1、NGAF技术白皮书 文档密级:公开1 / 18深信服下一代防火墙 NGAF 技术白皮书深信服科技有限公司二零一一年八月NGAF技术白皮书 文档密级:公开2 / 18目录1.概述 .32. 为什么需要下一代防火墙 .32.1 网络发展的趋势使防火墙以及传统方案失效 .32.2 替代性方案能否弥补 .42.2.1“打补丁式的方案” .42.2.2 UTM 统一威胁管理 .43.下一代防火墙的诞生与价值 .43.1Gantner 定义下一代防火墙 .43.2 深信服下一代应用防火墙 NGAF .54.产品功能特点 .64.1 更精细的应用层安全控制 .64.1.1 可视化应用识别 .74.1.2 多
2、种用户识别方式 .74.1.3 一体化应用访问控制策略 .84.1.4 基于应用的流量管理 .94.2 更全面的内容级安全防护 .104.2.1 灰度威胁关联分析技术 .104.2.2 基于攻击过程的服务器保护 .124.2.3 强化的 WEB 安全防护 .134.2.4 完整的终端安全保护 .144.3 更高性能的应用层处理能力 .154.3.1 单次解析架构 .154.3.2 多核并行处理技术 .164.4 更完整的安全防护方案 .165.关于深信服 .17NGAF技术白皮书 文档密级:公开3 / 181.概述防火墙自诞生以来,在网络安全防御系统中就建立了不可替代的地位。作为边界网络安全的
3、第一道关卡防火墙经历了包过滤技术、代理技术和状态监视技术的技术革命,通过ACL 访问控制策略、NAT 地址转换策略以及抗网络攻击策略有效的阻断了一切未被明确允许的包通过,保护了网络的安全。防火墙就像故宫的城墙,对进出防火墙的一切数据包进行检查,保证合法数据包能够进入网络访问合法资源同时防止非法人员通过非法手段进入网络或干扰网络的正常运行。防火墙技术在当时被堪称完美!随着时代的变迁,故宫的城墙已黯然失色,失去了它原有的防御能力。同样防火墙在面对网络的高速发展,应用的不断增多的时代也失去了它不可替代的地位。自 2009 年 10 月 Gartner 提出“Defining the Next-Gen
4、eration Firewall”一文,重新定义下一代防火墙,下一代防火墙的概念在业内便得到了普遍的认可。深信服也在经过 10 年网络安全技术 6 年的应用安全技术沉淀之后,于2011 年正式发布深信服“下一代应用防火墙”NGAF。 2. 为什么需要下一代防火墙2.1 网络发展的趋势使防火墙以及传统方案失效防火墙作为一款历史悠久的经典产品,在 IP/端口的网络时代,发挥了巨大的作用:合理的分隔了安全域,有效的阻止了外部的网络攻击。防火墙在设计时的针对性,在当时显然是网络安全的最佳选择。但在网络应用高速发展,网络规划复杂化的今天防火墙的不适应性就越发明显,从用户对网络安全建设的需求来看,传统防火
5、墙存在以下问题:1、应用安全防护的问题:传统防火墙基于 IP/端口,无法对应用层进行识别与控制,无法确定哪些应用经过了防火墙,自然就谈不上对各类威胁进行有效防御了。面对应用层的攻击,防火墙显得力不从心,无法检测或拦截嵌入到普通流量中的恶意攻击代码,比如病毒、蠕虫、木马等。2、安全管理的问题:传统防火墙的访问控制策略对于大型网络来说简直就是噩梦。严格控制网络需要配置大量的策略,并且这些基于 IP/端口策略可读性非常之差,经常会造成错配、漏配的情况,留下的这些隐患,往往给黑客们以可乘之机。NGAF技术白皮书 文档密级:公开4 / 182.2 替代性方案能否弥补2.2.1“打补丁式的方案”由于防火墙
