1、深信服科技版权所有 1深信服下一代防火墙 NGAF解决方案深信服科技有限公司2012-03-09深信服科技版权所有 2第 1 章 需求概述1.1 方案背景xxx 公司成立于 1997 年.1.2 网络安全现状近几年来,计算机和网络攻击的复杂性不断上升,使用传统的防火墙和入侵检测系统(IDS )越来越难以检测和阻挡。随着每一次成功的攻击,黑客会很快的学会哪种攻击方向是最成功的。漏洞的发现和黑客利用漏洞之间的时间差也变得越来越短,使得 IT 和安全人员得不到充分的时间去测试漏洞和更新系统。随着病毒、蠕虫、木马、后门和混合威胁的泛滥,内容层和网络层的安全威胁正变得司空见惯。复杂的蠕虫和邮件病毒诸
2、如Slammer、Blaster 、Sasser 、Sober、MyDoom 等在过去几年经常成为头条新闻,它们也向我们展示了这类攻击会如何快速的传播通常在几个小时之内就能席卷全世界。许多黑客正监视着软件提供商的补丁公告,并对补丁进行简单的逆向工程,由此来发现漏洞。下图举例说明了一个已知漏洞及相应补丁的公布到该漏洞被利用之间的天数。需要注意的是,对于最近的一些攻击,这一时间已经大大缩短了。IT 和安全人员不仅需要担心已知安全威胁,他们还不得不集中精力来防止各种被称之为“零小时”(zero-hour)或“零日”(zero-day )的新的未知的威胁。为了对抗这种新的威胁,安全技术也在不断进化,包
3、括深度包检测防火墙、应用网关防火墙、内容过滤、反垃圾邮件、SSL VPN、基于网络的防病毒和入侵防御系统(IPS)等新技术不断被应用。但是黑客的动机正在从引起他人注意向着获取经济利益转移,我们可以看到一些更加狡猾的攻击方式正被不断开发出来,以绕过传统的安全设备,而社会工程(social engineering)陷阱也成为新型攻击的一大重点。深信服科技版权所有 3图:系统漏洞被黑客利用的速度越来越快带有社会工程陷阱元素的攻击包括间谍软件、网络欺诈、基于邮件的攻击和恶意 Web站点等。这些攻击设计为欺骗用户暴露敏感信息,下载和安装恶意程序、跟踪软件或运行恶意代码。很多这类攻击设计为使用传统的浏览
4、器或 Email 技术(如ActiveX、XML 、SMTP 等),并伪装为合法应用,因此传统的安全设备很难加以阻挡。现在比以往任何时候都更需要先进的检测和安全技术。传统的防火墙系统状态检测防火墙原本是设计成一个可信任企业网络和不可信任的公共网络之间的安全隔离设备,用以保证企业的互联网安全。状态检测防火墙是通过跟踪会话的发起和状态来工作的。通过检查数据包头,状态检测防火墙分析和监视网络层(L3)和协议层(L4 ),基于一套用户自定义的防火墙策略来允许、拒绝或转发网络流量。传统防火墙的问题在于黑客已经研究出大量的方法来绕过防火墙策略。这些方法包括: 利用端口扫描器的探测可以发现防火墙开放的端口。
5、 攻击和探测程序可以通过防火墙开放的端口穿越防火墙。如 MSN、QQ 等IM(即时通信)工具均可通过 80 端口通信,BT 、电驴、Skype 等 P2P 软件的通信端口是随机变化的,使得传统防火墙的端口过滤功能对他们无能为力。SoftEther 等软件更可以将所有 TCP/IP 通讯封装成 HTTPS 数据包发送,使用传统的状态检测防火墙简直防不胜防。深信服科技版权所有 4SoftEther 可以很轻易的穿越传统防火墙 PC 上感染的木马程序可以从防火墙的可信任网络发起攻击。由于会话的发起方来自于内部,所有来自于不可信任网络的相关流量都会被防火墙放过。当前流行的从可信任网络发起攻击应用程序
