NGAF安全防護(hù)方案建議模板(v1.0)

xx項(xiàng)目NGAF安全加固解決方案建議第36頁(yè)共36頁(yè)下一代防火墻安全解決方案深信服科技有限公司201X-XX-XX

目錄TOC\o"1-3"\h\z1 網(wǎng)絡(luò)與應(yīng)用環(huán)境面臨的安全挑戰(zhàn) 31.1 應(yīng)用多樣化，端口的單一化 31.2 黑客攻擊方式和目的的變化 41.3 端到端的萬(wàn)兆處理能力 62 傳統(tǒng)安全設(shè)備日趨“無(wú)力” 72.1 防火墻成為了“擺設(shè)” 72.2 IPS+AV+WAF補(bǔ)丁式的方案 82.3 簡(jiǎn)單堆砌的UTM 93 下一代防火墻的誕生與價(jià)值 113.1 Gantner定義下一代防火墻 113.2 深信服NGAF的特點(diǎn)與用戶價(jià)值 124 XXX網(wǎng)絡(luò)安全現(xiàn)狀 144.1 網(wǎng)絡(luò)與應(yīng)用系統(tǒng)現(xiàn)狀 144.2 面臨的內(nèi)容安全威脅 144.2.1 漏洞利用 144.2.2 拒絕服務(wù)攻擊和分布式拒絕服務(wù)攻擊 164.2.3 零時(shí)差攻擊 174.2.4 間諜軟件 184.2.5 協(xié)議異常和違規(guī)檢測(cè) 204.2.6 偵測(cè)和掃描 204.2.7 Web入侵 214.2.8 病毒木馬 225 NGAF安全加固解決方案 235.1 總體方案 235.2 數(shù)據(jù)中心服務(wù)器保護(hù) 245.3 廣域網(wǎng)邊界安全隔離與防護(hù) 255.4 互聯(lián)網(wǎng)出口邊界防護(hù) 266 深信服NGAF產(chǎn)品介紹 286.1 更精細(xì)的應(yīng)用層安全控制 286.2 更全面的內(nèi)容級(jí)安全防護(hù) 296.3 更高性能的應(yīng)用層處理能力 316.4 更完整的安全防護(hù)方案 33

網(wǎng)絡(luò)與應(yīng)用環(huán)境面臨的安全挑戰(zhàn)IT部門(mén)對(duì)企業(yè)高效運(yùn)營(yíng)和快速發(fā)展的貢獻(xiàn)毋庸置疑，種種益處自不必多言，但是如果網(wǎng)絡(luò)崩潰、應(yīng)用癱瘓、機(jī)密被竊，損失將令人痛心，甚至無(wú)法彌補(bǔ)，IT部門(mén)也將承受極大的壓力，所以保證網(wǎng)絡(luò)和應(yīng)用系統(tǒng)安全、可靠和高效的運(yùn)行成為IT部門(mén)的關(guān)鍵任務(wù)。要實(shí)現(xiàn)上述目標(biāo)，首先，讓我們來(lái)對(duì)網(wǎng)絡(luò)和系統(tǒng)運(yùn)行面臨的安全挑戰(zhàn)做出詳細(xì)的分析。應(yīng)用多樣化，端口的單一化在傳統(tǒng)的網(wǎng)絡(luò)安全建設(shè)中，為網(wǎng)絡(luò)設(shè)立一個(gè)“盡職盡責(zé)”的門(mén)衛(wèi)控制應(yīng)用訪問(wèn)的合法性還是可以做到的。因?yàn)?，那時(shí)端口=應(yīng)用、IP=用戶，只要在交換機(jī)、路由器、防火墻做些基于“端口+IP”的訪問(wèn)控制策略，就可以輕松實(shí)現(xiàn)用戶的訪問(wèn)權(quán)限。但是隨著網(wǎng)絡(luò)、應(yīng)用的不斷的發(fā)展，為了便于應(yīng)用的跨平臺(tái)、靈活部署，現(xiàn)在有成千上萬(wàn)種應(yīng)用趨向于更少數(shù)的端口運(yùn)行，都是基于HTTP或者HTTPS協(xié)議（80、443端口）。比如“開(kāi)心網(wǎng)”網(wǎng)站上可以運(yùn)行159種應(yīng)用程序（還在不斷豐富）——聊天、游戲、圖片分享等；“谷歌”的企業(yè)級(jí)應(yīng)用套件甚至可以提供類(lèi)似于Office、協(xié)作辦公、視頻分享這樣的企業(yè)應(yīng)用程序。因此，應(yīng)用多樣化、端口單一化，給我們的網(wǎng)絡(luò)安全提出了2個(gè)新的問(wèn)題：能夠針對(duì)應(yīng)用協(xié)議和動(dòng)作進(jìn)行訪問(wèn)控制：對(duì)于這些應(yīng)用和應(yīng)用中豐富的動(dòng)作，我們需要精細(xì)控制用戶的訪問(wèn)權(quán)限，比如無(wú)法阻斷文件傳輸，防止泄密。Web成為威脅傳播的重點(diǎn)對(duì)象：需要針對(duì)看似合法的Web層內(nèi)容中，檢測(cè)和過(guò)濾各種威脅。因?yàn)?，黑客已?jīng)把這些端口當(dāng)做攻擊和威脅傳播的目標(biāo)。 黑客攻擊方式和目的的變化早期的黑客攻擊手段大多為非破壞性攻擊，一般是為了擾亂系統(tǒng)的運(yùn)行，并不盜竊系統(tǒng)資料，通常采用拒絕服務(wù)攻擊（PingofDeath等）網(wǎng)絡(luò)層方式。其主要目的也只是為了技術(shù)炫耀型為主。而當(dāng)前的黑客攻擊目的完全以利益為驅(qū)動(dòng)，技術(shù)手段更加傾向于應(yīng)用化、內(nèi)容化、混合化。所謂應(yīng)用化，面對(duì)堡壘森嚴(yán)的網(wǎng)絡(luò)層防護(hù)手段，黑客要想悄無(wú)聲息的入侵IT系統(tǒng)，必須采用更高層次的方式繞過(guò)這些防護(hù)手段。所以，基于應(yīng)用的漏洞利用、命令注入、惡意腳本/插件等威脅就成為了黑客爭(zhēng)相研究的方向。而漏洞利用也從原來(lái)側(cè)重OS底層漏洞轉(zhuǎn)變?yōu)榛趹?yīng)用程序的漏洞，比如根據(jù)卡巴斯基2011年Q1漏洞排行榜，AdobeReader、FlashPlayer的包攬前三甲。所謂內(nèi)容化，黑客在成功入侵后更加關(guān)注的是IT系統(tǒng)中的內(nèi)容，比如客戶賬號(hào)、通訊方式、銀行賬戶、企業(yè)機(jī)密、電子訂單等。因此，通過(guò)木馬、后門(mén)、鍵盤(pán)記錄等方式可以不斷獲取這些關(guān)鍵內(nèi)容，并進(jìn)行非法利用而牟利。所謂混合化，在黑客一次攻擊行為中使用了多種技術(shù)手段，而非原來(lái)單一的病毒蠕蟲(chóng)或者漏洞利用。比如，黑客要想入侵一臺(tái)Web服務(wù)器上傳木馬的過(guò)程：端口/應(yīng)用掃描、口令爆破、漏洞利用、OS命令注入、SQL注入、跨站腳本、木馬上傳等。