下一代安全网关解决方案.docx
《下一代安全网关解决方案.docx》由会员分享,可在线阅读,更多相关《下一代安全网关解决方案.docx(23页珍藏版)》请在冰豆网上搜索。
下一代安全网关解决方案
XXX下一代安全网关解决方案
文件类型:
解决方案
撰写日期:
撰写部门:
SE
文档信息
文档名称
趋势科技DeepEdge解决方案(V2.5)_20140510
保密级别
公开
文档版本编号
拟定人
拟定日期
复审人
复审日期
批准人
批准日期
更改记录
日期
修改章节
类型*
修改描述
修改人
2014-5-1
C
文档编写
2014-5-10
M
文档编写
*修改类型分为C-CREATEDM-MODIFIEDD-DELETED
目录
1.下一代安全网关概述5
1.1.什么是下一代安全网关5
1.2.和传统UTM类安全设备的区别在哪里5
2.下一代安全网关需求7
2.1.高级内容防护功能8
2.1.1.领导等级的防恶意软件8
2.1.2.虚拟补丁防护8
2.1.3.VPN内容过滤9
2.1.4.邮件病毒过滤9
2.1.5.垃圾邮件SPAM9
2.1.6.间谍软件\灰色软件9
2.1.7.网络钓鱼10
2.2.所有防护功能随时全开的性能11
2.3.中国威胁与应用支持11
2.4.高效率的终端与服务器防护11
2.5.非第三方集成的安全技术11
3.下一代安全网关防护方案12
3.1.下一代应用安全网关防护规划12
3.2.下一代应用安全网关部署产品13
3.3.DeepEdge部署结构图与案例14
3.3.1.网桥模式(透明模式)14
3.3.2.路由模式15
3.3.3.监控模式16
3.4.DeepEdge产品技术特征与优势17
3.4.1.全新的系统架构,功能和性能的全面提升17
3.4.2.全面集成业界领先SPN云端安全方案17
3.4.3.高性能扫描引擎18
3.4.4.有效的虚拟补丁技术和主动式主机入侵防御系统19
3.4.5.更先进的基于内容的防火墙策略19
3.4.6.领先的应用识别及检测技术19
3.4.7.业内领先技术提供双向的,深度的,全面的内容安全防护20
3.4.8.全球领先的防病毒技术21
3.4.9.顶尖的终端和服务器防护技术21
3.4.10.领先的web信誉防护技术21
3.4.11.领先的URL过滤技术22
3.4.12.综合的邮件信誉防护及邮件隔离解决方案23
3.4.13.防僵尸网络技术23
3.4.14.完整的简便的网络连接功能23
3.4.15.全面支持VPN典型应用场景24
3.4.16.高度灵活的部署场景24
3.4.17.简化的策略管理24
3.4.18.可扩展的无线安全防护25
3.4.19.强大的日志管理和报表功能25
3.4.20.高可靠性及冗余性设计25
3.4.21.优化平台,实现轻松管理25
附录:
趋势科技竞争优势27
A.业界领先的专业安全厂商27
B.快速的全球病毒响应体系27
C.国内投资规模最大的防毒厂商27
D.国内最具权威的病毒信息发布提供商27
E.惟一具备一级服务资质的防毒厂商28
F.全方位、多层次的防毒体系28
G.集中统一的高管理性28
H.安全防护技术的全面集成28
I.高可靠性和高扩展性28
J.低成本实施和最小影响性29
1.
