防火墙产品解决方案模板.docx
《防火墙产品解决方案模板.docx》由会员分享,可在线阅读,更多相关《防火墙产品解决方案模板.docx(41页珍藏版)》请在冰豆网上搜索。
防火墙产品解决方案模板
******
网络安全解决方案
2018年9月
第一章
网络安全现状
1概述
近几年来,计算机和网络攻击的复杂性不断上升,使用传统的防火墙和入侵检测系统(IDS)越来越难以检测和阻挡。
随着每一次成功的攻击,黑客会很快的学会哪种攻击方向是最成功的。
漏洞的发现和黑客利用漏洞之间的时间差也变得越来越短,使得IT和安全人员得不到充分的时间去测试漏洞和更新系统。
随着病毒、蠕虫、木马、后门和混合威胁的泛滥,内容层和网络层的安全威胁正变得司空见惯。
复杂的蠕虫和邮件病毒诸如Slammer、Blaster、Sasser、Sober、MyDoom等在过去几年经常成为头条新闻,它们也向我们展示了这类攻击会如何快速的传播——通常在几个小时之内就能席卷全世界。
许多黑客正监视着软件提供商的补丁公告,并对补丁进行简单的逆向工程,由此来发现漏洞。
下图举例说明了一个已知漏洞及相应补丁的公布到该漏洞被利用之间的天数。
需要注意的是,对于最近的一些攻击,这一时间已经大大缩短了。
IT和安全人员不仅需要担心已知安全威胁,他们还不得不集中精力来防止各种被称之为“零小时”(zero-hour)或“零日”(zero-day)的新的未知的威胁。
为了对抗这种新的威胁,安全技术也在不断进化,包括深度包检测防火墙、应用网关防火墙、内容过滤、反垃圾邮件、SSLVPN、基于网络的防病毒和入侵防御系统(IPS)等新技术不断被应用。
但是黑客的动机正在从引起他人注意向着获取经济利益转移,我们可以看到一些更加狡猾的攻击方式正被不断开发出来,以绕过传统的安全设备,而社会工程(socialengineering)陷阱也成为新型攻击的一大重点。
图:
系统漏洞被黑客利用的速度越来越快
带有社会工程陷阱元素的攻击包括间谍软件、网络欺诈、基于邮件的攻击和恶意Web站点等。
这些攻击设计为欺骗用户暴露敏感信息,下载和安装恶意程序、跟踪软件或运行恶意代码。
很多这类攻击设计为使用传统的浏览器或Email技术(如ActiveX、XML、SMTP等),并伪装为合法应用,因此传统的安全设备很难加以阻挡。
现在比以往任何时候都更需要先进的检测和安全技术。
2新一代的混合型攻击的挑战
混合型攻击通过多种感染和攻击方法来利用操作系统和应用程序中发现的漏洞,如WindowsXP、IE和MSSQLServer等。
为了使自身更难被发现和阻挡,混合型攻击使用多种技术的混合——如病毒、蠕虫、木马和后门攻击等,这些攻击往往通过Email和被感染的网站发出。
随着每一次成功的攻击,知识很快的传递到下一代攻击或攻击的变种,使得对于已知或未知的攻击更难被阻挡。
这种混合型攻击的例子有Nimda、CodeRed和Bugbear等。
现在针对新漏洞的攻击产生速度比以前要快得多。
在最新一代攻击中使用的社会工程陷阱的数量也明显的增加。
攻击者们伪造合法的应用程序和邮件信息来欺骗用户去运行它们。
网络欺诈攻击往往声称自己为某个合法组织,诱骗成千上万的无辜受害者给出他们的财务和私人信息。
广告软件、恶意Web站点、Web重定向和其它形式的间谍软件在用户不知情的情况下秘密的向他们的机器上安装跟踪软件、键盘记录工具、文件清除工具和其它恶意软件。
通过邮件传播攻击是当前最流行的方法之一。
病毒被设计为利用Email客户端软件的地址簿进行广泛传播已经成为新型攻击的标准手段。
图:
CSO的SecuritySensorVIII研究报告表明:
将近60%的被调查者在2004年4季度遭受过间谍软件的攻击。
这些被调查的组织经历过的问题
—————————————————————————
系统宕机92%
法律曝光11%
内部记录丢失或破坏10%
