SANGFORAF安全防护方案建议模板v10Word格式.docx

1、早期的黑客攻击手段大多为非破坏性攻击，一般是为了扰乱系统的运行，并不盗窃系统资料，通常采用拒绝服务攻击（Ping of Death等）网络层方式。其主要目的也只是为了技术炫耀型为主。而当前的黑客攻击目的完全以利益为驱动，技术手段更加倾向于应用化、内容化、混合化。所谓应用化，面对堡垒森严的网络层防护手段，黑客要想悄无声息的入侵IT系统，必须采用更高层次的方式绕过这些防护手段。所以，基于应用的漏洞利用、命令注入、恶意脚本/插件等威胁就成为了黑客争相研究的方向。而漏洞利用也从原来侧重OS底层漏洞转变为基于应用程序的漏洞，比如根据卡巴斯基2011年Q1漏洞排行榜，Adobe Reader、Flash

2、Player的包揽前三甲。所谓内容化，黑客在成功入侵后更加关注的是IT系统中的内容，比如客户账号、通讯方式、银行账户、企业机密、电子订单等。因此，通过木马、后门、键盘记录等方式可以不断获取这些关键内容，并进行非法利用而牟利。所谓混合化，在黑客一次攻击行为中使用了多种技术手段，而非原来单一的病毒蠕虫或者漏洞利用。比如，黑客要想入侵一台Web服务器上传木马的过程：端口/应用扫描、口令爆破、漏洞利用、OS命令注入、SQL注入、跨站脚本、木马上传等。因此，面对上述安全风险的变化，给我们的网络安全提出了新的问题：1、 能够防护混合型攻击威胁的防护：传统防火墙无法提供DPI深度检测，而IPS、WAF、AV

3、等设备防护功能单一，需要相互搭配使用。因此，面对多种安全威胁的混合型攻击，我们需要一个完整的应用层安全防护方案。2、 能够保护应用内容：针对黑客对内容的关注，需要基于应用的内容做安全检查，包括扫描所有应用内容，过滤有风险的内容，甚至让用户自定义哪些内容可以进出，哪些内容不能进出。1.3 端到端的万兆处理能力当前的IT系统已经全面具备了万兆处理能力，万兆网络、万兆存储、万兆计算，甚至100G/40G的网络标准已经诞生。但是只要在IT系统中出现一个性能瓶颈，就会制约整个IT系统的性能发挥。而当前应用层安全处理能力仅仅停留在准千兆级别，往往只有600-800兆左右的线速能力，成为了严重的网络性能瓶颈

4、。因此，面对上述网络性能的不断提升，给我们的安全防护提出了新的问题：实现万兆级应用层安全处理能力：应用层安全防护强调的是计算的灵活性，传统网络安全设备的强调的是重复计算的高性能。因此，基于传统网络层安全设备ASIC的设计思路需要调整，并重新设计系统架构，才能满足万兆级完整的应用层防护处理能力。2 传统安全设备日趋“无力”面对上述网络、应用、安全风险等环境的变化，传统安全设备已经显得日趋“无力”，尤其是传统防火墙已经变成了聋子和瞎子。2.1 防火墙成为了“摆设”从1990开始，随着Internet的快速发展，网络安全的问题也逐步为人们所重视，从最初采用简单的访问控制列表，到部署防火墙来保护周界安

5、全。从1993年防火墙被广泛地部署在各种网络中，如下图所示：图 自1993开始防火墙被广泛应用于边界安全传统防火墙目前在网络当中主要的功能包括：1、 通过基于端口和IP的访问控制，实现安全域的隔离与划分；2、 通过地址转换，实现内部IP规划的隐藏；3、 通过抵御DOS等网络层攻击，确保系统稳定运行；但是面对“第一章”所提到的环境变化，我们可以发现，这些功能已经无法确保我们系统的安全稳定运行。防火墙存在的问题如下：1、 戴着眼罩的保安：如果防火墙依然通过端口设置访问权限，那么针对单一端口下的多种应用和动作，针对端口动态变化的应用来说，防火墙只能雾里看花，无法实现有效地、精细地访问权限控制；2、

