明御防火墙(NGFW)产品笔记
来源:
4.1.2-防火墙_150949.pptx
目标:快速理解“防火墙是什么、明御防火墙强在哪里、客户场景怎么匹配、选型怎么看”。
1. 一句话总览
防火墙是网络安全的基础防线:保护某个网络区域免受外部或其他区域的攻击,实现不同逻辑区域之间的安全隔离,并通过安全策略控制访问流量。
通俗记忆:
防火墙 = 分区分域 + 访问控制 + 边界防护 + 安全隔离2. 为什么需要防火墙
| 挑战 | 通俗理解 | 防火墙价值 |
|---|---|---|
| 网络边界泛化 | 业务上云、远程办公、物联网、工业互联网让边界不再只有互联网出口 | 在不同区域、不同业务、不同接入方式之间建立安全边界 |
| 攻击复杂化 | 0day、加密流量、APT、挖矿、僵尸网络等攻击越来越隐蔽 | 通过 IPS、AV、WAF、威胁情报、DGA 检测等能力阻断攻击 |
| 响应实时化 | 设备多、部署复杂、响应时间要求更短 | 用策略分析、AI 助手、联动 EDR/态势感知等方式提升运营效率 |
3. 明御防火墙产品定位
明御防火墙(DAS-TGFW)是一款智能安全网关产品,集成:
- 传统防火墙
- 入侵防御 IPS
- 防病毒 AV
- 上网行为管控
- VPN
- 威胁情报
- WAF 能力
- 策略分析与 AI 助手
- 与 EDR、态势感知、MSS、XDR、SOAR 等联动能力
一句话定位:以边界、应用、威胁、权限为防护对象,以资产视角持续改善边界安全态势。
4. 核心能力地图
| 能力 | 重点 | 适合怎么理解 |
|---|---|---|
| 安全引擎 | IPS 规则、病毒库、WAF 规则、威胁情报、AI 小模型 | 不只是“放行/阻断”,还要识别攻击内容 |
| 应用识别 | 应用识别、文件类型识别、URL 识别 | 能看懂流量是什么应用、什么文件、访问什么地址 |
| 策略分析 | 控制策略、认证策略、带宽策略、策略路由等问题分析 | 帮客户发现宽松策略、冗余策略、风险策略 |
| AI 助手 | 知识检索、恶意代码检测、威胁情报分析、告警解读、策略分析 | 降低运维门槛,提高安全运营效率 |
| 智能模式 | 根据流量上下文判断是否进入安全引擎 | 在安全与性能之间做更细的平衡 |
| EDR 联动 | 终端感染后联动防火墙阻断;未装 EDR 可拒绝接入并重定向安装 | 把边界安全和终端安全联成一张网 |
| 硬件配置 | 接口、拓展槽、硬盘、电源、风道、渠道型号 | 选型时要看性能、容量、接口和部署要求 |
5. 典型推广场景
5.1 互联网边界防护
客户问题:互联网出口是攻击入口,传统防火墙可能只剩基础 IP 访问控制,规则库不更新,像“路由器化”。
解决方向:
- 在企业内网与互联网之间部署防火墙。
- 对进出流量做过滤、监控和阻断。
- 使用 IPS、AV、WAF、威胁情报、小模型识别未知威胁。
- 结合应用识别管控访问行为。
话术抓手:互联网边界是第一道入口,攻击变化快、类型多,防火墙要从 L2 到 L7 做全面防护。
5.2 远程办公 / SSL VPN
客户问题:员工、IT 支持、合作伙伴、云应用访问都需要远程接入,但直接映射业务系统会扩大暴露面。
解决方向:
- 用防火墙集成 SSL VPN。
- 统一管理远程接入和边界防护。
- 通过用户、用户组、角色、认证域等做细粒度权限控制。
话术抓手:一台防火墙既守边界,又让远程用户安全访问内网应用,减少单独 VPN 设备和管理复杂度。
5.3 多分支安全互联 / IPSec VPN
