1.概述
网络防火墙自诞生以来,在网络安全防御系统中就建立了不可替代的地位。作为边界网络的第一道安全关卡防火墙经历了包过滤技术、应用层代理技术和状态检测技术的技术革命,通过 ACL访问控制策略、 NAT 地址转换策略以及抗网络攻击策略有效地阻断了一切未被明确允许的包通过,保护了网络的安全。防火墙就像大厦的门卫,对进出防火墙的一切数据包进行检查,保证合法数据包能够进入网络访问合法资源同时防止非法人员通过非法手段进入网络或干扰网络的正常运行。随着时代的变迁,大厦的门卫已经过时,失去了它原有的防御能力,人们开始不从门窗进进出出了。同样防火墙在面对网络的高速发展,应用的不断增多的时代也失去了它不可替代的地位。
当攻击的类型从网络层上移到应用层的过程中,防火墙的防护功能也需要与时俱进,我们需要重新定义防火墙,2009年,Gartner 提出下一代防火墙的概念,下一代防火墙的概念在业内便得到了普遍的认可。
2. 为什么需要下一代防火墙
2.1、应用内容丰富多彩
随着internet应用的广泛使用,web成为逐渐应用的主流,然后再最近的三年时间里,web 2.0概念的提出,html5标准的制定,流媒体应用富媒体的web2.0网络应用呈现出爆炸式的增长。Web 2.0也成为了许多企业集成到他们的应用中去,包括Twitter,Facebook与YouTube都采用了Web 2.0技术构建风媒体应用。这些标准与技术极大地丰富了网络应用的内容,大大提升了应用的用户体验,但同时带来了内容检查缺失的风险。
2.2、应用层攻击增多
在过去几年灰色软件李荣Web应用中的漏洞,侵入了某些著名的网络,包括MySpace、Twitter与Facebook,窃取个人信息与用户凭证。
基于互联网标准的Web接口与不计其数的应用成了黑客与信息窃取这寻找窃取信息、干扰应用服务并执行恶意活动获利的一个切入口,通过web而生发病毒、蠕虫破坏计算机网络变得十分平常,基于web的攻击在过去的几年中都呈现出20%多的复增长率。
当前常见的威胁类型包括间谍软件、钓鱼软件、IM、P2P文件共享、流媒体、社交媒体导致了不计其数的数据泄密,造成了大量的损失。
2.3、应用层攻击与管控的需求更多样
网络应用的内容呈现多样性,应用层的攻击方式更是不胜枚举,他几乎可以附加在任何的一款没有经过严格安全检查的代码中,并伴随着网络应用发布。
而我们对网络应用管控的需求是多样的,不同的组织需求不一样,这样,就需要我们能细粒度的区分不同应用首先进行管控,然后针对放行的应用再次进行内容的深度检查,放行安全的网络应用,阻隔可疑的网络应用。
2.4、网络发展的趋势使防火墙失效
防火墙作为一款历史悠久的经典产品,在 IP/端口的网络时代,发挥了巨大的作用:合理的分隔了安全域,有效的阻止了外部的网络攻击。防火墙在设计时的针对性,在当时显然是网络安全的最佳选择。但在网络应用高速发展,网络规划复杂化的今天防火墙的不适应性就越发明显,从用户对网络安全建设的需求来看,传统防火墙存在以下问题:
l 应用安全防护的问题:
传统防火墙基于 IP/端口,无法对应用层进行识别与控制,无法确定哪些应用经过了防火墙,自然就谈不上对各类威胁进行有效防御了。 面对应用层的攻击, 防火墙显得力不从心,无法检测或拦截嵌入到普通流量中的恶意攻击代码,比如病毒、蠕虫、木马等。
l 安全管理的问题:
传统防火墙的访问控制策略对于大型网络来说简直就是噩梦。严格控制网络需要配置大量的策略,并且这些基于 IP/端口策略可读性非常之差,经常会造成错配、漏配的情况,留下的这些隐患,往往给黑客们以可乘之机。
2.5、下一代防火墙的诞生与价值
1 Gantner 定义下一代防火墙
针对上述安全风险、网络环境、应用系统的变化,传统网络安全设备的无能为力,市场咨询分析机构 Gartner 在 2009 年发布了一份名为《Defining the Next-GenerationFirewall》的文章,给出了真正能够满足用户当前安全需求的下一代防火墙(NGFW)定义。 在 Gartner 看来,NGFW 应该是一个线速网络安全处理平台,在功能上至少应当具备以下几个属性:
l 联机配置,不中断网络运行。
l 标准的第一代防火墙能力:包过滤、网络地址转换(NAT)、状态性协议检测、VPN等等。
l 集成的而非仅仅共处一个位置的网络入侵检测:支持面向安全漏洞的特征码和面向威胁的特征码。IPS 与防火墙的互动效果应当大于这两部分效果的总和。例如提供防火墙规则来阻止某个地址不断向 IPS 加载恶意传输流。这个例子说明,在 NGFW 中,应该由防火墙建立关联,而不是操作人员去跨控制台部署解决方案。集成具有高质量的 IPS 引擎和特征码,是 NGFW 的一个主要特征。
l 应用意识和全栈可见性:识别应用和在应用层上执行独立于端口和协议,而不是根据纯端口、纯协议和纯服务的网络安全政策。例子包括允许使用 Skype,但关闭 Skype 中的文件共享或始终阻止 GoToMyPC。
l 智能的防火墙:防火墙收集外来信息来做出更好的阻止决定或建立优化的阻止规则库。例子包括利用目录集成将阻止行为与用户身份绑在一起,或建立地址的黑白名单。Gartner 认为,随着防火墙和 IPS 更新周期的自然到来,或者随着带宽需求的增加和随着成功的攻击,促使更新防火墙,大企业将用 NGFW 替换已有的防火墙。不断变化的威胁环境,以及不断变化的业务和 IT 流程将促使网络安全经理在他们的下一个防火墙/IPS 更新周期时寻找 NGFW。
2 下一代应用防火墙—NGFW
通过将中国用户的安全需求与 Garnter 定义的“NGFW”功能特性相结合,推出了下一代应用防火墙 NGFW 产品。NGFW 是面向应用层设计,能够精确识别用户、应用和内容,具备完整安全防护能力,能够全面替代传统防火墙,并具有强劲应用层处理能力的全新网络安全设备。NGFW 解决了传统安全设备在应用管控、应用可视化、应用内容防护等方面的巨大不足,同时开启所有功能后性能不会大幅下降。
NGFW 不但可以提供基础网络安全功能,如状态检测、VPN、抗 DDoS、NAT 等;还实现了统一的应用安全防护,可以针对一个入侵行为中的各种技术手段进行统一的检测和防护,如应用扫描、漏洞利用、Web 入侵、非法访问、蠕虫病毒、带宽滥用、恶意代码等。NGFW可以为不同规模的行业用户的数据中心、广域网边界、互联网边界等场景提供更加精细、更加全面、更高性能的应用内容防护方案。
3.惠尔顿产品功能点
3.1、状态检测防火墙
NGFW 涵盖传统的状态检测防火墙、IPS 的主要功能,内部能够实现联动,支持包过滤与状态检测的防火墙功能,能提供静态的和动态包过滤与状态检测过滤功能,能够防御 DOS/DDOS、land Attack,smurf,syn flood,icmp flood 、Syn Attack、Ping of death、ping Sweep、Tear drop、IP Sweep、Syn fragments、ip spoof、portscan、ip source route、ip record route、ip bad option等常见网络层攻击,能提供一对一、多对一、多对多等地址转换方式(包括 DNS、FTP、H.323、SIP的动态NAT);支持网络层的透传与tag VLAN的隔离,支持静态路由、RIP v1/2、OSPF、策略路由等多种路由协议。
3.2、流量全局可视可控
NGFW 的采用DPI/DFI技术可以识别 2000 多种的网络应用及其 1000 多种智能手机移动APP应用,满足了互联网边界行为管控的要求,结合多层面的漏洞特征库,同时还满足了在内网数据中心和广域网边界的部署要求,可以识别和控制丰富的内网应用,如web服务器邮件服务器、FTP服务器、数据库服务器等,针对用户应用系统更新服务的要求,NGFW 还可以精细识别 Microsoft、Sogou、K360、Symantec、aspersky、McAfee、金山毒霸、江民杀毒等软件更新,保障在安全管控严格的环境下,系统软件更新服务畅通无阻。
3.3、丰富的AAA识别、授权、审计功能