下一代安全网关概述
1.1.什么是下一代安全网关
根据Gartner的定义,安全网关是“一个高性能、高可靠性高可用性、高可扩展性的网络平台,能够对数据流进行全方位的深度检测,并且能够智能的拦截针对系统的各种攻击”
实际上安全网关泛指设置在不同网络或网络安全域之间的一系列部件的组合的统称。
它可通过监测、限制、更改跨越网关的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况,并通过检测阻断威胁,以及网络数据加密等手段来实现网络和信息的安全。
为了真正解决应用时代的安全问题,以七层防护为核心的下一代安全网关(NGSG,NextGenerationSecurityGateway)出现了。
下一代安全网关是在传统安全网关四层静态防护基础上发展起来的新一代安全网关,它利用多种检测技术满足从链路层到应用层的全面检测,实现应用级的安全防护;利用多核处理器等新技术,解决在复杂检测防护技术下的应用层性能问题;它采用了统一防护策略,将应用层复杂的防护功能融合起来,作为一个整体实现对网络的全方位防护。
1.2.和传统UTM类安全设备的区别在哪里
在一个典型的局域网中,通常会有一系列安全相关的产品:
FW、IPS、防毒墙、网络版防毒软件、IDS、上网行为管理、VPN……。
每个安全产品在整体网络防护中会起到相对应的功能,但都不可能是全部。
如果网络中众多安全组件只是独立的执行各自的安全任务,组件之间没有协调,无法统一防护,其实是在浪费各自的资源,而且降低安全防护的效果。
2004年9月,IDC首度提出“统一威胁管理”的概念,即将AV、IDS和FW安全设备划归统一威胁管理(UnifiedThreatManagement,简称UTM)新类别。
该概念引起了业界的广泛重视,并推动了以整合式安全设备为代表的市场细分的诞生。
由IDC提出的UTM是指由硬件、软件和网络技术组成的具有专门用途的设备,它主要提供一项或多项安全功能,将多种安全特性集成于一个硬设备里,构成一个标准的统一管理平台。
但是自2010年以来,更多的客户大家对于传统UTM产品的实际防御效果似乎都有点微辞,认为效果不行。
以防病毒功能为例,专用防毒墙或者网络版杀毒软件病毒库数目多在几百万,而UTM产品,病毒码多在几千到几万的级别,跟专用杀毒相差甚远。
IPS等其他功能也是如此,和专用设备比较有较大差距。
另外非常重要的一点,也是被大家所抱怨最多的,传统UTM在打开所有功能之后,性能急剧下降。
这是因为,相较于传统防火墙,传统UTM提供了更多的安全功能,但UTM的致命缺陷就是采用串行扫描方式,处理效率低下,尤其在激活了多种扫描过滤功能之后,整体的性能会使企业的网络受到极大的影响。
传统的UTM只是将防火墙、IPS、AV进行简单的功能堆砌,功能全部开放时的效率非常低下,另外,传统UTM在防护方面也不完善,例如Web应用方面的防护就有缺失
从2012年以来,业界最新的声音和最主流的技术趋势是,认为UTM的进一步演化趋势必将是“下一代安全网关”即NGSG。
因为相较于备受中小企业的UTM设备,下一代安全网关(简称:
NGSG)面对的用户范围更加广泛,NGSG的发展是需求推动。
从技术方面,NGSG产品之所以能够达到比UTM更高的性能和实现更多的功能,是因为其产品架构之间的根本区别。
NGSG产品自设计之初,就采用了一体化的引擎,而UTM只是把多种安全引擎叠加在了一起,这种做法会使数据流在每个安全引擎分别执行解码、状态复原等操作,导致大量的资源消耗。
而NGFW则不同,它会一次性的对数据流完成识别、扫描,因而可以达到更高的性能。
UTM开始的设计就是针对中小企业网络的,性能受到了很大的局限。
UTM的理念是不需要用户开启全部功能。
NGSG拥有灵活的架构与扩充性,采用全新架构设计。
趋势科技认为NGSG应该具备以下特点:
借助云安全,通过实时查询替代传统的代码升级:
目前整个互联网中安全威胁增长速度远远高于以前,O-day攻击大行其道。
根据趋势科技统计:
在2013年就已经达到每6秒全球就会出现一只新的恶意代码。
