绿盟安全网关

绿盟安全网关产品白皮书©2011绿盟科技■版权声明本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属绿盟科技所有，受到有关产权及版权法保护。任何个人、机构未经绿盟科技的书面授权许可，不得以任何方式复制或引用本文的任何片断。-3-密级：完全公开©2011绿盟科技绿盟安全网关产品白皮书目录一.前言.......................................................................................................................................................4二.什么是安全网关...................................................................................................................................4三.来自应用的威胁...................................................................................................................................4四.下一代安全网关NGSG.........................................................................................................................6五.绿盟安全网关特点.............................................................................................................................14-4-密级：完全公开©2011绿盟科技绿盟安全网关产品白皮书一.前言据统计，截至2010年，中国网民数量达到了4.2亿，居世界首位，而对于国内的各企业单位来说，网络建设更是方兴未艾，网络和网民数量的持续增多、网络的带宽快速增大，为网络应用创造了良好的环境，继传统HTTP、Email之后，网络视频会议、VPN企业私网、P2P视频、即时聊天、WEB2.0、电子商务各种应用也随之兴起，网络已经成为人们工作、生活不可或缺的一部分，可以说，我们已经从“网络连通时代”进入到了“网络应用时代”。伴随网络规模的扩张，伴随着我们对网络依赖性的增强，伴随网络应用的增多，网络威胁也日益增大，各种蠕虫、病毒、网络入侵、DDoS、泄密事件层出不穷，不断有造成百万、千万以致亿计的损失。在这些威胁中，与网络“连通时代”最大的不同就在于，以应用为目标或载体的威胁日益增多。据CNCERTCC统计，在TCP各种应用统计中，流量排名前四位的是WEB浏览、P2P下载、电子邮件和即时聊天工具。在防火墙等传统安全网关已经普及的情况下，TCP/IP的4层攻击已经受到越来越多的限制，因此，未来的攻击目标和层面正在逐渐转移到7层的应用层上，这给网络安全提出了一个新的严重的挑战：如何在4层的防护的基础上，完成对新型的应用攻击防护，从而能够保障“网络应用时代”的网络用户免受威胁之苦。二.什么是安全网关安全网关，它是指设置在不同网络或网络安全域之间的一系列部件的组合的统称。它可通过监测、限制、更改跨越安全网关的数据流，尽可能地对外部屏蔽网络内部的信息、结构和运行状况，并通过检测阻断威胁，以及网络数据加密等手段来实现网络和信息的安全。安全网关按照功能和用途划分，可以分为通用型的网络防火墙、UTM(UnifiedThreatManagement)、安全路由器，或者专用型的VPN网关、防病毒网关、防垃圾邮件网关、抗DDoS网关等各种类型。在这里面，最早出现，也是现在最主要的类型是网络防火墙。三.来自应用的威胁面对“网络应用时代”的威胁，先看下面一组数据：-5-密级：完全公开©2011绿盟科技绿盟安全网关产品白皮书1.国家工业和信息化部公布，截至2010年6月底，中国网民规模达到4.2亿，突破了4亿关口，较2009年底增加3600万人；互联网普及率攀升至31.8%；2.CNCERTCC统计结果显示，2010年共发现近500万个境内主机IP地址感染了木马和僵尸程序，较2009年大幅增加；3.2010年，CNCERTCC监测发现共近48万个木马控制端IP，其中有22.1万个位于境外。共有13782个僵尸网络控制端IP，有6531个位于境外；4.2010年，CNCERT共接收网络钓鱼事件举报1597件，较2009年增长33.1%。在防火墙等传统安全网关大量普及的今天，网络安全问题还在日益扩大，这一方面是因为我国网络总量本身就在快速增大，另一方面，也说明传统安全网关不能有效制止这些新的安全问题，特别是无法有效解决应用层安全问题。在当前企业或者政府机关中的网络应用，基本可以分为两种类型，一种是业务相关的应用，如电子邮件、视频会议、数据库、WEB网站、VPN网络、电子商务、专项业务应用等，另一种则是非业务相关的应用，一般包括如非工作WEB浏览、P2P下载和视频等、游戏、炒股软件、IM等。而其中的应用安全问题主要集中在以下几个方面：1.非工作应用自身的危害。例如P2P视频或者下载占据大量带宽，从而影响正常业务带宽，而游戏和访问非法网站虽然不会造成流量问题，但也会造成员工工作效率的降低。2.应用成为威胁的通道。一般4层安全网关采用封闭端口的方式限制非法应用，通常会打开80（Http）、110（pop3）等端口，确保WEB和邮件等应用通行，很多蠕虫和攻击则正好借助这些端口，以应用的形式进入内部网络，从而形成攻击；另一方面，员工利用IM、EMAIL等方式对外发送机密文件和数据，也使得应用成为对外泄密的通道。