6、功能上的缺失使得企业在网络安全建设的时候针对现有多样化的攻击类型采取了打补丁式的设备叠加方案,形成了“串糖葫芦”式部署。通常我们看到的网络安全规划方案的时候都会以防火墙+入侵防御系统+ 网关杀毒+ 的形式。这种方式在一定程度上能弥补防火墙功能单一的缺陷,对网络中存在的各类攻击形成了似乎全面的防护。但在这种环境中,管理人员通常会遇到如下的困难:效率低:同一数据包经过串联的各类设备,被重复拆包,重复解析,使整个网络的效率变得低下,运行速度变得十分缓慢。维护成本高:众多设备需要提供足够的空间和环境支持,大大提高了维护成本。管理复杂:独立设备、管理复杂,需要培养熟悉各类设备、各厂商设备的高级管理人员。
7、同时也无法进行统一的安全风险分析2.2.2 UTM 统一威胁管理2004 年 IDC 推出统一威胁管理 UTM 的概念。这种设备的理念是将多个功能模块集中如:FW、IPS、AV ,联合起来达到统一防护,集中管理的目的。这无疑给安全建设者们提供了更新的思路。事实证明国内市场 UTM 产品确实得到用户认可,据 IDC 统计数据 09 年 UTM 市场增长迅速,但 2010 年 UTM 的增长率同比有明显的下降趋势。这是因为 UTM 设备仅仅将FW、IPS、AV 进行简单的整合,传统防火墙安全与管理上的问题依然存在,比如缺乏对WEB 服务器的有效防护等;另外,UTM 开启多个模块时是串行处理机制,一
8、个数据包先过一个模块处理一遍,再重新过另一个模块处理一遍,一个数据要经过多次拆包,多次分析,性能和效率使得 UTM 难以令人信服。Gartner 认为“UTM 安全设备只适合中小型企业使用,而 NGFW 才适合员工大于 1000 的大型企业使用。 ”3.下一代防火墙的诞生与价值3.1Gantner 定义下一代防火墙针对上述安全风险、网络环境、应用系统的变化,传统网络安全设备的无能为力,市场咨询分析机构 Gartner 在 2009 年发布了一份名为Defining the Next-GenerationFirewall的文章,给出了真正能够满足用户当前安全需求的下一代防火墙(NGFW)定义。N
9、GAF技术白皮书 文档密级:公开5 / 18在 Gartner 看来,NGFW 应该是一个线速(wire-speed)网络安全处理平台, 在功能上至少应当具备以下几个属性:1、联机“bump-in-the-wire”配置,不中断网络运行。2、发挥网络传输流检查和网络安全政策执行平台的作用,至少具有以下特性:(1)标准的第一代防火墙能力:包过滤、网络地址转换(NAT)、状态性协议检测、VPN 等等。(2)集成的而非仅仅共处一个位置的网络入侵检测:支持面向安全漏洞的特征码和面向威胁的特征码。IPS 与防火墙的互动效果应当大于这两部分效果的总和。例如提供防火墙规则来阻止某个地址不断向 IPS 加载恶
10、意传输流。这个例子说明,在 NGFW 中,应该由防火墙建立关联,而不是操作人员去跨控制台部署解决方案。集成具有高质量的 IPS 引擎和特征码,是 NGFW 的一个主要特征。(3)应用意识和全栈可见性:识别应用和在应用层上执行独立于端口和协议,而不是根据纯端口、纯协议和纯服务的网络安全政策。例子包括允许使用 Skype,但关闭 Skype 中的文件共享或始终阻止 GoToMyPC。(4)额外的防火墙智能:防火墙收集外来信息来做出更好的阻止决定或建立优化的阻止规则库。例子包括利用目录集成将阻止行为与用户身份绑在一起,或建立地址的黑白名单。Gartner 认为,随着防火墙和 IPS 更新周期的自然到
