深信服下一代防火墙AF解决方案模板.docx

《深信服下一代防火墙AF解决方案模板.docx》由会员分享，可在线阅读，更多相关《深信服下一代防火墙AF解决方案模板.docx（10页珍藏版）》请在三一文库上搜索。

1、深信服下一代防火墙NGAF解决方案深信服科技2012-03-09第1章需求概述1.1 方案背景XXX公司成立于1997年1.2 网络平安现状近几年来，计算机和网络攻击的复杂性不断上升，使用传统的防火墙和入侵检测系统(IDS)越来越难以检测和阻挡。随着每一次成功的攻击，黑客会很快的学会哪种攻击方向是最成功的。漏洞的发现和黑客利用漏洞之间的时间差也变得越来越短，使得IT和平安人员得不到充分的时间去测试漏洞和更新系统。随着病毒、蠕虫、木马、后门和混合威胁的泛滥，内容层和网络层的平安威胁正变得司空见惯。复杂的蠕虫和邮件病毒诸如Slammer、BlasterSasser、SoberMyDOom等在过去儿

2、年经常成为头条新闻，它们也向我们展示了这类攻击会如何快速的传播一一通常在几个小时之内就能席卷全世界。许多黑客正监视着软件提供商的补丁公告，并对补丁进行简单的逆向工程，由此来发现漏洞。下列图举例说明了一个漏洞及相应补丁的公布到该漏洞被利用之间的天数。需要注意的是，对于最近的一些攻击，这一时间已经大大缩短了。IT和平安人员不仅需要担忧平安威胁，他们还不得不集中精力来防止各种被称之为“零小时”(zero-hour)或“零日”(zero-day)的新的未知的威胁。为了对抗这种新的威胁，平安技术也在不断进化，包括深度包检测防火墙、应用网关防火烯、内容过滤、反垃圾邮件、SSLVPN基于网络的防病毒和入侵防

3、御系统(IPS)等新技术不断被应用。但是黑客的动机正在从引起他人注意向着获取经济利益转移，我们可以看到一些更加狡猾的攻击方式正被不断开发出来，以绕过传统的平安设备，而社会工程(socialengineering)陷阱也成为新型攻击的一大重点。图：系统漏洞被黑客利用的速度越来越快带有社会工程陷阱元素的攻击包括间谍软件、网络欺诈、基于邮件的攻击和恶意Web站点等。这些攻击设计为欺骗用户暴露敏感信息，下载和安装恶意程序、跟踪软件或运行恶意代码。很多这类攻击设计为使用传统的浏览器或Email技术（如ACtiVeX、XML.SMTP等），并伪装为合法应用，因此传统的平安设备很难加以阻挡。现在比以往任何时

4、候都更需要先进的检测和平安技术。传统的防火墙系统状态检测防火墙原本是设计成一个可信任企业网络和不可信任的公共网络之间的平安隔离设备，用以保证企业的互联网平安。状态检测防火墙是通过跟踪会话的发起和状态来工作的。通过检查数据包头,状态检测防火墙分析和监视网络层（L3）和协议层（L4）,基于一套用户自定义的防火墙策略来允许、拒绝或转发网络流量。传统防火墙的问题在于黑客已经研究出大量的方法来绕过防火墙策略。这些方法包括： 利用端口扫描器的探测可以发现防火墙开放的端口。 攻击和探测程序可以通过防火墙开放的端口穿越防火墙。如MSN、QQ等IM（即时通信）工具均可通过80端口通信，BT、电驴、SkyPe等P

5、2P软件的通信端口是随机变化的，使得传统防火墙的端口过滤功能对他们无能为力。SoftEther等软件更可以将所有TCP/IP通讯封装成HTTPS数据包发送，使用传统的状态检测防火墙简直防不胜防。SoftEther可以很轻易的穿越传统防火墙 PC上感染的木马程序可以从防火墙的可信任网络发起攻击。由于会话的发起方来自于内部，所有来自于不可信任网络的相关流量都会被防火墙放过。当前流行的从可信任网络发起攻击应用程序包括后门、木马、键盘记录工具等，它们产生非授权访问或将私密信息发送给攻击者。 较老式的防火墙对每一个数据包进行检查，但不具备检查包负载的能力。病毒、蠕虫、木马和其它恶意应用程序能未经检查而通

6、过。 当攻击者将攻击负载拆分到多个分段的数据包里，并将它们打乱顺序发出时，较新的深度包检测防火墙往往也会被愚弄。 使用笔记本电脑、PDA和便携邮件设备的移动用户会在他们离开办公室的时候被感染，并将威胁带回公司网络。边界防火墙对于从企业信任的内部网络发起的感染和攻击爱莫能助。图：被通过知名端口（80端口）攻击的网站数基于主机的防病毒软件基于主机的防病毒软件是部署得最广泛的平安应用，甚至超过了边界防火墙。基于主机的防病毒软件随着上世纪80年代中期基于文件的病毒开始流行而逐渐普及，如今已成为最受信任的平安措施之一。但是基于主机的防病毒软件也有它的缺点，包括： 需要安装、维护和保持病毒特征库更新，这就

