白皮书
选择下一代防火墙:十大注意事项
中型企业必备
概述
很多中型公司的网络安全已步入关键时期,他们必须巩固传统安全解决方案,以应对移动和云引发的新趋势,并
适应不断变化的威胁形势。这些局面导致维护网络安全这一挑战更加复杂,并加重了企业网络以最佳状态运行的
负担。
在监控用户的操作、用户访问的应用类型或使用的设备方面,传统防火墙捉襟见肘。下一代防火墙则可以填补这些空白。本文档列举了中型企业在评估下一代防火墙解决方案时需要权衡的十大注意事项:
1. 防火墙是否基于综合全面的状态防火墙基础?
2. 对于移动用户,解决方案是否支持强大安全的远程访问?
3. 防火墙是否提供主动威胁防范?
4. 防火墙能否在多个安全服务运行时保持性能不降级?
5. 解决方案是否提供深度应用可视性和精细应用控制?
6. 防火墙是否能够交付用户、网络、应用以及设备智能,推动情景感知防护?
7. 防火墙是否提供基于云的网络安全?
8. 能否部署可随着组织扩展的面向未来的解决方案?
9. 防火墙供应商是否拥有广泛的支持和服务,可为迁移路径铺平道路?
10. 防火墙供应商是否提供极具吸引力的融资方案,以缩短部署时间?
下一代防火墙应提供“一体化”解决方案,并融合一系列经济实惠、且便于部署和管理的下一代防火墙服务。本白皮书将帮助您评估下一代防火墙,为您的中型组织作出最明智选择。
网络受损害的机率:100%
据思科 2014 年度安全报告,“所有组织都应该假设自己已经受到黑客的攻击。”1思科智能运营中心 (SIO) 的研究人员发现,所有企业网络中都能检测到恶意流量,这意味着有证据表明恶意人士已经侵入这些网络,而且可能不被察觉地活动了很长时间。2
这些发现强调了为什么所有组织必须部署可提供持续安全以及整个安全网络端到端可视性的下一代防火墙解决方案。成功的攻击是不可避免的,IT 团队必须能够确定损害的范围、遏制事件的发展、采取补救措施,并将运营恢复正常,而且这一切必须及时快速展开。
向新安全模式转变
下一代防火墙是以威胁为中心的安全模式的重要要素。采取以威胁为中心的模式,监控整个网络,并在攻击的整个生命周期(即攻击前、攻击中以及攻击后)做出适当的回应意义非凡。在为组织评估下一代防火墙时,一定要记住,任何解决方案都必须满足下列要求:
●具有全面的防护功能:要在当前威胁形势下保护网络,离不开基于漏洞调查、信誉评分以及其他关键要素的
一流防恶意软件和入侵防御。
●遵守业务策略:下一代防火墙必须从深度和广度两个层面,对有关应用使用的策略进行全面实施。同时,必
须保证可根据业务策略,在细粒度级别,对出于个人和专业原因使用的各种协作和 Web 2.0 应用进行监控和控制。
●确保策略得到设备和用户的实施:下一代防火墙必须对访问网络的设备和用户、及其访问网络的位置做到了
如指掌。同时,还必须确保安全策略可根据用户、群以及设备类型(Apple iPhone、iPod、Android 移动设备的具体版本)进行调整。
再者,启用多个服务时,下一代防火墙解决方案不能在以线速保证防护、策略、一致性以及环境的同时,造成性能突然大幅降级。
选择下一代防火墙解决方案时,请思考这些重要问题:
1思科 2014 年度安全报告:https://www.doczj.com/doc/138382584.html,/web/offer/urls/CN/whitepapers/sc-01casr2014_cte_lig_zh-cn_35330.pdf。
2同上。
1. 防火墙是否基于综合全面的状态防火墙基础?
下一代防火墙需要能够辨别威胁和网络流量。基于综合全面的状态防火墙基础的解决方案可确定潜在的安全漏洞,例如开放的端口。该类防火墙应利用大量状态检测引擎,从而可在保证高性能安全性和可靠性的同时,对重要资产提供保护。下一代防火墙应利用明确的确定性第 3 层和第 4 层策略,实现网络安全最大化。站点间虚拟专用网络(VPN)、网络地址转换 (NAT) 以及动态路由等功能也有助于提供安全可靠的访问以及强大的边界安全。
下一代防火墙还必须能够识别连接网络的用户、用户连接的位置、使用的设备以及访问的应用及网址。确保您的防火墙能够提供针对用户、设备以及应用的可视性。
2. 对于移动用户,解决方案是否支持强大安全的远程访问?
现如今,用户要求使用各种公司拥有的移动设备和个人移动设备随时随地访问网络。但是,开放网络允许这类访问会导致可控性和可视性丧失。要保证设备到应用的安全连接,同时保护网络,组织需要随时确定访问网络的用户以及他们使用的设备类型。
支持用户身份、应用以及设备感知的下一代防火墙可帮助您加强访问控制,并基于请求环境缓解威胁。网络范围的身份和精细行为控制,再加之 VPN 技术可帮助您保护网络和移动用户。
3. 防火墙是否提供主动威胁防范?
主动式下一代防火墙能够在网关位置阻止大部分恶意软件(超过 80%),而且极少需要管理员干预。
寻找强大的集成网络过滤数据库。利用支持创建多个 URL 过滤策略的网络过滤解决方案,您可以提供差异化的互联网访问权限。您可以根据用户和组的需求,为他们创建不同的 Web 或 URL 过滤规则。
4. 防火墙能否在多个安全服务运行时保持性能不降级?
购买、部署,然后再管理多个专用安全服务模块这一流程非常复杂、且耗费成本。过去,组织在需求变化后进行扩展必须采取这种方式。现在,有了下一代防火墙,您可以利用将防火墙、VPN、网络安全、防恶意软件以及入侵防御系统 (IPS) 解决方案集于一身的单个解决方案,减少需要管理和部署的设备数量。
在基础平台中需要搭配专门构建的安全加速硬件(例如,加快 VPN 和 IPS 处理的加密算法和正则表达式),才能在防火墙上提供多层高级安全,而不影响性能。
要简化管理,您需要寻找可通过激活相应软件许可轻松启动的高级安全服务。提供扩展安全服务应尽可能不影响网络的性能。
5. 解决方案是否提供深度应用可视性和精细应用控制?
组织无法控制视野之外的事物。要保证包含嵌入式应用的 Web 2.0 网站中实施了可接受的使用和安全策略,下一代防火墙解决方案必须能够利用应用签名或其他方法,高精度地识别和控制各个应用。
利用具有细粒度控制的下一代防火墙服务,管理员能够创建可满足当今精细的业务需求的防火墙策略。想一想人们能够在常用的应用(如 Facebook)上可执行的操作数量,就能够明白细粒度应用控制的意义,例如:发布内容、对用户的状态点赞、发送邮件、聊天等等。在制定访问控制决策时,管理员也必须能够轻松识别成千上万种应用和微应用,例如 Facebook 游戏(如 FarmVille、Candy Crush Saga 和 Bingo Blingo)、Facebook Messages 和Facebook Chat。
下一代防火墙应能够识别应用行为:用户在某应用中执行的操作。此外,管理员还应能够对特定类别(如 Facebook 视频)设置细粒度控制,例如,允许用户查看和标记视频、但不允许上传视频。
6. 防火墙是否能够交付用户、网络、应用以及设备智能,推动情景感知防护?
