下载文档原格式
下一代防火墙- APT攻击防护首选利器一认识APT攻击互联网攻击与防御技术一直以来都是此消彼长,交替前行,根据CNCERT/CC 2012中国互联网网络安全报告分析,一种攻击特征更隐蔽、持续性更长、影响范围更大、技术手段更加灵活的网络间谍攻击对企业和组织将带来越来越大的安全威胁,这就是大家热谈的APT攻击。
APT 全称Advanced Persistent Threat(高级持续性威胁),是以窃取核心资料为目的,针对客户所发动的网络攻击和侵袭行为,是一种蓄谋已久的“恶意商业间谍威胁”。
这种行为往往经过长期的经营与策划,并具备高度的隐蔽性。
APT的攻击手法,在于隐匿自己,针对特定对象,长期、有计划性和组织性地窃取数据,这种发生在数字空间的偷窃资料、搜集情报的行为,就是一种“网络间谍”的行为。
二APT攻击特征(1)、攻击者的诱骗手段往往采用恶意网站,用钓鱼的方式诱使目标上钩;(2)、攻击者也经常采用邮件方式攻击受害者,这些夹杂着病毒的邮件内容往往让疏于防范的受害者轻易中招;(3)、网站往往是一个企业或组织的对外门户,很多企业或组织对网站缺乏良好的安全防护,对攻击者而言,网站如同攻击过程中的桥头堡,是攻击者渗透进内网的重要捷径;(4)、一旦企业或组织的内网终端或者门户网站感染恶意程序,成为僵尸网络主机,将频繁进行内网隐私数据信息嗅探;(5)、通过已感染主机做反弹跳板,黑客可以对目标网络进行持续性的账户/口令猜解或者数据监听,从而获取攻击目标登陆权限;(6)、目前绝大多数安全防护设备【传统网络层防火墙、IPS等等】只能做到从外到内的单向危险流量检测和防护,从内到外主动发起的数据传输缺乏有效的检测和防范机制,给APT攻击者开通了一条灰色的数据运输通道。
攻击者通过控制攻击目标,源源不断地从受害企业和组织获取数据信息。
从上述APT攻击特征进行分析,不难发现APT攻击已经不再是传统认识观念中的单一网络攻击行为,针对APT攻击,采取多款安全产品串行堆叠的传统做法已经无法有效应对,市场迫切需要新一种新的防御方案。
SANGFOR_AF_产品简介Gartner定义下⼀代防⽕墙源引⾃:Gartner《Defining the Next-Generation Firewall》⼀、防⽕墙必须演进防⽕墙必须演进,才能够更主动地阻⽌新威胁(例如僵⼫⽹络和定位攻击)。
随着攻击变得越来越复杂,企业必须更新⽹络防⽕墙和⼊侵防御能⼒来保护业务系统。
不断变化的业务流程、企业部署的技术,以及威胁,正推动对⽹络安全性的新需求。
不断增长的带宽需求和新应⽤架构(如Web2.0),正在改变协议的使⽤⽅式和数据的传输⽅式。
安全威胁将焦点集中在诱使⽤户安装可逃避安全设备及软件检测的有针对性的恶意执⾏程序上。
在这种环境中,简单地强制要求在标准端⼝上使⽤合适的协议和阻⽌对未打补丁的服务器的探测,不再有⾜够的价值。
为了应对这些挑战,防⽕墙必须演进为被著名市场研究公司Gartner称之为“下⼀代防⽕墙(NextGenerationFirewall,简称NGFW)”的产品。
如果防⽕墙⼚商不进⾏这些改变的话,企业将要求通过降价来降低防⽕墙的成本并寻求其他安全解决⽅案来应对新的威胁环境。
⼆、什么是NGFW?Gartner将⽹络防⽕墙定义为在不同信任级别的⽹络之间实时执⾏⽹络安全政策的联机控制。
Gartner使⽤“下⼀代防⽕墙”这个术语来说明防⽕墙在应对业务流程使⽤IT的⽅式和威胁试图⼊侵业务系统的⽅式发⽣变化时应采取的必要的演进。
NGFW⾄少具有以下属性:1.⽀持联机“bump-in-the-wire”配置,不中断⽹络运⾏。
2.发挥⽹络传输流检查和⽹络安全政策执⾏平台的作⽤,⾄少具有以下特性:(1)标准的第⼀代防⽕墙能⼒:包过滤、⽹络地址转换(NAT)、状态性协议检测、VPN等等。
(2)集成的⽽⾮仅仅共处⼀个位置的⽹络⼊侵检测:⽀持⾯向安全漏洞的特征码和⾯向威胁的特征码。
IPS与防⽕墙的互动效果应当⼤于这两部分效果的总和。
例如提供防⽕墙规则来阻⽌某个地址不断向IPS加载恶意传输流。
国内下一代防火墙第一品牌
深信服下一代防火墙(Next-Generation Application Firewall)NGAF是面向应用层设计,能够精确识别用户、应用和内容,具备完整安全防护能力,能够全面替代传统防火墙,并具有强劲应用层处理能力的全新网络安全设备。
NGAF 解决了传统安全设备在应用识别、访问控制、内容安全防护等方面的不足,同时开启所有功能后性能不会大幅下降。
区别于传统的网络层防火墙,NGAF具备L2-L7层的协议的理解能力。
不仅能够实现网络层访问控制的功能,且能够对应用进行识别、控制、防护,解决了传统防火墙应用层控制和防护能力不足的问题。
区别于传统DPI技术的入侵防御系统,深信服NGAF具备深入应用内容的威胁分析能力,具备双向的内容检测能力为用户提供完整的应用层安全防护功能。
同样都能防护web攻击,与web应用防火墙关注web应用程序安全的设计理念不同,深信服下一代防火墙NGAF 关注web系统在对外发布的过程中各个层面的安全问题,为对外发布系统打造坚实的防御体系。
深信服下一代防火墙NGAF产品导入什么是下一代防火墙?防火墙通常用于两个网络之间的隔离,隔离的是“火”的蔓延,而又保证“人”的穿墙而过。
这里的“火”是指网络中的各种攻击,而“人”是指正常的通信报文。
但是随着黑色产业链的兴起和攻防技术的进步,“人”的因素已经发生了变化,有行为正常的“好人”,也可能有居心叵测,想携带“火种”混入的“坏人”。
所以对于防火墙来说,需要能够有更先进的技术可以识别出“好人”和“坏人”,于是就有了下一代防火墙的概念。
国际知名IT咨询机构Gartner在2009年最初发布了对下一代防火墙NGFW 的定义,简单来说下一代防火墙相较与传统防火墙的区别就是NGFW深度集成了入侵防御功能,能够实现对数据内容的检测以及能够对应用协议和用户进行识别和管控,比传统防火墙只能基于IP地址和端口的管控方式提供了更细粒度的控制手段。
深信服在2011年7月发布了下一代防火墙产品NGAF,是国内最早发布NGFW的安全厂商。
相较与Gartner定义的下一代防火墙,深信服下一代防火墙做了更进一步的提升,最大的特点就是融入了对Web业务安全保护的能力,深信服下一代防火墙提倡的价值主张是:融合安全,简单有效。
融合是指围绕业务生命周期,从事前、事中、事后所需要的安全保护技术手段的融合,简单有效是指安全交付能够简单、可视,安全运营可以持续开展。
销售场景1.客户有网络改造,新建机房或者新建业务系统的需求;2.客户网站被第三方监管机构检测出漏洞或威胁,并被通报要求限期整改;3.出现了如新型恶意软件(勒索病毒,木马等),高危漏洞大规模爆发的安全事件应急处置需求;4.客户存在等级保护等安全合规性建设需求;5.客户原有防火墙使用年限较长(3年以上),存在替换的需求;6.网络不同逻辑区域之间或者物理区域边界之间还未部署安全设备;7.客户有采购入侵防御系统IPS或Web应用防火墙WAF的需求;8.客户需要采购互联网出口网关设备或者有对外发布的网站需要做安全加固;核心功能事前➢资产发现:自动识别内部业务服务器的IP地址、开放端口,以及是否有安全策略覆盖这些识别出的服务器。
