下一代防火墻安全解決方案深信服科技有限公司201X-XX-XXTOC\o"1-5"\h\z\o"CurrentDocument"網(wǎng)絡與應用環(huán)境面臨的安全挑戰(zhàn)44\o"CurrentDocument"應用多樣化，端口的單一化44\o"CurrentDocument"黑客攻擊方式和目的的變化55\o"CurrentDocument"端到端的萬兆處理能力66\o"CurrentDocument"傳統(tǒng)安全設備日趨“無力”66\o"CurrentDocument"防火墻成為了“擺設”77\o"CurrentDocument"IPS+AV+WAF補丁式的方案88\o"CurrentDocument"簡單堆砌的UTM88下一代防火墻的誕生與價值99Gantner定義下一代防火墻99\o"CurrentDocument"深信服NGAF的特點與用戶價值1010XXX網(wǎng)絡安全現(xiàn)狀1111網(wǎng)絡與應用系統(tǒng)現(xiàn)狀1111\o"CurrentDocument"面臨的內(nèi)容安全威脅1212漏洞利用1212\o"CurrentDocument"拒絕服務攻擊和分布式拒絕服務攻擊1313零時差攻擊1313間諜軟件1414協(xié)議異常和違規(guī)檢測1515偵測和掃描1515Web入侵1616病毒木馬1717NGAF安全加固解決方案1717總體方案1717\o"CurrentDocument"數(shù)據(jù)中心服務器保護1818\o"CurrentDocument"廣域網(wǎng)邊界安全隔離與防護1919\o"CurrentDocument"互聯(lián)網(wǎng)出口邊界防護2121深信服NGAF產(chǎn)品介紹2222更精細的應用層安全控制2222\o"CurrentDocument"更全面的內(nèi)容級安全防護2323更高性能的應用層處理能力2424更完整的安全防護方案25251網(wǎng)絡與應用環(huán)境面臨的安全挑戰(zhàn)IT部門對企業(yè)高效運營和快速發(fā)展的貢獻毋庸置疑，種種益處自不必多言，但是如果網(wǎng)絡崩潰、應用癱瘓、機密被竊，損失將令人痛心，甚至無法彌補，IT部門也將承受極大的壓力，所以保證網(wǎng)絡和應用系統(tǒng)安全、可靠和高效的運行成為IT部門的關鍵任務。要實現(xiàn)上述目標，首先，讓我們來對網(wǎng)絡和系統(tǒng)運行面臨的安全挑戰(zhàn)做出詳細的分析。1.1應用多樣化，端口的單一化在傳統(tǒng)的網(wǎng)絡安全建設中，為網(wǎng)絡設立一個“盡職盡責”的門衛(wèi)控制應用訪問的合法性還是可以做到的。因為，那時端口二應用、IP二用戶，只要在交換機、路由器、防火墻做些基于“端口+IP”的訪問控制策略，就可以輕松實現(xiàn)用戶的訪問權限。但是隨著網(wǎng)絡、應用的不斷的發(fā)展，為了便于應用的跨平臺、靈活部署，現(xiàn)在有成千上萬種應用趨向于更少數(shù)的端口運行，都是基于HTTP或者HTTPS協(xié)議（80、443端口）。比如“開心網(wǎng)”網(wǎng)站上可以運行159種應用程序（還在不斷豐富）一一聊天、游戲、圖片分享等；“谷歌”的企業(yè)級應用套件甚至可以提供類似于Office、協(xié)作辦公、視頻分享這樣的企業(yè)應用程序。因此，應用多樣化、端口單一化，給我們的網(wǎng)絡安全提出了2個新的問題：1、能夠針對應用協(xié)議和動作進行訪問控制：對于這些應用和應用中豐富的動作，我們需要精細控制用戶的訪問權限，比如無法阻斷文件傳輸，防止泄密。2、Web成為威脅傳播的重點對象：需要針對看似合法的Web層內(nèi)容中，檢測和過濾各種威脅。因為，黑客已經(jīng)把這些端口當做攻擊和威脅傳播的目標。1.2黑客攻擊方式和目的的變化早期的黑客攻擊手段大多為非破壞性攻擊，一般是為了擾亂系統(tǒng)的運行，并不盜竊系統(tǒng)資料，通常采用拒絕服務攻擊（PingofDeath等）網(wǎng)絡層方式。其主要目的也只是為了技術炫耀型為主。而當前的黑客攻擊目的完全以利益為驅(qū)動，技術手段更加傾向于應用化、內(nèi)容化、混合化。所謂應用化，面對堡壘森嚴的網(wǎng)絡層防護手段，黑客要想悄無聲息的入侵IT系統(tǒng)，必須采用更高層次的方式繞過這些防護手段。所以，基于應用的漏洞利用、命令注入、惡意腳本/插件等威脅就成為了黑客爭相研究的方向。而漏洞利用也從原來側(cè)重OS底層漏洞轉(zhuǎn)變?yōu)榛趹贸绦虻穆┒?，比如根?jù)卡巴斯基2011年Q1漏洞排行榜，AdobeReader、FlashPlayer的包攬前三甲。