产品名称: 深信服下一代防火墙NGAF
产品概要: 深信服AF是一款以应用安全需求出发而设计的下一代应用防火墙。弥补了传统防火墙基于端口/IP无法防护应用层安全威胁的缺陷;改善了UTM类设备简单功能堆砌,性能瓶颈的弱点。通过单次解析引擎真正做到将防火墙、VPN、入侵防御、服务器防护、病毒防护、内容过滤、流量控制等多种安全技术有机的融合到一起,提供多功能、高性能的电信级安全设备。与传统安全设备相比它可以针对丰富的应用提供更完整的可视化内容安全防护。
1、映射组织架构
NGAF可以按照组织的行政结构建立树形用户分组,将用户分配到指定的用户组中,以实现网络访问权限的授予与继承。用户创建的过程简单方便,除手工输入帐户方式外,NGAF能够根据OU或Group读取AD域控服务器上用户组织结构,并保持与AD的自动同步,方便管理员管理。此外,NGAF支持账户自动创建功能,依据管理员分配好的IP段与用户组的对应关系,基于新用户的源IP地址段自动将其添加到指定用户组、同时绑定IP/MAC,并继承管理员指定的网络权限。管理员亦可将用户信息编辑成Excel、TXT文件,将账户导入,实现快捷的创建用户和分组信息。
2、建立身份认证体系1)基于应用/网站/文件类型的智能流量管理
NGAF可以基于不同用户(组)、出口链路、应用类型、网站类型、文件类型、目标地址、时间段进行细致的带宽划分与分配,如保证领导视频会议的带宽而限制员工P2P的带宽、保证市场部访问行业网站的带宽而限制研发部访问新闻类网站的带宽、保证设计部传输CAD文件的带宽而限制营销部传输RM文件的带宽。精细智能的流量管理既防止带宽滥用,又提升带宽使用效率。
2)P2P的智能识别与灵活控制
封IP、端口等管控“带宽杀手”P2P应用的方式极不彻底。加密P2P、不常见P2P、新P2P工具等让众多P2P管理手段束手无策。NGAF不仅识别和管控常用P2P、加密P2P,对不常见和未来将出现的P2P亦能管控。而完全封堵P2P可能实施困难,NGAF的P2P流控技术能限制指定用户的P2P所占用的带宽,既允许指定用户使用P2P,又不会滥用带宽,充分满足管理的灵活性。
二、更全面的内容级安全防护
深信服NGAF通过灰度威胁关联分析技术可以为业务系统提供端到端的安全防护。主要的防护手段如下:
1、应用信息隐藏: NGAF对主要的服务器(WEB服务器、FTP服务器、邮件服务器等)反馈信息进行了有效的隐藏。防止黑客利用服务器返回信息进行有针对性的攻击。
2、漏洞防护:各种通过操作系统、应用系统、协议异常等漏洞,进行传播的蠕虫、木马、后门、间谍软件,进行攻击和入侵的DoS/DDoS攻击、缓冲区溢出攻击、协议异常攻击、蓝屏攻击、权限提取等;
3、Web应用类威胁防护:专门针对Web应用面临的各种最新的威胁提供额外的安全防护,包括SQL注入、XSS攻击、OS命令注入、CSRF攻击、口令爆破、弱口令探测、应用信息探测、非法上传威胁文件等,从根源上解决了Web系统被入侵、数据被篡改的可能性;
4、病毒类威胁防护:支持HTTP、SMTP、POP3、FTP等常见的协议的病毒查杀。当这几种协议的数据通过NGAF时,NGAF截获其中的数据,根据用户定义的策略实现查毒、杀毒、隔离、统计、报警等功能。除了传统的HTTP、FTP、SMTP、POP3等协议,还可以针对商务应用(文件共享等)传输的文件进行精确的木马、病毒、蠕虫查杀。
(三)强化的WEB安全防护
1、web攻击防护
NGAF能够有效防护owasp提出的10大web安全威胁的主要攻击,主要功能如:
防SQL注入攻击:SQL注入攻击产生的原因是由于在开发web应用时,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据,这就是所谓的SQL Injection,即SQL注入。NGAF可以通过高效的URL过滤技术,过滤SQL注入的关键信息,从而有效的避免网站服务器受到SQL注入攻击。
