当前位置: 首页 > 产品中心 > 深信服网络安全系列 > 下一代应用防火墙NGAF

下一代应用防火墙NGAF

  • 解决问题
  • 产品功能
  • 价值优势
  • 应用场景
  • 为什么要选择下一代防火墙?

    A、网络环境的改变,催生应用层安全需求

    1)防火墙需要更新换代,无法透析流量、无法防御应用层攻击

    2)75%的攻击来自应用层

    3)网络安全的多样化,黑客技术平民化,自动化工具泛滥,威胁多种多

    B、现有防护手段问题多

    拼凑的安全体系不能有效兼顾。FW+IPS+AV+WAF“糖葫芦”引发的新问题

    1)效率低:同一数据包经过串联的各类设备,被重复拆包,重复解析,使整个网络的效率变得低下,运行速度变得十分缓慢

    2)维护成本高:众多设备需要提供足够的空间和环境支持,大大提高了维护成本。

    3)管理复杂:独立设备、管理复杂,需要培养熟悉各类设备、各厂商设备的高级管理人员。同时也无法进行统一的安全风险分析

    C、UTM统一威胁管理的不足

    UTM设备仅仅将FW、IPS、AV进行简单的整合,传统防火墙安全与管理上的问题依然存在,比如缺乏对WEB服务器的有效防护等;另外,UTM开启多个模块时是串行处理机制,一个数据包先过一个模块处理一遍,再重新过另一个模块处理一遍,一个数据要经过多次拆包,多次分析,性能和效率使得UTM难以令人信服。Gartner认为“UTM安全设备只适合中小型企业使用,而NGFW才适合员工大于1000的大型企业使用。”

    深信服下一代应用防火墙——更完整的安全防护方案

    NGAF是面向应用层设计,能够精确识别用户、应用和内容,具备完整安全防护能力,能够全面替代传统防火墙,并具有强劲应用层处理能力的全新网络安全设备。NGAF解决了传统安全设备在应用管控、应用可视化、应用内容防护等方面的巨大不足,同时开启所有功能后性能不会大幅下降。

    NGAF 不但可以提供基础网络安全功能,如状态检测、VPN、抗DDoS、NAT等;还实现了统一的应用安全防护,可以针对一个入侵行为中的各种技术手段进行统一的检测和防护,如应用扫描、漏洞利用、Web入侵、非法访问、蠕虫病毒、带宽滥用、恶意代码等。NGAF可以为不同规模的行业用户的数据中心、广域网边界、互联网边界等场景提供更加精细、更加全面、更高性能的应用内容防护方案。

  • A、精细的应用安全访问控制

    1)可视化的应用识别:NGAF 具有卓越的应用可视化功能,通过多种应用识别技术形成国内最大的应用特征识别库,可精确识别内外网的采用端口跳跃、端口逃逸、多端口、随机端口的各类应用,为下一代防火墙实现用户与应用的精细化访问控制提供技术基础。

    2)智能用户身份识别:NGAF 用户识别功能可以与8 种认证系统(AD、LDAP、Radius 等)、应用系统(POP3、SMTP 等)无缝对接,通过单点登录的方式自动识别出网络当中IP 地址对应的用户信息,并建立组织的用户分组结构。

    3)面向用户与应用的控制策略:区别于传统防火墙的五元组访问控制策略,下一代防火墙可通过应用可视化功能与用户识别技术结合制定的L3-L7 一体化应用控制策略, 可以为用户提供更加精细和直观化控制界面,在一个界面下完成多套设备的运维工作,提升工作效率。

    4)基于应用的流量控制:区别于传统防火墙的简单的基于数据包优先级的转发QOS 流量管理策略。深信服NGAF 可提供基于用户和应用的流量管理功能,能够基于应用做流量控制,实现阻断非法流量、限制无关流量保证核心业务的可视化流量管理价值。

    B、全面的应用安全防护能力

    1)强化web攻击防护:深信服下一代防火墙NGAF 有效结合了web 攻击的静态规则及基于黑客攻击过程的动态防御机制,提供OWASP 定义的十大安全威胁的攻击防护能力,有效防止常见的web 攻击。如,SQL 注入、XSS 跨站脚本、CSRF 跨站请求伪造等,保护web 系统免受网站篡改、网页挂马、隐私侵犯、身份窃取、经济损失、名誉损失等问题。

