【正文】 xx 項(xiàng)目 NGAF安全加固解決方案建議 第 36 頁 共 37 頁 因此，“具備完整的 L2L7 完整的安全防護(hù)功能”就是 Gartner定義的 “額外的防火墻智能” 實(shí)現(xiàn)前提，才能做 到真正的內(nèi)核級(jí)聯(lián)動(dòng) ，為用戶的業(yè)務(wù)系統(tǒng)提供一個(gè)真正的“銅墻鐵壁”。從技術(shù)角度來說，一個(gè)黑客完整的攻擊入侵過程包括了網(wǎng)絡(luò)層和應(yīng)用層、內(nèi)容級(jí)別等多個(gè)層次方式方法，如果將這些威脅割裂開處理進(jìn)行防護(hù)，各種防護(hù)設(shè)備之間缺乏智能的聯(lián)動(dòng)，很容易出現(xiàn)“三不管”的灰色地帶，出現(xiàn)防護(hù)真空。 xx 項(xiàng)目 NGAF安全加固解決方案建議 第 35 頁 共 37 頁 更完整 的安全防護(hù)方案 只提供基于應(yīng)用層安全防護(hù)功能的方案，并不是一個(gè)完整的安全方案。因此， NGAF 所采用的單次解析引擎通過統(tǒng)一威脅特征、統(tǒng)一匹配引擎，針對(duì)每個(gè)數(shù)據(jù)包做到了只有一次報(bào)文重組和特征匹配，消除了重復(fù)性工作對(duì)內(nèi)存和資源的占用，從而系統(tǒng)的工作效率提高了 70%80%。 所以， NGAF 的多核并行處理技術(shù)進(jìn)行了大量的優(yōu)化工作 減少臨界資源的訪問，除了在軟件處理流程的設(shè)計(jì)上盡量減少臨界資xx 項(xiàng)目 NGAF安全加固解決方案建議 第 34 頁 共 37 頁 源以及臨界資源的訪問周期，還需要充分利用讀寫鎖、原子操作、內(nèi)存鏡像等機(jī)制來提高臨界資源的訪問效率。這樣來看，如果 1 個(gè)核能夠做到 1 個(gè) G，那么 16 個(gè)核不就能夠超過 10 個(gè) G 了嗎 ? 但是通常設(shè)備性能并不能夠根據(jù)核的增加而迅速增加。 更高性能的應(yīng)用層處理能力 為了實(shí)現(xiàn)強(qiáng)勁的應(yīng)用層處理能力， NGAF 拋棄了傳統(tǒng)防火墻 NP、ASIC 等適合執(zhí)行網(wǎng)絡(luò)層重復(fù)計(jì)算工作的硬件設(shè)計(jì)，采用了更加適合應(yīng)用層靈活計(jì)算能 力的多核并行處理技術(shù)；在系統(tǒng)架構(gòu)上， NGAF 也放棄了 UTM多引擎，多次解析的架構(gòu)，而采用了更為先進(jìn)的一體化單次解析引擎，將漏洞、病毒、 Web 攻擊、惡意代碼 /腳本、 URL 庫等眾多應(yīng)用層威脅統(tǒng)一進(jìn)行檢測(cè)匹配，從而提升了工作效率，實(shí)現(xiàn)了萬兆級(jí)的應(yīng)用安全防護(hù)能力。 xx 項(xiàng)目 NGAF安全加固解決方案建議 第 32 頁 共 37 頁 深信服 NGAF 可以為業(yè)務(wù)系統(tǒng)提供端到端的安全防護(hù)， 防護(hù)對(duì)象涵蓋了終端、服務(wù)器 、網(wǎng)絡(luò)設(shè)備等 ， 防御的威脅種類包括了： ? 漏洞利用類威脅： 各種通過操作系統(tǒng)、應(yīng)用系統(tǒng)、協(xié)議異常等漏洞，進(jìn)行傳播的蠕蟲、木馬、后門、間諜軟件，進(jìn)行攻擊和入侵的DoS/DDoS 攻擊、緩沖區(qū)溢出攻擊、協(xié)議異常攻擊、 藍(lán)屏攻擊、權(quán)限提取 等 ； ? Web 應(yīng)用類威脅 ： 專門針對(duì) Web 應(yīng)用面臨的各種最新的威脅提供額外的安全防護(hù)，包括 SQL 注入 、 XSS 攻擊 、 OS 命令注入 、 CSRF攻擊 、口令爆破、 弱口令探測(cè)、應(yīng)用信息探測(cè)、非法上傳威脅文件等，從根源上解決了 Web 系統(tǒng)被入侵、數(shù)據(jù)被篡改的可能性； ? 