防火墻購買方案

北京（懷柔）量子偉業(yè)網(wǎng)絡升級-防火墻網(wǎng)絡負責人：陸思遠防火墻的作用：防火墻作為內部網(wǎng)與外部網(wǎng)之間的一種訪問控制設備，常常安裝在內部網(wǎng)和外部網(wǎng)交界點上。防火墻具有很好的網(wǎng)絡安全保護作用。入侵者必須首先穿越防火墻的安全防線，才能接觸目標計算機。你可以將防火墻配置成許多不同保護級別。高級別的保護可能會禁止一些服務，如視頻流等，但至少這是你自己的保護選擇。主要作用：（1）Internet防火墻可以防止Internet上的危險(病毒、資源盜用)傳播到網(wǎng)絡內部。（2）能強化安全策略；（3）能有效記錄Internet上的活動；（4）可限制暴露用戶點；（5）它是安全策略的檢查點。

軟件防火墻與硬件防火墻區(qū)別:硬件防火墻:系統(tǒng)是嵌入式的系統(tǒng)。一般開源的較多。硬件防火墻是通過硬件和軟件的組合來達到隔離內外部網(wǎng)絡的目的。

軟件防火墻:一般寄生在操作系統(tǒng)平臺。軟件防火墻是通過純軟件的的方式實現(xiàn)隔離內外部網(wǎng)絡的目的。硬件防火墻是流行趨勢，相比軟件防火墻除成本外很有優(yōu)勢。

1、性能優(yōu)勢。防火墻的性能對防火墻來說是至關重要的。它決定了每秒鐘通過防火墻的數(shù)據(jù)流量。單位是Bps，從幾十M到幾百M不等，還有千兆防火墻甚至達到幾G的防火墻。而軟件防火墻則不可能達到如此高的速率。硬件防火墻是通過硬件實現(xiàn)的功能，所以效率高，其次因為它本身就是專門為了防火墻這一個任務設計的，內核針對性很強，所以在抗攻擊能力比軟件防火墻高很多。

2、CPU占用率的優(yōu)勢。硬件防火墻的CPU占用率當然是0了，而軟件防火墻就不同了，如果處于節(jié)約成本的考慮將防火墻軟件安裝在提供服務的主機上，當數(shù)據(jù)流量較大時，CPU占用率將是主機的殺手，將拖跨主機。

3、售后支持。硬件防火墻廠家會對防火墻產(chǎn)品有跟蹤的服務支持，而軟件防火墻的用戶能得到這種機會的相對較少，而且廠家也不會在軟件防火墻上下太大的功夫和研發(fā)經(jīng)費。

網(wǎng)絡現(xiàn)狀:懷柔量子偉業(yè)分支無法有效抵御來自公網(wǎng)的網(wǎng)絡攻擊，出口流量基本透明，公網(wǎng)指一條去網(wǎng)本局域網(wǎng)13網(wǎng)段的路由就能訪問13網(wǎng)段的pc(只有13網(wǎng)段的地址進行了ip地址映射)在公網(wǎng)傳輸?shù)臄?shù)據(jù)基本上是透明的，如果有人進行嵌入式抓包（在公網(wǎng)設備上開啟一塊buffer進行持續(xù)抓包可進行數(shù)據(jù)捕獲。無法進行對流量的控制可監(jiān)管。沒有更詳細的訪問控制策略，無法防止公網(wǎng)上的網(wǎng)絡病毒，無法做到vpn遠程互聯(lián)下一代華為防火墻USG6320產(chǎn)品外觀規(guī)格參數(shù)特點經(jīng)濟實惠（6000RMB）適合中小型企業(yè)一機多用，全面防護1產(chǎn)品詳細功能提供精準的訪問控制統(tǒng)防火墻主要通過端口和IP進行訪問控制，下一代防火墻的核心功能依然是訪問控制。USG6000在控制的維度和精細程度上都有很大的提高：一體化防護：從應用、用戶、內容、時間、威脅、位置6個維度進行一體化的管控和防御。內容層的防御與應用識別深度結合，一體化處理。例如：識別出Oracle的流量，進而針對性地進行對應的入侵防御，效率更高，誤報更少?；趹茫哼\用多種技術手段，準確識別包括移動應用及Web應用內的6000+應用協(xié)議及應用的不同功能，繼而進行訪問控制和業(yè)務加速。例如：區(qū)分微信的語音和文字后采取不同的控制策略?；谟脩簦和ㄟ^Radius、LDAP、AD等8種用戶識別手段集成已有用戶認證系統(tǒng)簡化管理?；谟脩暨M行訪問控制、QoS管理和深度防護。基于位置：與全球位置信息結合，識別流量發(fā)起的位置信息；掌控應用和攻擊發(fā)起的位置，第一時間發(fā)現(xiàn)網(wǎng)絡異常情況。根據(jù)位置信息可以實現(xiàn)對不同區(qū)域訪問流量的差異化控制。支持根據(jù)IP自定義位置

