【文章內(nèi)容簡介】 火墻 /IPS 更新周期時(shí)尋找 NGFW。 Gartner 預(yù)計(jì) 到 2020 年底， 用戶采購防火墻的 比例將增加到占安裝量的 35%， 60%新購買的防火墻將是 NGFW。 深信服 NGAF 的特點(diǎn)與用戶價(jià)值 通過將中國用戶的安全 需求與 Garnter 定義的“ NGFW”功能特性相結(jié)合， 深信服 推出了下一代應(yīng)用防火墻 NGAF 產(chǎn)品 。 NGAF 是面向應(yīng)用層設(shè)計(jì)，能夠精確識(shí)別用戶、應(yīng)用和內(nèi)容，具備完整安全防護(hù)能力，能夠全面替代傳統(tǒng)防火墻，并具有強(qiáng)勁應(yīng)用層處理能力的全新網(wǎng)絡(luò)安全設(shè)備。 NGAF 解決了傳統(tǒng)安全設(shè)備在應(yīng)用管控 、應(yīng)用可視化 、應(yīng)用 內(nèi)容 防護(hù) 等 方面的巨大不足，同時(shí)開啟所有功能后性能不會(huì)大幅下降。 xx 項(xiàng)目 NGAF 安全加固解決方案建議 第 13 頁 共 36 頁 NGAF 不但可以提供基礎(chǔ)網(wǎng)絡(luò)安全功能，如狀態(tài)檢測(cè)、 VPN、抗DDoS、 NAT 等；還實(shí)現(xiàn)了統(tǒng)一的應(yīng)用安全防護(hù)，可以針對(duì)一個(gè)入侵行為中的各種技術(shù)手段進(jìn)行 統(tǒng)一的檢測(cè)和防護(hù)，如應(yīng)用掃描、漏洞利用、 Web 入侵、非法訪問、蠕蟲病毒、帶寬濫用、惡意代碼等。 NGAF可以為 不同規(guī)模的 行業(yè)用戶的數(shù)據(jù)中心、廣域網(wǎng)邊界、互聯(lián)網(wǎng)邊界等場景提供更 加精細(xì)、更加全面、更高性能的應(yīng)用內(nèi)容 防護(hù)方案。 其具體特點(diǎn)如下： 更精細(xì)的應(yīng)用層安全控制： ? 貼近國內(nèi)應(yīng)用、持續(xù)更新的應(yīng)用識(shí)別規(guī)則庫 ? 識(shí)別內(nèi)外網(wǎng)超過 724 種應(yīng)用、 1253 種動(dòng)作（截止 2020 年 8 月10 日） ? 支持包括 AD 域、 Radius 等 8 種用戶身份識(shí)別方式 ? 面向用戶與應(yīng)用策略配置，減少錯(cuò)誤配置的風(fēng)險(xiǎn) 更全面的內(nèi)容級(jí)安全防護(hù)： ? 基于攻擊 過程的服務(wù)器保護(hù)，防御黑客掃描、入侵、破壞三步曲 ? 強(qiáng)化的 WEB 應(yīng)用安全，支持多種注入防范、 XSS 攻擊、權(quán)限控制等 ? 完整的終端安全保護(hù)，支持插件 /腳本過濾、漏洞 /病毒防護(hù)等 更高性能的應(yīng)用層處理能力： ? 單次解析架構(gòu)實(shí)現(xiàn)報(bào)文一次拆解和匹配 xx 項(xiàng)目 NGAF 安全加固解決方案建議 第 14 頁 共 36 頁 ? 多核并行處理技術(shù)提升應(yīng)用層分析速度 ? 全新技術(shù)架構(gòu)實(shí)現(xiàn)應(yīng)用層萬兆處理能力 更完整的安全防護(hù)方案 ? 