下一代防火墙-概念-本质

下一代防火墙：从概念回归本质

与传统防火墙相比，下一代防火墙性能有了很大的提升，体现了极强的可视性、融合性、智能化。那么，究竟何为NGFW的本质特征？NGFW的必备功能是什么？NGFW与UTM的区别究竟在哪里？

AD：2013大数据全球技术峰会低价抢票中从2007年Palo Alto Networks发布世界第一款下一代防火墙（NGFW）产品至今已经有五年多的光景，这期间不少国内外的厂商相继推出了NGFW。例如：深信服、梭子鱼（Barracuda Networks）、Check Point、网康、天融信等。在防火墙市场，已经展现出一场群雄争霸的局面。

NGFW应企业需求而生

随着互联网的快速发展，各种应用程序的爆发，企业面临着常用应用程序中的漏洞带来的风险。

网络通信不再像以前一样紧紧是依赖于存储和转发应用程序（例如电子邮件），而且已经扩展到涵盖实时协作工具、Web2.0应用程序、即时消息（IM）和P2P应用程序、语音IP 电话（VoIP）、流媒体和电话会议，这些都带来潜在的风险。很多企业无法区分网络中使用的具有合法业务目的应用程序与那些不是关键型应用程序（只是消耗带宽或者带来危险）。

恶意软件和网络攻击者瞄准了这个场所，让企业面临如数据泄露、潜在的渗透等风险。除了带来安全风险，这些应用程序也消耗带宽和生产力，并且与关键业务型应用程序抢夺网络带宽。因此，企业需要工具来保证业务关键应用程序的带宽，并需要应用程序智能和控制来保护入站和出站的流量，同时确保速度和安全性以提供高效的工作环境。

应企业需求，在多种多样大量的应用程序环境下，仅靠传统防火墙的功能似乎显得力不从心，它们的技术实际上已经过时，因为它们无法检查攻击者散播的网络数据包的数据负载。而NGFW可以提供应用智能控制、入侵防御、恶意软件防护和SSL检查，还可扩展到支持最高性能网络。

众说纷纭NGFW

市场呼唤新的防火墙产品。需要注意的是，机构对下一代防火墙所做出的定义是其最小化的功能集合，而从安全厂商的角度看，则会根据自身技术积累的情况，在产品上集成更多的安全功能。这导致不同厂商的NGFW产品在功能上可能存在差异，它们更像一个大而全的

集中化解决方案，让用户感到迷惑。而在国内，业内对于Gartner的下一代防火墙定义一直存在争议，而下一代防火墙在各个安全厂商及不同用户心目中也还未能形成一个统一的概念。

2009年，Gartner在题为《Defining the Next-Generation Firewall》的报告中对下一代防火墙进行了定义，Gartner认为，NGFW应该是一个线速(wire-speed)网络安全处理平台，定位于企业网络防火墙(Enterprise Network Firewall，Firewall指宏观意义上的防火墙)市场(这里的企业指的是大型企业)，文章作者Greg Young认为，NGFW要具备的四大基本要素是：集成传统防火墙、可与之联动的IPS、应用管控/可视化和智能化联动。

不过，国内一些安全厂商认为，在云计算、WEB2.0及移动互联网等一系列新应用技术被广泛使用的今天，Gartner2009年定义NGFW时的认知已经明显不足。有国内厂商在此基础上，又提出了一代防火墙必须具备的六大特质：基于用户防护、面向应用安全、高效转发平台、多层级冗余架构、全方位可视化、安全技术融合。

以国内首个推出下一代防火墙的深信服为例，其下一代防火墙NGAF就有三个最显著的特点：完整应用层安全防御（包括主流的Web攻击、漏洞攻击等各类型的应用层攻击）；独特的双向内容检测（不仅检测由外到内流量中是否有攻击，对服务器、终端外发的流量也会进行深入内容的安全检测）；智能的安全防御体系（采用了自动建模技术和模块间联动技术。）一些厂商还声称，其下一代防火墙产品在把多业务全开之后，性能下降不超过25%，以此与UTM区分开来。另外，这些厂商还要求在下一代防火墙产品中集成网络设备的特性，使其成为具备交换特性、路由特性的全功能一体机。

令人欣慰的是，一些业内人士已经看到，在国内，需要把下一代防火墙的技术结合中国市场环境更好地得以实施。首先要满足中国市场上的用户需求；其次要考虑针对中国市场的政策要求，如，下一代防火墙能够集成防病毒特性，这些病毒库就需要用国内厂商的病毒库；最后，还要考虑到中国用户的使用水平，简化部署。

挑灯细看NGFW

与传统防火墙相比，下一代防火墙性能有了很大的提升，体现了极强的可视性、融合性、智能化。那么，究竟何为NGFW的本质特征？NGFW的必备功能是什么？NGFW与UTM的区别究竟在哪里？

从Gartner定义看，对比传统防火墙，NGFW有三个显著的优势：第一，支持联动的集成化IPS，支持面向安全漏洞的特征码和面向威胁的特征码。第二，应用管控与可视化，能识别应用和在应用层上执行独立于端口和协议。第三，智能化联动，防火墙收集外来信息来做出更好的阻止决定或建立优化的阻止规则库。

NGFW的功能至少应该包括：基于用户防护：下一代防火墙应具备用户身份管理系统，实现分级、分组、权限、继承关系等功能，充分考虑到各种应用环境下不同的用户需求。面向应用安全：在应用安全方面，下一代防火墙应该包括"智能流检测"和"虚拟化远程接入"两点。安全技术融合：动态云防护和全网威胁联防是技术融合的典范。下一代防火墙的整套安全防御体系都应该是基于动态云防护设计的。

NGFW与UTM有三大区别：集成化、单引擎；能适应不同规模的企业；性能更有保证，管理更高效。

目前，对于下一代防火墙，仍存在一些明显的争论，如：NGFW就是个加强型的UTM；NGFW 纯粹是厂商概念炒作，没什么新东西；NGFW其实早就有，只是没归纳成概念。

实际上，对于用户企业而言，面对业界纷纷扰扰的概念争论和林林总总的新产品，根本不必拘泥于尚未统一的概念本身，而应避免对厂商包装后的概念的肤浅认识，理解NGFW和UTM的本质特性。最重要的是，在此基础上，根据本企业的特定安全需求，选用最适合的防火墙产品和解决方案。

