下一代防火墙解决方案
目录
1 网络现状 (3)
2 解决方案 (9)
2.1 网络设备部署图 (9)
2.2 部署说明 (9)
2.3 解决方案详述 (9)
2.3.1 流量管理 (10)
2.3.2 应用控制 (12)
2.3.3 网络安全 (12)
3 报价 (25)
1 网络现状
随着网络技术的快速发展,现在我们对网络安全的关注越来越重视。近几年来,计算机和网络攻击的复杂性不断上升,使用传统的防火墙和入侵检测系统(IDS)越来越难以检测和阻挡。漏洞的发现和黑客利用漏洞之间的时间差也变得越来越短,使得IT和安全人员得不到充分的时间去测试漏洞和更新系统。随着病毒、蠕虫、木马、后门和混合威胁的泛滥,内容层和网络层的安全威胁正变得司空见惯。复杂的蠕虫和邮件病毒诸如Slammer、Blaster、Sasser、Sober、MyDoom 等在过去几年经常成为头条新闻,它们也向我们展示了这类攻击会如何快速的传播——通常在几个小时之内就能席卷全世界。
许多黑客正监视着软件提供商的补丁公告,并对补丁进行简单的逆向工程,由此来发现漏洞。下图举例说明了一个已知漏洞及相应补丁的公布到该漏洞被利用之间的天数。需要注意的是,对于最近的一些攻击,这一时间已经大大缩短了。
IT和安全人员不仅需要担心已知安全威胁,他们还不得不集中精力来防止各种被称之为“零小时”(zero-hour)或“零日”(zero-day)的新的未知的威胁。为了对抗这种新的威胁,安全技术也在不断进化,包括深度包检测防火墙、应用网关防火墙、内容过滤、反垃圾邮件、SSL VPN、基于网络的防病毒和入侵防御系统(IPS)等新技术不断被应用。但是黑客的动机正在从引起他人注意向着获取经济利益转移,我们可以看到一些更加狡猾的攻击方式正被不断开发出来,以绕过传统的安全设备,而社会工程(social engineering)陷阱也成为新型
攻击的一大重点。
图:系统漏洞被黑客利用的速度越来越快
带有社会工程陷阱元素的攻击包括间谍软件、网络欺诈、基于邮件的攻击和恶意Web站点等。这些攻击设计为欺骗用户暴露敏感信息,下载和安装恶意程序、跟踪软件或运行恶意代码。很多这类攻击设计为使用传统的浏览器或Email技术(如ActiveX、XML、SMTP等),并伪装为合法应用,因此传统的安全设备很难加以阻挡。现在比以往任何时候都更需要先进的检测和安全技术。
传统的防火墙系统
状态检测防火墙原本是设计成一个可信任企业网络和不可信任的公共网络之间的安全隔离设备,用以保证企业的互联网安全。状态检测防火墙是通过跟踪会话的发起和状态来工作的。通过检查数据包头,状态检测防火墙分析和监视网络层(L3)和协议层(L4),基于一套用户自定义的防火墙策略来允许、拒绝或转发网络流量。
传统防火墙的问题在于黑客已经研究出大量的方法来绕过防火
墙策略。这些方法包括:
●利用端口扫描器的探测可以发现防火墙开放的端口。
●攻击和探测程序可以通过防火墙开放的端口穿越防火墙。如
MSN、QQ等IM(即时通信)工具均可通过80端口通信,BT、
电驴、Skype等P2P软件的通信端口是随机变化的,使得传
统防火墙的端口过滤功能对他们无能为力。SoftEther等软
件更可以将所有TCP/IP通讯封装成HTTPS数据包发送,使用
传统的状态检测防火墙简直防不胜防。
SoftEther可以很轻易的穿越传统防火墙
●PC上感染的木马程序可以从防火墙的可信任网络发起攻击。
由于会话的发起方来自于内部,所有来自于不可信任网络的
相关流量都会被防火墙放过。当前流行的从可信任网络发起
攻击应用程序包括后门、木马、键盘记录工具等,它们产生
非授权访问或将私密信息发送给攻击者。
●较老式的防火墙对每一个数据包进行检查,但不具备检查包负
载的能力。病毒、蠕虫、木马和其它恶意应用程序能未经检
查而通过。
●当攻击者将攻击负载拆分到多个分段的数据包里,并将它们打
乱顺序发出时,较新的深度包检测防火墙往往也会被愚弄。
●使用笔记本电脑、PDA和便携邮件设备的移动用户会在他们离
开办公室的时候被感染,并将威胁带回公司网络。边界防火
墙对于从企业信任的内部网络发起的感染和攻击爱莫能助。
图:被通过知名端口(80端口)攻击的网站数
基于主机的防病毒软件
基于主机的防病毒软件是部署得最广泛的安全应用,甚至超过了边界防火墙。基于主机的防病毒软件随着上世纪80年代中期基于文件的病毒开始流行而逐渐普及,如今已成为最受信任的安全措施之一。但是基于主机的防病毒软件也有它的缺点,包括:
●需要安装、维护和保持病毒特征库更新,这就导致了大量的维
护开销。
●很多用户并没有打开防病毒软件的自动更新功能,也没有经常
的手动更新他们的病毒库,这就导致防病毒软件对最新的威
胁或攻击无用。
●用户有时可能会有意或无意的关闭他们的单机安全应用程序。
●最新的复杂的木马程序能对流行的基于主机的防病毒软件进
行扫描,并在它们加载以前就将它们关闭–这就导致即使
有了最新的病毒特征码,事实上它们还是不能被检测出来。
企业单纯依靠给予主机的防病毒软件和给操作系统和应用程序打补丁的方法会使它们的内部系统面临很高的安全风险。随着业务中使用了越来越多的面向全球且需要持续运行的关键应用,停机来更新操作系统补丁、病毒特征码和应用升级变得越来越困难。而公司的Web、Email、电子商务、数据库、应用等服务器由于长时间不打补丁会很容易在新的攻击方式下暴露出它们的漏洞。仅仅依靠基于主机的防病毒软件的另一个缺点是,事实上有害代码在被每一个主机的安全软件检测和阻挡之前就已经进入了公司的网络,这就大大威胁了企业关键业务系统和网络应用。
采用功能单一的产品的缺点
要想构建一个立体的安全防护体系,必须要考虑多层次的防护,包括:
1.防火墙
2.VPN网关
3.入侵防御系统(IPS)
4.网关防病毒
5.网页及URL过滤
6.应用程序过滤及带宽控制
采用功能单一的产品会带来成本增加,管理难度高的问题。如果想部署一个立体的安全防护体系,必须要将很多设备串接在网络中,这样会造成网络性能下降,故障率高,管理复杂。
2 解决方案
2.1 网络设备部署图
2.2 部署说明
在公司网络出口处部署深信服下一代防火墙NGAF,深信服下一代防火墙NGAF是面向应用层设计,能够精确识别用户、应用和内容,具备完整的L2-L7层的安全防护体系,强化了在Web层面的应用防护能力,不仅能够全面替代传统防火墙,并在开启安全功能的情况下还保持有强劲应用层处理能力的全新网络安全设备。
2.3 解决方案详述
网络的发展与普及正在改变人们的工作和生活方式,互联网正逐步成为重要的生产资料,组织业务正逐渐向互联网迁移,互联网是一把“双刃剑”,缺乏管理的互联网络带来了诸多问题;根据对客户需求的分析,主要从以下三个方面对该方案做一个详细的阐述。
2.3.1 流量管理
用户上网体验差,邮件发送、资料下载慢,严重影响用户的正常办公。深信服的下一代防火墙NGAF可根据业务类型进行带宽限制或保障,保证核心业务畅通运行;能灵活分配带宽资源,实现动态调整,提高带宽利用率。
流量管理的功能主要有:多级父子通道、动态流控、P2P智能流控。
多级父子通道
将总体带宽细分通道化,可根据用户或应用进行划分;根据用户或应用的重要性,通道可设置为带宽限制或带宽保证;最高支持8级通道,可匹配组织构架,实现带宽精细划分;
动态流控
可以设定一个阈值(%)来区分空闲和繁忙状态,当整体带宽利用率低于阈值时,通道的最大带宽限制将上浮,直到整体利用率超过了阈值,才回收上浮的部分,实现带宽利用率最大化。
P2P智能流控
传统流控基于缓存丢包方式,UDP协议自身没有速率调整机制,且P2P传输模式具有特殊性,外网线路依然被大量的P2P数据报文所占用,导致带宽浪费。
P2P智能流控上传速度和下载速度具有关联性,通过抑制上行流量来达到控制下载速度的效果。
2.3.2 应用控制
员工上班时间网络聊天、炒股、网游,占用公司带宽,办公效率低下。深信服下一代防火墙NGAF内置强大应用特征库,能封堵IM聊天、炒股、游戏、下载、在线视频等应用,规范化上网行为,提高员工工作效率;封堵代理、翻墙软件,规避不当上网行为带来的法律风险;封堵邮件,防止敏感信息泄露。
2.3.3 网络安全
深信服下一代防火墙NGAF面向应用层设计,能够精确识别用户、应用和内容,具备完整的L2-L7层的安全防护体系,强化了在Web层面的应用防护能力,不仅能够全面替代传统防火墙,并具在开启安全功能的情况下还保持有强劲应用层处理能力的全新网络安全设备。2.3.3.1 可视的网络安全情况
NGAF独创的应用可视化技术,可以根据应用的行为和特征实现对应用的识别和控制,而不仅仅依赖于端口或协议,摆脱了过去只能通过IP地址来控制的尴尬,即使加密过的数据流也能应付自如。目前,
NGAF的应用可视化引擎不但可以识别1200多种的内外网应用及其2700多种应用动作,还可以与多种认证系统(AD、LDAP、Radius等)、应用系统(POP3、SMTP等)无缝对接,自动识别出网络当中IP地址对应的用户信息,并建立组织的用户分组结构;既满足了普通互联网边界行为管控的要求,同时还满足了在内网数据中心和广域网边界的部署要求,可以识别和控制丰富的内网应用,如Lotus Notes、RTX、Citrix、Oracle EBS、金蝶EAS、SAP、LDAP等,针对用户应用系统更新服务的诉求,NGAF还可以精细识别Microsoft、360、Symantec、Sogou、Kaspersky、McAfee、金山毒霸、江民杀毒等软件更新,保障在安全管控严格的环境下,系统软件更新服务畅通无阻。
因此,通过应用可视化引擎制定的L4-L7一体化应用控制策略, 可以为用户提供更加精细和直观化控制界面,在一个界面下完成多套设备的运维工作,提升工作效率。
2.3.3.2 强化的应用层攻击防护
2.3.3.2.1 基于应用的深度入侵防御
NGAF的灰度威胁关联分析引擎具备4000+条漏洞特征库、3000+Web应用威胁特征库,可以全面识别各种应用层和内容级别的单一安全威胁;另外,深信服凭借在应用层领域10年以上的技术积累,组建了专业的安全攻防团队,可以为用户定期提供最新的威胁特征库更新,以确保防御的及时性。
2.3.3.2.2 强化的WEB攻击防护
NGAF能够有效防护OWASP组织提出的10大web安全威胁的主要攻击,并于2013年1月获得了OWASP组织颁发的产品安全功能测试4星评级证书(最高评级为5星,深信服NGAF为国内同类产品评分最高)主要功能如:
防SQL注入攻击
SQL注入攻击产生的原因是由于在开发web应用时,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据,这就是所谓的SQL Injection,即SQL注入。NGAF可以通过高效的URL过滤技术,过滤SQL注入的关键信息,从而有效的避免网站服务器受到SQL注入攻击。
防XSS跨站脚本攻击
跨站攻击产生的原理是攻击者通过向Web页面里插入恶意html代码,从而达到特殊目的。NGAF通过先进的数据包正则表达式匹配原理,可以准确地过滤数据包中含有的跨站攻击的恶意代码,从而保护用户的WEB服务器安全。
防CSRF攻击
CSRF即跨站请求伪造,从成因上与XSS漏洞完全相同,不同之处在于利用的层次上,CSRF是对XSS漏洞更高级的利用,利用的核心在于通过XSS漏洞在用户浏览器上执行功能相对复杂的JavaScript 脚本代码劫持用户浏览器访问存在XSS漏洞网站的会话,攻击者可以
与运行于用户浏览器中的脚本代码交互,使攻击者以受攻击浏览器用户的权限执行恶意操作。NGAF通过先进的数据包正则表达式匹配原理,可以准确地过滤数据包中含有的CSRF的攻击代码,防止WEB系统遭受跨站请求伪造攻击。
主动防御技术
主动防御可以针对受保护主机接受的URL请求中带的参数变量类型,以及变量长度按照设定的阈值进行自动学习,学习完成后可以抵御各种变形攻击。另外还可以通过自定义参数规则来更精确的匹配合法URL参数,提高攻击识别能力。
应用信息隐藏
NGAF对主要的服务器(WEB服务器、FTP服务器、邮件服务器等)反馈信息进行了有效的隐藏。防止黑客利用服务器返回信息进行有针对性的攻击。如:
HTTP出错页面隐藏:用于屏蔽Web服务器出错的页面,防止web 服务器版本信息泄露、数据库版本信息泄露、网站绝对路径暴露,应使用自定义页面返回。
HTTP(S)响应报文头隐藏:用于屏蔽HTTP(S)响应报文头中特定的字段信息。
FTP信息隐藏:用于隐藏通过正常FTP命令反馈出的FTP服务器信息,防止黑客利用FTP软件版本信息采取有针对性的漏洞攻击。URL防护
Web应用系统中通常会包含有系统管理员管理界面以便于管理员
远程维护web应用系统,但是这种便利很可能会被黑客利用从而入侵应用系统。通过NGAF提供的受限URL防护功能,帮助用户选择特定URL的开放对象,防止由于过多的信息暴露于公网产生的威胁。
弱口令防护
弱口令被视为众多认证类web应用程序的普遍风险问题,NGAF通过对弱口令的检查,制定弱口令检查规则控制弱口令广泛存在于web 应用程序中。同时通过时间锁定的设置防止黑客对web系统口令的暴力破解。
HTTP异常检测
通过对HTTP协议内容的单次解析,分析其内容字段中的异常,用户可以根据自身的Web业务系统来量身定造允许的HTTP头部请求方法,有效过滤其他非法请求信息。
文件上传过滤
由于web应用系统在开发时并没有完善的安全控制,对上传至web 服务器的信息进行检查,从而导致web服务器被植入病毒、木马成为黑客利用的工具。NGAF通过严格控制上传文件类型,检查文件头的特征码防止有安全隐患的文件上传至服务器。同时还能够结合病毒防护、插件过滤等功能检查上传文件的安全性,以达到保护web服务器安全的目的。
用户登录权限防护
针对某些特定的敏感页面或者应用系统,如管理员登陆页面等,为了防止黑客访问并不断的进行登录密码尝试,NGAF可以提供访问
URL登录进行短信认证的方式,提高访问的安全性。
缓冲区溢出检测
缓冲区溢出攻击是利用缓冲区溢出漏洞所进行的攻击行动。可以利用它执行非授权指令,甚至可以取得系统特权,进而进行各种非法操作。NGAF通过对URL长度,POST实体长度和HTTP头部内容长度检测来防御此类型的攻击。
2.3.3.2.3 全面的终端安全保护
传统网络安全设备对于终端的安全保护仅限于病毒防护。事实上终端的安全不仅仅是病毒,很多用户在部署过防病毒软件之后,终端的安全事件依然频发,如何完整的保护终端成为众多用户关注的焦点。尤其是最近几年,互联网不断披露的一些安全事件都涉及到了一种新型,复杂,存在长期影响的攻击行为——APT。
APT 全称Advanced Persistent Threat(高级持续性威胁),是以窃取核心资料为目的,针对客户所发动的网络攻击和侵袭行为,是一种蓄谋已久的“恶意商业间谍威胁”。这种行为往往经过长期的经营与策划,并具备高度的隐蔽性。APT的攻击手法,在于隐匿自己,针对特定对象,长期、有计划性和组织性地窃取数据,这种发生在数字空间的偷窃资料、搜集情报的行为,就是一种“网络间谍”的行为。
传统防毒墙和杀毒软件查杀病毒木马的效果有限,在APT场景下,因为无法解读数据的应用层内容以及木马的伪装技术逃逸杀毒软件的检测,传统防毒墙和杀毒软件更是形同虚设,因此需要一种全面的
检测防护机制,用于发现和定位内部网络受病毒木马感染的机器。
APT检测
NGAF的APT检测功能主要解决的问题:针对内网PC感染了病毒、木马的机器,其病毒、木马试图与外部网络通信时,AF识别出该流量,并根据用户策略进行阻断和记录日志。帮助客户能够定位出那台PC中毒,并能阻断其网络流量,避免一些非法恶意数据进入客户端,起到更好的防护效果。
NGAF的APT检测功能主要由两部分检测内容来实现:
1.远控木马检测
在应用特征识别库当中存在一类木马控制的应用分类。这部分木马具有较明显的网络恶意行为特征,且行为过程不经由HTTP协议交互,故通过专门制作分析的应用特征来进行识别。如灰鸽子,炽天使,冰河木马,网络守望者等等。此种类型的木马也随深信服应用识别规则库的更新而更新。
2.僵尸网络检测
僵尸网络检测主要是通过匹配内置的僵尸网络识别库来实现。该特征库包含木马,广告软件,恶意软件,间谍软件,后门,蠕虫,漏洞,黑客工具,病毒9大分类。特征库的数量目前已达数十万,并且依然以每两周升级一次的速度进行更新。
除了APT攻击检测功能,深信服在终端安全防护方面还提供了基于漏洞和病毒特征的增强防护,确保终端的全面安全
终端漏洞防护
内网终端仍然存在漏洞被利用的问题,多数传统安全设备仅仅提供基于服务器的漏洞防护,对于终端漏洞的利用视而不见。NGAF同时提供基于终端的漏洞保护能防护如:后门程序预防、协议脆弱性保护、exploit保护、网络共享服务保护、shellcode预防、间谍程序预防等基于终端的漏洞防护,有效防止了终端漏洞被利用而成为黑客攻击的跳板。
终端病毒防护
NGAF提供基于终端的病毒防护功能,从源头对HTTP、FTP、SMTP、POP3等协议流量中进行病毒查杀,亦可查杀压缩包(zip,rar,7z 等)中的病毒,内置百万级别病毒样本,确保查杀效果。
2.3.3.2.4 专业攻防研究团队确保持续更新
NGAF的统一威胁识别具备4000+条漏洞特征库、数十万条病毒、木马等恶意内容特征库、3000+Web应用威胁特征库,可以全面识别各种应用层和内容级别的各种安全威胁。其漏洞特征库已通过国际最著名的安全漏洞库CVE严格的兼容性标准评审,获得CVE兼容性认证(CVE Compatible)。
深信服凭借在应用层领域7年以上的技术积累组建了专业的安全攻防团队,作为微软的MAPP(Microsoft Active Protections Program)项目合作伙伴,可以在微软发布安全更新前获得漏洞信息,为客户提供更及时有效的保护,以确保防御的及时性。
2.3.3.3 独特的双向内容检测技术
只提供基于应用层安全防护功能的方案,并不是一个完整的安全方案,对于服务器的保护传统解决方案通常是通过防火墙、IPS、AV、WAF等设备的叠加来达到多个方面的安全防护效果。这种方式功能模块的分散,虽然能防护主流的攻击手段,但并不是真正意义上的统一防护。这既增加了成本,也增加了组网复杂度、提升了运维难度。从技术角度来说,一个黑客完整的攻击入侵过程包括了网络层和应用层、内容级别等多个层次方式方法,如果将这些威胁割裂开处理进行防护,各种防护设备之间缺乏智能的联动,很容易出现“三不管”的灰色地带,出现防护真空。比如当年盛极一时的蠕虫“SQL Slammer”,在发送应用层攻击报文之前会发送大量的“正常报文”进行探测,即使IPS有效阻断了攻击报文,但是这些大量的“正常报文”造成了网络拥塞,反而意外的形成了DOS攻击,防火墙无法有效防护。
因此,“具备完整的L2-L7完整的安全防护功能”就是Gartner定义的“额外的防火墙智能”实现前提,才能做到真正的内核级联动,为用户的业务系统提供一个真正的“铜墙铁壁”。
白皮书 选择下一代防火墙:十大注意事项 中型企业必备 概述 很多中型公司的网络安全已步入关键时期,他们必须巩固传统安全解决方案,以应对移动和云引发的新趋势,并 适应不断变化的威胁形势。这些局面导致维护网络安全这一挑战更加复杂,并加重了企业网络以最佳状态运行的 负担。 在监控用户的操作、用户访问的应用类型或使用的设备方面,传统防火墙捉襟见肘。下一代防火墙则可以填补这些空白。本文档列举了中型企业在评估下一代防火墙解决方案时需要权衡的十大注意事项: 1. 防火墙是否基于综合全面的状态防火墙基础? 2. 对于移动用户,解决方案是否支持强大安全的远程访问? 3. 防火墙是否提供主动威胁防范? 4. 防火墙能否在多个安全服务运行时保持性能不降级? 5. 解决方案是否提供深度应用可视性和精细应用控制? 6. 防火墙是否能够交付用户、网络、应用以及设备智能,推动情景感知防护? 7. 防火墙是否提供基于云的网络安全? 8. 能否部署可随着组织扩展的面向未来的解决方案? 9. 防火墙供应商是否拥有广泛的支持和服务,可为迁移路径铺平道路? 10. 防火墙供应商是否提供极具吸引力的融资方案,以缩短部署时间? 下一代防火墙应提供“一体化”解决方案,并融合一系列经济实惠、且便于部署和管理的下一代防火墙服务。本白皮书将帮助您评估下一代防火墙,为您的中型组织作出最明智选择。
网络受损害的机率:100% 据思科 2014 年度安全报告,“所有组织都应该假设自己已经受到黑客的攻击。”1思科智能运营中心 (SIO) 的研究人员发现,所有企业网络中都能检测到恶意流量,这意味着有证据表明恶意人士已经侵入这些网络,而且可能不被察觉地活动了很长时间。2 这些发现强调了为什么所有组织必须部署可提供持续安全以及整个安全网络端到端可视性的下一代防火墙解决方案。成功的攻击是不可避免的,IT 团队必须能够确定损害的范围、遏制事件的发展、采取补救措施,并将运营恢复正常,而且这一切必须及时快速展开。 向新安全模式转变 下一代防火墙是以威胁为中心的安全模式的重要要素。采取以威胁为中心的模式,监控整个网络,并在攻击的整个生命周期(即攻击前、攻击中以及攻击后)做出适当的回应意义非凡。在为组织评估下一代防火墙时,一定要记住,任何解决方案都必须满足下列要求: ●具有全面的防护功能:要在当前威胁形势下保护网络,离不开基于漏洞调查、信誉评分以及其他关键要素的 一流防恶意软件和入侵防御。 ●遵守业务策略:下一代防火墙必须从深度和广度两个层面,对有关应用使用的策略进行全面实施。同时,必 须保证可根据业务策略,在细粒度级别,对出于个人和专业原因使用的各种协作和 Web 2.0 应用进行监控和控制。 ●确保策略得到设备和用户的实施:下一代防火墙必须对访问网络的设备和用户、及其访问网络的位置做到了 如指掌。同时,还必须确保安全策略可根据用户、群以及设备类型(Apple iPhone、iPod、Android 移动设备的具体版本)进行调整。 再者,启用多个服务时,下一代防火墙解决方案不能在以线速保证防护、策略、一致性以及环境的同时,造成性能突然大幅降级。 选择下一代防火墙解决方案时,请思考这些重要问题: 1思科 2014 年度安全报告:https://www.doczj.com/doc/3913093614.html,/web/offer/urls/CN/whitepapers/sc-01casr2014_cte_lig_zh-cn_35330.pdf。 2同上。
下一代防火墙和传统防火墙的区别: 传统防火墙:无法防御应用层攻击 NGAF:解决运行在网络传统防火墙对应用层协议识别、控制及防护的不足! 功能优势: 1、应用层攻击防护能力(漏洞防护、web攻击防护、病毒木马蠕虫) 2、双向内容检测的优势(具备网页防篡改、信息防泄漏) 3、8元组ACL与应用流控的优势 4、能实现模块间智能联动 下一代防火墙和IPS(入侵防御模块)区别: IPS:应用安全防护体系不完善,对WEB攻击防护效果不佳;NGAF:解决保护系统层面的入侵防御系统,和对应用层攻击防护不足,及应用层攻击漏判误判的问题! 功能优势: 1、Web攻击防护,尤其是各类逃逸攻击(注入逃逸、编码逃逸)的防护
下一代防火墙和WAF(Web应用防火墙): WAF:处理性能不足,缺乏底层漏洞攻击特征库,无法对WEB业务进行整体安全防护 NGAF:解决定位于防护Web攻击的Web应用防火墙 功能优势: 1、三大特征库保护网站安全:漏洞2800+、web攻击2000+、敏感信息(OWASP综合4星) 2、敏感信息防泄漏功能,业内热点,业界独家 3、自动建模技术,自动生成策略。 下一代防火墙和UTM(统一权威管理): UTM:多功能开启性能差,各模块缺乏联动 NGAF:解决面向中小型企业一体化的UTM统一威胁管理系统,解决多功能模块开启后性能下降以及应用层防护能力不足的问题。 功能优势: 1、六大特征库更完整安全:(漏洞2800+、应用2000+、病毒库10万、web攻击2000+、URL+恶意网址10万、敏感信息) 2、Web攻击模块(web攻击防护、敏感信息、防篡改、应
防火墙方案
防火墙方案
区域逻辑隔离建设(防火墙) 国家等级保护政策要求不同安全级别的系统要进行逻辑隔离,各区域之间能够按照用户和系统之间的允许访问规则控制单个用户,决定允许或者禁止用户对受控系统的资源访问。 国家等级化保护政策要求不同安全级别间的系统要进行区域的逻辑隔离,各区域之间能按照用户和系统之间的允许访问规则,控制担搁用户,决定允许或者拒绝用户对受控系统的资源访问。 在网络边界部署防火墙系统,并与原有防火墙形成双机热备,部署防火墙能够实现: 1.网络安全的基础屏障: 防火墙能极大地提高一个内部网络的安全性,并经过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能经过防火墙,因此网络环境变得更安全。如防火墙能够禁止诸如众所周知的不安全的NFS协议进出受保护网络,这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。防火墙同时能够保护网络免受基于路由的攻击,如IP选项中的源路由攻击和ICMP重定向中的重定向路径。防火墙能够拒绝所有以上类型攻击的报文并通知防火墙管理员。 2.强化网络安全策略
经过以防火墙为中心的安全方案配置,能将所有安全软件(如口令、加密、身份认证、审计等)配置在防火墙上。与将网络安全问题分散到各个主机上相比,防火墙的集中安全管理更经济。例如在网络访问时,一次一密口令系统和其它的身份认证系统完全能够不必分散在各个主机上,而集中在防火墙一身上。 3.对网络存取和访问进行监控审计 如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并作出日志记录,同时也能提供网络使用情况的统计数据。当发生可疑动作时,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。另外,收集一个网络的使用和误用情况也是非常重要的。首先的理由是能够清楚防火墙是否能够抵挡攻击者的探测和攻击,而且清楚防火墙的控制是否充分。而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。 4.防止内部信息的外泄 经过利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。再者,隐私是内部网络非常关心的问题,一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣,甚至因此而曝露了内部网络的某些安全漏洞。使用防火墙就能够隐蔽那些透漏内部细节如Finger,DNS等服务。
话说下一代防火墙(NGFW)的“三个” 下一代防火墙"NGFW"一个从产生到日渐成熟仍旧拥有一定热度的词汇,相较于传统的防火墙,NGFW的安全性能有了很大的提升,体现了极强的可视性、融合性、智能化。本文来和大家 说说下一代防火墙的"三个"。 下一代防火墙"NGFW",一个从产生到日渐成熟仍旧拥有一定热度的词汇,相较于传统的防火墙,NGFW的安 全性能有了很大的提升,体现了极强的可视性、融合性、智能化。本文来和大家说说下一代防火墙的"三个"。 下一代防火墙发展的三个拐点 事物的更新迭代是必然的,就像是一个朝代的兴起与衰落,而防火墙性能的提升自然也不会例外,于是下 一代防火墙应景而生。同很多新生事物一样,它也需要慢慢的发展而后变得成熟。下面我们一起看看它的 经历。 拐点一:下一代防火墙的萌动发展 随着国外用户对应用的增多、攻击复杂,传统的防火墙已经不能满足人们的需求。于是美国的PaloAlto公司率先发布了下一代防火墙的产品,并凭借仅有的一条产品线在国外市场获得众多用户的青睐。2009年,著名的分析机构Gartner年发布的一份名为《Defining the Next-Generation Firewall》的文章重新定义 了防火墙,它集成了深度包检测入侵测试、应用识别与精细控制。这个定义一经发布便受到了国外一些安 全厂商的热捧,认为传统防火墙十多年缓慢的发展确实越来越不匹配其网络边界第一道防线的称号。 拐点二:下一代防火墙热潮汹涌 随着国外防火墙的升级发展,国内厂商也纷纷发布自己的下一代防火墙以顺应网络安全产品变革的趋势, 一股下一代防火墙的热潮被掀起。这其中比较知名的厂商有:梭子鱼、深信服、锐捷、天融信、东软等, 各家产品有着各自不同的特点。总的来说,下一代防火墙相比传统的防火墙功能更加的全面,性能更是强劲。 拐点三:下一代防火墙日渐成熟 热潮过后,厂商不断的反思对下一代防火墙进行改进升级。从2011年国内的下一代防火墙开始发展至今,这近两年的时间过后,下一代防火墙越来越成熟,越来越被人们认可接受。很多的用户使用下一代防火墙
下一代防火墙解决方案
目录 1 网络现状 (3) 2 解决方案 (9) 2.1 网络设备部署图 (9) 2.2 部署说明 (9) 2.3 解决方案详述 (9) 2.3.1 流量管理 (10) 2.3.2 应用控制 (12) 2.3.3 网络安全 (12) 3 报价 (25)
1 网络现状 随着网络技术的快速发展,现在我们对网络安全的关注越来越重视。近几年来,计算机和网络攻击的复杂性不断上升,使用传统的防火墙和入侵检测系统(IDS)越来越难以检测和阻挡。漏洞的发现和黑客利用漏洞之间的时间差也变得越来越短,使得IT和安全人员得不到充分的时间去测试漏洞和更新系统。随着病毒、蠕虫、木马、后门和混合威胁的泛滥,内容层和网络层的安全威胁正变得司空见惯。复杂的蠕虫和邮件病毒诸如Slammer、Blaster、Sasser、Sober、MyDoom 等在过去几年经常成为头条新闻,它们也向我们展示了这类攻击会如何快速的传播——通常在几个小时之内就能席卷全世界。 许多黑客正监视着软件提供商的补丁公告,并对补丁进行简单的逆向工程,由此来发现漏洞。下图举例说明了一个已知漏洞及相应补丁的公布到该漏洞被利用之间的天数。需要注意的是,对于最近的一些攻击,这一时间已经大大缩短了。 IT和安全人员不仅需要担心已知安全威胁,他们还不得不集中精力来防止各种被称之为“零小时”(zero-hour)或“零日”(zero-day)的新的未知的威胁。为了对抗这种新的威胁,安全技术也在不断进化,包括深度包检测防火墙、应用网关防火墙、内容过滤、反垃圾邮件、SSL VPN、基于网络的防病毒和入侵防御系统(IPS)等新技术不断被应用。但是黑客的动机正在从引起他人注意向着获取经济利益转移,我们可以看到一些更加狡猾的攻击方式正被不断开发出来,以绕过传统的安全设备,而社会工程(social engineering)陷阱也成为新型
绿盟下一代防火墙 产品白皮书 ? 2014 绿盟科技■版权声明 本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属绿盟科技所有,受到有关产权及版权法保护。任何个人、机构未经绿盟科技的书面授权许可,不得以任何方式复制或引用本文的任何片断。
目录 一. 当今网络边界安全的新挑战 (1) 二. 现有防火墙解决方案的不足 (2) 三. 绿盟下一代防火墙产品 (3) 3.1客户价值 (3) 3.1.1 洞察网络应用,识别安全风险 (3) 3.1.2 融合安全功能,保障应用安全 (4) 3.1.3 高效安全引擎,实现部署无忧 (4) 3.1.4 内网风险预警,安全防患未然 (4) 3.1.5 云端高效运维,安全尽在掌握 (5) 3.2产品概述 (5) 3.3产品架构 (6) 3.4主要功能 (7) 3.4.1 识别和可视性 (7) 3.4.2 一体化策略与控制 (8) 3.4.3 应用层防护 (9) 3.4.4 内网资产风险识别 (10) 3.4.5 安全运维云端接入 (11) 3.4.6 基础防火墙特性 (12) 3.5产品优势 (13) 3.5.1 全面的应用、用户识别能力 (13) 3.5.2 细致的应用层控制手段 (15) 3.5.3 专业的应用层安全防护能力 (16) 3.5.4 卓越的应用层安全处理性能 (18) 3.5.5 首创的内网资产风险管理 (18) 3.5.6 先进的云端安全管理模式 (18) 3.5.7 完全涵盖传统防火墙功能特性 (19) 3.6典型部署 (19) 四. 总结 (20)
插图索引 图1 核心理念 (5) 图2 整体架构 (6) 图3 资产管理 (10) 图4 云端接入 (11) 图5 应用/用户识别 (13) 图6 应用控制 (15) 图7 一体化安全引擎 (16) 图8 双引擎多核并发 (18) 图9 典型部署 (19)
下一代防火墙:从概念回归本质 与传统防火墙相比,下一代防火墙性能有了很大的提升,体现了极强的可视性、融合性、智能化。那么,究竟何为NGFW的本质特征?NGFW的必备功能是什么?NGFW与UTM的区别究竟在哪里? AD:2013大数据全球技术峰会低价抢票中从2007年Palo Alto Networks发布世界第一款下一代防火墙(NGFW)产品至今已经有五年多的光景,这期间不少国内外的厂商相继推出了NGFW。例如:深信服、梭子鱼(Barracuda Networks)、Check Point、网康、天融信等。在防火墙市场,已经展现出一场群雄争霸的局面。 NGFW应企业需求而生 随着互联网的快速发展,各种应用程序的爆发,企业面临着常用应用程序中的漏洞带来的风险。 网络通信不再像以前一样紧紧是依赖于存储和转发应用程序(例如电子邮件),而且已经扩展到涵盖实时协作工具、Web2.0应用程序、即时消息(IM)和P2P应用程序、语音IP 电话(VoIP)、流媒体和电话会议,这些都带来潜在的风险。很多企业无法区分网络中使用的具有合法业务目的应用程序与那些不是关键型应用程序(只是消耗带宽或者带来危险)。 恶意软件和网络攻击者瞄准了这个场所,让企业面临如数据泄露、潜在的渗透等风险。除了带来安全风险,这些应用程序也消耗带宽和生产力,并且与关键业务型应用程序抢夺网络带宽。因此,企业需要工具来保证业务关键应用程序的带宽,并需要应用程序智能和控制来保护入站和出站的流量,同时确保速度和安全性以提供高效的工作环境。 应企业需求,在多种多样大量的应用程序环境下,仅靠传统防火墙的功能似乎显得力不从心,它们的技术实际上已经过时,因为它们无法检查攻击者散播的网络数据包的数据负载。而NGFW可以提供应用智能控制、入侵防御、恶意软件防护和SSL检查,还可扩展到支持最高性能网络。 众说纷纭NGFW 市场呼唤新的防火墙产品。需要注意的是,机构对下一代防火墙所做出的定义是其最小化的功能集合,而从安全厂商的角度看,则会根据自身技术积累的情况,在产品上集成更多的安全功能。这导致不同厂商的NGFW产品在功能上可能存在差异,它们更像一个大而全的
多链路负载均衡解决方案 1.背景 在企业信息化发展过程中,企业网络对出口带宽的需求日益增加,为此很多企业都同时租用多个运行商链路,或者一个运营商的多条链路。通过多链路接入可以增加带宽,同时起到分流作用;多链路接入还可以起到链路备份功能,如果其中的一条线路断开,则自动使用另外一条线路;所以,在企业网络出口以多链路方式接入变得越来越普遍,如何更高效的利用多链路带宽资源成为一个新的挑战。 2.典型用户问题 随着业务规模的发展,初建网络时的一个出口链路已经不能满足业务流量的带宽需求,所以许多企业通过新增出口链路的方式来扩展带宽。相比于直接扩容初始链路的带宽,新增出口链路更为灵活、方便和节约成本。同时,多条链路可以提高出口的稳定性,如果其中有一条链路出现故障,导致中断,另外的链路可以将流量接管过来,起到备份保障的作用。 多出口链路的部署方式,改变了业务流量“一条道跑到黑”的模式,当业务流量走到网关的十字路口前,从哪个出口走出去,成为多链路负载均衡需要解决的技术问题。 1)多条链路带宽差异大:企业网络初建时,迫于成本压力,一般出口带宽都较小,而后期新增链路的带宽都比较大,造成非对称的多出口链路。 如果业务流量不能合理分配,就会造成一条链路带宽被占满,其它链路 还处于空闲,导致大量带宽被浪费。 2)多运营商网络质量差异大:目前,国内的网络运营商之间竞争激烈,不同运营商的网络质量不同,跨运营商的访问存在延迟很大,丢包较多的 现状。比如访问互联网的一个WEB站点,一般DNS服务器对一个域名只能解析出一个IP,如果该域名解析出是联通的IP,电信线路的用户访问
该IP的体验将非常缓慢。那么内网用户访问该WEB站点的流量该从哪个运营商的出口链路出去,才能有更好的网络体验,是网关设备必须要解 决的问题。 3)多种应用对带宽需求差异大:随着互联网技术的快速发展,网络上的各种应用层出不穷,各种网络应用对带宽的需求不同。比如P2P下载对带 宽需求非常大,因为P2P会产生大量连接,连接地址不仅数量众多而且 均不固定,可以迅速的挤占出口带宽,导致业务流量无法正常转发,影 响企业业务运转和工作效率。 3.解决之道 网康下一代防火墙NGFW产品在提供全方位的安全防护的功能的基础上,在网关模式部署时提供多链路负载均衡功能,以适应用户多运营商链路或同运营商多链路接入的应用场景。 NGFW 办公区1办公区N 核心交换机 …… NGFW多链路负载均衡结构图
产品概述 企业网络正向以移动宽带、大数据、社交化和云服务为核心的下一代网络演进。移动APP 、Web2.0、社交网络让企业处于开放的网络环境,攻击者通过身份仿冒、网站挂马、恶意软件、僵尸网络等多种方式进行网络渗透,企业面临前所未有的安全风险,传统防火墙面对变革却无能为力。 华为Secospace USG6300系列下一代防火墙应需而生,面向下一代网络环境,基于“ACTUAL ”感知,实现安全管理自我优化,通过云沙箱技术和信誉体系识别未知威胁,高性能地为中小企业、大型企业的分支机构、小型数据中心提供以应用层威胁防护为核心的下一代网络安全。 华为Secospace USG6300系列 下一代防火墙 产品特点 最精准的应用访问控制 ?全面创新的下一代环境感知和访问控制。通过应用、内容、时间、 用户、威胁和位置六个维度的组合,全局感知日益增多的应用层威胁,实现应用层安全防护。 ?丰富的报表将业务状态、网络环境、安全态势、用户行为等可视化展现,让用户全方位感知,安全运营。 ?深度融合的下一代内容安全。通过解析引擎合并,将安全能力与应用识别深度融合,防范借助应用进行的恶意代码植入、网络入侵、 数据窃取等破坏行为。 最高的性能体验 ?专用软硬件平台架构,IAE 单次解析引擎。智能感知应用信息后, 全安全特性并行处理。 ?内容检测硬件加速,提升应用层防护效率,保障全安全特性开启下的最佳性能。 最简单的安全管理 ?根据应用场景提供策略模板,实现策略快速部署。 ?根据网络中的实际流量和应用的风险,遵循最小权限控制原则,自动生成策略优化建议。 ?分析策略命中率,发现冗余、失效的策略,有效控制策略规模,简化管理。 最全面的未知威胁防护 ?遍布全球的安全中心,丰富的可疑样本来源。在云端采用沙箱技术,在模拟环境中监控可疑样本的运行行为,高效发现未知威胁。 ?发现未知威胁后自动提取威胁特征,并迅速将特征同步到设备侧,有效防范零日攻击。 ?准确、完善的信誉体系,防范APT 攻击。 USG6370/6380/6390 USG6310/6320 USG6330/6350/6360
数据表 Cisco Firepower 下一代防火墙 Cisco Firepower? 下一代防火墙 (NGFW) 是业内首款具有统一管理功能的完全集成、专注于威胁防御的下一代防火墙。它包括应用可视性与可控性 (AVC)、可选的 Firepower 下一代 IPS (NGIPS)、思科?高级恶意软件防护 (AMP) 和 URL 过滤。在攻击前、攻击中和攻击后,Cisco Firepower NGFW 均可提供高级威胁防护。 性能亮点 表 1 概述 Cisco Firepower NGFW 4100 系列和 9300 设备的性能亮点。 表 1. 性能亮点 1 Cisco Firepower 4150 计划于 2016 年上半年发布;具体技术参数将于日后发布 2 数据包平均大小为 1024 字节的 HTTP 会话 Cisco Firepower 4100 系列: 带 40-GbE 接口的业内首款 1RU NGFW Cisco Firepower 9300: 随需求增长可扩展的超高性能 NGFW
平台支持 Cisco Firepower 4100 系列和 Firepower 9300 NGFW 设备使用 Cisco Firepower 威胁防御软件映像。这些设备还可以支持思科自适应安全设备 (ASA) 软件映像。Cisco Firepower 管理中心(原来的 FireSIGHT)提供 Cisco Firepower NGFW 以及 Cisco Firepower NGIPS 和思科 AMP 的统一管理。此外,优选 Cisco Firepower 设备上还提供直接源自思科的 Radware DefensePro 分布式拒绝服务 (DDoS) 缓解功能。 Cisco Firepower 4100 系列设备 Cisco Firepower 4100 系列包括四个专注于威胁防御的 NGFW 安全平台。其最大吞吐量从 20 Gbps 到 60 Gbps 以上,可应对从互联网边缘到数据中心等各种使用案例。它们可提供卓越的威胁防御能力以及更快的响应速度,同时占用空间却更小。 Cisco Firepower 9300 设备 Cisco Firepower 9300 是可扩展(超过 1 Tbps)运营商级模块化平台,专为要求低(少于 5 微秒分流)延迟和超大吞吐量的运营商、高性能计算中心、数据中心、园区、高频交易环境等打造。Cisco Firepower 9300 通过 RESTful API 实现分流、可编程的安全服务协调和管理。此外,它还可用于兼容 NEBS 的配置中。 性能规范和功能亮点 表 2 概述 Cisco Firepower NGFW 4100 系列和 9300 设备在运行 Cisco Firepower 威胁防御映像时的功能。 表 2.通过 Firepower 威胁防御映像实现的性能规范和功能亮点
深信服下一代防火墙NGAF 解决方案
第1章需求概述 1.1方案背景 1.2网络安全现状 近几年来,计算机和网络攻击的复杂性不断上升,使用传统的防火墙和入侵检测系统(IDS)越来越难以检测和阻挡。随着每一次成功的攻击,黑客会很快的学会哪种攻击方向是最成功的。漏洞的发现和黑客利用漏洞之间的时间差也变得越来越短,使得IT和安全人员得不到充分的时间去测试漏洞和更新系统。随着病毒、蠕虫、木马、后门和混合威胁的泛滥,内容层和网络层的安全威胁正变得司空见惯。复杂的蠕虫和邮件病毒诸如Slammer、Blaster、Sasser、Sober、MyDoom等在过去几年经常成为头条新闻,它们也向我们展示了这类攻击会如何快速的传播——通常在几个小时之内就能席卷全世界。 许多黑客正监视着软件提供商的补丁公告,并对补丁进行简单的逆向工程,由此来发现漏洞。下图举例说明了一个已知漏洞及相应补丁的公布到该漏洞被利用之间的天数。需要注意的是,对于最近的一些攻击,这一时间已经大大缩短了。 IT和安全人员不仅需要担心已知安全威胁,他们还不得不集中精力来防止各种被称之为“零小时”(zero-hour)或“零日”(zero-day)的新的未知的威胁。为了对抗这种新的威胁,安全技术也在不断进化,包括深度包检测防火墙、应用网关防火墙、内容过滤、反垃圾邮件、SSL VPN、基于网络的防病毒和入侵防御系统(IPS)等新技术不断被应用。但是黑客的动机正在从引起他人注意向着获取经济利益转移,我们可以看到一些更加狡猾的攻击方式正被不断开发出来,以绕过传统的安全设备,而社会工程(social engineering)陷阱也成为新型攻击的一大重点。
惠尔顿下一代防火墙 (NGWF) 设计方案 深圳市惠尔顿信息技术有限公司 2016年5月1日
目录 一、方案背景 (2) 二、网络安全现状 (2) 三、惠尔顿下一代防火墙(NGWF)介绍及优势 (7) 四、惠尔顿NGWF功能简介 (10) 五、部署模式及网络拓扑 (14) 六、项目报价 (15) 七、售后服务 (16)
一、方案背景 无锡某部队响应国家公安部82号令号召,加强部队网络安全建设。针对目前网络存在的涉密、泄密、木马、病毒等进行预防。 二、网络安全现状 近几年来,计算机和网络攻击的复杂性不断上升,使用传统的防火墙和入侵检测系统(IDS)越来越难以检测和阻挡。随着每一次成功的攻击,黑客会很快的学会哪种攻击方向是最成功的。漏洞的发现和黑客利用漏洞之间的时间差也变得越来越短,使得IT和安全人员得不到充分的时间去测试漏洞和更新系统。随着病毒、蠕虫、木马、后门和混合威胁的泛滥,内容层和网络层的安全威胁正变得司空见惯。复杂的蠕虫和邮件病毒诸如Slammer、Blaster、Sasser、Sober、MyDoom等在过去几年经常成为头条新闻,它们也向我们展示了这类攻击会如何快速的传播——通常在几个小时之内就能席卷全世界。 许多黑客正监视着软件提供商的补丁公告,并对补丁进行简单的逆向工程,由此来发现漏洞。下图举例说明了一个已知漏洞及相应补丁的公布到该漏洞被利用之间的天数。需要注意的是,对于最近的一些攻击,这一时间已经大大缩短了。 IT和安全人员不仅需要担心已知安全威胁,他们还不得不集中精力来防止各种被称之为“零小时”(zero-hour)或“零日”(zero-day)的新的未知的威胁。为了对抗这种新的威胁,安全技术也在不断进化,包括深度包检测防火墙、应用网关防火墙、内容过滤、反垃圾邮件、SSL VPN、基于网络的防病毒和入侵防御系统(IPS)等新技术不断被应用。但是黑客的动机正在从引起他人注意向着获取经济利益转移,我们可以看到一些更加狡猾的攻击方式正被不断开发出来,以绕过传统的安全设备,而社会工程(social engineering)陷阱也成为新型攻击的一大重点。
下一代防火墙,安全防护三步走 下一代防火墙区别于传统防火墙的核心特色之一是对应用的识别、控制和安全性保障。这种显著区别源自于Web2.0与Web1.0这两个不同网络时代下的模式变迁。传统的Web1.0网络以服务请求与服务提供为主要特征,服务提供方提供的服务形态、遵循的协议都比较固定和专一,随着社会化网络Web2.0时代的到来,各种服务协议、形态已不再一尘不变,代之以复用、变种、行为差异为主要特征的各种应用的使用和共享。本文即针对下一代防火墙的这一主要特征,从基于应用的识别、控制、扫描的三步走中,阐述新时代网络环境下的防护重点和安全变迁,旨在帮助读者对下一代防火墙新的核心防护理念做一个较为全面的梳理和归纳。面对应用层威胁,传统防火墙遭遇“阿喀琉斯之踵” 1.新的应用带来全新的应用层威胁 Web2.0应用虽然可以显著增强协作能力,提高生产效率,但同时也不可避免地带来了新的安全威胁。 1)恶意软件入侵 WEB应用中社交网络的普及给恶意软件的入侵带来了巨大的便利,例如灰色软件或链接到恶意站点的链接。用户的一条评价、一篇帖子、或者一次照片上传都可能包含殃及用户或甚至整个网络的恶意代码。例如,如果用户在下载驱动程序的过程中点击了含有恶意站点的链接,就很有可能在不知情的情况下下载了恶意软件。 