深信服下一代防火墙AF技术白皮书V40.docx
《深信服下一代防火墙AF技术白皮书V40.docx》由会员分享,可在线阅读,更多相关《深信服下一代防火墙AF技术白皮书V40.docx(26页珍藏版)》请在冰豆网上搜索。
深信服下一代防火墙AF技术白皮书V40
深信服下一代防火墙NGAF
技术白皮书
深信服科技有限公司
二零一四年四月
一、
概述
二、
防火墙自诞生以来,在网络安全防御系统中就建立了不可替代的地位。
作为边界网络安全的第一道关卡防火墙经历了包过滤技术、代理技术和状态监视技术的技术革命,通过ACL访问控制策略、NAT地址转换策略以及抗网络攻击策略有效的阻断了一切未被明确允许的包通过,保护了网络的安全。
防火墙就像机场的安检部门,对进出机场/防火墙的一切包裹/数据包进行检查,保证合法包裹/数据包能够进入机场/网络访问合法资源同时防止非法人员通过非法手段进入机场/网络或干扰机场/网络的正常运行。
传统的防火墙正如机场安检人员,通过有限的防御方式对风险进行防护,成本高,效率低,安全防范手段有限。
而下一代防火墙则形如机场的整体安检系统,除了包括原有的安检人员/传统防火墙功能外,还引入了先进的探测扫描仪/深度内容安全检测构成一套完整的整体安全防护体系。
自2009年10月Gartner提出“DefiningtheNext-GenerationFirewall”一文,重新定义下一代防火墙,下一代防火墙的概念在业内便得到了普遍的认可。
深信服也在经过10年网络安全技术6年的应用安全技术沉淀之后,于2011年正式发布深信服“下一代防火墙”——NGAF。
三、为什么需要下一代防火墙
四、
2.1网络发展的趋势使防火墙以及传统方案失效
2.2
近几年来,越来越多的安全事故告诉我们,安全风险比以往更加难以察觉。
随着网络安全形势逐渐恶化,网络攻击愈加频繁,客户对自己的网络安全建设变得越来越不自信。
到底怎么加强安全建设?
安全建设的核心问题是什么?
采用什么安全防护手段更为合适?
已成为困扰用户安全建设的关键问题。
问题一:
看不看得到真正的风险?
一方面,只有看到L2-7层的攻击才能了解网络的整体安全状况,而基于多产品组合方案大多数用户没有办法进行统一分析,也就无法快速定位安全问题,同时也加大了安全运维的工作量。
另一方面,没有攻击并不意味着业务就不存在漏洞,一旦漏洞被利用就为时已晚。
好的解决方案应能及时发现业务漏洞,防患于未然。
最后,即使有大量的攻击也不意味着业务安全威胁很大,只有针对真实存在的业务漏洞进行的攻击才是有效攻击。
看不到有效攻击的方案,就无法让客户看到网络和业务的真实的安全情况。
问题二:
防不防得住潜藏的攻击?
一方面,防护技术不能存在短板,存在短板必然会被绕过,原有设备就形同虚设;另一方面,单纯防护外部黑客对内网终端和服务器的攻击是不够的,终端和服务器主动向外发起的流量中是否存在攻击行为和泄密也需要检测,进而才能找到黑客针对内网的控制通道,同时发现泄密的风险,最后通过针对性的安全防护技术加以防御。
综上所述,真正能看到攻击与业务漏洞,及时查漏补缺,并能及时防住攻击才是最有效的解决方案。
那么基于攻击特征防护的传统解决方案是否真的能够达到要求呢?
2.3现有方案缺陷分析
2.4
2.2.1单一的应用层设备是否能满足?
