深信服下一代防火墙AF解决专业方案模板.docx

1、深信服下一代防火墙NGAF处理方案深信服科技-03-09第1章 需求概述1.1 方案背景xxx企业成立于1997年.1.2 网络安全现实状况 近几年来，计算机和网络攻击复杂性不停上升，使用传统防火墙和入侵检测系统（IDS）越来越难以检测和阻挡。伴随每一次成功攻击，黑客会很快学会哪种攻击方向是最成功。漏洞发觉和黑客利用漏洞之间时间差也变得越来越短，使得IT和安全人员得不到充足时间去测试漏洞和更新系统。伴随病毒、蠕虫、木马、后门和混合威胁泛滥，内容层和网络层安全威胁正变得司空见惯。复杂蠕虫和邮件病毒诸如Slammer、Blaster、Sasser、Sober、MyDoom等在过去几年常常成为头条新

2、闻，它们也向我们展示了这类攻击会怎样快速传输通常在多个小时之内就能席卷全世界。很多黑客正监视着软件提供商补丁公告，并对补丁进行简单逆向工程，由此来发觉漏洞。下图举例说明了一个已知漏洞及对应补丁公布到该漏洞被利用之间天数。需要注意是，对于最近部分攻击，这一时间已经大大缩短了。IT和安全人员不仅需要担心已知安全威胁，她们还不得不集中精力来预防多种被称之为“零小时”（zero-hour）或“零日”（zero-day）新未知威胁。为了对抗这种新威胁，安全技术也在不停进化，包含深度包检测防火墙、应用网关防火墙、内容过滤、反垃圾邮件、SSL VPN、基于网络防病毒和入侵防御系统（IPS）等新技术不停被应用

3、。不过黑客动机正在从引发她人注意向着获取经济利益转移，我们能够看到部分愈加狡猾攻击方法正被不停开发出来，以绕过传统安全设备，而社会工程（social engineering）陷阱也成为新型攻击一大关键。图：系统漏洞被黑客利用速度越来越快带有社会工程陷阱元素攻击包含间谍软件、网络欺诈、基于邮件攻击和恶意Web站点等。这些攻击设计为欺骗用户暴露敏感信息，下载和安装恶意程序、跟踪软件或运行恶意代码。很多这类攻击设计为使用传统浏览器或Email技术（如ActiveX、XML、SMTP等），并伪装为正当应用，所以传统安全设备极难加以阻挡。现在比以往任何时候全部更需要优异检测和安全技术。传统防火墙系统状态

4、检测防火墙原本是设计成一个可信任企业网络和不可信任公共网络之间安全隔离设备，用以确保企业互联网安全。状态检测防火墙是经过跟踪会话提议和状态来工作。经过检验数据包头，状态检测防火墙分析和监视网络层（L3）和协议层（L4），基于一套用户自定义防火墙策略来许可、拒绝或转发网络流量。传统防火墙问题在于黑客已经研究出大量方法来绕过防火墙策略。这些方法包含：l 利用端口扫描器探测能够发觉防火墙开放端口。l 攻击和探测程序能够经过防火墙开放端口穿越防火墙。如MSN、QQ等IM（即时通信）工具均可经过80端口通信，BT、电驴、Skype等P2P软件通信端口是随机改变，使得传统防火墙端口过滤功效对她们无能为力。

5、SoftEther等软件更能够将全部TCP/IP通讯封装成HTTPS数据包发送，使用传统状态检测防火墙简直防不胜防。SoftEther能够很轻易穿越传统防火墙l PC上感染木马程序能够从防火墙可信任网络提议攻击。因为会话提议方来自于内部，全部来自于不可信任网络相关流量全部会被防火墙放过。目前流行从可信任网络提议攻击应用程序包含后门、木马、键盘统计工具等，它们产生非授权访问或将私密信息发送给攻击者。l 较传统防火墙对每一个数据包进行检验，但不含有检验包负载能力。病毒、蠕虫、木马和其它恶意应用程序能未经检验而经过。l 当攻击者将攻击负载拆分到多个分段数据包里，并将它们打乱次序发出时，较新深度包检测

