《深信服sangfor_af技术白皮书》由会员分享,可在线阅读,更多相关《深信服sangfor_af技术白皮书(27页珍藏版)》请在金锄头文库上搜索。
1、NGAF 技术白皮书文档密级:公开 1 / 27 深信服下一代防火墙 NGAF 技术白皮书 深信服科技有限公司 二零一三年四月 NGAF 技术白皮书文档密级:公开 2 / 27 目录 一、 概述 . 4 二、 为什么需要下一代防火墙 . 4 2.1 网络发展的趋势使防火墙以及传统方案失效 . 4 2.2 现有方案缺陷分析 . 5 2.2.1 单一的应用层设备是否能满足? . 5 2.2.2 “串糖葫芦式的组合方案” . 5 2.2.3 UTM 统一威胁管理 6 三、 下一代防火墙标准 . 6 3.1 Gartner 定义下一代防火墙 . 6 3.2 适合国内用户的下一代防火墙标准 . 7 四
2、、 深信服下一代应用防火墙NGAF 8 4.1 产品设计理念 . 8 4.2 产品功能特色 . 9 4.2.1 更精细的应用层安全控制 . 9 4.2.2 全面的应用安全防护能力 . 12 4.2.3 独特的双向内容检测技术 . 17 4.2.4 涵盖传统安全功能 . 19 4.2.5 智能的网络安全防御体系 . 19 4.2.6 更高效的应用层处理能力 . 20 4.3 产品优势技术 . 21 4.3.1 深度内容解析 . 21 4.3.2 双向内容检测 . 21 4.3.3 分离平面设计 . 21 4.3.4 单次解析架构 . 22 4.3.5 多核并行处理 . 23 4.3.6 智能联动
3、技术 . 24 五、 解决方案与部属 . 24 5.1 互联网出口-内网终端上网 24 NGAF 技术白皮书文档密级:公开 3 / 27 5.2 互联网出口-服务器对外发布 25 5.3 广域网边界安全隔离 . 25 5.4 数据中心 . 26 六、 关于深信服 . 26 NGAF 技术白皮书文档密级:公开 4 / 27 一、一、 概述概述 防火墙自诞生以来, 在网络安全防御系统中就建立了不可替代的地位。 作为边界网络安 全的第一道关卡防火墙经历了包过滤技术、代理技术和状态监视技术的技术革命,通过 ACL 访问控制策略、 NAT 地址转换策略以及抗网络攻击策略有效的阻断了一切未被明确允许的包
4、通过,保护了网络的安全。防火墙就像机场的安检部门,对进出机场/防火墙的一切包裹/ 数据包进行检查, 保证合法包裹/数据包能够进入机场/网络访问合法资源同时防止非法人员 通过非法手段进入机场/网络或干扰机场/网络的正常运行。传统的防火墙正如机场安检人 员,通过有限的防御方式对风险进行防护,成本高,效率低,安全防范手段有限。而下一代 防火墙则形如机场的整体安检系统,除了包括原有的安检人员/传统防火墙功能外,还引入 了先进的探测扫描仪/深度内容安全检测构成一套完整的整体安全防护体系。自 2009 年 10 月 Gartner 提出“Defining the Next-Generation Firew
5、all”一文,重新定义下一代防火墙,下一 代防火墙的概念在业内便得到了普遍的认可。深信服也在经过 10 年网络安全技术 6 年的应 用安全技术沉淀之后,于 2011 年正式发布深信服“下一代应用防火墙”NGAF。 二、二、 为什么需要下一代防火墙为什么需要下一代防火墙 2.1 网络发展的趋势使防火墙以及传统方案失效网络发展的趋势使防火墙以及传统方案失效 防火墙作为一款历史悠久的经典产品,在 IP/端口的网络时代,发挥了巨大的作用:合 理的分隔了安全域,有效的阻止了外部的网络攻击。防火墙在设计时的针对性,在当时显然 是网络安全的最佳选择。 但在网络应用高速发展, 网络规划复杂化的今天防火墙的不适
