NGAF安全防護方案建議模板(v1.0)

xx項目NGAF安全加固解決方案建議第36頁共36頁下一代防火墻安全解決方案深信服科技有限公司201X-XX-XX

目錄TOC\o"1-3"\h\z1 網(wǎng)絡(luò)與應(yīng)用環(huán)境面臨的安全挑戰(zhàn) 31.1 應(yīng)用多樣化，端口的單一化 31.2 黑客攻擊方式和目的的變化 41.3 端到端的萬兆處理能力 62 傳統(tǒng)安全設(shè)備日趨“無力” 72.1 防火墻成為了“擺設(shè)” 72.2 IPS+AV+WAF補丁式的方案 82.3 簡單堆砌的UTM 93 下一代防火墻的誕生與價值 113.1 Gantner定義下一代防火墻 113.2 深信服NGAF的特點與用戶價值 124 XXX網(wǎng)絡(luò)安全現(xiàn)狀 144.1 網(wǎng)絡(luò)與應(yīng)用系統(tǒng)現(xiàn)狀 144.2 面臨的內(nèi)容安全威脅 144.2.1 漏洞利用 144.2.2 拒絕服務(wù)攻擊和分布式拒絕服務(wù)攻擊 164.2.3 零時差攻擊 174.2.4 間諜軟件 184.2.5 協(xié)議異常和違規(guī)檢測 204.2.6 偵測和掃描 204.2.7 Web入侵 214.2.8 病毒木馬 225 NGAF安全加固解決方案 235.1 總體方案 235.2 數(shù)據(jù)中心服務(wù)器保護 245.3 廣域網(wǎng)邊界安全隔離與防護 255.4 互聯(lián)網(wǎng)出口邊界防護 266 深信服NGAF產(chǎn)品介紹 286.1 更精細的應(yīng)用層安全控制 286.2 更全面的內(nèi)容級安全防護 296.3 更高性能的應(yīng)用層處理能力 316.4 更完整的安全防護方案 33

網(wǎng)絡(luò)與應(yīng)用環(huán)境面臨的安全挑戰(zhàn)IT部門對企業(yè)高效運營和快速發(fā)展的貢獻毋庸置疑，種種益處自不必多言，但是如果網(wǎng)絡(luò)崩潰、應(yīng)用癱瘓、機密被竊，損失將令人痛心，甚至無法彌補，IT部門也將承受極大的壓力，所以保證網(wǎng)絡(luò)和應(yīng)用系統(tǒng)安全、可靠和高效的運行成為IT部門的關(guān)鍵任務(wù)。要實現(xiàn)上述目標，首先，讓我們來對網(wǎng)絡(luò)和系統(tǒng)運行面臨的安全挑戰(zhàn)做出詳細的分析。應(yīng)用多樣化，端口的單一化在傳統(tǒng)的網(wǎng)絡(luò)安全建設(shè)中，為網(wǎng)絡(luò)設(shè)立一個“盡職盡責(zé)”的門衛(wèi)控制應(yīng)用訪問的合法性還是可以做到的。因為，那時端口=應(yīng)用、IP=用戶，只要在交換機、路由器、防火墻做些基于“端口+IP”的訪問控制策略，就可以輕松實現(xiàn)用戶的訪問權(quán)限。但是隨著網(wǎng)絡(luò)、應(yīng)用的不斷的發(fā)展，為了便于應(yīng)用的跨平臺、靈活部署，現(xiàn)在有成千上萬種應(yīng)用趨向于更少數(shù)的端口運行，都是基于HTTP或者HTTPS協(xié)議（80、443端口）。比如“開心網(wǎng)”網(wǎng)站上可以運行159種應(yīng)用程序（還在不斷豐富）——聊天、游戲、圖片分享等；“谷歌”的企業(yè)級應(yīng)用套件甚至可以提供類似于Office、協(xié)作辦公、視頻分享這樣的企業(yè)應(yīng)用程序。因此，應(yīng)用多樣化、端口單一化，給我們的網(wǎng)絡(luò)安全提出了2個新的問題：能夠針對應(yīng)用協(xié)議和動作進行訪問控制：對于這些應(yīng)用和應(yīng)用中豐富的動作，我們需要精細控制用戶的訪問權(quán)限，比如無法阻斷文件傳輸，防止泄密。Web成為威脅傳播的重點對象：需要針對看似合法的Web層內(nèi)容中，檢測和過濾各種威脅。因為，黑客已經(jīng)把這些端口當(dāng)做攻擊和威脅傳播的目標。 黑客攻擊方式和目的的變化早期的黑客攻擊手段大多為非破壞性攻擊，一般是為了擾亂系統(tǒng)的運行，并不盜竊系統(tǒng)資料，通常采用拒絕服務(wù)攻擊（PingofDeath等）網(wǎng)絡(luò)層方式。其主要目的也只是為了技術(shù)炫耀型為主。而當(dāng)前的黑客攻擊目的完全以利益為驅(qū)動，技術(shù)手段更加傾向于應(yīng)用化、內(nèi)容化、混合化。所謂應(yīng)用化，面對堡壘森嚴的網(wǎng)絡(luò)層防護手段，黑客要想悄無聲息的入侵IT系統(tǒng)，必須采用更高層次的方式繞過這些防護手段。所以，基于應(yīng)用的漏洞利用、命令注入、惡意腳本/插件等威脅就成為了黑客爭相研究的方向。而漏洞利用也從原來側(cè)重OS底層漏洞轉(zhuǎn)變?yōu)榛趹?yīng)用程序的漏洞，比如根據(jù)卡巴斯基2011年Q1漏洞排行榜，AdobeReader、FlashPlayer的包攬前三甲。所謂內(nèi)容化，黑客在成功入侵后更加關(guān)注的是IT系統(tǒng)中的內(nèi)容，比如客戶賬號、通訊方式、銀行賬戶、企業(yè)機密、電子訂單等。因此，通過木馬、后門、鍵盤記錄等方式可以不斷獲取這些關(guān)鍵內(nèi)容，并進行非法利用而牟利。所謂混合化，在黑客一次攻擊行為中使用了多種技術(shù)手段，而非原來單一的病毒蠕蟲或者漏洞利用。