【正文】 下一代防火墻安全解決方案深信服科技有限公司201XXXXX 目 錄1 網(wǎng)絡(luò)與應(yīng)用環(huán)境面臨的安全挑戰(zhàn) 3 應(yīng)用多樣化，端口的單一化 3 黑客攻擊方式和目的的變化 4 端到端的萬兆處理能力 62 傳統(tǒng)安全設(shè)備日趨“無力” 7 防火墻成為了“擺設(shè)” 7 IPS+AV+WAF補(bǔ)丁式的方案 8 簡單堆砌的UTM 93 下一代防火墻的誕生與價(jià)值 11 Gantner定義下一代防火墻 11 深信服NGAF的特點(diǎn)與用戶價(jià)值 124 XXX網(wǎng)絡(luò)安全現(xiàn)狀 14 網(wǎng)絡(luò)與應(yīng)用系統(tǒng)現(xiàn)狀 14 面臨的內(nèi)容安全威脅 14 漏洞利用 14 拒絕服務(wù)攻擊和分布式拒絕服務(wù)攻擊 16 零時(shí)差攻擊 17 間諜軟件 18 協(xié)議異常和違規(guī)檢測 20 偵測和掃描 20 Web入侵 21 病毒木馬 225 NGAF安全加固解決方案 23 總體方案 23 數(shù)據(jù)中心服務(wù)器保護(hù) 24 廣域網(wǎng)邊界安全隔離與防護(hù) 25 互聯(lián)網(wǎng)出口邊界防護(hù) 266 深信服NGAF產(chǎn)品介紹 28 更精細(xì)的應(yīng)用層安全控制 28 更全面的內(nèi)容級(jí)安全防護(hù) 29 更高性能的應(yīng)用層處理能力 31 更完整的安全防護(hù)方案 331 網(wǎng)絡(luò)與應(yīng)用環(huán)境面臨的安全挑戰(zhàn)IT部門對(duì)企業(yè)高效運(yùn)營和快速發(fā)展的貢獻(xiàn)毋庸置疑，種種益處自不必多言，但是如果網(wǎng)絡(luò)崩潰、應(yīng)用癱瘓、機(jī)密被竊，損失將令人痛心，甚至無法彌補(bǔ)，IT部門也將承受極大的壓力，所以保證網(wǎng)絡(luò)和應(yīng)用系統(tǒng)安全、可靠和高效的運(yùn)行成為IT部門的關(guān)鍵任務(wù)。要實(shí)現(xiàn)上述目標(biāo)，首先，讓我們來對(duì)網(wǎng)絡(luò)和系統(tǒng)運(yùn)行面臨的安全挑戰(zhàn)做出詳細(xì)的分析。 應(yīng)用多樣化，端口的單一化在傳統(tǒng)的網(wǎng)絡(luò)安全建設(shè)中，為網(wǎng)絡(luò)設(shè)立一個(gè)“盡職盡責(zé)”的門衛(wèi)控制應(yīng)用訪問的合法性還是可以做到的。因?yàn)?，那時(shí)端口=應(yīng)用、IP=用戶，只要在交換機(jī)、路由器、防火墻做些基于“端口+IP”的訪問控制策略，就可以輕松實(shí)現(xiàn)用戶的訪問權(quán)限。但是隨著網(wǎng)絡(luò)、應(yīng)用的不斷的發(fā)展，為了便于應(yīng)用的跨平臺(tái)、靈活部署，現(xiàn)在有成千上萬種應(yīng)用趨向于更少數(shù)的端口運(yùn)行，都是基于HTTP或者HTTPS協(xié)議（80、443端口）。比如“開心網(wǎng)”網(wǎng)站上可以運(yùn)行159種應(yīng)用程序（還在不斷豐富）——聊天、游戲、圖片分享等；“谷歌”的企業(yè)級(jí)應(yīng)用套件甚至可以提供類似于Office、協(xié)作辦公、視頻分享這樣的企業(yè)應(yīng)用程序。