亚信Deep Edge技术白皮书.docx

1、亚信Deep Edge技术白皮书云边界防护网关产品方案目 录1. 网络安全威胁现况概述 51.1. 全球网络威胁概述 51.2. 中国网络威胁概述 52. 深度威胁安全网关需求 82.1. 高级内容防护功能 82.1.1. APT侦测及防护 82.1.2. 恶意软件防护 92.1.3. 零日漏洞及虚拟补丁防护 102.1.4. VPN 内容过滤 102.1.5. 邮件病毒过滤 102.1.6. 间谍软件/灰色软件 102.1.7. 网络钓鱼 112.2. 所有防护功能随时全开的性能 122.3. 中国威胁与应用支持 122.4. 高效率的终端与服务器防护 122.5. 完全自主可控的安全技术

2、123. 深度威胁安全网关防护方案 133.1. 深度威胁安全网关防护规划 133.2. Deep Edge产品介绍 153.3. Deep Edge 部署结构图与案例 173.3.1. 网桥模式（透明模式） 173.3.2. 路由模式 173.3.3. 监控模式 183.3.4. 多ISP/WAN模式 203.3.5. 多网桥模式 203.4. Deep Edge产品技术特征与优势 213.4.1. 全新的系统架构，功能和性能的全面提升 213.4.2. 全面集成业界领先SPN云端安全方案 213.4.3. 更全面更深入的内容安全防护技术 223.4.4. 确保所有防护功能随时全开的尖端性能

3、 223.4.5. 跨物理架构、虚拟化架构及云架构的全方位部署能力 223.4.6. 业界No.1的APT侦测及防护技术 223.4.7. 业界首创并广泛使用的服务器与终端防护利器虚拟补丁技术 223.4.8. 全球IPS核心技术的提供商 234.1.1. 高性能扫描引擎 234.1.2. 更先进的基于内容的防火墙策略 234.1.3. 业内领先技术提供双向的，深度的，全面的内容安全防护 244.1.4. 全球领先的防病毒技术 244.1.5. 领先的web信誉防护技术 244.1.6. 领先的URL过滤技术 254.1.7. 综合的邮件信誉防护及邮件隔离解决方案 254.1.8. 业界领先的

4、僵尸网络防护技术 254.1.9. 完整的简便的网络连接功能 264.1.10. 全面支持VPN典型应用场景 264.1.11. 高度灵活便捷的部署场景 264.1.12. 简化的策略管理 264.1.13. 可扩展的无线安全防护 274.1.14. 强大的日志管理和报表功能 274.1.15. 全面的安全可视化及关注点分析 274.1.16. 高可靠性及冗余性设计 274.1.17. 优化平台，实现轻松管理 274.1.18. 不会过时的系统设计与技术 284.1.19. 最大程度降低防护成本 284.1.20. 全球唯一拥有所有核心技术的安全厂商，确保技术领先和自主可控 281. 网络安全

5、威胁现况概述1.1. 全球网络威胁概述全球恶意软件测试组织 AV-test.org 的 2012年纪录显示, 每年的全球病毒与恶意软件数量持续增长并有加速的趋势。全球著名的企业保险分析组织Lloyds 在他们的 2013 年年度全球企业风险分析里把网络威胁列为企业第三大风险 (从 2012 年的排名第十二位的风险). 他们指出遭受网络攻击而被入侵的企业修复成本平均是 8.9 百万美元。 而绝大部分的攻击来自于恶意软件, DDOS, 与网络攻击. 但他们指出, 此类的攻击已经普遍化, 但大多数的企业并没有适当的准备来面对这些新一代的威胁。1.2. 中国网络威胁概述根据 2012 年中国国家计算机

6、病毒应急处理中心的全国信息网络安全状况与计算机及移动终端病毒疫情调查分析报告显示： 68.83%的被调查单位发生过信息网络安全事件, 感染计算机病毒的比例为 48.87%。 病毒通过网络下载或浏览进行传播的比例为 82.69%。 未修补网络（系统）安全漏洞” （57.26%）、“弱口令或缺少访问控制”（39.62%）仍然是导致发生网络安全事件的主要原因。同时, CNCERT 国家互连网应急中心 2012 年我国互连网网络安全态势总述报告显示： 网站被植入后门等隐蔽性攻击事件呈增长态势, 网站用户信息成为黑客窃取重点, 2012 年, CNCERT 共监测发现我国境内 52324 个网站被植入后

