资源描述
下一代防火墙安全解决方案
44
2020年5月29日
文档仅供参考
下一代防火墙安全解决方案
深信服科技有限公司
201X-XX-XX
目 录
1 网络与应用环境面临的安全挑战 3
1.1 应用多样化,端口的单一化 3
1.2 黑客攻击方式和目的的变化 4
1.3 端到端的万兆处理能力 6
2 传统安全设备日趋”无力” 7
2.1 防火墙成为了”摆设” 7
2.2 IPS+AV+WAF补丁式的方案 8
2.3 简单堆砌的UTM 9
3 下一代防火墙的诞生与价值 11
3.1 Gantner定义下一代防火墙 11
3.2 深信服NGAF的特点与用户价值 12
4 XXX网络安全现状 14
4.1 网络与应用系统现状 14
4.2 面临的内容安全威胁 14
4.2.1 漏洞利用 14
4.2.2 拒绝服务攻击和分布式拒绝服务攻击 16
4.2.3 零时差攻击 17
4.2.4 间谍软件 18
4.2.5 协议异常和违规检测 20
4.2.6 侦测和扫描 20
4.2.7 Web入侵 21
4.2.8 病毒木马 22
5 NGAF安全加固解决方案 23
5.1 总体方案 23
5.2 数据中心服务器保护 24
5.3 广域网边界安全隔离与防护 25
5.4 互联网出口边界防护 26
6 深信服NGAF产品介绍 28
6.1 更精细的应用层安全控制 28
6.2 更全面的内容级安全防护 29
6.3 更高性能的应用层处理能力 31
6.4 更完整的安全防护方案 33
1 网络与应用环境面临的安全挑战
IT部门对企业高效运营和快速发展的贡献毋庸置疑,种种益处自不必多言,可是如果网络崩溃、应用瘫痪、机密被窃,损失将令人痛心,甚至无法弥补,IT部门也将承受极大的压力,因此保证网络和应用系统安全、可靠和高效的运行成为IT部门的关键任务。要实现上述目标,首先,让我们来对网络和系统运行面临的安全挑战做出详细的分析。
1.1 应用多样化,端口的单一化
在传统的网络安全建设中,为网络设立一个”尽职尽责”的门卫控制应用访问的合法性还是能够做到的。因为,那时端口=应用、IP=用户,只要在交换机、路由器、防火墙做些基于”端口+IP”的访问控制策略,就能够轻松实现用户的访问权限。
可是随着网络、应用的不断的发展,为了便于应用的跨平台、灵活部署,现在有成千上万种应用趋向于更少数的端口运行,都是基于HTTP或者HTTPS协议(80、443端口)。比如”开心网”网站上能够运行159种应用程序(还在不断丰富)——聊天、游戏、图片分享等;”谷歌”的企业级应用套件甚至能够提供类似于Office、协作办公、视频分享这样的企业应用程序。
因此,应用多样化、端口单一化,给我们的网络安全提出了2个新的问题:
1、 能够针对应用协议和动作进行访问控制:对于这些应用和应用中丰富的动作,我们需要精细控制用户的访问权限,比如无法阻断文件传输,防止泄密。
2、 Web成为威胁传播的重点对象:需要针对看似合法的Web层内容中,检测和过滤各种威胁。因为,黑客已经把这些端口当做攻击和威胁传播的目标。
1.2 黑客攻击方式和目的的变化
早期的黑客攻击手段大多为非破坏性攻击,一般是为了扰乱系统的运行,并不盗窃系统资料,一般采用拒绝服务攻击(Ping of Death等)网络层方式。其主要目的也只是为了技术炫耀型为主。
而当前的黑客攻击目的完全以利益为驱动,技术手段更加倾向于应用化、内容化、混合化。
所谓应用化,面对堡垒森严的网络层防护手段,黑客要想悄无声息的入侵IT系统,必须采用更高层次的方式绕过这些防护手段。因此,基于应用的漏洞利用、命令注入、恶意脚本/插件等威胁就成为了黑客争相研究的方向。而漏洞利用也从原来侧重OS底层漏洞转变为基于应用程序的漏洞,比如根据卡巴斯基 Q1漏洞排行榜,Adobe Reader、Flash Player的包揽前三甲。
所谓内容化,黑客在成功入侵后更加关注的是IT系统中的内容,比如客户账号、通讯方式、银行账户、企业机密、电子订单等。因此,经过木马、后门、键盘记录等方式能够不断获取这些关键内容,并进行非法利用而牟利。
所谓混合化,在黑客一次攻击行为中使用了多种技术手段,而非原来单一的病毒蠕虫或者漏洞利用。比如,黑客要想入侵一台Web服务器上传木马的过程:端口/应用扫描、口令爆破、漏洞利用、OS命令注入、SQL注入、跨站脚本、木马上传等。
因此,面对上述安全风险的变化,给我们的网络安全提出了新的问题:
1、 能够防护混合型攻击威胁的防护:传统防火墙无法提供DPI深度检测,而IPS、WAF、AV等设备防护功能单一,需要相互搭配使用。因此,面对多种安全威胁的混合型攻击,我们需要一个完整的应用层安全防护方案。
