深信服NGAF解决方案深信服科技有限公司2011年7月4日第1章需求概述1.1背景介绍互联网及IT技术的应用在改变人类生活的同时，也滋生了各种各样的新问题，其中信息网络安全问题将成为其面对的最重要问题之一。

网络带宽的扩充、IT应用的丰富、互联网用户的膨胀式发展，使得网络和信息平台早已成为攻击爱好者和安全防护者最激烈斗争的舞台。

Web时代的安全问题已远远超于早期的单机安全问题，尽管防火墙、IDS、UTM等传统安全产品在不断的发展和自我完善，但是道高一尺魔高一丈，黑客们不仅专门针对安全设备开发各种工具来伪装攻击、逃避检测，在攻击和入侵的形式上也与应用相结合越来越紧密。

这些都使传统的安全设备在保护网络安全上越来越难。

目前更多的出现了以下的安全问题：投资成本攀升，运维效率下降许多企业为了应对复杂的安全威胁,购买了多个厂商的安全产品,安全建设犹如堆积木一般。

购买的安全防护产品愈来愈多，问题也随之出现：大量的安全防护产品部署，需要大量专业安全管理人员负责维护，复杂的安全架构使得管理同样变得复杂化，由于企业采用了多套安全解决方案，这就要求有很多技术人员精通不同厂商的解决方案。

购买产品很简单，日常运维很复杂，这对企业本来就有限的IT人员、安全管理人员来讲是非常痛苦和困难的事情。

而且不同厂商安全解决方案之间的协调性也有待商榷，当专业化的攻击和威胁来临时，这些安全产品之间能不能发挥协同作用抵御威胁这还是一个很大的问号。

对企业的管理者来说，如何降低管理成本、提高运维效率、提升企业安全水平，是目前最急待解决的问题。

“数据库泄密”、“网页遭篡改”等应用层安全事件频现2011年上半年，索尼超过1亿个客户帐户的详细资料和1200万个没有加密的信用卡号码失窃，索尼已花掉了1.71亿美元用于泄密事件之后的客户挽救、法律成本和技术改进这笔损失只会有增无减。

2011年5月10日上午消息，一些兜售廉价软件的黑客攻击了多个知名网站，包括美国宇航局(以下简称“NASA”)和斯坦福大学的网站。

有网友就在微博中反映：买家在自己开的网店购物之后，付款时却将货款打到一个不相干的帐户。

后查明，是这个买家此前已经中毒。

这种情况下，在中毒电脑上进行的所有交易都将给骗子付款。

尽管部署了众多安全设备,此类问题仍然频发,原因何在：当前攻击层次逐步向应用层转变，传统防火墙失效;黑客采取混合攻击，组合多种威胁方法，传统的单点式安全设备失效;黑客采取混合攻击,单点式安全设备串联,或是UTM, 由于都未真正融合众多安全功能,无法将各种攻击信息关联和共享,无法跟踪黑客攻击攻击各个环节,漏网威胁与日俱增。

网管员对企业流量束手无策当前网络中流量多为七层应用，传统安全设备对其不可见，致使IT管理员无法了解哪些应用处于使用中以及哪些用户在使用这些应用，无法轻松区分好应用和坏应用，无法根据网络状况实施控制策略，如何将网络控制权重新还给IT管理员亟待解决。

部署UTM，网络中断或访问变慢UTM貌似可以解决以上问题，然而，UTM非多种安全防护功能的真正集成，功能全开后性能大幅下降，花重金购置的设备被迫成为了摆设，客户急需真正的一体化安全设备且不应该导致网络运行中断。

内网出现威胁，追究责任困难企业内网拥有强大的认证系统，传统安全产品无法与之有机结合，使之孤立存在，从而内网安全机制无法定位到人员，出现问题只能定位于大量的IP地址，网管不是计算机，从一大堆的IP地址中，定位具体人员，简直是自虐。

