应用防火墙一虚多产品技术白皮书

i应用防火墙虚拟化书ii缩写和约定英文缩写英文全称中文解释VMMMvNGAFVMMVirtualMachineManagerVirtualMachineVirtualNGAF虚拟机监视器虚拟机虚拟应用防火墙iii第1章应用防火墙一虚多介绍 1第2章应用防火墙一虚多解决方案 12.1技术原理 12.2计算虚拟化 3 2.5管理与运维 53章应用防火墙一虚多特色技术 5虚拟化存储写合并缓存技术 5第4章vNGAF产品详细说明 64.1产品设计理念 64.2产品功能特色 6 章部属方式 18 第1章应用防火墙一虚多介绍应用防火墙虚拟化采用裸金属架构的X86虚拟化技术，实现对物理主机资源的抽象，基于这些逻辑资源在单个物理防火墙主机上构建多个同时运行、相互隔离的虚拟防火墙运行环境，实现更低的运营成本、更高的资源利用率和更加灵活的资源动态分配需求。可基于业务划分需要，自行创建创建、删除、启停单独的vNGAF支持为每个vNGAF分配CPU、内存、网卡，并配置新建与并发性能支持为每个vNGAF配置管理员密码与管理IP支持HOST机的VLAN划分第2章应用防火墙一虚多解决方案2.1技术原理防火墙虚拟化是资源的逻辑表示，而不受物理限制的约束。虚拟化技术的实现形式是在软件从主要安装硬件中分离出来，使得上层应用防火墙系统可以直接运行在虚拟环境上，可允许多个应用防火墙系统同时运行在一个物理防火墙如上图所示，虚拟化平台上物理Cbn可以虚拟出多个逻辑Cbn，虚拟防火墙和^Cbn的协同需求一般基于虚拟防火墙系统处理的业务和性能需求进行按需分配，以实现多个虚拟同时运行在一个硬件平台。通过影子页表给不同的虚拟防火墙分配机器的内存页，如操作系统虚拟内存一样，^WW能将虚拟防火墙内存换页到磁盘，因此，虚拟防火墙申请的内存可以超过机器的物理内存。^WW也可以根据每个虚拟防火墙的要求,动态地分配相应的内存。但为了实现更快速度的数据处理能力，一般分配给虚拟防火墙的内存不要超过物理内存的总量，因为磁盘换页的虚拟内存操作速度远远低于真实内存的处理速度。I/O虚拟化包括管理虚拟防火墙和共享的物理硬件之间I/O请求的路由选择。目前，实现I/O虚拟化有如下三种方式：全设备模拟、半虚拟化和直接I/O。全设备模拟是实现I/O拟一些真实设备。一个设备的所有功能或总线结构都可以在软件中复制。该软件作为虚拟防火墙处于VMM中，客户操作系统的I/O访问请求会嵌入到VMM中，与I/O设备交互。2.2计算虚拟化内存复用技术虚拟化平台提供多种内存复用技术和灵活自动的内存复用策略。如果用户希望运行超过物理内存能力的虚拟防火墙，以达到节省成本的目的，就需要有内存复用策略来动态地对内虚拟化平台的内存复用技术有以下三种：内存气泡、内存零页共享和内存交换技术。CPUQoSHypervisor层根据分时复用的原理实现对虚拟CPU的调度，CPUQos的原理是定期给各虚拟CPU分配运行时间片，并对各虚拟CPU在物理CPU上运行的时间进行记账，对于消耗完时间片的虚拟CPU将被限制到物理CPU上运行，直到获得时间片。以此控制虚间片和记账的时间周期很短，对虚拟防火墙用户来说会感觉一直在运行。CPU份额和CPU预留只在各虚拟防火墙竞争计算资源的时候才发挥作用，如果没有竞争情况发生，有需求的虚拟防火墙可以独占物理CPU资源。客户价值：CPUQos功能为客户提供了控制虚拟防火墙处理能力的手段：1)CPU上限可以供客户实现虚拟防火墙资源隔离的功能，通过控制某个虚拟防火墙的CPU上限，可以有效避免该虚拟防火墙负载过大时影响其他虚拟防火墙的性能。