中科神威防火墙V0技术白皮书.docx
《中科神威防火墙V0技术白皮书.docx》由会员分享,可在线阅读,更多相关《中科神威防火墙V0技术白皮书.docx(29页珍藏版)》请在冰豆网上搜索。
中科神威防火墙V0技术白皮书
中科神威防火墙V4.0
技术白皮书
北京中科网威信息技术有限公司
2018年7月
1前言
自2009年Gartner定义下一代防火墙以来,下一代防火墙在安全业界得到了很蓬勃的发展。
但是,当前下一代防火墙宣传大多是围绕着统一检测引擎、基于应用深入检测、流量可视等功能点,都只是对于UTM产品某一个或几个功能点的强化,这些对于客户的网络安全防护没有革命性的突破,无法满足当前网络大变革环境下的安全防护需求。
中科网威认为,防火墙要能称之为“下一代防火墙”(下一代防火墙,NextGenerationFirewall),首先要满足虚拟化网络安全防护的需要,面向数据中心、私有云及共有云的云安全需求,并且彻底摒弃网关与终端的割裂式孤岛安全防护,为客户提供完整的、简单易用、低成本的安全防护解决方案。
因此,中科网威推出了“下一代防火墙”,不仅在统一检测引擎、基于用户、应用、内容的细粒度安全控制、一站式配置、流可视等方面具有优势,更重要的是面向云计算、面向虚拟化、面向未来,立足于云安全,为数据中心、公共云和私有云提供安全防护解决方案。
最新发布的中科神威系列安全产品在功能完善性、稳定性和性能上做了很大改进,支持态势感知地图上显示网络安全事件热点,让网络安全管理员全面掌握全网安全势态。
2中科神威防火墙
2.1主要技术
2.1.1国产自主可控软硬件平台
中科神威防火墙系列的硬软件完全由中科网威自主设计,其中硬件平台的核心处理器采用了目前国内性能最好的第三代申威处理器SW1621,该处理器采用28nm生产工艺,16核,主频2.0GHz,每秒浮点运算次数高达512G,采用64位自主精简指令集,对溢出式攻击和恶意代码有天然的免疫能力。
同时采用的为配合申威处理器而专门研制的申威国产IO套片集成了PCI-E交换功能、桥片功能和I/O功能,支持多种通用高速接口和低速接口并具有片上智能维护系统,可以替代非国产的桥片和I/O芯片,提高了整个硬件平台的国产化程度,也使整个主板的设计更加紧凑、兼容。
那么,软件如何充分利用多核硬件架构以提升性能呢?
图4-3是网威ISOS系统平台内部逻辑结构,它把最耗费CPU资源的网络数据处理放在数据平面,由多个CPU并行处理。
图4-3网威ISOS系统平台内如逻辑结构图
如图4-3所示,ISOS系统被划分为控制平面(ControlPlane)、数据平面(DataPlane)、以及硬件抽象层、操作系统ISOS,控制平面主要负责对系统管理、协议处理、数据转发进行控制;数据平面专门负责数据转发、安全过滤业务处理,从TCP/IP协议栈应用层数据均在数据平面进行处理,每个Core均实现了IPV4、MPLS引擎,可以并行处理网络数据包;系统虚拟层主要为控制平面和数据平面提供统一的系统服务接口,包括内存管理、时钟管理、任务管理、中断管理、文件系统管理、设备管理等;底层驱动和BSP负责各种设备的初始化、寄存器设置和控制以及报文收发控制等。
2.1.2统一安全引擎ISE技术
IPS、DPI、AV等特性都需对报文进行深度扫描,由于UTM的设计理念决定了每个报文需要经过多次扫描,严重影响了UTM的处理性能。
如果防火墙能做到对每个报文只是做一次扫描后提取到后续业务处理所需全部信息,那么防火墙性能就不会像UTM那样,随着开启的功能越多性能越低。
中科神威防火墙V4.0将应用识别、内容检测、URL过滤、入侵检测、病毒识别五个处理引擎合为一个,采用自创高效的HFA正则匹配算法,实现对报文的高效一次性处理。
中科神威防火墙V4.0统一安全引擎ISE的一次扫描提取报文的信息会根据开启的深度扫描功能动态调整,避免不必要的资源消耗。