PercentageofusersonNameBeneotsgwhosevulnerablibcy&ercriminalcomputersand；inktoofejplsrttftgthecteKripUMvulri^raDHrtyVUlriHTdD!llTy!wasdetectedvulneratulily'suniqueID1SA388C5AdobeReader，AtfXJOSl3INQ"uniqu&Nsme-EuirerOverflewVulneratxitt/GamaccesstoasysleiTiandexecutearoifaiycodewitnlo<aluserphvil較秒J0.73^.ofloa.2010cm心2SA37255AflobeFlashPlayerMultpleVytneratKkties"GainaccesstoBsystemandexecuteartoftrarycodewithImaiuserpfftilegesE>posureofsensiliveinformation曰y網(wǎng)做奸urrty3132^2G10.2010EilremeayCfitaal3SM53打AdobeflashPlayerMurtpfeVuln&rablitesGainaccesstoaand建丫取u炬arbitrarycodewthlocaluserpnw購es24.23%osa?2011“HighlyC尬al,p所謂內(nèi)容化，黑客在成功入侵后更加關注的是IT系統(tǒng)中的內(nèi)容，比如客戶賬號、通訊方式、銀行賬戶、企業(yè)機密、電子訂單等。因此，通過木馬、后門、鍵盤記錄等方式可以不斷獲取這些關鍵內(nèi)容，并進行非法利用而牟利。所謂混合化，在黑客一次攻擊行為中使用了多種技術手段，而非原來單一的病毒蠕蟲或者漏洞利用。比如，黑客要想入侵一臺Web服務器上傳木馬的過程：端口/應用掃描、口令爆破、漏洞利用、OS命令注入、SQL注入、跨站腳本、木馬上傳等。因此，面對上述安全風險的變化，給我們的網(wǎng)絡安全提出了新的問題：1、能夠防護混合型攻擊威脅的防護：傳統(tǒng)防火墻無法提供DPI深度檢測，而IPS、WAF、AV等設備防護功能單一，需要相互搭配使用。因此，面對多種安全威脅的混合型攻擊，我們需要一個完整的應用層安全防護方案。2、能夠保護應用內(nèi)容：針對黑客對內(nèi)容的關注，需要基于應用的內(nèi)容做安全檢查，包括掃描所有應用內(nèi)容，過濾有風險的內(nèi)容，甚至讓用戶自定義哪些內(nèi)容可以進出，哪些內(nèi)容不能進出。1.3端到端的萬兆處理能力當前的IT系統(tǒng)已經(jīng)全面具備了萬兆處理能力，萬兆網(wǎng)絡、萬兆存儲、萬兆計算，甚至100G/40G的網(wǎng)絡標準已經(jīng)誕生。但是只要在IT系統(tǒng)中出現(xiàn)一個性能瓶頸，就會制約整個IT系統(tǒng)的性能發(fā)揮。而當前應用層安全處理能力僅僅停留在準千兆級別，往往只有600-800兆左右的線速能力，成為了嚴重的網(wǎng)絡性能瓶頸。過去，網(wǎng)絡/40G+網(wǎng)絡層安全/1QG+應用層安全/千兆=千兆網(wǎng)絡現(xiàn)在，網(wǎng)絡/40G+網(wǎng)絡層安全/10G+應用層安全/10G二萬兆網(wǎng)絡因此，面對上述網(wǎng)絡性能的不斷提升，給我們的安全防護提出了新的問題：實現(xiàn)萬兆級應用層安全處理能力：應用層安全防護強調(diào)的是計算的靈活性，傳統(tǒng)網(wǎng)絡安全設備的強調(diào)的是重復計算的高性能。因此，基于傳統(tǒng)網(wǎng)絡層安全設備ASIC的設計思路需要調(diào)整，并重新設計系統(tǒng)架構，才能滿足萬兆級完整的應用層防護處理能力。2傳統(tǒng)安全設備日趨“無力”面對上述網(wǎng)絡、應用、安全風險等環(huán)境的變化，傳統(tǒng)安全設備已經(jīng)顯得日趨“無力”尤其是傳統(tǒng)防火墻已經(jīng)變成了聾子和瞎子。2.1防火墻成為了“擺設”從1990開始，隨著Internet的快速發(fā)展，網(wǎng)絡安全的問題也逐步為人們所重視，從最初采用簡單的訪問控制列表，到部署防火墻來保護周界安全。從1993年防火墻被廣泛地部署在各種網(wǎng)絡中，如下圖所示：ContinuedSegmentationtorSmallerSecurityBroadcastDomains；DMZ,Web.FTP.；.SM1TF；DNS'SingleSecurityOomafnSegmentationaFPublicOMZ圖自1993開始防火墻被廣泛應用于邊界安全傳統(tǒng)防火墻目前在網(wǎng)絡當中主要的功能包括：1、通過基于端口和IP的訪問控制，實現(xiàn)安全域的隔離與劃分；2、通過地址轉(zhuǎn)換，實現(xiàn)內(nèi)部IP規(guī)劃的隱藏；3、通過抵御DOS等網(wǎng)絡層攻擊，確保系統(tǒng)穩(wěn)定運行；但是面對“第一章”所提到的環(huán)境變化，我們可以發(fā)現(xiàn)，這些功能已經(jīng)無法確保我們系統(tǒng)的安全穩(wěn)定運行。防火墻存在的問題如下：1、戴著眼罩的保安：如果防火墻依然通過端口設置訪問權限，那么針對單一端口下的多種應用和動作，針對端口動態(tài)變化的應用來說，防火墻只能霧里看花，無法實現(xiàn)有效地、精細地訪問權限控制；2、過時的盾牌：如果把網(wǎng)絡層攻擊比喻成冷兵器時代的“刀槍劍戟”，把應用層混合威脅比喻成熱兵器時代的“長槍大炮”，那么防火墻就好比是過時的“盾牌”，面對已經(jīng)不常出沒的冷兵器還是可以防護的，但是面對“長槍大炮”防火墻就自身難保。因此，當前防火墻的部署已經(jīng)成為了一種心理安慰，僅僅作為合規(guī)性的建設要求，要想真正確保系統(tǒng)安全，必須變革。2.2IPS+AV+WAF補丁式的方案面對防火墻成為“擺設”的現(xiàn)實，出現(xiàn)了不少補充型的加固方案，其中最典型的方式就是FW+IPS+AV+WAF這種“串糖葫蘆式”的建設。在一段時間內(nèi)，這種方式成為了用戶的不錯選擇。但是，隨著業(yè)務的開展，其問題日益凸顯：1、投資成本高：首先，同樣性能的應用層安全設備要比網(wǎng)絡層安全設備高數(shù)倍，再部署多臺，整個方面的前期硬件投資就會增加4倍甚至10倍。其次，持續(xù)的運維成本也是不小的開銷，能源消耗、配套建設（電源、空調(diào)）、人力成本等等也會急劇增加。2、防護效果不理想：這種方案在性能、檢測精度、可靠性等方面均存在較多問題。首先，此方案的性能取決于其中性能最低的設備能力，其他安全設備即使有再高的性能也發(fā)揮不出來；其次，局域網(wǎng)延時一般在600us，多增加一臺設備就意味著延時有提升了200us，尤其是傳統(tǒng)AV設備基于文件級別的檢測方式延時極大，一份郵件的檢測往往需要數(shù)秒鐘甚至數(shù)分鐘的時間；然后，面對混合型的攻擊入侵，這種方案就無法提供高精度的檢測，甚至出現(xiàn)漏報、誤報；最后，可靠性差，假如每臺設備的故障率為1%，那么串接了4臺設備后，故障率就提升了4倍，增加了故障點，降低了系統(tǒng)可靠性。因此，這種補丁式的建設方案，缺乏站在整體角度審視用戶安全需求。因此，不但投資成本高，而且防護效果不理想，與網(wǎng)絡匹配性差，只能作為一種過渡方案。2.3簡單堆砌的UTMUTM的出現(xiàn)曾經(jīng)很好的解決了“補丁式”安全方案高成本的問題，但是依然無法有效的與網(wǎng)絡環(huán)境相匹配，無法提供完整的防護功能。這主要是由于UTM的理念和架構設計所造成的，其主要問題體現(xiàn)在：1、功能缺失：雖然UTM集成了部分IPS、AV的功能，但由于大部分的UTM都是從FW演進而來，因此其訪問控制依然采用基于端口和IP的方式，缺乏針對應用的識別、管控、流量分析、流量優(yōu)化。所以，部分UTM可以稱為“帶著半個眼罩”的保安。2、應用層性能瓶頸：首先，UTM只是簡單整合了應用層防護功能，IPS、AV、Web過濾都還是獨立的檢測分析引擎，沒有進行統(tǒng)一的整合，一個數(shù)據(jù)包需要經(jīng)過多次拆包解包，多次分析匹配才完成處理。同時，由于應用層安全防護強調(diào)的是計算的靈活性與并行處理能力（特征比對等），而傳統(tǒng)網(wǎng)絡層安全設備強調(diào)的是單一功能的、重復計算的高性能（基于端口的狀態(tài)檢測）。因此，從防火墻演進而來的UTM往往存在著應用層性能處理瓶頸，這也是為什么我們看到一臺2G防火墻性能的UTM，在所有功能都開啟后只有400—700兆應用層處理能力，性能急劇下降的原因。2、層處理能力，性能急劇下降的原因。因此，UTM的方案只能滿足部分規(guī)模較小、應用簡單網(wǎng)絡環(huán)境的安全防護要求，但是面對應用復雜、網(wǎng)絡性能較高的高端部署場景來說（數(shù)據(jù)中心、廣域骨干網(wǎng)、大型互聯(lián)網(wǎng)出口等），UTM依然無力。3下一代防火墻的誕生與價值3.1Gantner定義下一代防火墻針對上述安全風險、網(wǎng)絡環(huán)境、應用系統(tǒng)的變化，傳統(tǒng)網(wǎng)絡安全設備的無能為力，市場咨詢分析機構Gartner在2009年發(fā)布了一份名為《DefiningtheNext-GenerationFirewall》的文章，給出了真正能夠滿足用戶當前安全需求的下一代防火墻（NGFW）定義。在Gartner看來，NGFW應該是一個線速（wire-speed）網(wǎng)絡安全處理平臺，在功能上至少應當具備以下幾個屬性：支持聯(lián)機“bump-in-the-wire”配置，不中斷網(wǎng)絡運行。發(fā)揮網(wǎng)絡傳輸流檢查和網(wǎng)絡安全政策執(zhí)行平臺的作用，至少具有以下特性：（1）標準的第一代防火墻能力：包過濾、網(wǎng)絡地址轉(zhuǎn)換（NAT）、狀態(tài)性協(xié)議檢測、VPN（2）集成的而非僅僅共處一個位置的網(wǎng)絡入侵檢測：支持面向安全漏洞的特征碼和面向威脅的特征碼°IPS與防火墻的互動效果應當大于這兩部分效果的總和。例如提供防火墻規(guī)則來阻止某個地址不斷向IPS加載惡意傳輸流。這個例子說明，在NGFW中，應該由防火墻建立關聯(lián)，而不是操作人員去跨控制臺部署解決方案。集成具有高質(zhì)量的IPS引擎和特征碼，是NGFW的一個主要特征。（3）應用意識和全?？梢娦裕鹤R別應用和在應用層上執(zhí)行獨立于端口和協(xié)議，而不是根據(jù)純端口、純協(xié)議和純服務的網(wǎng)絡安全政策。例子包括允許使用Skype，但關閉Skype中的文件共享或始終阻止GoToMyPC。（4）額外的防火墻智能：防火墻收集外來信息來做出更好的阻止決定或建立優(yōu)化的阻止規(guī)則庫。例子包括利用目錄集成將阻止行為與用戶身份綁在一起，或建立地址的黑白名單。Gartner認為，隨著防火墻和IPS更新周期的自然到來，或者隨著帶寬需求的增加和隨著成功的攻擊，促使更新防火墻，大企業(yè)將用NGFW替換已有的防火墻。不斷變化的威脅環(huán)境，以及不斷變化的業(yè)務和IT流程將促使網(wǎng)絡安全經(jīng)理在他們的下一個防火墻/IPS更新周期時尋找NGFW。Gartner預計到2014年底，用戶采購防火墻的比例將增加到占安裝量的35%，60%新購買的防火墻將是NGFW。3.2深信服NGAF的特點與用戶價值通過將中國用戶的安全需求與Garnter定義的“NGFW”功能特性相結(jié)合，深信服推出了下一代應用防火墻NGAF產(chǎn)品。NGAF是面向應用層設計，能夠精確識別用戶、應用和內(nèi)容，具備完整安全防護能力，能夠全面替代傳統(tǒng)防火墻，并具有強勁應用層處理能力的全新網(wǎng)絡安全設備。NGAF解決了傳統(tǒng)安全設備在應用管控、應用可視化、應用內(nèi)容防護等方面的巨大不足，同時開啟所有功能后性能不會大幅下降。NGAF不但可以提供基礎網(wǎng)絡安全功能，如狀態(tài)檢測、VPN、抗DDoS、NAT等；還實現(xiàn)了統(tǒng)一的應用安全防護，可以針對一個入侵行為中的各種技術手段進行統(tǒng)一的檢測和防護，如應用掃描、漏洞利用、Web入侵、非法訪問、蠕蟲病毒、帶寬濫用、惡意代碼等。NGAF可以為不同規(guī)模的行業(yè)用戶的數(shù)據(jù)中心、廣域網(wǎng)邊界、互聯(lián)網(wǎng)邊界等場景提供更加精細、更加全面、更高性能的應用內(nèi)容防護方案。其具體特點如下：更精細的應用層安全控制：?貼近國內(nèi)應用、持續(xù)更新的應用識別規(guī)則庫?識別內(nèi)外網(wǎng)超過724種應用、1253種動作（截止2011年8月10日）?支持包括AD域、Radius等8種用戶身份識別方式?面向用戶與應用策略配置，減少錯誤配置的風險更全面的內(nèi)容級安全防護：?基于攻擊過程的服務器保護，防御黑客掃描、入侵、破壞三步曲?強化的WEB應用安全，支持多種注入防范、XSS攻擊、權限控制等?完整的終端安全保護，支持插件/腳本過濾、漏洞/病毒防護等更高性能的應用層處理能力：?單次解析架構實現(xiàn)報文一次拆解和匹配?多核并行處理技術提升應用層分析速度?全新技術架構實現(xiàn)應用層萬兆處理能力更完整的安全防護方案?可替代傳統(tǒng)防火墻/VPN、IPS所有功能，實現(xiàn)內(nèi)核級聯(lián)動4XXX網(wǎng)絡安全現(xiàn)狀4.1網(wǎng)絡與應用系統(tǒng)現(xiàn)狀請具體描述用戶當期的網(wǎng)絡、安全、應用系統(tǒng)的建設現(xiàn)狀（設備類型、性能、采用的軟件架構、網(wǎng)絡安全域是如何劃分的等等），分析當前的主要安全風險，并且提出改進方向。4.2面臨的內(nèi)容安全威脅當前業(yè)務系統(tǒng)“曾經(jīng)出現(xiàn)過”和“潛在出現(xiàn)”的各種內(nèi)容安全威脅主要包括如下：4.2.1漏洞利用無可厚非，軟件開發(fā)人員在開發(fā)一個系統(tǒng)的時候，將實現(xiàn)相應的功能作為首要的任務，而且他們在編寫和調(diào)試程序時通常僅考慮用戶正常使用的情況，而對誤用和惡意使用這些例外和異常情況處理考慮不周之處，也就形成了系統(tǒng)漏洞，或稱系統(tǒng)的弱點。系統(tǒng)已不再是孤立的系統(tǒng)，而是通過網(wǎng)絡互聯(lián)的系統(tǒng)，即組成了計算機網(wǎng)絡，計算機網(wǎng)絡的使用者中有專業(yè)水平很高但思想并不純潔的群體，他們利用這些漏洞對系統(tǒng)展開入侵和攻擊，導致對網(wǎng)絡和應用系統(tǒng)極大威脅，使網(wǎng)絡和系統(tǒng)的使用和擁有者遭受嚴重的損失。自計算機緊急事件相應組（CERT）與1995年開始對系統(tǒng)漏洞進行跟蹤以來，到2004年已有超過12，000個漏洞被報告，而且自1999年以來，每年的數(shù)量都翻翻，增長如此迅猛。在2010年，漏洞數(shù)量又創(chuàng)出了新的記錄，根據(jù)賽門鐵克發(fā)布的2010年度網(wǎng)絡安全報告顯示，2010年全年共計發(fā)現(xiàn)了6253個新的安全漏洞。1995-2004年網(wǎng)絡安全漏洞發(fā)現(xiàn)情況統(tǒng)計（CERT/CC）圖1995-2004安全漏洞報告情況統(tǒng)計如此多的漏洞，對IT部門意味著什么？安全小組必須采取行動獲得補丁程序、測試、最后將其部署在服務器上，為什么不直接給服務器打補丁呢？因為不能保證補丁對應用系統(tǒng)沒有影響，為了以防萬一，必須對補丁程序進行測試和驗證，然后才允許將其投入生產(chǎn)系統(tǒng)。從補丁程序獲得、測試和驗證，再到最終的部署，完成這一系列任務需要多長時間?答案是，可能需要幾個小時到幾天，而在此期間攻擊可能已經(jīng)發(fā)生，損失已無法挽回。4.2.2拒絕服務攻擊和分布式拒絕服務攻擊除了由于操作系統(tǒng)和網(wǎng)絡協(xié)議存在漏洞和缺陷，而可能遭受攻擊外，現(xiàn)在IT部門還會拒絕服務攻擊（DoS）和分布式拒絕服務攻擊（DDoS）的挑戰(zhàn)。DOS和DDOS攻擊可以被分為兩類：一種是利用網(wǎng)絡協(xié)議的固有缺陷或?qū)崿F(xiàn)上的弱點來進行攻擊，與漏洞攻擊相似。