6、防火墙往往也会被愚弄。l 使用笔记本电脑、PDA和便携邮件设备移动用户会在她们离创办公室时候被感染，并将威胁带回企业网络。边界防火墙对于从企业信任内部网络提议感染和攻击爱莫能助。图：被经过著名端口（80端口）攻击网站数基于主机防病毒软件基于主机防病毒软件是布署得最广泛安全应用，甚至超出了边界防火墙。基于主机防病毒软件伴随上世纪80年代中期基于文件病毒开始流行而逐步普及，现在已成为最受信任安全方法之一。不过基于主机防病毒软件也有它缺点，包含：l 需要安装、维护和保持病毒特征库更新，这就造成了大量维护开销。l 很多用户并没有打开防病毒软件自动更新功效，也没有常常手动更新她们病毒库，这就造成防病毒软

7、件对最新威胁或攻击无用。l 用户有时可能会有意或无意关闭她们单机安全应用程序。l 最新复杂木马程序能对流行基于主机防病毒软件进行扫描，并在它们加载以前就将它们关闭 这就造成即使有了最新病毒特征码，实际上它们还是不能被检测出来。企业单纯依靠给主机防病毒软件和给操作系统和应用程序打补丁方法会使它们内部系统面临很高安全风险。伴随业务中使用了越来越多面向全球且需要连续运行关键应用，停机来更新操作系统补丁、病毒特征码和应用升级变得越来越困难。而企业Web、Email、电子商务、数据库、应用等服务器因为长时间不打补丁会很轻易在新攻击方法下暴露出它们漏洞。仅仅依靠基于主机防病毒软件另一个缺点是，实际上有害代

8、码在被每一个主机安全软件检测和阻挡之前就已经进入了企业网络，这就大大威胁了企业关键业务系统和网络应用。采取功效单一产品缺点要想构建一个立体安全防护体系，必需要考虑多层次防护，包含：1. 防火墙2. VPN网关3. 入侵防御系统（IPS）4. 网关防病毒5. 网页及URL过滤6. 应用程序过滤及带宽控制采取功效单一产品会带来成本增加，管理难度高问题。假如想布署一个立体安全防护体系，必需要将很多设备串接在网络中，这么会造成网络性能下降，故障率高，管理复杂。1.3 网络拓扑1.4 需求分析在外网安全方面：现在XX企业总部没有布署网络安全设备，全部业务系统基础上全部是裸露在互联网上，缺乏合理保护极易遭

9、受来自互联网攻击，可能造成关键业务数据窃取、服务器和网络瘫痪等问题，给企业带来无须要损失在内网安全方面：各分企业之间和总部经过VPN互联，和总部处于统一内网环境，而分企业也缺乏安全防护设备对互联网危险流量进行清洗，所以极易造成下级分企业对总部服务器攻击；同时上海总部内网用户，即使用户端布署了杀毒软件，因为用户端环境和个人使用习惯等问题，IT制度无法得到很好地落实，常常会有职员关闭杀毒进程或卸载杀毒软件情况，而且最新杀毒软件也存在着面对新病毒滞后和不完善性。尤其是对于网络安全意识微弱职员，不装任何杀毒软件，在互联网上随意打开网页、点击链接，很轻易身染中毒，而且造成局域网内电脑感染病毒，我们将这类

10、用户成为内网安全管理短板。第2章 网络计划整体方案2.1 方案拓扑 2.2 方案描述 经过以上布署以后：1. 总部和分企业NGAF上开启网关防病毒功效后，能够有效遏制病毒经过网络在集团网络上传输，同时能够预防因为浏览Internet而造成病毒感染；2. 总部对外公布服务器将受到NGAF入侵防御IPS功效和服务器防护保护，免收来自外网和内网产生攻击；2.3 NGAF产品功效概述作为应用层安全设备领导厂商，深信服企业NGAF安全平台经过动态威胁防御技术、风险分析扫描引擎提供了无和伦比功效和检测能力。NGAF提供以下功效：l 集成关键安全组件状态检测防火墙。l 可实时更新病毒和攻击特征网关防病毒。l

