12800交換機(jī)NGFW安全插板技術(shù)白皮書

CENGFW技術(shù)白皮書CECE交換機(jī)NGFWPAGE10PAGE10目錄概述 6網(wǎng)絡(luò)威脅變化及一代防墻產(chǎn)生 6下一代防墻的定義 6防火墻插的使用南 7下一代防墻插板技術(shù)原則 8防火墻的能模型 8網(wǎng)絡(luò)隔離 9訪問控制 10基于流的態(tài)檢測術(shù) 10基于用戶管控能力 10基于應(yīng)用管控能力 應(yīng)用層的脅防護(hù) 業(yè)務(wù)支撐力 地址轉(zhuǎn)換力 12攻擊防范力 12業(yè)務(wù) 13防火墻的志系統(tǒng) 13CE交換機(jī)防墻插板術(shù)特點(diǎn) 14靈活的安區(qū)域管理 14基于安全域的隔離 14可管理的全區(qū)域 14基于安全域的策控制 14豐富的業(yè)支撐 15安全策略制 15靈活的規(guī)設(shè)定 15基于時間的規(guī)則理 16高速策略配 16MAC地址和IP地址綁定 17動態(tài)策略理－黑單技術(shù) 17基于流會的狀態(tài)測技術(shù) 17基于會話理的核技術(shù) 17深度檢測 18狀態(tài)檢測術(shù)的優(yōu)勢 19ACTUAL感知 19ACTUAL概念 20Application/應(yīng)用感知原理 20Content/內(nèi)容感知原理 22時間感知原理 22User/用戶感知原理 22Attack/攻擊感知原理 25Location/位置感知原理 26一體化策略 27先進(jìn)的虛防火墻術(shù) 27業(yè)務(wù)支撐力 29對多通道議支持善的安保護(hù) 29針對各種務(wù)的數(shù)流管理 29業(yè)務(wù)支持完整性 29支持完善多媒體務(wù) 30網(wǎng)絡(luò)地址換 30優(yōu)異的地轉(zhuǎn)換性能 30靈活的地轉(zhuǎn)換管理 30強(qiáng)大的內(nèi)服務(wù)器持 31服務(wù)器負(fù)分擔(dān) 32強(qiáng)大的業(yè)支撐 33無數(shù)目限的方式轉(zhuǎn)換 33支持多接負(fù)載分擔(dān) 34豐富的攻防御的段 34優(yōu)秀的Dos防御能的必要件 34豐富的Dos防御手段 35高級的代理防御體系 35掃描窺探 36畸形報文擊 36應(yīng)用層36完善的功能 37GRE37L2TP38IPSEC38BGP/MPLSVPN 39DSVPN 40SSLVPN 41應(yīng)用層安全 41業(yè)務(wù)感知(SA) 41入侵防御統(tǒng)(IPS) 42反病毒43內(nèi)容過濾 44HTTPS流量防護(hù) 45完善的日報表系統(tǒng) 45日志服務(wù)器 46兩種日志出方式 46多種日志息 46典型組網(wǎng) 49FW插板三組網(wǎng) 49FW插板二組網(wǎng) 51CENGFW技術(shù)白皮書關(guān)鍵詞：NGFW、CE交換機(jī)插板、網(wǎng)絡(luò)安全、VPN、隧道技術(shù)、L2TP、IPSec、IKE摘要：CE名稱縮寫完整拼寫中文解釋NGFWNextGenerationFirewall下一代防火墻VPNVirtualPrivateNetwork虛擬私有網(wǎng)AAAAuthentication,Authorization,Accounting驗證，授權(quán)，計費(fèi)ASPFApplicationSpecificPacketFilter基于應(yīng)用層規(guī)范的包過濾DoSDenialofService拒絕服務(wù)，一種常見的網(wǎng)絡(luò)攻擊手段L2TPLayer2tunnleprotocal二層隧道協(xié)議IPSECIPSecurityIP安全I(xiàn)KEInternetKeyExchangeInternet密鑰交換概述用架構(gòu)全威脅將焦點(diǎn)集中在誘使用戶安裝可逃避安全設(shè)備及軟件檢測的有針對性的惡意執(zhí)行程序上。