下一代防火墙_绿盟_下一代防火墙产品白皮书
绿盟下一代防火墙
产品白皮书
? 2014 绿盟科技■版权声明
本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属绿盟科技所有,受到有关产权及版权法保护。任何个人、机构未经绿盟科技的书面授权许可,不得以任何方式复制或引用本文的任何片断。
目录
一. 当今网络边界安全的新挑战 (1)
二. 现有防火墙解决方案的不足 (2)
三. 绿盟下一代防火墙产品 (3)
3.1客户价值 (3)
3.1.1 洞察网络应用,识别安全风险 (3)
3.1.2 融合安全功能,保障应用安全 (4)
3.1.3 高效安全引擎,实现部署无忧 (4)
3.1.4 内网风险预警,安全防患未然 (4)
3.1.5 云端高效运维,安全尽在掌握 (5)
3.2产品概述 (5)
3.3产品架构 (6)
3.4主要功能 (7)
3.4.1 识别和可视性 (7)
3.4.2 一体化策略与控制 (8)
3.4.3 应用层防护 (9)
3.4.4 内网资产风险识别 (10)
3.4.5 安全运维云端接入 (11)
3.4.6 基础防火墙特性 (12)
3.5产品优势 (13)
3.5.1 全面的应用、用户识别能力 (13)
3.5.2 细致的应用层控制手段 (15)
3.5.3 专业的应用层安全防护能力 (16)
3.5.4 卓越的应用层安全处理性能 (18)
3.5.5 首创的内网资产风险管理 (18)
3.5.6 先进的云端安全管理模式 (18)
3.5.7 完全涵盖传统防火墙功能特性 (19)
3.6典型部署 (19)
四. 总结 (20)
插图索引
图1 核心理念 (5)
图2 整体架构 (6)
图3 资产管理 (10)
图4 云端接入 (11)
图5 应用/用户识别 (13)
图6 应用控制 (15)
图7 一体化安全引擎 (16)
图8 双引擎多核并发 (18)
图9 典型部署 (19)
一. 当今网络边界安全的新挑战
现阶段,随着以Web 2.0为代表的下一代网络技术的迅猛发展,Web化应用呈现出爆发式增长趋势,如今网络有近三分之二的流量都是HTTP和HTTPS应用。一方面,Web 2.0应用可以显著增强协作能力,提高生产效率,但另一方面也不可避免的带来了新的安全威胁,体现在:
1) 新一代网络中以协议和端口来辨别应用,进而进行网络访问控制的方式已失效。当今
网络,大量应用可以直接复用同一标准协议的知名端口(如80端口已不再专属HTTP,可被P2P、IM等大量应用使用),或者直接承载在标准协议中(如Web视频直接承
载在HTTP协议中)。并且,即使同一种应用,其通信端口和协议也会动态变更和跳
变。此种环境下,如何还能精准识别不同应用,继续有效管控网络通信、合理分配带
宽资源需要我们进行重新审视和思考。
2) 移动设备接入、无线网络连接、访客临时IP等已使网络边界模糊不清,接入渠道多
样,入网设备繁杂,地址身份变化不定等已经使传统边界安全设备捉襟见肘,如何继
续有效进行身份识别、执行接入控制,是新时代网络环境下又一难题。
3) 威胁入侵多以外网攻击或内网感染为触发点,一台设备被攻陷或感染后,作为跳板或
传染源对内网其他资产设备进行扩散和传播,引起内网泄密、资源占用等财产损失。
如何在新一代网络环境下评估现网、尽早发现内网资产易受攻击的薄弱环节、填补漏
洞、防患于未然,而将安全事件扼杀于事前,是较事中、事后等被动防范更加主动有
效的安全防护措施。
4) 新形势下的网络威胁日益复杂和增多,用户的安全工程师为管理众多的安全设备而疲
于奔命,如果自建安全管理平台又成本太高。同时,即便对于已经部署安全管理平台
的用户,在使用过程中也并不是得心应手,体验较差。而且,有些威胁事件发生后,工程师并不在现场,想第一时间了解威胁事件详情,处理威胁事件非常困难,尤其是
连入内网的操作更加繁琐,得具备一定的工作环境才能够完成。如何在保持低成本投
入的前提下,便捷、高效的管理网络安全是用户亟待解决的问题。
二. 现有防火墙解决方案的不足
而在上述网络应用层出不穷、新型威胁不断涌现的背景下,无论是传统防火墙、统一威胁管理设备(UTM)还是“下一代防火墙”们,均已远远不能满足用户对自身网络的安全防护诉求,主要体现在:
●传统防火墙不能对网络应用、用户进行有效识别和控制
基于端口的访问控制已失效
传统防火墙只能对网络流量进行静态的、基于端口或协议的应用识别,而对下一代网络中大量应用的端口复用(如80端口已不再专属HTTP,可被P2P使用),端口跳变等均已束手无策,更无法实现精确管控,比如,允许访问80端口的策略很可能会让不期望的非法流量(如P2P)通过,甚至让黑客程序借此漏洞发动网络攻击,而若干脆禁止80端口则会殃及Web
应用,导致正常的网页访问无法进行,等等。
同样,流量控制和管理也到了细分应用种类的地步,传统的基于端口的粗放型流量管理不仅可能会“误伤”应该保证的良性应用,更可能会“助长”不良应用。
基于IP地址的访问控制已不可靠
传统防火墙通过IP地址对各安全区域进行访问控制,同时对威胁和应用来源进行跟踪审计。然而,除了固定的IP接入方案,随着无线通信和移动计算设备的飞速发展,越来越多的企业给员工配置移动办公设备,甚至允许员工自带私有设备工作。在这种多网多终端接入环境下,IP地址分配具有极强的随机性和不唯一性,IP地址本身对用户身份信息的传递已经越来越不具有代表性,进而,传统的通过IP地址来进行用户访问控制已不再完全有效。而对网络访问者真正身份的全面有效、深度广泛的鉴定识别,才是适应社会和网络发展的最有效手段。
●UTM架构安全处理性能不足
UTM设备虽比单一防火墙提供了更全面的安全防护能力,但其安全性能却始终饱受诟病。在架构上,UTM设备只是将各个安全模块“糖葫芦”似的串在一起,各模块间实则彼此分离,并重复对数据包解码,这种低效的架构缺陷致使安全性能随着模块的逐个开启而逐级大幅递减。
●现有“下一代防火墙”,对内网安全的把控鲜有建树
近几年涌现的林林总总的“下一代防火墙”产品们更多强调对边界流量的深入识别以及对外部入侵行为的检测和防护,而忽略了加固内部安全,“防患于未然”,从而并未形成一套
由外到内,再由内到外的全方位360度安全加固的解决方案,特别是随着0day及APT攻击的快速多变化,其单方面基于事中防范的被动检测方案也必将出现瓶颈而力不从心。
现有方案,未能简化运维
攻击的多元、多样、复杂化对用户来说意味着安全设备采购、人力运维成本的持续增加,即便如此,复杂精深的安全专业对用户运维人员要求极高,很难不令防护效果大打折扣,如何提供一种有效的服务模式,将运维简化、高效、可视化,让用户无论何时何地都能简便、易用的对网络安全攻防进行高效运维,而这点无论是传统还是“下一代”防火墙产品也均无有效建树。
在上述威胁新趋势和现有边界安全产品防护能力、性能、解决方案不足、服务模式局限的现状下,用户迫切需要一种能够代表新一代网络和安全发展诉求的全新一代防火墙产品来解决关键痛点。
基于此种预见,结合Gartner 于2009年提出的下一代防火墙定义,作为资深的网络安全厂商,绿盟科技结合多年业界领先的网络攻防经验和安全技术沉淀,推出了完全适应下一代网络攻防发展趋势和客户需求,并极具自身优势特色的新一代防火墙产品:绿盟下一代防火墙(NSFOCUS NF)。
三. 绿盟下一代防火墙产品
3.1 客户价值
3.1.1 洞察网络应用,识别安全风险
传统防火墙无法有效分辨和检测出当今网络中出现的各种复杂应用,其中包括低风险应用(如WebEx, ERP, Oracle等),也包括高风险应用(如Bit,QQ、电驴下载等),因而更无法准确的识别和拦截各类应用中的安全风险。
NSFOCUS NF能精确分类与辨识出包括低风险、高风险在内的1000+种应用,根据应用不同风险等级分别进行不同级别的安全扫描,从而及时准确的识别和拦截各种威胁攻击,保障用户网络应用的安全性。
同时,NSFOCUS NF将当前网络中发生的一切安全威胁状况都及时清晰、可视直观的展现给用户,如当前网络中的应用流量分布,用户访问分布,以及在应用的安全防护中发现或拦截了哪些安全威胁等。
这些威胁按照风险等级,以统计告警、报表、日志的形式可视化的呈现给用户,使用户可以对网络的近日、近期、长期的安全状况都能有非常直观的了解和把握,从而可以及时有效的采取防御措施。
3.1.2 融合安全功能,保障应用安全
随着下一代网络Web2.0应用技术的高速发展,随之而来的基于应用的威胁攻击无论从数量上、形式上还是技术手段上都呈现出井喷式的增长和变化,如借助应用漏洞的威胁入侵,机要窃取,或由员工非法网页访问引起的挂马植入,或由邮件和文件下载引起的病毒传播,或以应用为载体的不良、敏感信息的传播等均呈现出多样化、复杂化和融合化。
