深信服下一代防火墻af解決方案模板

深信服下一代防火墻NGAF解決方案深信服科技有限公司深信服科技版權(quán)所有www.sangfor,com,cn1第1章需求概述xxx公司成立于1997年……近幾年來，計算機和網(wǎng)絡(luò)攻擊的復(fù)雜性不斷上升，使用傳統(tǒng)的防火墻和入侵檢測系統(tǒng)(IDS)越來越難以檢測和阻擋。隨著每一次成功的攻擊，黑客會很快的學(xué)會哪種攻擊方向是最成功的。漏洞的發(fā)現(xiàn)和黑客利用漏洞之間的時間差也變得越來越短，使得IT和安全人員得不到充分的時間去測試漏洞和更新系統(tǒng)。隨著病毒、蠕蟲、木馬、后門和混合威脅的泛濫，內(nèi)容層和網(wǎng)絡(luò)層的安全威脅正變得司空見慣。復(fù)雜的蠕蟲和郵件病毒諸如向我們展示了這類攻擊會如何快速的傳播通常在幾個小時許多黑客正監(jiān)視著軟件提供商的補丁公告，并對補丁進(jìn)行簡單的逆向工程，由此來發(fā)現(xiàn)漏洞。下圖舉例說明了一個已知漏洞及相應(yīng)補丁的公布到該漏洞被利用之間的天數(shù)。需要注意的是，對于最近的一些攻擊，這一時間已經(jīng)大大縮短了。IT和安全人員不僅需要擔(dān)心已知安全威脅，他們還不得不集中精力來防止各種被稱之為“零小時”(zero-hour)或“零日的威脅，安全技術(shù)也在不斷進(jìn)化，包括深度包檢測防火墻、應(yīng)用網(wǎng)關(guān)防火墻、內(nèi)容過濾、但是黑客的動機正在從引起他人注意向著獲取經(jīng)濟利益轉(zhuǎn)移，我們可以看到一些更加狡猾的攻擊方式正被不斷開發(fā)出來，以繞過傳統(tǒng)的安全設(shè)備，而社會工程(soci惡意者惡意者升丁發(fā)年別Nimda帶有社會工程陷阱元素的攻擊包括間諜軟件、網(wǎng)絡(luò)欺詐、基于郵件的攻擊和惡意Web站點等。這些攻擊設(shè)計為欺騙用戶暴露敏感信息，下載和安裝惡意程序、跟蹤軟件或運行惡意代碼。很多這類攻擊設(shè)計為使用傳統(tǒng)的瀏覽器或Email技術(shù)(如ActiveX、XML、SMTP等),并偽裝為合法應(yīng)用，因此傳統(tǒng)的安全設(shè)備很難加以阻擋。現(xiàn)在比以往任何時候都更需要先進(jìn)的檢測和安全技術(shù)。傳統(tǒng)的防火墻系統(tǒng)狀態(tài)檢測防火墻原本是設(shè)計成一個可信任企業(yè)網(wǎng)絡(luò)和不可信任的公共網(wǎng)絡(luò)之間的安全隔離設(shè)備，用以保證企業(yè)的互聯(lián)網(wǎng)安全。狀態(tài)檢測防火墻是通過跟蹤會話的發(fā)起和狀態(tài)來工作的。通過檢查數(shù)據(jù)包頭，狀態(tài)檢測防火墻分析和監(jiān)視網(wǎng)絡(luò)層(L3)和協(xié)議層(L4),傳統(tǒng)防火墻的問題在于黑客已經(jīng)研究出大量的方法來繞過防火墻策略。這些方法包括：●攻擊和探測程序可以通過防火墻開放的端口穿越防火墻。如MSN、QQ等IM(即時通信)工具均可通過80端口通信，BT、電驢、Skype等P2信端口是隨機變化的，使得傳統(tǒng)防火墻的端口過濾功能對他們無能為SoftEther等軟件更可以將所有TCP/IP通訊封裝成HTTPS數(shù)據(jù)包發(fā)送，使用傳深信服科技版權(quán)所有www.sangfor,3網(wǎng)SoftEther可以很輕易的穿越傳統(tǒng)防火墻PC上感染的木馬程序可以從防火墻的可信任網(wǎng)絡(luò)發(fā)起攻出。