深信服下一代防火墻af解決方案模板

深信服下一代防火墻NGAF解決方案深信服科技有限公司深信服科技版權(quán)所有www.sangfor,com,cn1第1章需求概述xxx公司成立于1997年……近幾年來(lái)，計(jì)算機(jī)和網(wǎng)絡(luò)攻擊的復(fù)雜性不斷上升，使用傳統(tǒng)的防火墻和入侵檢測(cè)系統(tǒng)(IDS)越來(lái)越難以檢測(cè)和阻擋。隨著每一次成功的攻擊，黑客會(huì)很快的學(xué)會(huì)哪種攻擊方向是最成功的。漏洞的發(fā)現(xiàn)和黑客利用漏洞之間的時(shí)間差也變得越來(lái)越短，使得IT和安全人員得不到充分的時(shí)間去測(cè)試漏洞和更新系統(tǒng)。隨著病毒、蠕蟲、木馬、后門和混合威脅的泛濫，內(nèi)容層和網(wǎng)絡(luò)層的安全威脅正變得司空見(jiàn)慣。復(fù)雜的蠕蟲和郵件病毒諸如向我們展示了這類攻擊會(huì)如何快速的傳播通常在幾個(gè)小時(shí)許多黑客正監(jiān)視著軟件提供商的補(bǔ)丁公告，并對(duì)補(bǔ)丁進(jìn)行簡(jiǎn)單的逆向工程，由此來(lái)發(fā)現(xiàn)漏洞。下圖舉例說(shuō)明了一個(gè)已知漏洞及相應(yīng)補(bǔ)丁的公布到該漏洞被利用之間的天數(shù)。需要注意的是，對(duì)于最近的一些攻擊，這一時(shí)間已經(jīng)大大縮短了。IT和安全人員不僅需要擔(dān)心已知安全威脅，他們還不得不集中精力來(lái)防止各種被稱之為“零小時(shí)”(zero-hour)或“零日的威脅，安全技術(shù)也在不斷進(jìn)化，包括深度包檢測(cè)防火墻、應(yīng)用網(wǎng)關(guān)防火墻、內(nèi)容過(guò)濾、但是黑客的動(dòng)機(jī)正在從引起他人注意向著獲取經(jīng)濟(jì)利益轉(zhuǎn)移，我們可以看到一些更加狡猾的攻擊方式正被不斷開(kāi)發(fā)出來(lái)，以繞過(guò)傳統(tǒng)的安全設(shè)備，而社會(huì)工程(soci惡意者惡意者升丁發(fā)年別Nimda帶有社會(huì)工程陷阱元素的攻擊包括間諜軟件、網(wǎng)絡(luò)欺詐、基于郵件的攻擊和惡意Web站點(diǎn)等。這些攻擊設(shè)計(jì)為欺騙用戶暴露敏感信息，下載和安裝惡意程序、跟蹤軟件或運(yùn)行惡意代碼。很多這類攻擊設(shè)計(jì)為使用傳統(tǒng)的瀏覽器或Email技術(shù)(如ActiveX、XML、SMTP等),并偽裝為合法應(yīng)用，因此傳統(tǒng)的安全設(shè)備很難加以阻擋?，F(xiàn)在比以往任何時(shí)候都更需要先進(jìn)的檢測(cè)和安全技術(shù)。傳統(tǒng)的防火墻系統(tǒng)狀態(tài)檢測(cè)防火墻原本是設(shè)計(jì)成一個(gè)可信任企業(yè)網(wǎng)絡(luò)和不可信任的公共網(wǎng)絡(luò)之間的安全隔離設(shè)備，用以保證企業(yè)的互聯(lián)網(wǎng)安全。狀態(tài)檢測(cè)防火墻是通過(guò)跟蹤會(huì)話的發(fā)起和狀態(tài)來(lái)工作的。通過(guò)檢查數(shù)據(jù)包頭，狀態(tài)檢測(cè)防火墻分析和監(jiān)視網(wǎng)絡(luò)層(L3)和協(xié)議層(L4),傳統(tǒng)防火墻的問(wèn)題在于黑客已經(jīng)研究出大量的方法來(lái)繞過(guò)防火墻策略。