深信服下一代防火墙AF解决与方案模板.docx
- 文档编号:6138622
- 上传时间:2023-01-04
- 格式:DOCX
- 页数:16
- 大小:1.62MB
深信服下一代防火墙AF解决与方案模板.docx
《深信服下一代防火墙AF解决与方案模板.docx》由会员分享,可在线阅读,更多相关《深信服下一代防火墙AF解决与方案模板.docx(16页珍藏版)》请在冰豆网上搜索。
深信服下一代防火墙AF解决与方案模板
深信服下一代防火墙NGAF
解决方案
深信服科技XX
2012-03-09
第1章需求概述
1.1方案背景
xxx公司成立于1997年…….
1.2网络平安现状
近几年来,计算机和网络攻击的复杂性不断上升,使用传统的防火墙和入侵检测系统〔IDS〕越来越难以检测和阻挡。
随着每一次成功的攻击,黑客会很快的学会哪种攻击方向是最成功的。
漏洞的发现和黑客利用漏洞之间的时间差也变得越来越短,使得IT和平安人员得不到充分的时间去测试漏洞和更新系统。
随着病毒、蠕虫、木马、后门和混合威胁的泛滥,内容层和网络层的平安威胁正变得司空见惯。
复杂的蠕虫和病毒诸如Slammer、Blaster、Sasser、Sober、MyDoom等在过去几年经常成为头条新闻,它们也向我们展示了这类攻击会如何快速的传播——通常在几个小时之内就能席卷全世界。
许多黑客正监视着软件提供商的补丁公告,并对补丁进展简单的逆向工程,由此来发现漏洞。
下列图举例说明了一个漏洞及相应补丁的公布到该漏洞被利用之间的天数。
需要注意的是,对于最近的一些攻击,这一时间已经大大缩短了。
IT和平安人员不仅需要担忧平安威胁,他们还不得不集中精力来防止各种被称之为“零小时〞〔zero-hour〕或“零日〞〔zero-day〕的新的未知的威胁。
为了对抗这种新的威胁,平安技术也在不断进化,包括深度包检测防火墙、应用网关防火墙、内容过滤、反垃圾、SSLVPN、基于网络的防病毒和入侵防御系统〔IPS〕等新技术不断被应用。
但是黑客的动机正在从引起他人注意向着获取经济利益转移,我们可以看到一些更加狡猾的攻击方式正被不断开发出来,以绕过传统的平安设备,而社会工程〔socialengineering〕陷阱也成为新型攻击的一大重点。
图:
系统漏洞被黑客利用的速度越来越快
带有社会工程陷阱元素的攻击包括间谍软件、网络欺诈、基于的攻击和恶意Web站点等。
这些攻击设计为欺骗用户暴露敏感信息,下载和安装恶意程序、跟踪软件或运行恶意代码。
很多这类攻击设计为使用传统的浏览器或Email技术〔如ActiveX、XML、SMTP等〕,并伪装为合法应用,因此传统的平安设备很难加以阻挡。
现在比以往任何时候都更需要先进的检测和平安技术。
传统的防火墙系统
状态检测防火墙原本是设计成一个可信任企业网络和不可信任的公共网络之间的平安隔离设备,用以保证企业的互联网平安。
状态检测防火墙是通过跟踪会话的发起和状态来工作的。
通过检查数据XX,状态检测防火墙分析和监视网络层〔L3〕和协议层〔L4〕,基于一套用户自定义的防火墙策略来允许、拒绝或转发网络流量。
传统防火墙的问题在于黑客已经研究出大量的方法来绕过防火墙策略。
这些方法包括:
●利用端口扫描器的探测可以发现防火墙开放的端口。
●攻击和探测程序可以通过防火墙开放的端口穿越防火墙。
如MSN、QQ等IM〔即时通信〕工具均可通过80端口通信,BT、电驴、Skype等P2P软件的通信端口是随机变化的,使得传统防火墙的端口过滤功能对他们无能为力。
SoftEther等软件更可以将所有TCP/IP通讯封装成HTTPS数据包发送,使用传统的状态检测防火墙简直防不胜防。
SoftEther可以很轻易的穿越传统防火墙
●PC上感染的木马程序可以从防火墙的可信任网络发起攻击。
由于会话的发起方来自于内部,所有来自于不可信任网络的相关流量都会被防火墙放过。
当前流行的从可信任网络发起攻击应用程序包括后门、木马、键盘记录工具等,它们产生非授权访问或将私密信息发送给攻击者。
