防火墙-青岛畅联信息-领先的综合IT服务商

防火墙

2019-04-12 15:14

深信服下一代防火墙NGAF
一、深信服下一代防火墙的定位
下一代防火墙的背景
全球最具权威的IT研究与顾问咨询公司——Gartner在2009年发布了一篇名为《Defining the Next-Generation Firewall》的文章，给出了真正能够满足用户当前安全需求的下一代防火墙定义：下一代防火墙是一种深度包检测防火墙，超越了基于端口、协议的检测和阻断，增加了应用层的检测和入侵防护,下一代防火墙不应该与独立的网络入侵检测系统混为一谈，后者只包含了日常的或是非企业级的防火墙，或者把防火墙和IPS简单放到一个设备里，整合得并不紧密。
适用于国内环境的下一代防火墙
结合目前国内的互联网安全环境来看，越来越多的安全事件是由于Web层面的设计漏洞被黑客利用所引发的。据统计，国内用户上网流量与对外发布业务流量混合在一起的比例超过50%。以政府为例，60%以上的政府单位门户网站和用户上网是共用电子政务外网的线路。在这种场景下，如果作为出口安全网关的防火墙不具备Web应用防护能力，那么在新出现的APT攻击的大环境下，现有的安全设备很容易被绕过，形同虚设。下一代防火墙作为一款融合型安全产品，不能存在针对基于Web应用的安全短板。
深信服下一代防火墙的功能定位
作为国内下一代防火墙产品的领导者，以及公安部第二代防火墙标准制定的参与者，深信服一直走在前沿，在产品推出伊始就把Web应用防护这个基因深深地植入到深信服下一代防火墙当中。深信服下一代防火墙（Next-Generation Application Firewall）NGAF面向应用层设计，能够精确识别用户、应用和内容，具备完整的L2-L7层安全防护体系，强化了在Web层面的应用防护能力，不仅能够全面替代传统防火墙，而且在开启安全功能的情况下还保持着强劲的应用层处理性能。

二、为什么需要深信服下一代防火墙
近年来，越来越多的网络安全事件告诉我们，安全风险比以往更加难以察觉。随着网络安全形势逐渐恶化，网络攻击愈加频繁，客户对自己的网络安全建设变得越来越不自信。如何加强安全建设？安全建设的核心问题是什么？采用何种安全防护手段更为合适？这些问题已成为困扰客户安全建设的关键问题。
问题一：看不看得到真正的风险？
一方面，只有看到L2-L7层的攻击才能了解网络的整体安全状况，基于多产品的组合方案使大多数用户没有办法进行统一分析，也就无法快速定位安全问题，同时也加大了安全运维的工作量。另一方面，没有攻击并不意味着业务不存在漏洞，一旦漏洞被利用就为时已晚。好的解决方案应能及时发现业务漏洞，防患于未然。最后，即使有大量的攻击也不意味着业务安全威胁很大，只有针对真实存在的业务漏洞进行的攻击才是有效攻击。看不到有效攻击的方案，就无法让客户看到网络和业务的真实安全情况。
问题二：防不防得住潜藏的攻击？
一方面，防护技术不能存在短板，存在短板必然会被绕过，原有设备就形同虚设；另一方面，单纯防护外部黑客对内网终端和服务器的攻击是不够的，终端和服务器主动向外发起的流量中是否存在攻击行为和泄密也需要检测，进而才能找到黑客针对内网的控制通道，同时发现泄密的风险，最后通过针对性的安全防护技术加以防御。
综上所述，真正能看到攻击与业务漏洞，及时查漏补缺，并能及时防住攻击才是最有效的解决方案。那么基于攻击特征防护的传统解决方案是否真的能够达到要求呢？
传统组合方案（FW+IPS+WAF）能否满足？
组合方案不足点一：有几款设备就可以看到几种攻击，但由于信息是割裂的难以对安全日志进行统一分析；有攻击才能发现问题，在没有攻击的情况下，就无法看到业务漏洞，但这并不代表业务漏洞不存在；即使发现了攻击，也无法判断业务系统是否真正存在安全漏洞，还是无法指导用户进行安全建设。
组合方案不足点二：有几种设备就可以防护几种攻击，但大部分客户无法全部部署，所以存在短板；即使全部部署，这些设备也不对服务器和终端向外主动发起的业务流进行防护，在面临新的未知攻击的情况下缺乏有效的防御措施，还是存在被绕过的风险。
传统组合方案问题多
其他品牌的下一代防火墙能否解决问题？
目前，市场上的大部分下一代防火墙产品只能看到除Web攻击以外的大多数攻击，只有极少部分下一代防火墙能够看到简单的Web攻击，但均无法看到业务的漏洞。攻击和漏洞无法关联就很难确定攻击的真实性；另外，大部分下一代防火墙防不住Web攻击，也不能对服务器/终端主动向外发起的业务流进行防护，比如信息泄露、僵尸网络等，应对未知攻击的方式比较单一，只通过简单的联动防护，仍有被绕过的风险。