网络中的用户并不一定需要平等对待,通常,许多企业策略仅仅是允许通过 IP 属性建立网络及网络资源的ACL。NGFW 提供基于用户与用户组的访问控制策略,它使管理员能够基于各个用户和用户组(而不是仅仅基于 IP 地址)来查看和控制应用使用情况。在所有功能中均可获得用户信息,包括应用访问控制策略的授权制定和安全防护策略创建、审计调查取证和分析报告。
1、用户组织架构树
NGFW 可以按照组织的行政结构建立树形用户分组,将用户分配到指定的用户组中,以实现网络访问权限的授予与继承。用户创建的过程简单方便,除手工输入帐户方式外, NGFW能够根据 OU 或 Group 读取 AD 域控服务器上用户组织结构,并保持与 AD 的自动同步,方便管理员管理。
此外,NGFW 支持账户自动创建功能,依据管理员分配好的 IP 段与用户组的对应关系,基于新用户的源 IP 地址段自动将其添加到指定用户组、同时绑定 IP/MAC,并继承管理员指定的网络权限。管理员亦可将用户信息编辑成 Excel、 TXT 文件,将账户导入,实现快捷的创建用户和分组信息。
2、丰富的身份认证体系
本地认证:Web 认证、用户名/密码认证、IP/MAC/IP-MAC 绑定
第三方认证:AD域、LDAP、Radius ,数字证书等;
双因素认证:USB-Key 认证,一次性口令(OTP);
单点登录:AD域、HTTP POST 等;
强制认证:强制指定 IP 段的用户必须使用单点登录(如必须登录 AD 域等)
丰富的认证方式,帮助组织管理员有效区分用户,建立组织身份认证体系,进而形成树形用户分组,映射组织行政结构,实现用户与资源的一一对应,从而根据组织结构实现授权,并对组织结构中的用户进行事后的审计。NGFW 支持为未认证通过的用户分配受限的网络访问权限,将通过 Web 认证的用户重定向至显示指定网页,需要先行进行认证才能访问受限的网络资源,提升应用访问的安全性,实现更细粒度的访问控制。
3.4、IPS入侵防护
IPS(Intrusion Prevention System 入侵防御系统)位于防火墙和网络的设备之间,综合IDS与防火墙的功能,使二者产生联动。这样,如果IDS检测到攻击,防火墙会在这种攻击扩散到网络的其它地方之前阻止这个恶意的通信。IPS系统依靠对数据包的内容的深度检测,IPS将检查入网的数据包,确定这种数据包的真正用途,然后决定是否允许这种数据包进入你的网络。
NGFW 的入侵防护分析引擎具备 4000+条漏洞特征库、木马等恶意内容特征库、含1000+Web 应用威胁特征库,可以全面识别各种应用层和内容级别的单一安全威胁;而且入侵防护引擎还提供了多种典型的黑客入侵行为的模板,可以有效关联各种威胁进行分析,最大成的提高了威胁检测精度。另外,公司组建了专业的安全攻防团队,可以为用户定期提供最新的威胁特征库更新,以确保防御的及时性。
3.5、Web安全防护
专门针对 Web 应用面临的各种最新的威胁提供额外的安全防护,包括 SQL 注入、XSS
攻击、OS 命令注入、CSRF 攻击、口令爆破、弱口令探测、应用信息探测、非法上传威胁文件等,从根源上解决了 Web 系统被入侵、数据被篡改的可能性;
NGFW 能够有效防护 owasp 提出的 10 大 web 安全威胁的主要攻击,主要功能如:
防 SQL 注入攻击
SQL 注入攻击产生的原因是由于在开发 web 应用时,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据,这就是所谓的 SQL Injection,即 SQL 注入。NGFW 可以通过高效的 URL 过滤技术,过滤 SQL 注入的关键信息,从而有效的避免网站服务器受到 SQL 注入攻击。
防 XSS 跨站脚本攻击
跨站攻击产生的原理是攻击者通过向 Web 页面里插入恶意 html 代码,从而达到特殊目的。NGFW 通过先进的数据包正则表达式匹配原理,可以准确地过滤数据包中含有的跨站攻击的恶意代码,从而保护用户的 WEB 服务器安全。
