防火墻
深信服下一代防火墻NGAF
一、 深信服下一代防火墻的定位
下一代防火墻的背景
全球最具權(quán)威的IT研究與顧問咨詢公司——Gartner在2009年發(fā)布了一篇名為《Defining the Next-Generation Firewall》的文章,給出了真正能夠滿足用戶當(dāng)前安全需求的下一代防火墻定義:下一代防火墻是一種深度包檢測防火墻,超越了基于端口、協(xié)議的檢測和阻斷,增加了應(yīng)用層的檢測和入侵防護(hù),下一代防火墻不應(yīng)該與獨(dú)立的網(wǎng)絡(luò)入侵檢測系統(tǒng)混為一談,后者只包含了日常的或是非企業(yè)級(jí)的防火墻,或者把防火墻和IPS簡單放到一個(gè)設(shè)備里,整合得并不緊密。
適用于國內(nèi)環(huán)境的下一代防火墻
結(jié)合目前國內(nèi)的互聯(lián)網(wǎng)安全環(huán)境來看,越來越多的安全事件是由于Web層面的設(shè)計(jì)漏洞被黑客利用所引發(fā)的。據(jù)統(tǒng)計(jì),國內(nèi)用戶上網(wǎng)流量與對(duì)外發(fā)布業(yè)務(wù)流量混合在一起的比例超過50%。以政府為例,60%以上的政府單位門戶網(wǎng)站和用戶上網(wǎng)是共用電子政務(wù)外網(wǎng)的線路。在這種場景下,如果作為出口安全網(wǎng)關(guān)的防火墻不具備Web應(yīng)用防護(hù)能力,那么在新出現(xiàn)的APT攻擊的大環(huán)境下,現(xiàn)有的安全設(shè)備很容易被繞過,形同虛設(shè)。下一代防火墻作為一款融合型安全產(chǎn)品,不能存在針對(duì)基于Web應(yīng)用的安全短板。
深信服下一代防火墻的功能定位
作為國內(nèi)下一代防火墻產(chǎn)品的領(lǐng)導(dǎo)者,以及公安部第二代防火墻標(biāo)準(zhǔn)制定的參與者,深信服一直走在前沿,在產(chǎn)品推出伊始就把Web應(yīng)用防護(hù)這個(gè)基因深深地植入到深信服下一代防火墻當(dāng)中。深信服下一代防火墻(Next-Generation Application Firewall)NGAF面向應(yīng)用層設(shè)計(jì),能夠精確識(shí)別用戶、應(yīng)用和內(nèi)容,具備完整的L2-L7層安全防護(hù)體系,強(qiáng)化了在Web層面的應(yīng)用防護(hù)能力,不僅能夠全面替代傳統(tǒng)防火墻,而且在開啟安全功能的情況下還保持著強(qiáng)勁的應(yīng)用層處理性能。
二、 為什么需要深信服下一代防火墻
近年來,越來越多的網(wǎng)絡(luò)安全事件告訴我們,安全風(fēng)險(xiǎn)比以往更加難以察覺。隨著網(wǎng)絡(luò)安全形勢逐漸惡化,網(wǎng)絡(luò)攻擊愈加頻繁,客戶對(duì)自己的網(wǎng)絡(luò)安全建設(shè)變得越來越不自信。如何加強(qiáng)安全建設(shè)?安全建設(shè)的核心問題是什么?采用何種安全防護(hù)手段更為合適?這些問題已成為困擾客戶安全建設(shè)的關(guān)鍵問題。
問題一:看不看得到真正的風(fēng)險(xiǎn)?
一方面,只有看到L2-L7層的攻擊才能了解網(wǎng)絡(luò)的整體安全狀況,基于多產(chǎn)品的組合方案使大多數(shù)用戶沒有辦法進(jìn)行統(tǒng)一分析,也就無法快速定位安全問題,同時(shí)也加大了安全運(yùn)維的工作量。另一方面,沒有攻擊并不意味著業(yè)務(wù)不存在漏洞,一旦漏洞被利用就為時(shí)已晚。好的解決方案應(yīng)能及時(shí)發(fā)現(xiàn)業(yè)務(wù)漏洞,防患于未然。最后,即使有大量的攻擊也不意味著業(yè)務(wù)安全威脅很大,只有針對(duì)真實(shí)存在的業(yè)務(wù)漏洞進(jìn)行的攻擊才是有效攻擊。看不到有效攻擊的方案,就無法讓客戶看到網(wǎng)絡(luò)和業(yè)務(wù)的真實(shí)安全情況。
問題二:防不防得住潛藏的攻擊?