6、包括后门、木马、键盘记录工具等,它们产生非授权访问或将私密信息发送给攻击者。 较老式的防火墙对每一个数据包进行检查,但不具备检查包负载的能力。病毒、蠕虫、木马和其它恶意应用程序能未经检查而通过。 当攻击者将攻击负载拆分到多个分段的数据包里,并将它们打乱顺序发出时,较新的深度包检测防火墙往往也会被愚弄。 使用笔记本电脑、PDA 和便携邮件设备的移动用户会在他们离开办公室的时候被感染,并将威胁带回公司网络。边界防火墙对于从企业信任的内部网络发起的感染和攻击爱莫能助。深信服科技版权所有 5图:被通过知名端口( 80 端口)攻击的网站数基于主机的防病毒软件基于主机的防病毒软件是部署得最广泛的安全应用
7、,甚至超过了边界防火墙。基于主机的防病毒软件随着上世纪 80 年代中期基于文件的病毒开始流行而逐渐普及,如今已成为最受信任的安全措施之一。但是基于主机的防病毒软件也有它的缺点,包括: 需要安装、维护和保持病毒特征库更新,这就导致了大量的维护开销。 很多用户并没有打开防病毒软件的自动更新功能,也没有经常的手动更新他们的病毒库,这就导致防病毒软件对最新的威胁或攻击无用。 用户有时可能会有意或无意的关闭他们的单机安全应用程序。 最新的复杂的木马程序能对流行的基于主机的防病毒软件进行扫描,并在它们加载以前就将它们关闭 这就导致即使有了最新的病毒特征码,事实上它们还是不能被检测出来。企业单纯依靠给予主机
8、的防病毒软件和给操作系统和应用程序打补丁的方法会使它们的内部系统面临很高的安全风险。随着业务中使用了越来越多的面向全球且需要持续运行的关键应用,停机来更新操作系统补丁、病毒特征码和应用升级变得越来越困难。而公司的 Web、Email、电子商务、数据库、应用等服务器由于长时间不打补丁会很容易在新的攻击方式下暴露出它们的漏洞。仅仅依靠基于主机的防病毒软件的另一个缺点是,事实上深信服科技版权所有 6有害代码在被每一个主机的安全软件检测和阻挡之前就已经进入了公司的网络,这就大大威胁了企业关键业务系统和网络应用。采用功能单一的产品的缺点要想构建一个立体的安全防护体系,必须要考虑多层次的防护,包括:1.
9、 防火墙2. VPN 网关3. 入侵防御系统(IPS )4. 网关防病毒5. 网页及 URL 过滤6. 应用程序过滤及带宽控制采用功能单一的产品会带来成本增加,管理难度高的问题。如果想部署一个立体的安全防护体系,必须要将很多设备串接在网络中,这样会造成网络性能下降,故障率高,管理复杂。1.3 网络拓扑1.4 需求分析在外网安全方面:目前 XX 公司总部没有部署网络安全设备,所有的业务系统基本上都是裸露在互联网上,缺乏合理的保护极易遭受来自互联网的攻击,可能造成核心业务数据的窃取、服务器和网络瘫痪等问题,给企业带来不必要的损失深信服科技版权所有 7在内网安全方面:各分公司之间和总部通过 VPN
10、 互联,与总部处于统一内网环境,而分公司也缺乏安全防护设备对互联网的危险流量进行清洗,所以极易造成下级分公司对总部服务器的攻击;同时上海总部的内网用户,即使客户端部署了杀毒软件,由于客户端环境和个人使用习惯等问题,IT 制度无法得到很好地落实,经常会有员工关闭杀毒进程或卸载杀毒软件的情况,而且最新的杀毒软件也存在着面对新病毒的滞后和不完善性。特别是对于网络安全意识薄弱的职员,不装任何的杀毒软件,在互联网上随意打开网页、点击链接,很容易身染中毒,并且导致局域网内的电脑感染病毒,我们将此类用户成为内网安全管理的短板。第 2 章 网络规划整体方案2.1 方案拓扑2.2 方案描述经过以上部署之后:1.