利用网络智能,组织能够对用户制定不同的安全策略,特别是从其他位置使用个人设备接入网络的用户。寻找一种可帮助您更安全地支持组织自带设备 (BYOD) 计划的防火墙。
通过设备配置文件洞察、设备状态以及 802.1X 身份验证详细信息,组织能够提供一致的粒度访问控制。
7. 防火墙是否提供基于云的网络安全?
通过云交付的威胁防范可帮助各种规模的组织获得高度分散的安全边界,同时可支持新的应用,并主动保护所有用户。
寻找一种可对所有用户提供零日保护的防火墙,不论用户身在何处。最好的做法是,通过完全集成且基于云的服务提供网络安全、应用控制、管理以及报告,而且,这种服务应保证行业一流的安全和控制、具有 99.999% 的可用性和运行时间,并可利用启发式分析提供零日威胁防范。
8. 能否部署可随着组织扩展的面向未来的解决方案?
随着组织运营规模的扩大,组织的安全需求也在变化。但是扩展安全解决方案以满足不断变化的业务需求不能成本过高,或增加管理复杂性。
下一代防火墙应是一种可在中型组织扩展时提供支持、且便于管理的一体化解决方案。您的下一代防火墙是否可通过将多种安全解决方案(包括状态防火墙、VPN 网关、应用控制、网络安全、IPS 以及防恶意软件)整合到一个设备中来降低资本和运营成本?是否可通过单个统一管理控制台简化下一代防火墙部署和降低管理复杂性?
此外,您的供应商是否可帮助您随着公司的发展和需求变化而进行扩展?寻找一名可帮助您部署包含下列内容的综合安全解决方案的单一来源供应商:下一代防火墙、下一代 IPS、适用于高级威胁防范的高级防恶意软件防范、集成实时环境感知、智能安全自动化以及行业领先的威胁防范效力。
9. 防火墙供应商是否拥有广泛的支持和服务,可为迁移路径铺平道路?
迁移至下一代防火墙是一项重大举措。每个企业基础设施都是独一无二的,要在过渡至新解决方案过程中维持安全就需要详细周密的规划和严谨认真的变更管理。即使短暂的停机时间也可能会影响盈利能力和安全性。任何下一代防火墙供应商或其认证合作伙伴都必须掌握丰富的经验、知识和一流实践,可在迁移过程中尽可能减少干扰,实现业务连续性,而且要在保证成本效益的前提下实现。
除提供创新防火墙解决方案之外,供应商还必须能够提供专业服务,帮助您在迁移过程中改进迁移体验、尽可能减少中断以及保证业务连续性。
选择防火墙供应商时,要确保供应商及其专业化认证合作伙伴能够帮助组织实现准确完整的迁移。不论您是升级至新平台,还是从第三方平台迁移,都需要确定服务提供商是否具备所需的丰富经验、知识和一流实践,可帮助组织降低在迁移至下一代解决方案过程中面临的风险。询问服务灵活性:供应商是否仅通过现场交付形式提供这些服务?是否可通过远程,或者结合使用现场和远程这两种交付形式来满足您组织的需求、偏好和成本要求?
安装后期技术支持同样也是一项重要的注意事项。供应商是否为 IT 人员提供随时与专业化认证工程师沟通的机会(也即一年 365 天一天 24 小时均可)?是否提供灵活的硬件保修、主动设备诊断、自助资源、工具或在线培训?出色的技术支持有助于减少网络停机时间,确保组织持续不间断运作。
10. 防火墙供应商是否提供极具吸引力的融资方案,以缩短部署时间?
将下一代防火墙解决方案的成本分摊在较长的一段时间内,有助于减轻预算编制工作的压力,增加付款可控性。选择提供融资方案的供应商,组织能够自由购买拓展业务所需的技术,同时灵活应对不断变化的市场需求。如果投资正确的技术而不需要大量资本开支,组织能够将财政资源分配至其他业务领域,推动企业取得成功。寻找满足下列条件的融资方案:具有价格竞争优势、能够灵活地推迟付款、可为从技术到服务的整个解决方案提供资金支持。
在防范威胁的同时降低成本和复杂性
Cisco ASA 5500-X 系列下一代防火墙 (NGFW) 可帮助中型组织满足上述重要注意事项,以便组织能够利用广泛汇聚的安全智能防范当今的新兴威胁。利用该解决方案,管理员能够查看和控制用户活动、设备访问以及恶意行为。它还可以减少管理和部署的设备数量,从而降低复杂性、资本和运营成本。思科与 Sourcefire 联合推出下一代网络安全,可满足您在 BYOD、云以及新兴威胁方面的要求。
Figure 1. 思科利用 ASA 5500-X NGFW 重新定义了下一代防火墙。
由思科安全工程师或思科安全专业化认证合作伙伴提供的适用于防火墙的思科迁移服务,可帮助组织平稳迁移至新的 Cisco ASA 5500-X NGFW 平台。思科提供专家指导和支持,可帮助组织在迁移过程中保持安全,并提高流程的准确性和完整性。思科 SMARTnet?服务可提供一年 365 天一天 24 小时利用技术支持的权限,以及灵活的硬件保修和主动设备诊断,从而帮助您减少网络停机时间和其他重要网络问题。同时,Cisco Capital 还提供融资方案,并制定了可满足您业务和财务要求的条款。
要了解更多信息,请访问:
https://www.doczj.com/doc/138382584.html,/go/asa,了解有关 Cisco ASA 5500-X NGFW 的更多信息。
https://www.doczj.com/doc/138382584.html,/go/services/security,了解有关适用于防火墙的思科迁移服务的更多信息https://www.doczj.com/doc/138382584.html,/go/smartnet,了解有关思科 SMARTnet? 服务的更多信息
https://www.doczj.com/doc/138382584.html,,了解有关查找当地 Cisco Capital 代表的更多信息
白皮书 选择下一代防火墙:十大注意事项 中型企业必备 概述 很多中型公司的网络安全已步入关键时期,他们必须巩固传统安全解决方案,以应对移动和云引发的新趋势,并 适应不断变化的威胁形势。这些局面导致维护网络安全这一挑战更加复杂,并加重了企业网络以最佳状态运行的 负担。 在监控用户的操作、用户访问的应用类型或使用的设备方面,传统防火墙捉襟见肘。下一代防火墙则可以填补这些空白。本文档列举了中型企业在评估下一代防火墙解决方案时需要权衡的十大注意事项: 1. 防火墙是否基于综合全面的状态防火墙基础? 2. 对于移动用户,解决方案是否支持强大安全的远程访问? 3. 防火墙是否提供主动威胁防范? 4. 防火墙能否在多个安全服务运行时保持性能不降级? 5. 解决方案是否提供深度应用可视性和精细应用控制? 6. 防火墙是否能够交付用户、网络、应用以及设备智能,推动情景感知防护? 7. 防火墙是否提供基于云的网络安全? 8. 能否部署可随着组织扩展的面向未来的解决方案? 9. 防火墙供应商是否拥有广泛的支持和服务,可为迁移路径铺平道路? 10. 防火墙供应商是否提供极具吸引力的融资方案,以缩短部署时间? 下一代防火墙应提供“一体化”解决方案,并融合一系列经济实惠、且便于部署和管理的下一代防火墙服务。本白皮书将帮助您评估下一代防火墙,为您的中型组织作出最明智选择。