【编辑推荐】

选择下一代防火墙：十大注意事项

白皮书 选择下一代防火墙：十大注意事项 中型企业必备 概述 很多中型公司的网络安全已步入关键时期，他们必须巩固传统安全解决方案，以应对移动和云引发的新趋势，并 适应不断变化的威胁形势。这些局面导致维护网络安全这一挑战更加复杂，并加重了企业网络以最佳状态运行的 负担。 在监控用户的操作、用户访问的应用类型或使用的设备方面，传统防火墙捉襟见肘。下一代防火墙则可以填补这些空白。本文档列举了中型企业在评估下一代防火墙解决方案时需要权衡的十大注意事项： 1. 防火墙是否基于综合全面的状态防火墙基础？ 2. 对于移动用户，解决方案是否支持强大安全的远程访问？ 3. 防火墙是否提供主动威胁防范？ 4. 防火墙能否在多个安全服务运行时保持性能不降级？ 5. 解决方案是否提供深度应用可视性和精细应用控制？ 6. 防火墙是否能够交付用户、网络、应用以及设备智能，推动情景感知防护？ 7. 防火墙是否提供基于云的网络安全？ 8. 能否部署可随着组织扩展的面向未来的解决方案？ 9. 防火墙供应商是否拥有广泛的支持和服务，可为迁移路径铺平道路？ 10. 防火墙供应商是否提供极具吸引力的融资方案，以缩短部署时间？ 下一代防火墙应提供“一体化”解决方案，并融合一系列经济实惠、且便于部署和管理的下一代防火墙服务。本白皮书将帮助您评估下一代防火墙，为您的中型组织作出最明智选择。

网络受损害的机率：100% 据思科 2014 年度安全报告，“所有组织都应该假设自己已经受到黑客的攻击。”1思科智能运营中心 (SIO) 的研究人员发现，所有企业网络中都能检测到恶意流量，这意味着有证据表明恶意人士已经侵入这些网络，而且可能不被察觉地活动了很长时间。2 这些发现强调了为什么所有组织必须部署可提供持续安全以及整个安全网络端到端可视性的下一代防火墙解决方案。成功的攻击是不可避免的，IT 团队必须能够确定损害的范围、遏制事件的发展、采取补救措施，并将运营恢复正常，而且这一切必须及时快速展开。 向新安全模式转变 下一代防火墙是以威胁为中心的安全模式的重要要素。采取以威胁为中心的模式，监控整个网络，并在攻击的整个生命周期（即攻击前、攻击中以及攻击后）做出适当的回应意义非凡。在为组织评估下一代防火墙时，一定要记住，任何解决方案都必须满足下列要求： ●具有全面的防护功能：要在当前威胁形势下保护网络，离不开基于漏洞调查、信誉评分以及其他关键要素的 一流防恶意软件和入侵防御。 ●遵守业务策略：下一代防火墙必须从深度和广度两个层面，对有关应用使用的策略进行全面实施。同时，必 须保证可根据业务策略，在细粒度级别，对出于个人和专业原因使用的各种协作和 Web 2.0 应用进行监控和控制。 ●确保策略得到设备和用户的实施：下一代防火墙必须对访问网络的设备和用户、及其访问网络的位置做到了 如指掌。同时，还必须确保安全策略可根据用户、群以及设备类型（Apple iPhone、iPod、Android 移动设备的具体版本）进行调整。 再者，启用多个服务时，下一代防火墙解决方案不能在以线速保证防护、策略、一致性以及环境的同时，造成性能突然大幅降级。 选择下一代防火墙解决方案时，请思考这些重要问题： 1思科 2014 年度安全报告：https://www.sodocs.net/doc/178917236.html,/web/offer/urls/CN/whitepapers/sc-01casr2014_cte_lig_zh-cn_35330.pdf。 2同上。

防火墙方案

防火墙方案

防火墙方案

区域逻辑隔离建设（防火墙） 国家等级保护政策要求不同安全级别的系统要进行逻辑隔离，各区域之间能够按照用户和系统之间的允许访问规则控制单个用户，决定允许或者禁止用户对受控系统的资源访问。 国家等级化保护政策要求不同安全级别间的系统要进行区域的逻辑隔离，各区域之间能按照用户和系统之间的允许访问规则，控制担搁用户，决定允许或者拒绝用户对受控系统的资源访问。 在网络边界部署防火墙系统，并与原有防火墙形成双机热备，部署防火墙能够实现： 1.网络安全的基础屏障： 防火墙能极大地提高一个内部网络的安全性，并经过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能经过防火墙，因此网络环境变得更安全。如防火墙能够禁止诸如众所周知的不安全的NFS协议进出受保护网络，这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。防火墙同时能够保护网络免受基于路由的攻击，如IP选项中的源路由攻击和ICMP重定向中的重定向路径。防火墙能够拒绝所有以上类型攻击的报文并通知防火墙管理员。 2.强化网络安全策略

经过以防火墙为中心的安全方案配置，能将所有安全软件（如口令、加密、身份认证、审计等）配置在防火墙上。与将网络安全问题分散到各个主机上相比，防火墙的集中安全管理更经济。例如在网络访问时，一次一密口令系统和其它的身份认证系统完全能够不必分散在各个主机上，而集中在防火墙一身上。 3.对网络存取和访问进行监控审计 如果所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并作出日志记录，同时也能提供网络使用情况的统计数据。当发生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到监测和攻击的详细信息。另外，收集一个网络的使用和误用情况也是非常重要的。首先的理由是能够清楚防火墙是否能够抵挡攻击者的探测和攻击，而且清楚防火墙的控制是否充分。而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。 4.防止内部信息的外泄 经过利用防火墙对内部网络的划分，可实现内部网重点网段的隔离，从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。再者，隐私是内部网络非常关心的问题，一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣，甚至因此而曝露了内部网络的某些安全漏洞。使用防火墙就能够隐蔽那些透漏内部细节如Finger，DNS等服务。

话说下一代防火墙(NGFW)的“三个”

