SANGFORAF安全防护方案建议模板v10.docx

《SANGFORAF安全防护方案建议模板v10.docx》由会员分享，可在线阅读，更多相关《SANGFORAF安全防护方案建议模板v10.docx（30页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、SANGFORAF安全防护方案建议模板vlO深信服科技有限公司201X-XX-XX防火墙策略基于端口 /协议URL过滤策略HTTP解码器基于端口/协议防病毒策略畲IPS签名1 4防病毒签名IPS解码器基于端口 /协议L2/L3网络、高可用性(HA)、配置管理、报告UTM基于端口 /协议防病毒解码器& 代理 T因此，UTM的方案只能满足部分规模较小、应用简单网络环境的安全防护要 求，但是面对应用复杂、网络性能较高的高端部署场景来说(数据中心、广域骨 干网、大型互联网出口等)，UTM依然无力。3下一代防火墙的诞生与价值1 Gantner定义下一代防火墙针对上述安全风险、网络环境、应用系统的变化，传

2、统网络安全设备的无能为 力，市场咨询分析机构Gartner在2009年公布了一份名为Defining the Next-Generat ionFirewal 1 )的文章，给出了真正能够满足用户当前安全需求的下一代防火墙(NGFW)定义。在Gartner看来，NGFW应该是一个线速(wire-speed)网络安全处理平台, 在功能上至少应当具备下列儿个属性:1 .支持联机“bump-in-the-wire”配置，不中断网络运行。2 .发挥网络传输流检查与网络安全政策执行平台的作用，至少具有下列特性:(1)标准的第一代防火墙能力：包过滤、网络地址转换(NAT)、状态性协议检测、VPN等等。(2)

3、集成的而非仅仅共处一个位置的网络入侵检测：支持面向安全漏洞的特征码与面向威胁的特征码。IPS与防火墙的互动效果应当大于这两部分效果的总 与。比如提供防火墙规则来阻止某个地址不断向IPS加载恶意传输流。这个例子说 明，在NGFW中，应该由防火墙建立关联，而不是操作人员去跨操纵台部署解决方 案。集成具有高质量的IPS引擎与特征码，是NGFW的一个要紧特征。(3)应用意识与全栈可见性：识别应用与在应用层上执行独立于端口与协 议，而不是根据纯端口、纯协议与纯服务的网络安全政策。例子包含同意使用 Skype,但关闭Skype中的文件共享或者始终阻止GoToMyPC。(4)额外的防火墙智能：防火墙收集外来

4、信息来做出更好的阻止决定或者建 立优化的阻止规则库。例子包含利用目录集成将阻止行为与用户身份绑在一起，或 者建立地址的黑白名单。Gartner认为，随着防火墙与IPS更新周期的自然到来，或者者随着带宽需求 的增加与随着成功的攻击，促使更新防火墙，大企业将用NGFW替换已有的防火 墙。不断变化的威胁环境，与不断变化的业务与IT流程将促使网络安全经理在他 们的下一个防火墙/IPS更新周期时寻找NGFWoGartner估计到2014年底，用户采购防火墙的比例将增加到占安装量的35%, 60%新购买的防火墙将是NGFWo 3.2深信服NGAF的特点与用户价值通过将中国用户的安全需求与Garnter定义

5、的“NGFW”功能特性相结合，深 信服推出了下一代应用防火墙NGAF产品。NGAF是面向应用层设计，能够精确识别用户、应用与内容，具备完整安全防 护能力，能够全面替代传统防火墙，并具有强劲应用层处理能力的全新网络安全设 备。NGAF解决了传统安全设备在应用管控、应用可视化、应用内容防护等方面的 巨大不足，同时开启所有功能后性能不可能大幅下降。NGAF不但能够提供基础网络安全功能，如状态检测、VPN、抗DDoS、NAT 等；还实现了统一的应用安全防护，能够针对一个入侵行为中的各类技术手段进行 统一的检测与防护，如应用扫描、漏洞利用、Web入侵、非法访问、蠕虫病毒、带 宽滥用、恶意代码等。NGAF

6、能够为不一致规模的行业用户的数据中心、广域网边 界、互联网边界等场景提供更加精细、更加全面、更高性能的应用内容防护方案。 其具体特点如下：更精细的应用层安全操纵： 贴近国内应用、持续更新的应用识别规则库识别内外网超过724种应用、1253种动作（截止2011年8月10日） 支持包含AD域、Radius等8种用户身份识别方式面向用户与应用策略配置，减少错误配置的风险更全面的内容级安全防护： 基于攻击过程的服务器保护，防御黑客扫描、入侵、破坏三步曲强化的WEB应用安全，支持多种注入防范、XSS攻击、权限操纵等 完整的终端安全保护，支持插件/脚本过滤、漏洞/病毒防护等更高性能的应用层处理能力： 单次

