深信服下一代防火墙AF解决方案模板.docx

SANGFOR深信服科技深信服下一代防火墙NGAF解决方案深信服科技有限公司2012-03-09第1章需求概述1.1 方案背景xxx公司成立于1997年1.2 网络安全现状近几年来，计算机和网络攻击的复杂性不断上升，使用传统的防火墙和入侵检测系统 （IDS）越来越难以检测和阻挡随着每一次成功的攻击，黑客会很快的学会哪种攻击方向 是最成功的漏洞的发现和黑客利用漏洞之间的时间差也变得越来越短，使得IT和安全人 员得不到充分的时间去测试漏洞和更新系统随着病毒、蠕虫、木马、后门和混合威胁的泛 滥，内容层和网络层的安全威胁正变得司空见惯复杂的蠕虫和邮件病毒诸如Slammer、 Blaster、Sasser、Sober、MyDoom等在过去几年经常成为头条新闻，它们也向我们展示 了这类攻击会如何快速的传播一一通常在几个小时之内就能席卷全世界许多黑客正监视着软件提供商的补丁公告，并对补丁进行简单的逆向工程，由此来发 现漏洞下图举例说明了一个已知漏洞及相应补丁的公布到该漏洞被利用之间的天数需要 注意的是，对于最近的一些攻击，这一时间已经大大缩短了IT和安全人员不仅需要担心已知安全威胁，他们还不得不集中精力来防止各种被称之 为“零小时”（zero-hour）或“零日”（zero-day）的新的未知的威胁。

为了对抗这种新 的威胁，安全技术也在不断进化，包括深度包检测防火墙、应用网关防火墙、内容过滤、反 垃圾邮件、SSL VPN、基于网络的防病毒和入侵防御系统（IPS）等新技术不断被应用但 是黑客的动机正在从引起他人注意向着获取经济利益转移，我们可以看到一些更加狡猾的攻 击方式正被不断开发出来，以绕过传统的安全设备，而社会工程social engineering）陷阱 也成为新型攻击的一大重点3"*niWT外j供亦削瑕容捌.用击甜之同的.虻社:Nitr-da5«CL aannmisf WWflktllai'rdKiil 151Bia Slor 25图：系统漏洞被黑客利用的速度越来越快带有社会工程陷阱元素的攻击包括间谍软件、网络欺诈、基于邮件的攻击和恶意Web 站点等这些攻击设计为欺骗用户暴露敏感信息，下载和安装恶意程序、跟踪软件或运行恶 意代码很多这类攻击设计为使用传统的浏览器或Email技术（如ActiveX. XML、SMTP 等），并伪装为合法应用，因此传统的安全设备很难加以阻挡现在比以往任何时候都更需 要先进的检测和安全技术传统的防火墙系统状态检测防火墙原本是设计成一个可信任企业网络和不可信任的公共网络之间的安全 隔离设备，用以保证企业的互联网安全。

状态检测防火墙是通过跟踪会话的发起和状态来工 作的通过检查数据包头，状态检测防火墙分析和监视网络层（L3）和协议层（L4），基 于一套用户自定义的防火墙策略来允许、拒绝或转发网络流量传统防火墙的问题在于黑客已经研究出大量的方法来绕过防火墙策略这些方法包括：• 利用端口扫描器的探测可以发现防火墙开放的端口• 攻击和探测程序可以通过防火墙开放的端口穿越防火墙如MSN、等IM （即 时通信）工具均可通过80端口通信，BT、电驴、Skype等P2P软件的通信端口 是随机变化的，使得传统防火墙的端口过滤功能对他们无能为力SoftEther等软 件更可以将所有TCP/IP通讯封装成HTTPS数据包发送，使用传统的状态检测防 火墙简直防不胜防SoftEther可以很轻易的穿越传统防火墙• PC上感染的木马程序可以从防火墙的可信任网络发起攻击由于会话的发起方来 自于内部，所有来自于不可信任网络的相关流量都会被防火墙放过当前流行的从 可信任网络发起攻击应用程序包括后门、木马、键盘记录工具等，它们产生非授权 访问或将私密信息发送给攻击者• 较老式的防火墙对每一个数据包进行检查，但不具备检查包负载的能力病毒、蠕 虫、木马和其它恶意应用程序能未经检查而通过。