7、门其中政府网站 3016 个, 较 2012 年月份平均分别增长 213.7% 和 93.1%。 网络钓鱼日渐猖獗, 严重影响在线金融服务和电子商务的发展, 危害公众利益。CNCERT 共监测发现针对中国境内网站的钓鱼页面 22308 个, 接收到网络钓鱼事件举报 9463 起, 较 2011 年大幅增长 73.3%。 根据 APWG 2012 年的研究报告显示, 攻击中国机构的网络钓鱼者注册了全球三分之二的恶意域名。这7,712域，5,117（66）的注册目的是攻击中国的目标。 2012 年, CNVD (国家信息安全漏洞共享平台) 每月新增收集发布的漏洞数量平均超过 550 个。同时, 多

8、种原因导致漏洞修复的周期较长, 进程缓慢。 日益增多的存量漏洞和每日新增漏洞是基础信息网络和重要信息系统的主要安全隐患。 2012年，我国境内日均发生攻击流量超过1G的较大规模拒绝攻击 (DDOS) 事件1022起，约为2011年的3倍。2013 年4月CNCERT 国家互连网应急中心 安全威胁报告 提供了以下的数据: 境内感染网络病毒的终端数为近 371 万个。其中，境内被木马或僵尸程序控制的主机 IP 为 155 万余个。 CNCERT 监测到全球互联网近2150 万个主机IP 地址感染飞客蠕虫，按国家或地区分布感染数量排名前三位的分别是中国大陆、巴西、印度。 国家信息安全漏洞共享平台（C

9、NVD）收集整理信息系统安全漏洞 732 个。其中，高危漏洞 226 个，可被利用来实施远程攻击的漏洞有 624 个。受影响的软硬件系统厂商包括 Adobe、Apache、Cisco、Google、IBM、Linux、Microsoft、Oracle 等。2. 深度威胁安全网关需求因为根据最新的CNCERT 与各大研究机构的内容安全分析报告中我们得出结论：中国企业正面临多管道的网络威胁。 无论是病毒, 漏洞利用, 僵尸网络, 钓鱼网站, 或 DDOS 攻击, 随著中国网络架构的快速发展, 各种网络威胁也都有倍速成长的趋势. 这些新一代的网络威胁通过各种传播途径入侵企业环境窃取高价值资讯或造成严

10、重的经济破坏。 这些传播途径包括邮件, 网站访问, VPN 通道, 与终端和服务器漏洞造成的网络接口。同时, 企业为了提升员工的工作效率, 大幅的提升对外的介面, 比如说 VPN 與各種網絡即时通讯工具。但这些对外介面都代表了可能被利用攻击企业的入口.下面就对通过网络, 邮件与应用传播的网络威胁进行分析，深刻了解其特性及当今最先进的防护技术和解决方案，以便企业在选择这类安全产品和服务时做出重要参考。2.1. 高级内容防护功能2.1.1. APT侦测及防护在不断演化的网络安全领域，会出现比高级持续性威胁（Advanced Persistent Threat，APT）更具挑战性的对手，但现在所做的

11、事情，就是要改变。改变用户应对APT攻击时的无奈、改变业内分散片面的堆叠式组合方案、改变数据泄露“常态化”的现状。往事历历在目，由于Google的一名员工点击了即时消息中的一条恶意链接，导致这个搜索引擎巨人的网络随后被渗透，在几个月后安全风险得到修补时，Google发现大量的系统数据已经被窃取。这绝不是孤立事件，一系列APT事件随后浮出水面，这包括伊朗布什尔核电站遭到 Stuxnet 蠕虫攻击、几大跨国能源公司遭到“有组织、手法隐蔽、有针对性”的攻击，以及RSA SecurID技术及客户资料被窃取后的连锁反应。这让借助APT攻击方法的犯罪组织更加猖狂：美国 Target 超市一亿笔客户资料被窃