安全设备越快适应现网的认证系统，并充分融合，安全问题真正落实到位，是多年来企业IT人员的梦想。

1.2传统安全设备弊端1.2.1传统防火墙存在的问题第一，传统防火墙通过IP地址和协议端口号来控制网络访问，但对使用相同端口的流量无法进行有效控制。

第二，防火墙的体系结构，是针对网络层进行操作的，因此很难对应用层进行防护。

1.2.2传统堆叠法存在的问题第一,资源浪费，功能重复。

第二,功能复杂，难以制定整体安全策略。

第三,难以协调，产生兼容性问题。

第四,简单的堆叠带来的安全效能低下。

1.2.2传统UTM存在的问题第一,性能和功能是一对矛盾体。

要不性能上去了,功能没了；要不功能多了，性能不佳。

第二，应用层检测精度低下。

UTM产品，主要目的是对网络资源进行保护，防御威胁，防止网络滥用，重点在于控制。

但是威胁和网络层滥用在应用层的不断延伸和扩散使得应用层检测愈加成为主角，没有全面、精确的检测依据，再多灵活的控制手段也是徒劳。

第三，未真正实现应用可视化开启UTM多功能后性能的大幅下降，势必会影响各个引擎对流量的扫描和检测，没有办法对其所有实时流量进行深度和细粒度检测和识别，必然导致应用流量的不可视。

1.3客户现网需求分析xx企业在构建网络安全系统时,由于没有很好的规划,为了应对日益增多的复杂安全威胁,陆续采购了防火墙、IPS等众多安全产品，安全产品的堆叠没有带来预想的效果，安全事件未减反增，令企业管理员很头痛。

UTM的出现似乎让网管看到了希望，于xx年购置了一台UTM设备，替换现有的安全设备进行统一防护，然而功能全开启时，性能下降甚至达到80%，成为网络瓶颈，更为可怕的是，流量的不再可视，让网管再次陷入泥沼。

客户当前拓扑图如下：（拓扑图根据客户需求酌情更改）由此可见，搭建网络安全系统绝对不是只是到市场上采购各种安全产品，然后简单的接入网络中就万事大吉。

行动前，必须准确评估企业自身发展状况，制定切实可行的设备选型原则。

针对企业客户现状，选型原则如下：1.4设备选型原则1.3.1整合安全网络安全涉及网络系统的多个层次和多个方面，既涉及对外部攻击的有效防范，又包括制定完善的内部安全保障制度;既涉及防病毒攻击，又涵盖实时检测、防黑客攻击等内容。

发展整合安全，就是要让单一的网络安全向综合安全转变。

整合安全不仅提供对于某种安全隐患的防范能力，而且涵盖了对各种可能造成网络安全问题隐患的整体防范能力。

1.3.2简单易用企业采购设备日趋增多，网管员工作量急剧增加，旨在减轻网管的工作量，新一代安全设备必须做到部署简单化、策略实施简单化、安全防御简单化、管理维护简单化、身份认证简单化。

1.3.3降低成本企业用户通常关注成本，“花最少的钱办最多的事”，如何以较低成本获得更加全面的安全防护，值得关注。

1.3.4应用可视化当前安全设备多工作于网络层，应对主流的应用层威胁无能为力，因此，真正做到深入的应用感知，精准的应用防护，恢复网管对网络流量的掌控，至关重要。

1.3.5突破性能瓶颈多安全设备协调运作或是UTM功能全开时所带来的大幅性能下降，均为我们不愿看到的事实，新一代安全产品进行统一防护的同时必须保证性能不下降，保证不会成为网络的潜在断点。

