随着云计算、Web2.0、移动互联网、物联网等新兴应用技术一起被广泛使用，企业面临日益增加的网络安全威胁，我国的网络安全形势变得日益严峻，Gartner在2009年白皮书中对定义NGFW的定义已无法覆盖细节技术需求时的认知已经明显不足，定义的下一代防火墙产品在国内的网络环境下并不能产生很好的防护效果。随着Internet接入的普及和带宽的增加，一方面员工上网条件得到改善，另一方面也给企业带来更高的网络使用危险性、复杂性和混乱性。互联网资源的滥用，给企业、政府、事业单位等各行业各组织带来了巨大的损失。无孔不入的病毒（尤其是木马、ARP欺骗等）、恶意软件、DOS攻击等仍然大肆泛滥，严重影响了企事业单位应用系统的运行和业务的正常运作；特别在针对内网安全方面（尤其是PC客户端准入安全检查）缺少专门的网络安全控制防护设备，无法查找和修复内网的安全隐患，从而无法有效的保护整个内部网络的安全性。所以企业需建立一套符合应用和用户识别、应用安全控制、内容安全防护、性能处理能力四个方面进行全方位网络安全防护的防火墙进行网络安全保障。

1、产品方案原则

可靠性：防火墙系统的可靠性包括内网安全可靠性、数据可靠性和单一设备可靠性三个方面。防火墙的可用性是通过冗余、高可用集群、应用与底层设备松耦合等特性来体现，从硬件设备冗余、链路冗余、应用容错等方面充分保证整体系统的可用性。

安全性：遵循国家电子政务安全等保标准，设计安全防护体系保证企业信息数据中心安全。保障网络安全、主机安全、应用安全、数据保安全、安全管理。

成熟性：从架构设计、软硬件选型和IT管理三个方面设计信息数据中心解决方案，采用经过大规模商用实践检验的架构方案和软硬件产品选型，采用符合《信息安全技术第二代防火墙安全技术要求》规范的IT管理方案，保障方案的成熟性。

可扩展性：支撑信息中心的资源需要根据业务应用工作负荷需求进行弹性伸缩，IT基础架构应与业务系统松耦合，这样，在业务系统进行容量扩展时，只需增加相应数量的IT硬件设备，即可实现系统的灵活扩展。

2、企业防火墙应用方案

中科网威深入解读公安部推出的GA/T1177-2014《信息安全技术第二代防火墙安全技术要求》的下一代防火墙标准，在赞同Gartner给出下一代防火墙的定义与观点的基础上，又针对应用和用户识别、应用安全控制、内容安全防护、性能处理能力四个方面推出的下一代防火墙产品进行了如下改进与与优化。

2.1、应用层安全防护

 中科网威下一代防火墙采用DPI的识别方式使得应用层协议可视化可控，可以根据应用的行为和特征实现对应用进行识别和控制，而不仅仅依赖于端口或标准协议，摆脱了传统设备只能通过IP地址或者五元组控制的粗粒度，即使加密过的数据流也能进行管控。 中科网威下一代防火墙可以识别700多种应用，识别上千种网络行为动作，还可以与多种认证系统（AD、LDAP、Radius等）无缝对接，自动识别出网络当中IP地址、MAC地址、用户身份对应的用户信息，并建立组织的用户分组结构；满足了普通互联网边界行为管控的要求。可以识别和控制丰富的内网应用，如迅雷P2P、RDP、Lotus Notes、RTX、Citrix、Oracle EBS、金蝶EAS、用友NC、U8、SAP、LDAP等，针对用户应用系统更新服务的诉求，中科网威下一代防火墙还可以精细识别Microsoft SHAREPOINT、奇虎360、Symantec、 Sogou、Kaspersky、金山毒霸、江民杀毒等软件更新，保障在安全管控严格的环境下，系统软件更新服务畅通无阻。通过应用的协议识别制定的二到七层的应用访问控制策略，可以为用户提供更加精细和直观化控制界面，在一个界面下完成多套设备的运维工作，提升工作效率。

2.2、WEB应用安全防护

中科网威下一代防火墙融合了漏洞防护、Web安全防护等多种安全技术，具备12000多条漏洞特征库、木马插件等恶意内容特征库、800多条Web应用威胁特征库，可以全面识别各种应用层和内容级别的各种安全威胁。提供URL过滤、文件过滤、ActiveX过滤、脚本过滤等多种WEB安全防护手段通过对应用流中的数据报文内容进行探测，从而确定数据报文的真正应用。