這類供給典型的例子如Teardrop、Land、KoD和Winnuke；對第一種DOS攻擊可以通過打補丁的方法來防御，但對付第二種攻擊就沒那么簡單了，另一類DOS和DDOS利用看似合理的海量服務請求來耗盡網(wǎng)絡和系統(tǒng)的資源，從而使合法用戶無法得到服務的響應。早期的DOS攻擊由單機發(fā)起，在攻擊目標的CPU速度不高、內(nèi)存有限、網(wǎng)絡帶寬窄的情況下效果是明顯的。隨著網(wǎng)絡和系統(tǒng)性能的大幅提高，CPU的主頻已達數(shù)G，服務器的內(nèi)存通常在2G以上，此外網(wǎng)絡的吞吐能力已達萬兆，單機發(fā)起的DoS攻擊好比孤狼斗猛虎，沒有什么威脅。狼的習性是群居，一只固然勢單力薄，但如果群起而攻之，恐怕猛虎也難抵擋，這就是分布式拒絕服務攻擊的原理。用一臺攻擊機來攻擊不再起作用的話，攻擊者使用10臺攻擊機、100臺呢共同發(fā)起攻擊呢？DDoS就是利用大量的傀儡機來發(fā)起攻擊，積少成多超過網(wǎng)絡和系統(tǒng)的能力的極限，最終擊潰高性能的網(wǎng)絡和系統(tǒng)。常見的DDOS攻擊方法有SYNFlood、EstablishedConnectionFlood和ConnectionPerSecondFlood。已發(fā)現(xiàn)的DOS攻擊程序有ICMPSmurf、UDP反彈，而典型的DDOS攻擊程序有Zombie、TFN2K、Trinoo和Stacheldraht。DOS和DDOS攻擊會耗盡用戶寶貴的網(wǎng)絡和系統(tǒng)資源，使依賴計算機網(wǎng)絡的正常業(yè)務無法進行，嚴重損害企業(yè)的聲譽并造成極大的經(jīng)濟損失，使IT部門承受極大的壓力。4.2.3零時差攻擊零時差攻擊（Zero-dayAttack）是指從系統(tǒng)漏洞、協(xié)議弱點被發(fā)現(xiàn)到黑客制造出針對該漏洞、弱點的惡意代碼并發(fā)起攻擊之間的時間差幾乎為零的攻擊。顯而易見，零時差攻擊對應用系統(tǒng)和網(wǎng)絡的威脅和損害令人恐怖，這相當于在用戶沒有任何防備的情況下，黑客發(fā)起了閃電戰(zhàn)，可能在極短的時間內(nèi)摧毀關鍵的應用系統(tǒng)及令網(wǎng)絡癱瘓?；仡櫄v史，可以發(fā)現(xiàn)從系統(tǒng)漏洞、協(xié)議弱點被發(fā)現(xiàn)到用戶遭受攻擊的時間正快速縮短，即零時差攻擊的可能性越來越大。K安全宦口'時叵從以前的幾個月到現(xiàn)在的幾天K安全宦口'時叵從以前的幾個月到現(xiàn)在的幾天蠕由出現(xiàn)：有漏洞危險的主機受致保護攻擊者在準籌攻擊,危險凄-嚅與在幾分■仲內(nèi)會全球擴散*、心繡蟲在10會胡由攻:擊了9藪＞有漏洞的瞧*沖走波蠕蟲（Blaster）是在攻擊普出現(xiàn)二云后開始常攻擊所有有漏洞的主機受到威協(xié)2010年1月中旬，針對微軟的“Aurora”（極光）的零日漏洞開始大規(guī)模被利用?！皹O光”IE漏洞掛馬攻擊在國內(nèi)最早出現(xiàn)在1月17日晚間，初期規(guī)模并不大，18日全天也僅有220家網(wǎng)站，但隨著部分黑客論壇公開提供“極光木馬生成器”下載，針對該漏洞的掛馬網(wǎng)站數(shù)量在20日全天就超過了1萬家，掛馬網(wǎng)頁更是超過14萬個。而微軟在一個星期后，1月22日才發(fā)布了針對極光的安全公告，提供了解決辦法，但為時已晚。4.2.4間諜軟件間諜軟件（英文名稱為“spyware”）是一種來自互聯(lián)網(wǎng)的，能夠在用戶不知情的情況下偷偷進行非法安裝（安裝后很難找到其蹤影），并悄悄把截獲的一些機密信息發(fā)送給第三者的軟件。間諜軟件在安裝時什么都不顯示，運行時用戶也不知曉，刪除起來非常困難。由于間諜軟件隱藏在用戶計算機中、秘密監(jiān)視用戶活動，并已經(jīng)建立了一個進入個人電腦的通道，很容易對用戶電腦做后續(xù)的攻擊。間諜軟件能夠消耗計算能力，使計算機崩潰，并使用戶被淹沒在網(wǎng)絡廣告的汪洋大海中。它還能夠竊取密碼、信用卡號和其它機密數(shù)據(jù)。作為互聯(lián)網(wǎng)用戶，應該對此保持警惕了。最新統(tǒng)計顯示，在過去的12個月中，全球感染間諜軟件的企業(yè)數(shù)量增長了近50%。在100人以上的企業(yè)中，有17%的企業(yè)網(wǎng)絡中藏有間諜軟件，如鍵盤跟蹤程序等。間諜軟件可分為兩類，一類是“廣告型間諜軟件”。與其他軟件一同安裝，或通過ActiveX控件安裝，用戶并不知道它的存在。記錄用戶的姓名、性別、年齡、密碼、域、電話號碼、郵件地址、VPN、Web瀏覽記錄、網(wǎng)上購物活動、硬件或軟件設置等信息。這類間諜軟件還會改變目標系統(tǒng)的行為，諸如霸占IE首頁與改變搜尋網(wǎng)頁的設定，讓系統(tǒng)聯(lián)機到用戶根本不會去的廣告網(wǎng)站，以致計算機屏幕不停彈跳出各式廣告。而且軟件設置簡單，只要填寫自己的郵件地址和設置一下運行即可。另一類被稱為“監(jiān)視型間諜軟件”，它具有記錄鍵盤操作的鍵盤記錄器功能和屏幕捕獲功能，可以用來在后臺記錄下所有用戶的系統(tǒng)活動，比如網(wǎng)站訪問、程序運行、網(wǎng)絡聊天記錄、鍵盤輸入包括用戶名和密碼、桌面截屏快照等。主要被企業(yè)、私人偵探、司法機構、間諜機構等使用。