2、 能够保护应用内容:针对黑客对内容的关注,需要基于应用的内容做安全检查,包括扫描所有应用内容,过滤有风险的内容,甚至让用户自定义哪些内容能够进出,哪些内容不能进出。
1.3 端到端的万兆处理能力
当前的IT系统已经全面具备了万兆处理能力,万兆网络、万兆存储、万兆计算,甚至100G/40G的网络标准已经诞生。可是只要在IT系统中出现一个性能瓶颈,就会制约整个IT系统的性能发挥。而当前应用层安全处理能力仅仅停留在准千兆级别,往往只有600-800兆左右的线速能力,成为了严重的网络性能瓶颈。
因此,面对上述网络性能的不断提升,给我们的安全防护提出了新的问题:
实现万兆级应用层安全处理能力:应用层安全防护强调的是计算的灵活性,传统网络安全设备的强调的是重复计算的高性能。因此,基于传统网络层安全设备ASIC的设计思路需要调整,并重新设计系统架构,才能满足万兆级完整的应用层防护处理能力。
2 传统安全设备日趋”无力”
面对上述网络、应用、安全风险等环境的变化,传统安全设备已经显得日趋”无力”,特别是传统防火墙已经变成了聋子和瞎子。
2.1 防火墙成为了”摆设”
从1990开始,随着Internet的快速发展,网络安全的问题也逐步为人们所重视,从最初采用简单的访问控制列表,到部署防火墙来保护周界安全。从1993年防火墙被广泛地部署在各种网络中,如下图所示:
图 自1993开始防火墙被广泛应用于边界安全
传统防火墙当前在网络当中主要的功能包括:
1、 经过基于端口和IP的访问控制,实现安全域的隔离与划分;
2、 经过地址转换,实现内部IP规划的隐藏;
3、 经过抵御DOS等网络层攻击,确保系统稳定运行;
可是面对”第一章”所提到的环境变化,我们能够发现,这些功能已经无法确保我们系统的安全稳定运行。防火墙存在的问题如下:
1、 戴着眼罩的保安:如果防火墙依然经过端口设置访问权限,那么针对单一端口下的多种应用和动作,针对端口动态变化的应用来说,防火墙只能雾里看花,无法实现有效地、精细地访问权限控制;
2、 过时的盾牌:如果把网络层攻击比喻成冷兵器时代的”刀枪剑戟”,把应用层混合威胁比喻成热兵器时代的”长枪大炮”,那么防火墙就好比是过时的”盾牌”,面对已经不常出没的冷兵器还是能够防护的,可是面对”长枪大炮”防火墙就自身难保。
因此,当前防火墙的部署已经成为了一种心理安慰,仅仅作为合规性的建设要求,要想真正确保系统安全,必须变革。
2.2 IPS+AV+WAF补丁式的方案
面对防火墙成为”摆设”的现实,出现了不少补充型的加固方案,其中最典型的方式就是FW+IPS+AV+WAF这种”串糖葫芦式”的建设。在一段时间内,这种方式成为了用户的不错选择。可是,随着业务的开展,其问题日益凸显:
1、 投资成本高:首先,同样性能的应用层安全设备要比网络层安全设备高数倍,再部署多台,整个方面的前期硬件投资就会增加4倍甚至10倍。其次,持续的运维成本也是不小的开销,能源消耗、配套建设(电源、空调)、人力成本等等也会急剧增加。
2、 防护效果不理想:这种方案在性能、检测精度、可靠性等方面均存在较多问题。首先,此方案的性能取决于其中性能最低的设备能力,其它安全设备即使有再高的性能也发挥不出来;其次,局域网延时一般在600us,多增加一台设备就意味着延时有提升了200us,特别是传统AV设备基于文件级别的检测方式延时极大,一份邮件的检测往往需要数秒钟甚至数分钟的时间;然后,面对混合型的攻击入侵,这种方案就无法提供高精度的检测,甚至出现漏报、误报;最后,可靠性差,假如每台设备的故障率为1%,那么串接了4台设备后,故障率就提升了4倍,增加了故障点,降低了系统可靠性。
因此,这种补丁式的建设方案,缺乏站在整体角度审视用户安全需求。因此,不但投资成本高,而且防护效果不理想,与网络匹配性差,只能作为一种过渡方案。
2.3 简单堆砌的UTM
UTM的出现曾经很好的解决了”补丁式”安全方案高成本的问题,可是依然无法有效的与网络环境相匹配,无法提供完整的防护功能。这主要是由于UTM的理念和架构设计所造成的,其主要问题体现在:
1、 功能缺失:虽然UTM集成了部分IPS、AV的功能,但由于大部分的UTM都是从FW演进而来,因此其访问控制依然采用基于端口和IP的方式,缺乏针对应用的识别、管控、流量分析、流量优化。因此,部分UTM能够称为”带着半个眼罩”的保安。
