深信服下一代防火墙NGAF 技术
\r \r \r \r \r \r \r
深信服科技有限公司 www.sangfor.com 二零一四年四月
1\r /\r 28\r
\r \r \r \r \r \r \r \r
\r NGAF技术文档密级:公开
目录\r
目录\r .................................................................................................................................................\r 2\r 一、\r 二、\r
2.1\r 2.2\r
概述\r ..................................................................................................................................\r 4\r 为什么需要下一代防火墙\r ..............................................................................................\r 4\r 网络发展的趋势使防火墙以及传统方案失效\r ..........................................................\r 4\r 现有方案缺陷分析\r ......................................................................................................\r 5\r 2.2.1\r 2.2.2\r 2.2.3\r 2.2.4\r
三、\r 四、\r
4.1\r 4.2\r
单一的应用层设备是否能满足?\r ..................................................................\r 5\r “串糖葫芦式的组合方案”\r ..........................................................................\r 5\r UTM统一威胁管理\r .........................................................................................\r 6\r 其他品牌下一代防火墙能否解决?\r ..............................................................\r 6\r
深信服下一代防火墙定位\r ..............................................................................................\r 6\r 深信服下一代防火墙—NGAF\r .........................................................................................\r 7\r 产品设计理念\r ..............................................................................................................\r 7\r 产品功能特色\r ..............................................................................................................\r 7\r 4.2.1\r 4.2.2\r 4.2.3\r 4.2.4\r 4.2.5\r 4.2.6\r
可视的网络安全情况\r ......................................................................................\r 7\r 强化的应用层攻击防护\r ................................................................................\r 12\r 独特的双向内容检测技术\r ............................................................................\r 17\r 智能的网络安全防御体系\r ............................................................................\r 19\r 更高效的应用层处理能力\r ............................................................................\r 20\r 涵盖传统安全功能\r ........................................................................................\r 21\r
4.3\r 产品优势技术\r ............................................................................................................\r 21\r 4.3.1\r 4.3.2\r 4.3.3\r 4.3.4\r 4.3.5\r 4.3.6\r 4.3.7\r