2)网络带宽消耗对于部分应用来说,广泛的使用会导致网络带宽的过渡消耗。例如优酷视频可以导致网络拥塞并阻碍关键业务使用和交付。还有对于文件共享类应用,由于存在大量的文件之间的频繁交换,也可能会最终导致网络陷入瘫痪。 3)机密资料外泄某些应用(如即时通信,P2P下载等)可提供向外传输文件附件的功能,如果对外传输的这些文件存在敏感、机密的信息,那么将给企业带来无形和有形资产的损失,并且也会带来潜在的民事和刑事责任。 2.传统防火墙的“阿喀琉斯之踵” 由于传统的防火墙的基本原理是根据IP地址/端口号或协议标识符识别和分类网络流量,并执行相关的策略。对于WEB2.0应用来说,传统防火墙看到的所有基于浏览器的应用程序的流量是完全一样的,因而无法区分各种应用程序,更无法实施策略来区分哪些是不当的、不需要的或不适当的程序,或者允许这些应用程序。如果通过这些端口屏蔽相关的流量或者协议,会导致阻止所有基于web的流量,其中包括合法商业用途的内容和服务。另外传统防火墙也检测不到基于隧道的应用,以及加密后的数据包,甚至不能屏蔽使用非标准端口号的非法应用。下一代防火墙之“三步走” 下一代防火墙的核心理念其实是在企业网络边界建立以应用为核心的网络安全策略,通过智能化识别、精细化控制、一体化扫描等逐层递进方式实现用户/应用行为的可视,可控、合规和安全,从而保障网络应用被安全高效的使用。第一步:智能化识别通过智能化应用、用户识别技术可将网络中简单的IP地址/端口号信息转换为更容易识别且更加智能化的用户身份信息和应用程序信息,为下一代防火墙后续的基于应用的策略控制和安全扫描提供的识别基础。例如:对于同样一条数据信息,传统防火墙看到的是:某源IP通过某端口访问了某目的IP;下一代防火墙看到:某单位张三通过QQ给远在美国的李四传输了一个PDF文件。第二步:精细化控制下一代防火墙可以根据风险级别、应用类型是否消耗带宽等多种方式对应用进行分类,并且通过应用访问控制,应用带宽管理或者应用安全扫描等不同的策略对应用分别进行细粒度的控制。相对于传统防火墙,下一代防火墙可以区分同一个应用的合法行为和非法行为,并且对非法行为进行阻断。如:下一代防火墙可以允许使用QQ的前提下,禁止QQ的文件传输动作,从而一定程度上避免单位员工由于传输QQ文件造成的内部信息泄漏。第三步:一体化扫描在完成智能化识别和精细化控制以后,对允许使用且存在高安全风险的网络应用,下一代防火墙可以进行漏洞、病毒、URL和内容等不同层次深度扫描,如果发现该应用中存在安全风险或攻击行为可以做进一步的阻断等动作。下一代防火墙在引擎设计上采用了单次解析架构,这种引擎架构可以保证引擎系统在数据流流入时,一次性地完成
RADVISION 防火墙穿越解决方案——SCOPIA PathFinder RADVISION在ITU H.460 领域一直处于领先地位,RADVISION推出的PathFinder5版是针对端到端防火墙和NAT穿越解决方案。现在加入了对H.460的支持,能够让兼容H.460的端点在连接数据流中不需要借助任何中间客户端便可进行连接。SCOPIA PathFinder是市面上惟一一种能够同时处理支持和不支持H.460的端点的解决方案,并且不需要额外的硬件或穿越软件。 SCOPIAPathFinder是一种完整的防火墙穿越及NAT解决方案,同时提供了近端(企业网络)和远端(远程地址)解决方案。PathFinder保持了防火墙和NAT的安全性和优势,同时为远程工作者、外出工作者、客户和供应者带来了IP视频通信能力。PathFinder确保了跨越企业防火墙边界的重要通信渠道的迅速而简单的建立。 H.460是一组ITU标准,它定义了防火墙穿越的协议。兼容H.460的会议端点将会直接连接PathFinder寻求穿越防火墙的连接。对于非H.460端点,免费的SCOPIAPathFinder客户端软件可以在远端使用,通过PathFinder提供防火墙穿越。 SCOPIAPathFinderv5的优势: RVSN 客户端软件是免费的,而且对用户终端没有限制。与TANDBERG 的方案会相比,RADVISION在成本方面就更具竞争力。不论您使用的是Aethra、Polycom、Sony、Tandberg, 或是任何H.323 厂商的个人系统,你只需在防火墙后使用一个PC 来运行客户端软件以支持所有这些终端(最初的Ridgeway 也是这样)。一个用户端可以支持多个终端,就像是为区域外呼叫设置的网守。?而TANDBERG 解决方案将用户端软件配置于MXP 终端中,因此对于其它终端来说,用户不得不使用TANDBERG 网守。并且每个网守都必须在网络云中与各自的Expressway 会议边际控制器进行交流。PathFinderv5的其他特征还有: * 端到端的连通性,链接所有的H.323视频会议系统或设备 * 适用于任何防火墙、终端和网闸 * 支持任何标准的H.323终端和网闸 * 易于在任意单独的网络计算机上安装 * 无需改变拨号计划或终端E164号码 * 在客户端安全的使用Hardened Linux操作系统(RADVISION定制核心)和内置访问控制列表 * 媒体和信令的AES加密 * 可扩展和部署在单个客户端服务多个终端 * 易于管理,允许管理员查看、链接和断开客户端、监控正在进行的呼叫
深信服下一代防火墙NGAF 技术白皮书 深信服科技有限公司 https://www.doczj.com/doc/3913093614.html, 二零一一年八月
目录 1.概述 (3) 2. 为什么需要下一代防火墙 (3) 2.1网络发展的趋势使防火墙以及传统方案失效 (3) 2.2替代性方案能否弥补 (4) 2.2.1“打补丁式的方案” (4) 2.2.2 UTM统一威胁管理 (4) 3.下一代防火墙的诞生与价值 (4) 3.1Gantner定义下一代防火墙 (4) 3.2深信服下一代应用防火墙—NGAF (5) 4.产品功能特点 (6) 4.1更精细的应用层安全控制 (6) 4.1.1可视化应用识别 (7) 4.1.2多种用户识别方式 (7) 4.1.3一体化应用访问控制策略 (8) 4.1.4基于应用的流量管理 (9) 4.2更全面的内容级安全防护 (10) 4.2.1灰度威胁关联分析技术 (10) 4.2.2基于攻击过程的服务器保护 (12) 4.2.3强化的WEB安全防护 (13) 4.2.4完整的终端安全保护 (14) 4.3更高性能的应用层处理能力 (15) 4.3.1单次解析架构 (15) 4.3.2多核并行处理技术 (16) 4.4更完整的安全防护方案 (16) 5.关于深信服 (17)
1.概述 防火墙自诞生以来,在网络安全防御系统中就建立了不可替代的地位。作为边界网络安全的第一道关卡防火墙经历了包过滤技术、代理技术和状态监视技术的技术革命,通过ACL 访问控制策略、NAT地址转换策略以及抗网络攻击策略有效的阻断了一切未被明确允许的包通过,保护了网络的安全。防火墙就像故宫的城墙,对进出防火墙的一切数据包进行检查,保证合法数据包能够进入网络访问合法资源同时防止非法人员通过非法手段进入网络或干扰网络的正常运行。防火墙技术在当时被堪称完美!随着时代的变迁,故宫的城墙已黯然失色,失去了它原有的防御能力。同样防火墙在面对网络的高速发展,应用的不断增多的时代也失去了它不可替代的地位。自2009年10月Gartner提出“Defining the Next-Generation Firewall”一文,重新定义下一代防火墙,下一代防火墙的概念在业内便得到了普遍的认可。深信服也在经过10年网络安全技术6年的应用安全技术沉淀之后,于2011年正式发布深信服“下一代应用防火墙”——NGAF。 2. 为什么需要下一代防火墙 2.1网络发展的趋势使防火墙以及传统方案失效 防火墙作为一款历史悠久的经典产品,在IP/端口的网络时代,发挥了巨大的作用:合理的分隔了安全域,有效的阻止了外部的网络攻击。防火墙在设计时的针对性,在当时显然是网络安全的最佳选择。但在网络应用高速发展,网络规划复杂化的今天防火墙的不适应性就越发明显,从用户对网络安全建设的需求来看,传统防火墙存在以下问题: 1、应用安全防护的问题: 传统防火墙基于IP/端口,无法对应用层进行识别与控制,无法确定哪些应用经过了防火墙,自然就谈不上对各类威胁进行有效防御了。面对应用层的攻击,防火墙显得力不从心,无法检测或拦截嵌入到普通流量中的恶意攻击代码,比如病毒、蠕虫、木马等。 2、安全管理的问题: 传统防火墙的访问控制策略对于大型网络来说简直就是噩梦。严格控制网络需要配置大量的策略,并且这些基于IP/端口策略可读性非常之差,经常会造成错配、漏配的情况,留下的这些隐患,往往给黑客们以可乘之机。
