2、云防火墙

2.1 需求概述

       在面对日益增长的应用和流量以及网络安全的需求下，对重要节点和网段进行边界保护，可以对所有流经防火墙的数据包按照严格的安全规则进行过滤，将所有不安全的或不符合安全规则的数据包屏蔽，防范各类攻击行为，杜绝越权访问，防止非法攻击，抵御网络攻击

2.2 功能概述

       云防火墙具备AV防病毒、IPS入侵防御的安全检测防御能力，AV防病毒检测包括病毒、木马、后门、恶意程序以及主流应用协议，保证内网资源不受侵害。IPS功能结合访问控制等安全策略针对不同用户的管控需求，从应用控制、URL过滤、入侵检测、防病毒多个角度，灵活部署不同的安全策略

2.3 功能说明

       云防火墙为安全云上租户提供南北向安全能力，包含路由支持、地址转换、入侵防御、病毒防护、会话管理、访问控制、黑名单、流量管理等多重安全功能，实现对用户、应用和内容的深入分析，为用户提供高性能、可视化、精准有效的应用层一体化安全防护

2.3.1 路由支持及地址转换

       支持主流的路由协议，包括静态路由、RIP、OSPF等动态路由协议，支持路由链路探测等基础功能，同时还支持基于七元组的策略路由。

       支持源地址和目的地址转换，支持动态和静态的地址转换。此外支持NAT44，可生成和维护用户地址映射表，实现运营商级NAT转换，并实现用户溯源关系向AAA服务器和日志服务器上报。防火墙利用NAT技术能对所有内部地址做转换，使外部网络无法了解内部网络的结构,使黑客很难对内部网的一个用户发起攻击。同时允许内部网络使用自己定制的IP地址和专用网络，防火墙能详尽记录每一个主机的通信，确保每个分组送往正确的地址。

       云防火墙需提供“内部网到外部网”，“外部网到内部网”的双向NAT功能。同时支持两种方式的网络地址转换，一种为静态地址映射，即外部地址和内部地址一对一的映射,使内部地址的主机既可以访问外部网络，也可以接受外部网络提供的服务。另一种是更灵活的方式，可以支持多对一的映射, 即内部的多个机器可以通过一个外部有效地址访问外部网络。让多个内部IP地址共享一个外部IP地址，就必须转换端口地址，这样内部不同IP地址的数据包就能转换为同一个IP地址而端口地址不同，通过这些端口对外部提供服务。这种NAT转换可以更有效地利用IP 地址资源，并且提供更好的安全性。

       在内部网络通过安全网卡访问外部网络时产生一个映射记录。系统将外出的源地址和源端口映射为一个伪装的地址和端口,让这个伪装的地址和端口通过非安全网卡与外部网络连接,这样对外就隐藏了真实的内部网络地址。在外部网络通过非安全网卡访问内部网络时，它并不知道内部网络的连接情况，而只是通过一个开放的IP地址和端口来请求访问。防火墙根据预先定义好的映射规则来判断这个访问是否安全。当符合规则时，防火墙认为访问是安全的，可以接受访问请求，也可以将连接请求映射到不同的内部计算机中。当不符合规则时，防火墙认为该访问是不安全的不能被接受,防火墙将屏蔽外部的连接请求。

2.3.2 入侵防御

       入侵防御功能提供蠕虫、后门、木马、间谍软件、Web攻击、拒绝服务等攻击的防御，并具备以下能力：

       多种预定义攻击特征

       实时在线更新

       处理网络类威胁，包括安全漏洞、木马后门、可疑行为、CGI访问、CGI攻击、缓存溢出、拒绝服务、蠕虫病毒、网络数据库攻击、间谍软件、安全扫描、网络设备攻击、欺骗劫持等

       保证基础网络安全

       分级事件及操作配置

       虚拟补丁管理

       部分攻击者利用网络中特有的攻击方式或者尚未出现过的漏洞，此时特征库尚未覆盖到此类攻击因而难以检测。入侵防御功能应提供自定义规则功能，通过对进入设备报文的协议类型、协议字段、字段内容形成匹配条件，并通过逻辑与、逻辑或形成多条件匹配的方式实现入侵防御。安全管理员可以使用自定义规则功能，自己写签名进行防护。自定义规则检测是基于流检测的，支持多种协议字段，其中包括IP、UDP、TCP、FTP、HTTP、ICMP、POP3、SMTP协议。对于字符串字段，需支持正则和非正则匹配的方式。

2.3.3 病毒防护

       防火墙需要能够精准识别并清除流行木马和顽固病毒。同时需要具备以下能力：

       可以在HTTP,SMTP,FTP,POP3,IMAP等多种协议下病毒防御，支持非标准端口的HTTP,SMTP,FTP,POP3,IMAP协议中的病毒检测。

       支持路由、透明、混合等各种工作模式下的网络病毒检测，支持无IP地址的透明桥下的网络病毒检测模式，支持VPN 模式下的病毒扫描。

       采用高效的病毒防御引擎和国内知名病毒厂商特征库，可检测不少于300万以上种病毒。

       可以根据不同的源IP地址、目的IP地址、服务、时间、接口、用户等，采用不同的病毒防御策略。 

       可以过滤邮件病毒、文件病毒、恶意网页代码、木马后门、蠕虫等多种类型的病毒。 特征库定时更新，支持病毒库本地升级，病毒库可实时在线升级。

       支持基于病毒防护策略设置阻断、清除、记录日志。

2.3.4 会话管理

       对当前设备的会话进行监控，管理员可查看会话的发起用户、源目地址、端口、协议、策略、存在时间和超时时间等，具有完备的状态检测表追踪连接会话状态。还支持对当前所有会话进行峰值统计，方便管理员快速筛选内网异常用户和IP，可帮助管理员快速定位网络故障；管理员支持针对全局基于IP进行并发会话和新建会话的限制，保障内网所有访问行为均在正常数值范围内，确保内网安全。

2.3.5 访问控制

       基于七元组以及时间的访问控制策略，有效地实现用户、应用的访问控制。只需要通过一条策略便可完成对源接口、源地址、用户、目的接口、目的地址、应用、服务、时间等维度的匹配，并针对应用、URL、入侵防御、病毒查杀等内容进行统一管控

2.3.6 黑名单

       需要支持黑名单设置并支持黑名单时长设定，基于网络访问规则，对高危访问源，通过黑名单方式进行安全阻断，保障网络安全。

2.3.7 流量管理

       通过DPI和DFI融合应用识别技术，能够对流量进行深度解析，实现流量的细致化管控。通过弹性带宽管理，可以使空闲通道不占用大量带宽，减少带宽的浪费，减少因空闲通道占用带宽，流量达到极限出现丢包现象。弹性带宽是为了解决带宽浪费的问题，空闲通道会自动让出部分带宽给繁忙的通道。一旦空闲通道带宽不足时，将自动抢占回借用出去的带宽。此特性避免了带宽浪费，实现价值最大化。

       需能够自动均分带宽，当在某个通道中只有一个主机使用时，该主机可以使用全部的带宽，如果有多个主机使用该通道时，管理员可设置将带宽按IP数量或数量均分，提升带宽使用率。

       同时可将物理线路划分为若干虚拟线路和流控通道，基于用户/组、应用/组、服务、源地址等七元组的方式实现带宽管理细化，满足各种带宽管理的需求。

2.3.8 其他防护

       可以检测各项偏离预期的网络行为。依据RFC标准规范制作通信协议异常检测模块，可以阻止不符合标准通信协议规范的数据包。支持网络流量异常检测，不单只使用计数的方式，还使用专门的统计算法，可以准确地检测网络流量的异常情形。

       支持ARP防欺骗、支持IP-MAC地址绑定。

       支持ARP Flood攻击防护、支持基于接口的ARP学习控制。

       支持Ping of Death、Land-Base、Tear Drop、TCP flag、Winnuke、Smurf、IP选项、IP Spoof、Jolt2等异常包攻击的防御。

       支持基于IPv6的Winnuke、Land-Base、TCP flag、Fraggle、IP Spoof等异常包攻击的防御。

       支持基于接口的端口扫描防护和IP扫描防护。

       支持SYN flood、UDP flood、ICMP flood、DNS flood攻击防护，支持自定义阈值。