财政损失8%
员工记录受损6%
保密记录受损6%
客户记录受损6%
知识产权遭窃5%
股东利益损失2%
图:
CSO的SecuritySensorVIII间谍软件抽样结果(2004/12)
随着攻击和威胁的级别和强度的增加,IT专业人员必须掌握新的安全威胁,并添置新的探测和安全设备或重新设计网络架构,以减少系统漏洞。
多年来,企业一直依靠状态检测防火墙、入侵检测系统、基于主机的防病毒系统和反垃圾邮件解决方案来保证企业用户和资源的安全。
但是情况在迅速改变,那些传统的单点防御安全设备作用越来越小,已经不再胜任。
为了检测出最新的攻击,安全设备必须提供多种安全功能。
图:
SANS.ORG使用平均“存活时间”来跟踪攻击之间的间隔
(平均每隔18分钟就会有一次攻击被报告)。
传统的防火墙、IDS、防病毒系统等安全产品在防范新型攻击时已经力不从心。
传统的防火墙系统
状态检测防火墙原本是设计成一个可信任企业网络和不可信任的公共网络之间的安全隔离设备,用以保证企业的互联网安全。
状态检测防火墙是通过跟踪会话的发起和状态来工作的。
通过检查数据包头,状态检测防火墙分析和监视网络层(L3)和协议层(L4),基于一套用户自定义的防火墙策略来允许、拒绝或转发网络流量。
传统防火墙的问题在于黑客已经研究出大量的方法来绕过防火墙策略。
这些方法包括:
●利用端口扫描器的探测可以发现防火墙开放的端口。
●攻击和探测程序可以通过防火墙开放的端口穿越防火墙。
如MSN、QQ等IM(即时通信)工具均可通过80端口通信,BT、电驴、Skype等P2P软件的通信端口是随机变化的,使得传统防火墙的端口过滤功能对他们无能为力。
SoftEther等软件更可以将所有TCP/IP通讯封装成HTTPS数据包发送,使用传统的状态检测防火墙简直防不胜防。
SoftEther可以很轻易的穿越传统防火墙
●PC上感染的木马程序可以从防火墙的可信任网络发起攻击。
由于会话的发起方来自于内部,所有来自于不可信任网络的相关流量都会被防火墙放过。
当前流行的从可信任网络发起攻击应用程序包括后门、木马、键盘记录工具等,它们产生非授权访问或将私密信息发送给攻击者。
●较老式的防火墙对每一个数据包进行检查,但不具备检查包负载的能力。
病毒、蠕虫、木马和其它恶意应用程序能未经检查而通过。
●当攻击者将攻击负载拆分到多个分段的数据包里,并将它们打乱顺序发出时,较新的深度包检测防火墙往往也会被愚弄。
●使用笔记本电脑、PDA和便携邮件设备的移动用户会在他们离开办公室的时候被感染,并将威胁带回公司网络。
边界防火墙对于从企业信任的内部网络发起的感染和攻击爱莫能助。
图:
被通过知名端口(80端口)攻击的网站数
传统的入侵检测系统(IDS)
正如传统防火墙一样,传统的IDS为了对付越来越复杂的新型攻击也发展了一些新的技术。
攻击者发现了IDS的弱点,并采用了新方法来绕过这些监视系统。
IDS的弱点包括:
●IDS通常放置在关键位置如网络边界和重要节点上。
它们不能监视到整个网络。
●IDS设备能够检查每一个流过的数据包,但它并不是在线式(”in-line”)设备,所以不能实时的主动阻断攻击。
它们仅仅是监视设备,在发现恶意流量时进行报警。
这就使快速传播的攻击得以成功。
●IDS会被分段和打乱顺序传送的数据包所蒙蔽。
●对多个千兆端口的流量进行镜像或重定向很容易使IDS的性能透支,从而导致丢包而漏报。
●IDS会产生大量的误报,需要连续的监视和对规则的细致调整使之变得更加有效,这就导致很高的维护成本。
许多IT人员并没有足够的时间来查看IDS的日志,从而使可疑的流量未被发现而通过。
●即使IDS与防火墙进行联动,对于网络蠕虫病毒等快速传播的威胁的响应速度仍然是很慢的。
为了克服IDS的弱点,一些安全厂商将它们被动的IDS技术转变为主动的IPS(入侵防御系统)。
