防火墙技术白皮书.docx
《防火墙技术白皮书.docx》由会员分享,可在线阅读,更多相关《防火墙技术白皮书.docx(30页珍藏版)》请在冰点文库上搜索。
防火墙技术白皮书
深信服下一代防火墙NGAF
技术白皮书
深信服科技有限公司
二零一三年四月
目录
一、概述4
二、为什么需要下一代防火墙4
2.1网络发展的趋势使防火墙以及传统方案失效4
2.2现有方案缺陷分析5
2.2.1单一的应用层设备是否能满足?
5
2.2.2“串糖葫芦式的组合方案”5
2.2.3UTM统一威胁管理5
三、下一代防火墙标准6
3.1Gartner定义下一代防火墙6
3.2适合国内用户的下一代防火墙标准7
四、深信服下一代应用防火墙—NGAF8
4.1产品设计理念8
4.2产品功能特色9
4.2.1更精细的应用层安全控制9
4.2.2全面的应用安全防护能力12
4.2.3独特的双向内容检测技术17
4.2.4涵盖传统安全功能19
4.2.5智能的网络安全防御体系19
4.2.6更高效的应用层处理能力20
4.3产品优势技术【】21
4.3.1深度内容解析21
4.3.2双向内容检测21
4.3.3分离平面设计21
4.3.4单次解析架构22
4.3.5多核并行处理23
4.3.6智能联动技术24
五、解决方案与部属24
5.1基于业务场景的安全建设方案选择24
5.1.1互联网出口-内网终端上网24
5.1.2互联网出口-服务器对外发布25
5.1.3广域网边界安全隔离25
5.1.4数据中心26
5.2部署方式26
5.2.1路由部署26
5.2.2透明部署26
5.2.3虚拟网线部署26
5.2.4旁路部署26
5.2.5混合部署26
5.2.6链路聚合26
六、关于深信服27
一、
概述
防火墙自诞生以来,在网络安全防御系统中就建立了不可替代的地位。
作为边界网络安全的第一道关卡防火墙经历了包过滤技术、代理技术和状态监视技术的技术革命,通过ACL访问控制策略、NAT地址转换策略以及抗网络攻击策略有效的阻断了一切未被明确允许的包通过,保护了网络的安全。
防火墙就像机场的安检部门,对进出机场/防火墙的一切包裹/数据包进行检查,保证合法包裹/数据包能够进入机场/网络访问合法资源同时防止非法人员通过非法手段进入机场/网络或干扰机场/网络的正常运行。
传统的防火墙正如机场安检人员,通过有限的防御方式对风险进行防护,成本高,效率低,安全防范手段有限。
而下一代防火墙则形如机场的整体安检系统,除了包括原有的安检人员/传统防火墙功能外,还引入了先进的探测扫描仪/深度内容安全检测构成一套完整的整体安全防护体系。
自2009年10月Gartner提出“DefiningtheNext-GenerationFirewall”一文,重新定义下一代防火墙,下一代防火墙的概念在业内便得到了普遍的认可。
深信服也在经过10年网络安全技术6年的应用安全技术沉淀之后,于2011年正式发布深信服“下一代应用防火墙”——NGAF。
二、为什么需要下一代防火墙
2.1网络发展的趋势使防火墙以及传统方案失效
防火墙作为一款历史悠久的经典产品,在IP/端口的网络时代,发挥了巨大的作用:
合理的分隔了安全域,有效的阻止了外部的网络攻击。
防火墙在设计时的针对性,在当时显然是网络安全的最佳选择。
但在网络应用高速发展,网络规划复杂化的今天防火墙的不适应性就越发明显,从用户对网络安全建设的需求来看,传统防火墙存在以下问题:
1、应用安全防护的问题:
传统防火墙基于IP/端口,无法对应用层进行识别与控制,无法确定哪些应用经过了防火墙,自然就谈不上对各类威胁进行有效防御了。
面对应用层的攻击,防火墙显得力不从心,无法检测或拦截嵌入到普通流量中的恶意攻击代码,比如病毒、蠕虫、木马等。
2、安全管理的问题:
传统防火墙的访问控制策略对于大型网络来说简直就是噩梦。
严格控制网络需要配置大量的策略,并且这些基于IP/端口策略可读性非常之差,经常会造成错配、漏配的情况,留下的这些隐患,往往给黑客们以可乘之机。
3.缺乏安全可视化的描述
2.2现有方案缺陷分析
2.2.1单一的应用层设备是否能满足?