一方面,防護(hù)技術(shù)不能存在短板,存在短板必然會(huì)被繞過,原有設(shè)備就形同虛設(shè);另一方面,單純防護(hù)外部黑客對(duì)內(nèi)網(wǎng)終端和服務(wù)器的攻擊是不夠的,終端和服務(wù)器主動(dòng)向外發(fā)起的流量中是否存在攻擊行為和泄密也需要檢測,進(jìn)而才能找到黑客針對(duì)內(nèi)網(wǎng)的控制通道,同時(shí)發(fā)現(xiàn)泄密的風(fēng)險(xiǎn),最后通過針對(duì)性的安全防護(hù)技術(shù)加以防御。
綜上所述,真正能看到攻擊與業(yè)務(wù)漏洞,及時(shí)查漏補(bǔ)缺,并能及時(shí)防住攻擊才是最有效的解決方案。那么基于攻擊特征防護(hù)的傳統(tǒng)解決方案是否真的能夠達(dá)到要求呢?
傳統(tǒng)組合方案(FW+IPS+WAF)能否滿足?
組合方案不足點(diǎn)一:有幾款設(shè)備就可以看到幾種攻擊,但由于信息是割裂的難以對(duì)安全日志進(jìn)行統(tǒng)一分析;有攻擊才能發(fā)現(xiàn)問題,在沒有攻擊的情況下,就無法看到業(yè)務(wù)漏洞,但這并不代表業(yè)務(wù)漏洞不存在;即使發(fā)現(xiàn)了攻擊,也無法判斷業(yè)務(wù)系統(tǒng)是否真正存在安全漏洞,還是無法指導(dǎo)用戶進(jìn)行安全建設(shè)。
組合方案不足點(diǎn)二:有幾種設(shè)備就可以防護(hù)幾種攻擊,但大部分客戶無法全部部署,所以存在短板;即使全部部署,這些設(shè)備也不對(duì)服務(wù)器和終端向外主動(dòng)發(fā)起的業(yè)務(wù)流進(jìn)行防護(hù),在面臨新的未知攻擊的情況下缺乏有效的防御措施,還是存在被繞過的風(fēng)險(xiǎn)。
傳統(tǒng)組合方案問題多
其他品牌的下一代防火墻能否解決問題?
目前,市場上的大部分下一代防火墻產(chǎn)品只能看到除Web攻擊以外的大多數(shù)攻擊,只有極少部分下一代防火墻能夠看到簡單的Web攻擊,但均無法看到業(yè)務(wù)的漏洞。攻擊和漏洞無法關(guān)聯(lián)就很難確定攻擊的真實(shí)性;另外,大部分下一代防火墻防不住Web攻擊,也不能對(duì)服務(wù)器/終端主動(dòng)向外發(fā)起的業(yè)務(wù)流進(jìn)行防護(hù),比如信息泄露、僵尸網(wǎng)絡(luò)等,應(yīng)對(duì)未知攻擊的方式比較單一,只通過簡單的聯(lián)動(dòng)防護(hù),仍有被繞過的風(fēng)險(xiǎn)。
三、 深信服下一代防火墻介紹
結(jié)合安全發(fā)展趨勢和國內(nèi)用戶的安全建設(shè)現(xiàn)狀,深信服認(rèn)為適合中國用戶本土需求的下一代防火墻需要滿足以下幾個(gè)方面的特點(diǎn):
1.安全可視
深信服下一代防火墻可以理解網(wǎng)絡(luò)中的應(yīng)用、應(yīng)用中的威脅和攻擊、威脅帶走的數(shù)據(jù)內(nèi)容,并能簡單易懂地呈現(xiàn),實(shí)現(xiàn)真正的L2-L7層統(tǒng)一的安全可視化;能通過主動(dòng)或者被動(dòng)流量檢測及時(shí)發(fā)現(xiàn)業(yè)務(wù)漏洞,即使沒有攻擊也能找到業(yè)務(wù)中潛在的風(fēng)險(xiǎn)。
通過攻擊與業(yè)務(wù)漏洞的關(guān)聯(lián)分析,可以幫助用戶準(zhǔn)確地找到有效攻擊,使用戶看到網(wǎng)絡(luò)和業(yè)務(wù)的真實(shí)安全情況。
2.雙向防御
深信服下一代防火墻具備L2-L7層的攻擊防護(hù)技術(shù),使防護(hù)技術(shù)不存在短板。NGAF不僅能夠防護(hù)外部攻擊,還能檢查服務(wù)器/終端外發(fā)流量是否有風(fēng)險(xiǎn),彌補(bǔ)了傳統(tǒng)安全設(shè)備只防外不防內(nèi)的不足之處。NGAF可檢測服務(wù)器外發(fā)數(shù)據(jù)是否存在泄密或篡改行為,也可檢測內(nèi)網(wǎng)終端電腦是否被黑客控制。
3.智能聯(lián)動(dòng)