2.2.2
1、入侵防御设备
应用安全防护体系不完善,只能针对操作系统或者应用软件的底层漏洞进行防护,缺乏针对Web攻击威胁的防御能力,对Web攻击防护效果不佳。
缺乏攻击事后防护机制,不具备数据的双向内容检测能力,对未知攻击产生的后果无能为力,如入侵防御设备无法应对来自于web网页上的SQL,XSS漏洞,无法防御来自内网的敏感信息泄露或者敏感文件过滤等等。
2、Web应用防火墙
传统Web防火墙面对当前复杂的业务流量类型处理性能有限,且只针对来自Web的攻击防护,缺乏针对来自应用系统底层漏洞的攻击特征,缺乏基于敏感业务内容的保护机制,只能提供简单的关键字过滤功能,无法对Web业务提供L2-L7层的整体安全防护。
2.2.3“串糖葫芦式的组合方案”
2.2.4
由于防火墙功能上的缺失使得企业在网络安全建设的时候针对现有多样化的攻击类型采取了打补丁式的设备叠加方案,形成了“串糖葫芦”式部署。
通常我们看到的网络安全规划方案的时候都会以防火墙+入侵防御系统+网关杀毒+……的形式。
这种方式在一定程度上能弥补防火墙功能单一的缺陷,对网络中存在的各类攻击形成了似乎全面的防护。
但在这种环境中,管理人员通常会遇到如下的困难:
一,有几款设备就可以看到几种攻击,但是是割裂的难以对安全日志进行统一分析;有攻击才能发现问题,在没有攻击的情况下,就无法看到业务漏洞,但这并不代表业务漏洞不存在;即使发现了攻击,也无法判断业务系统是否真正存在安全漏洞,还是无法指导客户进行安全建设;
二,有几种设备就可以防护几种攻击,但大部分客户无法全部部署,所以存在短板;即使全部部署,这些设备也不对服务器和终端向外主动发起的业务流进行防护,在面临新的未知攻击的情况下缺乏有效防御措施,还是存在被绕过的风险。
2.2.5UTM统一威胁管理
2.2.6
2004年IDC推出统一威胁管理UTM的概念。
这种设备的理念是将多个功能模块集中如:
FW、IPS、AV,联合起来达到统一防护,集中管理的目的。
这无疑给安全建设者们提供了更新的思路。
事实证明国内市场UTM产品确实得到用户认可,据IDC统计数据09年UTM市场增长迅速,但2010年UTM的增长率同比有明显的下降趋势。
这是因为UTM设备仅仅将FW、IPS、AV进行简单的整合,传统防火墙安全与管理上的问题依然存在,比如缺乏对WEB服务器的有效防护等;另外,UTM开启多个模块时是串行处理机制,一个数据包先过一个模块处理一遍,再重新过另一个模块处理一遍,一个数据要经过多次拆包,多次分析,性能和效率使得UTM难以令人信服。
Gartner认为“UTM安全设备只适合中小型企业使用,而NGFW才适合员工大于1000人以上规模的大型企业使用。
”
2.2.7其他品牌下一代防火墙能否解决?
2.2.8
大部分下一代防火墙只能看到除web攻击外的大部分攻击,极少部分下一代防火墙能够看到简单的WEB攻击,但均无法看到业务的漏洞。
攻击和漏洞无法关联就很难确定攻击的真实性;另外,大部分下一代防火墙防不住web攻击,也不对服务器/终端主动向外发起的业务流进行防护,比如信息泄露、僵尸网络等,应对未知攻击的方式比较单一,只通过简单的联动防护,仍有被绕过的风险。
五、深信服下一代防火墙定位
六、
全球最具权威的IT研究与顾问咨询公司——Gartner,在2009年发布了一份名为《DefiningtheNext-GenerationFirewall》的文章,给出了真正能够满足用户当前安全需求的下一代防火墙定义:
下一代防火墙是一种深度包检测防火墙,超越了基于端口、协议的检测和阻断,增加了应用层的检测和入侵防护,下一代防火墙不应该与独立的网络入侵检测系统混为一谈,后者只包含了日常的或是非企业级的防火墙,或者把防火墙和IPS简单放到一个设备里,整合的并不紧密。
结合目前国内的互联网安全环境来看,更多的安全事件是通过Web层面的设计漏洞被黑客利用所引发。
据统计,国内用户上网流量与对外发布业务流量混合在一起的比例超过50%。
以政府为例,60%以上的政府单位门户网站和用户上网是共用电子政务外网的线路。