這些方法包括：●攻擊和探測(cè)程序可以通過(guò)防火墻開(kāi)放的端口穿越防火墻。如MSN、QQ等IM(即時(shí)通信)工具均可通過(guò)80端口通信，BT、電驢、Skype等P2信端口是隨機(jī)變化的，使得傳統(tǒng)防火墻的端口過(guò)濾功能對(duì)他們無(wú)能為SoftEther等軟件更可以將所有TCP/IP通訊封裝成HTTPS數(shù)據(jù)包發(fā)送，使用傳深信服科技版權(quán)所有www.sangfor,3網(wǎng)SoftEther可以很輕易的穿越傳統(tǒng)防火墻PC上感染的木馬程序可以從防火墻的可信任網(wǎng)絡(luò)發(fā)起攻出。由于會(huì)話的發(fā)起方來(lái)自于內(nèi)部，所有來(lái)自于不可信任網(wǎng)絡(luò)的相關(guān)流量都會(huì)被防火墻放過(guò)。當(dāng)前流行的從可信任網(wǎng)絡(luò)發(fā)起攻擊應(yīng)用程序包括后門、木馬、鍵盤記錄工具等，它們產(chǎn)生非授權(quán)訪問(wèn)或?qū)⑺矫苄畔l(fā)送給攻擊者。較老式的防火墻對(duì)每一個(gè)數(shù)據(jù)包進(jìn)行檢查，但不具備檢查包負(fù)載的能力。病毒、蠕蟲、木馬和其它惡意應(yīng)用程序能未經(jīng)檢查而通過(guò)。當(dāng)攻擊者將攻擊負(fù)載拆分到多個(gè)分段的數(shù)據(jù)包里，并將它們打亂順序發(fā)出時(shí)，較新的深度包檢測(cè)防火墻往往也會(huì)被愚弄。使用筆記本電腦、PDA和便攜郵件設(shè)備的移動(dòng)用戶會(huì)在他們離開(kāi)辦公室的時(shí)候被感染，并將威脅帶回公司網(wǎng)絡(luò)。邊界防火墻對(duì)于從企業(yè)信任的內(nèi)部網(wǎng)絡(luò)發(fā)起的感染和攻擊愛(ài)莫能助。圖：被通過(guò)知名端口(80端口)攻擊的網(wǎng)站數(shù)基于主機(jī)的防病毒軟件是部署得最廣泛的安全應(yīng)用，甚至超過(guò)了邊界防火墻?；谥鳈C(jī)的防病毒軟件隨著上世紀(jì)80年代中期基于文件的病毒開(kāi)始流行而逐漸普及，如今己成為最受信任的安全措施之一。但是基于主機(jī)的防病毒軟件也有它的缺點(diǎn)，包括：●很多用戶并沒(méi)有打開(kāi)防病毒軟件的自動(dòng)更新功能，也沒(méi)有經(jīng)常的手動(dòng)更新他們的病毒庫(kù)，這就導(dǎo)致防病毒軟件對(duì)最新的威脅或攻擊無(wú)用?！裼脩粲袝r(shí)可能會(huì)有意或無(wú)意的關(guān)閉他們的單機(jī)安全應(yīng)用程●最新的復(fù)雜的木馬程序能對(duì)流行的基于主機(jī)的防病毒軟件進(jìn)行掃描，并在它們加載以前就將它們關(guān)閉-這就導(dǎo)致即使有了最新的病毒特征碼，事實(shí)上它們還是企業(yè)單純依靠給予主機(jī)的防病毒軟件和給操作系統(tǒng)和應(yīng)用程序打補(bǔ)丁的方法會(huì)使它們的內(nèi)部系統(tǒng)面臨很高的安全風(fēng)險(xiǎn)。隨著業(yè)務(wù)中使用了越來(lái)越多的面向全球且需要持續(xù)運(yùn)行的關(guān)鍵應(yīng)用，停機(jī)來(lái)更新操作系統(tǒng)補(bǔ)丁、病毒特征碼和應(yīng)用升級(jí)變得越來(lái)越困難。