●较老式的防火墙对每一个数据包进展检查,但不具备检查包负载的能力。
病毒、蠕虫、木马和其它恶意应用程序能未经检查而通过。
●当攻击者将攻击负载拆分到多个分段的数据包里,并将它们打乱顺序发出时,较新的深度包检测防火墙往往也会被愚弄。
●使用笔记本电脑、PDA和便携设备的移动用户会在他们离开办公室的时候被感染,并将威胁带回公司网络。
边界防火墙对于从企业信任的内部网络发起的感染和攻击爱莫能助。
图:
被通过知名端口〔80端口〕攻击的数
基于主机的防病毒软件
基于主机的防病毒软件是部署得最广泛的平安应用,甚至超过了边界防火墙。
基于主机的防病毒软件随着上世纪80年代中期基于文件的病毒开场流行而逐渐普及,如今已成为最受信任的平安措施之一。
但是基于主机的防病毒软件也有它的缺点,包括:
●需要安装、维护和保持病毒特征库更新,这就导致了大量的维护开销。
●很多用户并没有翻开防病毒软件的自动更新功能,也没有经常的手动更新他们的病毒库,这就导致防病毒软件对最新的威胁或攻击无用。
●用户有时可能会有意或无意的关闭他们的单机平安应用程序。
●最新的复杂的木马程序能对流行的基于主机的防病毒软件进展扫描,并在它们加载以前就将它们关闭–这就导致即使有了最新的病毒特征码,事实上它们还是不能被检测出来。
企业单纯依靠给予主机的防病毒软件和给操作系统和应用程序打补丁的方法会使它们的内部系统面临很高的平安风险。
随着业务中使用了越来越多的面向全球且需要持续运行的关键应用,停机来更新操作系统补丁、病毒特征码和应用升级变得越来越困难。
而公司的Web、Email、电子商务、数据库、应用等效劳器由于长时间不打补丁会很容易在新的攻击方式下暴露出它们的漏洞。
仅仅依靠基于主机的防病毒软件的另一个缺点是,事实上有害代码在被每一个主机的平安软件检测和阻挡之前就已经进入了公司的网络,这就大大威胁了企业关键业务系统和网络应用。
采用功能单一的产品的缺点
要想构建一个立体的平安防护体系,必须要考虑多层次的防护,包括:
1.防火墙
2.VPN网关
3.入侵防御系统〔IPS〕
4.网关防病毒
5.网页及URL过滤
6.应用程序过滤及带宽控制
采用功能单一的产品会带来本钱增加,管理难度高的问题。
如果想部署一个立体的平安防护体系,必须要将很多设备串接在网络中,这样会造成网络性能下降,故障率高,管理复杂。
1.3网络拓扑
1.4需求分析
在外网平安方面:
目前XX公司总部没有部署网络平安设备,所有的业务系统根本上都是裸露在互联网上,缺乏合理的保护极易遭受来自互联网的攻击,可能造成核心业务数据的窃取、效劳器和网络瘫痪等问题,给企业带来不必要的损失
在内网平安方面:
各分公司之间和总部通过VPN互联,与总部处于统一内网环境,而分公司也缺乏平安防护设备对互联网的危险流量进展清洗,所以极易造成下级分公司对总部效劳器的攻击;同时XX总部的内网用户,即使客户端部署了杀毒软件,由于客户端环境和个人使用习惯等问题,IT制度无法得到很好地落实,经常会有员工关闭杀毒进程或卸载杀毒软件的情况,而且最新的杀毒软件也存在着面对新病毒的滞后和不完善性。
特别是对于网络平安意识薄弱的职员,不装任何的杀毒软件,在互联网上随意翻开网页、点击,很容易身染中毒,并且导致局域网内的电脑感染病毒,我们将此类用户成为内网平安管理的短板。
第2章网络规划整体方案
2.1方案拓扑
2.2方案描述
经过以上部署之后:
1.总部以及分公司的NGAF上开启网关防病毒功能后,能够有效的遏制病毒通过网络在集团网络上的传播,同时可以防止因为浏览Internet而造成的病毒感染;
2.总部对外发布的效劳器将受到NGAF的入侵防御IPS功能和效劳器防护的保护,免收来自外网以及内网产生的攻击;
2.3NGAF产品功能概述
作为应用层平安设备的领导厂商,深信服公司的NGAF平安平台通过动态威胁防御技术、风险分析扫描引擎提供了无与伦比的功能和检测能力。
NGAF提供以下功能:
●集成关键平安组件的状态检测防火墙。
●可实时更新病毒和攻击特征的网关防病毒。
●IPS〔入侵防御系统〕预置2200个以上的攻击特征,并提供用户定制特征的机制。