深度内容解析\r ................................................................................................\r 21\r 双向内容检测\r ................................................................................................\r 22\r 分离平面设计\r ................................................................................................\r 22\r 单次解析架构\r ................................................................................................\r 23\r 多核并行处理\r ................................................................................................\r 24\r 智能联动技术\r ................................................................................................\r 24\r Regex正则引擎\r .............................................................................................\r 24\r
五、\r 部属方式\r ........................................................................................................................\r 25\r
\r 2\r /\r 28\r
NGAF技术文档密级:公开
5.1\r 5.2\r 5.3\r 5.4\r 六、\r \r
互联网出口-‐内网终端上网\r .......................................................................................\r 25\r 互联网出口-‐服务器对外发布\r ...................................................................................\r 26\r 广域网边界安全隔离\r ................................................................................................\r 26\r 数据中心\r ....................................................................................................................\r 27\r 关于深信服\r ....................................................................................................................\r 27\r
\r 3\r /\r 28\r
NGAF技术文档密级:公开
一、 概述\r
\r
防火墙自诞生以来,在网络安全防御系统中就建立了不可替代的地位。作为边界网络安全的第一道关卡防火墙经历了包过滤技术、代理技术和状态监视技术的技术,通过ACL访问控制策略、NAT地址转换策略以及抗网络攻击策略有效的阻断了一切未被明确允许的包通过,保护了网络的安全。防火墙就像机场的安检部门,对进出机场/防火墙的一切包裹/数据包进行检查,保证合法包裹/数据包能够进入机场/网络访问合法资源同时防止非法人员通过非法手段进入机场/网络或干扰机场/网络的正常运行。传统的防火墙正如机场安检人员,通过有限的防御方式对风险进行防护,成本高,效率低,安全防范手段有限。而下一代防火墙则形如机场的整体安检系统,除了包括原有的安检人员/传统防火墙功能外,还引入了先进的探测扫描仪/深度内容安全检测构成一套完整的整体安全防护体系。自2009年10月Gartner提出“Defining\r the\r Next-‐Generation\r Firewall”一文,重新定义下一代防火墙,下一代防火墙的概念在业内便得到了普遍的认可。深信服也在经过10年网络安全技术6年的应用安全技术沉淀之后,于2011年正式发布深信服“下一代防火墙”——NGAF。\r \r
二、 为什么需要下一代防火墙\r
2.1 网络发展的趋势使防火墙以及传统方案失效\r
近几年来,越来越多的安全事故告诉我们,安全风险比以往更加难以察觉。随着网络安全形势逐渐恶化,网络攻击愈加频繁,客户对自己的网络安全建设变得越来越不自信。到底怎么加强安全建设?安全建设的核心问题是什么?采用什么安全防护手段更为合适?已成为困扰用户安全建设的关键问题。\r
问题一:看不看得到真正的风险?\r
一方面,只有看到L2-‐7层的攻击才能了解网络的整体安全状况,而基于多产品组合方案大多数用户没有办法进行统一分析,也就无法快速定位安全问题,同时也加大了安全运维的工作量。另一方面,没有攻击并不意味着业务就不存在漏洞,一旦漏洞被利用就为时已晚。好的解决方案应能及时发现业务漏洞,防患于未然。最后,即使有大量的攻击也不意味着业务安全威胁很大,只有针对真实存在的业务漏洞进行的攻击才是有效攻击。看不到有效攻击的方案,就无法让客户看到网络和业务的真实的安全情况。\r
问题二:防不防得住潜藏的攻击?\r
一方面,防护技术不能存在短板,存在短板必然会被绕过,原有设备就形同虚设;另一
\r 4\r /\r 28\r
NGAF技术文档密级:公开
方面,单纯防护外部黑客对内网终端和服务器的攻击是不够的,终端和服务器主动向外发起的流量中是否存在攻击行为和泄密也需要检测,进而才能找到黑客针对内网的控制通道,同时发现泄密的风险,最后通过针对性的安全防护技术加以防御。\r
综上所述,真正能看到攻击与业务漏洞,及时查漏补缺,并能及时防住攻击才是最有效的解决方案。那么基于攻击特征防护的传统解决方案是否真的能够达到要求呢?\r
2.2 现有方案缺陷分析\r
2.2.1
\r \r
单一的应用层设备是否能满足?\r \r
1、入侵防御设备\r
应用安全防护体系不完善,只能针对操作系统或者应用软件的底层漏洞进行防护,缺乏
针对Web攻击威胁的防御能力,对Web攻击防护效果不佳。缺乏攻击事后防护机制,不具备数据的双向内容检测能力,对未知攻击产生的后果为力,如入侵防御设备无法应对来自于web网页上的SQL,XSS漏洞,无法防御来自内网的敏感信息泄露或者敏感文件过滤等等。\r \r \r
2、Web应用防火墙\r