2、 应用层性能瓶颈:首先,UTM只是简单整合了应用层防护功能,IPS、AV、Web过滤都还是独立的检测分析引擎,没有进行统一的整合,一个数据包需要经过多次拆包解包,多次分析匹配才完成处理。同时,由于应用层安全防护强调的是计算的灵活性与并行处理能力(特征比对等),而传统网络层安全设备强调的是单一功能的、重复计算的高性能(基于端口的状态检测)。因此,从防火墙演进而来的UTM往往存在着应用层性能处理瓶颈,这也是为什么我们看到一台2G防火墙性能的UTM,在所有功能都开启后只有400—700兆应用层处理能力,性能急剧下降的原因。
因此,UTM的方案只能满足部分规模较小、应用简单网络环境的安全防护要求,可是面对应用复杂、网络性能较高的高端部署场景来说(数据中心、广域骨干网、大型互联网出口等),UTM依然无力。
3 下一代防火墙的诞生与价值
3.1 Gantner定义下一代防火墙
针对上述安全风险、网络环境、应用系统的变化,传统网络安全设备的无能为力,市场咨询分析机构Gartner在 发布了一份名为<Defining the Next-GenerationFirewall>的文章,给出了真正能够满足用户当前安全需求的下一代防火墙(NGFW)定义。
在Gartner 看来,NGFW 应该是一个线速(wire-speed)网络安全处理平台, 在功能上至少应当具备以下几个属性:
1.支持联机”bump-in-the-wire”配置,不中断网络运行。
2.发挥网络传输流检查和网络安全政策执行平台的作用,至少具有以下特性:
(1)标准的第一代防火墙能力:包过滤、网络地址转换(NAT)、状态性协议检测、VPN等等。
(2)集成的而非仅仅共处一个位置的网络入侵检测:支持面向安全漏洞的特征码和面向威胁的特征码。IPS与防火墙的互动效果应当大于这两部分效果的总和。例如提供防火墙规则来阻止某个地址不断向IPS加载恶意传输流。这个例子说明,在NGFW中,应该由防火墙建立关联,而不是操作人员去跨控制台部署解决方案。集成具有高质量的IPS引擎和特征码,是NGFW的一个主要特征。
(3)应用意识和全栈可见性:识别应用和在应用层上执行独立于端口和协议,而不是根据纯端口、纯协议和纯服务的网络安全政策。例子包括允许使用Skype,但关闭Skype中的文件共享或始终阻止GoToMyPC。
(4)额外的防火墙智能:防火墙收集外来信息来做出更好的阻止决定或建立优化的阻止规则库。例子包括利用目录集成将阻止行为与用户身份绑在一起,或建立地址的黑白名单。
Gartner认为,随着防火墙和IPS更新周期的自然到来,或者随着带宽需求的增加和随着成功的攻击,促使更新防火墙,大企业将用NGFW替换已有的防火墙。不断变化的威胁环境,以及不断变化的业务和IT流程将促使网络安全经理在她们的下一个防火墙/IPS更新周期时寻找NGFW。
Gartner预计到 底,用户采购防火墙的比例将增加到占安装量的35%,60%新购买的防火墙将是NGFW。
3.2 深信服NGAF的特点与用户价值
经过将中国用户的安全需求与Garnter定义的”NGFW”功能特性相结合,深信服推出了下一代应用防火墙NGAF产品。
NGAF是面向应用层设计,能够精确识别用户、应用和内容,具备完整安全防护能力,能够全面替代传统防火墙,并具有强劲应用层处理能力的全新网络安全设备。NGAF解决了传统安全设备在应用管控、应用可视化、应用内容防护等方面的巨大不足,同时开启所有功能后性能不会大幅下降。
NGAF 不但能够提供基础网络安全功能,如状态检测、VPN、抗DDoS、NAT等;还实现了统一的应用安全防护,能够针对一个入侵行为中的各种技术手段进行统一的检测和防护,如应用扫描、漏洞利用、Web入侵、非法访问、蠕虫病毒、带宽滥用、恶意代码等。NGAF能够为不同规模的行业用户的数据中心、广域网边界、互联网边界等场景提供更加精细、更加全面、更高性能的应用内容防护方案。其具体特点如下:
更精细的应用层安全控制:
l 贴近国内应用、持续更新的应用识别规则库
l 识别内外网超过724种应用、1253种动作(截止 8月10日)
l 支持包括AD域、Radius等8种用户身份识别方式
l 面向用户与应用策略配置,减少错误配置的风险
更全面的内容级安全防护:
l 基于攻击过程的服务器保护,防御黑客扫描、入侵、破坏三步曲
l 强化的WEB应用安全,支持多种注入防范、XSS攻击、权限控制等
l 完整的终端安全保护,支持插件/脚本过滤、漏洞/病毒防护等
更高性能的应用层处理能力:
l 单次解析架构实现报文一次拆解和匹配
l 多核并行处理技术提升应用层分析速度
l 全新技术架构实现应用层万兆处理能力
更完整的安全防护方案
l 可替代传统防火墙/VPN、IPS所有功能,实现内核级联动
4 XXX网络安全现状