网络受损害的机率:100% 据思科 2014 年度安全报告,“所有组织都应该假设自己已经受到黑客的攻击。”1思科智能运营中心 (SIO) 的研究人员发现,所有企业网络中都能检测到恶意流量,这意味着有证据表明恶意人士已经侵入这些网络,而且可能不被察觉地活动了很长时间。2 这些发现强调了为什么所有组织必须部署可提供持续安全以及整个安全网络端到端可视性的下一代防火墙解决方案。成功的攻击是不可避免的,IT 团队必须能够确定损害的范围、遏制事件的发展、采取补救措施,并将运营恢复正常,而且这一切必须及时快速展开。 向新安全模式转变 下一代防火墙是以威胁为中心的安全模式的重要要素。采取以威胁为中心的模式,监控整个网络,并在攻击的整个生命周期(即攻击前、攻击中以及攻击后)做出适当的回应意义非凡。在为组织评估下一代防火墙时,一定要记住,任何解决方案都必须满足下列要求: ●具有全面的防护功能:要在当前威胁形势下保护网络,离不开基于漏洞调查、信誉评分以及其他关键要素的 一流防恶意软件和入侵防御。 ●遵守业务策略:下一代防火墙必须从深度和广度两个层面,对有关应用使用的策略进行全面实施。同时,必 须保证可根据业务策略,在细粒度级别,对出于个人和专业原因使用的各种协作和 Web 2.0 应用进行监控和控制。 ●确保策略得到设备和用户的实施:下一代防火墙必须对访问网络的设备和用户、及其访问网络的位置做到了 如指掌。同时,还必须确保安全策略可根据用户、群以及设备类型(Apple iPhone、iPod、Android 移动设备的具体版本)进行调整。 再者,启用多个服务时,下一代防火墙解决方案不能在以线速保证防护、策略、一致性以及环境的同时,造成性能突然大幅降级。 选择下一代防火墙解决方案时,请思考这些重要问题: 1思科 2014 年度安全报告:https://www.doczj.com/doc/138382584.html,/web/offer/urls/CN/whitepapers/sc-01casr2014_cte_lig_zh-cn_35330.pdf。 2同上。
防火墙方案
防火墙方案
区域逻辑隔离建设(防火墙) 国家等级保护政策要求不同安全级别的系统要进行逻辑隔离,各区域之间能够按照用户和系统之间的允许访问规则控制单个用户,决定允许或者禁止用户对受控系统的资源访问。 国家等级化保护政策要求不同安全级别间的系统要进行区域的逻辑隔离,各区域之间能按照用户和系统之间的允许访问规则,控制担搁用户,决定允许或者拒绝用户对受控系统的资源访问。 在网络边界部署防火墙系统,并与原有防火墙形成双机热备,部署防火墙能够实现: 1.网络安全的基础屏障: 防火墙能极大地提高一个内部网络的安全性,并经过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能经过防火墙,因此网络环境变得更安全。如防火墙能够禁止诸如众所周知的不安全的NFS协议进出受保护网络,这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。防火墙同时能够保护网络免受基于路由的攻击,如IP选项中的源路由攻击和ICMP重定向中的重定向路径。防火墙能够拒绝所有以上类型攻击的报文并通知防火墙管理员。 2.强化网络安全策略
经过以防火墙为中心的安全方案配置,能将所有安全软件(如口令、加密、身份认证、审计等)配置在防火墙上。与将网络安全问题分散到各个主机上相比,防火墙的集中安全管理更经济。例如在网络访问时,一次一密口令系统和其它的身份认证系统完全能够不必分散在各个主机上,而集中在防火墙一身上。 3.对网络存取和访问进行监控审计 如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并作出日志记录,同时也能提供网络使用情况的统计数据。当发生可疑动作时,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。另外,收集一个网络的使用和误用情况也是非常重要的。首先的理由是能够清楚防火墙是否能够抵挡攻击者的探测和攻击,而且清楚防火墙的控制是否充分。而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。 4.防止内部信息的外泄 经过利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。再者,隐私是内部网络非常关心的问题,一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣,甚至因此而曝露了内部网络的某些安全漏洞。使用防火墙就能够隐蔽那些透漏内部细节如Finger,DNS等服务。
话说下一代防火墙(NGFW)的“三个” 下一代防火墙"NGFW"一个从产生到日渐成熟仍旧拥有一定热度的词汇,相较于传统的防火墙,NGFW的安全性能有了很大的提升,体现了极强的可视性、融合性、智能化。本文来和大家 说说下一代防火墙的"三个"。 下一代防火墙"NGFW",一个从产生到日渐成熟仍旧拥有一定热度的词汇,相较于传统的防火墙,NGFW的安 全性能有了很大的提升,体现了极强的可视性、融合性、智能化。本文来和大家说说下一代防火墙的"三个"。 下一代防火墙发展的三个拐点 事物的更新迭代是必然的,就像是一个朝代的兴起与衰落,而防火墙性能的提升自然也不会例外,于是下 一代防火墙应景而生。同很多新生事物一样,它也需要慢慢的发展而后变得成熟。下面我们一起看看它的 经历。 拐点一:下一代防火墙的萌动发展 随着国外用户对应用的增多、攻击复杂,传统的防火墙已经不能满足人们的需求。于是美国的PaloAlto公司率先发布了下一代防火墙的产品,并凭借仅有的一条产品线在国外市场获得众多用户的青睐。2009年,著名的分析机构Gartner年发布的一份名为《Defining the Next-Generation Firewall》的文章重新定义 了防火墙,它集成了深度包检测入侵测试、应用识别与精细控制。这个定义一经发布便受到了国外一些安 全厂商的热捧,认为传统防火墙十多年缓慢的发展确实越来越不匹配其网络边界第一道防线的称号。 拐点二:下一代防火墙热潮汹涌 随着国外防火墙的升级发展,国内厂商也纷纷发布自己的下一代防火墙以顺应网络安全产品变革的趋势, 一股下一代防火墙的热潮被掀起。这其中比较知名的厂商有:梭子鱼、深信服、锐捷、天融信、东软等, 各家产品有着各自不同的特点。总的来说,下一代防火墙相比传统的防火墙功能更加的全面,性能更是强劲。 拐点三:下一代防火墙日渐成熟 热潮过后,厂商不断的反思对下一代防火墙进行改进升级。从2011年国内的下一代防火墙开始发展至今,这近两年的时间过后,下一代防火墙越来越成熟,越来越被人们认可接受。很多的用户使用下一代防火墙
下一代防火墙和传统防火墙的区别: 传统防火墙:无法防御应用层攻击 NGAF:解决运行在网络传统防火墙对应用层协议识别、控制及防护的不足! 功能优势: 1、应用层攻击防护能力(漏洞防护、web攻击防护、病毒木马蠕虫) 2、双向内容检测的优势(具备网页防篡改、信息防泄漏) 3、8元组ACL与应用流控的优势 4、能实现模块间智能联动 下一代防火墙和IPS(入侵防御模块)区别: IPS:应用安全防护体系不完善,对WEB攻击防护效果不佳;NGAF:解决保护系统层面的入侵防御系统,和对应用层攻击防护不足,及应用层攻击漏判误判的问题! 功能优势: 1、Web攻击防护,尤其是各类逃逸攻击(注入逃逸、编码逃逸)的防护
