v58永利手机版app下载_首页欢迎您

首页    产品中心    深信服NGAF下一代防火墙
1
sf-21

深信服NGAF下一代防火墙

1.

   + 数字化转型。业务越来越多的向公众、合作伙伴,第三方机构等开放,在数字化业务带给我 便使 挂黑链,0day漏洞利用,数据窃取,僵尸网络,勒索病毒等等,传统安全建设模式已经捉 襟见肘,面临着巨大的挑战。

问题:传统信息安全建设,以事中防御为主。缺乏事前的风险预知,事后的持续检 测及响应能力

传统意义上的安全建设无论采用的是多安全产品叠加方案还是采用  UTM/NGFW+WAF  的整  是并不具备对于资产的事前风险预知和事后检测响应的能力,从业务风险的生命周期来看,   的趋势。

问题二:传统安全建设是拼凑的事中防御,缺乏有效的联动分析和防御机制 

  动封锁机制,不仅投资高,运维方面也难管理。

深信服下一代防火墙安全理念 

防护保护 系。

风险 融合现, 策略有效性检测,到事中所应具备的各类安全防御手段以及事后的持续检测和快速响应机制,并将这一过程中所有的相关信息通过多种方式呈现给用户。

 

img1

2.深信服下一代防火墙核心价值

2.1.全程保护

2.1.1.事前预知:资产/脆弱性/策略有效性

深信服 NGAF 能够在事前对内部的服务器进行自动识别,并且还能自动识别服务器上开  略以及是否生效。

 

img2

 

2.1.2.事中防御:完整的防御体系+安全联动+威胁情报

NGAFL2-7 

 

模块间的联动封锁,同云端安全联动,策略的智能联动等。此外,深信服 NGAF 还广泛的 开展第三方安全机构合作,通过国家漏洞信息库,谷歌 Virustotal 恶意链接库等多来源威 情报的输入,帮助用户能够在安全事件爆发之前就提前做好防御的准备。

 

img3

 

2.1.3. 事后检测&响应:威胁行为的持续检测&快速响应

传统安全建设主要集中在边界安全防御,缺乏对绕过安全防御措施后的检测及响应能 力,如果能做好事后的检测及响应措施,可以极大程度降低安全事件产生的影响。深信服 NGAF 融合了事后检测及快速响应技术,即使在黑客入侵之后,也能够帮助用户及时发现入 侵后的恶意行为,如检测僵尸主机发起的恶意行为,网页篡改,网站黑链植入及网站 Webshell   后门检测等,并快速推送告警事件,协助用户进行响应处置。

 

img4

 

2.2.全程可视

2.2.1.事前对安全风险的认知

   清晰了解资产脆弱性

 

img5

 

 快速发现策略有效性

 

img6

 

2.2.2.事中对保护过程的认知

        攻击事件匹配不同攻击阶段

 

img7

2.2.3.事后对保护结果的认知

  基于信息资产维度的安全现状展示

 

 

img8

 

  综合风险报表

 

img9

3.

3.1.系统架构设计

深信服下一代防火墙构筑在64位多核并发,高速硬件平台之上,采用自主研发的并行Sangfor OS核平台上处理紧密协作,极大的提升了网络数据包的安全处理性能。

 

 

img10

 

 控制平面 

负责整个系统各平面、各模块间的监控和协调工作,此平面包括配置存储、配置下发、控制台 UI、数据中心等功能。

 

转发平面

负责网络数据包的高速转发,此平面包括路由子系统、网桥子系统、邻居系统、VPN、NAT、拨号等功能。

 

安全平面

负责安全功能的协调运行,采用一次解析引擎,一次扫描便可识别出各种威胁和攻击,此平面包括入侵防御、WEB  应用防护、实时漏洞分析、僵尸网络、数据防泄密、内容过滤、 防病毒等功能。

3.1.1.分离平面设计

   发,从而实现高效、可靠的数据报文处理。

 

3.1.2.多核并行处理

 线 性能表现十分优异,是真正的多核并行处理架构。

 

img11

 