6、过时的盾牌：如果把网络层攻击比喻成冷兵器时代的“刀枪剑戟”，把应用层混合威胁比喻成热兵器时代的“长枪大炮”，那么防火墙就好比是过时的“盾牌”，面对已经不常出没的冷兵器还是可以防护的，但是面对“长枪大炮”防火墙就自身难保。因此，当前防火墙的部署已经成为了一种心理安慰，仅仅作为合规性的建设要求，要想真正确保系统安全，必须变革。2.2 IPS+AV+WAF补丁式的方案面对防火墙成为“摆设”的现实，出现了不少补充型的加固方案，其中最典型的方式就是FW+IPS+AV+WAF这种“串糖葫芦式”的建设。在一段时间内，这种方式成为了用户的不错选择。但是，随着业务的开展，其问题日益凸显：1、 投资成本高：首先，

7、同样性能的应用层安全设备要比网络层安全设备高数倍，再部署多台，整个方面的前期硬件投资就会增加4倍甚至10倍。其次，持续的运维成本也是不小的开销，能源消耗、配套建设（电源、空调）、人力成本等等也会急剧增加。2、 防护效果不理想：这种方案在性能、检测精度、可靠性等方面均存在较多问题。首先，此方案的性能取决于其中性能最低的设备能力，其他安全设备即使有再高的性能也发挥不出来；其次，局域网延时一般在600us，多增加一台设备就意味着延时有提升了200us，尤其是传统AV设备基于文件级别的检测方式延时极大，一份邮件的检测往往需要数秒钟甚至数分钟的时间；然后，面对混合型的攻击入侵，这种方案就无法提供高精度的

8、检测，甚至出现漏报、误报；最后，可靠性差，假如每台设备的故障率为1%，那么串接了4台设备后，故障率就提升了4倍，增加了故障点，降低了系统可靠性。因此，这种补丁式的建设方案，缺乏站在整体角度审视用户安全需求。因此，不但投资成本高，而且防护效果不理想，与网络匹配性差，只能作为一种过渡方案。2.3 简单堆砌的UTMUTM的出现曾经很好的解决了“补丁式”安全方案高成本的问题，但是依然无法有效的与网络环境相匹配，无法提供完整的防护功能。这主要是由于UTM的理念和架构设计所造成的，其主要问题体现在：1、 功能缺失：虽然UTM集成了部分IPS、AV的功能，但由于大部分的UTM都是从FW演进而来，因此其访问控

9、制依然采用基于端口和IP的方式，缺乏针对应用的识别、管控、流量分析、流量优化。所以，部分UTM可以称为“带着半个眼罩”的保安。2、 应用层性能瓶颈：首先，UTM只是简单整合了应用层防护功能，IPS、AV、Web过滤都还是独立的检测分析引擎，没有进行统一的整合，一个数据包需要经过多次拆包解包，多次分析匹配才完成处理。同时，由于应用层安全防护强调的是计算的灵活性与并行处理能力（特征比对等），而传统网络层安全设备强调的是单一功能的、重复计算的高性能（基于端口的状态检测）。因此，从防火墙演进而来的UTM往往存在着应用层性能处理瓶颈，这也是为什么我们看到一台2G防火墙性能的UTM，在所有功能都开启后只有

10、400700兆应用层处理能力，性能急剧下降的原因。因此，UTM的方案只能满足部分规模较小、应用简单网络环境的安全防护要求，但是面对应用复杂、网络性能较高的高端部署场景来说（数据中心、广域骨干网、大型互联网出口等），UTM依然无力。3 下一代防火墙的诞生与价值3.1 Gantner定义下一代防火墙针对上述安全风险、网络环境、应用系统的变化，传统网络安全设备的无能为力，市场咨询分析机构Gartner在2009年发布了一份名为Defining the Next-GenerationFirewall的文章，给出了真正能够满足用户当前安全需求的下一代防火墙（NGFW）定义。在Gartner 看来，NGF

