【正文】 比如當(dāng)年盛極一時(shí)的蠕蟲“ SQL Slammer”，在發(fā)送應(yīng)用層攻擊報(bào)文之前會(huì)發(fā)送大量的“正常報(bào)文”進(jìn)行探測，即使 IPS 有效阻斷了攻擊報(bào)文，但是這些大量的“正常報(bào)文”造成了網(wǎng)絡(luò)擁塞，反而意外的形成了 DOS 攻擊，防火墻無法有效防護(hù)。但這種技術(shù)的一個(gè)關(guān)鍵要素就是統(tǒng)一特征庫，這項(xiàng)技術(shù)的難度在于需要找到一種全新的“特征語言”將病毒、漏洞、 Web 入侵、惡意代碼等威脅進(jìn)行統(tǒng)一描述，這就好比是八個(gè)不同國家語言的人要想彼此無障礙交流，最笨的辦法是學(xué)會(huì) 7 種語言，但明顯不可行；因此，需要一種全新的國際語言來完成，從既提高可行性，有降低了工程的復(fù)雜度。 因?yàn)殡m然各個(gè)核物理上是獨(dú)立的，但是有很多資源是共享的，包括 CPU 的 Cache，內(nèi)存，這些核在訪問共享資源的時(shí)候是要等其他核釋放資源的，因此很多工作只能串行完成。另外，深信服憑借在應(yīng)用層領(lǐng)域 6年以上的技術(shù)積累，組建了專業(yè)的安全攻防團(tuán)隊(duì)，可以為用戶定期提供最新的威脅特征庫更新，以確保防御的及時(shí)性。 因此，通過應(yīng)用可視化引擎制定的 L3L7 一體化應(yīng)用控制策略 , 可以為用戶提供 更加精細(xì)和直觀化 控制界面 ， 在一個(gè)界面下完成多套設(shè)備的運(yùn)維工作，提升工作效率。 4）可視化安全風(fēng)險(xiǎn)評(píng)估： 提供服務(wù)器風(fēng)險(xiǎn)和終端風(fēng)險(xiǎn)報(bào)告以及應(yīng)用流量報(bào)表，使全網(wǎng)的安全風(fēng)險(xiǎn)一目了然，幫助管理員分析安全狀況管理數(shù)據(jù)中心。讓業(yè)務(wù)開放對(duì)象更為明了、管理更方便、策略更易 懂。蠕蟲會(huì)消耗內(nèi)存或網(wǎng)絡(luò)帶寬，從而可能導(dǎo)致計(jì)算機(jī)崩潰。例如，蠕蟲可向電子郵件地址簿中的所有聯(lián)系人發(fā)送自己的副本，那些聯(lián)系人的計(jì)算機(jī)也將執(zhí)行同樣的操作，結(jié)果造成多米諾效應(yīng)（網(wǎng) 絡(luò)通信負(fù)擔(dān)沉重），使商業(yè)網(wǎng)絡(luò)和整個(gè) Inter 的速度減慢。 與病毒相似，蠕蟲也是設(shè)計(jì)用來將自己從一臺(tái)計(jì)算機(jī)復(fù)制到另一臺(tái)計(jì)算機(jī)，但是它自動(dòng)進(jìn)行。它可能損壞硬件、軟件和信息。 病毒木馬 病毒是附著于程序或文件中的一段計(jì)算機(jī)代碼，它可在計(jì)算機(jī)之間傳播。 Web 攻擊可導(dǎo)致的后果極為嚴(yán)重，完全可以使用多種攻擊手段將一個(gè)合法正常網(wǎng)站攻陷，利用獲取到的相應(yīng)權(quán)限在網(wǎng)頁中嵌入惡意代碼，將惡意程序下載到存在客戶端漏洞的主機(jī)上，從而實(shí)現(xiàn)攻擊目的。同時(shí)，數(shù)據(jù)也顯示， 2/3 的 Web 站點(diǎn)都相當(dāng)脆弱，易受攻擊。黑客利用掃描器的自動(dòng)化和規(guī)?；奶匦?，只要簡單的幾步操作，即可搜集到目標(biāo)信息。 