如果再采用每天升级传统方式已经无法及时响应。
对于下一代安全网关来说,需要解决的一个重要的安全问题就是应用威胁的快速多变。
NGSG引入云安全,是利用云计算加强和加速防御的安全机制,是解决当前安全需要快速反应的重要手段。
云安全系统的NGSG,最大的一个优势是安全库的快速全面。
在云安全系统中,核心是安全专家团队和由服务器组成的中央服务器群,核心系统对各种安全威胁进行扫描,例如对于挂马的网站进行实时全面扫描,并立刻形成不可信URL数据库更新,在各个政府、企业出口部署的NGSG获取到这些最新的实时数据,对用户的上网进行控制,从而使用户免受这些挂马网站的侵害。
高效的构架保证所有功能全部开启
为了解决应用级安全防护的问题,除了有一套高效、动态的检测机制外,还需要有足够强劲的硬件引擎和体系构架。
过去UTM类产品都强调用户应该根据实际安全情况开启相应功能,在安全和性能之间达到平衡。
但是目前另一个安全态势,复合攻击、高级持续性攻击(APT)成为网络威胁的主要方式。
这些攻击会透过一切可能的管道渗入,这就要求用户必须针对所有可能的渗入管道进行安全加固。
所以趋势科技认为,用户在购买NGSG后就应该享有所有宣称功能的防护措施。
既不需要为其中的某一个功能额外付费、也不应该因为性能问题放弃部分功能的开启。
2.下一代安全网关需求
因为根据最新的CNCERT与各大研究机构的内容安全分析报告中我们得出结论:
中国企业正面临多管道的网络威胁。
无论是病毒,漏洞利用,僵尸网络,钓鱼网站,或DDOS攻击,随著中国网络架构的快速发展,各种网络威胁也都有倍速成长的趋势.这些新一代的网络威胁通过各种传播途径入侵企业环境窃取高价值资讯或造成严重的经济破坏。
这些传播途径包括邮件,网站访问,VPN通道,与终端和服务器漏洞造成的网络接口。
对于未来安全网关的发展方向,可以从未来需求趋势做一下探讨。
趋势科技认为未来是网络将会从“路由器为核心”的转发型网络,向以“服务和数据为核心”的应用网络转变,因此未来网络攻击会有一些明显的需求特征:
1. 传统4层防火墙的普遍应用,使得攻击技术会转而面向传统安全网关的盲区——应用安全,针对某些应用的专项攻击、或者利用某些应用作为攻击通道将会成为主流;
2. 视频、语音等大数据业务会决定网络带宽继续扩大,对安全网关转发性能的需求是持续的;
3. 电子商务、网上银行、投资理财、虚拟交易等应用会使网络攻击更加具有吸引力,攻击频率会加大,攻击方式也会多样化;
4. 传统局域网内网的扩大和复杂,使得网络内部攻击和泄密更加严重。
根据Gartner的调查,目前75%以上的安全攻击都是针对应用的,而不是系统底层和网络。
过去的安全事件主要集中在对网络和系统底层的攻击,而现在攻击明显的向上迁移,包括入侵应用、窃取敏感数据,修改商业数据等等,未来这个趋势还将加剧。
所以说,网络保护的重点发生了变化,过去我们主要保护系统和网络,现在则要重点保护应用、数据和用户
因此,下一代安全网关——NGSG(NextGenerationSecurityGateway),应该是面向这些网络威胁新趋势,专注于应用层防护的高性能安全网关,它具有一系列特点,的网络威胁防护发展趋势。
下面就对通过网络,邮件与应用传播的网络威胁进行分析,深刻了解其特性及当今最先进的防护技术和解决方案,以便企业在选择这类安全产品和服务时做出重要参考。
2.1.高级内容防护功能
2.1.1.领导等级的防恶意软件
随着新型病毒的不断出现,在网络节点上的病毒防护要求变得越来越高,一方面要求网络版防毒系统对病毒、木马、蠕虫、间谍软件、灰色软件等恶意程序具备综合的防护能力,另一方面要兼具网络层扫描、防火墙、IDS等精细化策略控制。
原有网络版防毒系统由于不能很好满足当前的防护要求,在网络节点防范方面存在着潜在的安全隐患。
据国际权威的第三方监测组织AV-Test统计数据看,当前互联网上已有超过1600万种恶意程序,并且还在不断激增,每小时有1883多种新病毒产生。
只有专注投资在拥有全球恶意软件防护的领导品牌才有足够的资源提供实时的防护技术.