由于會話的發(fā)起方來自于內(nèi)部，所有來自于不可信任網(wǎng)絡(luò)的相關(guān)流量都會被防火墻放過。當(dāng)前流行的從可信任網(wǎng)絡(luò)發(fā)起攻擊應(yīng)用程序包括后門、木馬、鍵盤記錄工具等，它們產(chǎn)生非授權(quán)訪問或?qū)⑺矫苄畔l(fā)送給攻擊者。較老式的防火墻對每一個數(shù)據(jù)包進(jìn)行檢查，但不具備檢查包負(fù)載的能力。病毒、蠕蟲、木馬和其它惡意應(yīng)用程序能未經(jīng)檢查而通過。當(dāng)攻擊者將攻擊負(fù)載拆分到多個分段的數(shù)據(jù)包里，并將它們打亂順序發(fā)出時，較新的深度包檢測防火墻往往也會被愚弄。使用筆記本電腦、PDA和便攜郵件設(shè)備的移動用戶會在他們離開辦公室的時候被感染，并將威脅帶回公司網(wǎng)絡(luò)。邊界防火墻對于從企業(yè)信任的內(nèi)部網(wǎng)絡(luò)發(fā)起的感染和攻擊愛莫能助。圖：被通過知名端口(80端口)攻擊的網(wǎng)站數(shù)基于主機的防病毒軟件是部署得最廣泛的安全應(yīng)用，甚至超過了邊界防火墻。基于主機的防病毒軟件隨著上世紀(jì)80年代中期基于文件的病毒開始流行而逐漸普及，如今己成為最受信任的安全措施之一。但是基于主機的防病毒軟件也有它的缺點，包括：●很多用戶并沒有打開防病毒軟件的自動更新功能，也沒有經(jīng)常的手動更新他們的病毒庫，這就導(dǎo)致防病毒軟件對最新的威脅或攻擊無用?！裼脩粲袝r可能會有意或無意的關(guān)閉他們的單機安全應(yīng)用程●最新的復(fù)雜的木馬程序能對流行的基于主機的防病毒軟件進(jìn)行掃描，并在它們加載以前就將它們關(guān)閉-這就導(dǎo)致即使有了最新的病毒特征碼，事實上它們還是企業(yè)單純依靠給予主機的防病毒軟件和給操作系統(tǒng)和應(yīng)用程序打補丁的方法會使它們的內(nèi)部系統(tǒng)面臨很高的安全風(fēng)險。隨著業(yè)務(wù)中使用了越來越多的面向全球且需要持續(xù)運行的關(guān)鍵應(yīng)用，停機來更新操作系統(tǒng)補丁、病毒特征碼和應(yīng)用升級變得越來越困難。而公司攻擊方式下暴露出它們的漏洞。僅僅依靠基于主機的防病毒軟件的另一個缺點是，事實上深信服科技版權(quán)所有www.sangfor,5有害代碼在被每一個主機的安全軟件檢測和阻擋之前就已經(jīng)進(jìn)入了公司的網(wǎng)絡(luò)，這就大大5.網(wǎng)頁及URL過濾6.應(yīng)用程序過濾及帶寬控制采用功能單一的產(chǎn)品會帶來成本增加，管理難度高的問題。如果想部署一個立體的安全防護(hù)體系，必須要將很多設(shè)備串接在網(wǎng)絡(luò)中，這樣會造成網(wǎng)絡(luò)性能下降，故障率高，管nnP在外網(wǎng)安全方面：目前XX公司總部沒有部署網(wǎng)絡(luò)安全設(shè)備，所有的業(yè)務(wù)系統(tǒng)基本上都是裸露在互聯(lián)網(wǎng)上，缺乏合理的保護(hù)極易遭受來自互聯(lián)網(wǎng)的攻擊，可能造成核心業(yè)務(wù)數(shù)據(jù)的竊取、服務(wù)器和網(wǎng)絡(luò)癱瘓等問題，給企業(yè)帶來不必要的損失在內(nèi)網(wǎng)安全方面：各分公司之間和總部通過VPN互聯(lián)，與總部處于統(tǒng)一內(nèi)網(wǎng)環(huán)境，而分公司也缺乏安全防護(hù)設(shè)備對互聯(lián)網(wǎng)的危險流量進(jìn)行清洗，所以極易造成下級分公司對總部服務(wù)器的攻擊；同時上?？