偵測和掃描 刺探是利用各種手段嘗式 取得目標(biāo)系統(tǒng)的敏感信息的行為，這些敏感信息包括系統(tǒng)安全狀況、系統(tǒng)狀態(tài)、服務(wù)信息、數(shù)據(jù)資料等；采用工具對(duì)系統(tǒng)進(jìn)行規(guī)模化、自動(dòng)化的刺探工作稱為掃描。由于某些服務(wù)器不能有效處理異常流量，許多攻擊會(huì)通過違反應(yīng)用層協(xié)議，使黑客得以進(jìn)行拒絕服務(wù)（ DoS）攻擊，或者獲得對(duì)服務(wù)器的根本訪問權(quán)限。間諜軟件的惡行不僅讓機(jī)密信息曝光，對(duì)產(chǎn)能亦造成負(fù)面沖擊，同時(shí)也拖累系統(tǒng)資源，諸如瓜分其它應(yīng)用軟件的頻寬與內(nèi)存，導(dǎo)致系統(tǒng)沒來由減速。 這類間諜軟件還會(huì)改變目標(biāo)系統(tǒng)的行為，諸如霸占 IE 首頁與改變搜尋網(wǎng)頁的設(shè)定，讓系統(tǒng)聯(lián)機(jī)到用戶根本不會(huì)去的廣告網(wǎng)站，以致計(jì)算機(jī)屏幕不停彈跳出各式廣告。在 100 人以上的企業(yè)中，有17%的企業(yè)網(wǎng)絡(luò)中藏有間諜軟件，如鍵盤跟蹤程序等。間諜軟件能夠xx 項(xiàng)目 NGAF 安全加固解決方案建議 第 19 頁 共 36 頁 消耗計(jì)算能力，使計(jì)算機(jī)崩潰，并使用戶被淹沒在網(wǎng)絡(luò)廣告的汪洋大海中。而微軟在一個(gè)星期后， 1 月 22 日才發(fā)布了針對(duì)極光的安全公告，提供了解決辦法，但為時(shí)已晚。顯而易見，零時(shí)差攻擊對(duì)應(yīng)用系統(tǒng)和網(wǎng)絡(luò)的威脅和損害令人恐怖，這相當(dāng)于在用戶沒有任何防備的情況下，黑客發(fā)起了閃電戰(zhàn)，可能在極短的時(shí)間內(nèi)摧毀關(guān)鍵的應(yīng)用系統(tǒng)及令網(wǎng)絡(luò)癱瘓。 xx 項(xiàng)目 NGAF 安全加固解決方案建議 第 17 頁 共 36 頁 常見的 DDOS 攻擊方法有 SYN Flood、 Established Connection Flood和 Connection Per Second Flood。早期的 DOS攻擊由單機(jī)發(fā)起，在攻擊目標(biāo)的 CPU 速度不高、內(nèi)存有限、網(wǎng)絡(luò)帶寬窄的情況下效果是明顯的。從補(bǔ)丁程序獲得、測試和驗(yàn)證，再到最終的部署，完成這一系列任務(wù)需要多長時(shí)間？答案是，可能需要幾個(gè)小時(shí)到幾天，而在此期間攻擊可能已經(jīng)發(fā)生，損失已無法挽回。系統(tǒng)已不再是孤立的系統(tǒng)，而是通過網(wǎng)絡(luò)互聯(lián)的系統(tǒng)，即組成了計(jì)算機(jī)網(wǎng)絡(luò)，計(jì)算機(jī)網(wǎng)絡(luò)的使用者中有專業(yè)水平很高但 思想并不純潔的群體，他們利用這些漏洞對(duì)系統(tǒng)展開入侵和攻擊，導(dǎo)致對(duì)網(wǎng)絡(luò)和應(yīng)用系統(tǒng)極大威脅，使網(wǎng)xx 項(xiàng)目 NGAF 安全加固解決方案建議 第 15 頁 共 36 頁 絡(luò)和系統(tǒng)的使用和擁有者遭受嚴(yán)重的損失。 