深信服千兆隔离网闸AF
一、深信服安全隔离网闸的定位
全球最具权威的IT研究与顾问咨询公司——Gartner,在2009年发布了一份名为《Defining the Next-Generation Firewall》的文章,给出了真正能够满足用户当前安全需求的安全隔离网闸定义:安全隔离网闸是一种深度包检测网闸,超越了基于端口、协议的检测和阻断,增加了应用层的检测和入侵防护,安全隔离网闸不应该与独立的网络入侵检测系统混为一谈,后者只包含了日常的或是非企业级的网闸,或者把网闸和IPS简单放到一个设备里,整合的并不紧密。
结合目前国内的互联网安全环境来看,更多的安全事件是通过Web层面的设计漏洞被黑客利用所引发。据统计,国内用户上网流量与对外发布业务流量混合在一起的比例超过50%。以政府为例,60%以上的政府单位门户网站和用户上网是共用电子政务外网的线路。在这种场景下,如果作为出口安全网关的网闸不具备Web应用防护能力,那么在新出现的APT攻击的大环境下,现有的安全设备很容易被绕过,形同虚设,安全隔离网闸做为一款融合型的安全产品,不能存针对基于Web的应用安全短板。做为国内安全隔离网闸产品的领导者,和公安部第二代网闸标准制定的参与者,深信服走在前沿,在产品推出伊始就把Web 应用防护这个基因深深地植入到深信服安全隔离网闸当中,深信服安全隔离网闸(Next-Generation Application Firewall)AF面向应用层设计,能够精确识别用户、应用和内容,具备完整的L2-L7层的安全
防护体系,强化了在Web层面的应用防护能力,不仅能够全面替代传统网闸,并具在开启安全功能的情况下还保持有强劲应用层处理能力的全新网络安全设备。
二、为什么需要深信服安全隔离网闸
近几年来,越来越多的安全事故告诉我们,安全风险比以往更加难以察觉。随着网络安全形势逐渐恶化,网络攻击愈加频繁,客户对自己的网络安全建设变得越来越不自信。到底怎么加强安全建设?安全建设的核心问题是什么?采用什么安全防护手段更为合适?已成为困扰用户安全建设的关键问题。
问题一:看不看得到真正的风险?
一方面,只有看到L2-7层的攻击才能了解网络的整体安全状况,而基于多产品组合方案大多数用户没有办法进行统一分析,也就无法快速定位安全问题,同时也加大了安全运维的工作量。另一方面,没有攻击并不意味着业务就不存在漏洞,一旦漏洞被利用就为时已晚。好的解决方案应能及时发现业务漏洞,防患于未然。最后,即使有大量的攻击也不意味着业务安全威胁很大,只有针对真实存在的业务漏洞进行的攻击才是有效攻击。看不到有效攻击的方案,就无法让客户看到网络和业务的真实的安全情况。
问题二:防不防得住潜藏的攻击?
一方面,防护技术不能存在短板,存在短板必然会被绕过,原有设备就形同虚设;另一方面,单纯防护
外部黑客对内网终端和服务器的攻击是不够的,终端和服务器主动向外发起的流量中是否存在攻击行为和泄密也需要检测,进而才能到黑客针对内网的控制通道,同时发现泄密的风险,最后通过针对性的安全防护技术加以防御。
综上所述,真正能看到攻击与业务漏洞,及时查漏补缺,并能及时防住攻击才是最有效的解决方案。那么基于攻击特征防护的传统解决方案是否真的能够达到要求呢?
传统组合方案(AF+IPS+WAF)能否满足?
组合方案不足点一,有几款设备就可以看到几种攻击,但是是割裂的难以对安全日志进行统一分析;有攻击才能发现问题,在没有攻击的情况下,就无法看到业务漏洞,但这并不代表业务漏洞不存在;即使发现了攻击,也无法判断业务系统是否真正存在安全漏洞,还是无法指导客户进行安全建设;
组合方案不足点二,有几种设备就可以防护几种攻击,但大部分客户无法全部部署,所以存在短板;即使全部部署,这些设备也不对服务器和终端向外主动发起的业务流进行防护,在面临新的未知攻击的情况下缺乏有效防御措施,还是存在被绕过的风险。
其他品牌安全隔离网闸能否解决?