偛康膬?nèi)網(wǎng)用戶，即使客戶端部署了殺毒軟件，由于客戶端環(huán)載殺毒軟件的情況，而且最新的殺毒軟件也存在著面對新病毒的滯后和不完善性。特別是對于網(wǎng)絡(luò)安全意識薄弱的職員，不裝任何的殺毒軟件，在互聯(lián)網(wǎng)上隨意打開網(wǎng)頁、點擊鏈第2章網(wǎng)絡(luò)規(guī)劃整體方案1.總部以及分公司的NGAF上開啟網(wǎng)關(guān)防病毒功能后，能夠有效的遏制病毒通過網(wǎng)2.總部對外發(fā)布的服務(wù)器將受到NGAF的入侵防御IPS功能和服務(wù)器防護(hù)的保護(hù)，作為應(yīng)用層安全設(shè)備的領(lǐng)導(dǎo)廠商，深信服公司的NGAF安全平臺通過動態(tài)威脅防御技●可實時更新病毒和攻擊特征的網(wǎng)關(guān)防病毒?！馡PS(入侵防御系統(tǒng))預(yù)置2200個以上的攻擊特征，并提供用戶定制特征的機制。深信服科技版權(quán)所有www.sangfor,URL地址庫?！裼脩粽J(rèn)證，防止未授權(quán)的非法網(wǎng)絡(luò)訪問?！駟未谓馕鲆婕铀偬峁┍然贏SIC、NPS的安全方案高出2-4倍的性能?！裢暾南盗兄С址?wù)，包括數(shù)據(jù)中心、風(fēng)險報表、客戶端安全組件等。NGAF系列防火墻支持路由(NAT)模式、透明模式和混合模式三種工作模式?？梢匀绻枰肗GAF連接不同IP地址段，則將NGAF置于路由工作模式。NGAF工作在第三層，相當(dāng)于一臺路由器，連接不同的IP地每個接口都支持不同的地址模式，既可以是靜態(tài)IP,也可以通過DHCP服務(wù)器獲得動態(tài)IP,還能通過PPPOE撥號獲取IP地址，可以很好的支持LAN、ADSL等多種網(wǎng)絡(luò)接NGAF在路由模式下支持各種路由方法，包括靜態(tài)路由、動態(tài)路由(可以直接參與到RIP、OSPF路由及組播路由運算中，而非僅僅讓動態(tài)路由協(xié)議穿越)、策略路由(根據(jù)不同的源地址、目的地址、端口等確定下一條路由網(wǎng)關(guān))8新增測培配置取50:外網(wǎng)使用另一網(wǎng)段的IP地址()。此時單純的透明模式或者路路由(NAT)模式，而內(nèi)網(wǎng)與DMZ之間使用透明模式。這種路由/透明的混合模式基迷：①的算激能檢圖深信服科技版權(quán)所有www.sangfor,9網(wǎng)絡(luò)應(yīng)用也越來越豐富多彩，使得病毒傳播的風(fēng)險也越來越大，造據(jù)ICSA(國際計算機安全協(xié)會)的統(tǒng)計，目前已經(jīng)有超過90%的病毒是通過網(wǎng)絡(luò)進(jìn)行傳播的。內(nèi)網(wǎng)用戶訪問Internet時，無論是瀏覽WEB頁面，還是通過FTP下載文件，或者是收發(fā)E-mail,都可能將Intemet上的病毒帶入網(wǎng)內(nèi)。