4.1 网络与应用系统现状
请具体描述用户当期的网络、安全、应用系统的建设现状(设备类型、性能、采用的软件架构、网络安全域是如何划分的等等),分析当前的主要安全风险,而且提出改进方向。
4.2 面临的内容安全威胁
当前业务系统”曾经出现过”和”潜在出现”的各种内容安全威胁主要包括如下:
4.2.1 漏洞利用
无可厚非,软件开发人员在开发一个系统的时候,将实现相应的功能作为首要的任务,而且她们在编写和调试程序时一般仅考虑用户正常使用的情况,而对误用和恶意使用这些例外和异常情况处理考虑不周之处,也就形成了系统漏洞,或称系统的弱点。系统已不再是孤立的系统,而是经过网络互联的系统,即组成了计算机网络,计算机网络的使用者中有专业水平很高但思想并不纯洁的群体,她们利用这些漏洞对系统展开入侵和攻击,导致对网络和应用系统极大威胁,使网络和系统的使用和拥有者遭受严重的损失。自计算机紧急事件相应组(CERT)与1995年开始对系统漏洞进行跟踪以来,到 已有超过12,000个漏洞被报告,而且自1999年以来,每年的数量都翻翻,增长如此迅猛。在 ,漏洞数量又创出了新的记录,根据赛门铁克发布的 网络安全报告显示, 全年共计发现了6253个新的安全漏洞。
图 1995- 安全漏洞报告情况统计
如此多的漏洞,对IT部门意味着什么?安全小组必须采取行动获得补丁程序、测试、最后将其部署在服务器上,为什么不直接给服务器打补丁呢?因为不能保证补丁对应用系统没有影响,为了以防万一,必须对补丁程序进行测试和验证,然后才允许将其投入生产系统。从补丁程序获得、测试和验证,再到最终的部署,完成这一系列任务需要多长时间?答案是,可能需要几个小时到几天,而在此期间攻击可能已经发生,损失已无法挽回。
4.2.2 拒绝服务攻击和分布式拒绝服务攻击
除了由于操作系统和网络协议存在漏洞和缺陷,而可能遭受攻击外,现在IT部门还会拒绝服务攻击(DoS)和分布式拒绝服务攻击(DDoS)的挑战。DOS和DDOS攻击能够被分为两类:一种是利用网络协议的固有缺陷或实现上的弱点来进行攻击,与漏洞攻击相似。这类供给典型的例子如Teardrop、Land、KoD和Winnuke;对第一种DOS攻击能够经过打补丁的方法来防御,但对付第二种攻击就没那么简单了,另一类DOS和DDOS利用看似合理的海量服务请求来耗尽网络和系统的资源,从而使合法用户无法得到服务的响应。早期的DOS攻击由单机发起,在攻击目标的CPU速度不高、内存有限、网络带宽窄的情况下效果是明显的。
随着网络和系统性能的大幅提高,CPU的主频已达数G,服务器的内存一般在2G以上,另外网络的吞吐能力已达万兆,单机发起的DoS攻击好比孤狼斗猛虎,没有什么威胁。狼的习性是群居,一只固然势单力薄,但如果群起而攻之,恐怕猛虎也难抵挡,这就是分布式拒绝服务攻击的原理。用一台攻击机来攻击不再起作用的话,攻击者使用10台攻击机、100台呢共同发起攻击呢?DDoS就是利用大量的傀儡机来发起攻击,积少成多超过网络和系统的能力的极限,最终击溃高性能的网络和系统。
常见的DDOS攻击方法有SYN Flood、Established Connection Flood和Connection Per Second Flood。已发现的DOS攻击程序有ICMP Smurf、UDP 反弹,而典型的DDOS攻击程序有Zombie、TFN2K、Trinoo 和 Stacheldraht。
DOS和DDOS攻击会耗尽用户宝贵的网络和系统资源,使依赖计算机网络的正常业务无法进行,严重损害企业的声誉并造成极大的经济损失,使IT部门承受极大的压力。
4.2.3 零时差攻击
零时差攻击(Zero-day Attack)是指从系统漏洞、协议弱点被发现到黑客制造出针对该漏洞、弱点的恶意代码并发起攻击之间的时间差几乎为零的攻击。显而易见,零时差攻击对应用系统和网络的威胁和损害令人恐怖,这相当于在用户没有任何防备的情况下,黑客发起了闪电战,可能在极短的时间内摧毁关键的应用系统及令网络瘫痪。
回顾历史,能够发现从系统漏洞、协议弱点被发现到用户遭受攻击的时间正快速缩短,即零时差攻击的可能性越来越大。
1月中旬,针对微软的”Aurora”(极光)的零日漏洞开始大规模被利用。”极光”IE漏洞挂马攻击在国内最早出现在1月17日晚间,初期规模并不大,18日全天也仅有220家网站,但随着部分黑客论坛公开提供”极光木马生成器”下载,针对该漏洞的挂马网站数量在20日全天就超过了1万家,挂马网页更是超过14万个。而微软在一个星期后,1月22日才发布了针对极光的安全公告,提供了解决办法,但为时已晚。
