---

網康 下一代防火墻 NF-5000系列

---

一款可以全面應對應用層威脅的高性能防火墻

幫助用戶安全地開展業務并簡化用戶的網絡安全架構

---

背景需求

---

著計算機網絡的出現和互聯網的飛速發展，企業基于網絡的應用也在迅速增加，企業規模不斷擴大的同時，企業網絡的規模也在不斷增加?；诰W絡信息系統給企業的經營管理帶來了更大的經濟效益，但隨之而來的安全問題也在困擾著用戶。很多企業在不同地區建立了自己的分公司或分支機構，總部和分支之間互相連通成為一個更大的網絡，這樣一個網網相連的企業網在為企業提高效率、增強競爭力的同時，卻也面臨著更多更為復雜的網絡安全問題。
APT攻擊的發現比之前更困難，攻擊事件可能是在平?？磥碜畈恢匾陌踩录?，通常都會把它忽略掉，因為它都不是什么重要的事情?？墒撬鋵嵤欠e累地、慢慢地對企業造成威脅。因此，需要有專用的安全設備把這些看似無關緊要的安全事件整合起來，通過智能化的關聯分析幫助用戶判斷哪些可能是潛在的安全威脅。

---

產品優勢

---

領先的應用識別技術
憑借網康科技在應用識別和內容控制領域近十年的技術積累，實現了對近3000種網絡應用的識別，其中包含了300多種高風險應用，從各種維度對不同應用做出評價。

豐富的用戶識別類型
支持基于IP/MAC、計算機名、POP3、Proxy、LDAP、AD域、Radius、Portal進行認證，同時支持和多種認證系統聯動，實現單點認證。
先進的主動防御技術
基于行為分析感知僵尸主機，通過多維度的數據分析和多種類型日志的智能關聯集成，實現應用威脅的可視化，便于用戶提早發現網絡中潛在的威脅，并主動調整安全策略。
高性能的應用安全防護
采用網康獨有專利技術的多核加速轉發引擎，充分發揮硬件優勢，實現高性能的應用安全防護。
移動識別和管理
支持超過700種移動互聯網應用，覆蓋蘋果、安卓、塞班等多種移動平臺，涵蓋聊天、微博、視頻、地圖等多種主流應用類

---

功能價值

---

全方位應用層洞察與控制
企業內使用的應用已經不再是簡單的"黑"與"白"的區分，"灰色"應用大量存在。只有全方位和多維度的應用層洞察能力，才能保證企業對黑色應用和灰色應用的有效控制。

深度的應用洞察能力 
網康NGFW采用深度識別技術，有效解決了傳統防火墻和IPS設備無法識別的逃逸手段，例如端口跳變、代理、隧道技術和SSL加密等。使客戶有能力對各種應用進行識別、檢測和控制。
全面的用戶識別手段
網康NGFW能夠支持通過多種認證系統（MS AD、Radius、LDAP等）進行用戶認證和多種應用系統（POP3、SMTP、Kerberos等）的用戶識別，同時提供完善的用戶組織管理和導入功能。
精細的應用控制策略
不同于傳統防火墻的五元組訪問控制策略，網康NGFW可基于應用和用戶進行訪問策略控制。區別于傳統的允許和禁止的簡單手段，網康下一代防火墻還可以對策略內的流量進行阻塞、多維度的安全掃描以及精細的流量管理。
豐富的流量管理功能
網康NGFW提供了包括虛擬鏈路管理、多級流量通道管理、帶寬控制和借用、用戶帶寬平均分配等豐富的流量管理功能。在實現安全防護的同時保障了關鍵應用，提升帶寬價值。

---

一體化應用層威脅防護

---

網康NGFW通過應用的洞察能力保證對采用動態端口、隧道、代理和SSL加密等技術手段的應用的可見性，防止威脅逃逸，并通過基于應用的全方位安全檢測手段（入侵防御、防病毒、URL過濾等）來防御威脅。
防逃逸的入侵防御
網康NGFW基于深度應用識別，有效解決了傳統入侵防御技術無法應對端口逃逸帶來的威脅。提供漏洞、木馬、蠕蟲、后門、緩沖區溢出、掃描和SQL注入等多種攻擊或威脅方式的檢測和防御，支持7500條以上的威脅特征庫，并及時更新。
低時延的病毒檢測
網康NGFW基于流技術提供高效的病毒防護功能，流技術的低延遲效果，能給用戶保證良好的網絡使用體驗。支持對多種協議（HTTP、FTP、SMTP、POP3和IMAP等）流量和壓縮文件（gzip，zip，rar等）中病毒的查殺，提供近10萬條實時更新的病毒特征庫。
基于云的URL過濾
網康NGFW的URL過濾功能，采用了基于云的主動掃描預防和在線內容識別的方法，快速發現并識別可疑網站，能有效的防御掛馬網站、釣魚網站；識別已被植入木馬的傀儡主機，切斷其與外界的通信，消除風險；通過對高風險網站如色情、賭博等類別網站的控制，減少與掛馬、釣魚網站的接觸機會，降低風險。
一體化的安全策略
網康NGFW提供基于應用的一體化安全策略，給用戶帶來了基于應用的全面安全功能和簡單、靈活的安全策略配置。在傳統防火墻的五元組策略基礎上，增加了應用、用戶、內容的三個維度，一條策略可同時對應用、用戶和內容進行匹配，減少了策略配置條目、降低了維護成本。