1、入侵防御设备
应用安全防护体系不完善,只能针对应用系统的底层漏洞进行防护,缺乏针对Web攻击威胁的防御能力,对Web攻击防护效果不佳。
缺乏攻击事后防护机制,不具备数据的双向内容检测能力,对未知攻击产生的后果无能为力【这句话不太好理解,需要重新描述一下,并举一个具体例子】。
2、Web应用防火墙
传统Web防火墙面对当前复杂的业务流量类型处理性能有限,且只针对来自Web的攻击防护,缺乏针对来自应用系统底层漏洞的攻击特征,缺乏基于敏感业务内容的保护机制【在补充一句:
只能提供简单的关键字过滤功能】,无法对Web业务提供L2-L7层的整体安全防护。
2.2.2“串糖葫芦式的组合方案”
由于防火墙功能上的缺失使得企业在网络安全建设的时候针对现有多样化的攻击类型采取了打补丁式的设备叠加方案,形成了“串糖葫芦”式部署。
通常我们看到的网络安全规划方案的时候都会以防火墙+入侵防御系统+网关杀毒+……的形式。
这种方式在一定程度上能弥补防火墙功能单一的缺陷,对网络中存在的各类攻击形成了似乎全面的防护。
但在这种环境中,管理人员通常会遇到如下的困难:
效率低:
同一数据包经过串联的各类设备,被重复拆包,重复解析,使整个网络的效率变得低下,运行速度变得十分缓慢。
维护成本高:
众多设备需要提供足够的空间和环境支持,大大提高了维护成本。
管理复杂:
独立设备、管理复杂,需要培养熟悉各类设备、各厂商设备的高级管理人员。
同时也无法进行统一的安全风险分析
需要增加安全日志统一分析这一块的描述。
2.2.3UTM统一威胁管理
2004年IDC推出统一威胁管理UTM的概念。
这种设备的理念是将多个功能模块集中如:
FW、IPS、AV,联合起来达到统一防护,集中管理的目的。
这无疑给安全建设者们提供了更新的思路。
事实证明国内市场UTM产品确实得到用户认可,据IDC统计数据09年UTM市场增长迅速,但2010年UTM的增长率同比有明显的下降趋势。
这是因为UTM设备仅仅将FW、IPS、AV进行简单的整合,传统防火墙安全与管理上的问题依然存在,比如缺乏对WEB服务器的有效防护等;另外,UTM开启多个模块时是串行处理机制,一个数据包先过一个模块处理一遍,再重新过另一个模块处理一遍,一个数据要经过多次拆包,多次分析,性能和效率使得UTM难以令人信服。
Gartner认为“UTM安全设备只适合中小型企业使用,而NGFW才适合员工大于1000人规模的大型企业使用。
”
三、下一代防火墙标准
3.1Gartner定义下一代防火墙
针对上述安全风险、网络环境、应用系统的变化,传统网络安全设备的无能为力,市场咨询分析机构Gartner在2009年发布了一份名为《DefiningtheNext-GenerationFirewall》的文章,给出了真正能够满足用户当前安全需求的下一代防火墙(NGFW)定义。
在Gartner看来,NGFW应该是一个线速(wire-speed)网络安全处理平台,在功能上至少应当具备以下几个属性:
1、联机“bump-in-the-wire”配置,不中断网络运行。
2、发挥网络传输流检查和网络安全政策执行平台的作用,至少具有以下特性:
(1)标准的第一代防火墙能力:
包过滤、网络地址转换(NAT)、状态性协议检测、VPN等等。
(2)集成的而非仅仅共处一个位置的网络入侵检测:
支持面向安全漏洞的特征码和面向威胁的特征码。
IPS与防火墙的互动效果应当大于这两部分效果的总和。
例如提供防火墙规则来阻止某个地址不断向IPS加载恶意传输流。
这个例子说明,在NGFW中,应该由防火墙建立关联,而不是操作人员去跨控制台部署解决方案。
集成具有高质量的IPS引擎和特征码,是NGFW的一个主要特征。
(3)应用意识和全栈可见性:
识别应用和在应用层上执行独立于端口和协议,而不是根据纯端口、纯协议和纯服务的网络安全政策。