2)CPU份额可以控制各个虚拟防火墙在竞争CPU资源时的资源占用率。预留可以控制各个虚拟防火墙在竞争资源时的占有资源的最低值，在竞争不充分时又可以将资源按需分配给其他虚拟防火墙使用，既达到了资源的高效复用，又实现了在资源竞争情况下合理分配计算资源。2.3网络虚拟化应用防火墙虚拟化平台提供的是一种不需要软件模拟就可以共享设备端口的物理功能的方法，主要实现网桥卸载虚拟网卡，允许将物理网络适配器的虚吞吐量，并缩短网络延迟，同时减少处理网络流量所需的物理主机开销。2.4高可用虚拟化环境中，物理服务器和存储上承载更多的业务和数据，设备故障时造成的影响更大。应用防火墙虚拟化平台提供虚拟防火墙故障检测功能，当虚拟防火墙发生严重故障或异常时，虚拟防火墙管理程序会监控到故障并通过重启或关闭客户机，从而避免有故障的虚拟防火墙持续占用计算资源。2.5管理与运维向用户传递系统警告信息以便及时暴露问题。第3章应用防火墙一虚多特色技术3.1虚拟化存储写合并缓存技术第4章vNGAF产品详细说明4.1产品设计理念更精细的应用层安全控制：贴近国内应用、持续更新的应用识别规则库面向IP与应用策略配置，减少错误配置的风险更全面的内容级安全防护：基于攻击过程的服务器保护，防御黑客扫描、入侵、破坏三步曲双向内容检测，功能防御策略智能联动更高性能的应用层处理能力：单次解析架构实现报文一次拆解和匹配多核并行处理技术提升应用层分析速度全新技术架构实现应用层万兆处理能力4.2产品功能特色vNGAF独创的应用可视化技术，可以根据应用的行为和特征实现对应用的识别和控制，而不仅仅依赖于端口或协议，摆脱了过去只能通过IP地址来控制的尴尬，即使加密过的数2700多种应用动作；既满足了普通互联网边界行为管控的要求，同时还满足了在内网数据中心和广域网边界的部署要求，可以识别和控制丰富的内网应用，如LotusNotes、RTX、杀毒等软件更新,保障在安全管控严格的环境下,系统软件更新服务畅通无阻。因此，通过应用可视化引擎制定的L4-L7一体化应用控制策略,可以为用户提供更加精界面，在一个界面下完成多套设备的运维工作，提升工作效率。可视化的网络应用随着网络攻击不断向应用层业务系统转移，传统的网络层防火墙已经不能有效实施防如何帮助用户实现针对所有业务的安全可视化变控，阻断或控制不当操作，根据企业自身状况合理分配带宽资源等。vNGAF的应用识别有以下几种方式：协议，其端口通常是相对稳定,可以根据端口快速识别应用。层信息，将解包后的应用信息与后台特征库进行比较来确定应用类型。或数据流上的状态各有不会话连接流的包长、连接速率、传输字节量、包与包之间的间隔等信息来鉴别应用类型。可视化的业务和终端安全vNGAF可对经过设备的流量进行实时流量分析，相比主动漏洞扫描工具或者是市场的网络产生额外的流量。此模块设计的初衷就是希望能够实时发现和跟踪网络中存在的主机、服务和应用，发现服务器软件的漏洞，实时分析用户网络中存在的安全问题，为用户展现AF的安全防护能力。实时漏洞分析功能主要可以帮助用户从以下几个方面来被动的对经过的流量进行分析：底层软件漏洞分析方法通过日志和Web应用风险分析针对用户WEB应用系统中存在的如下风险和安全问题进行分析：2.发现网站/OA存在的设计问题，包括：3.