防火墙立项理由 - 图文

基于业务场景的立项理由梳理

使用说明 该销售工具从业务场景的角度出发提供了可参考的立项理由，可用于帮助用户在Q4花费剩余预算或在做明年规划预算时提供立项理由的参考。 使用流程 当客户还有剩余预算没有花费完时，可以按照以下流程给用户提供非设备采购型的立项理由和立项报告。 分两种类型的客户:买了NGAF的和没买NGAF的。 买了NGAF的客户如果有剩余预算没有消耗，可以从两个维度进行引导：1、开启收费模块消耗预算；2、参考立项理由覆盖到其他没有NGAF的区域； 没有买NGAF的AC老客户，需要首先确认客户哪些区域是安全重点关注的区域，再确认该区域部署了什么安全设备。 一、 互联网出口场景

a) XX僵尸网络检测 b) XX上网终端安全防护 二、 对外发布业务

a) XX互联网业务系统安全防护 b) XX业务系统敏感信息保护 c) XX网页防篡改项目

d) XX实时安全威胁预警项目 e) XX互联网业务系统防嗅探 三、 广域网

a) XX广域网全网安全监测 b) XX网络边界安全防护 四、 数据中心及业务系统

a) XX等保整改建设

b) XX业务系统应用安全加固 c) XX业务系统安全改造

一. 互联网出口场景 a) XX僵尸网络检测

业务场景 客户有传统防火墙、IPS等传统安全设备，但潜藏的僵尸网络无法进行有效防护 立项理由 根据CN/CERT的报告，僵尸网络是现在安全态势下比较严峻的问题之一。安全防护设备如果不能对终端外发的流量进行合规性的检测，不能检测外发的流量是否连接到恶意服务器、检测终端外发的流量是否异常从而判断内网终端中是否有潜藏的威胁(如木马)，就不能防止僵尸网络的情况发生。内网终端如果被黑客控制，可能影响到终端可以访问到的重要的资产，这对于安全防护来说是致命的。并且内网终端被黑客控制并向外发起攻击，也可能引起法律的风险。 立项名称 XX单位互联网出口僵尸网络检测项目 立项效益 通过检测服务器和终端外发流量的异常的特征，来判断外发的流量是否存在威胁，是否成为僵尸网络的一部分，可以解决长期被动利用和新型病毒木马导致的恶意流量外发的问题，可以帮助用户快速定位僵尸网络并清楚僵尸网络的存在，防止重要资产被入侵，防止由于僵尸网络向外发起的攻击导致的法律风险。 参考话术 ? 僵尸主机来说，木马程序在后台悄悄的外发流量，防火墙、IPS不能察觉 ? 果是领导和系统管理员的终端被控制，向外发送敏感信息影响很严重 ? 被控制的僵尸机向外发起攻击，可能导致法律风险 工具索引 ? 《XX互联网出口僵尸网络检测立项建议书》

b) 上网终端安全防护

业务场景 1、互联网出口只有传统防火墙，必须进行应用安全加固； 2、互联网出口部署了NGAF，没有开启IPS、僵尸网络、防病毒等功能； 立项理由 75%的攻击来自于应用层，而传统防火墙只能够进行网络层的访问控制和安全防护，无法抵御应用层攻击。存在应用层短板的互联网出口是存在很大风险的，所以必须进行应用安全加固。可以采用NGAF进行异构，实现应用层安全加固，一方面可以防止应用层的攻击，另一方面可以防止电脑、服务器中了病毒木马向外发起恶意流量。 立项名称 XX单位互联网出口应用安全加固项目 立项效益 可通过部署安全设备提升应用安全风险防护能力，防护75%的攻击，同时可以避免因为成为僵尸网络危害其他单位网络而被问责。 参考话术 ? 互联网出口只有传统防火墙是不够的，大部分攻击来自于应用层 ? 很多病毒木马都是利用应用和系统的漏洞来进行传播的，比如IE极光漏洞、PDF的漏洞、OPENSSL、XP的漏洞（停止更新）可能会导致终端电脑被控制 ? 一方面可以防止应用层的攻击，另一方面可以防止电脑、服务器中了病毒木马向外发起恶意流量从而规避风险 工具索引 《AF_方案模板_通用_互联网出口安全建设方案(AF+AC)V1.0》