全面的安全防護越來越多的信息資產(chǎn)連接到了互聯(lián)網(wǎng)上，網(wǎng)絡攻擊和信息竊取形成巨大的產(chǎn)業(yè)鏈，這對下一代防火墻的防護范圍提出了更高要求。USG6000具備全面的防護功能：一機多能：集傳統(tǒng)防火墻、VPN、入侵防御、防病毒、數(shù)據(jù)防泄漏、帶寬管理、上網(wǎng)行為管理等功能于一身，簡化部署，提高管理效率。入侵防護（IPS）：超過3500+漏洞特征的攻擊檢測和防御。支持Web攻擊識別和防護，如跨站腳本攻擊、SQL注入攻擊等；防病毒（AV）：高性能病毒引擎，可防護500萬種以上的病毒和木馬，病毒特征庫每日更新；數(shù)據(jù)防泄漏：對傳輸?shù)奈募蛢热葸M行識別過濾?？勺R別120+種常見文件類型，防止通過修改后綴名的病毒攻擊。能對Word、Excel、PPT、PDF、RAR等30+文件進行還原和內容過濾，防止企業(yè)關鍵信息通過文件泄露。SSL解密：作為代理，可對SSL加密流量進行應用層安全防護，如IPS、AV、數(shù)據(jù)防泄漏、URL過濾等。Anti-DDoS：可以識別和防范SYNflood、UDPflood等10+種DDoS攻擊，識別500多萬種病毒。上網(wǎng)行為管理：采用基于云的URL分類過濾，預定義的URL分類庫已超過8500萬，阻止員工訪問惡意網(wǎng)站帶來的威脅。并可對員工的發(fā)帖、FTP等上網(wǎng)行為進行控制?？蓪ι暇W(wǎng)記錄進行審計。安全互聯(lián)：豐富的VPN特性，確保企業(yè)總部和分支間高可靠安全互聯(lián)。支持IPSecVPN、SSLVPN、L2TPVPN、MPLSVPN、GRE等；QoS管理：基于應用靈活的管理流量帶寬的上限和下限，可基于應用進行策略路由和QoS標簽著色。支持對URL分類的QoS標簽著色，例如：優(yōu)先轉發(fā)對財經(jīng)類網(wǎng)站的訪問。負載均衡：支持服務器間的負載均衡。對多出口場景，可按照鏈路質量、鏈路帶寬比例、鏈路權重基于應用進行負載均衡。虛擬化：支持多種安全業(yè)務的虛擬化，包括防火墻、入侵防御、反病毒、VPN等。不同用戶可在同一臺物理設備上進行隔離的個性化管理。