传统Web防火墙面对当前复杂的业务流量类型处理性能有限,且只针对来自Web的攻
击防护,缺乏针对来自应用系统底层漏洞的攻击特征,缺乏基于敏感业务内容的保护机制,只能提供简单的关键字过滤功能,无法对Web业务提供L2-‐L7层的整体安全防护。\r
2.2.2 “串糖葫芦式的组合方案”\r
由于防火墙功能上的缺失使得企业在网络安全建设的时候针对现有多样化的攻击类型采取了打补丁式的设备叠加方案,形成了“串糖葫芦”式部署。通常我们看到的网络安全规划方案的时候都会以防火墙+入侵防御系统+网关杀毒+……的形式。这种方式在一定程度上能弥补防火墙功能单一的缺陷,对网络中存在的各类攻击形成了似乎全面的防护。但在这种环境中,管理人员通常会遇到如下的困难:\r
一,有几款设备就可以看到几种攻击,但是是割裂的难以对安全日志进行统一分析;有攻击才能发现问题,在没有攻击的情况下,就无法看到业务漏洞,但这并不代表业务漏洞不存在;即使发现了攻击,也无法判断业务系统是否真正存在安全漏洞,还是无法指导客户进行安全建设;\r
二,有几种设备就可以防护几种攻击,但大部分客户无法全部部署,所以存在短板;即使全部部署,这些设备也不对服务器和终端向外主动发起的业务流进行防护,在面临新的未
\r 5\r /\r 28\r
NGAF技术文档密级:公开
知攻击的情况下缺乏有效防御措施,还是存在被绕过的风险。\r
2.2.3
\r
UTM统一威胁管理\r
2004年IDC推出统一威胁管理UTM的概念。这种设备的理念是将多个功能模块集中如:
FW、IPS、AV,联合起来达到统一防护,集中管理的目的。这无疑给安全建设者们提供了更新的思路。\r \r
事实证明国内市场UTM产品确实得到用户认可,据IDC统计数据09年UTM市场增长
迅速,但2010年UTM的增长率同比有明显的下降趋势。这是因为UTM设备仅仅将FW、IPS、AV进行简单的整合,传统防火墙安全与管理上的问题依然存在,比如缺乏对WEB服务器的有效防护等;另外,UTM开启多个模块时是串行处理机制,一个数据包先过一个模块处理一遍,再重新过另一个模块处理一遍,一个数据要经过多次拆包,多次分析,性能和效率使得UTM难以令人信服。Gartner认为“UTM安全设备只适合中小型企业使用,而NGFW才适合员工大于1000人以上规模的大型企业使用。”\r
2.2.4 其他品牌下一代防火墙能否解决?\r
大部分下一代防火墙只能看到除web攻击外的大部分攻击,极少部分下一代防火墙能够看到简单的WEB攻击,但均无法看到业务的漏洞。攻击和漏洞无法关联就很难确定攻击的真实性;另外,大部分下一代防火墙防不住web攻击,也不对服务器/终端主动向外发起的业务流进行防护,比如信息泄露、僵尸网络等,应对未知攻击的方式比较单一,只通过简单的联动防护,仍有被绕过的风险。\r
三、 深信服下一代防火墙定位\r
全球最具权威的IT研究与顾问咨询公司——Gartner,在2009年发布了一份名为《Defining\r the\r Next-‐Generation\r Firewall》的文章,给出了真正能够满足用户当前安全需求的下一代防火墙定义:下一代防火墙是一种深度包检测防火墙,超越了基于端口、协议的检测和阻断,增加了应用层的检测和入侵防护,下一代防火墙不应该与的网络入侵检测系统混为一谈,后者只包含了日常的或是非企业级的防火墙,或者把防火墙和IPS简单放到一个设备里,整合的并不紧密。\r
结合目前国内的互联网安全环境来看,更多的安全事件是通过Web层面的设计漏洞被黑客利用所引发。据统计,国内用户上网流量与对外发布业务流量混合在一起的比例超过50%。
以为例,60%以上的单位门户网站和用户上网是共用电子政务的线路。在这种场景下,如果作为出口安全网关的防火墙不具备Web应用防护能力,那么在新出现的APT攻击的大环
\r 6\r /\r 28\r
NGAF技术文档密级:公开
境下,现有的安全设备很容易被绕过,形同虚设,下一代防火墙做为一款融合型的安全产品,不能存针对基于Web的应用安全短板。做为国内下一代防火墙产品的领导者,和第二代
防火墙标准制定的参与者,深信服走在前沿,在产品推出伊始就把Web应用防护这个基因深深地植入到深信服下一代防火墙当中,深信服下一代防火墙(Next-‐Generation\r Application\r Firewall)NGAF面向应用层设计,能够精确识别用户、应用和内容,具备完整的L2-‐L7层的安全防护体系,强化了在Web层面的应用防护能力,不仅能够全面替代传统防火墙,并具在开启安全功能的情况下还保持有强劲应用层处理能力的全新网络安全设备。\r
四、 深信服下一代防火墙—NGAF\r \r
4.1 产品设计理念\r
更精细的应用层安全控制:\r \r l\r l\r l\r l\r
贴近国内应用、持续更新的应用识别规则库\r
识别内超过1500多种应用、3000多种动作(截止2014年2月14日)\r 支持包括AD域、Radius等8种用户身份识别方式\r 面向用户与应用策略配置,减少错误配置的风险\r
更全面的内容级安全防护:\r \r l\r l\r l\r
基于攻击过程的服务器保护,防御黑客扫描、入侵、破坏三步曲\r
强化的WEB应用安全,支持多种SQL注入防范、XSS攻击、CSRF、权限控制等\r 完整的终端安全保护,支持漏洞、病毒防护等\r \r 双向内容检测,功能防御策略智能联动\r 更高性能的应用层处理能力:\r l\r l\r \r l\r
单次解析架构实现报文一次拆解和匹配\r 多核并行处理技术提升应用层分析速度\r Regex正则表达引擎提升规则解析效率\r 全新技术架构实现应用层万兆处理能力\r
更完整的安全防护方案\r l\r
可替代传统防火墙/VPN、IPS所有功能,实现内核级联动\r
4.2 产品功能特色\r
4.2.1
可视的网络安全情况\r
\r 7\r /\r 28\r
NGAF技术文档密级:公开
\r NGAF独创的应用可视化技术,可以根据应用的行为和特征实现对应用的识别和控制,
而不仅仅依赖于端口或协议,摆脱了过去只能通过IP地址来控制的尴尬,即使加密过的数据流也能应付自如。目前,NGAF的应用可视化引擎不但可以识别1200多种的内应用及其2700多种应用动作,还可以与多种认证系统(AD、LDAP、Radius等)、应用系统(POP3、SMTP等)无缝对接,自动识别出网络当中IP地址对应的用户信息,并建立组织的用户分组结构;既满足了普通互联网边界行为管控的要求,同时还满足了在内网数据中心和广域网边界的部署要求,可以识别和控制丰富的内网应用,如Lotus\r Notes、RTX、Citrix、Oracle\r EBS、金蝶EAS、SAP、LDAP等,针对用户应用系统更新服务的诉求,NGAF还可以精细识别Microsoft、360、Symantec、Sogou、Kaspersky、McAfee、金山毒霸、江民杀毒等软件更新,保障在安全管控严格的环境下,系统软件更新服务畅通无阻。\r \r