xx 項(xiàng)目 NGAF 安全加固解決方案建議 第 13 頁 共 36 頁 NGAF 不但可以提供基礎(chǔ)網(wǎng)絡(luò)安全功能，如狀態(tài)檢測、 VPN、抗DDoS、 NAT 等；還實(shí)現(xiàn)了統(tǒng)一的應(yīng)用安全防護(hù)，可以針對(duì)一個(gè)入侵行為中的各種技術(shù)手段進(jìn)行 統(tǒng)一的檢測和防護(hù)，如應(yīng)用掃描、漏洞利用、 Web 入侵、非法訪問、蠕蟲病毒、帶寬濫用、惡意代碼等。 Gartner 預(yù)計(jì) 到 2020 年底， 用戶采購防火墻的 比例將增加到占安裝量的 35%， 60%新購買的防火墻將是 NGFW。 （ 4）額外的防火墻智能： 防火墻收集外來信息來做出更好的阻止決定或建立優(yōu)化的阻止規(guī)則庫。這個(gè)例子說明，在 NGFW中，應(yīng)該由防火墻建立關(guān)聯(lián)，而不是操作人員去跨控制臺(tái)部署解決方案。 2．發(fā)揮網(wǎng)絡(luò)傳輸流檢查和網(wǎng)絡(luò)安全政策執(zhí)行平臺(tái)的作用，至少具有以下特性： （ 1）標(biāo)準(zhǔn)的第一代防火墻能力： 包過濾、網(wǎng)絡(luò)地址轉(zhuǎn)換 (NAT)、狀態(tài)性協(xié)議檢測、 VPN 等等。因此，從防火墻演進(jìn)而來的 UTM往往存在著應(yīng)用層性能處理瓶頸，這也是為什么我們看到一臺(tái)2G 防火墻性能的 UTM，在所有功能都開啟后只有 400—700兆應(yīng)用層處理能力，性能急劇下降的原因 。這主要是由于 UTM的理念和架構(gòu)設(shè)計(jì)所造成的，其主要問題體現(xiàn)在： xx 項(xiàng)目 NGAF 安全加固解決方案建議 第 10 頁 共 36 頁 功能缺失： 雖然 UTM集成了部分 IPS、 AV 的功能，但 由于大部分的 UTM都是從 FW演進(jìn)而來，因此其訪問控制依然采用基于端口和 IP 的方式，缺乏針對(duì)應(yīng)用的識(shí)別、管控、流量分析、流量優(yōu)化。首先，此方案的性能取決于其中性 能最低的設(shè)備能力，其他安全設(shè)備即使有再高的性能也發(fā)揮不出來；其次，局域網(wǎng)延時(shí)一般在 600us，多增加一臺(tái)設(shè)備就意味著延時(shí)有提升了 200us，尤其是傳統(tǒng) AV 設(shè)備基于文件級(jí)別的檢測方式延時(shí)極大，一份郵件的檢測往往需要數(shù)秒鐘甚至數(shù)分鐘的時(shí)間；然后，面對(duì)混合型的攻擊入侵，這種方案就無法提供高精度的檢測，甚至出現(xiàn)漏報(bào)、誤報(bào)；最后， 可靠性差，假如 每臺(tái)設(shè)備的故障率為 1%，那么串接了 4 臺(tái)設(shè)備后，故障率就提升了 4 倍 ，增加了故障點(diǎn)， 降低了系統(tǒng)可靠性。在一段時(shí)間內(nèi)，這種方式成為了用戶的不錯(cuò)選擇。從 1993 年防火墻被廣泛地部署在各種網(wǎng)絡(luò)中，如下圖所示： xx 項(xiàng)目 NGAF 安全加固解決方案建議 第 8 頁 共 36 頁 圖 自 1993 開始防火墻被廣泛應(yīng)用于邊界安全 傳統(tǒng)防火墻目前在網(wǎng)絡(luò)當(dāng)中主要的功能包括： 通過基于端口和 IP 的訪問控制，實(shí)現(xiàn)安全域的隔離與劃分； 通過地址轉(zhuǎn)換，實(shí)現(xiàn)內(nèi)部 IP 規(guī)劃的隱藏； 通過抵御 DOS 等網(wǎng)絡(luò)層攻擊，確保系統(tǒng)穩(wěn)定運(yùn)行； 但是面對(duì)“第一章”所提到的環(huán)境變化，我們可以發(fā)現(xiàn)，這些功能已經(jīng)無法確保我們系統(tǒng)的安全穩(wěn)定運(yùn)行。 