因此，面對(duì)上述安全風(fēng)險(xiǎn)的變化，給我們的網(wǎng)絡(luò)安全提出了新的問(wèn)題：能夠防護(hù)混合型攻擊威脅的防護(hù)：傳統(tǒng)防火墻無(wú)法提供DPI深度檢測(cè)，而IPS、WAF、AV等設(shè)備防護(hù)功能單一，需要相互搭配使用。因此，面對(duì)多種安全威脅的混合型攻擊，我們需要一個(gè)完整的應(yīng)用層安全防護(hù)方案。能夠保護(hù)應(yīng)用內(nèi)容：針對(duì)黑客對(duì)內(nèi)容的關(guān)注，需要基于應(yīng)用的內(nèi)容做安全檢查，包括掃描所有應(yīng)用內(nèi)容，過(guò)濾有風(fēng)險(xiǎn)的內(nèi)容，甚至讓用戶自定義哪些內(nèi)容可以進(jìn)出，哪些內(nèi)容不能進(jìn)出。端到端的萬(wàn)兆處理能力當(dāng)前的IT系統(tǒng)已經(jīng)全面具備了萬(wàn)兆處理能力，萬(wàn)兆網(wǎng)絡(luò)、萬(wàn)兆存儲(chǔ)、萬(wàn)兆計(jì)算，甚至100G/40G的網(wǎng)絡(luò)標(biāo)準(zhǔn)已經(jīng)誕生。但是只要在IT系統(tǒng)中出現(xiàn)一個(gè)性能瓶頸，就會(huì)制約整個(gè)IT系統(tǒng)的性能發(fā)揮。而當(dāng)前應(yīng)用層安全處理能力僅僅停留在準(zhǔn)千兆級(jí)別，往往只有600-800兆左右的線速能力，成為了嚴(yán)重的網(wǎng)絡(luò)性能瓶頸。因此，面對(duì)上述網(wǎng)絡(luò)性能的不斷提升，給我們的安全防護(hù)提出了新的問(wèn)題：實(shí)現(xiàn)萬(wàn)兆級(jí)應(yīng)用層安全處理能力：應(yīng)用層安全防護(hù)強(qiáng)調(diào)的是計(jì)算的靈活性，傳統(tǒng)網(wǎng)絡(luò)安全設(shè)備的強(qiáng)調(diào)的是重復(fù)計(jì)算的高性能。因此，基于傳統(tǒng)網(wǎng)絡(luò)層安全設(shè)備ASIC的設(shè)計(jì)思路需要調(diào)整，并重新設(shè)計(jì)系統(tǒng)架構(gòu)，才能滿足萬(wàn)兆級(jí)完整的應(yīng)用層防護(hù)處理能力。傳統(tǒng)安全設(shè)備日趨“無(wú)力”面對(duì)上述網(wǎng)絡(luò)、應(yīng)用、安全風(fēng)險(xiǎn)等環(huán)境的變化，傳統(tǒng)安全設(shè)備已經(jīng)顯得日趨“無(wú)力”，尤其是傳統(tǒng)防火墻已經(jīng)變成了聾子和瞎子。防火墻成為了“擺設(shè)”從1990開(kāi)始，隨著Internet的快速發(fā)展，網(wǎng)絡(luò)安全的問(wèn)題也逐步為人們所重視，從最初采用簡(jiǎn)單的訪問(wèn)控制列表，到部署防火墻來(lái)保護(hù)周界安全。從1993年防火墻被廣泛地部署在各種網(wǎng)絡(luò)中，如下圖所示：圖自1993開(kāi)始防火墻被廣泛應(yīng)用于邊界安全傳統(tǒng)防火墻目前在網(wǎng)絡(luò)當(dāng)中主要的功能包括：通過(guò)基于端口和IP的訪問(wèn)控制，實(shí)現(xiàn)安全域的隔離與劃分；通過(guò)地址轉(zhuǎn)換，實(shí)現(xiàn)內(nèi)部IP規(guī)劃的隱藏；通過(guò)抵御DOS等網(wǎng)絡(luò)層攻擊，確保系統(tǒng)穩(wěn)定運(yùn)行；但是面對(duì)“第一章”所提到的環(huán)境變化，我們可以發(fā)現(xiàn)，這些功能已經(jīng)無(wú)法確保我們系統(tǒng)的安全穩(wěn)定運(yùn)行。防火墻存在的問(wèn)題如下：戴著眼罩的保安：如果防火墻依然通過(guò)端口設(shè)置訪問(wèn)權(quán)限，那么針對(duì)單一端口下的多種應(yīng)用和動(dòng)作，針對(duì)端口動(dòng)態(tài)變化的應(yīng)用來(lái)說(shuō)，防火墻只能霧里看花，無(wú)法實(shí)現(xiàn)有效地、精細(xì)地訪問(wèn)權(quán)限控制；過(guò)時(shí)的盾牌：如果把網(wǎng)絡(luò)層攻擊比喻成冷兵器時(shí)代的“刀槍劍戟”，把應(yīng)用層混合威脅比喻成熱兵器時(shí)代的“長(zhǎng)槍大炮”，那么防火墻就好比是過(guò)時(shí)的“盾牌”，面對(duì)已經(jīng)不常出沒(méi)的冷兵器還是可以防護(hù)的，但是面對(duì)“長(zhǎng)槍大炮”防火墻就自身難保。因此，當(dāng)前防火墻的部署已經(jīng)成為了一種心理安慰，僅僅作為合規(guī)性的建設(shè)要求，要想真正確保系統(tǒng)安全，必須變革。IPS+AV+WAF補(bǔ)丁式的方案面對(duì)防火墻成為“擺設(shè)”的現(xiàn)實(shí)，出現(xiàn)了不少補(bǔ)充型的加固方案，其中最典型的方式就是FW+IPS+AV+WAF這種“串糖葫蘆式”的建設(shè)。在一段時(shí)間內(nèi)，這種方式成為了用戶的不錯(cuò)選擇。但是，隨著業(yè)務(wù)的開(kāi)展，其問(wèn)題日益凸顯：投資成本高：首先，同樣性能的應(yīng)用層安全設(shè)備要比網(wǎng)絡(luò)層安全設(shè)備高數(shù)倍，再部署多臺(tái)，整個(gè)方面的前期硬件投資就會(huì)增加4倍甚至10倍。其次，持續(xù)的運(yùn)維成本也是不小的開(kāi)銷(xiāo)，能源消耗、配套建設(shè)（電源、空調(diào)）、人力成本等等也會(huì)急劇增加。防護(hù)效果不理想：這種方案在性能、檢測(cè)精度、可靠性等方面均存在較多問(wèn)題。首先，此方案的性能取決于其中性能最低的設(shè)備能力，其他安全設(shè)備即使有再高的性能也發(fā)揮不出來(lái)；其次，局域網(wǎng)延時(shí)一般在600us，多增加一臺(tái)設(shè)備就意味著延時(shí)有提升了200us，尤其是傳統(tǒng)AV設(shè)備基于文件級(jí)別的檢測(cè)方式延時(shí)極大，一份郵件的檢測(cè)往往需要數(shù)秒鐘甚至數(shù)分鐘的時(shí)間；然后，面對(duì)混合型的攻擊入侵，這種方案就無(wú)法提供高精度的檢測(cè)，甚至出現(xiàn)漏報(bào)、誤報(bào)；最后，可靠性差，假如每臺(tái)設(shè)備的故障率為1%，那么串接了4臺(tái)設(shè)備后，故障率就提升了4倍，增加了故障點(diǎn)，降低了系統(tǒng)可靠性。因此，這種補(bǔ)丁式的建設(shè)方案，缺乏站在整體角度審視用戶安全需求。