防 CSRF 攻击
CSRF 即跨站请求伪造,从成因上与 XSS 漏洞完全相同,不同之处在于利用的层次上,CSRF 是对 XSS 漏洞更高级的利用,利用的核心在于通过 XSS 漏洞在用户浏览器上执行功能相对复杂的 JavaScript 脚本代码劫持用户浏览器访问存在 XSS 漏洞网站的会话,攻击者可以与运行于用户浏览器中的脚本代码交互,使攻击者以受攻击浏览器用户的权限执行恶意操作。NGFW 通过先进的数据包正则表达式匹配原理,可以准确地过滤数据包中含有的 CSRF 的攻击代码,防止 WEB 系统遭受跨站请求伪造攻击。
NGFW支持OWASP top 10 的安全防护,OWASP top 10的安全威胁如下图:
3.6、WEB防篡改
NGFW支持免客户端安装的web防篡改,web的防篡改基于算法的相似度比较实现,智能可控,性能更高。
针对固定不变的网站元素,例如内联的图片,文档,外链,通过智能学习,形成网页的知识库,然后根据知识库,采用精确匹配的方式比对,确定网页是否防篡改。
3.7、敏感数据防泄密
Web应用的后面都关联着一个数据库,这些数据库大多保存不少的敏感关键信息,这些敏感信息再持续的流经NGFW设备时会触发敏感信息防泄密的阈值,并进行阻断,例如NGFW支持关键身份信息的数据防泄密,如身份证信息、银行卡信息,社保卡信息。
3.8、终端安全浏览
NGFW支持安全浏览 (网页防火墙,上网不再中毒),保护您的电脑,上网时不受病毒木马感染,过滤掉广告和病毒、绿色上网。支持钓鱼网址、挂马网址的识别与过滤。支持危险插件的过滤与恶意脚本的过滤。
l 能识别那些下载文件会自动安装的插件,包括所有通过浏览器自动下载的文件。
l 能根据插件白名单对插件进行过滤,内置常用安全插件列表供用户选择,还可以自定义白名单(支持插件名称、证书名称和域名)。
l 能根据插件证书的合法性进行过滤,包括:检查插件签名是否过期,对插件签名进行证书链控制。
l 能记录控件过滤日志,包括被过滤控件名称及被拒绝的原因,并能在数据中心查出来。
3.9、终端安全可信
多数传统安全设备仅仅提供基于服务器的漏洞防护,内网终端仍然存在漏洞被利用的问题,对于终端漏洞的利用视而不见。NGFW 同时提供基于终端的漏洞保护能防护如:后门程序预防、协议脆弱性保护、exploit 保护、网络共享服务保护、shellcode 预防、间谍程序预防等基于终端的漏洞防护,有效防止了终端漏洞被利用而成为黑客攻击的跳板。同时,NGFW支持控制终端的安全,漏洞检测,也支持外设管控例如管控U盘,网卡实现网络专线。
3.10、应用信息隐藏
NGFW 对主要的服务器(WEB 服务器、FTP 服务器、邮件服务器等)反馈信息进行了有效的隐藏。防止黑客利用服务器返回信息进行有针对性的攻击。
例如:
HTTP 出错页面隐藏:用于屏蔽 Web 服务器出错的页面,防止 web 服务器版本信息泄露、数据库版本信息泄露、网站绝对路径暴露,应使用自定义页面返回。
HTTP(S)响应报文头隐藏:用于屏蔽 HTTP(S)响应报文头中特定的字段信息。
FTP 信息隐藏:用于隐藏通过正常 FTP 命令反馈出的 FTP 服务器信息,防止黑客利用 FTP软件版本信息采取有针对性的漏洞攻击。
3.11、URL 防护
NGFW内置URL分类特征库,包括50多种大类,100多种小类的数千万的URL条目;内置动态的智能URL学习与识别技术,根据学习的URL分类,动态提取学习到的词库,在根据词库智能分类新建了的URL条目。智能学习的条目分类达到70多类,一直的学习到的词库达到3000多条目,而且智能学习的算法修改并弥补了科技类、体育类等专业性很强的URL智能分类。
3.12、弱口令暴力破解防护
弱口令就是使用一些可以容易被推测到的口令,如顺序数字123456,字典序abcdef,ABC123等,这类口令通常使用暴力尝试的方式便可以破解。弱口令被视为众多认证类 web 应用程序的普遍风险问题,NGFW 通过对弱口令的检查,制定弱口令检查规则控制弱口令广泛存在于 web 应用程序中。同时通过时间锁定的设置防止黑客对 web 系统口令的暴力破解。