下一代防火墙和WAF(Web应用防火墙): WAF:处理性能不足,缺乏底层漏洞攻击特征库,无法对WEB业务进行整体安全防护 NGAF:解决定位于防护Web攻击的Web应用防火墙 功能优势: 1、三大特征库保护网站安全:漏洞2800+、web攻击2000+、敏感信息(OWASP综合4星) 2、敏感信息防泄漏功能,业内热点,业界独家 3、自动建模技术,自动生成策略。 下一代防火墙和UTM(统一权威管理): UTM:多功能开启性能差,各模块缺乏联动 NGAF:解决面向中小型企业一体化的UTM统一威胁管理系统,解决多功能模块开启后性能下降以及应用层防护能力不足的问题。 功能优势: 1、六大特征库更完整安全:(漏洞2800+、应用2000+、病毒库10万、web攻击2000+、URL+恶意网址10万、敏感信息) 2、Web攻击模块(web攻击防护、敏感信息、防篡改、应
启明星辰网络安全解决方案 启明星辰公司自1996年成立以来,已经开发了黑客防范与反攻击产品线、采用国际著名厂商芬兰F-Secure公司杀毒技术形成的网络病毒防杀产品线、以网站安全扫描与个人主机保护为代表的网络安全管理产品线,以及几大产品线之间互动的网络资源管理平台,成为具有自主知识产权、覆盖防病毒和反黑客两大领域的高科技含量的网络安全产品研发与生产基地。启明星辰公司产品均获得了《计算机信息系统安全专用产品销售许可证》,《国家信息安全产品测评认证证书》和《军用信息安全产品认证证书》,在政府、银行、证券、电信和军队等领域得到了广泛的使用。 网络安全产品链 相关方案包括: 天阗(tian)黑客入侵检测系统 天镜网络漏洞扫描系统 天蘅(heng)安防网络防病毒系统
Webkeeper网站监测与修复系统 安星主机保护系统 天燕智能网络信息分析实录仪 C-SAS客户化安全保障服务 天阗(tian)黑客入侵检测系 (阗:在中国古代有"和田美玉"之意,坚固圆润,异彩流光,可以补天。) 一般认为,计算机网络系统的安全威胁主要来自黑客攻击、计算机病毒和拒绝服务攻击3个方面。目前,人们也开始重视来自网络内部的安全威胁。 黑客攻击早在主机终端时代就已经出现,而随着Internet的发展。现代黑客则从以系统为主的攻击转变到以网络为主的攻击,新的手法包括:通过网络监听获取网上用户的帐号和密码;监听密钥分配过程、攻击密钥管理服务器,得到密钥或认证码,从而取得合法资格;利用Unix操作系统提供的守护进程的缺省帐户进行攻击,如Telnet Daemon,FTP Daemon,RPC Daemon等;利用Finger等命令收集信息,提高自己的攻击能力;利用Sendmail,采用debug,wizard,pipe等进行攻击;利用FTP,采用匿名用户访问进行攻击;利用NFS进行攻击;通过隐蔽通道进行非法活动;突破防火墙等等。目前,已知的黑客攻击手段已多达500余种。 入侵检测系统 防火墙与IDS
下一代防火墙解决方案
目录 1 网络现状 (3) 2 解决方案 (9) 2.1 网络设备部署图 (9) 2.2 部署说明 (9) 2.3 解决方案详述 (9) 2.3.1 流量管理 (10) 2.3.2 应用控制 (12) 2.3.3 网络安全 (12) 3 报价 (25)
1 网络现状 随着网络技术的快速发展,现在我们对网络安全的关注越来越重视。近几年来,计算机和网络攻击的复杂性不断上升,使用传统的防火墙和入侵检测系统(IDS)越来越难以检测和阻挡。漏洞的发现和黑客利用漏洞之间的时间差也变得越来越短,使得IT和安全人员得不到充分的时间去测试漏洞和更新系统。随着病毒、蠕虫、木马、后门和混合威胁的泛滥,内容层和网络层的安全威胁正变得司空见惯。复杂的蠕虫和邮件病毒诸如Slammer、Blaster、Sasser、Sober、MyDoom 等在过去几年经常成为头条新闻,它们也向我们展示了这类攻击会如何快速的传播——通常在几个小时之内就能席卷全世界。 许多黑客正监视着软件提供商的补丁公告,并对补丁进行简单的逆向工程,由此来发现漏洞。下图举例说明了一个已知漏洞及相应补丁的公布到该漏洞被利用之间的天数。需要注意的是,对于最近的一些攻击,这一时间已经大大缩短了。 IT和安全人员不仅需要担心已知安全威胁,他们还不得不集中精力来防止各种被称之为“零小时”(zero-hour)或“零日”(zero-day)的新的未知的威胁。为了对抗这种新的威胁,安全技术也在不断进化,包括深度包检测防火墙、应用网关防火墙、内容过滤、反垃圾邮件、SSL VPN、基于网络的防病毒和入侵防御系统(IPS)等新技术不断被应用。但是黑客的动机正在从引起他人注意向着获取经济利益转移,我们可以看到一些更加狡猾的攻击方式正被不断开发出来,以绕过传统的安全设备,而社会工程(social engineering)陷阱也成为新型
绿盟下一代防火墙 产品白皮书 ? 2014 绿盟科技■版权声明 本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属绿盟科技所有,受到有关产权及版权法保护。任何个人、机构未经绿盟科技的书面授权许可,不得以任何方式复制或引用本文的任何片断。
目录 一. 当今网络边界安全的新挑战 (1) 二. 现有防火墙解决方案的不足 (2) 三. 绿盟下一代防火墙产品 (3) 3.1客户价值 (3) 3.1.1 洞察网络应用,识别安全风险 (3) 3.1.2 融合安全功能,保障应用安全 (4) 3.1.3 高效安全引擎,实现部署无忧 (4) 3.1.4 内网风险预警,安全防患未然 (4) 3.1.5 云端高效运维,安全尽在掌握 (5) 3.2产品概述 (5) 3.3产品架构 (6) 3.4主要功能 (7) 3.4.1 识别和可视性 (7) 3.4.2 一体化策略与控制 (8) 3.4.3 应用层防护 (9) 3.4.4 内网资产风险识别 (10) 3.4.5 安全运维云端接入 (11) 3.4.6 基础防火墙特性 (12) 3.5产品优势 (13) 3.5.1 全面的应用、用户识别能力 (13) 3.5.2 细致的应用层控制手段 (15) 3.5.3 专业的应用层安全防护能力 (16) 3.5.4 卓越的应用层安全处理性能 (18) 3.5.5 首创的内网资产风险管理 (18) 3.5.6 先进的云端安全管理模式 (18) 3.5.7 完全涵盖传统防火墙功能特性 (19) 3.6典型部署 (19) 四. 总结 (20)
插图索引 图1 核心理念 (5) 图2 整体架构 (6) 图3 资产管理 (10) 图4 云端接入 (11) 图5 应用/用户识别 (13) 图6 应用控制 (15) 图7 一体化安全引擎 (16) 图8 双引擎多核并发 (18) 图9 典型部署 (19)
下一代防火墙:从概念回归本质 与传统防火墙相比,下一代防火墙性能有了很大的提升,体现了极强的可视性、融合性、智能化。那么,究竟何为NGFW的本质特征?NGFW的必备功能是什么?NGFW与UTM的区别究竟在哪里? AD:2013大数据全球技术峰会低价抢票中从2007年Palo Alto Networks发布世界第一款下一代防火墙(NGFW)产品至今已经有五年多的光景,这期间不少国内外的厂商相继推出了NGFW。例如:深信服、梭子鱼(Barracuda Networks)、Check Point、网康、天融信等。在防火墙市场,已经展现出一场群雄争霸的局面。 NGFW应企业需求而生 随着互联网的快速发展,各种应用程序的爆发,企业面临着常用应用程序中的漏洞带来的风险。 网络通信不再像以前一样紧紧是依赖于存储和转发应用程序(例如电子邮件),而且已经扩展到涵盖实时协作工具、Web2.0应用程序、即时消息(IM)和P2P应用程序、语音IP 电话(VoIP)、流媒体和电话会议,这些都带来潜在的风险。很多企业无法区分网络中使用的具有合法业务目的应用程序与那些不是关键型应用程序(只是消耗带宽或者带来危险)。 恶意软件和网络攻击者瞄准了这个场所,让企业面临如数据泄露、潜在的渗透等风险。除了带来安全风险,这些应用程序也消耗带宽和生产力,并且与关键业务型应用程序抢夺网络带宽。因此,企业需要工具来保证业务关键应用程序的带宽,并需要应用程序智能和控制来保护入站和出站的流量,同时确保速度和安全性以提供高效的工作环境。 应企业需求,在多种多样大量的应用程序环境下,仅靠传统防火墙的功能似乎显得力不从心,它们的技术实际上已经过时,因为它们无法检查攻击者散播的网络数据包的数据负载。而NGFW可以提供应用智能控制、入侵防御、恶意软件防护和SSL检查,还可扩展到支持最高性能网络。 众说纷纭NGFW 市场呼唤新的防火墙产品。需要注意的是,机构对下一代防火墙所做出的定义是其最小化的功能集合,而从安全厂商的角度看,则会根据自身技术积累的情况,在产品上集成更多的安全功能。这导致不同厂商的NGFW产品在功能上可能存在差异,它们更像一个大而全的
启明星辰泰合信息安全运营中心介绍(108万) 启明星辰TSOC采用成熟的浏览器/服务器/数据库架构,由“五个中心、五个功能模块”组成。 五个中心为漏洞评估中心、网络管理中心、事件/流量监控中心、安全预警与风险管理中心以及响应管理中心。 五个功能模块为资产管理、策略配置管理、自身系统维护管理、用户管理、安全知识管理。 启明星辰TSOC综合在一个平台上实现了信息采集、分析处理、风险评估、综合展示、响应管理、流程规范等网络安全管理需具备的所有功能。 主要功能如下: 1. 资产管理 管理网络综合安全运行管理系统所管辖的设备和系统对象。它将TSOC其所辖IP设备资产信息登记入库,并可与现有资产管理软件实现信息双向交互,可自动发现管理域里的新增资产,并按照ISO13335标准对资产的CIA属性(保密性、可用性、完整性)进行评估。 2. 事件管理 事件管理处理事件收集、事件整合和事件可视化三方面工作。 事件管理功能首先要完成对事件的采集与处理。它通过代理(Agent)和事件采集器的部署,在所管理的骨干网络、不同的承载业务网及其相关支撑网络和系统上的不同安全信息采集点(防病毒控制台、入侵检测系统控制台、漏洞扫描管理控制台、身份认证服务器和防火墙等)获取事件日志信息,并通过安全通讯方式上传到安全运营中心中的安全管理服务器进行处理。 在事件收集的过程中,事件管理功能还将完成事件的整合工作,包括聚并、过滤、范式化,从而实现了全网的安全事件的高效集中处理。事件管理功能本身支持大多数被管理设备的日志采集,对于一些尚未支持的设备,可通过通用代理技术(UA)支持,确保事件的广泛采集。 在事件统一采集与整合的基础上,泰合安全运营中心提供多种形式的事件分析与展示,将事件可视化,包括实时事件列表、统计图表、事件仪表盘等。此外,还能够基于各种条件进行事件的关联分析、查询、备份、维护,并生成报表。 3. 综合分析、风险评估和预警 综合分析是泰合安全运营中心的核心模块,其接收来自安全事件监控中心的事件,依据资产管理和脆弱性管理中心的脆弱性评估结果进行综合的事件协同关联分析,并基于资产(CIA属性)进行综合风险评估分析,形成统一的5级风险级别,并按照风险优先级针对各个业务区域和具体事件产生预警,参照安全知识库的信息,并依据安全策略管理平台的策略驱动响应管理中心进行响应处理。将预警传递到指定的安全管理人员,使安全管理人员掌握网络的最新安全风险动态,并为调整安全策略适应网络安全的动态变化提供依据。通过风险管理可以掌握组织的整体以及局部的风险状况,根据不同级别的风险状况,各级安全管理机构及时采取降低的风险的防范措施,从而将风险降低到组织可以接受的范围内。 预警模块中心从资产管理模块得到资产的基本信息,从脆弱性管理模块获取资产的脆弱性信息,从安全事
多链路负载均衡解决方案 1.背景 在企业信息化发展过程中,企业网络对出口带宽的需求日益增加,为此很多企业都同时租用多个运行商链路,或者一个运营商的多条链路。通过多链路接入可以增加带宽,同时起到分流作用;多链路接入还可以起到链路备份功能,如果其中的一条线路断开,则自动使用另外一条线路;所以,在企业网络出口以多链路方式接入变得越来越普遍,如何更高效的利用多链路带宽资源成为一个新的挑战。 2.典型用户问题 随着业务规模的发展,初建网络时的一个出口链路已经不能满足业务流量的带宽需求,所以许多企业通过新增出口链路的方式来扩展带宽。相比于直接扩容初始链路的带宽,新增出口链路更为灵活、方便和节约成本。同时,多条链路可以提高出口的稳定性,如果其中有一条链路出现故障,导致中断,另外的链路可以将流量接管过来,起到备份保障的作用。 多出口链路的部署方式,改变了业务流量“一条道跑到黑”的模式,当业务流量走到网关的十字路口前,从哪个出口走出去,成为多链路负载均衡需要解决的技术问题。 1)多条链路带宽差异大:企业网络初建时,迫于成本压力,一般出口带宽都较小,而后期新增链路的带宽都比较大,造成非对称的多出口链路。 如果业务流量不能合理分配,就会造成一条链路带宽被占满,其它链路 还处于空闲,导致大量带宽被浪费。 2)多运营商网络质量差异大:目前,国内的网络运营商之间竞争激烈,不同运营商的网络质量不同,跨运营商的访问存在延迟很大,丢包较多的 现状。比如访问互联网的一个WEB站点,一般DNS服务器对一个域名只能解析出一个IP,如果该域名解析出是联通的IP,电信线路的用户访问
该IP的体验将非常缓慢。那么内网用户访问该WEB站点的流量该从哪个运营商的出口链路出去,才能有更好的网络体验,是网关设备必须要解 决的问题。 3)多种应用对带宽需求差异大:随着互联网技术的快速发展,网络上的各种应用层出不穷,各种网络应用对带宽的需求不同。比如P2P下载对带 宽需求非常大,因为P2P会产生大量连接,连接地址不仅数量众多而且 均不固定,可以迅速的挤占出口带宽,导致业务流量无法正常转发,影 响企业业务运转和工作效率。 3.解决之道 网康下一代防火墙NGFW产品在提供全方位的安全防护的功能的基础上,在网关模式部署时提供多链路负载均衡功能,以适应用户多运营商链路或同运营商多链路接入的应用场景。 NGFW 办公区1办公区N 核心交换机 …… NGFW多链路负载均衡结构图