比如，黑客要想入侵一臺Web服務(wù)器上傳木馬的過程：端口/應(yīng)用掃描、口令爆破、漏洞利用、OS命令注入、SQL注入、跨站腳本、木馬上傳等。因此，面對上述安全風(fēng)險的變化，給我們的網(wǎng)絡(luò)安全提出了新的問題：能夠防護混合型攻擊威脅的防護：傳統(tǒng)防火墻無法提供DPI深度檢測，而IPS、WAF、AV等設(shè)備防護功能單一，需要相互搭配使用。因此，面對多種安全威脅的混合型攻擊，我們需要一個完整的應(yīng)用層安全防護方案。能夠保護應(yīng)用內(nèi)容：針對黑客對內(nèi)容的關(guān)注，需要基于應(yīng)用的內(nèi)容做安全檢查，包括掃描所有應(yīng)用內(nèi)容，過濾有風(fēng)險的內(nèi)容，甚至讓用戶自定義哪些內(nèi)容可以進出，哪些內(nèi)容不能進出。端到端的萬兆處理能力當(dāng)前的IT系統(tǒng)已經(jīng)全面具備了萬兆處理能力，萬兆網(wǎng)絡(luò)、萬兆存儲、萬兆計算，甚至100G/40G的網(wǎng)絡(luò)標準已經(jīng)誕生。但是只要在IT系統(tǒng)中出現(xiàn)一個性能瓶頸，就會制約整個IT系統(tǒng)的性能發(fā)揮。而當(dāng)前應(yīng)用層安全處理能力僅僅停留在準千兆級別，往往只有600-800兆左右的線速能力，成為了嚴重的網(wǎng)絡(luò)性能瓶頸。因此，面對上述網(wǎng)絡(luò)性能的不斷提升，給我們的安全防護提出了新的問題：實現(xiàn)萬兆級應(yīng)用層安全處理能力：應(yīng)用層安全防護強調(diào)的是計算的靈活性，傳統(tǒng)網(wǎng)絡(luò)安全設(shè)備的強調(diào)的是重復(fù)計算的高性能。因此，基于傳統(tǒng)網(wǎng)絡(luò)層安全設(shè)備ASIC的設(shè)計思路需要調(diào)整，并重新設(shè)計系統(tǒng)架構(gòu)，才能滿足萬兆級完整的應(yīng)用層防護處理能力。傳統(tǒng)安全設(shè)備日趨“無力”面對上述網(wǎng)絡(luò)、應(yīng)用、安全風(fēng)險等環(huán)境的變化，傳統(tǒng)安全設(shè)備已經(jīng)顯得日趨“無力”，尤其是傳統(tǒng)防火墻已經(jīng)變成了聾子和瞎子。防火墻成為了“擺設(shè)”從1990開始，隨著Internet的快速發(fā)展，網(wǎng)絡(luò)安全的問題也逐步為人們所重視，從最初采用簡單的訪問控制列表，到部署防火墻來保護周界安全。從1993年防火墻被廣泛地部署在各種網(wǎng)絡(luò)中，如下圖所示：圖自1993開始防火墻被廣泛應(yīng)用于邊界安全傳統(tǒng)防火墻目前在網(wǎng)絡(luò)當(dāng)中主要的功能包括：通過基于端口和IP的訪問控制，實現(xiàn)安全域的隔離與劃分；通過地址轉(zhuǎn)換，實現(xiàn)內(nèi)部IP規(guī)劃的隱藏；通過抵御DOS等網(wǎng)絡(luò)層攻擊，確保系統(tǒng)穩(wěn)定運行；但是面對“第一章”所提到的環(huán)境變化，我們可以發(fā)現(xiàn)，這些功能已經(jīng)無法確保我們系統(tǒng)的安全穩(wěn)定運行。防火墻存在的問題如下：戴著眼罩的保安：如果防火墻依然通過端口設(shè)置訪問權(quán)限，那么針對單一端口下的多種應(yīng)用和動作，針對端口動態(tài)變化的應(yīng)用來說，防火墻只能霧里看花，無法實現(xiàn)有效地、精細地訪問權(quán)限控制；過時的盾牌：如果把網(wǎng)絡(luò)層攻擊比喻成冷兵器時代的“刀槍劍戟”，把應(yīng)用層混合威脅比喻成熱兵器時代的“長槍大炮”，那么防火墻就好比是過時的“盾牌”，面對已經(jīng)不常出沒的冷兵器還是可以防護的，但是面對“長槍大炮”防火墻就自身難保。因此，當(dāng)前防火墻的部署已經(jīng)成為了一種心理安慰，僅僅作為合規(guī)性的建設(shè)要求，要想真正確保系統(tǒng)安全，必須變革。IPS+AV+WAF補丁式的方案面對防火墻成為“擺設(shè)”的現(xiàn)實，出現(xiàn)了不少補充型的加固方案，其中最典型的方式就是FW+IPS+AV+WAF這種“串糖葫蘆式”的建設(shè)。在一段時間內(nèi)，這種方式成為了用戶的不錯選擇。但是，隨著業(yè)務(wù)的開展，其問題日益凸顯：投資成本高：首先，同樣性能的應(yīng)用層安全設(shè)備要比網(wǎng)絡(luò)層安全設(shè)備高數(shù)倍，再部署多臺，整個方面的前期硬件投資就會增加4倍甚至10倍。其次，持續(xù)的運維成本也是不小的開銷，能源消耗、配套建設(shè)（電源、空調(diào)）、人力成本等等也會急劇增加。防護效果不理想：這種方案在性能、檢測精度、可靠性等方面均存在較多問題。首先，此方案的性能取決于其中性能最低的設(shè)備能力，其他安全設(shè)備即使有再高的性能也發(fā)揮不出來；其次，局域網(wǎng)延時一般在600us，多增加一臺設(shè)備就意味著延時有提升了200us，尤其是傳統(tǒng)AV設(shè)備基于文件級別的檢測方式延時極大，一份郵件的檢測往往需要數(shù)秒鐘甚至數(shù)分鐘的時間；然后，面對混合型的攻擊入侵，這種方案就無法提供高精度的檢測，甚至出現(xiàn)漏報、誤報；最后，可靠性差，假如每臺設(shè)備的故障率為1%，那么串接了4臺設(shè)備后，故障率就提升了4倍，增加了故障點，降低了系統(tǒng)可靠性。