大部分安全隔离网闸只能看到除web攻击外的大部分攻击,极少部分安全隔离网闸能够看到简单的WEB
攻击,但均无法看到业务的漏洞。攻击和漏洞无法关联就很难确定攻击的真实性;另外,大部分安全隔离网闸防不住web攻击,也不对服务器/终端主动向外发起的业务流进行防护,比如信息泄露、僵尸网络等,应对未知攻击的方式比较单一,只通过简单的联动防护,仍有被绕过的风险。
三、深信服安全隔离网闸介绍
结合安全发展趋势和国内用户的安全建设现状,深信服认为适合中国用户本土需求的安全隔离网闸需要满足以下几个方面的特点:
1.安全可视
深信服安全隔离网闸可以理解网络中的应用、应用中的威胁和攻击,威胁带走的数据内容,并能简单易懂的呈现,实现真正的L2-7层统一的安全可视化;并能通过主动或者被动流量检测及时发现业务漏洞,即使没有攻击也能到业务中潜在的风险;
通过攻击与业务漏洞的关联分析,可以帮助用户准确的到有效攻击,使用户看到网络和业务的真实安全情况。
2.双向防御
深信服安全隔离网闸具备L2-7层的攻击防护技术,使防护技术不存在短板。不仅仅需要防护外部攻击,并能检查服务器/终端外发流量是否有风险,弥补了传统安全设备只防外不防内的漏洞,可检测服务器外发数据是否有泄密或篡改,也可检测内网终端电脑是否被黑客控制。
3.智能联动
正所谓道高一尺,魔高一丈,各种应用层攻击,以及变种,逃逸攻击行为层出不穷,能够智能的针对攻击行为或者防护对象进行学习,动态形成智能防护规则也是安全隔离网闸必备的特征之一,让安全检测模块与防护策略联动生效,能够提高黑客的攻击成本,降低客户的运维管理成本。
4.高效稳定
虽然多功能网关具备部分应用安全防护能力,但其传统安全设备的集成、串行部署的方式,使其在多种功能开启之后性能急剧下降,最终只能当传统网闸使用。安全隔离网闸应该从软件构架、硬件构架两方面彻底改变多功能网关由于多功能堆叠、串行部署导致的性能瓶颈问题,具备应用层高性能实现万兆的吞吐。
图:深信服安全隔离网闸四大特性
四、深信服安全隔离网闸功能特性
1.安全可视
1.1业务安全状况可视web应用防护系统
AF提供的实时漏洞分析功能,可以根据经过设备的业务流量主动分析其中存在的风险并实时展示出来,实时监控界面上可以根据服务器真实存在的漏洞多少进行排名,同时会给出各个业务系统风险情况的评估,并给出建议解决方案。
AF还提供强大的综合风险报表功能,从业务和用户两个维度对网络中的安全状况进行整体分析,按照受攻击类型、漏洞类型和威胁类型进行统计分析,并根据每个业务对应的服务器IP进行针对性的安全分析,提供相应的服务安全说明,使得报表的可读性更高,方便用户从报告中分析出下一步的安全加固策略。
1.2应用服务内容可视
AF具有卓越的应用可视化功能,通过多种应用识别技术形成国内最大的应用特征识别库和URL库,涵盖了超过3000种应用规则和3000万URL条目,可精确识别内外网的采用端口跳跃、端口逃逸、多端口、随机端口等各类应用,为安全隔离网闸实现用户与应用的精
细化访问控制提供技术基础。
图:卓越的用户与应用的识别能力
1.3用户控制策略可视
AF可通过应用可视化功能与用户识别技术结合制定L3-L7一体化应用控制策略, 可以为用户提供更加精细
和直观化控制界面,在一个界面下完成多套设备的运维工作,提升工作效
率。
图:基于用户和应用的访问控制策略
1.4网络流量状态可视
AF可提供基于用户和应用的流量管理功能,能够基于应用做流量控制,实现阻断非法流量、限制无关流
量保证核心业务的可视化流量管理价值,并可通过运行状态页面观察到每条通道的流量状态信息,应用流量排行以及用户流量排行等,同时也会对应用流量进行汇总统计,可直观的了解到网络中的流量分布情况。
2.双向防御
图:双向内容检测
2.1强化的Web攻击防护
