深信服下一代防火墙解决方案

广州汇泽信息科技有限公司

第1章 需求概述

1.1网络安全现状
近几年来，计算机和网络攻击的复杂性不断上升，使用传统的防火墙和入侵检测系统（IDS）越来越难以检测和阻挡。随着每一次成功的攻击，黑客会很快的学会哪种攻击方向是最成功的。漏洞的发现和黑客利用漏洞之间的时间差也变得越来越短，使得IT和安全人员得不到充分的时间去测试漏洞和更新系统。随着病毒、蠕虫、木马、后门和混合威胁的泛滥，内容层和网络层的安全威胁正变得司空见惯。复杂的蠕虫和邮件病毒诸如Slammer、Blaster、Sasser、Sober、MyDoom等在过去几年经常成为头条新闻，它们也向我们展示了这类攻击会如何快速的传播——通常在几个小时之内就能席卷全世界。
许多黑客正监视着软件提供商的补丁公告，并对补丁进行简单的逆向工程，由此来发现漏洞。下图举例说明了一个已知漏洞及相应补丁的公布到该漏洞被利用之间的天数。需要注意的是，对于最近的一些攻击，这一时间已经大大缩短了。
IT和安全人员不仅需要担心已知安全威胁，他们还不得不集中精力来防止各种被称之为“零小时”（zero-hour）或“零日”（zero-day）的新的未知的威胁。为了对抗这种新的威胁，安全技术也在不断进化，包括深度包检测防火墙、应用网关防火墙、内容过滤、反垃圾邮件、SSL VPN、基于网络的防病毒和入侵防御系统（IPS）等新技术不断被应用。但是黑客的动机正在从引起他人注意向着获取经济利益转移，我们可以看到一些更加狡猾的攻击方式正被不断开发出来，以绕过传统的安全设备，而社会工程（social engineering）陷阱也成为新型攻击的一大重点。

图：系统漏洞被黑客利用的速度越来越快
带有社会工程陷阱元素的攻击包括间谍软件、网络欺诈、基于邮件的攻击和恶意Web站点等。这些攻击设计为欺骗用户暴露敏感信息，下载和安装恶意程序、跟踪软件或运行恶意代码。很多这类攻击设计为使用传统的浏览器或Email技术（如ActiveX、XML、SMTP等），并伪装为合法应用，因此传统的安全设备很难加以阻挡。现在比以往任何时候都更需要先进的检测和安全技术。
传统的防火墙系统
状态检测防火墙原本是设计成一个可信任企业网络和不可信任的公共网络之间的安全隔离设备，用以保证企业的互联网安全。状态检测防火墙是通过跟踪会话的发起和状态来工作的。通过检查数据包头，状态检测防火墙分析和监视网络层（L3）和协议层（L4），基于一套用户自定义的防火墙策略来允许、拒绝或转发网络流量。
传统防火墙的问题在于黑客已经研究出大量的方法来绕过防火墙策略。这些方法包括：
l 利用端口扫描器的探测可以发现防火墙开放的端口。
l 攻击和探测程序可以通过防火墙开放的端口穿越防火墙。如MSN、QQ等IM（即时通信）工具均可通过80端口通信，BT、电驴、Skype等P2P软件的通信端口是随机变化的，使得传统防火墙的端口过滤功能对他们无能为力。SoftEther等软件更可以将所有TCP/IP通讯封装成HTTPS数据包发送，使用传统的状态检测防火墙简直防不胜防。

SoftEther可以很轻易的穿越传统防火墙
PC上感染的木马程序可以从防火墙的可信任网络发起攻击。由于会话的发起方来自于内部，所有来自于不可信任网络的相关流量都会被防火墙放过。当前流行的从可信任网络发起攻击应用程序包括后门、木马、键盘记录工具等，它们产生非授权访问或将私密信息发送给攻击者。
较老式的防火墙对每一个数据包进行检查，但不具备检查包负载的能力。病毒、蠕虫、木马和其它恶意应用程序能未经检查而通过。
当攻击者将攻击负载拆分到多个分段的数据包里，并将它们打乱顺序发出时，较新的深度包检测防火墙往往也会被愚弄。
使用笔记本电脑、PDA和便携邮件设备的移动用户会在他们离开办公室的时候被感染，并将威胁带回公司网络。边界防火墙对于从企业信任的内部网络发起的感染和攻击爱莫能助。