護(hù)。面對越來越多的應(yīng)用使用少量的端口，或者一些應(yīng)用使用非標(biāo)準(zhǔn)端口，基于端口/協(xié)議下一代防火墻的定義GartnerGartnerIT的方式NGFW至少具有以下屬性：“bump-in-the-wire”等等。集成的而非僅僅共處一個位置的網(wǎng)絡(luò)入侵檢測：支持面向安全漏洞的特征碼和面向NGFW引擎和特征碼，是NGFW的一個主要特征。Skype中的文件共享或始終阻止。額外的防火墻智能：防火墻收集外來信息來做出更好的阻止決定或建立優(yōu)化的阻止防火墻插板的使用指南防火墻插板放在整個網(wǎng)絡(luò)中的匯聚點(diǎn)，如果被保護(hù)網(wǎng)絡(luò)的通信流量有可能會繞過防火能力，避免引入防火墻插板導(dǎo)致對正常業(yè)務(wù)造成影響。下一代防火墻插板的技術(shù)原則防火墻的性能模型作能力。除了吞吐量之外，在衡量防火墻性能的時候一定還要考察下面幾個指標(biāo)：1、小包轉(zhuǎn)發(fā)能力防火墻的吞吐量在業(yè)界一般都是使用1K～1.5K的大包衡量防火墻對報文的處理能力2002、規(guī)則數(shù)目對轉(zhuǎn)發(fā)效率的影響3、每秒建立連接速度DOS攻擊4、并發(fā)連接數(shù)目的訪問。5、延時標(biāo)。網(wǎng)絡(luò)隔離整個防火墻的網(wǎng)絡(luò)隔離體系是否具有清晰的邏輯結(jié)構(gòu)，使得防火墻可以適應(yīng)不同的場合。例如，防火墻至少應(yīng)該具有單獨(dú)的DMZ區(qū)域。VPN、VLANVPN、訪問控制基于流的狀態(tài)檢測技術(shù)IP基于用戶的管控能力下一代防火墻，不僅能夠根據(jù)IP地址進(jìn)行安全策略控制。需要能夠根據(jù)用戶身份進(jìn)行安全策略控制。防火墻應(yīng)該能夠監(jiān)控用戶的上下線動作，并根據(jù)用戶/用戶組進(jìn)行用戶權(quán)限的控制、帶寬分配等?；趹?yīng)用的管控能力（應(yīng)用層的威脅防護(hù)業(yè)務(wù)支撐能力引入防火墻插板到網(wǎng)絡(luò)的時候?qū)е履承I(yè)務(wù)受到影響。為了滿足網(wǎng)絡(luò)的業(yè)務(wù)擴(kuò)展能力的提H.323、、H.323、、QoS（）地址轉(zhuǎn)換能力的發(fā)展，IP使（NetworkAddressInternet（rWWW、、、SMTP、POP3（N（）兩種形式。攻擊防范能力Dos（）DosDos攻擊。DosDosDosDosDosDosDosVPN業(yè)務(wù)連接服務(wù)。IPVPNIPSEC/L2TP/GRE等。IP通過防火墻一般可以提供如下一些VPN服務(wù)：VPN服務(wù)；VPNVPN協(xié)議是L2TPVPN服務(wù)；VPNGRE、、等；各種VPNVPN防火墻的日志系統(tǒng)CECE交換機(jī)NGFWPAGE14PAGE14交換機(jī)防火墻插板技術(shù)特點(diǎn)靈活的安全區(qū)域管理基于安全區(qū)域的隔離華為要求。華為可管理的安全區(qū)域（utunut華為untrustDMZ、ftp華為NGFW防火墻插板還提供自定義安全區(qū)域，每個安全區(qū)域都可以加入獨(dú)立的接口?；诎踩珔^(qū)域的策略控制華為方便用戶對各種邏輯安全區(qū)域的獨(dú)立管理。trust到untrust、從DMZ到untrust豐富的業(yè)務(wù)支撐LoopBack以支持所有業(yè)務(wù)類型。通過華為VLAN同時華為策略。華為得華為安全策略控制靈活的規(guī)則設(shè)定華為種規(guī)則。針對和針對何一種報文；可以針對報文中的/基于時間段的規(guī)則管理華為MSN、所有基于QoSACLQoS高速策略匹配的效率。