---

智能化主動防御

---

網康NGFW的主動威脅防御體系提供基于行為分析、多種類型日志的智能關聯和威脅分析可視化的防護手段，幫助用戶有效發現網絡中存在的未知威脅并加以控制、及時調整安全策略增強安全防御。
應用威脅可視
網康NGFW根據應用的具體特性，例如"已知漏洞"、"技術特點"和"被攻擊利用情況"等，對應用進行安全風險劃分和識別。對"灰色"應用進行更精細的應用安全風險劃分和識別，能夠幫助用戶對"灰色"應用進行有效的安全風險認識和控制，安全地開展業務。 網康NGFW支持根據國家和地區繪制網絡流量和威脅統計分布圖，對去往和來源于不同國家和地區的流量與威脅做到可視化。 網康NGFW基于僵尸網絡的行為進行分析并發現網絡中的傀儡主機，用戶可以通過隔離控制，保障用戶網絡不被僵尸網絡滲透。
安全基線對比分析
網康NGFW不僅提供針對用戶網絡中應用及威脅的排名統計分析，還提供基線分析，能夠幫助用戶對比前一天、前一周或前一個月相同時段的應用和威脅情況。網康NGFW支持4個維度（新增、消失、增長明顯和減少明顯）的基線對比方法，幫助用戶直觀感受網絡中應用和威脅的變化，有效預測和防御潛在威脅。
威脅集成關聯分析
網康NGFW具備多維度的數據分析功能，如掃描到的威脅、URL分類過濾、文件類型過濾、源和目的用戶、地域國家的分布等。同時支持對每一種維度內的數據進行過濾再分析，為用戶提供數據廣度的關聯和深度的挖掘分析呈現，進而協助用戶分析出潛在的威脅，并能夠基于應用進行風險控制。 網康NGFW提供了流量日志、威脅日志、URL過濾日志、文件過濾日志等多種日志信息，支持從一種日志的內容鉆取到其他日志的相關內容。比如，從掃描到威脅的日志條目可以查看相關流量日志，并進一步查看URL過濾的日志內容。

---

完備的基礎防火墻特性

---

基于五元組的ACL
網康NGFW支持基于五元組（源地址、目的地址、源端口、目的端口、協議類型）的訪問控制。
傳統攻擊防護
網康NGFW可防護端口掃描、DDOS攻擊、SYN Flood、ICMP Flood、UDP Flood、TearDrop、LAND、WinNuke、Smurf、Fraggle和Ping Of Death等傳統攻擊方式。
基礎網絡功能
網康NGFW提供了多種地址轉換能力、靜態路由、基于IPsec的VPN、動態路由協議（RIP、OSPF）、HA、ALG等組網功能。

---

應用層數據防泄漏

---

數據流的單路徑處理引擎
網康NGFW在數據報文轉發過程中，從網絡L2-L7層僅作單次報文和協議的解析，報文依次經過轉發引擎、應用引擎和內容引擎，一次完成報文的單次網絡解析、應用用戶洞察和安全掃描等；網康NGFW提供統一策略框架，做到多種安全策略的一次匹配過程，同時在單路徑處理過程中，網絡L2-L7層數據信息可集成輸出并完整可視化。
高性能異構并行框架
網康NGFW基于Intel的高性能硬件平臺和其DPDK軟件技術，使用較少的核就可達到小包萬兆的報文高轉發能力。同時，網康NGFW通過異構并行架構，不但提供高性能的網絡轉發，而且提供高性能的應用和內容的并行處理，保證全方位安全特性開啟的高可用。

