深信服防火墙解决方案

深信服防火墙解决 篇一:深信服下一代防火墙AF_技术白皮_V4.0 深信服下一代防火墙NGAF 技术白皮书 深信服科技有限公司 二零一四年四月 目录 目 录 .................................................................................................................................................. 2 一、 二、 2.1 2.2 概 述 ................................................................................................................................... 4 为什么需要下一代防火 墙 ............................................................................................... 4 网络发展的趋势使防火墙以及传统方案失 效 ........................................................... 4 现有方案缺陷分 析 ................................................................................................. 1 ...... 5 2.2.1 2.2.2 2.2.3 2.2.4 三、 四、 4.1 4.2 单一的应用层设备是否能满 足, ................................................................... 5 “串糖葫芦式 的组合方案” ........................................................................... 5 UTM统一威胁管 理 .......................................................................................... 6 其他品牌下一代防火墙能否解决, ....................................... ........................ 6 深信服下一代防火墙定 位 ............................................................................................... 6 深信服下一代防火墙 —NGAF .......................................................................................... 7 产品理 念 ............................................................................................................... 7 产品功能特 色 ................................................................................................. 2 .............. 7 4.2.1 4.2.2 4.2.3 4.2.4 4.2.5 4.2.6 可视的网络安全情 况 ....................................................................................... 7 强化的应用层攻击防 护 ................................................................................. 12 独特的双向内容检测技 术 ............................................................................. 17 智能的网络安全防御体 系 ............................................................................. 19 更高效的应用层处理能 力 ............................................................................. 20 涵盖传统安全功 能 ......................................................................................... 21 4.3 产品优势技 术 ................................................................................................. ............ 