因此，不但投資成本高，而且防護(hù)效果不理想，與網(wǎng)絡(luò)匹配性差，只能作為一種過(guò)渡方案。簡(jiǎn)單堆砌的UTMUTM的出現(xiàn)曾經(jīng)很好的解決了“補(bǔ)丁式”安全方案高成本的問(wèn)題，但是依然無(wú)法有效的與網(wǎng)絡(luò)環(huán)境相匹配，無(wú)法提供完整的防護(hù)功能。這主要是由于UTM的理念和架構(gòu)設(shè)計(jì)所造成的，其主要問(wèn)題體現(xiàn)在：功能缺失：雖然UTM集成了部分IPS、AV的功能，但由于大部分的UTM都是從FW演進(jìn)而來(lái)，因此其訪問(wèn)控制依然采用基于端口和IP的方式，缺乏針對(duì)應(yīng)用的識(shí)別、管控、流量分析、流量?jī)?yōu)化。所以，部分UTM可以稱(chēng)為“帶著半個(gè)眼罩”的保安。應(yīng)用層性能瓶頸：首先，UTM只是簡(jiǎn)單整合了應(yīng)用層防護(hù)功能，IPS、AV、Web過(guò)濾都還是獨(dú)立的檢測(cè)分析引擎，沒(méi)有進(jìn)行統(tǒng)一的整合，一個(gè)數(shù)據(jù)包需要經(jīng)過(guò)多次拆包解包，多次分析匹配才完成處理。同時(shí)，由于應(yīng)用層安全防護(hù)強(qiáng)調(diào)的是計(jì)算的靈活性與并行處理能力（特征比對(duì)等），而傳統(tǒng)網(wǎng)絡(luò)層安全設(shè)備強(qiáng)調(diào)的是單一功能的、重復(fù)計(jì)算的高性能（基于端口的狀態(tài)檢測(cè)）。因此，從防火墻演進(jìn)而來(lái)的UTM往往存在著應(yīng)用層性能處理瓶頸，這也是為什么我們看到一臺(tái)2G防火墻性能的UTM，在所有功能都開(kāi)啟后只有400—700兆應(yīng)用層處理能力，性能急劇下降的原因。因此，UTM的方案只能滿足部分規(guī)模較小、應(yīng)用簡(jiǎn)單網(wǎng)絡(luò)環(huán)境的安全防護(hù)要求，但是面對(duì)應(yīng)用復(fù)雜、網(wǎng)絡(luò)性能較高的高端部署場(chǎng)景來(lái)說(shuō)（數(shù)據(jù)中心、廣域骨干網(wǎng)、大型互聯(lián)網(wǎng)出口等），UTM依然無(wú)力。下一代防火墻的誕生與價(jià)值Gantner定義下一代防火墻針對(duì)上述安全風(fēng)險(xiǎn)、網(wǎng)絡(luò)環(huán)境、應(yīng)用系統(tǒng)的變化，傳統(tǒng)網(wǎng)絡(luò)安全設(shè)備的無(wú)能為力，市場(chǎng)咨詢分析機(jī)構(gòu)Gartner在2009年發(fā)布了一份名為《DefiningtheNext-GenerationFirewall》的文章，給出了真正能夠滿足用戶當(dāng)前安全需求的下一代防火墻（NGFW）定義。在Gartner看來(lái)，NGFW應(yīng)該是一個(gè)線速（wire-speed）網(wǎng)絡(luò)安全處理平臺(tái)，在功能上至少應(yīng)當(dāng)具備以下幾個(gè)屬性：1．支持聯(lián)機(jī)“bump-in-the-wire”配置，不中斷網(wǎng)絡(luò)運(yùn)行。2．發(fā)揮網(wǎng)絡(luò)傳輸流檢查和網(wǎng)絡(luò)安全政策執(zhí)行平臺(tái)的作用，至少具有以下特性：（1）標(biāo)準(zhǔn)的第一代防火墻能力：包過(guò)濾、網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)、狀態(tài)性協(xié)議檢測(cè)、VPN等等。（2）集成的而非僅僅共處一個(gè)位置的網(wǎng)絡(luò)入侵檢測(cè)：支持面向安全漏洞的特征碼和面向威脅的特征碼。IPS與防火墻的互動(dòng)效果應(yīng)當(dāng)大于這兩部分效果的總和。例如提供防火墻規(guī)則來(lái)阻止某個(gè)地址不斷向IPS加載惡意傳輸流。這個(gè)例子說(shuō)明，在NGFW中，應(yīng)該由防火墻建立關(guān)聯(lián)，而不是操作人員去跨控制臺(tái)部署解決方案。集成具有高質(zhì)量的IPS引擎和特征碼，是NGFW的一個(gè)主要特征。（3）應(yīng)用意識(shí)和全?？梢?jiàn)性：識(shí)別應(yīng)用和在應(yīng)用層上執(zhí)行獨(dú)立于端口和協(xié)議，而不是根據(jù)純端口、純協(xié)議和純服務(wù)的網(wǎng)絡(luò)安全政策。例子包括允許使用Skype，但關(guān)閉Skype中的文件共享或始終阻止GoToMyPC。（4）額外的防火墻智能：防火墻收集外來(lái)信息來(lái)做出更好的阻止決定或建立優(yōu)化的阻止規(guī)則庫(kù)。例子包括利用目錄集成將阻止行為與用戶身份綁在一起，或建立地址的黑白名單。Gartner認(rèn)為，隨著防火墻和IPS更新周期的自然到來(lái)，或者隨著帶寬需求的增加和隨著成功的攻擊，促使更新防火墻，大企業(yè)將用NGFW替換已有的防火墻。不斷變化的威脅環(huán)境，以及不斷變化的業(yè)務(wù)和IT流程將促使網(wǎng)絡(luò)安全經(jīng)理在他們的下一個(gè)防火墻/IPS更新周期時(shí)尋找NGFW。Gartner預(yù)計(jì)到2014年底，用戶采購(gòu)防火墻的比例將增加到占安裝量的35%，60%新購(gòu)買(mǎi)的防火墻將是NGFW。深信服NGAF的特點(diǎn)與用戶價(jià)值通過(guò)將中國(guó)用戶的安全需求與Garnter定義的“NGFW”功能特性相結(jié)合，深信服推出了下一代應(yīng)用防火墻NGAF產(chǎn)品。NGAF是面向應(yīng)用層設(shè)計(jì)，能夠精確識(shí)別用戶、應(yīng)用和內(nèi)容，具備完整安全防護(hù)能力，能夠全面替代傳統(tǒng)防火墻，并具有強(qiáng)勁應(yīng)用層處理能力的全新網(wǎng)絡(luò)安全設(shè)備。NGAF解決了傳統(tǒng)安全設(shè)備在應(yīng)用管控、應(yīng)用可視化、應(yīng)用內(nèi)容防護(hù)等方面的巨大不足，同時(shí)開(kāi)啟所有功能后性能不會(huì)大幅下降。NGAF不但可以提供基礎(chǔ)網(wǎng)絡(luò)安全功能，如狀態(tài)檢測(cè)、VPN、抗DDoS、NAT等；還實(shí)現(xiàn)了統(tǒng)一的應(yīng)用安全防護(hù)，可以針對(duì)一個(gè)入侵行為中的各種技術(shù)手段進(jìn)行統(tǒng)一的檢測(cè)和防護(hù)，如應(yīng)用掃描、漏洞利用、Web入侵、非法訪問(wèn)、蠕蟲(chóng)病毒、帶寬濫用、惡意代碼等。