下一代防火墙技术白皮书.docx

下一代防火墙技术白皮书目录目录2一、 概述4二、 为什么需要下一代防火墙42.1 网络发展的趋势使防火墙以及传统方案失效42.2 现有方案缺陷分析52.2.1 单一的应用层设备是否能满足？52.2.2 “串精的芦式的组合方案”52.2.3 UTM统一威胁管理62.2.4 其他品牌下代防火墙能否解决？6三、 XXX下一代防火墙定位6四、 XXX下一代防火墙一NGAF74.1 产品设计理念74.2 产品功能特色74.2.1 可视的网络安全情况74.2.2 强化的应用层攻击防护124.2.3 独特的双向内容检测技术174.2.4 智能的网络安全防御体系194.2.5 更高效的应用层处理能力204.2.6 涵盖传统安全功能204.3 产品优势技术214.3.1 深度内容解析214.3.2 双向内容检测214.3.3 分离平面设计224.3.4 单次解析架构224.3.5 多核并行处理234.3.6 智能联动技术244.3.7 RegeX正则引擎24五、 部属方式255.1 互联网出口内网终端上网255.2 互联网出口-服务器对外发布255.3 广域网边界安全隔离265.4 数据中心27六、 关于XXX错误!未定义书签.一、概述防火墙自诞生以来，在网络安全防御系统中就建立了不可替代的地位。作为边界网络安全的第一道关卡防火墙经历了包过滤技术、代理技术和状态监视技术的技术革命，通过AC1访问控制策略、NAT地址转换策略以及抗网络攻击策略有效的阻断了一切未被明确允许的包通过，保护了网络的安全。防火墙就像机场的安检部门，对进出机场/防火墙的一切包袋/数据包进行检任，保证合法包娈/数据包能够进入机场/网络访问合法资源同时防止非法人员通过非法手段进入机场/网络或干扰机场/网络的正常运行。传统的防火墙正如机场安检人员，通过有限的防御方式对风险进行防护，成本高，效率低，安全防范手段有限。而下一代防火墙则形如机场的整体安检系统，除了包括原有的安检人员/传统防火墙功能外，还引入了先进的探测扫描仪/深度内容安全检测构成套完整的整体安全防护体系。自2009年10月Gartner提出“DefiningtheNext-GenerationFirewa11”一文，重新定义下一代防火墙，下一代防火墙的概念在业内便得到了普遍的认可。XXX也在经过10年网络安全技术6年的应用安全技术沉淀之后，于2011年正式发布XXX“下一代防火墙”一一NGAFn二、为什么需要下一代防火墙2.1 网络发展的趋势使防火墙以及传统方案失效近几年来，越来越多的安全事故告诉我们，安全风险比以往更加难以察觉。随着网络安全形势逐渐恶化，网络攻击愈加频繁，客户对自己的网络安全建设变得越来越不自信。到底怎么加强安全建设？安全建设的核心问题是什么？采用什么安全防护手段更为合适？已成为困扰用户安全建设的关键问题。问题-：看不看得到真正的风险？一方面，只有看到12-7层的攻击才能了解M络的整体安全状况，而基于多产品组合方案大多数用户没有办法进行统分析，也就无法快速定位安全问题，同时也加大了安全运维的工作量。另一方面,没有攻击并不意味着业务就不存在漏洞,一旦漏洞被利用就为时已晚.好的解决方案应能及时发现业务漏洞，防患于未然。最后，即使有大量的攻击也不意味着业务安全威胁很大，只有针对真实存在的业务漏洞进行的攻击才是有效攻击。看不到有效攻击的方案，就无法让客户看到网络和业务的真实的安全情况。问题二：防不防得住潜藏的攻击？一方面，防护技术不能存在短板，存在短板必然会被绕过，原有设备就形同虚设；另一方面，单纯防护外部黑客对内网终端和服务器的攻击是不够的，终端和服务器主动向外发起的流量中是否存在攻击行为和泄密也需要检测，进而才能找到黑客针对内网的控制通道，同时发现泄密的风险，最后通过针对性的安全防护技术加以防御。