三、深信服下一代防火墙介绍
结合安全发展趋势和国内用户的安全建设现状，深信服认为适合中国用户本土需求的下一代防火墙需要满足以下几个方面的特点：
1.安全可视
深信服下一代防火墙可以理解网络中的应用、应用中的威胁和攻击、威胁带走的数据内容，并能简单易懂地呈现，实现真正的L2-L7层统一的安全可视化；能通过主动或者被动流量检测及时发现业务漏洞，即使没有攻击也能找到业务中潜在的风险。
通过攻击与业务漏洞的关联分析，可以帮助用户准确地找到有效攻击，使用户看到网络和业务的真实安全情况。
2.双向防御
深信服下一代防火墙具备L2-L7层的攻击防护技术，使防护技术不存在短板。NGAF不仅能够防护外部攻击，还能检查服务器/终端外发流量是否有风险，弥补了传统安全设备只防外不防内的不足之处。NGAF可检测服务器外发数据是否存在泄密或篡改行为，也可检测内网终端电脑是否被黑客控制。
3.智能联动
正所谓道高一尺，魔高一丈，各种应用层攻击、变种、逃逸攻击行为层出不穷，能够智能地针对攻击行为或者防护对象进行学习，动态形成智能防护规则也是下一代防火墙必备的特征之一，让安全检测模块与防护策略联动生效，能够提高黑客的攻击成本，降低客户的运维管理成本。
4.高效稳定
虽然多功能网关具备部分应用安全防护能力，但其传统安全设备的集成、串行部署的方式，使其在多种功能开启之后性能急剧下降，最终只能当传统防火墙使用。深信服下一代防火墙从软件构架、硬件构架两方面彻底改变了多功能网关由于多功能堆叠、串行部署导致的性能瓶颈问题，具备高效的应用层处理能力，实现万兆吞吐。
深信服下一代防火墙四大特性
四、深信服下一代防火墙功能特性
1. 安全可视
1.1 业务安全状况可视
NGAF提供的实时漏洞分析功能，可以根据经过设备的业务流量主动分析其中存在的风险并实时展示出来，实时监控界面可以根据服务器真实存在的漏洞数量进行排名，同时给出各业务系统风险情况的评估，并给出建议和解决方案。

业务系统遭受攻击分布
NGAF还提供强大的综合风险报表功能，从业务和用户两个维度对网络中的安全状况进行整体分析，按照攻击类型、漏洞类型和威胁类型进行统计分析，并根据每项业务对应的服务器IP进行针对性的安全分析，提供相应的安全服务说明，使报表具备更高的可读性，方便用户从报告中分析出下一步的安全加固策略。
NGAF风险报表
1.2 应用服务内容可视
NGAF具有卓越的应用可视化功能，通过多种应用识别技术形成国内最大的应用特征识别库和URL库，涵盖了超过3000种应用规则和3000万URL条目，可精确识别内外网的采用端口跳跃、端口逃逸、多端口、随机端口等各类应用，为下一代防火墙实现用户与应用的精细化访问控制提供技术基础。