话说下一代防火墙（NGFW）的“三个” 下一代防火墙"NGFW"一个从产生到日渐成熟仍旧拥有一定热度的词汇，相较于传统的防火墙，NGFW的安全性能有了很大的提升，体现了极强的可视性、融合性、智能化。本文来和大家 说说下一代防火墙的"三个"。 下一代防火墙"NGFW"，一个从产生到日渐成熟仍旧拥有一定热度的词汇，相较于传统的防火墙，NGFW的安 全性能有了很大的提升，体现了极强的可视性、融合性、智能化。本文来和大家说说下一代防火墙的"三个"。 下一代防火墙发展的三个拐点 事物的更新迭代是必然的，就像是一个朝代的兴起与衰落，而防火墙性能的提升自然也不会例外，于是下 一代防火墙应景而生。同很多新生事物一样，它也需要慢慢的发展而后变得成熟。下面我们一起看看它的 经历。 拐点一：下一代防火墙的萌动发展 随着国外用户对应用的增多、攻击复杂，传统的防火墙已经不能满足人们的需求。于是美国的PaloAlto公司率先发布了下一代防火墙的产品，并凭借仅有的一条产品线在国外市场获得众多用户的青睐。2009年，著名的分析机构Gartner年发布的一份名为《Defining the Next-Generation Firewall》的文章重新定义 了防火墙，它集成了深度包检测入侵测试、应用识别与精细控制。这个定义一经发布便受到了国外一些安 全厂商的热捧，认为传统防火墙十多年缓慢的发展确实越来越不匹配其网络边界第一道防线的称号。 拐点二：下一代防火墙热潮汹涌 随着国外防火墙的升级发展，国内厂商也纷纷发布自己的下一代防火墙以顺应网络安全产品变革的趋势， 一股下一代防火墙的热潮被掀起。这其中比较知名的厂商有：梭子鱼、深信服、锐捷、天融信、东软等， 各家产品有着各自不同的特点。总的来说，下一代防火墙相比传统的防火墙功能更加的全面，性能更是强劲。 拐点三：下一代防火墙日渐成熟 热潮过后，厂商不断的反思对下一代防火墙进行改进升级。从2011年国内的下一代防火墙开始发展至今，这近两年的时间过后，下一代防火墙越来越成熟，越来越被人们认可接受。很多的用户使用下一代防火墙

下一代防火墙和传统防火墙的区别

下一代防火墙和传统防火墙的区别： 传统防火墙：无法防御应用层攻击 NGAF：解决运行在网络传统防火墙对应用层协议识别、控制及防护的不足！ 功能优势： 1、应用层攻击防护能力（漏洞防护、web攻击防护、病毒木马蠕虫） 2、双向内容检测的优势（具备网页防篡改、信息防泄漏） 3、8元组ACL与应用流控的优势 4、能实现模块间智能联动 下一代防火墙和IPS(入侵防御模块)区别： IPS：应用安全防护体系不完善，对WEB攻击防护效果不佳；NGAF：解决保护系统层面的入侵防御系统，和对应用层攻击防护不足，及应用层攻击漏判误判的问题！ 功能优势： 1、Web攻击防护，尤其是各类逃逸攻击（注入逃逸、编码逃逸）的防护

下一代防火墙和WAF（Web应用防火墙）： WAF：处理性能不足，缺乏底层漏洞攻击特征库，无法对WEB业务进行整体安全防护 NGAF：解决定位于防护Web攻击的Web应用防火墙 功能优势： 1、三大特征库保护网站安全：漏洞2800+、web攻击2000+、敏感信息（OWASP综合4星） 2、敏感信息防泄漏功能，业内热点，业界独家 3、自动建模技术，自动生成策略。 下一代防火墙和UTM（统一权威管理）: UTM：多功能开启性能差，各模块缺乏联动 NGAF：解决面向中小型企业一体化的UTM统一威胁管理系统，解决多功能模块开启后性能下降以及应用层防护能力不足的问题。 功能优势： 1、六大特征库更完整安全：（漏洞2800+、应用2000+、病毒库10万、web攻击2000+、URL+恶意网址10万、敏感信息） 2、Web攻击模块（web攻击防护、敏感信息、防篡改、应

下一代防火墙解决方案讲解

下一代防火墙解决方案

目录 1 网络现状 (3) 2 解决方案 (9) 2.1 网络设备部署图 (9) 2.2 部署说明 (9) 2.3 解决方案详述 (9) 2.3.1 流量管理 (10) 2.3.2 应用控制 (12) 2.3.3 网络安全 (12) 3 报价 (25)

1 网络现状 随着网络技术的快速发展，现在我们对网络安全的关注越来越重视。近几年来，计算机和网络攻击的复杂性不断上升，使用传统的防火墙和入侵检测系统（IDS）越来越难以检测和阻挡。漏洞的发现和黑客利用漏洞之间的时间差也变得越来越短，使得IT和安全人员得不到充分的时间去测试漏洞和更新系统。随着病毒、蠕虫、木马、后门和混合威胁的泛滥，内容层和网络层的安全威胁正变得司空见惯。复杂的蠕虫和邮件病毒诸如Slammer、Blaster、Sasser、Sober、MyDoom 等在过去几年经常成为头条新闻，它们也向我们展示了这类攻击会如何快速的传播——通常在几个小时之内就能席卷全世界。 许多黑客正监视着软件提供商的补丁公告，并对补丁进行简单的逆向工程，由此来发现漏洞。下图举例说明了一个已知漏洞及相应补丁的公布到该漏洞被利用之间的天数。需要注意的是，对于最近的一些攻击，这一时间已经大大缩短了。 IT和安全人员不仅需要担心已知安全威胁，他们还不得不集中精力来防止各种被称之为“零小时”（zero-hour）或“零日”（zero-day）的新的未知的威胁。为了对抗这种新的威胁，安全技术也在不断进化，包括深度包检测防火墙、应用网关防火墙、内容过滤、反垃圾邮件、SSL VPN、基于网络的防病毒和入侵防御系统（IPS）等新技术不断被应用。但是黑客的动机正在从引起他人注意向着获取经济利益转移，我们可以看到一些更加狡猾的攻击方式正被不断开发出来，以绕过传统的安全设备，而社会工程（social engineering）陷阱也成为新型

下一代防火墙_绿盟_下一代防火墙产品白皮书

绿盟下一代防火墙 产品白皮书 ? 2014 绿盟科技■版权声明 本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属绿盟科技所有，受到有关产权及版权法保护。任何个人、机构未经绿盟科技的书面授权许可，不得以任何方式复制或引用本文的任何片断。