正所謂道高一尺,魔高一丈,各種應(yīng)用層攻擊、變種、逃逸攻擊行為層出不窮,能夠智能地針對(duì)攻擊行為或者防護(hù)對(duì)象進(jìn)行學(xué)習(xí),動(dòng)態(tài)形成智能防護(hù)規(guī)則也是下一代防火墻必備的特征之一,讓安全檢測模塊與防護(hù)策略聯(lián)動(dòng)生效,能夠提高黑客的攻擊成本,降低客戶的運(yùn)維管理成本。
4.高效穩(wěn)定
雖然多功能網(wǎng)關(guān)具備部分應(yīng)用安全防護(hù)能力,但其傳統(tǒng)安全設(shè)備的集成、串行部署的方式,使其在多種功能開啟之后性能急劇下降,最終只能當(dāng)傳統(tǒng)防火墻使用。深信服下一代防火墻從軟件構(gòu)架、硬件構(gòu)架兩方面徹底改變了多功能網(wǎng)關(guān)由于多功能堆疊、串行部署導(dǎo)致的性能瓶頸問題,具備高效的應(yīng)用層處理能力,實(shí)現(xiàn)萬兆吞吐。
深信服下一代防火墻四大特性
四、 深信服下一代防火墻功能特性
1. 安全可視
1.1 業(yè)務(wù)安全狀況可視
NGAF提供的實(shí)時(shí)漏洞分析功能,可以根據(jù)經(jīng)過設(shè)備的業(yè)務(wù)流量主動(dòng)分析其中存在的風(fēng)險(xiǎn)并實(shí)時(shí)展示出來,實(shí)時(shí)監(jiān)控界面可以根據(jù)服務(wù)器真實(shí)存在的漏洞數(shù)量進(jìn)行排名,同時(shí)給出各業(yè)務(wù)系統(tǒng)風(fēng)險(xiǎn)情況的評(píng)估,并給出建議和解決方案。
業(yè)務(wù)系統(tǒng)遭受攻擊分布
NGAF還提供強(qiáng)大的綜合風(fēng)險(xiǎn)報(bào)表功能,從業(yè)務(wù)和用戶兩個(gè)維度對(duì)網(wǎng)絡(luò)中的安全狀況進(jìn)行整體分析,按照攻擊類型、漏洞類型和威脅類型進(jìn)行統(tǒng)計(jì)分析,并根據(jù)每項(xiàng)業(yè)務(wù)對(duì)應(yīng)的服務(wù)器IP進(jìn)行針對(duì)性的安全分析,提供相應(yīng)的安全服務(wù)說明,使報(bào)表具備更高的可讀性,方便用戶從報(bào)告中分析出下一步的安全加固策略。
NGAF風(fēng)險(xiǎn)報(bào)表
1.2 應(yīng)用服務(wù)內(nèi)容可視
NGAF具有卓越的應(yīng)用可視化功能,通過多種應(yīng)用識(shí)別技術(shù)形成國內(nèi)最大的應(yīng)用特征識(shí)別庫和URL庫,涵蓋了超過3000種應(yīng)用規(guī)則和3000萬URL條目,可精確識(shí)別內(nèi)外網(wǎng)的采用端口跳躍、端口逃逸、多端口、隨機(jī)端口等各類應(yīng)用,為下一代防火墻實(shí)現(xiàn)用戶與應(yīng)用的精細(xì)化訪問控制提供技術(shù)基礎(chǔ)。
卓越的用戶與應(yīng)用識(shí)別能力
1.3 用戶控制策略可視
NGAF可通過應(yīng)用可視化功能與用戶識(shí)別技術(shù)結(jié)合制定L2-L7一體化應(yīng)用控制策略, 可以為用戶提供更加精細(xì)和直觀化的控制界面,在一個(gè)界面下完成多套設(shè)備的運(yùn)維工作,提升工作效率。
基于用戶和應(yīng)用的訪問控制策略
1.4 網(wǎng)絡(luò)流量狀態(tài)可視
NGAF可提供基于用戶和應(yīng)用的流量管理功能,能夠基于應(yīng)用做流量控制,實(shí)現(xiàn)阻斷非法流量、限制無關(guān)流量、保證核心業(yè)務(wù)的可視化流量管理價(jià)值,并可通過運(yùn)行狀態(tài)頁面觀察到每條通道的流量狀態(tài)信息,應(yīng)用流量排行以及用戶流量排行等,同時(shí)也會(huì)對(duì)應(yīng)用流量進(jìn)行匯總統(tǒng)計(jì),可直觀了解到網(wǎng)絡(luò)中的流量分布情況。
2. 雙向防御
雙向內(nèi)容檢測
2.1 強(qiáng)化的Web攻擊防護(hù)