而公司攻擊方式下暴露出它們的漏洞。僅僅依靠基于主機(jī)的防病毒軟件的另一個(gè)缺點(diǎn)是，事實(shí)上深信服科技版權(quán)所有www.sangfor,5有害代碼在被每一個(gè)主機(jī)的安全軟件檢測(cè)和阻擋之前就已經(jīng)進(jìn)入了公司的網(wǎng)絡(luò)，這就大大5.網(wǎng)頁(yè)及URL過(guò)濾6.應(yīng)用程序過(guò)濾及帶寬控制采用功能單一的產(chǎn)品會(huì)帶來(lái)成本增加，管理難度高的問(wèn)題。如果想部署一個(gè)立體的安全防護(hù)體系，必須要將很多設(shè)備串接在網(wǎng)絡(luò)中，這樣會(huì)造成網(wǎng)絡(luò)性能下降，故障率高，管nnP在外網(wǎng)安全方面：目前XX公司總部沒(méi)有部署網(wǎng)絡(luò)安全設(shè)備，所有的業(yè)務(wù)系統(tǒng)基本上都是裸露在互聯(lián)網(wǎng)上，缺乏合理的保護(hù)極易遭受來(lái)自互聯(lián)網(wǎng)的攻擊，可能造成核心業(yè)務(wù)數(shù)據(jù)的竊取、服務(wù)器和網(wǎng)絡(luò)癱瘓等問(wèn)題，給企業(yè)帶來(lái)不必要的損失在內(nèi)網(wǎng)安全方面：各分公司之間和總部通過(guò)VPN互聯(lián)，與總部處于統(tǒng)一內(nèi)網(wǎng)環(huán)境，而分公司也缺乏安全防護(hù)設(shè)備對(duì)互聯(lián)網(wǎng)的危險(xiǎn)流量進(jìn)行清洗，所以極易造成下級(jí)分公司對(duì)總部服務(wù)器的攻擊；同時(shí)上海總部的內(nèi)網(wǎng)用戶，即使客戶端部署了殺毒軟件，由于客戶端環(huán)載殺毒軟件的情況，而且最新的殺毒軟件也存在著面對(duì)新病毒的滯后和不完善性。特別是對(duì)于網(wǎng)絡(luò)安全意識(shí)薄弱的職員，不裝任何的殺毒軟件，在互聯(lián)網(wǎng)上隨意打開(kāi)網(wǎng)頁(yè)、點(diǎn)擊鏈第2章網(wǎng)絡(luò)規(guī)劃整體方案1.總部以及分公司的NGAF上開(kāi)啟網(wǎng)關(guān)防病毒功能后，能夠有效的遏制病毒通過(guò)網(wǎng)2.總部對(duì)外發(fā)布的服務(wù)器將受到NGAF的入侵防御IPS功能和服務(wù)器防護(hù)的保護(hù)，作為應(yīng)用層安全設(shè)備的領(lǐng)導(dǎo)廠商，深信服公司的NGAF安全平臺(tái)通過(guò)動(dòng)態(tài)威脅防御技●可實(shí)時(shí)更新病毒和攻擊特征的網(wǎng)關(guān)防病毒。●IPS(入侵防御系統(tǒng))預(yù)置2200個(gè)以上的攻擊特征，并提供用戶定制特征的機(jī)制。深信服科技版權(quán)所有www.sangfor,URL地址庫(kù)?！裼脩粽J(rèn)證，防止未授權(quán)的非法網(wǎng)絡(luò)訪問(wèn)?！駟未谓馕鲆婕铀偬峁┍然贏SIC、NPS的安全方案高出2-4倍的性能。●完整的系列支持服務(wù)，包括數(shù)據(jù)中心、風(fēng)險(xiǎn)報(bào)表、客戶端安全組件等。NGAF系列防火墻支持路由(NAT)模式、透明模式和混合模式三種工作模式?？梢匀绻枰肗GAF連接不同IP地址段，則將NGAF置于路由工作模式。