二. 对外发布业务

a) XX系统（含网站）安全加固/改造

业务场景 1、系统或者网站开放到互联网上而没有部署waf的客户 2、在网站前购买了NGAF没有开启IPS/Waf模块的客户 立项理由 虽然采用了防火墙进行安全隔离，但基于网络层协议访问控制的ACL规则，却无法隔离Web漏洞的入侵，其本质却无法达到安全隔离的作用。而来自Gartner报告显示，75%的攻来来自于应用层，需要加强XX系统Web安全防护能力。 立项名称 Xx系统（网站）安全加固/改造项目 立项效益 有效的弥补了传统安全解决方案在Web业务安全防护能力的不足，保障对外web系统或网站的安全。保障业务运营连续性、保护个人隐私提升企业声誉、隔离僵尸网络使内网告别危险 参考话术 ? XX系统发布到互联网上存在web安全威胁，Web安全威胁传统安全设备无法防御 ? 传统安全设备难以防范新型的攻击，万一黑客成功获取了服务器的权限，造成信息泄露、网页篡改后果比较严重 ? 通过L2-L7层的安全防护体系构架，实现完整的安全防护打造“安全”、“可靠”、“高效”的“一站式 工具索引 《XX互联网业务系统安全防护项目预算立项建议书》 《AF_方案彩页_Web安全解决方案V1.0》 《AF_方案彩页_业务系统应用安全加固解决方案V1.0》

b) 业务系统数据防泄露

业务场景 存在用户信息等敏感信息的对外业务系统 立项理由 互联网敏感信息泄露事件频发，引起关注，传统的DLP数据防泄密解决方案显然很难起到有效的防护效果，此类重大安全事件的产生多是通过正常的web业务访问，通过数据库认为合法的操作语句产生“拖库”、“暴库”的安全问题。 立项名称 XX业务系统信息防泄露项目 立项效益 对外，防止web攻击（如注入类攻击）对后端数据库、FTP等服务器的操作带来的安全问题； 对内，有效检测交互过程中内容的合法性，具有向外发送的数据内容是否为非法窃取、是否符合正常访问安全逻辑的判断能力。 参考话术 ? 对外的业务有很多重要数据，黑客通常会采取web攻击的方式来入侵服务器 ? DLP解决方案大多是防护终端泄密通道的，无法针对服务器因为被拖库暴库导致的信息泄露 ? NGAF实现对外防攻击，对内检测外发流量防止服务器端得信息泄露 工具索引 《AF_方案彩页_业务系统敏感信息防泄漏解决方案V1.0》

c) 网页防篡改

业务场景 政府电子政务网站或企业门户网站 立项理由 网站是网络中被访问最多的一种服务，也是最容易遭受攻击的。网站直接代表着政府、企业的形象，一旦页面被篡改，将导致企业、政府形象和无形资产的巨大损失。网页篡改防护需要能够提供动态防护L2-L7层的攻击，被攻击了也有篡改判定机制做到事后补偿的保护手段，确保网页不被篡改；同时需要具备篡改后应急响应的机制，即使网页内容被篡改了也不会发布与众。 立项名称 XX网站网页防篡改项目 立项效益 防护动态攻击，同时提供被动响应机制即使被篡改也不会发布出去 参考话术 ? 这今年网站篡改事件比较多，一旦被篡改形象、经济都会受到损失 ? 光防护攻击是不够的，因为攻击没有100%的防护 ? 采用事前防攻击，事后防篡改的双效手段来规避网页篡改的风险 工具索引 《AF_方案彩页_网页篡改防护解决方案V1.0》 d) 业务系统实时安全自检