AF采用攻击特征+主动防御相结合的双重防护模式,可有效保护web业务安全。攻击特征的防护模式有效结合了web攻击的静态规则及基于黑客攻击过程的动态防御机制,提供OWASP定义的十大安全威胁的攻击防护功能,有效防止常见的web安全威胁。如SQL注入、XSS跨站脚本、CSRF跨站请求伪造等,主动防御模式可提供参数类型学习和自定义参数等个
性化配置,保护web系统免受网站篡改、网页挂马、业务数据泄露、用户账号被盗等问题。AF于2013年1月通过了OWASP Web安全项目的测试,设备的安全防护等级被评为4星(5星满分)为国内同类厂商最高得分。
2.2基于应用的深度入侵防御
AF基于应用的深度入侵防御采用六大威胁检测机制:攻击特征检测、特殊攻击检测、威胁关联分析、异常流量检测、协议异常检测、深度内容分析。能够有效的防止各类已知未知攻击,实时阻断黑客攻击。如,缓冲区溢出攻击、利用漏洞的攻击、协议异常、蠕虫、木马、后门、DoS/DDoS攻击探测、扫描、间谍软件、以及各类IPS逃逸攻击等。
2.3僵尸网络检测隔离
AF独有的僵尸网络检测隔离功能,能够实时对外发流量进行检测,协助用户定位内网被黑客控制的服务器或终端。该功能融合了僵尸网络识别库,利用业界领先的僵尸网络识别检测技术对黑客的攻击行为进行有效识别,针对以反弹式木马为代表的恶意软件进行深度防护。僵尸网络识别库数量超过15万条,并由深信服攻防团队实时更新。同时,AF正在完善安全云平台,部署在全球各地的深信服安全隔离网闸设备可以自动【在获得用户授权的前提下】或手动上传可疑的应用流量到安全云平台,平台会自动分析,形成新的恶意软件识别策略下发到全球所有设备的规则库上。
2.4应用协议内容隐藏
AF可针对主要的服务器(WEB服务器、FTP服务器、邮件服务器等)反馈信息进行有效隐藏。防止黑客利用服务器返回信息进行有针对性的攻击。如:HTTP出错页面隐藏、响应报头隐藏、FTP信息隐藏等
2.5用户登录权限防护
AF可以针对特定的服务或者web页面提供登陆保护,通过验证码的方式提供强认证保护。用户访问到该页面或应用的时候需要先经过短信的认证才能进入到正常的登录界面,增强了敏感页面或应用的安全系数;该功能能够带来的价值:
第一,对重要的页面(如管理员页面)进行防护,防止通过社会工程、暴力破解拿到正常管理员的账号密码;
第二,可实现敏感页面的双因子强认证提高安全性,防止敏感页面开放于公网或办公网;
2.6精确的病毒检测能力
AF提供先进的病毒防护功能,可从源头对HTTP、FTP、SMTP、POP3等协议流量中进行病毒查杀,也可查杀压缩包(zip,rar,gzip等)中的病毒。同时采用高效的流式扫描技术,可大幅提升病毒检测效率避免防病毒成为网络安全的瓶颈。
2.7网关型网页防篡改
AF提供网关型的网页防篡改(对服务器“0”影响)功能,能够第一时间拦截网页篡改的信息并通知管理员确认。同时对外提供篡改重定向功能,提供正常界面、友好界面、web 备份服务器的重定向,保证用户仍可正常访问网站。AF网站篡改防护功能使用网关实现动静态网页防篡改功能。这种实现方式相对于主机部署类防篡改软件而言,客户无需在服务器上安装第三方软件,易于使用和维护,在防篡改技术方面采用了网络字节流的检测与恢复,对服务器性能没有影响。
2.8可定义的敏感信息防泄漏
AF提供内置敏感信息库以及可定义的敏感信息防泄漏功能,根据不同用户的防护需求可灵活自定义敏感信息(如:用户信息/邮箱账户信息/MD5加密密码/银行卡号/身份证号码/社保账号/信用卡号/手机号码……),通过短信、邮件报警及连接请求阻断的方式防止大量的敏感信息被窃取。
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论