目录 一. 当今网络边界安全的新挑战 (1) 二. 现有防火墙解决方案的不足 (2) 三. 绿盟下一代防火墙产品 (3) 3.1客户价值 (3) 3.1.1 洞察网络应用，识别安全风险 (3) 3.1.2 融合安全功能，保障应用安全 (4) 3.1.3 高效安全引擎，实现部署无忧 (4) 3.1.4 内网风险预警，安全防患未然 (4) 3.1.5 云端高效运维，安全尽在掌握 (5) 3.2产品概述 (5) 3.3产品架构 (6) 3.4主要功能 (7) 3.4.1 识别和可视性 (7) 3.4.2 一体化策略与控制 (8) 3.4.3 应用层防护 (9) 3.4.4 内网资产风险识别 (10) 3.4.5 安全运维云端接入 (11) 3.4.6 基础防火墙特性 (12) 3.5产品优势 (13) 3.5.1 全面的应用、用户识别能力 (13) 3.5.2 细致的应用层控制手段 (15) 3.5.3 专业的应用层安全防护能力 (16) 3.5.4 卓越的应用层安全处理性能 (18) 3.5.5 首创的内网资产风险管理 (18) 3.5.6 先进的云端安全管理模式 (18) 3.5.7 完全涵盖传统防火墙功能特性 (19) 3.6典型部署 (19) 四. 总结 (20)

插图索引 图1 核心理念 (5) 图2 整体架构 (6) 图3 资产管理 (10) 图4 云端接入 (11) 图5 应用/用户识别 (13) 图6 应用控制 (15) 图7 一体化安全引擎 (16) 图8 双引擎多核并发 (18) 图9 典型部署 (19)

下一代防火墙-概念-本质

下一代防火墙：从概念回归本质 与传统防火墙相比，下一代防火墙性能有了很大的提升，体现了极强的可视性、融合性、智能化。那么，究竟何为NGFW的本质特征？NGFW的必备功能是什么？NGFW与UTM的区别究竟在哪里？ AD：2013大数据全球技术峰会低价抢票中从2007年Palo Alto Networks发布世界第一款下一代防火墙（NGFW）产品至今已经有五年多的光景，这期间不少国内外的厂商相继推出了NGFW。例如：深信服、梭子鱼（Barracuda Networks）、Check Point、网康、天融信等。在防火墙市场，已经展现出一场群雄争霸的局面。 NGFW应企业需求而生 随着互联网的快速发展，各种应用程序的爆发，企业面临着常用应用程序中的漏洞带来的风险。 网络通信不再像以前一样紧紧是依赖于存储和转发应用程序（例如电子邮件），而且已经扩展到涵盖实时协作工具、Web2.0应用程序、即时消息（IM）和P2P应用程序、语音IP 电话（VoIP）、流媒体和电话会议，这些都带来潜在的风险。很多企业无法区分网络中使用的具有合法业务目的应用程序与那些不是关键型应用程序（只是消耗带宽或者带来危险）。 恶意软件和网络攻击者瞄准了这个场所，让企业面临如数据泄露、潜在的渗透等风险。除了带来安全风险，这些应用程序也消耗带宽和生产力，并且与关键业务型应用程序抢夺网络带宽。因此，企业需要工具来保证业务关键应用程序的带宽，并需要应用程序智能和控制来保护入站和出站的流量，同时确保速度和安全性以提供高效的工作环境。 应企业需求，在多种多样大量的应用程序环境下，仅靠传统防火墙的功能似乎显得力不从心，它们的技术实际上已经过时，因为它们无法检查攻击者散播的网络数据包的数据负载。而NGFW可以提供应用智能控制、入侵防御、恶意软件防护和SSL检查，还可扩展到支持最高性能网络。 众说纷纭NGFW 市场呼唤新的防火墙产品。需要注意的是，机构对下一代防火墙所做出的定义是其最小化的功能集合，而从安全厂商的角度看，则会根据自身技术积累的情况，在产品上集成更多的安全功能。这导致不同厂商的NGFW产品在功能上可能存在差异，它们更像一个大而全的

防火墙购买方案

防火墙购买方案 Document number【AA80KGB-AA98YT-AAT8CB-2A6UT-A18GG】

北京（怀柔）量子伟业网络升级-防火墙 网络负责人：陆思远

防火墙的作用： 防火墙作为内部网与外部网之间的一种访问控制设备，常常安装在内部网和外部网交界点上。防火墙具有很好的网络安全保护作用。入侵者必须首先穿越防火墙的安全防线，才能接触目标计算机。你可以将防火墙配置成许多不同保护级别。高级别的保护可能会禁止一些服务，如视频流等，但至少这是你自己的保护选择。 主要作用： （1）Internet防火墙可以防止Internet 上的危险(病毒、资源盗用)传播到网络内部。 （2）能强化安全策略； （3）能有效记录Internet上的活动；（4）可限制暴露用户点； （5）它是安全策略的检查点。?

软件防火墙与硬件防火墙区别: 硬件防火墙:系统是嵌入式的系统。一般开源的较多。硬件防火墙是通过硬件和软件的组合来达到隔离内外部网络的目的。 软件防火墙:一般寄生在操作系统平台。软件防火墙是通过纯软件的的方式实现隔离内外部网络的目的。硬件防火墙是流行趋势，相比软件防火墙除成本外很有优势。 1、性能优势。防火墙的性能对防火墙来说是至关重要的。它决定了每秒钟通过防火墙的数据流量。单位是Bps，从几十M 到几百M不等，还有千兆防火墙甚至达到几G的防火墙。而软件防火墙则不可能达到如此高的速率。硬件防火墙是通过硬件实现的功能，所以效率高，其次因为它本身就是专门为了防火墙这一个任务设计

的，内核针对性很强，所以在抗攻击能力比软件防火墙高很多。 2、CPU占用率的优势。硬件防火墙的CPU占用率当然是0了，而软件防火墙就不同了，如果处于节约成本的考虑将防火墙软件安装在提供服务的主机上，当数据流量较大时，CPU占用率将是主机的杀手，将拖跨主机。? 3、售后支持。硬件防火墙厂家会对防火墙产品有跟踪的服务支持，而软件防火墙的用户能得到这种机会的相对较少，而且厂家也不会在软件防火墙上下太大的功夫和研发经费。