• 当攻击者将攻击负载拆分到多个分段的数据包里，并将它们打乱顺序发出时，较新 的深度包检测防火墙往往也会被愚弄• 使用笔记本电脑、PDA和便携邮件设备的移动用户会在他们离开办公室的时候被 感染，并将威胁带回公司网络边界防火墙对于从企业信任的内部网络发起的感染 和攻击爱莫能助图：被通过知名端口（80端口）攻击的网站数基于主机的防病毒软件基于主机的防病毒软件是部署得最广泛的安全应用，甚至超过了边界防火墙基于主机 的防病毒软件随着上世纪80年代中期基于文件的病毒开始流行而逐渐普及，如今已成为最 受信任的安全措施之一但是基于主机的防病毒软件也有它的缺点，包括：• 需要安装、维护和保持病毒特征库更新，这就导致了大量的维护开销• 很多用户并没有打开防病毒软件的自动更新功能，也没有经常的手动更新他们的 病毒库，这就导致防病毒软件对最新的威胁或攻击无用• 用户有时可能会有意或无意的关闭他们的单机安全应用程序• 最新的复杂的木马程序能对流行的基于主机的防病毒软件进行扫描，并在它们加 载以前就将它们关闭-这就导致即使有了最新的病毒特征码，事实上它们还是不 能被检测出来企业单纯依靠给予主机的防病毒软件和给操作系统和应用程序打补丁的方法会使它们 的内部系统面临很高的安全风险。

随着业务中使用了越来越多的面向全球且需要持续运行的 关键应用，停机来更新操作系统补丁、病毒特征码和应用升级变得越来越困难而公司的 Web、Email、电子商务、数据库、应用等服务器由于长时间不打补丁会很容易在新的攻击 方式下暴露出它们的漏洞仅仅依靠基于主机的防病毒软件的另一个缺点是，事实上有害代 码在被每一个主机的安全软件检测和阻挡之前就已经进入了公司的网络，这就大大威胁了企 业关键业务系统和网络应用采用功能单一的产品的缺点要想构建一个立体的安全防护体系，必须要考虑多层次的防护，包括：1. 防火墙2. VPN网关3. 入侵防御系统（IPS）4. 网关防病毒5. 网页及URL过滤6. 应用程序过滤及带宽控制采用功能单一的产品会带来成本增加，管理难度高的问题如果想部署一个立体的安全 防护体系，必须要将很多设备串接在网络中，这样会造成网络性能下降，故障率高，管理复 杂1.3 网络拓扑1.4 需求分析在外网安全方面：目前XX公司总部没有部署网络安全设备，所有的业务系统基本上都 是裸露在互联网上，缺乏合理的保护极易遭受来自互联网的攻击，可能造成核心业务数据的 窃取、服务器和网络瘫痪等问题，给企业带来不必要的损失在内网安全方面：各分公司之间和总部通过VPN互联，与总部处于统一内网环境，而 分公司也缺乏安全防护设备对互联网的危险流量进行清洗，所以极易造成下级分公司对总部 服务器的攻击；同时上海总部的内网用户，即使客户端部署了杀毒软件，由于客户端环境和 个人使用习惯等问题，IT制度无法得到很好地落实，经常会有员工关闭杀毒进程或卸载杀 毒软件的情况，而且最新的杀毒软件也存在着面对新病毒的滞后和不完善性。