图：被通过知名端口（80端口）攻击的网站数
基于主机的防病毒软件
基于主机的防病毒软件是部署得最广泛的安全应用，甚至超过了边界防火墙。基于主机的防病毒软件随着上世纪80年代中期基于文件的病毒开始流行而逐渐普及，如今已成为最受信任的安全措施之一。但是基于主机的防病毒软件也有它的缺点，包括：
需要安装、维护和保持病毒特征库更新，这就导致了大量的维护开销。
很多用户并没有打开防病毒软件的自动更新功能，也没有经常的手动更新他们的病毒库，这就导致防病毒软件对最新的威胁或攻击无用。
用户有时可能会有意或无意的关闭他们的单机安全应用程序。 最新的复杂的木马程序能对流行的基于主机的防病毒软件进行扫描，并在它们加载以前就将它们关闭 – 这就导致即使有了最新的病毒特征码，事实上它们还是不能被检测出来。
企业单纯依靠给予主机的防病毒软件和给操作系统和应用程序打补丁的方法会使它们的内部系统面临很高的安全风险。随着业务中使用了越来越多的面向全球且需要持续运行的关键应用，停机来更新操作系统补丁、病毒特征码和应用升级变得越来越困难。而公司的Web、Email、电子商务、数据库、应用等服务器由于长时间不打补丁会很容易在新的攻击方式下暴露出它们的漏洞。仅仅依靠基于主机的防病毒软件的另一个缺点是，事实上有害代码在被每一个主机的安全软件检测和阻挡之前就已经进入了公司的网络，这就大大威胁了企业关键业务系统和网络应用。
采用功能单一的产品的缺点
要想构建一个立体的安全防护体系，必须要考虑多层次的防护，包括：
1. 防火墙
2. VPN网关
3. 入侵防御系统（IPS）
4. 网关防病毒
5. 网页及URL过滤
6. 应用程序过滤及带宽控制
采用功能单一的产品会带来成本增加，管理难度高的问题。如果想部署一个立体的安全防护体系，必须要将很多设备串接在网络中，这样会造成网络性能下降，故障率高，管理复杂。

1.2 网络拓扑
1.3 需求分析
在外网安全方面：目前XX公司总部没有部署网络安全设备，所有的业务系统基本上都是裸露在互联网上，缺乏合理的保护极易遭受来自互联网的攻击，可能造成核心业务数据的窃取、服务器和网络瘫痪等问题，给企业带来不必要的损失
在内网安全方面：各分公司之间和总部通过VPN互联，与总部处于统一内网环境，而分公司也缺乏安全防护设备对互联网的危险流量进行清洗，所以极易造成下级分公司对总部服务器的攻击；同时上海总部的内网用户，即使客户端部署了杀毒软件，由于客户端环境和个人使用习惯等问题，IT制度无法得到很好地落实，经常会有员工关闭杀毒进程或卸载杀毒软件的情况，而且最新的杀毒软件也存在着面对新病毒的滞后和不完善性。特别是对于网络安全意识薄弱的职员，不装任何的杀毒软件，在互联网上随意打开网页、点击链接，很容易身染中毒，并且导致局域网内的电脑感染病毒，我们将此类用户成为内网安全管理的短板。