NGAF采用攻擊特征+主動(dòng)防御相結(jié)合的雙重防護(hù)模式,可有效保護(hù)Web業(yè)務(wù)的安全。攻擊特征的防護(hù)模式有效結(jié)合了Web攻擊的靜態(tài)規(guī)則以及基于黑客攻擊過程的動(dòng)態(tài)防御機(jī)制,提供OWASP定義的十大安全威脅的攻擊防護(hù)功能,有效防止常見的Web安全威脅。如SQL注入、XSS跨站腳本、CSRF跨站請(qǐng)求偽造、Webshell文件上傳等等,主動(dòng)防御模式可提供參數(shù)類型學(xué)習(xí)和自定義參數(shù)等個(gè)性化配置,保護(hù)Web系統(tǒng)免受網(wǎng)站篡改、網(wǎng)頁掛馬、業(yè)務(wù)數(shù)據(jù)泄露及用戶賬號(hào)被盜等。NGAF于2013年1月通過了OWASP Web安全項(xiàng)目的測試,設(shè)備的安全防護(hù)等級(jí)被評(píng)為4星(5星滿分),為國內(nèi)同類廠商的最高得分;2014年9月,NGAF通過了全球頂級(jí)評(píng)測機(jī)構(gòu)NSS Labs的Web應(yīng)用防護(hù)功能評(píng)測,并獲得最高評(píng)價(jià)“Recommended”推薦。
深信服下一代防火墻獲NSS Labs最高評(píng)價(jià)“推薦”認(rèn)證
2.2 基于應(yīng)用的深度入侵防御
NGAF基于應(yīng)用的深度入侵防御采用六大威脅檢測機(jī)制:攻擊特征檢測、特殊攻擊檢測、威脅關(guān)聯(lián)分析、異常流量檢測、協(xié)議異常檢測、深度內(nèi)容分析。能夠有效地防止各類已知/未知攻擊,實(shí)時(shí)阻斷黑客攻擊。如緩沖區(qū)溢出攻擊、利用漏洞的攻擊、協(xié)議異常、蠕蟲、木馬、后門、DoS/DDoS攻擊探測、掃描、間諜軟件、以及各類IPS逃逸攻擊等。
2.3 僵尸網(wǎng)絡(luò)檢測隔離
NGAF獨(dú)有的僵尸網(wǎng)絡(luò)檢測隔離功能,能夠?qū)崟r(shí)對(duì)外發(fā)流量進(jìn)行檢測,協(xié)助用戶定位內(nèi)網(wǎng)被黑客控制的服務(wù)器或終端。該功能融合了僵尸網(wǎng)絡(luò)識(shí)別庫,利用業(yè)界領(lǐng)先的僵尸網(wǎng)絡(luò)識(shí)別檢測技術(shù)對(duì)黑客的攻擊行為進(jìn)行有效識(shí)別,針對(duì)以反彈式木馬為代表的惡意軟件進(jìn)行深度防護(hù)。僵尸網(wǎng)絡(luò)識(shí)別庫數(shù)量超過30多萬條,并由深信服攻防團(tuán)隊(duì)實(shí)時(shí)更新。
僵尸網(wǎng)絡(luò)檢測隔離
同時(shí),深信服建設(shè)了完善的安全云平臺(tái),將近5000臺(tái)部署在全球各地的深信服下一代防火墻NGAF可以自動(dòng)(在獲得用戶授權(quán)的前提下)上傳可疑的應(yīng)用流量到安全云平臺(tái),云平臺(tái)將該部分流量放到虛擬沙盒中進(jìn)行運(yùn)行,通過分析異常網(wǎng)絡(luò)行為,對(duì)流量進(jìn)行判斷。若上傳流量存在安全威脅,云平臺(tái)將生成安全防護(hù)規(guī)則并實(shí)時(shí)下發(fā)到全球所有在線的NGAF,令其能夠有效抵御各類互聯(lián)網(wǎng)攻擊。
截止至2015年1月,深信服安全云平臺(tái)累計(jì)收到7000多萬條可疑威脅流量,并分析出20多萬條存在威脅的流量,安全云平臺(tái)同步生成并下發(fā)的安全防護(hù)規(guī)則累計(jì)攔截了450多萬次的訪問請(qǐng)求。
深信服安全云平臺(tái)
2.4 異常流量檢測
數(shù)據(jù)竊取或者是遠(yuǎn)控木馬往往利用常用端口或者協(xié)議進(jìn)行偽裝,NGAF可以根據(jù)端口和協(xié)議是否匹配來檢測流量是否存在異常,比如常見的如80、443、21、25等端口的傳輸協(xié)議是否為對(duì)應(yīng)的HTTP、HTTPS、FTP和SMTP協(xié)議。RDP、SSH協(xié)議是否運(yùn)行在默認(rèn)的3389、22端口等,讓惡意流量無法輕易地通過端口或者協(xié)議偽裝,繞過安全設(shè)備的檢測。
2.5 口令暴力破解防護(hù)
口令暴力破解也是黑客經(jīng)常使用的一種攻擊手段,NGAF不僅支持HTTP協(xié)議的口令暴力破解防護(hù),還支持FTP、RDP、SSH、Mysql、MS_sqlserver、Oracle、IMAP、POP3、SMTP、Telnet、SMB等多種協(xié)議的口令暴力破解防護(hù),全面提升防護(hù)對(duì)象的密碼安全。
