導(dǎo)讀:在NGFW這個(gè)紅海市場(chǎng),網(wǎng)康面對(duì)的競(jìng)爭(zhēng)對(duì)手很多。每一個(gè)項(xiàng)目背后,都有廠商之間的正面交鋒,都有一場(chǎng)“狹路相逢勇者勝”的故事。
項(xiàng)目背景
大連西太平洋石油化工有限公司(簡(jiǎn)稱WEPEC)是我國(guó)第一家大型中外合資石化企業(yè),股東為中化集團(tuán)、法國(guó)道達(dá)爾、中石油等,具有無(wú)鉛汽油、輕質(zhì)柴油、航空煤油、重交通道路瀝青等十多個(gè)種類、三十多個(gè)牌號(hào)化工產(chǎn)品的生產(chǎn)能力。
隨著時(shí)代的發(fā)展,信息化已經(jīng)成為WEPEC不可或缺的重要組成部分,而2003年建設(shè)的基礎(chǔ)網(wǎng)絡(luò)架構(gòu),已無(wú)法適應(yīng)當(dāng)今多變的互聯(lián)網(wǎng)環(huán)境。針對(duì)應(yīng)用安全的網(wǎng)絡(luò)需求,更是捉襟見(jiàn)肘。
客戶需求
(1)雙鏈路負(fù)載均衡
WEPEC是一家中法合資公司,中國(guó)總部和法國(guó)分部之間有很多業(yè)務(wù)往來(lái)。盡管WEPEC已經(jīng)租用了聯(lián)通電信兩條出口鏈路,但法國(guó)分部抱怨與中國(guó)總部之間的通訊經(jīng)常出現(xiàn)丟包、長(zhǎng)時(shí)間延遲等問(wèn)題。經(jīng)分析發(fā)現(xiàn),WEPEC使用的舊防火墻設(shè)備不支持鏈路負(fù)載和數(shù)據(jù)源進(jìn)源出,也不支持策略路由,導(dǎo)致充足的帶寬資源無(wú)法得到充分利用。
(2)非法URL過(guò)濾
WEPEC下屬20多個(gè)部門(mén),4000多員工,需要一款專業(yè)的基于應(yīng)用的行為管控軟件確保員工在工作時(shí)間只瀏覽與工作有關(guān)的網(wǎng)頁(yè)。
(3)應(yīng)用安全防護(hù)
網(wǎng)絡(luò)安全是大型企業(yè)最基本的保證,基于應(yīng)用層的安全才是王道。保證內(nèi)網(wǎng)用戶不受病毒、蠕蟲(chóng)、間諜軟件的侵襲,同時(shí)基于用戶的應(yīng)用行為判斷客戶是否中了僵尸病毒,是應(yīng)對(duì)新一代安全威脅的必備能力。
兩家NGFW廠商之間的終極PK
通過(guò)和WEPEC幾次的深入交流,網(wǎng)康為客戶呈現(xiàn)了一套基于安全的解決方案?! ?/p>
將網(wǎng)康NGFW部署在出口,做網(wǎng)關(guān)設(shè)備,同時(shí)開(kāi)啟負(fù)載均衡、IPS等模塊,滿足客戶業(yè)務(wù)需求。
與網(wǎng)康一同進(jìn)入到最終備選名單的國(guó)內(nèi)某知名友商也采取了類似的方案,但卻最終落敗。下面就把這兩家廠商的終極PK呈現(xiàn)給大家:
網(wǎng)康 VS 友商
網(wǎng)康 VS 友商 |
|
Round 1 URL過(guò)濾 |
|
網(wǎng)康擁有超過(guò)10年的應(yīng)用層技術(shù)積累,首先向客戶推薦的就是擁有3000多萬(wàn)條URL庫(kù)的URL過(guò)濾模塊。這個(gè)模塊做了細(xì)致分類,視頻、聊天、新聞、股票等與實(shí)際辦公無(wú)關(guān)的URL一目了然。WEPEC根據(jù)用戶、時(shí)間以及URL的不同分類做了限制,可以讓員工更好的投入到工作中來(lái),提高了整個(gè)公司的工作效率。 |
