网域ACF下一代防火墙白皮书Word文档格式.docx
- 文档编号:21147710
- 上传时间:2023-01-27
- 格式:DOCX
- 页数:9
- 大小:167.26KB
网域ACF下一代防火墙白皮书Word文档格式.docx
《网域ACF下一代防火墙白皮书Word文档格式.docx》由会员分享,可在线阅读,更多相关《网域ACF下一代防火墙白皮书Word文档格式.docx(9页珍藏版)》请在冰豆网上搜索。
据Verizon发布的《2014年数据泄漏调查报告》显示,企业需要花费数月或更长时间才能发现66%的安全违规事件。
对于受经济利益驱使的攻击,客户、合作伙伴、执法部门或其他外部机构发现了其中的91%。
一次窃取信用卡数据、公司机密或其他敏感信息的攻击会造成严重损失。
据PonemonInstitute发布的《2014年数据泄露成本调查报告》显示,2013年企业数据泄漏的平均成本为350万美元,比上一年增加了15%。
据估算,2014年Target公司数据泄漏的损失至少达1.48亿美元。
此类引人瞩目的数据泄漏事件的稳步增加引起了人们的深切担忧。
有观点认为,“世界上只有两类机构:
一类是已遭受黑客攻击的机构,另一类是不知道自己曾遭受黑客攻击的机构”。
对此,美国司法部长EricHolder、前美国国家安全、基础设施保护和反恐协调官RichardClarke以及联邦调查局局长JamesComey都表示认同。
从政府机构、全球银行业巨头、大型零售商乃至最具安全意识的国防承包商等各类机构都曾深受其害。
在应用需求的不断推动下,网络技术得到了飞速发展;
而网络技术的进步则又反过来推动应用的发展,应用与网络之间是相辅相成、相互促进的。
随着万兆到核心/千兆到桌面、Web2.0、虚拟化、物联网、网络音频/视频、P2P、云计算等各种新应用、新业务层出不穷,传统的基于端口进行应用识别和访问控制的防火墙,已远远无法满足各种新应用下安全防护的需求,故推出全新网域ACF下一代防火墙。
2产品简介
网域ACF下一代防火墙是面向应用层设计,能够精确识别用户、应用和内容,具备完整安全防护能力,能够全面替代传统防火墙,并具有强劲应用层处理能力的全新网络安全设备,网域ACF下一代防火墙解决了传统安全设备在应用管控、应用可视化、应用内容防护等方面的巨大不足,同时开启所有功能后性能不会大幅下降。
网域ACF下一代防火墙不但可以提供基础网络安全功能,如状态监测、VPN、抗DDos、NAT等;
还实现了统一的应用安全防护,可以针对一个入侵行为中的各种技术手段进行统一的检测和防护,如应用扫描、漏洞利用、WEB入侵、非法访问、蠕虫病毒、带宽滥用、恶意代码等。
网域ACF下一代防火墙可以为不同规模的行业用户的数据中心、广域网边界、互联网边界等场景提供更加精细、更加全面、更高性能的应用内容防护方案。
其核心理念是在用户网络边界建立以应用为核心的网络安全策略,通过逐层递进方式实现用户/应用行为的可视、可控、合规和安全,最终保障网络应用被安全高效的使用。
更精细的应用层安全控制:
1、贴近国内应用、持续更新的应用识别规则库
2、支持包括AD域、Radius等多种用户身份识别方式
3、面向用户与应用策略配置,减少错误配置的风险
更全面的内容级安全防护:
1、基于攻击过程的服务器保护,防御黑客扫描、入侵、破坏三步曲
2、强化的WEB应用安全,支持多种SQL注入防范、XSS攻击、CSRF、权限控制等
3、完整的终端安全保护,支持漏洞、病毒防护等
4、双向内容检测,功能防御策略智能联动
3互联网给网络管理带来的挑战
随着信息技术的飞速发展和广泛应用,网络已经渗透到社会的各个领域,成为人们工作、学习、生活中不可或缺的一部分。
互联网的商业和通讯业务也随之得到快速增长,在为组织带来更多商业机会、提升组织生产效率的同时,相应地也降低了组织运营、生产和沟通成本。
目前,不论政府、学校、企事业单位或是个人与网络的联系越来越紧密,网络一旦出现故障,将严重影响到工作、学习、生活。
但是这些年网络安全安全事故层出不穷,安全风险比以往更加难以察觉,对社会各行各业都产生严重的影响。
3.1应用网络时代,网络面临的问题