而近幾年(如紅色代碼、尼姆達(dá)、沖擊波、振蕩波等)跟傳統(tǒng)的通過光盤、軟盤等介質(zhì)進(jìn)行傳播的基于文件的病毒有很大的不同，它們本身是一個病毒與黑客工具的結(jié)合體，當(dāng)網(wǎng)絡(luò)當(dāng)中一臺計算機感染蠕蟲病毒后，它會自動的以極快的速度(每秒幾百個線程)掃描網(wǎng)絡(luò)當(dāng)中其他計算機的安全漏洞，并主動的將病毒傳播到那些存在安全漏洞的計算機上，只要相關(guān)的安全漏洞沒有通過安裝補丁的方式加以彌補，蠕蟲病毒就會這樣以幾何級數(shù)的增長速度在網(wǎng)絡(luò)當(dāng)中傳播，即使計算機上安裝了帶有實時監(jiān)控功能的防病毒軟件(包括單機版和網(wǎng)絡(luò)版)對此也無能為力。蠕蟲病毒的傳播還會大量占用網(wǎng)絡(luò)帶寬，造成網(wǎng)絡(luò)擁堵，形成拒絕因此，對于新型的網(wǎng)絡(luò)蠕蟲病毒，必須在網(wǎng)關(guān)處進(jìn)行過濾，防止病毒進(jìn)入內(nèi)網(wǎng)。網(wǎng)關(guān)防病毒已經(jīng)成為未來防病毒體系中的重中之重，需要引起特別重視。深信服科技版權(quán)所有www.sangfor,10NGAF都可以對電子郵件中的病毒進(jìn)行過濾，防止病毒通過郵件傳協(xié)議和FTP協(xié)議，對于Web瀏覽、下載、Web郵件及FTP文件傳輸過程中攜帶的病毒均可進(jìn)行攔截。在支持協(xié)議的全面性上走在了業(yè)界的前方。對于使用非標(biāo)準(zhǔn)端口的協(xié)議應(yīng)用(如在使用代理服務(wù)器的環(huán)境中，HTTP協(xié)議不使用TCP80端口，卻使用了TCP8080端口)雖然目前90%以上的病毒來自于Internet,但仍然有部分病毒通過其它途徑進(jìn)入內(nèi)網(wǎng)，類蠕蟲病毒的內(nèi)網(wǎng)傳播特征，對內(nèi)網(wǎng)中的病毒傳播進(jìn)行定位和阻攔。跑中種FbatP傳統(tǒng)的狀態(tài)檢測/包過濾防火墻是在網(wǎng)絡(luò)層/傳輸層工作，根據(jù)IP地址、端口等信息對數(shù)據(jù)包進(jìn)行過濾，能夠?qū)诳凸羝鸬讲糠址烙饔?。但是黑客仍然可以從合法的IP地址通過防火墻開放的端口對內(nèi)網(wǎng)發(fā)起攻擊，目前很多攻擊和應(yīng)用可以通過任意IP、端口進(jìn)行，各種高級、復(fù)雜的攻擊單純的使用狀態(tài)檢測/包過IPS(入侵防御系統(tǒng))來配合防火墻實現(xiàn)對復(fù)雜攻擊的防御，IPS工作在第二層到第七層，通常使用特征匹配和異常分析的方法來識別網(wǎng)絡(luò)攻擊行NGAF的IPS不僅可以對服務(wù)器進(jìn)行漏洞防護(hù)，也可以對客戶端漏洞進(jìn)行防護(hù)如下圖：提文取消特征匹配方法類似于病毒檢測方法，通過攻擊數(shù)據(jù)包中的特征(字符串等)來進(jìn)行判然這種應(yīng)用使用HTTPS協(xié)議通過TCP443端口通信，使用包過濾防火墻無法進(jìn)行防御。(因為如果將TCP443端口封閉的話，會導(dǎo)致所有HTTPS通信無法進(jìn)行，這是無法想象的。)而使用IPS的特征匹配方法，通過查找“SoftEtherProtocol”字符串便可輕易的將深信服科技版權(quán)所有www.sangfor,12而異常分析通過統(tǒng)計的方法計算網(wǎng)絡(luò)中各種流量的速率，并與管理員預(yù)設(shè)的閾值進(jìn)行對比，超過閾值的通信便是可疑的攻擊行為。例如，管理員通過對本網(wǎng)絡(luò)應(yīng)用的觀察和分析，認(rèn)為在正常情況下某服務(wù)器每秒收到2000個以內(nèi)SYN包屬于正常范圍。