6、应性 就越发明显,从用户对网络安全建设的需求来看,传统防火墙存在以下问题: 1、应用安全防护的问题:、应用安全防护的问题: 传统防火墙基于 IP/端口,无法对应用层进行识别与控制,无法确定哪些应用经过了防 火墙, 自然就谈不上对各类威胁进行有效防御了。 面对应用层的攻击, 防火墙显得力不从心, 无法检测或拦截嵌入到普通流量中的恶意攻击代码,比如病毒、蠕虫、木马等。 2、安全管理的问题:、安全管理的问题: 传统防火墙的访问控制策略对于大型网络来说简直就是噩梦。 严格控制网络需要配置大 量的策略,并且这些基于 IP/端口策略可读性非常之差,经常会造成错配、漏配的情况,留 下的这些隐患,往往给黑客们
7、以可乘之机。 NGAF 技术白皮书文档密级:公开 5 / 27 3.安全可视化的安全可视化的问题问题 传统防火墙无法抵御来自应用层的威胁, 自然就无法提供给用户有效的安全策略制定依 据。 传统防火墙的防御能力有限导致了用户对内网服务器和终端的安全状态没有直观的体现 和把握,缺乏安全信息的可视化。 2.2 现有方案缺陷分析现有方案缺陷分析 2.2.1 单一的应用层设备是否能满足?单一的应用层设备是否能满足? 1、入侵防御设备、入侵防御设备 应用安全防护体系不完善, 只能针对操作系统或者应用软件的底层漏洞进行防护, 缺乏 针对 Web 攻击威胁的防御能力,对 Web 攻击防护效果不佳。缺乏攻击事后
8、防护机制,不具 备数据的双向内容检测能力, 对未知攻击产生的后果无能为力, 如入侵防御设备无法应对来 自于 web 网页上的 SQL,XSS 漏洞,无法防御来自内网的敏感信息泄露或者敏感文件过滤等 等。 2、Web 应用防火墙应用防火墙 传统 Web 防火墙面对当前复杂的业务流量类型处理性能有限,且只针对来自 Web 的攻 击防护,缺乏针对来自应用系统底层漏洞的攻击特征,缺乏基于敏感业务内容的保护机制, 只能提供简单的关键字过滤功能,无法对 Web 业务提供 L2-L7 层的整体安全防护。 2.2.2 “串糖葫芦式的组合方案”“串糖葫芦式的组合方案” 由于防火墙功能上的缺失使得企业在网络安全建
9、设的时候针对现有多样化的攻击类型 采取了打补丁式的设备叠加方案,形成了“串糖葫芦”式部署。通常我们看到的网络安全规 划方案的时候都会以防火墙+入侵防御系统+网关杀毒+的形式。这种方式在一定程度上 能弥补防火墙功能单一的缺陷, 对网络中存在的各类攻击形成了似乎全面的防护。 但在这种 环境中,管理人员通常会遇到如下的困难: 效率低:效率低:同一数据包经过串联的各类设备,被重复拆包,重复解析,使整个网络的效率 变得低下,运行速度变得十分缓慢。 维护成本高:维护成本高:众多设备需要提供足够的空间和环境支持,大大提高了维护成本。 管理复杂:管理复杂: 独立设备、 管理复杂, 需要培养熟悉各类设备、 各厂
10、商设备的高级管理人员。 安全日志分散:安全日志分散:各厂商设备的日志记录内容不同,格式风格不同,甚至可能出现语言也 不同,各自侧重关注的重点不一,无法进行统一的安全风险分析。 NGAF 技术白皮书文档密级:公开 6 / 27 2.2.3 UTM 统一威胁管理统一威胁管理 2004 年 IDC 推出统一威胁管理 UTM 的概念。 这种设备的理念是将多个功能模块集中如: FW、IPS、AV,联合起来达到统一防护,集中管理的目的。这无疑给安全建设者们提供了更 新的思路。 事实证明国内市场 UTM 产品确实得到用户认可,据 IDC 统计数据 09 年 UTM 市场增长 迅速, 但 2010 年 UTM
11、 的增长率同比有明显的下降趋势。 这是因为 UTM 设备仅仅将 FW、 IPS、 AV 进行简单的整合,传统防火墙安全与管理上的问题依然存在,比如缺乏对 WEB 服务器的 有效防护等;另外,UTM 开启多个模块时是串行处理机制,一个数据包先过一个模块处理 一遍,再重新过另一个模块处理一遍,一个数据要经过多次拆包,多次分析,性能和效率使 得 UTM 难以令人信服。Gartner 认为“UTM 安全设备只适合中小型企业使用,而 NGFW 才 适合员工大于 1000 人以上规模的大型企业使用。 ” 三、三、 下一代防火墙标准下一代防火墙标准 3.1 Gartner 定义下一代防火墙定义下一代防火墙
