摘要: 在网络安全的传统概念中,安全设备需要成体系的部署才能保障企业网的安全。在传统的网络安全架构中,一般都是需要防火墙、入侵防御、防病毒、信息审计、上网行为管理以及流量控制等设备配合使用,才能构成完备的安全防护体系。搭建这样完备的安防体系显然花费不菲,甚至可以说是企...
在网络安全的传统概念中,安全设备需要成体系的部署才能保障企业网的安全。在传统的网络安全架构中,一般都是需要防火墙、入侵防御、防病毒、信息审计、上网行为管理以及流量控制等设备配合使用,才能构成完备的安全防护体系。搭建这样完备的安防体系显然花费不菲,甚至可以说是企业网一个沉重的负担。而且,众多安全设备的管理和配置维护也是一个令很多企业网安全管理员头疼的问题。
如果一个设备能把众多网络安全设备的功能集成在一起,实现“一个顶多个”的效果,那么对于用户来说就达到了一站式采购的效果。既能节省经费,更重要的是它减少了单点故障,能大大提高管理维护效率,这个全能选手就是网康推出下一代防火墙NGFW2.0,它在一个设备中集成了传统防火墙、入侵防御、防病毒、数据防泄漏、信息审计、上网行为管理、VPN以及流量控制等多种安全功能,能够应对网络入侵、病毒木马、僵尸网络、数据泄漏等多种安全威胁。
我们在学生机房互联网的网络环境中试用了网康NF S320-A下一代防火墙,试用网络环境互联网出口带宽为100M,上网计算机数量为1000台。我们在试用过程中,着重测试了我们最关注的防病毒、网址过滤、文件过滤、数据过滤、流量控制等功能。
图1 网康NF S320-A防火墙
快捷方便的部署方式
网康下一代防火墙部署方式非常灵活,主要分五种模式:虚拟线模式和、Vlan模式、网关模式、NAT模式和镜像模式。我们在试用NF S320-A过程中采用了VLAN模式下的透明网络方式,部署非常便捷而且迅速,实现了不修改网络拓扑结构、不修改用户网络配置且不需要在客户桌面计算机上安装任何软件。
一目了然的监控和数据分析用户界面
网康NF S320-A防火墙的系统的监控页面非常直观,而且作为登录系统界面的首页面进行展示,主要用来监控网络流量中各种应用层协议的排名、IP排名和接口流速,传统防火墙只能分析出TCP/IP网络中传统协议的流量情况,网康NF S320-A防火墙能够识别到网络第7层的流量,分析出类似迅雷、BT以及电驴等应用层协议的流量统计信息并能进行流量控制。监控页面还能显示最近1小时的威胁、阻断的网址和告警信息。另外,通过应用分析界面显示用户在不同时间段的不同应用、不同网址类别、遭受威胁及数据内容和文件过滤的整体统计信息。而内置数据中心页面能提供非常详细的系统日志及对应用流量的详细统计信息等,这点比传统防火墙强大很多,传统防火墙基本上只有很弱的数据分析和查询功能,而网康下一代防火墙中内建的数据中心功能非常强大,不仅能查询非常详细的历史日志信息,还能监控当前建立的会话连接情况,网络流速以及在线用户情况。
图2 防火墙系统监控和应用分析页面
灵活高效的安全策略控制
网康NF S320-A防火墙中安全控制策略无疑是个最大的亮点,在如图3所示的页面中,把网康下一代防火墙中多项安全控制功能都集成到了这一个策略控制窗口中。在传统防火墙基于源地址、目标地址和服务协议控制的基础上,增添了应用层的控制,可以直接控制如网络游戏、股票软件、网络视频、IM软件等应用层的流量。而且能基于时间策略进行控制,例如我们学生机房中在晚上高峰时间段19点到22点之间,因为同时上网人数多,流量大,所以需要限制BT和迅雷流量的使用,而在上课时间段,又需要封堵网络游戏的应用流量,基于时间的策略就非常便于我们进行诸如此类的控制。在安全控制策略的界面右边,就是网康下一代防火墙中具有最大价值的“防病毒”、“防漏洞”、“防间谍软件”、“网址过滤”、“文件过滤”和“数据过滤”的配置选项。