華為保證了華為進(jìn)行上萬條ACLMAC地址和IP地址綁定華為IPIPIPMACIP動態(tài)策略管理－黑名單技術(shù)華為NGFW防火墻插板可以將某些可疑報文的源IP地址記錄在黑名單列表中，系統(tǒng)通過丟棄黑名單用戶的所有報文，從而有效避免某些惡意主機(jī)的攻擊行為。華為NGFW防火墻插板提供如下幾種黑名單列表維護(hù)方式：戶上網(wǎng)；基于流會話的狀態(tài)檢測技術(shù)基于會話管理的核心技術(shù)華為基于會話管理的核心技術(shù)。華為元和會話管理單元，兩個單元分別依靠獨(dú)立的加速系統(tǒng)進(jìn)行管理。這樣處理的明顯優(yōu)勢是：NGFW或者NGFW、HTTPQoS深度檢測華為ASPF技術(shù)，ASPFFTPSMTPHTTP、ActiveXASPFASPF/連接，ASPFP于非完整的TCP握手連接的報文會直接拒絕。狀態(tài)檢測技術(shù)的優(yōu)勢ACLIPFTPFTPASPFIPASPF使得華為SMTP（、SIP）FTPnetmeetingASPF當(dāng)報文通過防火墻時，ASPF感知NGFW感知技術(shù)，ACTUAL概念A(yù)CTUALApplication/Time/User/用戶、Attack/的感知結(jié)果配置對應(yīng)的安全策略，如過濾、路由選路、流控、轉(zhuǎn)換等策略。111001001010110100101011ApplicationContent云業(yè)務(wù)內(nèi)容威脅TimeUserAttackLocation Apps移動用戶應(yīng)用固定用戶101011000101010000111110OA業(yè)務(wù)網(wǎng)絡(luò)環(huán)境 ACTUAL感知體系

業(yè)務(wù)環(huán)境NGFWACTUAL供了條件。Application/應(yīng)用感知原理SA/應(yīng)用感知模塊負(fù)責(zé)對未知網(wǎng)絡(luò)流量進(jìn)行識別，SA模塊識別報文形態(tài)、根據(jù)報文提取的特征字、報文負(fù)荷長度、報文內(nèi)容/長度變化規(guī)律、IP地址/端口等內(nèi)容，并可結(jié)合統(tǒng)計和報文間關(guān)聯(lián)關(guān)系等，從而對網(wǎng)絡(luò)流量進(jìn)行精確應(yīng)用分類。NGFWSA6000SA華為HTTP是阻止Web確控制。華為NGFW防火墻插板支持基于應(yīng)用的流量管控，如限制P2P流量的帶寬，保證內(nèi)部應(yīng)用的帶寬。基于應(yīng)用的流量管控，可以對流量進(jìn)行更加細(xì)粒度的分類，實現(xiàn)精確控制。華為的運(yùn)行。華為P2PContent/內(nèi)容感知原理NGFWContent/內(nèi)容感知能力。Content/Time/時間感知原理Time/時間感知的原理比較簡單，主要通過如下技術(shù)來獲得：NTP是網(wǎng)絡(luò)時間協(xié)議，NGFW通過NTP協(xié)議來獲取網(wǎng)絡(luò)標(biāo)準(zhǔn)時間，調(diào)整本地時鐘與標(biāo)準(zhǔn)時鐘的誤差。一些國家或地區(qū)存在夏令時制度，NGFW使用VRP通用路由平臺，配置對應(yīng)夏令時的時鐘設(shè)置，可以在每年夏令時鐘切換時設(shè)備時鐘自動切換。（段NGFW（（）（）User/用戶感知原理IPIP出用戶，并有效的對用戶行為進(jìn)行管控，已成為現(xiàn)階段網(wǎng)絡(luò)安全的重中之重。NGFWUser/免認(rèn)證IPMAC地址登錄。IP密碼認(rèn)證對于普通的公司員工，一般采用密碼認(rèn)證，認(rèn)證形式方便快捷。首先員工無需直接使用WEB瀏覽器訪問認(rèn)證頁面URL即可進(jìn)行認(rèn)證?？梢酝ㄟ^HTTP或HTTPS兩種協(xié)議認(rèn)證，若用戶要求認(rèn)證過程的高安全性，可以選擇HTTPS方式認(rèn)證。