在这种场景下,如果作为出口安全网关的防火墙不具备Web应用防护能力,那么在新出现的APT攻击的大环境下,现有的安全设备很容易被绕过,形同虚设,下一代防火墙做为一款融合型的安全产品,不能存针对基于Web的应用安全短板。
做为国内下一代防火墙产品的领导者,和公安部第二代防火墙标准制定的参与者,深信服走在前沿,在产品推出伊始就把Web应用防护这个基因深深地植入到深信服下一代防火墙当中,深信服下一代防火墙(Next-GenerationApplicationFirewall)NGAF面向应用层设计,能够精确识别用户、应用和内容,具备完整的L2-L7层的安全防护体系,强化了在Web层面的应用防护能力,不仅能够全面替代传统防火墙,并具在开启安全功能的情况下还保持有强劲应用层处理能力的全新网络安全设备。
七、深信服下一代防火墙—NGAF
八、
4.1产品设计理念
4.2
更精细的应用层安全控制:
l贴近国内应用、持续更新的应用识别规则库
l识别内外网超过1500多种应用、3000多种动作(截止2014年2月14日)
l支持包括AD域、Radius等8种用户身份识别方式
l面向用户与应用策略配置,减少错误配置的风险
更全面的内容级安全防护:
l基于攻击过程的服务器保护,防御黑客扫描、入侵、破坏三步曲
l强化的WEB应用安全,支持多种SQL注入防范、XSS攻击、CSRF、权限控制等
l完整的终端安全保护,支持漏洞、病毒防护等
双向内容检测,功能防御策略智能联动
更高性能的应用层处理能力:
l单次解析架构实现报文一次拆解和匹配
l多核并行处理技术提升应用层分析速度
Regex正则表达引擎提升规则解析效率
l全新技术架构实现应用层万兆处理能力
更完整的安全防护方案
l可替代传统防火墙/VPN、IPS所有功能,实现内核级联动
4.3产品功能特色
4.4
4.2.1可视的网络安全情况
4.2.2
NGAF独创的应用可视化技术,可以根据应用的行为和特征实现对应用的识别和控制,而不仅仅依赖于端口或协议,摆脱了过去只能通过IP地址来控制的尴尬,即使加密过的数据流也能应付自如。
目前,NGAF的应用可视化引擎不但可以识别1200多种的内外网应用及其2700多种应用动作,还可以与多种认证系统(AD、LDAP、Radius等)、应用系统(POP3、SMTP等)无缝对接,自动识别出网络当中IP地址对应的用户信息,并建立组织的用户分组结构;既满足了普通互联网边界行为管控的要求,同时还满足了在内网数据中心和广域网边界的部署要求,可以识别和控制丰富的内网应用,如LotusNotes、RTX、Citrix、OracleEBS、金蝶EAS、SAP、LDAP等,针对用户应用系统更新服务的诉求,NGAF还可以精细识别Microsoft、360、Symantec、Sogou、Kaspersky、McAfee、金山毒霸、江民杀毒等软件更新,保障在安全管控严格的环境下,系统软件更新服务畅通无阻。
因此,通过应用可视化引擎制定的L4-L7一体化应用控制策略,可以为用户提供更加精细和直观化控制界面,在一个界面下完成多套设备的运维工作,提升工作效率。
4.2.1.1可视化的网络应用
4.2.1.2
随着网络攻击不断向应用层业务系统转移,传统的网络层防火墙已经不能有效实施防护。
因此,作为企业网络中最重要的屏障,如何帮助用户实现针对所有业务的安全可视化变得十分重要。
NGAF以精确的应用识别为基础,可以帮助用户恢复对网络中各类流量的掌控,阻断或控制不当操作,根据企业自身状况合理分配带宽资源等。
NGAF的应用识别有以下几种方式:
第一,基于协议和端口的检测仅仅是第一步(传统防火墙做法)。
固定端口小于1024的协议,其端口通常是相对稳定,可以根据端口快速识别应用。
第二,基于应用特征码的识别,深入读取IP包载荷的内容中的OSI七层协议中的应用层信息,将解包后的应用信息与后台特征库进行比较来确定应用类型。