业务场景 1、中型互联网电商企业或小金融客户 2、需要对安全日志进行一一分析的客户 3、定期进行渗透扫描的客户 立项理由 由于基于特征防护的防火墙、入侵防御系统呈现的日志是攻击数据，其可视性比较差，让管理员日志分析的工作量加大，需要更多更专业的安全管理人员进行分析。现有检测机制难以让清晰的分析系统的漏洞，同时业务系统更新频率比较快，随时可能出现新的漏洞，采用定期渗透扫描的方式可能会影响业务系统正常运行，并且无法满足实时进行漏洞预警的要求。 立项名称 XX业务系统实时安全自检项目、XX业务系统实时安全威胁预警项目 立项效益 实时监测漏洞与遭受攻击的情况，从用户访问业务系统的正常流量中获取服务器漏洞的信息并告知管理员，同时不会给服务器造成业务中断的风险、也不会占据服务器的带宽资源 将漏洞与攻击日志进行关联，提升管理员的安全管理效率，快速定位有效攻击 参考话术 ? 系统一更新变化产生新的漏洞，通过扫描的方式是周期性的，无法实时发现漏洞，并且可能会影响业务系统运行 ? 攻击日志并不等于业务系统的风险，网络可能存在大量的攻击源自于黑客或监管机构的探测性扫描，这些扫描可能并不针对服务器的漏洞，也就是说服务器可能并不会被这些攻击所影响。 ? 一旦真的出现安全事故，管理员可能忙于分析各类攻击日志而错失了正确做出应急响应的时机 工具索引 ? 《XX业务系统实时安全威胁预警项目预算立项建议书》 e) 互联网业务系统防扫描

业务场景 有监管单位对业务系统进行检查的客户，如交通行业、广电行业、金融行业以及政府的网站； 立项理由 来自互联网上的嗅探扫描越来越频繁，一方面会产生不必要的攻击流量影响业务系统的正常访问；另一方面会将业务系统存在的漏洞暴露在外，让攻击者能够快速的找到入侵的方式。 立项名称 XX互联网业务系统防扫描攻击项目 立项效益 1、可有效防止外部扫描对业务系统造成的影响； 2、可防止业务系统存在的漏洞暴露在互联网上； 3、防止监管单位扫描到业务系统的漏洞并进行通报； 参考话术 ? 监管单位定期会采用扫描软件对互联网的系统进行扫描，发现严重漏洞会进行通报对单位影响不好； ? 来自互联网上的嗅探扫描攻击比较多，可能会影响业务系统的正常访问； ? 漏洞信息被黑客获取到会降低黑客攻击成本，提升入侵的成功率，这样的风险比较大。 工具索引 ? 《XX互联网业务系统防嗅探攻击项目立项建议书》

三. 广域网（主要涉及产品AF、WOC、AC、VPN） a) 边界安全隔离与威胁过滤

业务场景 省市县三级平台边界安全建设 立项理由 省市县三级组网的网络需要有边界访问控制对区域和网络进行划分，以区分网络的安全级别，划分安全域。在广域网中任何一处发生攻击，威胁会在广域网的通道里进行快速的传播，不仅仅威胁到广域网上其他的单位，还有可能威胁

到总部数据中心的敏感数据。 立项名称 XX广域网边界安全隔离与威胁过滤项目 立项效益 即可以实现安全隔离，也可以进行流量清洗：一台搞定，性价比高，威胁隔离，防止扩散，保护数据，防止泄密 参考话术 ? 分三级组网每个阶段都会有部署防火墙进行安全隔离 ? 安全隔离仅仅是为了划分安全域避免不了攻击扩散 ? AF一方面提供安全隔离，同时也可以清洗广域网的流量，防止威胁扩散，保护数据防止信息泄露 工具索引 《XX广域网安全改造项目预算立项建议书》 《AF_方案彩页_广域网边界安全方案V1.0》 b) 全网安全监测项目