間諜軟件的惡行不僅讓機密信息曝光，對產(chǎn)能亦造成負面沖擊，同時也拖累系統(tǒng)資源，諸如瓜分其它應用軟件的頻寬與內(nèi)存，導致系統(tǒng)沒來由減速。間諜軟件在未來將會變得更具威脅性，不僅可以竊取口令、信用卡號，而且還可以偷走各種類型的身份信息，用于一些更加險惡的目的，如捕捉和傳送Word和Excel文檔，竊取企業(yè)秘密等。如果間諜軟件打開通向用戶桌面系統(tǒng)的通道，那么用戶面臨的危險將是不可想象的。4.2.5協(xié)議異常和違規(guī)檢測在一切正常的情況下，兩個系統(tǒng)間該如何進行某種數(shù)據(jù)交換，協(xié)議都對其進行了定義。由于某些服務器不能有效處理異常流量，許多攻擊會通過違反應用層協(xié)議，使黑客得以進行拒絕服務（DoS）攻擊，或者獲得對服務器的根本訪問權限。通過執(zhí)行協(xié)議RFC或標準，我們可以阻止這種攻擊。除處理違反協(xié)議的情況外，這種機制還可截獲命令中的非法參數(shù)，阻止許多緩沖溢出攻擊的發(fā)生。比如根據(jù)RFC2821，在一個正常的SMTP連接過程中，只有在客戶端至少發(fā)送過一個“RCPTTO”請求命令之后，客戶端發(fā)送“DATA”請求命令才是合法的。4.2.6偵測和掃描刺探是利用各種手段嘗式取得目標系統(tǒng)的敏感信息的行為，這些敏感信息包括系統(tǒng)安全狀況、系統(tǒng)狀態(tài)、服務信息、數(shù)據(jù)資料等；采用工具對系統(tǒng)進行規(guī)?；⒆詣踊拇烫焦ぷ鞣Q為掃描。其工具稱為掃描器。掃描器最初是提供給管理員的一些極具威力的網(wǎng)絡工具，利用它，網(wǎng)管員可以獲得當前系統(tǒng)信息和安全狀況。正是因為掃描器能有效的獲取系統(tǒng)信息，因此也成為黑客最喜歡的工具。黑客利用掃描器的自動化和規(guī)?；奶匦?，只要簡單的幾步操作，即可搜集到目標信息。4.2.7Web入侵隨著互聯(lián)網(wǎng)技術的迅猛發(fā)展，許多政府和企業(yè)的關鍵業(yè)務活動越來越多地依賴于WEB應用，在向客戶提供通過瀏覽器訪問企業(yè)信息功能的同時，企業(yè)所面臨的風險在不斷增加。主要表現(xiàn)在兩個層面：一是隨著Web應用程序的增多，這些Web應用程序所帶來的安全漏洞越來越多；二是隨著互聯(lián)網(wǎng)技術的發(fā)展，被用來進行攻擊的黑客工具越來越多、黑客活動越來越猖獗，組織性和經(jīng)濟利益驅(qū)動非常明顯。根據(jù)Gartner的調(diào)查，信息安全攻擊有75%都是發(fā)生在Web應用層而非網(wǎng)絡層面上。同時，數(shù)據(jù)也顯示，2/3的Web站點都相當脆弱，易受攻擊。可以說，絕大多數(shù)企業(yè)將大量的投資花費在網(wǎng)絡和服務器的安全上，沒有從真正意義上保證Web業(yè)務本身的安全，才給了黑客可乘之機。根據(jù)CNCERT的監(jiān)測，2010年中國大陸有3.5萬個網(wǎng)站被黑客篡改，其中被篡改的政府網(wǎng)站高達4635個，比上年上升67.6%。政府網(wǎng)站安全性如果不能進一步提高，將不僅影響政府形象和電子政務的開展，也會給不法分子發(fā)布虛假信息造成可乘之機。Web攻擊可導致的后果極為嚴重，完全可以使用多種攻擊手段將一個合法正常網(wǎng)站攻陷，利用獲取到的相應權限在網(wǎng)頁中嵌入惡意代碼，將惡意程序下載到存在客戶端漏洞的主機上，從而實現(xiàn)攻擊目的。由此可見，Web安全已經(jīng)成為信息時代最大的“殺手”！但是要想做好Web服務器的安全防護困難有兩點：企業(yè)業(yè)務迅速更新，需要大量的Web應用快速上線。而由于資金、進度、意識等方面的影響，這些應用沒有進行充分安全評估。針對Web的攻擊會隱藏在大量正常的業(yè)務行為中，而且使用各種變形偽裝手段，會導致傳統(tǒng)的防火墻和基于特征的入侵防御系統(tǒng)無法發(fā)現(xiàn)和阻止這種攻擊。4.2.8病毒木馬病毒是附著于程序或文件中的一段計算機代碼，它可在計算機之間傳播。它一邊傳播一邊感染計算機。病毒可損壞軟件、硬件和文件。病毒附著于宿主程序，然后試圖在計算機之間傳播。它可能損壞硬件、軟件和信息。與人體病毒按嚴重性分類（從Ebola病毒到普通的流感病毒）一樣，計算機病毒也有輕重之分，輕者僅產(chǎn)生一些干擾，重者徹底摧毀設備。令人欣慰的是，在沒有人員操作的情況下，真正的病毒不會傳播。必須通過某個人共享文件和發(fā)送電子郵件來將它一起移動。與病毒相似，蠕蟲也是設計用來將自己從一臺計算機復制到另一臺計算機，但是它自動進行。首先，它控制計算機上可以傳輸文件或信息的功能。一旦您的系統(tǒng)感染蠕蟲，蠕蟲即可獨自傳播。最危險的是，蠕蟲可大量復制。例如，蠕蟲可向電子郵件地址簿中的所有聯(lián)系人發(fā)送自己的副本，那些聯(lián)系人的計算機也將執(zhí)行同樣的操作，結(jié)果造成多米諾效應（網(wǎng)絡通信負擔沉重），使商業(yè)網(wǎng)絡和整個Internet的速度減慢。當新的蠕蟲爆發(fā)時，它們傳播的速度非常快。它們堵塞網(wǎng)絡并可能導致您（以及其他每個人）等很長的時間才能查看Internet上的網(wǎng)頁。