下一代防火墙多链路负载技术方案

多链路负载均衡解决方案 1.背景 在企业信息化发展过程中，企业网络对出口带宽的需求日益增加，为此很多企业都同时租用多个运行商链路，或者一个运营商的多条链路。通过多链路接入可以增加带宽，同时起到分流作用；多链路接入还可以起到链路备份功能，如果其中的一条线路断开，则自动使用另外一条线路；所以，在企业网络出口以多链路方式接入变得越来越普遍，如何更高效的利用多链路带宽资源成为一个新的挑战。 2.典型用户问题 随着业务规模的发展，初建网络时的一个出口链路已经不能满足业务流量的带宽需求，所以许多企业通过新增出口链路的方式来扩展带宽。相比于直接扩容初始链路的带宽，新增出口链路更为灵活、方便和节约成本。同时，多条链路可以提高出口的稳定性，如果其中有一条链路出现故障，导致中断，另外的链路可以将流量接管过来，起到备份保障的作用。 多出口链路的部署方式，改变了业务流量“一条道跑到黑”的模式，当业务流量走到网关的十字路口前，从哪个出口走出去，成为多链路负载均衡需要解决的技术问题。 1）多条链路带宽差异大：企业网络初建时，迫于成本压力，一般出口带宽都较小，而后期新增链路的带宽都比较大，造成非对称的多出口链路。 如果业务流量不能合理分配，就会造成一条链路带宽被占满，其它链路 还处于空闲，导致大量带宽被浪费。 2）多运营商网络质量差异大：目前，国内的网络运营商之间竞争激烈，不同运营商的网络质量不同，跨运营商的访问存在延迟很大，丢包较多的 现状。比如访问互联网的一个WEB站点，一般DNS服务器对一个域名只能解析出一个IP，如果该域名解析出是联通的IP，电信线路的用户访问

该IP的体验将非常缓慢。那么内网用户访问该WEB站点的流量该从哪个运营商的出口链路出去，才能有更好的网络体验，是网关设备必须要解 决的问题。 3）多种应用对带宽需求差异大：随着互联网技术的快速发展，网络上的各种应用层出不穷，各种网络应用对带宽的需求不同。比如P2P下载对带 宽需求非常大，因为P2P会产生大量连接，连接地址不仅数量众多而且 均不固定，可以迅速的挤占出口带宽，导致业务流量无法正常转发，影 响企业业务运转和工作效率。 3.解决之道 网康下一代防火墙NGFW产品在提供全方位的安全防护的功能的基础上，在网关模式部署时提供多链路负载均衡功能，以适应用户多运营商链路或同运营商多链路接入的应用场景。 NGFW 办公区1办公区N 核心交换机 …… NGFW多链路负载均衡结构图

下一代防火墙设计方案V2

惠尔顿下一代防火墙 （NGWF） 设计方案 深圳市惠尔顿信息技术有限公司 2016年5月1日

目录 一、方案背景 (2) 二、网络安全现状 (2) 三、惠尔顿下一代防火墙（NGWF）介绍及优势 (7) 四、惠尔顿NGWF功能简介 (10) 五、部署模式及网络拓扑 (14) 六、项目报价 (15) 七、售后服务 (16)

一、方案背景 无锡某部队响应国家公安部82号令号召，加强部队网络安全建设。针对目前网络存在的涉密、泄密、木马、病毒等进行预防。 二、网络安全现状 近几年来，计算机和网络攻击的复杂性不断上升，使用传统的防火墙和入侵检测系统（IDS）越来越难以检测和阻挡。随着每一次成功的攻击，黑客会很快的学会哪种攻击方向是最成功的。漏洞的发现和黑客利用漏洞之间的时间差也变得越来越短，使得IT和安全人员得不到充分的时间去测试漏洞和更新系统。随着病毒、蠕虫、木马、后门和混合威胁的泛滥，内容层和网络层的安全威胁正变得司空见惯。复杂的蠕虫和邮件病毒诸如Slammer、Blaster、Sasser、Sober、MyDoom等在过去几年经常成为头条新闻，它们也向我们展示了这类攻击会如何快速的传播——通常在几个小时之内就能席卷全世界。 许多黑客正监视着软件提供商的补丁公告，并对补丁进行简单的逆向工程，由此来发现漏洞。下图举例说明了一个已知漏洞及相应补丁的公布到该漏洞被利用之间的天数。需要注意的是，对于最近的一些攻击，这一时间已经大大缩短了。 IT和安全人员不仅需要担心已知安全威胁，他们还不得不集中精力来防止各种被称之为“零小时”（zero-hour）或“零日”（zero-day）的新的未知的威胁。为了对抗这种新的威胁，安全技术也在不断进化，包括深度包检测防火墙、应用网关防火墙、内容过滤、反垃圾邮件、SSL VPN、基于网络的防病毒和入侵防御系统（IPS）等新技术不断被应用。但是黑客的动机正在从引起他人注意向着获取经济利益转移，我们可以看到一些更加狡猾的攻击方式正被不断开发出来，以绕过传统的安全设备，而社会工程（social engineering）陷阱也成为新型攻击的一大重点。

Cisco Firepower 下一代防火墙

数据表 Cisco Firepower 下一代防火墙 Cisco Firepower? 下一代防火墙 (NGFW) 是业内首款具有统一管理功能的完全集成、专注于威胁防御的下一代防火墙。它包括应用可视性与可控性 (AVC)、可选的 Firepower 下一代 IPS (NGIPS)、思科?高级恶意软件防护 (AMP) 和 URL 过滤。在攻击前、攻击中和攻击后，Cisco Firepower NGFW 均可提供高级威胁防护。 性能亮点 表 1 概述 Cisco Firepower NGFW 4100 系列和 9300 设备的性能亮点。 表 1. 性能亮点 1 Cisco Firepower 4150 计划于 2016 年上半年发布；具体技术参数将于日后发布 2 数据包平均大小为 1024 字节的 HTTP 会话 Cisco Firepower 4100 系列： 带 40-GbE 接口的业内首款 1RU NGFW Cisco Firepower 9300： 随需求增长可扩展的超高性能 NGFW