第三,基于流量特征的识别,不同的应用类型体现在会话连接或数据流上的状态各有不同,例如,基于P2P下载应用的流量模型特点为平均包长都在450字节以上、下载时间长、连接速率高、首选传输层协议为TCP等;NGAF基于这一系列流量的行为特征,通过分析会话连接流的包长、连接速率、传输字节量、包与包之间的间隔等信息来鉴别应用类型。
4.2.1.3可视化的业务和终端安全
4.2.1.4
NGAF可对经过设备的流量进行实时流量分析,相比主动漏洞扫描工具或者是市场的漏扫设备,被动漏洞分析最大的优势就在于能实时发现客户网络环境的安全缺陷,且不会给网络产生额外的流量。
此模块设计的初衷就是希望能够实时发现和跟踪网络中存在的主机、服务和应用,发现服务器软件的漏洞,实时分析用户网络中存在的安全问题,为用户展现AF的安全防护能力。
实时漏洞分析功能主要可以帮助用户从以下几个方面来被动的对经过的流量进行分析:
✓底层软件漏洞分析
✓
实时分析网络流量,发现网络中存在漏洞的应用,把漏洞的危害和解决方法通过日志和报表进行展示,支持的应用包括:
HTTP服务器(Apache、IIS),FTP服务器(FileZilla),Mail服务器(Exchange),Realvnc,OpenSSH,Mysql,DB,SQL,Oracle等
✓Web应用风险分析
✓
针对用户WEB应用系统中存在的如下风险和安全问题进行分析:
1.SQL注入、文件包含、命令执行、文件上传、XSS攻击、目录穿越、webshell;
2.发现网站/OA存在的设计问题,包括:
a)在HTTP请求中直接传SQL语句;
b)在HTTP请求中直接传javascript代码;
c)URL包含敏感信息:
如user、username、pass、password、session、jsessionid、
sessionid等;
3.支持第三方插件的漏洞检测,如:
媒体库插件jplayer,论坛插件 discuz,网页编辑器 fckeditor,freetextbox,ewebeditor,webhtmleditor,kindeditor等
✓Web不安全配置检测
✓
各种应用服务的默认配置存在安全隐患,容易被黑客利用,例如,SQLServer的默认安装,就具有用户名为sa,密码为空的管理员帐号。
不安全的默认配置,管理员通常难以发觉,并且,随着服务的增多,发现这些不安全的配置就更耗人力。
NGAF支持常用Web服务器不安全配置检测,如Apache的httpd.conf配置文件,IIS的metabase.xml配置文件,nginx的web.xml和nginx.conf配置文件,Tomcat的server.xml配置文件,PHP的php.ini配置文件等等,同时也支持操作系统和数据库配置文件的不安全配置检测,如Windows的ini文件,Mysql的my.ini,Oracle的sqlnet.ora等等。
✓弱口令检测
✓
支持FTP,POP3,SMTP,Telnet,Web,Mysql,LDAP,AD域等协议或应用的弱口令检查。
另外,NGAF还提供强大的综合风险报表功能。
能够从业务和用户两个维度来对可网络中的安全状况进行全面评估,区分检测到的攻击和其中真正有效的攻击次数,并针对攻击类型,漏洞类型和威胁类型进行详细的分析给提供相应的解决建议,同时还能够针对预先定义好的业务系统进行威胁分析,还原给客户一个网络真实遭受到安全威胁的情况。
4.2.1.5智能用户身份识别
4.2.1.6
网络中的用户并不一定需要平等对待,通常,许多企业策略仅仅是允许某些IP段访问网络及网络资源。
NGAF提供基于用户与用户组的访问控制策略,它使管理员能够基于各个用户和用户组(而不是仅仅基于IP地址)来查看和控制应用使用情况。
在所有功能中均可获得用户信息,包括应用访问控制策略的制定和安全防护策略创建、取证调查和报表分析。
1、映射组织架构
NGAF可以按照组织的行政结构建立树形用户分组,将用户分配到指定的用户组中,以实现网络访问权限的授予与继承。
用户创建的过程简单方便,除手工输入帐户方式外,NGAF能够根据OU或Group读取AD域控服务器上用户组织结构,并保持与AD的自动同步,方便管理员管理。