因此，這種補丁式的建設(shè)方案，缺乏站在整體角度審視用戶安全需求。因此，不但投資成本高，而且防護效果不理想，與網(wǎng)絡(luò)匹配性差，只能作為一種過渡方案。簡單堆砌的UTMUTM的出現(xiàn)曾經(jīng)很好的解決了“補丁式”安全方案高成本的問題，但是依然無法有效的與網(wǎng)絡(luò)環(huán)境相匹配，無法提供完整的防護功能。這主要是由于UTM的理念和架構(gòu)設(shè)計所造成的，其主要問題體現(xiàn)在：功能缺失：雖然UTM集成了部分IPS、AV的功能，但由于大部分的UTM都是從FW演進而來，因此其訪問控制依然采用基于端口和IP的方式，缺乏針對應(yīng)用的識別、管控、流量分析、流量優(yōu)化。所以，部分UTM可以稱為“帶著半個眼罩”的保安。應(yīng)用層性能瓶頸：首先，UTM只是簡單整合了應(yīng)用層防護功能，IPS、AV、Web過濾都還是獨立的檢測分析引擎，沒有進行統(tǒng)一的整合，一個數(shù)據(jù)包需要經(jīng)過多次拆包解包，多次分析匹配才完成處理。同時，由于應(yīng)用層安全防護強調(diào)的是計算的靈活性與并行處理能力（特征比對等），而傳統(tǒng)網(wǎng)絡(luò)層安全設(shè)備強調(diào)的是單一功能的、重復(fù)計算的高性能（基于端口的狀態(tài)檢測）。因此，從防火墻演進而來的UTM往往存在著應(yīng)用層性能處理瓶頸，這也是為什么我們看到一臺2G防火墻性能的UTM，在所有功能都開啟后只有400—700兆應(yīng)用層處理能力，性能急劇下降的原因。因此，UTM的方案只能滿足部分規(guī)模較小、應(yīng)用簡單網(wǎng)絡(luò)環(huán)境的安全防護要求，但是面對應(yīng)用復(fù)雜、網(wǎng)絡(luò)性能較高的高端部署場景來說（數(shù)據(jù)中心、廣域骨干網(wǎng)、大型互聯(lián)網(wǎng)出口等），UTM依然無力。下一代防火墻的誕生與價值Gantner定義下一代防火墻針對上述安全風(fēng)險、網(wǎng)絡(luò)環(huán)境、應(yīng)用系統(tǒng)的變化，傳統(tǒng)網(wǎng)絡(luò)安全設(shè)備的無能為力，市場咨詢分析機構(gòu)Gartner在2009年發(fā)布了一份名為《DefiningtheNext-GenerationFirewall》的文章，給出了真正能夠滿足用戶當(dāng)前安全需求的下一代防火墻（NGFW）定義。在Gartner看來，NGFW應(yīng)該是一個線速（wire-speed）網(wǎng)絡(luò)安全處理平臺，在功能上至少應(yīng)當(dāng)具備以下幾個屬性：1．支持聯(lián)機“bump-in-the-wire”配置，不中斷網(wǎng)絡(luò)運行。2．發(fā)揮網(wǎng)絡(luò)傳輸流檢查和網(wǎng)絡(luò)安全政策執(zhí)行平臺的作用，至少具有以下特性：（1）標準的第一代防火墻能力：包過濾、網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)、狀態(tài)性協(xié)議檢測、VPN等等。（2）集成的而非僅僅共處一個位置的網(wǎng)絡(luò)入侵檢測：支持面向安全漏洞的特征碼和面向威脅的特征碼。IPS與防火墻的互動效果應(yīng)當(dāng)大于這兩部分效果的總和。例如提供防火墻規(guī)則來阻止某個地址不斷向IPS加載惡意傳輸流。這個例子說明，在NGFW中，應(yīng)該由防火墻建立關(guān)聯(lián)，而不是操作人員去跨控制臺部署解決方案。集成具有高質(zhì)量的IPS引擎和特征碼，是NGFW的一個主要特征。（3）應(yīng)用意識和全?？梢娦裕鹤R別應(yīng)用和在應(yīng)用層上執(zhí)行獨立于端口和協(xié)議，而不是根據(jù)純端口、純協(xié)議和純服務(wù)的網(wǎng)絡(luò)安全政策。例子包括允許使用Skype，但關(guān)閉Skype中的文件共享或始終阻止GoToMyPC。（4）額外的防火墻智能：防火墻收集外來信息來做出更好的阻止決定或建立優(yōu)化的阻止規(guī)則庫。例子包括利用目錄集成將阻止行為與用戶身份綁在一起，或建立地址的黑白名單。Gartner認為，隨著防火墻和IPS更新周期的自然到來，或者隨著帶寬需求的增加和隨著成功的攻擊，促使更新防火墻，大企業(yè)將用NGFW替換已有的防火墻。不斷變化的威脅環(huán)境，以及不斷變化的業(yè)務(wù)和IT流程將促使網(wǎng)絡(luò)安全經(jīng)理在他們的下一個防火墻/IPS更新周期時尋找NGFW。Gartner預(yù)計到2014年底，用戶采購防火墻的比例將增加到占安裝量的35%，60%新購買的防火墻將是NGFW。深信服NGAF的特點與用戶價值通過將中國用戶的安全需求與Garnter定義的“NGFW”功能特性相結(jié)合，深信服推出了下一代應(yīng)用防火墻NGAF產(chǎn)品。NGAF是面向應(yīng)用層設(shè)計，能夠精確識別用戶、應(yīng)用和內(nèi)容，具備完整安全防護能力，能夠全面替代傳統(tǒng)防火墻，并具有強勁應(yīng)用層處理能力的全新網(wǎng)絡(luò)安全設(shè)備。NGAF解決了傳統(tǒng)安全設(shè)備在應(yīng)用管控、應(yīng)用可視化、應(yīng)用內(nèi)容防護等方面的巨大不足，同時開啟所有功能后性能不會大幅下降。