11、 IPS（入侵防御系统）预置2200个以上攻击特征，并提供用户定制特征机制。l VPN（支持PPTP、L2TP、IPSec）。l Web内容过滤含有用户可定义URL、关键字过滤器和可自动升级最全方面URL地址库。l 带宽管理功效预防带宽滥用，IM/P2P过滤。l 用户认证，预防未授权非法网络访问。l 动态威胁防御提供优异威胁关联技术。l 单次解析引擎加速提供比基于ASIC、NPS安全方案高出2-4倍性能。l 完整系列支持服务，包含数据中心、风险报表、用户端安全组件等。2.3.1 布署方法NGAF系列防火墙支持路由（NAT）模式、透明模式和混合模式三种工作模式。能够很好适应多种网络环境。路由（N

12、AT）模式假如需要用NGAF连接不一样IP地址段，则将NGAF置于路由工作模式。如内网使用是192.168.1.0/24网段，而外网使用是201.1.1.X网段来连接Internet。此时因为内外网络不在同一IP地址段，所以需将NGAF设置为路由模式。此时NGAF工作在第三层，相当于一台路由器，连接不一样IP地址段。使192.168.1.X和201.1.1.X之间能够互访。在路由（NAT）模式下，NGAF每一个接口全部有一个IP地址，分别对应不一样网段。每个接口全部支持不一样地址模式，既能够是静态IP，也能够经过DHCP服务器取得动态IP，还能经过PPPOE拨号获取IP地址，能够很好支持LAN

13、、ADSL等多个网络接入方法。NGAF在路由模式下支持多种路由方法，包含静态路由、动态路由（能够直接参与到RIP、OSPF路由及组播路由运算中，而非仅仅让动态路由协议穿越）、策略路由（依据不一样源地址、目标地址、端口等确定下一条路由网关）混合模式NGAF还能够很方便实现路由/透明混合模式。内网和DMZ区使用同一网段IP地址，内网使用192.168.1.1-192.168.1.200，DMZ区使用192.168.1.201-192.168.1.250；外网使用另一网段IP地址（202.1.1.1）。此时单纯透明模式或路由（NAT）模式全部无法满足网络要求。使用NGAF能够实现外网和DMZ/内网之

14、间使用路由（NAT）模式，而内网和DMZ之间使用透明模式。这种路由/透明混合模式能够很好满足这种网络环境需求。VLAN支持不管在透明模式还是路由（NAT）模式下，NGAF全部支持802.1Q VLAN环境，对于交换机之间VLAN Trunk或交换机/路由器之间单臂路由全部能够很好支持；NGAF在路由模式下本身也能够给交换机上不一样VLAN作Trunk和路由。2.3.2 网关杀毒计算机病毒一直是信息安全关键威胁。而伴随网络不停发展，网络速度越来越快，网络应用也越来越丰富多彩，使得病毒传输风险也越来越大，造成破坏也越来越强。据ICSA（国际计算机安全协会）统计，现在已经有超出90%病毒是经过网络进

15、行传输。内网用户访问Internet时，不管是浏览WEB页面，还是经过FTP下载文件，或是收发E-mail，全部可能将Internet上病毒带入网内。而近几年泛滥成灾网络蠕虫病毒（如红色代码、尼姆达、冲击波、振荡波等）跟传统经过光盘、软盘等介质进行传输基于文件病毒有很大不一样，它们本身是一个病毒和黑客工具结合体，当网络当中一台计算机感染蠕虫病毒后，它会自动以极快速度（每秒几百个线程）扫描网络当中其它计算机安全漏洞，并主动将病毒传输到那些存在安全漏洞计算机上，只要相关安全漏洞没有经过安装补丁方法加以填补，蠕虫病毒就会这么以几何级数增加速度在网络当中传输，即使计算机上安装了带有实时监控功效防病毒软

