狭路相逢勇者胜 --- 记一场NGFW厂商之间的正面交锋

项目背景

大连西太平洋石油化工有限公司(简称WEPEC)是我国第一家大型中外合资石化企业,股东为中化集团、法国道达尔、中石油等,具有无铅汽油、轻质柴油、航空煤油、重交通道路沥青等十多个种类、三十多个牌号化工产品的生产能力。

随着时代的发展,信息化已经成为WEPEC不可或缺的重要组成部分,而2003年建设的基础网络架构,已无法适应当今多变的互联网环境。针对应用安全的网络需求,更是捉襟见肘。

 

客户需求

  • 双链路负载均衡

WEPEC是一家中法合资公司,中国总部和法国分部之间有很多业务往来。尽管WEPEC已经租用了联通电信两条出口链路,但法国分部抱怨与中国总部之间的通讯经常出现丢包、长时间延迟等问题。经分析发现,WEPEC使用的旧防火墙设备不支持链路负载和数据源进源出,也不支持策略路由,导致充足的带宽资源无法得到充分利用。

 

  • 非法URL过滤

WEPEC下属20多个部门,4000多员工,需要一款专业的基于应用的行为管控软件确保员工在工作时间只浏览与工作有关的网页。

 

  • 应用安全防护

网络安全是大型企业最基本的保证,基于应用层的安全才是王道。保证内网用户不受病毒、蠕虫、间谍软件的侵袭,同时基于用户的应用行为判断客户是否中了僵尸病毒,是应对新一代安全威胁的必备能力。

 

两家NGFW厂商之间的终极PK

通过和WEPEC几次的深入交流,网康为客户呈现了一套基于安全的解决方案。

网康

将网康NGFW部署在出口,做网关设备,同时开启负载均衡、IPS等模块,满足客户业务需求。

与网康一同进入到最终备选名单的国内某知名友商也采取了类似的方案,但却最终落败。下面就把这两家厂商的终极PK呈现给大家:

网康 VS 友商
Round 1 URL过滤
网康拥有超过10年的应用层技术积累,首先向客户推荐的就是拥有3000多万条URL库的URL过滤模块。这个模块做了细致分类,视频、聊天、新闻、股票等与实际办公无关的URL一目了然。WEPEC根据用户、时间以及URL的不同分类做了限制,可以让员工更好的投入到工作中来,提高了整个公司的工作效率。 WEPEC要求将新闻、视频等URL进行限制,但在正常访问公司门户网站的视频宣传片时,友商防火墙将其误报为视频URL。最后针对此URL开启了免监控,问题才得以解决。
Round 2 链路负载均衡
根据WEPEC的双出口特性,结合中法数据的互联需求,网康使用了最短路径优先算法的链路负载均衡;同时定义了法国部门所感兴趣的流量数据,基于此做了策略路由,保证法国的数据流量走电信专线;NGFW可以联动客户自有的智能DNS系统,达到了真正的链路层面的高可用性。 友商的防火墙并不带负载均衡模块。针对此缺陷,友商提出了赠送负载均衡设备这一方案,但客户并没有同意,原因有二:1、增加额外设备就增加了潜在的故障点,加大了故障隐患;2、两台设备没有联动,只能单独管理、配置,无法做到深层次的管理和运维。
Round 3 IPS
针对WEPEC可能存在的高风险漏洞以及间谍软件侵袭的潜在威胁,网康向客户推荐了NGFW的IPS模块,可扫描现有网络环境中的高风险漏洞,同时也是业界首屈一指的集漏洞扫描和间谍软件防护一体化的IPS模块,拥有9000多条漏洞匹配库,有效减少了客户可能存在的高风险威胁。 友商NGFW报出的漏洞数量明显少于网康,且经过客户运维部门的专家鉴定,网康的IPS漏洞报告都是有效、合理的报告,这让友商望尘莫及。

 

说好的大杀器,怎么就成了压死骆驼的稻草

友商的防火墙有一个屏蔽其他厂商的独门暗器:防火墙带WAF模块,这在招标上无疑是一招绝杀。但到了实际应用,这反而成了压死骆驼的最后一根稻草。友商的防火墙开启WAF功能后,CPU使用率高达97%,内存使用更是达到了100%,导致其他功能模块全部没有反应;更致命的是,友商防火墙没有硬件Bypass功能,同时软件Bypass由于设备无响应无法实现。万般无奈之下,友商只剩下下线一种选择才能恢复客户的网络。

 

出于以下三点考虑,网康的NGFW没有集成WAF:

ngfw小百科

网康NGFW凭什么胜出

经过几轮比拼后,从产品性能到产品架构,从产品功能到可用性,网康杀出重围,成为唯一一款满足客户网络应用安全需求同时附带应用行为控制的厂商。在此案例中,网康帮助客户实现如下几点价值:

  • WEPEC的办公效率与质量得到保障;
  • 减轻了信息部门系统运维的压力与财政投入;
  • 真正意义上的做到了深入洞察网络流量中的用户、应用和内容,为WEPEC提供有效的应用层一体化安全防护。

上一篇:国家电网携手锐捷网络追梦能源未来

下一篇:借力“牛顿”歌华有线视频承载网“抵御”雾霾