深信服科技NGAF 下一代防火墙方案白皮书1.概述 (4)2.深信服下一代防火墙核心价值 (5)2.1.全程保护 (5)2.2.全程可视 (7)3.主要功能介绍 (8)3.1.系统架构设计 (8)3.2.基础防火墙特性 (11)3.3.事前风险预知 (13)3.4.事中安全防护 (18)3.5.事后检测及响应 (31)4.部署模式 (33)4.1.网关模式 (33)4.2.网桥模式 (34)4.3.旁路模式 (36)4.4.双机模式 (37)5.市场表现 (39)5.1.高速增长,年复合增长超70% (39)5.2.众多权威机构一致认可 (40)5.3.为客户需求而持续创新 (40)6.关于深信服 (40)1.概述近几年来,随着互联网+、业务数字化转型的深入推进,各行各业都在加速往互联网化、数字化转型。
业务越来越多的向公众、合作伙伴,第三方机构等开放,在数字化业务带给我们高效和便捷的同时,信息暴露面的增加,网络边界的模糊化以及黑客攻击的产业化使得网络安全事件相较以往成指数级的增加,面对应对层出不穷的新型安全事件如网站被篡改,被挂黑链,0 day 漏洞利用,数据窃取,僵尸网络,勒索病毒等等,传统安全建设模式已经捉襟见肘,面临着巨大的挑战。
问题一:传统信息安全建设,以事中防御为主。
缺乏事前的风险预知,事后的持续检测及响应能力传统意义上的安全建设无论采用的是多安全产品叠加方案还是采用 UTM/NGFW+WAF 的整合类产品解决方案,关注的重点都在于如何防护资产在被攻击过程中不被黑客入侵成功,但是并不具备对于资产的事前风险预知和事后检测响应的能力,从业务风险的生命周期来看,仅仅具备事中的防护是不完整的,如果能在事前做好预防措施以及在时候提高检测和响应的能力,安全事件发生产生的不良影响会大幅度降低,所以未来,融合安全将是安全建设发展的趋势。
问题二:传统安全建设是拼凑的事中防御,缺乏有效的联动分析和防御机制传统安全建设方案,搜集到的都是不同产品碎片化的攻击日志信息,只能简单的统计报表展示,并不能结合业务形成有效的资产安全状态分析。
深信服下一代防火墙中国第一品牌下一代防火墙已是大势所趋国际三大权威IT调研机构一致推荐优先使用下一代防火墙『我们预计到2014 年,35% 的企业将会安装下一代防火墙,而60%用户新购买的防火墙将是NGFW,并且它会拥有紧密集成的入侵防护、应用可视性和控制功能。
』——Gartner『随着市场对下一代安全网关的需求增加,预计到2018年,这一比例将达到80%,2013到2018年的5年复合增长率超过40%。
』——IDC『我们不再将整合式防火墙(Integrated Appliance)中入侵检测(IDS)/入侵防御(IPS)的市场份额取出,而是将下一代防火墙中的各个功能视为一个整体,称为”整合式网络安全设备”。
』——Frost&Sullivan90%的主流安全厂商已发布下一代防火墙目前国内主流的安全厂商已发布下一代防火墙,而作为国内下一代防火墙第一品牌,早在2011年,深信服就发布国内首款下一代防火墙NGAF,自发布后国内追随者不断,但销量一直稳居市场份额榜首,拥有最多用户数量。
截止2014年9月,深信服下一代防火墙在全国的用户累计超过8000家,在线稳定运行的设备超过15000台。
用户覆盖各行各业,其中包括60多家部委省厅级单位、80多家运营商金融单位、90多家知名教育单位、超过百家大型企业,国资委下属央企集团,用户数量遥遥领先。
68%的用户已优先选择下一代防火墙根据深信服往年的销售数据分析,在有安全建设需求的客户当中已有68%的客户购买了下一代防火墙。
国内第二代防火墙标准发布2015年2月4日由公安部网络安全保卫局、公安部科技信息化局和公安部第三研究所指导,深信服科技等国内主流安全厂商主办的第二代防火墙标准联合发布会在京召开,标志着国内下一代防火墙产品的技术选型有了权威的指导标准。
而深信服则是最早参与起草第二代防火墙标准的国内安全厂商,在标准的制定过程当中积极参与主导,提供了大量的技术咨询,建议和修订工作,历史两年最终完成该标准的出台和发布。