11、 总部以及分公司的 NGAF 上开启网关防病毒功能后,能够有效的遏制病毒通过网络在集团网络上的传播,同时可以防止因为浏览 Internet 而造成的病毒感染;2. 总部对外发布的服务器将受到 NGAF 的入侵防御 IPS 功能和服务器防护的保护,免收来自外网以及内网产生的攻击;2.3 NGAF 产品功能概述作为应用层安全设备的领导厂商,深信服公司的 NGAF 安全平台通过动态威胁防御技术、风险分析扫描引擎提供了无与伦比的功能和检测能力。NGAF 提供以下功能: 集成关键安全组件的状态检测防火墙。 可实时更新病毒和攻击特征的网关防病毒。 IPS(入侵防御系统)预置 2200 个以上的攻击特征,并
12、提供用户定制特征的机制。 VPN(支持 PPTP、L2TP、IPSec)。深信服科技版权所有 8 Web 内容过滤具有用户可定义的 URL、关键字过滤器和可自动升级的最全面的URL 地址库。 带宽管理功能防止带宽滥用,IM/P2P 过滤。 用户认证,防止未授权的非法网络访问。 动态威胁防御提供先进的威胁关联技术。 单次解析引擎加速提供比基于 ASIC、NPS 的安全方案高出 2-4 倍的性能。 完整的系列支持服务,包括数据中心、风险报表、客户端安全组件等。2.3.1 部署方式NGAF 系列防火墙支持路由( NAT)模式、透明模式和混合模式三种工作模式。可以很好的适应各种网络环境。路由(NAT
13、 )模式如果需要用 NGAF 连接不同 IP 地址段,则将 NGAF 置于路由工作模式。如内网使用的是 192.168.1.0/24 网段,而外网使用的是 201.1.1.X 网段来连接Internet。此时由于内外网络不在同一 IP 地址段,因此需将 NGAF 设置为路由模式。此时NGAF 工作在第三层,相当于一台路由器,连接不同的 IP 地址段。使 192.168.1.X 和201.1.1.X 之间可以互访。在路由(NAT)模式下,NGAF 的每一个接口都有一个 IP 地址,分别对应不同的网段。每个接口都支持不同的地址模式,既可以是静态 IP,也可以通过 DHCP 服务器获得动态 IP,还
14、能通过 PPPOE 拨号获取 IP 地址,可以很好的支持 LAN、ADSL 等多种网络接入方式。NGAF 在路由模式下支持各种路由方法,包括静态路由、动态路由(可以直接参与到RIP、OSPF 路由及组播路由运算中,而非仅仅让动态路由协议穿越)、策略路由(根据不同的源地址、目的地址、端口等确定下一条路由网关)深信服科技版权所有 9混合模式NGAF 还可以很方便的实现路由 /透明的混合模式。内网和 DMZ 区使用同一网段的 IP地址,内网使用 192.168.1.1-192.168.1.200,DMZ 区使用 192.168.1.201-192.168.1.250;外网使用另一网段的 IP 地址
15、(202.1.1.1)。此时单纯的透明模式或者路由(NAT)模式都无法满足网络的要求。使用 NGAF 可以实现外网与 DMZ/内网之间使用路由(NAT)模式,而内网与 DMZ 之间使用透明模式。这种路由 /透明的混合模式可以很好的满足这种网络环境的需求。VLAN 支持无论在透明模式还是路由(NAT)模式下,NGAF 都支持 802.1Q VLAN 环境,对于交换机之间的 VLAN Trunk 或交换机/ 路由器之间的单臂路由都可以很好的支持;NGAF 在路由模式下自身也可以给交换机上的不同 VLAN 作 Trunk 和路由。深信服科技版权所有 102.3.2 网关杀毒计算机病毒一直是信息安全
16、的主要威胁。而随着网络的不断发展,网络速度越来越快,网络应用也越来越丰富多彩,使得病毒传播的风险也越来越大,造成的破坏也越来越强。据 ICSA(国际计算机安全协会)的统计,目前已经有超过 90%的病毒是通过网络进行传播的。内网用户访问 Internet 时,无论是浏览 WEB 页面,还是通过 FTP 下载文件,或者是收发 E-mail,都可能将 Internet 上的病毒带入网内。而近几年泛滥成灾的网络蠕虫病毒(如红色代码、尼姆达、冲击波、振荡波等)跟传统的通过光盘、软盘等介质进行传播的基于文件的病毒有很大的不同,它们本身是一个病毒与黑客工具的结合体,当网络当中一台计算机感染蠕虫病毒后,它会自
17、动的以极快的速度(每秒几百个线程)扫描网络当中其他计算机的安全漏洞,并主动的将病毒传播到那些存在安全漏洞的计算机上,只要相关的安全漏洞没有通过安装补丁的方式加以弥补,蠕虫病毒就会这样以几何级数的增长速度在网络当中传播,即使计算机上安装了带有实时监控功能的防病毒软件(包括单机版和网络版)对此也无能为力。蠕虫病毒的传播还会大量占用网络带宽,造成网络拥堵,形成拒绝服务式攻击(DoS)。因此,对于新型的网络蠕虫病毒,必须在网关处进行过滤,防止病毒进入内网。网关防病毒已经成为未来防病毒体系中的重中之重,需要引起特别重视。ICSA 统计数据:90% 以上是通过 Internet 传播的外部病毒防御NGAF 内置 Sophos 和 F-port 杀毒引擎,对病毒的过滤针对标准协议,与应用无关。无论用户使用何种 Email 服务器和客户端,只要使用的是标准的 SMTP、POP3、IMAP 协议,