防XSS跨站脚本攻击:跨站攻击产生的原理是攻击者通过向Web页面里插入恶意html代码,从而达到特殊目的。NGAF通过先进的数据包正则表达式匹配原理,可以准确地过滤数据包中含有的跨站攻击的恶意代码,从而保护用户的WEB服务器安全。
防CSRF攻击 :CSRF即跨站请求伪造,从成因上与XSS漏洞完全相同,不同之处在于利用的层次上,CSRF是对XSS漏洞更高级的利用,利用的核心在于通过XSS漏洞在用户浏览器上执行功能相对复杂的JavaScript脚本代码劫持用户浏览器访问存在XSS漏洞网站的会话,攻击者可以与运行于用户浏览器中的脚本代码交互,使攻击者以受攻击浏览器用户的权限执行恶意操作。NGAF通过先进的数据包正则表达式匹配原理,可以准确地过滤数据包中含有的CSRF的攻击代码,防止WEB系统遭受跨站请求伪造攻击。
2、应用信息隐藏:NGAF对主要的服务器(WEB服务器、FTP服务器、邮件服务器等)反馈信息进行了有效的隐藏。防止黑客利用服务器返回信息进行有针对性的攻击。如:HTTP出错页面隐藏:用于屏蔽Web服务器出错的页面,防止web服务器版本信息泄露、数据库版本信息泄露、网站绝对路径暴露,应使用自定义页面返回。HTTP(S)响应报文头隐藏:用于屏蔽HTTP(S)响应报文头中特定的字段信息。FTP信息隐藏:用于隐藏通过正常FTP命令反馈出的FTP服务器信息,防止黑客利用FTP软件版本信息采取有针对性的漏洞攻击。
3、URL防护: Web应用系统中通常会包含有系统管理员管理界面以便于管理员远程维护web应用系统,但是这种便利很可能会被黑客利用从而入侵应用系统。通过NGAF提供的URL防护功能,帮助用户选择特定URL的开放对象,防止由于过多的信息暴露于公网产生的威胁。
4、弱口令暴力破解防护:弱口令被视为众多认证类web应用程序的普遍风险问题,NGAF通过对弱口令的检查,制定弱口令检查规则控制弱口令广泛存在于web应用程序中。同时通过时间锁定的设置防止黑客对web系统口令的暴力破解。
5、文件上传过滤:由于web应用系统在开发时并没有完善的安全控制,对上传至web服务器的信息进行检查,从而导致web服务器被植入病毒、木马成为黑客利用的工具。NGAF通过严格控制上传文件类型,检查文件头的特征码防止有安全隐患的文件上传至服务器。同时还能够结合病毒防护、插件过滤等功能检查上传文件的安全性,以达到保护web服务器安全的目的。
(四)完整的终端安全保护
传统网络安全设备对于终端的安全保护仅限于病毒防护。事实上终端的安全不仅仅是病毒,很多用户在部署过防病毒软件之后,终端的安全事件依然频发,如何完整的保护终端成为众多用户关注的焦点。NGAF提供完整的终端安全保护,全方位的保护终端不受威胁困扰。
1、病毒防护:NGAF提供基于终端的病毒防护功能,从源头对HTTP、FTP、SMTP、POP3等协议流量中进行病毒查杀,亦可查杀压缩包(zip,rar,gzip等)中的病毒。
2、基于终端的漏洞防护:内网终端仍然存在漏洞被利用的问题,多数传统安全设备仅仅提供基于服务器的漏洞防护,对于终端漏洞的利用视而不见。NGAF同时提供基于终端的漏洞保护能防护如:后门程序预防、协议脆弱性保护、exploit保护、网络共享服务保护、shellcode预防、间谍程序预防等基于终端的漏洞防护,有效防止了终端漏洞被利用而成为黑客攻击的跳板。
3、危险插件过滤:能识别那些下载文件是会自动安装的插件,包括所有通过浏览器自动下载的文件。能根据插件白名单对插件进行过滤,内置常用安全插件列表供用户选择,还可以自定义白名单(支持插件名称、证书名称和域名)。能根据插件证书的合法性进行过滤,包括:检查插件签名是否过期,对插件签名进行证书链控制。能记录控件过滤日志,包括被过滤控件名称及被拒绝的原因,并能在数据中心查出来。能够实现二次提示,第一次出现时做拦截,第二次实现时给出提示)。