然而某一時刻NGAF檢測到每秒有3000個以上的SYN發(fā)往該服務(wù)器，此時便有可能是由于有黑客對服務(wù)器發(fā)起了DoS(拒絕服務(wù))攻擊。NGAF內(nèi)置的IPS同時使用特征和異常兩種檢測方法，能夠檢測2200種以上攻擊和入侵行為如下圖所示，包括各種DoS(拒絕服務(wù))/DDoS(分布式拒絕服務(wù))攻擊。NGAF的IPS是在線式的，直接部署在可信任網(wǎng)絡(luò)和不可信任網(wǎng)絡(luò)之間。這種在線式的IPS對各種攻擊均可直接阻斷并生成日志。而傳統(tǒng)的旁路式IDS(入侵檢測系統(tǒng))對絕大■--出………1出………144-wnr,……!….……mm…∵1頁，月4算?:要月量甲異費;0f].*所有溫月*m*B用，測點題行8用，穩(wěn)與種口用用8用，檢測屬芒一用NGAF內(nèi)置的IPS還可以對SYNflood、ICMPflood等DoS/DDoS攻出進(jìn)行防御，對于每一種DoS/DDoS攻擊行為，都可以設(shè)置閾值，使策略符合實際網(wǎng)絡(luò)環(huán)境和應(yīng)用情況，降低誤報和漏報率，并可以針對不同的源或目的IP地址的TCP、UDP、ICMP會話數(shù)量進(jìn)服務(wù)器保護(hù)功能主要用于內(nèi)網(wǎng)的WEB服務(wù)器免受各種攻擊，we內(nèi)網(wǎng)的web服務(wù)器設(shè)計防攻擊策略，可以防止OS命令注入、SQL注入、XSS跨站攻擊等深信服科技版權(quán)所有www.sangfor,1388:NFE口樣EE針對黑客的攻擊過程掃描-攻擊-破壞，采取服務(wù)器應(yīng)應(yīng)用險藏應(yīng)用險藏X替換HTTP出錯頁面④XXX深信服科技版權(quán)所有www.sangfor,142.3.5流量管理解名認(rèn)用D用應(yīng)用州著應(yīng)用所有應(yīng)用#狀塊用戶上用優(yōu)過i1URL分類庫，應(yīng)用特征識別庫可以識別700多種應(yīng)用類型、1200多種應(yīng)用動作M傳定所!!HTTTL用(0適可登錄00)同端會以00·同%#章(1)具排疲用《網(wǎng)填央算體12副月出復(fù)高無位值地第1瓦共3頁概置規(guī)概當(dāng)附性示1-條共女條盛用低狀造√金部白用√全部自用√金部白用√全部食用√全部白用√全部用視質(zhì)E11111深信服科技版權(quán)所有www.sangfor,15中國電子信息產(chǎn)業(yè)發(fā)展研究院國家電網(wǎng)中國南方電網(wǎng)莘由省某大學(xué)中國航油中國航天科工集團公司NOGtoC中國黃金集團公司第4章深信服科技公司介紹深信服科技有限公司是中國規(guī)模最大，創(chuàng)新能力最強的前沿網(wǎng)絡(luò)設(shè)備供應(yīng)商，致力于通過創(chuàng)新、高品質(zhì)的產(chǎn)品及卓越的服務(wù)，幫助用戶在將業(yè)務(wù)向互聯(lián)網(wǎng)轉(zhuǎn)型中獲得成功。作為一家專注于廣域網(wǎng)市場的廠商，深信服提供了貫穿用戶廣域網(wǎng)建設(shè)生命周期的前沿產(chǎn)品及解決方案，包括IPSecVPN、SSLVPN、上網(wǎng)行為管理、廣域網(wǎng)加速、應(yīng)用交付、流量控制、上網(wǎng)優(yōu)化等，并被公認(rèn)為其中多個領(lǐng)域的技術(shù)及市場領(lǐng)導(dǎo)者。截止到2009年8月，已有超過14,000家用