业务场景 1、教育局、大型制造型企业、政府垂管性较强的单位 2、购买了NGAF没有使用全网安全监测的外置数据中心和集中管理平台的客户 立项理由 广域网不断扩张和新的各类应用系统的快速上线，广域网运行效率和稳定性与现有业务关联更加紧密，网络安全、数据安全变得尤为重要。同时广域网的运维和管理的要求也在不断的提升，从网络安全、应用安全到业务数据安全的要求都在不断的提高。就目前建设的情况来看还存在很多安全风险：分支机构安全建设薄弱，容易成为入侵的短板；分支机构的安全现无法统一管理，风险不可控；安全要求落地困难，各分支机构安全状况层次不齐；总部无法了解分支端的风险，分支机构引起的安全事件难以追溯 立项名称 XX全网安全监测项目 立项效益 实现各分支机构安全状况实时上报监控，及时了解全网安全动态，减少安全运维人员成本； 各级分支节点安全状况详情分析，多维度信息找到风险来源点和防护薄弱点，优化安全运维； 安全日志统一管理，对有效攻击事件进行分析，了解攻击过程利用哪些漏洞发起攻击，实现攻击可追溯； 安全设备统一管理，实现集中特征更新与推送，快速实现安全同步； 参考话术 ? 广域网的终端用户安全状况难以统一管理，soc平台应用效果不好； ? 采用多设备进行防护成本比较高； ? 分支机构被入侵了容易将风险扩散到全网； 工具索引 《XX全网安全监测项目预算立项建议书》 《AF_方案彩页_全网安全监测平台解决方案》

四. 数据中心（主要涉及产品AF、AD、APM） a) 等保整改建设

业务场景 1、进行过等保评估存在技术差距的客户； 2、重点等保改造的行业，如医院、卫生、国土、央企、金融单位 立项理由 XX信息安全测评中心，对XX业务系统进行等保测评。根据等保测评差距分析，目前整体信息安全防护能力一般，抵御相应威胁的能力还需进一步提高。 立项名称 XX等保整改建设项目预算立项建议书 立项效益 最小成本的满足满足等保整改的技术要求 参考话术 ? 数据中心是最具吸引力的目标 工具索引 《XX等保整改建设项目预算立项建议书》 b) 重要业务系统安全加固

业务场景 数据中心已经有传统防火墙 立项理由 重要系统仍需要应用层防护，如政府数据中心区域有等保3级的系统需要单独针对该系统做安全防护；如企业ERP等重要系统，单独进行应用安全防护； 立项名称 XX业务系统安全加固项目 立项效益 提升重要业务系统应用安全防护能力，同时满足整体数据中心对性能的要求 参考话术 ? XX业务系统比较重要，没有应用安全防护的风险比较大 ? 可以单独针对该业务系统进行应用安全加固，比如等保就是针对业务系统进行安全加固的 工具索引 《AF_方案彩页_业务系统应用安全加固解决方案V1.0》 c) 业务系统安全改造

业务场景 1、测试了NGAF存在防护短板的客户但没有推动立项的客户； 2、进行了安全体检发现了业务系统漏洞的客户； 立项理由 通过测试发现了业务系统遭受的web攻击、漏洞攻击缺乏有效的安全防护手段； 通过安全体检发现业务系统存在大量的漏洞并没有防护手段 立项名称 XX业务系统安全改造 立项效益 提升业务系统web攻击、webshell攻击防护能力； 实时预警由于系统更新产生的新漏洞，增强业务系统自身安全性； 将攻击与系统真实漏洞关联，快速定位有效攻击提升管理员管理效率； 参考话术 ? XX业务系统比较重要，缺乏XX攻击防护可能导致系统瘫痪、系统被篡改甚至敏感信息被窃取 ? 业务系统更新会产生新的漏洞，渗透扫描只能周期性的发现漏洞并会影响业务系统正常运行 工具索引 《 》

本文来源：https://www.bwwdw.com/article/3sc7.html