2015年網(wǎng)絡安全發(fā)展趨勢一、數(shù)據(jù)安全成為新一代信息安全體系的主要特征數(shù)據(jù)安全經(jīng)過多年的發(fā)展醞釀，已經(jīng)逐步得到用戶認可和重視。這一方面源于移動、云計算和大數(shù)據(jù)的快速發(fā)展，用戶信息化、智能化程度明顯提高，繼而推動數(shù)據(jù)集中化趨勢，數(shù)據(jù)成為用戶信息的核心資產(chǎn)，數(shù)據(jù)安全自然成為信息安全的高地;另一方面，隨著APT等新型攻擊的出現(xiàn)，圍繞滲透、接觸數(shù)據(jù)核心資產(chǎn)的網(wǎng)絡路徑窮舉法捉襟見肘，用戶意識到傳統(tǒng)的系統(tǒng)安全、邊界安全將無法防衛(wèi)以數(shù)據(jù)竊取為主要目的的攻擊行為，必須創(chuàng)新數(shù)據(jù)安全防御才能應對云時代、移動互聯(lián)網(wǎng)時代的IT新變化。目前一些具有創(chuàng)新意識的用戶已經(jīng)著手規(guī)劃“數(shù)據(jù)安全體系”，作為信息安全體系中的新重點來進行建設，這些行動也將有利于解決云計算、移動互聯(lián)網(wǎng)帶來的系統(tǒng)邊界模糊化導致的安全防護難題。二、加密技術作為數(shù)據(jù)安全基礎技術得到用戶更廣泛接受2014，信息泄密事件愈演愈烈，金融、運營商、電商等個人信息數(shù)據(jù)最匯集的行業(yè)泄密事件曝光度越高，無論企業(yè)還是個人，數(shù)據(jù)安全都成為焦點問題。而數(shù)據(jù)加密技術是最基本的安全技術，被譽為信息安全的核心，也是保護數(shù)據(jù)傳輸和存儲安全的惟一實用的方法和最重要的防線。隨著BYOD普及，云計算、大數(shù)據(jù)的應用，新時代數(shù)據(jù)安全也納入到企業(yè)數(shù)據(jù)保護范疇。特別是在國家網(wǎng)絡戰(zhàn)爭時期，自主可控的加密技術和產(chǎn)品更受到推崇。明朝萬達以多年自主研發(fā)的數(shù)據(jù)加解密技術為核心，以國密算法并兼容國際主流標準加解密算法為基礎，實現(xiàn)本地存儲數(shù)據(jù)加密、移動存儲數(shù)據(jù)加密、文檔加密、郵件加密、業(yè)務應用數(shù)據(jù)加密和數(shù)據(jù)傳輸加密等豐富的加密功能，保障企業(yè)數(shù)據(jù)全生命周期安全，統(tǒng)一管理PC終端、云桌面及虛擬化終端、移動智能設備和物聯(lián)網(wǎng)設備等各種終端，有效應對企業(yè)IT架構的快速變革與延伸，構建全IT架構統(tǒng)一管理的數(shù)據(jù)安全體系。三、數(shù)據(jù)安全建設成為助推信息安全與應用系統(tǒng)融合的發(fā)動機面對現(xiàn)今復雜的安全形勢，傳統(tǒng)的安全解決方案已經(jīng)無法滿足，安全不再是一個產(chǎn)品或者幾個產(chǎn)品的組合，而是一整套思路、方法論以及認知。今日，國家政府、企事業(yè)單位嘗試不用的業(yè)務創(chuàng)新推動企業(yè)發(fā)展，隨之搭建了與之對應的業(yè)務系統(tǒng)支撐業(yè)務流程，數(shù)據(jù)安全問題卻成為影響應用系統(tǒng)建設與發(fā)展的一大困擾，企業(yè)都擔憂數(shù)據(jù)在應用過程中被泄露。只有從實際業(yè)務需求出發(fā)，建設適應新形式新技術的信息安全體系才能推動業(yè)務發(fā)展。明朝萬達聚焦數(shù)據(jù)安全，有的放矢的為企業(yè)客戶重筑數(shù)據(jù)安全防御之道，保障業(yè)務數(shù)據(jù)安全，維護業(yè)務安全發(fā)展，通過數(shù)據(jù)安全建設實現(xiàn)原有信息安全與應用系統(tǒng)的高耦合。四、數(shù)據(jù)安全納入主流行業(yè)信息安全標準體系中‘棱鏡門’和‘RSA后門’事件的發(fā)生，伴隨國家禁采win8、禁用賽門鐵克數(shù)據(jù)防泄漏產(chǎn)品等政策的提出，信息安全受到政府及重點行業(yè)前所未有的重視。與此同時，千萬級數(shù)據(jù)泄露的安全事件逐年遞增，涉事范圍覆蓋了軍事、經(jīng)濟等重要領域，還包括發(fā)展迅速的互聯(lián)網(wǎng)產(chǎn)業(yè)，自主可控的安全措施大勢所趨。2014，政府、金融等領域信息安全監(jiān)管標準相繼試點出臺，雖然還有待完善，但已經(jīng)顯露出其嚴肅的態(tài)度。2015年將邁入信息安全建設的高峰期，而數(shù)據(jù)是信息保護的核心，特別是政府、金融、互聯(lián)網(wǎng)等主流行業(yè)數(shù)據(jù)安全建設勢在必行，數(shù)據(jù)安全標準的建設也將應運而起。五、歷經(jīng)2014年行業(yè)整合，數(shù)據(jù)安全品牌集中度顯著提高。2014年，國內安全產(chǎn)業(yè)進行了大范圍的并購