7、解析架构实现报文一次拆解与匹配多核并行处理技术提升应用层分析速度 全新技术架构实现应用层万兆处理能力更完整的安全防护方案 可替代传统防火墙/VPN、IPS所有功能，实现内核级联动4 XXX网络安全现状网络与应用系统现状请具体描述用户当期的网络、安全、应用系统的建设现状(设备类型、性能、使用 的软件架构、网络安全域是如何划分的等等)，分析当前的要紧安全风险，同时提 出改进方向。4.1 面临的内容安全威胁当前业务系统“曾经出现过”与“潜在出现”的各类内容安全威胁要紧包含如 下：4. 2.1漏洞利用无可厚非，软件开发人员在开发一个系统的时候，将实现相应的功能作为首要 的任务，而且他们在编写与调试程序

8、时通常仅考虑用户正常使用的情况，而对误用 与恶意使用这些例外与特殊情况处理考虑不周之处，也就形成了系统漏洞，或者称 系统的弱点。系统已不再是孤立的系统，而是通过网络互联的系统，即构成了计算 机网络，计算机网络的使用者中有专业水平很高但思想并不纯洁的群体，他们利用 这些漏洞对系统展开入侵与攻击，导致对网络与应用系统极大威胁，使网络与系统 的使用与拥有者遭受严重的缺失。自计算机紧急事件相应组(CERT)与1995年开 始对系统漏洞进行跟踪以来，到2004年已有超过12, 000个漏洞被报告，而且自 1999年以来，每年的数量都翻翻，增长如此迅猛。在2010年，漏洞数量又创出了 新的记录，根据赛门铁

9、克公布的2010年度网络安全报告显示，2010年全年共计发 现了 6253个新的安全漏洞。1995-2004年网络安全漏洞发现情况统计（CERT/CC）图1995-2004安全漏洞报告情况统计如此多的漏洞，对IT部门意味着什么？安全小组务必采取行动获得补丁程 序、测试、最后将其部署在服务器上，为什么不直接给服务器打补丁呢？由于不能 保证补丁对应用系统没有影响，为了以防万一，务必对补丁程序进行测试与验证， 然后才同意将其投入生产系统。从补丁程序获得、测试与验证，再到最终的部署， 完成这一系列任务需要多长时间？答案是，可能需要几个小时到几天，而在此期间 攻击可能已经发生，缺失已无法挽回。4. 2.

10、 2拒绝服务攻击与分布式拒绝服务攻击除了由于操作系统与网络协议存在漏洞与缺陷，而可能遭受攻击外，现在IT 部门还会拒绝服务攻击（DoS）与分布式拒绝服务攻击（DDoS）的挑战。DOS与 DD0S攻击能够被分为两类：一种是利用网络协议的固有缺陷或者实现上的弱点来 进行攻击，与漏洞攻击相似。这类供给典型的例子如Teardrop、Land、KoD与 Winnuke；对第一种DOS攻击能够通过打补丁的方法来防御，但应付第二种攻击就 没那么简单了，另一类DOS与DDOS利用看似合理的海量服务请求来耗尽网络与系 统的资源，从而使合法用户无法得到服务的响应。早期的DOS攻击由单机发起，在 攻击目标的CPU速

11、度不高、内存有限、网络带宽窄的情况下效果是明显的。随着网络与系统性能的大幅提高，CPU的主频已达数G,服务器的内存通常在 2G以上，此外网络的吞吐能力已达万兆，单机发起的DoS攻击好比孤狼斗猛虎， 没有什么威胁。狼的习性是群居，一只固然势单力薄，但假如群起而攻之，估计猛 虎也难抵挡，这就是分布式拒绝服务攻击的原理。用一台攻击机来攻击不再起作用 的话，攻击者使用10台攻击机、100台呢共同发起攻击呢？ DDoS就是利用大量的 傀儡机来发起攻击，积少成多超过网络与系统的能力的极限，最终击溃高性能的网 络与系统。常见的 DDOS 攻击方法有 SYN FloodEstablished Connecti

12、on Flood 与 Connection Per Second Floodo 已发现的 DOS 攻击程序有 ICMP Smurf UDP 反 弹，而典型的 DDOS 攻击程序有 Zombie、TFN2K、Trinoo 与 StacheldrahtoDOS与DDOS攻击会耗尽用户宝贵的网络与系统资源，使依靠计算机网络的正 常业务无法进行，严重损害企业的声誉并造成极大的经济缺失，使IT部门承受极 大的压力。4. 2. 3零时差攻击零时差攻击(Zero-day Attack)是指从系统漏洞、协议弱点被发现到黑客制 造出针对该漏洞、弱点的恶意代码并发起攻击之间的时间差几乎为零的攻击。显而 易见，零时