11、W 应该是一个线速（wire-speed）网络安全处理平台， 在功能上至少应当具备以下几个属性：1支持联机“bump-in-the-wire”配置，不中断网络运行。2发挥网络传输流检查和网络安全政策执行平台的作用，至少具有以下特性：（1）标准的第一代防火墙能力：包过滤、网络地址转换（NAT）、状态性协议检测、VPN等等。（2）集成的而非仅仅共处一个位置的网络入侵检测：支持面向安全漏洞的特征码和面向威胁的特征码。IPS与防火墙的互动效果应当大于这两部分效果的总和。例如提供防火墙规则来阻止某个地址不断向IPS加载恶意传输流。这个例子说明，在NGFW中，应该由防火墙建立关联，而不是操作人员去跨控制台

12、部署解决方案。集成具有高质量的IPS引擎和特征码，是NGFW的一个主要特征。（3）应用意识和全栈可见性：识别应用和在应用层上执行独立于端口和协议，而不是根据纯端口、纯协议和纯服务的网络安全政策。例子包括允许使用Skype，但关闭Skype中的文件共享或始终阻止GoToMyPC。（4）额外的防火墙智能：防火墙收集外来信息来做出更好的阻止决定或建立优化的阻止规则库。例子包括利用目录集成将阻止行为与用户身份绑在一起，或建立地址的黑白名单。Gartner认为，随着防火墙和IPS更新周期的自然到来，或者随着带宽需求的增加和随着成功的攻击，促使更新防火墙，大企业将用NGFW替换已有的防火墙。不断变化的威胁

13、环境，以及不断变化的业务和IT流程将促使网络安全经理在他们的下一个防火墙/IPS更新周期时寻找NGFW。Gartner预计到2014年底，用户采购防火墙的比例将增加到占安装量的35%，60%新购买的防火墙将是NGFW。3.2 深信服NGAF的特点与用户价值通过将中国用户的安全需求与Garnter定义的“NGFW”功能特性相结合，深信服推出了下一代应用防火墙NGAF产品。NGAF是面向应用层设计，能够精确识别用户、应用和内容，具备完整安全防护能力，能够全面替代传统防火墙，并具有强劲应用层处理能力的全新网络安全设备。NGAF解决了传统安全设备在应用管控、应用可视化、应用内容防护等方面的巨大不足，同

14、时开启所有功能后性能不会大幅下降。NGAF 不但可以提供基础网络安全功能，如状态检测、VPN、抗DDoS、NAT等；还实现了统一的应用安全防护，可以针对一个入侵行为中的各种技术手段进行统一的检测和防护，如应用扫描、漏洞利用、Web入侵、非法访问、蠕虫病毒、带宽滥用、恶意代码等。NGAF可以为不同规模的行业用户的数据中心、广域网边界、互联网边界等场景提供更加精细、更加全面、更高性能的应用内容防护方案。其具体特点如下：更精细的应用层安全控制： 贴近国内应用、持续更新的应用识别规则库 识别内外网超过724种应用、1253种动作（截止2011年8月10日） 支持包括AD域、Radius等8种用户身份识

15、别方式 面向用户与应用策略配置，减少错误配置的风险更全面的内容级安全防护： 基于攻击过程的服务器保护，防御黑客扫描、入侵、破坏三步曲 强化的WEB应用安全，支持多种注入防范、XSS攻击、权限控制等 完整的终端安全保护，支持插件/脚本过滤、漏洞/病毒防护等更高性能的应用层处理能力： 单次解析架构实现报文一次拆解和匹配 多核并行处理技术提升应用层分析速度 全新技术架构实现应用层万兆处理能力更完整的安全防护方案 可替代传统防火墙/VPN、IPS所有功能，实现内核级联动4 XXX网络安全现状4.1 网络与应用系统现状请具体描述用户当期的网络、安全、应用系统的建设现状（设备类型、性能、采用的软件架构、网