LDAP，Radius，AD同時，員工通過WEB瀏覽器使用HTTP協(xié)議經(jīng)設(shè)備訪問業(yè)務(wù)時，設(shè)備若發(fā)現(xiàn)該用戶還沒有認(rèn)證，則自動將頁面重定向到設(shè)備認(rèn)證頁面，觸發(fā)用戶進(jìn)行認(rèn)證。單點(diǎn)登錄如果當(dāng)前網(wǎng)絡(luò)中已經(jīng)部署了AD服務(wù)器身份認(rèn)證系統(tǒng)，則設(shè)備可以通過單點(diǎn)登錄功能，通過設(shè)備與AD服務(wù)器聯(lián)動，識別出已向AD服務(wù)器認(rèn)證通過的用戶，避免用戶上網(wǎng)時再次要求輸入用戶名/密碼，作為設(shè)備對用戶的認(rèn)證過程透明。如果用戶訪問網(wǎng)絡(luò)已經(jīng)是通過N2PSLVNGW事前認(rèn)證是用戶在訪問網(wǎng)絡(luò)資源前，實現(xiàn)通過登錄NGFW的用戶認(rèn)證Portal頁面，進(jìn)行認(rèn)證的一種認(rèn)證方式。事前認(rèn)證支持所有的上網(wǎng)方式。NGFW類型的網(wǎng)絡(luò)訪問。策略管控：QQ，MSNIM提供基于用戶的分類分時流量排名等報表。的策略。Attack/攻擊感知原理NGFWNGFWDOS/DDOSNGFWDDOS（如等（（Flood攻擊、CC）Netstream入侵防御因特網(wǎng)上的僵尸網(wǎng)絡(luò)、木馬、蠕蟲、SQLin-lineNGFWNGFW0day病毒防御NGFW的AV病毒防御功能，可以對網(wǎng)絡(luò)上病毒文件的傳輸做到檢測和阻斷防御的能力，具體檢測技術(shù)包括流重組、文件重組、脫殼解壓、PE病毒檢測、基于流的啟發(fā)式檢測技術(shù)，并且同IPS一樣，提供引擎升級和病毒庫的在線升級能力。NGFWRBL實時檢測技術(shù)，以及對惡意檢測NGFW（NGFWNGFWLocation/位置感知原理NGFWLocation/IPNGFWNGFW使用Location/位置感知技術(shù)，可以完成如下功能：NGFWNGFWNGFWNGFW一體化策略在一條策略規(guī)則中，可以關(guān)聯(lián)IPS、AV、DLP等應(yīng)用層處理Profile。先進(jìn)的虛擬防火墻技術(shù)加，傳統(tǒng)的管理運(yùn)營模式已經(jīng)不能適應(yīng)其業(yè)務(wù)的發(fā)展。企業(yè)信息化成為解決目前業(yè)務(wù)發(fā)展的關(guān)鍵，得到了各企業(yè)和機(jī)構(gòu)的相當(dāng)重視。隨著企業(yè)業(yè)務(wù)規(guī)模的不斷增大，各業(yè)務(wù)部門的職能和權(quán)責(zé)劃分也越來越清晰。各業(yè)務(wù)部門也初步形成了的相應(yīng)不同安全級別的安全區(qū)域，比如，OAVPNVPN 成本較高 的復(fù)雜度 VPN 復(fù)雜度為了適應(yīng)這種業(yè)務(wù)模式。虛擬防火墻技術(shù)應(yīng)運(yùn)而生。虛擬防火墻通過在一塊物理插VPN用這種邏輯防火墻的部署的靈活性來來實現(xiàn)企業(yè)網(wǎng)絡(luò)的對新業(yè)務(wù)的適應(yīng)性。當(dāng)用戶業(yè)務(wù)劃分發(fā)生變化或者產(chǎn)生新的業(yè)務(wù)部門時，可以通過添加或者減少防火墻實例的方式十分每個虛擬防火墻可以獨(dú)立配置資源，避免不同的虛擬防火墻在運(yùn)行的過程中互相影響。虛擬防火墻可以獨(dú)立分配的資源規(guī)格可以分為兩類：一類是配置資源；一類是運(yùn)行策略數(shù)；運(yùn)行時資源是虛擬防火墻運(yùn)行時的業(yè)務(wù)規(guī)格，包括：會話規(guī)格、在線用戶數(shù)、帶寬。業(yè)務(wù)支撐能力對多通道協(xié)議支持完善的安全保護(hù)華為“動態(tài)實時策略修改”使得華為針對各種業(yè)務(wù)的數(shù)據(jù)流管理華為FTPFTPtelnetFTPACLFTPQOS華為telnetFTP因為對業(yè)務(wù)數(shù)據(jù)流的精確識別，華為NGFW防火墻插板在優(yōu)化網(wǎng)絡(luò)資源配備方面具有很強(qiáng)的優(yōu)勢。