3.1.3.单次解析架构

  离,将数据通过“0”拷贝技术提取到应用平面上实现威胁特征的统一解析和统一检测,减 少冗余的数据包封装,实现高性能的数据处理。

 

 

img12

 

3.1.4.跳跃式扫描技术

  使 征,减少无效扫描,提升扫描效率。比如:流量被识别为 HTTP 流量,那么 FTP server 的相关漏洞攻击特征便不会对系统造成威胁,便可以暂时跳过检测进行转发,提升转发的效率。

 

3.1.5.Sangfor Regex正则引擎

正则表达式是一种识别特定模式数据的方法它可以准确识别网络中的攻击经深信服 安全专家研究发现业界已有的正则表达式匹配方法的速度一般比较慢制约了下一代防火墙的整机速度的提高。为此,深信服设计并实现了全新的 Sangfor Regex 正则引擎,将正则表达式的匹配速度提高到数十Gbps,比PCREGoogleRE2等知名引擎快数十倍,达到业内较水平。

深信服下一代防火墙的 Sangfor Regex大幅降低了CPU占用率,有效提高了NGA的整数据 别高的场景,如运营商、电商等。

 

3.2.基础防火墙特性

深信服NGAF兼容传统防火墙的所有功能特性,包括交换/路由、访问控制,A-A/A-S热备BypassDDoSDHCP/DNS 等等

 

3.2.1. PPPoE

通过ADSL接入Internet已经成为越来越多中小企业的选择,而ADSL需要拨号以后才IPNGAFPPPoEPPPoEClient PPPoServer获取即可ADSLIP地址DNS地址,自动完成拨号过程,接入Internet网络解决中小企业上网问题。

 

3.2.2. NAT地址转换

支持静态网络地址转换(Static NAT)和动态网络地址转换(Dynamic NAT),实现内 通信 NAT访访访 访问,同时支持目的端口转换。

 

3.2.3. IPv6/IPv4双协议

支持IPv6安全控制策略设置,能针对IPV6的目的/源地址、目的/源服务端口、服务、等条件进行安全访问规则的设置;支持IPv6静态路由;支持双、6to46in4隧道实现IPv6网络与IPv4 网络访问等。深信服NGAF产品已获IPv6-Ready认证。

3.2.4. VPN

深信服 NGAF 根据企业 VPN 常见使用场景,支持多种 VPN 隧道业务,包括 IPSec、GRE、 SSL、L2TP VPN 等。用户可通过 GRE、IPSec  SSL VPN 隧道实现分公司与总部之间的数据 安全传输,通过 SSL  L2TP VPN 隧道实现 PC 以及移动客户端与总部之间的数据安全传输;  Web  访问 户通过三层隧道实现任意内网应用资源的便捷使用。

3.2.5. 链路聚合

链路聚合(Link Aggregation),是指将多个物理接口捆绑在一起,成为一个逻辑接 口,以实现出/入流量在各成员接口中的负荷分担。

SANGFOR NGAF (-hash-RR)   发送的接口。故障接口恢复后会再次重新计算报文发送接口。

链路聚合在增加链路带宽(如果一个接口 1G 带宽,另外一个接口也是 1G 带宽,如果 把这两个接口聚合成一个逻辑接口,理论上这个逻辑接口的带宽就是 2G。)实现链路传输 弹性和冗余等方面是一项很重要的技术。

3.2.6.路由功能

深信服 NGAF 可以实现静态路由、默认路由、浮动静态路由等基础功能,同时能够实现  BGP、RIP、OSPF  等动态路由协议,并更地支持策略路由、多播路由等功能。

 

3.3.事前风险预知

3.3.1.资产自动发现

NGAF 理资漏实 功能IP身资产,帮助用户进行策略的有效配置。

对于网络中的流量,我们可以通过是否与知名DNS 服务器连接、是否访问知名网站、放的端口情况,帮助用户了解自身网路情况。

3.3.2. Web扫描

深信服 NGAF WEB扫描器是深信服结合多年来在web 应用安全上的研究成果,基于大广web安全 web 统的安全现状,并提供专业的安全加固建议。

 

img13

 

 

img14

 

