深信服-下一代防火墙NGAF-技术白皮书.pdf-道客多多

资源描述

2、它相关权利均属于深信服科技股份有限公司。未经深信服科技股份有限公司书面同意，任何人不得以任何方式或形式对本文档内的任何部分进行复制、摘录、备份、修改、传播、翻译成其他语言、将其全部或部分用于商业用途。免责条款本文档仅用于为最终用户提供信息，其内容如有更改或撤回，恕不另行通知。深信服科技股份有限公司已尽最大

3、努力确保本文档内容准确可靠，但不提供任何形式的担保，任何情况下，深信服科技股份有限公司均不对（包括但不限于）最终用户或任何第三方因使用本文档而造成的直接或间接的损失或损害负责。信息反馈如果您有任何宝贵意见，请反馈：地址：深圳市南山区学苑大道 1001号南山智园 A1 栋邮编 518055电话： 0755-86627888传真： 0755-86627

4、999您也可以访问深信服科技网站获得最新技术和产品信息深信服下一代防火墙技术白皮书文档密级：公开3 / 4 11. 概述 42. 深信服下一代防火墙核心价值 . 52.1. 全程保护 .52.2. 全程可视 .73. 主要功能介绍 83.1. 系统架构设计 .83.2. 基础防火墙特性 .1 13.3. 事前风险预知 .1 33.4. 事中安全防护 .1 83.5. 事后检测及响应 .3 14. 部署模式 3 34.1. 网关模式 .

5、3 34.2. 网桥模式 .3 44.3. 旁路模式 .3 64.4. 双机模式 .3 75. 市场表现 3 95.1. 高速增长，年复合增长超 70%. 3 95.2. 众多权威机构一致认可 .4 05.3. 为客户需求而持续创新 .4 06. 关于深信服 4 0深信服下一代防火墙技术白皮书文档密级：公开4 / 4 11.概述近几年来，随着互联网 +、业务数字化转型的深入推进，各行各业都在加速往互联网化、数字化转型。业

6、务越来越多的向公众、合作伙伴，第三方机构等开放，在数字化业务带给我们高效和便捷的同时，信息暴露面的增加，网络边界的模糊化以及黑客攻击的产业化使得网络安全事件相较以往成指数级的增加，面对应对层出不穷的新型安全事件如网站被篡改，被挂黑链， 0 day漏洞利用，数据窃取，僵尸网络，勒索病毒等等，传统安全建设模式已经

7、捉襟见肘，面临着巨大的挑战。问题一：传统信息安全建设，以事中防御为主。缺乏事前的风险预知，事后的持续检测及响应能力传统意义上的安全建设无论采用的是多安全产品叠加方案还是采用 UTM/NGFW+WAF 的整合类产品解决方案，关注的重点都在于如何防护资产在被攻击过程中不被黑客入侵成功，但是并不具备对于资产的事前风险预知和事后

8、检测响应的能力，从业务风险的生命周期来看，仅仅具备事中的防护是不完整的，如果能在事前做好预防措施以及在时候提高检测和响应的能力，安全事件发生产生的不良影响会大幅度降低，所以未来，融合安全将是安全建设发展的趋势。问题二：传统安全建设是拼凑的事中防御，缺乏有效的联动分析和防御机制传统安全建设方案，搜集到的都

9、是不同产品碎片化的攻击日志信息，只能简单的统计报表展示，并不能结合业务形成有效的资产安全状态分析。另外在防护机制上只能依赖静态的防御策略进行防护，无法及时应对业务发生的变化，不同安全设备之间也无法形成有效的联动封锁机制，不仅投资高，运维方面也难管理。深信服下一代防火墙安全理念深信服通过对以上问题的思考进行

10、了下一代防火墙的产品设计，对下一代防火墙赋予了风险预知、深度安全防护、检测响应的能力，最终形成了全程保护、全程可视的融合安全体系。融合不是单纯的功能叠加，而是依照业务开展过程中会遇到的各类风险，所提供的对应安全技术手段的融合，能够为业务提供全流程的保护，融合安全包括从事前的资产风险发现，策略有效性检测，

11、到事中所应具备的各类安全防御手段以及事后的持续检测和快速响应机深信服下一代防火墙技术白皮书文档密级：公开5 / 4 1制，并将这一过程中所有的相关信息通过多种方式呈现给给用户。2.深信服下一代防火墙核心价值2.1. 全程保护2.1.1. 事前预知：资产 /脆弱性 /策略有效性深信服 NGAF 能够在事前对内部的服务器进行自动识别，并且还能自动识别服务器上开放