16、件（包含单机版和网络版）对此也无能为力。蠕虫病毒传输还会大量占用网络带宽，造成网络拥堵，形成拒绝服务式攻击（DoS）。所以，对于新型网络蠕虫病毒，必需在网关处进行过滤，预防病毒进入内网。网关防病毒已经成为未来防病毒体系中重中之重，需要引发尤其重视。ICSA统计数据：90%以上是经过Internet传输外部病毒防御NGAF内置Sophos和F-port杀毒引擎，对病毒过滤针对标准协议，和应用无关。不管用户使用何种Email服务器和用户端，只要使用是标准SMTP、POP3、IMAP协议，NGAF全部能够对电子邮件中病毒进行过滤，预防病毒经过邮件传输。NGAF还支持HTTP协议和FTP协议，对于We

17、b浏览、下载、Web邮件及FTP文件传输过程中携带病毒均可进行拦截。在支持协议全方面性上走在了业界前方。对于使用非标准端口协议应用（如在使用代理服务器环境中，HTTP协议不使用TCP80端口，却使用了TCP8080端口），NGAF一样能够对其中病毒进行过滤。在协议支持全方面性上，NGAF走在了业界前面。在NGAF上启用防病毒功效，对HTTP、FTP、SMTP、POP3等协议进行过滤，便可将外网病毒传入内网风险降至最低。内部病毒防御即使现在90%以上病毒来自于Internet，但仍然有部分病毒经过其它路径进入内网，比如光盘、U盘、文件共享、移动用户等。而病毒进入内网后通常采取网络入侵方法，利用网

18、络中其它主机安全漏洞进行传输，并可能造成DoS攻击。所以本方案中NGAF安全网关不能仅针对HTTP、FTP、SMTP、POP3等协议进行病毒扫描，同时还应能识别各类蠕虫病毒内网传输特征，对内网中病毒传输进行定位和阻拦。2.3.3 IPS入侵防御传统状态检测/包过滤防火墙是在网络层/传输层工作，依据IP地址、端口等信息对数据包进行过滤，能够对黑客攻击起到部分防御作用。不过黑客仍然能够从正当IP地址经过防火墙开放端口对内网提议攻击，现在很多攻击和应用能够经过任意IP、端口进行，多种高级、复杂攻击单纯使用状态检测/包过滤防火墙无法进行阻挡，需要使用IPS（入侵防御系统）来配合防火墙实现对复杂攻击防御

19、。IPS工作在第二层到第七层，通常使用特征匹配和异常分析方法来识别网络攻击行为。NGAFIPS不仅能够对服务器进行漏洞防护，也能够对用户端漏洞进行防护以下图:特征匹配方法类似于病毒检测方法，经过攻击数据包中特征（字符串等）来进行判定。比如前面提过SoftEther通信数据中全部会包含“SoftEtherProtocol”字符串，即使这种应用使用HTTPS协议经过TCP443端口通信，使用包过滤防火墙无法进行防御。（因为假如将TCP443端口封闭话，会造成全部HTTPS通信无法进行，这是无法想象。）而使用IPS特征匹配方法，经过查找“SoftEtherProtocol”字符串便可轻易将全部Sof

20、tEther流量过滤掉，而其它HTTPS应用不会受到影响。而异常分析经过统计方法计算网络中多种流量速率，并和管理员预设阈值进行对比，超出阈值通信便是可疑攻击行为。比如，管理员经过对本网络应用观察和分析，认为在正常情况下某服务器每秒收到个以内SYN包属于正常范围。然而某一时刻NGAF检测到每秒有3000个以上SYN发往该服务器，此时便有可能是因为有黑客对服务器提议了DoS（拒绝服务）攻击。NGAF内置IPS同时使用特征和异常两种检测方法，能够检测2200种以上攻击和入侵行为以下图所表示，包含多种DoS（拒绝服务）/DDoS（分布式拒绝服务）攻击。NGAFIPS是在线式，直接布署在可信任网络和不可