怎样提供一种手段能够全面准确且管理简便的将所有安全威胁一网打尽。NSFOCUS NF 结合公司多年来业界领先的攻防优势,推出具有自主知识产权的集入侵防护、防病毒、URL 过滤、内容过滤为一体的一体化安全引擎,一体化安全引擎可对应用流量进行2-7层一体化、全方位、多层面的安全过滤,一次解码即可发现并拦截全部威胁攻击和安全风险,保障用户网络环境的应用安全。
3.1.3 高效安全引擎,实现部署无忧
NSFOCUS NF使用专用的数通引擎、一体化安全引擎双引擎模式,并将其构筑于最新一代高速多核并行硬件平台之上。数通引擎与一体化安全引擎多核、并发的进行着高吞吐交互,从技术上保障了:在高网络层转发性能的基础上,开启安全模块性能不出现明显下降,从而保证用户可以放心的使用安全功能。同时提供的接入方案从百兆、到千兆再到万兆级,充分满足用户在各种网络环境下对安全接入的高性能吞吐需求。
3.1.4 内网风险预警,安全防患未然
全面掌控当前网络资产健康及风险状况,专家级健康改善及安全防护方案指导,专业级资产健康评分及分析系统。让用户随时洞悉网络当前潜在威胁风险,并可根据风险建议及时执行管控策略,或对风险资产堵漏升级,或进行访问控制和风险防范,最终核查改善效果,将威胁入侵扼杀在摇篮,防患于未然,呈现7*24小时的健康绿色网络。
3.1.5 云端高效运维,安全尽在掌握
通过绿盟科技云端安全运维模式,用户可以随时随地,7*24小时的实时在线监控安全设备负载和运行状况,在线掌控用户网络安全事件状况,通过云端专业分析,第一时间帮助用户预防和发现各类安全威胁和攻击,帮助客户在攻防难度与日俱增的当今网络时代下,实现防护效率和准确度提高,同时此种模式使用户的安全运维投入大大减少,将用户从繁重吃力的安全对垒中解放出来,从而可以全部精力投入到业务发展中去。
3.2 产品概述
绿盟下一代防火墙(英文简称NSFOCUS NF)是绿盟科技构筑在最新一代64位多核硬件平台基础之上,采用最新的应用层安全防护理念,同时结合先进的多核高速数据包并发处理技术,研发而成的企业级下一代边界安全产品。其核心理念是立足于用户网络边界,建立起以应用为核心的网络安全策略和以内网资产风险识别、云端安全管理为显著特征的全方位的安全防护体系。
图 1 核心理念
智能化识别应用
通过智能化应用、用户身份识别技术,绿盟下一代防火墙可以将网络中单纯的IP/端口号(IP/Ports),以及流量信息,转换为更容易理解、更加智能化的应用程序信息和用户身份信息,为后续的基于应用程序的策略控制和安全扫描,提供了识别基础。
●精细化控制应用
绿盟下一代防火墙可以根据风险级别、应用类型、是否消耗带宽等多种方式对应用及应用动作进行细致分类,并且通过应用级访问控制,应用流量管理以及应用安全扫描等不同的策略对应用分别进行细粒度的控制和过滤。
●一体化安全扫描
在完成智能化识别和精细化控制以后,下一代防火墙对于允许使用且可能存在高安全风险的网络应用,可以进行漏洞,病毒,URL和内容等不同层次深度扫描,如果发现该应用中存在安全风险或攻击行为可以做进一步的阻断并且记录成为详细的安全日志和风险报表。
●资产风险识别和云端安全管理
绿盟科技下一代防火墙可以主动、先发性的对用户内网脆弱资产进行风险评估,并提出加固方案,是用户的内网安全管理专家,同时又可以通过接入云端,简化运维,对安全威胁在线分析和把控,是用户的云端安全管理专家。
3.3 产品架构
图 2 整体架构
NSFOCUS NF产品构筑在64位多核并发,高速硬件平台之上,采用自主研发的并行操作系统,将管理、数通、安全平面并行部署在多核平台上。多平面并发处理,紧密协作,极大的提升了网络数据包的安全处理性能。
NSFOCUS NF产品采用数通引擎和一体化安全引擎双引擎设计。数通引擎实现基础防火墙功能,并作为整个系统运转的核心,将底层数通处理和高层应用安全处理,高度整合和驱动起来。
具有绿盟科技自主知识产权的一体化安全引擎技术,与数通引擎无缝结合。该引擎对网络数据包只需进行一次解码,即可完成4-7层全部安全扫描和过滤,从根本上解决了传统UTM 设备各安全模块彼此分离、解码重复的问题,从而保证模块开启安全性能不明显下降。
在数通引擎的网络底层支持和一体化安全引擎的高层防护的双引擎模式下,NSFOCUS NF对用户网络流量全天24小时不间断、高速的进行着应用识别、控制和安全扫描。保障着用户业务安全无忧的正常运转。
3.4 主要功能
3.4.1 识别和可视性
●应用识别与控制
应用管理
NSFOCUS NF内置应用识别库,支持1000+种应用识别。在配置界面上为用户提供应用列表,并可将应用进行5维度分类,包括按风险等级分类(1-5级威胁度),按商业类别、子类别分类(如媒体类,图片视频子类),按实现技术分类(如P2P),以及按照特征标签分类(如消耗带宽类,传输文件类应用等)。同时支持按照以上5维度的任意组合供用户对应用进行详细查询定位。
自定义应用
随时更新的内置应用库已经涵盖当今互联网、企业绝大多数应用,然而如遇特殊需求,NSFOCUS NF支持应用自定义功能。通过指定应用特征识别码、特征域名、数据包大小、识别起止范围、端口号以及服务模式,用户可定义对特殊应用的识别方法,并可将该应用进行5维度归类,实现对应用特征的标识。
应用过滤器
虽然NSFOCUS NF已经对应用进行了5维度分类,但在实际使用环境中,用户仍可以以其他方式将应用进行归类,并在一体化应用配置策略中进行引用。应用过滤器功能就是为满足用户上述需求而产生。用户可先在应用过滤器中根据需求对应用进行多维查询,当确认过滤出的应用正是所需时,即可对此过滤器进行冠名保存。在之后的一体化应用策略配置中,用户可任意选择多个冠名过滤器,设备将会对过滤器中的归类应用,执行一致的识别和控制策略,极大的方便了用户的应用策略管理和使用。
●用户身份识别
作为下一代防火墙显著特征之一,NSFOCUS NF对在线用户身份识别功能做了全面细致的支持。与传统的将用户认证策略混入防火墙策略配置中不同,NSFOCUS NF将用户认证从防火墙复杂的策略配置中抽离出来,从逻辑上做出更合理清晰的呈现。
用户可对不同的安全区域指定不同的认证策略,并可根据不同场景选择不同的身份识别方案,例如,可从域控服务器直接获取身份信息,与第三方认证服务器(Radius、AD、LDAP)认证,本地帐号库认证,证书认证,以及结合以上多钟认证方式于一体的多因素认证。
同时,为方便用户理解和使用,NSFOCUS NF对用户账号进行了集中管理和控制。只需集中配置好账户信息(包括Radius、AD、LDAP、本地数据库、证书账号等)即可在用户认证策略、VPN授权、设备管理员授权等多处便捷使用。
●日志记录和统计报表
NSFOCUS NF让用户随时可以了解当前网络正在发生什么。具体体现为,可实时了解当前网络中正遭受哪些威胁攻击(包括入侵攻击、病毒、恶意站点及敏感信息),以及相应的威胁等级、攻击数目等。
同时,用户可实时了解当前网络中一段时间以来各网络接口带宽使用情况,流量排名前十的应用以及流量使用排名前十的用户,并可实时互查应用与用户流量间的使用关系。
除了实时网络状况,NSFOCUS NF为用户提供按日、按周、按月、按年的安全趋势分析报表以及以往所有的访问控制和安全日志。从而让用户对安全威胁、业务应用、用户流量、网络负载从时间、数量、程度上通过各种形象化图形和数据手段有了高度可视化的跟踪和了解。
3.4.2 一体化策略与控制
●一体化配置策略
基于安全引擎的一体化设计,NSFOCUS NF在配置界面上为用户提供了较传统防火墙和UTM完全不同的清晰和简捷的管理体验,即一体化配置策略。
一体化配置策略将传统五元组访问控制与具有下一代防火墙特征的用户识别、应用识别控制有机的结合起来,同时对其他防火墙产品一贯分离且重复的安全策略配置方式,进行了高度集中和融合。
在一条策略中即可全部或部分选择:入侵防护、防病毒、URL过滤、内容过滤。免去用户以往在多个不同安全配置页面间频繁切换,重复配置的不便。其结果是在其它防火墙产品上需要配置5、6条策略才能实现的功能,现在在NSFOCUS NF上,只需要一条策略即可完
成,且逻辑上更加清晰简单,便于理解,极大的提高了管理易用性和可维护性,防止了繁琐配置引起的错误风险。
●流量管理和分析
基于强大细致的用户、应用识别能力,NSFOCUS NF支持用户以安全区、IP地址(网段)、时间、用户、应用多维度的对流量进行管理和控制,包括限制应用上下行最大带宽、保证应用上下行最小带宽、保证带宽下的优先级排序以及每IP的进行应用流量控制,从而做到合理分配网络带宽,保证重要业务的正常优质运行,限制或防范非法滥用网络资源的应用对流量的过度占用等。
