下一代防火墙解决方案

下一代防火墙解决方案 目 录 1 网络现状 3 2 解决方案 9 2 1 网络设备部署图 9 2 2 部署说明 9 2 3 解决方案详述 9 2 3 1 流量管理 9 2 3 2 应用控制 12 2 3 3 网络安全 12 3 报价 24 1 网络现状 随着网络技术的快速发展 现在我们对网络安全的关注越来越 重视 近几年来 计算机和网络攻击的复杂性不断上升 使用传统 的防火墙和入侵检测系统 IDS 越来越难以检测和阻挡 漏洞的发 现和黑客利用漏洞之间的时间差也变得越来越短 使得 IT 和安全人 员得不到充分的时间去测试漏洞和更新系统 随着病毒 蠕虫 木 马 后门和混合威胁的泛滥 内容层和网络层的安全威胁正变得司 空见惯 复杂的蠕虫和邮件病毒诸如 Slammer Blaster Sasser Sober MyDoom 等在过去几年经常成 为头条新闻 它们也向我们展示了这类攻击会如何快速的传播 通常在几个小时之内就能席卷全世界 许多黑客正监视着软件提供商的补丁公告 并对补丁进行简单 的逆向工程 由此来发现漏洞 下图举例说明了一个已知漏洞及相 应补丁的公布到该漏洞被利用之间的天数 需要注意的是 对于最 近的一些攻击 这一时间已经大大缩短了 IT 和安全人员不仅需要担心已知安全威胁 他们还不得不集中 精力来防止各种被称之为 零小时 zero hour 或 零日 zero day 的新的未知的威胁 为了对抗这种新的威胁 安全技 术也在不断进化 包括深度包检测防火墙 应用网关防火墙 内容 过滤 反垃圾邮件 SSL VPN 基于网络的防病毒和入侵防御系统 IPS 等新技术不断被应用 但是黑客的动机正在从引起他人注意 向着获取经济利益转移 我们可以看到一些更加狡猾的攻击方式正 被不断开发出来 以绕过传统的安全设备 而社会工程 social engineering 陷阱也成为新型攻击的一大重点 图 系统漏洞被黑客利用的速度越来越快 带有社会工程陷阱元素的攻击包括间谍软件 网络欺诈 基于 邮件的攻击和恶意 Web 站点等 这些攻击设计为欺骗用户暴露敏感 信息 下载和安装恶意程序 跟踪软件或运行恶意代码 很多这类 攻击设计为使用传统的浏览器或 Email 技术 如 ActiveX XML SMTP 等 并伪装为合法应用 因此传统的安全设 备很难加以阻挡 现在比以往任何时候都更需要先进的检测和安全 技术 传统的防火墙系统传统的防火墙系统 状态检测防火墙原本是设计成一个可信任企业网络和不可信任 的公共网络之间的安全隔离设备 用以保证企业的互联网安全 状 态检测防火墙是通过跟踪会话的发起和状态来工作的 通过检查数 据包头 状态检测防火墙分析和监视网络层 L3 和协议层 L4 基于一套用户自定义的防火墙策略来允许 拒绝或转发网络流量 传统防火墙的问题在于黑客已经研究出大量的方法来绕过防火 墙策略 这些方法包括 利用端口扫描器的探测可以发现防火墙开放的端口 攻击和探测程序可以通过防火墙开放的端口穿越防火墙 如 MSN QQ 等 IM 即时通信 工具均可通过 80 端口通信 BT 电驴 Skype 等 P2P 软件的通信端口是随机变化的 使 得传统防火墙的端口过滤功能对他们无能为力 SoftEther 等软件更可以将所有 TCP IP 通讯封装成 HTTPS 数据包发送 使用传统的状态检测防火墙简直防不胜防 SoftEther 可以很轻易的穿越传统防火墙 PC 上感染的木马程序可以从防火墙的可信任网络发起攻击 由于会话的发起方来自于内部 所有来自于不可信任网络的 相关流量都会被防火墙放过 当前流行的从可信任网络发起 