    2)基于应用的深度入侵防御:NGAF 基于应用的深度入侵防御采用六大威胁检测机制:攻击特征检测、特殊攻击检测、威胁关联分析、异常流量检测、协议异常检测、深度内容分析能够有效的防止各类已知未知攻击,实时阻断黑客攻击。如,缓冲区溢出攻击、利用漏洞的攻击、协议异常、蠕虫、木马、后门、DoS/DDoS 攻击探测、扫描、间谍软件、以及各类IPS 逃逸攻击等。

    3)高效精确的病毒检测能力:NGAF 提供先进的病毒防护功能,可从源头对HTTP、FTP、SMTP、POP3 等协议流量中进行病毒查杀,也可查杀压缩包(zip,rar,gzip 等)中的病毒。同时采用高效的流式扫描技术,可大幅提升病毒检测效率避免防病毒成为网络安全的瓶颈。

    4)智能DOS/DDOS 攻击防护:NGAF 采用自主研发的DOS 攻击算法,可防护基于数据包的DOS 攻击、IP 协议报文的DOS 攻击、TCP 协议报文的DOS 攻击、基于HTTP 协议的DOS 攻击等,实现对网络层、应用层的各类资源耗尽的拒绝服务攻击的防护,实现L2-L7 层的异常流量清洗。

    5)专业攻防研究团队确保持续更新:NGAF 的统一威胁识别具备2500+ 条漏洞特征库、数十万条病毒、木马等恶意内容特征库、1000+Web 应用威胁特征库,可以全面识别各种应用层和内容级别的各种安全威胁。

    C、独特的双向内容检测技术

    1)网关型网页防篡改:NGAF 通过网关型的网页防,第一时间拦截网页篡改的信息并通知管理员确认。同时对外提供篡改重 定向功能,提供正常界面、友好界面、web 备份服务器的重定向,保证用户仍可正常访问网站。

    2)可定义的敏感信息防泄漏:NGAF 提供可定义的敏感信息防泄漏功能,根据储存的数据内容可根据其特征清晰定义,通过短信、邮件报警及连接请求阻断的方式防止大量的敏感信息被窃取。深信服敏感信息防泄漏解决方案可以自定义多种敏感信息内容进行有效识别、报警并阻断,防止大量敏感信息被非法泄露。(如:用户信息/ 邮箱账户信息/MD5 加密密码/ 银行卡号/ 身份证号码/ 社保账号/ 信用卡号/ 手机号码……)

    3)应用协议内容隐藏:NGAF 可针对主要的服务器(WEB 服务器、FTP 服务器、邮件服务器等)反馈信息进行了有效的隐藏。防止黑客利用服务器返回信息进行有针对性的攻击。如:HTTP 出错页面隐藏、响应报头隐藏、FTP 信息隐藏等。

    D、智能的网络安全防御体系

    1)完整的防火墙功能:NGAF 涵盖了完整的传统防火墙功能包括访问控制、NAT 支持、路由协议、VLAN 属性等功能,以便于用户替换传统防火墙后,将原有的策略完全迁移至下一代防火墙中,实现简化组网、方便运维的效果。

    2)融合领先的IPSecVPN:NGAF 融合了国内市场占有率第一的IPSec VPN 模块,实现分支机构高安全防护、高投资回报的分支机构安全建设目标,体现一体化安全组网与安全防护的效果

    3)统一集中管理平台:NGAF 提供统一集中管理平台实现对分支各设备的集中监管与远程配置,提高管理效率,简化运维成本

    4)安全风险评估与策略联动:GAF 基于时间周期的安全防护设计提供事前风险评估及策略联动的功能。通过端口、服务、应用扫描帮助用户及时发现端口、服务及漏洞风险,并通过模块间的智能策略联动及时更新对应的安全风险的安全防护策略

    5)智能的防护模块联动:智能的主动防御技术可实现NGAF 内部各个模块之间形成智能的策略联动,如一个IP/ 用户持续向内网服务器发起各类攻击则可通过防火墙策略暂时阻断IP/ 用户。智能防护体系的建立可有效的防止工具型、自动化的黑客攻击,提高攻击成本,可抑制APT攻击的发生。同时也使得管理员维护变得更为简单,可实现无网管的自动化安全管理。