可替代傳統(tǒng)防火墻 /VPN、 IPS 所有功能，實(shí)現(xiàn)內(nèi)核級(jí)聯(lián)動(dòng) 4 XXX 網(wǎng)絡(luò)安全現(xiàn)狀 網(wǎng)絡(luò)與應(yīng)用系統(tǒng)現(xiàn)狀 請(qǐng)具體描述用戶當(dāng)期的網(wǎng)絡(luò)、安全、應(yīng)用系統(tǒng)的建設(shè)現(xiàn)狀 （設(shè)備類型、性能、采用的軟 件架構(gòu)、網(wǎng)絡(luò)安全域是如何劃分的等等） ， 分析當(dāng)前的主要安全風(fēng)險(xiǎn)，并且提出改進(jìn)方向。 面臨的內(nèi)容安全威脅 當(dāng)前業(yè)務(wù)系統(tǒng)“曾經(jīng)出現(xiàn)過”和“潛在出現(xiàn)”的各種內(nèi)容安全威脅主要包括如下： 漏洞利用 無可厚非，軟件開發(fā)人員在開發(fā)一個(gè)系統(tǒng)的時(shí)候，將實(shí)現(xiàn)相應(yīng)的功能作為首要的任務(wù)，而且他們?cè)诰帉懞驼{(diào)試程序時(shí)通常僅考慮用戶正常使用的情況，而對(duì)誤用和惡意使用這些例外和異常情況處理考慮不周之處，也就形成了系統(tǒng)漏洞，或稱系統(tǒng)的弱點(diǎn)。系統(tǒng)已不再是孤立的系統(tǒng)，而是通過網(wǎng)絡(luò)互聯(lián)的系統(tǒng)，即組成了計(jì)算機(jī)網(wǎng)絡(luò)，計(jì)算機(jī)網(wǎng)絡(luò)的使用者中有專業(yè)水平很高但 思想并不純潔的群體，他們利用這些漏洞對(duì)系統(tǒng)展開入侵和攻擊，導(dǎo)致對(duì)網(wǎng)絡(luò)和應(yīng)用系統(tǒng)極大威脅，使網(wǎng)xx 項(xiàng)目 NGAF 安全加固解決方案建議 第 15 頁 共 36 頁 絡(luò)和系統(tǒng)的使用和擁有者遭受嚴(yán)重的損失。自計(jì)算機(jī)緊急事件相應(yīng)組（ CERT）與 1995 年開始對(duì)系統(tǒng)漏洞進(jìn)行跟蹤以來，到 2020 年已有超過 12， 000 個(gè)漏洞被報(bào)告，而且自 1999 年以來，每年的數(shù)量都翻翻，增長如此迅猛。在 2020 年 ，漏洞數(shù)量又創(chuàng)出了新的記錄，根據(jù)賽門鐵克發(fā)布的 2020 年度網(wǎng)絡(luò)安全報(bào)告顯示， 2020 年全年共計(jì)發(fā)現(xiàn)了 6253個(gè) 新的安全漏洞 。 圖 19952020 安全漏洞報(bào)告情況統(tǒng)計(jì) 如此多的漏洞，對(duì) IT 部 門意味著什么？安全小組必須采取行動(dòng)獲得補(bǔ)丁程序、測(cè)試、最后將其部署在服務(wù)器上，為什么不直接給服務(wù)器打補(bǔ)丁呢？因?yàn)椴荒鼙ＷC補(bǔ)丁對(duì)應(yīng)用系統(tǒng)沒有影響，為了以防萬一，必須對(duì)補(bǔ)丁程序進(jìn)行測(cè)試和驗(yàn)證，然后才允許將其投入生產(chǎn)系19952020年 網(wǎng)絡(luò)安全漏洞發(fā)現(xiàn)情況統(tǒng)計(jì)（CERT/CC）050010001500202025003000350040004500報(bào)告數(shù) 171 345 311 262 417 1090 2437 4129 3784 26831995 1996 1997 1998 1999 2020 2020 2020 20202020(Q1Q3)xx 項(xiàng)目 NGAF 安全加固解決方案建議 第 16 頁 共 36 頁 統(tǒng)。