通常，蠕蟲傳播無需用戶操作，并可通過網(wǎng)絡分發(fā)它自己的完整副本（可能有改動）。蠕蟲會消耗內(nèi)存或網(wǎng)絡帶寬，從而可能導致計算機崩潰。5NGAF安全加固解決方案5.1總體方案為了能夠更好的針對當前網(wǎng)絡安全現(xiàn)狀，控制好可能發(fā)生的各種安全風險，建議采用下一代防火墻深信服NGAF針對業(yè)務系統(tǒng)進行全面的安全加固。首先，我們建議將整個業(yè)務系統(tǒng)劃分為如下N個網(wǎng)絡安全域：數(shù)據(jù)中心安全域：包括各種應用系統(tǒng)和服務器，如OA、視頻、ERP、MAIL等，由于是整個IT系統(tǒng)的核心，安全級別最高；?廣域網(wǎng)邊界安全域：各個分支機構通過專網(wǎng)接入總部局域網(wǎng)，訪問各種業(yè)務應用系統(tǒng)，主要包括構建專網(wǎng)的核心路由器、分支路由器；互聯(lián)網(wǎng)接入安全域：由于內(nèi)部終端、對外發(fā)布業(yè)務系統(tǒng)（如XXX網(wǎng)上交易系統(tǒng)）都需要與互聯(lián)網(wǎng)相連，訪問互聯(lián)網(wǎng)資源或者對外提供業(yè)務。此區(qū)域安全風險最高，需要重點隔離與控制；

內(nèi)網(wǎng)辦公安全域：包括總部內(nèi)網(wǎng)的辦公終端，為不同的部門提供高速、穩(wěn)定的網(wǎng)絡接入；其次，根據(jù)這些網(wǎng)絡安全域之間的訪問關系、安全級別，我們建議在如下位置部署NGAF進行一體化的L2-L7安全防護與控制，整體方案如下圖所示：圖NGAF部署的總體方案互聯(lián)黑入安全域安全域5.2數(shù)據(jù)中心服務器保護圖NGAF部署的總體方案互聯(lián)黑入安全域安全域內(nèi)部數(shù)據(jù)中心的服務器承載的業(yè)務尤為重要，是整個IT系統(tǒng)的核心組成部分，因此需要從如下四個方面著重考慮：1）訪問控制：誰可以訪問數(shù)據(jù)中心？什么應用可以訪問數(shù)據(jù)中心？盜用IP身份怎么辦？如何防止應用的濫用和誤用？傳統(tǒng)防火墻基于端口/IP能否解決？2）威脅攻擊的問題：如何保護數(shù)據(jù)中心免受病毒、木馬攻擊；防止數(shù)據(jù)中心服務器被攻擊3）數(shù)據(jù)中心可用性：數(shù)據(jù)中心流量大，需要有效保證核心業(yè)務可用性4）安全事件應用響應問題：如何了解數(shù)據(jù)中心安全風險問題？是否可以幫助管理員制定策略？

QA、ERP、卞癲內(nèi)涂據(jù)中心QA、ERP、卞癲內(nèi)涂據(jù)中心圖數(shù)據(jù)中心方案拓撲通過在數(shù)據(jù)中心核心交換機外側(cè)部署XX臺深信服NGAF-XXXX，提供XX性能，開啟XX、XX功能授權，可以幫助我們實現(xiàn)如下四個安全目標：1）面向用戶、應用的安全訪問：將訪問控制權限精確到用戶與業(yè)務系統(tǒng)，有效解決了傳統(tǒng)防火墻IP/端口的策略無法精確管理的問題。讓業(yè)務開放對象更為明了、管理更方便、策略更易懂。2）7層的內(nèi)容安全檢測：7層一體化安全防護（包括漏洞防護、服務器防護、病毒防護等）以及智能的內(nèi)容安全過濾功能，防止各種應用威脅干擾服務器的穩(wěn)定運行，確保核心業(yè)務數(shù)據(jù)的安全。3）核心業(yè)務有保障：基于應用的流量管理，保證核心業(yè)務帶寬充足。萬兆的應用層性能，有效保障數(shù)據(jù)中心的可用性。4）可視化安全風險評估：提供服務器風險和終端風險報告以及應用流量報表，使全網(wǎng)的安全風險一目了然，幫助管理員分析安全狀況管理數(shù)據(jù)中心。5.3廣域網(wǎng)邊界安全隔離與防護對于廣域網(wǎng)邊界安全防護需要從如下幾個方面著重考慮：1）人員多，應用雜：如何制定有效的ACL,ACL是基于IP和端口的，這樣的機器語言無法直觀、清晰的制定訪問控制策略，容易出現(xiàn)錯配、漏配；2）傳統(tǒng)FW缺乏應用層威脅防護，病毒木馬在分支機構和總部間傳播速度快3）病毒木馬占用廣域網(wǎng)有限帶寬，影響關鍵業(yè)務的傳輸4）分支數(shù)量多，IT管理水平層次不齊，設備多，成本高，組網(wǎng)雜，維護難圖廣域網(wǎng)邊界安全防護方案拓撲通過在核心交換機與核心路由器之間部署XX臺深信服NGAF-XXXX，提供XX性能，開啟XX、XX功能授權，可以幫助我們實現(xiàn)如下安全目標：1）面向用戶、應用的安全訪問：將訪問控制權限精確到用戶與業(yè)務系統(tǒng)，有效解決了傳統(tǒng)防火墻IP/端口的策略無法精確管理的問題。