SANGFOR_AF_安全防护方案建议模板v10
深信服科技有限公司 201X-XX-XX
目 录
1 网络与应用环境面临的安全挑战 4
1.1 应用多样化,端口的单一化 4 1.2 黑客攻击方式和目的的变化 4 1.3 端到端的万兆处理能力 5 2 传统安全设备日趋“无力” 6
2.1 防火墙成为了“摆设” 6 2.2 IPS+AV+WAF补丁式的方案 7 2.3 简单堆砌的UTM 7
3 下一代防火墙的产生与价值 8
3.1 Gantner定义下一代防火墙
8
3.2 深信服NGAF的特点与用户价值 9 4 XXX网络安全现状
10
4.1 网络与应用系统现状 11 4.2 面临的内容安全威逼 11
4.2.1 漏洞利用 11
4.2.2 拒绝服务攻击和分布式拒绝服务攻击4.2.3 零时差攻击 13 4.2.4 间谍软件 14 4.2.5 协议专门和违规检测 14
4.2.6 侦测和扫描 15 4.2.7 Web入侵 15 4.2.8 病毒木马 16
5 NGAF安全加固解决方案
16 5.1 总体方案 16 5.2 数据中心服务器爱护
17
5.3
广域网边界安全隔离与防护 18
12
5.4 6.1 6.2 6.3 6.4
互联网出口边界防护 19
20 21
6 深信服NGAF产品介绍 20
更精细的应用层安全操纵 更全面的内容级安全防护 更完整的安全防护方案 23
更高性能的应用层处理能力 22
网络与应用环境面临的安全挑战 应用多样化,端口的单一化 在传统的网络安全建设中,为网络设置一个“尽职尽责”的门卫操纵应用访咨询的合法性依旧能够做到的。因为,那时端口=应用、IP=用户,只要在交换机、路由器、防火墙做些基于“端口+IP”的访咨询操纵策略,就能够轻松实现用户的访咨询权限。
然而随着网络、应用的持续的进展,为了便于应用的跨平台、灵活部署,现在有成千上万种应用趋向于更少数的端口运行,差不多上基于HTTP或者HTTPS协议(80、443端口)。例如“快乐网”网站上能够运行159种应用程序(还在持续丰富)——谈天、游戏、图片分享等;“谷歌”的企业级应用套件甚至能够提供类似于Office、协作办公、视频分享如此的企业应用程序。
因此,应用多样化、端口单一化,给我们的网络安全提出了2个新的咨询题:
Web成为威逼传播的重点对象:需要针对看似合法的Web层内容中,检测和过滤各种威逼。因为,黑客差不多把这些端口当做攻击和威逼传播的目标。
黑客攻击方式和目的的变化 而当前的黑客攻击目的完全以利益为驱动,技术手段更加倾向于应用化、内容化、混合化。
所谓应用化,面对堡垒森严的网络层防护手段,黑客要想悄无声息的入侵IT系统,必须采纳更高层次的方式绕过这些防护手段。因此,基于应用的漏洞利用、命令注入、恶意脚本/插件等威逼就成为了黑客争相研究的方向。而漏洞利用也从原先侧重OS底层漏洞转变为基于应用程序的漏洞,例如按
照卡巴斯基2011年Q1漏洞排行榜,Adobe Reader、Flash Player的包揽前三甲。
所谓混合化,在黑客一次攻击行为中使用了多种技术手段,而非原先单一的病毒蠕虫或者漏洞利用。例如,黑客要想入侵一台Web服务器上传木马的过程:端口/应用扫描、口令爆破、漏洞利用、OS命令注入、SQL注入、跨站脚本、木赶忙传等。
因此,面对上述安全风险的变化,给我们的网络安全提出了新的咨询题:
能够防护混合型攻击威逼的防护:传统防火墙无法提供DPI深度检测,而IPS、WAF、AV等设备防护功能单一,需要相互搭配使用。因此,面对多种安全威逼的混合型攻击,我们需要一个完整的应用层安全防护方案。
能够爱护应用内容:针对黑客对内容的关注,需要基于应用的内容做安全检查,包括扫描所有应用内容,过滤有风险的内容,甚至让用户自定义哪些内容能够进出,哪些内容不能进出。
端到端的万兆处理能力 当前的IT系统差不多全面具备了万兆处理能力,万兆网络、万兆储备、万兆运算,甚至100G/40G的网络标准差不多产生。然而只要在IT系统中显现一个性能瓶颈,就会制约整个IT系统的性能发挥。而当前应用层安全处理能力仅仅停留在准千兆级不,往往只有600-800兆左右的线速能力,成为了严峻的网络性能瓶颈。
因此,面对上述网络性能的持续提升,给我们的安全防护提出了新的咨询题:
实现万兆级应用层安全处理能力:应用层安全防护强调的是运算的灵活性,传统网络安全设备的强调的是重复运算的高性能。因此,基于传统网络
SANGFOR - AF - 安全防护方案建议模板v10