综上所述，真正能看到攻击与业务漏洞，及时查漏补缺，并能及时防住攻击才是最有效的解决方案。那么基于攻击特征防护的传统解决方案是否真的能够达到要求呢？2.2 现有方案缺陷分析2.2.1 单一的应用层设备是否能满足？1、入侵防御设备应用安全防护体系不完善，只能针对操作系统或者应用软件的底层漏洞进行防护，缺乏针对Web攻击威胁的防御能力，对Web攻击防护效果不佳。缺乏攻击事后防护机制，不具备数据的双向内容检测能力，对未知攻击产生的后果无能为力，如入侵防御设备无法应对来自于Web网页上的SQ1XSS漏洞，无法防御来自内网的敏感信息泄露或者敏感文件过滤等等。2、Web应用防火墙传统Web防火墙面对当前豆杂的业务流量类型处理性能有限，且只针对来自Web的攻击防护，缺乏针对来自应用系统底层漏洞的攻击特征，缺乏基于敏感业务内容的保护机制，只能提供简单的关键字过滤功能，无法对Web业务提供12-17层的整体安全防护。2.2.2 “串糖葫芦式的组合方案”由于防火墙功能上的缺失使得企业在网络安全建设的时候针对现有多样化的攻击类型采取了打补丁式的设备叠加方案，形成了“串糖葫芦”式部署。通常我们看到的网络安全规划方案的时候都会以防火墙+入侵防御系统+网关杀毒+的形式。这种方式在一定程度上能弥补防火墙功能单一的缺陷，对网络中存在的各类攻击形成了似乎全面的防护。但在这种环境中，管理人员通常会遇到如下的困难：一，有几款设备就可以看到几种攻击，但是是割裂的难以对安全日志进行统一分析；有攻击才能发现问题，在没有攻击的情况下，就无法看到业务漏洞，但这并不代表业务漏洞不存在：即使发现了攻击，也无法判断业务系统是否真正存在安全漏洞，还是无法指导客户进行安全建设；二，有几种设备就可以防护几种攻击，但大部分客户无法全部部署，所以存在短板：即使全部部署，这些设备也不对服务器和终端向外主动发起的业务流进行防护，在面临新的未知攻击的情况下缺乏有效防御措施，还是存在被绕过的风险。2.2.3 UTM统一威胁管理2004年IDC推出统一威胁管理UTM的概念。这种设备的理念是将多个功能模块集中如：FW、IPS,AV,联合起来达到统防护，集中管理的目的。这无疑给安全建设者们提供了更新的思路。事实证明国内市场UTM产品确实得到用户认可，据IDC统计数据09年UTM市场增长迅速，但2010年UTM的增长率同比有明显的下降趋势。这是因为UTM设备仅仅将FW.IPS、AV进行简单的整合，传统防火墙安全与管理上的问题依然存在，比如缺乏对WEB服务器的有效防护等；另外，UTM开启多个模块时是串行处理机制，一个数据包先过一个模块处理一遍，再重新过另一个模块处理一遍，一个数据要经过多次拆包，多次分析，性能和效率使得UTM难以令人信服。Gartner认为“UTM安全设备只适合中小型企业使用，而NGFW才适合员工大于IOOO人以上规模的大型企业使用J2.2.4 其他品牌下一代防火墙能否解决？大部分下一代防火墙只能看到除Web攻击外的大部分攻击，极少部分下一代防火墙能够看到简单的WEB攻击，但均无法看到业务的漏洞。攻击和漏洞无法关联就很难确定攻击的真实性：另外，大部分下一代防火墙防不住Web攻击，也不对服务器/终端主动向外发起的业务流进行防护，比如信息泄露、僵尸网络等，应对未知攻击的方式比较单一，只通过简单的联动防护，仍有被绕过的风险。三、XXX下一代防火墙定位全球最具权威的IT研究与顾问咨询公司一一Gartner,在2009年发布了份名为SefiningtheNext-GenerationFireWaII的文章,给出了真正能够满足用户当前安全需求的下一代防火墙定义：下一代防火墙是一种深度包检测防火墙，超越了基于端口、协议的检测和阻断，增加了应用层的检测和入侵防护,下一代防火墙不应该与独立的网络入侵检测系统混为一谈，后者只包含了日常的或是非企业级的防火墙，或者把防火墙和IPS简单放到一个设备里，整合的并不紧密。