2.1.2.虚拟补丁防护
服务器与台式机一直承载着最为重要的数据,因此,很容易引起外来入侵者的窥探,遭入侵、中病毒、抢权限,各种威胁都会抓住一切机会造访服务器系统。
随着新的漏洞不断出现,许多公司在为系统打补丁上疲于应付,等待安装重要安全补丁的维护时段可能是一段艰难的时期。
另外,操作系统及应用厂商针对一些版本不提供漏洞的补丁,或者发布补丁的时间严重滞后,还有最重要的是,如果IT人员的配备不足,时间又不充裕,那么系统在审查、测试和安装官方补丁更新期间很容易陷入风险。
2.1.3.VPN内容过滤
各种移动设备的使用让VPN成为让企业员工能灵活在办公室外工作的必要技术。
尤其是SSLVPN,让笔记本电脑经过简易的网络介面就能连回公司使用企业内部的计算机与内部应用资源。
但VPN带来了一个信息安全的隐忧,那就是VPN的应用也让恶意软件能经由公共的网络传输感染企业内部的电脑。
很多时候因为VPN设备(包括VPN,UTM,NGFW)不具有内容过滤的功能,导致员工连回公司环境后也传输进原先隐藏在公共网络的病毒.
2.1.4.邮件病毒过滤
越来越多的病毒作者采用了这种攻击方式,理由非常简单,因为电子邮件成为目前企业使用最多、最重要的信息交流工具,通过邮件为载体,恶意程序转播的速度就最快。
前几年,“网络天空”邮件病毒肆略全球,造成了高达数亿美元的损失。
现在很多恶意程序利用热门话题,比如2014年巴西世界杯、MH370空难等,发送大量的邮件给到用户,好奇的没有戒备的用户一旦点击邮件,就会中招感染恶意程序。
现在,更严重的攻击事件,所谓的APT(高级持续性威胁)攻击事件也利用邮件来锁定目标.据趋势科技2014年的研究显示¸高于90%的高级持续性威胁经过邮件入侵企业。
高效的邮件过滤也因网络威胁的演进又变成不可缺的防护功能。
2.1.5.垃圾邮件SPAM
垃圾邮件逐年呈现上升趋势,已经成为企业最头痛的问题,垃圾邮件不但浪费公司资源,而且极易泄露公司机密信息。
2.1.6.间谍软件\灰色软件
宽带网络的普及,为使用者带来多采多姿的网络生活,同时却也开启了间谍软件/灰色软件长驱直入的方便大门,当使用者发现计算机的处理速度竟然不知不觉地愈来愈慢时,就得多加留意了,因为使用者的计算机很有可能已经感染间谍软件/灰色软件。
最可怕的是,使用者对间谍软件/灰色软件的入侵多半毫无知觉,所以一旦系统出现执行效率不佳的状况,最可能发生的状况是,使用者不但已被间谍软件入侵,而且可能还不只1、2个。
如今间谍软件/灰色软件的入侵管道相当多样且泛滥,无论是电子邮件或实时通讯附文件、弹出式窗口、恶意或钓鱼网页,以及P2P下载的音乐、电影或非法软件之中,都可能潜藏间谍软件,一旦遭到入侵,最严重的结果,就是计算机内部的重要数据,甚至使用者在键盘上按下按键的动作或密码信息,都会在不知不觉当中外传出去;除此之外,过多的间谍软件也会造成计算机系统效能下降。
这些恶意程序透过社交网络、行动计算机以及查询等方式在网络上从事各类型的网络犯罪活动。
间谍软件只是众多网络安全威胁之一,而且被全球地下化经济犯罪活动广泛的运用,让制造间谍软件的不法人士透过盗用个人身分信息和敲诈勒索等方式来谋取金钱。
除此之外,并有网络钓鱼攻击、以当地语言为目标的攻击和以疆尸计算机网络进行Denial-of-service的攻击,还有透过网络下载以及网络病毒方式来进行攻击。
2.1.7.网络钓鱼
网络钓鱼「Phishing」是另一个近年来主流的网络安全威胁。
网络钓鱼「Phishing」与「Fishing」发音相同,是常见的网络诈欺活动,利用电子邮件引诱用户到伪装网站,以套取用户的个人数据如信用卡号码。
网络钓鱼诈骗因为横跨网页和电子邮件,所以防护上须涵盖SMTP、POP3与HTTP。
以电子邮件而言,有别于前几年的恶意程序无不尽其所能攻击更多的计算机使用者,试图在全球各地引发大范围的疫情爆发,如今电子邮件信息安全威胁愈来愈集中于特定区域与特定对象。