NGAF不但可以提供基礎(chǔ)網(wǎng)絡(luò)安全功能，如狀態(tài)檢測、VPN、抗DDoS、NAT等；還實現(xiàn)了統(tǒng)一的應(yīng)用安全防護，可以針對一個入侵行為中的各種技術(shù)手段進行統(tǒng)一的檢測和防護，如應(yīng)用掃描、漏洞利用、Web入侵、非法訪問、蠕蟲病毒、帶寬濫用、惡意代碼等。NGAF可以為不同規(guī)模的行業(yè)用戶的數(shù)據(jù)中心、廣域網(wǎng)邊界、互聯(lián)網(wǎng)邊界等場景提供更加精細、更加全面、更高性能的應(yīng)用內(nèi)容防護方案。其具體特點如下：更精細的應(yīng)用層安全控制：貼近國內(nèi)應(yīng)用、持續(xù)更新的應(yīng)用識別規(guī)則庫識別內(nèi)外網(wǎng)超過724種應(yīng)用、1253種動作（截止2011年8月10日）支持包括AD域、Radius等8種用戶身份識別方式面向用戶與應(yīng)用策略配置，減少錯誤配置的風(fēng)險更全面的內(nèi)容級安全防護：基于攻擊過程的服務(wù)器保護，防御黑客掃描、入侵、破壞三步曲強化的WEB應(yīng)用安全，支持多種注入防范、XSS攻擊、權(quán)限控制等完整的終端安全保護，支持插件/腳本過濾、漏洞/病毒防護等更高性能的應(yīng)用層處理能力：單次解析架構(gòu)實現(xiàn)報文一次拆解和匹配多核并行處理技術(shù)提升應(yīng)用層分析速度全新技術(shù)架構(gòu)實現(xiàn)應(yīng)用層萬兆處理能力更完整的安全防護方案可替代傳統(tǒng)防火墻/VPN、IPS所有功能，實現(xiàn)內(nèi)核級聯(lián)動XXX網(wǎng)絡(luò)安全現(xiàn)狀網(wǎng)絡(luò)與應(yīng)用系統(tǒng)現(xiàn)狀請具體描述用戶當(dāng)期的網(wǎng)絡(luò)、安全、應(yīng)用系統(tǒng)的建設(shè)現(xiàn)狀（設(shè)備類型、性能、采用的軟件架構(gòu)、網(wǎng)絡(luò)安全域是如何劃分的等等），分析當(dāng)前的主要安全風(fēng)險，并且提出改進方向。面臨的內(nèi)容安全威脅當(dāng)前業(yè)務(wù)系統(tǒng)“曾經(jīng)出現(xiàn)過”和“潛在出現(xiàn)”的各種內(nèi)容安全威脅主要包括如下：漏洞利用無可厚非，軟件開發(fā)人員在開發(fā)一個系統(tǒng)的時候，將實現(xiàn)相應(yīng)的功能作為首要的任務(wù)，而且他們在編寫和調(diào)試程序時通常僅考慮用戶正常使用的情況，而對誤用和惡意使用這些例外和異常情況處理考慮不周之處，也就形成了系統(tǒng)漏洞，或稱系統(tǒng)的弱點。系統(tǒng)已不再是孤立的系統(tǒng)，而是通過網(wǎng)絡(luò)互聯(lián)的系統(tǒng)，即組成了計算機網(wǎng)絡(luò)，計算機網(wǎng)絡(luò)的使用者中有專業(yè)水平很高但思想并不純潔的群體，他們利用這些漏洞對系統(tǒng)展開入侵和攻擊，導(dǎo)致對網(wǎng)絡(luò)和應(yīng)用系統(tǒng)極大威脅，使網(wǎng)絡(luò)和系統(tǒng)的使用和擁有者遭受嚴重的損失。自計算機緊急事件相應(yīng)組（CERT）與1995年開始對系統(tǒng)漏洞進行跟蹤以來，到2004年已有超過12，000個漏洞被報告，而且自1999年以來，每年的數(shù)量都翻翻，增長如此迅猛。在2010年，漏洞數(shù)量又創(chuàng)出了新的記錄，根據(jù)賽門鐵克發(fā)布的2010年度網(wǎng)絡(luò)安全報告顯示，2010年全年共計發(fā)現(xiàn)了6253個新的安全漏洞。圖1995-2004安全漏洞報告情況統(tǒng)計如此多的漏洞，對IT部門意味著什么？安全小組必須采取行動獲得補丁程序、測試、最后將其部署在服務(wù)器上，為什么不直接給服務(wù)器打補丁呢？因為不能保證補丁對應(yīng)用系統(tǒng)沒有影響，為了以防萬一，必須對補丁程序進行測試和驗證，然后才允許將其投入生產(chǎn)系統(tǒng)。從補丁程序獲得、測試和驗證，再到最終的部署，完成這一系列任務(wù)需要多長時間？答案是，可能需要幾個小時到幾天，而在此期間攻擊可能已經(jīng)發(fā)生，損失已無法挽回。拒絕服務(wù)攻擊和分布式拒絕服務(wù)攻擊除了由于操作系統(tǒng)和網(wǎng)絡(luò)協(xié)議存在漏洞和缺陷，而可能遭受攻擊外，現(xiàn)在IT部門還會拒絕服務(wù)攻擊（DoS）和分布式拒絕服務(wù)攻擊（DDoS）的挑戰(zhàn)。DOS和DDOS攻擊可以被分為兩類：一種是利用網(wǎng)絡(luò)協(xié)議的固有缺陷或?qū)崿F(xiàn)上的弱點來進行攻擊，與漏洞攻擊相似。這類供給典型的例子如Teardrop、Land、KoD和Winnuke；對第一種DOS攻擊可以通過打補丁的方法來防御，但對付第二種攻擊就沒那么簡單了，另一類DOS和DDOS利用看似合理的海量服務(wù)請求來耗盡網(wǎng)絡(luò)和系統(tǒng)的資源，從而使合法用戶無法得到服務(wù)的響應(yīng)。早期的DOS攻擊由單機發(fā)起，在攻擊目標的CPU速度不高、內(nèi)存有限、網(wǎng)絡(luò)帶寬窄的情況下效果是明顯的。