NGAF工作在第三層，相當(dāng)于一臺(tái)路由器，連接不同的IP地每個(gè)接口都支持不同的地址模式，既可以是靜態(tài)IP,也可以通過(guò)DHCP服務(wù)器獲得動(dòng)態(tài)IP,還能通過(guò)PPPOE撥號(hào)獲取IP地址，可以很好的支持LAN、ADSL等多種網(wǎng)絡(luò)接NGAF在路由模式下支持各種路由方法，包括靜態(tài)路由、動(dòng)態(tài)路由(可以直接參與到RIP、OSPF路由及組播路由運(yùn)算中，而非僅僅讓動(dòng)態(tài)路由協(xié)議穿越)、策略路由(根據(jù)不同的源地址、目的地址、端口等確定下一條路由網(wǎng)關(guān))8新增測(cè)培配置取50:外網(wǎng)使用另一網(wǎng)段的IP地址()。此時(shí)單純的透明模式或者路路由(NAT)模式，而內(nèi)網(wǎng)與DMZ之間使用透明模式。這種路由/透明的混合模式基迷：①的算激能檢圖深信服科技版權(quán)所有www.sangfor,9網(wǎng)絡(luò)應(yīng)用也越來(lái)越豐富多彩，使得病毒傳播的風(fēng)險(xiǎn)也越來(lái)越大，造據(jù)ICSA(國(guó)際計(jì)算機(jī)安全協(xié)會(huì))的統(tǒng)計(jì)，目前已經(jīng)有超過(guò)90%的病毒是通過(guò)網(wǎng)絡(luò)進(jìn)行傳播的。內(nèi)網(wǎng)用戶訪問(wèn)Internet時(shí)，無(wú)論是瀏覽WEB頁(yè)面，還是通過(guò)FTP下載文件，或者是收發(fā)E-mail,都可能將Intemet上的病毒帶入網(wǎng)內(nèi)。而近幾年(如紅色代碼、尼姆達(dá)、沖擊波、振蕩波等)跟傳統(tǒng)的通過(guò)光盤、軟盤等介質(zhì)進(jìn)行傳播的基于文件的病毒有很大的不同，它們本身是一個(gè)病毒與黑客工具的結(jié)合體，當(dāng)網(wǎng)絡(luò)當(dāng)中一臺(tái)計(jì)算機(jī)感染蠕蟲病毒后，它會(huì)自動(dòng)的以極快的速度(每秒幾百個(gè)線程)掃描網(wǎng)絡(luò)當(dāng)中其他計(jì)算機(jī)的安全漏洞，并主動(dòng)的將病毒傳播到那些存在安全漏洞的計(jì)算機(jī)上，只要相關(guān)的安全漏洞沒(méi)有通過(guò)安裝補(bǔ)丁的方式加以彌補(bǔ)，蠕蟲病毒就會(huì)這樣以幾何級(jí)數(shù)的增長(zhǎng)速度在網(wǎng)絡(luò)當(dāng)中傳播，即使計(jì)算機(jī)上安裝了帶有實(shí)時(shí)監(jiān)控功能的防病毒軟件(包括單機(jī)版和網(wǎng)絡(luò)版)對(duì)此也無(wú)能為力。蠕蟲病毒的傳播還會(huì)大量占用網(wǎng)絡(luò)帶寬，造成網(wǎng)絡(luò)擁堵，形成拒絕因此，對(duì)于新型的網(wǎng)絡(luò)蠕蟲病毒，必須在網(wǎng)關(guān)處進(jìn)行過(guò)濾，防止病毒進(jìn)入內(nèi)網(wǎng)。網(wǎng)關(guān)防病毒已經(jīng)成為未來(lái)防病毒體系中的重中之重，需要引起特別重視。深信服科技版權(quán)所有www.sangfor,10NGAF都可以對(duì)電子郵件中的病毒進(jìn)行過(guò)濾，防止病毒通過(guò)郵件傳協(xié)議和FTP協(xié)議，對(duì)于Web瀏覽、下載、Web郵件及FTP文件傳輸過(guò)程中攜帶的病毒均可進(jìn)行攔截。