WEPEC要求將新聞、視頻等URL進(jìn)行限制,但在正常訪問(wèn)公司門(mén)戶網(wǎng)站的視頻宣傳片時(shí),友商 防火墻將其誤報(bào)為視頻URL。最后針對(duì)此URL開(kāi)啟了免監(jiān)控,問(wèn)題才得以解決。
|
Round 2 鏈路負(fù)載均衡 |
|
根據(jù)WEPEC的雙出口特性,結(jié)合中法數(shù)據(jù)的互聯(lián)需求,網(wǎng)康使用了最短路徑優(yōu)先算法的鏈路負(fù)載均衡;同時(shí)定義了法國(guó)部門(mén)所感興趣的流量數(shù)據(jù),基于此做了策略路由,保證法國(guó)的數(shù)據(jù)流量走電信專線;NGFW可以聯(lián)動(dòng)客戶自有的智能DNS系統(tǒng),達(dá)到了真正的鏈路層面的高可用性。 |
友商的防火墻并不帶負(fù)載均衡模塊。針對(duì)此缺陷,友商提出了贈(zèng)送負(fù)載均衡設(shè)備這一方案,但客戶并沒(méi)有同意,原因有二: 1、增加額外設(shè)備就增加了潛在的故障點(diǎn),加大了故障隱患; 2、兩臺(tái)設(shè)備沒(méi)有聯(lián)動(dòng),只能單獨(dú)管理、配置,無(wú)法做到深層次的管理和運(yùn)維。 |
Round 3 IPS |
|
針對(duì)WEPEC可能存在的高風(fēng)險(xiǎn)漏洞以及間諜軟件侵襲的潛在威脅,網(wǎng)康向客戶推薦了NGFW的IPS模塊,可掃描現(xiàn)有網(wǎng)絡(luò)環(huán)境中的高風(fēng)險(xiǎn)漏洞,同時(shí)也是業(yè)界首屈一指的集漏洞掃描和間諜軟件防護(hù)一體化的IPS模塊,擁有9000多條漏洞匹配庫(kù),有效減少了客戶可能存在的高風(fēng)險(xiǎn)威脅。 |
友商N(yùn)GFW報(bào)出的漏洞數(shù)量明顯少于網(wǎng)康,且經(jīng)過(guò)客戶運(yùn)維部門(mén)的專家鑒定,網(wǎng)康的IPS漏洞報(bào)告都是有效、合理的報(bào)告,這讓友商望塵莫及。 |
說(shuō)好的大殺器,怎么就成了壓死駱駝的稻草
友商的防火墻有一個(gè)屏蔽其他廠商的獨(dú)門(mén)暗器:防火墻帶WAF模塊,這在招標(biāo)上無(wú)疑是一招絕殺。但到了實(shí)際應(yīng)用,這反而成了壓死駱駝的最后一根稻草。友商的防火墻開(kāi)啟WAF功能后,CPU使用率高達(dá)97%,內(nèi)存使用更是達(dá)到了100%,導(dǎo)致其他功能模塊全部沒(méi)有反應(yīng);更致命的是,友商防火墻沒(méi)有硬件Bypass功能,同時(shí)軟件Bypass由于設(shè)備無(wú)響應(yīng)無(wú)法實(shí)現(xiàn)。萬(wàn)般無(wú)奈之下,友商只剩下下線一種選擇才能恢復(fù)客戶的網(wǎng)絡(luò)。
出于以下三點(diǎn)考慮,網(wǎng)康的NGFW沒(méi)有集成WAF:
▲
網(wǎng)康NGFW憑什么勝出
經(jīng)過(guò)幾輪比拼后,從產(chǎn)品性能到產(chǎn)品架構(gòu),從產(chǎn)品功能到可用性,網(wǎng)康殺出重圍,成為唯一一款滿足客戶網(wǎng)絡(luò)應(yīng)用安全需求同時(shí)附帶應(yīng)用行為控制的廠商。在此案例中,網(wǎng)康幫助客戶實(shí)現(xiàn)如下幾點(diǎn)價(jià)值:
WEPEC的辦公效率與質(zhì)量得到保障;
減輕了信息部門(mén)系統(tǒng)運(yùn)維的壓力與財(cái)政投入;
真正意義上的做到了深入洞察網(wǎng)絡(luò)流量中的用戶、應(yīng)用和內(nèi)容,為WEPEC提供有效的應(yīng)用層一體化安全防護(hù)。