21、信任网络之间。这种在线式IPS对多种攻击均可直接阻断并生成日志。而传统旁路式IDS（入侵检测系统）对绝大多数攻击行为只能统计日志，而不能进行阻NGAF内置IPS还能够对SYN flood、ICMP flood等DoS/DDoS攻击进行防御，对于每一个DoS/DDoS攻击行为，全部能够设置阈值，使策略符合实际网络环境和应用情况，降低误报和漏报率，并能够针对不一样源或目标IP地址TCP、UDP、ICMP会话数量进行限制。2.3.4 服务器防护服务器保护功效关键用于内网WEB服务器免受多种攻击，web应用防护能够针对内网web服务器设计防攻击策略，能够预防OS命令注入、SQL注入、XSS跨站攻击等多

22、种针对web应用攻击行为。以下图： 针对黑客攻击过程扫描-攻击-破坏，采取服务器应用隐藏防护策略，如在用户端访问HTTP服务器时候，服务器会经过HTTP报文头部返回字段信息，比如Server、via等，via可能会泄露代理服务器版本信息，攻击者能够利用对应版本漏洞提议攻击，而经过隐藏HTTP服务器返回信息，能够破坏攻击者扫描，2.3.5 流量管理深信服NGAF设备能够对内外网流量进行精细流量管理，可基于应用、用户、时间、线路等制订灵活流控策略。用户能够经过设定保障通道，对关键业务流量如视频会议、协同办公软件等进行带宽合理保障，而对于部分非业务流量如P2P下载、视频流媒体等能够经过限制通道进行限

23、速。以下图：精细带宽流控源自于对应用协议正确识别，NGAF内置深信服应用特征识别库和URL分类库，应用特征识别库能够识别700多个应用类型、1200多个应用动作。是用来判定和检测上网数据应用类型，依据数据包特征值或协议、端口、方向、数据包长度匹配、数据包内容匹配等多个条件来检测应用类型，能够很好检测经过端口或协议无法区分应用类型，比如QQ、P2P等。 应用特征识别库分为内置规则和自定义规则，内置规则库能够由设备定时更新，自定义规则能够增加、删除、修改。以下图所表示：URL库关键用于基于用户、时间、网页内容过滤，经过内置千万级URL库，能够正确识别网页类型，对不良网页进行封堵，预防终端上网过程中

24、访问挂马网站，造成终端中毒，避免终端成为内网安全防护短板。第3章 经典用户第4章 深信服科技企业介绍4.1 深信服科技介绍 深信服科技是中国规模最大、创新能力最强前沿网络设备供给商，致力于经过创新、高品质产品及卓越服务，帮助用户在将业务向互联网转型中取得成功。 作为一家专注于广域网市场厂商，深信服提供了贯穿用户广域网建设生命周期前沿产品及处理方案，包含IPSec VPN、SSL VPN、上网行为管理、广域网加速、应用交付、流量控制、上网优化等，并被公认为其中多个领域技术及市场领导者。截止到8月，已经有超出14，000家用户选择了同深信服合作并取得了显著收益。这些用户包含中国移动、通用电气、壳牌

25、石油、丰田汽车等世界500强企业，也包含中国人民银行、国资委、中国人寿、招商银行、南方航空、中国人民大学等中国著名用户。 现在，深信服企业总人数已达成700人，直属分支机构36个，并在香港、新加坡、阿联酋、泰国、印度等国家和地域设有直属办事机构。，深信服连续5次取得德勤“中国高科技高成长50强”、“亚太地域高科技高成长500强”，并于取得渣打银行授予“最具成长性新锐企业”中型企业金奖。，深信服荣获财富杂志“卓越雇主奖”。深信服产品已经应用于1万4千多家用户、连接着中国外数万个网络。在中国入选世界500强企业中，超出二分之一企业全部是深信服用户。4.2深信服科技部分荣誉深信服科技（SANGFOR）不停为用户提供创新处理方案，不仅得到了用户认可和支持，也得到了媒体和国家相关部门认可。、连续5年入选德勤中国高科技、高成长50强、连续7年入选德勤亚太地域高科技高成长500强高交会自主知识产权证书高新技术企业证书商用密码产品生产定点单位证书商用密码产品销售许可证 深圳市南山区麒麟路1号科技创业中心4楼Add: 4th Floor, Incubation Center, No.1 Qilin Road, Nanshan District, Shenzhen P.C.:518052产品咨询热线：800-830-9565Email: