需要一台设备就可以实现互联网的安全风险防范，减少了整体方案成本，减少单点故障。

事后：下一代防火墙具备的L2-7层的攻击防护技术，使防护技术不存在短板。不仅仅需要防护外部攻击，并能检查服务器/终端外发流量是否有风险，弥补了传统安全设备只防外不防内的漏洞，可检测服务器外发数据是否有泄密或篡改，也可检测互联网终端电脑是否被黑客控制。为终端+对外发布服务器的统一互联网出口提供更完整的安全保障

3.2        良好的风险感知体验

实时漏洞分析系统通过漏洞特征+攻击特征的方式，能够帮助用户发现针对业务系统的有效攻击。对于未知威胁和0day漏洞防护，通过云安全中心和威胁情报预警与处置中心，能够帮助用户在第一时间了解和应对未知风险，并通过综合安全风险报表，汇总业务端与用户端所遭受到的安全威胁，便于进行下一步的网络安全整改工作。