NGAF可以為不同規(guī)模的行業(yè)用戶的數(shù)據(jù)中心、廣域網(wǎng)邊界、互聯(lián)網(wǎng)邊界等場(chǎng)景提供更加精細(xì)、更加全面、更高性能的應(yīng)用內(nèi)容防護(hù)方案。其具體特點(diǎn)如下：更精細(xì)的應(yīng)用層安全控制：貼近國(guó)內(nèi)應(yīng)用、持續(xù)更新的應(yīng)用識(shí)別規(guī)則庫(kù)識(shí)別內(nèi)外網(wǎng)超過(guò)724種應(yīng)用、1253種動(dòng)作（截止2011年8月10日）支持包括AD域、Radius等8種用戶身份識(shí)別方式面向用戶與應(yīng)用策略配置，減少錯(cuò)誤配置的風(fēng)險(xiǎn)更全面的內(nèi)容級(jí)安全防護(hù)：基于攻擊過(guò)程的服務(wù)器保護(hù)，防御黑客掃描、入侵、破壞三步曲強(qiáng)化的WEB應(yīng)用安全，支持多種注入防范、XSS攻擊、權(quán)限控制等完整的終端安全保護(hù)，支持插件/腳本過(guò)濾、漏洞/病毒防護(hù)等更高性能的應(yīng)用層處理能力：?jiǎn)未谓馕黾軜?gòu)實(shí)現(xiàn)報(bào)文一次拆解和匹配多核并行處理技術(shù)提升應(yīng)用層分析速度全新技術(shù)架構(gòu)實(shí)現(xiàn)應(yīng)用層萬(wàn)兆處理能力更完整的安全防護(hù)方案可替代傳統(tǒng)防火墻/VPN、IPS所有功能，實(shí)現(xiàn)內(nèi)核級(jí)聯(lián)動(dòng)XXX網(wǎng)絡(luò)安全現(xiàn)狀網(wǎng)絡(luò)與應(yīng)用系統(tǒng)現(xiàn)狀請(qǐng)具體描述用戶當(dāng)期的網(wǎng)絡(luò)、安全、應(yīng)用系統(tǒng)的建設(shè)現(xiàn)狀（設(shè)備類(lèi)型、性能、采用的軟件架構(gòu)、網(wǎng)絡(luò)安全域是如何劃分的等等），分析當(dāng)前的主要安全風(fēng)險(xiǎn)，并且提出改進(jìn)方向。面臨的內(nèi)容安全威脅當(dāng)前業(yè)務(wù)系統(tǒng)“曾經(jīng)出現(xiàn)過(guò)”和“潛在出現(xiàn)”的各種內(nèi)容安全威脅主要包括如下：漏洞利用無(wú)可厚非，軟件開(kāi)發(fā)人員在開(kāi)發(fā)一個(gè)系統(tǒng)的時(shí)候，將實(shí)現(xiàn)相應(yīng)的功能作為首要的任務(wù)，而且他們?cè)诰帉?xiě)和調(diào)試程序時(shí)通常僅考慮用戶正常使用的情況，而對(duì)誤用和惡意使用這些例外和異常情況處理考慮不周之處，也就形成了系統(tǒng)漏洞，或稱(chēng)系統(tǒng)的弱點(diǎn)。系統(tǒng)已不再是孤立的系統(tǒng)，而是通過(guò)網(wǎng)絡(luò)互聯(lián)的系統(tǒng)，即組成了計(jì)算機(jī)網(wǎng)絡(luò)，計(jì)算機(jī)網(wǎng)絡(luò)的使用者中有專(zhuān)業(yè)水平很高但思想并不純潔的群體，他們利用這些漏洞對(duì)系統(tǒng)展開(kāi)入侵和攻擊，導(dǎo)致對(duì)網(wǎng)絡(luò)和應(yīng)用系統(tǒng)極大威脅，使網(wǎng)絡(luò)和系統(tǒng)的使用和擁有者遭受?chē)?yán)重的損失。自計(jì)算機(jī)緊急事件相應(yīng)組（CERT）與1995年開(kāi)始對(duì)系統(tǒng)漏洞進(jìn)行跟蹤以來(lái)，到2004年已有超過(guò)12，000個(gè)漏洞被報(bào)告，而且自1999年以來(lái)，每年的數(shù)量都翻翻，增長(zhǎng)如此迅猛。在2010年，漏洞數(shù)量又創(chuàng)出了新的記錄，根據(jù)賽門(mén)鐵克發(fā)布的2010年度網(wǎng)絡(luò)安全報(bào)告顯示，2010年全年共計(jì)發(fā)現(xiàn)了6253個(gè)新的安全漏洞。圖1995-2004安全漏洞報(bào)告情況統(tǒng)計(jì)如此多的漏洞，對(duì)IT部門(mén)意味著什么？安全小組必須采取行動(dòng)獲得補(bǔ)丁程序、測(cè)試、最后將其部署在服務(wù)器上，為什么不直接給服務(wù)器打補(bǔ)丁呢？因?yàn)椴荒鼙ＷC補(bǔ)丁對(duì)應(yīng)用系統(tǒng)沒(méi)有影響，為了以防萬(wàn)一，必須對(duì)補(bǔ)丁程序進(jìn)行測(cè)試和驗(yàn)證，然后才允許將其投入生產(chǎn)系統(tǒng)。從補(bǔ)丁程序獲得、測(cè)試和驗(yàn)證，再到最終的部署，完成這一系列任務(wù)需要多長(zhǎng)時(shí)間？答案是，可能需要幾個(gè)小時(shí)到幾天，而在此期間攻擊可能已經(jīng)發(fā)生，損失已無(wú)法挽回。拒絕服務(wù)攻擊和分布式拒絕服務(wù)攻擊除了由于操作系統(tǒng)和網(wǎng)絡(luò)協(xié)議存在漏洞和缺陷，而可能遭受攻擊外，現(xiàn)在IT部門(mén)還會(huì)拒絕服務(wù)攻擊（DoS）和分布式拒絕服務(wù)攻擊（DDoS）的挑戰(zhàn)。DOS和DDOS攻擊可以被分為兩類(lèi)：一種是利用網(wǎng)絡(luò)協(xié)議的固有缺陷或?qū)崿F(xiàn)上的弱點(diǎn)來(lái)進(jìn)行攻擊，與漏洞攻擊相似。這類(lèi)供給典型的例子如Teardrop、Land、KoD和Winnuke；對(duì)第一種DOS攻擊可以通過(guò)打補(bǔ)丁的方法來(lái)防御，但對(duì)付第二種攻擊就沒(méi)那么簡(jiǎn)單了，另一類(lèi)DOS和DDOS利用看似合理的海量服務(wù)請(qǐng)求來(lái)耗盡網(wǎng)絡(luò)和系統(tǒng)的資源，從而使合法用戶無(wú)法得到服務(wù)的響應(yīng)。早期的DOS攻擊由單機(jī)發(fā)起，在攻擊目標(biāo)的CPU速度不高、內(nèi)存有限、網(wǎng)絡(luò)帶寬窄的情況下效果是明顯的。隨著網(wǎng)絡(luò)和系統(tǒng)性能的大幅提高，CPU的主頻已達(dá)數(shù)G，服務(wù)器的內(nèi)存通常在2G以上，此外網(wǎng)絡(luò)的吞吐能力已達(dá)萬(wàn)兆，單機(jī)發(fā)起的DoS攻擊好比孤狼斗猛虎，沒(méi)有什么威脅。