3.4.3 应用层防护
●入侵防护
NSFOCUS NF内置3000+威胁特征库,并将威胁入侵分为5大类,分别是按攻击手段分类(如获取权限、信息收集类),按技术手段分类(如蠕虫、P2P),按流行程度分类(非常流行、中等流行),按危险程度分类,按服务类型分类等(如WWW、FTP事件等)。
NSFOCUS NF可防护远程扫描、暴力破解、缓存区溢出、蠕虫病毒、木马后门、SQL 注入、跨站脚本等各种网络及应用攻击。同时支持用户自定义规则,建立规则组等功能。并能够对检测到的入侵事件实时告警、阻断、记录和提供统计报表。
●URL过滤
NSFOCUS NF具有业界领先的基于云端的URL分类库,内含按照不同类型(如不良言论、色情暴力、网络“钓鱼”、论坛聊天等)划分的超过上亿条记录的URL信息,可实现对工作无关网站、不良信息、高风险网站的准确、高效过滤;
同时NSFOCUS NF内置的Web信誉库,通过对互联网站点资源(域名、IP地址、URL 等)进行威胁分析和信誉评级,将含有恶意代码的网站列入Web信誉库,可有效阻挡用户对挂马等不良信誉网站的有意或无意访问,实现对终端用户的安全保护。
●防病毒
NSFOCUS NF采用流模式和启发式文件扫描技术,对利用HTTP、SMTP、POP3、FTP、IM等多种协议进行传播的病毒进行扫描,完成对木马病毒、蠕虫病毒、宏病毒、脚本病毒等的查杀,同时支持多线程并发控制、深层次压缩文件杀毒、病毒白名单等功能。
此外,NSFOCUS NF将专业防病毒引擎和多核并行处理技术完美融合,实现高速病毒处理性能。
●内容过滤
通过内容安全关键字,NSFOCUS NF可对任意安全区域间交互的网页内容、搜索引擎信息内容、文件传输(文件名、格式、内容)、邮件收发(包括收发人、标题、内容、文件等)、论坛发言、服务器操作、以及即时通讯内容等进行基于内容关键字的准确检测、阻断、告警、记录和信息还原,实现深度内容安全管理与跟踪,避免用户机密信息、重要文件通过网络外泄,也避免了非法言论及不良信息的传播。
3.4.4 内网资产风险识别
图 3 资产管理
●资产风险识别
可根据用户指定的网络范围,通过自动及手动识别等多种方式,识别出多种资产类型,如PC、移动设备、服务器等等资源类型。并在此基础上,评估资产安全因素,分析资产受攻击可能性、危害程度、攻击范围及防护难度。针对易受攻击的系统及应用软件进行打分告警、报表分析,如操作系统版本漏洞威胁度、上网浏览器客户端漏洞威胁度等,让用户实时了解当前网络资产资源中的脆弱度,勾勒脆弱度全景图,并可针对性的实施漏洞填补,升级补丁,防火墙策略访问控制,流量监控等安全措施,从而达到防范潜在入侵攻击的可能性。
●安全加固方案指导及实施
针对识别出的资产风险,为用户提供一键安全策略生成的功能,从网络通信层面首先加强与脆弱资产通信数据的一体化安全扫描和防护,及时发现及时防护,弥补了漏洞填补,软件更新升级延时长,反应慢的不足。并可实时告警和记录入侵安全事件,形成安全事件报表和趋势图,指导用户及时做出加固防护。
●资产风险持续评估
从资产风险识别,到相关加固方案实施后,系统会继续跟进风险防范验证效果,通过二次识别打分、相关日志报表、审查记录的跟踪查询等手段验证对比防范方案的实施效果。从而从发现到解决问题到验证形成闭环,极大体现产品客户价值。
3.4.5 安全运维云端接入
图 4 云端接入
绿盟下一代防火墙支持一键接入云端功能,用户可以7*24小时在线监控安全服务,除基础的设备状态及资源使用情况监控,保障设备健康运行以外,对用户网络中发生的入侵嗅探、漏洞攻击、恶意软件侵入、远程越权操作窃取机密信息等攻击行为第一时间进行云端捕获并记录。
同时,用户亦可通过绿盟科技首创的客户自助门户系统(NSFOCUS Client Portal)登录云端,对防火墙设备状态、网络实时及历史安全事件、事件趋势及详细日志、报表、甚至全国其他地区的安全形势进行查询和跟踪。
3.4.6 基础防火墙特性
绿盟下一代防火墙兼容传统防火墙所有功能特性,包括交换/路由、访问控制,A-A/A-S 双机热备、软硬件Bypass、系统管理、日志报表、会话管理、抗DDoS攻击、应用代理、DHCP/DNS等等。
●PPPoE
通过ADSL接入Internet已经成为越来越多中小企业的选择,而ADSL需要拨号以后才能获得IP地址。绿盟下一代防火墙支持PPPoE协议,作为PPPoE Client端完成与PPPoE Server的建连和地址获取,通过设置用户名和口令即可支持ADSL接入,获得动态IP地址、网关及DNS地址,自动完成拨号过程,接入Internet网络。解决中小企业上网问题。
●NAT地址转换
支持静态网络地址转换(Static NAT)和动态网络地址转换(Dynamic NAT),实现内网地址转换成公网地址后进行网络通信。支持目的NAT,将对外网地址的访问映射为对内网地址访问,支持将对一个公网地址的访问映射为内网多个地址,实现内网服务器的负载均衡访问,同时支持目的端口转换。
●IPv6/IPv4双协议栈
支持IPv6安全控制策略设置,能针对IPV6的目的/源地址、目的/源服务端口、服务、等条件进行安全访问规则的设置;支持IPv6静态路由;支持双栈、6to4及6in4隧道实现IPv6网络与IPv4网络访问等。绿盟下一代防火墙产品已获IPv6-Ready认证。
●VPN
绿盟下一代防火墙根据企业VPN常见使用场景,支持多种VPN隧道业务,包括IPSec、GRE、SSL、L2TP VPN等。用户可通过GRE、IPSec或SSL VPN隧道实现分公司与总部之间的数据安全传输,通过SSL或L2TP VPN隧道实现PC以及移动客户端与总部之间的数据安全传输;支持多种隧道模式,即可以让用户通过七层Web链接进行内网资源的快速访问,又可以让用户通过三层隧道实现任意内网应用资源的便捷使用。
3.5 产品优势
3.5.1 全面的应用、用户识别能力
图 5 应用/用户识别
●应用识别
应用识别是下一代防火墙技术的关键特征之一,NSFOCUS NF无论在可识别应用数,还是在应用服务上,均具有显著优势。绿盟下一代防火墙可识别1000+种应用,并可辅助用户对这些应用进行高效管理和筛查,包括5维度分类组织、基于特性查询应用、自定义特殊应用等,让用户明显的感觉到NSFOCUS NF在应用识别和管理方面的专业性。
同时,绿盟科技拥有一支业界知名的,由资深安全专家组成的安全研究团队,他们长期不懈的跟踪前沿安全市场,保持着对最新网络应用和企业业务需求的提炼和积累,从而保证NSFOCUS NF的应用识别和安全库时时刻刻保持最高、最精确的应用和威胁识别率。
技术方面,NSFOCUS NF结合智能应用协议识别、高层应用特征匹配、动态流量及行为分析等多种技术,保证了对应用精准识别的技术优势,体现在:
智能应用协议识别
应用协议识别是新一代网络安全产品的核心技术。传统防火墙,通过固定的协议端口映射表来判断流经的网络报文属于何种应用协议。但事实上,应用协议与端口是完全无关的两个概念。同样的端口可能会运行多种不同的应用,而应用也可能在任意一个指定的端口上运行,比如基于智能隧道的P2P应用(如各种P2P下载工具、IP电话等),IMS(实时消息系统如MSN、Yahoo Pager),网络在线游戏等应用都可以运行在任意一个指定的端口,从而使传统的基于固定端口协议来区分应用的防火墙技术失效。
NSFOCUS NF采用特有的智能应用协议识别技术,通过动态分析网络报文中包含的协议特征,发现其所用协议,然后递交给相应的协议分析引擎进行处理,能够在完全不需要管理员参与的情况下,高速、准确地识别出通过动态端口或者智能隧道运用的真正应用。
应用特征匹配
应用特征匹配主要检测各类已知应用,在全盘了解应用特征后,制作出相应的应用特征库及应用过滤器,对网络中传输的数据包进行高速匹配,确保能够准确、快速地检测到此类应用。
NSFOCUS NF装载权威的应用专家知识库,提供高品质的应用特征介绍和分析,能够精确识别各种复杂应用,包括P2P应用、即时通讯、Web2.0应用等,并通过不断升级应用特征,保证第一时间最新应用的识别能力。
动态流量及行为分析
除了对应用协议进行智能识别及对高层特征进行精确匹配,网络中的应用数据流在其他方面还具有特征、特异化的表现和踪迹,NSFOCUS NF针对应用的这部分特征也进行了跟踪、判断和识别,如基于应用数据包上下行流量分布差异化进行的分析识别,以及基于客户端/服务器访问模式、多协议转换尝试等动态行为进行的分析辨识。使得无论从静态到动态,从固定到智能,NSFOCUS NF在应用识别方面均做到了全面与精确。
●用户识别
