【文章內(nèi)容簡(jiǎn)介】 處理能力的全新網(wǎng)絡(luò)安全設(shè)備。 NGAF 解決了傳統(tǒng)安全設(shè)備在應(yīng)用管控 、應(yīng)用可視化 、應(yīng)用 內(nèi)容 防護(hù) 等 方面的巨大不足，同時(shí)開(kāi)啟所有功能后性能不會(huì)大幅下降。 NGAF 不但可以提供基礎(chǔ)網(wǎng)絡(luò)安全功能，如狀態(tài)檢測(cè)、 VPN、抗DDoS、 NAT 等；還實(shí)現(xiàn)了統(tǒng)一的應(yīng)用安全防護(hù)，可以針對(duì)一個(gè)入侵行為中的各種技術(shù)手段進(jìn)行統(tǒng)一的檢測(cè)和防護(hù)，如應(yīng)用掃描、漏洞利用、 Web 入侵、非法訪問(wèn)、蠕蟲(chóng)病毒、帶寬濫用、惡意代碼等 。 NGAF可以為 不同規(guī)模的 行業(yè)用戶的數(shù)據(jù)中心、廣域網(wǎng)邊界、互聯(lián)網(wǎng)邊界等場(chǎng)景提供更 加精細(xì)、更加全面、更高性能的應(yīng)用內(nèi)容 防護(hù)方案。 其具體特點(diǎn)如下： 更精細(xì)的應(yīng)用層安全控制： ? 貼近國(guó)內(nèi)應(yīng)用、持續(xù)更新的應(yīng)用識(shí)別規(guī)則庫(kù) ? 識(shí)別內(nèi)外網(wǎng)超過(guò) 724 種應(yīng)用、 1253 種動(dòng)作（截止 2020 年 8 月10 日） ? 支持包括 AD 域、 Radius 等 8 種用戶身份識(shí)別方式 ? 面向用戶與應(yīng)用策略配置，減少錯(cuò)誤配置的風(fēng)險(xiǎn) 更全面的內(nèi)容級(jí)安全防護(hù)： xx 項(xiàng)目 NGAF安全加固解決方案建議 第 14 頁(yè) 共 37 頁(yè) ? 基于攻擊過(guò)程的服務(wù)器保護(hù)，防御黑客掃描、入侵、破壞三步曲 ? 強(qiáng)化的 WEB 應(yīng)用安全，支持多種注入防范、 XSS 攻擊、權(quán)限控制等 ? 完整的終端安全保護(hù)，支持插件 /腳本過(guò)濾、漏洞 /病毒防護(hù)等 更高性能的應(yīng)用層處理能力： ? 單次解析架構(gòu)實(shí)現(xiàn)報(bào)文一次拆解和匹配 ? 多核并行處理技術(shù)提升應(yīng)用層分析速度 ? 全新技術(shù)架構(gòu)實(shí)現(xiàn)應(yīng)用層萬(wàn)兆處理能力 更完整的安全防護(hù)方案 ? 可替代傳統(tǒng)防火墻 /VPN、 IPS 所有功能，實(shí)現(xiàn)內(nèi)核級(jí)聯(lián)動(dòng) 5 一電科技 網(wǎng)絡(luò)安全現(xiàn)狀 網(wǎng)絡(luò)與應(yīng)用系統(tǒng)現(xiàn)狀 公司目前沒(méi)有防火墻設(shè)備 ,考慮日后安全問(wèn)題 , 面臨的內(nèi)容安全威脅 當(dāng)前業(yè)務(wù)系統(tǒng)“曾經(jīng)出現(xiàn)過(guò)”和“潛在出現(xiàn)”的各種內(nèi)容安全威脅主要包括如下： 漏洞利用 無(wú)可厚非，軟件開(kāi)發(fā) 人員在開(kāi)發(fā)一個(gè)系統(tǒng)的時(shí)候，將實(shí)現(xiàn)相應(yīng)的功能作為首要的任務(wù)，而且他們?cè)诰帉懞驼{(diào)試程序時(shí)通常僅考慮用戶正xx 項(xiàng)目 NGAF安全加固解決方案建議 第 15 頁(yè) 共 37 頁(yè) 常使用的情況，而對(duì)誤用和惡意使用這些例外和異常情況處理考慮不周之處，也就形成了系統(tǒng)漏洞，或稱系統(tǒng)的弱點(diǎn)。系統(tǒng)已不再是孤立的系統(tǒng)，而是通過(guò)網(wǎng)絡(luò)互聯(lián)的系統(tǒng)，即組成了計(jì)算機(jī)網(wǎng)絡(luò)，計(jì)算機(jī)網(wǎng)絡(luò)的使用者中有專業(yè)水平很高但思想并不純潔的群體，他們利用這些漏洞對(duì)系統(tǒng)展開(kāi)入侵和攻擊，導(dǎo)致對(duì)網(wǎng)絡(luò)和應(yīng)用系統(tǒng)極大威脅，使網(wǎng)絡(luò)和系統(tǒng)的使用和擁有者遭受嚴(yán)重的損失。自計(jì)算機(jī)緊急事件相應(yīng)組（ CERT）與 1995 年開(kāi)始對(duì)系統(tǒng)漏洞進(jìn)行跟蹤以來(lái)， 到 2020 年已有超過(guò) 12， 000 個(gè)漏洞被報(bào)告，而且自 1999 年以來(lái)，每年的數(shù)量都翻翻，增長(zhǎng)如此迅猛。在 2020 年 ，漏洞數(shù)量又創(chuàng)出了新的記錄，根據(jù)賽門鐵克發(fā)布的 2020 年度網(wǎng)絡(luò)安全報(bào)告顯示， 2020 年全年共計(jì)發(fā)現(xiàn)了 6253個(gè) 新的安全漏洞 。 19952020年 網(wǎng)絡(luò)安全漏洞發(fā)現(xiàn)情況統(tǒng)計(jì)（CERT/CC）050010001500202025003000350040004500報(bào)告數(shù) 171 345 311 262 417 1090 2437 4129 3784 26831995 1996 1997 1998 1999 2020 2020 2020 20202020(Q1Q3)xx 項(xiàng)目 NGAF安全加固解決方案建議 第 16 頁(yè) 共 37 頁(yè) 圖 19952020 安全漏洞報(bào)告情況統(tǒng)計(jì) 如此多的漏洞，對(duì) IT 部門意味著什么？安全小組必須采取行動(dòng)獲得補(bǔ)丁程序、測(cè)試、最后將其部署在服務(wù)器上，為什么不直接給服務(wù)器打補(bǔ)丁呢？因?yàn)椴荒鼙ＷC補(bǔ)丁對(duì)應(yīng)用系統(tǒng)沒(méi)有影響，為了以防萬(wàn)一，必須對(duì)補(bǔ)丁程序進(jìn)行測(cè)試和驗(yàn)證，然后才允許將其投 入生產(chǎn)系統(tǒng)。從補(bǔ)丁程序獲得、測(cè)試和驗(yàn)證，再到最終的部署，完成這一系列任務(wù)需要多長(zhǎng)時(shí)間？答案是，可能需要幾個(gè)小時(shí)到幾天，而在此期間攻擊可能已經(jīng)發(fā)生，損失已無(wú)法挽回。 拒絕服務(wù)攻擊和分布式拒絕服務(wù)攻擊 除了由于操作系統(tǒng)和網(wǎng)絡(luò)協(xié)議存在漏洞和缺陷，而可能遭受攻擊外，現(xiàn)在 IT 部門還會(huì)拒絕服務(wù)攻擊（ DoS）和分布式拒絕服務(wù)攻擊（ DDoS）的挑戰(zhàn)。 DOS 和 DDOS 攻擊可以被分為兩類：一種是利用網(wǎng)絡(luò)協(xié)議的固有缺陷或?qū)崿F(xiàn)上的弱點(diǎn)來(lái)進(jìn)行攻擊，與漏洞攻擊相似。這類供給典型的例子如 Teardrop、 Land、 KoD 和 Winnuke；對(duì)第一種DOS 攻擊可以通過(guò)打補(bǔ)丁的方法來(lái)防御，但對(duì)付第二種攻擊就沒(méi)那么簡(jiǎn)單了，另一類 DOS 和 DDOS 利用看似合理的海量服務(wù)請(qǐng)求來(lái)耗盡網(wǎng)絡(luò)和系統(tǒng)的資源，從而使合法用戶無(wú)法得到服務(wù)的響應(yīng)。早期的 DOS攻擊由單機(jī)發(fā)起，在攻擊目標(biāo)的 CPU 速度不高、內(nèi)存有限、網(wǎng)絡(luò)帶寬窄的情況下效果是明顯的。 隨著網(wǎng)絡(luò)和系統(tǒng)性能的大幅提高， CPU 的主頻已達(dá)數(shù) G，服務(wù)器的內(nèi)存通常在 2G 以上，此外網(wǎng)絡(luò)的吞吐能力已達(dá)萬(wàn)兆，單機(jī)發(fā)起的 DoS攻擊好比孤狼斗猛虎，沒(méi)有什么威脅。狼的習(xí)性是群居，一只固然勢(shì)單力薄，但如果群起而攻之，恐怕猛虎也難抵擋 ，這就是分布式拒絕xx 項(xiàng)目 NGAF安全加固解決方案建議 第 17 頁(yè) 共 37 頁(yè) 服務(wù)攻擊的原理。 用一臺(tái)攻擊機(jī)來(lái)攻擊不再起作用的話，攻擊者使用10 臺(tái)攻擊機(jī)、 100 臺(tái)呢共同發(fā)起攻擊呢？ DDoS 就是利用大量的傀儡機(jī)來(lái)發(fā)起攻擊，積少成多超過(guò)網(wǎng)絡(luò)和系統(tǒng)的能力的極限，最終擊潰高性能的網(wǎng)絡(luò)和系統(tǒng)。 常見(jiàn)的 DDOS 攻擊方法有 SYN Flood、 Established Connection Flood和 Connection Per Second Flood。已發(fā)現(xiàn)的 DOS 攻擊程序有 ICMP Smurf、 UDP 反彈，而典型的 DDOS 攻擊程序有 Zombie、 TFN2K、Trinoo 和 Stacheldraht。 DOS 和 DDOS 攻擊會(huì)耗盡用戶寶貴的網(wǎng)絡(luò)和系統(tǒng)資源，使依賴計(jì)算機(jī)網(wǎng)絡(luò)的正常業(yè)務(wù)無(wú)法進(jìn)行，嚴(yán)重?fù)p害企業(yè)的聲譽(yù)并造成極大的經(jīng)濟(jì)損失，使 IT 部門承受極大的壓力。 零時(shí)差攻擊 零時(shí)差攻擊（ Zeroday Attack）是指從系統(tǒng)漏洞、協(xié)議弱點(diǎn)被發(fā)現(xiàn)到黑客制造出針對(duì)該漏洞、弱點(diǎn)的惡意代碼并發(fā)起攻擊之間的時(shí)間差幾乎為零的攻擊。顯而易見(jiàn)，零時(shí)差攻擊對(duì)應(yīng)用系統(tǒng)和網(wǎng)絡(luò)的威脅和損害令人恐怖，這相當(dāng)于在用戶沒(méi)有任何防備的情況下，黑客發(fā)起了閃電戰(zhàn)，可能在極短的時(shí)間內(nèi)摧毀關(guān)鍵的應(yīng)用系統(tǒng)及令網(wǎng)絡(luò)癱瘓。 回顧歷史，可以發(fā)現(xiàn)從系統(tǒng)漏洞、協(xié)議弱點(diǎn)被發(fā)現(xiàn)到用戶遭受攻擊的時(shí)間正快速縮短，即零時(shí)差攻擊的可能性越來(lái)越大。 xx 項(xiàng)目 NGAF安全加固解決方案建議 第 18 頁(yè) 共 37 頁(yè) 2020 年 1 月中旬，針對(duì)微軟的 “Aurora”（極光）的零日漏洞 開(kāi)始大規(guī)模被利用。 “極光” IE漏洞掛馬攻擊在國(guó)內(nèi)最早出現(xiàn)在 1 月 17 日晚間，初期規(guī)模并不大， 18 日全天也僅有 220 家網(wǎng)站，但隨著部分黑客論壇公開(kāi)提供“極光木馬生成器”下載，針對(duì)該漏洞的掛馬網(wǎng)站數(shù)量在 20 日全天就超過(guò)了 1 萬(wàn)家，掛馬網(wǎng)頁(yè)更是超過(guò) 14 萬(wàn)個(gè)。而微軟在一個(gè)星期后， 1 月 22 日才發(fā)布了針對(duì)極光的安全公告，提供了解決辦法，但為時(shí)已晚。 間諜軟件 間諜軟件（英文名稱為 “spyware”）是一種來(lái)自互聯(lián)網(wǎng)的，能夠在用戶不知情的情況下偷偷進(jìn)行非法安裝（安裝后很難找到其蹤影），并悄悄把截獲的一些機(jī)密信息發(fā)送給第三者的軟件。間諜軟件在安裝時(shí)什么都不顯示，運(yùn)行時(shí)用戶也不知曉，刪除起來(lái)非常困難。由于間諜軟件隱藏在用戶計(jì)算機(jī)中、秘密監(jiān)視用戶活動(dòng)，并已經(jīng)建立了一個(gè)進(jìn)入個(gè)人電腦的通道，很容易對(duì)用戶電腦做后續(xù)的攻擊。間諜軟件能夠xx 項(xiàng)目 NGAF安全加固解決方案建議 第 19 頁(yè) 共 37 頁(yè) 消耗計(jì)算能力，使計(jì)算機(jī)崩潰，并使用戶被淹沒(méi)在網(wǎng)絡(luò)廣告的汪洋大海中。它還能夠竊取密碼、信用卡號(hào)和其它機(jī)密數(shù)據(jù)。作為互聯(lián)網(wǎng)用戶，應(yīng)該對(duì)此 保持警惕了。 最新統(tǒng)計(jì)顯示，在過(guò)去的 12 個(gè)月中，全球感染間諜軟件的企業(yè)數(shù)量增長(zhǎng)了近 50%。在 100 人以上的企業(yè)中，有17%的企業(yè)網(wǎng)絡(luò)中藏有間諜軟件，如鍵盤跟蹤程序等。 間諜軟件可分為兩類，一類是 “廣告型間諜軟件 ”。與其他軟件一同安裝，或通過(guò) ActiveX 控件安裝，用戶并不知道它的存在。記錄用戶的姓名、性別、年齡、密碼、域、電話號(hào)碼、郵件地址、 VPN、 Web 瀏覽記錄、網(wǎng)上購(gòu)物活動(dòng)、硬件或軟件設(shè)置等信息。 這類間諜軟件還會(huì)改變目標(biāo)系統(tǒng)的行為，諸如霸占 IE首頁(yè)與改變搜尋網(wǎng)頁(yè)的設(shè)定，讓系統(tǒng)聯(lián)機(jī)到用戶根本不會(huì)去的廣告網(wǎng) 站，以致計(jì)算機(jī)屏幕不停彈跳出各式廣告。而且軟件設(shè)置簡(jiǎn)單，只要填寫自己的郵件地址和設(shè)置一下運(yùn)行即可。 另一類被稱為 “監(jiān)視型間諜軟件 ”，它具有記錄鍵盤操作的鍵盤記錄器功能和屏幕捕獲功能，可以用來(lái)在后臺(tái)記錄下所有用戶的系統(tǒng)活動(dòng)，比如網(wǎng)站訪問(wèn)、程序運(yùn)行、網(wǎng)絡(luò)聊天記錄、鍵盤輸入包括用戶名和密碼、桌面截屏快照等。主要被企業(yè)、私人偵探、司法機(jī)構(gòu)、間諜機(jī)構(gòu)等使用。間諜軟件的惡行不僅讓機(jī)密信息曝光，對(duì)產(chǎn)能亦造成負(fù)面沖擊，同時(shí)也拖累系統(tǒng)資源，諸如瓜分其它應(yīng)用軟件的頻寬與內(nèi)存，導(dǎo)致系統(tǒng)沒(méi)來(lái)由減速。 間諜軟件在未來(lái)將 會(huì)變得更具威脅性，不僅可以竊取口令、信用卡號(hào)，而且還可以偷走各種類型的身份信息，用于一些更加險(xiǎn)惡的目的，如捕捉和傳送 Word 和 Excel 文檔，竊取企業(yè)秘密等。如果間諜軟xx 項(xiàng)目 NGAF安全加固解決方案建議 第 20 頁(yè) 共 37 頁(yè) 件打開(kāi)通向用戶桌面系統(tǒng)的通道，那么用戶面臨的危險(xiǎn)將是不可想象的。 協(xié)議異常和違規(guī)檢測(cè) 在一切正常的情況下，兩個(gè)系統(tǒng)間該如何進(jìn)行某種數(shù)據(jù)交換，協(xié)議都對(duì)其進(jìn)行了定義。由于某些服務(wù)器不能有效處理異常流量，許多攻擊會(huì)通過(guò)違反應(yīng)用層協(xié)議，使黑客得以進(jìn)行拒絕服務(wù)（ DoS）攻擊，或者獲得對(duì)服務(wù)器的根本訪問(wèn)權(quán)限。通過(guò)執(zhí)行協(xié)議 RFC 或標(biāo)準(zhǔn)，我們可以阻止這種攻 擊。除處理違反協(xié)議的情況外，這種機(jī)制還可截獲命令中的非法參數(shù)，阻止許多緩沖溢出攻擊的發(fā)生。 比如根據(jù) RFC 2821，在一個(gè)正常的 SMTP 連接過(guò)程中，只有在客戶端至少發(fā)送過(guò)一個(gè)“RCPT TO”請(qǐng)求命令之后，客戶端發(fā)送 “DATA”請(qǐng)求命令才是合法的。 偵測(cè)和掃描 刺探是利用各種手段嘗式取得目標(biāo)系統(tǒng)的敏感信息的行為，這些敏感信息包括系統(tǒng)安全狀況、系