下一代防火墙方案模版深信服全网安全监测解决方案Word格式文档下载.docx

下一代防火墙方案模版深信服全网安全监测解决方案Word格式文档下载.docx

《下一代防火墙方案模版深信服全网安全监测解决方案Word格式文档下载.docx》由会员分享，可在线阅读，更多相关《下一代防火墙方案模版深信服全网安全监测解决方案Word格式文档下载.docx（9页珍藏版）》请在冰豆网上搜索。

2.需求分析

2.1.基础需求

2.1.1.用户访问无控制，安全不可控

在广域网环境下分支机构的各类用户对互联网或数据数据中心经常仅具有一部分的访问权限，而在实际网络中因仅仅解决了基础网络的使用，导致很多用户可以对互联网或数据中心随意进行访问。

最终使得各分支与总部没有实现有效的边界访问控制，无法对用户的访问行为进行有效的管理与审计。

2.1.2.无用数据占用带宽，影响业务运行

在用户访问互联网或数据中心时，经常会产生大量的非关键业务流量或垃圾流量占用有限的宽带资源。

这样的情况严重了影响关键业务的正常运行，那么我们应该如何保证数据流在广域网中按业务的重要程度进行不同优先级的调度？

2.2.安全需求

2.2.1.网络欺诈泛滥，员工遭受损失

互联网发展越来越快，人们对互联网的依赖性越来越强，网上购物、数据存储、信息查询等等业务应用不断向互联网端迁移，这也使得了攻击者可以通过互联网获取想要的一切。

而随着越累越多的黑客察觉到了其中的利益后，各种钓鱼网站、网络欺诈便开始变得层出不穷。

网络欺诈的泛滥直接导致了各类用户的经济损失、数据泄露，而各分支机构往往安全防护薄弱、员工安全意识低，最终致使网络欺诈行为屡获成功。

2.2.2.僵木蠕隐蔽性强，终端大量失陷

大量的网络攻击往往都是通过僵木蠕的传播来实现的，而对于分支机构的终端来说从互联网端下载的参考资料、办公软件等数据便是主要的威胁来源。

为了更易感染终端，僵木蠕等恶意流量往往与参考资料、办公软件等进行捆绑，诱导用户下载执行从而感染终端实现后续目的，而分支机构边界的薄弱也就促成了恶意流量在整个广域网中肆意泛滥。

2.2.3.缺乏持续检测，失陷主机成为攻击跳板

当终端感染僵木蠕之后，往往会被攻击者控制成为僵尸主机或攻击跳板，此类失陷主机也是进行APT攻击或更加深入攻击的首要条件。

失陷主机在网络中往往隐藏很深，可能通过多种途径实现传播感染或对外通讯，最终达到破坏窃取等目的。

而现有的网络中，哪怕存在了一定的边界防护设备，也很难发现失陷主机。

主要原因便是失陷主机行为利用了大多数防护设备的逻辑漏洞，最终导致失陷主机在网络中成为万恶之源。

2.3.管理需求

2.3.1.安全状况无法快速查看，缺乏全网了解

在广域网环境下，分支网络的安全状况往往无法让运维人员统一快速的查看，这也造成了很多问题由于发现不及时造成处理延误，也会带来更大的损失。

同时各分支机构碎片化的数据，也导致了运维人员无法有效的了解到全网的安全状况，无法对广域网整体进行安全分析做不到全局的把控，这些问题都是我们对安全状况缺乏了解造成的。

2.3.2.分支机构安全不便管理，风险不可控

缺乏统一管理

大量的分支机构往往会给运维工作带来繁重的工作量，每一个分支都需要进行单独的配置即影响工作效率，又十分耗费人力。

无法独立运营

分支机构的运维人员往往是其他岗位人员的兼职，或是同时兼顾网络、安全、系统、应用等多方面的工作，在安全能力方面缺乏专业知识，对于安全设备的运维工作往往力不从心。

3.深信服解决方案

在分支环境下，为了满足以上大量的基础需求、安全需求及管理需求往往需要几类安全设备并结合统一管理的方式来实现，这样的网络架构对于分支来说同样会增加管理难度和采购费用。

深信服解决方案依靠下一代防火墙独特的融合安全的能力为用户在分支边界提供简单有效的解决方案，在实现各项需求的同时降低管理难度及采购成本。

基于客户情况添加拓扑描述

建设后拓扑

3.1.完善基础网络

3.1.1.精细化访问控制，安全可管可控

在各分支机构的边界，深信服下一代防火墙通过对各类用户权限的区分，各分支机构的不同访问需求，可以进行精确的访问控制。

通过对终端用户、分支机构不同的权限划分保障网络受控有序的运行。

在此可添加基于用户情况的访问关系描述。

通过对全网进行访问控制、明确权限划分可以避免越权访问、非法访问等情况发生，减少安全事件发生概率。

3.1.2.智能流量管理，保障业务畅通

为保障关键业务正常运营，同时让分支用户能够有更好的上网体验，深信服下一代防火墙能帮助管理者透彻了解组织当前、历史带宽资源使用情况，并据此制定带宽管理策略，验证策略有效性。