平台支持 Cisco Firepower 4100 系列和 Firepower 9300 NGFW 设备使用 Cisco Firepower 威胁防御软件映像。这些设备还可以支持思科自适应安全设备 (ASA) 软件映像。Cisco Firepower 管理中心（原来的 FireSIGHT）提供 Cisco Firepower NGFW 以及 Cisco Firepower NGIPS 和思科 AMP 的统一管理。此外，优选 Cisco Firepower 设备上还提供直接源自思科的 Radware DefensePro 分布式拒绝服务 (DDoS) 缓解功能。 Cisco Firepower 4100 系列设备 Cisco Firepower 4100 系列包括四个专注于威胁防御的 NGFW 安全平台。其最大吞吐量从 20 Gbps 到 60 Gbps 以上，可应对从互联网边缘到数据中心等各种使用案例。它们可提供卓越的威胁防御能力以及更快的响应速度，同时占用空间却更小。 Cisco Firepower 9300 设备 Cisco Firepower 9300 是可扩展（超过 1 Tbps）运营商级模块化平台，专为要求低（少于 5 微秒分流）延迟和超大吞吐量的运营商、高性能计算中心、数据中心、园区、高频交易环境等打造。Cisco Firepower 9300 通过 RESTful API 实现分流、可编程的安全服务协调和管理。此外，它还可用于兼容 NEBS 的配置中。 性能规范和功能亮点 表 2 概述 Cisco Firepower NGFW 4100 系列和 9300 设备在运行 Cisco Firepower 威胁防御映像时的功能。 表 2.通过 Firepower 威胁防御映像实现的性能规范和功能亮点

防火墙AF解决方案word

深信服下一代防火墙NGAF 解决方案

第1章需求概述 1.1方案背景 1.2网络安全现状 近几年来，计算机和网络攻击的复杂性不断上升，使用传统的防火墙和入侵检测系统（IDS）越来越难以检测和阻挡。随着每一次成功的攻击，黑客会很快的学会哪种攻击方向是最成功的。漏洞的发现和黑客利用漏洞之间的时间差也变得越来越短，使得IT和安全人员得不到充分的时间去测试漏洞和更新系统。随着病毒、蠕虫、木马、后门和混合威胁的泛滥，内容层和网络层的安全威胁正变得司空见惯。复杂的蠕虫和邮件病毒诸如Slammer、Blaster、Sasser、Sober、MyDoom等在过去几年经常成为头条新闻，它们也向我们展示了这类攻击会如何快速的传播——通常在几个小时之内就能席卷全世界。 许多黑客正监视着软件提供商的补丁公告，并对补丁进行简单的逆向工程，由此来发现漏洞。下图举例说明了一个已知漏洞及相应补丁的公布到该漏洞被利用之间的天数。需要注意的是，对于最近的一些攻击，这一时间已经大大缩短了。 IT和安全人员不仅需要担心已知安全威胁，他们还不得不集中精力来防止各种被称之为“零小时”（zero-hour）或“零日”（zero-day）的新的未知的威胁。为了对抗这种新的威胁，安全技术也在不断进化，包括深度包检测防火墙、应用网关防火墙、内容过滤、反垃圾邮件、SSL VPN、基于网络的防病毒和入侵防御系统（IPS）等新技术不断被应用。但是黑客的动机正在从引起他人注意向着获取经济利益转移，我们可以看到一些更加狡猾的攻击方式正被不断开发出来，以绕过传统的安全设备，而社会工程（social engineering）陷阱也成为新型攻击的一大重点。

下一代防火墙解决方案-互联网Web业务自适应安全方案

互联网Web业务自适应安全方案

目录 互联网Web业务自适应安全方案 (1) 一、应用背景 (3) 二、需求分析 (3) 三、深信服解决之道 (5) 3.1 OWASP十大web攻击防护 (6) 3.2系统/应用漏洞攻击防护 (7) 3.3威胁情报预警与处置 (8) 3.4专业的网页防篡改 (8) 3.5高效精准的黑链检测 (9) 3.6多维敏感信息防泄漏 (9) 3.7 智能化CC攻击防护 (10) 3.8 可视化网站风险展示 (10) 3.9自助化快速安全运维 (11)

一、应用背景 随着电子商务、Web2.0、互联网+等一系列创新的产品和理念的发展，基于Web环境的互联网应用越来越广泛，门户网站、办公应用、在线考试、网上银行、网络购物、网络游戏、在线视频等很多互联网应用都架设在Web平台上。国家互联网应急中心统计显示，当前互联网上WEB业务应用流量占比非常高。 Web业务的迅速发展也引起黑客的强烈关注，紧随而来的就是Web安全威胁的凸显，黑客利用网站操作系统和服务程序漏洞，很容易获得Web服务器的控制权限，实现篡改网页内容、窃取重要数据、植入恶意代码、发起拒绝服务等各种恶意目的，使得网站建设方和访问者受到侵害。这也使得越来越多的用户关注应用层的安全问题，对网站安全的关注度也持续提升。 二、需求分析 国家互联网应急中心（CNCERT/CC）《2014中国互联网网络安全报告》显示“我国网站安全问题非常严峻，2014年我国境内被篡改网站数量为137334个，较2013年大幅增长53.8%；2014年，监测到仿冒我国境内网站的钓鱼页面99409个，涉及IP地址6844个，其中89.4%的IP地址位于境外；2014年，监测到境内40186个网站被植入后门，其中政府网站有1529个”。严重的网站安全问题进一步引发网站用户信息和数据的泄露等问题。2014年，国内先后发生用户开房信息泄露、12306用户信息泄露、团购网站账户信息泄露、社保账户信息泄露等多