4、恶意脚本过滤:过滤注册表的写操作;过滤文件的写操作;危险对象和危险调用;能够实现二次提示,第一次出现时做拦截,第二次实现时给出提示)。
三、更高性能的应用层处理能力
为了实现强劲的应用层处理能力,NGAF抛弃了传统防火墙NP、ASIC等适合执行网络层重复计算工作的硬件设计,采用了更加适合应用层灵活计算能力的多核并行处理技术;在系统架构上,NGAF也放弃了UTM多引擎,多次解析的架构,而采用了更为先进的一体化单次解析引擎,将漏洞、病毒、Web攻击、恶意代码/脚本、URL库等众多应用层威胁统一进行检测匹配,从而提升了工作效率,实现了万兆级的应用安全防护能力。
(一)单次解析架构
要进行应用层威胁过滤,就必须将数据报文重组才能检测,而报文重组、特征检测都会极大地消耗内存和CPU,因而UTM的多引擎,多次解析架构工作效率低下。因此,NGAF所采用的单次解析引擎通过统一威胁特征、统一匹配引擎,针对每个数据包做到了只有一次报文重组和特征匹配,消除了重复性工作对内存和资源的占用,从而系统的工作效率提高了70%-80%。但这种技术的一个关键要素就是统一特征库,这项技术的难度在于需要找到一种
全新的“特征语言”将病毒、漏洞、Web入侵、恶意代码等威胁进行统一描述,这就好比是八个不同国家语言的人要想彼此无障碍交流,最笨的办法是学会7种语言,但明显不可行;因此,需要一种全新的国际语言来完成,从既提高可行性,有降低了工程的复杂度。
(二)多核并行处理技术
现在CPU核越来越多,从双核到4核,再从4核到8核,16核,现在还有128核的CPU了。这样来看,如果1个核能够做到1个G,那么16个核不就能够超过10个G了吗? 但是通常设备性能并不能够根据核的增加而迅速增加。因为虽然各个核物理上是独立的,但是有很多资源是共享的,包括CPU的Cache,内存,这些核在访问共享资源的时候是要等其他核释放资源的,因此很多工作只能串行完成。同时NGAF的多核并行处理技术进行了大量的优化工作----减少临界资源的访问,除了在软件处理流程的设计上尽量减少临界资源以及临界资源的访问周期,还需要充分利用读写锁、原子操作、内存镜像等机制来提高临界资源的访问效率。
四、更完整的安全防护方案
只提供基于应用层安全防护功能的方案,并不是一个完整的安全方案。对于用户来说,还需要采购基础网络层的安全设备(FW、VPN),这既增加了成本,也增加了组网复杂度、提升了运维难度。从技术角度来说,一个黑客完整的攻击入侵过程包括了网络层和应用层、内容级别等多个层次方式方法,如果将这些威胁割裂开处理进行防护,各种防护设备之间缺乏智能的联动,很容易出现“三不管”的灰色地带,出现防护真空。比如当年盛极一时的蠕虫“SQL Slammer”,在发送应用层攻击报文之前会发送大量的“正常报文”进行探测,即使IPS有效阻断了攻击报文,但是这些大量的“正常报文”造成了网络拥塞,反而意外的形成了DOS攻击,防火墙无法有效防护。NGAF涵盖传统防火墙、IPS的主要功能,内部能够实现联动,如下表:
技术功能 | 功能价值 |
包过滤与状态检测 | 提供静态的包过滤和动态包过滤功能 |
抗攻击 | 能够防御DOS/DDOS、land,smurf,synflood,icmpflood等网络层攻击 |
NAT | 提供一对一、多对一、多对多等地址转换方式;支持多种NAT ALG,包括DNS、FTP、H.323、SIP |
VPN模块 | 内置VPN模块能实现VPN互联 |
IP协议/路由 | 支持静态路由、RIP v1/2、OSPF、策略路由等多种路由协议 |
因此,“具备完整的L2-L7完整的安全防护功能”就是Gartner定义的“额外的防火墙智能”实现前提,才能做到真正的内核级联动,为用户的业务系统提供一个真正的“铜墙铁壁”。
Copyright©2012-2013 TNET 塔内网络
广州塔内网络科技有限公司