安全解决方案的使命就是在先进的理念与方法论的指导下,综合运用安全技术、产品、工具,提供客户化的服务,全面系统地解决客户面临的安全问题。 1.理念与方法论 理念与方法论主要关注如何将各种安全要素有效地配合来满足安全需求。一个解决方案中最核心的部分是解决方案所基于的理念与方法论,它好比解决方案的神经中枢。尤其是对那些看起来相似的安全需求,基于不同的理念与方法论会得到大相径庭的安全解决方案。 良好安全理念和方法论力图挖掘和把握信息安全的本质规律,以便为客户提供可行的,易实施的安全解决方案。 2.需求获取 客户的安全需求是整个解决方案的起源和持续的推动力。没有对客户本身、客户的行业、客户的业务、客户系统的安全需求做详细和准确的分析之前,不可能得到切合实际的解决方案。
在需求分析过程中,会采用多种需求分析方法。比如,BDH方法,就是从业务、分布、层次等三个方向进行分解,同时考虑业务分解后的各要素之间的内在联系,力求完整而准确地获取客户的安全需求。 3.安全措施 安全措施是解决方案中具体的方法、技术、服务和产品等的集合,但又不是简单的堆砌。一个解决方案除了要有正确的安全理念和方法作为基础,全面、清晰地把握客户安全需求之外,还要对可用的各种安全措施(产品与服务)的特点有准确的了解和把握,深刻理解各种措施之间的内在联系,取长补短,充分发挥服务和产品的特性,最终提供有效的实施方案。 4.安全实现 安全实现是解决方案的最后一步。所谓“行百里者半九十”,优秀的安全解决方案必须通过完美地实现才能真正生效,满足客户的安全需求。 在努力完善理念和方法论的同时,要注重安全实现与执行。从项目管理、质量保障等方面全面加强。 二、解决方案指导思路 三观安全包括:微观安全、宏观安全和中观安全。
数据表 Cisco Firepower 下一代防火墙 Cisco Firepower? 下一代防火墙 (NGFW) 是业内首款具有统一管理功能的完全集成、专注于威胁防御的下一代防火墙。它包括应用可视性与可控性 (AVC)、可选的 Firepower 下一代 IPS (NGIPS)、思科?高级恶意软件防护 (AMP) 和 URL 过滤。在攻击前、攻击中和攻击后,Cisco Firepower NGFW 均可提供高级威胁防护。 性能亮点 表 1 概述 Cisco Firepower NGFW 4100 系列和 9300 设备的性能亮点。 表 1. 性能亮点 1 Cisco Firepower 4150 计划于 2016 年上半年发布;具体技术参数将于日后发布 2 数据包平均大小为 1024 字节的 HTTP 会话 Cisco Firepower 4100 系列: 带 40-GbE 接口的业内首款 1RU NGFW Cisco Firepower 9300: 随需求增长可扩展的超高性能 NGFW
平台支持 Cisco Firepower 4100 系列和 Firepower 9300 NGFW 设备使用 Cisco Firepower 威胁防御软件映像。这些设备还可以支持思科自适应安全设备 (ASA) 软件映像。Cisco Firepower 管理中心(原来的 FireSIGHT)提供 Cisco Firepower NGFW 以及 Cisco Firepower NGIPS 和思科 AMP 的统一管理。此外,优选 Cisco Firepower 设备上还提供直接源自思科的 Radware DefensePro 分布式拒绝服务 (DDoS) 缓解功能。 Cisco Firepower 4100 系列设备 Cisco Firepower 4100 系列包括四个专注于威胁防御的 NGFW 安全平台。其最大吞吐量从 20 Gbps 到 60 Gbps 以上,可应对从互联网边缘到数据中心等各种使用案例。它们可提供卓越的威胁防御能力以及更快的响应速度,同时占用空间却更小。 Cisco Firepower 9300 设备 Cisco Firepower 9300 是可扩展(超过 1 Tbps)运营商级模块化平台,专为要求低(少于 5 微秒分流)延迟和超大吞吐量的运营商、高性能计算中心、数据中心、园区、高频交易环境等打造。Cisco Firepower 9300 通过 RESTful API 实现分流、可编程的安全服务协调和管理。此外,它还可用于兼容 NEBS 的配置中。 性能规范和功能亮点 表 2 概述 Cisco Firepower NGFW 4100 系列和 9300 设备在运行 Cisco Firepower 威胁防御映像时的功能。 表 2.通过 Firepower 威胁防御映像实现的性能规范和功能亮点
技术参数及要求 #1)提供标准机架式W AF硬件设备而非软件W AF;专业性WEB应用防火墙设备,而非NGAF、NGFW、UTM设备;吞吐率≥1000M,最大HTTP吞吐量≥500M,设备最大HTTP 并发连接数≥200万; 2)提供1个10/100M管理接口、1个10/100/1000M HA口,4个10/100/1000M以太网网口、4个SFP接口。端口总数应支持≥10个,提供≥2 路BYPASS; 3)支持NAT环境下的用户识别能力,能够针对基于HTTP/HTTPS协议的蠕虫攻击、木马后门、间谍软件、灰色软件、网络钓鱼等行为进行检测与防护。 4)支持HTTPS应用防护能力、支持SQL注入攻击的检测与防御能力,专利级别防护能力、支持XSS攻击的检测与防御能力,专利级别防护能力; 5)支持HTTP协议详细字段分析能力同时支持自学习功能; 6)支持爬虫检测检测与防御能力、应具备CGI扫描检测与防御能力、应具备漏洞扫描检测与防御能力; 7)内置Web应用防护事件库,并提供定期升级,能够针对最新及热点Web攻击事件进行快速响应、 8)支持SYN Flood/UDP Flood/ICMP Flood攻击检测与防御能力; 9)支持XML DoS检测与防御能力、支持HTTP Flood(CC攻击)检测与防御能力; 10)支持CSRF攻击检测与防御能力,CSRF支持自学习功能、支持WebShell检测与防御能力; 11)支持基于URL的应用层访问控制功能、支持针对HTTP的请求头信息进行合规性检查、支持针对指定的URL页面,对HTTP请求信息中的方法以及参数长度等信息进行检测、支持Web服务器操作系统指纹信息返回保护、支持Web服务器信息返回保护、支持HTTP错误页面信息返回保护; 12)支持银行卡信息返回保护; 13)支持身份证信息返回保护支持Web表单关键字过滤功能; 14)支持针对重点URL的网页防篡改功能,同时不会对Web服务器及Web应用系统造成额外影响; 15)支持基于URL的流量控制功能、应支持获取Web安全事件的原始攻击信息、支持针对Web应用连接状况和流量信息的实时监控; 16)具备多设备拓扑显示功能,可以在界面上以图形化的方式显示当前的部署拓扑; 17)提供冗余电源; 18)提供Web应用防护事件库5年定期与应急升级。 品目4:核心交换机 1、数量:2台 2、技术参数及要求 #1)交换容量≥2.4T;12311包发率≥720Mpps;业务槽位≥3; 2)支持全分布式转发;支持无源背板;提供风扇冗余,提供风扇模块分区管理,支持风扇自动调速;提供双电源冗余; 3)支持标准SFP, XFP, SFP+模块(支持标准SFP, XFP);GE-T模块≥2,可支持扩展万兆接口,提供≥24千兆电口。 4)支持路由表≥128K;支持静态路由;ARP≥16K;支持RIP V1、V2, OSPF, IS-IS,BGP;支持IP FRR支持路由协议多实例;支持GR for OSPF/IS-IS/BGP;支持策略路由;所有实际配置板卡支持MPLS分布式处理,全线速转发;支持MPLS TE;支持L3 VPN; 5)支持ACL≥32K;支持SP, WRR,DWRR,SP+WRR, SP+DWRR调度方式;支持双向