2.6 應(yīng)用協(xié)議內(nèi)容隱藏
NGAF可針對(duì)主要的服務(wù)器(Web服務(wù)器、FTP服務(wù)器、郵件服務(wù)器等)反饋信息進(jìn)行有效隱藏。防止黑客利用服務(wù)器返回的信息進(jìn)行有針對(duì)性地攻擊。如:HTTP出錯(cuò)頁面隱藏、響應(yīng)報(bào)頭隱藏、FTP信息隱藏等。
2.7 用戶登錄權(quán)限防護(hù)
NGAF可以針對(duì)特定的服務(wù)或者Web頁面提供登錄保護(hù),通過發(fā)送短信驗(yàn)證碼的方式提供強(qiáng)認(rèn)證保護(hù)。用戶訪問到該頁面或應(yīng)用的時(shí)候需要先經(jīng)過短信的認(rèn)證才能進(jìn)入到正常的登錄界面,增強(qiáng)了敏感頁面或應(yīng)用的安全系數(shù)。該功能帶來的價(jià)值:
第一,對(duì)重要的頁面(如管理員頁面)進(jìn)行防護(hù),防止通過社會(huì)工程、暴力破解拿到正常管理員的賬號(hào)密碼。
第二,可實(shí)現(xiàn)敏感頁面的雙因子強(qiáng)認(rèn)證提高安全性,防止敏感頁面開放于公網(wǎng)或辦公網(wǎng)。
2.8 精確的病毒檢測能力
NGAF提供先進(jìn)的病毒防護(hù)功能,可從源頭對(duì)HTTP、FTP、SMTP、POP3等協(xié)議流量進(jìn)行病毒查殺,也可查殺壓縮包(zip、rar、gzip等)中的病毒。同時(shí)NGAF采用高效的流式掃描技術(shù),可大幅提升病毒檢測效率,避免防病毒成為網(wǎng)絡(luò)安全的瓶頸。
2.9 網(wǎng)關(guān)型網(wǎng)頁防篡改
NGAF提供網(wǎng)關(guān)型的網(wǎng)頁防篡改(對(duì)服務(wù)器“0”影響)功能,能夠第一時(shí)間攔截網(wǎng)頁被篡改的信息并通知管理員確認(rèn),同時(shí)對(duì)外提供篡改重定向功能,提供正常界面、友好界面、Web備份服務(wù)器的重定向,保證用戶仍可正常訪問網(wǎng)站。NGAF網(wǎng)站篡改防護(hù)功能使用網(wǎng)關(guān)實(shí)現(xiàn)動(dòng)靜態(tài)網(wǎng)頁防篡改功能,這種實(shí)現(xiàn)方式相對(duì)于主機(jī)部署類防篡改軟件而言,客戶無需在服務(wù)器上安裝第三方軟件,易于使用和維護(hù),在防篡改技術(shù)方面采用了網(wǎng)絡(luò)字節(jié)流的檢測與恢復(fù),對(duì)服務(wù)器性能沒有影響。
2.10 可定義的敏感信息防泄漏
NGAF提供內(nèi)置敏感信息庫以及可定義的敏感信息防泄漏功能,根據(jù)不同用戶的防護(hù)需求可靈活自定義敏感信息(如:用戶信息/郵箱賬戶信息/MD5加密密碼/銀行卡號(hào)/身份證號(hào)碼/社保賬號(hào)/信用卡號(hào)/手機(jī)號(hào)碼……),通過短信、郵件報(bào)警及連接請(qǐng)求阻斷的方式防止大量的敏感信息被竊取。
2.11 覆蓋傳統(tǒng)防火墻功能
NGAF涵蓋了完整的傳統(tǒng)防火墻功能,包括融合了技術(shù)國內(nèi)領(lǐng)先、市場占有率第一的IPSec VPN和SSL VPN模塊,支持應(yīng)用訪問控制、NAT支持、路由協(xié)議、VLAN屬性、鏈路聚合等功能,便于用戶替換傳統(tǒng)防火墻后,將原有的策略完全遷移至下一代防火墻中,實(shí)現(xiàn)簡化組網(wǎng)、方便運(yùn)維的效果。同時(shí)NGAF可防護(hù)基于數(shù)據(jù)包的DOS攻擊、IP協(xié)議報(bào)文的DOS攻擊、TCP協(xié)議報(bào)文的DOS攻擊、基于HTTP協(xié)議的DOS攻擊等,實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)層、應(yīng)用層的各類資源耗盡的拒絕服務(wù)攻擊的防護(hù),支持對(duì)加密隧道數(shù)據(jù)進(jìn)行安全攻擊檢測,全面提升廣
域網(wǎng)隔離的安全性。
3. 智能聯(lián)動(dòng)
深信服下一代防火墻L2-L7層智能防御體系
3.1 自主學(xué)習(xí)主動(dòng)防御