在支持協(xié)議的全面性上走在了業(yè)界的前方。對(duì)于使用非標(biāo)準(zhǔn)端口的協(xié)議應(yīng)用(如在使用代理服務(wù)器的環(huán)境中，HTTP協(xié)議不使用TCP80端口，卻使用了TCP8080端口)雖然目前90%以上的病毒來(lái)自于Internet,但仍然有部分病毒通過(guò)其它途徑進(jìn)入內(nèi)網(wǎng)，類蠕蟲病毒的內(nèi)網(wǎng)傳播特征，對(duì)內(nèi)網(wǎng)中的病毒傳播進(jìn)行定位和阻攔。跑中種FbatP傳統(tǒng)的狀態(tài)檢測(cè)/包過(guò)濾防火墻是在網(wǎng)絡(luò)層/傳輸層工作，根據(jù)IP地址、端口等信息對(duì)數(shù)據(jù)包進(jìn)行過(guò)濾，能夠?qū)诳凸羝鸬讲糠址烙饔?。但是黑客仍然可以從合法的IP地址通過(guò)防火墻開(kāi)放的端口對(duì)內(nèi)網(wǎng)發(fā)起攻擊，目前很多攻擊和應(yīng)用可以通過(guò)任意IP、端口進(jìn)行，各種高級(jí)、復(fù)雜的攻擊單純的使用狀態(tài)檢測(cè)/包過(guò)IPS(入侵防御系統(tǒng))來(lái)配合防火墻實(shí)現(xiàn)對(duì)復(fù)雜攻擊的防御，IPS工作在第二層到第七層，通常使用特征匹配和異常分析的方法來(lái)識(shí)別網(wǎng)絡(luò)攻擊行NGAF的IPS不僅可以對(duì)服務(wù)器進(jìn)行漏洞防護(hù)，也可以對(duì)客戶端漏洞進(jìn)行防護(hù)如下圖：提文取消特征匹配方法類似于病毒檢測(cè)方法，通過(guò)攻擊數(shù)據(jù)包中的特征(字符串等)來(lái)進(jìn)行判然這種應(yīng)用使用HTTPS協(xié)議通過(guò)TCP443端口通信，使用包過(guò)濾防火墻無(wú)法進(jìn)行防御。(因?yàn)槿绻麑CP443端口封閉的話，會(huì)導(dǎo)致所有HTTPS通信無(wú)法進(jìn)行，這是無(wú)法想象的。)而使用IPS的特征匹配方法，通過(guò)查找“SoftEtherProtocol”字符串便可輕易的將深信服科技版權(quán)所有www.sangfor,12而異常分析通過(guò)統(tǒng)計(jì)的方法計(jì)算網(wǎng)絡(luò)中各種流量的速率，并與管理員預(yù)設(shè)的閾值進(jìn)行對(duì)比，超過(guò)閾值的通信便是可疑的攻擊行為。例如，管理員通過(guò)對(duì)本網(wǎng)絡(luò)應(yīng)用的觀察和分析，認(rèn)為在正常情況下某服務(wù)器每秒收到2000個(gè)以內(nèi)SYN包屬于正常范圍。然而某一時(shí)刻N(yùn)GAF檢測(cè)到每秒有3000個(gè)以上的SYN發(fā)往該服務(wù)器，此時(shí)便有可能是由于有黑客對(duì)服務(wù)器發(fā)起了DoS(拒絕服務(wù))攻擊。NGAF內(nèi)置的IPS同時(shí)使用特征和異常兩種檢測(cè)方法，能夠檢測(cè)2200種以上攻擊和入侵行為如下圖所示，包括各種DoS(拒絕服務(wù))/DDoS(分布式拒絕服務(wù))攻擊。NGAF的IPS是在線式的，直接部署在可信任網(wǎng)絡(luò)和不可信任網(wǎng)絡(luò)之間。這種在線式的IPS對(duì)各種攻擊均可直接阻斷并生成日志。