深信服下一代防火墙NGAF 解决方案
第1章需求概述 1.1方案背景 1.2网络安全现状 近几年来,计算机和网络攻击的复杂性不断上升,使用传统的防火墙和入侵检测系统(IDS)越来越难以检测和阻挡。随着每一次成功的攻击,黑客会很快的学会哪种攻击方向是最成功的。漏洞的发现和黑客利用漏洞之间的时间差也变得越来越短,使得IT和安全人员得不到充分的时间去测试漏洞和更新系统。随着病毒、蠕虫、木马、后门和混合威胁的泛滥,内容层和网络层的安全威胁正变得司空见惯。复杂的蠕虫和邮件病毒诸如Slammer、Blaster、Sasser、Sober、MyDoom等在过去几年经常成为头条新闻,它们也向我们展示了这类攻击会如何快速的传播——通常在几个小时之内就能席卷全世界。 许多黑客正监视着软件提供商的补丁公告,并对补丁进行简单的逆向工程,由此来发现漏洞。下图举例说明了一个已知漏洞及相应补丁的公布到该漏洞被利用之间的天数。需要注意的是,对于最近的一些攻击,这一时间已经大大缩短了。 IT和安全人员不仅需要担心已知安全威胁,他们还不得不集中精力来防止各种被称之为“零小时”(zero-hour)或“零日”(zero-day)的新的未知的威胁。为了对抗这种新的威胁,安全技术也在不断进化,包括深度包检测防火墙、应用网关防火墙、内容过滤、反垃圾邮件、SSL VPN、基于网络的防病毒和入侵防御系统(IPS)等新技术不断被应用。但是黑客的动机正在从引起他人注意向着获取经济利益转移,我们可以看到一些更加狡猾的攻击方式正被不断开发出来,以绕过传统的安全设备,而社会工程(social engineering)陷阱也成为新型攻击的一大重点。
惠尔顿下一代防火墙 (NGWF) 设计方案 深圳市惠尔顿信息技术有限公司 2016年5月1日
目录 一、方案背景 (2) 二、网络安全现状 (2) 三、惠尔顿下一代防火墙(NGWF)介绍及优势 (7) 四、惠尔顿NGWF功能简介 (10) 五、部署模式及网络拓扑 (14) 六、项目报价 (15) 七、售后服务 (16)
一、方案背景 无锡某部队响应国家公安部82号令号召,加强部队网络安全建设。针对目前网络存在的涉密、泄密、木马、病毒等进行预防。 二、网络安全现状 近几年来,计算机和网络攻击的复杂性不断上升,使用传统的防火墙和入侵检测系统(IDS)越来越难以检测和阻挡。随着每一次成功的攻击,黑客会很快的学会哪种攻击方向是最成功的。漏洞的发现和黑客利用漏洞之间的时间差也变得越来越短,使得IT和安全人员得不到充分的时间去测试漏洞和更新系统。随着病毒、蠕虫、木马、后门和混合威胁的泛滥,内容层和网络层的安全威胁正变得司空见惯。复杂的蠕虫和邮件病毒诸如Slammer、Blaster、Sasser、Sober、MyDoom等在过去几年经常成为头条新闻,它们也向我们展示了这类攻击会如何快速的传播——通常在几个小时之内就能席卷全世界。 许多黑客正监视着软件提供商的补丁公告,并对补丁进行简单的逆向工程,由此来发现漏洞。下图举例说明了一个已知漏洞及相应补丁的公布到该漏洞被利用之间的天数。需要注意的是,对于最近的一些攻击,这一时间已经大大缩短了。 IT和安全人员不仅需要担心已知安全威胁,他们还不得不集中精力来防止各种被称之为“零小时”(zero-hour)或“零日”(zero-day)的新的未知的威胁。为了对抗这种新的威胁,安全技术也在不断进化,包括深度包检测防火墙、应用网关防火墙、内容过滤、反垃圾邮件、SSL VPN、基于网络的防病毒和入侵防御系统(IPS)等新技术不断被应用。但是黑客的动机正在从引起他人注意向着获取经济利益转移,我们可以看到一些更加狡猾的攻击方式正被不断开发出来,以绕过传统的安全设备,而社会工程(social engineering)陷阱也成为新型攻击的一大重点。
下一代防火墙,安全防护三步走 下一代防火墙区别于传统防火墙的核心特色之一是对应用的识别、控制和安全性保障。这种显著区别源自于Web2.0与Web1.0这两个不同网络时代下的模式变迁。传统的Web1.0网络以服务请求与服务提供为主要特征,服务提供方提供的服务形态、遵循的协议都比较固定和专一,随着社会化网络Web2.0时代的到来,各种服务协议、形态已不再一尘不变,代之以复用、变种、行为差异为主要特征的各种应用的使用和共享。本文即针对下一代防火墙的这一主要特征,从基于应用的识别、控制、扫描的三步走中,阐述新时代网络环境下的防护重点和安全变迁,旨在帮助读者对下一代防火墙新的核心防护理念做一个较为全面的梳理和归纳。面对应用层威胁,传统防火墙遭遇“阿喀琉斯之踵” 1.新的应用带来全新的应用层威胁 Web2.0应用虽然可以显著增强协作能力,提高生产效率,但同时也不可避免地带来了新的安全威胁。 1)恶意软件入侵 WEB应用中社交网络的普及给恶意软件的入侵带来了巨大的便利,例如灰色软件或链接到恶意站点的链接。用户的一条评价、一篇帖子、或者一次照片上传都可能包含殃及用户或甚至整个网络的恶意代码。例如,如果用户在下载驱动程序的过程中点击了含有恶意站点的链接,就很有可能在不知情的情况下下载了恶意软件。 2)网络带宽消耗对于部分应用来说,广泛的使用会导致网络带宽的过渡消耗。例如优酷视频可以导致网络拥塞并阻碍关键业务使用和交付。还有对于文件共享类应用,由于存在大量的文件之间的频繁交换,也可能会最终导致网络陷入瘫痪。 3)机密资料外泄某些应用(如即时通信,P2P下载等)可提供向外传输文件附件的功能,如果对外传输的这些文件存在敏感、机密的信息,那么将给企业带来无形和有形资产的损失,并且也会带来潜在的民事和刑事责任。 2.传统防火墙的“阿喀琉斯之踵” 由于传统的防火墙的基本原理是根据IP地址/端口号或协议标识符识别和分类网络流量,并执行相关的策略。对于WEB2.0应用来说,传统防火墙看到的所有基于浏览器的应用程序的流量是完全一样的,因而无法区分各种应用程序,更无法实施策略来区分哪些是不当的、不需要的或不适当的程序,或者允许这些应用程序。如果通过这些端口屏蔽相关的流量或者协议,会导致阻止所有基于web的流量,其中包括合法商业用途的内容和服务。另外传统防火墙也检测不到基于隧道的应用,以及加密后的数据包,甚至不能屏蔽使用非标准端口号的非法应用。下一代防火墙之“三步走” 下一代防火墙的核心理念其实是在企业网络边界建立以应用为核心的网络安全策略,通过智能化识别、精细化控制、一体化扫描等逐层递进方式实现用户/应用行为的可视,可控、合规和安全,从而保障网络应用被安全高效的使用。第一步:智能化识别通过智能化应用、用户识别技术可将网络中简单的IP地址/端口号信息转换为更容易识别且更加智能化的用户身份信息和应用程序信息,为下一代防火墙后续的基于应用的策略控制和安全扫描提供的识别基础。