传统防火墙通过安全域的划分,把物理网络分割成几个部分,每个部分具有不同的安全属性,并且基于IP地址范围对各部分进行访问控制。随着无线网络发展、移动设备多元化接入,IP地址出现随机和无序化,已不能有效代表用户身份,且基于IP的身份管理效率低下。
NSFOCUS NF可以从域控服务器实时获取身份账号与IP地址的对应关系,从而免打扰的实现身份识别。在未部署域控服务器的环境中,NSFOCUS NF通过Web认证页面来完成身份识别,支持管理员指定认证策略,并于策略中指定认证方式(包括本地认证、Radius、AD、LDAP等),增强了用户接入验证的灵活性、安全性和准确性。
3.5.2 细致的应用层控制手段
图 6 应用控制
传统防火墙的访问控制或流量管理粒度粗放,只能基于IP/端口号对数据流量进行一刀切式的禁止或允许。NSFOCUS NF基于卓越的应用和用户识别能力,对数据流量和访问来源进行精细化辨识和分类,使得用户可以轻易从同一个端口协议的数据流量中辨识出任意多种不同的应用,或从无意无序的IP地址中辨识出有意义的用户身份信息,从而针对识别出的应用和用户施加细粒度、有区别的访问控制策略、流量管理策略和安全扫描策略,保障了用户最直接、准确、精细的管理愿望和控制诉求。
例如,允许HTTP网页访问顺利进行,并且保证高访问带宽,但是不允许同样基于HTTP 协议的视频流量通过;允许通过QQ进行即时通信,但是不允许通过QQ传输文件;允许邮件传输,但需要进行防病毒扫描或敏感信息过滤,如发现有病毒入侵或泄密事件马上阻断,等等。
3.5.3 专业的应用层安全防护能力
图7 一体化安全引擎
●一体化安全引擎
在充分考虑到现在及未来安全业务情景的前提下,NSFOCUS NF核心安全功能采用了高度一体化的架构设计方案,将所有的安全特性纳入到一体化的引擎中去。这样的一个明显优势是去除了传统UTM设备上各安全模块引擎间彼此独立,层层堆叠,每个引擎重复拆解数据包,彼此间没有任何传承配合,安全性能低下的冗余架构。同时,一体化安全引擎在系统中多核多进程并行执行,对网络海量数据进行实时、并发安全扫描和过滤,从而使产品安全性能有了一个质的飞跃,不仅是传统防火墙无法比拟,也从根本上解决了UTM设备安全模块开启,安全性能指数下降的传统顽疾。
结合公司在业界一贯知名的安全攻防能力,绿盟科技一体化安全引擎将其进行高度融合,从而确保用户网络安全高枕无忧,体现在:
入侵防护
威胁入侵防护是绿盟科技在业界领先的传统优势之一,其特设的安全研究院,先后独立发现许多国际著名厂商(如Microsoft、HP、CISCO、SUN、Juniper等)40多个重大安全漏洞,雄厚的威胁发现和响应能力保证了NSFOCUS NF在入侵防护规则和防御能力方面的领先。
NSFOCUS NF威胁特征库超过3000条,由绿盟科技安全研究院精心提炼,并经过了长期考验,能够主动防御已知和未知攻击,实时阻断各种黑客攻击,如缓冲区溢出、SQL注入、暴力猜测、拒绝服务、扫描探测、非授权访问、蠕虫病毒、僵尸网络等。广泛精细的安全防护保障用户免受安全损失。
同时,NSFOCUS NF能够全面抵御ICMP Flood、UDP Flood、ACK Flood等D.o.S攻击,阻挡或限制任何非法通信触发的带宽消耗,极大限度地减轻D.o.S攻击对网络带来的危害。
URL过滤
越来越多的病毒、木马等恶意代码将基于HTTP方式传播,新一代的Web威胁具备混合性、渗透性和利益驱动性,成为当前增长最快的风险因素。员工对互联网的依赖性使得企业网络更容易遭受到病毒攻击,导致用户信息受到危害,对公司数据资产和关键业务构成极大威胁。
NSFOCUS NF内置先进、可靠的Web信誉库,采用独特的Web信誉评价技术,在用户访问挂马等有安全风险的网页时,给予及时报警和阻断,从而有效防止安全威胁通过Web访问渗入到企业内部,保障了企业机密信息不泄露。
NSFOCUS NF拥有具备业界领先优势的URL分类库,包括64个类别数亿条URL条目,特有的“URL数据云”突破了传统本地站点库解决方案的数量和准确性局限,为URL站点过滤服务提供了无可比拟的准确性和安全性。
防病毒
NSFOCUS NF采用流模式和启发式文件扫描技术,可对HTTP、SMTP、POP3、FTP 等多种协议类型的近百万种病毒进行查杀,包括木马、蠕虫、宏病毒、脚本病毒等,同时可对多线程并发、深层次压缩文件等进行有效控制和查杀。
内容过滤
通过定义关键字,NSFOCUS NF可对网络传输中的网页、搜索、文件传输、邮件收发、论坛、服务器操作、即时通讯等应用的深层内容信息进行关键字过滤,并可根据用户需求,对匹配关键字的应用数据包进行检测、阻断、告警、记录和信息还原,从而实现了对内容的深度安全管理,避免用户机要信息、重要文件的外泄以及非法言论的传播等。
防火墙实验报告
南京信息工程大学实验(实习)报告 实验(实习)名称防火墙实验(实习)日期2012.12.6指导教师朱节中 专业10软件工程年级大三班次2姓名蔡叶文学号 20102344042 得分 【实验名称】 防火墙实验 【实验目的】 掌握防火墙的基本配置;掌握防火墙安全策略的配置。 【背景描述】 1.用接入广域网技术(NA T),将私有地址转化为合法IP地址。解决IP地址不足的问题,有效避免来自外部网络的攻击,隐藏并保护内部网络的计算机。 2.网络地址端口转换NAPT(Network Address Port Translation)是人们比较常用的一种NA T方式。它可以将中小型的网络隐藏在一个合法的IP地址后面,将内部连接映射到外部网络中的一个单独的IP地址上,同时在该地址上加上一个由NA T设备选定的TCP端口号。 3.地址绑定:为了防止内部人员进行非法IP盗用(例如盗用权限更高人员的IP地址,以获得权限外的信息),可以将内部网络的IP地址与MAC地址绑定,盗用者即使修改了IP 地址,也因MAC地址不匹配而盗用失败,而且由于网卡MAC地址的唯一确定性,可以根据MAC地址查出使用该MAC地址的网卡,进而查出非法盗用者。报文中的源MAC地址与IP地址对如果无法与防火墙中设置的MAC地址与IP地址对匹配,将无法通过防火墙。 4.抗攻击:锐捷防火墙能抵抗以下的恶意攻击:SYN Flood攻击;ICMP Flood攻击;Ping of Death 攻击;UDP Flood 攻击;PING SWEEP攻击;TCP端口扫描;UDP端口扫描;松散源路由攻击;严格源路由攻击;WinNuke攻击;smuef攻击;无标记攻击;圣诞树攻击;TSYN&FIN攻击;无确认FIN攻击;IP安全选项攻击;IP记录路由攻击;IP流攻击;IP时间戳攻击;Land攻击;tear drop攻击。 【小组分工】 组长:IP:192.168.10.200 管理员 :IP:172.16.5.4 策略管理员+日志审计员 :IP:172.16.5.3 日志审计员 :IP:172.16.5.2 策略管理员 :IP:172.16.5.1 配置管理员 【实验设备】 PC 五台 防火墙1台(RG-Wall60 每实验台一组) 跳线一条 【实验拓扑】
下一代防火墙和传统防火墙的区别
下一代防火墙和传统防火墙的区别: 传统防火墙:无法防御应用层攻击 NGAF:解决运行在网络传统防火墙对应用层协议识别、控制及防护的不足! 功能优势: 1、应用层攻击防护能力(漏洞防护、web攻击防护、病毒木马蠕虫) 2、双向内容检测的优势(具备网页防篡改、信息防泄漏) 3、8元组ACL与应用流控的优势 4、能实现模块间智能联动 下一代防火墙和IPS(入侵防御模块)区别: IPS:应用安全防护体系不完善,对WEB攻击防护效果不佳;NGAF:解决保护系统层面的入侵防御系统,和对应用层攻击防护不足,及应用层攻击漏判误判的问题! 功能优势: 1、Web攻击防护,尤其是各类逃逸攻击(注入逃逸、编码逃逸)的防护
下一代防火墙和WAF(Web应用防火墙): WAF:处理性能不足,缺乏底层漏洞攻击特征库,无法对WEB业务进行整体安全防护 NGAF:解决定位于防护Web攻击的Web应用防火墙 功能优势: 1、三大特征库保护网站安全:漏洞2800+、web攻击2000+、敏感信息(OWASP综合4星) 2、敏感信息防泄漏功能,业内热点,业界独家 3、自动建模技术,自动生成策略。 下一代防火墙和UTM(统一权威管理): UTM:多功能开启性能差,各模块缺乏联动 NGAF:解决面向中小型企业一体化的UTM统一威胁管理系统,解决多功能模块开启后性能下降以及应用层防护能力不足的问题。 功能优势: 1、六大特征库更完整安全:(漏洞2800+、应用2000+、病毒库10万、web攻击2000+、URL+恶意网址10万、敏感信息) 2、Web攻击模块(web攻击防护、敏感信息、防篡改、应
防火墙测试报告
防火墙测试报告 2013.06.