NGAF內(nèi)置主動(dòng)防御功能,可智能分析提交HTTP請(qǐng)求中的變量和參數(shù)類型,根據(jù)設(shè)定的閾值進(jìn)行學(xué)習(xí),學(xué)習(xí)結(jié)果最終形成防護(hù)白名單,阻斷不符合學(xué)習(xí)內(nèi)容的請(qǐng)求,白名單根據(jù)學(xué)習(xí)結(jié)果動(dòng)態(tài)更新,保證參數(shù)內(nèi)容學(xué)習(xí)的正確性。
3.2 智能APT攻擊防護(hù)
深信服NGAF是國內(nèi)唯一同時(shí)融合FW、IPS、WAF和AV功能并能進(jìn)行智能聯(lián)動(dòng)的安全產(chǎn)品,通過各模塊間的聯(lián)動(dòng),為APT攻擊防護(hù)提供從主機(jī)層(惡意代碼防護(hù)、僵尸網(wǎng)絡(luò)隔離)、網(wǎng)絡(luò)層(訪問控制、邊界隔離、入侵防護(hù)、漏洞掃描、內(nèi)網(wǎng)嗅探)、到應(yīng)用層(惡意網(wǎng)址識(shí)別、OWASP TOP10、管理認(rèn)證登錄、DLP)的L2-L7層一體化安全防護(hù)。通過關(guān)聯(lián)分析準(zhǔn)確定位出APT攻擊的行為,阻斷黑客在實(shí)施APT攻擊各個(gè)步驟、各種手段的有效性。
NGAF智能的主動(dòng)防御技術(shù)可實(shí)現(xiàn)內(nèi)部各個(gè)模塊之間形成智能的策略聯(lián)動(dòng),如一個(gè)IP/用戶持續(xù)向內(nèi)網(wǎng)服務(wù)器發(fā)起各類攻擊則可通過防火墻策略暫時(shí)阻斷IP/用戶。智能防護(hù)體系的建立可有效地防止工具型、自動(dòng)化的黑客攻擊,提高攻擊成本,可抑制APT攻擊的發(fā)生。同時(shí)也使得管理員維護(hù)變得更為簡單,可實(shí)現(xiàn)無網(wǎng)管的自動(dòng)化安全管理。
3.3 安全風(fēng)險(xiǎn)評(píng)估與策略聯(lián)動(dòng)
NGAF基于時(shí)間周期的安全防護(hù)設(shè)計(jì)提供事前風(fēng)險(xiǎn)評(píng)估及策略聯(lián)動(dòng)的功能。風(fēng)險(xiǎn)評(píng)估功能分為Web弱點(diǎn)掃描與系統(tǒng)漏洞掃描兩部分:
系統(tǒng)漏洞掃描通過端口、服務(wù)、應(yīng)用掃描幫助用戶及時(shí)發(fā)現(xiàn)端口、服務(wù)及漏洞風(fēng)險(xiǎn),并通過模塊間的智能策略聯(lián)動(dòng)及時(shí)更新對(duì)應(yīng)安全風(fēng)險(xiǎn)的安全防護(hù)策略,幫助用戶快速診斷電子商務(wù)平臺(tái)中各個(gè)節(jié)點(diǎn)的安全漏洞問題,并做出有針對(duì)性的防護(hù)策略。
Web弱點(diǎn)掃描通過內(nèi)置的二十多類Web攻擊特征,如SQL注入、盲注、操作系統(tǒng)命令、遠(yuǎn)程文件包含、XPATH注入、LDAP注入、服務(wù)器端包含(SSI)、iframe釣魚、不安全的PHP配置檢查等,可以幫助用戶快速定位出Web應(yīng)用的漏洞,并提供相關(guān)漏洞的嚴(yán)重等級(jí)和描述信息以及建議的修復(fù)方案等,協(xié)助用戶快速解決內(nèi)網(wǎng)Web應(yīng)用存在的風(fēng)險(xiǎn)。
3.4 智能聯(lián)動(dòng)封鎖攻擊
NGAF在配置安全策略后,可根據(jù)策略的匹配情況動(dòng)態(tài)生成啟發(fā)式阻斷規(guī)則,當(dāng)檢測到某個(gè)IP有攻擊行為后,聯(lián)動(dòng)封鎖一段時(shí)間,以此達(dá)到提高黑客攻擊成本的目的。當(dāng)設(shè)定的時(shí)間內(nèi)沒有再發(fā)生攻擊行為,則把該IP從啟發(fā)式阻斷規(guī)則中刪除。
3.5 全網(wǎng)安全監(jiān)測平臺(tái)
深信服推出基于廣域網(wǎng)安全監(jiān)控要求的全網(wǎng)安全監(jiān)測平臺(tái),可實(shí)現(xiàn)對(duì)分支機(jī)構(gòu)安全狀況進(jìn)行監(jiān)控,并建設(shè)完善的全網(wǎng)安全網(wǎng)絡(luò)。