12、取贩卖、中国台湾地区20个与经济相关的机构受到APT攻击、美国 Home Depot 16 家家饰建材连锁卖场的6000万笔客户资料失窃、eBay遭到神秘黑客的攻击、iCloud泄露出大量好莱坞影星私密照片、索尼影视在APT攻击中大量商业机密遭泄露、美国“最大”的健康保险公司之一Anthem成为医疗行业中“最大”的APT攻击受害者。亚信安全2015年及未来安全预测中提到：APT攻击将会像普通病毒攻击一样普遍！2014年Ponemon研究所的调查显示，APT攻击是大多数受访企业的最大的安全威胁，特别是随着企业转移数据到云计算和混合云基础设施后，单次定向攻击对大型组织造成的平均损失高达 590 万

13、美元。意想不到的成本还包括攻击所造成的诉讼、罚款、治理及调查成本。APT采用定制化的手段、利用社会工程学，有计划、有组织的持续窥探目标网络弱点，长期潜伏并窃取核心机密数据，这让越来越多的企业处于危险境地。更可怕的是，APT攻击会演化成为普遍的网络犯罪，让更多的企业处于安全风险之中。所以，预知APT威胁将会来自哪里，察觉威胁具备怎样的特征，进而采取与之对应的防御战略，将具有重大意义。2.1.2. 恶意软件防护随着新型病毒的不断出现，在网络节点上的病毒防护要求变得越来越高，一方面要求网络版防毒系统对病毒、木马、蠕虫、间谍软件、灰色软件等恶意程序具备综合的防护能力，另一方面要兼具网络层扫描、防火墙、

14、IDS等精细化策略控制。原有网络版防毒系统由于不能很好满足当前的防护要求，在网络节点防范方面存在着潜在的安全隐患。据国际权威的第三方监测组织AV-Test统计数据看，当前互联网上已有超过1600万种恶意程序，并且还在不断激增，每小时有1883多种新病毒产生。只有专注投资在拥有全球恶意软件防护的领导品牌才有足够的资源提供实时的防护技术.2.1.3. 零日漏洞及虚拟补丁防护服务器与台式机一直承载着最为重要的数据，因此，很容易引起外来入侵者的窥探，遭入侵、中病毒、抢权限，各种威胁都会抓住一切机会造访服务器系统。随着新的漏洞不断出现，许多公司在为系统打补丁上疲于应付，等待安装重要安全补丁的维护时段可能

15、是一段艰难的时期。另外，操作系统及应用厂商针对一些版本不提供漏洞的补丁，或者发布补丁的时间严重滞后，还有最重要的是，如果IT人员的配备不足，时间又不充裕，那么系统在审查、测试和安装官方补丁更新期间很容易陷入风险。2.1.4. VPN 内容过滤各种移动设备的使用让VPN 成为让企业员工能灵活在办公室外工作的必要技术。 尤其是 SSL VPN, 让笔记本电脑经过简易的网络介面就能连回公司使用企业内部的计算机与内部应用资源。但 VPN 带来了一个信息安全的隐忧, 那就是 VPN 的应用也让恶意软件能经由公共的网络传输感染企业内部的电脑。很多时候因为VPN 设备 (包括 VPN, UTM, NGFW)

16、不具有内容过滤的功能, 导致员工连回公司环境后也传输进原先隐藏在公共网络的病毒. 2.1.5. 邮件病毒过滤越来越多的病毒作者采用了这种攻击方式，理由非常简单，因为电子邮件成为目前企业使用最多、最重要的信息交流工具，通过邮件为载体，恶意程序转播的速度就最快。前几年，“网络天空”邮件病毒肆略全球，造成了高达数亿美元的损失。现在很多恶意程序利用热门话题，比如亚运会、迈克逊之死等，发送大量的邮件给到用户，好奇的没有戒备的用户一旦点击邮件，就会中招感染恶意程序。现在, 更严重的攻击事件, 所谓的 APT (高级持续性威胁) 攻击事件也利用邮件来锁定目标. 据亚信安全 2012 年的研究显示 高于 90

