SANGFOR_AF_安全防护方案建议模板v10

下一代防火墙安全解决方案深信服科技有限公司201X-XX-XXxx项目NGAF安全加固解决方案建议第2页共31页目录1网络与应用环境面临的安全挑战......................................41.1应用多样化，端口的单一化......................................41.2黑客攻击方式和目的的变化......................................51.3端到端的万兆处理能力..........................................72传统安全设备日趋“无力”..........................................72.1防火墙成为了“摆设”..........................................72.2IPS+AV+WAF补丁式的方案.......................................92.3简单堆砌的UTM................................................93下一代防火墙的诞生与价值.........................................113.1Gantner定义下一代防火墙.....................................113.2深信服NGAF的特点与用户价值..................................124XXX网络安全现状.................................................134.1网络与应用系统现状...........................................134.2面临的内容安全威胁...........................................134.2.1漏洞利用.................................................134.2.2拒绝服务攻击和分布式拒绝服务攻击.........................154.2.3零时差攻击...............................................154.2.4间谍软件.................................................164.2.5协议异常和违规检测.......................................174.2.6侦测和扫描...............................................184.2.7Web入侵...................................................184.2.8病毒木马.................................................195NGAF安全加固解决方案............................................205.1总体方案.....................................................205.2数据中心服务器保护...........................................215.3广域网边界安全隔离与防护.....................................235.4互联网出口边界防护...........................................24xx项目NGAF安全加固解决方案建议第3页共31页6深信服NGAF产品介绍..............................................266.1更精细的应用层安全控制.......................................266.2更全面的内容级安全防护.......................................276.3更高性能的应用层处理能力.....................................286.4更完整的安全防护方案.........................................30xx项目NGAF安全加固解决方案建议第4页共31页1网络与应用环境面临的安全挑战IT部门对企业高效运营和快速发展的贡献毋庸置疑，种种益处自不必多言，但是如果网络崩溃、应用瘫痪、机密被窃，损失将令人痛心，甚至无法弥补，IT部门也将承受极大的压力，所以保证网络和应用系统安全、可靠和高效的运行成为IT部门的关键任务。要实现上述目标，首先，让我们来对网络和系统运行面临的安全挑战做出详细的分析。1.1应用多样化，端口的单一化在传统的网络安全建设中，为网络设立一个“尽职尽责”的门卫控制应用访问的合法性还是可以做到的。因为，那时端口=应用、IP=用户，只要在交换机、路由器、防火墙做些基于“端口+IP”的访问控制策略，就可以轻松实现用户的访问权限。但是随着网络、应用的不断的发展，为了便于应用的跨平台、灵活部署，现在有成千上万种应用趋向于更少数的端口运行，都是基于HTTP或者HTTPS协议（80、443端口）。比如“开心网”网站上可以运行159种应用程序（还在不断丰xx项目NGAF安全加固解决方案建议第5页共31页富）——聊天、游戏、图片分享等；“谷歌”的企业级应用套件甚至可以提供类似于Office、协作办公、视频分享这样的企业应用程序。因此，应用多样化、端口单一化，给我们的网络安全提出了2个新的问题：1、能够针对应用协议和动作进行访问控制：对于这些应用和应用中丰富的动作，我们需要精细控制用户的访问权限，比如无法阻断文件传输，防止泄密。