4.2.4 间谍软件
间谍软件(英文名称为”spyware”)是一种来自互联网的,能够在用户不知情的情况下偷偷进行非法安装(安装后很难找到其踪影),并悄悄把截获的一些机密信息发送给第三者的软件。间谍软件在安装时什么都不显示,运行时用户也不知晓,删除起来非常困难。由于间谍软件隐藏在用户计算机中、秘密监视用户活动,并已经建立了一个进入个人电脑的通道,很容易对用户电脑做后续的攻击。间谍软件能够消耗计算能力,使计算机崩溃,并使用户被淹没在网络广告的汪洋大海中。它还能够窃取密码、信用卡号和其它机密数据。作为互联网用户,应该对此保持警惕了。最新统计显示,在过去的12个月中,全球感染间谍软件的企业数量增长了近50%。在100人以上的企业中,有17%的企业网络中藏有间谍软件,如键盘跟踪程序等。
间谍软件可分为两类,一类是”广告型间谍软件”。与其它软件一同安装,或经过ActiveX控件安装,用户并不知道它的存在。记录用户的姓名、性别、年龄、密码、域、电话号码、邮件地址、VPN、Web浏览记录、网上购物活动、硬件或软件设置等信息。 这类间谍软件还会改变目标系统的行为,诸如霸占IE首页与改变搜寻网页的设定,让系统联机到用户根本不会去的广告网站,以致计算机屏幕不停弹跳出各式广告。而且软件设置简单,只要填写自己的邮件地址和设置一下运行即可。
另一类被称为”监视型间谍软件”,它具有记录键盘操作的键盘记录器功能和屏幕捕获功能,能够用来在后台记录下所有用户的系统活动,比如网站访问、程序运行、网络聊天记录、键盘输入包括用户名和密码、桌面截屏快照等。主要被企业、私人侦探、司法机构、间谍机构等使用。间谍软件的恶行不但让机密信息曝光,对产能亦造成负面冲击,同时也拖累系统资源,诸如瓜分其它应用软件的频宽与内存,导致系统没来由减速。
间谍软件在未来将会变得更具威胁性,不但能够窃取口令、信用卡号,而且还能够偷走各种类型的身份信息,用于一些更加险恶的目的,如捕捉和传送Word和Excel文档,窃取企业秘密等。如果间谍软件打开通向用户桌面系统的通道,那么用户面临的危险将是不可想象的。
4.2.5 协议异常和违规检测
在一切正常的情况下,两个系统间该如何进行某种数据交换,协议都对其进行了定义。由于某些服务器不能有效处理异常流量,许多攻击会经过违反应用层协议,使黑客得以进行拒绝服务(DoS)攻击,或者获得对服务器的根本访问权限。经过执行协议RFC或标准,我们能够阻止这种攻击。除处理违反协议的情况外,这种机制还可截获命令中的非法参数,阻止许多缓冲溢出攻击的发生。比如根据RFC 2821,在一个正常的SMTP连接过程中,只有在客户端至少发送过一个”RCPT TO”请求命令之后,客户端发送”DATA”请求命令才是合法的。
4.2.6 侦测和扫描
刺探是利用各种手段尝式取得目标系统的敏感信息的行为,这些敏感信息包括系统安全状况、系统状态、服务信息、数据资料等;采用工具对系统进行规模化、自动化的刺探工作称为扫描。其工具称为扫描器。
扫描器最初是提供给管理员的一些极具威力的网络工具,利用它,网管员能够获得当前系统信息和安全状况。正是因为扫描器能有效的获取系统信息,因此也成为黑客最喜欢的工具。黑客利用扫描器的自动化和规模化的特性,只要简单的几步操作,即可搜集到目标信息。
4.2.7 Web入侵
随着互联网技术的迅猛发展,许多政府和企业的关键业务活动越来越多地依赖于WEB应用,在向客户提供经过浏览器访问企业信息功能的同时,企业所面临的风险在不断增加。主要表现在两个层面:一是随着Web应用程序的增多,这些Web应用程序所带来的安全漏洞越来越多;二是随着互联网技术的发展,被用来进行攻击的黑客工具越来越多、黑客活动越来越猖獗,组织性和经济利益驱动非常明显。
根据 Gartner 的调查,信息安全攻击有75%都是发生在Web应用层而非网络层面上。同时,数据也显示,2/3的Web站点都相当脆弱,易受攻击。能够说,绝大多数企业将大量的投资花费在网络和服务器的安全上,没有从真正意义上保证Web业务本身的安全,才给了黑客可乘之机。
根据CNCERT的监测,2010年中国大陆有3.5万个网站被黑客篡改,其中被篡改的政府网站高达4635个,比上年上升67.6%。政府网站安全性如果不能进一步提高,将不但影响政府形象和电子政务的开展,也会给不法分子发布虚假信息造成可乘之机。
Web攻击可导致的后果极为严重,完全能够使用多种攻击手段将一个合法正常网站攻陷,利用获取到的相应权限在网页中嵌入恶意代码,将恶意程序下载到存在客户端漏洞的主机上,从而实现攻击目的。由此可见,Web安全已经成为信息时代最大的”杀手”!