目录 1 测试目的 (3) 2 测试环境与工具 (3) 2.1 测试拓扑 (3) 2.2 测试工具 (4) 3 防火墙测试方案 (4) 3.1 安全功能完整性验证 (4) 3.1.1 防火墙安全管理功能的验证 (5) 3.1.2 防火墙组网功能验证 (5) 3.1.3 防火墙访问控制功能验证 (6) 3.1.4 日志审计及报警功能验证 (6) 3.1.5 防火墙附加功能验证 (7) 3.2 防火墙基本性能验证 (8) 3.2.1 吞吐量测试 (9) 3.2.2 延迟测试 (9) 3.3 压力仿真测试 (10) 3.4 抗攻击能力测试 (11) 3.5 性能测试总结.................................................................................... 错误!未定义书签。
1测试目的 防火墙是实现网络安全体系的重要设备,其目的是要在内部、外部两个网络之间建立一个安全控制点,通过允许、拒绝或重新定向经过防火墙的数据流,实现对进、出内部网络的服务和访问的审计和控制。 本次测试从稳定性、可靠性、安全性及性能表现等多方面综合验证防火墙的技术指标。2测试环境与工具 这里描述的测试环境和工具应用于整个测试过程。具体的应用情况参见测试内容中不同项目的说明。 2.1 测试拓扑 本次测试采用以下的拓扑配置: 没有攻击源时的测试拓扑结构 有攻击源时的测试拓扑结构
2.2 测试工具 本次测试用到的测试工具包括: 待测防火墙一台; 网络设备专业测试仪表SmartBits 6000B一台; 笔记本(或台式机)二台。 测试详细配置如下: 3防火墙测试方案 为全面验证测试防火墙的各项技术指标,本次测试方案的内容包括了以下主要部分:基本性能测试、压力仿真测试、抗攻击测试。测试严格依据以下标准定义的各项规范:GB/T 18020-1999 信息技术应用级防火墙安全技术要求 GB/T 18019-1999 信息技术包过滤防火墙安全技术要求 RFC2544 Benchmarking Methodology for Network Interconnect Devices 3.1 安全功能完整性验证 目标:验证防火墙在安全管理、组网能力、访问控制、日志、报警、审计等必要的安全功能组成的完整性以及集成在防火墙中的其它辅助安全功能。
话说下一代防火墙(NGFW)的“三个”
话说下一代防火墙(NGFW)的“三个” 下一代防火墙"NGFW"一个从产生到日渐成熟仍旧拥有一定热度的词汇,相较于传统的防火墙,NGFW的安全性能有了很大的提升,体现了极强的可视性、融合性、智能化。本文来和大家 说说下一代防火墙的"三个"。 下一代防火墙"NGFW",一个从产生到日渐成熟仍旧拥有一定热度的词汇,相较于传统的防火墙,NGFW的安 全性能有了很大的提升,体现了极强的可视性、融合性、智能化。本文来和大家说说下一代防火墙的"三个"。 下一代防火墙发展的三个拐点 事物的更新迭代是必然的,就像是一个朝代的兴起与衰落,而防火墙性能的提升自然也不会例外,于是下 一代防火墙应景而生。同很多新生事物一样,它也需要慢慢的发展而后变得成熟。下面我们一起看看它的 经历。 拐点一:下一代防火墙的萌动发展 随着国外用户对应用的增多、攻击复杂,传统的防火墙已经不能满足人们的需求。于是美国的PaloAlto公司率先发布了下一代防火墙的产品,并凭借仅有的一条产品线在国外市场获得众多用户的青睐。2009年,著名的分析机构Gartner年发布的一份名为《Defining the Next-Generation Firewall》的文章重新定义 了防火墙,它集成了深度包检测入侵测试、应用识别与精细控制。这个定义一经发布便受到了国外一些安 全厂商的热捧,认为传统防火墙十多年缓慢的发展确实越来越不匹配其网络边界第一道防线的称号。 拐点二:下一代防火墙热潮汹涌 随着国外防火墙的升级发展,国内厂商也纷纷发布自己的下一代防火墙以顺应网络安全产品变革的趋势, 一股下一代防火墙的热潮被掀起。这其中比较知名的厂商有:梭子鱼、深信服、锐捷、天融信、东软等, 各家产品有着各自不同的特点。总的来说,下一代防火墙相比传统的防火墙功能更加的全面,性能更是强劲。 拐点三:下一代防火墙日渐成熟 热潮过后,厂商不断的反思对下一代防火墙进行改进升级。从2011年国内的下一代防火墙开始发展至今,这近两年的时间过后,下一代防火墙越来越成熟,越来越被人们认可接受。很多的用户使用下一代防火墙
防火墙测试报告
防火墙测试 测试介绍 根据checkpoint gtp方面工程师介绍,针对部署在S5/S8接口上的GTP防火墙进行功能方面的测试。 LTE环境模拟器为:nwepc 测试结论 1. 基于nwepc模拟器,check point能做基本的gtp防护 模拟器nwepc正常使用:不影响模拟器nwepc的正常使用,以及TSS针对于该模拟器的测试。 Flooding攻击:能配置PGW等网元设备的流量阈值检测Flooding攻击。对于超出该设备配置流量的数据包进行drop。 Teid维护:能维护teid信息,对于承载修改,掉线等,攻击者需要使用正确的teid才能奏效,否则会被防火墙drop,原因为无效上下文。 IP白名单:针对IP地址白名单判断攻击。对于白名单之外的IP地址的攻击会被drop IMSI白名单:针对IMSI白名单进行判断攻击,对于在IMSI白名单之外的攻击会被drop APN:目前无法配置。(check point工程师还没有回复) 伪源IP攻击:无法判断伪源IP的攻击,当攻击者获取到正确的teid后,在IMSI等白名单的范围内,通过伪源IP的能进行承载修改,掉线等攻击。
功能测试 1. 模拟器正常上下线,修改, 数据层面流量测试 测试项目模拟器正常流量测试 测试目的测试防火墙对于模拟器的正常gtpc tunnle创 建,更新,删除等等操作是是否有影响、对 于gtpu的数据层面传输是否有影响 测试方法 1. 配置并启动pgw,sgw,mme模拟器,允 许给测试机器tss(ip地址:172.16.0.251),建 立tunnel,从而访问192.168.2.0网段的地址。 2. 配置防火墙gtpc策略白名单为pgw,sgw 3. 配置2152的udp端口访问为accept 预期结果 1.Tss能正常访问http://192.168.2.108:8080/ 2.对于模拟器的定时更新tunnel,不会受到影 响 测试结果 1.Tss能正常访问http://192.168.2.108:8080/ 2.对于模拟器的定时更新tunnel,不会受到影 响 测试效果 1. 防火墙对于gtpc和gtpu报文都是accept 防火墙日志 2. 172网段的tss能访问192.168.2网段地址的服务
Cisco Firepower 下一代防火墙
数据表 Cisco Firepower 下一代防火墙 Cisco Firepower? 下一代防火墙 (NGFW) 是业内首款具有统一管理功能的完全集成、专注于威胁防御的下一代防火墙。它包括应用可视性与可控性 (AVC)、可选的 Firepower 下一代 IPS (NGIPS)、思科?高级恶意软件防护 (AMP) 和 URL 过滤。在攻击前、攻击中和攻击后,Cisco Firepower NGFW 均可提供高级威胁防护。 性能亮点 表 1 概述 Cisco Firepower NGFW 4100 系列和 9300 设备的性能亮点。 表 1. 性能亮点 1 Cisco Firepower 4150 计划于 2016 年上半年发布;具体技术参数将于日后发布 2 数据包平均大小为 1024 字节的 HTTP 会话 Cisco Firepower 4100 系列: 带 40-GbE 接口的业内首款 1RU NGFW Cisco Firepower 9300: 随需求增长可扩展的超高性能 NGFW
平台支持 Cisco Firepower 4100 系列和 Firepower 9300 NGFW 设备使用 Cisco Firepower 威胁防御软件映像。这些设备还可以支持思科自适应安全设备 (ASA) 软件映像。Cisco Firepower 管理中心(原来的 FireSIGHT)提供 Cisco Firepower NGFW 以及 Cisco Firepower NGIPS 和思科 AMP 的统一管理。此外,优选 Cisco Firepower 设备上还提供直接源自思科的 Radware DefensePro 分布式拒绝服务 (DDoS) 缓解功能。 Cisco Firepower 4100 系列设备 Cisco Firepower 4100 系列包括四个专注于威胁防御的 NGFW 安全平台。其最大吞吐量从 20 Gbps 到 60 Gbps 以上,可应对从互联网边缘到数据中心等各种使用案例。它们可提供卓越的威胁防御能力以及更快的响应速度,同时占用空间却更小。 Cisco Firepower 9300 设备 Cisco Firepower 9300 是可扩展(超过 1 Tbps)运营商级模块化平台,专为要求低(少于 5 微秒分流)延迟和超大吞吐量的运营商、高性能计算中心、数据中心、园区、高频交易环境等打造。Cisco Firepower 9300 通过 RESTful API 实现分流、可编程的安全服务协调和管理。此外,它还可用于兼容 NEBS 的配置中。 性能规范和功能亮点 表 2 概述 Cisco Firepower NGFW 4100 系列和 9300 设备在运行 Cisco Firepower 威胁防御映像时的功能。 表 2.通过 Firepower 威胁防御映像实现的性能规范和功能亮点