    E、更高效的应用层处理能力

    1)多核并行处理技术:为了实现强劲的应用层处理能力,NGAF 抛弃了传统防火墙NP、ASIC 等适合执行网络层重复计算工作的硬件设计,采用了更加适合应用层灵活计算能力的多核并行处理技术,极大的提升应用层数据的分析能力。

    2)单次解析架构:区别于UTM 的构架,NGAF 采用单次解析构架实现报文的一次解析一次匹配,避免了UTM 由于多模块叠加对报文进行多次拆包多次解析的问题,有效的提升了应用层效率。

    3)跳跃式扫描技术:深信服下一代防火墙利用其多年积累的应用识别技术,在内核驱动层面通过私有协议将所有经过NGAF 的数据包都打上应用的标签。在数据包提取到内容检测平面进行检测的时候,会找到对应的应用威胁特征,使用跳跃式扫描技术跳过无关的应用威胁检测特征,从而减少无效扫描,提升扫描效率。

  • A、更精细的应用层安全控制

    1)贴近国内应用、持续更新的应用识别规则库

    2)识别内外网超过724种应用、1253种动作(截止2011年8月10日)

    3)支持包括AD域、Radius等8种用户身份识别方式

    4)面向用户与应用策略配置,减少错误配置的风险

    B、更全面的内容级安全防护

    1)基于攻击过程的服务器保护,防御黑客扫描、入侵、破坏三步曲

    2)强化的WEB应用安全,支持多种注入防范、XSS攻击、权限控制等

    3)完整的终端安全保护,支持插件/脚本过滤、漏洞/病毒防护等

    C、更高性能的应用层处理能力

    1)单次解析架构实现报文一次拆解和匹配

    2)多核并行处理技术提升应用层分析速度

    3)全新技术架构实现应用层万兆处理能力

    D、更完整的安全防护方案

    1)可替代传统防火墙/VPN、IPS所有功能,实现内核级联动

  • 应用场景一——网页篡改防护解决方案

    项目背景

    近年来,网站安全事件数量不断攀升,网站成为了主要目标,国家互联网应急中心(CNCERT/CC)《2011年我国互联网网络安全态势综述》显示,网站安全类事件占到61.7%;境内被篡改网站数量为36612个,较2010年增加5.1%;4月-12月被植入网站后门的境内网站为12513个。CNVD接受的漏洞中,涉及网站相关的漏洞占22.7%,较2010年大幅上升,排名由第三位上升至第二位。

    而网站安全问题进一步引发网站用户信息和数据的安全问题。2011年底,CSDN、天涯等网站发生用户泄露事件引起社会广泛关注,被公开的疑似泄露数据库26个,涉及账号、密码信息2.78亿条,严重威胁互联网用户的合法权益和互联网安全。

    需求分析

    对于网站的安全防护主要需要解决的问题和具备的防篡改措施如下:

    1)具备防护篡改网站各类攻击的完整安全防御体系。包括针对web应用程序的web攻击;针对承载网站应用的发布服务器漏洞攻击、数据库应用的漏洞利用攻击等;针对网站服务器群的系统漏洞利用攻击等攻击手段。

    2)具备事后验证网页内容发布合法性的检查。

    3)具备网站更新人员的强认证通道,也便于网站更新业务的正常运转。

    4)具备篡改后应急处理机制。网页被篡改后,需要有良好的善后保障措施和业务承接能力。以便于网站用户访问网站的连续性。

    解决方案

    深信服网页防篡改解决方案是网站的守护者,针对网站提供双重的防御体系。

    1、细致流量控制,平衡业务带宽运用

    深信服网页防篡改解决方案提供针对L2-L7层网站攻击的完整安全防御能力。其攻击防护部分功能解决方案解决了传统防火墙不能防护应用层安全威胁的问题,弥补了IPS入侵防护系统无法防护web攻击的弱点,弥补了基于web应用的WAF无法防止底层漏洞攻击的缺陷,为用户提供完整的网站应用层安全防护方案;