特别是对于网 络安全意识薄弱的职员，不装任何的杀毒软件，在互联网上随意打开网页、点击链接，很容 易身染中毒，并且导致局域网内的电脑感染病毒，我们将此类用户成为内网安全管理的短板第2章网络规划整体方案2.1方案拓扑2.2方案描述经过以上部署之后：1. 总部以及分公司的NGAF上开启网关防病毒功能后，能够有效的遏制病毒通过网 络在集团网络上的传播，同时可以防止因为浏览Internet而造成的病毒感染；2. 总部对外发布的服务器将受到NGAF的入侵防御IPS功能和服务器防护的保护， 免收来自外网以及内网产生的攻击；2.3 NGAF产品功能概述作为应用层安全设备的领导厂商，深信服公司的NGAF安全平台通过动态威胁防御技 术、风险分析扫描引擎提供了无与伦比的功能和检测能力NGAF提供以下功能：• 集成关键安全组件的状态检测防火墙• 可实时更新病毒和攻击特征的网关防病毒• IPS（入侵防御系统）预置2200个以上的攻击特征，并提供用户定制特征的机制• VPN （支持 PPTP、L2TP、IPSec）• Web内容过滤具有用户可定义的URL、关键字过滤器和可自动升级的最全面的 URL地址库• 带宽管理功能防止带宽滥用，IM/P2P过滤。

• 用户认证，防止未授权的非法网络访问• 动态威胁防御提供先进的威胁关联技术• 单次解析引擎加速提供比基于ASIC、NPS的安全方案高出2-4倍的性能• 完整的系列支持服务，包括数据中心、风险报表、客户端安全组件等2.3.1部署方式NGAF系列防火墙支持路由（NAT）模式、透明模式和混合模式三种工作模式可以很 好的适应各种网络环境路由（NAT）模式如果需要用NGAF连接不同IP地址段，则将NGAF置于路由工作模式如内网使用的是192.168.1.0/24网段，而外网使用的是201.1.1.X网段来连接Internet此时由于内外网络不在同一 IP地址段，因此需将NGAF设置为路由模式此时NGAF工作 在第三层，相当于一台路由器，连接不同的IP地址段使192.168.1.X和201.1.1.X之间 可以互访在路由（NAT）模式下，NGAF的每一个接口都有一个IP地址，分别对应不同的网段每个接口都支持不同的地址模式，既可以是静态IP，也可以通过DHCP服务器获得动 态IP，还能通过PPPOE拨号获取IP地址，可以很好的支持LAN、ADSL等多种网络接入 方式NGAF在路由模式下支持各种路由方法，包括静态路由、动态路由（可以直接参与到 RIP、OSPF路由及组播路由运算中，而非仅仅让动态路由协议穿越）、策略路由（根据不 同的源地址、目的地址、端口等确定下一条路由网关）混合模式NGAF还可以很方便的实现路由/透明的混合模式。

内网和DMZ区使用同一网段的IP 地址，内网使用 192.168.1.1-192.168.1.200，DMZ 区使用 192.168.1.201-192.168.1.250； 外网使用另一网段的IP地址（202.1.1.1）此时单纯的透明模式或者路由（NAT）模式都 无法满足网络的要求使用NGAF可以实现外网与DMZ/内网之间使用路由（NAT）模式， 而内网与DMZ之间使用透明模式这种路由/透明的混合模式可以很好的满足这种网络环境 的需求VLAN支持无论在透明模式还是路由（NAT）模式下，NGAF都支持802.1Q VLAN环境，对于交 换机之间的VLAN Trunk或交换机/路由器之间的单臂路由都可以很好的支持；NGAF在路 由模式下自身也可以给交换机上的不同VLAN作Trunk和路由2.3.2网关杀毒计算机病毒一直是信息安全的主要威胁而随着网络的不断发展，网络速度越来越快， 网络应用也越来越丰富多彩，使得病毒传播的风险也越来越大，造成的破坏也越来越强据 ICSA（国际计算机安全协会）的统计，目前已经有超过90%的病毒是通过网络进行传播的 内网用户访问Internet时，无论是浏览WEB页面，还是通过FTP下载文件，或者是收发 E-mail，都可能将Internet上的病毒带入网内。

而近几年泛滥成灾的网络蠕虫病毒（如红色 代码、尼姆达、冲击波、振荡波等）跟传统的通过光盘、软盘等介质进行传播的基于文件的 病毒有很大的不同，它们本身是一个病毒与黑客工具的结合体，当网络当中一台计算机感染 蠕虫病毒后，它会自动的以极快的速度（每秒几百个线程）扫描网络当中其他计算机的安全 漏洞，并主动的将病毒传播到那些存在安全漏洞的计算机上，只要相关的安全漏洞没有通过 安装补丁的方式加以弥补，蠕虫病毒。