從補(bǔ)丁程序獲得、測(cè)試和驗(yàn)證，再到最終的部署，完成這一系列任務(wù)需要多長時(shí)間？答案是，可能需要幾個(gè)小時(shí)到幾天，而在此期間攻擊可能已經(jīng)發(fā)生，損失已無法挽回。 拒絕服務(wù)攻擊和分布式拒絕服務(wù)攻擊 除了由于操作系統(tǒng)和網(wǎng)絡(luò)協(xié)議存在漏洞和缺陷，而可能遭受攻擊外，現(xiàn)在 IT 部門還會(huì)拒絕服務(wù)攻擊（ DoS）和分布式拒絕 服務(wù)攻擊（ DDoS）的挑戰(zhàn)。 DOS 和 DDOS 攻擊可以被分為兩類：一種是利用網(wǎng)絡(luò)協(xié)議的固有缺陷或?qū)崿F(xiàn)上的弱點(diǎn)來進(jìn)行攻擊，與漏洞攻擊相似。這類供給典型的例子如 Teardrop、 Land、 KoD 和 Winnuke；對(duì)第一種DOS 攻擊可以通過打補(bǔ)丁的方法來防御，但對(duì)付第二種攻擊就沒那么簡單了，另一類 DOS 和 DDOS 利用看似合理的海量服務(wù)請(qǐng)求來耗盡網(wǎng)絡(luò)和系統(tǒng)的資源，從而使合法用戶無法得到服務(wù)的響應(yīng)。早期的 DOS攻擊由單機(jī)發(fā)起，在攻擊目標(biāo)的 CPU 速度不高、內(nèi)存有限、網(wǎng)絡(luò)帶寬窄的情況下效果是明顯的。 隨著網(wǎng)絡(luò)和系統(tǒng)性能的大幅提高， CPU 的主頻已達(dá)數(shù) G，服務(wù)器的內(nèi)存通常在 2G 以上，此外網(wǎng)絡(luò)的吞吐能力已達(dá)萬兆，單機(jī)發(fā)起的 DoS攻擊好比孤狼斗猛虎，沒有什么威脅。狼的習(xí)性是群居，一只固然勢(shì)單力薄，但如果群起而攻之，恐怕猛虎也難抵擋，這就是分布式拒絕服務(wù)攻擊的原理。 用一臺(tái)攻擊機(jī)來攻擊不再起作用的話，攻擊者使用10 臺(tái)攻擊機(jī)、 100 臺(tái)呢共同發(fā)起攻擊呢？ DDoS 就是利用大量的傀儡機(jī)來發(fā)起攻擊，積少成多超過網(wǎng)絡(luò)和系統(tǒng)的能力的極限，最終擊潰高性能的網(wǎng)絡(luò)和系統(tǒng)。 xx 項(xiàng)目 NGAF 安全加固解決方案建議 第 17 頁 共 36 頁 常見的 DDOS 攻擊方法有 SYN Flood、 Established Connection Flood和 Connection Per Second Flood。已發(fā)現(xiàn)的 DOS 攻擊程序有 ICMP Smurf、 UDP 反彈，而典型的 DDOS 攻擊程序有 Zombie、 TFN2K、Trinoo 和 Stacheldraht。 DOS 和 DDOS 攻擊會(huì)耗盡用戶寶貴的網(wǎng)絡(luò)和系統(tǒng)資源，使依賴計(jì)算機(jī)網(wǎng)絡(luò)的正常業(yè)務(wù)無法進(jìn)行，嚴(yán)重?fù)p害企業(yè)的聲譽(yù)并造成極大的經(jīng)濟(jì)損失，使 IT 部門承受極大的壓力。 零時(shí)差攻擊 零時(shí)差攻擊（ Zeroday Attack）是指從系統(tǒng)漏洞、協(xié)議弱點(diǎn)被發(fā)現(xiàn)到黑客制造出針 對(duì)該漏洞、弱點(diǎn)的惡意代碼并發(fā)起攻擊之間的時(shí)間差幾乎為零的攻擊。