可是要想做好Web服务器的安全防护困难有两点:
1. 企业业务迅速更新,需要大量的Web应用快速上线。而由于资金、进度、意识等方面的影响,这些应用没有进行充分安全评估。
2. 针对Web的攻击会隐藏在大量正常的业务行为中,而且使用各种变形伪装手段,会导致传统的防火墙和基于特征的入侵防御系统无法发现和阻止这种攻击。
4.2.8 病毒木马
病毒是附着于程序或文件中的一段计算机代码,它可在计算机之间传播。它一边传播一边感染计算机。病毒可损坏软件、硬件和文件。病毒附着于宿主程序,然后试图在计算机之间传播。它可能损坏硬件、软件和信息。
与人体病毒按严重性分类(从 Ebola 病毒到普通的流感病毒)一样,计算机病毒也有轻重之分,轻者仅产生一些干扰,重者彻底摧毁设备。令人欣慰的是,在没有人员操作的情况下,真正的病毒不会传播。必须经过某个人共享文件和发送电子邮件来将它一起移动。
与病毒相似,蠕虫也是设计用来将自己从一台计算机复制到另一台计算机,可是它自动进行。首先,它控制计算机上能够传输文件或信息的功能。一旦您的系统感染蠕虫,蠕虫即可独自传播。最危险的是,蠕虫可大量复制。例如,蠕虫可向电子邮件地址簿中的所有联系人发送自己的副本,那些联系人的计算机也将执行同样的操作,结果造成多米诺效应(网络通信负担沉重),使商业网络和整个 Internet 的速度减慢。当新的蠕虫爆发时,它们传播的速度非常快。它们堵塞网络并可能导致您(以及其它每个人)等很长的时间才能查看 Internet 上的网页。
一般,蠕虫传播无需用户操作,并可经过网络分发它自己的完整副本(可能有改动)。蠕虫会消耗内存或网络带宽,从而可能导致计算机崩溃。
5 NGAF安全加固解决方案
5.1 总体方案
为了能够更好的针对当前网络安全现状,控制好可能发生的各种安全风险,建议采用下一代防火墙深信服NGAF针对业务系统进行全面的安全加固。
首先,我们建议将整个业务系统划分为如下N个网络安全域:
l 数据中心安全域:包括各种应用系统和服务器,如OA、视频、ERP、MAIL等,由于是整个IT系统的核心,安全级别最高;
l 广域网边界安全域:各个分支机构经过专网接入总部局域网,访问各种业务应用系统,主要包括构建专网的核心路由器、分支路由器;
l 互联网接入安全域:由于内部终端、对外发布业务系统(如XXX网上交易系统)都需要与互联网相连,访问互联网资源或者对外提供业务。此区域安全风险最高,需要重点隔离与控制;
l 内网办公安全域:包括总部内网的办公终端,为不同的部门提供高速、稳定的网络接入;
其次,根据这些网络安全域之间的访问关系、安全级别,我们建议在如下位置部署NGAF进行一体化的L2-L7安全防护与控制,整体方案如下图所示:
图 NGAF部署的总体方案
5.2 数据中心服务器保护
内部数据中心的服务器承载的业务尤为重要,是整个IT系统的核心组成部分,因此需要从如下四个方面着重考虑:
1)访问控制:谁能够访问数据中心?什么应用能够访问数据中心?盗用IP身份怎么办?如何防止应用的滥用和误用?传统防火墙基于端口/IP能否解决?