此外,NGAF支持账户自动创建功能,依据管理员分配好的IP段与用户组的对应关系,基于新用户的源IP地址段自动将其添加到指定用户组、同时绑定IP/MAC,并继承管理员指定的网络权限。
管理员亦可将用户信息编辑成Excel、TXT文件,将账户导入,实现快捷的创建用户和分组信息。
2、建立身份认证体系
✓本地认证:
Web认证、用户名/密码认证、IP/MAC/IP-MAC绑定
✓
✓第三方认证:
AD、LDAP、Radius、POP3、PROXY等;
✓
✓单点登录:
AD、POP3、Proxy、HTTPPOST等;
✓
✓强制认证:
强制指定IP段的用户必须使用单点登录(如必须登录AD域等)
✓
丰富的认证方式,帮助组织管理员有效区分用户,建立组织身份认证体系,进而形成树形用户分组,映射组织行政结构,实现用户与资源的一一对应。
NGAF支持为未认证通过的用户分配受限的网络访问权限,将通过Web认证的用户重定向至显示指定网页,方便组织管理员发布通知。
4.2.1.7面向用户与应用的访问控制策略
4.2.1.8
当前的网络环境,IP不等于用户,端口不等于应用。
而传统防火墙的基于IP/端口的控制策略就会失效,用户可以轻易绕过这些策略,不受控制的访问互联网资源及数据中心内容,带来巨大的安全隐患。
NGAF不仅具备了精确的用户和应用的识别能力,还可以针对每个数据包找出相对应的用户角色和应用的访问权限。
通过将用户信息、应用识别有机结合,提供角色为应用和用户的可视化界面,真正实现了由传统的“以设备为中心”到“以用户为中心”的应用管控模式转变。
帮助管理者实施针对何人、何时、何地、何种应用动作、何种威胁等多维度的控制,制定出L4-L7层一体化基于用户应用的访问控制策略,而不是仅仅看到IP地址和端口信息。
在这样的信息帮助下,管理员可以真正把握安全态势,实现有效防御,恢复了对网络资源的有效管控。
4.2.1.9基于应用的流量管理
4.2.1.10
传统防火墙的QOS流量管理策略仅仅是简单的基于数据包优先级的转发,当用户带宽流量过大、垃圾流量占据大量带宽,而这些流量来源于同一合法端口的不同非法应用时,传统防火墙的QOS便失去意义。
NGAF提供基于用户和应用的流量管理功能,能够基于应用做流量控制,实现阻断非法流量、限制无关流量保证核心业务的可视化流量管理价值。
NGAF采用了队列流量处理机制:
首先,将数据流根据各种条件进行分类(如IP地址,URL,文件类型,应用类型等分类,像skype、emule属于P2P类)
然后,分类后的数据包被放置于各自的分队列中,每个分类都被分配了一定带宽值,相同的分类共享带宽,当一个分类上的带宽空闲时,可以分配给其他分类,其中带宽限制是通过限制每个分队列上数据包的发送速率来限制每个分类的带宽,提高了带宽限制的精确度。
最后,在数据包的出口处,每个分类具备一个优先级别,优先级高的队列先发送,当优先级高的队列中的数据包全部发送完毕后,再发送优先级低的。
也可以为分队列设置其它排队方法,防止优先级高的队列长期占用网络接口。
✓基于应用/网站/文件类型的智能流量管理
✓
NGAF可以基于不同用户(组)、出口链路、应用类型、网站类型、文件类型、目标地址、时间段进行细致的带宽划分与分配,如保证领导视频会议的带宽而限制员工P2P的带宽、保证市场部访问行业网站的带宽而限制研发部访问新闻类网站的带宽、保证设计部传输CAD文件的带宽而限制营销部传输RM文件的带宽。
精细智能的流量管理既防止带宽滥用,又提升带宽使用效率。
✓P2P的智能识别与灵活控制
✓
封IP、端口等管控“带宽杀手”P2P应用的方式极不彻底。
加密P2P、不常见P2P、新P2P工具等让众多P2P管理手段束手无策。
NGAF不仅识别和管控常用P2P、加密P2P,对不常见和未来将出现的P2P亦能管控。
而完全封堵P2P可能实施困难,NGAF的P2P流控技术能限制指定用户的P2P所占用的带宽,既允许指定用户使用P2P,又不会滥用带宽,充分满足管理的灵活性。
4.2.3强化的应用层攻击防护
