一、需求概述
1.1背景介绍
近几年来,计算机和网络攻击的复杂性不断上升,使用传统的防火墙和入侵检测系统(IDS)越来越难以检测和阻挡。随着每一次成功的攻击,黑客会很快的学会哪种攻击方向是最成功的。漏洞的发现和黑客利用漏洞之间的时间差也变得越来越短,使得IT和安全人员得不到充分的时间去测试漏洞和更新系统。随着病毒、蠕虫、木马、后门和混合威胁的泛滥,内容层和网络层的安全威胁正变得司空见惯。复杂的蠕虫和邮件病毒诸如Slammer、Blaster、Sasser、Sober、MyDoom等在过去几年经常成为头条新闻,它们也向我们展示了这类攻击会如何快速的传播——通常在几个小时之内就能席卷全世界。IT和安全人员不仅需要担心已知安全威胁,他们还不得不集中精力来防止各种被称之为“零小时”(zero-hour)或“零日”(zero-day)的新的未知的威胁。
1.2需求分析
1.2.1下一代防火墙需求
·业务服务器自身存在的漏洞被黑客利用产生攻击,操作系统,应用软件或是应用协议都可能存在漏洞,如windows远程桌面漏洞,apache struts2漏洞,OPEN SSL心脏出血漏洞,BASH破壳漏洞等;
·Web应用层面的安全威胁,如SQL注入攻击,XSS攻击,Webshell上传等;
·网站管理后台或者个人账户登录系统遭到口令暴力破解;
·业务服务器上存储的的敏感信息被窃取;
·对外发布网站内容被篡改;
·终端自身系统或者应用软件存在的漏洞防护;
·已知远控木马,蠕虫病毒等恶意软件被种植到终端,形成僵尸主机后的检测识别;
·未知变种恶意软件威胁的检测与防护;
1.2.2上网行为管理需求
·工作效率低下
网络的普及改变了传统的办公方式,而内网中总有部分用户在上班时间有意无意的做与工作无关的网络行为,比如聊天、炒股、玩网游、看视频、网购等,而且越来越多的员工正在通过企业无线网络来使用移动APP版的淘宝、陌陌。这严重影响工作效率,从而导致企业竞争力的下降。
所以,组织需要针对PC、移动终端等各种应用、APP进行更有效的识别和管控。
·带宽滥用和浪费
互联网中充斥着P2P下载、在线视频、游戏、在线小说等耗费带宽的非关键业务应用,用户在使用这些应用的过程中必然会占用大量的带宽,而关键的业务应用、关键人员角色则得不到足够的资源。
此外,传统的带宽管理策略都是静态的,当带宽空闲时,依然会限制用户的流量,带宽价值被大大浪费。
所以,IT部门需要针对各种应用类型、用户角色、带宽占用情况等,提供更加灵活、细致、动态的带宽管理策略,提升用户上网体验。
二、网络拓扑
三、解决方案:
3.1对外Web应用安全防护
下一代防火墙具备专业的Web应用防护能力,针对互联网出口对外发布业务可以提供安全防护功能主要有:
1. SQL注入,XSS攻击,Webshell文件上传,网站扫描,CSRF,文件包含攻击,目录遍历攻击,系统命令注入等OWASP TOP 10 Web安全威胁;
2. 针对常见网站内容管理系统CMS的安全防护;
3. 基于HTTP协议异常检测,缓冲区溢出检测等;
4. 服务器版本信息隐藏;
5. Web弱口令检测以及口令暴力破解防护;
6. 提供网站管理后台登录二次认证;
3.2终端安全防护
3.2.1终端僵尸网络检测
下一代防火墙独有的僵尸网络检测隔离功能,能够实时对终端主动发起的外发流量进行检测,协助用户定位内网被黑客控制的服务器或终端。该功能利用业界领先的僵尸网络识别检测技术对黑客的攻击行为进行有效识别,针对以反弹式木马为代表的恶意软件进行深度防护。僵尸网络识别库数量超过50万条,并由攻防团队实时更新。
3.2.2终端未知威胁检测
除了建立恶意软件样本库外,为了能够应对恶意软件的新型变种以及其他未知威胁,下一代防火墙搭建了云安全平台,通过云平台的沙箱检测技术来识别未知的安全威胁。下一代防火墙能够将检测到的异常流量放到沙箱虚拟化环境中运行,通过监控注册表修改、进程创建、文件系统修改来发现未知威胁。同时针对新发现的威胁样本生成特征规则库,并通过云安全平台推送到所有接入互联网的下一代防火墙设备上。
3.3实时漏洞分析,定位有效攻击
下一代防火墙提供的实时漏洞分析功能,可以根据经过设备的业务流量分析其中是否存在漏洞。
通过结合针对已知漏洞发起的攻击日志来定位对业务服务器能够真正产生威胁的有效攻击。
基于业务/用户的安全运维
面对数据大集中,多业务运维场景,下一代防火墙还提供强大的综合风险报表功能,首先能够帮助用户从当前发现的漏洞数量和检测到的攻击为网络整体安全情况进行一个风险评估,并给出当前网络安全环境的评级。
其次综合风险报表从业务和用户两个维度对进行详细分析,按照受攻击类型、漏洞类型和威胁类型进行统计分析,并根据每个业务对应的服务器IP进行针对性的安全分析,提供相应的服务安全说明,使得报表的可读性更高,方便用户从报告中分析出下一步的安全加固策略。
3.4提升工作效率
3.4.1网页过滤策略
上班时间从事私人活动,管理者却难以阻止,如上班时间浏览购物网站、上微博、论坛发帖等。AC能针对不同用户(组)提供基于角色的管理方法,让管理者实现指定用户和部门在工作时间只能访问特定的网站,例如行业信息网站、公司门户网站等,而其他未经允许的网页浏览都将被拒绝。