随着WEB2.0为代表的下一代网络技术的迅猛发展,WEB化应用呈现出爆发式的增长趋势,基于互联网的应用从最初的文件共享、文件传输(FTP)、静态网页浏览(HTML)以及Telnet等内容单一、静态的、简单、小规模的应用,逐步发展为包括E-Mail、ERP、OA、CRM、新闻信息、文件共享、视频会议、VoIP、即时通讯、网络游戏、电子商务、电子政务以及移动终端应用等等在内的动态的、大规模的、复杂的应用。
网络承载的内容日益丰富,变得更加复杂、多样化。
当今,互联网进入了应用级网络时代,逐步成为一个虚拟的真实社会。
P2P传输、网络电视、网络游戏、在线聊天、Web视频、股票软件、网上银行、数据库、物流供应链、各种论坛以及大量未知的内容和信息纷纷涌进网络。
传统的网络安全设备,如防火墙、入侵检测系统、防病毒软件、反垃圾邮件系统等,均已远远不能满足用户对自身网络的安全防护诉求。
具体表现如下:
Ø
基于端口的访问控制已失效
传统防火墙只能对网络流量进行基于端口的协议识别。
而下一代网络中的大量应用可以直接复用同一标准协议的知名端口(如80端口已不再专属HTTP,可被P2P使用)进行传输,或者直接承载在标准协议中(如Web视频直接承载在HTTP协议中)。
因此,传统防火墙仅基于端口的控制方式已无法实现精确管控,比如,允许访问80端口的策略很可能会让不期望的非法流量(如P2P)通过,甚至让黑客程序借此漏洞发动网络攻击,若完全禁止80端口则会殃及Web应用,导致正常的网页访问无法进行。
同样,流量控制和管理也到了细分应用种类的地步,传统的基于端口的粗放型流量管理不仅可能会“误伤”应该保证的良性应用,更可能会“助长”不良应用。
基于IP地址的访问控制已不可靠
传统防火墙通过IP地址对各安全区域进行访问控制,同时对威胁和应用来源进行跟踪审计。
然而,除了固定的IP接入方案,随着无线通信和移动计算设备的飞速发展,越来越多的企业给员工配置移动办公设备,甚至允许员工自带私有设备工作。
在这种多网多终端接入的环境下,IP地址分配具有极强的随机性和不唯一性,IP地址本身对用户身份信息的传递已经越来越不具有代表性。
进而,传统的通过IP地址来进行用户访问控制已不再完全有效。
而对网络访问者真正身份的全面有效、深度广泛的鉴定识别,才是适应社会和网络发展的最有效手段
入侵防御设备
应用安全防护体系不完善,只能针对操作系统或者应用软件的底层漏洞进行防护,缺乏针对Web攻击威胁的防御能力,对Web攻击防护效果不佳。
缺乏攻击事后防护机制,不具备数据的双向内容检测能力,对未知攻击产生的后果无能为力,如入侵防御设备无法应对来自于web网页上的SQL,XSS漏洞,无法防御来自内网的敏感信息泄露或者敏感文件过滤等等。
网络应用可见性差,存在法律风险
一份来自于IDC的权威数据显示:
80%以上的IT管理人员无法准确了解自己的网络。
对网络管理来说,自己的网络就像一个黑盒子,里面都跑了些什么应用以及网络的状况根本不清楚,而管理员无法知道异常流量的类型、来源、具体流向、流量大小、持续的时间等,也无法有效规划网络资源的使用,导致网络管理处于无序状态。
为了加强对互联网的控制和管理,公安部颁发的82号令要求各机构要保存至少3个月的访问日志,以便协助公安调查取证。
因此,如无有效的管理手段,企业内部对互联网资源的非法访问,比如访问色情、赌博、犯罪网站、发表反动言论、泄露重大机密等,都会触犯相关法律,给企业带来法律风险。
4产品优势技术
随着网络带宽的增加,网络应用以成倍的速度增加,应用层应用在无情地免费地侵蚀着宝贵的网络带宽,而网络安全的威胁更多的来源于应用层,对应用层的网络访问控制需要采用新的解决方案。
精确的识别出应用、阻断有安全隐患的应用、保证合法应用正常使用、防止端口盗用等问题,已成为现阶段企事业用户对网络安全担忧的主题之一。
4.1精细的应用层安全防护
网域ACF下一代防火墙采用DPI的识别方式使得应用层协议可视化可控,网域ACF下一代防火墙可以根据应用的行为和特征实现对应用进行识别和控制,而不仅仅依赖于端口或标准协议,摆脱了传统设备只能通过IP地址或者五元组控制的粗粒度,即使加密过的数据流也能进行管控。