因此,通过应用可视化引擎制定的L4-‐L7一体化应用控制策略,\r 可以为用户提供更加精
细和直观化控制界面,在一个界面下完成多套设备的运维工作,提升工作效率。\r 4.2.1.1 可视化的网络应用\r \r
随着网络攻击不断向应用层业务系统转移,传统的网络层防火墙已经不能有效实施防
护。因此,作为企业网络中最重要的屏障,如何帮助用户实现针对所有业务的安全可视化变得十分重要。NGAF以精确的应用识别为基础,可以帮助用户恢复对网络中各类流量的掌控,阻断或控制不当操作,根据企业自身状况合理分配带宽资源等。\r \r \r
NGAF的应用识别有以下几种方式:\r
第一,基于协议和端口的检测仅仅是第一步(传统防火墙做法)。固定端口小于1024的
协议,其端口通常是相对稳定,可以根据端口快速识别应用。\r \r
第二,基于应用特征码的识别,深入读取IP包载荷的内容中的OSI七层协议中的应用
层信息,将解包后的应用信息与后台特征库进行比较来确定应用类型。\r \r
第三,基于流量特征的识别,不同的应用类型体现在会话连接或数据流上的状态各有不
同,例如,基于P2P下载应用的流量模型特点为平均包长都在450字节以上、下载时间长、连接速率高、首选传输层协议为TCP等;NGAF基于这一系列流量的行为特征,通过分析会话连接流的包长、连接速率、传输字节量、包与包之间的间隔等信息来鉴别应用类型。\r 4.2.1.2 可视化的业务和终端安全\r
NGAF可对经过设备的流量进行实时流量分析,相比主动漏洞扫描工具或者是市场的漏扫设备,被动漏洞分析最大的优势就在于能实时发现客户网络环境的安全缺陷,且不会给网
\r 8\r /\r 28\r
NGAF技术文档密级:公开
络产生额外的流量。此模块设计的初衷就是希望能够实时发现和跟踪网络中存在的主机、服务和应用,发现服务器软件的漏洞,实时分析用户网络中存在的安全问题,为用户展现AF的安全防护能力。实时漏洞分析功能主要可以帮助用户从以下几个方面来被动的对经过的流量进行分析:\r
ü 底层软件漏洞分析\r
实时分析网络流量,发现网络中存在漏洞的应用,把漏洞的危害和解决方法通过日志和报表进行展示,支持的应用包括:HTTP服务器(Apache、IIS),FTP服务器(FileZilla),Mail服务器(Exchange),Realvnc,OpenSSH,Mysql,DB,SQL,Oracle等\r ü Web应用风险分析\r
针对用户WEB应用系统中存在的如下风险和安全问题进行分析:\r
1.SQL注入、文件包含、命令执行、文件上传、XSS攻击、目录穿越、webshell;\r 2.发现网站/OA存在的设计问题,包括:\r a)在HTTP请求中直接传SQL语句;\r b)在HTTP请求中直接传javascript代码;\r
c)\r URL包含敏感信息:如user、username、pass、password、session、jsessionid、\r sessionid等;\r
3.支持第三方插件的漏洞检测,如:媒体库插件jplayer,论坛插件\r discuz,网页编辑器\r fckeditor,freetextbox,ewebeditor,webhtmleditor,kindeditor等\r ü Web不安全配置检测\r
各种应用服务的默认配置存在安全隐患,容易被黑客利用,例如,SQL\r Server\r 的默认安装,就具有用户名为sa,密码为空的管理员帐号。不安全的默认配置,管理员通常难以发觉,并且,随着服务的增多,发现这些不安全的配置就更耗人力。\r
NGAF支持常用Web服务器不安全配置检测,如Apache的httpd.conf配置文件,IIS的metabase.xml配置文件,nginx的web.xml和\r nginx.conf配置文件,Tomcat的server.xml配置文件,PHP的php.ini配置文件等等,同时也支持操作系统和数据库配置文件的不安全配置检测,如Windows的ini文件,Mysql的my.ini,Oracle的sqlnet.ora等等。\r ü 弱口令检测\r
支持FTP,POP3,SMTP,Telnet,Web,Mysql,LDAP,AD域等协议或应用的弱口令检查。\r
\r 9\r /\r 28\r
NGAF技术文档密级:公开
另外,NGAF还提供强大的综合风险报表功能。能够从业务和用户两个维度来对可网络中的安全状况进行全面评估,区分检测到的攻击和其中真正有效的攻击次数,并针对攻击类型,漏洞类型和威胁类型进行详细的分析给提供相应的解决建议,同时还能够针对预先定义好的业务系统进行威胁分析,还原给客户一个网络真实遭受到安全威胁的情况。\r 4.2.1.3 智能用户身份识别\r \r
网络中的用户并不一定需要平等对待,通常,许多企业策略仅仅是允许某些IP段访问
网络及网络资源。NGAF提供基于用户与用户组的访问控制策略,它使管理员能够基于各个用户和用户组(而不是仅仅基于\r IP\r 地址)来查看和控制应用使用情况。在所有功能中均可获得用户信息,包括应用访问控制策略的制定和安全防护策略创建、取证调查和报表分析。\r \r \r
1、映射组织架构\r
NGAF可以按照组织的行政结构建立树形用户分组,将用户分配到指定的用户组中,以
实现网络访问权限的授予与继承。用户创建的过程简单方便,除手工输入帐户方式外,NGAF能够根据OU或Group读取AD域控服务器上用户组织结构,并保持与AD的自动同步,方便管理员管理。\r \r
此外,NGAF支持账户自动创建功能,依据管理员分配好的IP段与用户组的对应关系,
基于新用户的源IP地址段自动将其添加到指定用户组、同时绑定IP/MAC,并继承管理员指定的网络权限。管理员亦可将用户信息编辑成Excel、TXT文件,将账户导入,实现快捷的创建用户和分组信息。\r \r
2、建立身份认证体系\r
ü 本地认证:Web认证、用户名/密码认证、IP/MAC/IP-‐MAC绑定\r ü 第三方认证:AD、LDAP、Radius、POP3、PROXY等;\r ü 单点登录:AD、POP3、Proxy、HTTP\r POST等;\r
ü 强制认证:强制指定IP段的用户必须使用单点登录(如必须登录AD域等)\r \r
丰富的认证方式,帮助组织管理员有效区分用户,建立组织身份认证体系,进而形成树
