深信服防火墙解决方案深信服防火墙解决方案篇一:深信服下一代防火墙 AF_技术白皮书_深信服下一代防火墙 NGAF 技术白皮书 深信服科技有限公司 二零一四年四月 目录目录 ..2 一、 二、 概述 ... 4 为什么需要下一代防火墙 .4 网络发展的趋势使防火墙以及传统方案失效 .4 现有方案缺陷分析 .5 三、 四、 单一的应用层设备是否能满足? .5 “串糖葫芦式的组合方案” .5 UTM 统一威胁管理 .. 6 其他品牌下一代防火墙能否解决? .6 深信服下一代防火墙定位 .6 深信服下一代防火墙—NGAF .. 7 产品设计理念 ... 7 产品功能特色 ... 7 可视的网络安全情况 .7 强化的应用层攻击防护 .12 独特的双向内容检测技术 .17 智能的网络安全防御体系 .19 更高效的应用层处理能力 .20 涵盖传统安全功能 .21 产品优势技术 ... 21 深度内容解析 .21 双向内容检测 .22 分离平面设计 .22 单次解析架构 .23 多核并行处理 .24 智能联动技术 .24 Regex 正则引擎 .. 24 五、 部属方式 ... 25 六、 互联网出口-内网终端上网 .. 25 互联网出口-服务器对外发布 .. 26 广域网边界安全隔离 .26 数据中心 ... 27 关于深信服 ... 27 一、 概述 防火墙自诞生以来,在网络安全防御系统中就建立了不可替代的地位。
作为边界网络安全的第一道关卡防火墙经历了包过滤技术、代理技术和状态监视技术的技术革命,通过 ACL 访问控制策略、NAT 地址转换策略以及抗网络攻击策略有效的阻断了一切未被明确允许的包通过,保护了网络的安全防火墙就像机场的安检部门,对进出机场/防火墙的一切包裹/数据包进行检查,保证合法包裹/数据包能够进入机场/网络访问合法资源同时防止非法人员通过非法手段进入机场/网络或干扰机场/网络的正常运行传统的防火墙正如机场安检人员,通过有限的防御方式对风险进行防护,成本高,效率低,安全防范手段有限而下一代防火墙则形如机场的整体安检系统,除了包括原有的安检人员/传统防火墙功能外,还引入了先进的探测扫描仪/深度内容安全检测构成一套完整的整体安全防护体系自 XX年 10 月 Gartner 提出“Defining the Next-Generation Firewall”一文,重新定义下一代防火墙,下一代防火墙的概念在业内便得到了普遍的认可深信服也在经过 10 年网络安全技术 6 年的应用安全技术沉淀之后,于 XX 年正式发布深信服“下一代防火墙”——NGAF 二、 为什么需要下一代防火墙 网络发展的趋势使防火墙以及传统方案失效 近几年来,越来越多的安全事故告诉我们,安全风险比以往更加难以察觉。
随着网络安全形势逐渐恶化,网络攻击愈加频繁,客户对自己的网络安全建设变得越来越不自信到底怎么加强安全建设?安全建设的核心问题是什么?采用什么安全防护手段更为合适?已成为困扰用户安全建设的关键问题 问题一:看不看得到真正的风险? 一方面,只有看到 L2-7 层的攻击才能了解网络的整体安全状况,而基于多产品组合方案大多数用户没有办法进行统一分析,也就无法快速定位安全问题,同时也加大了安全运维的工作量另一方面,没有攻击并不意味着业务就不存在漏洞,一旦漏洞被利用就为时已晚好的解决方案应能及时发现业务漏洞,防患于未然最后,即使有大量的攻击也不意味着业务安全威胁很大,只有针对真实存在的业务漏洞进行的攻击才是有效攻击看不到有效攻击的方案,就无法让客户看到网络和业务的真实的安全情况 问题二:防不防得住潜藏的攻击? 一方面,防护技术不能存在短板,存在短板必然会被绕过,原有设备就形同虚设;另一 方面,单纯防护外部黑客对内网终端和服务器的攻击是不够的,终端和服务器主动向外发起的流量中是否存在攻击行为和泄密也需要检测,进而才能找到黑客针对内网的控制通道,同时发现泄密的风险,最后通过针对性的安全防护技术加以防御。