12、端口和存在的漏洞，弱密码等风险，同时还能判断识别出的资产是否有对应的安全防护策略以及是否生效。2.1.2. 事中防御：完整的防御体系 +安全联动 +威胁情报深信服 NGAF在事中防御层面融合了多种安全技术，提供了 L2-7层完整的安全防御体系，确保安全防护不存在短板，同时还能通过安全联动功能加强防御体系的时效性和有效性，包深信服下一代

13、防火墙技术白皮书文档密级：公开6 / 4 1括模块间的联动封锁，同云端安全联动，策略的智能联动等。此外，深信服 NGAF还广泛的开展第三方安全机构合作，通过国家漏洞信息库，谷歌 Virustotal恶意链接库等多来源威胁情报的输入，帮助用户能够在安全事件爆发之前就提前做好防御的准备。2.1.3. 事后检测 &响应：威胁行为的持续检测 &快速响应传统安全建设

14、主要集中在边界安全防御，缺乏对绕过安全防御措施后的检测及响应能力，如果能做好事后的检测及响应措施，可以极大程度降低安全事件产生的影响。深信服NGAF融合了事后检测及快速响应技术，即使在黑客入侵之后，也能够帮助用户及时发现入侵后的恶意行为，如检测僵尸主机发起的恶意行为，网页篡改，网站黑链植入及网站Webshell后门

15、检测等，并快速推送告警事件，协助用户进行响应处置。深信服下一代防火墙技术白皮书文档密级：公开7 / 4 12.2. 全程可视2.2.1. 事前对安全风险的认知清晰了解资产脆弱性快速发现策略有效性2.2.2. 事中对保护过程的认知攻击事件匹配不同攻击阶段2.2.3. 事后对保护结果的认知基于信息资产维度的安全现状展示深信服下一代防火墙技术白皮书文档密级：公开8 / 4 1 综合风险报表3.

16、主要功能介绍3.1. 系统架构设计深信服下一代防火墙构筑在 64 位多核并发，高速硬件平台之上，采用自主研发的并行操作系统（ SangforOS），将转发平面、安全平面并行运行在多核平台上。多平面并发处理，紧密协作，极大的提升了网络数据包的安全处理性能。深信服下一代防火墙技术白皮书文档密级：公开9 / 4 1 控制平面负责整个系统各平面、各模块间的监控和

17、协调工作，此平面包括配置存储、配置下发、控制台 UI、数据中心等功能。转发平面负责网络数据包的高速转发，此平面包括路由子系统、网桥子系统、邻居系统、 VPN、NAT、拨号等功能。安全平面负责安全功能的协调运行，采用一次解析引擎，一次扫描便可识别出各种威胁和攻击，此平面包括入侵防御、 WEB应用防护、实时漏洞分析、僵尸网络

18、、数据防泄密、内容过滤、防病毒等功能。3.1.1. 分离平面设计深信服下一代防火墙通过软件设计将网络层和应用层的数据处理进行分离，在底层以应用识别模块为基础，对所有网卡接收到的数据进行识别，再通过抓包驱动把需要处理的应用数据报文抓取到应用层。若应用层发生数据处理失败的情况，也不会影响到网络层数据的转发，从而实现高

19、效、可靠的数据报文处理。深信服下一代防火墙技术白皮书文档密级：公开1 0 / 4 13.1.2. 多核并行处理深信服下一代防火墙的设计不仅采用了多核的硬件架构，在计算指令设计上还采用了先进的无锁并行处理技术，能够实现多流水线同时处理，成倍提升系统吞吐量，在多核系统下性能表现十分优异，是真正的多核并行处理架构。3.1.3. 单次解析架构深信服下一代防

20、火墙采用单次解析架构实现报文的一次解析一次匹配，有效提升了应用层效率。实现单次解析技术的一个关键要素就是软件架构设计实现网络层、应用层的平面分离，将数据通过 “ 0” 拷贝技术提取到应用平面上实现威胁特征的统一解析和统一检测，减少冗余的数据包封装，实现高性能的数据处理。深信服下一代防火墙技术白皮书文档密级：公开1 1 / 4 13.1.4. 跳跃

21、式扫描技术深信服下一代防火墙利用多年积累的应用识别技术，在内核驱动层面通过私有协议将所有经过下一代防火墙的数据包都打上应用的标签。当数据包被提取到内容检测平面进行检测时，设备会找到对应的应用威胁特征，通过使用跳跃式扫描技术跳过无关的应用威胁检测特征，减少无效扫描，提升扫描效率。比如：流量被识别为 HTTP流量