21 4.3.1 3 4.3.2 4.3.3 4.3.4 4.3.5 4.3.6 4.3.7 深度内容解 析 ................................................................................................. 21 双向内容检 测 ................................................................................................. 22 分离平面设 计 ................................................................................................. 22 单次解析架 构 ................................................................................................. 23 多核并行处 理 ................................................................................................. 24 智能联动技 术 ................................................................................................. 24 Regex正则引 擎 .............................................................................................. 24 五、 部属方 式 ................................................................................................. 4 ........................ 25 5.1 5.2 5.3 5.4 六、 互联网出口-内网终端上 网 ........................................................................................ 25 互联网出口-服务器对外发 布 .................................................................................... 26 广 域网边界安全隔 离 ................................................................................................. 26 数据中 心 ................................................................................................. .................... 27 关于深信 服 ................................................................................................. .................... 27 一、 概述 防火墙自诞生以来，在网络安全防御系统中就建立了不可 替代的地位。作为边界网络安全的第一道关卡防火墙经历了 包过滤技术、代理技术和状态监视技术的技术革命，通过 ACL访问控制策略、NAT地址转换策略以及抗网络攻击策 5 略有效的阻断了一切未被明确允许的包通过，保护了网络的安全。防火墙就像机场的安检部门，对进出机场/防火墙的一切包裹/数据包进行检查，保证合法包裹/数据包能够进入机场/网络访问合法资源同时防止非法人员通过非法手段进入机场/网络或干扰机场/网络的正常运行。传统的防火墙正如机场安检人员，通过有限的防御方式对风险进行防护，成本高，效率低，安全防范手段有限。而下一代防火墙则形如机场的整体安检系统，除了包括原有的安检人员/传统防火墙功能外，还引入了先进的探测扫描仪/深度内容安全检测构成一套完整的整体安全防护体系。自2009年10月Gartner提出“Defining the Next-Generation Firewall”一文，重新定义下一代防火墙，下一代防火墙的概念在业内便得到了普遍的认可。深信服也在经过10年网络安全技术6年的应用安全技术沉淀之后，于2011年正式发布深信服“下一代防火墙”——NGAF。 二、 为什么需要下一代防火墙 2.1 网络发展的趋势使防火墙以及传统方案失效 近几年来，越来越多的安全事故告诉我们，安全风险比以往更加难以察觉。随着网络安全形势逐渐恶化，网络攻击愈加频繁，客户对自己的网络安全建设变得越来越不自信。到底怎么加强安全建设,安全建设的核心问题是什么,采用什么安全防护手段更为合适,已成为困扰用户安全建设的 6 关键问题。 问题一:看不看得到真正的风险, 一方面，只有看到L2-7层的攻击才能了解网络的整体安全状况，而基于多产品组合方案大多数用户没有办法进行统一分析，也就无法快速定位安全问题，同时也加大了安全运维的工作量。另一方面，没有攻击并不意味着业务就不存在漏洞，一旦漏洞被利用就为时已晚。