形用户分组,映射组织行政结构,实现用户与资源的一一对应。\r \r
NGAF支持为未认证通过的用户分配受限的网络访问权限,将通过Web认证的用户重定
向至显示指定网页,方便组织管理员发布通知。\r 4.2.1.4 面向用户与应用的访问控制策略\r \r
当前的网络环境,IP不等于用户,端口不等于应用。而传统防火墙的基于IP/端口的控
\r 10\r /\r 28\r
NGAF技术文档密级:公开
制策略就会失效,用户可以轻易绕过这些策略,不受控制的访问互联网资源及数据中心内容,带来巨大的安全隐患。\r \r
NGAF不仅具备了精确的用户和应用的识别能力,还可以针对每个数据包找出相对应的
用户角色和应用的访问权限。通过将用户信息、应用识别有机结合,提供角色为应用和用户的可视化界面,真正实现了由传统的“以设备为中心”到“以用户为中心”的应用管控模式转变。帮助管理者实施针对何人、何时、何地、何种应用动作、何种威胁等度的控制,制定出L4-‐L7层一体化基于用户应用的访问控制策略,而不是仅仅看到IP地址和端口信息。在这样的信息帮助下,管理员可以真正把握安全态势,实现有效防御,恢复了对网络资源的有效管控。\r
\r
4.2.1.5 基于应用的流量管理\r \r
传统防火墙的QOS流量管理策略仅仅是简单的基于数据包优先级的转发,当用户带宽
流量过大、垃圾流量占据大量带宽,而这些流量来源于同一合法端口的不同非法应用时,传统防火墙的QOS便失去意义。NGAF提供基于用户和应用的流量管理功能,能够基于应用做流量控制,实现阻断非法流量、无关流量保证核心业务的可视化流量管理价值。\r \r \r
NGAF采用了队列流量处理机制:\r
首先,将数据流根据各种条件进行分类(如IP地址,URL,文件类型,应用类型等分类,
\r 11\r /\r 28\r
NGAF技术文档密级:公开
像skype、emule属于P2P类)\r \r
然后,分类后的数据包被放置于各自的分队列中,每个分类都被分配了一定带宽值,相
同的分类共享带宽,当一个分类上的带宽空闲时,可以分配给其他分类,其中带宽是通过每个分队列上数据包的发送速率来每个分类的带宽,提高了带宽的精确度。\r \r
最后,在数据包的出口处,每个分类具备一个优先级别,优先级高的队列先发送,当优
先级高的队列中的数据包全部发送完毕后,再发送优先级低的。也可以为分队列设置其它排队方法,防止优先级高的队列长期占用网络接口。\r ü 基于应用/网站/文件类型的智能流量管理\r \r
NGAF可以基于不同用户(组)、出口链路、应用类型、网站类型、文件类型、目标地址、
时间段进行细致的带宽划分与分配,如保证领导视频会议的带宽而员工P2P的带宽、保证市场部访问行业网站的带宽而研发部访问新闻类网站的带宽、保证设计部传输CAD文件的带宽而营销部传输RM文件的带宽。精细智能的流量管理既防止带宽滥用,又提升带宽使用效率。\r
ü P2P的智能识别与灵活控制\r \r
封IP、端口等管控“带宽杀手”P2P应用的方式极不彻底。加密P2P、不常见P2P、新
P2P工具等让众多P2P管理手段束手无策。NGAF不仅识别和管控常用P2P、加密P2P,对不常见和未来将出现的P2P亦能管控。而完全封堵P2P可能实施困难,NGAF的P2P流控技术能指定用户的P2P所占用的带宽,既允许指定用户使用P2P,又不会滥用带宽,充分满足管理的灵活性。\r
4.2.2 强化的应用层攻击防护\r
4.2.2.1 基于应用的深度入侵防御\r \r
NGAF的灰度威胁关联分析引擎具备4000+条漏洞特征库、3000+Web应用威胁特征库,
可以全面识别各种应用层和内容级别的单一安全威胁;另外,深信服凭借在应用层领域10年以上的技术积累,组建了专业的安全攻防团队,可以为用户定期提供最新的威胁特征库更新,以确保防御的及时性。\r \r
下图为灰度威胁关联分析引擎的工作原理:\r
\r 12\r /\r 28\r
NGAF技术文档密级:公开
\r
\r
第一,威胁行为建模,在灰度威胁样本库中,形成木马行为库、SQL攻击行为库、P2P行
为库、病毒蠕虫行为库等数十个大类行为样本,根据他们的风险性我们初始化一个行为权重,如异常流量0.32、病毒蠕虫0.36等等,同时拟定一个威胁阀值,如阀值=1。\r
\r \r
\r
第二,用户行为经过单次解析引擎后,发现攻击行为,立即将相关信息,如IP、用户、
攻击行为等反馈给灰度威胁样本库。\r \r
第三,在灰度威胁样本库中,针对单次解析引擎的反馈结果,如攻击行为、IP、用户等
信息,不断归并和整理,形成了基于IP、用户的攻击行为的表单。\r \r
第四,基于已有威胁样本库,将特定用户的此次行为及样本库中的行为组合,进行权值
计算和阀值比较,例如某用户的行为组权重之和为1.24,超过了预设的阀值1,我们会认定此类事件为威胁事件。\r \r
由此可见,\r 威胁关联分析引擎对丰富的灰度威胁样本库和权重的准确性提出了更高的
\r 13\r /\r 28\r
NGAF技术文档密级:公开
要求,NGAF在两方面得以增强:\r \r
第一,通过NGAF抓包,客户可以记录未知流量并提交给深信服的威胁探针云,在云中
心,深信服专家会对威胁反复测试,加快灰度威胁的更新速度,不断丰富灰度威胁样本库。\r \r
第二,深信服不断的循环验证和权重微调,形成了准确的权重知识库,为检测未知威胁
奠定了基础。\r
4.2.2.2 强化的WEB攻击防护\r \r
NGAF能够有效防护OWASP组织提出的10大web安全威胁的主要攻击,并于2013年
1月获得了OWASP组织颁发的产品安全功能测试4星评级证书(最高评级为5星,深信服NGAF为国内同类产品评分最高)主要功能如:\r 防SQL注入攻击\r \r
SQL注入攻击产生的原因是由于在开发web应用时,没有对用户输入数据的合法性进行
判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据,这就是所谓的SQL\r Injection,即SQL注入。NGAF可以通过高效的URL过滤技术,过滤SQL注入的关键信息,从而有效的避免网站服务器受到SQL注入攻击。\r
防XSS跨站脚本攻击\r \r
跨站攻击产生的原理是攻击者通过向Web页面里插入恶意html代码,从而达到特殊目
的。NGAF通过先进的数据包正则表达式匹配原理,可以准确地过滤数据包中含有的跨站攻击的恶意代码,从而保护用户的WEB服务器安全。\r 防CSRF攻击\r \r
CSRF即跨站请求伪造,从成因上与XSS漏洞完全相同,不同之处在于利用的层次上,