区域性与目标式攻击会大量运用社交工程技巧,像是赠送免费的运动赛事门票、伪造企业发出的电子邮件,以及提供看似正常(其实为恶意性质)的网站连结等等。
假造的电子邮件与网站通常会使用攻击目标当地的语言。
虽然区域性与目标式攻击影响所及的使用者人数比以往更少,但是要将它们彻底根除的难度也比以往更高,因为它们具有特定企图,且通常都能自动更新。
受金钱利益驱使,最新型态恶意程序通常会锁定特定企业,或是彼此具有共通之处的特定使用者族群,这就是所谓「目标攻击(targetattack)」。
进行间谍程序网络钓鱼攻击时,作者会利用电子邮件中夹带一个间谍木马程序,或是一个可下载木马程序的连结。
使用者不慎下载并执行恶意程序之后,无论是透过手动攻击或利用安全弱点,恶意程序会监视网络传输的信息,侦测使用者是否透过网络存取特定网页。
一旦侦测到这种情况,它就会将所有登入信息或机密数据传回给黑客。
2.2.所有防护功能随时全开的性能
现代的网络威胁与攻击需要所有防护的功能,包括防火墙,应用防火墙,防病毒,入侵检测等功能全部同时开启。
许多安全网关(包括多功能的UTM或NGFW下一代防火墙)当功能全开的瞬间,性能剧降,严重的影响中小企业的运作。
因为性能的限制,很多网关厂商会引导客户先购买基础的防火墙功能,但我们从最新的网络威胁事件里看到,“下一代”的威胁需要层次性的高级内容防护同时运作才能达到防御的效果。
因此,所有的网关性能数据里,最重要最需要关注的是防御功能全开的性能。
2.3.中国威胁与应用支持
许多信息安全国际大厂在中国提供产品销售与服务,但极少数厂商在中国投资研发与研究资源。
这样的商业模式导致多数国外厂商的产品缺乏中国应用与中国病毒的支持。
缺乏中国订制的应用与病毒研究导致这些厂商的产品无法侦测攻击中国企业的网络威胁。
只有及少数厂商像趋势科技在中国提供中国病毒特徵码与开发对中国网络应用的支持。
2.4.高效率的终端与服务器防护
从最新的威胁报告我们看到,有将近一半的企业有病毒感染终端设备包括台式机与服务器.防护海量病毒需要高效的技术与经验。
下一代网关需要能够让计算机免受病毒,特洛伊,蠕虫和现在的间谍软件的攻击,同时具备防火墙和入侵检测的能力;快速的特徵码更新可减少针对新出现的威胁提供防护所需的总体时间。
2.5.非第三方集成的安全技术
之前提到的高级内容安全技术与高性能网关的重要性。
而这些功能与性能都与技术集成有密切的关系。
目前大多UTM或下一代防火墙厂商选择不投资研发资源在高级内容安全技术上而选择了集成第三方的技术。
这种集成方式有三大问题:
1.第三方的技术需要额外购买,导致这些厂商无法降低成本或把高级内容防护功能包括在基本功能模块里
2.网关厂商通常不了解第三方技术,后果是从技术或客户支持上无法提供最好的服务
3.第三方技术不允许公开程序代码无法让网关厂商做到最好的性能优化,这也是大多UTM高级内容防护功能开起后性能大幅下降的原因之一
选择拥有所有防护技术的厂商才能保障下一代网关的防御功能,性能,与整体价格(所有功能模块)。
3.下一代安全网关防护方案
3.1.下一代应用安全网关防护规划
为了构建一个强壮、有效的防病毒体系,在分析了公司网络架构及相关应用之后,针对潜在的病毒传播威胁,建议采用结合产品、防御策略、服务为一体的下一代应用安全网关。
基于xxxx的网关处所面临的威胁分析,构建的xxxx下一代网关安全防护系统要实现如下目标:
Ø提供下一代防火墙防护功能
Ø提供服务器与终端设备入侵检测与虚拟补丁防护
Ø对基于网络应用的病毒传播进行高级防护
Ø对基于网络应用的间谍软件进行高级防护
Ø对基于网络应用的网络钓鱼行为进行阻断
Ø对基于网络应用的访问流量进行控制
Ø提供僵尸网络防护
Ø提供站到站VPN与流量过滤
Ø提供SSLVPN与流量过滤
Ø提供PPTP与移动设备VPN与流量过滤
Ø提供DDOS防护
Ø对基于网络应用的恶意URL地址进行阻挡
Ø对基于网络应用的非工作相关站点的访问进行控制
Ø对垃圾邮件进行有效的处理和防护
Ø对恶意邮件进行有效的处理和防护
Ø对应用程序进行控制
3.2.