好的解决方案应能及时发现业务漏洞，防患于未然。最后，即使有大量的攻击也不意味着业务安全威胁很大，只有针对真实存在的业务漏洞进行的攻击才是有效攻击。看不到有效攻击的方案，就无法让客户看到网络和业务的真实的安全情况。 问题二:防不防得住潜藏的攻击, 一方面，防护技术不能存在短板，存在短板必然会被绕过，原有设备就形同虚设;另一 方面，单纯防护外部黑客对内网终端和服务器的攻击是不够的，终端和服务器主动向外发起的流量中是否存在攻击行为和泄密也需要检测，进而才能找到黑客针对内网的控制通道，同时发现泄密的风险，最后通过针对性的安全防护技术加以防御。 综上所述，真正能看到攻击与业务漏洞，及时查漏补缺，并能及时防住攻击才是最有效的解决方案。那么基于攻击特征防护的传统解决方案是否真的能够达到要求呢, 7 2.2 现有方案缺陷分析 2.2.1 单一的应用层设备是否能满足, 1、入侵防御设备 应用安全防护体系不完善，只能针对操作系统或者应用软件的底层漏洞进行防护，缺乏针对Web攻击威胁的防御能力，对Web攻击防护效果不佳。缺乏攻击事后防护机制，不具备数据的双向内容检测能力，对未知攻击产生的后果无能为力，如入侵防御设备无法应对来自于web网页上的SQL，XSS漏洞，无法防御来自内网的敏感信息泄露或者敏感文件过滤等等。 2、Web应用防火墙 传统Web防火墙面对当前复杂的业务流量类型处理性能有限，且只针对来自Web的攻击防护，缺乏针对来自应用系统底层漏洞的攻击特征，缺乏基于敏感业务内容的保护机制，只能提供简单的关键字过滤功能，无法对Web业务提供L2-L7层的整体安全防护。 2.2.2 “串糖葫芦式的组合方案” 由于防火墙功能上的缺失使得企业在网络安全建设的时候针对现有多样化的攻击类型采取了打补丁式的设备叠加方案，形成了“串糖葫芦”式部署。通常我们看到的网络安全规划方案的时候都会以防火墙+入侵防御系统+网关杀毒+??的形式。这种方式在一定程度上能弥补防火墙功能单一的缺陷，对网络中存在的各类攻击形成了似乎全面的防护。但在 8 这种环境中，管理人员通常会遇到如下的困难: 一，有几款设备就可以看到几种攻击，但是是割裂的难以对安全日志进行统一分析;有攻击才能发现问题，在没有攻击的情况下，就无法看到业务漏洞，但这并不代表业务漏洞不存在;即使发现了攻击，也无法判断业务系统是否真正存在安全漏洞，还是无法指导客户进行安全建设; 二，有几种设备就可以防护几种攻击，但大部分客户无法全部部署，所以存在短板;即使全部部署，这些设备也不对服务器和终端向外主动发起的业务流进行防护，在面临新的未 篇二:2015-4-14传统防火墙解决方案 第1章 综述 1.1 前言 随着计算机技术和通信技术的飞速发展，信息化浪潮席卷全球，一种全新的先进生产力的出现已经把人类带入了一个新的时代。信息技术的发展极大地改变了人们的生活、工作模式，网上新闻、网上购物、远程教育、电子商务等等各种应用层出不穷，世界各地的信息资源得到了高度的共享。这充分显示出信息化对社会生产力的巨大变革作用。 1.2 深信服的安全理念 网络安全可以分为数据安全和服务安全两个层次。数据安全是防止信息被非法探听;服务安全是使网络系统提供不间 9 断的通畅的对外服务。从严格的意义上讲，只有物理上完全隔离的网络系统才是安全的。但为了实际生产以及信息交换的需要，采用完全隔离手段保障网络安全很少被采用。在有了对外的联系之后，网络安全的目的就是使不良用心的人窃听数据、破坏服务的成本提高到他们不能承受的程度。这里的成本包括设备成本、人力成本、时间成本等多方面的因素。 为提高恶意攻击者的攻击成本，深信服的安全理念提供了多层次、多深度的防护体系，。 第2章 防火墙解决方案 2.1 网络攻击检测 对有服务攻击倾向的访问请求，防火墙采取两种方式来处理:禁止或代理。对于明确的百害而无一利的数据包如地址欺骗、Ping of Death等，防火墙会明确地禁止。对一些借用正常访问形式发生的攻击，因为不能一概否定，防火墙会启用代理功能，只将正常的数据请求放行。防火墙处在最前线的位置，承受攻击分析带来的资源损耗，从而使内部数据服务器免受攻击，专心做好服务。 因为防火墙主动承接攻击，或主动分析数据避免攻击，其性能方面有一定的要求。完善的解决方案应该是安全产品从技术设计层面、实际应用层面能够承受大工作量下的性能、安全需求。 2.2 访问控制 10 从外网(互联网或广域网)进入内部网的用户，可以被防火墙有效地进行类别划分，即区分为外部移动办公用户和外部的公共访问者。防火墙可以允许合法用户的访问以及限制其正常的访问，禁止非法用户的试图访问。 限制用户访问的方法，简单讲就是策略控制。通过源IP、目的IP、源应用端口、目的端口等对用户的访问进行区分。此外，配合策略控制，还有多种辅助手段增强这种策略控制的灵活性和强度，如日志、流量计数、身份验证、时间定义、流量控制等。 深信服防火墙的规则设置采取自上而下的传统。每条策略可以通过图形化的方式添加、修改、移动、删除，也可以通过ID号进行命令行操作。一些细小的特性使使用者感到方便，如可以在添加策略的同时定义Address等。 深信服防火墙支持区域到区域之间、相同区域内、区域到其他所有区域的策略定义，而且其不同的策略种类具有不同的优先级，充分体现出灵活性与实用性。 2.3 管理方式 任何网络设备都需要合理的管理方式。安全产品要求合理的、丰富的管理方式以提供给管理人员正确的配置、快速的分析手段。在整体的安全系统中，如果涉及数量较大的产品，集中的产品管理、监控将降低不必要的重复性工作，提高效率并减少失误。 