目前,网域ACF下一代防火墙可以识别700多种应用,识别上千种网络行为动作,还可以与多种认证系统(AD、LDAP、Radius等)无缝对接,自动识别出网络当中IP地址【MAC地址、用户身份】对应的用户信息,并建立组织的用户分组结构;
满足了普通互联网边界行为管控的要求。
可以识别和控制丰富的内网应用,如迅雷P2P、RDP、LotusNotes、RTX、Citrix、OracleEBS、金蝶EAS、用友NC、U8、SAP、LDAP等,针对用户应用系统更新服务的诉求,网域ACF下一代防火墙还可以精细识别MicrosoftSHAREPOINT、奇虎360、Symantec、Sogou、Kaspersky、金山毒霸、江民杀毒等软件更新,保障在安全管控严格的环境下,系统软件更新服务畅通无阻。
因此,通过应用的协议识别制定的二到七层的应用访问控制策略,可以为用户提供更加精细和直观化控制界面,在一个界面下完成多套设备的运维工作,提升工作效率。
4.2WEB应用的安全防护
网域ACF下一代防火墙融合了漏洞防护、Web安全防护等多种安全技术,具备12000多条漏洞特征库、木马插件等恶意内容特征库、800多条Web应用威胁特征库,可以全面识别各种应用层和内容级别的各种安全威胁。
提供URL过滤、文件过滤、ActiveX过滤、脚本过滤等多种WEB安全防护手段通过对应用流中的数据报文内容进行探测,从而确定数据报文的真正应用。
WEB应用防护通过主动防御已知和未知攻击,实时阻断各种黑客攻击,如SQL注入、XSS攻击、网站扫描、WEBSHELL、会话劫持攻击等。
1.防SQL注入攻击
SQL注入攻击产生的原因是由于在开发WEB应用时,没有对用户输入的数据做合法性检查和判断,用户在提交一段数据库查询代码,根据程序返回的结果,获得默写他想得知的数据,这就是所谓的SQL注入。
网域ACF下一代防火墙通过高效的URL过滤技术,过滤SQL注入的关键信息,从而有效的避免网站服务器受到的SQL注入攻击。
2.防XSS跨脚本攻击
跨站攻击产生的原理是攻击者通过向WEB页面里插入恶意HTML代码,从而达到特殊目的。
网域ACF下一代防火墙通过先进的数据包正则表达式匹配原理,可以准确地过滤数据包中包含的跨站式攻击的恶意代码,从而保护用户的WEB服务器安全。
4.3应用层带宽管理
网域ACF下一代防火墙内置专业流量管理产品以应用对象设置、用户对象设置、时间对象设置、带宽通道对象设置、用户自定义对象设置基础,通过应用控制、流量管理、内容过滤等策略,最大限度地满足用户在流量管理方面的不同需求,实现用户网络人性化的精确管理。
专业流量管理产品满足了企业不同业务主次之分,系统分为0-7共8个QoS优先级控制策略,从而为指定的应用和通道提供差异化的影响级别。
同时也可以为特定的实时应用,如视频会议、VOIP等,预留固定的带宽,保证实时应用的流畅使用。
4.4IPS漏洞防护
支持12000多种流量异常特征库,并可以按优先级区分不同类型的漏洞攻击,按“高”,“中”,“低”区分;
包括敏感信息泄露DOS攻击/尝试获取用户特权的攻击/尝试获取管理员特权的攻击/网络流量中发现可执行文件的注入/可疑关键字和可疑文件的注入/远程过程调用告警/网络木马程序注入/客户端使用可疑端口通信/可疑的网络扫描/篡改标准协议和非法事件的告警/潜在的web攻击/ICMP告警/异常内容告警/公司机密泄露/尝试用默认账号窃取信息等。
4.5网络病毒防护
病毒库数量:
100,000+,定期更新,基于流引擎查毒技术,针对HTTP、FTP、SMTP、POP3、IMAP等协议进行查杀。
4.6线速的状态检测防火墙
支持线路的带宽叠加,充分利用多条Internet接入;
支持多线路的策略路由,智能选择更快的线路接入Internet;
支持三种工作模式(NAT模式、透明桥模式、路由模式);
支持状态检测防火墙(基于IP/IP段/IP组、IP/MAC、PORT、时间控制等策略组合);
支持关键字、文件类型、域名等内容过滤;
支持VLAN与静态路由;
5主要功能
5.1识别与控制
5.1.1用户身份识别
作为网域ACF下一代防火墙显著特征之一,网域ACF下一代防火墙对在线用户身份识别功能做了全面细致的支持。
与传统的将用户认证策略混入防火墙策略配置中不同,网域ACF下一代防火墙将用户认证从防火墙复杂的策略配置中抽离出来,从逻辑上做出更合理清晰的呈现。