隨著網(wǎng)絡(luò)和系統(tǒng)性能的大幅提高，CPU的主頻已達數(shù)G，服務(wù)器的內(nèi)存通常在2G以上，此外網(wǎng)絡(luò)的吞吐能力已達萬兆，單機發(fā)起的DoS攻擊好比孤狼斗猛虎，沒有什么威脅。狼的習(xí)性是群居，一只固然勢單力薄，但如果群起而攻之，恐怕猛虎也難抵擋，這就是分布式拒絕服務(wù)攻擊的原理。用一臺攻擊機來攻擊不再起作用的話，攻擊者使用10臺攻擊機、100臺呢共同發(fā)起攻擊呢？DDoS就是利用大量的傀儡機來發(fā)起攻擊，積少成多超過網(wǎng)絡(luò)和系統(tǒng)的能力的極限，最終擊潰高性能的網(wǎng)絡(luò)和系統(tǒng)。常見的DDOS攻擊方法有SYNFlood、EstablishedConnectionFlood和ConnectionPerSecondFlood。已發(fā)現(xiàn)的DOS攻擊程序有ICMPSmurf、UDP反彈，而典型的DDOS攻擊程序有Zombie、TFN2K、Trinoo和Stacheldraht。DOS和DDOS攻擊會耗盡用戶寶貴的網(wǎng)絡(luò)和系統(tǒng)資源，使依賴計算機網(wǎng)絡(luò)的正常業(yè)務(wù)無法進行，嚴重損害企業(yè)的聲譽并造成極大的經(jīng)濟損失，使IT部門承受極大的壓力。零時差攻擊零時差攻擊（Zero-dayAttack）是指從系統(tǒng)漏洞、協(xié)議弱點被發(fā)現(xiàn)到黑客制造出針對該漏洞、弱點的惡意代碼并發(fā)起攻擊之間的時間差幾乎為零的攻擊。顯而易見，零時差攻擊對應(yīng)用系統(tǒng)和網(wǎng)絡(luò)的威脅和損害令人恐怖，這相當(dāng)于在用戶沒有任何防備的情況下，黑客發(fā)起了閃電戰(zhàn)，可能在極短的時間內(nèi)摧毀關(guān)鍵的應(yīng)用系統(tǒng)及令網(wǎng)絡(luò)癱瘓。回顧歷史，可以發(fā)現(xiàn)從系統(tǒng)漏洞、協(xié)議弱點被發(fā)現(xiàn)到用戶遭受攻擊的時間正快速縮短，即零時差攻擊的可能性越來越大。2010年1月中旬，針對微軟的“Aurora”（極光）的零日漏洞開始大規(guī)模被利用?！皹O光”IE漏洞掛馬攻擊在國內(nèi)最早出現(xiàn)在1月17日晚間，初期規(guī)模并不大，18日全天也僅有220家網(wǎng)站，但隨著部分黑客論壇公開提供“極光木馬生成器”下載，針對該漏洞的掛馬網(wǎng)站數(shù)量在20日全天就超過了1萬家，掛馬網(wǎng)頁更是超過14萬個。而微軟在一個星期后，1月22日才發(fā)布了針對極光的安全公告，提供了解決辦法，但為時已晚。間諜軟件間諜軟件（英文名稱為“spyware”）是一種來自互聯(lián)網(wǎng)的，能夠在用戶不知情的情況下偷偷進行非法安裝（安裝后很難找到其蹤影），并悄悄把截獲的一些機密信息發(fā)送給第三者的軟件。間諜軟件在安裝時什么都不顯示，運行時用戶也不知曉，刪除起來非常困難。由于間諜軟件隱藏在用戶計算機中、秘密監(jiān)視用戶活動，并已經(jīng)建立了一個進入個人電腦的通道，很容易對用戶電腦做后續(xù)的攻擊。間諜軟件能夠消耗計算能力，使計算機崩潰，并使用戶被淹沒在網(wǎng)絡(luò)廣告的汪洋大海中。它還能夠竊取密碼、信用卡號和其它機密數(shù)據(jù)。作為互聯(lián)網(wǎng)用戶，應(yīng)該對此保持警惕了。最新統(tǒng)計顯示，在過去的12個月中，全球感染間諜軟件的企業(yè)數(shù)量增長了近50%。在100人以上的企業(yè)中，有17%的企業(yè)網(wǎng)絡(luò)中藏有間諜軟件，如鍵盤跟蹤程序等。間諜軟件可分為兩類，一類是“廣告型間諜軟件”。與其他軟件一同安裝，或通過ActiveX控件安裝，用戶并不知道它的存在。記錄用戶的姓名、性別、年齡、密碼、域、電話號碼、郵件地址、VPN、Web瀏覽記錄、網(wǎng)上購物活動、硬件或軟件設(shè)置等信息。這類間諜軟件還會改變目標系統(tǒng)的行為，諸如霸占IE首頁與改變搜尋網(wǎng)頁的設(shè)定，讓系統(tǒng)聯(lián)機到用戶根本不會去的廣告網(wǎng)站，以致計算機屏幕不停彈跳出各式廣告。而且軟件設(shè)置簡單，只要填寫自己的郵件地址和設(shè)置一下運行即可。另一類被稱為“監(jiān)視型間諜軟件”，它具有記錄鍵盤操作的鍵盤記錄器功能和屏幕捕獲功能，可以用來在后臺記錄下所有用戶的系統(tǒng)活動，比如網(wǎng)站訪問、程序運行、網(wǎng)絡(luò)聊天記錄、鍵盤輸入包括用戶名和密碼、桌面截屏快照等。主要被企業(yè)、私人偵探、司法機構(gòu)、間諜機構(gòu)等使用。間諜軟件的惡行不僅讓機密信息曝光，對產(chǎn)能亦造成負面沖擊，同時也拖累系統(tǒng)資源，諸如瓜分其它應(yīng)用軟件的頻寬與內(nèi)存，導(dǎo)致系統(tǒng)沒來由減速。