17、% 的高级持续性威胁经过邮件入侵企业。高效的邮件过滤也因网络威胁的演进又变成不可缺的防护功能。2.1.6. 间谍软件/灰色软件宽带网络的普及，为使用者带来多采多姿的网络生活，同时却也开启了间谍软件/灰色软件长驱直入的方便大门，当使用者发现计算机的处理速度竟然不知不觉地愈来愈慢时，就得多加留意了，因为使用者的计算机很有可能已经感染间谍软件/灰色软件。最可怕的是，使用者对间谍软件/灰色软件的入侵多半毫无知觉，所以一旦系统出现执行效率不佳的状况，最可能发生的状况是，使用者不但已被间谍软件入侵，而且可能还不只1、2个。如今间谍软件/灰色软件的入侵管道相当多样且泛滥，无论是电子邮件或实时通讯附文件、弹出

18、式窗口、恶意或钓鱼网页，以及P2P下载的音乐、电影或非法软件之中，都可能潜藏间谍软件，一旦遭到入侵，最严重的结果，就是计算机内部的重要数据，甚至使用者在键盘上按下按键的动作或密码信息，都会在不知不觉当中外传出去；除此之外，过多的间谍软件也会造成计算机系统效能下降。这些恶意程序透过社交网络、行动计算机以及查询等方式在网络上从事各类型的网络犯罪活动。间谍软件只是众多网络安全威胁之一，而且被全球地下化经济犯罪活动广泛的运用，让制造间谍软件的不法人士透过盗用个人身分信息和敲诈勒索等方式来谋取金钱。除此之外，并有网络钓鱼攻击、以当地语言为目标的攻击和以疆尸计算机网络进行 Denial-of-servic

19、e的攻击，还有透过网络下载以及网络病毒方式来进行攻击。2.1.7. 网络钓鱼网络钓鱼Phishing是另一个近年来主流的网络安全威胁。网络钓鱼Phishing与 Fishing发音相同，是常见的网络诈欺活动，利用电子邮件引诱用户到伪装网站，以套取用户的个人数据如信用卡号码。网络钓鱼诈骗因为横跨网页和电子邮件，所以防护上须涵盖SMTP、POP3与HTTP。以电子邮件而言，有别于前几年的恶意程序无不尽其所能攻击更多的计算机使用者，试图在全球各地引发大范围的疫情爆发，如今电子邮件信息安全威胁愈来愈集中于特定区域与特定对象。区域性与目标式攻击会大量运用社交工程技巧，像是赠送免费的运动赛事门票、伪造企业

20、发出的电子邮件，以及提供看似正常 (其实为恶意性质) 的网站连结等等。假造的电子邮件与网站通常会使用攻击目标当地的语言。虽然区域性与目标式攻击影响所及的使用者人数比以往更少，但是要将它们彻底根除的难度也比以往更高，因为它们具有特定企图，且通常都能自动更新。受金钱利益驱使，最新型态恶意程序通常会锁定特定企业，或是彼此具有共通之处的特定使用者族群，这就是所谓目标攻击 ( target attack)。进行间谍程序网络钓鱼攻击时，作者会利用电子邮件中夹带一个间谍木马程序，或是一个可下载木马程序的连结。使用者不慎下载并执行恶意程序之后，无论是透过手动攻击或利用安全弱点，恶意程序会监视网络传输的信息，侦

21、测使用者是否透过网络存取特定网页。一旦侦测到这种情况，它就会将所有登入信息或机密数据传回给黑客。网络钓鱼有多严重，以下是全球各地的损失数据： 美国-根据 Consumer Reports USA 的报告，2005 年美国公民因网络钓鱼攻击而导致的损失高达 $6 亿 3 千万美元。德国-幕尼黑警方估计，光是幕尼黑一地，在线诈骗活动造成的损失 (2006 年 1 月至 7 月期间) 就已超过一百万欧元。全球-据 Asia.Internet 表示，Gartner Group 的报告显示 2006 年网络钓鱼攻击造成的损失总金额高达 $28 亿美元。 据 Anti-Phishing Working G