IPS是在线式(”in-line”)设备,能够主动的丢弃或重置可疑和危险的攻击流量以及诸如SYNFlood、ICMP攻击等的协议异常攻击。
基于主机的防病毒软件
基于主机的防病毒软件是部署得最广泛的安全应用,甚至超过了边界防火墙。
基于主机的防病毒软件随着上世纪80年代中期基于文件的病毒开始流行而逐渐普及,如今已成为最受信任的安全措施之一。
但是基于主机的防病毒软件也有它的缺点,包括:
●需要安装、维护和保持病毒特征库更新,这就导致了大量的维护开销。
●很多用户并没有打开防病毒软件的自动更新功能,也没有经常的手动更新他们的病毒库,这就导致防病毒软件对最新的威胁或攻击无用。
●用户有时可能会有意或无意的关闭他们的单机安全应用程序。
●最新的复杂的木马程序能对流行的基于主机的防病毒软件进行扫描,并在它们加载以前就将它们关闭–这就导致即使有了最新的病毒特征码,事实上它们还是不能被检测出来。
企业单纯依靠给予主机的防病毒软件和给操作系统和应用程序打补丁的方法会使它们的内部系统面临很高的安全风险。
随着业务中使用了越来越多的面向全球且需要持续运行的关键应用,停机来更新操作系统补丁、病毒特征码和应用升级变得越来越困难。
而公司的Web、Email、电子商务、数据库、应用等服务器由于长时间不打补丁会很容易在新的攻击方式下暴露出它们的漏洞。
仅仅依靠基于主机的防病毒软件的另一个缺点是,事实上有害代码在被每一个主机的安全软件检测和阻挡之前就已经进入了公司的网络,这就大大威胁了企业关键业务系统和网络应用。
3ZXSECUS产品优势
专业人士已经意识到传统的、曾红极一时的安全工具现在面对新一代攻击例如混合式攻击、社会工程陷阱和协议受控技术时已不再有效。
现今为了成功的保护企业网络,安全防御必须部署在网络的各个层面,并采用更新的检测和防护机制。
用于增强现有安全防御的一些新型安全策略包括:
●设计较小的安全区域来保护关键系统。
●增加基于网络的安全平台,以提供在线(”in-line”)检测和防御。
●增加统一威胁管理(UnifiedThreatManagement,简称UTM),结合多项安全技术,提供更好的管理、攻击关联和降低维护成本。
●增加对关键资源的监视。
●研究有效的安全策略并培训用户。
解决方案对于每一个公司肯定是不同的,而IT专业人员必须充分分析和理解他们的安全需求,确定究竟什么是他们试图保护的。
一个完整有效的安全方案不仅包括最新的安全技术,而且要考虑到公司的预算、社会和文化层面的因素。
关键资源的安全分域管理
随着移动设备的普及,攻击和威胁能够同时从外网和内网发起攻击。
不管如何试图保持移动用户的安全,当他们外出离开公司网络总是会遇到更大的风险。
移动用户承受更大安全风险的原因如下:
●移动设备无法受到与公司网络相同的安全技术的保护。
●大多数公司仅仅使用基于主机的防病毒软件来保护移动设备,单机防火墙和IDS在移动设备上安装的比例很低。
●保持基于主机的安全应用不断升级、与公司安全策略同步是很难做到的。
●用户会有意无意的关闭或修改基于主机的安全系统。
●员工将与其它网络连接来开展业务,而这些外来网络的安全级别完全未知。
●员工可能会让公司以外的人使用他们的移动设备。
●移动用户往往对他们的设备具有管理员权限,这就意味着他们可以安装各种未经批准的软件。
这些软件常常属于免费软件,可以从Internet上自由下载,很可能带有木马或者间谍软件。
●移动设备包含有公司信息,但可能没有备份,增加了丢失公司有价值财产的风险。
●移动设备被盗的概率也要高出许多。
当移动设备离开办公室时,它们更容易感染病毒、木马和蠕虫。
当移动用户回来连接到公司网络时,驻留在移动设备里的感染和攻击就会扩散至公司网络,感染其它曾被公司安全防御正常保护的系统。
为了防止这种情况的发生,IT专业人员必须重新设计它们的网络,围绕关键部门、服务器群和关键应用系统提供更加安全的区域。