卓越的用户与应用识别能力
1.3 用户控制策略可视
NGAF可通过应用可视化功能与用户识别技术结合制定L2-L7一体化应用控制策略, 可以为用户提供更加精细和直观化的控制界面，在一个界面下完成多套设备的运维工作，提升工作效率。
基于用户和应用的访问控制策略
1.4 网络流量状态可视
NGAF可提供基于用户和应用的流量管理功能，能够基于应用做流量控制，实现阻断非法流量、限制无关流量、保证核心业务的可视化流量管理价值，并可通过运行状态页面观察到每条通道的流量状态信息，应用流量排行以及用户流量排行等，同时也会对应用流量进行汇总统计，可直观了解到网络中的流量分布情况。
2. 双向防御

双向内容检测
2.1 强化的Web攻击防护
NGAF采用攻击特征+主动防御相结合的双重防护模式，可有效保护Web业务的安全。攻击特征的防护模式有效结合了Web攻击的静态规则以及基于黑客攻击过程的动态防御机制，提供OWASP定义的十大安全威胁的攻击防护功能，有效防止常见的Web安全威胁。如SQL注入、XSS跨站脚本、CSRF跨站请求伪造、Webshell文件上传等等，主动防御模式可提供参数类型学习和自定义参数等个性化配置，保护Web系统免受网站篡改、网页挂马、业务数据泄露及用户账号被盗等。NGAF于2013年1月通过了OWASP Web安全项目的测试，设备的安全防护等级被评为4星（5星满分），为国内同类厂商的最高得分；2014年9月，NGAF通过了全球顶级评测机构NSS Labs的Web应用防护功能评测，并获得最高评价“Recommended”推荐。

深信服下一代防火墙获NSS Labs最高评价“推荐”认证
2.2 基于应用的深度入侵防御
NGAF基于应用的深度入侵防御采用六大威胁检测机制：攻击特征检测、特殊攻击检测、威胁关联分析、异常流量检测、协议异常检测、深度内容分析。能够有效地防止各类已知/未知攻击，实时阻断黑客攻击。如缓冲区溢出攻击、利用漏洞的攻击、协议异常、蠕虫、木马、后门、DoS/DDoS攻击探测、扫描、间谍软件、以及各类IPS逃逸攻击等。
2.3 僵尸网络检测隔离
NGAF独有的僵尸网络检测隔离功能，能够实时对外发流量进行检测，协助用户定位内网被黑客控制的服务器或终端。该功能融合了僵尸网络识别库，利用业界领先的僵尸网络识别检测技术对黑客的攻击行为进行有效识别，针对以反弹式木马为代表的恶意软件进行深度防护。僵尸网络识别库数量超过30多万条，并由深信服攻防团队实时更新。
僵尸网络检测隔离
同时，深信服建设了完善的安全云平台，将近5000台部署在全球各地的深信服下一代防火墙NGAF可以自动（在获得用户授权的前提下）上传可疑的应用流量到安全云平台，云平台将该部分流量放到虚拟沙盒中进行运行，通过分析异常网络行为，对流量进行判断。若上传流量存在安全威胁，云平台将生成安全防护规则并实时下发到全球所有在线的NGAF，令其能够有效抵御各类互联网攻击。
截止至2015年1月，深信服安全云平台累计收到7000多万条可疑威胁流量，并分析出20多万条存在威胁的流量，安全云平台同步生成并下发的安全防护规则累计拦截了450多万次的访问请求。