支持第三方插件的漏洞检测，如：媒体库插件jplayer，论坛插件discuz，网页编辑Web不安全配置检测各种应用服务的默认配置存在安全隐患，容易被黑客利用，例如，SQLServer的默认安装，就具有用户名为sa，密码为空的管理员帐号。不安全的默认配置，管理员通常难以发觉，并且，随着服务的增多，发现这些不安全的配置就更耗人力。vNGAF支持常用Web服务器不安全配置检测，如Apache的httpd.conf配置文件，IIS的置文件，PHP的php.ini配置文件等等，同时也支持操作系统和数据库配置文件的不安全配弱口令检测另外，vNGAF还提供强大的综合风险报表功能。能够从业务和用户两个维度来对可网攻击和其中真正有效的攻击次数，并针对攻击提供相应的解决建议，同时还能够针对预先定义好的业务系统进行威胁分析，还原给客户一个网络真实遭受到安全威胁的情况。面向IP与应用的访问控制策略vNGAF具备了精确的应用的识别能力，。通过将IP、应用识别有机结合，帮助管理者体化基于IP用户应用的访问控制策略。在这样的信息帮助下，管理员可以真正把握安全态基于应用的流量管理传统防火墙的QOS流量管理策略仅仅是简单的基于数据包优先级的转发，当用户带宽量来源于同一合法端口的不同非法应用时，传AF做流量控制，实现阻断非法流量、限制无关流量保证核心业务的可视化流量管理价值。vNGAF采用了队列流量处理机制：首先，将数据流根据各种条件进行分类(如IP地址，URL，文件类型，应用类型等分然后，分类后的数据包被放置于各自的分队列中，每个分类都被分配了一定带宽值，相同的分类共享带宽，当一个分类上的带宽空闲时，可以分配给其他分类，其中带宽限制是通过限制每个分队列上数据包的发送速率来限制每个分类的带宽，提高了带宽限制的精确度。再发送优先级低的。也可以为分队列设置其它排队方法，防止优先级高的队列长期占用网络接口。基于应用的深度入侵防御可以全面识别各种应用层和内容级别的单一安全威胁；另外，凭借在应用层领域10年以上确保防御的及时性。下图为灰度威胁关联分析引擎的工作原理：6等等，同时拟定一个威胁阀值，如阀值=1。第二，用户行为经过单次解析引擎后，发现攻击行为，立即将相关信息，如IP、用户、攻击行为等反馈给灰度威胁样本库。信息，不断归并和整理，形成了基于IP、用户的攻击行为的表单。第四，基于已有威胁样本库，将特定用户的此次行为及样本库中的行为组合，进行权值由此可见，威胁关联分析引擎对丰富的灰度威胁样本库和权重的准确性提出了更高的专家会对威胁反复测试，加快灰度威胁的更新速度，不断丰富灰度威胁样本库。测未知威胁奠定了基础。2强化的WEB攻击防护为国内同类产品评分最高)主要功能如：SQL注入攻击产生的原因是由于在开发web应用时，没有对用户输入数据的合法性进段数据库查询代码，根据程序返回的结跨站攻击产生的原理是攻击者通过向Web页面里插入恶意html代码，从而达到特殊目攻击的恶意代码，从而保护用户的WEB服务器安全。，使攻击者以受攻击浏览器用户的权限执行恶意操的攻击代码，防止WEB系统遭受跨站请求伪造攻击。应用信息隐藏NGAF对主要的服务器(WEB服务器、FTP服务器、邮件服务器等)反馈信息进行了有效的隐藏。防止黑客利用服务器返回信息进行有针对性的攻击。如：FTP息采取有针对性的漏洞攻击。URL防护Web应用系统中通常会包含有系统管理员管理界面以便于管理员远程维护web应用系统，但是这种便利很可能会被黑客利用从而入侵应用系统。通过vNGAF提供的受限URL防护功能，帮助用户选择特定URL的开放对象，防止由于过多的信息暴露于公网产生的威弱口令防护制定弱口令检查规则控制弱口令广泛存在于web应用程序中。