《下一代防火墙解决方案讲解》由会员分享,可在线阅读,更多相关《下一代防火墙解决方案讲解(25页珍藏版)》请在金锄头文库上搜索。
1、下一代防火墙解决方案目 录1 网络现状32 解决方案92.1 网络设备部署图92.2 部署说明92.3 解决方案详述92.3.1 流量管理92.3.2 应用控制122.3.3 网络安全123 报价241 网络现状随着网络技术的快速发展,现在我们对网络安全的关注越来越重视。近几年来,计算机和网络攻击的复杂性不断上升,使用传统的防火墙和入侵检测系统(IDS)越来越难以检测和阻挡。漏洞的发现和黑客利用漏洞之间的时间差也变得越来越短,使得IT和安全人员得不到充分的时间去测试漏洞和更新系统。随着病毒、蠕虫、木马、后门和混合威胁的泛滥,内容层和网络层的安全威胁正变得司空见惯。复杂的蠕虫和邮件病毒诸如Sla
2、mmer、Blaster、Sasser、Sober、MyDoom等在过去几年经常成为头条新闻,它们也向我们展示了这类攻击会如何快速的传播通常在几个小时之内就能席卷全世界。许多黑客正监视着软件提供商的补丁公告,并对补丁进行简单的逆向工程,由此来发现漏洞。下图举例说明了一个已知漏洞及相应补丁的公布到该漏洞被利用之间的天数。需要注意的是,对于最近的一些攻击,这一时间已经大大缩短了。IT和安全人员不仅需要担心已知安全威胁,他们还不得不集中精力来防止各种被称之为“零小时”(zero-hour)或“零日”(zero-day)的新的未知的威胁。为了对抗这种新的威胁,安全技术也在不断进化,包括深度包检测防火墙
3、、应用网关防火墙、内容过滤、反垃圾邮件、SSL VPN、基于网络的防病毒和入侵防御系统(IPS)等新技术不断被应用。但是黑客的动机正在从引起他人注意向着获取经济利益转移,我们可以看到一些更加狡猾的攻击方式正被不断开发出来,以绕过传统的安全设备,而社会工程(social engineering)陷阱也成为新型攻击的一大重点。图:系统漏洞被黑客利用的速度越来越快带有社会工程陷阱元素的攻击包括间谍软件、网络欺诈、基于邮件的攻击和恶意Web站点等。这些攻击设计为欺骗用户暴露敏感信息,下载和安装恶意程序、跟踪软件或运行恶意代码。很多这类攻击设计为使用传统的浏览器或Email技术(如ActiveX、XML
4、、SMTP等),并伪装为合法应用,因此传统的安全设备很难加以阻挡。现在比以往任何时候都更需要先进的检测和安全技术。传统的防火墙系统状态检测防火墙原本是设计成一个可信任企业网络和不可信任的公共网络之间的安全隔离设备,用以保证企业的互联网安全。状态检测防火墙是通过跟踪会话的发起和状态来工作的。通过检查数据包头,状态检测防火墙分析和监视网络层(L3)和协议层(L4),基于一套用户自定义的防火墙策略来允许、拒绝或转发网络流量。传统防火墙的问题在于黑客已经研究出大量的方法来绕过防火墙策略。这些方法包括:l 利用端口扫描器的探测可以发现防火墙开放的端口。l 攻击和探测程序可以通过防火墙开放的端口穿越防火墙
5、。如MSN、QQ等IM(即时通信)工具均可通过80端口通信,BT、电驴、Skype等P2P软件的通信端口是随机变化的,使得传统防火墙的端口过滤功能对他们无能为力。SoftEther等软件更可以将所有TCP/IP通讯封装成HTTPS数据包发送,使用传统的状态检测防火墙简直防不胜防。SoftEther可以很轻易的穿越传统防火墙l PC上感染的木马程序可以从防火墙的可信任网络发起攻击。由于会话的发起方来自于内部,所有来自于不可信任网络的相关流量都会被防火墙放过。当前流行的从可信任网络发起攻击应用程序包括后门、木马、键盘记录工具等,它们产生非授权访问或将私密信息发送给攻击者。l 较老式的防火墙对每一个