業(yè)務(wù)支持的完整性華為華為H.323H.323H.323的各種組網(wǎng)模型，支持MCU、GK、視頻終端、音頻終端等等。華為支持完善的多媒體業(yè)務(wù)華為RASMGCPSIPMMS可以使得華為華為防火VOIP網(wǎng)絡(luò)地址轉(zhuǎn)換優(yōu)異的地址轉(zhuǎn)換性能華為Session靈活的地址轉(zhuǎn)換管理華為4、untrust、DMZlocaluntrustInternet的，trustFTPIPIP地址，DMZ->untrusttrust->untrust同時華為ACL強(qiáng)大的內(nèi)部服務(wù)器支持IP例如有一個內(nèi)部局域網(wǎng)的主機(jī)IP地址是/24，而該局域網(wǎng)利用專線連接到InternetISPIP地址：服務(wù)器，IP地址為，配置一個靜態(tài)的映射，將地址和地址WEB訪問到主機(jī)InternetIPIPInternet（DNSFTP。靜態(tài)綁定方式存在如下弱點(diǎn)：1IPIPIP2、存在比較大的安全隱患，一般對外提供的服務(wù)器都是單一用途，例如WEB服務(wù)器就Http80WEB80上了。3、提供不是標(biāo)準(zhǔn)端口的服務(wù)器存在困難。例如用戶想提供2個WEB服務(wù)器，其中一個WEB80華為子使用華為WEBFTP:8080提供第二WEBInternet。華為個內(nèi)服務(wù)器負(fù)載分擔(dān)強(qiáng)大的業(yè)務(wù)支撐ICMPICMPNetMeetingPPTPL2TPDNSNetBIOS、SIPMGCP、QQMSNInternetALG另外華為無數(shù)目限制的PAT方式轉(zhuǎn)換華為AddressIP1～1024IP個并發(fā)連接。但是華為IP方式IP地址。支持多接口負(fù)載分擔(dān)華為WnntISPInternet，華為豐富的攻擊防御的手段優(yōu)秀的Dos防御能力的必要條件InternetDOSDos（Denyservice）DosIPPCDosDosInternet上DosDosDos攻擊導(dǎo)DosDosDosDosDosDosDos網(wǎng)絡(luò)癱瘓，網(wǎng)絡(luò)上的關(guān)鍵設(shè)備點(diǎn)發(fā)生了阻塞，則Dos攻擊的目的就達(dá)到了。這里同DosDosDosDos華為NGFWDos豐富的Dos防御手段華為DosICMPFloodFloodUDPFloodDNSDosDosDos形式的攻擊，華為Dos針對不同的攻擊特點(diǎn)，華為NGFW防火墻插板采用了一些不同的防御技術(shù)，這樣保證防火墻在抵御Dos攻擊的時候更有針對性，使得整個防火墻的抵御特性更加完整。華為高級的TCP代理防御體系華為SYNFloodDosDos掃描窺探pingICMPUCP華為IPIPtracert畸形報文攻擊華為防火墻插板可以提供針對各種畸形報文的防范，主要包括Land攻擊、Smurf攻擊、FraggleWinNukeICMP（ACK、、FIN等）PingDeathDrop應(yīng)用層DDoS華為DDoSIPDDoSHTTPFloodHTTPSFlood、DNS-RequestFlood、DNS-ReplyFloodDDoSDDoS華為DDoSDDoSDDoSIP完善的功能華為(DES3DESAHESP)Security）安全機(jī)制，為通訊雙方提供訪問控制、無連接完整性、數(shù)據(jù)來源認(rèn)證、反重放、AAuhnicaindr和EEcaplatgSecurityIP華為IPSecVPN（VirtualPrivateNetwork）L2TP（Layer2Protocol）和GRE（GenericRoutingEncapsulation）構(gòu)建多種VPN應(yīng)用：L2TPVPNIPSECVPNGREVPNSSLL2TPoverIPSecVPNGREoverIPSecVPNGREVPNGRE：通用路由封裝技術(shù)，在IP數(shù)據(jù)包的外面再加上一個IP頭。