狼的習(xí)性是群居，一只固然勢(shì)單力薄，但如果群起而攻之，恐怕猛虎也難抵擋，這就是分布式拒絕服務(wù)攻擊的原理。用一臺(tái)攻擊機(jī)來(lái)攻擊不再起作用的話，攻擊者使用10臺(tái)攻擊機(jī)、100臺(tái)呢共同發(fā)起攻擊呢？DDoS就是利用大量的傀儡機(jī)來(lái)發(fā)起攻擊，積少成多超過(guò)網(wǎng)絡(luò)和系統(tǒng)的能力的極限，最終擊潰高性能的網(wǎng)絡(luò)和系統(tǒng)。常見(jiàn)的DDOS攻擊方法有SYNFlood、EstablishedConnectionFlood和ConnectionPerSecondFlood。已發(fā)現(xiàn)的DOS攻擊程序有ICMPSmurf、UDP反彈，而典型的DDOS攻擊程序有Zombie、TFN2K、Trinoo和Stacheldraht。DOS和DDOS攻擊會(huì)耗盡用戶寶貴的網(wǎng)絡(luò)和系統(tǒng)資源，使依賴(lài)計(jì)算機(jī)網(wǎng)絡(luò)的正常業(yè)務(wù)無(wú)法進(jìn)行，嚴(yán)重?fù)p害企業(yè)的聲譽(yù)并造成極大的經(jīng)濟(jì)損失，使IT部門(mén)承受極大的壓力。零時(shí)差攻擊零時(shí)差攻擊（Zero-dayAttack）是指從系統(tǒng)漏洞、協(xié)議弱點(diǎn)被發(fā)現(xiàn)到黑客制造出針對(duì)該漏洞、弱點(diǎn)的惡意代碼并發(fā)起攻擊之間的時(shí)間差幾乎為零的攻擊。顯而易見(jiàn)，零時(shí)差攻擊對(duì)應(yīng)用系統(tǒng)和網(wǎng)絡(luò)的威脅和損害令人恐怖，這相當(dāng)于在用戶沒(méi)有任何防備的情況下，黑客發(fā)起了閃電戰(zhàn)，可能在極短的時(shí)間內(nèi)摧毀關(guān)鍵的應(yīng)用系統(tǒng)及令網(wǎng)絡(luò)癱瘓?；仡櫄v史，可以發(fā)現(xiàn)從系統(tǒng)漏洞、協(xié)議弱點(diǎn)被發(fā)現(xiàn)到用戶遭受攻擊的時(shí)間正快速縮短，即零時(shí)差攻擊的可能性越來(lái)越大。2010年1月中旬，針對(duì)微軟的“Aurora”（極光）的零日漏洞開(kāi)始大規(guī)模被利用?！皹O光”IE漏洞掛馬攻擊在國(guó)內(nèi)最早出現(xiàn)在1月17日晚間，初期規(guī)模并不大，18日全天也僅有220家網(wǎng)站，但隨著部分黑客論壇公開(kāi)提供“極光木馬生成器”下載，針對(duì)該漏洞的掛馬網(wǎng)站數(shù)量在20日全天就超過(guò)了1萬(wàn)家，掛馬網(wǎng)頁(yè)更是超過(guò)14萬(wàn)個(gè)。而微軟在一個(gè)星期后，1月22日才發(fā)布了針對(duì)極光的安全公告，提供了解決辦法，但為時(shí)已晚。間諜軟件間諜軟件（英文名稱(chēng)為“spyware”）是一種來(lái)自互聯(lián)網(wǎng)的，能夠在用戶不知情的情況下偷偷進(jìn)行非法安裝（安裝后很難找到其蹤影），并悄悄把截獲的一些機(jī)密信息發(fā)送給第三者的軟件。間諜軟件在安裝時(shí)什么都不顯示，運(yùn)行時(shí)用戶也不知曉，刪除起來(lái)非常困難。由于間諜軟件隱藏在用戶計(jì)算機(jī)中、秘密監(jiān)視用戶活動(dòng)，并已經(jīng)建立了一個(gè)進(jìn)入個(gè)人電腦的通道，很容易對(duì)用戶電腦做后續(xù)的攻擊。間諜軟件能夠消耗計(jì)算能力，使計(jì)算機(jī)崩潰，并使用戶被淹沒(méi)在網(wǎng)絡(luò)廣告的汪洋大海中。它還能夠竊取密碼、信用卡號(hào)和其它機(jī)密數(shù)據(jù)。作為互聯(lián)網(wǎng)用戶，應(yīng)該對(duì)此保持警惕了。最新統(tǒng)計(jì)顯示，在過(guò)去的12個(gè)月中，全球感染間諜軟件的企業(yè)數(shù)量增長(zhǎng)了近50%。在100人以上的企業(yè)中，有17%的企業(yè)網(wǎng)絡(luò)中藏有間諜軟件，如鍵盤(pán)跟蹤程序等。間諜軟件可分為兩類(lèi)，一類(lèi)是“廣告型間諜軟件”。與其他軟件一同安裝，或通過(guò)ActiveX控件安裝，用戶并不知道它的存在。記錄用戶的姓名、性別、年齡、密碼、域、電話號(hào)碼、郵件地址、VPN、Web瀏覽記錄、網(wǎng)上購(gòu)物活動(dòng)、硬件或軟件設(shè)置等信息。這類(lèi)間諜軟件還會(huì)改變目標(biāo)系統(tǒng)的行為，諸如霸占IE首頁(yè)與改變搜尋網(wǎng)頁(yè)的設(shè)定，讓系統(tǒng)聯(lián)機(jī)到用戶根本不會(huì)去的廣告網(wǎng)站，以致計(jì)算機(jī)屏幕不停彈跳出各式廣告。而且軟件設(shè)置簡(jiǎn)單，只要填寫(xiě)自己的郵件地址和設(shè)置一下運(yùn)行即可。另一類(lèi)被稱(chēng)為“監(jiān)視型間諜軟件”，它具有記錄鍵盤(pán)操作的鍵盤(pán)記錄器功能和屏幕捕獲功能，可以用來(lái)在后臺(tái)記錄下所有用戶的系統(tǒng)活動(dòng)，比如網(wǎng)站訪問(wèn)、程序運(yùn)行、網(wǎng)絡(luò)聊天記錄、鍵盤(pán)輸入包括用戶名和密碼、桌面截屏快照等。主要被企業(yè)、私人偵探、司法機(jī)構(gòu)、間諜機(jī)構(gòu)等使用。間諜軟件的惡行不僅讓機(jī)密信息曝光，對(duì)產(chǎn)能亦造成負(fù)面沖擊，同時(shí)也拖累系統(tǒng)資源，諸如瓜分其它應(yīng)用軟件的頻寬與內(nèi)存，導(dǎo)致系統(tǒng)沒(méi)來(lái)由減速。