因此，應(yīng)用多樣化、端口單一化，給我們的網(wǎng)絡(luò)安全提出了2個(gè)新的問題： 能夠針對(duì)應(yīng)用協(xié)議和動(dòng)作進(jìn)行訪問控制：對(duì)于這些應(yīng)用和應(yīng)用中豐富的動(dòng)作，我們需要精細(xì)控制用戶的訪問權(quán)限，比如無法阻斷文件傳輸，防止泄密。 Web成為威脅傳播的重點(diǎn)對(duì)象：需要針對(duì)看似合法的Web層內(nèi)容中，檢測和過濾各種威脅。因?yàn)?，黑客已?jīng)把這些端口當(dāng)做攻擊和威脅傳播的目標(biāo)。 黑客攻擊方式和目的的變化早期的黑客攻擊手段大多為非破壞性攻擊，一般是為了擾亂系統(tǒng)的運(yùn)行，并不盜竊系統(tǒng)資料，通常采用拒絕服務(wù)攻擊（Ping of Death等）網(wǎng)絡(luò)層方式。其主要目的也只是為了技術(shù)炫耀型為主。而當(dāng)前的黑客攻擊目的完全以利益為驅(qū)動(dòng)，技術(shù)手段更加傾向于應(yīng)用化、內(nèi)容化、混合化。所謂應(yīng)用化，面對(duì)堡壘森嚴(yán)的網(wǎng)絡(luò)層防護(hù)手段，黑客要想悄無聲息的入侵IT系統(tǒng)，必須采用更高層次的方式繞過這些防護(hù)手段。所以，基于應(yīng)用的漏洞利用、命令注入、惡意腳本/插件等威脅就成為了黑客爭相研究的方向。而漏洞利用也從原來側(cè)重OS底層漏洞轉(zhuǎn)變?yōu)榛趹?yīng)用程序的漏洞，比如根據(jù)卡巴斯基2011年Q1漏洞排行榜，Adobe Reader、Flash Player的包攬前三甲。所謂內(nèi)容化，黑客在成功入侵后更加關(guān)注的是IT系統(tǒng)中的內(nèi)容，比如客戶賬號(hào)、通訊方式、銀行賬戶、企業(yè)機(jī)密、電子訂單等。因此，通過木馬、后門、鍵盤記錄等方式可以不斷獲取這些關(guān)鍵內(nèi)容，并進(jìn)行非法利用而牟利。所謂混合化，在黑客一次攻擊行為中使用了多種技術(shù)手段，而非原來單一的病毒蠕蟲或者漏洞利用。比如，黑客要想入侵一臺(tái)Web服務(wù)器上傳木馬的過程：端口/應(yīng)用掃描、口令爆破、漏洞利用、OS命令注入、SQL注入、跨站腳本、木馬上傳等。因此，面對(duì)上述安全風(fēng)險(xiǎn)的變化，給我們的網(wǎng)絡(luò)安全提出了新的問題： 能夠防護(hù)混合型攻擊威脅的防護(hù)：傳統(tǒng)防火墻無法提供DPI深度檢測，而IPS、WAF、AV等設(shè)備防護(hù)功能單一，需要相互搭配使用。因此，面對(duì)多種安全威脅的混合型攻擊，我們需要一個(gè)完整的應(yīng)用層安全防護(hù)方案。 能夠保護(hù)應(yīng)用內(nèi)容：針對(duì)黑客對(duì)內(nèi)容的關(guān)注，需要基于應(yīng)用的內(nèi)容做安全檢查，包括掃描所有應(yīng)用內(nèi)容，過濾有風(fēng)險(xiǎn)的內(nèi)容，甚至讓用戶自定義哪些內(nèi)容可以進(jìn)出，哪些內(nèi)容不能進(jìn)出。 端到端的萬兆處理能力當(dāng)前的IT系統(tǒng)已經(jīng)全面具備了萬兆處理能力，萬兆網(wǎng)絡(luò)、萬兆存儲(chǔ)、萬兆計(jì)算，甚至100G/40G的網(wǎng)絡(luò)標(biāo)準(zhǔn)已經(jīng)誕生。但是只要在IT系統(tǒng)中出現(xiàn)一個(gè)性能瓶頸，就會(huì)制約整個(gè)IT系統(tǒng)的性能發(fā)揮。