例子包括允许使用Skype,但关闭Skype中的文件共享或始终阻止GoToMyPC。
(4)额外的防火墙智能:
防火墙收集外来信息来做出更好的阻止决定或建立优化的阻止规则库。
例子包括利用目录集成将阻止行为与用户身份绑在一起,或建立地址的黑白名单。
Gartner认为,随着防火墙和IPS更新周期的自然到来,或者随着带宽需求的增加和随着成功的攻击,促使更新防火墙,大企业将用NGFW替换已有的防火墙。
不断变化的威胁环境,以及不断变化的业务和IT流程将促使网络安全经理在他们的下一个防火墙/IPS更新周期时寻找NGFW。
Gartner预计到2014年底,用户采购防火墙的比例将增加到占安装量的35%,60%新购买的防火墙将是NGFW。
3.2适合国内用户的下一代防火墙标准
深信服做为国内安全厂商的领导者,早在2011年就在国内率先提出了下一代应用防火墙的理念,依照国际上定义的下一代防火墙标准,我们认为基于应用层的下一代网络安全产品,除了满足Gartner定义的要求之外,面对国内软件Web应用环境复杂多样,应能够提供从L2-L7层的一体化安全防护方案,不让任何一层协议存在的安全隐患成为整个安全体系的短板,深信服通过多年的安全技术积累以及多行业客户使用情况的调研,认为适合国内用户的下一代防火墙还应该具备如下的安全功能:
Web攻击防护能力
Web2.0时代,终端客户同互联网业务交互越来越紧密,75%的攻击来自于应用层,如何保障网站服务器,互联网增值服务等应用的正常运营是安全建设关注的重点,所以针对Web的攻击防护能力成为关键。
服务器双向内容检测
互联网没有百分之百的安全,假使服务器不幸被攻陷,对于事后的安全补救措施也能把损失控制到最低,双向内容检测技术即是在攻击发起方开始防护,对于服务器对的请求响应内容也同时进行检测,及时阻断黑客的攻击行为。
终端木马恶意流量识别/隔离
客户端安全受关注程度日益提高,很多攻击行为并不是针对服务器进行的,而是通过内网终端用户做为攻击跳板,攻陷了终端用户后再利用终端用户的信任信息对内网服务器发起进攻。
所以对于终端的安全检测以及能够对发现风险后进行隔离都是下一代防火墙应具备的功能。
数据防泄密
近今年,国内互联网安全事件,导致个人账号,信息泄漏的案例层出不穷,数据泄密已经在OWASP2013年最新发布的网络威胁TOP10中版上有名,针对敏感数据内容防泄漏的安全产品需求日益增长。
网页防篡改
黑客出于获取某种利益或者炫耀技能的目的,针对代表客户形象的门户网站进行篡改替换,设置外链,黑链等恶意行为,对客户的对外形象产生极其不良的影响。
对此类型攻击的防护,降低正常网页的误判也是国内客户经常遇到的难题。
四、深信服下一代应用防火墙—NGAF
4.1产品设计理念
通过将中国用户的安全需求与Garnter定义的“NGFW”功能特性相结合,深信服推出了下一代应用防火墙NGAF产品。
NGAF是面向应用层设计,能够精确识别用户、应用和内容,具备完整安全防护能力,能够全面替代传统防火墙,并具有强劲应用层处理能力的全新网络安全设备。
NGAF解决了传统安全设备在应用管控、应用可视化、应用内容防护等方面的巨大不足,同时开启所有功能后性能不会大幅下降。
NGAF不但可以提供基础网络安全功能,如状态检测、VPN、抗DDoS、NAT等;还实现了统一的应用安全防护,可以针对一个入侵行为中的各种技术手段进行统一的检测和防护,如应用扫描、漏洞利用、Web入侵、非法访问、蠕虫病毒、带宽滥用、恶意代码等。
NGAF可以为不同规模的行业用户的数据中心、广域网边界、互联网边界等场景提供更加精细、更加全面、更高性能的应用内容防护方案。
更精细的应用层安全控制:
l贴近国内应用、持续更新的应用识别规则库