3.4.2IM(即时通讯)聊天软件的管理
上班时间使用QQ、MSN等私人聊天,不仅影响工作效率,还可能因IM传文件而引入病毒和向外泄密。面对的众多IM软件, AC通过检测应用数据包的特征字段,实现对IM聊天软件的管控,提升工作效率。
3.4.3全面的行为管理
网页过滤、IM聊天等管控只是内网行为管理的一部分。面对用户上班即挂机下载,搜索最新网络新闻、图片,上班时间更新博客、上传图片、看在线视频、网络游戏等问题,AC支持应用识别规则库,包含1500多种应用,对员工上网行为进行全面管理。
3.4.4上网时间管理
AC通过为不同部门、不同用户,基于时间段进行权限分配,也可以限制用户一天内总的上网时间,实现人性化管理。支持设定一定的上网时间值,当用户超过这个阀值时,将自动弹出提醒页面,提醒员工上班时间注意提高工作效率,不要从事与工作无关的网络活动。
3.5提高带宽利用率
3.5.1多线路策略
AC支持多线路复用、带宽叠加技术(专利号:200310112006X),企业通过AC同时连接多条公网线路,提升整体带宽水平。同时结合多线路智能选路技术(专利号:ZL03113974.4),做到流量的智能选路和负载均衡。
3.5.2 P2P软件的控制
P2P行为对带宽具有强烈的吞噬能力,而传统的流控功能在P2P应用上不起作用。AC提供P2P智能识别专利技术(专利号: 200610156977.8),不仅能识别和管控常用P2P软件及版本,对不常见的和未来将出现的P2P亦能管控。而AC提供的P2P流控技术,将限制指定用户开启P2P后占用的带宽。既允许用户使用P2P,又不会滥用带宽。
3.5.3 动态调节
AC支持动态流控功能,通过设定阈值,实现当整体带宽利用率过低时自动调整释放更多的带宽资源,让带宽得到有效利用,避免浪费,比传统单一、死板的流控方法更有效的提升带宽利用率。
3.5.4 带宽统计和管理
AC数据中心对内网用户的各种网络行为进行统计及趋势、报表等。借助图形化报表、曲线和统计结果,可以帮助IT管理者轻松掌控网络行为分布和带宽资源使用等情况。
同时,AC基于用户(组)、应用类型、网站类型、文件类型、目标IP等的智能流控,细致划分与分配带宽资源,如保障领导的视频会议、市场部访问行业网站、设计部传输CAD文件等行为得到带宽保障,提升整个机构的带宽使用效率。
3.6终端上网安全
3.6.1防病毒、木马
内网用户在访问internet时,常常会无意中下载到一些包含恶意病毒的文件,这些病毒程序通常是极具破坏力的,严重时会造成计算机系统的崩溃,使员工无法正常工作。而如果在上网过程中使用上网安全桌面,则可以有效的防止这些病毒程序对本机造成破坏。
当内网用户使用安全桌面上网,文件、注册表重定向技术使本机内真实文件与注册表得到了保护,而访问目录权限功能使病毒无法访问继而感染本机内部文件,有效地防止了病毒对本机系统的破坏,弥补杀毒软件对安全事件事前防护的不足。上网安全桌面采用国际领先的沙盒技术保证了它能给用户带来一个干净、安全的网络应用环境,让用户使用起来再也不受病毒、木马泛滥的困扰。
同时,AC具有网关杀毒功能,对内网用户接收的邮件、访问的网页、下载的文件进行病毒过滤,降低内网用户感染病毒的风险。
3.6.2拦截不良网页
AC内置自动更新的海量URL库,包括色情、反动等分类,潜藏在此类网站中的威胁将被AC过滤;AC允许用户手工添加新URL分类;再过滤用户通过搜索引擎搜索的关键字、过滤URL地址关键字和网页正文关键字,实现对各类网页的全面过滤,降低内网用户访问不良网页和危险网页的可能。
假冒网上银行的钓鱼网站、加密的反动网站等,显示“加密化”已经成为趋势,而业界多数设备无法对SSL加密网页进行管控。AC通过证书验证链接黑白名单技术,过滤含有不可信任数字证书的SSL网站,实现对SSL加密过的色情、邪教、钓鱼网站等的过滤。
3.6.3文件传输控制
针对QQ、MSN等IM软件的病毒,通过引诱用户下载指定文件或打开指定URL链接而传播;AC的“拦截不良网页”措施将避免用户访问含病毒URL地址;AC还可限制使用QQ、MSN等传递文件。
通过HTTP、FTP从互联网下载的文件,往往打开或运行后导致用户电脑感染病毒、木马,甚至瘫痪。该风险“感染点”还会伺机爆发,感染更多用户,使整个网络瘫痪。而此类行为和流量经过AC时,AC首先限制用户通过HTTP、FTP上传下载指定类型的文件,对于允许传输的文件,AC的网关杀毒功能将查杀该文件中潜藏的病毒、木马。
3.7避免泄密和法律风险
在部署上网行为管理系统后,通过定义关键字的方式,实现对发送邮件、网上搜索、网上发布、文件外发等行为进行过滤,从而避免敏感信息泄露问题给企业带来经济损失。同时,有效防止不良信息外发行为,避免引来法律纠纷。即使发生了不良信息外发行为,也能够通过对内网用户上网行为实施记录审计,能够在发生网络违法事件的时候通过审计日志追查相关责任人,避免由企业承担相应法律责任。
同时,上网安全桌面根据规则对本机文件数据进行了隔离,安全桌面内的任何程序试图获取本机被隔离文件数据的行为都将被禁止,防止终端被木马入侵后文件信息遭窃取,从而帮助用户有效保护了敏感数据的安全性。