应用高性能的硬件平台,全部功能均启动,中科神威防火墙V4.0可处理10Gbps吞吐,业内领先。
2.1.3业界领先的HFA一体化扫描算法
中科网威的HFA(HybridFiniteAutomation)结合了DFA和NFA两种算法的优势,其空间占用与NFA相近,性能却超过DFA;能在最小的空间占用基础上获取最佳的时间性能,极大限度地提高一体化深度探测的效率,极大地提高下一代防火墙的性能。
中科网威的HFA算法,能够在加载了数十万条数量级特征库的条件下,达到每核数10G的扫描性能,强劲的性能轻松满足复杂的应用层深度探测扫描的需求。
中科网威的HFA算法,采用分时复用和解压缩技术,使得百兆内存即可容纳百万数量级复杂特征库,很好地解决了内存占用与性能直接的矛盾;采用特征库预编译和预处理技术,使得算法性能同特征库的条目不相关,使得算法时间复杂度达到理论最优值;并且,通过对特征库预编译和预处理算法的不断改进和优化,使得特征库的预处理和加载迅速,无需等待即可预处理完成,使得特征库配置和更新同ISE处理无缝结合。
2.1.4应用识别技术
大部分的即时通讯类应用在协商、数据通信过程都加密,并且加密算法不断更新,以防止被破解。
同时,随着移动互联网的兴起,越来越多的应用采用https作为承载的协议,既能够穿越防火墙,同时内容得到高强度的加密。
鉴于应用通信加密已经成为主流,加密应用的加密算法和行为都在不断地变化,中科网威持续跟踪应用的环境,找出每种加密应用的“根本性”行为进行建模,从而避免了频繁的更新特征库。
同时,中科神威防火墙V4.0采用多种行为分析算法来达到准确识别应用的目的,比如主机行为分析、主机端口关联、连接关联、TCP端口序列分布规律、UDP端口聚类分布规律、报文大小、前128或256字节指纹、报文时间戳、历史行为与实时行为关联、父子连接关联、跨资源访问行为关联、隧道解封、TCL脚本控制、引擎插件协助等。
2.1.5智能流量管理技术
在网络内部,可能存在用户带宽分配不均、被病毒感染主机发生异常流量的情况,需要带宽划分,连接数控制等手段解决。
另一方面,对于高优先级流量——实时语音、邮件、重要领导等需要专门的带宽保证措施。
网威ITM智能流量管理模块实现了8层通道、基于通道优先级进行差分化服务、保证带宽等特性,用户可以结合应用识别、3A用户管理等模块去细粒度、精准地控制流量,从而优化出口带宽,保证关键业务的通畅并使带宽得到充分高效地利用。
图4-4通道配置
2.1.6多维度流可视技术
流可视化不仅是下一代防火墙一个必不可少的功能,更是当今信息化的需求。
要将网络系统中的各种流量信息、安全信息、事件信息、风险健康指数等信息细粒度、全方位地收集、统计、存储、分析、显示出来,需要一个可展性良好的流可视框架。
中科神威防火墙V4.0吸收和改进了网威流控产品的流可视框架,并根据下一代防火墙的流可视化的要求,重新设计和研发出基于指标、类型、时间的多级立体全方位可扩展流可视框架。
能够根据用户需求,快速添加统计指标;能够根据用户制定的统计粒度,增加统计类型;并根据统计信息的时效性进行实时分析显示或者存储,以便历史统计分析查询,形成分析报表。
网威多级立体全方位可扩展流可视框架不仅能够根据用户的要求进行细粒度的统计分析,还会收集实时流量情况、安全信息、网络设备状态信息等信息,并综合统计所得数据,通过一定的关联分析算法得出系统中的网络安全指数、应用安全指数以及应用安全等级等指导、警示性数据,为网管配置提供参考。
多维度流可视技术支持用户和应用的双向钻取,用户可以查看任一用户的应用行为分布,也可以查看任一应用的用户分布,实时方便。
图4-5用户钻取应用
2.1.7一虚多和多虚一的虚拟化技术
1)基于Hypervisor的“一虚多”防火墙虚拟化技术
中科神威防火墙V4.0通过对网威安全操作系统ISOS进行Hypervisor适配的改进和重构,使得网威安全操作系统ISOS能够在如vm、kvm、Xen等多种Hypervisor系统上执行,完美支持防火墙虚拟化。