2、Web成为威胁传播的重点对象：需要针对看似合法的Web层内容中，检测和过滤各种威胁。因为，黑客已经把这些端口当做攻击和威胁传播的目标。1.2黑客攻击方式和目的的变化早期的黑客攻击手段大多为非破坏性攻击，一般是为了扰乱系统的运行，并不盗窃系统资料，通常采用拒绝服务攻击（PingofDeath等）网络层方式。其主要目的也只是为了技术炫耀型为主。而当前的黑客攻击目的完全以利益为驱动，技术手段更加倾向于应用化、内容化、混合化。所谓应用化，面对堡垒森严的网络层防护手段，黑客要想悄无声息的入侵IT系统，必须采用更高层次的方式绕过这些防护手段。所以，基于应用的漏洞利用、命令注入、恶意脚本/插件等威胁就成为了黑客争相研究的方向。而漏洞利用也从原来侧重OS底层漏洞转变为基于应用程序的漏洞，比如根据卡巴斯基2011年Q1漏洞排行榜，AdobeReader、FlashPlayer的包揽前三甲。xx项目NGAF安全加固解决方案建议第6页共31页所谓内容化，黑客在成功入侵后更加关注的是IT系统中的内容，比如客户账号、通讯方式、银行账户、企业机密、电子订单等。因此，通过木马、后门、键盘记录等方式可以不断获取这些关键内容，并进行非法利用而牟利。所谓混合化，在黑客一次攻击行为中使用了多种技术手段，而非原来单一的病毒蠕虫或者漏洞利用。比如，黑客要想入侵一台Web服务器上传木马的过程：端口/应用扫描、口令爆破、漏洞利用、OS命令注入、SQL注入、跨站脚本、木马上传等。因此，面对上述安全风险的变化，给我们的网络安全提出了新的问题：1、能够防护混合型攻击威胁的防护：传统防火墙无法提供DPI深度检测，而IPS、WAF、AV等设备防护功能单一，需要相互搭配使用。因此，面对多种安全威胁的混合型攻击，我们需要一个完整的应用层安全防护方案。2、能够保护应用内容：针对黑客对内容的关注，需要基于应用的内容做安全检查，包括扫描所有应用内容，过滤有风险的内容，甚至让用户自定义哪些内容可以进出，哪些内容不能进出。xx项目NGAF安全加固解决方案建议第7页共31页1.3端到端的万兆处理能力当前的IT系统已经全面具备了万兆处理能力，万兆网络、万兆存储、万兆计算，甚至100G/40G的网络标准已经诞生。但是只要在IT系统中出现一个性能瓶颈，就会制约整个IT系统的性能发挥。而当前应用层安全处理能力仅仅停留在准千兆级别，往往只有600-800兆左右的线速能力，成为了严重的网络性能瓶颈。因此，面对上述网络性能的不断提升，给我们的安全防护提出了新的问题：实现万兆级应用层安全处理能力：应用层安全防护强调的是计算的灵活性，传统网络安全设备的强调的是重复计算的高性能。因此，基于传统网络层安全设备ASIC的设计思路需要调整，并重新设计系统架构，才能满足万兆级完整的应用层防护处理能力。2传统安全设备日趋“无力”面对上述网络、应用、安全风险等环境的变化，传统安全设备已经显得日趋“无力”，尤其是传统防火墙已经变成了聋子和瞎子。2.1防火墙成为了“摆设”从1990开始，随着Internet的快速发展，网络安全的问题也逐步为人们所重视，从最初采用简单的访问控制列表，到部署防火墙来保护周界安全。从1993年防火墙被广泛地部署在各种网络中，如下图所示：xx项目NGAF安全加固解决方案建议第8页共31页图自1993开始防火墙被广泛应用于边界安全传统防火墙目前在网络当中主要的功能包括：1、通过基于端口和IP的访问控制，实现安全域的隔离与划分；2、通过地址转换，实现内部IP规划的隐藏；3、通过抵御DOS等网络层攻击，确保系统稳定运行；但是面对“第一章”所提到的环境变化，我们可以发现，这些功能已经无法确保我们系统的安全稳定运行。防火墙存在的问题如下：1、戴着眼罩的保安：如果防火墙依然通过端口设置访问权限，那么针对单一端口下的多种应用和动作，针对端口动态变化的应用来说，防火墙只能雾里看花，无法实现有效地、精细地访问权限控制；2、过时的盾牌：如果把网络层攻击比喻成冷兵器时代的“刀枪剑戟”，把应用层混合威胁比喻成热兵器时代的“长枪大炮”，那么防火墙就好比是过时的“盾牌”，面对已经不常出没的冷兵器还是可以防护的，但是面对“长枪大炮”防火墙就自身难保。xx项目NGAF安全加固解决方案建议第9页共31页因此，当前防火墙的部署已经成为了一种心理安慰，仅仅作为合规性的建设要求，要想真正确保系统安全，必须变革。2.2IPS+AV+WAF补丁式的方案面对防火墙成为“摆设”的现实，出现了不少补充型的加固方案，其中最典型的方式就是FW+IPS+AV+WAF这种“串糖葫芦式”的建设。在一段时间内，这种方式成为了用户的不错选择。但是，随着业务的开展，其问题日益凸显：1、投资成本高：首先，同样性能的应用层安全设备要比网络层安全设备高数倍，再部署多台，整个方面的前期硬件投资就会增加4倍甚至10倍。其次，持续的运维成本也是不小的开销，能源消耗、配套建设（电源、空调）、人力成本等等也会急剧增加。2、防护效果不理想：这种方案在性能、检测精度、可靠性等方面均存在较多问题。首先，此方案的性能取决于其中性能最低的设备能力，其他安全设备即使有再高的性能也发挥不出来；其次，局域网延时一般在600us，多增加一台设备就意味着延时有提升了200us，尤其是传统AV设备基于文件级别的检测方式延时极大，一份邮件的检测往往需要数秒钟甚至数分钟的时间；然后，面对混合型的攻击入侵，这种方案就无法提供高精度的检测，甚至出现漏报、误报；最后，可靠性差，假如每台设备的故障率为1%，那么串接了4台设备后，故障率就提升了4倍，增加了故障点，降低了系统可靠性。因此，这种补丁式的建设方案，缺乏站在整体角度审视用户安全需求。因此，不但投资成本高，而且防护效果不理想，与网络匹配性差，只能作为一种过渡方案。2.3简单堆砌的UTMUTM的出现曾经很好的解决了“补丁式”安全方案高成本的问题，但是依然无法有效的与网络环境相匹配，无法提供完整