22、，那么 FTP server的相关漏洞攻击特征便不会对系统造成威胁，便可以暂时跳过检测进行转发，提升转发的效率。3.1.5. Sangfor Regex 正则引擎正则表达式是一种识别特定模式数据的方法，它可以精确识别网络中的攻击。经深信服安全专家研究发现，业界已有的正则表达式匹配方法的速度一般比较慢，制约了下一代防火墙的整机速度的提高。

23、为此，深信服设计并实现了全新的 SangforRegex 正则引擎，将正则表达式的匹配速度提高到数十 Gbps，比 PCRE 和 Google 的 RE2 等知名引擎快数十倍，达到业界领先水平。深信服下一代防火墙的 Sangfor Regex 大幅降低了 CPU占用率，有效提高了 NGAF 的整机吞吐，从而能够更高速地处理客户的业务数据，该项技术尤其适用于对每秒吞吐量要求

24、特别高的场景，如运营商、电商等。3.2. 基础防火墙特性深信服 NGAF兼容传统防火墙的所有功能特性，包括交换 /路由、访问控制， A-A/A-S双机热备、软硬件 Bypass、系统管理、日志报表、会话管理、抗 DDoS攻击、应用代理、 DHCP/DNS等等。深信服下一代防火墙技术白皮书文档密级：公开1 2 / 4 13.2.1. PPPoE通过 ADSL接入 Internet已经成为越来越多中小企业的选择

25、，而 ADSL需要拨号以后才能获得 IP地址。深信服 NGAF 支持 PPPoE 协议，作为 PPPoE Client端完成与 PPPoEServer建立连接和地址获取，通过设置用户名和口令即可支持 ADSL 接入，获得动态 IP地址、网关及 DNS地址，自动完成拨号过程，接入 Internet网络。解决中小企业上网问题。3.2.2. NAT 地址转换支持静态网络地址转换（ Static NAT）和动态

26、网络地址转换（ Dynamic NAT），实现内网地址转换成公网地址后进行网络通信。支持目的 NAT，将对外网地址的访问映射为对内网地址访问，支持将对一个公网地址的访问映射为内网多个地址，实现内网服务器的负载均衡访问，同时支持目的端口转换。3.2.3. IPv6/IPv4 双协议栈支持 IPv6 安全控制策略设置，能针对 IPV6的目的 /源地址、目的 /

27、源服务端口、服务、等条件进行安全访问规则的设置；支持 IPv6静态路由；支持双栈、 6to4 及 6in4 隧道实现IPv6网络与 IPv4网络访问等。深信服 NGAF产品已获 IPv6-Ready 认证。3.2.4. VPN深信服 NGAF根据企业 VPN 常见使用场景，支持多种 VPN隧道业务，包括 IPSec、 GRE、SSL、 L2TP VPN等。用户可通过 GRE、 IPSec 或 SSL VPN 隧道实现分公司与

28、总部之间的数据安全传输，通过 SSL或 L2TP VPN隧道实现 PC以及移动客户端与总部之间的数据安全传输；支持多种隧道模式，即可以让用户通过七层 Web链接进行内网资源的快速访问，又可以让用户通过三层隧道实现任意内网应用资源的便捷使用。3.2.5. 链路聚合链路聚合（ Link Aggregation），是指将多个物理接口捆绑在一起，成为一个逻辑接口

29、，以实现出 /入流量在各成员接口中的负荷分担。SANGFORNGAF根据用户配置的端口负荷分担策略 (主备、负载均衡 -hash、负载均衡 -RR)决定报文从哪一个成员接口发送到下一跳地址。当交换机检测到其中一个成员接口链路发生故障时，就停止在此接口上发送报文，并根据负荷分担策略在剩下接口链路中重新计算报文发送的接口。故障接口恢复

30、后会再次重新计算报文发送接口。深信服下一代防火墙技术白皮书文档密级：公开1 3 / 4 1链路聚合在增加链路带宽（如果一个接口 1G带宽，另外一个接口也是 1G 带宽，如果把这两个接口聚合成一个逻辑接口，理论上这个逻辑接口的带宽就是 2G。）实现链路传输弹性和冗余等方面是一项很重要的技术。3.2.6. 路由功能深信服 NGAF 可以实现静态路由、默认路由、浮动