深信服安全云平台
2.4 异常流量检测
数据窃取或者是远控木马往往利用常用端口或者协议进行伪装，NGAF可以根据端口和协议是否匹配来检测流量是否存在异常，比如常见的如80、443、21、25等端口的传输协议是否为对应的HTTP、HTTPS、FTP和SMTP协议。RDP、SSH协议是否运行在默认的3389、22端口等，让恶意流量无法轻易地通过端口或者协议伪装，绕过安全设备的检测。
2.5 口令暴力破解防护
口令暴力破解也是黑客经常使用的一种攻击手段，NGAF不仅支持HTTP协议的口令暴力破解防护，还支持FTP、RDP、SSH、Mysql、MS_sqlserver、Oracle、IMAP、POP3、SMTP、Telnet、SMB等多种协议的口令暴力破解防护，全面提升防护对象的密码安全。
2.6 应用协议内容隐藏
NGAF可针对主要的服务器（Web服务器、FTP服务器、邮件服务器等）反馈信息进行有效隐藏。防止黑客利用服务器返回的信息进行有针对性地攻击。如：HTTP出错页面隐藏、响应报头隐藏、FTP信息隐藏等。
2.7 用户登录权限防护
NGAF可以针对特定的服务或者Web页面提供登录保护，通过发送短信验证码的方式提供强认证保护。用户访问到该页面或应用的时候需要先经过短信的认证才能进入到正常的登录界面，增强了敏感页面或应用的安全系数。该功能带来的价值：
第一，对重要的页面（如管理员页面）进行防护，防止通过社会工程、暴力破解拿到正常管理员的账号密码。
第二，可实现敏感页面的双因子强认证提高安全性，防止敏感页面开放于公网或办公网。
2.8 精确的病毒检测能力
NGAF提供先进的病毒防护功能，可从源头对HTTP、FTP、SMTP、POP3等协议流量进行病毒查杀，也可查杀压缩包（zip、rar、gzip等）中的病毒。同时NGAF采用高效的流式扫描技术，可大幅提升病毒检测效率，避免防病毒成为网络安全的瓶颈。
2.9 网关型网页防篡改
NGAF提供网关型的网页防篡改（对服务器“0”影响）功能，能够第一时间拦截网页被篡改的信息并通知管理员确认，同时对外提供篡改重定向功能，提供正常界面、友好界面、Web备份服务器的重定向，保证用户仍可正常访问网站。NGAF网站篡改防护功能使用网关实现动静态网页防篡改功能，这种实现方式相对于主机部署类防篡改软件而言，客户无需在服务器上安装第三方软件，易于使用和维护，在防篡改技术方面采用了网络字节流的检测与恢复，对服务器性能没有影响。
2.10 可定义的敏感信息防泄漏
NGAF提供内置敏感信息库以及可定义的敏感信息防泄漏功能，根据不同用户的防护需求可灵活自定义敏感信息（如：用户信息/邮箱账户信息/MD5加密密码/银行卡号/身份证号码/社保账号/信用卡号/手机号码……），通过短信、邮件报警及连接请求阻断的方式防止大量的敏感信息被窃取。
2.11 覆盖传统防火墙功能
NGAF涵盖了完整的传统防火墙功能，包括融合了技术国内领先、市场占有率第一的IPSec VPN和SSL VPN模块，支持应用访问控制、NAT支持、路由协议、VLAN属性、链路聚合等功能，便于用户替换传统防火墙后，将原有的策略完全迁移至下一代防火墙中，实现简化组网、方便运维的效果。同时NGAF可防护基于数据包的DOS攻击、IP协议报文的DOS攻击、TCP协议报文的DOS攻击、基于HTTP协议的DOS攻击等，实现对网络层、应用层的各类资源耗尽的拒绝服务攻击的防护，支持对加密隧道数据进行安全攻击检测，全面提升广

