下一代防火墙安全解决方案深信服科技有限公司201X-XX-XXxx项目NGAF安全加固解决方案建议第2页共36页目录1网络与应用环境面临的安全挑战.............................................................................31.1应用多样化,端口的单一化.............................................................................31.2黑客攻击方式和目的的变化.............................................................................41.3端到端的万兆处理能力.....................................................................................62传统安全设备日趋“无力”.....................................................................................72.1防火墙成为了“摆设”.....................................................................................72.2IPS+AV+WAF补丁式的方案...........................................................................82.3简单堆砌的UTM...............................................................................................93下一代防火墙的诞生与价值...................................................................................113.1Gantner定义下一代防火墙.............................................................................113.2深信服NGAF的特点与用户价值..................................................................124XXX网络安全现状.................................................................................................144.1网络与应用系统现状.......................................................................................144.2面临的内容安全威胁.......................................................................................144.2.1漏洞利用...................................................................................................144.2.2拒绝服务攻击和分布式拒绝服务攻击...................................................164.2.3零时差攻击...............................................................................................174.2.4间谍软件...................................................................................................184.2.5协议异常和违规检测...............................................................................204.2.6侦测和扫描...............................................................................................204.2.7Web入侵......................................................................................................214.2.8病毒木马...................................................................................................225NGAF安全加固解决方案.......................................................................................235.1总体方案...........................................................................................................235.2数据中心服务器保护.......................................................................................245.3广域网边界安全隔离与防护...........................................................................265.4互联网出口边界防护.......................................................................................286深信服NGAF产品介绍..........................................................................................306.1更精细的应用层安全控制...............................................................................306.2更全面的内容级安全防护...............................................................................316.3更高性能的应用层处理能力...........................................................................336.4更完整的安全防护方案...................................................................................35xx项目NGAF安全加固解决方案建议第3页共36页1网络与应用环境面临的安全挑战IT部门对企业高效运营和快速发展的贡献毋庸置疑,种种益处自不必多言,但是如果网络崩溃、应用瘫痪、机密被窃,损失将令人痛心,甚至无法弥补,IT部门也将承受极大的压力,所以保证网络和应用系统安全、可靠和高效的运行成为IT部门的关键任务。要实现上述目标,首先,让我们来对网络和系统运行面临的安全挑战做出详细的分析。1.1应用多样化,端口的单一化在传统的网络安全建设中,为网络设立一个“尽职尽责”的门卫控制应用访问的合法性还是可以做到的。因为,那时端口=应用、IP=用户,只要在交换机、路由器、防火墙做些基于“端口+IP”的访问控制策略,就可以轻松实现用户的访问权限。但是随着网络、应用的不断的发展,为了便于应用的跨平台、灵活部署,现在有成千上万种应用趋向于更少数的端口运行,都是基于xx项目NGAF安全加固解决方案建议第4页共36页HTTP或者HTTPS协议(80、443端口)。比如“开心网”网站上可以运行159种应用程序(还在不断丰富)——聊天、游戏、图片分享等;“谷歌”的企业级应用套件甚至可以提供类似于Office、协作办公、视频分享这样的企业应用程序。因此,应用多样化、端口单一化,给我们的网络安全提出了2个新的问题:1、能够针对应用协议和动作进行访问控制:对于这些应用和应用中丰富的动作,我们需要精细控制用户的访问权限,比如无法阻断文件传输,防止泄密。2、Web成为威胁传播的重点对象:需要针对看似合法的Web层内容中,检测和过滤各种威胁。因为,黑客已经把这些端口当做攻击和威胁传播的目标。1.2黑客攻击方式和目的的变化早期的黑客攻击手段大多为非破坏性攻击,一般是为了扰乱系统的运行,并不盗窃系统资料,通常采用拒绝服务攻击(PingofDeath等)网络层方式。其主要目的也只是为了技术炫耀型为主。而当前的黑客攻击目的完全以利益为驱动,技术手段更加倾向于应用化、内容化、混合化。所谓应用化,面对堡垒森严的网络层防护手段,黑客要想悄无声息的入侵IT系统,必须采用更高层次的方式绕过这些防护手段。所以,基于应用的漏洞利用、命令注入、恶意脚本/插件等威胁就成为了黑客争相研究的方向。而漏洞利用也从原来侧重OS底层漏洞转变为基于应xx项目NGAF安全加固解决方案建议第5页共36页用程序的漏洞,比如根据卡巴斯基2011年Q1漏洞排行榜,AdobeReader、FlashPlayer的包揽前三甲。所谓内容化,黑客在成功入侵后更加关注的是IT系统中的内容,比如客户账号、通讯方式、银行账户、企业机密、电子订单等。因此,通过木马、后门、键盘记录等方式可以不断获取这些关键内容,并进行非法利用而牟利。所谓混合化,在黑客一次攻击行为中使用了多种技术手段,而非原来单一的病毒蠕虫或者漏洞利用。比如,黑客要想入侵一台Web服务器上传木马的过程:端口/应用扫描、口令爆破、漏洞利用、OS命令注入、SQL注入、跨站脚本、木马上传等。因此,面对上述安全风险的变化,给我们的网络安全提出了新的问题:xx项目NGAF安全加固解决方案建议第6页共36页1、能够防护混合型攻击威胁的防护:传统防火墙无法提供DPI深度检测,而IPS、WAF、AV等设备防护功能单一,需要相互搭配使用。因此,面对多种安全威胁的混合型攻击,我们需要一个完整的应用层安全防护方案。2、能够保护应用内容:针对黑客对内容的关注,需要基于应用的内容做安全检查,包括扫描所有应用内容,过滤有风险的内容,甚至让用户自定义哪些内容可以进出,哪些内容不能进出。1.3端到端的万兆处理能力当前的IT系统已经全面具备了万兆处理能力,万兆网络、万兆存储、万兆计算,甚至100G/40G的网络标准已经诞生。但是只要在IT系统中出现一个性能瓶颈,就会制约整个IT系统的性能发挥。而当前应用层安全处理能力仅仅停留在准千兆级别,往往只有600-800兆左右的线速能力,成为了严重的网络性能瓶颈。因此,面对上述网络性能的不断提升,给我们的安全防护提出了新的问题:xx项目NGAF安全加固解决方案建议第7页共36页实现万兆级应用层安全处理能力:应用层安全防护强调的是计算的灵活性,传统网络安全设备的强调