間諜軟件在未來(lái)將會(huì)變得更具威脅性，不僅可以竊取口令、信用卡號(hào)，而且還可以偷走各種類(lèi)型的身份信息，用于一些更加險(xiǎn)惡的目的，如捕捉和傳送Word和Excel文檔，竊取企業(yè)秘密等。如果間諜軟件打開(kāi)通向用戶桌面系統(tǒng)的通道，那么用戶面臨的危險(xiǎn)將是不可想象的。協(xié)議異常和違規(guī)檢測(cè)在一切正常的情況下，兩個(gè)系統(tǒng)間該如何進(jìn)行某種數(shù)據(jù)交換，協(xié)議都對(duì)其進(jìn)行了定義。由于某些服務(wù)器不能有效處理異常流量，許多攻擊會(huì)通過(guò)違反應(yīng)用層協(xié)議，使黑客得以進(jìn)行拒絕服務(wù)（DoS）攻擊，或者獲得對(duì)服務(wù)器的根本訪問(wèn)權(quán)限。通過(guò)執(zhí)行協(xié)議RFC或標(biāo)準(zhǔn)，我們可以阻止這種攻擊。除處理違反協(xié)議的情況外，這種機(jī)制還可截獲命令中的非法參數(shù)，阻止許多緩沖溢出攻擊的發(fā)生。比如根據(jù)RFC2821，在一個(gè)正常的SMTP連接過(guò)程中，只有在客戶端至少發(fā)送過(guò)一個(gè)“RCPTTO”請(qǐng)求命令之后，客戶端發(fā)送“DATA”請(qǐng)求命令才是合法的。偵測(cè)和掃描刺探是利用各種手段嘗式取得目標(biāo)系統(tǒng)的敏感信息的行為，這些敏感信息包括系統(tǒng)安全狀況、系統(tǒng)狀態(tài)、服務(wù)信息、數(shù)據(jù)資料等；采用工具對(duì)系統(tǒng)進(jìn)行規(guī)?；⒆詣?dòng)化的刺探工作稱(chēng)為掃描。其工具稱(chēng)為掃描器。

掃描器最初是提供給管理員的一些極具威力的網(wǎng)絡(luò)工具，利用它，網(wǎng)管員可以獲得當(dāng)前系統(tǒng)信息和安全狀況。正是因?yàn)閽呙杵髂苡行У墨@取系統(tǒng)信息，因此也成為黑客最喜歡的工具。黑客利用掃描器的自動(dòng)化和規(guī)?；奶匦?，只要簡(jiǎn)單的幾步操作，即可搜集到目標(biāo)信息。Web入侵隨著互聯(lián)網(wǎng)技術(shù)的迅猛發(fā)展，許多政府和企業(yè)的關(guān)鍵業(yè)務(wù)活動(dòng)越來(lái)越多地依賴(lài)于WEB應(yīng)用，在向客戶提供通過(guò)瀏覽器訪問(wèn)企業(yè)信息功能的同時(shí)，企業(yè)所面臨的風(fēng)險(xiǎn)在不斷增加。主要表現(xiàn)在兩個(gè)層面：一是隨著Web應(yīng)用程序的增多，這些Web應(yīng)用程序所帶來(lái)的安全漏洞越來(lái)越多；二是隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展，被用來(lái)進(jìn)行攻擊的黑客工具越來(lái)越多、黑客活動(dòng)越來(lái)越猖獗，組織性和經(jīng)濟(jì)利益驅(qū)動(dòng)非常明顯。根據(jù)Gartner的調(diào)查，信息安全攻擊有75%都是發(fā)生在Web應(yīng)用層而非網(wǎng)絡(luò)層面上。同時(shí)，數(shù)據(jù)也顯示，2/3的Web站點(diǎn)都相當(dāng)脆弱，易受攻擊?？梢哉f(shuō)，絕大多數(shù)企業(yè)將大量的投資花費(fèi)在網(wǎng)絡(luò)和服務(wù)器的安全上，沒(méi)有從真正意義上保證Web業(yè)務(wù)本身的安全，才給了黑客可乘之機(jī)。根據(jù)ＣＮＣＥＲＴ的監(jiān)測(cè)，２０１０年中國(guó)大陸有３．５萬(wàn)個(gè)網(wǎng)站被黑客篡改，其中被篡改的政府網(wǎng)站高達(dá)４６３５個(gè)，比上年上升６７．６％。政府網(wǎng)站安全性如果不能進(jìn)一步提高，將不僅影響政府形象和電子政務(wù)的開(kāi)展，也會(huì)給不法分子發(fā)布虛假信息造成可乘之機(jī)。Web攻擊可導(dǎo)致的后果極為嚴(yán)重，完全可以使用多種攻擊手段將一個(gè)合法正常網(wǎng)站攻陷，利用獲取到的相應(yīng)權(quán)限在網(wǎng)頁(yè)中嵌入惡意代碼，將惡意程序下載到存在客戶端漏洞的主機(jī)上，從而實(shí)現(xiàn)攻擊目的。由此可見(jiàn)，Web安全已經(jīng)成為信息時(shí)代最大的“殺手”！但是要想做好Web服務(wù)器的安全防護(hù)困難有兩點(diǎn)：1.

企業(yè)業(yè)務(wù)迅速更新，需要大量的Web應(yīng)用快速上線。而由于資金、進(jìn)度、意識(shí)等方面的影響，這些應(yīng)用沒(méi)有進(jìn)行充分安全評(píng)估。2.針對(duì)Web的攻擊會(huì)隱藏在大量正常的業(yè)務(wù)行為中，而且使用各種變形偽裝手段，會(huì)導(dǎo)致傳統(tǒng)的防火墻和基于特征的入侵防御系統(tǒng)無(wú)法發(fā)現(xiàn)和阻止這種攻擊。病毒木馬病毒是附著于程序或文件中的一段計(jì)算機(jī)代碼，它可在計(jì)算機(jī)之間傳播。它一邊傳播一邊感染計(jì)算機(jī)。病毒可損壞軟件、硬件和文件。病毒附著于宿主程序，然后試圖在計(jì)算機(jī)之間傳播。它可能損壞硬件、軟件和信息。與人體病毒按嚴(yán)重性分類(lèi)（從Ebola病毒到普通的流感病毒）一樣，計(jì)算機(jī)病毒也有輕重之分，輕者僅產(chǎn)生一些干擾，重者徹底摧毀設(shè)備。令人欣慰的是，在沒(méi)有人員操作的情況下，真正的病毒不會(huì)傳播。必須通過(guò)某個(gè)人共享文件和發(fā)送電子郵件來(lái)將它一起移動(dòng)。與病毒相似，蠕蟲(chóng)也是設(shè)計(jì)用來(lái)將自己從一臺(tái)計(jì)算機(jī)復(fù)制到另一臺(tái)計(jì)算機(jī)，但是它自動(dòng)進(jìn)行。首先，它控制計(jì)算機(jī)上可以傳輸文件或信息的功能。一旦您的系統(tǒng)感染蠕蟲(chóng)，蠕蟲(chóng)即可獨(dú)自傳播。最危險(xiǎn)的是，蠕蟲(chóng)可大量復(fù)制。例如，蠕蟲(chóng)可向電子郵件地址簿中的所有聯(lián)系人發(fā)送自己的副本，那些聯(lián)系人的計(jì)算機(jī)也將執(zhí)行同樣的操作，結(jié)果造成多米諾效應(yīng)（網(wǎng)絡(luò)通信負(fù)擔(dān)沉重），使商業(yè)網(wǎng)絡(luò)和整個(gè)Internet的速度減慢。當(dāng)新的蠕蟲(chóng)爆發(fā)時(shí)，它們傳播的速度非?？?。它們堵塞網(wǎng)絡(luò)并可能導(dǎo)致您（以及其他每個(gè)人）等很長(zhǎng)的時(shí)間才能查看Internet上的網(wǎng)頁(yè)。通常，蠕蟲(chóng)傳播無(wú)需用戶操作，并可通過(guò)網(wǎng)絡(luò)分發(fā)它自己的完整副本（可能有改動(dòng)）。蠕蟲(chóng)會(huì)消耗內(nèi)存或網(wǎng)絡(luò)帶寬，從而可能導(dǎo)致計(jì)算機(jī)崩潰。