因此，面對(duì)上述網(wǎng)絡(luò)性能的不斷提升 ，給 我們的 安全 防護(hù) 提出了 新的問題 ： xx 項(xiàng)目 NGAF 安全加固解決方案建議 第 7 頁 共 36 頁 實(shí)現(xiàn)萬兆級(jí)應(yīng)用層安全處理能力 ： 應(yīng)用層安全防護(hù)強(qiáng)調(diào)的是計(jì)算的靈活性，傳統(tǒng)網(wǎng)絡(luò)安全設(shè)備的強(qiáng)調(diào)的是重復(fù)計(jì)算的高性能。 能夠保護(hù) 應(yīng)用內(nèi)容 ： 針對(duì)黑客對(duì)內(nèi)容的關(guān)注，需要 基于應(yīng)用的內(nèi)容做安全檢查，包括掃描所有應(yīng)用內(nèi)容，過濾有風(fēng)險(xiǎn)的內(nèi)容，甚至讓用戶自定義哪些內(nèi)容可以進(jìn)出，哪些內(nèi)容不能進(jìn)出 。 所謂混合化， 在黑客一次攻擊行為中使用了多種技術(shù)手段，而非原來單一的病毒蠕蟲或者漏洞利用。所以，基于應(yīng)用的漏洞利用、命令注入、惡意腳本 /插件等威脅就成為了黑客爭相研究的方向。 黑客攻擊方式和目的的變化 早期的 黑客攻擊手段 大多為 非破壞性攻擊 ， 一般是為了擾亂系統(tǒng)的運(yùn)行，并不盜竊系統(tǒng)資料，通常采用 拒絕服務(wù)攻擊 （ Ping of Death等）網(wǎng)絡(luò)層方式。 比如“開心網(wǎng)” 網(wǎng)站上可以運(yùn)行 159 種 應(yīng)用程序 （還在不斷豐富） ——聊天、 游戲 、 圖片分享等；“谷歌”的企業(yè)級(jí)應(yīng)用套件甚至可以提供 類似于 Office、協(xié)作辦公、視頻分享 這樣的企業(yè)應(yīng)用程序。要實(shí)現(xiàn)上述目標(biāo)，首先，讓我們來對(duì)網(wǎng)絡(luò)和系統(tǒng)運(yùn)行面臨的安全挑戰(zhàn)做出詳細(xì)的分析。 應(yīng)用多樣化，端口的單一化 在傳統(tǒng)的網(wǎng)絡(luò)安全建設(shè)中，為網(wǎng)絡(luò)設(shè)立一個(gè)“盡職盡責(zé)”的門衛(wèi)控制應(yīng)用訪問的合法性還是可以做到的。 因此，應(yīng)用多樣化、端口單一化 ，給我們的網(wǎng)絡(luò)安全提出了 2 個(gè) 新的問題 ： 能夠針對(duì)應(yīng)用協(xié)議和動(dòng)作進(jìn)行訪問控制 ： 對(duì)于這些應(yīng)用 和應(yīng)用中豐富的動(dòng)作 ， 我們需要精細(xì) 控制用戶的訪問權(quán)限，比如無法阻斷文件傳輸，防止泄密 。其主要目的也只是為了技術(shù)炫耀型為主。而漏洞利用也從原來側(cè)重 OS 底層漏洞轉(zhuǎn)變?yōu)榛趹?yīng)xx 項(xiàng)目 NGAF 安全加固解決方案建議 第 5 頁 共 36 頁 用程序的漏洞，比如根據(jù)卡巴斯基 2020 年 Q1 漏洞排行榜 ， Adobe Reader、 Flash Player 的 包攬前三甲 。比如，黑客要想入侵一臺(tái) Web 服務(wù)器上傳木馬的過程：端口 /應(yīng)用掃描、口令爆破、漏洞利用、 OS 命令注入、 SQL 注入、跨站腳本、木馬