3.3.2.1. 丰富的扫描插件

支持 SQL 注入,XSS 跨站脚本攻击,目录遍历,CSRF 跨站请求伪造,远程文件包含,命 令注入,敏感信息泄露,Struct 2 漏洞等众多扫描插件,覆盖所有 OWASP TOP10 高危漏洞 保证全面深入的 WEB 网站扫描效果

3.3.2.2. 智能网站指纹识别

支持对 web 网站服务器操作系统类型:Apache,IIS,Tomcat,Nginx,Weblogic 等服 务器/中间件类型;php/jsp/asp/c#/.net/python 等网站语言类型进行自动识别,并和 CVE/CNNVD 漏洞库智能关联分析

3.3.2.3.专家级漏洞分析和修复建议

广web  漏洞扫描报告,深信服  WEB  扫描器检测报告对漏洞进行了非常详细和介绍和漏洞危害说明,  payload web  分的信息,即能轻易初步掌握漏洞原因。

 

 

3.3.3.风险分析

 便

端口扫描

对用户指定的服务器IP,端口进行扫描,告知用户该服务器开放了那些端口和服务 漏洞分析 ,并根据防火墙配置告知用户现存风险的防护状态。

弱密码

 在弱密码风险。

策略防护

提供防护操作按钮,通过新增防火墙配置,对服务器存在的风险进行防护。

 

img15

 

 

 

3.3.4. 实时漏洞分析

深信服 NGAF实时漏洞分析系统实时旁路地检测经过设备的应用流量,对流量进行对应 的应用解析,对解析后的应用数据匹配实时漏洞分析识别库,发现服务器存在漏洞。

 

 

img16

 

3.3.4.1. 旁路检测

 测进程对检测的数据包进行扫描检测,对原有数据包的转发不会造成任何性能影响。

3.3.4.2. 强大的漏洞特征库

实时漏洞分析所使用的漏洞特征库由深信服北京研究中心安全专家针对目前流行的软 件、系统等漏洞提取特征,形成库并快速的更新到 NGAF 设备,保证识别出网络中出现的较新漏洞。

 

3.3.5. 威胁情报预警与处置

  危害    护后,本地扫描器还会再次扫描评估是否全面有效的防护了此安全事件。

原理流程如下

 

img17

 

3.3.6.策略有效性识别

深信服 NGAF 通过三个维度实现了策略有效性检测:

 

         御、响应;

        通过策略的对比检查,发现是否存在无效策略、策略冲突、策略配置不当等问题;

        通过规则库的版本检测,高危  0day  预警是否开启等方式判定设备是否具备新威胁的防 御能力。

3.4.事中安全防护

3.4.1.智能控制

深信服NGAF除了能实现等同于传统防火墙的访问控制功能之外还能实现基于应用及地 域的访问控制,帮助用户更好的进行精准控制。

3.4.1.1. 应用控制

 

img18

 

传统防火墙的访问控制或者流量管理粒度粗放只能基于  IP/端口号对数据流量进行 刀切式的禁止或允许深信服下一代防火墙基于更的应用和用户识别能力对数据流量和访问来源进行精细化辨识和分类使得用户可以轻易从同一个端口协议的数据流量中辨识出 任意多种不同的应用,或从无意无序的  IP  地址中辨识出有意义的用户身份信息,从而针对识别出的应用和用户施加细粒度、有区别的访问控制策略、流量管理策略和安全扫描策略, 保障了用户更直接、准确、精细的管理愿望和控制诉求。

例如:允许 HTTP 网页访问顺利进行,并且保证高访问带宽,但是不允许同样基于 HTTP 通过 QQ  QQ  传输,但需要进行防病毒或明个信息过滤,如发现有病毒入侵或泄密事件马上阻断;等等。

 

3.4.1.2. 地域访问控制

地域访问控制主要是通过对访问者的 IP 地址进行归属地判断,判断所属国家或地区 是否能够对业务进行访问。SANGFOR NGAF 内置了一个全球的 IP 地址库,并定期更新。地址 组成 WEBUI  名单和 IP 归属地纠错。具体访问控制流程如下

 

img19

 

一、访问者的 IP 首先会根据 IP 黑名单进行匹配,如果此 IP 是黑名单的 IP 则直接拒 绝访问;