建立安全资源的“孤岛”对于规范访问权限和抑制威胁爆发是有效的手段。
安全分区的常用工具包括访问控制列表(ACLs)、防火墙和认证技术。
图:
CSO的Security-SensorVIII对于攻击来源的报告,
64%的安全威胁来自于企业内部可信任用户或合作伙伴。
增加基于网络的安全
基于网络的ZXSECUS产品能够部署在现有的安全体系中来提高检测率,并在有害流量进入公司网络之前进行拦截。
基于网络的ZXSECUS产品在线(”in-line”)部署,阻挡攻击的能力要比传统的依靠镜像流量的“旁路式”安全设备强得多。
基于网络的ZXSECUS产品包括防火墙、VPN、入侵防御系统(IPS)、防病毒网关、反垃圾邮件网关、Web过滤等功能。
ZXSECUS产品是将多种安全特性相结合的统一安全平台。
除了实时阻挡攻击之外,基于网络的安全还包括以下优点:
●减少维护成本。
攻击特征、病毒库和探测引擎可以对单台设备而不是上百台主机更新。
●升级对于用户、系统或者应用来说是透明的,无需停机,更新可以实时进行——不像操作系统和应用程序打补丁那样需要重启系统。
●保护在基于网络的安全设备后面的所有主机,因此减少了基于主机的病毒特征库、操作系统补丁和应用程序补丁升级的急迫性,使IT专业人员在发生问题之前有较充分的时间来测试补丁。
●保持以前使用的设备、操作系统和应用,无需将它们都升级到最新的版本。
●在网络边界或关键节点上阻挡攻击,在恶意流量进入公司网络之前将其拦截。
●不像基于主机的安全应用那样可能被最终用户或恶意程序关闭。
●可与已有的安全技术共存并互补。
ZXSECUS产品的其它优点包括:
●通过为多种安全功能提供一个统一的管理平台,降低了设备的复杂性,加快了安装速度。
●与购买和使用多个单一功能的单点安全系统相比,降低了总体拥有成本(TCO)。
下表描述了IDC对于未来几年具备多种安全功能的UTM设备(包括ZXSECUS产品)和单一功能安全设备发展预测的对比。
IDC全球安全设备市场预测,2003-2008(百万美元)
来源:
IDC,2004
表:
IDC的UTM增长预测
随着网络安全对于消费者和商家都同样变得越来越重要,IDC预测,UTM设备的销量将在未来几年内超过传统防火墙/VPN安全设备。
第二章
******需求分析
根据实际情况书写,并附上网络拓扑图,此处略。
第三章
中兴通讯网络安全解决方案
根据对网络安全现状及用户需求的分析,我们推荐中兴通讯的网络安全解决方案。
中兴通讯的ZXSECUS安全平台通过动态威胁防御技术、高级启发式异常扫描引擎提供了无与伦比的功能和检测能力。
中兴通讯的ZXSECUS提供以下功能和好处:
●集成关键安全组件的状态检测防火墙。
●可实时更新病毒和攻击特征的网关防病毒。
●IDS和IPS预置3500个以上的攻击特征,并提供用户定制特征的机制。
●VPN(目前支持PPTP、L2TP、IPSec、SSLVPN)。
●反垃圾邮件具备多种用户自定义的阻挡机制,包括黑白名单和实时黑名单(RBL)等。
●Web内容过滤具有用户可定义的过滤器和全自动的USService过滤服务。
●带宽管理防止带宽滥用。
●用户认证,防止非授权的网络访问。
●动态威胁防御提供先进的威胁关联技术。
●ASIC加速提供比基于PC工控机的安全方案高出4-6倍的性能。
●加固的操作系统,不含第三方组件,保证了物理上的安全。
●完整的系列支持服务,包括日志和报告生成器、客户端安全组件。
1网络构架
ZXSECUS系列安全网关支持路由(NAT)模式、透明模式和混合模式三种工作模式。
可以很好的适应各种网络环境。
1.1路由(NAT)模式
如果需要用ZXSECUS连接不同IP地址段,则将ZXSECUS置于路由工作模式。
如上图所示,内网使用的是192.168.1.0/24网段,而外网使用的是211.1.1.X网段来连接Internet。
此时由于内外网络不在同一IP地址段,因此需将ZXSECUS设置为路由模式。