病毒類威脅： 除了傳統(tǒng)的 HTTP、 FTP、 SMTP、 POP3 等協(xié)議，還可以針對(duì)商務(wù)應(yīng)用（文件共享等）傳輸?shù)奈募?進(jìn)行 精確的木馬、病毒、蠕蟲查殺； ? 終端內(nèi)容威脅： 為了避免終端訪問 Web 應(yīng)用內(nèi)容而被竊取隱私等信息或被用作肉雞，需要 有 效過濾惡意網(wǎng)站、惡意文件、惡意控件、惡意腳本等內(nèi)容威脅的 訪問； xx 項(xiàng)目 NGAF安全加固解決方案建議 第 33 頁 共 37 頁 NGAF 的灰度威脅識(shí)別不但具備 2020+條漏洞特征庫、數(shù)十萬條病毒、木馬等惡意 內(nèi)容特征庫、 1000+Web 應(yīng)用威脅特征庫，可以全面識(shí)別各種應(yīng)用層和內(nèi)容級(jí)別的單一安全威脅；而且灰度威脅識(shí)別技術(shù)還提供了 20+典型的黑客入侵行為的模板，可以有效關(guān)聯(lián)各種威脅進(jìn)行分析，最大成的提高了威脅檢測(cè)精度。 更全面的內(nèi)容級(jí)安全防護(hù) 深信服 NGAF 的灰度威脅識(shí)別技術(shù)不但可以將數(shù)據(jù)包還原的內(nèi)容級(jí)別進(jìn)行全面的威脅檢測(cè) ， 而且還可以針對(duì)黑客入侵過程中使用的不同攻擊方法進(jìn)行關(guān)聯(lián)分析，從而精確定位出一個(gè)黑客的攻擊行為，有效阻斷威脅風(fēng)險(xiǎn)的發(fā)生。 目前， NGAF 的應(yīng)用可視化引擎不但可以識(shí)別 724 多種的應(yīng)用及其應(yīng)用動(dòng)作，還可以與多種認(rèn)證系統(tǒng)（ AD、 LDAP、 Radius 等）、應(yīng)用系統(tǒng)（ POP SMTP 等）無縫對(duì)接，自動(dòng)識(shí)別出網(wǎng)絡(luò)當(dāng)中 IP 地址對(duì)應(yīng)的用戶信息，并建立組織的用戶分組結(jié)構(gòu)；既滿足了普通互聯(lián)網(wǎng)邊界行為管控的要求，同時(shí)還滿足了在內(nèi)網(wǎng)數(shù)據(jù)中心和廣域網(wǎng)邊界的部署要求，可以識(shí)別和控制豐富的內(nèi)網(wǎng)應(yīng)用，如 Lotus Notes、 RTX、xx 項(xiàng)目 NGAF安全加固解決方案建議 第 31 頁 共 37 頁 Citrix、 Oracle EBS、金蝶 EAS、 SAP、 LDAP 等 ,針對(duì)用戶應(yīng)用系統(tǒng)更新服務(wù)的訴求 ,NGAF 還可以精細(xì)識(shí)別 Microsoft、 360、 Symantec、Sogou、 Kaspersky、 McAfee、金山 毒霸、江民殺毒等軟件更新 ,保障在安全管控嚴(yán)格的環(huán)境下 ,系統(tǒng)軟件更新服務(wù)暢通無阻 。 廣域網(wǎng)邊界安全隔離與防護(hù) 對(duì)于廣域網(wǎng)邊界安全防護(hù)需要從如下幾個(gè)方面著重考慮： 1）人員多，應(yīng)用雜： 如何制定有效的 ACL， ACL 是基于 IP 和端口的，這樣的機(jī)器語言無法直觀、清晰的制定訪問控制策略，容易出現(xiàn)錯(cuò)配、漏配； 2）傳統(tǒng) FW缺乏應(yīng)用層威脅防護(hù) ，病毒木馬在分支機(jī)構(gòu)和總部間傳播速度快 3）病毒木馬占用廣域網(wǎng)有限帶寬 ，影響關(guān) 鍵業(yè)務(wù)的傳輸 4）分支數(shù)量多， IT 管理水平層次不齊 ，設(shè)備多，成本高，組網(wǎng)雜，維護(hù)難 xx 項(xiàng)目 NGAF安全加固解決方案建議 第 27 頁 共 37 頁 圖 廣域網(wǎng)邊界安全防護(hù)方案拓?fù)? 通過在核心交換機(jī)與核心路由器之間部署 1 臺(tái)深信服 NGAF1210，提供 高 性能， 1）面向用戶、應(yīng)用的安全訪問： 將訪問控制權(quán)限精確到用戶與業(yè)務(wù)系統(tǒng)，有效解決了傳統(tǒng)防火墻 IP/端口的策略無法精確管理的問題。萬兆的應(yīng)用層性能，有效保障數(shù)據(jù)中心的可用性。 xx 項(xiàng)目 NGAF安全加固解決方案建議 第 26 頁 共 37 頁 2） 7 層的內(nèi)容安全檢測(cè)： 7 層一體化安全防護(hù)（包括漏洞防護(hù)、服務(wù)器防護(hù)、病毒防護(hù)等）以及智能的內(nèi)容安全過濾功能，防止各種應(yīng)用威脅干擾服務(wù)器的穩(wěn)定運(yùn)行，確保核心業(yè)務(wù)數(shù)據(jù)的安全。此區(qū)域安全風(fēng)險(xiǎn)最高，需要重點(diǎn)隔離與控制； ? 內(nèi)網(wǎng)辦公安全域： 包括總部內(nèi)網(wǎng)的辦公終端，為不同的部門提供高速、穩(wěn)定的網(wǎng)絡(luò)接入； xx 項(xiàng)目 NGAF安全加固解決方案建議 第 24 頁 共 37 頁 其次，根據(jù)這些網(wǎng)絡(luò)安全域之間的訪問關(guān)系、安全級(jí)別，我們建議在如下位置部署 NGAF 進(jìn)行一體化的 L2L7 安全防護(hù)與控制，整體方案如下圖所示 ： 圖 NGAF 部署的總體方案 數(shù)據(jù)中心服務(wù)器保護(hù) 內(nèi)部數(shù)據(jù)中心 的服務(wù)器承載的業(yè)務(wù)尤為重要，是整個(gè)ＩＴ系統(tǒng)的核心組成部分，因此需要從如下四個(gè)方面著重考慮： 1）訪問控制： 誰可以訪問數(shù)據(jù)中心？什么應(yīng)用可以訪問數(shù)據(jù)中心？盜用 IP 身份怎么辦？如何防止應(yīng)用的濫用和誤用？傳統(tǒng)防火墻基于端口 /IP 能否解決？ 2）威脅攻擊的問題： 如何保護(hù)數(shù)據(jù)中心免受病毒、木馬攻擊；防止數(shù)據(jù)中心服務(wù)器被攻擊 xx 項(xiàng)目 NGAF安全加固解決方案建議 第 25 頁 共 37 頁 3）數(shù)據(jù)中心可用性： 數(shù)據(jù)中心流量大，需要有效保證核心業(yè)務(wù)可用性 4）安全事件應(yīng)用響應(yīng)問題： 如何了解數(shù)據(jù)中心安全風(fēng)險(xiǎn)問題？是否可以幫助管理員制定策略？ 圖 數(shù)據(jù)中心方案拓?fù)? 通過在數(shù)據(jù)中心核心 交換機(jī)外側(cè)部署 1 臺(tái)深信服 NGAF1210，提供 高 性能，開啟 部分 功能授權(quán)，可以幫助我們實(shí)現(xiàn)如下四個(gè)安全目標(biāo)： 1）面向用戶、應(yīng)用的安全訪問： 將訪問控制權(quán)限精確到用戶與業(yè)務(wù)系統(tǒng)，有效解決了傳統(tǒng)防火墻 IP/端口的策略無法精確管理的問題。 6 NGAF 安全加固解決方案 總體方案 為了能夠更好的針對(duì)當(dāng)前網(wǎng)絡(luò)安全現(xiàn)狀，控制好可能發(fā)生的各種安全風(fēng)險(xiǎn)，建議采用下一代防火墻深信服 NGAF 針對(duì)業(yè)務(wù)系統(tǒng)進(jìn)行全面的安全加固。 xx 項(xiàng)目 NGAF安全加固解決方案建議 第 23 頁 共 37 頁 通常，蠕蟲傳播無需用戶操作 ，并可通過網(wǎng)絡(luò)分發(fā)它自己的完整副本（可能有改動(dòng)）。當(dāng)新的蠕蟲爆發(fā)時(shí)，它們傳播的速度非?？?。最危險(xiǎn)的是，蠕蟲可大量復(fù)制。首先，它控制計(jì)算機(jī)上可以傳輸文件或信息的功能。必須通過某個(gè)人共享文件和發(fā)送電子郵件來將它一起移動(dòng)。 與人體病毒按嚴(yán)重性分類（從 Ebola 病毒到普通的流感病毒）一樣，計(jì)算機(jī)病毒也有輕重之分，輕者僅產(chǎn)生一些干擾，重者徹底摧毀設(shè)備。病毒附著于宿主程序，然后試圖在計(jì)算機(jī)之間傳播。它一邊傳播一邊感染計(jì)算機(jī)。 xx 項(xiàng)目 NGAF安全加固解決方案建議 第 22 頁 共 37 頁 2. 針對(duì) Web 的攻擊會(huì)隱藏在大量正常的業(yè)務(wù)行為中，而且使用各種變形偽裝手段，會(huì)導(dǎo)致傳統(tǒng)的 防火墻 和基于特征的 入 侵 防御系統(tǒng)無法發(fā)現(xiàn)和阻止這種攻擊。由此可見， Web 安全已經(jīng)成為信息時(shí)代最大的“殺手”！ 但是要想做好 Web 服務(wù)器的安全防護(hù)困難有兩點(diǎn)： 1. 企業(yè) 業(yè)務(wù)迅速更新，需要大量的 Web 應(yīng)用快速上線。政府網(wǎng)站安全性如果不能進(jìn)一步提高，將不僅影響政府形象和電子 政務(wù)的開展，也會(huì)給不法分子發(fā)布虛假信息造成可乘之機(jī)?？梢哉f，絕大多數(shù)企業(yè)將大量的投資花費(fèi)在網(wǎng)絡(luò)和服務(wù)器的安全上，沒有從真正意義上保證 Web 業(yè)務(wù)本身的安全，才給了黑客可乘之機(jī)。 根據(jù) Gartner 的調(diào)查，信息安全攻擊有 75%都是發(fā)生在 Web 應(yīng)用層而非網(wǎng)絡(luò)層面上。 xx 項(xiàng)目 NGAF安全加固解決方案建議 第 21 頁 共 37 頁 Web 入侵 隨著互聯(lián)網(wǎng)技術(shù)的迅猛發(fā)展，許多政府和企業(yè)的關(guān)鍵業(yè)務(wù)活動(dòng)越來越多地依賴于 WEB 應(yīng)用，在向客戶提供通過瀏覽器訪問企業(yè)信息功能的同時(shí)，企業(yè)所面臨的風(fēng)險(xiǎn)在不斷增加。正是因?yàn)閽呙杵髂苡行У墨@取系統(tǒng)信息，因此也成為黑客最喜歡的工具。其工具稱為掃描器。 比如根據(jù) RFC 2821，在一個(gè)正常的 SMTP 連接過程中，只有在客戶端至少發(fā)送過一個(gè)“RCPT TO”請(qǐng)求命令之后，客戶端發(fā)送 “DATA”請(qǐng)求命令才是合法的。通過執(zhí)行協(xié)議 RFC 或標(biāo)準(zhǔn)，我們可以阻止這種攻 擊。 協(xié)議異常和違規(guī)檢測(cè) 在一切正常的情況下，兩個(gè)系統(tǒng)