NGAF安全加固解決方案總體方案為了能夠更好的針對(duì)當(dāng)前網(wǎng)絡(luò)安全現(xiàn)狀，控制好可能發(fā)生的各種安全風(fēng)險(xiǎn)，建議采用下一代防火墻深信服NGAF針對(duì)業(yè)務(wù)系統(tǒng)進(jìn)行全面的安全加固。首先，我們建議將整個(gè)業(yè)務(wù)系統(tǒng)劃分為如下N個(gè)網(wǎng)絡(luò)安全域：數(shù)據(jù)中心安全域：包括各種應(yīng)用系統(tǒng)和服務(wù)器，如OA、視頻、ERP、MAIL等，由于是整個(gè)IT系統(tǒng)的核心，安全級(jí)別最高；廣域網(wǎng)邊界安全域：各個(gè)分支機(jī)構(gòu)通過(guò)專(zhuān)網(wǎng)接入總部局域網(wǎng)，訪問(wèn)各種業(yè)務(wù)應(yīng)用系統(tǒng)，主要包括構(gòu)建專(zhuān)網(wǎng)的核心路由器、分支路由器；互聯(lián)網(wǎng)接入安全域：由于內(nèi)部終端、對(duì)外發(fā)布業(yè)務(wù)系統(tǒng)（如XXX網(wǎng)上交易系統(tǒng)）都需要與互聯(lián)網(wǎng)相連，訪問(wèn)互聯(lián)網(wǎng)資源或者對(duì)外提供業(yè)務(wù)。此區(qū)域安全風(fēng)險(xiǎn)最高，需要重點(diǎn)隔離與控制；內(nèi)網(wǎng)辦公安全域：包括總部?jī)?nèi)網(wǎng)的辦公終端，為不同的部門(mén)提供高速、穩(wěn)定的網(wǎng)絡(luò)接入；其次，根據(jù)這些網(wǎng)絡(luò)安全域之間的訪問(wèn)關(guān)系、安全級(jí)別，我們建議在如下位置部署NGAF進(jìn)行一體化的L2-L7安全防護(hù)與控制，整體方案如下圖所示： 圖NGAF部署的總體方案數(shù)據(jù)中心服務(wù)器保護(hù)內(nèi)部數(shù)據(jù)中心的服務(wù)器承載的業(yè)務(wù)尤為重要，是整個(gè)ＩＴ系統(tǒng)的核心組成部分，因此需要從如下四個(gè)方面著重考慮：1）訪問(wèn)控制：誰(shuí)可以訪問(wèn)數(shù)據(jù)中心？什么應(yīng)用可以訪問(wèn)數(shù)據(jù)中心？盜用IP身份怎么辦？如何防止應(yīng)用的濫用和誤用？傳統(tǒng)防火墻基于端口/IP能否解決？2）威脅攻擊的問(wèn)題：如何保護(hù)數(shù)據(jù)中心免受病毒、木馬攻擊；防止數(shù)據(jù)中心服務(wù)器被攻擊3）數(shù)據(jù)中心可用性：數(shù)據(jù)中心流量大，需要有效保證核心業(yè)務(wù)可用性4）安全事件應(yīng)用響應(yīng)問(wèn)題：如何了解數(shù)據(jù)中心安全風(fēng)險(xiǎn)問(wèn)題？是否可以幫助管理員制定策略？圖數(shù)據(jù)中心方案拓?fù)渫ㄟ^(guò)在數(shù)據(jù)中心核心交換機(jī)外側(cè)部署XX臺(tái)深信服NGAF-XXXX，提供XX性能，開(kāi)啟XX、XX功能授權(quán)，可以幫助我們實(shí)現(xiàn)如下四個(gè)安全目標(biāo)：1）面向用戶、應(yīng)用的安全訪問(wèn)：將訪問(wèn)控制權(quán)限精確到用戶與業(yè)務(wù)系統(tǒng)，有效解決了傳統(tǒng)防火墻IP/端口的策略無(wú)法精確管理的問(wèn)題。讓業(yè)務(wù)開(kāi)放對(duì)象更為明了、管理更方便、策略更易懂。2）7層的內(nèi)容安全檢測(cè)：7層一體化安全防護(hù)（包括漏洞防護(hù)、服務(wù)器防護(hù)、病毒防護(hù)等）以及智能的內(nèi)容安全過(guò)濾功能，防止各種應(yīng)用威脅干擾服務(wù)器的穩(wěn)定運(yùn)行，確保核心業(yè)務(wù)數(shù)據(jù)的安全。3）核心業(yè)務(wù)有保障：基于應(yīng)用的流量管理，保證核心業(yè)務(wù)帶寬充足。萬(wàn)兆的應(yīng)用層性能，有效保障數(shù)據(jù)中心的可用性。4）可視化安全風(fēng)險(xiǎn)評(píng)估：提供服務(wù)器風(fēng)險(xiǎn)和終端風(fēng)險(xiǎn)報(bào)告以及應(yīng)用流量報(bào)表，使全網(wǎng)的安全風(fēng)險(xiǎn)一目了然，幫助管理員分析安全狀況管理數(shù)據(jù)中心。廣域網(wǎng)邊界安全隔離與防護(hù)對(duì)于廣域網(wǎng)邊界安全防護(hù)需要從如下幾個(gè)方面著重考慮：1）人員多，應(yīng)用雜：如何制定有效的ACL，ACL是基于IP和端口的，這樣的機(jī)器語(yǔ)言無(wú)法直觀、清晰的制定訪問(wèn)控制策略，容易出現(xiàn)錯(cuò)配、漏配；2）傳統(tǒng)FW缺乏應(yīng)用層威脅防護(hù)，病毒木馬在分支機(jī)構(gòu)和總部間傳播速度快3）病毒木馬占用廣域網(wǎng)有限帶寬，影響關(guān)鍵業(yè)務(wù)的傳輸4）分支數(shù)量多，IT管理水平層次不齊，設(shè)備多，成本高，組網(wǎng)雜，維護(hù)難圖廣域網(wǎng)邊界安全防護(hù)方案拓?fù)渫ㄟ^(guò)在核心交換機(jī)與核心路由器之間部署XX臺(tái)深信服NGAF-XXXX，提供XX性能，開(kāi)啟XX、XX功能授權(quán)，可以幫助我們實(shí)現(xiàn)如下安全目標(biāo)：1）面向用戶、應(yīng)用的安全訪問(wèn)：將訪問(wèn)控制權(quán)限精確到用戶與業(yè)務(wù)系統(tǒng)，有效解決了傳統(tǒng)防火墻IP/端口的策略無(wú)法精確管理的問(wèn)題。