而傳統(tǒng)的旁路式IDS(入侵檢測(cè)系統(tǒng))對(duì)絕大■--出………1出………144-wnr,……!….……mm…∵1頁(yè)，月4算?:要月量甲異費(fèi);0f].*所有溫月*m*B用，測(cè)點(diǎn)題行8用，穩(wěn)與種口用用8用，檢測(cè)屬芒一用NGAF內(nèi)置的IPS還可以對(duì)SYNflood、ICMPflood等DoS/DDoS攻出進(jìn)行防御，對(duì)于每一種DoS/DDoS攻擊行為，都可以設(shè)置閾值，使策略符合實(shí)際網(wǎng)絡(luò)環(huán)境和應(yīng)用情況，降低誤報(bào)和漏報(bào)率，并可以針對(duì)不同的源或目的IP地址的TCP、UDP、ICMP會(huì)話數(shù)量進(jìn)服務(wù)器保護(hù)功能主要用于內(nèi)網(wǎng)的WEB服務(wù)器免受各種攻擊，we內(nèi)網(wǎng)的web服務(wù)器設(shè)計(jì)防攻擊策略，可以防止OS命令注入、SQL注入、XSS跨站攻擊等深信服科技版權(quán)所有www.sangfor,1388:NFE口樣EE針對(duì)黑客的攻擊過(guò)程掃描-攻擊-破壞，采取服務(wù)器應(yīng)應(yīng)用險(xiǎn)藏應(yīng)用險(xiǎn)藏X替換HTTP出錯(cuò)頁(yè)面④XXX深信服科技版權(quán)所有www.sangfor,142.3.5流量管理解名認(rèn)用D用應(yīng)用州著應(yīng)用所有應(yīng)用#狀塊用戶上用優(yōu)過(guò)i1URL分類庫(kù)，應(yīng)用特征識(shí)別庫(kù)可以識(shí)別700多種應(yīng)用類型、1200多種應(yīng)用動(dòng)作M傳定所!!HTTTL用(0適可登錄00)同端會(huì)以00·同%#章(1)具排疲用《網(wǎng)填央算體12副月出復(fù)高無(wú)位值地第1瓦共3頁(yè)概置規(guī)概當(dāng)附性示1-條共女條盛用低狀造√金部白用√全部自用√金部白用√全部食用√全部白用√全部用視質(zhì)E11111深信服科技版權(quán)所有www.sangfor,15中國(guó)電子信息產(chǎn)業(yè)發(fā)展研究院國(guó)家電網(wǎng)中國(guó)南方電網(wǎng)莘由省某大學(xué)中國(guó)航油中國(guó)航天科工集團(tuán)公司NOGtoC中國(guó)黃金集團(tuán)公司第4章深信服科技公司介紹深信服科技有限公司是中國(guó)規(guī)模最大，創(chuàng)新能力最強(qiáng)的前沿網(wǎng)絡(luò)設(shè)備供應(yīng)商，致力于通過(guò)創(chuàng)新、高品質(zhì)的產(chǎn)品及卓越的服務(wù)，幫助用戶在將業(yè)務(wù)向互聯(lián)網(wǎng)轉(zhuǎn)型中獲得成功。作為一家專注于廣域網(wǎng)市場(chǎng)的廠商，深信服提供了貫穿用戶廣域網(wǎng)建設(shè)生命周期的前沿產(chǎn)品及解決方案，包括IPSecVPN、SSLVPN、上網(wǎng)行為管理、廣域網(wǎng)加速、應(yīng)用交付、流量控制、上網(wǎng)優(yōu)化等，并被公認(rèn)為其中多個(gè)領(lǐng)域的技術(shù)及市場(chǎng)領(lǐng)導(dǎo)者。截止到2009年8月，已有超過(guò)14,000家用