中科网威下一代防火墙WEB应用防护通过主动防御已知和未知攻击，实时阻断各种黑客攻击，如防SQL注入、XSS攻击、网站扫描、WEB SHELL、会话劫持攻击等。

SQL注入攻击产生的原因是由于在开发WEB应用时，没有对用户输入的数据做合法性检查和判断，用户在提交一段数据库查询代码，根据程序返回的结果，获得默写他想得知的数据，这就是所谓的SQL 注入。中科网威下一代防火墙通过高效的URL 过滤技术，过滤SQL注入的关键信息，从而有效的避免网站服务器受到的SQL注入攻击。跨站攻击产生的原理是攻击者通过向WEB页面里插入恶意HTML代码，从而达到特殊目的。中科网威下一代防火墙通过先进的数据包正则表达式匹配原理，可以准确地过滤数据包中包含的跨站式攻击的恶意代码，从而保护用户的WEB服务器安全。

2.3、应用带宽管理

    中科网威下一代防火墙内置专业流量管理以应用对象设置、用户对象设置、时间对象设置、带宽通道对象设置、用户自定义对象设置基础，通过应用控制、流量管理、内容过滤等策略，最大限度地满足用户在流量管理方面的不同需求，实现用户网络人性化的精确管理。专业流量管理产品满足了企业不同业务主次之分，系统分为0-7共8个QoS优先级控制策略，从而为指定的应用和通道提供差异化的影响级别。同时也可以为特定的实时应用，如视频会议、VOIP等，预留固定的带宽，保证实时应用的流畅使用。

2.4、IPS入侵防护

中科网威下一代防火墙支持12000多种流量异常特征库，并可以按优先级区分不同类型的漏洞攻击，按“高”，“中”，“低”区分；包括敏感信息泄露DOS攻击/尝试获取用户特权的攻击/尝试获取管理员特权的攻击/网络流量中发现可执行文件的注入/可疑关键字和可疑文件的注入/远程过程调用告警/网络木马程序注入/客户端使用可疑端口通信/可疑的网络扫描/篡改标准协议和非法事件的告警/潜在的web攻击/ICMP告警/异常内容告警/公司机密泄露/尝试用默认账号窃取信息等。

2.5、 网络病毒防护

中科网威下一代防火墙内置病毒库数量100,000+定期持续更新，基于流引擎病毒查杀技术，针对HTTP、FTP、SMTP、POP3、IMAP等协议进行病毒查杀。

采用流模式和启发式文件扫描技术，对利用 HTTP、SMTP、POP3、FTP、IM 等多种协议进行传播的病毒进行扫描，完成对木马病毒、蠕虫病毒、宏病毒、脚本病毒等的查杀，同时支持多线程并发控制、深层次压缩文件杀毒、病毒白名单等功能。 中科网威下一代防火墙将专业防病毒引擎和多核并行处理技术完美融合，实现高速病毒处理性能。

2.6、状态检测防火墙

支持线路的带宽叠加，充分利用多条Internet接入；

支持多线路的策略路由，智能选择更快的线路接入Internet；

支持三种工作模式（NAT模式、透明桥模式、路由模式）；

支持状态检测防火墙（基于IP/IP段/IP组、IP/MAC、PORT、时间控制等策略组合）；

支持关键字、文件类型、域名等内容过滤；

支持VLAN与静态路由；

3、防火墙应用方案优势

3.1更加细腻的应用安全防护
不断更新应用规则库，基于应用层，细腻控制识别上千种网络行为动作；精细识别奇虎360、Symantec、 Sogou、Kaspersky、金山毒霸、江民杀毒等软件更新，保障在安全管控严格的环境下，系统软件更新服务畅通无阻； 

3.2 WEB应用与服务器防护
融合了漏洞防护、Web安全防护等安全技术，具备12000多条漏洞特征库、木马插件等恶意内容特征库、1000多条Web应用威胁特征库，可以全面识别各种应用层和内容级别的安全威胁保障服务器安全； 

3.3深度IPS入侵防护
内置 2500 多条威胁特征库，深度防护远程扫描、暴力破解、缓存区溢出、蠕虫病毒、木马后门、SQL 注入、跨站脚本等各种网络及应用攻击，实时阻断各种黑客攻击，如防SQL注入、XSS攻击、网站扫描、WEB SHELL、会话劫持攻击等； 

3.4更强大病毒入侵防护
内置病毒库数量100,000+以上并定期持续更新，基于流引擎病毒查杀技术，采用流模式和启发式文件扫描技术，对利用 HTTP、SMTP、POP3、FTP、IM 等多种协议进行传播的病毒进行扫描，完成对木马病毒、蠕虫病毒、宏病毒、脚本病毒等的查杀。