深信服全網(wǎng)安全監(jiān)測平臺(tái)
部署在各節(jié)點(diǎn)的NGAF為分支機(jī)構(gòu)的網(wǎng)絡(luò)提供L2-L7層完整的安全防護(hù),有效避免分支機(jī)構(gòu)因薄弱的安全建設(shè)成為入侵短板;總部核心業(yè)務(wù)區(qū)防護(hù)設(shè)備的部署,強(qiáng)有力地保障了各項(xiàng)業(yè)務(wù)高效、穩(wěn)定地開展;安全管理區(qū)的全網(wǎng)安全監(jiān)測平臺(tái)通過收集各節(jié)點(diǎn)的流量、攻擊情況,使總部運(yùn)維人員可實(shí)時(shí)了解分支機(jī)構(gòu)的安全風(fēng)險(xiǎn);集中管理平臺(tái)可實(shí)現(xiàn)全網(wǎng)各節(jié)點(diǎn)設(shè)備的統(tǒng)一管理和統(tǒng)一策略推送,真正做到管理集中化、運(yùn)維自動(dòng)化。
分支機(jī)構(gòu)安全狀況實(shí)時(shí)上報(bào)
4. 高效穩(wěn)定
4.1 分離平面設(shè)計(jì)
深信服下一代防火墻通過軟件設(shè)計(jì)將網(wǎng)絡(luò)層和應(yīng)用層的數(shù)據(jù)處理進(jìn)行分離,在底層以應(yīng)用識(shí)別模塊為基礎(chǔ),對(duì)所有網(wǎng)卡接收到的數(shù)據(jù)進(jìn)行識(shí)別,再通過抓包驅(qū)動(dòng)把需要處理的應(yīng)用數(shù)據(jù)報(bào)文抓取到應(yīng)用層。若應(yīng)用層發(fā)生數(shù)據(jù)處理失敗的情況,也不會(huì)影響到網(wǎng)絡(luò)層數(shù)據(jù)的轉(zhuǎn)發(fā),從而實(shí)現(xiàn)高效、可靠的數(shù)據(jù)報(bào)文處理。
分離平面設(shè)計(jì)
4.2 多核并行處理
NGAF的設(shè)計(jì)不僅采用了多核的硬件架構(gòu),在計(jì)算指令設(shè)計(jì)上還采用了先進(jìn)的無鎖并行處理技術(shù),能夠?qū)崿F(xiàn)多流水線同時(shí)處理,成倍提升系統(tǒng)吞吐量,在多核系統(tǒng)下性能表現(xiàn)十分優(yōu)異,是真正的多核并行處理架構(gòu)。
多核并行處理技術(shù)
4.3 單次解析架構(gòu)
NGAF采用單次解析構(gòu)架實(shí)現(xiàn)報(bào)文的一次解析一次匹配,有效提升了應(yīng)用層效率。實(shí)現(xiàn)單次解析技術(shù)的一個(gè)關(guān)鍵要素就是軟件架構(gòu)設(shè)計(jì)實(shí)現(xiàn)網(wǎng)絡(luò)層、應(yīng)用層的平面分離,將數(shù)據(jù)通過“0”拷貝技術(shù)提取到應(yīng)用層平面上實(shí)現(xiàn)威脅特征的統(tǒng)一解析和統(tǒng)一檢測,減少冗余的數(shù)據(jù)包封裝,實(shí)現(xiàn)高性能的數(shù)據(jù)處理。
單次解析架構(gòu)
4.4 跳躍式掃描技術(shù)
NGAF利用多年積累的應(yīng)用識(shí)別技術(shù),在內(nèi)核驅(qū)動(dòng)層面通過私有協(xié)議將所有經(jīng)過NGAF的數(shù)據(jù)包都打上應(yīng)用的標(biāo)簽。當(dāng)數(shù)據(jù)包被提取到內(nèi)容檢測平面進(jìn)行檢測時(shí),設(shè)備會(huì)找到對(duì)應(yīng)的應(yīng)用威脅特征,通過使用跳躍式掃描技術(shù)跳過無關(guān)的應(yīng)用威脅檢測特征,減少無效掃描,提升掃描效率。比如:流量被識(shí)別為HTTP流量,那么FTPsever-u的相關(guān)漏洞攻擊特征便不會(huì)對(duì)系統(tǒng)造成威脅,便可以暫時(shí)跳過檢測進(jìn)行轉(zhuǎn)發(fā),提升轉(zhuǎn)發(fā)的效率。
4.5 Sangfor Regex正則引擎
