华为-NGFW安全插板技术白皮书

《华为-NGFW安全插板技术白皮书》由会员分享，可在线阅读，更多相关《华为-NGFW安全插板技术白皮书（53页珍藏版）》请在金锄头文库上搜索。

1、华为S交换机NGFW防火墙插板 技术白皮书S交换机NGFW防火墙插板技术白皮书华为技术有限公司Copyright 2012 华为技术有限公司 版权所有，侵权必究5版权所有 华为技术有限公司 2013。 保留一切权利。非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传播。商标声明和其他华为商标均为华为技术有限公司的商标。本文档提及的其他所有商标或注册商标，由各自的所有人拥有。注意您购买的产品、服务或特性等应受华为公司商业合同和条款的约束，本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内。除非合同另有约定，华为公司对本文档内容不做任

2、何明示或默示的声明或保证。由于产品版本升级或其他原因，本文档内容会不定期进行更新。除非另有约定，本文档仅作为使用指导，本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。华为技术有限公司地址：深圳市龙岗区坂田华为总部办公楼 邮编：518129网址：http:/客户服务邮箱：ask_FW_MKT客户服务电话：4008302118目录1.概述61.1.网络威胁的变化及下一代防火墙产生61.2.下一代防火墙的定义61.3.防火墙插板的使用指南72.下一代防火墙插板的技术原则82.1.防火墙的性能模型82.2.网络隔离92.3.访问控制102.4.基于流的状态检测技术102.5.基于用户的管控能

3、力102.6.基于应用的管控能力112.7.应用层的威胁防护112.8.业务支撑能力112.9.地址转换能力122.10.攻击防范能力122.11.VPN业务132.12.防火墙的日志系统133.S交换机防火墙插板技术特点143.1.灵活的安全区域管理14基于安全区域的隔离14可管理的安全区域14基于安全区域的策略控制14丰富的业务支撑153.2.安全策略控制15灵活的规则设定15基于时间段的规则管理16高速策略匹配16MAC地址和IP地址绑定17动态策略管理黑名单技术173.3.基于流会话的状态检测技术17基于会话管理的核心技术17深度检测18状态检测技术的优势193.4.ACTUAL感知1

4、9ACTUAL概念20Application/应用感知原理20Content/内容感知原理22Time/时间感知原理22User/用户感知原理22Attack/攻击感知原理25Location/位置感知原理26一体化策略273.5.先进的虚拟防火墙技术273.6.业务支撑能力29对多通道协议支持完善的安全保护29针对各种业务的数据流管理29业务支持的完整性29支持完善的多媒体业务303.7.网络地址转换30优异的地址转换性能30灵活的地址转换管理30强大的内部服务器支持31服务器负载分担32强大的业务支撑33无数目限制的PAT方式转换33支持多接口负载分担343.8.丰富的攻击防御的手段34优

5、秀的Dos防御能力的必要条件34丰富的Dos防御手段35高级的TCP代理防御体系35扫描窥探36畸形报文攻击36应用层DDoS363.9.完善的VPN功能37GRE VPN37L2TP VPN38IPSEC VPN38BGP/MPLS VPN39DSVPN40SSL VPN413.10.应用层安全41业务感知(SA)41入侵防御系统(IPS)42反病毒(AV)43内容过滤44HTTPS流量防护453.11.完善的日志报表系统45日志服务器46两种日志输出方式46多种日志信息464.典型组网494.1.FW插板三层组网494.2.FW插板二层组网51华为S交换机NGFW防火墙插板 技术白皮书关键

6、词：NGFW、S交换机插板、网络安全、VPN、隧道技术、L2TP、IPSec、IKE 摘 要：本文详细介绍了S交换机上下一代防火墙插板的技术特点、工作原理等，并提供了防火墙插板选择过程的一些需要关注的技术问题。名称缩写完整拼写中文解释NGFWNext Generation Firewall下一代防火墙VPNVirtual Private Network虚拟私有网AAAAuthentication, Authorization, Accounting验证，授权，计费ASPFApplication Specific Packet Filter基于应用层规范的包过滤DoSDenial of Serv

7、ice拒绝服务，一种常见的网络攻击手段L2TPLayer 2 tunnle protocal二层隧道协议IPSECIP SecurityIP安全IKEInternet Key ExchangeInternet密钥交换1. 概述1.1. 网络威胁的变化及下一代防火墙产生随着网络的高速发展，应用的不断增多，Web2.0的普及，不断增长的带宽需求和新应用架构(如Web2.0)，正在改变协议的使用方式和数据的传输方式，越来越多的应用在少量的端口上进行传输。新的威胁，如网络蠕虫、僵尸网络以及其他基于应用的攻击不断产生，安全威胁将焦点集中在诱使用户安装可逃避安全设备及软件检测的有针对性的恶意执行程序上。传

8、统防火墙主要是基于端口和协议来识别应用，基于传输层的特征来进行攻击检测和防护。面对越来越多的应用使用少量的端口，或者一些应用使用非标准端口，基于端口/协议类的安全策略，将不再具有足够的防护能力。传统防火墙，也不具有防御基于应用的威胁的能力，如网络蠕虫、僵尸网络传播的威胁。不断变化的业务流程、企业部署的技术，以及威胁的发展，正推动对网络安全性的新需求。新的安全需求，推动下一代防火墙的产生。1.2. 下一代防火墙的定义Gartner将网络防火墙定义为在不同信任级别的网络之间实时执行网络安全政策的联机控制。Gartner使用“下一代防火墙”这个术语来说明防火墙在应对业务流程使用IT的方式和威胁试图入