攻击应用程序包括后门 木马 键盘记录工具等 它们产生 非授权访问或将私密信息发送给攻击者 较老式的防火墙对每一个数据包进行检查 但不具备检查包 负载的能力 病毒 蠕虫 木马和其它恶意应用程序能未经 检查而通过 当攻击者将攻击负载拆分到多个分段的数据包里 并将它们 打乱顺序发出时 较新的深度包检测防火墙往往也会被愚弄 使用笔记本电脑 PDA 和便携邮件设备的移动用户会在他们 离开办公室的时候被感染 并将威胁带回公司网络 边界防 火墙对于从企业信任的内部网络发起的感染和攻击爱莫能助 图 被通过知名端口 80 端口 攻击的网站数 基于主机的防病毒软件基于主机的防病毒软件 基于主机的防病毒软件是部署得最广泛的安全应用 甚至超过 了边界防火墙 基于主机的防病毒软件随着上世纪 80 年代中期基于 文件的病毒开始流行而逐渐普及 如今已成为最受信任的安全措施 之一 但是基于主机的防病毒软件也有它的缺点 包括 需要安装 维护和保持病毒特征库更新 这就导致了大量的 维护开销 很多用户并没有打开防病毒软件的自动更新功能 也没有经 常的手动更新他们的病毒库 这就导致防病毒软件对最新的 威胁或攻击无用 用户有时可能会有意或无意的关闭他们的单机安全应用程序 最新的复杂的木马程序能对流行的基于主机的防病毒软件进 行扫描 并在它们加载以前就将它们关闭 这就导致即使 有了最新的病毒特征码 事实上它们还是不能被检测出来 企业单纯依靠给予主机的防病毒软件和给操作系统和应用程序 打补丁的方法会使它们的内部系统面临很高的安全风险 随着业务 中使用了越来越多的面向全球且需要持续运行的关键应用 停机来 更新操作系统补丁 病毒特征码和应用升级变得越来越困难 而公 司的 Web Email 电子商务 数据库 应用等服务器由于长时间不 打补丁会很容易在新的攻击方式下暴露出它们的漏洞 仅仅依靠基 于主机的防病毒软件的另一个缺点是 事实上有害代码在被每一个 主机的安全软件检测和阻挡之前就已经进入了公司的网络 这就大 大威胁了企业关键业务系统和网络应用 采用功能单一的产品的缺点采用功能单一的产品的缺点 要想构建一个立体的安全防护体系 必须要考虑多层次的防护 包括 1 防火墙 2 VPN 网关 3 入侵防御系统 IPS 4 网关防病毒 5 网页及 URL 过滤 6 应用程序过滤及带宽控制 采用功能单一的产品会带来成本增加 管理难度高的问题 如 果想部署一个立体的安全防护体系 必须要将很多设备串接在网络 中 这样会造成网络性能下降 故障率高 管理复杂 2 解决方案 2 1 网络设备部署图 2 2 部署说明 在公司网络出口处部署深信服下一代防火墙 NGAF 深信服下一 代防火墙 NGAF 是面向应用层设计 能够精确识别用户 应用和内容 具备完整的 L2 L7 层的安全防护体系 强化了在 Web 层面的应用防 护能力 不仅能够全面替代传统防火墙 并在开启安全功能的情况 下还保持有强劲应用层处理能力的全新网络安全设备 2 3 解决方案详述 网络的发展与普及正在改变人们的工作和生活方式 互联网正 逐步成为重要的生产资料 组织业务正逐渐向互联网迁移 互联网 是一把 双刃剑 缺乏管理的互联网络带来了诸多问题 根据对客 户需求的分析 主要从以下三个方面对该方案做一个详细的阐述 2 3 1 流量管理 用户上网体验差 邮件发送 资料下载慢 严重影响用户的正 常办公 深信服的下一代防火墙 NGAF 可根据业务类型进行带宽限制 或保障 保证核心业务畅通运行 能灵活分配带宽资源 实现动态 调整 提高带宽利用率 流量管理的功能主要有 多级父子通道 动态流控 P2P 智能 流控 