13、差攻击对应用系统与网络的威胁与损害令人恐怖，这相当于在用户没有 任何防备的情况下，黑客发起了闪电战，可能在极短的时间内摧毁关键的应用系统 及令网络瘫痪。回顾历史，能够发现从系统漏洞、协议弱点被发现到用户遭受攻击的时间正快 速缩短，即零时差攻击的可能性越来越大。漏洞公布八将来临.攻击码 出现TY 时间间隙：“安全谢口时间 从以前的几个月 到现在的几天攻击者在当攻击,危险即7 Y一旦精虫出现，有漏洞危险的主机受到保 护所有螭虫有漏洞的主机出现受到威协冲击波逵虫（Blaster）是 在攻击码出现二天后开始的 攻击精虫在几分钟内会全球扩敢 Slomme噬虫在10分钟内攻击了90%有 漏洞的机器2010

14、年1月中旬，针对微软的“Aurora”（极光）的零日漏洞开始大规模被 利用。“极光” IE漏洞挂马攻击在国内最早出现在1月17日晚间，初期规模并不 大，18日全天也仅有220家网站，但随着部分黑客论坛公开提供“极光木马生成 器”下载，针对该漏洞的挂马网站数量在20日全天就超过了 1万家，挂马网页更 是超过14万个。而微软在一个星期后，1月22日才公布了针对极光的安全公告， 提供熟悉决办法，但为时已晚。4. 2. 4间谍软件间谍软件（英文名称之“spyware ）是一种来自互联网的，能够在用户不知 情的情况下偷偷进行非法安装（安装后很难找到其踪影），并悄悄把截获的一些机 密信息发送给第三者的软件

15、。间谍软件在安装时什么都不显示，运行时用户也不知 晓，删除起来非常困难。由于间谍软件隐藏在用户计算机中、秘密监视用户活动， 并已经建立了一个进入个人电脑的通道，很容易对用户电脑做后续的攻击。间谍软 件能够消耗计算能力，使计算机崩溃，并使用户被淹没在网络广告的汪洋大海中。 它还能够窃取密码、信用卡号与其它机密数据。作为互联网用户，应该对此保持警 惕了。最新统计显示，在过去的12个月中，全球感染间谍软件的企业数量增长了 近50%o在100人以上的企业中，有17%的企业网络中藏有间谍软件，如键盘跟踪 程序等。间谍软件可分为两类，一类是“广告型间谍软件”。与其他软件一同安装，或 者通过ActiveX控

16、件安装，用户并不明白它的存在。记录用户的姓名、性别、年 龄、密码、域、电话号码、邮件地址、VPN、Web浏览记录、网上购物活动、硬件 或者软件设置等信息。这类间谍软件还会改变目标系统的行为，诸如霸占IE首页 与改变搜寻网页的设定，让系统联机到用户根本不可能去的广告网站，以致计算机 屏幕不停弹跳出各式广告。而且软件设置简单，只要填写自己的邮件地址与设置一 下运行即可。另一类被称之“监视型间谍软件”，它具有记录键盘操作的键盘记录器功能与 屏幕捕获功能，能够用来在后台记录下所有用户的系统活动，比如网站访问、程序 运行、网络聊天记录、键盘输入包含用户名与密码、桌面截屏快照等。要紧被企 业、私人侦探、司

17、法机构、间谍机构等使用。间谍软件的恶行不仅让机密信息曝 光，对产能亦造成负面冲击，同时也拖累系统资源，诸如瓜分其它应用软件的频宽 与 内 存， 导 致 系 统 没 来 由 减速。间谍软件在未来将会变得更具威胁性，不仅能够窃取口令、信用卡号，而且 还能够偷走各类类型的身份信息，用于一些更加险恶的目的，如捕捉与传送Word 与Excel文档，窃取企业秘密等。假如间谍软件打开通向用户桌面系统的通道，那 么用户面临的危险将是不可想象的。4. 2. 5协议特殊与违规检测在一切正常的情况下，两个系统间该如何进行某种数据交换，协议都对其进行 了定义。由于某些服务器不能有效处理特殊流量，许多攻击会通过违反应用