9、侵业务系统的方式发生变化时应采取的必要的演进。NGFW至少具有以下属性：1支持联机“bump-in-the-wire”配置，不中断网络运行。2发挥网络传输流检查和网络安全政策执行平台的作用，至少具有以下特性：(1)标准的第一代防火墙能力：包过滤、网络地址转换(NAT)、状态性协议检测、VPN等等。(2)集成的而非仅仅共处一个位置的网络入侵检测：支持面向安全漏洞的特征码和面向威胁的特征码。IPS与防火墙的互动效果应当大于这两部分效果的总和。例如提供防火墙规则来阻止某个地址不断向IPS加载恶意传输流。这个例子说明，在NGFW中，应该由防火墙建立关联，而不是操作人员去跨控制台部署解决方案。集成具有高

10、质量的IPS引擎和特征码，是NGFW的一个主要特征。(3)应用意识和全栈可见性：识别应用和在应用层上执行独立于端口和协议，而不是根据纯端口、纯协议和纯服务的网络安全政策。例子包括允许使用Skype，但关闭Skype中的文件共享或始终阻止GoToMyPC。(4)额外的防火墙智能：防火墙收集外来信息来做出更好的阻止决定或建立优化的阻止规则库。例子包括利用目录集成将阻止行为与用户身份绑在一起，或建立地址的黑白名单。1.3. 防火墙插板的使用指南防火墙插板放在整个网络中的汇聚点，如果被保护网络的通信流量有可能会绕过防火墙，则防火墙插板不能对该网络起到安全防范的功能。因此，在使用防火墙插板的时候，需要保

11、证被防火墙保护的网络流量必须全部经过防火墙。默认情况下，防火墙的规则一般是禁止所有的访问。在防火墙插板接入到网络中之后，一定需要按照网络的实际需要配置各种安全策略。防火墙策略的有效性、多样性、灵活性等是考察防火墙的一个重要指标，另外在复杂的网络环境有可能会使用非常多的规则，需要考察防火墙本身规则的容量和在大规则下的转发性能等因素。防火墙本身的安全性也是选择防火墙的一个重要标准。防火墙的安全性能取决于防火墙是否基于安全的操作系统和是否采用专用的硬件平台，安全的操作系统从软件方面保证了防火墙本身的安全可靠，专用的硬件平台保证防火墙可以经受长时间运行的考验。防火墙插板属于一个基础网络设备，一定要保证

12、防火墙可以长时间不间断运行，其硬件可靠性是非常关键的。在防火墙实施之前，需要先根据网络的实际情况确定需要解决的问题，选择性能、功能均能满足的防火墙插板。在性能和功能的平衡过程中，对性能指标一定要特别关注，因为在实际运行的过程中防火墙的性能是非常重要的，如果性能低下会造成网络的堵塞、故障频繁，这样的网络是没有安全性可谈。性能指标体现了防火墙的可用性能，同时也体现了企业用户使用防火墙产品的代价，用户无法接受过高的代价。如果防火墙对网络造成较大的延时，还会给用户造成较大的损失。现在的主流防火墙插板都是基于状态检测的防火墙插板，这类防火墙插板对业务应用是敏感的。涉及音频、视频等的一些多媒体业务，协议比

13、较复杂，经常会因为对协议的状态处理不当导致加入防火墙之后造成业务不通，或者是为了保证业务的畅通就需要打开很多不必要的端口，造成安全性非常低。因此针对状态防火墙一定要考察防火墙插板对业务的适应性能力，避免引入防火墙插板导致对正常业务造成影响。2. 下一代防火墙插板的技术原则2.1. 防火墙的性能模型前面已经提到防火墙的性能对于衡量一个防火墙插板来说非常重要，那么到底应该通过哪些指标来具体的衡量防火墙的性能呢？本小节主要讨论一下，衡量防火墙的性能的时候应该注意哪些方面。业界现在衡量防火墙的性能的时候，主要使用“吞吐量”这个指标。吞吐量主要是指防火墙在大包的情况下，尽量转发能通过防火墙的总的流量，一

14、般使用BPS（比特每秒）为单位来衡量的，使用吞吐量作为衡量防火墙的性能指标非常片面，不能反映出防火墙的实际工作能力。除了吞吐量之外，在衡量防火墙性能的时候一定还要考察下面几个指标：1、小包转发能力防火墙的吞吐量在业界一般都是使用1K1.5K的大包衡量防火墙对报文的处理能力的。因网络流量大部分是200字节报文，因此需要考察防火墙小包转发下性能，防火墙的小包转发性能真实的反映了防火墙在实际环境下工作的转发性能指标。2、规则数目对转发效率的影响防火墙一般都是工作在大量的规则下，规则、业务的实施对转发性能有必然的影响，因此需要考察防火墙在大量规则下的转发效率，避免业务对防火墙性能影响太大，导致防火墙在实际环境下无法工作。3、每秒建立连接速度指的是每秒钟可以通过防火墙建立起来的完整TCP连接。由于防火墙的连接是动态产生的是根据当前通信状态而动态建立的一个信息表。每个会话在数据交换之前，在防火墙上都必须建立连接。如果防火墙建立连接速率较慢，在客户端反映是每次通信有较大延迟。因此支持的指标越大，转发速率越高。在受到攻击时，这个指标越大，抗攻击能力越强。这个指标越大，状态备份能力越强。 每秒新建连接速度是衡量防火墙功能能力的一个重要指标，该指