多级父子通道多级父子通道 将总体带宽细分通道化 可根据用户或应用进行划分 根据用 户或应用的重要性 通道可设置为带宽限制或带宽保证 最高支持 8 级通道 可匹配组织构架 实现带宽精细划分 动态流控动态流控 可以设定一个阈值 来区分空闲和繁忙状态 当整体带宽利 用率低于阈值时 通道的最大带宽限制将上浮 直到整体利用率超 过了阈值 才回收上浮的部分 实现带宽利用率最大化 P2PP2P 智能流控智能流控 传统流控传统流控 基于缓存丢包方式 UDP 协议自身没有速率调整机 制 且 P2P 传输模式具有特殊性 外网线路依然被大量的 P2P 数据 报文所占用 导致带宽浪费 P2PP2P 智能流控智能流控 上传速度和下载速度具有关联性 通过抑制上 行流量来达到控制下载速度的效果 2 3 2 应用控制 员工上班时间网络聊天 炒股 网游 占用公司带宽 办公效 率低下 深信服下一代防火墙 NGAF 内置强大应用特征库 能封堵 IM 聊天 炒股 游戏 下载 在线视频等应用 规范化上网行为 提高员工工作效率 封堵代理 翻墙软件 规避不当上网行为带来 的法律风险 封堵邮件 防止敏感信息泄露 2 3 3 网络安全 深信服下一代防火墙 NGAF 面向应用层设计 能够精确识别用户 应用和内容 具备完整的 L2 L7 层的安全防护体系 强化了在 Web 层面的应用防护能力 不仅能够全面替代传统防火墙 并具在开启 安全功能的情况下还保持有强劲应用层处理能力的全新网络安全设 备 2 3 3 12 3 3 1 可视的网络安全情况可视的网络安全情况 NGAF 独创的应用可视化技术 可以根据应用的行为和特征实现 对应用的识别和控制 而不仅仅依赖于端口或协议 摆脱了过去只 能通过 IP 地址来控制的尴尬 即使加密过的数据流也能应付自如 目前 NGAF 的应用可视化引擎不但可以识别 1200 多种的内外网应 用及其 2700 多种应用动作 还可以与多种认证系统 AD LDAP Radius 等 应用系统 POP3 SMTP 等 无缝对接 自动识别出网络当中 IP 地址对应的用户信息 并建立组织的用户分 组结构 既满足了普通互联网边界行为管控的要求 同时还满足了 在内网数据中心和广域网边界的部署要求 可以识别和控制丰富的 内网应用 如 Lotus Notes RTX Citrix Oracle EBS 金蝶 EAS SAP LDAP 等 针对用户应用系统更新服务的诉求 NGAF 还可以 精细识别 Microsoft 360 Symantec Sogou Kaspersky McAfee 金山毒 霸 江民杀毒等软件更新 保障在安全管控严格的环境下 系统软件 更新服务畅通无阻 因此 通过应用可视化引擎制定的 L4 L7 一体化应用控制策略 可以为用户提供更加精细和直观化控制界面 在一个界面下完成多 套设备的运维工作 提升工作效率 2 3 3 22 3 3 2 强化的应用层攻击防护强化的应用层攻击防护 2 3 3 2 12 3 3 2 1 基于应用的深度入侵防御基于应用的深度入侵防御 NGAF 的灰度威胁关联分析引擎具备 4000 条漏洞特征库 3000 Web 应用威胁特征库 可以全面识别各种应用层和内容级别的 单一安全威胁 另外 深信服凭借在应用层领域 10 年以上的技术积 累 组建了专业的安全攻防团队 可以为用户定期提供最新的威胁 特征库更新 以确保防御的及时性 2 3 3 2 22 3 3 2 2 强化的强化的 WEBWEB 攻击防护攻击防护 NGAF 能够有效防护 OWASP 组织提出的 10 大 web 安全威胁的主要 攻击 并于 2013 