1.3.6更高的检测精度如果安全设备的应用层检测频频出现误判，那么依据错误检测所做的防御措施势必给用户的正常业务带来严重影响。

第2章安全建设方案结合上述的用户需求以及IT系统业务应用交付的过程，深信服可以为用户提供一个端到端的可视化应用安全防护方案。

总体拓扑图如下：针对企业现存的不同的业务应用类型、不同的使用场景的各种安全需求，我们将业务系统的安全防护分为了如下四种：l 内部业务数据中心可视化安全2 对外发布数据中心一体化安全3 高效广域网安全互联4 园区网出口综合防护2.1内部业务数据中心可视化安全保护内部业务数据中心，AF可以做什么呢？具体出现的问题如下：1.未授权的访问，非法用户流量2.不必要的访问（如只提供http应用服务访问）3.DDOS攻击（ip、端口扫描、洪水攻击、协议报文攻击）4.漏洞攻击（针对服务器操作系统、软件漏洞）NGAF应对：1.用户认证2.应用识别、控制3.DOS外网防护4.IPS保护服务器漏洞内部业务数据中心的服务器，不管是操作系统本身，是运行之上的应用软件程序，都可能存在一些安全漏洞，攻击者可以利用这些漏洞发起带攻击性的数据包造成对内提供服务终端或重要数据丢失等。

AF检查穿过的数据包，和内置的漏洞规则列表进行比较，确定这种数据包的真正用途，然后根据用户配置来决定是否允许这种数据包进入目标区域网络。

下面详细列举NGAF漏洞防护的流程：第一，定义漏洞特征识别库第二，可以选择不同的漏洞类别第三，每个漏洞下多个规则，其中每条规则都有其独立的属性，说明危险级别、规则是否启用、检测到攻击后是放行还是拦截第四，新增IPS规则第五，点击“请选择服务器漏洞”经过以上的配置，内部mail服务器便具备了漏洞特征识别中的mail漏洞类型防范功能。

深信服NGAF通过一体化的应用管控、应用防护，以及智能风险报表等功能，可以为用户提供高性能、可视化、易管控的数据中心安全解决方案。

2.2对外发布数据中心一体化安全近年来，金融的网银系统、政府的政务公开、网上业务受理、社保数据交换、运营商的网上营业厅等各种对外业务发布应用系统正在加快部署。

这些暴露在公众面前的业务系统，面临着多样的安全威胁，一旦被入侵或者篡改了数据就会损坏企业形象，造成经济损失、负面的政治影响等问题。

NGAF深入剖析黑客入侵对外发布服务器的全过程，针对每个步骤采取相应的防护手段，有效应对了威胁。

黑客入侵四步曲：1.扫描IP/端口2.扫描软件版本信息3.选取对应的漏洞，SQL注入、跨站脚本等获取权限4.上传脚本/恶意代码，下载机密文件AF应对：1.禁止扫描2.应用隐藏3.SQL注入防护、跨站脚本防护、IPS漏洞防护4.禁止访问指定目录、禁止上传可执行程序部分恶意用户，会根据软件名称及版本号，查找软件的漏洞信息，NGAF可以将此类敏感信息隐藏后再传递给客户端，使得恶意用户无法查找相关漏洞进行攻击。

FTP应用隐藏前：FTP应用隐藏后：针对业界常见的SQL注入获取服务器数据库操作权限的行为，NGAF可以有效应对。

NGAF 内置防护规则库，对用户提交的SQL语句进行危险性判断，并采取阻断或者仅记录的动作。

未启用SQL注入防护前：提交这个相当于在后台数据库执行Select * from username where userid=‘admin’ or 1=‘1’ and pwd=1此sql语句执行后如果存在username表、admin用户，则不管密码是否正确，结果恒为真，如果服务器不限制的话，用户就绕过授权而登录到系统了。

启用SQL注入防护后：客户端输入同样的信息、客户端显示如上图所示AF帮助阻断这种非法提交。

有类似and 1=1的，将被AF强规则匹配，而丢包。

深信服NGAF可以针对发布系统可能存在的网站挂马、病毒上传、数据篡改、权限入侵、漏洞攻击等各种安全风险提供一体化、高性价比、跟智能的安全方案。

2.3高效广域网安全互联广域网建设的特点在于带宽资源有限、并发业务众多，而传统安全设备的部署并没有保证各种业务在广域网上安全、稳定的交付，病毒爆发快速蔓延整个网络、非法越权访问、关键业务带宽被挤占等问题依然频发。