---

全網設備集中管理

---

通過軟、硬件一體的安全管理中心（Security Management Center，簡稱SMC），可同時管理2000臺下一代防火墻。SMC集設備集中管理、全網狀態監控以及全局威脅分析等功能于一體，可幫助已經部署了多臺網康下一代防火墻的用戶更好的降低管理成本、掌控全網狀態，并且在全網大數據挖掘的基礎上實現強大的威脅預警和分析能力。
配置下發方便安全，大幅降低管理成本
網絡管理者可首先在SMC提供的WebUI中預設需實施的安全策略、防護規則、VPN隧道等配置，然后通過SMC將配置一次性下發至全網（或部分）下一代防火墻設備中，實現全網設備的集中配置。同時，對于系統軟件、應用識別庫、威脅特征庫、URL分類庫等的更新，同樣可通過SMC集中推送的方式，智能完成全網設備的批量升級。
設備狀態盡收眼底，輕松掌控全網狀態
網康SMC提供的WebUI類似于下一代防火墻產品的可視化界面，操作、管理易上手，綜合全網所有設備提供的數據，以全局角度對數據進行統計和呈現，便于管理者直觀掌握全網狀態。同時可在SMC提供的"監控中心"中選擇某一臺（或一組）下一代防火墻設備，深入了解該設備的運行狀態。
應用威脅全網可視，智能預警未知風險
在全網數據收集的基礎上，SMC可在某時間軸上智能挖掘全網范圍內的流量變化趨勢，進而確認異常行為，主動預警威脅。當安全事件發生后，SMC以某一連接為維度，按照時間先后智能關聯與該連接相關的所有安全事件，可快速呈現攻擊過程和威脅全貌。

深度的應用洞察能力 
網康NGFW采用深度識別技術，有效解決了傳統防火墻和IPS設備無法識別的逃逸手段，例如端口跳變、代理、隧道技術和SSL加密等。使客戶有能力對各種應用進行識別、檢測和控制。
全面的用戶識別手段
網康NGFW能夠支持通過多種認證系統（MS AD、Radius、LDAP等）進行用戶認證和多種應用系統（POP3、SMTP、Kerberos等）的用戶識別，同時提供完善的用戶組織管理和導入功能。
精細的應用控制策略
不同于傳統防火墻的五元組訪問控制策略，網康NGFW可基于應用和用戶進行訪問策略控制。區別于傳統的允許和禁止的簡單手段，網康下一代防火墻還可以對策略內的流量進行阻塞、多維度的安全掃描以及精細的流量管理。
豐富的流量管理功能
網康NGFW提供了包括虛擬鏈路管理、多級流量通道管理、帶寬控制和借用、用戶帶寬平均分配等豐富的流量管理功能。在實現安全防護的同時保障了關鍵應用，提升帶寬價值。

---

一體化應用層威脅防護

---

網康NGFW通過應用的洞察能力保證對采用動態端口、隧道、代理和SSL加密等技術手段的應用的可見性，防止威脅逃逸，并通過基于應用的全方位安全檢測手段（入侵防御、防病毒、URL過濾等）來防御威脅。
防逃逸的入侵防御
網康NGFW基于深度應用識別，有效解決了傳統入侵防御技術無法應對端口逃逸帶來的威脅。提供漏洞、木馬、蠕蟲、后門、緩沖區溢出、掃描和SQL注入等多種攻擊或威脅方式的檢測和防御，支持7500條以上的威脅特征庫，并及時更新。
低時延的病毒檢測
網康NGFW基于流技術提供高效的病毒防護功能，流技術的低延遲效果，能給用戶保證良好的網絡使用體驗。支持對多種協議（HTTP、FTP、SMTP、POP3和IMAP等）流量和壓縮文件（gzip，zip，rar等）中病毒的查殺，提供近10萬條實時更新的病毒特征庫。
基于云的URL過濾
網康NGFW的URL過濾功能，采用了基于云的主動掃描預防和在線內容識別的方法，快速發現并識別可疑網站，能有效的防御掛馬網站、釣魚網站；識別已被植入木馬的傀儡主機，切斷其與外界的通信，消除風險；通過對高風險網站如色情、賭博等類別網站的控制，減少與掛馬、釣魚網站的接觸機會，降低風險。
一體化的安全策略
網康NGFW提供基于應用的一體化安全策略，給用戶帶來了基于應用的全面安全功能和簡單、靈活的安全策略配置。在傳統防火墻的五元組策略基礎上，增加了應用、用戶、內容的三個維度，一條策略可同時對應用、用戶和內容進行匹配，減少了策略配置條目、降低了維護成本。