年 1 月获得了 OWASP 组织颁发的产品安全功能测试 4 星评级证书 最高评级为 5 星 深信服 NGAF 为国内同类产品评分 最高 主要功能如 防防 SQLSQL 注入攻击注入攻击 SQL 注入攻击产生的原因是由于在开发 web 应用时 没有对用户 输入数据的合法性进行判断 使应用程序存在安全隐患 用户可以 提交一段数据库查询代码 根据程序返回的结果 获得某些他想得 知的数据 这就是所谓的 SQL Injection 即 SQL 注入 NGAF 可以 通过高效的 URL 过滤技术 过滤 SQL 注入的关键信息 从而有效的 避免网站服务器受到 SQL 注入攻击 防防 XSSXSS 跨站脚本攻击跨站脚本攻击 跨站攻击产生的原理是攻击者通过向 Web 页面里插入恶意 html 代码 从而达到特殊目的 NGAF 通过先进的数据包正则表达式匹配 原理 可以准确地过滤数据包中含有的跨站攻击的恶意代码 从而 保护用户的 WEB 服务器安全 防防 CSRFCSRF 攻击攻击 CSRF 即跨站请求伪造 从成因上与 XSS 漏洞完全相同 不同之 处在于利用的层次上 CSRF 是对 XSS 漏洞更高级的利用 利用的核 心在于通过 XSS 漏洞在用户浏览器上执行功能相对复杂的 JavaScript 脚本代码劫持用户浏览器访问存在 XSS 漏洞网站的会话 攻击者可以与运行于用户浏览器中的脚本代码交互 使攻击者以受 攻击浏览器用户的权限执行恶意操作 NGAF 通过先进的数据包正则 表达式匹配原理 可以准确地过滤数据包中含有的 CSRF 的攻击代码 防止 WEB 系统遭受跨站请求伪造攻击 主动防御技术主动防御技术 主动防御可以针对受保护主机接受的 URL 请求中带的参数变量类 型 以及变量长度按照设定的阈值进行自动学习 学习完成后可以 抵御各种变形攻击 另外还可以通过自定义参数规则来更精确的匹 配合法 URL 参数 提高攻击识别能力 应用信息隐藏应用信息隐藏 NGAF 对主要的服务器 WEB 服务器 FTP 服务器 邮件服务器等 反馈信息进行了有效的隐藏 防止黑客利用服务器返回信息进行有 针对性的攻击 如 HTTP 出错页面隐藏 用于屏蔽 Web 服务器出错的页面 防止 web 服务器版本信息泄露 数据库版本信息泄露 网站绝对路径暴露 应使用自定义页面返回 HTTP S 响应报文头隐藏 用于屏蔽 HTTP S 响应报文头中特定 的字段信息 FTP 信息隐藏 用于隐藏通过正常 FTP 命令反馈出的 FTP 服务器 信息 防止黑客利用 FTP 软件版本信息采取有针对性的漏洞攻击 URLURL 防护防护 Web 应用系统中通常会包含有系统管理员管理界面以便于管理员 远程维护 web 应用系统 但是这种便利很可能会被黑客利用从而入 侵应用系统 通过 NGAF 提供的受限 URL 防护功能 帮助用户选择特 定 URL 的开放对象 防止由于过多的信息暴露于公网产生的威胁 弱口令防护弱口令防护 弱口令被视为众多认证类 web 应用程序的普遍风险问题 NGAF 通过对弱口令的检查 制定弱口令检查规则控制弱口令广泛存在于 web 应用程序中 同时通过时间锁定的设置防止黑客对 web 系统口 令的暴力破解 HTTPHTTP 异常检测异常检测 通过对 HTTP 协议内容的单次解析 分析其内容字段中的异常 用户可以根据自身的 Web 业务系统来量身定造允许的 HTTP 头部请求 方法 有效过滤其他非法请求信息 文件上传过滤文件上传过滤 由于 web 应用系统在开发时并没有完善的安全控制 对上传至 web 服务器的信息进行检查 从而导致 web 