3.13、病毒网关防护
NGFW支持 HTTP、 SMTP、 POP3、 FTP 等常见的协议的病毒查杀。当这几种协议的数据通过 NGFW设备时,NGFW 截获其中的数据,根据用户定义的策略实现查毒、杀毒、隔离、统计、报警等功能。除了传统的 HTTP、FTP、SMTP、POP3 等协议,还可以针对商务应用(文件共享等)传输的文件进行精确的木马、病毒、蠕虫查杀; NGFW 提供基于终端的病毒防护功能,从源头对 HTTP、FTP、SMTP、POP3 等协议流量中进行病毒查杀,亦可查杀压缩包(zip,rar,gzip 等)中的病毒。
4.惠尔顿产品优势
4.1、精细的应用层安全控制
NGFW采用多级分层的过滤技术,以基于内核操作系统的会话层检测技术,提供了从链路层到应用层的全面安全控制。
在MAC层提供了基于MAC地址的访问控制能力,同时支持对二层协议的过滤能力;在网络层和传输层提供了基于会话与连接状态跟踪的分组过滤,可以根据五元组进行过来吧,并进行全安正的协议状态跟踪与还原。在应用层,基于DPI/DFI的应用内容分析技术,可以根据应用的行为和特征实现对应用的识别和控制,而不仅仅依赖于端口或协议,可以对高层应用协议命令、访问路径、内容、访问的文件资源、关键字词等内容实现细粒度的安全访问控制,摆脱了传统防火墙只能通过五元组来控制的尴尬,即使加密过的数据流也能应付自如。因此,通过应用可视化引擎制定的 L3-L7 一体化应用控制策略, 可以为用户提供更加精细和直观化控制界面,在一个界面下完成多套设备的运维工作,提升工作效率。
4.2、全面的内容级安全防护
NGFW 的深度识别技术不但可以将数据包的内容进行全面的威胁检测,而且还可以针对黑客入侵过程中使用的不同攻击方法进行关联分析,从而精确定位出一个黑客的攻击行为,有效阻断威胁风险的发生。深度检测的威胁识别技术改变了传统 IPS 等设备防御威胁种类单一,威胁检测经常出现漏报、误报的问题,可以帮助用户最大程度减少风险短板的出现,保证业务系统稳定运行。
例如,NGFW支持对HTTP的URL过滤外,更可以控制HTTP的POST,GET,HEAD等动作的过滤,也支持对FTP命令与文件传输中的内容过滤,通过将文件资源和URL资源的ACL控制内存的存取。支持对url中的VBScript、JAVA Script、ActiveX、Applet的风险进行评估与管控。
NGFW的系统核心层实现的传输内容的还原、内容的细粒度检测,深度的防范网络3层至7层的风险。
4.3、高性能的应用层处理能力
为了实现强劲的应用层处理能力, NGFW采用了更为先进的一体化单次解析引擎,将漏洞、病毒、Web 攻击、恶意代码/脚本、URL 库等众多应用层威胁统一进行检测匹配,从而提升了工作效率,实现了万兆级的应用安全防护能力。
1 单次解析架构
要进行应用层威胁过滤,就必须将数据报文重组才能检测,而报文重组、特征检测都会极大地消耗内存和 CPU,因此,NGFW所采用的单次解析引擎通过统一威胁特征、统一匹配引擎,针对每个数据包做到了只有一次报文重组和特征匹配,消除了重复性工作对内存和资源的占用,从而系统的工作效率提高了70%-80%。
2 多核并行处理技术
软件设计为内核下的多形进程程,采用PF_RING方式获取数据报,然后将获取的数据包分发给多个进程处理,每个进程分别调度给不同的CPU内核处理,充分利用多核的计算能力,运行效率与稳定性大大提高。结合高性能的多核硬件平台为客户提供业界性能卓越的NGFW方案。
在优化的光纤网络中,或者对端支持GSO的网卡中,内核支持硬件网卡对于大数据包的数据分段处理,而不是在CPU中实现分段处理,优化网络传输性能。
4.4、完整的安全防护方案