18、层协 议，使黑客得以进行拒绝服务（DoS）攻击，或者者获得对服务器的根本访问权 限。通过执行协议RFC或者标准，我们能够阻止这种攻击。除处理违反协议的情况 外，这种机制还可截获命令中的非法参数，阻止许多缓冲溢出攻击的发生。比如根据RFC 2821,在一个正常的SMTP连接过程中，只有在客户端至少发送过一个 “RCPT TO”请求命令之后，客户端发送“DATA”请求命令才是合法的。4. 2. 6侦测与扫描刺探是利用各类手段尝式取得目标系统的敏感信息的行为，这些敏感信息包含 系统安全状况、系统状态、服务信息、数据资料等；使用工具对系统进行规模化、 自动化的刺探工作称之扫描。其工具称之扫描器。扫描器

19、最初是提供给管理员的一些极具威力的网络工具，利用它，网管员能够 获得当前系统信息与安全状况。正是由于扫描器能有效的获取系统信息，因此也成 为黑客最喜欢的工具。黑客利用扫描器的自动化与规模化的特性，只要简单的几步 操作，即可搜集到目标信息。4. 2. 7 Web 入侵随着互联网技术的迅猛进展，许多政府与企业的关键业务活动越来越多地依靠 于WEB应用，在向客户提供通过浏览器访问企业信息功能的同时，企业所面临的风 险在不断增加。要紧表现在两个层面：一是随着Web应用程序的增多，这些Web应 用程序所带来的安全漏洞越来越多；二是随着互联网技术的进展，被用来进行攻击 的黑客工具越来越多、黑客活动越来越猖

20、獗，组织性与经济利益驱动非常明显。根据Gartner的调查，信息安全攻击有75%都是发生在Web应用层而非网络 层面上。同时，数据也显示，2/3的Web站点都相当脆弱，易受攻击。能够说，绝 大多数企业将大量的投资花费在网络与服务器的安全上，没有从真正意义上保证 Web业务本身的安全，才给了黑客可乘之机。根据CNCERT的监测，2 0 1 0年中国大陆有3 . 5万个网站被黑客篡 改，其中被篡改的政府网站高达4 6 3 5个，比上年上升6 7.6%。政府网站安 全性假如不能进一步提高，将不仅影响政府形象与电子政务的开展，也会给不法分 了公布虚假信息造成可乘之机。Web攻击可导致的后果极为严重，完

21、全能够使用多种攻击手段将一个合法正常 网站攻陷，利用获取到的相应权限在网页中嵌入恶意代码，将恶意程序下载到存在 客户端漏洞的主机上，从而实现攻击目的。由此可见，Web安全已经成为信息时代 最大的“杀手”！但是要想做好Web服务器的安全防护困难有两点：4. 2. 8病毒木马病毒是附着于程序或者文件中的一段计算机代码，它可在计算机之间传播。它 一边传播一边感染计算机。病毒可损坏软件、硬件与文件。病毒附着于宿主程序， 然后试图在计算机之间传播。它可能损坏硬件、软件与信息。与人体病毒按严重性分类（从Ebola病毒到普通的流感病毒）一样，计算机 病毒也有轻重之分，轻者仅产生一些干扰，重者完全摧毁设备。令

22、人欣慰的是，在 没有人员操作的情况下，真正的病毒不可能传播。务必通过某个人共享文件与发送 电子邮件来将它一起移动。与病毒相似，蠕虫也是设计用来将自己从一台计算机复制到另一台计算机，但 是它自动进行。首先，它操纵计算机上能够传输文件或者信息的功能。一旦您的系 统感染蠕虫，蠕虫即可独自传播。最危险的是，蠕虫可大量复制。比如，蠕虫可向 电子邮件地址簿中的所有联系人发送自己的副本，那些联系人的计算机也将执行同 样的操作，结果造成多米诺效应（网络通信负担繁重），使商业网络与整个 Internet的速度减慢。当新的蠕虫爆发时，它们传播的速度非常快。它们堵塞网 络并可能导致您（与其他每个人）等很长的时间才能

23、查看Internet上的网页。通常，蠕虫传播无需用户操作，并可通过网络分发它自己的完整副本（可能有 改动）。蠕虫会消耗内存或者网络带宽，从而可能导致计算机崩溃。1 网络与应用环境面临的安全挑战41.1 应用多样化，端口的单一化41.2 黑客攻击方式与目的的变化51.3 3端到端的万兆处理能力6传统安全设备日趋“无力” 71.4 防火墙成为了 “摆设” 71.5 2IPS+AV+WAF 补丁式的方案 81.6 简单堆砌的UTM 9下一代防火墙的诞生与价值103. 1Gantner 定义下一代防”Q墙 103. 2深信服NGAF的特点与用户价值114XXX网络安全现状134. 1网络与应用系统现状