2)威胁攻击的问题:如何保护数据中心免受病毒、木马攻击;防止数据中心服务器被攻击
3)数据中心可用性:数据中心流量大,需要有效保证核心业务可用性
4)安全事件应用响应问题:如何了解数据中心安全风险问题?是否能够帮助管理员制定策略?
图 数据中心方案拓扑
经过在数据中心核心交换机外侧部署XX台深信服NGAF-XXXX,提供XX性能,开启XX、XX功能授权,能够帮助我们实现如下四个安全目标:
1)面向用户、应用的安全访问:将访问控制权限精确到用户与业务系统,有效解决了传统防火墙IP/端口的策略无法精确管理的问题。让业务开放对象更为明了、管理更方便、策略更易懂。
2)7层的内容安全检测:7层一体化安全防护(包括漏洞防护、服务器防护、病毒防护等)以及智能的内容安全过滤功能,防止各种应用威胁干扰服务器的稳定运行,确保核心业务数据的安全。
3)核心业务有保障: 基于应用的流量管理,保证核心业务带宽充分。万兆的应用层性能,有效保障数据中心的可用性。
4)可视化安全风险评估:提供服务器风险和终端风险报告以及应用流量报表,使全网的安全风险一目了然,帮助管理员分析安全状况管理数据中心。
5.3 广域网边界安全隔离与防护
对于广域网边界安全防护需要从如下几个方面着重考虑:
1)人员多,应用杂:如何制定有效的ACL,ACL是基于IP和端口的,这样的机器语言无法直观、清晰的制定访问控制策略,容易出现错配、漏配;
2)传统FW缺乏应用层威胁防护,病毒木马在分支机构和总部间传播速度快
3)病毒木马占用广域网有限带宽,影响关键业务的传输
4)分支数量多,IT管理水平层次不齐,设备多,成本高,组网杂,维护难
图 广域网边界安全防护方案拓扑
经过在核心交换机与核心路由器之间部署XX台深信服NGAF-XXXX,提供XX性能,开启XX、XX功能授权,能够帮助我们实现如下安全目标:
1)面向用户、应用的安全访问:将访问控制权限精确到用户与业务系统,有效解决了传统防火墙IP/端口的策略无法精确管理的问题。让业务开放对象更为明了、管理更方便、策略更易懂
2)广域网垃圾流量清洗:经过NGAF智能的内容安全过滤功能,将病毒、木马、蠕虫、DDoS等各种垃圾流量清除,确保带宽纯净,防止病毒扩散
3)一体化部署,简化组网: NGAF具备L2-L7一体化安全防护功能,能够简化组网,简便管理,提高性价比;
5.4 互联网出口边界防护
由于互联网边界实现了对外业务发布系统和内网终端的互联网接入,因此需要从如下几个方面着重考虑:
对外业务系统发布:
1)网站被挂马、数据遭篡改,企业/单位形象受损,造成经济损失,带来负面影响
2)合理控制服务器外联权限,封堵黑客远程控制,上传病毒、木马;
3)响应速度要求快,系统稳定性要求高,需要简化组网,降低延时,减少单点故障;
内网终端互联网接入:
1)浏览器、OS、Flash漏洞多,上网容易感染病毒、木马,窃取隐私
2)合理控制服务器外联权限,封堵黑客远程控制终端,将内网终端作为跳板,入侵服务器
3)用户权限多样,安全策略配置复杂
图 互联网边界安全方案拓扑
经过在互联网接入路由器后面部署XX台深信服NGAF-XXXX,,XX网上交易系统部署在DMZ区,提供XX性能,开启XX、XX功能授权,能够实现对内网终端和对外业务发布系统的双重防护(能够根据具体情况,分开部署),:
对外业务发布系统防护:
1)防止黑客入侵,获取权限,窃取数据:经过NGAF的漏洞防护、服务器防护、病毒防护等多种应用内容防护功能,防止黑客入侵,保证服务器稳定运行;
2)精确控制服务器外联权限:经过NGAF精确的应用识别,放行服务器补丁升级、病毒库升级等必要外联流量,阻断各种无关非法外联流量;
3)简化组网、降低延时: NGAF具备L2-L7一体化安全防护功能,能够简化组网,减少故障点;经过单次解析引擎减低延时;
内部终端安全防护:
1)全面防护,标本兼治:经过NGAF的恶意网站过滤功能,防止终端访问威胁网站和应用;经过漏洞防护、病毒防护、恶意控件/脚本过滤功能,切断威胁感染终端的各种技术手段;
2)精确识别,防止非法外联:经过NGAF精确的应用识别,放行服务器补丁升级、病毒库升级等必要外联流量,阻断各种无关非法外联流量,防止终端被作为跳板入侵服务器
3)一体化部署,配置简单: NGAF具备L2-L7一体化安全防护功能,能够简化组网,简便管理,提高性价比;