不但可以在工作时间保障核心用户、核心业务所需带宽，限制无关业务对资源的占用，亦可以在带宽空闲时实现动态分配，以实现资源的充分利用。

基于不同时间段、不同对象、不同应用的管道式流控，能有效保障用户的上网体验，保障网络的稳定性。

3.2.网络访问全程保护

对于现今的网络安全防护，如果仅仅依靠单项单类别的防护方式很难实现完整的防御效果。

为了更好的进行整体安全防护，通过对用户对互联网的访问行为进行分析，并结合现行的攻击方式针对用户与互联网数据包的交互过程进行了全程保护。

3.2.1.封堵风险访问，避免损失

风险访问往往是终端安全的第一道关卡，在互联网访问的过程中访问一个有风险的网站可能带来的风险不仅是单次的经济损失，也可能导致终端受控造成更大损失的根本原因，所以封堵终端的风险访问便可以有效的降低终端安全风险。

深信服建立了业内领先的大数据威胁情报分析平台，该平台汇集了国内外多个安全机构的的威胁情报数据，通过自主研发的数据清洗技术，形成高效准确的威胁情报库。

其情报来源如下：

●国内外数十个知名的安全机构，如：

CNVD、CNNVD、Virustotal、Threatcloud、Malware、Abuse等；

●深信服在线的近万台安全设备上报的安全威胁情报；

●深信服安全云检测平台、安全服务团队监测获得的海量威胁情报；

其中，仅从Virustotal一家安全机构，每天可以获取20G以上的威胁情报。

通过海量的威胁情报，能够更加精准的发现威胁，更好的保护终端上网安全。

3.2.2.僵木蠕一次清理，保障终端安全

对于现行网络中的恶意流量，深信服下一代防火墙也可以实现有效阻断，通过阻断恶意流量的下载避免终端受控，减少分支机构中僵木蠕泛滥、主机失陷的风险。

已知威胁

深信服下一代防火墙采用流模式和启发式文件扫描技术，可对HTTP、SMTP、POP3、FTP等多种协议类型的近百万种病毒进行查杀，包括木马、蠕虫、宏病毒、脚本病毒等，同时可对多线程并发、深层次压缩文件等进行有效控制和查杀。

未知威胁

深信服下一代防火墙可以与云端沙盒进行联动，在发现未知威胁时可将流量实时上报到云端，通过云端沙盒进行虚拟运营检测沙盒的环境变化来实现未知威胁的识别。

在沙箱环境下，通过预定义的环境对未知流量进行虚拟运行，沙盒会监控CPU/内存变化、注册表变化、网络连接行为、程序异常改动等情况来进行整体分析并提供分析结果进行最终结果的确认，然后再将策略下发到下一代防火墙进行更新实现阻断。

同时每一台在线设备收集的未知威胁的特征结果也会同步到其他在线设备上，实现所有设备的威胁情报共享。

3.2.3.异常行为持续检测，根除安全隐患

分支机构的环境下往往缺乏管理制度，所以威胁可能来自多个层面，仅仅依靠边界防御有时并不能防御所有的风险，仍然可能由于移动介质、电脑私用等问题为局域网带来安全风险。

为了避免此类问题的发生、避免更大的损失，尽早发现此类失陷主机的异常行为，尽早排除隐患就成为了第一要务。

深信服下一代防火墙在分支机构出口的部署，可以快速有效的发现局域网环境下失陷主机的异常行为，通过多个维度的分析精准定位问题。

同时依照行为的异常级别对失陷主机进行分级分类，帮助运维人员快速了解原因便可基于自身情况进行问题处理。

3.3.全网可视，简化管理

3.3.1.数据集中分析，大屏清晰展示

为了避免广域网环境下运维人员无法快速了解整体安全状况带来更大的安全风险，深信服提供了全网安全态势感知的解决方案，通过对各分支机构的数据进行收集分析，在总部进行全面的数据展示。

运维人员可以通过风险排名、地图定位快速发现存在安全隐患的区域，并且可以通过全网安全事件的趋势变化进行相应的处理工作，避免问题发现滞后导致的损失。

3.3.2.全网统一管理，分支独立运营

在广域网环境下，整体策略的统一配置更新、各分支的精细化处理一直是最需要解决的问题，也是最基础的问题。

深信服通过SC可以实现所有分支边界的下一代防火墙的统一管控，对于策略的更新部署可以在总部快速有效的进行。

而对于分支机构运维人员对安全设备可能存在的不精通、不了解等问题也有相应的解决方案。

我们通过每台下一代防火墙的运营中心，可以有效的帮助分支机构的运维人员处理自身的安全事件，同时根据自身情况基于自动化的策略生成进行策略的更新。