16、络安全域是如何划分的等等），分析当前的主要安全风险，并且提出改进方向。4.2 面临的内容安全威胁当前业务系统“曾经出现过”和“潜在出现”的各种内容安全威胁主要包括如下：4.2.1 漏洞利用无可厚非，软件开发人员在开发一个系统的时候，将实现相应的功能作为首要的任务，而且他们在编写和调试程序时通常仅考虑用户正常使用的情况，而对误用和恶意使用这些例外和异常情况处理考虑不周之处，也就形成了系统漏洞，或称系统的弱点。系统已不再是孤立的系统，而是通过网络互联的系统，即组成了计算机网络，计算机网络的使用者中有专业水平很高但思想并不纯洁的群体，他们利用这些漏洞对系统展开入侵和攻击，导致对网络和应用系统极大威胁

17、，使网络和系统的使用和拥有者遭受严重的损失。自计算机紧急事件相应组（CERT）与1995年开始对系统漏洞进行跟踪以来，到2004年已有超过12，000个漏洞被报告，而且自1999年以来，每年的数量都翻翻，增长如此迅猛。在2010年，漏洞数量又创出了新的记录，根据赛门铁克发布的2010年度网络安全报告显示，2010年全年共计发现了6253个新的安全漏洞。图 1995-2004安全漏洞报告情况统计如此多的漏洞，对IT部门意味着什么？安全小组必须采取行动获得补丁程序、测试、最后将其部署在服务器上，为什么不直接给服务器打补丁呢？因为不能保证补丁对应用系统没有影响，为了以防万一，必须对补丁程序进行测试和

18、验证，然后才允许将其投入生产系统。从补丁程序获得、测试和验证，再到最终的部署，完成这一系列任务需要多长时间？答案是，可能需要几个小时到几天，而在此期间攻击可能已经发生，损失已无法挽回。4.2.2 拒绝服务攻击和分布式拒绝服务攻击除了由于操作系统和网络协议存在漏洞和缺陷，而可能遭受攻击外，现在IT部门还会拒绝服务攻击（DoS）和分布式拒绝服务攻击（DDoS）的挑战。DOS和DDOS攻击可以被分为两类：一种是利用网络协议的固有缺陷或实现上的弱点来进行攻击，与漏洞攻击相似。这类供给典型的例子如Teardrop、Land、KoD和Winnuke；对第一种DOS攻击可以通过打补丁的方法来防御，但对付第二

19、种攻击就没那么简单了，另一类DOS和DDOS利用看似合理的海量服务请求来耗尽网络和系统的资源，从而使合法用户无法得到服务的响应。早期的DOS攻击由单机发起，在攻击目标的CPU速度不高、内存有限、网络带宽窄的情况下效果是明显的。随着网络和系统性能的大幅提高，CPU的主频已达数G，服务器的内存通常在2G以上，此外网络的吞吐能力已达万兆，单机发起的DoS攻击好比孤狼斗猛虎，没有什么威胁。狼的习性是群居，一只固然势单力薄，但如果群起而攻之，恐怕猛虎也难抵挡，这就是分布式拒绝服务攻击的原理。用一台攻击机来攻击不再起作用的话，攻击者使用10台攻击机、100台呢共同发起攻击呢？DDoS就是利用大量的傀儡机来

20、发起攻击，积少成多超过网络和系统的能力的极限，最终击溃高性能的网络和系统。常见的DDOS攻击方法有SYN Flood、Established Connection Flood和Connection Per Second Flood。已发现的DOS攻击程序有ICMP Smurf、UDP 反弹，而典型的DDOS攻击程序有Zombie、TFN2K、Trinoo 和 Stacheldraht。DOS和DDOS攻击会耗尽用户宝贵的网络和系统资源，使依赖计算机网络的正常业务无法进行，严重损害企业的声誉并造成极大的经济损失，使IT部门承受极大的压力。4.2.3 零时差攻击零时差攻击（Zero-day Att