图3 在安全控制策略中启用各种安全特性
病毒实时扫描防护:网康NF S320-A防火墙能针对5种流量(HTTP、FTP、SMTP、POP3?和IMAP4)中的文件进行病毒文件扫描。其防护动作可以设置为封堵、告警和放行。病毒库可以选择本地病毒库和云查杀的方式,病毒库支持实时更新,从而实现在网络入口处就将病毒直接拦截。
防漏洞和反间谍软件保安全:防漏洞和反间谍软都属于入侵防御(IPS)的功能。漏洞防护能够针对僵尸程序、数据库以及WEB服务器等19大类漏洞攻击进行防护,保护企业网内部计算机或者服务器不受到此类漏洞攻击。另外,网康NGFW还支持识别近500种恶意软件。
网址过滤精确控制:网址过滤是网康公司的看家本领,网康积累了业界口碑很好的网址分类库,基于这个网址分类库,可以对用户访问的网址类别进行控制,防火墙会采用网康特有的RACE技术对网址所属分类进行查找,并且采取相应的动作。另外,还可以设置黑白名单直接加以用户配置。我们在试用中按照学校育人的政策对学生不适合访问的赌博、暴力等网址进行了封堵,如图4所示。
图4 网址过滤
文件过滤防信息泄露:当今网络中最具价值的是数据,数据一旦泄露,将很有可能会给学校带来不良的社会影响。在网康的下一代防火墙中新增加了文件过滤功能,能够指定相应应用包含的文件不能被传输到企业网之外。如图5所示,在策略中指定了禁止使用电子邮件、IM聊天工具以及HTTP方式和代理上传DOC和DOCX等指定类型文件,下载不受到任何影响。这个功能对于数据疑泄密有很大的预防作用,有时候,一些重要文档就是在聊天过程中有意无意被发送出去共享,造成了内部信息泄露。文件过滤的另外一个功能就是禁止用户下载指定类型的文件,如未知的exe程序,避免造成系统不稳定或者木马入侵。
图5 文件过滤
数据过滤终极保护企业敏感信息:本次试用中,我们对网康下一代防火墙的数据过滤功能非常感兴趣,它在文件过滤的基础上增加了关键字匹配,当传输出去的文件中匹配指定的关键字之后,才会触发报警或者阻断操作,而且能设置阈值进行控制,例如当匹配关键字库中的1个关键字就报警,如果匹配到了关键字列表中的2个关键字后就实施阻断,如图6所示。关键字对象可以在“系统配置”页面进行配置和维护,极大方便了管理员对关键字进行管理。这个功能根据用户的具体情况加以适当配置,结合文件过滤功能,就可以很好的对信息泄露进行预防,并且个人认为,这样的数据防泄漏功能,比在电脑上安装客户端执行复杂的加密要使用的多,并且对于我们这样的单位已经非常有效了。
图6 数据过滤
试用结论:网康下一代防火墙在一个设备中集成了传统防火墙、入侵防御、防病毒、数据防泄漏、信息审计、上网行为管理等安全功能,而且具备流量控制和VPN的能力,是一个网络安全多面手,在网络中部署能够大大提高网络的安全性,其部署方式方便快捷,系统运行稳定,在我单位上线后,无重启稳定运行了38天,没有发生一次因为防火墙的网络故障。网康下一代防火墙中的网址过滤、文件过滤、数据过滤等新功能和其稳定高效的性能给我们留下了深刻的印象。
作者:装甲兵工程学院陈 维义 金晶
原文标题:深层次透视企业网安全的全能守门神——网康下一代防火墙试用手记