为中科神威防火墙V4.0软件形态产品提供基础,使得中科网威软件形态的下一代防火墙产品能够很好地适应云计算生态环境,很好地为公有云、私有云等云数据中心提供安全保障和安全服务。
2)基于云租户的安全隔离技术
为了满足云计算中云租户对安全的需求,中科神威防火墙V4.0网关支持添加/删除租户;并通过基于云租户的安全隔离技术,使得中科神威防火墙V4.0网关能够支持基于VLAN、AAA、VXLAN、Trill、NVGRE等方式进行租户定义,并对租户制定丰富的隔离和安全防护策略,实现租户安全隔离,为租户提供安全服务。
3)基于防火墙集群的“多虚一”超级防火墙技术
数据中心或者云数据中心中的各种计算设备、网络设备、存储设备一般都不会是单台部署,而是以集群的方式来无限扩容,来支持日益增长的信息化、网络化需求。
面向未来的下一代防火墙也一样要支持集群化,满足无限扩容的需求。
中科神威防火墙V4.0利用聚合技术结合自研集群协议而形成的“多虚一”虚拟化集成技术,可以将多台(最多可到128台)防火墙虚拟成一台防火墙,让多个设备集群起来工作,将多台防火墙虚拟成一台性能卓越的超级防火墙技术,解决了单台设备的瓶颈问题。
该技术可以自动探测集群中设备的状态去迁移数据流量,当流量进入集群时,会自动根据集群状态将数据迁移到同一台设备上处理,从而保证了一些和连接状态有关的功能在集群下也可以正常工作。
为了方便管理,可以在控制中心可以对所有集群中的设备下发命令,也可以远程到集群中的任何设备查看状态和下发命令。
设备的加入和离开也是动态的,可以弹性工作。
中科神威防火墙V4.0在“多虚一”虚拟化集成技术的基础上,可支持scaleout集群部署,实现动态可调整、性能扩展无极限的数据中心安全或云数据中心安全解决方案。
2.1.8自主知识产权的ISOS网威安全操作系统
1)立足多硬件平台跨越,支持虚拟化
网威安全操作系统不仅支持mips多核平台和arm平台,更支持目前热点的其X86多核平台,能在多款通用服务器上无障碍运行,通过对虚拟化的支持,更能在OPV、VM、Kvm等多款Hypervisor虚机环境中运行;
2)立足并行计算,面向高性能
通过提高CPU主频,来提升单CPU系统整体性能的途径遇到了瓶颈。
多CPU系统一起完成某项任务,必须要解决多CPU之间资源竞争、多CPU之间信息同步等问题,因此需要并行计算技术。
基于网威的并行计算技术,中科神威防火墙V4.0很好地解决了多CPU之间的负载均衡LoadBalance、资源竞争、信息同步等问题。
采用Pipeline、Parallel、Mix三种模式,并动态调整多CPU负载均衡LoadBalance策略。
采用加锁、原子操作、私有化、延迟释放等方式,有效解决了多CPU资源竞争难题。
采用共享内存、消息通信、无锁队列、中断、预取cache等方法,使得多CPU之间信息实现同步与共享
3)立足交互可编程化,面向第三发开发支持
现在的网络需求越来复杂,对智能化交互的需求越来越突出。
面对庞大复杂的网络生态环境,下一代防火墙不可能独立工作,需要同其他网络设备、安全设备、管理软件等进行交互,而且是自动化的智能交互,无需人工干预。
面对这样的趋势和需求,网威ISOS网威云安全操作系统立足于智能交互的可编程化需求,提供丰富的RestfulAPI接口,以便支持第三发开发。
当前网威ISOS网威云安全操作系统的命令行cli交互、web交互、与网威SOC安管系统的交互,以及在网威OPV的云安全服务,都是通过网威ISOS网威云安全操作系统RestfulAPI接口实现的。
2.2主要功能
2.2.1系统管理
管理方式:
支持PXE远程安装、智能平台管理接口(IPMI)、提供管理友好的中英文Web图形界面配置,支持Telnet、SSH、串口登陆命令行模式配置;支持配置管理IP控制列表、SNMP网管协议以及邮件报警。
系统监控:
包括系统信息、CPU利用率、内存利用率、接口流量、会话查询、电源指示灯,以及应用风险系数和安全系数等显示。
网络工具:
支持ping、hping、tracert,等网络测试工具,通过ping、traceroute、ARP测试、TCP测试、HTTP测试手段判断网络和应用的联通性。
时间同步:
支持本地和NTP时间同步。
集中管理:
可通过安全管理系统实现对防火墙的集中设备监控、集中日志审计、安全报警以及安全策略的分发等功能。
2.2.2用户管理及认证
用户管理:
支持“三权分立”的用户管理体系,web管理支持密码连续登录错误自动锁定账号,密码长度不低于10位且要求字母和数字组合。
AAA认证:
支持本地认证、Radius认证、Tacacs+认证、CA认证、LDAP/AD认证;支持认证策略(策略认证联动)、重定向IP(认证代理)、Portal服务器认证接口。
证书管理:
支持本地证书管理(包括申请,下载,吊销,根证书/CRL列表下载);支持第三证书管理(证书/CRL列表/私钥导入,第三方证书删除);支持OCSP"。
2.2.3网络适应性
工作模式:
支持透明、路由、旁路和混合四种工作模式。
路由:
支持静态路由、策略路由、OSPF、RIPv1/v2、BGPv4路由等;支持路由表查看。
网络接口:
支持802.1Q、VlanTrunk、vlan子接口;支持链路802.3ad聚合;支持逻辑桥接口、自定义HA心跳口和管理接口。
NAT:
支持SNAT、DNAT、NAT地址池等;支持FullConeNAT特性,比如EIM、EIF、NATsticky、Hair-pinning等。
DHCP:
支持DHCPClient、DHCPRelay、DHCPServer、DHCPPool。
DNS:
支持本地DNS解析,DNS自学习安全缓存,DNS静态缓存。
PPPoE:
支持PPPoEServer/Client、PPPoE用户管理、路由手动添加和自动下发。
ARP:
支持静态ARP和免费ARP设置,以及动态ARP显示。
DDNS:
支持DDNS动态域名。
2.2.4安全防护模式
1)基于网络
会话数限制:
会话数可控,分别按照协议、用户和策略等多种条件实现会话数统计和控制两种功能,控制粒度精确到单个IP。
ALG:
可控制FTP、H.323、H.323GK、TNS、PPTP、MMS、RTSP、SIP、XDMCP等ALG。
黑名单:
可根据报文的源IP地址进行过滤。
IP/MAC绑定:
可绑定IP/MAC地址,且可自动探测和做唯一性检查。
本地安全:
可限定主机或接入接口对本地服务的访问,如SSH和HTTP等服务。
2)基于应用
应用识别:
支持应用特征库与分析引擎分离,且应用特征库在线实时升级;支持应用特征建模以识别特征变化频繁或加密应用;支持自定义应用特征。
基于应用实施防护:
支持基于应用制定安全策略和针对具体应用的功能控制,以及对未知应用部署安全策略。
3)基于用户
用户识别与认证:
支持用户分类管理与认证;支持本地认证、Radius认证、Tacacs+认证、CA认证、LDAP/AD认证;支持认证策略(策略认证联动)、重定向IP(认证代理)、Portal服务器认证接口。
基于用户实施防护:
基于用户制定安全策略;支持多种针对未通过认证的用户的安全策略。
4)基于云租户
租户添加/删除:
支持添加/删除租户(删除时,自动删除租户下的配置以及配置文件等)。
租户属性配置:
支持以多种方式定义租户,如:
VLAN、Trill、NVGRE、VXLAN(后2种只有在透明传输下有效);支持租户间完全逻辑隔离,租户部署的策略相互之间没有影响。
基本功能:
支持租户独立的配置和租户间视图的切换;支持租户模式下IP地址配置的隔离、直连路由生成的隔离和下静态ARP的隔离。
基础资源对象:
支持基于租户的安全策略、地址对象/地址组/地址池/权重地址、自定义服务对象/服务组、时间对象/时间组以及ALG中常用协议(包括FTP、TFTP、H323、TNS、MMS、PPTP、XDMCP、SIP等)隔离。