防火墙安全解决方案建议书1 密级: 文档编号: 项目代号: 广西XX单位 网络安全方案建议书 网御神州科技(北京)有限公司 目录 1 概述.......................................................................................... 错误!未定义书签。 1.1引言........................................... 错误!未定义书签。 2 网络现状分析.......................................................................... 错误!未定义书签。 2.1网络现状描述................................... 错误!未定义书签。 2.2网络安全建设目标............................... 错误!未定义书签。 3 安全方案设计.......................................................................... 错误!未定义书签。 3.1方案设计原则................................... 错误!未定义书签。
3.2网络边界防护安全方案........................... 错误!未定义书签。 3.3安全产品配置与报价............................. 错误!未定义书签。 3.4安全产品推荐................................... 错误!未定义书签。 4 项目实施与产品服务体系...................................................... 错误!未定义书签。 4. 1 一年硬件免费保修........................................................................ 错误!未定义书签。 4.2 快速响应服务................................................................................. 错误!未定义书签。 4.3 免费咨询服务................................................................................. 错误!未定义书签。 4.4 现场服务......................................................................................... 错误!未定义书签。 4.5 建立档案......................................................................................... 错误!未定义书签。
下一代防火墙 作者:来源:发布时间:2011-01-07 防火墙必须演进,才能够更主动地阻止新威胁(例如僵尸网络和定位攻击)。随着攻击变得越来越复杂,企业必须更新网络防火墙和入侵防御能力来保护业务系统。 不断变化的业务流程、企业部署的技术,以及威胁,正推动对网络安全性的新需求。不断增长的带宽需求和新应用架构(如Web 2.0),正在改变协议的使用方式和数据的传输方式。安全威胁将焦点集中在诱使用户安装可逃避安全设备及软件检测的有针对性的恶意执行程序上。在这种环境中,简单地强制要求在标准端口上使用合适的协议和阻止对未打补丁的服务器的探测,不再有足够的价值。为了应对这些挑战,防火墙必须演进为被著名市场研究公司Gartner称之为“下一代防火墙(Next Generation Firewall,简称NGFW)”的产品。如果防火墙厂商不进行这些改变的话,企业将要求通过降价来降低防火墙的成本并寻求其他安全解决方案来应对新的威胁环境。 一、什么是NGFW? 对于使用僵尸网络传播方式的威胁,第一代防火墙基本上是看不到的。随着面向服务的架构和Web 2.0使用的增加,更多的通信通过更少的端口(如HTTP和HTTPS)和使用更少的协议传输,这意味着基于端口/协议的政策已经变得不太合适和不太有效。深度包检测入侵防御系统(IPS)的确是检查针对没有打补丁的操作系统和软件的已知攻击方法,但不能有效地识别和阻止应用程序的滥用,更不要说应用程序中的特殊性了。 Gartner将网络防火墙定义为在不同信任级别的网络之间实时执行网络安全政策的联机控制。Gartner使用“下一代防火墙”这个术语来说明防火墙在应对业务流程使用IT的方式和威胁试图入侵业务系统的方式发生变化时应采取的必要的演进。 NGFW至少具有以下属性: 1.支持联机“bump-in-the-wire”配置,不中断网络运行。 2.发挥网络传输流检查和网络安全政策执行平台的作用,至少具有以下特性:(1)标准的第一代防火墙能力:包过滤、网络地址转换(NAT)、状态性协议检测、VPN等等。(2)集成的而非仅仅共处一个位置的网络入侵检测:支持面向安全漏洞的特征码和面向威胁的特征码。IPS与防火墙的互动效果应当大于这两部分效果的总和。例如提供防火墙规则来阻止某个地址不断向IPS 加载恶意传输流。这个例子说明,在NGFW中,应该由防火墙建立关联,而不是操作人员去跨控制台部署解决方案。集成具有高质量的IPS引擎和特征码,是NGFW的一个主要特征。(3)应用意识和全栈可见性:识别应用和在应用层上执行独立于端口和协议,而不是根据纯端口、纯协议和纯服务的网络安全政策。例子包括允许使用Skype,但关闭Skype中的文件共享或始终阻止G oToMyPC。(4)额外的防火墙智能:防火墙收集外来信息来做出更好的阻止决定或建立优化的阻止规则库。例子包括利用目录集成将阻止行为与用户身份绑在一起,或建立地址的黑白名单。 3.支持新信息馈送和新技术集成的升级路径来应对未来的威胁。 举个例子,NGFW可以阻止细粒度的网络安全政策违规或发出报警。如使用Web邮件、匿名服务器、对等网络技术或PC远程控制,只简单地根据目的IP地址来阻止对提供这些服务的已知源地址的访问是不够的。政策的颗粒度要求仅阻止某些类型的应用与目的IP地址的通信,而允许其他类型的应用与这些目的IP地址通信。转向器使确定的黑名单不可能实现,这意味着有许多NGFW可以识别和阻止不受欢迎的应用,即使这些应用被设计为逃避检查或用SSL加密。应用识别的一个额外好处是带宽控制。因为,消除了不受欢迎的对等网络传输流可以大大减少带宽的使用。 二、什么不是NGFW? 现在有一些与NGFW相近,但不相同的基于网络的安全产品领域: 1.中小企业多功能防火墙或UTM设备:这类设备是提供多种安全功能的单一设备。尽管它们总是包含第一代防火墙和IPS功能,但它们不提供应用意识功能,而且不是集成的、单引擎产