此时ZXSECUS工作在第三层,相当于一台路由器,连接不同的IP地址段。
使192.168.1.X和211.1.1.X之间可以互访。
在路由(NAT)模式下,ZXSECUS的每一个接口都有一个IP地址,分别对应不同的网段。
每个接口都支持不同的地址模式,既可以是静态IP,也可以通过DHCP服务器获得动态IP,还能通过PPPOE拨号获取IP地址,可以很好的支持LAN、ADSL等多种网络接入方式。
ZXSECUS在路由模式下支持各种路由方法,包括静态路由、动态路由(可以直接参与到RIP、OSPF、BGP路由运算中,而非仅仅让动态路由协议穿越)、策略路由(根据不同的源地址、目的地址、端口等确定下一条路由网关),可以满足多种网络环境的要求。
ZXSECUS还可以很好的支持双网关的网络环境。
如下图所示,内网使用ISP1、ISP2两条链路接入Internet。
使用ZXSECUS可以实现两条链路的冗余。
通常情况下对Internet的访问请求都通过带宽较高的ISP1链路进行,当ISP1链路出现故障中断时,ZXSECUS会自动将所有的访问请求切换到ISP2链路,保证网络的不间断运行。
在路由(NAT)模式下,ZXSECUS可以实现双向NAT(网络地址转换)和PAT(端口转换),包括1:
N、N:
1、N:
N的转换。
NAT和PAT可以很好的起到隐藏内网结构,节约IP地址资源的作用。
如下图所示,内网使用的是192.168.1.0/24网段的私有IP地址,无法直接在Internet上通信。
通过ZXSECUS的NAT/PAT功能,可以将内网所有私有IP地址转换为ZXSECUS外口的211.1.1.6这个公网IP地址或其它地址池,实现共享上网的目的;还可以通过静态地址映射或端口转发的方式,将ZXSECUS外口的公网IP地址或其他公网IP地址映射到内网的服务器上(如192.168.1.100的Web服务器),实现私有IP地址的服务器对外发布服务的功能。
1.2透明(桥)模式
如果ZXSECUS内、外网使用相同网段的IP地址,便无需ZXSECUS担负路由的工作。
此时可以将ZXSECUS置于透明模式,ZXSECUS工作在第二层,在网络拓扑结构上相当于一个交换机或者网桥。
如下图所示:
内网已经可以通过路由器的路由和NAT功能连入Internet,内网所有计算机的默认网关均指向路由器的内口192.168.1.1,此时只需加入安全网关设备实现安全功能。
为了尽可能的简化配置且不更改现有的网络环境,一般情况下都推荐使用ZXSECUS的透明模式。
此时ZXSECUS不像路由模式下需要给每个接口配置一个单独的IP地址,只需直接插入到网络链路中即可。
内外网用户并不能感觉到这台安全设备的存在,将ZXSECUS从网络中撤出也不会影响出口的连通性。
ZXSECUS存在与否均不会改变网络逻辑结构和可用性,因此称之为透明模式。
在透明模式下,需要给ZXSECUS配置一个管理IP地址,用于管理。
路由模式和透明模式的切换非常的简单,在ZXSECUS的Web图形管理界面下便可实现。
VLAN支持:
无论在透明模式还是路由(NAT)模式下,ZXSECUS都支持802.1QVLAN环境,对于交换机之间的VLANTrunk或交换机/路由器之间的单臂路由都可以很好的支持;ZXSECUS在路由模式下自身也可以给交换机上的不同VLAN作Trunk和路由。
虚拟域:
利用VLAN技术实现的虚拟域可以在一台ZXSECUS设备中实现多台逻辑设备,每一个虚拟域拥有独立的接口IP、路由、策略、用户等参数,便于下连多个网段或单位/部门的时候使用。
1.3混合模式
利用ZXSECUS的虚拟域技术可以很方便的实现路由/透明的混合模式。
如下图所示,内网和DMZ区使用同一网段的IP地址,内网使用192.168.1.1-192.168.1.200,DMZ区使用192.168.1.201-192.168.1.250;外网使用另一网段的IP地址(202.1.1.1)。