12、针对上述安全风险、网络环境、应用系统的变化,传统网络安全设备的无能为力,市场 咨询分析机构 Gartner 在 2009 年发布了一份名为Defining the Next-GenerationFirewall的 文章,给出了真正能够满足用户当前安全需求的下一代防火墙(NGFW)定义。 在 Gartner 看来,NGFW 应该是一个线速(wire-speed)网络安全处理平台, 在功能上 至少应当具备以下几个属性: 1、联机“bump-in-the-wire”配置,不中断网络运行。 2、发挥网络传输流检查和网络安全政策执行平台的作用,至少具有以下特性: (1)标准的第一代防火墙能力:包过滤、网
13、络地址转换(NAT)、状态性协议检测、VPN 等等。 (2)集成的而非仅仅共处一个位置的网络入侵检测:支持面向安全漏洞的特征码和面 向威胁的特征码。IPS 与防火墙的互动效果应当大于这两部分效果的总和。例如提供防火墙 规则来阻止某个地址不断向 IPS 加载恶意传输流。这个例子说明,在 NGFW 中,应该由防火 墙建立关联,而不是操作人员去跨控制台部署解决方案。集成具有高质量的 IPS 引擎和特征 码,是 NGFW 的一个主要特征。 (3)应用意识和全栈可见性:识别应用和在应用层上执行独立于端口和协议,而不是 NGAF 技术白皮书文档密级:公开 7 / 27 根据纯端口、纯协议和纯服务的网络安全
14、政策。例子包括允许使用 Skype,但关闭 Skype 中 的文件共享或始终阻止 GoToMyPC。 (4)额外的防火墙智能:防火墙收集外来信息来做出更好的阻止决定或建立优化的阻 止规则库。 例子包括利用目录集成将阻止行为与用户身份绑在一起, 或建立地址的黑白名单。 Gartner 认为,随着防火墙和 IPS 更新周期的自然到来,或者随着带宽需求的增加和随着成 功的攻击,促使更新防火墙,大企业将用 NGFW 替换已有的防火墙。不断变化的威胁环境, 以及不断变化的业务和 IT 流程将促使网络安全经理在他们的下一个防火墙/IPS 更新周期时 寻找 NGFW。 Gartner 预计到 2014 年底
15、,用户采购防火墙的比例将增加到占安装量的 35%,60%新购 买的防火墙将是 NGFW。 3.2 适合国内用户的下一代防火墙标准适合国内用户的下一代防火墙标准 深信服做为国内安全厂商的领导者,早在 2011 年就在国内率先提出了下一代应用防火 墙的理念, 依照国际上定义的下一代防火墙标准, 我们认为基于应用层的下一代网络安全产 品,除了满足 Gartner 定义的要求之外,面对国内软件 Web 应用环境复杂多样,应能够提供 从 L2-L7 层的一体化安全防护方案,不让任何一层协议存在的安全隐患成为整个安全体系的 短板, 深信服通过多年的安全技术积累以及多行业客户使用情况的调研, 认为适合国内用
16、户 的下一代防火墙还应该具备如下的安全功能: Web 攻击防护能力攻击防护能力 Web2.0 时代,终端客户同互联网业务交互越来越紧密,75%的攻击来自于应用层,如 何保障网站服务器,互联网增值服务等应用的正常运营是安全建设关注的重点,所以针对 Web 的攻击防护能力成为关键。 服务器双向内容检测服务器双向内容检测 互联网没有百分之百的安全, 假使服务器不幸被攻陷, 对于事后的安全补救措施也能把 损失控制到最低, 双向内容检测技术即是在攻击发起方开始防护, 对于服务器对的请求响应 内容也同时进行检测,及时阻断黑客的攻击行为。 终端木马恶意流量识别终端木马恶意流量识别/隔离隔离 客户端安全受关注程度日益提高, 很多攻击行为并不是针对服务器进行的, 而是通过内 网终端用户做为攻击跳板, 攻陷了终端用户后再利用终端用户的信任信息对内网服务器发起 进攻。 所以对于终端的安全检测以及能够对发现风险后进行隔离都是下一代防火墙应具备的 NGAF 技术白皮书文档密级:公开 8 / 27 功能。 数据防泄密数据防泄密 近今年,国内互联网安全事件,导致