l识别内外网超过1200多种应用、2700多种动作(截止2013年4月30日)
l支持包括AD域、Radius等8种用户身份识别方式
l面向用户与应用策略配置,减少错误配置的风险
更全面的内容级安全防护:
l基于攻击过程的服务器保护,防御黑客扫描、入侵、破坏三步曲
l强化的WEB应用安全,支持多种SQL注入防范、XSS攻击、CSRF、权限控制等
l完整的终端安全保护,支持漏洞、病毒防护等
双向内容检测,功能防御策略智能联动
更高性能的应用层处理能力:
l单次解析架构实现报文一次拆解和匹配
l多核并行处理技术提升应用层分析速度
l全新技术架构实现应用层万兆处理能力
更完整的安全防护方案
l可替代传统防火墙/VPN、IPS所有功能,实现内核级联动
4.2产品功能特色
4.2.1更精细的应用层安全控制
NGAF独创的应用可视化技术,可以根据应用的行为和特征实现对应用的识别和控制,而不仅仅依赖于端口或协议,摆脱了过去只能通过IP地址来控制的尴尬,即使加密过的数据流也能应付自如。
目前,NGAF的应用可视化引擎不但可以识别1200多种的内外网应用及其2700多种应用动作,还可以与多种认证系统(AD、LDAP、Radius等)、应用系统(POP3、SMTP等)无缝对接,自动识别出网络当中IP地址对应的用户信息,并建立组织的用户分组结构;既满足了普通互联网边界行为管控的要求,同时还满足了在内网数据中心和广域网边界的部署要求,可以识别和控制丰富的内网应用,如LotusNotes、RTX、Citrix、OracleEBS、金蝶EAS、SAP、LDAP等,针对用户应用系统更新服务的诉求,NGAF还可以精细识别Microsoft、360、Symantec、Sogou、Kaspersky、McAfee、金山毒霸、江民杀毒等软件更新,保障在安全管控严格的环境下,系统软件更新服务畅通无阻。
因此,通过应用可视化引擎制定的L4-L7一体化应用控制策略,可以为用户提供更加精细和直观化控制界面,在一个界面下完成多套设备的运维工作,提升工作效率。
4.2.1.1可视化的应用识别
随着网络攻击不断向应用层转移,传统的网络层防火墙已经不能有效实施防护。
因此,作为企业网络中最重要的屏障,如何帮助用户实现针对所有应用的可视化变得十分重要。
NGAF以精确的应用识别为基础,可以帮助用户恢复对网络中各类流量的掌控,阻断或控制不当操作,根据企业自身状况合理分配带宽资源等。
NGAF的应用识别有以下几种方式:
第一,基于协议和端口的检测仅仅是第一步(传统防火墙做法)。
固定端口小于1024的协议,其端口通常是相对稳定,可以根据端口快速识别应用。
第二,基于应用特征码的识别,深入读取IP包载荷的内容中的OSI七层协议中的应用层信息,将解包后的应用信息与后台特征库进行比较来确定应用类型。
第三,基于流量特征的识别,不同的应用类型体现在会话连接或数据流上的状态各有不同,例如,基于P2P下载应用的流量模型特点为平均包长都在450字节以上、下载时间长、连接速率高、首选传输层协议为TCP等;NGAF基于这一系列流量的行为特征,通过分析会话连接流的包长、连接速率、传输字节量、包与包之间的间隔等信息来鉴别应用类型。
4.2.1.2智能用户身份识别
网络中的用户并不一定需要平等对待,通常,许多企业策略仅仅是允许某些IP段访问网络及网络资源。
NGAF提供基于用户与用户组的访问控制策略,它使管理员能够基于各个用户和用户组(而不是仅仅基于IP地址)来查看和控制应用使用情况。
在所有功能中均可获得用户信息,包括应用访问控制策略的制定和安全防护策略创建、取证调查和报表分析。
1、映射组织架构
NGAF可以按照组织的行政结构建立树形用户分组,将用户分配到指定的用户组中,以实现网络访问权限的授予与继承。