●VPN〔支持PPTP、L2TP、IPSec〕。
●Web内容过滤具有用户可定义的URL、关键字过滤器和可自动升级的最全面的URL地址库。
●带宽管理功能防止带宽滥用,IM/P2P过滤。
●用户认证,防止未授权的非法网络访问。
●动态威胁防御提供先进的威胁关联技术。
●单次解析引擎加速提供比基于ASIC、NPS的平安方案高出2-4倍的性能。
●完整的系列支持效劳,包括数据中心、风险报表、客户端平安组件等。
2.3.1部署方式
NGAF系列防火墙支持路由〔NAT〕模式、透明模式和混合模式三种工作模式。
可以很好的适应各种网络环境。
路由〔NAT〕模式
如果需要用NGAF连接不同IP地址段,那么将NGAF置于路由工作模式。
如内网使用的是192.168.1.0/24网段,而外网使用的是201.1.1.X网段来连接Internet。
此时由于内外网络不在同一IP地址段,因此需将NGAF设置为路由模式。
此时NGAF工作在第三层,相当于一台路由器,连接不同的IP地址段。
使192.168.1.X和201.1.1.X之间可以互访。
在路由〔NAT〕模式下,NGAF的每一个接口都有一个IP地址,分别对应不同的网段。
每个接口都支持不同的地址模式,既可以是静态IP,也可以通过DHCP效劳器获得动态IP,还能通过PPPOE拨号获取IP地址,可以很好的支持LAN、ADSL等多种网络接入方式。
NGAF在路由模式下支持各种路由方法,包括静态路由、动态路由〔可以直接参与到RIP、OSPF路由及组播路由运算中,而非仅仅让动态路由协议穿越〕、策略路由〔根据不同的源地址、目的地址、端口等确定下一条路由网关〕
混合模式
NGAF还可以很方便的实现路由/透明的混合模式。
内网和DMZ区使用同一网段的IP地址,内网使用192.168.1.1-192.168.1.200,DMZ区使用192.168.1.201-192.168.1.250;外网使用另一网段的IP地址〔202.1.1.1〕。
此时单纯的透明模式或者路由〔NAT〕模式都无法满足网络的要求。
使用NGAF可以实现外网与DMZ/内网之间使用路由〔NAT〕模式,而内网与DMZ之间使用透明模式。
这种路由/透明的混合模式可以很好的满足这种网络环境的需求。
VLAN支持
无论在透明模式还是路由〔NAT〕模式下,NGAF都支持802.1QVLAN环境,对于交换机之间的VLANTrunk或交换机/路由器之间的单臂路由都可以很好的支持;NGAF在路由模式下自身也可以给交换机上的不同VLAN作Trunk和路由。
2.3.2网关杀毒
计算机病毒一直是信息平安的主要威胁。
而随着网络的不断开展,网络速度越来越快,网络应用也越来越丰富多彩,使得病毒传播的风险也越来越大,造成的破坏也越来越强。
据ICSA〔国际计算机平安协会〕的统计,目前已经有超过90%的病毒是通过网络进展传播的。
内网用户访问Internet时,无论是浏览WEB页面,还是通过FTP下载文件,或者是收发,都可能将Internet上的病毒带入网内。
而近几年泛滥成灾的网络蠕虫病毒〔如红色代码、尼姆达、冲击波、振荡波等〕跟传统的通过光盘、软盘等介质进展传播的基于文件的病毒有很大的不同,它们本身是一个病毒与黑客工具的结合体,当网络当中一台计算机感染蠕虫病毒后,它会自动的以极快的速度〔每秒几百个线程〕扫描网络当中其他计算机的平安漏洞,并主动的将病毒传播到那些存在平安漏洞的计算机上,只要相关的平安漏洞没有通过安装补丁的方式加以弥补,蠕虫病毒就会这样以几何级数的增长速度在网络当中传播,即使计算机上安装了带有实时监控功能的防病毒软件〔包括单机版和网络版〕对此也无能为力。
蠕虫病毒的传播还会大量占用网络带宽,造成网络拥堵,形成拒绝效劳式攻击〔DoS〕。
因此,对于新型的网络蠕虫病毒,必须在网关处进展过滤,防止病毒进入内网。
网关防病毒已经成为未来防病毒体系中的重中之重,需要引起特别重视。
ICSA统计数据:
90%以上是通过Internet传播的
外部病毒防御