CSRF是对XSS漏洞更高级的利用,利用的核心在于通过XSS漏洞在用户浏览器上执行功能相对复杂的JavaScript脚本代码劫持用户浏览器访问存在XSS漏洞网站的会话,攻击者可以与运行于用户浏览器中的脚本代码交互,使攻击者以受攻击浏览器用户的权限执行恶意操作。NGAF通过先进的数据包正则表达式匹配原理,可以准确地过滤数据包中含有的CSRF的攻击代码,防止WEB系统遭受跨站请求伪造攻击。\r 主动防御技术\r \r
主动防御可以针对受保护主机接受的URL请求中带的参数变量类型,以及变量长度按
照设定的阈值进行自动学习,学习完成后可以抵御各种变形攻击。另外还可以通过自定义参
\r 14\r /\r 28\r
NGAF技术文档密级:公开
数规则来更精确的匹配合法URL参数,提高攻击识别能力。\r 应用信息隐藏\r \r
NGAF对主要的服务器(WEB服务器、FTP服务器、邮件服务器等)反馈信息进行了有
效的隐藏。防止黑客利用服务器返回信息进行有针对性的攻击。如:\r \r
HTTP出错页面隐藏:用于屏蔽Web服务器出错的页面,防止web服务器版本信息泄露、
数据库版本信息泄露、网站绝对路径暴露,应使用自定义页面返回。\r \r \r
HTTP(S)响应报文头隐藏:用于屏蔽HTTP(S)响应报文头中特定的字段信息。\r
FTP信息隐藏:用于隐藏通过正常FTP命令反馈出的FTP服务器信息,防止黑客利用FTP
软件版本信息采取有针对性的漏洞攻击。\r URL防护\r \r
Web应用系统中通常会包含有系统管理员管理界面以便于管理员远程维护web应用系
统,但是这种便利很可能会被黑客利用从而入侵应用系统。通过NGAF提供的受限URL防护功能,帮助用户选择特定URL的开放对象,防止由于过多的信息暴露于公网产生的威胁。\r 弱口令防护\r \r
弱口令被视为众多认证类web应用程序的普遍风险问题,NGAF通过对弱口令的检查,
制定弱口令检查规则控制弱口令广泛存在于web应用程序中。同时通过时间锁定的设置防止黑客对web系统口令的暴力破解。\r HTTP异常检测\r \r
通过对HTTP协议内容的单次解析,分析其内容字段中的异常,用户可以根据自身的
Web业务系统来量身定造允许的HTTP头部请求方法,有效过滤其他非法请求信息。\r 文件上传过滤\r \r
由于web应用系统在开发时并没有完善的安全控制,对上传至web服务器的信息进行
检查,从而导致web服务器被植入病毒、木马成为黑客利用的工具。NGAF通过严格控制上传文件类型,检查文件头的特征码防止有安全隐患的文件上传至服务器。同时还能够结合病毒防护、插件过滤等功能检查上传文件的安全性,以达到保护web服务器安全的目的。\r 用户登录权限防护\r \r
针对某些特定的敏感页面或者应用系统,如管理员登陆页面等,为了防止黑客访问并不
断的进行登录密码尝试,NGAF可以提供访问URL登录进行短信认证的方式,提高访问的安全性。\r
\r 15\r /\r 28\r
NGAF技术文档密级:公开
缓冲区溢出检测\r \r
缓冲区溢出攻击是利用缓冲区溢出漏洞所进行的攻击行动。可以利用它执行非授权指
令,甚至可以取得系统,进而进行各种非法操作。NGAF通过对URL长度,POST实体长度和HTTP头部内容长度检测来防御此类型的攻击。\r 4.2.2.3 全面的终端安全保护\r
传统网络安全设备对于终端的安全保护仅限于病毒防护。事实上终端的安全不仅仅是病毒,很多用户在部署过防病毒软件之后,终端的安全事件依然频发,如何完整的保护终端成为众多用户关注的焦点。尤其是最近几年,互联网不断披露的一些安全事件都涉及到了一种新型,复杂,存在长期影响的攻击行为——APT。\r
APT\r 全称Advanced\r Persistent\r Threat(高级持续性威胁),是以窃取核心资料为目的,针对客户所发动的网络攻击和侵袭行为,是一种蓄谋已久的“恶意商业间谍威胁”。这种行为往往经过长期的经营与策划,并具备高度的隐蔽性。APT的攻击手法,在于隐匿自己,针对特定对象,长期、有计划性和组织性地窃取数据,这种发生在数字空间的偷窃资料、搜集情报的行为,就是一种“网络间谍”的行为。\r
传统防毒墙和杀毒软件查杀病毒木马的效果有限,在APT场景下,因为无法解读数据的应用层内容以及木马的伪装技术逃逸杀毒软件的检测,传统防毒墙和杀毒软件更是形同虚设,因此需要一种全面的检测防护机制,用于发现和定位内部网络受病毒木马感染的机器。\r
APT检测\r
NGAF的APT检测功能主要解决的问题:针对内网PC感染了病毒、木马的机器,其病毒、木马试图与外部网络通信时,AF识别出该流量,并根据用户策略进行阻断和记录日志。帮助客户能够定位出那台PC中毒,并能阻断其网络流量,避免一些非法恶意数据进入客户端,起到更好的防护效果。\r
NGAF的APT检测功能主要由两部分检测内容来实现:\r 1.远控木马检测\r
在应用特征识别库当中存在一类木马控制的应用分类。这部分木马具有较明显的网络恶意行为特征,且行为过程不经由HTTP协议交互,故通过专门制作分析的应用特征来进行识别。如灰鸽子,炽天使,冰河木马,网络守望者等等。此种类型的木马也随深信服应用识别规则库的更新而更新。\r
2.僵尸网络检测\r
\r 16\r /\r 28\r
NGAF技术文档密级:公开
僵尸网络检测主要是通过匹配内置的僵尸网络识别库来实现。该特征库包含木马,广告软件,恶意软件,间谍软件,后门,蠕虫,漏洞,黑客工具,病毒9大分类。特征库的数量目前已达数十万,并且依然以每两周升级一次的速度进行更新。\r
除了APT攻击检测功能,深信服在终端安全防护方面还提供了基于漏洞和病毒特征的增强防护,确保终端的全面安全\r
终端漏洞防护\r \r
内网终端仍然存在漏洞被利用的问题,多数传统安全设备仅仅提供基于服务器的漏洞防
护,对于终端漏洞的利用视而不见。NGAF同时提供基于终端的漏洞保护能防护如:后门程序预防、协议脆弱性保护、exploit保护、网络共享服务保护、shellcode预防、间谍程序预防等基于终端的漏洞防护,有效防止了终端漏洞被利用而成为黑客攻击的跳板。\r
终端病毒防护\r \r
NGAF提供基于终端的病毒防护功能,从源头对HTTP、FTP、SMTP、POP3等协议流量
中进行病毒查杀,亦可查杀压缩包(zip,rar,7z等)中的病毒,内置百万级别病毒样本,确保查杀效果。\r
4.2.2.4 专业攻防研究团队确保持续更新\r \r
NGAF的统一威胁识别具备4000+条漏洞特征库、数十万条病毒、木马等恶意内容特征
库、3000+Web应用威胁特征库,可以全面识别各种应用层和内容级别的各种安全威胁。其漏洞特征库已通过国际最著名的安全漏洞库CVE严格的兼容性标准评审,获得CVE兼容性认证(CVE\r Compatible)。\r \r