用户创建的过程简单方便,除手工输入帐户方式外,NGAF能够根据OU或Group读取AD域控服务器上用户组织结构,并保持与AD的自动同步,方便管理员管理。
此外,NGAF支持账户自动创建功能,依据管理员分配好的IP段与用户组的对应关系,基于新用户的源IP地址段自动将其添加到指定用户组、同时绑定IP/MAC,并继承管理员指定的网络权限。
管理员亦可将用户信息编辑成Excel、TXT文件,将账户导入,实现快捷的创建用户和分组信息。
2、建立身份认证体系
✓本地认证:
Web认证、用户名/密码认证、IP/MAC/IP-MAC绑定
✓第三方认证:
AD、LDAP、Radius、POP3、PROXY等;
✓单点登录:
AD、POP3、Proxy、HTTPPOST等;
✓强制认证:
强制指定IP段的用户必须使用单点登录(如必须登录AD域等)
丰富的认证方式,帮助组织管理员有效区分用户,建立组织身份认证体系,进而形成树形用户分组,映射组织行政结构,实现用户与资源的一一对应。
NGAF支持为未认证通过的用户分配受限的网络访问权限,将通过Web认证的用户重定向至显示指定网页,方便组织管理员发布通知。
4.2.1.3面向用户与应用的访问控制策略
当前的网络环境,IP不等于用户,端口不等于应用。
而传统防火墙的基于IP/端口的控制策略就会失效,用户可以轻易绕过这些策略,不受控制的访问互联网资源及数据中心内容,带来巨大的安全隐患。
NGAF不仅具备了精确的用户和应用的识别能力,还可以针对每个数据包找出相对应的用户角色和应用的访问权限。
通过将用户信息、应用识别有机结合,提供角色为应用和用户的可视化界面,真正实现了由传统的“以设备为中心”到“以用户为中心”的应用管控模式转变。
帮助管理者实施针对何人、何时、何地、何种应用动作、何种威胁等多维度的控制,制定出L4-L7层一体化基于用户应用的访问控制策略,而不是仅仅看到IP地址和端口信息。
在这样的信息帮助下,管理员可以真正把握安全态势,实现有效防御,恢复了对网络资源的有效管控。
4.2.1.4基于应用的流量管理
传统防火墙的QOS流量管理策略仅仅是简单的基于数据包优先级的转发,当用户带宽流量过大、垃圾流量占据大量带宽,而这些流量来源于同一合法端口的不同非法应用时,传统防火墙的QOS便失去意义。
NGAF提供基于用户和应用的流量管理功能,能够基于应用做流量控制,实现阻断非法流量、限制无关流量保证核心业务的可视化流量管理价值。
NGAF采用了队列流量处理机制:
首先,将数据流根据各种条件进行分类(如IP地址,URL,文件类型,应用类型等分类,像skype、emule属于P2P类)
然后,分类后的数据包被放置于各自的分队列中,每个分类都被分配了一定带宽值,相同的分类共享带宽,当一个分类上的带宽空闲时,可以分配给其他分类,其中带宽限制是通过限制每个分队列上数据包的发送速率来限制每个分类的带宽,提高了带宽限制的精确度。
最后,在数据包的出口处,每个分类具备一个优先级别,优先级高的队列先发送,当优先级高的队列中的数据包全部发送完毕后,再发送优先级低的。
也可以为分队列设置其它排队方法,防止优先级高的队列长期占用网络接口。
✓基于应用/网站/文件类型的智能流量管理
NGAF可以基于不同用户(组)、出口链路、应用类型、网站类型、文件类型、目标地址、时间段进行细致的带宽划分与分配,如保证领导视频会议的带宽而限制员工P2P的带宽、保证市场部访问行业网站的带宽而限制研发部访问新闻类网站的带宽、保证设计部传输CAD文件的带宽而限制营销部传输RM文件的带宽。
精细智能的流量管理既防止带宽滥用,又提升带宽使用效率。
✓P2P的智能识别与灵活控制
封IP、端口等管控“带宽杀手”P2P应用的方式极不彻底。
加密P2P、不常见P2P、新P2P工具等让众多P2P管理手段束手无策。
NGAF不仅识别和管控常用P2P、加密P2P,对不常见和未来将出现的P2P亦能管控。