顯而易見，零時(shí)差攻擊對(duì)應(yīng)用系統(tǒng)和網(wǎng)絡(luò)的威脅和損害令人恐怖，這相當(dāng)于在用戶沒有任何防備的情況下，黑客發(fā)起了閃電戰(zhàn)，可能在極短的時(shí)間內(nèi)摧毀關(guān)鍵的應(yīng)用系統(tǒng)及令網(wǎng)絡(luò)癱瘓。 回顧歷史，可以發(fā)現(xiàn)從系統(tǒng)漏洞、協(xié)議弱點(diǎn)被發(fā)現(xiàn)到用戶遭受攻擊的時(shí)間正快速縮短，即零時(shí)差攻擊的可能性越來越大。 xx 項(xiàng)目 NGAF 安全加固解決方案建議 第 18 頁 共 36 頁 2020 年 1 月中旬，針對(duì)微軟的 “Aurora”（極光）的零日漏洞 開始大規(guī)模被利用。 “極光” IE 漏洞掛馬攻擊在國內(nèi)最早出現(xiàn)在 1 月 17 日晚間，初期規(guī)模并不大， 18 日全天也僅有 220 家網(wǎng)站，但隨著部分黑客論壇公開提供“極光木馬生成器”下載，針對(duì)該漏洞的掛馬網(wǎng)站數(shù)量在 20 日全天就超過了 1 萬家，掛馬網(wǎng)頁更是超過 14 萬個(gè)。而微軟在一個(gè)星期后， 1 月 22 日才發(fā)布了針對(duì)極光的安全公告，提供了解決辦法，但為時(shí)已晚。 間諜軟件 間諜軟件（英文名稱為 “spyware”）是一種來自互聯(lián)網(wǎng)的，能夠在用戶不知情的情況下偷偷進(jìn)行非法安裝（安裝后很難找到其蹤影），并悄悄把截獲的一些機(jī)密信息發(fā)送給第三者的軟件。間諜軟件在安裝時(shí)什么都不顯示，運(yùn)行時(shí)用戶也不知曉，刪除起來非常困難。由于間諜軟件隱藏在用戶計(jì)算機(jī)中、秘 密監(jiān)視用戶活動(dòng)，并已經(jīng)建立了一個(gè)進(jìn)入個(gè)人電腦的通道，很容易對(duì)用戶電腦做后續(xù)的攻擊。間諜軟件能夠xx 項(xiàng)目 NGAF 安全加固解決方案建議 第 19 頁 共 36 頁 消耗計(jì)算能力，使計(jì)算機(jī)崩潰，并使用戶被淹沒在網(wǎng)絡(luò)廣告的汪洋大海中。它還能夠竊取密碼、信用卡號(hào)和其它機(jī)密數(shù)據(jù)。作為互聯(lián)網(wǎng)用戶，應(yīng)該對(duì)此保持警惕了。 最新統(tǒng)計(jì)顯示，在過去的 12 個(gè)月中，全球感染間諜軟件的企業(yè)數(shù)量增長了近 50%。在 100 人以上的企業(yè)中，有17%的企業(yè)網(wǎng)絡(luò)中藏有間諜軟件，如鍵盤跟蹤程序等。 間諜軟件可分為兩類，一類是 “廣告型間諜軟件 ”。與其他軟件一同安裝，或通過 ActiveX 控件安裝，用戶并不知道它的存在。記 錄用戶的姓名、性別、年齡、密碼、域、電話號(hào)碼、郵件地址、 VPN、 Web 瀏覽記錄、網(wǎng)上購物活動(dòng)、硬件或軟件設(shè)置等信息。 這類間諜軟件還會(huì)改變目標(biāo)系統(tǒng)的行為，諸如霸占 IE 首頁與改變搜尋網(wǎng)頁的設(shè)定，讓系統(tǒng)聯(lián)機(jī)到用戶根本不會(huì)去的廣告網(wǎng)站，以致計(jì)算機(jī)屏幕不停彈跳出各式廣告。而且軟件設(shè)置簡單，只要填寫自己的郵件地址和設(shè)置一下運(yùn)行即可。 另一類被稱為 “監(jiān)視型間諜軟件 ”，它具有記錄鍵盤操作的鍵盤記錄器功能和屏幕捕獲功能，可以用來在后臺(tái)記錄下所有用戶的系統(tǒng)活動(dòng)，比如網(wǎng)站