下一代防火墙设计方案V2
惠尔顿下一代防火墙 (NGWF) 设计方案 深圳市惠尔顿信息技术有限公司 2016年5月1日
目录 一、方案背景 (2) 二、网络安全现状 (2) 三、惠尔顿下一代防火墙(NGWF)介绍及优势 (7) 四、惠尔顿NGWF功能简介 (10) 五、部署模式及网络拓扑 (14) 六、项目报价 (15) 七、售后服务 (16)
一、方案背景 无锡某部队响应国家公安部82号令号召,加强部队网络安全建设。针对目前网络存在的涉密、泄密、木马、病毒等进行预防。 二、网络安全现状 近几年来,计算机和网络攻击的复杂性不断上升,使用传统的防火墙和入侵检测系统(IDS)越来越难以检测和阻挡。随着每一次成功的攻击,黑客会很快的学会哪种攻击方向是最成功的。漏洞的发现和黑客利用漏洞之间的时间差也变得越来越短,使得IT和安全人员得不到充分的时间去测试漏洞和更新系统。随着病毒、蠕虫、木马、后门和混合威胁的泛滥,内容层和网络层的安全威胁正变得司空见惯。复杂的蠕虫和邮件病毒诸如Slammer、Blaster、Sasser、Sober、MyDoom等在过去几年经常成为头条新闻,它们也向我们展示了这类攻击会如何快速的传播——通常在几个小时之内就能席卷全世界。 许多黑客正监视着软件提供商的补丁公告,并对补丁进行简单的逆向工程,由此来发现漏洞。下图举例说明了一个已知漏洞及相应补丁的公布到该漏洞被利用之间的天数。需要注意的是,对于最近的一些攻击,这一时间已经大大缩短了。 IT和安全人员不仅需要担心已知安全威胁,他们还不得不集中精力来防止各种被称之为“零小时”(zero-hour)或“零日”(zero-day)的新的未知的威胁。为了对抗这种新的威胁,安全技术也在不断进化,包括深度包检测防火墙、应用网关防火墙、内容过滤、反垃圾邮件、SSL VPN、基于网络的防病毒和入侵防御系统(IPS)等新技术不断被应用。但是黑客的动机正在从引起他人注意向着获取经济利益转移,我们可以看到一些更加狡猾的攻击方式正被不断开发出来,以绕过传统的安全设备,而社会工程(social engineering)陷阱也成为新型攻击的一大重点。
天融信防火墙测试报告.doc
防火墙测试报告 # 2008.07.20 @
目录 1测试目的 (3) 2测试环境与工具 (3) 测试拓扑 (3) 测试工具 (4) 3防火墙测试方案 (4) 安全功能完整性验证 (5) , 防火墙安全管理功能的验证 (5) 防火墙组网功能验证 (5) 防火墙访问控制功能验证 (6) 日志审计及报警功能验证 (7) 防火墙附加功能验证 (8) 防火墙基本性能验证 (9) 吞吐量测试 (9) 延迟测试 (10) 压力仿真测试 (10) 抗攻击能力测试 (11) 性能测试总结 (12) & {
1测试目的 防火墙是实现网络安全体系的重要设备,其目的是要在内部、外部两个网络之间建立一个安全控制点,通过允许、拒绝或重新定向经过防火墙的数据流,实现对进、出内部网络的服务和访问的审计和控制。 本次测试从稳定性、可靠性、安全性及性能表现等多方面综合验证防火墙的技术指标。2测试环境与工具 这里描述的测试环境和工具应用于整个测试过程。具体的应用情况参见测试内容中不同项目的说明。 测试拓扑 本次测试采用以下的拓扑配置: 没有攻击源时的测试拓扑结构 【 有攻击源时的测试拓扑结构
测试工具 本次测试用到的测试工具包括: 待测防火墙一台; 网络设备专业测试仪表SmartBits 6000B一台; 笔记本(或台式机)二台。 测试详细配置如下: 3防火墙测试方案 为全面验证测试防火墙的各项技术指标,本次测试方案的内容包括了以下主要部分:基本性能测试、压力仿真测试、抗攻击测试。测试严格依据以下标准定义的各项规范:GB/T 18020-1999 信息技术应用级防火墙安全技术要求 GB/T 18019-1999 信息技术包过滤防火墙安全技术要求 { RFC2544 Benchmarking Methodology for Network Interconnect Devices 安全功能完整性验证 目标:验证防火墙在安全管理、组网能力、访问控制、日志、报警、审计等必要的安全功能组成的完整性以及集成在防火墙中的其它辅助安全功能。
下一代防火墙,安全防护三步走
下一代防火墙,安全防护三步走 下一代防火墙区别于传统防火墙的核心特色之一是对应用的识别、控制和安全性保障。这种显著区别源自于Web2.0与Web1.0这两个不同网络时代下的模式变迁。传统的Web1.0网络以服务请求与服务提供为主要特征,服务提供方提供的服务形态、遵循的协议都比较固定和专一,随着社会化网络Web2.0时代的到来,各种服务协议、形态已不再一尘不变,代之以复用、变种、行为差异为主要特征的各种应用的使用和共享。本文即针对下一代防火墙的这一主要特征,从基于应用的识别、控制、扫描的三步走中,阐述新时代网络环境下的防护重点和安全变迁,旨在帮助读者对下一代防火墙新的核心防护理念做一个较为全面的梳理和归纳。面对应用层威胁,传统防火墙遭遇“阿喀琉斯之踵” 1.新的应用带来全新的应用层威胁 Web2.0应用虽然可以显著增强协作能力,提高生产效率,但同时也不可避免地带来了新的安全威胁。 1)恶意软件入侵 WEB应用中社交网络的普及给恶意软件的入侵带来了巨大的便利,例如灰色软件或链接到恶意站点的链接。用户的一条评价、一篇帖子、或者一次照片上传都可能包含殃及用户或甚至整个网络的恶意代码。例如,如果用户在下载驱动程序的过程中点击了含有恶意站点的链接,就很有可能在不知情的情况下下载了恶意软件。 2)网络带宽消耗对于部分应用来说,广泛的使用会导致网络带宽的过渡消耗。例如优酷视频可以导致网络拥塞并阻碍关键业务使用和交付。还有对于文件共享类应用,由于存在大量的文件之间的频繁交换,也可能会最终导致网络陷入瘫痪。 3)机密资料外泄某些应用(如即时通信,P2P下载等)可提供向外传输文件附件的功能,如果对外传输的这些文件存在敏感、机密的信息,那么将给企业带来无形和有形资产的损失,并且也会带来潜在的民事和刑事责任。 2.传统防火墙的“阿喀琉斯之踵” 由于传统的防火墙的基本原理是根据IP地址/端口号或协议标识符识别和分类网络流量,并执行相关的策略。对于WEB2.0应用来说,传统防火墙看到的所有基于浏览器的应用程序的流量是完全一样的,因而无法区分各种应用程序,更无法实施策略来区分哪些是不当的、不需要的或不适当的程序,或者允许这些应用程序。如果通过这些端口屏蔽相关的流量或者协议,会导致阻止所有基于web的流量,其中包括合法商业用途的内容和服务。另外传统防火墙也检测不到基于隧道的应用,以及加密后的数据包,甚至不能屏蔽使用非标准端口号的非法应用。下一代防火墙之“三步走” 下一代防火墙的核心理念其实是在企业网络边界建立以应用为核心的网络安全策略,通过智能化识别、精细化控制、一体化扫描等逐层递进方式实现用户/应用行为的可视,可控、合规和安全,从而保障网络应用被安全高效的使用。第一步:智能化识别通过智能化应用、用户识别技术可将网络中简单的IP地址/端口号信息转换为更容易识别且更加智能化的用户身份信息和应用程序信息,为下一代防火墙后续的基于应用的策略控制和安全扫描提供的识别基础。例如:对于同样一条数据信息,传统防火墙看到的是:某源IP通过某端口访问了某目的IP;下一代防火墙看到:某单位张三通过QQ给远在美国的李四传输了一个PDF文件。第二步:精细化控制下一代防火墙可以根据风险级别、应用类型是否消耗带宽等多种方式对应用进行分类,并且通过应用访问控制,应用带宽管理或者应用安全扫描等不同的策略对应用分别进行细粒度的控制。相对于传统防火墙,下一代防火墙可以区分同一个应用的合法行为和非法行为,并且对非法行为进行阻断。如:下一代防火墙可以允许使用QQ的前提下,禁止QQ的文件传输动作,从而一定程度上避免单位员工由于传输QQ文件造成的内部信息泄漏。第三步:一体化扫描在完成智能化识别和精细化控制以后,对允许使用且存在高安全风险的网络应用,下一代防火墙可以进行漏洞、病毒、URL和内容等不同层次深度扫描,如果发现该应用中存在安全风险或攻击行为可以做进一步的阻断等动作。下一代防火墙在引擎设计上采用了单次解析架构,这种引擎架构可以保证引擎系统在数据流流入时,一次性地完成
防火墙性能测试综述