11、来,或者随着带宽需求的增加和随着成功的攻击,促使更新防火墙,大企业将用 NGFW 替换已有的防火墙。不断变化的威胁环境,以及不断变化的业务和 IT 流程将促使网络安全经理在他们的下一个防火墙/IPS 更新周期时寻找 NGFW。Gartner 预计到 2014 年底,用户采购防火墙的比例将增加到占安装量的 35%,60%新购买的防火墙将是 NGFW。3.2 深信服下一代应用防火墙NGAF 通过将中国用户的安全需求与 Garnter 定义的“NGFW”功能特性相结合,深信服推出了下一代应用防火墙 NGAF 产品。NGAF 是面向应用层设计,能够精确识别用户、应用和内容,具备完整安全防护能力,能够全
12、面替代传统防火墙,并具有强劲应用层处理能力的全新网络安全设备。NGAF 解决了传统安全设备在应用管控、应用可视化、应用内容防护等方面的巨大不足,同时开启所NGAF技术白皮书 文档密级:公开6 / 18有功能后性能不会大幅下降。NGAF 不但可以提供基础网络安全功能,如状态检测、VPN、抗 DDoS、NAT 等;还实现了统一的应用安全防护,可以针对一个入侵行为中的各种技术手段进行统一的检测和防护,如应用扫描、漏洞利用、Web 入侵、非法访问、蠕虫病毒、带宽滥用、恶意代码等。NGAF 可以为不同规模的行业用户的数据中心、广域网边界、互联网边界等场景提供更加精细、更加全面、更高性能的应用内容防护方案
13、。更精细的应用层安全控制: 贴近国内应用、持续更新的应用识别规则库 识别内外网超过 724 种应用、1253 种动作(截止 2011 年 8 月 10 日) 支持包括 AD 域、Radius 等 8 种用户身份识别方式 面向用户与应用策略配置,减少错误配置的风险更全面的内容级安全防护: 基于攻击过程的服务器保护,防御黑客扫描、入侵、破坏三步曲 强化的 WEB 应用安全,支持多种注入防范、XSS 攻击、权限控制等 完整的终端安全保护,支持插件/脚本过滤、漏洞/ 病毒防护等更高性能的应用层处理能力: 单次解析架构实现报文一次拆解和匹配 多核并行处理技术提升应用层分析速度 全新技术架构实现应用层万兆
14、处理能力更完整的安全防护方案 可替代传统防火墙/VPN、IPS 所有功能,实现内核级联动4.产品功能特点4.1 更精细的应用层安全控制NGAF 独创的应用可视化技术,可以根据应用的行为和特征实现对应用的识别和控制,而不仅仅依赖于端口或协议,摆脱了过去只能通过 IP 地址来控制的尴尬,即使加密过的数据流也能应付自如。目前,NGAF 的应用可视化引擎不但可以识别 700 多种的内外网应用及其 1000 多种应用动作,还可以与多种认证系统(AD、 LDAP、Radius 等) 、应用系统(POP3、SMTP 等)无缝对接,自动识别出网络当中 IP 地址对应的用户信息,并建立组织NGAF技术白皮书 文
15、档密级:公开7 / 18的用户分组结构;既满足了普通互联网边界行为管控的要求,同时还满足了在内网数据中心和广域网边界的部署要求,可以识别和控制丰富的内网应用,如 Lotus Notes、 RTX、Citrix、Oracle EBS、金蝶 EAS、SAP、LDAP 等,针对用户应用系统更新服务的诉求,NGAF 还可以精细识别 Microsoft、360、Symantec、Sogou、Kaspersky、McAfee、金山毒霸、江民杀毒等软件更新,保障在安全管控严格的环境下,系统软件更新服务畅通无阻。因此,通过应用可视化引擎制定的 L3-L7 一体化应用控制策略, 可以为用户提供更加精细和直观化控