11 2.4 流量控制 IP技术“尽力发送”的服务方式对服务质量控制能力的欠缺是IP技术发展的桎梏。防火墙作为网络系统的关键位置上其关键作用的关键设备，对各种数据的控制能力是保证服务正常运行的关键。不同的服务应用其数据流量有不同的特征，突发性强的FTP、实时性的语音、大流量的视频、关键性的Telnet控制等。如果防火墙系统不能针对不同的应用做出合理的带宽分配和流量控制，某一个用户的应用会在一定的时间内独占全部或大部分带宽资源，从而导致关键业务流量丢失、实时性业务流量中断等。 目前很多IP网络设备包括防火墙设备在流量管理上采取了不同的实现方法。具有流量管理机制的防火墙设备可以给用户最大的两或控制带宽效率的手段，从而保证服务的连续性、合理性。 2.5 网络层攻击保护 基于安全区段的防火墙保护选项 防火墙用于保护网络的安全，具体做法是先检查要求从一个安全区段到另一区段的通路的所有连接尝试，然后予以允许或拒绝。缺省情况下，防火墙拒绝所有方向的所有信息流。通过创建策略，定义允许在预定时间通过指定源地点到达指定目的地点的信息流的种类，您可以控制区段间的信息流。范围最大时，可以允许所有类型的信息流从一个区段中的任 12 何源地点到其它所有区段中的任何目的地点，而且没有任何预定时间限制。范围最小时，可以创建一个策略，只允许一种信息流在预定的时间段内、在一个区段中的指定主机与另一区段中的指定主机之间流动。 为保护所有连接尝试的安全，防火墙设备使用了一种动态封包过滤方法，即通常所说的状态式检查。使用此方法，防火墙设备在TCP 包头中记入各种不同的信息单元— 源和目的IP 地址、源和目的端口号，以及封包序列号—并保持穿越防火墙的每个TCP 会话的状态。(防火墙也会根据变化的元素，如动态端口变化或会话终止，来修改会话状态。)当响应的TCP 封包到达时，防火墙设备会将其包头中包含的信息与检查表中储存的相关会话的状态进行比较。如果相符，允许响应封包通过防火墙。如果不相符，则丢弃该封包。 防火墙选项用于保护区段的安全，具体做法是先检查要求经过某一接口离开和到达该区域的所有连接尝试，然后予以准许或拒绝。为避免来自其它区段的攻击，可以启用防御机制来检测并避开以下常见的网络攻击。下列选项可用于具有物理接口的区段(这些选项不适用于子接口):SYN Attack(SYN 攻击)、ICMP Flood(ICMP 泛滥)、UDP Flood (UDP 泛滥)和Port Scan Attack(端口扫描攻击)。 对于网络层的攻击，大多数从技术角度无法判断该数据包的合法性，如SYN flood, UDP flood，通常防火墙采用阀值 13 来控制该访问的流量。通常防火墙对这些选项提供了缺省值。对于在实际网络上该阀值的确定，通常要对实施防火墙的网络实际情况进行合理的分析，通过对现有网络的分析结果确定最终的设定值。比如，网络在正常工作的情况下的最大Syn数据包值为3000，考虑到网络突发流量，对现有值增加20%，则该值作为系统的设定值。 在实际应用中，这些参数要随时根据网络流量情况进行动态监控的更新。 第3章 深信服防火墙的典型部署及应用 3.1 高可靠全链路冗余应用环境 电信网络和许多骨干网络的可靠性要求很高，不允许出现因为设备的故障造成网络的不可用，因此在电信网络和骨干网络中加入防火墙的时候也必须考虑到这个问题，下图为深信服防火墙在骨干网络中应用的例子。 正常情况下两台防火墙均处于工作状态，可以分别承担相应链路的网络通讯。当其中一台防火墙发生意外宕机、网络故障、硬件故障等情况时，该防火墙的网络通讯自动切换到另外一台防火墙，从而保证了网络的正常使用。切换过程不需要人为操作和其他系统的参与，切换时间可以以秒计算。同时，防火墙之间的其中一条链路用于实现状态表传送，当一台防火墙故障时，这台防火墙上的连接可以透明的、完整的迁移到另一台防火墙上，用户不会觉察到有任何变化。防火墙之间的另外一条链路用于数据通讯，增加网络链路的冗 14 余，增强可靠性。 3.2 旁路环境下双机热备环境 本环境防火墙部署是在大型数据中心(IDC)经常使 用的方案，利用交换机划分VLAN的功能，相当于将交换机 模块根据不同的VLAN分成几个交换模块使用，一个VLAN连接在防火墙的外部接口和上联路由器的接口，另外几个 VLAN连接内部网和防火墙的内部接口。所有外部流量从路 由器接口进入交换机然后通过二层交换直接进入防火墙的 外部接口，经过防火墙的内部接口后在进入交换机，最后进 入内部核心网络。 3.3 骨干网内网分隔环境 据赛迪(CCID)统计报告，网络攻击有70% 以上来自于企业内部，因此，保护公司网络 篇三:下一代防火墙解决方案 下一代防火墙解决方案 目 录 1 网络现 状................................................................................................... .................................... 3 2 解决方 案................................................................................................... .................................... 9 15 2.1 网络设备部署 图 ............................................................................................................... 