21、ack）是指从系统漏洞、协议弱点被发现到黑客制造出针对该漏洞、弱点的恶意代码并发起攻击之间的时间差几乎为零的攻击。显而易见，零时差攻击对应用系统和网络的威胁和损害令人恐怖，这相当于在用户没有任何防备的情况下，黑客发起了闪电战，可能在极短的时间内摧毁关键的应用系统及令网络瘫痪。回顾历史，可以发现从系统漏洞、协议弱点被发现到用户遭受攻击的时间正快速缩短，即零时差攻击的可能性越来越大。2010年1月中旬，针对微软的“Aurora”（极光）的零日漏洞开始大规模被利用。“极光”IE漏洞挂马攻击在国内最早出现在1月17日晚间，初期规模并不大，18日全天也仅有220家网站，但随着部分黑客论坛公开提供“极光木

22、马生成器”下载，针对该漏洞的挂马网站数量在20日全天就超过了1万家，挂马网页更是超过14万个。而微软在一个星期后，1月22日才发布了针对极光的安全公告，提供了解决办法，但为时已晚。4.2.4 间谍软件间谍软件（英文名称为“spyware”）是一种来自互联网的，能够在用户不知情的情况下偷偷进行非法安装（安装后很难找到其踪影），并悄悄把截获的一些机密信息发送给第三者的软件。间谍软件在安装时什么都不显示，运行时用户也不知晓，删除起来非常困难。由于间谍软件隐藏在用户计算机中、秘密监视用户活动，并已经建立了一个进入个人电脑的通道，很容易对用户电脑做后续的攻击。间谍软件能够消耗计算能力，使计算机崩溃，并使

23、用户被淹没在网络广告的汪洋大海中。它还能够窃取密码、信用卡号和其它机密数据。作为互联网用户，应该对此保持警惕了。最新统计显示，在过去的12个月中，全球感染间谍软件的企业数量增长了近50%。在100人以上的企业中，有17%的企业网络中藏有间谍软件，如键盘跟踪程序等。间谍软件可分为两类，一类是“广告型间谍软件”。与其他软件一同安装，或通过ActiveX控件安装，用户并不知道它的存在。记录用户的姓名、性别、年龄、密码、域、电话号码、邮件地址、VPN、Web浏览记录、网上购物活动、硬件或软件设置等信息。 这类间谍软件还会改变目标系统的行为，诸如霸占IE首页与改变搜寻网页的设定，让系统联机到用户根本不会

24、去的广告网站，以致计算机屏幕不停弹跳出各式广告。而且软件设置简单，只要填写自己的邮件地址和设置一下运行即可。另一类被称为“监视型间谍软件”，它具有记录键盘操作的键盘记录器功能和屏幕捕获功能，可以用来在后台记录下所有用户的系统活动，比如网站访问、程序运行、网络聊天记录、键盘输入包括用户名和密码、桌面截屏快照等。主要被企业、私人侦探、司法机构、间谍机构等使用。间谍软件的恶行不仅让机密信息曝光，对产能亦造成负面冲击，同时也拖累系统资源，诸如瓜分其它应用软件的频宽与内存，导致系统没来由减速。 间谍软件在未来将会变得更具威胁性，不仅可以窃取口令、信用卡号，而且还可以偷走各种类型的身份信息，用于一些更加险

25、恶的目的，如捕捉和传送Word和Excel文档，窃取企业秘密等。如果间谍软件打开通向用户桌面系统的通道，那么用户面临的危险将是不可想象的。4.2.5 协议异常和违规检测在一切正常的情况下，两个系统间该如何进行某种数据交换，协议都对其进行了定义。由于某些服务器不能有效处理异常流量，许多攻击会通过违反应用层协议，使黑客得以进行拒绝服务（DoS）攻击，或者获得对服务器的根本访问权限。通过执行协议RFC或标准，我们可以阻止这种攻击。除处理违反协议的情况外，这种机制还可截获命令中的非法参数，阻止许多缓冲溢出攻击的发生。比如根据RFC 2821，在一个正常的SMTP连接过程中，只有在客户端至少发送过一个“

