搜索
第1章产品设计理念SANGFORIPS是能够精确识别用户、应用和内容,具备漏洞攻击防护能力,并具有强劲处理性能的网络安全设备。SANGFORIPS不仅可以提供基础网络安全功能,如状态检测、VPN、抗DDoS、NAT等;还能实现统一的应用漏洞安全防护,可以针对一个入侵行为中的各种攻击手段进行统一的检测和防护,如漏洞利用、非法访问、蠕虫病毒、带宽滥用、恶意代码等。SANGFORIPS可以适用于不同规模的行业用户数据中心、广域网边界、互联网边界等场景,为用户提供更精细、更全面、高性能的安全防护方案。1.1产品功能特色1.1.1精细的应用安全控制SANGFORIPS独创的应用可视化技术,可以根据应用的行为和特征实现对应用的识别和控制,而不仅仅依赖于端口或协议,摆脱了过去只能通过IP地址来控制的尴尬,即使加密过的数据流也能应付自如。目前,SANGFORIPS的应用可视化引擎可以识别1200多种的内外网应用及2700多种应用动作,通过应用可视化引擎制定一体化应用控制策略,可以为用户提供更加精细和直观化的安全控制界面。1.1.2可视化的应用识别随着网络攻击不断向应用层转移,传统的网络层防火墙已经不能有效实施防护。因此,作为组织网络中最重要的屏障,如何帮助用户实现针对所有应用的可视化变得十分重要。SANGFORIPS以精确的应用识别为基础,可以帮助用户恢复对网络中各类流量的掌控,阻断或控制不当操作,根据企业自身状况合理分配带宽资源等。SANGFORIPS的应用识别有以下几种方式:第一,基于协议和端口的检测仅仅是第一步(传统防火墙做法)。固定端口小于1024的协议,其端口通常是相对稳定,可以根据端口快速识别应用。第二,基于应用特征码的识别,深入读取IP包载荷的内容中的OSI七层协议中的应用层信息,将解包后的应用信息与后台特征库进行比较来确定应用类型。第三,基于流量特征的识别,不同的应用类型体现在会话连接或数据流上的状态各有不同,例如,基于P2P下载应用的流量模型特点为平均包长都在450字节以上、下载时间长、连接速率高、首选传输层协议为TCP等;SANGFORIPS基于这一系列流量的行为特征,通过分析会话连接流的包长、连接速率、传输字节量、包与包之间的间隔等信息来鉴别应用类型。1.1.3智能用户身份识别网络中的用户并不一定需要平等对待,通常,许多企业策略仅仅是允许某些IP段访问网络及网络资源。SANGFORIPS提供基于用户与用户组的访问控制策略,它使管理员能够基于各个用户和用户组(而不是仅仅基于IP地址)来查看和控制应用使用情况。在所有功能中均可获得用户信息,包括应用访问控制策略的制定和安全防护策略创建、取证调查和报表分析。1、映射组织架构SANGFORIPS可以按照组织的行政结构建立树形用户分组,将用户分配到指定的用户组中,以实现网络访问权限的授予与继承。用户创建的过程简单方便,除手工输入帐户方式外,SANGFORIPS能够根据OU或Group读取AD域控服务器上用户组织结构,并保持与AD的自动同步,方便管理员管理。此外,SANGFORIPS支持账户自动创建功能,依据管理员分配好的IP段与用户组的对应关系,基于新用户的源IP地址段自动将其添加到指定用户组、同时绑定IP/MAC,并继承管理员指定的网络权限。管理员亦可将用户信息编辑成Excel、TXT文件,将账户导入,实现快捷的创建用户和分组信息。2、建立身份认证体系本地认证:Web认证、用户名/密码认证、IP/MAC/IP-MAC绑定第三方认证:AD、LDAP、Radius、POP3、PROXY等;单点登录:AD、POP3、Proxy、HTTPPOST等;强制认证:强制指定IP段的用户必须使用单点登录(如必须登录AD域等)丰富的认证方式,帮助组织管理员有效区分用户,建立组织身份认证体系,进而形成树形用户分组,映射组织行政结构,实现用户与资源的一一对应。SANGFORIPS支持为未认证通过的用户分配受限的网络访问权限,将通过Web认证的用户重定向至显示指定网页,方便组织管理员发布通知。