而當(dāng)前應(yīng)用層安全處理能力僅僅停留在準(zhǔn)千兆級(jí)別，往往只有600800兆左右的線速能力，成為了嚴(yán)重的網(wǎng)絡(luò)性能瓶頸。因此，面對(duì)上述網(wǎng)絡(luò)性能的不斷提升，給我們的安全防護(hù)提出了新的問題：實(shí)現(xiàn)萬兆級(jí)應(yīng)用層安全處理能力：應(yīng)用層安全防護(hù)強(qiáng)調(diào)的是計(jì)算的靈活性，傳統(tǒng)網(wǎng)絡(luò)安全設(shè)備的強(qiáng)調(diào)的是重復(fù)計(jì)算的高性能。因此，基于傳統(tǒng)網(wǎng)絡(luò)層安全設(shè)備ASIC的設(shè)計(jì)思路需要調(diào)整，并重新設(shè)計(jì)系統(tǒng)架構(gòu)，才能滿足萬兆級(jí)完整的應(yīng)用層防護(hù)處理能力。 2 傳統(tǒng)安全設(shè)備日趨“無力”面對(duì)上述網(wǎng)絡(luò)、應(yīng)用、安全風(fēng)險(xiǎn)等環(huán)境的變化，傳統(tǒng)安全設(shè)備已經(jīng)顯得日趨“無力”，尤其是傳統(tǒng)防火墻已經(jīng)變成了聾子和瞎子。 防火墻成為了“擺設(shè)”從1990開始，隨著Internet的快速發(fā)展，網(wǎng)絡(luò)安全的問題也逐步為人們所重視，從最初采用簡單的訪問控制列表，到部署防火墻來保護(hù)周界安全。從1993年防火墻被廣泛地部署在各種網(wǎng)絡(luò)中，如下圖所示：圖 自1993開始防火墻被廣泛應(yīng)用于邊界安全傳統(tǒng)防火墻目前在網(wǎng)絡(luò)當(dāng)中主要的功能包括： 通過基于端口和IP的訪問控制，實(shí)現(xiàn)安全域的隔離與劃分； 通過地址轉(zhuǎn)換，實(shí)現(xiàn)內(nèi)部IP規(guī)劃的隱藏； 通過抵御DOS等網(wǎng)絡(luò)層攻擊，確保系統(tǒng)穩(wěn)定運(yùn)行；但是面對(duì)“第一章”所提到的環(huán)境變化，我們可以發(fā)現(xiàn)，這些功能已經(jīng)無法確保我們系統(tǒng)的安全穩(wěn)定運(yùn)行。防火墻存在的問題如下： 戴著眼罩的保安：如果防火墻依然通過端口設(shè)置訪問權(quán)限，那么針對(duì)單一端口下的多種應(yīng)用和動(dòng)作，針對(duì)端口動(dòng)態(tài)變化的應(yīng)用來說，防火墻只能霧里看花，無法實(shí)現(xiàn)有效地、精細(xì)地訪問權(quán)限控制； 過時(shí)的盾牌：如果把網(wǎng)絡(luò)層攻擊比喻成冷兵器時(shí)代的“刀槍劍戟”，把應(yīng)用層混合威脅比喻成熱兵器時(shí)代的“長槍大炮”，那么防火墻就好比是過時(shí)的“盾牌”，面對(duì)已經(jīng)不常出沒的冷兵器還是可以防護(hù)的，但是面對(duì)“長槍大炮”防火墻就自身難保。因此，當(dāng)前防火墻的部署已經(jīng)成為了一種心理安慰，僅僅作為合規(guī)性的建設(shè)要求，要想真正確保系統(tǒng)安全，必須變革。 IPS+AV+WAF補(bǔ)丁式的方案面對(duì)防火墻成為“擺設(shè)”的現(xiàn)實(shí)，出現(xiàn)了不少補(bǔ)充型的加固方案，其中最典型的方式就是FW+IPS+AV+WAF這種“串糖葫蘆式”的建設(shè)。在一段時(shí)間內(nèi)，這種方式成為了用戶的不錯(cuò)選擇。但是，隨著業(yè)務(wù)的開展，其問題日益凸顯： 投資成本高：首先，同樣性能的應(yīng)用層