讓業(yè)務開放對象更為明了、管理更方便、策略更易懂2）廣域網(wǎng)垃圾流量清洗：通過NGAF智能的內(nèi)容安全過濾功能，將病毒、木馬、蠕蟲、DDoS等各種垃圾流量清除，確保帶寬純凈，防止病毒擴散3）—體化部署，簡化組網(wǎng)：NGAF具備L2-L7一體化安全防護功能，可以簡化組網(wǎng)，簡便管理，提高性價比；5.4互聯(lián)網(wǎng)出口邊界防護由于互聯(lián)網(wǎng)邊界實現(xiàn)了對外業(yè)務發(fā)布系統(tǒng)和內(nèi)網(wǎng)終端的互聯(lián)網(wǎng)接入，因此需要從如下幾個方面著重考慮：對外業(yè)務系統(tǒng)發(fā)布：1）網(wǎng)站被掛馬、數(shù)據(jù)遭篡改，企業(yè)/單位形象受損，造成經(jīng)濟損失，帶來負面影響2）合理控制服務器外聯(lián)權限，封堵黑客遠程控制，上傳病毒、木馬；3）響應速度要求快，系統(tǒng)穩(wěn)定性要求高，需要簡化組網(wǎng)，降低延時，減少單點故障;內(nèi)網(wǎng)終端互聯(lián)網(wǎng)接入：1）瀏覽器、OS、Flash漏洞多，上網(wǎng)容易感染病毒、木馬，竊取隱私2）合理控制服務器外聯(lián)權限，封堵黑客遠程控制終端，將內(nèi)網(wǎng)終端作為跳板，入侵服務器3）用戶權限多樣，安全策略配置復雜電信藤通^NTERMCT圖互聯(lián)網(wǎng)邊界安全方案拓撲通過在互聯(lián)網(wǎng)接入路由器后面部署XX臺深信服NGAF-XXXX，,XX網(wǎng)上交易系統(tǒng)部署在DMZ區(qū)，提供XX性能，開啟XX、XX功能授權，可以實現(xiàn)對內(nèi)網(wǎng)終端和對外業(yè)務發(fā)布系統(tǒng)的雙重防護（可以根據(jù)具體情況，分開部署），：對外業(yè)務發(fā)布系統(tǒng)防護：1）防止黑客入侵，獲取權限，竊取數(shù)據(jù)：通過NGAF的漏洞防護、服務器防護、病毒防護等多種應用內(nèi)容防護功能，防止黑客入侵，保證服務器穩(wěn)定運行；2）精確控制服務器外聯(lián)權限：通過NGAF精確的應用識別，放行服務器補丁升級、病毒庫升級等必要外聯(lián)流量，阻斷各種無關非法外聯(lián)流量；3）簡化組網(wǎng)、降低延時：NGAF具備L2-L7一體化安全防護功能，可以簡化組網(wǎng)，減少故障點；通過單次解析引擎減低延時；內(nèi)部終端安全防護：1）全面防護，標本兼治：通過NGAF的惡意網(wǎng)站過濾功能，防止終端訪問威脅網(wǎng)站和應用；通過漏洞防護、病毒防護、惡意控件/腳本過濾功能，切斷威脅感染終端的各種技術手段；2）精確識別，防止非法外聯(lián)：通過NGAF精確的應用識別，放行服務器補丁升級、病毒庫升級等必要外聯(lián)流量，阻斷各種無關非法外聯(lián)流量，防止終端被作為跳板入侵服務器3）一體化部署，配置簡單：NGAF具備L2-L7一體化安全防護功能，可以簡化組網(wǎng)，簡便管理，提高性價比；6深信服NGAF產(chǎn)品介紹6.1更精細的應用層安全控制NGAF獨創(chuàng)的應用可視化引擎，可以根據(jù)應用的行為和特征實現(xiàn)對應用的識別和控制，而不僅僅依賴于端口或協(xié)議，擺脫了過去只能通過IP地址來控制的尷尬，即使加密過的數(shù)據(jù)流也能應付自如。目前，NGAF的應用可視化引擎不但可以識別724多種的應用及其應用動作，還可以與多種認證系統(tǒng)（AD、LDAP、Radius等）、應用系統(tǒng)（POP3、SMTP等）無縫對接，自動識別出網(wǎng)絡當中IP地址對應的用戶信息，并建立組織的用戶分組結(jié)構；既滿足了普通互聯(lián)網(wǎng)邊界行為管控的要求，同時還滿足了在內(nèi)網(wǎng)數(shù)據(jù)中心和廣域網(wǎng)邊界的部署要求，可以識別和控制豐富的內(nèi)網(wǎng)應用，如LotusNotes、RTX、Citrix、OracleEBS、金蝶EAS、

SAP、LDAP等,針對用戶應用系統(tǒng)更新服務的訴求,NGAF還可以精細識別Microsoft.360、Symantec、Sogou、Kaspersky、McAfee、金山毒霸、江民殺毒等軟件更新，保障在安全管控嚴格的環(huán)境下，系統(tǒng)軟件更新服務暢通無阻。命號8^05尚作挪EttMWAdtihitiPOate監(jiān)評壹祐闿W命號8^05尚作挪EttMWAdtihitiPOate監(jiān)評壹祐闿W■雄wjp^e村食K/*崖械做涵皿；.也Lam?全天因此，通過應用可視化引擎制定的L3-L7一體化應用控制策略,6.2更全面的內(nèi)容級安全防護4.上傳㈱述7惡意代

碼rFR密文件3、選政寸應E勺漏洞、

踏站腳本r

荻4.上傳㈱述7惡意代

碼rFR密文件3、選政寸應E勺漏洞、

踏站腳本r

荻取權限2、掃描軟件版本信息L掃游兩.黑喜入侵四步曲4.禁止上傳可執(zhí)行程序4、禁止訪問指定目錄m.ips沛同防御義照!汪入防歸哄站腳本防護,弋號i美聯(lián)分斯2.應用隱痼..L禁止掃描深信服NGAF可以為業(yè)務系統(tǒng)提供端到端的安全防護，防護對象涵蓋了終端、服務器、網(wǎng)絡設備等，防御的威脅種類包括了：?漏洞利用類威脅：各種通過操作系統(tǒng)、應用系統(tǒng)、協(xié)議異常等漏洞，進行傳播的蠕蟲、木馬、后門、間諜軟件，進行攻擊和入侵的DoS/DDoS攻擊、緩沖區(qū)溢出攻擊、協(xié)議異常攻擊、藍屏攻擊、權限提取等；Web應用類威脅：專門針對Web應用面臨的各種最新的威脅提供額外的安全防護，包括5。1注入、XSS攻擊、OS命令注入、CSRF攻擊、口令爆破、弱口令探測、應用信息探測、非法上傳威脅文件等，從根源上解決了Web系統(tǒng)被入侵、數(shù)據(jù)被篡