结合目前国内的互联网安全环境来看，更多的安全事件是通过Web层面的设计漏洞被黑客利用所引发。据统计，国内用户上网流量与对外发布业务流量混合在一起的比例超过50%,以政府为例，60%以上的政府单位门户网站和用户上网是共用电子政务外网的线路。在这种场景下，如果作为出口安全网关的防火墙不具备Web应用防护能力，那么在新出现的APT攻击的大环境下，现有的安全设备很容易被绕过，形同虚设，下一代防火墙做为一款融合型的安全产品，不能存针对基于Web的应用安全短板。做为国内下一代防火墙产品的领导者，和公安部第二代防火墙标准制定的参与者，XXX走在前沿，在产品推出伊始就把Web应用防护这个基因深深地植入到XXX下代防火墙当中,XXX下一代防火增(Next-GenerationApp1icationFirewa11)NGAF而向应用层设计，能够精确识别用户、应用和内容，具备完整的12-17层的安全防护体系，强化了在Web层面的应用防护能力，不仅能够全面替代传统防火墙，并具在开启安全功能的情况下还保持有强劲应用层处理能力的全新网络安全设备。四、XXX下一代防火墙一NGAF4.1 产品设计理念更精细的应用层安全控制：!?贴近国内应用、持续更新的应用识别规则库7识别内外网超过1500多种应用、3(X)0多种动作(截止2014年2月14日)?支持包括AD域、RadiUS等8种用户身份识别方式?面向用户与应用策略配置，减少错误配置的风险更全面的内容级安全防护：?基于攻击过程的服务器保护，防御黑客扫描、入侵、破坏三步曲：*强化的WEB应用安全，支持多种SQ1注入防范、XSS攻击、CSRF,权限控制等!»完整的终端安全保护，支持漏洞、病毒防护等双向内容检测，功能防御策略智能联动更高性能的应用层处理能力：?单次解析架构实现报文一次拆解和匹配P多核并行处理技术提升应用层分析速度Regex正则表达引擎提升规则解析效率1全新技术架构实现应用层万兆处理能力更完整的安全防护方案J可替代传统防火墙/VPN、IP3所有功能，实现内核级联动4.2 产品功能特色4.2.1 可视的网络安全情况NGAF独创的应用可视化技术，可以根据应用的行为和特征实现对应用的识别和控制，而不仅仅依赖于端口或协议，摆脱了过去只能通过IP地址来控制的尴尬，即使加密过的数据流也能应付自如。目前，NGAF的应用可视化引擎不但可以识别1200多种的内外网应用及其27多种应用动作，还可以与多种认证系统（AD、1DAP、Radius等）、应用系统（POP3、SMTP等）无缝对接，自动识别出网络当中IP地址对应的用户信息，并建立组织的用户分组结构：既满足了普通互联网边界行为管控的要求，同时还满足了在内网数据中心和广域网边界的部署要求，可以识别和控制丰富的内网应用，1otusNotes,RTX,Citrix.OracIeEBS,金蝶EAS、SAP、1DAP等,针对用户应用系统更新服务的诉求,NGAF还可以精细识别MiCroSoft、360、Symantec,Sogou.Kaspersky.McAfee金山毒霸、江民杀毒等软件更新,保障在安全管控严格的环境下,系统软件更新服务畅通无阻。因此，通过应用可视化引擎制定的14-17一体化应用控制策略，可以为用户提供更加精细和直观化控制界面，在一个界面下完成多套设备的运维工作，提升工作效率。1 .2.1.1可视化的网络应用随着网络攻击不断向应用层业务系统转移,传统的网络层防火墙已经不能有效实施防护。因此，作为企业网络中最重要的屏障，如何帮助用户实现针对所有业务的安全可视化变得十分重要。NGAF以精确的应用识别为基础，可以帮助用户恢复对网络中各类流量的掌控.阻断或控制不当操作，根据企业自身状况合理分配