【正文】 ...................................... 36 xx 項目 NGAF安全加固解決方案建議 第 3 頁 共 37 頁 1 需求分析 深圳一電科技有限公司 ，公司現(xiàn) 是兩條線，一條 2M 的電信光纖專線，一條 adsl光纖撥號 5M，上網(wǎng) 員工人數(shù) 300 人左右 。 2 網(wǎng)絡(luò)與應(yīng)用環(huán)境面臨的安全挑戰(zhàn) IT 部門對企業(yè)高效運營和快速發(fā)展的貢獻(xiàn)毋庸置疑，種種益處自不必多言，但是如果網(wǎng)絡(luò)崩潰、應(yīng)用癱瘓、機密被竊，損失將令人痛心，甚至無法彌補， IT 部門也將承受極大的壓力，所以保證網(wǎng)絡(luò)和應(yīng)用系統(tǒng)安全、可靠和高效的運行成為 IT 部門的關(guān)鍵任務(wù)。 應(yīng)用多樣化，端口的單一化 在傳統(tǒng)的網(wǎng)絡(luò)安全建設(shè)中，為網(wǎng)絡(luò)設(shè)立一個“盡職盡責(zé)”的門衛(wèi)控制應(yīng)用訪問的合法性還是可以做到的。 xx 項目 NGAF安全加固解決方案建議 第 4 頁 共 37 頁 但是隨著網(wǎng)絡(luò)、應(yīng)用的不斷的發(fā)展，為了便于應(yīng)用的跨平臺、靈活部署， 現(xiàn)在有成千上萬種應(yīng)用 趨向于更少數(shù)的端口運行， 都是 基于HTTP 或者 HTTPS 協(xié)議 （ 80、 443 端口） 。 因此，應(yīng)用多樣化、端口單一化 ，給我們的網(wǎng)絡(luò)安全提出了 2 個 新的問題 ： 能夠針對應(yīng)用協(xié)議和動作進(jìn)行訪問控制 ： 對于這些應(yīng)用 和應(yīng)用中豐富的動作 ， 我們需要精細(xì) 控制用戶的訪問權(quán)限，比如無法阻斷文件傳輸，防止泄密 。因為， 黑客 已經(jīng) 把這些端口當(dāng)做攻擊 和威脅傳播的 目標(biāo)。其主要目的也只是為了技術(shù)炫耀型為主。 所謂應(yīng)用化， 面對堡壘森嚴(yán)的網(wǎng)絡(luò)層防護(hù)手段，黑客要想悄無聲息的入侵 IT 系統(tǒng)，必須采用更高層次的方式繞過這些防護(hù)手段。而漏洞利用也從原來側(cè)重 OS 底層漏洞轉(zhuǎn)變?yōu)榛趹?yīng)用程序的漏洞，比如根據(jù)卡巴斯基 2020 年 Q1 漏洞排行榜 ， Adobe Reader、 Flash Player 的 包攬前三甲 。因xx 項目 NGAF安全加固解決方案建議 第 6 頁 共 37 頁 此，通過木馬、后門、鍵盤記錄等方式可以不斷獲取這些關(guān)鍵內(nèi)容，并進(jìn)行非法利用而牟利。比如，黑客要想入侵一臺 Web 服務(wù)器上傳木馬的過程：端口 /應(yīng)用掃描、口令爆破、漏洞利用、 OS 命令注入、 SQL 注入、跨站腳本、木馬上傳等。因此，面對多種安全威脅的混合型攻擊，我們需要一個完整的應(yīng)用層安全防護(hù)方案。 端到端的萬兆處理能力 當(dāng)前的 IT 系統(tǒng)已經(jīng)全面 具備 了 萬兆處理能力，萬兆網(wǎng)絡(luò)、萬兆存儲、萬兆計算，甚至 100G/40G 的網(wǎng)絡(luò)標(biāo)準(zhǔn)已經(jīng)誕生。