間諜軟件在未來將會變得更具威脅性，不僅可以竊取口令、信用卡號，而且還可以偷走各種類型的身份信息，用于一些更加險惡的目的，如捕捉和傳送Word和Excel文檔，竊取企業(yè)秘密等。如果間諜軟件打開通向用戶桌面系統(tǒng)的通道，那么用戶面臨的危險將是不可想象的。協(xié)議異常和違規(guī)檢測在一切正常的情況下，兩個系統(tǒng)間該如何進行某種數(shù)據(jù)交換，協(xié)議都對其進行了定義。由于某些服務(wù)器不能有效處理異常流量，許多攻擊會通過違反應(yīng)用層協(xié)議，使黑客得以進行拒絕服務(wù)（DoS）攻擊，或者獲得對服務(wù)器的根本訪問權(quán)限。通過執(zhí)行協(xié)議RFC或標準，我們可以阻止這種攻擊。除處理違反協(xié)議的情況外，這種機制還可截獲命令中的非法參數(shù)，阻止許多緩沖溢出攻擊的發(fā)生。比如根據(jù)RFC2821，在一個正常的SMTP連接過程中，只有在客戶端至少發(fā)送過一個“RCPTTO”請求命令之后，客戶端發(fā)送“DATA”請求命令才是合法的。偵測和掃描刺探是利用各種手段嘗式取得目標系統(tǒng)的敏感信息的行為，這些敏感信息包括系統(tǒng)安全狀況、系統(tǒng)狀態(tài)、服務(wù)信息、數(shù)據(jù)資料等；采用工具對系統(tǒng)進行規(guī)?；?、自動化的刺探工作稱為掃描。其工具稱為掃描器。

掃描器最初是提供給管理員的一些極具威力的網(wǎng)絡(luò)工具，利用它，網(wǎng)管員可以獲得當(dāng)前系統(tǒng)信息和安全狀況。正是因為掃描器能有效的獲取系統(tǒng)信息，因此也成為黑客最喜歡的工具。黑客利用掃描器的自動化和規(guī)?；奶匦?，只要簡單的幾步操作，即可搜集到目標信息。Web入侵隨著互聯(lián)網(wǎng)技術(shù)的迅猛發(fā)展，許多政府和企業(yè)的關(guān)鍵業(yè)務(wù)活動越來越多地依賴于WEB應(yīng)用，在向客戶提供通過瀏覽器訪問企業(yè)信息功能的同時，企業(yè)所面臨的風(fēng)險在不斷增加。主要表現(xiàn)在兩個層面：一是隨著Web應(yīng)用程序的增多，這些Web應(yīng)用程序所帶來的安全漏洞越來越多；二是隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展，被用來進行攻擊的黑客工具越來越多、黑客活動越來越猖獗，組織性和經(jīng)濟利益驅(qū)動非常明顯。根據(jù)Gartner的調(diào)查，信息安全攻擊有75%都是發(fā)生在Web應(yīng)用層而非網(wǎng)絡(luò)層面上。同時，數(shù)據(jù)也顯示，2/3的Web站點都相當(dāng)脆弱，易受攻擊?？梢哉f，絕大多數(shù)企業(yè)將大量的投資花費在網(wǎng)絡(luò)和服務(wù)器的安全上，沒有從真正意義上保證Web業(yè)務(wù)本身的安全，才給了黑客可乘之機。根據(jù)ＣＮＣＥＲＴ的監(jiān)測，２０１０年中國大陸有３．５萬個網(wǎng)站被黑客篡改，其中被篡改的政府網(wǎng)站高達４６３５個，比上年上升６７．６％。政府網(wǎng)站安全性如果不能進一步提高，將不僅影響政府形象和電子政務(wù)的開展，也會給不法分子發(fā)布虛假信息造成可乘之機。Web攻擊可導(dǎo)致的后果極為嚴重，完全可以使用多種攻擊手段將一個合法正常網(wǎng)站攻陷，利用獲取到的相應(yīng)權(quán)限在網(wǎng)頁中嵌入惡意代碼，將惡意程序下載到存在客戶端漏洞的主機上，從而實現(xiàn)攻擊目的。由此可見，Web安全已經(jīng)成為信息時代最大的“殺手”！但是要想做好Web服務(wù)器的安全防護困難有兩點：1.

企業(yè)業(yè)務(wù)迅速更新，需要大量的Web應(yīng)用快速上線。而由于資金、進度、意識等方面的影響，這些應(yīng)用沒有進行充分安全評估。2.針對Web的攻擊會隱藏在大量正常的業(yè)務(wù)行為中，而且使用各種變形偽裝手段，會導(dǎo)致傳統(tǒng)的防火墻和基于特征的入侵防御系統(tǒng)無法發(fā)現(xiàn)和阻止這種攻擊。病毒木馬病毒是附著于程序或文件中的一段計算機代碼，它可在計算機之間傳播。它一邊傳播一邊感染計算機。病毒可損壞軟件、硬件和文件。病毒附著于宿主程序，然后試圖在計算機之間傳播。它可能損壞硬件、軟件和信息。與人體病毒按嚴重性分類（從Ebola病毒到普通的流感病毒）一樣，計算機病毒也有輕重之分，輕者僅產(chǎn)生一些干擾，重者徹底摧毀設(shè)備。令人欣慰的是，在沒有人員操作的情況下，真正的病毒不會傳播。必須通過某個人共享文件和發(fā)送電子郵件來將它一起移動。與病毒相似，蠕蟲也是設(shè)計用來將自己從一臺計算機復(fù)制到另一臺計算機，但是它自動進行。首先，它控制計算機上可以傳輸文件或信息的功能。一旦您的系統(tǒng)感染蠕蟲，蠕蟲即可獨自傳播。最危險的是，蠕蟲可大量復(fù)制。例如，蠕蟲可向電子郵件地址簿中的所有聯(lián)系人發(fā)送自己的副本，那些聯(lián)系人的計算機也將執(zhí)行同樣的操作，結(jié)果造成多米諾效應(yīng)（網(wǎng)絡(luò)通信負擔(dān)沉重），使商業(yè)網(wǎng)絡(luò)和整個Internet的速度減慢。當(dāng)新的蠕蟲爆發(fā)時，它們傳播的速度非?？臁Ｋ鼈兌氯W(wǎng)絡(luò)并可能導(dǎo)致您（以及其他每個人）等很長的時間才能查看Internet上的網(wǎng)頁。通常，蠕蟲傳播無需用戶操作，并可通過網(wǎng)絡(luò)分發(fā)它自己的完整副本（可能有改動）。蠕蟲會消耗內(nèi)存或網(wǎng)絡(luò)帶寬，從而可能導(dǎo)致計算機崩潰。NGAF安全加固解決方案總體方案為了能夠更好的針對當(dāng)前網(wǎng)絡(luò)安全現(xiàn)狀，控制好可能發(fā)生的各種安全風(fēng)險，建議采用下一代防火墻深信服NGAF針對業(yè)務(wù)系統(tǒng)進行全面的安全加固。