24、135. 2面临的内容安全威胁 134.2. 1漏洞利用134. 2. 2拒绝服务攻击与分布式拒绝服务攻击14零时差攻击 154. 2.4间谍软件164. 2.5协议特殊与违规检测174. 2. 6侦测与扫描 184. 2. 7 Web 入侵184. 2. 8病毒木马195 NGAF安全加固解决方案205. 1总体方案205.2 数据中心服务器保护215.3 广域网边界安全隔离与防护235.4 互联网出口边界防护245 NGAF安全加固解决方案5.1 总体方案为了能够更好的针对当前网络安全现状，操纵好可能发生的各类安全风险，建 议使用下一代防火墙深信服NGAF针对业务系统进行全面的安全加固。首

25、先，我们建议将整个业务系统划分为如下N个网络安全域： 数据中心安全域：包含各类应用系统与服务器，如0A、视频、ERP、MAIL 等，由因此整个IT系统的核心，安全级别最高；广域网边界安全域：各个分支机构通过专网接入总部局域网，访问各类 业务应用系统，要紧包含构建专网的核心路由器、分支路由器； 互联网接入安全域：由于内部终端、对外公布业务系统（如XXX网上交 易系统）都需要与互联网相连，访问互联网资源或者者对外提供业务。 此区域安全风险最高，需要重点隔离与操纵；内网办公安全域：包含总部内网的办公终端，为不一致的部门提供高 速、稳固的网络接入；其次，根据这些网络安全域之间的访问关系、安全级别，我们

26、建议在如下位置 部署NGAF进行一体化的L2-L7安全防护与操纵，整体方案如下图所示：NGAF广域网边界安全域电信 ）NGAFNTERNETWEB交舄系统WEB门户网站DMZ区互联矍入安全域OA、ERP、酶内部数据中，0数罩心 安全域内网办公安全域图NGAF部署的总体方案数据中心服务器保护内部数据中心的服务器承载的业务尤为重要，是整个I T系统的核心构成部 分，因此需要从如下四个方面着重考虑：1）访问操纵：谁能够访问数据中心？什么应用能够访问数据中心？盗用IP 身份怎么办？如何防止应用的滥用与误用？传统防火墙基于端口/IP能否解决？2）威胁攻击的问题：如何保护数据中心免受病毒、木马攻击；防止数

27、据中心 服务器被攻击3）数据中心可用性：数据中心流量大，需要有效保证核心业务可用性4）安全事件应用响应问题：如何熟悉数据中心安全风险问题？是否能够帮助管理员制定策略?OA、ERP、视频内部数据中心NGAFinternet广域网部门B内网办公安全域数 安全域图数据中心方案拓扑通过在数据中心核心交换机外侧部署XX台深信服NGAF-XXXX,提供XX性 能，开启XX、XX功能授权，能够帮助我们实现如下四个安全目标：1）面向用户、应用的安全访问：将访问操纵权限精确到用户与业务系统，有 效解决了传统防火墙IP/端口的策略无法精确管理的问题。让业务开放对象更为明 了、管理更方便、策略更易懂。2） 7层的内

28、容安全检测：7层一体化安全防护（包含漏洞防护、服务器防 护、病毒防护等）与智能的内容安全过滤功能，防止各类应用威胁干扰服务器的稳 固运行，确保核心业务数据的安全。3）核心业务有保障：基于应用的流量管理，保证核心业务带宽充足。万兆 的应用层性能，有效保障数据中心的可用性。4）可视化安全风险评估：提供服务器风险与终端风险报告与应用流量报表，使全网的安全风险一目了然，帮助管理员分析安全状况管理数据中心。5.3广域网边界安全隔离与防护关于广域网边界安全防护需要从如下几个方面着重考虑：1）人员多，应用杂：如何制定有效的ACL, ACL是基于IP与端口的，这样的 机器语言无法直观、清晰的制定访问操纵策略，

29、容易出现错配、漏配；2）传统FW缺乏应用层威胁防护，病毒木马在分支机构与总部间传播速度快3）病毒木马占用广域网有限带宽，影响关键业务的传输4）分支数量多，IT管理水平层次不齐，设备多，成本高，组网杂，保护难内网办公安全域图广域网边界安全防护方案拓扑通过在核心交换机与核心路由器之间部署XX台深信服NGAF-XXXX,提供XX 性能，开启XX、XX功能授权，能够帮助我们实现如下安全目标：1）面向用户、应用的安全访问：将访问操纵权限精确到用户与业务系统，有效解决了传统防火墙IP/端口的策略无法精确管理的问题。让业务开放对象更为明 了、管理更方便、策略更易懂2）广域网垃圾流量清洗：通过NGAF智能的内