讓業(yè)務(wù)開(kāi)放對(duì)象更為明了、管理更方便、策略更易懂2）廣域網(wǎng)垃圾流量清洗：通過(guò)NGAF智能的內(nèi)容安全過(guò)濾功能，將病毒、木馬、蠕蟲(chóng)、DDoS等各種垃圾流量清除，確保帶寬純凈，防止病毒擴(kuò)散3）一體化部署，簡(jiǎn)化組網(wǎng)：NGAF具備L2-L7一體化安全防護(hù)功能，可以簡(jiǎn)化組網(wǎng)，簡(jiǎn)便管理，提高性價(jià)比；互聯(lián)網(wǎng)出口邊界防護(hù)由于互聯(lián)網(wǎng)邊界實(shí)現(xiàn)了對(duì)外業(yè)務(wù)發(fā)布系統(tǒng)和內(nèi)網(wǎng)終端的互聯(lián)網(wǎng)接入，因此需要從如下幾個(gè)方面著重考慮：對(duì)外業(yè)務(wù)系統(tǒng)發(fā)布：1）網(wǎng)站被掛馬、數(shù)據(jù)遭篡改，企業(yè)/單位形象受損，造成經(jīng)濟(jì)損失，帶來(lái)負(fù)面影響2）合理控制服務(wù)器外聯(lián)權(quán)限，封堵黑客遠(yuǎn)程控制，上傳病毒、木馬；3）響應(yīng)速度要求快，系統(tǒng)穩(wěn)定性要求高，需要簡(jiǎn)化組網(wǎng)，降低延時(shí)，減少單點(diǎn)故障；內(nèi)網(wǎng)終端互聯(lián)網(wǎng)接入：1）瀏覽器、OS、Flash漏洞多，上網(wǎng)容易感染病毒、木馬，竊取隱私2）合理控制服務(wù)器外聯(lián)權(quán)限，封堵黑客遠(yuǎn)程控制終端，將內(nèi)網(wǎng)終端作為跳板，入侵服務(wù)器3）用戶權(quán)限多樣，安全策略配置復(fù)雜圖互聯(lián)網(wǎng)邊界安全方案拓?fù)渫ㄟ^(guò)在互聯(lián)網(wǎng)接入路由器后面部署XX臺(tái)深信服NGAF-XXXX，,XX網(wǎng)上交易系統(tǒng)部署在DMZ區(qū)，提供XX性能，開(kāi)啟XX、XX功能授權(quán)，可以實(shí)現(xiàn)對(duì)內(nèi)網(wǎng)終端和對(duì)外業(yè)務(wù)發(fā)布系統(tǒng)的雙重防護(hù)（可以根據(jù)具體情況，分開(kāi)部署），：對(duì)外業(yè)務(wù)發(fā)布系統(tǒng)防護(hù)：1）防止黑客入侵，獲取權(quán)限，竊取數(shù)據(jù)：通過(guò)NGAF的漏洞防護(hù)、服務(wù)器防護(hù)、病毒防護(hù)等多種應(yīng)用內(nèi)容防護(hù)功能，防止黑客入侵，保證服務(wù)器穩(wěn)定運(yùn)行；2）精確控制服務(wù)器外聯(lián)權(quán)限：通過(guò)NGAF精確的應(yīng)用識(shí)別，放行服務(wù)器補(bǔ)丁升級(jí)、病毒庫(kù)升級(jí)等必要外聯(lián)流量，阻斷各種無(wú)關(guān)非法外聯(lián)流量；3）簡(jiǎn)化組網(wǎng)、降低延時(shí)：NGAF具備L2-L7一體化安全防護(hù)功能，可以簡(jiǎn)化組網(wǎng)，減少故障點(diǎn)；通過(guò)單次解析引擎減低延時(shí)；內(nèi)部終端安全防護(hù)：1）全面防護(hù)，標(biāo)本兼治：通過(guò)NGAF的惡意網(wǎng)站過(guò)濾功能，防止終端訪問(wèn)威脅網(wǎng)站和應(yīng)用；通過(guò)漏洞防護(hù)、病毒防護(hù)、惡意控件/腳本過(guò)濾功能，切斷威脅感染終端的各種技術(shù)手段；2）精確識(shí)別，防止非法外聯(lián)：通過(guò)NGAF精確的應(yīng)用識(shí)別，放行服務(wù)器補(bǔ)丁升級(jí)、病毒庫(kù)升級(jí)等必要外聯(lián)流量，阻斷各種無(wú)關(guān)非法外聯(lián)流量，防止終端被作為跳板入侵服務(wù)器3）一體化部署，配置簡(jiǎn)單：NGAF具備L2-L7一體化安全防護(hù)功能，可以簡(jiǎn)化組網(wǎng)，簡(jiǎn)便管理，提高性價(jià)比；深信服NGAF產(chǎn)品介紹更精細(xì)的應(yīng)用層安全控制NGAF獨(dú)創(chuàng)的應(yīng)用可視化引擎，可以根據(jù)應(yīng)用的行為和特征實(shí)現(xiàn)對(duì)應(yīng)用的識(shí)別和控制，而不僅僅依賴(lài)于端口或協(xié)議，擺脫了過(guò)去只能通過(guò)IP地址來(lái)控制的尷尬，即使加密過(guò)的數(shù)據(jù)流也能應(yīng)付自如。目前，NGAF的應(yīng)用可視化引擎不但可以識(shí)別724多種的應(yīng)用及其應(yīng)用動(dòng)作，還可以與多種認(rèn)證系統(tǒng)（AD、LDAP、Radius等）、應(yīng)用系統(tǒng)（POP3、SMTP等）無(wú)縫對(duì)接，自動(dòng)識(shí)別出網(wǎng)絡(luò)當(dāng)中IP地址對(duì)應(yīng)的用戶信息，并建立組織的用戶分組結(jié)構(gòu)；既滿足了普通互聯(lián)網(wǎng)邊界行為管控的要求，同時(shí)還滿足了在內(nèi)網(wǎng)數(shù)據(jù)中心和廣域網(wǎng)邊界的部署要求，可以識(shí)別和控制豐富的內(nèi)網(wǎng)應(yīng)用，如LotusNotes、RTX、Citrix、OracleEBS、金蝶EAS、SAP、LDAP等,針對(duì)用戶應(yīng)用系統(tǒng)更新服務(wù)的訴求,NGAF還可以精細(xì)識(shí)別Microsoft、360、Symantec、Sogou、Kaspersky、McAfee、金山毒霸、江民殺毒等軟件更新,保障在安全管控嚴(yán)格的環(huán)境下,系統(tǒng)軟件更新服務(wù)暢通無(wú)阻。因此，通過(guò)應(yīng)用可視化引擎制定的L3-L7一體化應(yīng)用控制策略,可以為用戶提供更加精細(xì)和直觀化控制界面，在一個(gè)界面下完成多套設(shè)備的運(yùn)維工作，提升工作效率。更全面的內(nèi)容級(jí)安全防護(hù)深信服NGAF的灰度威脅識(shí)別技術(shù)不但可以將數(shù)據(jù)包還原的內(nèi)容級(jí)別進(jìn)行全面的威脅檢測(cè)，而且還可以針對(duì)黑客入侵過(guò)程中使用的不同攻擊方法進(jìn)行關(guān)聯(lián)分析，從而精確定位出一個(gè)黑客的攻擊行為，有效阻斷威脅風(fēng)險(xiǎn)的發(fā)生?；叶韧{識(shí)別技術(shù)改變了傳統(tǒng)IPS等設(shè)備防御威脅種類(lèi)單一，威脅檢測(cè)經(jīng)常出現(xiàn)漏報(bào)、誤報(bào)的問(wèn)題，可以幫助用戶最大程度減少風(fēng)險(xiǎn)短板的出現(xiàn)，保證業(yè)務(wù)系統(tǒng)穩(wěn)定運(yùn)行。深信服NGAF可以為業(yè)務(wù)系統(tǒng)提供端到端的安全防護(hù)，防護(hù)對(duì)象涵蓋了終端、服務(wù)器、網(wǎng)絡(luò)設(shè)備等，防御的威脅種類(lèi)包括了：漏洞利用類(lèi)威脅：各種通過(guò)操作系統(tǒng)、應(yīng)用系統(tǒng)、協(xié)議異常等漏洞，進(jìn)行傳播的蠕蟲(chóng)、木馬、后門(mén)、間諜軟件，進(jìn)行攻擊和入侵的DoS/DDoS攻擊、緩沖區(qū)溢出攻擊、協(xié)議異常攻擊、藍(lán)屏攻擊、權(quán)限提取等；Web