6 深信服NGAF产品介绍
6.1 更精细的应用层安全控制
NGAF独创的应用可视化引擎,能够根据应用的行为和特征实现对应用的识别和控制,而不但仅依赖于端口或协议,摆脱了过去只能经过IP地址来控制的尴尬,即使加密过的数据流也能应付自如。
当前,NGAF的应用可视化引擎不但能够识别724多种的应用及其应用动作,还能够与多种认证系统(AD、LDAP、Radius等)、应用系统(POP3、SMTP等)无缝对接,自动识别出网络当中IP地址对应的用户信息,并建立组织的用户分组结构;既满足了普通互联网边界行为管控的要求,同时还满足了在内网数据中心和广域网边界的部署要求,能够识别和控制丰富的内网应用,如Lotus Notes、RTX、Citrix、Oracle EBS、金蝶EAS、SAP、LDAP等,针对用户应用系统更新服务的诉求,NGAF还能够精细识别Microsoft、360、Symantec、Sogou、Kaspersky、McAfee、金山毒霸、江民杀毒等软件更新,保障在安全管控严格的环境下,系统软件更新服务畅通无阻。
因此,经过应用可视化引擎制定的L3-L7一体化应用控制策略, 能够为用户提供更加精细和直观化控制界面,在一个界面下完成多套设备的运维工作,提升工作效率。
6.2 更全面的内容级安全防护
深信服NGAF的灰度威胁识别技术不但能够将数据包还原的内容级别进行全面的威胁检测,而且还能够针对黑客入侵过程中使用的不同攻击方法进行关联分析,从而精确定位出一个黑客的攻击行为,有效阻断威胁风险的发生。灰度威胁识别技术改变了传统IPS等设备防御威胁种类单一,威胁检测经常出现漏报、误报的问题,能够帮助用户最大程度减少风险短板的出现,保证业务系统稳定运行。
深信服NGAF能够为业务系统提供端到端的安全防护,防护对象涵盖了终端、服务器、网络设备等,防御的威胁种类包括了:
l 漏洞利用类威胁:各种经过操作系统、应用系统、协议异常等漏洞,进行传播的蠕虫、木马、后门、间谍软件,进行攻击和入侵的DoS/DDoS攻击、缓冲区溢出攻击、协议异常攻击、蓝屏攻击、权限提取等;
l Web应用类威胁:专门针对Web应用面临的各种最新的威胁提供额外的安全防护,包括SQL注入、XSS攻击、OS命令注入、CSRF攻击、口令爆破、弱口令探测、应用信息探测、非法上传威胁文件等,从根源上解决了Web系统被入侵、数据被篡改的可能性;
l 病毒类威胁:除了传统的HTTP、FTP、SMTP、POP3等协议,还能够针对商务应用(文件共享等)传输的文件进行精确的木马、病毒、蠕虫查杀;
l 终端内容威胁:为了避免终端访问Web应用内容而被窃取隐私等信息或被用作肉鸡,需要有效过滤恶意网站、恶意文件、恶意控件、恶意脚本等内容威胁的访问;
NGAF的灰度威胁识别不但具备 +条漏洞特征库、数十万条病毒、木马等恶意内容特征库、1000+Web应用威胁特征库,能够全面识别各种应用层和内容级别的单一安全威胁;而且灰度威胁识别技术还提供了20+典型的黑客入侵行为的模板,能够有效关联各种威胁进行分析,最大成的提高了威胁检测精度。另外,深信服凭借在应用层领域6年以上的技术积累,组建了专业的安全攻防团队,能够为用户定期提供最新的威胁特征库更新,以确保防御的及时性。
6.3 更高性能的应用层处理能力
为了实现强劲的应用层处理能力,NGAF抛弃了传统防火墙NP、ASIC等适合执行网络层重复计算工作的硬件设计,采用了更加适合应用层灵活计算能力的多核并行处理技术;在系统架构上,NGAF也放弃了UTM多引擎,多次解析的架构,而采用了更为先进的一体化单次解析引擎,将漏洞、病毒、Web攻击、恶意代码/脚本、URL库等众多应用层威胁统一进行检测匹配,从而提升了工作效率,实现了万兆级的应用安全防护能力。
多核并行处理架构:现在CPU核越来越多,从双核到4核,再从4核到8核,16核,现在还有128核的CPU了。这样来看,如果1个核能够做到1个G,那么16个核不就能够超过10个G了吗? 可是一般设备性能并不能够根据核的增加而迅速增加。因为虽然各个核物理上是独立的,可是有很多资源是共享的,包括CPU的Cache,内存,这些核在访问共享资源的时候是要等其它核释放资源的,因此很多工作只
展开阅读全文
浙ICP备2021020529号-1 | 浙B2-20240490 