26、RCPT TO”请求命令之后，客户端发送“DATA”请求命令才是合法的。4.2.6 侦测和扫描刺探是利用各种手段尝式取得目标系统的敏感信息的行为，这些敏感信息包括系统安全状况、系统状态、服务信息、数据资料等；采用工具对系统进行规模化、自动化的刺探工作称为扫描。其工具称为扫描器。 扫描器最初是提供给管理员的一些极具威力的网络工具，利用它，网管员可以获得当前系统信息和安全状况。正是因为扫描器能有效的获取系统信息，因此也成为黑客最喜欢的工具。黑客利用扫描器的自动化和规模化的特性，只要简单的几步操作，即可搜集到目标信息。4.2.7 Web入侵随着互联网技术的迅猛发展，许多政府和企业的关键业务活动越来越

27、多地依赖于WEB应用，在向客户提供通过浏览器访问企业信息功能的同时，企业所面临的风险在不断增加。主要表现在两个层面：一是随着Web应用程序的增多，这些Web应用程序所带来的安全漏洞越来越多；二是随着互联网技术的发展，被用来进行攻击的黑客工具越来越多、黑客活动越来越猖獗，组织性和经济利益驱动非常明显。根据 Gartner 的调查，信息安全攻击有75%都是发生在Web应用层而非网络层面上。同时，数据也显示，2/3的Web站点都相当脆弱，易受攻击。可以说，绝大多数企业将大量的投资花费在网络和服务器的安全上，没有从真正意义上保证Web业务本身的安全，才给了黑客可乘之机。根据的监测，年中国大陆有万个网站

28、被黑客篡改，其中被篡改的政府网站高达个，比上年上升。政府网站安全性如果不能进一步提高，将不仅影响政府形象和电子政务的开展，也会给不法分子发布虚假信息造成可乘之机。Web攻击可导致的后果极为严重，完全可以使用多种攻击手段将一个合法正常网站攻陷，利用获取到的相应权限在网页中嵌入恶意代码，将恶意程序下载到存在客户端漏洞的主机上，从而实现攻击目的。由此可见，Web安全已经成为信息时代最大的“杀手”！但是要想做好Web服务器的安全防护困难有两点：1.企业业务迅速更新，需要大量的Web应用快速上线。而由于资金、进度、意识等方面的影响，这些应用没有进行充分安全评估。2. 针对Web的攻击会隐藏在大量正常的业

29、务行为中，而且使用各种变形伪装手段，会导致传统的防火墙和基于特征的入侵防御系统无法发现和阻止这种攻击。4.2.8 病毒木马病毒是附着于程序或文件中的一段计算机代码，它可在计算机之间传播。它一边传播一边感染计算机。病毒可损坏软件、硬件和文件。病毒附着于宿主程序，然后试图在计算机之间传播。它可能损坏硬件、软件和信息。与人体病毒按严重性分类（从 Ebola 病毒到普通的流感病毒）一样，计算机病毒也有轻重之分，轻者仅产生一些干扰，重者彻底摧毁设备。令人欣慰的是，在没有人员操作的情况下，真正的病毒不会传播。必须通过某个人共享文件和发送电子邮件来将它一起移动。与病毒相似，蠕虫也是设计用来将自己从一台计算机复制到另一台计算机，但是它自动进行。首先，它控制计算机上可以传输文件或信息的功能。一旦您的系统感染蠕虫，蠕虫即可独自传播。最危险的是，蠕虫可大量复制。例如，蠕虫可向电子邮件地址簿中的所有联系人发送自己的副本，那些联系人的计算机也将执行同样的操作，结果造成多米诺效应（网络通信负担沉重），使商业网络和整个 Internet 的速度减慢。当新的蠕虫爆发时，它们传播的速度非常快。它们堵塞网络并可能导致您（以及其他每个人）等很长的时间才能查看 Internet 上的网页。通常，蠕虫传播无