NGAF内置Sophos和F-port杀毒引擎,对病毒的过滤针对标准协议,与应用无关。
无论用户使用何种Email效劳器和客户端,只要使用的是标准的SMTP、POP3、IMAP协议,NGAF都可以对电子中的病毒进展过滤,防止病毒通过传播。
NGAF还支持HTTP协议和FTP协议,对于Web浏览、下载、Web及FTP文件传输过程中携带的病毒均可进展拦截。
在支持协议的全面性上走在了业界的前方。
对于使用非标准端口的协议应用〔如在使用代理效劳器的环境中,HTTP协议不使用TCP80端口,却使用了TCP8080端口〕,NGAF同样可以对其中的病毒进展过滤。
在协议支持的全面性上,NGAF走在了业界的前面。
在NGAF上启用防病毒功能,对HTTP、FTP、SMTP、POP3等协议进展过滤,便可将外网病毒传入内网的风险降至最低。
内部病毒防御
虽然目前90%以上的病毒来自于Internet,但仍然有局部病毒通过其它途径进入内网,例如光盘、U盘、文件共享、移动用户等。
而病毒进入内网后通常采用网络入侵的方式,利用网络中其它主机的平安漏洞进展传播,并可能导致DoS攻击。
因此本方案中的NGAF平安网关不能仅针对HTTP、FTP、SMTP、POP3等协议进展病毒扫描,同时还应能识别各类蠕虫病毒的内网传播特征,对内网中的病毒传播进展定位和阻拦。
2.3.3IPS入侵防御
传统的状态检测/包过滤防火墙是在网络层/传输层工作,根据IP地址、端口等信息对数据包进展过滤,能够对黑客攻击起到局部防御作用。
但是黑客仍然可以从合法的IP地址通过防火墙开放的端口对内网发起攻击,目前很多攻击和应用可以通过任意IP、端口进展,各种高级、复杂的攻击单纯的使用状态检测/包过滤防火墙无法进展阻挡,需要使用IPS〔入侵防御系统〕来配合防火墙实现对复杂攻击的防御。
IPS工作在第二层到第七层,通常使用特征匹配和异常分析的方法来识别网络攻击行为。
NGAF的IPS不仅可以对效劳器进展漏洞防护,也可以对客户端漏洞进展防护如下列图:
特征匹配方法类似于病毒检测方法,通过攻击数据包中的特征〔字符串等〕来进展判断。
例如前面提过的SoftEther的通信数据中都会包括“SoftEther Protocol〞字符串,虽然这种应用使用HTTPS协议通过TCP443端口通信,使用包过滤防火墙无法进展防御。
〔因为如果将TCP443端口封闭的话,会导致所有HTTPS通信无法进展,这是无法想象的。
〕而使用IPS的特征匹配方法,通过查找“SoftEther Protocol〞字符串便可轻易的将所有SoftEther流量过滤掉,而其他HTTPS应用不会受到影响。
而异常分析通过统计的方法计算网络中各种流量的速率,并与管理员预设的阈值进展比照,超过阈值的通信便是可疑的攻击行为。
例如,管理员通过对本网络应用的观察和分析,认为在正常情况下某效劳器每秒收到2000个以内SYN包属于正常X围。
然而某一时刻NGAF检测到每秒有3000个以上的SYN发往该效劳器,此时便有可能是由于有黑客对效劳器发起了DoS〔拒绝效劳〕攻击。
NGAF内置的IPS同时使用特征和异常两种检测方法,能够检测2200种以上攻击和入侵行为如下列图所示,包括各种DoS〔拒绝效劳〕/DDoS〔分布式拒绝效劳〕攻击。
NGAF的IPS是在线式的,直接部署在可信任网络和不可信任网络之间。
这种在线式的IPS对各种攻击均可直接阻断并生成日志。
而传统的旁路式IDS〔入侵检测系统〕对绝大多数的攻击行为只能记录日志,而不能进展阻
NGAF内置的IPS还可以对SYNflood、ICMPflood等DoS/DDoS攻击进展防御,对于每一种DoS/DDoS攻击行为,都可以设置阈值,使策略符合实际网络环境和应用情况,降低误报和漏报率,并可以针对不同的源或目的IP地址的TCP、UDP、ICMP会话数量进展限制。
2.3.4效劳器防护
效劳器保护功能主要用于内网的WEB效劳器免受各种攻击,web应用防护可以针对内网的web效劳器设计防攻击策略,可以防止OS命令注入、SQL注入、XSS跨站攻击等各种针对web应用的攻击行为。