下一代防火墙,安全防护三步走

下一代防火墙，安全防护三步走 下一代防火墙区别于传统防火墙的核心特色之一是对应用的识别、控制和安全性保障。这种显著区别源自于Web2.0与Web1.0这两个不同网络时代下的模式变迁。传统的Web1.0网络以服务请求与服务提供为主要特征，服务提供方提供的服务形态、遵循的协议都比较固定和专一，随着社会化网络Web2.0时代的到来，各种服务协议、形态已不再一尘不变，代之以复用、变种、行为差异为主要特征的各种应用的使用和共享。本文即针对下一代防火墙的这一主要特征，从基于应用的识别、控制、扫描的三步走中，阐述新时代网络环境下的防护重点和安全变迁，旨在帮助读者对下一代防火墙新的核心防护理念做一个较为全面的梳理和归纳。面对应用层威胁，传统防火墙遭遇“阿喀琉斯之踵” 1.新的应用带来全新的应用层威胁 Web2.0应用虽然可以显著增强协作能力，提高生产效率，但同时也不可避免地带来了新的安全威胁。 1)恶意软件入侵 WEB应用中社交网络的普及给恶意软件的入侵带来了巨大的便利，例如灰色软件或链接到恶意站点的链接。用户的一条评价、一篇帖子、或者一次照片上传都可能包含殃及用户或甚至整个网络的恶意代码。例如，如果用户在下载驱动程序的过程中点击了含有恶意站点的链接，就很有可能在不知情的情况下下载了恶意软件。 2)网络带宽消耗对于部分应用来说，广泛的使用会导致网络带宽的过渡消耗。例如优酷视频可以导致网络拥塞并阻碍关键业务使用和交付。还有对于文件共享类应用，由于存在大量的文件之间的频繁交换，也可能会最终导致网络陷入瘫痪。 3)机密资料外泄某些应用（如即时通信，P2P下载等）可提供向外传输文件附件的功能，如果对外传输的这些文件存在敏感、机密的信息，那么将给企业带来无形和有形资产的损失，并且也会带来潜在的民事和刑事责任。 2.传统防火墙的“阿喀琉斯之踵” 由于传统的防火墙的基本原理是根据IP地址/端口号或协议标识符识别和分类网络流量，并执行相关的策略。对于WEB2.0应用来说，传统防火墙看到的所有基于浏览器的应用程序的流量是完全一样的，因而无法区分各种应用程序，更无法实施策略来区分哪些是不当的、不需要的或不适当的程序，或者允许这些应用程序。如果通过这些端口屏蔽相关的流量或者协议，会导致阻止所有基于web的流量，其中包括合法商业用途的内容和服务。另外传统防火墙也检测不到基于隧道的应用，以及加密后的数据包，甚至不能屏蔽使用非标准端口号的非法应用。下一代防火墙之“三步走” 下一代防火墙的核心理念其实是在企业网络边界建立以应用为核心的网络安全策略，通过智能化识别、精细化控制、一体化扫描等逐层递进方式实现用户/应用行为的可视，可控、合规和安全，从而保障网络应用被安全高效的使用。第一步：智能化识别通过智能化应用、用户识别技术可将网络中简单的IP地址/端口号信息转换为更容易识别且更加智能化的用户身份信息和应用程序信息，为下一代防火墙后续的基于应用的策略控制和安全扫描提供的识别基础。例如：对于同样一条数据信息，传统防火墙看到的是：某源IP通过某端口访问了某目的IP；下一代防火墙看到：某单位张三通过QQ给远在美国的李四传输了一个PDF文件。第二步：精细化控制下一代防火墙可以根据风险级别、应用类型是否消耗带宽等多种方式对应用进行分类，并且通过应用访问控制，应用带宽管理或者应用安全扫描等不同的策略对应用分别进行细粒度的控制。相对于传统防火墙，下一代防火墙可以区分同一个应用的合法行为和非法行为，并且对非法行为进行阻断。如：下一代防火墙可以允许使用QQ的前提下，禁止QQ的文件传输动作，从而一定程度上避免单位员工由于传输QQ文件造成的内部信息泄漏。第三步：一体化扫描在完成智能化识别和精细化控制以后，对允许使用且存在高安全风险的网络应用，下一代防火墙可以进行漏洞、病毒、URL和内容等不同层次深度扫描，如果发现该应用中存在安全风险或攻击行为可以做进一步的阻断等动作。下一代防火墙在引擎设计上采用了单次解析架构，这种引擎架构可以保证引擎系统在数据流流入时，一次性地完成

RADVISION 防火墙穿越解决方案

RADVISION 防火墙穿越解决方案——SCOPIA PathFinder RADVISION在ITU H.460 领域一直处于领先地位，RADVISION推出的PathFinder5版是针对端到端防火墙和NAT穿越解决方案。现在加入了对H.460的支持，能够让兼容H.460的端点在连接数据流中不需要借助任何中间客户端便可进行连接。SCOPIA PathFinder是市面上惟一一种能够同时处理支持和不支持H.460的端点的解决方案，并且不需要额外的硬件或穿越软件。 SCOPIAPathFinder是一种完整的防火墙穿越及NAT解决方案，同时提供了近端（企业网络）和远端（远程地址）解决方案。PathFinder保持了防火墙和NAT的安全性和优势，同时为远程工作者、外出工作者、客户和供应者带来了IP视频通信能力。PathFinder确保了跨越企业防火墙边界的重要通信渠道的迅速而简单的建立。 H.460是一组ITU标准，它定义了防火墙穿越的协议。兼容H.460的会议端点将会直接连接PathFinder寻求穿越防火墙的连接。对于非H.460端点，免费的SCOPIAPathFinder客户端软件可以在远端使用，通过PathFinder提供防火墙穿越。 SCOPIAPathFinderv5的优势: RVSN 客户端软件是免费的，而且对用户终端没有限制。与TANDBERG 的方案会相比，RADVISION在成本方面就更具竞争力。不论您使用的是Aethra、Polycom、Sony、Tandberg, 或是任何H.323 厂商的个人系统，你只需在防火墙后使用一个PC 来运行客户端软件以支持所有这些终端（最初的Ridgeway 也是这样）。一个用户端可以支持多个终端，就像是为区域外呼叫设置的网守。?而TANDBERG 解决方案将用户端软件配置于MXP 终端中，因此对于其它终端来说，用户不得不使用TANDBERG 网守。并且每个网守都必须在网络云中与各自的Expressway 会议边际控制器进行交流。PathFinderv5的其他特征还有： * 端到端的连通性，链接所有的H.323视频会议系统或设备 * 适用于任何防火墙、终端和网闸 * 支持任何标准的H.323终端和网闸 * 易于在任意单独的网络计算机上安装 * 无需改变拨号计划或终端E164号码 * 在客户端安全的使用Hardened Linux操作系统（RADVISION定制核心）和内置访问控制列表 * 媒体和信令的AES加密 * 可扩展和部署在单个客户端服务多个终端 * 易于管理，允许管理员查看、链接和断开客户端、监控正在进行的呼叫