6、数据包进行检查,但不具备检查包负载的能力。病毒、蠕虫、木马和其它恶意应用程序能未经检查而通过。l 当攻击者将攻击负载拆分到多个分段的数据包里,并将它们打乱顺序发出时,较新的深度包检测防火墙往往也会被愚弄。l 使用笔记本电脑、PDA和便携邮件设备的移动用户会在他们离开办公室的时候被感染,并将威胁带回公司网络。边界防火墙对于从企业信任的内部网络发起的感染和攻击爱莫能助。图:被通过知名端口(80端口)攻击的网站数基于主机的防病毒软件基于主机的防病毒软件是部署得最广泛的安全应用,甚至超过了边界防火墙。基于主机的防病毒软件随着上世纪80年代中期基于文件的病毒开始流行而逐渐普及,如今已成为最受信任的安全措
7、施之一。但是基于主机的防病毒软件也有它的缺点,包括:l 需要安装、维护和保持病毒特征库更新,这就导致了大量的维护开销。l 很多用户并没有打开防病毒软件的自动更新功能,也没有经常的手动更新他们的病毒库,这就导致防病毒软件对最新的威胁或攻击无用。l 用户有时可能会有意或无意的关闭他们的单机安全应用程序。l 最新的复杂的木马程序能对流行的基于主机的防病毒软件进行扫描,并在它们加载以前就将它们关闭 这就导致即使有了最新的病毒特征码,事实上它们还是不能被检测出来。企业单纯依靠给予主机的防病毒软件和给操作系统和应用程序打补丁的方法会使它们的内部系统面临很高的安全风险。随着业务中使用了越来越多的面向全球且需
8、要持续运行的关键应用,停机来更新操作系统补丁、病毒特征码和应用升级变得越来越困难。而公司的Web、Email、电子商务、数据库、应用等服务器由于长时间不打补丁会很容易在新的攻击方式下暴露出它们的漏洞。仅仅依靠基于主机的防病毒软件的另一个缺点是,事实上有害代码在被每一个主机的安全软件检测和阻挡之前就已经进入了公司的网络,这就大大威胁了企业关键业务系统和网络应用。采用功能单一的产品的缺点要想构建一个立体的安全防护体系,必须要考虑多层次的防护,包括:1. 防火墙2. VPN网关3. 入侵防御系统(IPS)4. 网关防病毒5. 网页及URL过滤6. 应用程序过滤及带宽控制采用功能单一的产品会带来成本增
9、加,管理难度高的问题。如果想部署一个立体的安全防护体系,必须要将很多设备串接在网络中,这样会造成网络性能下降,故障率高,管理复杂。2 解决方案2.1 网络设备部署图2.2 部署说明在公司网络出口处部署深信服下一代防火墙NGAF,深信服下一代防火墙NGAF是面向应用层设计,能够精确识别用户、应用和内容,具备完整的L2-L7层的安全防护体系,强化了在Web层面的应用防护能力,不仅能够全面替代传统防火墙,并在开启安全功能的情况下还保持有强劲应用层处理能力的全新网络安全设备。2.3 解决方案详述 网络的发展与普及正在改变人们的工作和生活方式,互联网正逐步成为重要的生产资料,组织业务正逐渐向互联网迁移,
10、互联网是一把“双刃剑”,缺乏管理的互联网络带来了诸多问题;根据对客户需求的分析,主要从以下三个方面对该方案做一个详细的阐述。2.3.1 流量管理用户上网体验差,邮件发送、资料下载慢,严重影响用户的正常办公。深信服的下一代防火墙NGAF可根据业务类型进行带宽限制或保障,保证核心业务畅通运行;能灵活分配带宽资源,实现动态调整,提高带宽利用率。流量管理的功能主要有:多级父子通道、动态流控、P2P智能流控。多级父子通道将总体带宽细分通道化,可根据用户或应用进行划分;根据用户或应用的重要性,通道可设置为带宽限制或带宽保证;最高支持8级通道,可匹配组织构架,实现带宽精细划分;动态流控可以设定一个阈值(%)
11、来区分空闲和繁忙状态,当整体带宽利用率低于阈值时,通道的最大带宽限制将上浮,直到整体利用率超过了阈值,才回收上浮的部分,实现带宽利用率最大化。P2P智能流控传统流控 基于缓存丢包方式,UDP协议自身没有速率调整机制,且P2P传输模式具有特殊性,外网线路依然被大量的P2P数据报文所占用,导致带宽浪费。P2P智能流控 上传速度和下载速度具有关联性,通过抑制上行流量来达到控制下载速度的效果。2.3.2 应用控制员工上班时间网络聊天、炒股、网游,占用公司带宽,办公效率低下。深信服下一代防火墙NGAF内置强大应用特征库,能封堵IM聊天、炒股、游戏、下载、在线视频等应用,规范化上网行为,提高员工工作效率;