如下列图:
针对黑客的攻击过程扫描---攻击---破坏,采取效劳器应用隐藏的防护策略,如在客户端访问HTTP效劳器的时候,效劳器会通过HTTP报文头部返回字段信息,例如Server、via等,via可能会泄露代理效劳器的版本信息,攻击者可以利用相应的版本漏洞发起攻击,而通过隐藏HTTP效劳器的返回信息,可以破坏攻击者的扫描,
2.3.5流量管理
深信服NGAF设备可以对内外网流量进展精细的流量管理,可基于应用、用户、时间、线路等制定灵活的流控策略。
用户可以通过设定保障通道,对关键的业务流量如视频会议、协同办公软件等进展带宽的合理保障,而对于一些非业务流量如P2P下载、视频流媒体等可以通过限制通道进展限速。
如下列图:
精细的带宽流控源自于对应用协议的精准识别,NGAF内置深信服应用特征识别库和URL分类库,应用特征识别库可以识别700多种应用类型、1200多种应用动作。
是用来判断和检测上网数据的应用类型的,根据数据包的特征值或者协议、端口、方向、数据包长度匹配、数据包内容匹配等多个条件来检测应用类型,能够很好的检测通过端口或协议无法区分的应用类型,比方QQ、P2P等。
应用特征识别库分为内置规那么和自定义规那么,内置规那么库可以由设备定时更新,自定义规那么可以增加、删除、修改。
如下列图所示:
URL库主要用于基于用户、时间、网页内容的过滤,通过内置的千万级URL库,可以准确识别网页类型,对不良网页进展封堵,防止终端上网过程中访问挂马,造成终端的中毒,防止终端成为内网平安防护的短板。
第3章典型客户
第4章深信服科技公司介绍
4.1深信服科技介绍
深信服科技XX是中国规模最大、创新能力最强的前沿网络设备供给商,致力于通过创新、高品质的产品及卓越的效劳,帮助用户在将业务向互联网转型中获得成功。
作为一家专注于广域网市场的厂商,深信服提供了贯穿用户广域网建立生命周期的前沿产品及解决方案,包括IPSecVPN、SSLVPN、上网行为管理、广域网加速、应用交付、流量控制、上网优化等,并被公认为其中多个领域的技术及市场领导者。
截止到2009年8月,已有超过14,000家用户选择了同深信服合作并取得了显著收益。
这些用户包括中国移动、通用电气、壳牌石油、丰田汽车等世界500强企业,也包括中国人民银行、国资委、中国人寿、招商银行、南方航空、中国人民大学等中国知名用户。
目前,深信服公司总人数已到达700人,直属分支机构36个,并在XX、新加坡、阿联酋、泰国、印度等国家和地区设有直属办事机构。
2005年-2009年,深信服连续5次获得XX“中国高科技高成长50强〞、“亚太地区高科技高成长500强〞,并于2008年获得渣打银行授予的“最具成长性新锐企业〞中型企业金奖。
2009年,深信服荣获?
财富?
杂志“卓越雇主奖〞。
深信服的产品已经应用于1万4千多家客户、连接着国内外数万个网络。
在中国入选世界500强的企业中,超过一半的企业都是深信服的用户。
4.2深信服科技局部荣誉
深信服科技〔SANGFOR〕不断为用户提供创新的解决方案,不仅得到了用户的认可和支持,也得到了媒体和国家有关部门的认可。
2005、2006、2007、2008、2009连续5年入选XX中国高科技、高成长50强
2005、2006、2007、2008、2009、2010、2011连续7年入选XX亚太地区高科技高成长500强
高交会自主知识产权证书
高新技术企业证书
商用密码产品生产定点单位证书
商用密码产品销售许可证
XX市南山区麒麟路1号科技创业中心4楼
Add:
4thFloor,IncubationCenter,No.1QilinRoad,NanshanDistrict,ShenzhenP.C.:
518052
产品咨询热线:
800-830-9565
Email:
mastersangfor..
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 深信 下一代 防火墙 AF 解决 方案 模板