二、根据 IP 白名单进行匹配,如果此 IP 是白名单的 IP 则直接允许访问; 三、如果不在黑白名单中,则通过 IP 地址库进行匹配,得出此 IP 的归属地(那个国家或地区),然后根据用户配置的此国家或是地区的访问策略进行拒绝或允许访问。

 

3.4.2.基于漏洞的安全防护

深信服 NGAF 的威胁分析引擎具备 4000+条漏洞特征库、3000+Web 应用威胁特征库,可 以全面识别各种应用层和内容级别的单一安全威胁;另外,深信服凭借在应用层领域10年以上的技术积累组建了专业的安全攻防团队可以为用户定期提供较新的威胁特征库更新, 以确保防御的及时性。

3.4.2.1. 安全团队定期更新

  进行更新,当遇到重大安全威胁时深信服的安全团队会同时发布威胁预警并进行实时更新, 帮助用户抵御较新的安全威胁。

img20

3.4.2.2. 在线设备全网联动

 NGAF  力, 线线 分析结果发送给所有的深信服  NGAF,使得用户具备防御最新威胁的能力。

 

img21

 

3.4.2.3.多家机构共享特征

以目前网络攻击的更新速度来看单一厂商很难实现对最新威胁的实时更新为了更好 的服务客户,深信服通过与 CNCERT、Google virus total 等十余家权威机构的合作来实现 共享威胁情报,帮助用户接收到多方位的信息,实现对新威胁的有效防御。

3.4.2.4.在线沙盒未知检测

 线 化,提取相关参数变化形成分析结果,确定威胁类型并将结果下发的设备端。

同时深信服内部每周也会通过云端在线沙盒收集流量来进行分析,用以填充设备特征库。

 

3.4.2.5.精准分类的防护策略

考虑到针对主机和终端的不同操作系统或者软件攻击时所要利用漏洞的不同,深信服 NGAF 对此问题将防护策略分为了针对客户端和服务器端两种类型,使得使用可以根据自己 的使用场景进行快速选择,让防护更局针对性

3.4.3. web层防护

 NGAF  OWASP  10  web 的主 2013  1  OWASP 能测 4 (最 5  NGAF  为国内同类产品评分最高)主要功能如:

3.4.3.1. SQL注入攻击

SQL  web 用时 使隐患结果 获得某些他想得知的数据,这就是所谓的 SQL Injection,即 SQL 注入。NGAF 可以通过高效  URL  SQL 信息 SQL 

3.4.3.2.XSS跨站脚本攻击

跨站攻击产生的原理是攻击者通过向 Web 页面里插入恶意 html 代码,从而达到特殊目 的。NGAF 通过先进的数据包正则表达式匹配原理,可以准确地过滤数据包中含有的跨站攻 击的恶意代码,从而保护用户的 WEB 服务器安全。

 

3.4.3.3. CSRF攻击

CSRF 跨站请求伪造,从成因上与 XSS 漏洞完全相同,不同之处在于利用的层次上, CSRF 是对 XSS 漏洞更高级的利用,利用的核心在于通过 XSS 漏洞在用户浏览器上执行功能 相对复杂的 JavaScript 脚本代码劫持用户浏览器访问存在 XSS 漏洞网站的会话,攻击者可以使 作。NGAF 通过先进的数据包正则表达式匹配原理,可以确地过滤数据包中含有的 CSRF  攻击代码,防止 WEB 系统遭受跨站请求伪造攻击。

3.4.3.4. 主动防御技术

URL类型照设定的阈值进行自动学习学习完成后可以抵御各种变形攻击另外还可以通过自定义参数 规则来更准确的匹配合法URL参数,提高攻击识别能力。

3.4.3.5. 应用信息隐藏

NGAF对主要的服务器(WEB 服务器、FTP 服务器、邮件服务器等)反馈信息进行了有效 的隐藏。防止黑客利用服务器返回信息进行有针对性的攻击。如:

HTTP 出错页面隐藏:用于屏蔽 Web 服务器出错的页面,防止 web 服务器版本信息泄露、 数据库版本信息泄露、网站绝对路径暴露,应使用自定义页面返回。

HTTP(S)响应报文头隐藏:用于屏蔽  HTTP(S)响应报文头中特定的字段信息。

FTP  FTP  FTP  FTP 软件版本信息采取有针对性的漏洞攻击。

 

3.4.3.6. URL防护

Web 应用系统中通常会包含有系统管理员管理界面以便于管理员远程维护 web 应用系 统,但是这种便利很可能会被黑客利用从而入侵应用系统。通过 NGAF 提供的受限 URL 防护 功能,帮助用户选择特定  URL  的开放对象,防止由于过多的信息暴露于公网产生的威胁。

3.4.3.7. 弱口令防护

弱口令被视为众多认证类 web 应用程序的普遍风险问题,NGAF 通过对弱口令的检查, 广 web  黑客对 web 系统口令的暴力破解。

 

3.4.3.8. HTTP异常检测

 HTTP  Web 业务系统来量身定造允许的 HTTP 头部请求方法,有效过滤其他非法请求信息。

3.4.3.9. 文件上传过滤

 web  web  查,从而导致 web 服务器被植入病毒、木马成为黑客利用的工具。NGAF 通过严格控制上传  防护、插件过滤等功能检查上传文件的安全性,以达到保护  web 服务器安全的目的。

3.4.3.10. 用户登录权限防护

面等访 断的进行登录密码尝试,NGAF 可以提供访问 URL 登录进行短信认证的方式,提高访问的安 全性。

3.4.3.11.缓冲区溢出检测

缓冲区溢出攻击是利用缓冲区溢出漏洞所进行的攻击行动。可以利用它执行非授权指 令,甚至可以取得系统特权,进而进行各种非法操作。NGAF 通过对 URL 长度,POST 实体长 度和 HTTP 头部内容长度检测来防御此类型的攻击。

3.4.3.12. HTTPS解密

由于 HTTPS 的数据是经过 SSL 加密处理的,如果不进行 HTTPS 解密,SANGFOR NGAF  作用 据转发。

HTTPS 解密主要是在 SANGFOR NGAF 内部实现了 HTTPS 的代理功能。当 NGAF 识别到用  HTTPS  策略  SSL  SSL 安全 如数据包无异常,则再使用用户配置的 SSL 证书进行加密发送出去。

 

 

img22

 

 

 

3.4.4.未知威胁检测

深信服NGAF在发现未知流量时,将会主动(配置允许的条件下)将未知流量上传到云 端沙盒进行未知威胁的检测工作。深信服云端沙盒可以通过监测沙盒环境下的文件执行情工作 式下发到所有在线的 NGAF上。

深信服目前已经有上万台NGAF与云端联动每天运行大量的未知流量发现新威胁特征,用以充实特征库,帮助用户抵御较新的攻击行为。

 

 

img23

 

3.4.5.防篡改

 NGAF  NGAF  下一代防火墙紧密结合,功能联动,保证网站内容不被篡改。

3.4.5.1.先进的 IRP 流拦截技术

 程序,拦截分析 IRP(I/O Request Pcaket)流,识别用户对文件系统的所有操作,并根 据防篡改策略对非法的操作进行拦截,以确保受保护的网站目录文件不被篡改。

1. 端软采用目最流 IRF 驱动流在客端软件置需保护目录允许改该录的用程修改保护站目的应程序合法;

2. 文件驱动检测并识别到非法应用程序修改目录时,拒绝该应用程序的修改动作,并 记录行为日志,上报到 NGAF

3. 端软件有连 NGAF 激活使独立使使客户端NGAF 时,NGAF 上面须配置一条策略使被保护服务器 IP 与客户端软件能够进行 匹配;

 

 

img24

 

3.4.5.2. 网站管理强认证

深信服  NGAF  对网站管理进行二次认证,防止网站管理员因密码泄露而被篡改,并且对 用户网站服务器进行 web 防护,防止网站因 webshellsql 注入等攻击被篡改。

 

img25

管理员后台管理账号密码泄露,黑客即使知道了管理员账号密码,因为无法通过NGAF的二次验证,因而无法篡改网站服务器的目的。

 