域网隔离的安全性。
3. 智能联动
深信服下一代防火墙L2-L7层智能防御体系
3.1 自主学习主动防御
NGAF内置主动防御功能，可智能分析提交HTTP请求中的变量和参数类型，根据设定的阈值进行学习，学习结果最终形成防护白名单，阻断不符合学习内容的请求，白名单根据学习结果动态更新，保证参数内容学习的正确性。
3.2 智能APT攻击防护
深信服NGAF是国内唯一同时融合FW、IPS、WAF和AV功能并能进行智能联动的安全产品，通过各模块间的联动，为APT攻击防护提供从主机层(恶意代码防护、僵尸网络隔离)、网络层(访问控制、边界隔离、入侵防护、漏洞扫描、内网嗅探)、到应用层(恶意网址识别、OWASP TOP10、管理认证登录、DLP)的L2-L7层一体化安全防护。通过关联分析准确定位出APT攻击的行为，阻断黑客在实施APT攻击各个步骤、各种手段的有效性。
NGAF智能的主动防御技术可实现内部各个模块之间形成智能的策略联动，如一个IP/用户持续向内网服务器发起各类攻击则可通过防火墙策略暂时阻断IP/用户。智能防护体系的建立可有效地防止工具型、自动化的黑客攻击，提高攻击成本，可抑制APT攻击的发生。同时也使得管理员维护变得更为简单，可实现无网管的自动化安全管理。
3.3 安全风险评估与策略联动
NGAF基于时间周期的安全防护设计提供事前风险评估及策略联动的功能。风险评估功能分为Web弱点扫描与系统漏洞扫描两部分：
系统漏洞扫描通过端口、服务、应用扫描帮助用户及时发现端口、服务及漏洞风险，并通过模块间的智能策略联动及时更新对应安全风险的安全防护策略，帮助用户快速诊断电子商务平台中各个节点的安全漏洞问题，并做出有针对性的防护策略。
Web弱点扫描通过内置的二十多类Web攻击特征，如SQL注入、盲注、操作系统命令、远程文件包含、XPATH注入、LDAP注入、服务器端包含（SSI）、iframe钓鱼、不安全的PHP配置检查等，可以帮助用户快速定位出Web应用的漏洞，并提供相关漏洞的严重等级和描述信息以及建议的修复方案等，协助用户快速解决内网Web应用存在的风险。

3.4 智能联动封锁攻击
NGAF在配置安全策略后，可根据策略的匹配情况动态生成启发式阻断规则，当检测到某个IP有攻击行为后，联动封锁一段时间，以此达到提高黑客攻击成本的目的。当设定的时间内没有再发生攻击行为，则把该IP从启发式阻断规则中删除。
3.5 全网安全监测平台
深信服推出基于广域网安全监控要求的全网安全监测平台，可实现对分支机构安全状况进行监控，并建设完善的全网安全网络。
深信服全网安全监测平台
部署在各节点的NGAF为分支机构的网络提供L2-L7层完整的安全防护，有效避免分支机构因薄弱的安全建设成为入侵短板；总部核心业务区防护设备的部署，强有力地保障了各项业务高效、稳定地开展；安全管理区的全网安全监测平台通过收集各节点的流量、攻击情况，使总部运维人员可实时了解分支机构的安全风险；集中管理平台可实现全网各节点设备的统一管理和统一策略推送，真正做到管理集中化、运维自动化。

分支机构安全状况实时上报
4. 高效稳定
4.1 分离平面设计
深信服下一代防火墙通过软件设计将网络层和应用层的数据处理进行分离，在底层以应用识别模块为基础，对所有网卡接收到的数据进行识别，再通过抓包驱动把需要处理的应用数据报文抓取到应用层。若应用层发生数据处理失败的情况，也不会影响到网络层数据的转发，从而实现高效、可靠的数据报文处理。
分离平面设计
4.2 多核并行处理
NGAF的设计不仅采用了多核的硬件架构，在计算指令设计上还采用了先进的无锁并行处理技术，能够实现多流水线同时处理，成倍提升系统吞吐量，在多核系统下性能表现十分优异，是真正的多核并行处理架构。