深信服凭借在应用层领域7年以上的技术积累组建了专业的安全攻防团队,作为微软的
MAPP(Microsoft\r Active\r Protections\r Program)项目合作伙伴,可以在微软发布安全更新前获得漏洞信息,为客户提供更及时有效的保护,以确保防御的及时性。\r
4.2.3 独特的双向内容检测技术\r
只提供基于应用层安全防护功能的方案,并不是一个完整的安全方案,对于服务器的保护传统解决方案通常是通过防火墙、IPS、AV、WAF等设备的叠加来达到多个方面的安全防护效果。这种方式功能模块的分散,虽然能防护主流的攻击手段,但并不是真正意义上的统一防护。这既增加了成本,也增加了组网复杂度、提升了运维难度。从技术角度来说,一个黑客完整的攻击入侵过程包括了网络层和应用层、内容级别等多个层次方式方法,如果将这些威胁割裂开处理进行防护,各种防护设备之间缺乏智能的联动,很容易出现“三不管”的
\r 17\r /\r 28\r
NGAF技术文档密级:公开
灰色地带,出现防护真空。比如当年盛极一时的蠕虫“SQL\r Slammer”,在发送应用层攻击报文之前会发送大量的“正常报文”进行探测,即使IPS有效阻断了攻击报文,但是这些大量的“正常报文”造成了网络拥塞,反而意外的形成了DOS攻击,防火墙无法有效防护。\r
\r
因此,“具备完整的L2-‐L7完整的安全防护功能”就是Gartner定义的“额外的防火墙智能”实现前提,才能做到真正的内核级联动,为用户的业务系统提供一个真正的“铜墙铁壁”。\r
\r
4.2.3.1 网关型网页防篡改\r \r
网页防篡改是NGAF服务器防护中的一个子模块,其设计目的在于提供的一种事后补偿
防护手段,即使黑客绕过安全防御体系修改了网站内容,其修改的内容也不会发布到最终用户处,从而避免因网站内容被篡改给组织单位造成的形象破坏、经济损失等问题。\r
\r 18\r /\r 28\r
NGAF技术文档密级:公开
\r NGAF通过网关型的网页防篡改(对服务器“0”影响),第一时间拦截网页篡改的信息
并通知管理员确认。同时对外提供篡改重定向功能,提供正常界面、友好界面、web备份服务器的重定向,保证用户仍可正常访问网站。NGAF网站篡改防护功能使用网关实现动静态网页防篡改功能。这种实现方式相对于主机部署类防篡改软件而言,客户无需在服务器上安装第三方软件,易于使用和维护,在防篡改部分基于网络字节流的检测与恢复,对服务器性能没有影响。\r
4.2.3.2 可定义的敏感信息防泄漏\r \r
NGAF提供可定义的敏感信息防泄漏功能,根据储存的数据内容可根据其特征清晰定义,
通过短信、邮件报警及连接请求阻断的方式防止大量的敏感信息被窃取。深信服敏感信息防泄漏解决方案可以自定义多种敏感信息内容进行有效识别、报警并阻断,防止大量敏感信息被非法泄露。(如:用户信息/邮箱账户信息/MD5加密密码/银行卡号/身份证号码/社保账号/信用卡号/手机号码……)\r 4.2.3.3 应用协议内容隐藏\r \r
NGAF可针对主要的服务器(WEB服务器、FTP服务器、邮件服务器等)反馈信息进行
了有效的隐藏。防止黑客利用服务器返回信息进行有针对性的攻击。如:HTTP出错页面隐藏、响应报头隐藏、FTP信息隐藏等。\r
4.2.4 智能的网络安全防御体系\r
\r 19\r /\r 28\r
NGAF技术文档密级:公开
\r
4.2.5.1 风险评估与策略联动\r \r
NGAF基于时间周期的安全防护设计提供事前风险评估及策略联动的功能。通过端口、
服务、应用扫描帮助用户及时发现端口、服务及漏洞风险,并通过模块间的智能策略联动及时更新对应的安全风险的安全防护策略。帮助用户快速诊断电子商务平台中各个节点的安全漏洞问题,并做出有针对性的防护策略。\r 4.2.5.2 智能的防护模块联动\r \r
智能的主动防御技术可实现NGAF内部各个模块之间形成智能的策略联动,如一个IP/
用户持续向内网服务器发起各类攻击则可通过防火墙策略暂时阻断IP/用户。智能防护体系的建立可有效的防止工具型、自动化的黑客攻击,提高攻击成本,可抑制APT攻击的发生。同时也使得管理员维护变得更为简单,可实现无网管的自动化安全管理。\r 4.2.5.3 智能建模及主动防御\r
NGAF提供智能的自主学习以及自动建模技术,通过匹配防护URL中的参数,学习参数的类型和一般长度,当学习次数累积达到预设定的阈值时,则会加入到白名单列表,后续过来的请求只要符合改白名单规则则放行,不符合则阻断。可实现网络的智能管理,简化运维。\r
4.2.5
\r
更高效的应用层处理能力\r
为了实现强劲的应用层处理能力,NGAF抛弃了传统防火墙NP、ASIC等适合执行网络层
\r 20\r /\r 28\r
NGAF技术文档密级:公开
重复计算工作的硬件设计,采用了更加适合应用层灵活计算能力的多核并行处理技术;在系统架构上,NGAF也放弃了UTM多引擎,多次解析的架构,而采用了更为先进的一体化单次解析引擎,将漏洞、病毒、Web攻击、恶意代码/脚本、URL库等众多应用层威胁统一进行检测匹配,从而提升了工作效率,实现了万兆级的应用安全防护能力。\r
4.2.6 涵盖传统安全功能\r
NGAF除了关注来自应用层的威胁以外,也涵盖了传统防火墙的所有基础功能,使得客户在使用原有传统防火墙的基础上可以实现无缝切换到下一代防火墙。\r 4.2.4.1 智能DOS/DDOS攻击防护\r
NGAF采用自主研发的DOS攻击算法,可防护基于数据包的DOS攻击、IP协议报文的DOS攻击、TCP协议报文的DOS攻击、基于HTTP协议的DOS攻击等,实现对网络层、应用层的各类资源耗尽的拒绝服务攻击的防护,实现L2-‐L7层的异常流量清洗。\r 4.2.4.2 融合领先的IPSecVPN\r
NGAF融合了国内市场占有率第一的IPSec\r VPN模块,实现高安全防护、高投资回报的分支机构安全建设目标,并支持对加密隧道数据进行安全攻击检测,对通道内存在的IPS攻击威胁进行流量清洗,全面提升广域网隔离的安全性。\r 4.2.4.3 统一集中管理平台\r
NGAF提供统一集中管理平台实现对分支各设备的集中监管,可实现各分支设备的硬件资源情况实时上报以及安全日志汇总,集中管理配置下发与远程配置,提高管理效率,简化运维成本。\r
4.2.4.4 灵活的应用部署方式\r