综上所述,真正能看到攻击与业务漏洞,及时查漏补缺,并能及时防住攻击才是最有效的解决方案那么基于攻击特征防护的传统解决方案是否真的能够达到要求呢? 现有方案缺陷分析 单一的应用层设备是否能满足? 1、入侵防御设备 应用安全防护体系不完善,只能针对操作系统或者应用软件的底层漏洞进行防护,缺乏针对 Web 攻击威胁的防御能力,对 Web 攻击防护效果不佳缺乏攻击事后防护机制,不具备数据的双向内容检测能力,对未知攻击产生的后果无能为力,如入侵防御设备无法应对来自于 web 网页上的SQL,XSS 漏洞,无法防御来自内网的敏感信息泄露或者敏感文件过滤等等 2、Web 应用防火墙 传统 Web 防火墙面对当前复杂的业务流量类型处理性能有限,且只针对来自 Web 的攻击防护,缺乏针对来自应用系统底层漏洞的攻击特征,缺乏基于敏感业务内容的保护机制,只能提供简单的关键字过滤功能,无法对 Web 业务提供 L2-L7 层的整体安全防护 “串糖葫芦式的组合方案” 由于防火墙功能上的缺失使得企业在网络安全建设的时候针对现有多样化的攻击类型采取了打补丁式的设备叠加方案,形成了“串糖葫芦”式部署通常我们看到的网络安全规划方案的时候都会以防火墙+入侵防御系统+网关杀毒+??的形式。
这种方式在一定程度上能弥补防火墙功能单一的缺陷,对网络中存在的各类攻击形成了似乎全面的防护但在这种环境中,管理人员通常会遇到如下的困难:一,有几款设备就可以看到几种攻击,但是是割裂的难以对安全日志进行统一分析;有攻击才能发现问题,在没有攻击的情况下,就无法看到业务漏洞,但这并不代表业务漏洞不存在;即使发现了攻击,也无法判断业务系统是否真正存在安全漏洞,还是无法指导客户进行安全建设;二,有几种设备就可以防护几种攻击,但大部分客户无法全部部署,所以存在短板;即使全部部署,这些设备也不对服务器和终端向外主动发起的业务流进行防护,在面临新的未 篇二:XX-4-14 传统防火墙解决方案第 1 章 综述 前言 随着计算机技术和通信技术的飞速发展,信息化浪潮席卷全球,一种全新的先进生产力的出现已经把人类带入了一个新的时代信息技术的发展极大地改变了人们的生活、工作模式,网上新闻、网上购物、远程教育、电子商务等等各种应用层出不穷,世界各地的信息资源得到了高度的共享这充分显示出信息化对社会生产力的巨大变革作用 深信服的安全理念 网络安全可以分为数据安全和服务安全两个层次数据安全是防止信息被非法探听;服务安全是使网络系统提供不间断的通畅的对外服务。
从严格的意义上讲,只有物理上完全隔离的网络系统才是安全的但为了实际生产以及信息交换的需要,采用完全隔离手段保障网络安全很少被采用在有了对外的联系之后,网络安全的目的就是使不良用心的人窃听数据、破坏服务的成本提高到他们不能承受的程度这里的成本包括设备成本、人力成本、时间成本等多方面的因素 为提高恶意攻击者的攻击成本,深信服的安全理念提供了多层次、多深度的防护体系, 第 2 章 防火墙解决方案 网络攻击检测 对有服务攻击倾向的访问请求,防火墙采取两种方式来处理:禁止或代理对于明确的百害而无一利的数据包如地址欺骗、Ping of Death 等,防火墙会明确地禁止对一些借用正常访问形式发生的攻击,因为不能一概否定,防火墙会启用代理功能,只将正常的数据请求放行防火墙处在最前线的位置,承受攻击分析带来的资源损耗,从而使内部数据服务器免受攻击,专心做好服务 因为防火墙主动承接攻击,或主动分析数据避免攻击,其性能方面有一定的要求完善的解决方案应该是安全产品从技术设计层面、实际应用层面能够承受大工作量下的性能、安全需求 访问控制从外网(互联网或广域网)进入内部网的用户,可以被防火墙有效地进行类别划分,即区分为外部移动办公用户和外部的公共访问者。