30、容安全过滤功能，将病毒、木 马、蠕虫、DDoS等各类垃圾流量清除，确保带宽纯净，防止病毒扩散3） 一体化部署，简化组网：NGAF具备L2-L7 一体化安全防护功能，能够简 化组网，简便管理，提高性价比；5.4互联网出口边界防护由于互联网边界实现了对外业务公布系统与内网终端的互联网接入，因此需 要从如下几个方面着重考虑：对外业务系统公布：1）网站被挂马、数据遭篡改，企业/单位形象受损，造成经济缺失，带来负 面影响2）合理操纵服务器外联权限，封堵黑客远程操纵，上传病毒、木马；3）响应速度要求快，系统稳固性要求高，需要简化组网，降低延时，减少单 点故障；内网终端互联网接入：1）浏览器、OS、Flas

31、h漏洞多，上网容易感染病毒、木马，窃取隐私2）合理操纵服务器外联权限，封堵黑客远程操纵终端，将内网终端作为跳 板，入侵服务器3）用户权限多样，安全策略配置复杂电信电信INTERNET互联瞿 入安全域内网办公安全域图互联网边界安全方案拓扑通过在互联网接入路由器后面部署XX台深信服NGAF-XXXX, , XX网上交易系 统部署在DMZ区，提供XX性能，开启XX、XX功能授权，能够实现对内网终端与对外业务公布系统的双重防护（能够根据具体情况，分开部署），：对外业务公布系统防护:1）防止黑客入侵，获取权限，窃取数据：通过NGAF的漏洞防护、服务器防护、病毒防护等多种应用内容防护功能，防止黑客入侵，保

32、证服务器稳固运行；2）精确操纵服务器外联权限：通过NGAF精确的应用识别，放行服务器补丁 升级、病毒库升级等必要外联流量，阻断各类无关非法外联流量；3）简化组网、降低延时：NGAF具备L2-L7 一体化安全防护功能，能够简化 组网，减少故障点；通过单次解析引擎减低延时；内部终端安全防护:1）全面防护，标本兼治：通过NGAF的恶意网站过滤功能，防止终端访问威 胁网站与应用；通过漏洞防护、病毒防护、恶意控件/脚本过滤功能，切断威胁感 染终端的各类技术手段；2）精确识别，防止非法外联：通过NGAF精确的应用识别，放行服务器补丁 升级、病毒库升级等必要外联流量，阻断各类无关非法外联流量，防止终端被作为

33、跳板入侵服务器3） 一体化部署，配:If.闫蔺单:NGAF具备L2-L7 一体化安全防护功能，能够简化组网，简便管理，提高性价比;6 深信服NGAF产品介绍更精细的应用层安全操纵NGAF独创的应用可视化引擎，能够根据应用的行为与特征实现对应用的识别 与操纵，而不仅仅依靠于端口或者协议，摆脱了过去只能通过IP地址来操纵的尴 尬，即使加密过的数据流也能应付自如。目前，NGAF的应用可视化引擎不但能够识别724多种的应用及其应用动作， 还能够与多种认证系统（AD、LDAP、Radius等）、应用系统（POP3、SMTP等）无 缝对接，自动识别出网络当中IP地址对应的用户信息，并建立组织的用户分组结

34、构；既满足了普通互联网边界行为管控的要求，同时还满足了在内网数据中心与广 域网边界的部署要求，能够识别与操纵丰富的内网应用，如Lotus Notes、RTX、 Citrix、Oracle EBS、金蝶EAS、SAP、LDAP等，针对用户应用系统更新服务的诉 求，NGAF 还能够精细识别 Microsoft 360 Symantec Sogou Kaspersky McAfee、金山毒霸、江民杀毒等软件更新，保障在安全管控严格的环境下，系统软件 更新服务畅通无阻。应用IAJMK：Wt.，否 0s1用畲上移 下修号修动Q离我想索或睇件：SEMI全部目的区域全部募区域募1用户目的区爆目的I?务/应用

35、生加捐日志动作I防1 户着百办公区L然掘中心Rf树湖随E?/幽东出A 缺是元讦启用3宝就祭与法国隰管畲.酒办公区敖揖中心夷金清”2WULlxi好加金贵济同州B9台办公区/珈北奏员第然掘中心。他片m办少ypA/ttnS_ 2/K/E: n 全天1e+ X较终修/仝部全天JOB序号是兄济臼国3未建3心其宝宜外修国麻的播中心全卸悌军中/基即fP?e HW丰富的应用识软件更籁 lieroioft update y 360 wd.Q- p Sywentec wdQ Adob- 3d ，S”g Bd，QESZT updtte软件更 /Sgtec updX收件更新/Adobe update r-z tikf