16、制界面,在一个界面下完成多套设备的运维工作,提升工作效率。4.1.1 可视化应用识别随着网络攻击不断向应用层转移,传统的网络层防火墙已经不能有效实施防护。因此,作为企业网络中最重要的屏障,如何帮助用户实现针对所有应用的可视化变得十分重要。NGAF 以精确的应用识别为基础,可以帮助用户恢复对网络中各类流量的掌控,阻断或控制不当操作,根据企业自身状况合理分配带宽资源等。NGAF 的应用识别有以下几种方式:第一,基于协议和端口的检测仅仅是第一步(传统防火墙做法 )。固定端口小于 1024 的协议,其端口通常是相对稳定,可以根据端口快速识别应用。第二,基于应用特征码的识别,深入读取 IP 包载荷的内容
17、中的 OSI 七层协议中的应用层信息,将解包后的应用信息与后台特征库进行比较来确定应用类型。第三,基于流量特征的识别,不同的应用类型体现在会话连接或数据流上的状态各有不同,例如,基于 P2P 下载应用的流量模型特点为平均包长都在 450 字节以上、下载时间长、连接速率高、首选传输层协议为 TCP 等;NGAF 基于这一系列流量的行为特征,通过分析会话连接流的包长、连接速率、传输字节量、包与包之间的间隔等信息来鉴别应用类型。4.1.2 多种用户识别方式网络中的用户并不一定需要平等对待,通常,许多企业策略仅仅是允许某些 IP 段访问网络及网络资源。NGAF 提供基于用户与用户组的访问控制策略,它使
18、管理员能够基于各个用户和用户组(而不是仅仅基于 IP 地址)来查看和控制应用使用情况。在所有功能中均可获得用户信息,包括应用访问控制策略的制定和安全防护策略创建、取证调查和报表分析。1、映射组织架构NGAF技术白皮书 文档密级:公开8 / 18NGAF 可以按照组织的行政结构建立树形用户分组,将用户分配到指定的用户组中,以实现网络访问权限的授予与继承。用户创建的过程简单方便,除手工输入帐户方式外,NGAF 能够根据 OU 或 Group 读取 AD 域控服务器上用户组织结构,并保持与 AD 的自动同步,方便管理员管理。此外,NGAF 支持账户自动创建功能,依据管理员分配好的 IP 段与用户组的
19、对应关系,基于新用户的源 IP 地址段自动将其添加到指定用户组、同时绑定 IP/MAC,并继承管理员指定的网络权限。管理员亦可将用户信息编辑成 Excel、TXT 文件,将账户导入,实现快捷的创建用户和分组信息。2、建立身份认证体系 本地认证:Web 认证、用户名/密码认证、IP/MAC/IP-MAC 绑定 第三方认证:AD、LDAP、Radius、POP3、PROXY 等; 双因素认证:USB-Key 认证; 单点登录:AD、POP3 、 Proxy、HTTP POST 等; 强制认证:强制指定 IP 段的用户必须使用单点登录(如必须登录 AD 域等)丰富的认证方式,帮助组织管理员有效区分用
20、户,建立组织身份认证体系,进而形成树形用户分组,映射组织行政结构,实现用户与资源的一一对应。NGAF 支持为未认证通过的用户分配受限的网络访问权限,将通过 Web 认证的用户重定向至显示指定网页,方便组织管理员发布通知。4.1.3 一体化应用访问控制策略当前的网络环境,IP 不等于用户,端口不等于应用。而传统防火墙的基于 IP/端口的控制策略就会失效,用户可以轻易绕过这些策略,不受控制的访问互联网资源及数据中心内容,带来巨大的安全隐患。NGAF 不仅具备了精确的用户和应用的识别能力,还可以针对每个数据包找出相对应的用户角色和应用的访问权限。通过将用户信息、应用识别有机结合,提供角色为应用和用户