7、导致了大量的维护开销。 很多用户并没有翻开防病毒软件的自动更新功能，也没有经常的手动更新他们的病毒库，这就导致防病毒软件对最新的威胁或攻击无用。 用户有时可能会有意或无意的关闭他们的单机平安应用程序。 最新的复杂的木马程序能对流行的基于主机的防病毒软件进行扫描，并在它们加载以前就将它们关闭-这就导致即使有了最新的病毒特征码，事实上它们还是不能被检测出来。企业单纯依靠给予主机的防病毒软件和给操作系统和应用程序打补丁的方法会使它们的内部系统面临很高的平安风险。随着业务中使用了越来越多的面向全球且需要持续运行的关键应用，停机来更新操作系统补丁、病毒特征码和应用升级变得越来越困难。而公司的Web、Em

8、aiL电子商务、数据库、应用等效劳器由于长时间不打补丁会很容易在新的攻击方式下暴露出它们的漏洞。仅仅依靠基于主机的防病毒软件的另一个缺点是，事实上有害代码在被每一个主机的平安软件检测和阻挡之前就已经进入了公司的网络，这就大大威胁了企业关键业务系统和网络应用。采用功能单一的产品的缺点要想构建一个立体的平安防护体系，必须要考虑多层次的防护，包括：1 .防火墙2 .VPN网关3 .入侵防御系统(IPS)4 .网关防病毒5 .网页及URL过滤6 .应用程序过滤及带宽控制采用功能单一的产品会带来本钱增加，管理难度高的问题。如果想部署一个立体的平安防护体系，必须要将很多设备串接在网络中，这样会造成网络性能

9、下降，故障率高，管理复杂。1.3 网络拓扑1.4 需求分析在外网平安方面：目前XX公司总部没有部署网络平安设备，所有的业务系统根本上都是裸露在互联网上，缺乏合理的保护极易遭受来自互联网的攻击，可能造成核心业务数据的窃取、效劳器和网络瘫痪等问题，给企业带来不必要的损失在内网平安方面：各分公司之间和总部通过VPN互联，与总部处于统一内网环境，而分公司也缺乏平安防护设备对互联网的危险流量进行清洗，所以极易造成下级分公司对总部效劳器的攻击：同时上海总部的内网用户，即使客户端部署了杀毒软件，由于客户端环境和个人使用习惯等问题，IT制度无法得到很好地落实，经常会有员工关闭杀毒进程或卸载杀毒软件的情况，而且

10、最新的杀毒软件也存在着面对新病毒的滞后和不完善性。特别是对于网络平安意识薄弱的职员，不装任何的杀毒软件，在互联网上随意翻开网页、点击链接，很容易身染中毒，并且导致局域网内的电脑感染病毒，我们将此类用户成为内网平安管理的短板。第2章网络规划整体方案2.1 方案拓扑2.2 方案描述经过以上部署之后：1 .总部以及分公司的NGAF上开启网关防病毒功能后,能够有效的遏制病毒通过网络在集团网络上的传播，同时可以防止因为浏览Intemet而造成的病毒感染；2 .总部对外发布的效劳器将受到NGAF的入侵防御IPS功能和效劳器防护的保护，免收来自外网以及内网产生的攻击；2.3 NGAF产品功能概述作为应用层平

11、安设备的领导厂商，深信服公司的NGAF平安平台通过动态威胁防御技术、风险分析扫描引擎提供了无与伦比的功能和检测能力。NGAF提供以下功能： 集成关键平安组件的状态检测防火墙。 可实时更新病毒和攻击特征的网关防病毒。 IPS（入侵防御系统）预置2200个以上的攻击特征，并提供用户定制特征的机制。 VPN（支持PPTP、L2TPIPSec）。 Web内容过渡具有用户可定义的URL、关键字过滤器和可自动升级的最全面的URL地址库。 带宽管理功能防止带宽滥用，IM/P2P过滤。用户认证，防止未授权的非法网络访问。 动态威胁防御提供先进的威胁关联技术。 单次解析引擎加速提供比基于ASIC、NPS的平安方

12、案高出2-4倍的性能。 完整的系列支持效劳，包括数据中心、风险报表、客户端平安组件等。 .3.1部署方式NGAF系列防火墙支持路由(NAT)模式、透明模式和混合模式三种工作模式。可以很好的适应各种网络环境。路由(NAT)模式如果需要用NGAF连接不同IP地址段，那么将NGAF置于路由工作模式。如内网使用的是网段,而外网使用的是网段来连接Internet。此时由于内外网络不在同一IP地址段，因此需将NGAF设置为路由模式。此时NGAF工作在第三层，相当于一台路由器，连接不同的IP地址段。使和之间可以互访。在路由(NAT)模式下，NGAF的每一个接口都有一个IP地址，分别对应不同的网段。每个接口都

13、支持不同的地址模式，既可以是静态IP，也可以通过DHCP效劳器获得动态IP,还能通过PPPoE拨号获取IP地址，可以很好的支持LAN、ADSL等多种网络接入方式。NGAF在路由模式下支持各种路由方法，包括静态路由、动态路由(可以直接参与到RIP、OSPF路由及组播路由运算中，而非仅仅让动态路由协议穿越)、策略路由(根据不同的源地址、目的地址、端口等确定下一条路由网关)混合模式NGAF还可以很方便的实现路由/透明的混合模式。内网和DMZ区使用同一网段的IP地址，内网使用，DMZ区使用；外网使用另一网段的IP地址。此时单纯的透明模式或者路由(NAT)模式都无法满足网络的要求。使用NGAF可以实现外

14、网与DMZ/内网之间使用路由(NAT)模式，而内网与DMZ之间使用透明模式。这种路由/透明的混合模式可以很好的满足这种网络环境的需求。VLAN支持无论在透明模式还是路由(NAT)模式下，NGAF都支持802.1QVLAN环境，对于交换机之间的VLANTrUnk或交换机/路由器之间的单臂路由都可以很好的支持；NGAF在路由模式下自身也可以给交换机上的不同VLAN作Trunk和路由。网关杀毒计算机病毒一直是信息平安的主要威胁。而随着网络的不断开展，网络速度越来越快，网络应用也越来越丰富多彩，使得病毒传播的风险也越来越大，造成的破坏也越来越强。据ICSA（国际计算机平安协会）的统计，目前已经有超过9

15、0%的病毒是通过网络进行传播的。内网用户访问Intemet时，无论是浏览WEB页面,还是通过FTP下载文件，或者是收发E-mail,都可能将Internet上的病毒带入网内。而近几年泛滥成灾的网络蠕虫病毒（如红色代码、尼姆达、冲击波、振荡波等）跟传统的通过光盘、软盘等介质进行传播的基于文件的病毒有很大的不同，它们本身是一个病毒与黑客工具的结合体，当网络当中一台计算机感染蠕虫病毒后，它会自动的以极快的速度（每秒几百个线程）扫描网络当中其他计算机的平安漏洞，并主动的将病毒传播到那些存在平安漏洞的计算机上，只要相关的平安漏洞没有通过安装补丁的方式加以弥补，蠕虫病毒就会这样以几何级数的增长速度在网络当

16、中传播，即使计算机上安装了带有实时监控功能的防病毒软件（包括单机版和网络版）对此也无能为力。蠕虫病毒的传播还会大量占用网络带宽，造成网络拥堵，形成拒绝效劳式攻击（DoS）o因此，对于新型的网络蠕虫病毒，必须在网关处进行过滤，防止病毒进入内网。网关防病毒已经成为未来防病毒体系中的重中之重，需要引起特别重视。ICSA统计数据：90%以上是通过Internet传播的外部病毒防御NGAF内置SOPhOS和F-POrt杀毒引擎，对病毒的过滤针对标准协议，与应用无关。无论用户使用何种Email效劳器和客户端，只要使用的是标准的SMTP、PoP3、IMAP协议，NGAF都可以对电子邮件中的病毒进行过滤，防止

17、病毒通过邮件传播，NGAF还支持HTTP协议和FTP协议，对于Web浏览、下载、Web邮件及FTP文件传输过程中携带的病毒均可进行拦截。在支持协议的全面性上走在了业界的前方。对于使用非标准端口的协议应用（如在使用代理效劳器的环境中，HTTP协议不使用TCP80端口，却使用了TCP8080端口），NGAF同样可以对其中的病毒进行过滤。在协议支持的全面性上，NGAF走在了业界的前面。在NGAF上启用防病毒功能，对HTTP、FTP、SMTP、POP3等协议进行过滤，便可将外网病毒传入内网的风险降至最低。内部病毒防御虽然目前90%以上的病毒来自于Intemet,但仍然有局部病毒通过其它途径进入内网，例

18、如光盘、U盘、文件共享、移动用户等。而病毒进入内网后通常采用网络入侵的方式，利用网络中其它主机的平安漏洞进行传播,并可能导致DOS攻击。因此本方案中的NGAF平安网关不能仅针对HTTP、FTP、SMTP、POP3等协议进行病毒扫描，同时还应能识别各类蠕虫病毒的内网传播特征，对内网中的病毒传播进行定位和阻拦。 .3.3IPS入侵防御传统的状态检测/包过滤防火墙是在网络层/传输层工作，根据IP地址、端口等信息对数据包进行过滤，能够对黑客攻击起到局部防御作用。但是黑客仍然可以从合法的IP地址通过防火墙开放的端口对内网发起攻击，目前很多攻击和应用可以通过任意IP、端口进行，各种高级、复杂的攻击单纯的使

19、用状态检测/包过滤防火墙无法进行阻挡，需要使用IPS（入侵防御系统）来配合防火墙实现对复杂攻击的防御。IPS工作在第二层到第七层，通常使用特征匹配和异常分析的方法来识别网络攻击行为。NGAF的IPS不仅可以对效劳器进行漏洞防护，也可以对客户端漏洞进行防护如下列图：特征匹配方法类似于病毒检测方法，通过攻击数据包中的特征（字符串等）来进行判断。例如前面提过的SoftEther的通信数据中都会包括SoftEtherPrOtOcol”字符串，虽然这种应用使用HTTPS协议通过TCP443端口通信，使用包过滤防火墙无法进行防御。（因为如果将TCP443端口封闭的话，会导致所有HTTPS通信无法进行，这是

20、无法想象的。）而使用IPS的特征匹配方法，通过查找SoftEtherProtocol字符串便可轻易的将所有SoftEther流量过滤掉，而其他HTTPS应用不会受到影响。而异常分析通过统计的方法计算网络中各种流量的速率，并与管理员预设的阈值进行比照，超过阈值的通信便是可疑的攻击行为。例如，管理员通过对本网络应用的观察和分析，认为在正常情况下某效劳器每秒收到2000个以内SYN包属于正常范围。然而某一时刻NGAF检测到每秒有3000个以上的SYN发往该效劳器，此时便有可能是由于有黑客对效劳器发起了DoS（拒绝效劳）攻击。NGAF内置的IPS同时使用特征和异常两种检测方法，能够检测2200种以上攻

21、击和入侵行为如下列图所示，包括各种DoS（拒绝效劳）/DDoS（分布式拒绝效劳）攻击。NGAF的IPS是在线式的，直接部署在可信任网络和不可信任网络之间。这种在线式的IPS对各种攻击均可直接阻断并生成日志。而传统的旁路式IDS（入侵检测系统）对绝大多数的攻击行为只能记录日志，而不能进行阻，0YJFe云分析？I擎叫湛河芟别：所口.一x(RC*Qflo-所亶混国12030001AppleQ*ckTiKTSTB4cbRTPhr”R4aqSBufferOvtr*ppli9A，、y台用，检测后放行12020016AdobBdrUntpcifidCrvDca*inScritinVvln4rilityfil

22、ntwork-krabilityfslC9Z9D3SB用,检测后放行12020014(JdlaOtS)IicretoftIXC1TritaAVBaorjrCrrupt*RaotCodI.fil*己用，检测后后筮J12020012*S11*05)lerooflIXC1F*ffrOwrrunYlnrtlatymbkdoora用，检mew行12020On*Sll*0ltrn3用，栓前后后数J12020009*S!l-O23)Riers0ftlxlspyvare*用12020008eSl1-021)RrSftIxcUImvUidOjctTyplWeba用，版图后殷行:12020007婚11-021Mi

23、crowfRlxclOfficArtObjetRCodtZXfilapok2cn台用，检洌后放行12020006*S11-021)crftlxclAxivPrc4rtitM0tIXEtigVfil*ebtxowse案用12020005)G11*Q2Olicrovofttxcl*oryCrruptc*Vulnrbilstjrfilmecs研:1202000lt7fileSs用12020003(Sll006)Rcro*oflIinJovtSkUGraphictFroctiaR*tCo4.fileftp己用，检浏后放行12020002*StI-006)lerooflIiadMtiShallGrtph

24、ieiFroee&tiacR三*t.mV己用，检附后敢行J12020001BirtciSlvMsv4tl.411)VKf2l高g用，检洌后及数12010019eSll*O52)licrSftInttmttBxplcrKTTF加&r.ZIlgMryCOrTXtw-Wi充S用，松洌后若藏I20i0011*S11*050)rSftlAtmtEKPlCTrSlonOjtctBryCww.r且用，检测后兰欺*12010016*Stl*050)licravofAtmtC3lcrrLyct20102011连续7年入选德勤亚太地区高科技高成长500强高交会自主知识产权证书高新技术企业证书商用密码产品生产定点单位证书商用密码产品销售许可证深圳市南山区麒麟路1号科技创业中心4楼Add:4thFlr,IncubationCenter,No.1QilinRoad,NanshanDistrict,ShenzhenP.C.:518052产品咨询热线：800-830-9565Email:mastersangfor