下一代防火墙 白皮书V1.0-1108

NGAF技术白皮书文档密级：公开1/17深信服下一代防火墙NGAF技术白皮书深信服科技有限公司技术白皮书文档密级：公开2/17目录1.概述...............................................................................................................................................32.为什么需要下一代防火墙..........................................................................................................32.1网络发展的趋势使防火墙以及传统方案失效.................................................................32.2替代性方案能否弥补.........................................................................................................42.2.1“打补丁式的方案”...............................................................................................42.2.2UTM统一威胁管理.................................................................................................43.下一代防火墙的诞生与价值........................................................................................................43.1Gantner定义下一代防火墙...............................................................................................43.2深信服下一代应用防火墙—NGAF...................................................................................54.产品功能特点................................................................................................................................64.1更精细的应用层安全控制.................................................................................................64.1.1可视化应用识别......................................................................................................74.1.2多种用户识别方式..................................................................................................74.1.3一体化应用访问控制策略......................................................................................84.1.4基于应用的流量管理..............................................................................................94.2更全面的内容级安全防护...............................................................................................104.2.1灰度威胁关联分析技术........................................................................................104.2.2基于攻击过程的服务器保护................................................................................124.2.3强化的WEB安全防护..........................................................................................134.2.4完整的终端安全保护............................................................................................144.3更高性能的应用层处理能力...........................................................................................154.3.1单次解析架构........................................................................................................154.3.2多核并行处理技术................................................................................................164.4更完整的安全防护方案...................................................................................................165.关于深信服..................................................................................................................................17NGAF技术白皮书文档密级：公开3/171.概述防火墙自诞生以来，在网络安全防御系统中就建立了不可替代的地位。作为边界网络安全的第一道关卡防火墙经历了包过滤技术、代理技术和状态监视技术的技术革命，通过ACL访问控制策略、NAT地址转换策略以及抗网络攻击策略有效的阻断了一切未被明确允许的包通过，保护了网络的安全。防火墙就像故宫的城墙，对进出防火墙的一切数据包进行检查，保证合法数据包能够进入网络访问合法资源同时防止非法人员通过非法手段进入网络或干扰网络的正常运行。防火墙技术在当时被堪称完美！随着时代的变迁，故宫的城墙已黯然失色，失去了它原有的防御能力。同样防火墙在面对网络的高速发展，应用的不断增多的时代也失去了它不可替代的地位。自2009年10月Gartner提出“DefiningtheNext-GenerationFirewall”一文，重新定义下一代防火墙，下一代防火墙的概念在业内便得到了普遍的认可。深信服也在经过10年网络安全技术6年的应用安全技术沉淀之后，于2011年正式发布深信服“下一代应用防火墙”——NGAF。2.为什么需要下一代防火墙2.1网络发展的趋势使防火墙以及传统方案失效防火墙作为一款历史悠久的经典产品，在IP/端口的网络时代，发挥了巨大的作用：合理的分隔了安全域，有效的阻止了外部的网络攻击。防火墙在设计时的针对性，在当时显然是网络安全的最佳选择。但在网络应用高速发展，网络规划复杂化的今天防火墙的不适应性就越发明显，从用户对网络安全建设的需求来看，传统防火墙存在以下问题：1、应用安全防护的问题：传统防火墙基于IP/端口，无法对应用层进行识别与控制，无法确定哪些应用经过了防火墙，自然就谈不上对各类威胁进行有效防御了。面对应用层的攻击，防火墙显得力不从心，无法检测或拦截嵌入到普通流量中的恶意攻击代码，比如病毒、蠕虫、木马等。2、安全管理的问题：传统防火墙的访问控制策略对于大型网络来说简直就是噩梦。严格控制网络需要配置大量的策略，并且这些基于IP/端口策略可读性非常之差，经常会造成错配、漏配的情况，留下的这些隐患，往往给黑客们以可乘之机。NGAF技术白皮书文档密级：公开4/172.2替代性方案能否弥补2.2.1“打补丁式的方案”由于防火墙功能上的缺失使得企业在网络安全建设的时候针对现有多样化的攻击类型采取了打补丁式的设备叠加方案，形成了“串糖葫芦”式部署。通常我们看到的网络安全规划方案的时候都会以防火墙+入侵防御系统+网关杀毒+„„的形式。这种方式在一定程度上能弥补防火墙功能单一的缺陷，对网络中存在的各类攻击形成了似乎全面的防护。但在这种环境中，管理人员通常会遇到如下的困难：效率低：同一数据包经过串联的各类设备，被重复拆包，重复解析，使整个网络的效率变得低下，运行速度变得十分缓慢。维护成本高：众多设备需要提供足够的空间和环境支持，大大提高了维护成本。管理复杂：独立设备、管理复杂，需要培养熟悉各类设备、各厂商设备的高级管理人员。同时也无法进行统一的安全风险分析2.2.2UTM统一威胁管理2004年IDC推出统一威胁管理UTM的概念。这种设备的理念是将多个功能模块集中如：FW、IPS、AV，联合起来达到统一防护，集中管理的目的。这无疑给安全建设者们提供了更新的思路。事实证明国内市场UTM产品确实得到用户认可，据IDC统计数据09年UTM市场增长迅速，但2010年UTM的增长率同比有明显的下降趋势。这是因为UTM设备仅仅将FW、IPS、AV进行简单的整合，传统防火墙安全与管理上的问题依然存在，比如缺乏对WEB服务器的有效防护等；另外，UTM开启多个模块时是串行处理机制，一个数据包先过一个模块处理一遍，再重新过另一个模块处理一遍，一个数据要经过多次拆包，多次分析，性能和效率使得UTM难以令人信服。Gartner认为“UTM安全设备只适合中小型企业使用，而NGFW才适合员工大于1000的大型企业使用。”3.下一代防火墙的诞生与价值3.1Gantner定义下一代防火墙针对上述安全风险、网络环境、应用系统的变化，传统网络安全设备的无能为力，市场咨询分析机构Gartner在2009年发布了一份名为《DefiningtheNext-GenerationFirewall》的文章，给出了真正能够满足用户当前安全需求的下一代防火墙（NGFW）定义。NGAF技术白皮书文档密级：公开5/17在Gartner看来，NGFW应该是一个线速（wire-speed）网络安全处理平台，在功能上至少应当具备以下几个属性：1、联机“bump-in-the-wire”配置，不中断网络运行。2、发挥网络传输流检查和网络安全政策执行平台的作用，至少具有以下特性：（1）标准的第一代防火墙能力：包过滤、网络地址转换(NAT)、状态性协议检测、VPN等等。（2）集成的而非仅仅共处一个位置的网络入侵检测：支持面向安全漏洞的特征码和面向威胁的特征码。IPS与防火墙的互动效果应当大于这两部分效果的总和。例如提供防