防火墙性能测试综述 摘要 作为应用最广泛的网络安全产品,防火墙设备本身的性能如何将对最终网络用户得到的实际带宽有决定性的影响。本文从网络层、传输层和应用层三个层面对防火墙的常用性能指标及测试方法进行了分析与总结,并提出了建立包括网络性能测试、IPSec VPN性能测试及安全性测试在内的完整测试体系及衡量标准的必要性。 1 引言 防火墙是目前网络安全领域广泛使用的设备,其主要目的就是保证对合法流量的保护和对非法流量的抵御。众所周知,在世界范围内网络带宽(包括核心网络及企业边缘网络)总的趋势是不断的提速升级,然而从网络的整体结构上看,防火墙恰处于网络的末端。显而易见,防火墙的网络性能将对最终网络用户得到的实际带宽有决定性的影响,特别是骨干网上使用的千兆防火墙,性能的高低直接影响着网络的正常应用。所以,目前防火墙的网络性能指标日益为人们所重视,地位也越来越重要。因此,在防火墙测试工作中性能测试是极其重要的一部分。 作为网络互联设备,参考RFC1242/2544对其在二、三层的数据包转发性能进行考量,是大部分网络设备性能测试的基本手段和方法,同时进行二、三层的测试也可以帮助确定性能瓶颈是存在于下层的交换转发机制还是在上层协议的处理,并检测所采用的网卡及所改写的驱动程序是否满足性能要求,它有利于故障的定位。作为防火墙来说,最大的特点就是可以对4~7层的高层流量进行一定的控制,这就必然对性能造成一定的影响,而这种影响有多大,会不会成为整个网络的瓶颈,就成为人们所关心的问题。据此,我们认为完整的防火墙网络性能测试应该由网络层测试、传输层测试和应用层测试三部分组成。 2 网络层性能测试 网络层性能测试指的是防火墙转发引擎对数据包的转发性能测试,RFC1242/2544是进行这种测试的主要参考标准,吞吐量、时延、丢包率和背对背缓冲4项指标是其基本指标。这几个指标实际上侧重在相同的测试条件下对不同的网络设备之间作性能比较,而不针对仿真实际流量,我们也称其为“基准测试”(Base Line Testing)。 2.1 吞吐量 (1)指标定义 网络中的数据是由一个个数据帧组成,防火墙对每个数据帧的处理要耗费资源。吞吐量就是指在没有数据帧丢失的情况下,防火墙能够接受并转发的最大速率。IETF RFC1242中对吞吐量做了标准的定义:“The Maximum Rate at Which None of the Of fered Frames are Dropped by the Device.”,明确提出了吞吐量是指在没有丢包时的最大数据帧转发速率。吞吐量的大小主要由防火墙内网卡及程序算法的效率决定,尤其是程序算法,会使防火墙系统进行大量运算,通信量大打折扣。 (2)测试方法 在RFC2544中给出了该项测试的步骤过程及测试方法:在测试进行时,测试仪表的发送端口以一定速率发送一定数量的帧,并计算所发送的字节数和分组数,在接收端口也计算
下一代防火墙解决方案讲解
下一代防火墙解决方案
目录 1 网络现状 (3) 2 解决方案 (9) 2.1 网络设备部署图 (9) 2.2 部署说明 (9) 2.3 解决方案详述 (9) 2.3.1 流量管理 (10) 2.3.2 应用控制 (12) 2.3.3 网络安全 (12) 3 报价 (25)
1 网络现状 随着网络技术的快速发展,现在我们对网络安全的关注越来越重视。近几年来,计算机和网络攻击的复杂性不断上升,使用传统的防火墙和入侵检测系统(IDS)越来越难以检测和阻挡。漏洞的发现和黑客利用漏洞之间的时间差也变得越来越短,使得IT和安全人员得不到充分的时间去测试漏洞和更新系统。随着病毒、蠕虫、木马、后门和混合威胁的泛滥,内容层和网络层的安全威胁正变得司空见惯。复杂的蠕虫和邮件病毒诸如Slammer、Blaster、Sasser、Sober、MyDoom 等在过去几年经常成为头条新闻,它们也向我们展示了这类攻击会如何快速的传播——通常在几个小时之内就能席卷全世界。 许多黑客正监视着软件提供商的补丁公告,并对补丁进行简单的逆向工程,由此来发现漏洞。下图举例说明了一个已知漏洞及相应补丁的公布到该漏洞被利用之间的天数。需要注意的是,对于最近的一些攻击,这一时间已经大大缩短了。 IT和安全人员不仅需要担心已知安全威胁,他们还不得不集中精力来防止各种被称之为“零小时”(zero-hour)或“零日”(zero-day)的新的未知的威胁。为了对抗这种新的威胁,安全技术也在不断进化,包括深度包检测防火墙、应用网关防火墙、内容过滤、反垃圾邮件、SSL VPN、基于网络的防病毒和入侵防御系统(IPS)等新技术不断被应用。但是黑客的动机正在从引起他人注意向着获取经济利益转移,我们可以看到一些更加狡猾的攻击方式正被不断开发出来,以绕过传统的安全设备,而社会工程(social engineering)陷阱也成为新型
防火墙测试报告
. .. . 防火墙测试报告
2013.06. 目录 1测试目的 (3) 2测试环境与工具 (3) 2.1 测试拓扑 (3) 2.2 测试工具 (4) 3防火墙测试方案 (4) 3.1 安全功能完整性验证 (5) 3.1.1 防火墙安全管理功能的验证 (5) 3.1.2 防火墙组网功能验证 (5) 3.1.3 防火墙访问控制功能验证 (6) 3.1.4 日志审计及报警功能验证 (7) 3.1.5 防火墙附加功能验证 (8) 3.2 防火墙基本性能验证 (9) 3.2.1 吞吐量测试 (9) 3.2.2 延迟测试 (10) 3.3 压力仿真测试 (10) 3.4 抗攻击能力测试 (11) 3.5 性能测试总结 (12)
1测试目的 防火墙是实现网络安全体系的重要设备,其目的是要在部、外部两个网络之间建立一个安全控制点,通过允许、拒绝或重新定向经过防火墙的数据流,实现对进、出部网络的服务和访问的审计和控制。 本次测试从稳定性、可靠性、安全性及性能表现等多方面综合验证防火墙的技术指标。2测试环境与工具 这里描述的测试环境和工具应用于整个测试过程。具体的应用情况参见测试容中不同项目的说明。 2.1 测试拓扑 本次测试采用以下的拓扑配置:
没有攻击源时的测试拓扑结构 有攻击源时的测试拓扑结构2.2 测试工具 本次测试用到的测试工具包括: 待测防火墙一台; 网络设备专业测试仪表SmartBits 6000B一台; 笔记本(或台式机)二台。 测试详细配置如下:
3 防火墙测试方案 为全面验证测试防火墙的各项技术指标,本次测试方案的容包括了以下主要部分:基本性能测试、压力仿真测试、抗攻击测试。测试严格依据以下标准定义的各项规: GB/T 18020-1999 信息技术应用级防火墙安全技术要求 GB/T 18019-1999 信息技术包过滤防火墙安全技术要求 RFC2544 Benchmarking Methodology for Network Interconnect Devices 3.1 安全功能完整性验证 目标:验证防火墙在安全管理、组网能力、访问控制、日志、报警、审计等必要的安全功能组成的完整性以及集成在防火墙中的其它辅助安全功能。 3.1.1 防火墙安全管理功能的验证 1) 测试目的:本项测试通过查看相应配置项,验证防火墙具备必要的安全管理手段。 2) 测试时间:__2008-7-23____ 3) 测试人员:___XXX XXX 一 4) 过程记录:
Paloalto下一代防火墙运维手册
Paloalto防火墙运维手册 目录 1.下一代防火墙产品简介................................. 错误!未定义书签。 2.查看会话 ............................................ 错误!未定义书签。. 查看会话汇总........................................错误!未定义书签。. 查看session ID .....................................错误!未定义书签。. 条件选择查看会话....................................错误!未定义书签。. 查看当前并发会话数..................................错误!未定义书签。. 会话过多处理方法....................................错误!未定义书签。 3.清除会话 ............................................ 错误!未定义书签。 4.抓包和过滤 .......................................... 错误!未定义书签。 5.CPU和内存查看....................................... 错误!未定义书签。. 管理平台CPU和内存查看..............................错误!未定义书签。. 数据平台CPU和内存查看..............................错误!未定义书签。. 全局利用率查看......................................错误!未定义书签。 6.Debug和Less调试.................................... 错误!未定义书签。. 管理平台Debug/Less .................................错误!未定义书签。. 数据平台Debug/Less .................................错误!未定义书签。. 其他Debug/Less .....................................错误!未定义书签。 7.硬件异常查看及处理 .................................. 错误!未定义书签。. 电源状态查看........................................错误!未定义书签。. 风扇状态查看........................................错误!未定义书签。. 设备温度查看........................................错误!未定义书签。 8.日志查看 ............................................ 错误!未定义书签。. 告警日志查看........................................错误!未定义书签。. 配置日志查看........................................错误!未定义书签。. 其他日志查看........................................错误!未定义书签。 9.双机热备异常处理 .................................... 错误!未定义书签。 10.内网用户丢包排除方法................................. 错误!未定义书签。. 联通测试..........................................错误!未定义书签。. 会话查询..........................................错误!未定义书签。. 接口丢包查询......................................错误!未定义书签。. 抓包分析..........................................错误!未定义书签。 11.VPN故障处理......................................... 错误!未定义书签。 12.版本升级 ............................................ 错误!未定义书签。. Software升级.....................................错误!未定义书签。. Dynamic升级......................................错误!未定义书签。