---

智能化主動防御

---

網康NGFW的主動威脅防御體系提供基于行為分析、多種類型日志的智能關聯和威脅分析可視化的防護手段，幫助用戶有效發現網絡中存在的未知威脅并加以控制、及時調整安全策略增強安全防御。
應用威脅可視
網康NGFW根據應用的具體特性，例如"已知漏洞"、"技術特點"和"被攻擊利用情況"等，對應用進行安全風險劃分和識別。對"灰色"應用進行更精細的應用安全風險劃分和識別，能夠幫助用戶對"灰色"應用進行有效的安全風險認識和控制，安全地開展業務。 網康NGFW支持根據國家和地區繪制網絡流量和威脅統計分布圖，對去往和來源于不同國家和地區的流量與威脅做到可視化。 網康NGFW基于僵尸網絡的行為進行分析并發現網絡中的傀儡主機，用戶可以通過隔離控制，保障用戶網絡不被僵尸網絡滲透。
安全基線對比分析
網康NGFW不僅提供針對用戶網絡中應用及威脅的排名統計分析，還提供基線分析，能夠幫助用戶對比前一天、前一周或前一個月相同時段的應用和威脅情況。網康NGFW支持4個維度（新增、消失、增長明顯和減少明顯）的基線對比方法，幫助用戶直觀感受網絡中應用和威脅的變化，有效預測和防御潛在威脅。
威脅集成關聯分析
網康NGFW具備多維度的數據分析功能，如掃描到的威脅、URL分類過濾、文件類型過濾、源和目的用戶、地域國家的分布等。同時支持對每一種維度內的數據進行過濾再分析，為用戶提供數據廣度的關聯和深度的挖掘分析呈現，進而協助用戶分析出潛在的威脅，并能夠基于應用進行風險控制。 網康NGFW提供了流量日志、威脅日志、URL過濾日志、文件過濾日志等多種日志信息，支持從一種日志的內容鉆取到其他日志的相關內容。比如，從掃描到威脅的日志條目可以查看相關流量日志，并進一步查看URL過濾的日志內容。

---

完備的基礎防火墻特性

---

基于五元組的ACL
網康NGFW支持基于五元組（源地址、目的地址、源端口、目的端口、協議類型）的訪問控制。
傳統攻擊防護
網康NGFW可防護端口掃描、DDOS攻擊、SYN Flood、ICMP Flood、UDP Flood、TearDrop、LAND、WinNuke、Smurf、Fraggle和Ping Of Death等傳統攻擊方式。
基礎網絡功能
網康NGFW提供了多種地址轉換能力、靜態路由、基于IPsec的VPN、動態路由協議（RIP、OSPF）、HA、ALG等組網功能。

---

應用層數據防泄漏

---

數據流的單路徑處理引擎
網康NGFW在數據報文轉發過程中，從網絡L2-L7層僅作單次報文和協議的解析，報文依次經過轉發引擎、應用引擎和內容引擎，一次完成報文的單次網絡解析、應用用戶洞察和安全掃描等；網康NGFW提供統一策略框架，做到多種安全策略的一次匹配過程，同時在單路徑處理過程中，網絡L2-L7層數據信息可集成輸出并完整可視化。
高性能異構并行框架
網康NGFW基于Intel的高性能硬件平臺和其DPDK軟件技術，使用較少的核就可達到小包萬兆的報文高轉發能力。同時，網康NGFW通過異構并行架構，不但提供高性能的網絡轉發，而且提供高性能的應用和內容的并行處理，保證全方位安全特性開啟的高可用。

---

全網設備集中管理

---

通過軟、硬件一體的安全管理中心（Security Management Center，簡稱SMC），可同時管理2000臺下一代防火墻。SMC集設備集中管理、全網狀態監控以及全局威脅分析等功能于一體，可幫助已經部署了多臺網康下一代防火墻的用戶更好的降低管理成本、掌控全網狀態，并且在全網大數據挖掘的基礎上實現強大的威脅預警和分析能力。
配置下發方便安全，大幅降低管理成本
網絡管理者可首先在SMC提供的WebUI中預設需實施的安全策略、防護規則、VPN隧道等配置，然后通過SMC將配置一次性下發至全網（或部分）下一代防火墻設備中，實現全網設備的集中配置。同時，對于系統軟件、應用識別庫、威脅特征庫、URL分類庫等的更新，同樣可通過SMC集中推送的方式，智能完成全網設備的批量升級。
設備狀態盡收眼底，輕松掌控全網狀態
網康SMC提供的WebUI類似于下一代防火墻產品的可視化界面，操作、管理易上手，綜合全網所有設備提供的數據，以全局角度對數據進行統計和呈現，便于管理者直觀掌握全網狀態。同時可在SMC提供的"監控中心"中選擇某一臺（或一組）下一代防火墻設備，深入了解該設備的運行狀態。
應用威脅全網可視，智能預警未知風險
在全網數據收集的基礎上，SMC可在某時間軸上智能挖掘全網范圍內的流量變化趨勢，進而確認異常行為，主動預警威脅。當安全事件發生后，SMC以某一連接為維度，按照時間先后智能關聯與該連接相關的所有安全事件，可快速呈現攻擊過程和威脅全貌。