4.2.4
4.2.2.1基于应用的深度入侵防御
4.2.2.2
NGAF的灰度威胁关联分析引擎具备4000+条漏洞特征库、3000+Web应用威胁特征库,可以全面识别各种应用层和内容级别的单一安全威胁;另外,深信服凭借在应用层领域10年以上的技术积累,组建了专业的安全攻防团队,可以为用户定期提供最新的威胁特征库更新,以确保防御的及时性。
下图为灰度威胁关联分析引擎的工作原理:
第一,威胁行为建模,在灰度威胁样本库中,形成木马行为库、SQL攻击行为库、P2P行为库、病毒蠕虫行为库等数十个大类行为样本,根据他们的风险性我们初始化一个行为权重,如异常流量0.32、病毒蠕虫0.36等等,同时拟定一个威胁阀值,如阀值=1。
第二,用户行为经过单次解析引擎后,发现攻击行为,立即将相关信息,如IP、用户、攻击行为等反馈给灰度威胁样本库。
第三,在灰度威胁样本库中,针对单次解析引擎的反馈结果,如攻击行为、IP、用户等信息,不断归并和整理,形成了基于IP、用户的攻击行为的表单。
第四,基于已有威胁样本库,将特定用户的此次行为及样本库中的行为组合,进行权值计算和阀值比较,例如某用户的行为组权重之和为1.24,超过了预设的阀值1,我们会认定此类事件为威胁事件。
由此可见,威胁关联分析引擎对丰富的灰度威胁样本库和权重的准确性提出了更高的要求,NGAF在两方面得以增强:
第一,通过NGAF抓包,客户可以记录未知流量并提交给深信服的威胁探针云,在云中心,深信服专家会对威胁反复测试,加快灰度威胁的更新速度,不断丰富灰度威胁样本库。
第二,深信服不断的循环验证和权重微调,形成了准确的权重知识库,为检测未知威胁奠定了基础。
4.2.2.3强化的WEB攻击防护
4.2.2.4
NGAF能够有效防护OWASP组织提出的10大web安全威胁的主要攻击,并于2013年1月获得了OWASP组织颁发的产品安全功能测试4星评级证书(最高评级为5星,深信服NGAF为国内同类产品评分最高)主要功能如:
防SQL注入攻击
SQL注入攻击产生的原因是由于在开发web应用时,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。
用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据,这就是所谓的SQLInjection,即SQL注入。
NGAF可以通过高效的URL过滤技术,过滤SQL注入的关键信息,从而有效的避免网站服务器受到SQL注入攻击。
防XSS跨站脚本攻击
跨站攻击产生的原理是攻击者通过向Web页面里插入恶意html代码,从而达到特殊目的。
NGAF通过先进的数据包正则表达式匹配原理,可以准确地过滤数据包中含有的跨站攻击的恶意代码,从而保护用户的WEB服务器安全。
防CSRF攻击
CSRF即跨站请求伪造,从成因上与XSS漏洞完全相同,不同之处在于利用的层次上,CSRF是对XSS漏洞更高级的利用,利用的核心在于通过XSS漏洞在用户浏览器上执行功能相对复杂的JavaScript脚本代码劫持用户浏览器访问存在XSS漏洞网站的会话,攻击者可以与运行于用户浏览器中的脚本代码交互,使攻击者以受攻击浏览器用户的权限执行恶意操作。
NGAF通过先进的数据包正则表达式匹配原理,可以准确地过滤数据包中含有的CSRF的攻击代码,防止WEB系统遭受跨站请求伪造攻击。
主动防御技术
主动防御可以针对受保护主机接受的URL请求中带的参数变量类型,以及变量长度按照设定的阈值进行自动学习,学习完成后可以抵御各种变形攻击。
另外还可以通过自定义参数规则来更精确的匹配合法URL参数,提高攻击识别能力。
应用信息隐藏
NGAF对主要的服务器(WEB服务器、FTP服务器、邮件服务器等)反馈信息进行了有效的隐藏。
防止黑客利用服务器返回信息进行有针对性的攻击。
如:
HTTP出错页面隐藏:
用于屏蔽Web服务器出错的页面,防止web服务器版本信息泄露、数据库版本信息泄露、网站绝对路径暴露,应使用自定义页面返回。
HTTP(S
升级会员 