客户问题:总部防护强,分支往往薄弱;攻击者可能从分支突破后横向影响总部。
解决方向:
- 总部和分支出口部署防火墙。
- 通过 IPSec VPN 建立加密组网。
- 统一配置、统一管理分支策略。
- 收敛业务暴露面和互联网出口。
话术抓手:用防火墙拉起总部-分支安全内网,比传统专线更轻量、更经济。
5.4 带宽管理 / 上网行为管控
客户问题:P2P、视频、非关键业务占用带宽,影响视频会议、ERP、远程办公等关键业务。
解决方向:
- 基于应用识别区分关键业务和非关键业务。
- 对不同流量设置优先级和带宽限制。
- 限制恶意流量或非办公应用占用带宽。
话术抓手:不是一味扩带宽,而是先管好带宽,把关键业务保障起来。
5.5 挖矿防护 / DGA 动态域名检测
客户问题:办公 PC 被挖矿,查杀后反复复发,背后常连接动态变化的矿池域名。
解决方向:
- 防火墙识别 DGA 生成的恶意域名。
- 阻断终端与 C&C、矿池、恶意域名通信。
- 与 IPS、AV 等形成多层防护。
话术抓手:传统枚举式查杀难以对抗动态变化域名,DGA 检测可以切断恶意通信链路。
6. 成功案例怎么讲
| 案例 | 客户问题 | 方案 | 价值 |
|---|---|---|---|
| 金融客户反洗钱大数据平台 | 防止平台受外网入侵,实现内网安全管控和区域隔离 | 在生产中心、灾备中心部署高端明御防火墙,划分安全区域,启用资产发现、IPS、AV | 自动发现内网资产,识别风险,过滤恶意流量,提升系统安全性 |
| 卫生局云数据中心 | 医疗业务迁移云数据中心后,需要医院、卫计局、云数据中心之间边界隔离 | 在医院与卫计局、卫计局与云数据中心、本地互联网出口部署防火墙 | 有效隔离边界,满足等保和互联网出口安全需求 |
7. 产品选型
选型主要看:性能、容量、硬件、日志存储。
7.1 性能
优先看客户实际流量或出口带宽。
- 出口部署:可根据运营商带宽估算。
- 专线:通常以带宽 × 2 对标推荐带宽。
- 非出口部署:可查看上下联交换机接口流量。
- 功能启用越多,性能折损越明显。
重要经验:开启七层安全能力、QoS 等功能后,一般考虑 30% 性能折损;功能全开时可按 50% 折损 估算。
例子:客户实际流量 1.5G,功能全开,按 50% 折损,需要至少推荐带宽 3G 的设备。
7.2 容量
看场景功能数量:
- SSL VPN 用户数
- IPSec VPN 隧道数
- 虚拟防火墙数量
- 策略条目数
- 并发连接、新建连接等容量指标
7.3 硬件
关注:
- 接口类型和数量
- Bypass 接口要求
- 电源类型:直流 / 交流
- 扩展槽
- 硬盘和日志存储需求
- 是否有渠道专属型号限制
8. 新人速记
防火墙
├─ 是什么:网络边界和安全域之间的基础防线
├─ 防什么:非法访问、恶意流量、病毒、入侵、Web攻击、挖矿、DGA外连
├─ 管什么:访问策略、应用、用户、带宽、VPN、终端接入
├─ 强在哪里:IPS/AV/WAF/威胁情报/AI助手/EDR联动/策略分析
├─ 卖给谁:有互联网出口、远程办公、分支互联、带宽管理、挖矿防护、等保整改需求的客户
└─ 怎么选:实际流量 + 功能折损 + VPN/策略容量 + 接口/硬件要求9. 一句话复述
明御防火墙不是简单的“网络大门”,而是集边界防护、应用识别、威胁防御、VPN、带宽管理、策略分析、AI 助手和 EDR 联动于一体的智能安全网关,适合互联网边界、远程办公、多分支互联、出口管控、挖矿防护和合规整改等场景。