服务器被植入病毒 木 马成为黑客利用的工具 NGAF 通过严格控制上传文件类型 检查文 件头的特征码防止有安全隐患的文件上传至服务器 同时还能够结 合病毒防护 插件过滤等功能检查上传文件的安全性 以达到保护 web 服务器安全的目的 用户登录权限防护用户登录权限防护 针对某些特定的敏感页面或者应用系统 如管理员登陆页面等 为了防止黑客访问并不断的进行登录密码尝试 NGAF 可以提供访问 URL 登录进行短信认证的方式 提高访问的安全性 缓冲区溢出检测缓冲区溢出检测 缓冲区溢出攻击是利用缓冲区溢出漏洞所进行的攻击行动 可以 利用它执行非授权指令 甚至可以取得系统特权 进而进行各种非 法操作 NGAF 通过对 URL 长度 POST 实体长度和 HTTP 头部内容长 度检测来防御此类型的攻击 2 3 3 2 32 3 3 2 3 全面的终端安全保护全面的终端安全保护 传统网络安全设备对于终端的安全保护仅限于病毒防护 事实上 终端的安全不仅仅是病毒 很多用户在部署过防病毒软件之后 终 端的安全事件依然频发 如何完整的保护终端成为众多用户关注的 焦点 尤其是最近几年 互联网不断披露的一些安全事件都涉及到 了一种新型 复杂 存在长期影响的攻击行为 APT APT 全称 Advanced Persistent Threat 高级持续性威胁 是 以窃取核心资料为目的 针对客户所发动的网络攻击和侵袭行为 是一种蓄谋已久的 恶意商业间谍威胁 这种行为往往经过长期的 经营与策划 并具备高度的隐蔽性 APT 的攻击手法 在于隐匿自 己 针对特定对象 长期 有计划性和组织性地窃取数据 这种发 生在数字空间的偷窃资料 搜集情报的行为 就是一种 网络间谍 的行为 传统防毒墙和杀毒软件查杀病毒木马的效果有限 在 APT 场景下 因为无法解读数据的应用层内容以及木马的伪装技术逃逸杀毒软件 的检测 传统防毒墙和杀毒软件更是形同虚设 因此需要一种全面 的检测防护机制 用于发现和定位内部网络受病毒木马感染的机器 APTAPT 检测检测 NGAF 的 APT 检测功能主要解决的问题 针对内网 PC 感染了病毒 木马的机器 其病毒 木马试图与外部网络通信时 AF 识别出该流 量 并根据用户策略进行阻断和记录日志 帮助客户能够定位出那 台 PC 中毒 并能阻断其网络流量 避免一些非法恶意数据进入客户 端 起到更好的防护效果 NGAF 的 APT 检测功能主要由两部分检测内容来实现 1 远控木马检测 在应用特征识别库当中存在一类木马控制的应用分类 这部分木 马具有较明显的网络恶意行为特征 且行为过程不经由 HTTP 协议交 互 故通过专门制作分析的应用特征来进行识别 如灰鸽子 炽天 使 冰河木马 网络守望者等等 此种类型的木马也随深信服应用 识别规则库的更新而更新 2 僵尸网络检测 僵尸网络检测主要是通过匹配内置的僵尸网络识别库来实现 该 特征库包含木马 广告软件 恶意软件 间谍软件 后门 蠕虫 漏洞 黑客工具 病毒 9 大分类 特征库的数量目前已达数十万 并且依然以每两周升级一次的速度进行更新 除了 APT 攻击检测功能 深信服在终端安全防护方面还提供了基 于漏洞和病毒特征的增强防护 确保终端的全面安全 终端漏洞防护终端漏洞防护 内网终端仍然存在漏洞被利用的问题 多数传统安全设备仅仅提 供基于服务器的漏洞防护 对于终端漏洞的利用视而不见 NGAF 同 时提供基于终端的漏洞保护能防护如 后门程序预防 协议脆弱性 保护 exploit 保护 网络共享服务保护 shellcode 预防 间谍程 序预防等基于终端的漏洞防护 有效防止了终端漏洞被利用而成为 