9 2.2 部署说 明 ........................................................................................................................... 9 2.3 解决方案详 述 ................................................................................................................... 9 2.3.1 流量管 理 ............................................................................................................. 10 2.3.2 应用控 制 ............................................................................................................. 12 2.3.3 网络安 全 ............................................................................................................. 12 3 报 价 ............................................................................................................................................ 25 1 网络现状 16 随着网络技术的快速发展，现在我们对网络安全的关注越来越重视。近几年来，计算机和网络攻击的复杂性不断上升，使用传统的防火墙和入侵检测系统(IDS)越来越难以检测和阻挡。漏洞的发现和黑客利用漏洞之间的时间差也变得越来越短，使得IT和安全人员得不到充分的时间去测试漏洞和更新系统。随着病毒、蠕虫、木马、后门和混合威胁的泛滥，内容层和网络层的安全威胁正变得司空见惯。复杂的蠕虫和邮件病毒诸如Slammer、Blaster、Sasser、Sober、MyDoom等在过去几年经常成为头条新闻，它们也向我们展示了这类攻击会如何快速的传播——通常在几个小时之内就能席卷全世界。 许多黑客正监视着软件提供商的补丁公告，并对补丁进行简单的逆向工程，由此来发现漏洞。下图举例说明了一个已知漏洞及相应补丁的公布到该漏洞被利用之间的天数。需要注意的是，对于最近的一些攻击，这一时间已经大大缩短了。 IT和安全人员不仅需要担心已知安全威胁，他们还不得不集中精力来防止各种被称之为“零小时”(zero-hour)或“零日”(zero-day)的新的未知的威胁。为了对抗这种新的威胁，安全技术也在不断进化，包括深度包检测防火墙、应用网关防火墙、内容过滤、反垃圾邮件、SSL VPN、基于网络的防病毒和入侵防御系统(IPS)等新技术不断被应用。但是黑客的动机正在从引起他人注意向着获取经济利益转移，我们 17 可以看到一些更加狡猾的攻击方式正被不断开发出来，以绕过传统的安全设备，而社会工程(social engineering)陷阱也成为新型 攻击的一大重点。 图:系统漏洞被黑客利用的速度越来越快 带有社会工程陷阱元素的攻击包括间谍软件、网络欺诈、基于邮件的攻击和恶意Web站点等。这些攻击设计为欺骗用户暴露敏感信息，下载和安装恶意程序、跟踪软件或运行恶意代码。很多这类攻击设计为使用传统的浏览器或Email技术(如ActiveX、XML、SMTP等)，并伪装为合法应用，因此传统的安全设备很难加以阻挡。现在比以往任何时候都更需要先进的检测和安全技术。 传统的防火墙系统 状态检测防火墙原本是设计成一个可信任企业网络和不可信任的公共网络之间的安全隔离设备，用以保证企业的互联网安全。状态检测防火墙是通过跟踪会话的发起和状态来工作的。通过检查数据包头，状态检测防火墙分析和监视网络层(L3)和协议层(L4)，基于一套用户自定义的防火墙策略来允许、拒绝或转发网络流量。 传统防火墙的问题在于黑客已经研究出大量的方法来绕过防火 墙策略。这些方法包括: 18 ? 利用端口扫描器的探测可以发现防火墙开放的端口。 ? 攻击和探测程序可以通过防火墙开放的端口穿越防火墙。如MSN、QQ等IM(即时通信)工具均可通过80端口通信，BT、电驴、Skype等P2P软件的通信端口是随机变化的，使得传统防火墙的端口过滤功能对他们无能为力。SoftEther等软件更可以将所有TCP/IP通讯封装成HTTPS数据包发送，使用传统的状态检测防火墙简直防不胜防。 SoftEther可以很轻易的穿越传统防火墙 ? PC上感染的木马程序可以从防火墙的可信任网络发起攻击。由于会话的发起方来自于内部，所有来自于不可信任网络的相关流量都会被防火墙放过。当前流行的从可信任网络发起攻击应用程序包括后门、木马、键盘记录工具等，它们产生非授权访问或将私密信息发送给攻击者。 ? 较老式的防火墙对每一个数据包进行检查，但不具备检查包负 相关热词搜索:深信 防火墙 解决方案 深信服防火墙配置 深信服防火墙产品 19