此时单纯的透明模式或者路由(NAT)模式都无法满足网络的要求。
使用ZXSECUS的虚拟域技术可以实现外网与DMZ/内网之间使用路由(NAT)模式,而内网与DMZ之间使用透明模式。
这种路由/透明的混合模式可以很好的满足这种网络环境的需求。
2安全功能
传统防火墙基于状态检测的包过滤技术,只能在网络层针对IP地址、端口等进行简单的过滤,这并非网络安全建设的终极目标,不能满足当前网络安全的要求,黑客一旦伪装成合法IP进行攻击,防火墙将不会阻挡。
且当前传播速度最快、危害最严重的并非网络层的攻击,而是应用层的病毒、入侵、垃圾邮件、不良内容等,而传统的网络层防火墙对这些应用层的攻击行为没有防范能力,对于网络的保护作用是极为有限的。
信息安全真正需要的是网络层和应用层全面的安全防御体系。
ZXSECUS宙斯盾防火墙是一个集防火墙、防病毒、入侵检测/阻断、VPN(虚拟专用网)和内容过滤、反垃圾邮件等多项功能于一身的综合安全网关,利用中兴通讯公司行为加速和内容分析系统技术,包括内容处理器和安全操作系统,突破了芯片设计、网络通信、安全防御及内容分析等诸多难点,超越了传统防火墙仅能在网络层进行粗粒度的包过滤的安全层次,能够从网络层到应用层提供全方位的安全保护。
依靠基于包检测的安全解决方案对于使用分段技术的新型安全威胁是无能为力的。
它们使用一些巧妙的手段能绕过传统的防火墙、IDS和防病毒系统。
中兴通讯先进的完全内容检测(CCI)技术能够扫描和检测整个OSI堆栈模型中最新的安全威胁。
与其它单纯检查包头或“深度包检测”的安全技术不同,中兴通讯的CCI技术重组文件和会话信息,以提供强大的扫描和检测能力。
只有通过重组,一些最复杂的混合型威胁才能被发现。
为了补偿先进检测技术带来的性能延迟,中兴通讯使用硬件芯片来为特征扫描、加密/解密和SSL等功能提供硬件加速。
中兴通讯采用硬件加速芯片,提供比基于PC工控机的安全设备高4-6倍的性能。
通过很巧妙的设计,总能帮助用户在威胁到达之前完成更新,而不会停留在过期的阶段。
正如图形加速卡能加速复杂图形的显示一样,专用硬件芯片能对病毒和攻击检测进行特征和模板匹配进行加速。
中兴通讯的完全内容检测和重组技术与硬件加速检测引擎一起,提供了当今最先进的ASIC加速安全产品。
在设备自身安全性方面,ZXSECUS宙斯盾防火墙基于状态检测的技术可以有力的防止外部黑客对内网的攻击,且基于ASIC芯片技术可以提供非常高的网络性能,专用的安全操作系统杜绝了所有通用操作系统的安全隐患,因此ZXSECUS宙斯盾防火墙的安全性、稳定性和效率都远远高于其它CPU+Linux构架、软硬一体化的工控机式防火墙。
通过在ZXSECUS宙斯盾防火墙上配置防火墙、病毒防护、入侵检测、内容过滤、反垃圾邮件等安全设置,便可对进出网络的流量互访进行黑客攻击、病毒、入侵、不良内容和垃圾邮件等的全方位过滤。
2.1防火墙
ZXSECUS的防火墙功能基于状态检测包过滤技术,可以针对IP地址、服务、端口等参数决定是否允许数据包通过,在第三层(网络层)和第四层(传输层)及第七层(应用层)进行数据过滤。
如上图所示,防火墙功能可以对访问的源和目标的IP地址进行过滤,例如可以允许或拒绝内网的部分IP地址访问外网,也可以允许或拒绝外网的部分IP地址访问内网。
IP地址对象可以是单个IP(如202.1.1.1),也可以是IP地址段(如192.168.1.0/255.255.255.0),还可以是IP地址范围(如172.16.1.100-172.16.2.200)。
对拥有同一访问权限的不同IP地址/段,还可以将它们加入到一个地址组中,在防火墙策略中统一调用。
ZXSECUS预置了常用网络服务的端口信息,如HTTP使用的TCP80端口、FTP使用的T
升级会员 