黑客攻击的跳板 终端病毒防护终端病毒防护 NGAF 提供基于终端的病毒防护功能 从源头对 HTTP FTP SMTP POP3 等协议流量中进行病毒查杀 亦可查杀压 缩包 zip rar 7z 等 中的病毒 内置百万级别病毒样本 确保 查杀效果 2 3 3 2 42 3 3 2 4 专业攻防研究团队确保持续更新专业攻防研究团队确保持续更新 NGAF 的统一威胁识别具备 4000 条漏洞特征库 数十万条病毒 木马等恶意内容特征库 3000 Web 应用威胁特征库 可以全面识别 各种应用层和内容级别的各种安全威胁 其漏洞特征库已通过国际 最著名的安全漏洞库 CVE 严格的兼容性标准评审 获得 CVE 兼容性 认证 CVE Compatible 深信服凭借在应用层领域 7 年以上的技术积累组建了专业的安全 攻防团队 作为微软的 MAPP Microsoft Active Protections Program 项目合作伙伴 可以在微软发布安全更新前获得漏洞信息 为客户提供更及时有效的保护 以确保防御的及时性 2 3 3 32 3 3 3 独特的双向内容检测技术独特的双向内容检测技术 只提供基于应用层安全防护功能的方案 并不是一个完整的安全 方案 对于服务器的保护传统解决方案通常是通过防火墙 IPS AV WAF 等设备的叠加来达到多个方面的安全防护效果 这种 方式功能模块的分散 虽然能防护主流的攻击手段 但并不是真正 意义上的统一防护 这既增加了成本 也增加了组网复杂度 提升 了运维难度 从技术角度来说 一个黑客完整的攻击入侵过程包括 了网络层和应用层 内容级别等多个层次方式方法 如果将这些威 胁割裂开处理进行防护 各种防护设备之间缺乏智能的联动 很容 易出现 三不管 的灰色地带 出现防护真空 比如当年盛极一时 的蠕虫 SQL Slammer 在发送应用层攻击报文之前会发送大量的 正常报文 进行探测 即使 IPS 有效阻断了攻击报文 但是这些 大量的 正常报文 造成了网络拥塞 反而意外的形成了 DOS 攻击 防火墙无法有效防护 因此 具备完整的 L2 L7 完整的安全防护功能 就是 Gartner 定义的 额外的防火墙智能 实现前提 才能做到真正的内核级联 动 为用户的业务系统提供一个真正的 铜墙铁壁 2 3 3 3 12 3 3 3 1 网关型网页防篡改网关型网页防篡改 网页防篡改是 NGAF 服务器防护中的一个子模块 其设计目的在 于提供的一种事后补偿防护手段 即使黑客绕过安全防御体系修改 了网站内容 其修改的内容也不会发布到最终用户处 从而避免因 网站内容被篡改给组织单位造成的形象破坏 经济损失等问题 NGAF 通过网关型的网页防篡改 对服务器 0 影响 第一时 间拦截网页篡改的信息并通知管理员确认 同时对外提供篡改重定 向功能 提供正常界面 友好界面 web 备份服务器的重定向 保 证用户仍可正常访问网站 NGAF 网站篡改防护功能使用网关实现动 静态网页防篡改功能 这种实现方式相对于主机部署类防篡改软件 而言 客户无需在服务器上安装第三方软件 易于使用和维护 在 防篡改部分基于网络字节流的检测与恢复 对服务器性能没有影响 2 3 3 3 22 3 3 3 2 可定义的敏感信息防泄漏可定义的敏感信息防泄漏 NGAF 提供可定义的敏感信息防泄漏功能 根据储存的数据内容 可根据其特征清晰定义 通过短信 邮件报警及连接请求阻断的方 式防止大量的敏感信息被窃取 深信服敏感信息防泄漏解决方案可 以自定义多种敏感信息内容进行有效识别 报警并阻断 防止大量 敏感信息被非法泄露 如 用户信息 邮箱账户