正則表達(dá)式是一種識(shí)別特定模式數(shù)據(jù)的方法,它可以精確識(shí)別網(wǎng)絡(luò)中的攻擊。經(jīng)深信服安全專家研究發(fā)現(xiàn),業(yè)界已有的正則表達(dá)式匹配方法的速度一般比較慢,制約了下一代防火墻整機(jī)速度的提高。為此,深信服設(shè)計(jì)并實(shí)現(xiàn)了全新的Sangfor Regex正則引擎,將正則表達(dá)式的匹配速度提高到數(shù)十Gbps,比PCRE和Google的RE2等知名引擎快數(shù)十倍,達(dá)到業(yè)界領(lǐng)先水平。
NGAF的Sangfor Regex大幅降低了CPU占用率,有效提高了NGAF的整機(jī)吞吐,從而能夠更高速地處理客戶的業(yè)務(wù)數(shù)據(jù),該項(xiàng)技術(shù)尤其適用于對(duì)每秒吞吐量要求特別高的場景,如運(yùn)營商、電商等。
4.6 產(chǎn)品性能評(píng)測報(bào)告
國內(nèi)知名IT行業(yè)媒體《網(wǎng)絡(luò)世界》在2013年針對(duì)NGAF進(jìn)行了一次客觀的產(chǎn)品評(píng)測。NGAF在各項(xiàng)功能開啟的情況下,應(yīng)用層處理性能表現(xiàn)優(yōu)秀。在不同大小文件下,應(yīng)用流量處理能力均達(dá)到萬兆級(jí)別,很好地滿足了正常網(wǎng)絡(luò)應(yīng)用中萬兆寬帶的應(yīng)用流量處理需求。
五、 深信服下一代防火墻的品牌優(yōu)勢
1. 市場引領(lǐng)者
2011年7月,深信服率先推出國內(nèi)第一臺(tái)下一代防火墻NGAF,自產(chǎn)品發(fā)布后,國內(nèi)追隨者不斷。深信服NGAF的銷量一直穩(wěn)居下一代防火墻市場的榜首,在國內(nèi)擁有最多的用戶數(shù)量。
截止至2014年12月,NGAF在全國的用戶數(shù)累計(jì)超過10000家,在線穩(wěn)定運(yùn)行的設(shè)備數(shù)超過20000臺(tái),用戶覆蓋各行各業(yè),其中包括100多家部委省廳級(jí)單位、80多家運(yùn)營商和金融單位、90多家知名教育單位、200多家大型企業(yè)和國資委下屬央企集團(tuán),用戶數(shù)量遙遙領(lǐng)先。
據(jù)全球著名的咨詢機(jī)構(gòu)Frost&Sullivan的分析報(bào)告顯示,2013年深信服下一代防火墻NGAF在中國集成防火墻市場排名第4,占有10.1%的市場份額,是唯一憑借下一代防火墻一款產(chǎn)品參與排名的廠商。Frost&Sullivan評(píng)價(jià)到:深信服憑借優(yōu)質(zhì)的下一代防火墻產(chǎn)品,奠定了其在中國防火墻市場的領(lǐng)導(dǎo)地位。
2. 產(chǎn)品安全穩(wěn)定
憑借專業(yè)的安全防護(hù)能力和卓越的產(chǎn)品品質(zhì),NGAF獲得了高標(biāo)準(zhǔn)行業(yè)的共同認(rèn)可,連續(xù)三年入圍中央政府采購名單,2013年、2014年連續(xù)兩年在中國電信集團(tuán)Web應(yīng)用防護(hù)系統(tǒng)集采項(xiàng)目中獲得最大份額,2014年在中國移動(dòng)集團(tuán)首次啟動(dòng)Web應(yīng)用防火墻產(chǎn)品集采中即獲得最高性能檔的最大份額。此外,NGAF還在金融行業(yè)核心系統(tǒng)中得到了應(yīng)用。
NGAF獲得NSS Labs最高級(jí)別“推薦”認(rèn)證
| 2013年,深信服將NGAF送往位于美國的全球最知名的獨(dú)立安全研究和評(píng)測機(jī)構(gòu)NSS Labs進(jìn)行Web安全防護(hù)功能評(píng)測,在業(yè)界專業(yè)的WAF測試規(guī)范下,成功通過所有的攻擊逃逸測試、產(chǎn)品穩(wěn)定性和可靠性測試,其中,送測設(shè)備的每秒新建連接數(shù)達(dá)到76,616CPS,為送測的6家廠商中的最高數(shù)值。深信服下一代防火墻NGAF最終獲得NSS Labs最高級(jí)別——“Recommended”推薦認(rèn)證。Product | NSS-Tested Capacity |
|
Sangfor M5900-F-I vAF 4.6.101 |
76,616 CPS |
| Evasions | Stability & Reliability |
| PASS | PASS |