首先，我們建議將整個業(yè)務(wù)系統(tǒng)劃分為如下N個網(wǎng)絡(luò)安全域：數(shù)據(jù)中心安全域：包括各種應(yīng)用系統(tǒng)和服務(wù)器，如OA、視頻、ERP、MAIL等，由于是整個IT系統(tǒng)的核心，安全級別最高；廣域網(wǎng)邊界安全域：各個分支機構(gòu)通過專網(wǎng)接入總部局域網(wǎng)，訪問各種業(yè)務(wù)應(yīng)用系統(tǒng)，主要包括構(gòu)建專網(wǎng)的核心路由器、分支路由器；互聯(lián)網(wǎng)接入安全域：由于內(nèi)部終端、對外發(fā)布業(yè)務(wù)系統(tǒng)（如XXX網(wǎng)上交易系統(tǒng)）都需要與互聯(lián)網(wǎng)相連，訪問互聯(lián)網(wǎng)資源或者對外提供業(yè)務(wù)。此區(qū)域安全風(fēng)險最高，需要重點隔離與控制；內(nèi)網(wǎng)辦公安全域：包括總部內(nèi)網(wǎng)的辦公終端，為不同的部門提供高速、穩(wěn)定的網(wǎng)絡(luò)接入；其次，根據(jù)這些網(wǎng)絡(luò)安全域之間的訪問關(guān)系、安全級別，我們建議在如下位置部署NGAF進行一體化的L2-L7安全防護與控制，整體方案如下圖所示： 圖NGAF部署的總體方案數(shù)據(jù)中心服務(wù)器保護內(nèi)部數(shù)據(jù)中心的服務(wù)器承載的業(yè)務(wù)尤為重要，是整個ＩＴ系統(tǒng)的核心組成部分，因此需要從如下四個方面著重考慮：1）訪問控制：誰可以訪問數(shù)據(jù)中心？什么應(yīng)用可以訪問數(shù)據(jù)中心？盜用IP身份怎么辦？如何防止應(yīng)用的濫用和誤用？傳統(tǒng)防火墻基于端口/IP能否解決？2）威脅攻擊的問題：如何保護數(shù)據(jù)中心免受病毒、木馬攻擊；防止數(shù)據(jù)中心服務(wù)器被攻擊3）數(shù)據(jù)中心可用性：數(shù)據(jù)中心流量大，需要有效保證核心業(yè)務(wù)可用性4）安全事件應(yīng)用響應(yīng)問題：如何了解數(shù)據(jù)中心安全風(fēng)險問題？是否可以幫助管理員制定策略？圖數(shù)據(jù)中心方案拓撲通過在數(shù)據(jù)中心核心交換機外側(cè)部署XX臺深信服NGAF-XXXX，提供XX性能，開啟XX、XX功能授權(quán)，可以幫助我們實現(xiàn)如下四個安全目標：1）面向用戶、應(yīng)用的安全訪問：將訪問控制權(quán)限精確到用戶與業(yè)務(wù)系統(tǒng)，有效解決了傳統(tǒng)防火墻IP/端口的策略無法精確管理的問題。讓業(yè)務(wù)開放對象更為明了、管理更方便、策略更易懂。2）7層的內(nèi)容安全檢測：7層一體化安全防護（包括漏洞防護、服務(wù)器防護、病毒防護等）以及智能的內(nèi)容安全過濾功能，防止各種應(yīng)用威脅干擾服務(wù)器的穩(wěn)定運行，確保核心業(yè)務(wù)數(shù)據(jù)的安全。3）核心業(yè)務(wù)有保障：基于應(yīng)用的流量管理，保證核心業(yè)務(wù)帶寬充足。萬兆的應(yīng)用層性能，有效保障數(shù)據(jù)中心的可用性。4）可視化安全風(fēng)險評估：提供服務(wù)器風(fēng)險和終端風(fēng)險報告以及應(yīng)用流量報表，使全網(wǎng)的安全風(fēng)險一目了然，幫助管理員分析安全狀況管理數(shù)據(jù)中心。廣域網(wǎng)邊界安全隔離與防護對于廣域網(wǎng)邊界安全防護需要從如下幾個方面著重考慮：1）人員多，應(yīng)用雜：如何制定有效的ACL，ACL是基于IP和端口的，這樣的機器語言無法直觀、清晰的制定訪問控制策略，容易出現(xiàn)錯配、漏配；2）傳統(tǒng)FW缺乏應(yīng)用層威脅防護，病毒木馬在分支機構(gòu)和總部間傳播速度快3）病毒木馬占用廣域網(wǎng)有限帶寬，影響關(guān)鍵業(yè)務(wù)的傳輸4）分支數(shù)量多，IT管理水平層次不齊，設(shè)備多，成本高，組網(wǎng)雜，維護難圖廣域網(wǎng)邊界安全防護方案拓撲通過在核心交換機與核心路由器之間部署XX臺深信服NGAF-XXXX，提供XX性能，開啟XX、XX功能授權(quán)，可以幫助我們實現(xiàn)如下安全目標：1）面向用戶、應(yīng)用的安全訪問：將訪問控制權(quán)限精確到用戶與業(yè)務(wù)系統(tǒng)，有效解決了傳統(tǒng)防火墻IP/端口的策略無法精確管理的問題。