安全功能:
支持基于租户的NAT、IP地址配置、IP_MAC绑定、病毒过滤和防挂马、IPS入侵防御检测技术、攻击防护、应用识别、文件控制、ARP防护、内容安全特性(邮件、网页的内容过滤)、策略/静态/多出口路由。
5)基于云主机
云平台:
能够配置云平台的认证信息(云平台类型,管理节点IP地址,管理员用户名和密码),能够与云平台进行管理认证通信,支持OPV-Suite、VMware、Openstack认证和通信。
动态安全策略:
可以根据虚拟机的特征标记从云平台获取到虚拟机的IP地址,且可以动态更新,这样在虚拟机发生IP变化时,动态安全策略就和更新组内的IP地址,在安全策略中引用动态安全策略后,就可以保持这一条安全策略不动,防火墙设备可以自动更新策略内的IP地址表对固定的虚拟机进行安全策略控制,节省人力资源,降低出错风险;支持虚拟机的操作系统信息,网络信息,UUID,集群信息,虚拟机名称等可以描述一台或一类虚拟机的特征参数信息。
安全防护:
支持动态地址的安全防护,支持动态地址的动态安全策略。
6)基于虚身份
应用账号识别:
支持腾讯、XX、阿里、人人网、新浪、猫扑、豆瓣、网易、飞信等主流社交媒体的账号识别和安全保护。
审计/告警:
有效记录用户的网络动作(如登录、发送邮件),通过声音等方式对特定账号进行告警,监控用户的网络动作
虚拟人口库:
可以收集用户的所有虚拟身份(网络应用账号),形成虚拟人口库。
如果与真实人口库对接,对于规范网络行为、处理网络犯罪等有积极作用。
安全防护:
在应用识别的基础上,支持基于应用账号的防护,即针对特定的账号流量做安全策略。
支持单应用账号的安全防护;支持应用账号组的安全防护。
2.2.5特征库支持
统一管理:
web页面下统一对设备支持的特征库进行查看、更新及自定义操作。
种类细分:
在传统IPS、AV和应用特征库基础之上,增加了木马库,webmail、垃圾邮件等特征库。
实时更新:
提供统一、稳定、实时的特征库升级服务。
支持客户定制:
针对webmail、应用特征库可以根据客户需求实现定制。
2.2.6虚拟专用网(VPN)
协议与标准:
支持标准IPSec协议,能够与多家主流厂商VPN设备/客户端软件互联互通,实现端-端的互通加密访问;支持特有的SSLvpn连接方式,并可自定义vpn通道的访问资源,实现Client-端的加密访问。
VPN种类:
支持PPTPVPN、Ipsecvpn、SSLVPN以及GREVPN、L2TPVPN(L2TP-LAC/L2TP--LNS)。
认证方式:
支持本地用户名/密码认证,可利用此方式为基石与其他认证方式结合;支持第三方认证体系进行无缝集成,如LDAP、MicrosoftAD、Radius等,便于接入人员身份的统一管理;支持SSL帐号密码防暴力破解功能,保障用户密码的安全性;支持第三方CA体系进行结合,并支持OCSP服务器,融入PKI体系;支持SSLVPN设备自建CA中心功能,可极大的降低企业使用成本;支持基于SSLVPN接入终端的硬件鉴权,可以自动审批,并支持多对多绑定策略,有效防止非法终端接入。
数据加密和封装:
支持3DES、DES、AES128、AES192、AES256等加密算法;支持AH和ESP封装模式以及MD5、SHA1、SHA2、HMAC-MD-5、HMAC-SHA256等通用摘要算法。
SSLvpn易用性:
支持多种windows操作系统,如win7、winxp、winsever等;支持对包括登陆前和登录后界面的整体界面定制,满足客户个性化风格的要求;支持关闭IE时最小化到系统托盘,开机自动SSL登陆,断线重连,可跳转至SSO配置、个人配置,方便用户快捷操作SSLVPN。
SSLvpn接入优化和管控:
支持选择性缓存动态Web页面,提升Web类资源的访问速度;支持针对全网IP资源进行加速优化,提高针对IP资源的访问速度;支持对资源服务器智能选择,实现对资源服务器接入的负载均衡LoadBalance,进而提高访问效率;支持基于时间、接入IP、终端、接入线路、应用规则的客户端准入控制策略和资源访问授权策略;支持基于基于用户、用户组的流量控制以及会话控制,防止单个客户流量过大,挤占带宽的情况,提高访问体验。
SSLvpn管理:
支持基于角色的方式控制vpn接入用户的访问权限;支持内部资源高细粒度划分,如可以按照URL、服务类、IP等各项资源;支持利用安管系统进行集中管理和维护、智能升级、实时监控。
2.2.7应用管控
用户策略:
可基于用户制定安全策略,并对未通过认证用户实施阻断、记录日志、告警、限制流量等安全策略。
URL分类:
内置URL分类库,支持80多类、1000多万条URL信息。
URL过滤:
可对URL地址以及域名进行过滤,且支持黑名单和白名单。
应用安全策略:
可基于应用制定安全策略,实现对特定用户、用户组、IP、IP组实现限制。
应用识别:
内置1700多种应用特征库,可准确识别各种IM、P2P、网络游戏、流媒体、股票等应用,并可自定义。
P2P管理:
可识别管理100多种P2P应用,规则库实时升级,P2P流量管理可精准到1kbps。
IM管理:
可对加密型或非加密型聊天软件进行管理、拦截、限流,并可分项管理聊天程序的登录/聊天/传输文件/语音/视频等,支持的聊天程序包括、阿里旺旺、YY语音、陌陌电脑版、飞信、新浪UC、Skype、GoogleTalk、PoPoBuild、iChat等10多类。
移动APP管理:
支持基于安卓和苹果OS开发的多种聊天软件和社交软件,如,、微信、新浪微博、YY语音、糗粨、网易新闻等。
WebIM管理:
可对基于Web的聊天进行登录和禁止控制,包括、微信、GoogleTalk、AIM、、阿里旺旺、YYLive等。
非法隧道管理:
可检查TCP应用层内容,分析并控管VPNTunnel网络行为,包括VNN、SoftEther、TinyVPN、PacketiX、HTTP-Tunnel、Tor等。
在线游戏管理:
可对Game、对战平台、3d坦克、11对战平台、OurGame、.cnGame、FOGame、PopkartGame等流行在线游戏实现阻断管理;对国内主流网游实现管用,如英雄联盟、穿越火线、地下城与勇士、魔兽世界、梦幻传奇、大话系列、劲舞团等30多种;以上内容还可根据客户需求定制更新。
关键字过滤:
支持HTTP1.0和HTTP1.1协议,支持多种编码协议如UTF8、GB2312和BIG5;可对通过gzip或deflate的算法压缩的web页面进行动态自动解压缩,并采用内存缓存、包存储结构以及动态调整缓存空间等方式提供更快的响应速度,和用户使用体验,同时降低了用户访问后端服务器的压力。
移动代码过滤:
可对Java,JavaScript,ActiveX、javaapplet、shellcode、cookie、identity等移动代码过滤。
应用设定:
可对FTP、SMTP、POP3等应用进行设定,并过滤。
控制粒度:
内容过滤规则可精确到单个用户和每个ip。
2.2.8应用安全防护
深度包检测:
内嵌深度包检测引擎,针对数据包进行深度过滤检测。
Web过滤防护:
可以阻断内部用户访问非法的网址或访问含有非法内容的网页;支持自定义URL过滤策略、关键字过滤策略、蠕虫过滤策略;支持攻击邮件告警。
FTP过滤防护:
可以对穿透防火墙的FTP服务进行过滤审计;支持通过预定义过滤文件名实现对FTP数据流的区分控制。
VPN隧道防护:
支持对vpn隧道内的内容检查和防护。
应用协议分析:
支持对数据流量的协议分析。
2.2.9IPS入侵防御检测技术
入侵检测技术:
支持基于IP碎片重组、TCP流重组、会话状态跟踪、应用层协议解码等数据流处理方式的攻击识别;支持模式匹配、异常检测、统计分析,以及抗IDS/IP
升级会员 