31、静态路由等基础功能，同时能够实现如 BGP、 RIP、 OSPF 等动态路由协议，并完美支持策略路由、多播路由等功能。3.3. 事前风险预知3.3.1. 资产自动发现深信服 NGAF 为帮助保护用户快速管理资产，避免安全防护策略的遗漏实现了基于流量检测的资产自动发现功能，可以通过流经流量的 IP 地址检测及端口检测快速发现自身资产，帮助用户进行策

32、略的有效配置。对于网络中的流量，我们可以通过是否与知名 DNS 服务器连接、是否访问知名网站、是否有被搜索引擎进行检测等算法来判定哪些是内网主机。在通过端口的链接情况，记录开放的端口情况，帮助用户了解自身网路情况。3.3.2. Web 扫描深信服 NGAF 的 WEB 扫描器是深信服结合多年来在 web 应用安全上的研究成果，基于大量信息安

33、全事件应急响应的丰富经验下开发出的一款安全扫描器，该扫描器旨在帮助广大用户对 web服务器网站进行深度的安全扫描，指纹识别，漏洞验证，全面预知 web 应用系统的安全现状，并提供专业的安全加固建议。深信服下一代防火墙技术白皮书文档密级：公开1 4 / 4 13.3.2.1. 丰富的扫描插件支持 SQL注入， XSS跨站脚本攻击，目录遍历， CSRF 跨站请求伪造，远程

34、文件包含，命令注入，敏感信息泄露， Struct 2 漏洞等众多扫描插件，覆盖所有 OWASP TOP10高危漏洞，保证全面深入的 WEB网站扫描效果。3.3.2.2. 智能网站指纹识别支持对 web 网站服务器操作系统类型： Apache， IIS， Tomcat， Nginx， Weblogic 等服务器 /中间件类型； php/jsp/asp/c#/.net/python 等网站语言类型进行自动识别，并和CVE/CNN

35、VD漏洞库智能关联分析。3.3.2.3. 专家级漏洞分析和修复建议为帮助广大 web管理人员轻易读懂和掌握专业性较强的安全报告内容，告别晦涩难懂的漏洞扫描报告，深信服 WEB扫描器检测报告对漏洞进行了非常详细和介绍和漏洞危害说明，并将安全检查过程中发送的 payload测试报文进行高亮显示， web 管理人员通过高亮显示部分的信息，即能轻易

36、初步掌握漏洞原因。3.3.3. 风险分析提供主动扫描功能，通过检查防火墙配置，帮助管理员分析服务器开放的端口和存在的风险，并对扫描结果提供对应防护操作，如漏洞防护，端口屏蔽等来方便用户进行安全防护。端口扫描对用户指定的服务器 IP，端口进行扫描，告知用户该服务器开放了那些端口和服务漏洞分析针对端口扫描结果对开放的端口

37、和服务进行风险分析，告知用户服务器存在的漏洞，并深信服下一代防火墙技术白皮书文档密级：公开1 5 / 4 1根据防火墙配置告知用户现存风险的防护状态。弱密码探测提供内置和自定义弱密码库，对用户指定的服务器进行弱密码探测，分析服务器是否存在弱密码风险。策略防护提供防护操作按钮，通过新增防火墙配置，对服务器存在的风险进行防护。3.3.4. 实时漏

38、洞分析深信服 NGAF 实时漏洞分析系统实时旁路地检测经过设备的应用流量，对流量进行对应的应用解析，对解析后的应用数据匹配实时漏洞分析识别库，发现服务器存在漏洞。深信服下一代防火墙技术白皮书文档密级：公开1 6 / 4 13.3.4.1. 旁路检测实时漏洞分析采用的是旁路检测技术，即将待检测的数据包镜像一份到待检测队列，检测进程对检测的数据包进行扫

39、描检测，对原有数据包的转发不会造成任何性能影响。3.3.4.2. 强大的漏洞特征库实时漏洞分析所使用的漏洞特征库由深信服北京研究中心安全专家针对目前最新的软件、系统等漏洞提取特征，形成库并快速的更新到 NGAF 设备，保证识别出网络中出现的最新漏洞。3.3.5. 威胁情报预警与处置在云端通过安全事件响应分析模块自动对安全事件进行

40、及时的响应和分析，产出安全事件的危害描述、漏洞特征、攻击特征和防护策略，网关设备通过更新机制把安全事件更新包更新到本地，并通过控制台弹窗的方式告知用户当前的安全事件和危害，本地扫描器针对漏洞特征对当前防护的业务系统进行全面扫描分析定位是否存在此安全事件漏洞。如果本地存在安全漏洞，则通过安全引擎对此漏洞的