NGAF支持多种部署模式,包括可以在互联网出口做代理网关,或在不改变客户原有拓扑的情况下可做透明桥接或数据转发更高效的虚拟网线模式,同时也支持在交换机上做镜像把数据映射一份到设备做旁路部署以及支持二、三层接口混合使用的混合部署等,另外还提供了端口链路聚合功能,提高链路带宽和可靠性。对于数据请求和回复包走不同路由或者数据包两次通过不同接口穿过设备的的非对称路由部署环境,NGAF也能灵活支持。\r
4.3 产品优势技术\r
4.3.1
深度内容解析\r
NGAF的灰度威胁识别技术不但可以将数据包还原的内容级别进行全面的威胁检测,而且还可以针对黑客入侵过程中使用的不同攻击方法进行关联分析,从而精确定位出一个黑客
\r 21\r /\r 28\r
NGAF技术文档密级:公开
的攻击行为,有效阻断威胁风险的发生。灰度威胁识别技术改变了传统IPS等设备防御威胁种类单一,威胁检测经常出现漏报、误报的问题,可以帮助用户最大程度减少风险短板的出现,保证业务系统稳定运行。\r 4.3.2
双向内容检测\r
\r
深信服的双向内容检测技术,主要是针对攻击事件发生前的预防以及攻击事件发生后的检测补救措施,通过对服务器发起的请求以及服务器的回复包进行双向内容检测,使得敏感数据信息不被外发,黑客达不到攻击的最终目的。\r 4.3.3
分离平面设计\r
\r
\r 22\r /\r 28\r
NGAF技术文档密级:公开
\r
\r
NGAF通过软件设计将网络层和应用层的数据处理分离,在底层通过应用识别模块为基
础,对所有网卡接收到的数据进行识别,再通过抓包驱动把需要处理的应用数据报文抓取到应用层,如若应用层发生数据处理失败的情况,也不会影响到网络层数据的转发。实现数据报文的高效,可靠处理。\r 4.3.4
单次解析架构\r
\r
\r
要进行应用层威胁过滤,就必须将数据报文重组才能检测,而报文重组、特征检测都会
极大地消耗内存和CPU,因而UTM的多引擎,多次解析架构工作效率低下。因此,NGAF所采用的单次解析引擎通过统一威胁特征、统一匹配引擎,针对每个数据包做到了只有一次报文重组和特征匹配,消除了重复性工作对内存和资源的占用,从而系统的工作效率提高了70%-‐80%。但这种技术的一个关键要素就是统一特征库,这项技术的难度在于需要找到一种全新的“特征语言”将病毒、漏洞、Web入侵、恶意代码等威胁进行统一描述,这就好比是八个不同国家语言的人要想彼此无障碍交流,最笨的办法是学会7种语言,但明显不可行;
\r 23\r /\r 28\r
NGAF技术文档密级:公开
因此,需要一种全新的国际语言来完成,从而提高可行性,又降低了工程的复杂度。\r 4.3.5
多核并行处理\r
\r
\r
现在CPU核越来越多,从双核到4核,再从4核到8核,16核,现在还有128核的CPU
了。这样来看,如果1个核能够做到1个G,那么16个核不就能够超过10个G了吗?\r 但是通常设备性能并不能够根据核的增加而迅速增加。因为虽然各个核物理上是的,但是有很多资源是共享的,包括CPU的Cache,内存,这些核在访问共享资源的时候是要等其他核释放资源的,因此很多工作只能串行完成。\r \r
同时NGAF的多核并行处理技术进行了大量的优化工作-‐-‐-‐-‐减少临界资源的访问,除了在
软件处理流程的设计上尽量减少临界资源以及临界资源的访问周期,还需要充分利用读写锁、原子操作、内存镜像等机制来提高临界资源的访问效率。\r 4.3.6
智能联动技术\r
\r
4.3.7
Regex正则引擎\r
\r 24\r /\r 28\r
NGAF技术文档密级:公开
NGAF使用正则表达式对流量的内容进行匹配,正则表达式是一种识别特定模式数据的方法,可以精确识别网络中的攻击。但经我们研究分析,业界已有的正则表达式匹配方法,其速度一般比较慢,制约了AF设备整机速度的提高,为此,深信服设计并实现全新的Sangfor\r Regex正则引擎,把正则表达式的匹配速度提高到数十Gbps,比PCRE和Google的RE2等知名引擎快数十倍,达到业界领先水平。\r
整体而言,Sangfor\r Regex大幅降低了CPU占用率,提高AF的整机吞吐,从而更高速地处理客户业务数据,这项技术尤其适合对每秒吞吐量要求非常高的场合,如运营商,电商等。\r
五、 部属方式\r
5.1 互联网出口-‐内网终端上网\r
\r
安全需求:\r
\r 单向访问,内网地址隐藏\r \r 带宽有限,实现灵活流控\r
\r 多线路跨运营商,如何选择最优路径\r \r 防御来自互联网的威胁,如DOS/DDOS等\r
\r 保护终端上网安全,防止遭受病毒、木马、蠕虫的攻击\r
\r 25\r /\r 28\r
NGAF技术文档密级:公开
5.2 互联网出口-‐服务器对外发布\r
安全需求:\r
\r 业务面向互联网,存在大量Web攻击\r \r 服务器安全风险,操作系统、应用程序漏洞\r \r 稳定性要求高,防止拒绝服务攻击\r \r 网站形象保护,防止网页篡改\r \r 数据内容保护,防止敏感信息外传\r
5.3 广域网边界安全隔离\r
\r
安全需求:\r
\r 接入环境复杂,用户存在安全组网要求\r \r 流量复杂,病毒木马易泛滥\r
26\r /\r 28\r
\r
\r NGAF技术文档密级:公开
\r 人员复杂,需要精确访问控制\r \r 设备数量繁多,需要集中管理\r
\r 数据内容保护,防止敏感信息越界传播\r
5.4 数据中心\r
\r
安全需求:\r
\r 数据、应用大集中,安全域需隔离\r \r 可用性要求高,万兆环境\r \r 访问权限要求高,控制非法访问\r \r 业务类型多样,数据库系统多\r \r 数据内容敏感,泄密风险需防范\r
六、 关于深信服\r
\r
深信服公司成立于2000年,是中国最大的应用层网络设备供应商,致力于提供基于网络应用层的产品及解决方案。目前,全球有超过21,000家用户正在使用深信服的产品。在中国入选世界500强的企业中,有85%以上的企业都是深信服的用户。截止2013年3月,深信服在全球共设有49个直属分支机构,分布在全球8个国家和地区,并拥有超过1400名员工。\r \r
作为中国应用层网络市场的领导者,深信服每年保持着50%以上的增长率,持续每年将
总营收的15%投入到研发,并在深圳和北京设有研发中心。截至2013年3月,深信服共申
\r 27\r /\r 28\r
NGAF技术文档密级:公开
请超过100项发明专利。同时,深信服还是IPSec\r VPN和SSL\r VPN两项国家标准的主要承建单位。\r \r
深信服公司被评定为“国家规划布局内重点软件企业”,连续八年入选德勤“亚太地区
高科技高成长500强”,连续两届荣获《财富》“卓越雇主——中国最适宜工作的公司”。\r \r
\r 28\r /\r 28\r
因篇幅问题不能全部显示,请点此查看更多更全内容