而完全封堵P2P可能实施困难,NGAF的P2P流控技术能限制指定用户的P2P所占用的带宽,既允许指定用户使用P2P,又不会滥用带宽,充分满足管理的灵活性。
4.2.2全面的应用安全防护能力
只提供基于应用层安全防护功能的方案,并不是一个完整的安全方案,对于服务器的保护传统解决方案通常是通过防火墙、IPS、AV、WAF等设备的叠加来达到多个方面的安全防护效果。
这种方式功能模块的分散,虽然能防护主流的攻击手段,但并不是真正意义上的统一防护。
这既增加了成本,也增加了组网复杂度、提升了运维难度。
从技术角度来说,一个黑客完整的攻击入侵过程包括了网络层和应用层、内容级别等多个层次方式方法,如果将这些威胁割裂开处理进行防护,各种防护设备之间缺乏智能的联动,很容易出现“三不管”的灰色地带,出现防护真空。
比如当年盛极一时的蠕虫“SQLSlammer”,在发送应用层攻击报文之前会发送大量的“正常报文”进行探测,即使IPS有效阻断了攻击报文,但是这些大量的“正常报文”造成了网络拥塞,反而意外的形成了DOS攻击,防火墙无法有效防护。
因此,“具备完整的L2-L7完整的安全防护功能”就是Gartner定义的“额外的防火墙智能”实现前提,才能做到真正的内核级联动,为用户的业务系统提供一个真正的“铜墙铁壁”。
4.2.2.1基于应用的深度入侵防御
NGAF的灰度威胁关联分析引擎具备3000+条漏洞特征库、2500+Web应用威胁特征库,可以全面识别各种应用层和内容级别的单一安全威胁;另外,深信服凭借在应用层领域6年以上的技术积累,组建了专业的安全攻防团队,可以为用户定期提供最新的威胁特征库更新,以确保防御的及时性。
下图为灰度威胁关联分析引擎的工作原理:
第一,威胁行为建模,在灰度威胁样本库中,形成木马行为库、SQL攻击行为库、P2P行为库、病毒蠕虫行为库等数十个大类行为样本,根据他们的风险性我们初始化一个行为权重,如异常流量0.32、病毒蠕虫0.36等等,同时拟定一个威胁阀值,如阀值=1。
第二,用户行为经过单次解析引擎后,发现攻击行为,立即将相关信息,如IP、用户、攻击行为等反馈给灰度威胁样本库。
第三,在灰度威胁样本库中,针对单次解析引擎的反馈结果,如攻击行为、IP、用户等信息,不断归并和整理,形成了基于IP、用户的攻击行为的表单。
第四,基于已有威胁样本库,将特定用户的此次行为及样本库中的行为组合,进行权值计算和阀值比较,例如某用户的行为组权重之和为1.24,超过了预设的阀值1,我们会认定此类事件为威胁事件。
由此可见,威胁关联分析引擎对丰富的灰度威胁样本库和权重的准确性提出了更高的要求,NGAF在两方面得以增强:
第一,通过NGAF抓包,客户可以记录未知流量并提交给深信服的威胁探针云,在云中心,深信服专家会对威胁反复测试,加快灰度威胁的更新速度,不断丰富灰度威胁样本库。
第二,深信服不断的循环验证和权重微调,形成了准确的权重知识库,为检测未知威胁奠定了基础。
4.2.2.2强化的WEB攻击防护
NGAF能够有效防护OWASP组织提出的10大web安全威胁的主要攻击,并于2013年1月获得了OWASP组织颁发的产品安全功能测试4星评级证书(最高评级为5星,深信服NGAF为国内同类产品评分最高)主要功能如:
防SQL注入攻击
SQL注入攻击产生的原因是由于在开发web应用时,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。
用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据,这就是所谓的SQLInjection,即SQL注入。
NGAF可以通过高效的URL过滤技术,过滤SQL注入的关键信息,从而有效的避免网站服务器受
升级会员 