一、安全需求

       随着我国信息化建设的不断推进，据统计，截至2008年，我国的网民数量已超过美国，居世界首位， 然而伴随着网络规模的扩张，伴随网络应用的增多，网络威胁也日益增大，各种蠕虫、病毒、网络入侵、DDoS、泄密事件层出不穷，不断造成百万、千万以至亿计的损失。
　　防火墙作为隔离风险区域(即Internet或有一定风险的网络)与安全区域(局域网)的边界防护设备，其重要安全作用是不可替代的，资料表明遭到黑客入侵的大约有40%以上的用户特别是企业级用户没有安装防火墙。而且据权威机构分析发现，在各种网络安全威胁中以应用为目标或载体的威胁呈现出日益增多的趋势。这给防火墙等传统安全网关设备提出了一个新的挑战，如何在防护TCP/IP的4层攻击的基础上，完成对新型的应用攻击防护，从而能够保障"网络应用时代"的网络用户免受威胁之苦。

二、核心理念——多层保护构筑纵深防御

　　在信息传递和交互环境中，我们采用多层保护机制构建纵深防御体系，可以确保非法活动被阻止在基础结构内的多个检查点。
　　1. 七层保护：如下图1 所示，HuaTech应用级防火墙通过建立协议层次、信息流向等纵向结构层次，构筑多种有效防御措施。防止未经授权访问网络、应用程序和企业数据的情况发生，有效阻断对网络层、应用层的攻击行为。
　　2．边缘保护：一般说来，出口是网络的最重要的边界，为内部网络提供Internet接入服务。内部不同区域的边界也承担着信息安全流传的重任，如何保障出口和边界安全，使内部网络远离病毒、木马等攻击事件，避免业务中断，应该同时在网络边缘和出口部署应用级防火墙和反垃圾邮件保护，以阻止基于SMTP的威胁进入内部网络。这一层保护不仅可以阻止病毒和垃圾邮件侵害用户，同时也极大减少了流向电子邮件服务器的总体流量。这意味着带宽和服务器资源可以仅用于关键业务通信。

图1HuaTech防火墙七层防御模型

三、解决方案

　　中软华泰长期专注于网络访问控制技术和网络攻击防御技术的研究，利用自主研发的HuaTech-2000系列防火墙，提出了中软华泰防火墙应用安全解决方案。该方案采用多层的攻击流量检测、防护、过滤机制，及时发现各种类型的攻击流量，在网络边界处迅速对攻击流量进行过滤，有效拦截各种攻击行为，保证核心网络的正常运行。典型应用部署示意如下图所示
　　出口部署高性能的HuaTech应用级防火墙设备进行防护。由于局域网出口的业务流量具有复杂多样的特点，而且是所有流量必经之路，对链路带宽的依赖性强，因此很容易受到攻击的影响。要想做到全面的防护，推荐使用中软华泰的基于专用NP硬件架构的应用级防火墙，以做到在应对海量DDOS攻击、O-day攻击、XSS攻击等攻击行为，保证网络的高可靠性。
　　局域网的全网中分层次全面部署，满足不同力度的防护需求。对整个局域网的安全防护，不能寄希望于仅在出口一点控制就能够解决所有的问题，而应建立多层次的梯度防护，不同的防护层次完成不同的任务。在局域网内部应当根据不同区域划分在区域边界进行严格的访问控制，以保证不同区域内特定应用的安全。

图2 防火墙解决方案典型应用示意图

　　HuaTech防火墙是中软华泰公司推出的高性能、易管理、可升级的全新防火墙系列产品。产品采用领先多核硬件架构，高性能、绿色低功耗，集防火墙、VPN、内容过滤、入侵检测、病毒防御、上网行为管理、抗拒绝服务攻击(Anti-DoS)、NetFlow等多种安全技术于一身，全面支持QoS、高可用性、日志审计等功能，是政府、能源、金融、教育、大型企业、中小企业、军队等用户的理想选则。

图3 HuaTech系列防火墙主要功能示意图

四、方案价值

优化整体网络结构：可对局域网进行整体规划，按照不同安全等级进行区域划分，如服务器区、DMZ区、安全管理区、办公区域等；高性能的网络访问控制，有效的区域隔离。
提高整体网络攻击检测/防护能力: 可实现对网络级（如Syn Flood、ICMP Flood、UDP Flood）、应用级（如CC）等多种DDoS攻击的高效防御。
增强Web安全防护能力: 防御SQL注入、跨站攻击、Cookie劫持等Web攻击，避免WEB应用直接暴露于Internet上，建立WEB应用安全防线。
提升网络用户体验：实时阻断访问非法和攻击行为，对网络流量精准识别与分析，对关键应用、关键用户带宽提供带宽保障服务，确保网络中关键应用和关键用户正常运转，提升网络体验。利用IP与MAC地址绑定功能，加强终端用户的访问认证，同时在不影响用户正常访问的基础上将用户的访问权限控制在最低限度内。
降低网络运维成本：集成防火墙、VPN，抗拒绝服务攻击系统、WEB安全网关等于一体，节省网络运维成本，同时支持B/S和C/S两种管理方式，支持串口、SSH管理，简单易用，快速上手，提高安全管理工作效率。