而當(dāng)前應(yīng)用層安全處理能力僅僅停留在準(zhǔn)千兆級別，往往只有 600800 兆左右的線速能力，成為了嚴(yán)重的網(wǎng)絡(luò)性能瓶頸。因此，基于傳統(tǒng)網(wǎng)絡(luò)層安全設(shè)備 ASIC 的設(shè)計思路需要調(diào)整，并重新設(shè)計系統(tǒng)架構(gòu)，才能滿足萬兆級完整的應(yīng)用層防護(hù)處理能力。 防火墻成為了“擺設(shè)” 從 1990 開始，隨著 Inter 的快速發(fā)展，網(wǎng)絡(luò)安全的問題也逐步為人們所重視，從最初采用簡單的訪問控制列表，到部署防火墻來保護(hù)周界安全。防火墻存在的問題如下： 戴著眼罩的保安： 如果防火墻依然通過端口設(shè)置訪問權(quán)限，那么針對單一端口下的多種應(yīng)用和動作，針對端口動態(tài)變化的應(yīng)用來說，防火墻只能霧里看花，無法實 現(xiàn)有效地、精細(xì)地訪問權(quán)限控制； 過時的盾牌： 如果把網(wǎng)絡(luò)層攻擊比喻成冷兵器時代的“刀槍劍戟”，把應(yīng)用層混合威脅比喻成熱兵器時代的“長槍大xx 項目 NGAF安全加固解決方案建議 第 9 頁 共 37 頁 炮”，那么防火墻就好比是過時的“盾牌”，面對已經(jīng)不常出沒的冷兵器還是可以防護(hù)的，但是面對“長槍大炮”防火墻就自身難保。 IPS+AV+WAF 補丁式的方案 面對防火墻 成為“擺設(shè)”的現(xiàn)實，出現(xiàn)了不少補充型的加固方案，其中最典型的方式就是 FW+IPS+AV+WAF 這種“串糖葫蘆 式”的建設(shè)。但是，隨著業(yè)務(wù)的開展，其問題日益凸顯 ： 投資成本高： 首先，同樣性能的應(yīng)用層安全設(shè)備要比網(wǎng)絡(luò)層安全設(shè)備高數(shù)倍，再部署多臺，整個方面的前期硬件投資就會增加 4 倍甚至 10 倍。 防護(hù)效果不理想： 這種方案在性能、檢測精度、可靠性等方面均存在較多問題。 因此，這種補丁式的建設(shè)方案， 缺乏站在整體角度審視用戶安全需求。 簡單堆砌的 UTM UTM的出現(xiàn)曾經(jīng)很好的解決了“補丁式”安全方案高成本的問題，但是依然無法有效的與網(wǎng)絡(luò)環(huán)境相匹配，無法提供完整的防護(hù)功能。所以，部分 UTM 可以稱為“帶著半個眼罩”的保安。同時，由于應(yīng)用層安全防護(hù)強調(diào)的是計算的靈活性與并行處理能力（特征比對等），而傳統(tǒng)網(wǎng)絡(luò)層安全設(shè)備強調(diào)的是單一功能的、重復(fù)計算的高性能（基于端口的狀態(tài)檢測）。 因此， UTM 的方案只能滿足部分規(guī)模較小、應(yīng)用簡單網(wǎng)絡(luò)環(huán)境的安全防護(hù)要求，但是面對應(yīng)用復(fù)雜、 網(wǎng)絡(luò)性能較高的高端部署場景來說（數(shù)據(jù)中心、廣域骨干網(wǎng)、大型互聯(lián)網(wǎng)出口等）， UTM 依然無力。 在 Gartner 看來， NGFW 應(yīng)該是一個線速（ wirespeed）網(wǎng)絡(luò)安 全處理平臺， 在功能上至少應(yīng)當(dāng)具備以下幾個屬性： 1．支持聯(lián)機“ bumpinthewire”配置，不中斷網(wǎng)絡(luò)運行。 （ 2）集成的而非僅僅共處一個位置的網(wǎng)絡(luò)入侵檢測： 支持面向安全漏洞的特征碼和面向威脅的特征碼。例如提供防火墻規(guī)則來阻止某個地址不斷向IPS 加載惡意傳輸流。集成具有高質(zhì)量的 IPS 引擎和特征碼，是 NGFW 的一個主要特征。例子包括允許使用 Skype，但關(guān)閉 Skype 中的文件共享或始終阻止GoToMyPC。例子包括利用目錄集成將阻止行為與用戶身份綁在一起，或建立地址的黑白名單。不斷變化的威脅環(huán)境，以及不斷變化的業(yè)務(wù)和 IT 流程將促使網(wǎng)絡(luò)安全經(jīng)理在他們的下一個防火墻 /IPS 更新周期時尋找 NGFW。 xx 項目 NGAF安全加固解決方案建議 第 13 頁 共 37 頁 深信服 NGAF 的特點與用戶價值 通過將中國用戶的安全需求與 Garnter 定義的“ NGFW”功能特性相結(jié)合， 深信服 推出了下一代應(yīng)用防火墻 NGAF 產(chǎn) 品 。 NGAF 解決了傳統(tǒng)安全設(shè)備在應(yīng)用管控 、應(yīng)用可視化 、應(yīng)用 內(nèi)容 防護(hù) 等 方面的巨大不足，同時開啟所有功能后性能不會大幅下降。 NGAF可以為 不同規(guī)模的 行業(yè)用戶的數(shù)據(jù)中心、廣域網(wǎng)邊界、互聯(lián)網(wǎng)邊界等場景提供更 加精細(xì)、更加全面、更高性能的應(yīng)用內(nèi)容 防護(hù)方案。系統(tǒng)已不再是孤立的系統(tǒng)，而是通過網(wǎng)絡(luò)互聯(lián)的系統(tǒng)，即組成了計算機網(wǎng)絡(luò)，計算機網(wǎng)絡(luò)的使用者中有專業(yè)水平很高但思想并不純潔的群體，他們利用這些漏洞對系統(tǒng)展開入侵和攻擊，導(dǎo)致對網(wǎng)絡(luò)和應(yīng)用系統(tǒng)極大威脅，使網(wǎng)絡(luò)和系統(tǒng)的使用和擁有者遭受嚴(yán)重的損失。在 2020 年 ，漏洞數(shù)量又創(chuàng)出了新的記錄，根據(jù)賽門鐵克發(fā)布的 2020 年度網(wǎng)絡(luò)安全報告顯示， 2020 年全年共計發(fā)現(xiàn)了 6253個 新的安全漏洞 。從補丁程序獲得、測試和驗證，再到最終的部署，完成這一系列任務(wù)需要多長時間？答案是，可能需要幾個小時到幾天，而在此期間攻擊可能已經(jīng)發(fā)生，損失已無法挽回。 DOS 和 DDOS 攻擊可以被分為兩類：一種是利用網(wǎng)絡(luò)協(xié)議的固有缺陷或?qū)崿F(xiàn)上的弱點來進(jìn)行攻擊，與漏洞攻擊相似。早期的 DOS攻擊由單機發(fā)起，在攻擊目標(biāo)的 CPU 速度不高、內(nèi)存有限、網(wǎng)絡(luò)帶寬窄的情況下效果是明顯的。狼的習(xí)性是群居，一只固然勢單力薄，但如果群起而攻之，恐怕猛虎也難抵擋 ，這就是分布式拒絕xx 項目 NGAF安全加固解決方案建議 第 17 頁 共 37 頁 服務(wù)攻擊的原理。 常見的 DDOS 攻擊方法有 SYN Flood、 Established Connection Flood和 Connection Per Second Flood。 