1.1.4面向用户与应用的访问控制策略当前的网络环境,IP不等于用户,端口不等于应用。而传统防火墙的基于IP/端口的控制策略就会失效,用户可以轻易绕过这些策略,不受控制的访问互联网资源及数据中心内容,带来巨大的安全隐患。SANGFORIPS不仅具备了精确的用户和应用的识别能力,还可以针对每个数据包找出相对应的用户角色和应用的访问权限。通过将用户信息、应用识别有机结合,提供角色为应用和用户的可视化界面,真正实现了由传统的“以设备为中心”到“以用户为中心”的应用管控模式转变。帮助管理者实施针对何人、何时、何地、何种应用动作、何种威胁等多维度的控制,制定出L4-L7层一体化基于用户应用的访问控制策略,而不是仅仅看到IP地址和端口信息。在这样的信息帮助下,管理员可以真正把握安全态势,实现有效防御,恢复了对网络资源的有效管控。1.1.5基于应用的流量管理传统防火墙的QOS流量管理策略仅仅是简单的基于数据包优先级的转发,当用户带宽流量过大、垃圾流量占据大量带宽,而这些流量来源于同一合法端口的不同非法应用时,传统防火墙的QOS便失去意义。SANGFORIPS提供基于用户和应用的流量管理功能,能够基于应用做流量控制,实现阻断非法流量、限制无关流量保证核心业务的可视化流量管理价值。SANGFORIPS采用了队列流量处理机制:首先,将数据流根据各种条件进行分类(如IP地址,URL,文件类型,应用类型等分类,像skype、emule属于P2P类)然后,分类后的数据包被放置于各自的分队列中,每个分类都被分配了一定带宽值,相同的分类共享带宽,当一个分类上的带宽空闲时,可以分配给其他分类,其中带宽限制是通过限制每个分队列上数据包的发送速率来限制每个分类的带宽,提高了带宽限制的精确度。最后,在数据包的出口处,每个分类具备一个优先级别,优先级高的队列先发送,当优先级高的队列中的数据包全部发送完毕后,再发送优先级低的。也可以为分队列设置其它排队方法,防止优先级高的队列长期占用网络接口。基于应用/网站/文件类型的智能流量管理SANGFORIPS可以基于不同用户(组)、出口链路、应用类型、网站类型、文件类型、目标地址、时间段进行细致的带宽划分与分配,如保证领导视频会议的带宽而限制员工P2P的带宽、保证市场部访问行业网站的带宽而限制研发部访问新闻类网站的带宽、保证设计部传输CAD文件的带宽而限制营销部传输RM文件的带宽。精细智能的流量管理既防止带宽滥用,又提升带宽使用效率。P2P的智能识别与灵活控制封IP、端口等管控“带宽杀手”P2P应用的方式极不彻底。加密P2P、不常见P2P、新P2P工具等让众多P2P管理手段束手无策。SANGFORIPS不仅识别和管控常用P2P、加密P2P,对不常见和未来将出现的P2P亦能管控。而完全封堵P2P可能实施困难,SANGFORIPS的P2P流控技术能限制指定用户的P2P所占用的带宽,既允许指定用户使用P2P,又不会滥用带宽,充分满足管理的灵活性。1.2全面的漏洞安全防护能力只提供基于网络层安全防护功能的方案,并不是一个完整的安全方案,对于漏洞攻击的防护不能仅靠传统防火墙、IDS等设备来实现,还需要具有应用漏洞识别能力的专业IPS设备才行。1.2.1基于应用的深度入侵防御SANGFORIPS的灰度威胁关联分析引擎具备3000+条漏洞特征库,可以全面识别各种应用层级别的安全威胁;另外,深信服凭借在应用层领域6年以上的技术积累,组建了专业的安全攻防团队,可以为用户定期提供最新的威胁特征库更新,以确保防御的及时性。下图为灰度威胁关联分析引擎的工作原理:第一,威胁行为建模,在灰度威胁样本库中,形成木马行为库、SQL攻击行为库、P2P行为库、病毒蠕虫行为库等数十个大类行为样本,根据他们的风险性我们初始化一个行为权重,如异常流量0.32、病毒蠕虫0.36等等,同时拟定一个威胁阀值,如阀值=1。