下一代防火墙 白皮书V1.0-1108

深信服下一代防火墙NGAF 技术白皮书 深信服科技有限公司 https://www.sodocs.net/doc/178917236.html, 二零一一年八月

目录 1.概述 (3) 2. 为什么需要下一代防火墙 (3) 2.1网络发展的趋势使防火墙以及传统方案失效 (3) 2.2替代性方案能否弥补 (4) 2.2.1“打补丁式的方案” (4) 2.2.2 UTM统一威胁管理 (4) 3.下一代防火墙的诞生与价值 (4) 3.1Gantner定义下一代防火墙 (4) 3.2深信服下一代应用防火墙—NGAF (5) 4.产品功能特点 (6) 4.1更精细的应用层安全控制 (6) 4.1.1可视化应用识别 (7) 4.1.2多种用户识别方式 (7) 4.1.3一体化应用访问控制策略 (8) 4.1.4基于应用的流量管理 (9) 4.2更全面的内容级安全防护 (10) 4.2.1灰度威胁关联分析技术 (10) 4.2.2基于攻击过程的服务器保护 (12) 4.2.3强化的WEB安全防护 (13) 4.2.4完整的终端安全保护 (14) 4.3更高性能的应用层处理能力 (15) 4.3.1单次解析架构 (15) 4.3.2多核并行处理技术 (16) 4.4更完整的安全防护方案 (16) 5.关于深信服 (17)

1.概述 防火墙自诞生以来，在网络安全防御系统中就建立了不可替代的地位。作为边界网络安全的第一道关卡防火墙经历了包过滤技术、代理技术和状态监视技术的技术革命，通过ACL 访问控制策略、NAT地址转换策略以及抗网络攻击策略有效的阻断了一切未被明确允许的包通过，保护了网络的安全。防火墙就像故宫的城墙，对进出防火墙的一切数据包进行检查，保证合法数据包能够进入网络访问合法资源同时防止非法人员通过非法手段进入网络或干扰网络的正常运行。防火墙技术在当时被堪称完美！随着时代的变迁，故宫的城墙已黯然失色，失去了它原有的防御能力。同样防火墙在面对网络的高速发展，应用的不断增多的时代也失去了它不可替代的地位。自2009年10月Gartner提出“Defining the Next-Generation Firewall”一文，重新定义下一代防火墙，下一代防火墙的概念在业内便得到了普遍的认可。深信服也在经过10年网络安全技术6年的应用安全技术沉淀之后，于2011年正式发布深信服“下一代应用防火墙”——NGAF。 2. 为什么需要下一代防火墙 2.1网络发展的趋势使防火墙以及传统方案失效 防火墙作为一款历史悠久的经典产品，在IP/端口的网络时代，发挥了巨大的作用：合理的分隔了安全域，有效的阻止了外部的网络攻击。防火墙在设计时的针对性，在当时显然是网络安全的最佳选择。但在网络应用高速发展，网络规划复杂化的今天防火墙的不适应性就越发明显，从用户对网络安全建设的需求来看，传统防火墙存在以下问题： 1、应用安全防护的问题： 传统防火墙基于IP/端口，无法对应用层进行识别与控制，无法确定哪些应用经过了防火墙，自然就谈不上对各类威胁进行有效防御了。面对应用层的攻击，防火墙显得力不从心，无法检测或拦截嵌入到普通流量中的恶意攻击代码，比如病毒、蠕虫、木马等。 2、安全管理的问题： 传统防火墙的访问控制策略对于大型网络来说简直就是噩梦。严格控制网络需要配置大量的策略，并且这些基于IP/端口策略可读性非常之差，经常会造成错配、漏配的情况，留下的这些隐患，往往给黑客们以可乘之机。

深信服防火墙NGAF方案白皮书

深信服下一代防火墙NGAF方案白皮书

目录 一、企业级网络安全建设需要什么 (4) 1.传统割裂的各种安全产品？ (4) 2.“雇佣兵”式的安全服务？ (5) 3.企业级的网络安全到底需要什么？ (5) 二、深信服下一代防火墙的定位 (6) 1.适用于国内环境的下一代防火墙 (6) 2.我们不仅交付产品，还为您持续输送安全能力 (7) 三、深信服下一代防火墙为企业安全赋能 (7) 1.看懂安全现状和风险 (7) 1.1业务安全状况可视 (7) 1.2威胁危害效果可视 (8) 1.3安全事件实时通报 (9) 2.持续对抗新型威胁 (10) 2.1产品快速迭代应对已知威胁 (10) 2.2完整的APT攻击检测链 (11) 2.3云检测平台应对未知威胁 (12) 3.简化安全运营 (13) 3.1任务化的风险管理 (13) 3.2全网安全统一管控 (14) 3.3威胁情报预警与处置 (15) 3.4风险评估与策略联动 (15)

3.5智能联动封锁机制 (16) 四、高效稳定的底层架构设计 (16) 1.分离平面设计 (16) 2.多核并行处理 (17) 3.单次解析架构 (17) 4.跳跃式扫描技术 (18) 5.Sangfor Regex正则引擎 (18) 6.产品性能评测报告 (19) 五、深信服下一代防火墙品牌优势 (19) 1.市场引领者 (19) 2.专业权威的认可 (20) 3.专业安全攻防团队 (21) 4.产品可靠稳定 (21) 六、典型场景和案例 (22) 典型应用场景 (22) 典型应用案例 (23) 七、部分客户列表 (25)

防火墙安全解决方案建议书完整篇.doc

防火墙安全解决方案建议书1 密级： 文档编号： 项目代号： 广西XX单位 网络安全方案建议书 网御神州科技（北京）有限公司 目录 1 概述.......................................................................................... 错误！未定义书签。 1.1引言........................................... 错误！未定义书签。 2 网络现状分析.......................................................................... 错误！未定义书签。 2.1网络现状描述................................... 错误！未定义书签。 2.2网络安全建设目标............................... 错误！未定义书签。 3 安全方案设计.......................................................................... 错误！未定义书签。 3.1方案设计原则................................... 错误！未定义书签。

3.2网络边界防护安全方案........................... 错误！未定义书签。 3.3安全产品配置与报价............................. 错误！未定义书签。 3.4安全产品推荐................................... 错误！未定义书签。 4 项目实施与产品服务体系...................................................... 错误！未定义书签。 4. 1 一年硬件免费保修........................................................................ 错误！未定义书签。 4.2 快速响应服务................................................................................. 错误！未定义书签。 4.3 免费咨询服务................................................................................. 错误！未定义书签。 4.4 现场服务......................................................................................... 错误！未定义书签。 4.5 建立档案......................................................................................... 错误！未定义书签。