只提供基于应用层安全防护功能的方案,并不是一个完整的安全方案。对于用户来说,还需要采购基础网络层的安全设备(FW、VPN),这既增加了成本,也增加了组网复杂度、提升了运维难度。从技术角度来说,一个黑客完整的攻击入侵过程包括了网络层和应用层、内容级别等多个层次方式方法,如果将这些威胁割裂开处理进行防护,各种防护设备之间缺乏智能的联动,很容易出现“三不管”的灰色地带,出现防护真空。因此,“具备完整的 L2-L7 完整的安全防护功能”就是 Gartner 定义的“额外的防火墙智能”实现前提,才能做到真正的内核级联动,为用户的业务系统提供一个真正的“铜墙铁壁”。
惠尔顿的NGFW根据STRIDE安全模型自顶而下定制了完整的安全防护方案。
|
欺骗(Spoofing)
|
ARP Spoof,IP Spoof
|
|
篡改(Tempering)
|
WEB防篡改,文件系统防篡改,注册表防篡改
|
|
否认(Repudiation)
|
日志,高性能日志审计
|
|
信息泄露(Information Disclosure)
|
敏感信息防泄漏,特征表达式过滤
|
|
拒绝服务(Denial of Service)
|
DOS,DDOS,SYN Flood
|
|
特权提升(Elevation of Privilege)
|
OS漏洞防护,应用漏洞防护
|
5、产品部署模式
、网关模式&HA
网关模式置于出口网关,替代原有的三层状态检测防火墙,所有数据流直接经由设备端口通过,适合可更改网络架构的客户。在此模式设备的所有功能都有效,包括防火墙(DDOS防护,ARP防护,PortScan等)、NAT/路由、流量控制/带宽管理、IPS入侵防护、WAF、内容过滤、用户访问控制、数据中心、统计报告、安全扩展功能等。在此模式下,可提供多至4个WAN的广域网线路接入,支持策略路由,负载均衡,南北通,充分利用用户的带宽价值。支持跨三层的IP/MAC绑定。单线路的WAN接入如下图:
部署方式:
Ø 设备的WAN口与广域网接入线路相连,支持光纤、ADSL、Cable Modem或者DDN路由器;
Ø NGFW的LAN口同局域网的交换机相连;
Ø 内网PC将网关指向NGFW的局域网接口,通过NGFW代理上网。
Ø 大型网络使用双机热备,组织为了网络稳定可靠,采用了双机VRRP部署,NGFW支持两台以上设备同时以主机模式、主备模式运行,完美支持组织的VRRP环境,起到设备冗余与负载均衡的作用。
、网桥模式
使用原有的三层状态检测防火墙实现三层的网络攻击防护,现有的NGFW实现应用层的防护。透明桥模式如同集线器的作用,设备置于网关出口之后,设置简单、透明,适合客户不希望更改网络架构情况。在此模式设备的所有功能都有效,包括防火墙(DDOS防护,ARP防护,PortScan等)、NAT/路由、流量控制/带宽管理、IPS入侵防护、WAF、内容过滤、用户访问控制、数据中心、统计报告、安全扩展功能等。在此模式下,可提供多至4对(四进四出)的透明桥接入,支持分桥的负载均衡,充分核心交换的VLAN子网隔离。支持跨三层的IP/MAC绑定。单网桥的接入如下图:
部署方式:
Ø 设备的WAN口与网关设备(前端防火墙或者路由器)的LAN口相连,为NGFW分配一个网桥IP,该IP和网关设备的LAN口IP处在同一网段;
Ø LAN口与核心交换机连接;
Ø 局域网内的任何网络设备和PC都无需更改IP地址。
、多网桥模式
使用原有的三层状态检测防火墙实现三层的网络攻击防护,现有的NGFW实现应用层的防护。在客户存在多个VLAN,或者采用核心交换热备的情况,设备可提供多至4对(四进四出)的透明桥接入,支持分桥的负载均衡,监控核心交换的多VLAN子网流量。且支持跨三层的IP/MAC绑定。在此模式设备的所有功能都有效,包括防火墙(DDOS防护,ARP防护,PortScan等)、NAT/路由、流量控制/带宽管理、IPS入侵防护、WAF、内容过滤、用户访问控制、数据中心、统计报告、安全扩展功能等。多网桥的模式如下图:
部署方式:
Ø 进入NGFW配置界面广域网设置,定义两对桥接口(WAN1/eth0-LAN1/eth1,WAN2/eth2-LAN2/eth3);
Ø 为每对网桥分配一个IP地址。
|