用户可对不同的安全区域指定不同的认证策略,并可根据不同场景选择不同的身份识别方案,例如,可从域控服务器直接获取身份信息,与第三方认证服务器(Radius、AD、LDAP)认证,本地帐号库认证,证书认证,以及结合以上多钟认证方式于一体的多因素认证。
同时,为方便用户理解和使用,网域ACF下一代防火墙对用户账号进行了集中管理和控制。
只需集中配置好账户信息(包括Radius、AD、LDAP、本地数据库、证书账号等)即可在用户认证策略、VPN授权、设备管理员授权等多处便捷使用。
5.1.2日志记录和统计报表
网域ACF下一代防火墙让用户随时可以了解当前网络正在发生什么。
具体体现为,可实时了解当前网络中正遭受哪些威胁攻击(包括入侵攻击、病毒、恶意站点及敏感信息),以及相应的威胁等级、攻击数目等。
同时,用户可实时了解当前网络中一段时间以来各网络接口带宽使用情况,流量排名前十的应用以及流量使用排名前十的用户,并可实时互查应用与用户流量间的使用关系。
除了实时网络状况,网域ACF下一代防火墙为用户提供按日、按周、按月、按年的安全趋势分析报表以及以往所有的访问控制和安全日志。
从而让用户对安全威胁、业务应用、用户流量、网络负载从时间、数量、程度上通过各种形象化图形和数据手段有了高度可视化的跟踪和了解。
5.2应用层防护
5.2.1入侵防护
网域ACF下一代防火墙内置2500多条威胁特征库,并将威胁入侵分为5大类,分别是按攻击手段分类(如获取权限、信息收集类)、按技术手段分类(如蠕虫、P2P)、按流行程度分类(非常流行、中等流行)、按危险程度分类、按服务类型分类等(如WWW、FTP事件等)。
网域ACF下一代防火墙可防护远程扫描、暴力破解、缓存区溢出、蠕虫病毒、木马后门、SQL注入、跨站脚本等各种网络及应用攻击。
同时支持用户自定义规则,建立规则组等功能,并能够对检测到的入侵事件实时告警、阻断、记录和提供统计报表。
Ø
5.2.2URL过滤
网域ACF下一代防火墙具有业界领先的基于云端的URL分类库,内含按照不同类型(如不良言论、色情暴力、网络“钓鱼”、论坛聊天等)划分的超过上亿条记录的URL信息,可实现对工作无关网站、不良信息、高风险网站的准确、高效过滤;
同时网域ACF下一代防火墙内置的Web信誉库,通过对互联网站点资源(域名、IP地址、URL等)进行威胁分析和信誉评级,将含有恶意代码的网站列入Web信誉库,可有效阻挡用户对挂马等不良信誉网站的有意或无意访问,实现对终端用户的安全保护。
5.2.3防病毒
网域ACF下一代防火墙采用流模式和启发式文件扫描技术,对利用HTTP、SMTP、POP3、FTP、IM等多种协议进行传播的病毒进行扫描,完成对木马病毒、蠕虫病毒、宏病毒、脚本病毒等的查杀,同时支持多线程并发控制、深层次压缩文件杀毒、病毒白名单等功能。
此外,网域ACF下一代防火墙将专业防病毒引擎和多核并行处理技术完美融合,实现高速病毒处理性能。
5.2.4内容过滤
通过内容安全关键字,网域ACF下一代防火墙可对任意安全区域间交互的网页内容、搜索引擎信息内容、文件传输(文件名、格式、内容)、邮件收发(包括收发人、标题、内容、文件等)、论坛发言、服务器操作、以及即时通讯内容等进行基于内容关键字的准确检测、阻断、告警、记录和信息还原,实现深度内容安全管理与跟踪,避免用户机密信息、重要文件通过网络外泄,也避免了非法言论及不良信息的传播。
6产品部署方式
网域ACF下一代防火墙设备采用串接方式接入网络,支持透明模式,路由模式和旁路模式。
6.1旁路模式
以透旁路方式接入网络,可对网络的流量进行前面的监控和记录,无需改动用户网络结构和配置。
6.2透明模式
以透明网桥方式接入网络,可以部署到网络的网关位置或各部门的出口位置。
无需改动用户网络结构和配置,即插即用,支持单路,多路桥接的部署方式。
6.3路由模式
将设备串接网络中,可以放于内网的任意子网边界,或与核心交换机相连。
可以代替防火墙或路由器,需要为设备配置内网和外网接口的IP地址。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 网域 ACF 下一代 防火墙 白皮书