 

img26

 

内网 发现管理员的源 IP 地址不合法,并且没有通过授权,因而也无法达到篡改网站服务器的目的。

3.4.5.3. 支持多种网站维护方式

 NGAF  FTPCMS  起到保护作用的同时,不会给管理员带来额外的管理负担,做到的真正的简单实用。

3.4.6. DDOS防护

深信服 NGAF 采用自主研发的 DOS 攻击算法,可防护基于数据包的 DOS 攻击、IP 协议报 文的 DOS 攻击、TCP 协议报文的 DOS 攻击、基于 HTTP 协议的 DOS 攻击等,实现对网络层、 应用层的各类资源耗尽的拒绝服务攻击的防护,实现 L2-L7 层的异常流量清洗。

SANGFOR NGAF 通过两个检测阶段进行 DDoS 的检测和防护:

对于业务数据第一阶段进行 TCP 异常包、IP 选项攻击、未知 IP 协议攻击、IP 分片 LAND WINNUKE SMURF 攻击TCP  FLOOD  SYN FLOOD, ICMP FLOOD, UDP FLOOD, DNS QUERY FLOOD)等 DDoS 检测。当第一阶段中检测到 SYN 包频  TCP  SYN COOKIE  ICMP ( ping of death)等检测

对于本机(访问 SANGFOR NGAF 自身)数据,DDoS 检测模块会在第一阶段做端口扫 SYN  CONNECT  nmap 扫描FIN 扫描NULL xmas tree 扫描,UDP 扫描,ACK 扫描,MAIMON 扫描,WINDOWS 扫描,TCP Idle 扫描而第二阶段 根据第一阶段的检测结果决定是否做本机的 syn 代理。

 

 

3.4.7. 病毒防护

深信服 NGAF 采用流模式和启发式文件扫描技术,可对 HTTP、SMTP、POP3、FTP 等多种 协议类型的近百万种病毒进行查杀,包括木马、蠕虫、宏病毒、脚本病毒等,同时可对多线 程并发、深层次压缩文件等进行有效控制和查杀。

 

 

 

 

img27

 

 3.4.7.1. 多协议并行解析 

 NGAF 优势NGAF  解析架构,可以对包括 HTTP、SMTP、POP3、FTP 等不同的协议并发进行解析,极大的提高解 析效率。

3.4.7.2.内存共享杀毒

 据交互零拷贝,不会因为不同引擎间的数据拷贝导致杀毒效率降低。

3.4.7.3. 多进程并行查杀

杀毒引擎采用深信服 NGAF 自研发的多进程任务分发架构,利用多核硬件架构,可以极 大的提高杀毒引擎同时查杀的病毒样本数目。

3.4.7.4. 智能学习病毒

擎再 效率。

3.4.8.数据防泄密

深信服 NGAF 提供可定义的敏感信息防泄漏功能,根据储存的数据内容可根据其特征清 定义息被 阻断 泄露(如//MD5  //号码/社保账号/信用卡号/手机号码……)

 

img28

深信服 NGAF 数据防泄密特征库由深信服北京研究中心的安全专家实时跟踪业界的安全 动态,收集软件的敏感信息特征,提取成特征库并实时更新到 NGAF。保证 NGAF 能够及时的 阻断黑客对敏感信息的访问,保护客户的隐私信息。

 

3.5. 事后检测及响应

3.5.1. 持续检测

3.5.1.1.失陷主机

深信服 NGAF 独有的失陷主机检测功能,能够实时对外发流量进行检测,协助用户定位 线 识别 为代表的恶意软件进行深度防护。

 

img29

 

 确定位,减少误判带来的运维浪费。

 

img30

 

3.5.1.2. 黑链检测

 web 链接 web  在非法链接的页面。这些非法链就是黑链。

 存在严重安全隐患。

 web  对经过放火墙的流量进行 http 抓包,还原 html 页面、js 文档、以及 css 文档;然后从黑 链特征、黑链 url、以及黑链关键词、js 跳转等几个方面对黑链进行检测。

线 url   确性。

 

img31

黑链特征检测

 

检测页面中存在标签的块属性标签或者