讓業(yè)務(wù)開放對象更為明了、管理更方便、策略更易懂2）廣域網(wǎng)垃圾流量清洗：通過NGAF智能的內(nèi)容安全過濾功能，將病毒、木馬、蠕蟲、DDoS等各種垃圾流量清除，確保帶寬純凈，防止病毒擴散3）一體化部署，簡化組網(wǎng)：NGAF具備L2-L7一體化安全防護功能，可以簡化組網(wǎng)，簡便管理，提高性價比；互聯(lián)網(wǎng)出口邊界防護由于互聯(lián)網(wǎng)邊界實現(xiàn)了對外業(yè)務(wù)發(fā)布系統(tǒng)和內(nèi)網(wǎng)終端的互聯(lián)網(wǎng)接入，因此需要從如下幾個方面著重考慮：對外業(yè)務(wù)系統(tǒng)發(fā)布：1）網(wǎng)站被掛馬、數(shù)據(jù)遭篡改，企業(yè)/單位形象受損，造成經(jīng)濟損失，帶來負面影響2）合理控制服務(wù)器外聯(lián)權(quán)限，封堵黑客遠程控制，上傳病毒、木馬；3）響應(yīng)速度要求快，系統(tǒng)穩(wěn)定性要求高，需要簡化組網(wǎng)，降低延時，減少單點故障；內(nèi)網(wǎng)終端互聯(lián)網(wǎng)接入：1）瀏覽器、OS、Flash漏洞多，上網(wǎng)容易感染病毒、木馬，竊取隱私2）合理控制服務(wù)器外聯(lián)權(quán)限，封堵黑客遠程控制終端，將內(nèi)網(wǎng)終端作為跳板，入侵服務(wù)器3）用戶權(quán)限多樣，安全策略配置復(fù)雜圖互聯(lián)網(wǎng)邊界安全方案拓撲通過在互聯(lián)網(wǎng)接入路由器后面部署XX臺深信服NGAF-XXXX，,XX網(wǎng)上交易系統(tǒng)部署在DMZ區(qū)，提供XX性能，開啟XX、XX功能授權(quán)，可以實現(xiàn)對內(nèi)網(wǎng)終端和對外業(yè)務(wù)發(fā)布系統(tǒng)的雙重防護（可以根據(jù)具體情況，分開部署），：對外業(yè)務(wù)發(fā)布系統(tǒng)防護：1）防止黑客入侵，獲取權(quán)限，竊取數(shù)據(jù)：通過NGAF的漏洞防護、服務(wù)器防護、病毒防護等多種應(yīng)用內(nèi)容防護功能，防止黑客入侵，保證服務(wù)器穩(wěn)定運行；2）精確控制服務(wù)器外聯(lián)權(quán)限：通過NGAF精確的應(yīng)用識別，放行服務(wù)器補丁升級、病毒庫升級等必要外聯(lián)流量，阻斷各種無關(guān)非法外聯(lián)流量；3）簡化組網(wǎng)、降低延時：NGAF具備L2-L7一體化安全防護功能，可以簡化組網(wǎng)，減少故障點；通過單次解析引擎減低延時；內(nèi)部終端安全防護：1）全面防護，標本兼治：通過NGAF的惡意網(wǎng)站過濾功能，防止終端訪問威脅網(wǎng)站和應(yīng)用；通過漏洞防護、病毒防護、惡意控件/腳本過濾功能，切斷威脅感染終端的各種技術(shù)手段；2）精確識別，防止非法外聯(lián)：通過NGAF精確的應(yīng)用識別，放行服務(wù)器補丁升級、病毒庫升級等必要外聯(lián)流量，阻斷各種無關(guān)非法外聯(lián)流量，防止終端被作為跳板入侵服務(wù)器3）一體化部署，配置簡單：NGAF具備L2-L7一體化安全防護功能，可以簡化組網(wǎng)，簡便管理，提高性價比；深信服NGAF產(chǎn)品介紹更精細的應(yīng)用層安全控制NGAF獨創(chuàng)的應(yīng)用可視化引擎，可以根據(jù)應(yīng)用的行為和特征實現(xiàn)對應(yīng)用的識別和控制，而不僅僅依賴于端口或協(xié)議，擺脫了過去只能通過IP地址來控制的尷尬，即使加密過的數(shù)據(jù)流也能應(yīng)付自如。目前，NGAF的應(yīng)用可視化引擎不但可以識別724多種的應(yīng)用及其應(yīng)用動作，還可以與多種認證系統(tǒng)（AD、LDAP、Radius等）、應(yīng)用系統(tǒng)（POP3、SMTP等）無縫對接，自動識別出網(wǎng)絡(luò)當(dāng)中IP地址對應(yīng)的用戶信息，并建立組織的用戶分組結(jié)構(gòu)；既滿足了普通互聯(lián)網(wǎng)邊界行為管控的要求，同時還滿足了在內(nèi)網(wǎng)數(shù)據(jù)中心和廣域網(wǎng)邊界的部署要求，可以識別和控制豐富的內(nèi)網(wǎng)應(yīng)用，如LotusNotes、RTX、Citrix、OracleEBS、金蝶EAS、SAP、LDAP等,針對用戶應(yīng)用系統(tǒng)更新服務(wù)的訴求,NGAF還可以精細識別Microsoft、360、Symantec、Sogou、Kaspersky、McAfee、金山毒霸、江民殺毒等軟件更新,保障在安全管控嚴格的環(huán)境下,系統(tǒng)軟件更新服務(wù)暢通無阻。因此，通過應(yīng)用可視化引擎制定的L3-L7一體化應(yīng)用控制策略,可以為用戶提供更加精細和直觀化控制界面，在一個界面下完成多套設(shè)備的運維工作，提升工作效率。更全面的內(nèi)容級安全防護深信服NGAF的灰度威脅識別技術(shù)不但可以將數(shù)據(jù)包還原的內(nèi)容級別進行全面的威脅檢測，而且還可以針對黑客入侵過程中使用的不同攻擊方法進行關(guān)聯(lián)分析，從而精確定位出一個黑客的攻擊行為，有效阻斷威脅風(fēng)險的發(fā)生?；叶韧{識別技術(shù)改變了傳統(tǒng)IPS等設(shè)備防御威脅種類單一，威脅檢測經(jīng)常出現(xiàn)漏報、誤報的問題，可以幫助用戶最大程度減少風(fēng)險短板的出現(xiàn)，保證業(yè)務(wù)系統(tǒng)穩(wěn)定運行。深信服NGAF可以為業(yè)務(wù)系統(tǒng)提供端到端的安全防護，防護對象涵蓋了終端、服務(wù)器、網(wǎng)絡(luò)設(shè)備等，防御的威脅種類包括了：漏洞利用類威脅：各種通過操作系統(tǒng)、應(yīng)用系統(tǒng)、協(xié)議異常等漏洞，進行傳播的蠕蟲、木馬、后門、間諜軟件，進行攻擊和入侵的DoS/DDoS攻擊、緩沖區(qū)溢出攻擊、協(xié)議異常攻擊、藍屏攻擊、權(quán)限提取等；Web