多核并行处理技术
4.3 单次解析架构
NGAF采用单次解析构架实现报文的一次解析一次匹配，有效提升了应用层效率。实现单次解析技术的一个关键要素就是软件架构设计实现网络层、应用层的平面分离，将数据通过“0”拷贝技术提取到应用层平面上实现威胁特征的统一解析和统一检测，减少冗余的数据包封装，实现高性能的数据处理。
单次解析架构
4.4 跳跃式扫描技术
NGAF利用多年积累的应用识别技术，在内核驱动层面通过私有协议将所有经过NGAF的数据包都打上应用的标签。当数据包被提取到内容检测平面进行检测时，设备会找到对应的应用威胁特征，通过使用跳跃式扫描技术跳过无关的应用威胁检测特征，减少无效扫描，提升扫描效率。比如：流量被识别为HTTP流量，那么FTPsever-u的相关漏洞攻击特征便不会对系统造成威胁，便可以暂时跳过检测进行转发，提升转发的效率。
4.5 Sangfor Regex正则引擎
正则表达式是一种识别特定模式数据的方法，它可以精确识别网络中的攻击。经深信服安全专家研究发现，业界已有的正则表达式匹配方法的速度一般比较慢，制约了下一代防火墙整机速度的提高。为此，深信服设计并实现了全新的Sangfor Regex正则引擎，将正则表达式的匹配速度提高到数十Gbps，比PCRE和Google的RE2等知名引擎快数十倍，达到业界领先水平。
NGAF的Sangfor Regex大幅降低了CPU占用率，有效提高了NGAF的整机吞吐，从而能够更高速地处理客户的业务数据，该项技术尤其适用于对每秒吞吐量要求特别高的场景，如运营商、电商等。
4.6 产品性能评测报告
国内知名IT行业媒体《网络世界》在2013年针对NGAF进行了一次客观的产品评测。NGAF在各项功能开启的情况下，应用层处理性能表现优秀。在不同大小文件下，应用流量处理能力均达到万兆级别，很好地满足了正常网络应用中万兆宽带的应用流量处理需求。

五、深信服下一代防火墙的品牌优势
1. 市场引领者
2011年7月，深信服率先推出国内第一台下一代防火墙NGAF，自产品发布后，国内追随者不断。深信服NGAF的销量一直稳居下一代防火墙市场的榜首，在国内拥有最多的用户数量。
截止至2014年12月，NGAF在全国的用户数累计超过10000家，在线稳定运行的设备数超过20000台，用户覆盖各行各业，其中包括100多家部委省厅级单位、80多家运营商和金融单位、90多家知名教育单位、200多家大型企业和国资委下属央企集团，用户数量遥遥领先。
据全球著名的咨询机构Frost&Sullivan的分析报告显示，2013年深信服下一代防火墙NGAF在中国集成防火墙市场排名第4，占有10.1%的市场份额，是唯一凭借下一代防火墙一款产品参与排名的厂商。Frost&Sullivan评价到：深信服凭借优质的下一代防火墙产品，奠定了其在中国防火墙市场的领导地位。
2. 产品安全稳定
凭借专业的安全防护能力和卓越的产品品质，NGAF获得了高标准行业的共同认可，连续三年入围中央政府采购名单，2013年、2014年连续两年在中国电信集团Web应用防护系统集采项目中获得最大份额，2014年在中国移动集团首次启动Web应用防火墙产品集采中即获得最高性能档的最大份额。此外，NGAF还在金融行业核心系统中得到了应用。
NGAF获得NSS Labs最高级别“推荐”认证

2013年，深信服将NGAF送往位于美国的全球最知名的独立安全研究和评测机构NSS Labs进行Web安全防护功能评测，在业界专业的WAF测试规范下，成功通过所有的攻击逃逸测试、产品稳定性和可靠性测试，其中，送测设备的每秒新建连接数达到76，616CPS，为送测的6家厂商中的最高数值。深信服下一代防火墙NGAF最终获得NSS Labs最高级别——“Recommended”推荐认证。Product	NSS-Tested Capacity
Sangfor M5900-F-I vAF 4.6.101	76,616 CPS
Evasions	Stability & Reliability
PASS	PASS