22、roup 统计，2005 年 9 月钓鱼网站数量为 5242 个，到 2006 年 9 月已激增至 24,565 个。 在中国 2012 年的报告显示, 网络钓鱼日渐猖獗, 中国网络钓鱼用来攻击的域名已站全球三分之二的恶意网域注册。2.2. 所有防护功能随时全开的性能现代的网络威胁与攻击需要所有防护的功能, 包括防火墙, 应用防火墙, 防病毒, 入侵检测等功能全部同时开启。 许多安全网关 (包括多功能的 UTM 或 NGFW 下一代防火墙) 当功能全开的瞬间, 性能剧降, 严重的影响中小企业的运作。因为性能的限制, 很多网关厂商会引导客户先购买基础的防火墙功能, 但我们从最新的网络威胁事件里看

23、到, “下一代”的威胁需要层次性的高级内容防护同时运作才能达到防御的效果。 因此, 所有的网关性能数据里, 最重要最需要关注的是防御功能全开的性能。Deep Edge采用全新系统架构，在防护功能全部开启的同时，又提供了高效的性能支撑，不仅让您放心地使用网络数据,还让您体验到流畅网络所带来的各种便利。2.3. 中国威胁与应用支持许多信息安全国际大厂在中国提供产品销售与服务, 但极少数厂商在中国投资研发与研究资源。这样的商业模式导致多数国外厂商的产品缺乏中国应用与中国病毒的支持。缺乏中国订制的应用与病毒研究导致这些厂商的产品无法侦测攻击中国企业的网络威胁。只有及少数厂商像亚信安全在中国提供中国病毒

24、特徵码与开发对中国网络应用的支持。2.4. 高效率的终端与服务器防护从最新的威胁报告我们看到, 有将近一半的企业有病毒感染终端设备包括台式机与服务器. 防护海量病毒需要高效的技术与经验。深度威胁安全网关需要能够让计算机免受病毒，特洛伊，蠕虫和现在的间谍软件的攻击，同时具备防火墙和入侵检测的能力；快速的特徵码更新可减少针对新出现的威胁提供防护所需的总体时间。2.5. 完全自主可控的安全技术之前提到的高级内容安全技术与高性能网关的重要性。而这些功能与性能都与技术集成有密切的关系。目前大多 UTM 或下一代防火墙厂商选择不投资研发资源在高级内容安全技术上而选择了集成第三方的技术。这种集成方式有三大问

25、题:1. 第三方的技术需要额外购买, 导致这些厂商无法降低成本或把高级内容防护功能包括在基本功能模块里2. 网关厂商通常不了解第三方技术, 后果是从技术或客户支持上无法提供最好的服务3. 第三方技术不允许公开程序代码无法让网关厂商做到最好的性能优化, 这也是大多 UTM 高级内容防护功能开起后性能大幅下降的原因之一选择拥有所有防护技术的厂商才能保障下一代网关的防御功能, 性能, 与整体价格 (所有功能模块) 。3. 深度威胁安全网关防护方案3.1. 深度威胁安全网关防护规划为了构建一个强壮、有效的防病毒体系，在分析了公司网络架构及相关应用之后，针对潜在的病毒传播威胁，建议采用结合产品、防御策略

26、、服务为一体的深度威胁安全网关。基于xxxx的网关处所面临的威胁分析，构建的xxxx深度网关安全防护系统要实现如下目标：下一代防火墙/精细化内容安全策略入侵检测IPS及虚拟补丁DOS/DDOS攻击防御防APT/定向威胁防零日攻击/漏洞防C&C违规外联、僵尸网络防病毒、木马、蠕虫、后门等防间谍软件、灰色软件等防未知高级恶意程序防网络钓鱼恶意网站过滤网页分类过滤垃圾邮件过滤恶意邮件过滤Site-to-site VPNSSL VPNPPTP VPN移动设备VPNVPN数据过滤高性能 可在高级内容安全防护全开的同时保持高性能APT防护 集成深度威胁发现平台（Deep Discovery， DD），提供

