下一代防火墙SURF-NGSA解决方案(企业) - 解决方案 - 任子行:网络空间数据治理专家
下一代防火墙SURF-NGSA解决方案(企业)

方案概述

随着网络的发展,越来越多的企业利用发达的网络将自己的分支机构连接起来,建立可以互连互通的高效业务网络。也打破了原来只有内部网络才可以进行业务处理的限制,使得员工可以在互联网的任何接点上处理业务。在便利性提高的同时,安全性也面临着前所未有的考验。由于互联网本身的不安全因素,分支机构网络管理的薄弱,移动客户端人员网络安全意识的淡薄,给整个企业网络带来了很多的风险和漏洞。在这种背景下,机构互连区域的安全性问题就显得尤为重要。
方案价值
1. 多种安全功能融为一体,提供深度安全防护
提供传统防火墙功能,为用户各安全区域提供更加有针对性、细粒度的安全防范策略。
在网络边缘提供病毒、木马、后门程序的过滤,与桌面杀毒软件形成呼应,为终端用户提供更为安全的网络环境。
阻断病毒感染源头,防止病毒的反复感染,相互下载和快速更新。
深度检测网络中的数据包,特别是来自互联网的访问行为,通过特征匹配、行为分析等手段,挖掘其中可能存在的安全隐患,并对异常和非法的访问行为进行阻断。
2. 实现精确的应用行为管控,有效利用有限的网络资源
实现基于应用的访问控制,提高访问控制的精度,帮助企业更好的控制网络访问的行为。
从应用的角度出发进行带宽和流量的监测和控制,控制隐性流量对于网络的影响,终结网络带宽无序使用的局面。
过滤不良网站的访问行为,净化企业网络环境,防止不良网站带来的各种负面影响。
3. 统一配置和报告,让网络管理更加简单、透明
实现了应用、流量、内容、用户、威胁的可视化,帮助企业更好的了解网络的安全状况,挖掘潜在的网络风险。
单台设备集成多项安全功能,形成统一的纵深防护体系,配置简单、实施成本低、管理方便。
4. 灵活多样的远程安全接入方式,让数据传输更安全
提供IPSEC VPN、SSL VPN、PPTP 、L2TP等多种VPN模式。
满足分支机构与总部之间、移动用户与总部之间数据安全传输的需求。
5. 高性能保证网络畅通
采用多核并行处理技术,实现在核内、核间任务的合理分工与调度。来自网络层的数据包进入多核并行控制器后,多核并行控制器将数据包均衡的分配到各个不同的CPU,以便完成后续多颗CPU的并行事务处理。
通过单次解析引擎系统架构,放弃了UTM多引擎,多次解析的架构,将漏洞、病毒、Web攻击、恶意代码/脚本、URL库等众多应用层威胁统一进行检测匹配,大大提升了引擎处理效率及系统性能,实现了万兆级的应用安全防护能力,完全满足电信级网络环境要求。
方案部署
总部与分支机构遍及各地;
分支与总部之间通过IPsec VPN建立通道;
防火墙开启防病毒和IPS功能,实现安全上网;
总部多条运营商线路,包括电信、联通等使用策略路由及等价路由,实现链路的负载均衡;
分支及总部上网实现实名认证,并审计对应人员的上网日志,达到绿色上网的需求;
使用防火墙的DNS数据库,提供多运营商线路解析。