通俗的說，就是把私有數(shù)據(jù)進(jìn)行一下偽裝，加上一個“外套”，傳送到其他地方，GRE是VPN（VirtualPrivateNetwork）的第三層隧道協(xié)議，即在協(xié)議層之間采用了一種被稱之為Tunnel（隧道）的技術(shù)。華為GREVPNGREIPSec應(yīng)用。L2TPVPN華為L2TP:Layer2Protocol,是為PPP的最常用的隧道協(xié)議。其中二層隧道的含義指的是：在隧道中間封裝的是二層數(shù)據(jù)報文（對L2TPPPP報文。華為LNSL2TPCLIENTLNSIP華為LACInternet的時LAC設(shè)備發(fā)起L2TPPPP的方式接入到Internet，PPPOELACL2TPLNSL2TPLNSLNSIPSECVPN華為無連接完整性、數(shù)據(jù)來源認(rèn)證、反重放、加密以及對數(shù)據(jù)流分類加密等服務(wù)。通過AH（AuthenticationESP（EncapsulatingSecurity現(xiàn)對IP數(shù)據(jù)報或上層協(xié)議的保護(hù)，支持隧道封裝模式。IPSec提供以下幾種網(wǎng)絡(luò)安全服務(wù)：私有性－.完整性－IPSec有被修改；真實性－端要驗證所有受防重放－IPSec華為防火墻插板可以采用IPSECVPNVPNVPNIPSec（acslit，cIPSecIKEIPSECPKI（PublicInfrastructure）IKEIKEBGP/MPLSVPNBPMLSPNLPLar3ViralPieNkGBdrLabelSwitch）VPNIPIPMPLSIPMPLS在無IPIPMPLSIPVPN（MPLSVPN）IPBGPIGPIGP發(fā)現(xiàn)和計VPNVPNPE佳的路由。BP使用P（EudemonPEVPN路由。BGP可以承載附加在路由后的任何信息，作為可選的BGP屬性，任何不了解這些屬性的Eudemon都將透明的轉(zhuǎn)發(fā)它們。這為在PE間傳播VPN路由提供了便利。BPEGPNDSVPNDSVPNDynamicSmartVPNHub-Spoke傳統(tǒng)的Hub-SpokeIPSecHubDSVPNSSLVPN安全套接字層(SSL)VPNSSLVPNSSL/TLS的現(xiàn)實優(yōu)勢，VPN。SSL協(xié)議從以下方面確保了數(shù)據(jù)通信的安全：認(rèn)證－在建立證。改。華為SSLWebSSLVPNSSLWEB應(yīng)用層安全業(yè)務(wù)感知(SA)華為NGFW防火墻插板的業(yè)務(wù)感知(SA)，通過對報文的載荷進(jìn)行深度分析，識別流量的真實應(yīng)用類型。具有如下特征：華為NGFWSA不但能夠識別常用的協(xié)議如等，還可以識別承載于常用協(xié)議之上的其它應(yīng)用，如facebook、等。華為NGFWSA華為提供的預(yù)定義規(guī)則庫，可以識別5000+的常見協(xié)議和應(yīng)用，滿足大部分用戶的應(yīng)用識別需求。NGFWSA入侵防御系統(tǒng)(IPS)華為NGFWSQLXSS部署方式防護(hù)動作，除部分Qos、TTLSQLXSS檢測需求。的防護(hù)。反病毒(AV)華為NGFWPC損害。華為NGFW防火墻插板的AV特性，有以下功能：支持豐富的應(yīng)用層協(xié)議解析功能，分析其中的文件傳輸動作，對傳輸?shù)奈募M(jìn)行病毒掃描。支持流模式檢測支持流模式的AV檢測功能，防護(hù)性能高。檢測。內(nèi)容過濾華為NGFWNGFWNGFWNGFWNGFW支持內(nèi)容的歸一化處理，防止采用一些編碼技術(shù)逃避檢測。HTTPS流量防護(hù)華為NGFW防火墻插