41、安全攻击特征进行防护，并且通过自动化生成安全防护策略的方式帮助用户达到全面有效防护此安全事件的目的。在对此安全事件完成安全防护后，本地扫描器还会再次扫描评估是否全面有效的防护了此安全事件。原理流程如下：深信服下一代防火墙技术白皮书文档密级：公开1 7 / 4 13.3.6. 策略有效性识别深信服 NGAF通过三个维度实现了策略有效性检测：深信服下一代防火

42、墙技术白皮书文档密级：公开1 8 / 4 1 通过监测流量进行发现，判定是否对设备与业务系统之间进行了策略配置实现检测、防御、响应；通过策略的对比检查，发现是否存在无效策略、策略冲突、策略配置不当等问题；通过规则库的版本检测，高危 0day预警是否开启等方式判定设备是否具备新威胁的防御能力。3.4. 事中安全防护3.4.1. 智能控制深信服 NGAF

43、除了能实现等同于传统防火墙的访问控制功能之外还能实现基于应用及地域的访问控制，帮助用户更好的进行精准控制。3.4.1.1. 应用控制传统防火墙的访问控制或者流量管理粒度粗放，只能基于 IP/端口号对数据流量进行一刀切式的禁止或允许。深信服下一代防火墙基于卓越的应用和用户识别能力，对数据流量和访问来源进行精细化辨识和分

44、类，使得用户可以轻易从同一个端口协议的数据流量中辨识出任意多种不同的应用，或从无意无序的 IP 地址中辨识出有意义的用户身份信息，从而针对深信服下一代防火墙技术白皮书文档密级：公开1 9 / 4 1识别出的应用和用户施加细粒度、有区别的访问控制策略、流量管理策略和安全扫描策略，保障了用户最直接、准确、精细的管理愿望和控制诉求。例如：允许 H

45、TTP网页访问顺利进行，并且保证高访问带宽，但是不允许同样基于 HTTP协议的视频流量通过；允许通过 QQ 进行即时通讯，但是不允许通过 QQ传输文件；允许邮件传输，但需要进行防病毒或明个信息过滤，如发现有病毒入侵或泄密事件马上阻断；等等。3.4.1.2. 地域访问控制地域访问控制主要是通过对访问者的 IP 地址进行归属地判断，判断所

46、属国家或地区是否能够对业务进行访问。 SANGFOR NGAF内置了一个全球的 IP地址库，并定期更新。地址库由三部分组成：黑名单、白名单和全球地址库，用户可以在 WEBUI 上对此地址库配置黑白名单和 IP 归属地纠错。具体访问控制流程如下：一、访问者的 IP 首先会根据 IP 黑名单进行匹配，如果此 IP是黑名单的 IP则直接拒绝访问；二、根据 IP 白

47、名单进行匹配，如果此 IP是白名单的 IP 则直接允许访问；三、如果不在黑白名单中，则通过 IP地址库进行匹配，得出此 IP的归属地（那个国家或地区），然后根据用户配置的此国家或是地区的访问策略进行拒绝或允许访问。3.4.2. 基于漏洞的安全防护深信服 NGAF 的威胁分析引擎具备 4000+条漏洞特征库、 3000+Web应用威胁特征库，可以全面识

48、别各种应用层和内容级别的单一安全威胁；另外，深信服凭借在应用层领域 10 年深信服下一代防火墙技术白皮书文档密级：公开2 0 / 4 1以上的技术积累，组建了专业的安全攻防团队，可以为用户定期提供最新的威胁特征库更新，以确保防御的及时性。3.4.2.1. 安全团队定期更新深信服安全团队对于网络中不断发现的攻击形式进行解析，通过后端的专家团队对攻击的

49、不断解析发现其中的攻击特征，并将攻击特征整理归纳填充到现有的特征库中为用户定期进行更新，当遇到重大安全威胁时深信服的安全团队会同时发布威胁预警并进行实时更新，帮助用户抵御最新的安全威胁。3.4.2.2. 在线设备全网联动深信服 NGAF为满足对新威胁防御的需求，让用户以最快的速度具备防御新威胁的能力，实现了安全云与在线设备的联动。通过云端收集上万台在线设备的未知威胁进行分析，并将分析结果发送给所有的深信服 NGAF，使得用户具备防御最新威胁的能力。深信服下一代防火墙技术白皮书文档密级：公开2 1 / 4 13.4.2.3. 多家机构共享特征以目前网络攻击的更新速度来看，单一厂商很难实现对最新威胁的实时更新。为了更好的服务客户，深信服

展开阅读全文