3.应用成为攻击的目标。一些应用服务，例如WEB网站、邮件服务器、数据库是企业单位业务的重要载体，但是很多攻击，例如DDoS的CC、蠕虫病毒等，则完全针对上述应用进行攻击，一旦造成拒绝服务或者信息泄露，都将成为企业单位的一场安全灾难。在网络中，传统安全网关的主要是基于三层包过滤和四层状态监测等防护技术，无法对应用进行有效的监控、管理和防护，因此，各种各样的应用逐渐成为了网络安全难以监控的非管理区，如下图：-6-密级：完全公开©2011绿盟科技绿盟安全网关产品白皮书图一、传统安全网关防护范围这是一方面因为应用的种类繁多、灵活多变，包括SmartTunnel等各种技术可以随意改变应用的端口，各种攻击伪装技术可以仿冒Http、IM等各种应用软件，使得传统以静态端口或者特征为检测机制的安全网关对此毫无办法。另一方面，对应用层的检测需要消耗安全网关的大量计算能力，没有好的硬件构架和软件算法，应用级防护将导致安全网关转发性能严重不足，从而丧失了其实用价值。四.下一代安全网关NGSG下一代安全网关——NextGenerationSecurityGateway（NGSG）是在传统安全网关4层静态防护基础上发展起来的新一代安全网关，它利用多种检测技术满足从链路层到应用层的全面检测，确保应用级的安全防护；利用多核CPU等技术，解决在复杂检测防护技术下的应用层性能问题；它采用了统一防护策略，将应用层复杂的防护功能融合起来，作为一个整体实现对网络的全方位防护。下一代检测技术下一代安全网关NGSG采用的三种核心检测引擎：状态检测（StatefulInspection）、智能协议识别（NIPR：NsfocusIntelligentProtocolRecognition）、智能内容识别（NICR：NsfocusIntelligentContentRecognition）三个检测引擎，作为安全威胁2－7层全面检测的核心技术。-7-密级：完全公开©2011绿盟科技绿盟安全网关产品白皮书图二、NSFOS操作系统的检测引擎示意如上图所示为绿盟专用操作系统NSFOS逻辑框架图，在网络数据经过以多核CPU为处理芯片的硬件平台后，在经过网络专用ASIC芯片做基本的包解析重组和分流，进入到NGSG的核心技术——多层检测引擎中，在这里，主要包含三个检测技术：1.状态检测（StatefulInspection）状态检测，即利用四层TCP/IP的连接握手信息，建立状态表项，利用表项信息监控不同区域访问的数据情况，并依照规则进行数据包阻断等安全保护措施。其具体实现是：首先在NSFOS操作系统内部，建立状态表，用于内部记录数据报文的连接状态。对于一次不同安全区的访问，当数据包到达防火墙时，状态检测引擎会检测到这是一个发起连接的初始数据包(SYN标志)，然后它就会把这个数据包中的信息与安全网关的规则作比较，如果没有相应规则允许，防火墙就会拒绝这次连接，否则则允许通过，并且在状态表中新建一条会话，此时称为半连接。这条会话包括此连接的源地址、源端口、目标地址、目标端口、连接时间等信息，对于TCP连接，它还包含序列号和标志位等信息。对于上述TCP连接的ACK回应包来说，状态检测引擎会检测到返回的数据包是否属于已经建立的半连接会话，如是则会允许返回包进入，在TCP三次握手完毕后，将这个半连接修改为全连接，并成为连接表的一个正式表项。-8-密级：完全公开©2011绿盟科技绿盟安全网关产品白皮书当后续数据包到达时，如果这个数据包不含SYN或ACK等标志，也就是说这个数据包不是发起一个新的连接的握手时，状态检测引擎就会直接把它的信息与状态表中的会话条目进行比较，如果信息匹配，就直接允许数据包通过，这样不再去接受规则的检查，提高了效率，如果信息不匹配，数据包就会被丢弃或连接被拒绝，并且每个会话还有一个超时值，过了这个时间，相应会话条目就会被从状态表中删除掉。对于UDP或者ICMP，虽然没有真正的连接，但是NGSG依旧会建立虚拟的连接表，成为连接表项的一部分，用于对不同安全区访问的控制。利用状态检测技术，以及该模块包含的相关的其他检测方式——例如包过滤技术，NGSG可以完成对2-4层数据的基本检测。2.智能协议识别（NIPR）智能协议识别属于动态识别技术，也是下一代安全网关NGSG同传统安全网关的一个重要区别，智能协议识别是利用了协议端口分析技术、协议特征判断、协议行为分析技术，并借用可以动态升级的应用协议特征库、协议行为特征库，来完成对复杂多变的链路层到应用层各种协议的识别判断和处理。对于复杂的应用，智能协议识别技术NIPR引擎按照如下顺序进行协议扫描，首先NIPR对数据包的协议端口进行判断，并按照不同的协议加以分组，区分为静态端口应用（Http、POP3等），动态端口应用（如某些P2P软件），以及特殊协议类型（如某些病毒，或者部分黑客工具）。之后，进入协议特征判断，利用“应用协议特征库”，对超过500种的协议进行特征匹配，并明确判断静态端口应用、动态端口应用，并可对部分特殊协议类型进行了准确判断。对于上两步没有完成的协议识别，进入协议行为特征识别阶段，利用对攻击的行为特征库的信息进行判断。由于该引擎的核心数据信息——应用协议特征库、协议行为特征库可以实现动态升级，这样对于日益增多和变化的应用协议，可以基本做到实时跟进，从而达到对各种应用协议的准确判断。3.智能内容识别（NICR）在NGSG的动态识别技术中，另一个重点即智能内容识别NICR，其主要作用是在智能协议识别NIPR的基础上，对协议内的数据内容进行监控识别。在智能内容识别中，最重要的是识别算法的处理效率，从而确保整个NGSG以较高性能分析应用层的数据。-9-密级：完全公开©2011绿盟科技绿盟安全网关产品白皮书NICR的第一个特点是基于流的扫描技术，在整个应用层内容的扫描识别过程中，不是将整个应用信息完全还原后才开始进行识别处理，而是在初始若干应用报文进入安全网关后就开始启动扫描识别和判断