第二,用户行为经过单次解析引擎后,发现攻击行为,立即将相关信息,如IP、用户、攻击行为等反馈给灰度威胁样本库。第三,在灰度威胁样本库中,针对单次解析引擎的反馈结果,如攻击行为、IP、用户等信息,不断归并和整理,形成了基于IP、用户的攻击行为的表单。第四,基于已有威胁样本库,将特定用户的此次行为及样本库中的行为组合,进行权值计算和阀值比较,例如某用户的行为组权重之和为1.24,超过了预设的阀值1,我们会认定此类事件为威胁事件。由此可见,威胁关联分析引擎对丰富的灰度威胁样本库和权重的准确性提出了更高的要求,SANGFORIPS在两方面得以增强:第一,通过SANGFORIPS抓包,客户可以记录未知流量并提交给深信服的威胁探针云,在云中心,深信服专家会对威胁反复测试,加快灰度威胁的更新速度,不断丰富灰度威胁样本库。第二,深信服不断的循环验证和权重微调,形成了准确的权重知识库,为检测未知威胁奠定了基础。1.2.2独特的WEB攻击防护SANGFORIPS能够有效防护OWASP组织提出的10大web安全威胁的主要攻击:防SQL注入攻击SQL注入攻击产生的原因是由于在开发web应用时,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据,这就是所谓的SQLInjection,即SQL注入。SANGFORIPS可以通过高效的URL过滤技术,过滤SQL注入的关键信息,从而有效的避免网站服务器受到SQL注入攻击。防XSS跨站脚本攻击跨站攻击产生的原理是攻击者通过向Web页面里插入恶意html代码,从而达到特殊目的。SANGFORIPS通过先进的数据包正则表达式匹配原理,可以准确地过滤数据包中含有的跨站攻击的恶意代码,从而保护用户的WEB服务器安全。防CSRF攻击CSRF即跨站请求伪造,从成因上与XSS漏洞完全相同,不同之处在于利用的层次上,CSRF是对XSS漏洞更高级的利用,利用的核心在于通过XSS漏洞在用户浏览器上执行功能相对复杂的JavaScript脚本代码劫持用户浏览器访问存在XSS漏洞网站的会话,攻击者可以与运行于用户浏览器中的脚本代码交互,使攻击者以受攻击浏览器用户的权限执行恶意操作。SANGFORIPS通过先进的数据包正则表达式匹配原理,可以准确地过滤数据包中含有的CSRF的攻击代码,防止WEB系统遭受跨站请求伪造攻击。1.2.3完整的终端安全保护传统网络安全设备对于终端的安全保护仅限于病毒防护。事实上终端的安全不仅仅是病毒,很多用户在部署过防病毒软件之后,终端的安全事件依然频发,如何完整的保护终端成为众多用户关注的焦点。SANGFORIPS提供完整的终端安全保护,全方位的保护终端不受威胁困扰。1、病毒防护SANGFORIPS提供基于终端的病毒防护功能,从源头对HTTP、FTP、SMTP、POP3等协议流量中进行病毒查杀,亦可查杀压缩包(zip,rar,7z等)中的病毒。2、基于终端的漏洞防护内网终端仍然存在漏洞被利用的问题,多数传统安全设备仅仅提供基于服务器的漏洞防护,对于终端漏洞的利用视而不见。SANGFORIPS同时提供基于终端的漏洞保护能防护如:后门程序预防、协议脆弱性保护、exploit保护、网络共享服务保护、shellcode预防、间谍程序预防等基于终端的漏洞防护,有效防止了终端漏洞被利用而成为黑客攻击的跳板。1.2.4智能DOS/DDOS攻击防护SANGFORIPS采用自主研发的DOS攻击算法,可防护基于数据包的DOS攻击、IP协议报文的DOS攻击、TCP协议报文的DOS攻击、基于HTTP协议的DOS攻击等,实现对网络层、应用层的各类资源耗尽的拒绝服务攻击的防护,实现L2-L7层的异常流量清洗。1.2.5专业攻防研究团队确保持续更新SANGFORIPS的统一威胁识别具备3000+条漏洞特征库、数十万条病毒、木马等恶意内容特征库、2000+Web应用威胁特征库,可以全面识别各种应用层和内容级别的各种安全威胁。其漏洞特征库已通过国际最著