    此外深信服网页防篡改解决方案提供的一种事后补偿防护手段,即使黑客绕过安全防御体系修改了网站内容,其修改的内容也不会发布到最终用户处,从而避免因网站内容被篡改给组织单位造成的形象破坏、经济损失等问题,保护网站的完整性。

    应用场景二——NGAF广域网安全建设方案

    应用背景

    随着广域网不断扩张和新的各类应用系统的快速上线,广域网运行效率和稳定与企业、政府的业务关联更加紧密,网络安全、数据安全变得尤为重要。同时广域网的运维和管理的要求也在不断的提升,从网络安全、应用安全到业务数据安全的要求都在不断的提高。

    需求分析

    广域网确保了总部和各级分支机构之间的互联互通,但是,随着广域网上各种应用的业务量和复杂度不断提升,其安全及性能问题变得越来越突出,主要问题包括:

    1)安全组网:如何实现安全组网,并在安全组网的基础下减小运维成本?

    2)访问控制:如何实现各分支机构和总部间、各分支机构之间复杂的访问控制?

    3)安全威胁:分支机构的安全级别低、安全管理松散,容易引入蠕虫、木马、病毒、黑客等,如何防范这些安全威胁在广域网上快速扩散?

    4)数据安全:如何防止总部数据中心内存储的敏感数据被非法盗用、非法窃取,如何防止敏感数据泄露?

    5)带宽保障:非关键业务或垃圾流量占用了有限的广域网带宽资源,造成广域网拥塞,如何保证数据流在广域网中按业务的重要程度进行不同优先级的调度?

    6)安全管理:如何实现广域网集中的安全管理,整网部署统一的安全策略,进行统一的安全事件监控?

    解决方案

    深信服广域网安全建设解决方案充分考虑到广域网组网、运行过程中潜在的安全问题及可靠性问题,通过深信服下一代防火墙NGAF不同功能模块的应用,组成L2-L7层立体安全防御体系,实现广域网安全组网、广域网流量清洗的防护效果,确保广域网高安全和高可用。

    总部安全设计

    总部包含外网数据中心、互联网办公区域、安全管理区域,安全等级较高。在总部广域网出口处部署两台双机热备的高端NGAF开启VPN模块且开启安全防护模块进行全面、立体的L2-L7层流量清洗。在核心业务区核心交换机上旁路部署NGAF防泄密功能,对核心业务区敏感数据传输做旁路审计。如下图:

    1)安全组网深信服下一代防火墙NGAF-IPSECVPN模块实现总部与分支机构的安全组网。

    2)安全隔离:深信服下一代防火墙NGAF实现分支机构对总部资源的访问控制与安全隔离。深信服下一代防火墙NGAF访问控制具有用户与应用属性的优势,与AD域、radius等认证系统的结合,基于应用识别的访问控制可实现更精细的用户-应用的访问控制策略。

    3)安全防护:深信服下一代防火墙NGAF-IPS-WAF模块实现分支到总部的L2-L7层安全防护。有效防止漏洞攻击、注入类攻击、恶意插件等攻击的威胁。

    4)流量清洗:深信服下一代防火墙NGAF通过网关处病毒木马在线查杀实现广域网流量清洗。有效防止恶意流量通过互联网快速传播的风险。

    5)带宽保障:为在资源有限的广域网实现核心业务的可用性保障,深信服下一代防火墙NGAF通过基于应用的流量控制实现核心业务,如OA、ERP、视频会议等系统的可靠带宽保障。

    6)集中管理:在总部安全管理网部署APM异常流量分析系统以及深信服NGAF集中管理平台实现对总部-分支各设备的集中监管与远程配置。提高管理效率,简化运维成本。

    分支机构一体化安全组网与安全防护

    安全组网:通过深信服下一代防火墙NGAF实现与总部VPN对接,实现高强度加密的VPN组网。

    安全防护:深信服下一代防火墙NGAF-IPS-WAF模块实现分支到总部的L2-L7层安全防护。有效防止漏洞攻击、注入类攻击、恶意插件等攻击的威胁。

    流量清洗:深信服下一代防火墙NGAF通过网关处病毒木马在线查杀实现广域网流量清洗。有效防止恶意流量通过互联网快速传播的风险。