例如:对于同样一条数据信息,传统防火墙看到的是:某源IP通过某端口访问了某目的IP;下一代防火墙看到:某单位张三通过QQ给远在美国的李四传输了一个PDF文件。第二步:精细化控制下一代防火墙可以根据风险级别、应用类型是否消耗带宽等多种方式对应用进行分类,并且通过应用访问控制,应用带宽管理或者应用安全扫描等不同的策略对应用分别进行细粒度的控制。相对于传统防火墙,下一代防火墙可以区分同一个应用的合法行为和非法行为,并且对非法行为进行阻断。如:下一代防火墙可以允许使用QQ的前提下,禁止QQ的文件传输动作,从而一定程度上避免单位员工由于传输QQ文件造成的内部信息泄漏。第三步:一体化扫描在完成智能化识别和精细化控制以后,对允许使用且存在高安全风险的网络应用,下一代防火墙可以进行漏洞、病毒、URL和内容等不同层次深度扫描,如果发现该应用中存在安全风险或攻击行为可以做进一步的阻断等动作。下一代防火墙在引擎设计上采用了单次解析架构,这种引擎架构可以保证引擎系统在数据流流入时,一次性地完成
RADVISION 防火墙穿越解决方案——SCOPIA PathFinder RADVISION在ITU H.460 领域一直处于领先地位,RADVISION推出的PathFinder5版是针对端到端防火墙和NAT穿越解决方案。现在加入了对H.460的支持,能够让兼容H.460的端点在连接数据流中不需要借助任何中间客户端便可进行连接。SCOPIA PathFinder是市面上惟一一种能够同时处理支持和不支持H.460的端点的解决方案,并且不需要额外的硬件或穿越软件。 SCOPIAPathFinder是一种完整的防火墙穿越及NAT解决方案,同时提供了近端(企业网络)和远端(远程地址)解决方案。PathFinder保持了防火墙和NAT的安全性和优势,同时为远程工作者、外出工作者、客户和供应者带来了IP视频通信能力。PathFinder确保了跨越企业防火墙边界的重要通信渠道的迅速而简单的建立。 H.460是一组ITU标准,它定义了防火墙穿越的协议。兼容H.460的会议端点将会直接连接PathFinder寻求穿越防火墙的连接。对于非H.460端点,免费的SCOPIAPathFinder客户端软件可以在远端使用,通过PathFinder提供防火墙穿越。 SCOPIAPathFinderv5的优势: RVSN 客户端软件是免费的,而且对用户终端没有限制。与TANDBERG 的方案会相比,RADVISION在成本方面就更具竞争力。不论您使用的是Aethra、Polycom、Sony、Tandberg, 或是任何H.323 厂商的个人系统,你只需在防火墙后使用一个PC 来运行客户端软件以支持所有这些终端(最初的Ridgeway 也是这样)。一个用户端可以支持多个终端,就像是为区域外呼叫设置的网守。?而TANDBERG 解决方案将用户端软件配置于MXP 终端中,因此对于其它终端来说,用户不得不使用TANDBERG 网守。并且每个网守都必须在网络云中与各自的Expressway 会议边际控制器进行交流。PathFinderv5的其他特征还有: * 端到端的连通性,链接所有的H.323视频会议系统或设备 * 适用于任何防火墙、终端和网闸 * 支持任何标准的H.323终端和网闸 * 易于在任意单独的网络计算机上安装 * 无需改变拨号计划或终端E164号码 * 在客户端安全的使用Hardened Linux操作系统(RADVISION定制核心)和内置访问控制列表 * 媒体和信令的AES加密 * 可扩展和部署在单个客户端服务多个终端 * 易于管理,允许管理员查看、链接和断开客户端、监控正在进行的呼叫
深信服下一代防火墙NGAF 技术白皮书 深信服科技有限公司 https://www.doczj.com/doc/138382584.html, 二零一一年八月
目录 1.概述 (3) 2. 为什么需要下一代防火墙 (3) 2.1网络发展的趋势使防火墙以及传统方案失效 (3) 2.2替代性方案能否弥补 (4) 2.2.1“打补丁式的方案” (4) 2.2.2 UTM统一威胁管理 (4) 3.下一代防火墙的诞生与价值 (4) 3.1Gantner定义下一代防火墙 (4) 3.2深信服下一代应用防火墙—NGAF (5) 4.产品功能特点 (6) 4.1更精细的应用层安全控制 (6) 4.1.1可视化应用识别 (7) 4.1.2多种用户识别方式 (7) 4.1.3一体化应用访问控制策略 (8) 4.1.4基于应用的流量管理 (9) 4.2更全面的内容级安全防护 (10) 4.2.1灰度威胁关联分析技术 (10) 4.2.2基于攻击过程的服务器保护 (12) 4.2.3强化的WEB安全防护 (13) 4.2.4完整的终端安全保护 (14) 4.3更高性能的应用层处理能力 (15) 4.3.1单次解析架构 (15) 4.3.2多核并行处理技术 (16) 4.4更完整的安全防护方案 (16) 5.关于深信服 (17)
1.概述 防火墙自诞生以来,在网络安全防御系统中就建立了不可替代的地位。作为边界网络安全的第一道关卡防火墙经历了包过滤技术、代理技术和状态监视技术的技术革命,通过ACL 访问控制策略、NAT地址转换策略以及抗网络攻击策略有效的阻断了一切未被明确允许的包通过,保护了网络的安全。防火墙就像故宫的城墙,对进出防火墙的一切数据包进行检查,保证合法数据包能够进入网络访问合法资源同时防止非法人员通过非法手段进入网络或干扰网络的正常运行。防火墙技术在当时被堪称完美!随着时代的变迁,故宫的城墙已黯然失色,失去了它原有的防御能力。同样防火墙在面对网络的高速发展,应用的不断增多的时代也失去了它不可替代的地位。自2009年10月Gartner提出“Defining the Next-Generation Firewall”一文,重新定义下一代防火墙,下一代防火墙的概念在业内便得到了普遍的认可。深信服也在经过10年网络安全技术6年的应用安全技术沉淀之后,于2011年正式发布深信服“下一代应用防火墙”——NGAF。 2. 为什么需要下一代防火墙 2.1网络发展的趋势使防火墙以及传统方案失效 防火墙作为一款历史悠久的经典产品,在IP/端口的网络时代,发挥了巨大的作用:合理的分隔了安全域,有效的阻止了外部的网络攻击。防火墙在设计时的针对性,在当时显然是网络安全的最佳选择。但在网络应用高速发展,网络规划复杂化的今天防火墙的不适应性就越发明显,从用户对网络安全建设的需求来看,传统防火墙存在以下问题: 1、应用安全防护的问题: 传统防火墙基于IP/端口,无法对应用层进行识别与控制,无法确定哪些应用经过了防火墙,自然就谈不上对各类威胁进行有效防御了。面对应用层的攻击,防火墙显得力不从心,无法检测或拦截嵌入到普通流量中的恶意攻击代码,比如病毒、蠕虫、木马等。 2、安全管理的问题: 传统防火墙的访问控制策略对于大型网络来说简直就是噩梦。严格控制网络需要配置大量的策略,并且这些基于IP/端口策略可读性非常之差,经常会造成错配、漏配的情况,留下的这些隐患,往往给黑客们以可乘之机。