第2章 网络规划整体方案
2.1 方案拓扑
2.2 方案描述
经过以上部署之后：
1. 总部以及分公司的NGAF上开启网关防病毒功能后，能够有效的遏制病毒通过网络在集团网络上的传播，同时可以防止因为浏览Internet而造成的病毒感染；
2. 总部对外发布的服务器将受到NGAF的入侵防御IPS功能和服务器防护的保护，免收来自外网以及内网产生的攻击；
2.3 NGAF产品功能概述
作为应用层安全设备的领导厂商，深信服公司的NGAF安全平台通过动态威胁防御技术、风险分析扫描引擎提供了无与伦比的功能和检测能力。NGAF提供以下功能：
集成关键安全组件的状态检测防火墙。
可实时更新病毒和攻击特征的网关防病毒。
IPS（入侵防御系统）预置2200个以上的攻击特征，并提供用户定制特征的机制。
VPN（支持PPTP、L2TP、IPSec）。
Web内容过滤具有用户可定义的URL、关键字过滤器和可自动升级的最全面的URL地址库。
带宽管理功能防止带宽滥用，IM/P2P过滤。
用户认证，防止未授权的非法网络访问。
动态威胁防御提供先进的威胁关联技术。
单次解析引擎加速提供比基于ASIC、NPS的安全方案高出2-4倍的性能。
完整的系列支持服务，包括数据中心、风险报表、客户端安全组件等。
2.3.1 部署方式
NGAF系列防火墙支持路由（NAT）模式、透明模式和混合模式三种工作模式。可以很好的适应各种网络环境。
路由（NAT）模式
如果需要用NGAF连接不同IP地址段，则将NGAF置于路由工作模式。
如内网使用的是192.168.1.0/24网段，而外网使用的是201.1.1.X网段来连接Internet。此时由于内外网络不在同一IP地址段，因此需将NGAF设置为路由模式。此时NGAF工作在第三层，相当于一台路由器，连接不同的IP地址段。使192.168.1.X和201.1.1.X之间可以互访。
在路由（NAT）模式下，NGAF的每一个接口都有一个IP地址，分别对应不同的网段。
每个接口都支持不同的地址模式，既可以是静态IP，也可以通过DHCP服务器获得动态IP，还能通过PPPOE拨号获取IP地址，可以很好的支持LAN、ADSL等多种网络接入方式。 NGAF在路由模式下支持各种路由方法，包括静态路由、动态路由（可以直接参与到RIP、OSPF路由及组播路由运算中，而非仅仅让动态路由协议穿越）、策略路由（根据不同的源地址、目的地址、端口等确定下一条路由网关）
混合模式
NGAF还可以很方便的实现路由/透明的混合模式。内网和DMZ区使用同一网段的IP地址，内网使用192.168.1.1-192.168.1.200，DMZ区使用192.168.1.201-192.168.1.250；外网使用另一网段的IP地址（202.1.1.1）。此时单纯的透明模式或者路由（NAT）模式都无法满足网络的要求。使用NGAF可以实现外网与DMZ/内网之间使用路由（NAT）模式，而内网与DMZ之间使用透明模式。这种路由/透明的混合模式可以很好的满足这种网络环境的需求。
VLAN支持
无论在透明模式还是路由（NAT）模式下，NGAF都支持802.1Q VLAN环境，对于交换机之间的VLAN Trunk或交换机/路由器之间的单臂路由都可以很好的支持；NGAF在路由模式下自身也可以给交换机上的不同VLAN作Trunk和路由。
2.3.2 网关杀毒
计算机病毒一直是信息安全的主要威胁。而随着网络的不断发展，网络速度越来越快，网络应用也越来越丰富多彩，使得病毒传播的风险也越来越大，造成的破坏也越来越强。据ICSA（国际计算机安全协会）的统计，目前已经有超过90%的病毒是通过网络进行传播的。内网用户访问Internet时，无论是浏览WEB页面，还是通过FTP下载文件，或者是收发E-mail，都可能将Internet上的病毒带入网内。而近几年泛滥成灾的网络蠕虫病毒（如红色代码、尼姆达、冲击波、振荡波等）跟传统的通过光盘、软盘等介质进行传播的基于文件的病毒有很大的不同，它们本身是一个病毒与黑客工具的结合体，当网络当中一台计算机感染蠕虫病毒后，它会自动的以极快的速度（每秒几百个线程）扫描网络当中其他计算机的安全漏洞，并主动的将病毒传播到那些存在安全漏洞的计算机上，只要相关的安全漏洞没有通过安装补丁的方式加以弥补，蠕虫病毒就会这样以几何级数的增长速度在网络当中传播，即使计算机上安装了带有实时监控功能的防病毒软件（包括单机版和网络版）对此也无能为力。蠕虫病毒的传播还会大量占用网络带宽，造成网络拥堵，形成拒绝服务式攻击（DoS）。
因此，对于新型的网络蠕虫病毒，必须在网关处进行过滤，防止病毒进入内网。网关防病毒已经成为未来防病毒体系中的重中之重，需要引起特别重视。

ICSA统计数据：90%以上是通过Internet传播的
外部病毒防御
NGAF内置Sophos和F-port杀毒引擎，对病毒的过滤针对标准协议，与应用无关。无论用户使用何种Email服务器和客户端，只要使用的是标准的SMTP、POP3、IMAP协议，NGAF都可以对电子邮件中的病毒进行过滤，防止病毒通过邮件传播。NGAF还支持HTTP协议和FTP协议，对于Web浏览、下载、Web邮件及FTP文件传输过程中携带的病毒均可进行拦截。在支持协议的全面性上走在了业界的前方。对于使用非标准端口的协议应用（如在使用代理服务器的环境中，HTTP协议不使用TCP80端口，却使用了TCP8080端口），NGAF同样可以对其中的病毒进行过滤。
在协议支持的全面性上，NGAF走在了业界的前面。在NGAF上启用防病毒功能，对HTTP、FTP、SMTP、POP3等协议进行过滤，便可将外网病毒传入内网的风险降至最低。
内部病毒防御
虽然目前90%以上的病毒来自于Internet，但仍然有部分病毒通过其它途径进入内网，例如光盘、U盘、文件共享、移动用户等。而病毒进入内网后通常采用网络入侵的方式，利用网络中其它主机的安全漏洞进行传播，并可能导致DoS攻击。因此本方案中的NGAF安全网关不能仅针对HTTP、FTP、SMTP、POP3等协议进行病毒扫描，同时还应能识别各类蠕虫病毒的内网传播特征，对内网中的病毒传播进行定位和阻拦。
2.3.3 IPS入侵防御
传统的状态检测/包过滤防火墙是在网络层/传输层工作，根据IP地址、端口等信息对数据包进行过滤，能够对黑客攻击起到部分防御作用。但是黑客仍然可以从合法的IP地址通过防火墙开放的端口对内网发起攻击，目前很多攻击和应用可以通过任意IP、端口进行，各种高级、复杂的攻击单纯的使用状态检测/包过滤防火墙无法进行阻挡，需要使用IPS（入侵防御系统）来配合防火墙实现对复杂攻击的防御。IPS工作在第二层到第七层，通常使用特征匹配和异常分析的方法来识别网络攻击行为。
NGAF的IPS不仅可以对服务器进行漏洞防护，也可以对客户端漏洞进行防护如下图:

特征匹配方法类似于病毒检测方法，通过攻击数据包中的特征（字符串等）来进行判断。例如前面提过的SoftEther的通信数据中都会包括“SoftEther Protocol”字符串，虽然这种应用使用HTTPS协议通过TCP443端口通信，使用包过滤防火墙无法进行防御。（因为如果将TCP443端口封闭的话，会导致所有HTTPS通信无法进行，这是无法想象的。）而使用IPS的特征匹配方法，通过查找“SoftEther Protocol”字符串便可轻易的将所有SoftEther流量过滤掉，而其他HTTPS应用不会受到影响。
而异常分析通过统计的方法计算网络中各种流量的速率，并与管理员预设的阈值进行对比，超过阈值的通信便是可疑的攻击行为。例如，管理员通过对本网络应用的观察和分析，认为在正常情况下某服务器每秒收到2000个以内SYN包属于正常范围。然而某一时刻NGAF检测到每秒有3000个以上的SYN发往该服务器，此时便有可能是由于有黑客对服务器发起了DoS（拒绝服务）攻击。
NGAF内置的IPS同时使用特征和异常两种检测方法，能够检测2200种以上攻击和入侵行为如下图所示，包括各种DoS（拒绝服务）/DDoS（分布式拒绝服务）攻击。NGAF的IPS是在线式的，直接部署在可信任网络和不可信任网络之间。这种在线式的IPS对各种攻击均可直接阻断并生成日志。而传统的旁路式IDS（入侵检测系统）对绝大多数的攻击行为只能记录日志，而不能进行阻止

NGAF内置的IPS还可以对SYN flood、ICMP flood等DoS/DDoS攻击进行防御，对于每一种DoS/DDoS攻击行为，都可以设置阈值，使策略符合实际网络环境和应用情况，降低误报和漏报率，并可以针对不同的源或目的IP地址的TCP、UDP、ICMP会话数量进行限制。
2.3.4 服务器防护

服务器保护功能主要用于内网的WEB服务器免受各种攻击，web应用防护可以针对内网的web服务器设计防攻击策略，可以防止OS命令注入、SQL注入、XSS跨站攻击等各种针对web应用的攻击行为。如下图：

针对黑客的攻击过程扫描---攻击---破坏，采取服务器应用隐藏的防护策略，如在客户端访问HTTP服务器的时候，服务器会通过HTTP报文头部返回字段信息，例如Server、via等，via可能会泄露代理服务器的版本信息，攻击者可以利用相应的版本漏洞发起攻击，而通过隐藏HTTP服务器的返回信息，可以破坏攻击者的扫描，


2.3.5 流量管理
深信服NGAF设备可以对内外网流量进行精细的流量管理，可基于应用、用户、时间、线路等制定灵活的流控策略。用户可以通过设定保障通道，对关键的业务流量如视频会议、协同办公软件等进行带宽的合理保障，而对于一些非业务流量如P2P下载、视频流媒体等可以通过限制通道进行限速。如下图：

精细的带宽流控源自于对应用协议的精准识别，NGAF内置深信服应用特征识别库和URL分类库，应用特征识别库可以识别700多种应用类型、1200多种应用动作。是用来判断和检测上网数据的应用类型的，根据数据包的特征值或者协议、端口、方向、数据包长度匹配、数据包内容匹配等多个条件来检测应用类型，能够很好的检测通过端口或协议无法区分的应用类型，比如QQ、P2P等。 应用特征识别库分为内置规则和自定义规则，内置规则库可以由设备定时更新，自定义规则可以增加、删除、修改。如下图所示：

URL库主要用于基于用户、时间、网页内容的过滤，通过内置的千万级URL库，可以精确识别网页类型，对不良网页进行封堵，防止终端上网过程中访问挂马网站，造成终端的中毒，避免终端成为内网安全防护的短板。