网络设备加电测试报告
网络设备加电测试报告 Document number:NOCG-YUNOO-BUYTT-UU986-1986UT
Xx单位网络设备加电 测试报告 根据项目的要求,我方于20xx年x月x日对xx单位网络改造项目的网络设备进行了加电测试。加电测试过程总用时八小时左右。设备加电之后,对设备的型号、端口、接口板等信息进行了检查和确认。 一、测试设备 本次测试包含的设备的型号以及数量如下: 二、测试流程 本次测试主要测试流程如下: 1.设备开箱; 2.将设备配件全部安装完毕,比如路由器的电源模块、交换机光口 的光模块、核心交换机的业务板等; 3.检查设备外观,查看端口数量,光模块数量以及板卡数量是否与 设备清单对应; 4.进入设备管理界面,查看设备相关信息; 5.设备通电运行一定时长,将设备电源切断; 6.重新通电,查看设备是否正常运行; 7.若设备正常运行,则断电,测试完毕;若设备无法正常运行,则 查找原因,并记录,然后进行汇报。
三、测试结果记录 1.设备上电记录表 2.设备信息检查 设备上电后,需要登入管理界面对设备信息进行检查并将相关信息截图记录。各设备信息记录如下: 防火墙相关信息 防火墙版本: 网关序列号、功能模块等信息: 端口检查: 核心交换机相关信息 各接口板信息: 业务槽光口板信息: 汇聚交换机相关信息 硬件模块信息: 接口信息: 软件版本相关信息: 2.路由器相关信息 路由器接口相关信息: 内部组件信息: 四、测试结果说明
在测试结束之后,从测试的记录中可以看出设备参数与设备清单上的参数基本一致。并且由通电测试也确认了设备可正常运行。本次测试到此告一段落。 五、相关人员签名确认 测试人员:__________________ 客户:______________ 测试时间:_________________
下一代防火墙
下一代防火墙 作者:来源:发布时间:2011-01-07 防火墙必须演进,才能够更主动地阻止新威胁(例如僵尸网络和定位攻击)。随着攻击变得越来越复杂,企业必须更新网络防火墙和入侵防御能力来保护业务系统。 不断变化的业务流程、企业部署的技术,以及威胁,正推动对网络安全性的新需求。不断增长的带宽需求和新应用架构(如Web 2.0),正在改变协议的使用方式和数据的传输方式。安全威胁将焦点集中在诱使用户安装可逃避安全设备及软件检测的有针对性的恶意执行程序上。在这种环境中,简单地强制要求在标准端口上使用合适的协议和阻止对未打补丁的服务器的探测,不再有足够的价值。为了应对这些挑战,防火墙必须演进为被著名市场研究公司Gartner称之为“下一代防火墙(Next Generation Firewall,简称NGFW)”的产品。如果防火墙厂商不进行这些改变的话,企业将要求通过降价来降低防火墙的成本并寻求其他安全解决方案来应对新的威胁环境。 一、什么是NGFW? 对于使用僵尸网络传播方式的威胁,第一代防火墙基本上是看不到的。随着面向服务的架构和Web 2.0使用的增加,更多的通信通过更少的端口(如HTTP和HTTPS)和使用更少的协议传输,这意味着基于端口/协议的政策已经变得不太合适和不太有效。深度包检测入侵防御系统(IPS)的确是检查针对没有打补丁的操作系统和软件的已知攻击方法,但不能有效地识别和阻止应用程序的滥用,更不要说应用程序中的特殊性了。 Gartner将网络防火墙定义为在不同信任级别的网络之间实时执行网络安全政策的联机控制。Gartner使用“下一代防火墙”这个术语来说明防火墙在应对业务流程使用IT的方式和威胁试图入侵业务系统的方式发生变化时应采取的必要的演进。 NGFW至少具有以下属性: 1.支持联机“bump-in-the-wire”配置,不中断网络运行。 2.发挥网络传输流检查和网络安全政策执行平台的作用,至少具有以下特性:(1)标准的第一代防火墙能力:包过滤、网络地址转换(NAT)、状态性协议检测、VPN等等。(2)集成的而非仅仅共处一个位置的网络入侵检测:支持面向安全漏洞的特征码和面向威胁的特征码。IPS与防火墙的互动效果应当大于这两部分效果的总和。例如提供防火墙规则来阻止某个地址不断向IPS 加载恶意传输流。这个例子说明,在NGFW中,应该由防火墙建立关联,而不是操作人员去跨控制台部署解决方案。集成具有高质量的IPS引擎和特征码,是NGFW的一个主要特征。(3)应用意识和全栈可见性:识别应用和在应用层上执行独立于端口和协议,而不是根据纯端口、纯协议和纯服务的网络安全政策。例子包括允许使用Skype,但关闭Skype中的文件共享或始终阻止G oToMyPC。(4)额外的防火墙智能:防火墙收集外来信息来做出更好的阻止决定或建立优化的阻止规则库。例子包括利用目录集成将阻止行为与用户身份绑在一起,或建立地址的黑白名单。 3.支持新信息馈送和新技术集成的升级路径来应对未来的威胁。 举个例子,NGFW可以阻止细粒度的网络安全政策违规或发出报警。如使用Web邮件、匿名服务器、对等网络技术或PC远程控制,只简单地根据目的IP地址来阻止对提供这些服务的已知源地址的访问是不够的。政策的颗粒度要求仅阻止某些类型的应用与目的IP地址的通信,而允许其他类型的应用与这些目的IP地址通信。转向器使确定的黑名单不可能实现,这意味着有许多NGFW可以识别和阻止不受欢迎的应用,即使这些应用被设计为逃避检查或用SSL加密。应用识别的一个额外好处是带宽控制。因为,消除了不受欢迎的对等网络传输流可以大大减少带宽的使用。 二、什么不是NGFW? 现在有一些与NGFW相近,但不相同的基于网络的安全产品领域: 1.中小企业多功能防火墙或UTM设备:这类设备是提供多种安全功能的单一设备。尽管它们总是包含第一代防火墙和IPS功能,但它们不提供应用意识功能,而且不是集成的、单引擎产
防火墙测试验收方案
防火墙测试方案 一、引言 防火墙是实现网络安全体系的重要设备,其目的是要在内部、外部两个网络之间
建立一个安全控制点,通过允许、拒绝或重新定向经过防火墙的数据流,实现对进、出内部网络的服务和访问的审计和控制。 随着网上黑客活动的日益猖獗,越来越多的上网企业开始重视网络安全问题。特别是近两三年来,以防火墙为核心的安全产品需求市场迅速成长起来,瞬间出现了众多提供防火墙产品的厂家,光国内就有几十家。各种防火墙品种充斥市场,良莠不齐,有软件的防火墙,硬件的防火墙,也有软硬一体化的防火墙;有面向个人的防火墙,面向小企业的低档防火墙,也有中高档的防火墙,技术实现上有包过滤的防火墙、应用代理的防火墙,也有状态检测的防火墙。由于防火墙实现方式灵活,种类多,而且往往要与复杂的网络环境整合在一起使用,因此,对防火墙进行测试评估是选购防火墙产品的一个重要环节。 评估测试防火墙是一个十分复杂的工作。一般说来,防火墙的安全和性能是最重要的指标,用户接口(管理和配置界面)和审计追踪次之,然后才是功能上的扩展性。但是安全和性能之间似乎常常构成一对矛盾。在防火墙技术的发展方面,业界一直在致力于为用户提供安全性和性能都高的防火墙产品。沿着这一方向,防火墙产品经历了以软件实现为主的代理型防火墙,以硬件实现为主的包过滤防火墙,以及兼有包过滤型防火墙的高速性特点和代理性防火墙高安全性特点的状态检测防火墙。另外,为了使灵活多变,难以掌握的防火墙安全技术能更有效地被广大用户使用,直观易用的界面和详尽明晰的报表审计能力被越来越多的防火墙产品采用,同时,防火墙产品在与网络应用环境整合的过程中也在不断地集成和加入新的网络功能。因此,当前必须从安全性、性能、可管理性和辅助功能等方面综合进行评测,才能客观反映一个防火墙产品的素质。 测试的背景和目的 在防火墙产品市场上,产品一般分为高、中、低三档。考虑到,高档防火墙普遍是各公司最新或计划推出的产品,证券作为大型的安全产品使用者,使用的防火墙产品以中、高档为主,为了便于横向比较各公司的产品,在本次测试中将统一以中档防火墙产品作为测评的对象。 为了较全面地评估各公司的防火墙产品,本次防火墙产品的测试分成以下几个部分:功能测试、安全防范能力测试、性能测试和设备可靠性测试。 参考资料 GB/T 18020-1999信息技术应用级防火墙安全技术要求 GB/T 18019-1999 信息技术包过滤防火墙安全技术要求 FWPD:Firewall Product Certification Criteria Version 3.0a 测试项目 一.测试项目 包过滤,NAT,地址绑定,本地访问控制,多播,TRUNK,代理路由,内容过滤,报警,审计实时监控,攻击,双机热备,性能。 二.测试环境简略拓扑图