防火墙可以允许合法用户的访问以及限制其正常的访问,禁止非法用户的试图访问 限制用户访问的方法,简单讲就是策略控制通过源IP、目的 IP、源应用端口、目的端口等对用户的访问进行区分此外,配合策略控制,还有多种辅助手段增强这种策略控制的灵活性和强度,如日志记录、流量计数、身份验证、时间定义、流量控制等 深信服防火墙的规则设置采取自上而下的传统每条策略可以通过图形化的方式添加、修改、移动、删除,也可以通过 ID 号进行命令行操作一些细小的特性使使用者感到方便,如可以在添加策略的同时定义 Address 等 深信服防火墙支持区域到区域之间、相同区域内、区域到其他所有区域的策略定义,而且其不同的策略种类具有不同的优先级,充分体现出灵活性与实用性 管理方式 任何网络设备都需要合理的管理方式安全产品要求合理的、丰富的管理方式以提供给管理人员正确的配置、快速的分析手段在整体的安全系统中,如果涉及数量较大的产品,集中的产品管理、监控将降低不必要的重复性工作,提高效率并减少失误 流量控制 IP 技术“尽力发送”的服务方式对服务质量控制能力的欠缺是 IP 技术发展的桎梏防火墙作为网络系统的关键位置上其关键作用的关键设备,对各种数据的控制能力是保证服务正常运行的关键。
不同的服务应用其数据流量有不同的特征,突发性强的 FTP、实时性的语音、大流量的视频、关键性的 Telnet 控制等如果防火墙系统不能针对不同的应用做出合理的带宽分配和流量控制,某一个用户的应用会在一定的时间内独占全部或大部分带宽资源,从而导致关键业务流量丢失、实时性业务流量中断等 目前很多 IP 网络设备包括防火墙设备在流量管理上采取了不同的实现方法具有流量管理机制的防火墙设备可以给用户最大的两或控制带宽效率的手段,从而保证服务的连续性、合理性 网络层攻击保护基于安全区段的防火墙保护选项 防火墙用于保护网络的安全,具体做法是先检查要求从一个安全区段到另一区段的通路的所有连接尝试,然后予以允许或拒绝缺省情况下,防火墙拒绝所有方向的所有信息流通过创建策略,定义允许在预定时间通过指定源地点到达指定目的地点的信息流的种类,您可以控制区段间的信息流范围最大时,可以允许所有类型的信息流从一个区段中的任何源地点到其它所有区段中的任何目的地点,而且没有任何预定时间限制范围最小时,可以创建一个策略,只允许一种信息流在预定的时间段内、在一个区段中的指定主机与另一区段中的指定主机之间流动 为保护所有连接尝试的安全,防火墙设备使用了一种动态封包过滤方法,即通常所说的状态式检查。
使用此方法,防火墙设备在 TCP 包头中记入各种不同的信息单元— 源和目的 IP 地址、源和目的端口号,以及封包序列号—并保持穿越防火墙的每个 TCP 会话的状态 (防火墙也会根据变化的元素,如动态端口变化或会话终止,来修改会话状态 )当响应的 TCP 封包到达时,防火墙设备会将其包头中包含的信息与检查表中储存的相关会话的状态进行比较如果相符,允许响应封包通过防火墙如果不相符,则丢弃该封包 防火墙选项用于保护区段的安全,具体做法是先检查要求经过某一接口离开和到达该区域的所有连接尝试,然后予以准许或拒绝为避免来自其它区段的攻击,可以启用防御机制来检测并避开以下常见的网络攻击下列选项可用于具有物理接口的区段(这些选项不适用于子接口):SYN Attack(SYN 攻击) 、ICMP Flood(ICMP 泛滥) 、UDP Flood (UDP 泛滥)和 Port Scan Attack(端口扫描攻击) 对于网络层的攻击,大多数从技术角度无法判断该数据包的合法性,如 SYN flood, UDP flood,通常防火墙采用阀值来控制该访问的流量通常防火墙对这些选项提供了缺省值对于在实际网络上该阀值的确定,通常要对实施防火墙的网络实际情况进行合理的分析,通过对现有网络的分析结果确定最终的设定值。
比如,网络在正常工作的情况下的最大 Syn 数据包值为 3000,考虑到网络突发流量,对现有值增加 20%,则该值作为系统的设定值 在实际应用中,这。