27、APT整体解决方案服务器防护 完整的黑客攻击防御体系；防护包括从定点攻击、服务器夺权到恶意软件下载终端设备防护 终端应用识别、管理与防护功能用户管理 可以与LDAP 或AD 域集成的用户管理让网络资源应用一目了然终端认证 可实现本地用户及域用户认证和识别，提供网页认证及透明认证方式完整安全连通性 包括site-to-site VPN,SSL VPN, PPTP VPN, 与移动设备VPN简单易用 可定制化的仪表盘界面与简易优化的策略管理大大的减轻管理者的工作负担无忧快速部署 帮助用户实现零基础部署及管理，桥接或旁路模式部署而不影响客户网络环境智能防护 防护更新威胁情报来自亚信安全的全球云安全智

28、能防护网络高信誉防护 专注于信息安全领域的领导者 ，拥有多年的经验与信誉3.2. Deep Edge产品介绍如果把进入用户网络的数据看作一片蓝海，那么，传统防火墙基于IP 和 Port 提供粗粒度的网络访问规则，应用防火墙基于Web应用提供更细粒度的网络访问控制，即使这样，经过合法的防火墙规则进入用户网络的数据就一定是安全的么？事实上，大量的网络威胁仍然夹杂在数据内容之中，经过合法的防火墙规则，堂而皇之地进入用户网络，导致用户网络遭受攻击，业务中断，数据泄露或受损。亚信安全TM 深度威胁安全网关 Deep Edge 隶属亚信安全深度威胁发现产品系列（Deep Discovery，DD），是一款

29、基于内容检测的统一智能安全网关。它不仅提供了完整的应用防火墙功能，更重要地是针对100多种常用网络协议提供了入侵防护、虚拟补丁、APT防护、零日漏洞检测、防恶意程序、恶意网站过滤、网站分类访问、VPN数据过滤、垃圾邮件及恶意邮件过滤等多项高级内容安全检测及防护功能。亚信安全TM 深度威胁安全网关 Deep Edge 集多年积累的全球顶级内容识别技术，结合业界领先的云安全智能防护网络（Smart Protection Network，SPN），采用全新一代的高级威胁侦测及分析引擎，无缝对接深度威胁发现平台DD，颠覆传统架构，构建出基于深度内容安全的统一智能安全网关，在全面整合传统安全网关的同时，

30、又提供了完整、深入、高效的内容安全防护，实现了功能和性能的全面提升，保护您的服务器与终端使用安全，确保您的核心数据资产免遭窃取或破坏，保障您的业务可持续运行。3.3. Deep Edge 部署结构图与案例在配置下一代应用安全网关设备前，该设备如何集成到到现有的网络需要进行规划。配置规划取决于目标运行模式：接入模式（路由器模式或网桥模式）或监控模式。3.3.1. 网桥模式（透明模式）在网桥模式下，Deep Edge 设备对于网络是不可见的。它的所有接口都位于相同的子网中。只需配置管理 IP 地址便可进行配置更改。通常现有防火墙或路由器在私有网络中使用网桥模式。Deep Edge 放在第二层交换机

31、和第三层交换机之间可以扫描进入和离开该部分网络的所有数据包。 适合的用户场景 较为完善的网络部署环境，Deep Edge仅作为网络安全设备使用 网络环境中有数据中心，对外发布服务器，邮件服务器，桌面终端及其他网络设备 对数据中心或各类服务器提供安全防护，防止各种外部攻击 对防止垃圾邮件以及病毒邮件进出内部网络 对终端设备提供病毒防护以及安全的上网行为管理 部署结构图及实例3.3.2. 路由模式在路由器模式下，Deep Edge 设备对所连接的网络都是可见的。它的所有接口都位于不同的子网中。连接到网络的每个接口都必须配置有对该网络有效的 IP 地址。通常，如果将 Deep Edge 设备部署为私有网络和公共网络之间的网关，则会使用路由器模式。 适合的用户场景 拥有不太完善的网络部署环境，Deep Edge不仅作为网络安全设备使用，而且还要作为网络连接设备来使用 网络环境中有对外发布服务器，桌面终端及其他网络设备 对外发服务器创建DMZ 为DMZ配置独立的安全策略，防止对外发布服务器遭受各种外部攻击 为终端设备提供病毒防护以及安全的上网行为管理 部署结构图及实