36、t W/So9w update-软件更就/Kaspersky uX 收件更新/McAfee update 收件更籁/矍update多种的用户识3E纳织结构HA d示全部口人力南HP ”於播中心蛾 ，帕文号员ft!网山区松口 -S5 口*4巡* 龙同区*因此，通过应用可视化引擎制定的L3-L7 一体化应用操纵策略，能够为用户提供更加精细与直观化操纵界面，在一个界面下完成多套设备的运维工作，提升工作效率。6.1 更全面的内容级安全防护深信服NGAF的灰度威胁识别技术不但能够将数据包还原的内容级别进行全面 的威胁检测，而且还能够针对黑客入侵过程中使用的不一致攻击方法进行关联分 析，从而精确定位出一个

37、黑客的攻击行为，有效阻断威胁风险的发生。灰度威胁识 别技术改变了传统IPS等设备防御威胁种类单一，威胁检测经常出现漏报、误报的 问题，能够帮助用户最大程度减少风险短板的出现，保证业务系统稳固运行。4、禁止上传可执行程序4、禁止访问指定目录3、ips漏洞防御3、sql注入防护、xss跨站脚本防护一灰度威胁 识别技术: 关联分析深信服NGAF能够为业务系统提供端到端的安全防护，防护对象涵盖了终端、服务器、网络设备等，防御的威胁种类包含了:漏洞利用类威胁：各类通过操作系统、应用系统、协议特殊等漏洞，进行传播 的蠕虫、木马、后门、间谍软件，进行攻击与入侵的DoS/DDoS攻击、缓冲区溢出攻击、协议特殊

38、攻击、蓝屏攻击、权限提取等； Web应用类威胁：专门针对Web应用面临的各类最新的威胁提供额外的安全防 护，包含SQL注入、XSS攻击、OS命令注入、CSRF攻击、口令爆破、弱口令探 测、应用信息探测、非法上传威胁文件等，从根源上解决了 Web系统被入侵、 数据被篡改的可能性；终端内容威胁：为了避免终端访问Web应用内容而被窃取隐私等信息或者被用 作肉鸡，需要有效过滤恶意网站、恶意文件、恶意控件、恶意脚本等内容威胁 的访问；NGAF的灰度威胁识别不但具备2000+条漏洞特征库、数十万条病毒、木马等 恶意内容特征库、1000+Web应用威胁特征库，能够全面识别各类应用层与内容级 别的单一安全威胁

39、；而且灰度威胁识别技术还提供了 20+典型的黑客入侵行为的模 板，能够有效关联各类威胁进行分析，最大成的提高了威胁检测精度。另外，深信 服凭借在应用层领域6年以上的技术积存，组建了专业的安全攻防团队，能够为用 户定期提供最新的威胁特征库更新，以确保防御的及时性。6.2 更高性能的应用层处理能力为了实现强劲的应用层处理能力，NGAF抛弃了传统防火墙NP、ASIC等适合 执行网络层重复计算工作的硬件设计，使用了更加适合应用层灵活计算能力的多核 并行处理技术；在系统架构上，NGAF也放弃了 UTM多引擎，多次解析的架构，而 使用了更为先进的一体化单次解析引擎，将漏洞、病毒、Web攻击、恶意代码/脚

40、本、URL库等众多应用层威胁统一进行检测匹配，从而提升了工作效率，实现了万 兆级的应用安全防护能力。多核并行处理架构：现在CPU核越来越多，从双核到4核，再从4核到8核，16 核，现在还有128核的CPU 了。这样来看，假如1个核能够做到1个G,那么16 个核不就能够超过10个G 了吗？但是通常设备性能并不能够根据核的增加而迅速增加。由于尽管各个核物理上是独立的，但是有很多资源是共享的，包含CPU的 Cache,内存，这些核在访问共享资源的时候是要等其他核释放资源的，因此很多 工作只能串行完成。因此，NGAF的多核并行处理技术进行了大量的优化工作一一 减少临界资源的访问，除了在软件处理流程的设

41、计上尽量减少临界资源与临界资源 的访问周期，还需要充分利用读写锁、原子操作、内存镜像等机制来提高临界资源 的访问效率。单次解析引擎：要进行应用层威胁过滤，就务必将数据报文重组才能检测，而报 文重组、特征检测都会极大地消耗内存与CPU,因而UTM的多引擎，多次解析架构 工作效率低下。因此，NGAF所使用的单次解析引擎通过统一威胁特征、统一匹配 引擎，针对每个数据包做到了只有一次报文重组与特征匹配，消除了重复性工作对 内存与资源的占用，从而系统的工作效率提高了 70%-80%o但这种技术的一个关键 要素就是统一特征库，这项技术的难度在于需要找到一种全新的“特征语言”将病 毒、漏洞、Web入侵、恶意