同时通过时间锁定的设置防止黑客对web系统口令的暴力破解。HTTP异常检测通过对HTTP协议内容的单次解析，分析其内容字段中的异常，用户可以根据自身的WebHTTP头部请求方法，有效过滤其他非法请求信息。文件上传过滤由于web应用系统在开发时并没有完善的安全控制，对上传至web服务器的信息进行全隐患的文件上传至服务器。同时还能够结合病毒防护、插件过滤等功能检查上传文件的安全性，以达到保护web服务器安全的目的。缓冲区溢出检测缓冲区溢出攻击是利用缓冲区溢出漏洞所进行的攻击行动。可以利用它执行非授权指T体长度和HTTP头部内容长度检测来防御此类型的攻击。专业攻防研究团队确保持续更新vNGAF的统一威胁识别具备4000+条漏洞特征库、数十万条病毒、木马等恶意内容特性认证(CVECompatible)。 (MicrosoftActiveProtectionsProgram)项目合作伙伴，可以在微软发布安全更新前获得漏洞信息，为客户提供更及时有效的保护，以确保防御的及时性。护传统解决方案通常是通过防火墙、IPS、AV、WAF等设备的叠加来达到多个方面的安全流的攻击手段，但并不是真正意义上的个黑客完整的攻击入侵过程包括了网络层和应用层、内容级别等多个层次方式方法，如果将这些威胁割裂开处理进行防护，各种防护设备之间缺乏智能的联动，很容易出现“三不管”智能”实现前提，才能做到真正的内核级联动，为用户的业务系统提供一个真正的“铜墙铁壁”。可定义的敏感信息防泄漏vNGAF提供可定义的敏感信息防泄漏功能，根据储存的数据内容可根据其特征清晰定行有效识别、报警并阻断，防止大量敏感信息被非法泄露。(如：用户信息/邮箱账户信息/MD5加密密码/银行卡号/身份证号码/社保账号/信用卡号/手机号码……)应用协议内容隐藏vNGAF可针对主要的服务器(WEB服务器、FTP服务器、邮件服务器等)反馈信息进行了有效的隐藏。防止黑客利用服务器返回信息进行有针对性的攻击。如：HTTP出错页面风险评估与策略联动vNGAF通过对内网服务器的数据流进行检测，主动发现内网服务器存在的漏洞，并通过分析漏洞问题对用户进行告警，并提供有效的漏洞解决办法，帮助用户及时发现解决服务器的漏洞，防止后续可能出现的被攻击的风险。智能的防护模块联动用户持续向内网服务器发起各类攻击则可通过防火墙策略暂时阻断IP/用户。智能防护体系生。同时也使得管理员维护变得更为简单，可实现无网管的自动化安全管理。智能建模及主动防御vNGAF提供智能的自主学习以及自动建模技术，通过匹配防护URL中的参数，学习参阻断。可实现网络的智能管理，简化运为了实现强劲的应用层处理能力，vNGAF抛弃了传统防火墙NP、ASIC等适合执行网络层重复计算工作的硬件设计，采用了更加适合应用层灵活计算能力的多核并行处理技术；在系统架构上，vNGAF也放弃了UTM多引擎，多次解析的架构，而采用了更为先进的一匹配，从而提升了工作效率，实现了万兆级的应用安全防护能力。4.3产品优势技术深度内容解析vNGAF的灰度威胁识别技术不但可以将数据包还原的内容级别进行全面的威胁检测，而且还可以针对黑客入侵过程中使用的不同攻击方法进行关联分析，从而精确定位出一个黑问题，可以帮助用户最大程度减少风险短板的出现，保证业务系统稳定运行。双向内容检测的双向内容检测技术，主要是针对攻击事件发生前的预防以及攻击事件发生后的检测补救措施