DOS 和 DDOS 攻擊會耗盡用戶寶貴的網(wǎng)絡(luò)和系統(tǒng)資源，使依賴計算機網(wǎng)絡(luò)的正常業(yè)務(wù)無法進(jìn)行，嚴(yán)重?fù)p害企業(yè)的聲譽并造成極大的經(jīng)濟(jì)損失，使 IT 部門承受極大的壓力。顯而易見，零時差攻擊對應(yīng)用系統(tǒng)和網(wǎng)絡(luò)的威脅和損害令人恐怖，這相當(dāng)于在用戶沒有任何防備的情況下，黑客發(fā)起了閃電戰(zhàn)，可能在極短的時間內(nèi)摧毀關(guān)鍵的應(yīng)用系統(tǒng)及令網(wǎng)絡(luò)癱瘓。 xx 項目 NGAF安全加固解決方案建議 第 18 頁 共 37 頁 2020 年 1 月中旬，針對微軟的 “Aurora”（極光）的零日漏洞 開始大規(guī)模被利用。而微軟在一個星期后， 1 月 22 日才發(fā)布了針對極光的安全公告，提供了解決辦法，但為時已晚。間諜軟件在安裝時什么都不顯示，運行時用戶也不知曉，刪除起來非常困難。間諜軟件能夠xx 項目 NGAF安全加固解決方案建議 第 19 頁 共 37 頁 消耗計算能力，使計算機崩潰，并使用戶被淹沒在網(wǎng)絡(luò)廣告的汪洋大海中。作為互聯(lián)網(wǎng)用戶，應(yīng)該對此 保持警惕了。在 100 人以上的企業(yè)中，有17%的企業(yè)網(wǎng)絡(luò)中藏有間諜軟件，如鍵盤跟蹤程序等。與其他軟件一同安裝，或通過 ActiveX 控件安裝，用戶并不知道它的存在。 這類間諜軟件還會改變目標(biāo)系統(tǒng)的行為，諸如霸占 IE首頁與改變搜尋網(wǎng)頁的設(shè)定，讓系統(tǒng)聯(lián)機到用戶根本不會去的廣告網(wǎng) 站，以致計算機屏幕不停彈跳出各式廣告。 另一類被稱為 “監(jiān)視型間諜軟件 ”，它具有記錄鍵盤操作的鍵盤記錄器功能和屏幕捕獲功能，可以用來在后臺記錄下所有用戶的系統(tǒng)活動，比如網(wǎng)站訪問、程序運行、網(wǎng)絡(luò)聊天記錄、鍵盤輸入包括用戶名和密碼、桌面截屏快照等。間諜軟件的惡行不僅讓機密信息曝光，對產(chǎn)能亦造成負(fù)面沖擊，同時也拖累系統(tǒng)資源，諸如瓜分其它應(yīng)用軟件的頻寬與內(nèi)存，導(dǎo)致系統(tǒng)沒來由減速。如果間諜軟xx 項目 NGAF安全加固解決方案建議 第 20 頁 共 37 頁 件打開通向用戶桌面系統(tǒng)的通道，那么用戶面臨的危險將是不可想象的。由于某些服務(wù)器不能有效處理異常流量，許多攻擊會通過違反應(yīng)用層協(xié)議，使黑客得以進(jìn)行拒絕服務(wù)（ DoS）攻擊，或者獲得對服務(wù)器的根本訪問權(quán)限。除處理違反協(xié)議的情況外，這種機制還可截獲命令中的非法參數(shù)，阻止許多緩沖溢出攻擊的發(fā)生。 偵測和掃描 刺探是利用各種手段嘗式取得目標(biāo)系統(tǒng)的敏感信息的行為，這些敏感信息包括系統(tǒng)安全狀況、系統(tǒng)狀態(tài)、服務(wù)信息、數(shù)據(jù)資料等；采用工具對系統(tǒng)進(jìn)行規(guī)?；?、自動化的刺探工作稱為掃描。 掃描器最初是提供給管理員的一些極具威力的網(wǎng)絡(luò)工具，利 用它，網(wǎng)管員可以獲得當(dāng)前系統(tǒng)信息和安全狀況。黑客利用掃描器的自動化和規(guī)?；奶匦?，只要簡單的幾步操作，即可搜集到目標(biāo)信息。主要表現(xiàn)在兩個層面：一是隨著