21、的可视化界面,真正实现了由传统的“以设备为中心”到“以用户为中心”的应用管控模式转变。帮助管理者实施针对何人、何时、何地、何种应用动作、何种威胁等多维度的控制,制定出 2-7 层一体化基于用户应用的访问控制策略,而不是仅仅看到 IP 地址和端口信息。在这样的信息帮助下,管理员可以真正把握安全态势,实现有效防御,恢复了对网络资源的有效管控。NGAF技术白皮书 文档密级:公开9 / 184.1.4 基于应用的流量管理传统防火墙的 QOS 流量管理策略仅仅是简单的基于数据包优先级的转发,当用户带宽流量过大、垃圾流量占据大量带宽,而这些流量来源于同一合法端口的不同非法应用时,传统防火墙的 QOS 便失
22、去意义。 NGAF 提供基于用户和应用的流量管理功能,能够基于应用做流量控制,实现阻断非法流量、限制无关流量保证核心业务的可视化流量管理价值。NGAF 采用了队列流量处理机制:首先,将数据流根据各种条件进行分类(如 IP 地址,URL,文件类型,应用类型等分类,像 skype、emule 属于 P2P 类)然后,分类后的数据包被放置于各自的分队列中,每个分类都被分配了一定带宽值,相同的分类共享带宽,当一个分类上的带宽空闲时,可以分配给其他分类,其中带宽限制是通过限制每个分队列上数据包的发送速率来限制每个分类的带宽,提高了带宽限制的精确度。最后,在数据包的出口处,每个分类具备一个优先级别,优先级
23、高的队列先发送,当优先级高的队列中的数据包全部发送完毕后,再发送优先级低的。也可以为分队列设置其它排队方法,防止优先级高的队列长期占用网络接口。 基于应用/网站/文件类型的智能流量管理NGAF技术白皮书 文档密级:公开10 / 18NGAF 可以基于不同用户( 组)、出口链路、应用类型、网站类型、文件类型、目标地址、时间段进行细致的带宽划分与分配,如保证领导视频会议的带宽而限制员工 P2P 的带宽、保证市场部访问行业网站的带宽而限制研发部访问新闻类网站的带宽、保证设计部传输CAD 文件的带宽而限制营销部传输 RM 文件的带宽。精细智能的流量管理既防止带宽滥用,又提升带宽使用效率。 P2P 的智
24、能识别与灵活控制封 IP、端口等管控“带宽杀手”P2P 应用的方式极不彻底。加密 P2P、不常见 P2P、新P2P 工具等让众多 P2P 管理手段束手无策。NGAF 不仅识别和管控常用 P2P、加密 P2P,对不常见和未来将出现的 P2P 亦能管控。而完全封堵 P2P 可能实施困难,NGAF 的 P2P 流控技术能限制指定用户的 P2P 所占用的带宽,既允许指定用户使用 P2P,又不会滥用带宽,充分满足管理的灵活性。4.2 更全面的内容级安全防护深信服 NGAF 的灰度威胁识别技术不但可以将数据包还原的内容级别进行全面的威胁检测,而且还可以针对黑客入侵过程中使用的不同攻击方法进行关联分析,从而
25、精确定位出一个黑客的攻击行为,有效阻断威胁风险的发生。灰度威胁识别技术改变了传统 IPS 等设备防御威胁种类单一,威胁检测经常出现漏报、误报的问题,可以帮助用户最大程度减少风险短板的出现,保证业务系统稳定运行。4.2.1 灰度威胁关联分析技术NGAF 的灰度威胁关联分析引擎具备 2000+条漏洞特征库、数十万条病毒、木马等恶意内容特征库、1000+Web 应用威胁特征库,可以全面识别各种应用层和内容级别的单一安全威胁;而且灰度威胁识别技术还提供了多种典型的黑客入侵行为的模板,可以有效关联各种威胁进行分析,最大成的提高了威胁检测精度。另外,深信服凭借在应用层领域 6 年以上的技术积累,组建了专业的安全攻防团队,可以为用户定期提供最新的威胁特征库更新,以确保防御的及时性。下图为,灰度威胁关联分析引擎的工作原理:
