概述

Web安全防護已成為企業網絡安全防護的重心。據統計，目前互聯網中90%的應用都架設在Web平臺上，包括網上銀行、網絡購物、網絡游戲、門戶網站、企業ERP/CRM等，不論是企業內部應用或是外部網絡服務，現今均離不開Web技術。Web技術在承載重要網絡應用的同時，也存在著巨大的安全風險。SQL注入、XSS跨站腳本、CC攻擊層出不窮，企業由于遭受Web攻擊而造成嚴重經濟損失的報道也頻頻見諸報端。Web安全成為繼操作系統與業務軟件安全之后又一熱點，并且持續升溫。

防火墻的安全操作系統，以高性能多核硬件平臺為基礎，為用戶提供全方位的Web安全解決方案。

Web安全防護技術優勢

更低漏報率，更有效抗攻擊逃逸

智能攻擊識別，精準過濾CC攻擊

外鏈檢查與權限控制，杜絕網頁篡改與網頁掛馬

增強的智能流量管理（iQoS）

• 兩層八級管道嵌套，帶寬資源靈活管理

• 細粒度流量劃分，網絡流量精細化控制

• 配置與呈現統一，方便用戶管理

• 設置優先級實現差分服務，保證關鍵業務暢通

• 剩余帶寬分配機制，充分利用剩余帶寬

移動安全接入方案便捷易用，提升辦公效率

• 通過BYOD Client可以實現移動辦公接入，比傳統方式更為高效易用
• 移動接入網絡常出現網絡連接不穩定， BYOD客戶端支持自動重連功能
• 支持自動登入、記住密碼、狀態欄通知顯示功能

• 支持User/Password方式認證
• 支持手機短信的雙因素認證

• 采用多核架構，支持硬件加速，解決數據加解密的性能問題，最高可達8G吞吐量和2萬并發用戶。

• 支持雙因子認證（用戶口令+硬件USB Key）。
• 支持客戶端主機的安全檢測, 支持用戶和主機的硬件綁定。
• 支持基于角色（用戶名或用戶組）的訪問控制，這些控制內容包括：帶寬控制、應用控制、內容過濾、時間策略和應用安全。

• 基于深度應用識別，積極防范復雜應用攻擊。
• 基于多核構架滿足深度應用分析、入侵防御功能的高CPU和高內存資源需求。
• 基于深度應用原理、攻擊原理的入侵防御解決方案 。
• 支持HTTP、FTP、SMTP、IMAP、POP3、TELNET、TCP、UDP、DNS、RPC、FINGER，MSSQL、ORACLE、NNTP、DHCP、LDAP、VOIP、NETBOIS、TFTP等多種常見的應用和協議的攻擊防護。
• 定期更新攻擊特征庫，安全專家積極響應新的攻擊和漏洞。
• 基于策略或者安全域的入侵防御，可針對不同的服務器對象定制不同的規則集合。

1. 鏈路負載均衡技術

1.1 傳統出站鏈路負載均衡技術

• 等價多徑路由：內網訪問外網情況下，當路由表中存在多條到達同一目的IP或網段的路由，且路由管理距離相同時，系統可基于五元組、源IP地址或源IP地址+目的IP地址進行選路。
• ISP路由：系統預置ISP網段地址信息，內網訪問外網時，系統跟據目的地址的 ISP 歸屬確定下一跳。

圖1 出站動態探測典型組網圖

當內網用戶向外網目標地址首次發起訪問時，系統對只匹配到缺省路由的流量在符合條件的各條鏈路上進行探測，對響應相對快速的接口生成靜態路由，后續報文將直接按照路由轉發不再探測；如果生成的靜態路由在一定時間內不被命中，則自動老化。

1.3 智能鏈路負載均衡技術 — 入站SmartDNS

內網和外網之間存在多條鏈路時，通過Hillstone下一代防火墻的入站SmartDNS功能，外網訪問的流量可以在多條鏈路上實現智能分擔。入站SmartDNS的典型組網如圖2所示。

圖2 入站SmartDNS典型組網圖

2. 典型應用

2.1 企業內網Web服務區應用（入站SmartDNS）

國內ISP數量眾多且互相訪問時速度差異很大，企業為提高訪問效率，通常會租用多條ISP鏈路。然而，當遠程辦公人員通過多條鏈路訪問企業內網資源時，由于訪問地點的差異性，盡管有多條鏈路提供服務，依然存在流量負載分擔不均、鏈路資源利用率低下的問題。將Hillstone下一代防火墻部署在企業網絡出口，可通過入站負載均衡技術將流量合理分配到各條鏈路，從而極大提升鏈路利用效率和外網用戶訪問企業內網Web應用服務的體驗。企業內網Web服務區應用的典型組網如圖所示。

圖3 企業內網Web應用典型組網