下一代应用安全网关部署产品
规格
DeepEdge300
DeepEdge900
高级应用防火墙吞吐量
1Gbps
2Gbps
高级应用防火墙+防病毒
400Mbps
1Gbps
高级应用防火墙+入侵检测
600Mbps
1Gbps
邮件检测
每分鐘处理1380邮件
每分鐘处理1500+邮件
防护功能同时全开吞吐量
300Mbps
1Gbps
性能(会话数)
并发会话数
500,000
500,000+
每秒新建会话数
8000
19000
VPN性能
IPSec吞吐量
350Mbps
350Mbps
SSLVPN吞吐量
100Mbps
120+Mbps
SSLVPN并发用户
200用户
200+用户
连接
端口
2x1000Mbps故障直通链路接口
2x1000Mbps
4x1000Mbps故障直通链路接口
4x1000Mbps
高可用性
设备故障检测
是
是
链接失败检测
是
是
故障直通
是
是
物理/运行参数
设备规格
1U43x434x627mm
1U43x434x627mm
功率/空载功率
2x500W/190W
2x500W/190W
3.3.DeepEdge部署结构图与案例
在配置下一代应用安全网关设备前,该设备如何集成到到现有的网络需要进行规划。
配置规划取决于目标运行模式:
接入模式(路由器模式或网桥模式)或监控模式。
3.3.1.网桥模式(透明模式)
在网桥模式下,DeepEdge设备对于网络是不可见的。
它的所有接口都位于相同的子网中。
只需配置管理IP地址便可进行配置更改。
通常现有防火墙或路由器在私有网络中使用网桥模式。
DeepEdge放在第二层交换机和第三层交换机之间可以扫描进入和离开该部分网络的所有数据包。
⏹适合的用户场景
Ø中小企业或大企业的分支机构,500人以下使用用户,100兆以下互联网连接
Ø较为完善的网络部署环境,DeepEdge仅作为网络安全设备使用
Ø网络环境中有数据中心,对外发布服务器,邮件服务器,桌面终端及其他网络设备
Ø对数据中心或各类服务器提供安全防护,防止各种外部攻击
Ø对防止垃圾邮件以及病毒邮件进出内部网络
Ø对终端设备提供病毒防护以及安全的上网行为管理
⏹部署结构图及实例
3.3.2.路由模式
在路由器模式下,DeepEdge设备对所连接的网络都是可见的。
它的所有接口都位于不同的子网中。
连接到网络的每个接口都必须配置有对该网络有效的IP地址。
通常,如果将DeepEdge设备部署为私有网络和公共网络之间的网关,则会使用路由器模式。
⏹适合的用户场景
Ø小企业或小型分支机构,300人以下使用用户,100兆以下互联网连接
Ø拥有不太完善的网络部署环境,DeepEdge不仅作为网络安全设备使用,而且还要作为网络连接设备来使用
Ø网络环境中有对外发布服务器,桌面终端及其他网络设备
Ø对外发服务器创建DMZ
Ø为DMZ配置独立的安全策略,防止对外发布服务
升级会员 