12、封堵代理、翻墙软件,规避不当上网行为带来的法律风险;封堵邮件,防止敏感信息泄露。2.3.3 网络安全深信服下一代防火墙NGAF面向应用层设计,能够精确识别用户、应用和内容,具备完整的L2-L7层的安全防护体系,强化了在Web层面的应用防护能力,不仅能够全面替代传统防火墙,并具在开启安全功能的情况下还保持有强劲应用层处理能力的全新网络安全设备。2.3.3.1 可视的网络安全情况NGAF独创的应用可视化技术,可以根据应用的行为和特征实现对应用的识别和控制,而不仅仅依赖于端口或协议,摆脱了过去只能通过IP地址来控制的尴尬,即使加密过的数据流也能应付自如。目前,NGAF的应用可视化引擎不但可以识别12
13、00多种的内外网应用及其2700多种应用动作,还可以与多种认证系统(AD、LDAP、Radius等)、应用系统(POP3、SMTP等)无缝对接,自动识别出网络当中IP地址对应的用户信息,并建立组织的用户分组结构;既满足了普通互联网边界行为管控的要求,同时还满足了在内网数据中心和广域网边界的部署要求,可以识别和控制丰富的内网应用,如Lotus Notes、RTX、Citrix、Oracle EBS、金蝶EAS、SAP、LDAP等,针对用户应用系统更新服务的诉求,NGAF还可以精细识别Microsoft、360、Symantec、Sogou、Kaspersky、McAfee、金山毒霸、江民杀毒等软
14、件更新,保障在安全管控严格的环境下,系统软件更新服务畅通无阻。因此,通过应用可视化引擎制定的L4-L7一体化应用控制策略, 可以为用户提供更加精细和直观化控制界面,在一个界面下完成多套设备的运维工作,提升工作效率。2.3.3.2 强化的应用层攻击防护2.3.3.2.1 基于应用的深度入侵防御NGAF的灰度威胁关联分析引擎具备4000+条漏洞特征库、3000+Web应用威胁特征库,可以全面识别各种应用层和内容级别的单一安全威胁;另外,深信服凭借在应用层领域10年以上的技术积累,组建了专业的安全攻防团队,可以为用户定期提供最新的威胁特征库更新,以确保防御的及时性。2.3.3.2.2 强化的WEB攻
15、击防护NGAF能够有效防护OWASP组织提出的10大web安全威胁的主要攻击,并于2013年1月获得了OWASP组织颁发的产品安全功能测试4星评级证书(最高评级为5星,深信服NGAF为国内同类产品评分最高)主要功能如:防SQL注入攻击SQL注入攻击产生的原因是由于在开发web应用时,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据,这就是所谓的SQL Injection,即SQL注入。NGAF可以通过高效的URL过滤技术,过滤SQL注入的关键信息,从而有效的避免网站服务器受到SQL注入攻击。防XSS跨站脚本攻击跨站攻击产生的原理是攻击者通过向Web页面里插入恶意html代码,从而达到特殊目的。NGAF通过先进的数据包正则表达式匹配原理,可以准确地过滤数据包中含有的跨站攻击的恶意代码,从而保护用户的WEB服务器安全。防CSRF攻击CSRF即跨站请求伪造,从成因上与XSS漏洞完全相同,不同之处在于利用的层次上,CSRF是对XSS漏洞更高级的利用,利用的核心在于通过XSS漏洞在用户浏览器上执行功能相对复杂的JavaScript脚本代码劫持用户浏览器访问存在XSS漏洞网站的会话,攻击者可以与运行于用户浏览器中的脚本代码交互,使攻击者以受攻击浏览器用