42、代码等威胁进行统一描述，这就好比是八个不一致国家 语言的人要想彼此无障碍交流，最笨的办法是学会7种语言，但明显不可行；因 此，需要一种全新的国际语言来完成，从既提高可行性，有降低了工程的复杂度。单次解析引擎网络层安全网络层安全与优化内容威胁统一签名与统一策略关联分析引擎关联分析引擎网络层/快递路径网络硬件I/O6 深信服NGAF产品介绍 266.1 更精细的应用层安全操纵266.2 更全面的内容级安全防护276. 3更高性能的应用层处理能力286.4更完整的安全防护方案306.4更完整的安全防护方案只提供基于应用层安全防护功能的方案，并不是一个完整的安全方案。关于 用户来说，还需要采购基础网络

43、层的安全设备（FW、VPN）,这既增加了成本，也 增加了组网复杂度、提升了运维难度。从技术角度来说，一个黑客完整的攻击入侵 过程包含了网络层与应用层、内容级别等多个层次方式方法，假如将这些威胁割裂 开处理进行防护，各类防护设备之间缺乏智能的联动，很容易出现“三不管”的灰 色地带，出现防护真空。比如当年盛极一时的蠕虫“SQL Slammer”，在发送应用 层攻击报文之前会发送大量的“正常报文”进行探测，即使IPS有效阻断了攻击报 文，但是这些大量的“正常报文”造成了网络拥塞，反而意外的形成了 DOS攻击， 防火墙无法有效防护。身份认证网络安全智能风险审计单次解析构架统一 签2统一 策略多核并行

44、处理报文一次网络安全日志用户分析报表,就关联分析引挈因此，“具备完整的L2-L7完整的安全防护功能”就是Gartner定义的“额 外的防火墙智能”实现前提，才能做到真正的内核级联动，为用户的业务系统提供 一个真正的“铜墙铁壁”。1网络与应用环境面临的安全挑战IT部门对企业高效运营与快速进展的奉献毋庸置疑，种种益处自不必多言， 但是假如网络崩溃、应用瘫痪、机密被窃，缺失将令人痛心，甚至无法弥补，IT 部门也将承受极大的压力，因此保证网络与应用系统安全、可靠与高效的运行成为 IT部门的关键任务。要实现上述目标，首先，让我们来对网络与系统运行面临的 安全挑战做出全面的分析。1.1 应用多样化，端口的

45、单一化在传统的网络安全建设中，为网络设立一个“尽职尽责”的门卫操纵应用访问 的合法性还是能够做到的。由于，那时端口=应用、IP=用户，只要在交换机、路由 器、防火墙做些基于“端口+IP”的访问操纵策略，就能够轻松实现用户的访问权 限。一个端口二一种应用80端口网页一个应用二多种应用细分企业版GmailGoogle日历Google文档Gooqle网上论坛Google协作平台Google视频因此，应用多样化、端口单一化，给我们的网络安全提出了 2个新的问题:1、 能够针对应用协议与动作进行访问操纵：关于这些应用与应用中丰富的动作，我们需要精细操纵用户的访问权限，比如无法阻断文件传 输，防止泄密。2

46、、 Web成为威胁传播的重点对象：需要针对看似合法的Web层内容中，检测与过滤各类威胁。由于，黑客已经把这些端口当做攻击与威胁传 播的目标。1.2 黑客攻击方式与目的的变化而当前的黑客攻击目的完全以利益为驱动，技术手段更加倾向于应用化、内容 化、混合化。所谓应用化，面对堡垒森严的网络层防护手段，黑客要想悄无声息的入侵IT 系统，务必使用更高层次的方式绕过这些防护手段。因此，基于应用的漏洞利用、 命令注入、恶意脚本/插件等威胁就成为了黑客争相研究的方向。而漏洞利用也从 原先侧重OS底层漏洞转变为基于应用程序的漏洞，比如根据卡巴斯基2011年Q1 漏洞排行榜,Adobe Reader、Flash

47、Player的包揽前三甲。Percentageof users onName ofBenefrts towhosevulnerabilitycybercnmtnalcomputersand link toof exploitingthedesc optionvulnerabdrtyvulnerabilitywasdetectedSecuma ID -Nq vulnerabilitys unique IDpXbed RMgAdobe Reader /_ .08 09Extremely2010CnticalAcrobat SING管1 SA 38805 HunqueNameM Buffer 丝:血340 78%一 二arbi