PDF《绿盟下一代防火墙》

版权声明 本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属绿 盟科技所有,受到有关产权及版权法保护.

任何个人、机构未经绿盟科技的书面授权许可,不得以任何方 式复制或引用本文的任何片断. 绿盟下一代防火墙 产品白皮书 ?

2014 绿盟科技 - II - 目录 一. 当今网络边界安全的新挑战.1 二. 现有防火墙解决方案的不足.2 三. 绿盟下一代防火墙产品.3 3.1 客户价值.3 3.1.1 洞察网络应用,识别安全风险

3 3.1.2 融合安全功能,保障应用安全

4 3.1.3 高效安全引擎,实现部署无忧

4 3.1.4 内网风险预警,安全防患未然

4 3.1.5 云端高效运维,安全尽在掌握

5 3.2 产品概述.5 3.3 产品架构.6 3.4 主要功能.7 3.4.1 识别和可视性

7 3.4.2 一体化策略与控制

8 3.4.3 应用层防护

9 3.4.4 内网资产风险识别

10 3.4.5 安全运维云端接入

11 3.4.6 基础防火墙特性

12 3.5 产品优势.13 3.5.1 全面的应用、用户识别能力

13 3.5.2 细致的应用层控制手段

15 3.5.3 专业的应用层安全防护能力

16 3.5.4 卓越的应用层安全处理性能

18 3.5.5 首创的内网资产风险管理

18 3.5.6 先进的云端安全管理模式

18 3.5.7 完全涵盖传统防火墙功能特性

19 3.6 典型部署.19 四. 总结

20 - III - 插图索引 图1核心理念.5 图2整体架构.6 图3资产管理.10 图4云端接入.11 图5应用/用户识别.13 图6应用控制.15 图7一体化安全引擎.16 图8双引擎多核并发.18 图9典型部署.19 绿盟下一代防火墙产品白皮书 ?

2014 绿盟科技 密级:完全公开 -

1 - 一. 当今网络边界安全的新挑战 现阶段,随着以 Web 2.0 为代表的下一代网络技术的迅猛发展,Web 化应用呈现出爆发 式增长趋势,如今网络有近三分之二的流量都是 HTTP 和HTTPS 应用.一方面,Web 2.0 应 用可以显著增强协作能力,提高生产效率,但另一方面也不可避免的带来了新的安全威胁, 体现在: 1) 新一代网络中以协议和端口来辨别应用,进而进行网络访问控制的方式已失效.当今 网络, 大量应用可以直接复用同一标准协议的知名端口 (如80 端口已不再专属 HTTP, 可被 P2P、IM 等大量应用使用),或者直接承载在标准协议中(如Web 视频直接承 载在 HTTP 协议中).并且,即使同一种应用,其通信端口和协议也会动态变更和跳 变.此种环境下,如何还能精准识别不同应用,继续有效管控网络通信、合理分配带 宽资源需要我们进行重新审视和思考. 2) 移动设备接入、无线网络连接、访客临时 IP 等已使网络边界模糊不清,接入渠道多 样,入网设备繁杂,地址身份变化不定等已经使传统边界安全设备捉襟见肘,如何继 续有效进行身份识别、执行接入控制,是新时代网络环境下又一难题. 3) 威胁入侵多以外网攻击或内网感染为触发点,一台设备被攻陷或感染后,作为跳板或 传染源对内网其他资产设备进行扩散和传播,引起内网泄密、资源占用等财产损失. 如何在新一代网络环境下评估现网、尽早发现内网资产易受攻击的薄弱环节、填补漏 洞、防患于未然,而将安全事件扼杀于事前,是较事中、事后等被动防范更加主动有 效的安全防护措施. 4) 新形势下的网络威胁日益复杂和增多, 用户的安全工程师为管理众多的安全设备而疲 于奔命,如果自建安全管理平台又成本太高.同时,即便对于已经部署安全管理平台 的用户,在使用过程中也并不是得心应手,体验较差.而且,有些威胁事件发生后, 工程师并不在现场,想第一时间了解威胁事件详情,处理威胁事件非常困难,尤其是 连入内网的操作更加繁琐,得具备一定的工作环境才能够完成.如何在保持低成本投 入的前提下,便捷、高效的管理网络安全是用户亟待解决的问题. 绿盟下一代防火墙产品白皮书 ?

2014 绿盟科技 密级:完全公开 -

2 - 二. 现有防火墙解决方案的不足 而在上述网络应用层出不穷、新型威胁不断涌现的背景下,无论是传统防火墙、统一威 胁管理设备(UTM)还是 下一代防火墙 们,均已远远不能满足用户对自身网络的安全防 护诉求,主要体现在: ? 传统防火墙不能对网络应用、用户进行有效识别和控制 ? 基于端口的访问控制已失效 传统防火墙只能对网络流量进行静态的、基于端口或协议的应用识别,而对下一代网络中 大量应用的端口复用(如80 端口已不再专属 HTTP,可被 P2P 使用),端口跳变等均已束手 无策, 更无法实现精确管控, 比如, 允许访问

80 端口的策略很可能会让不期望的非法流量 (如P2P)通过,甚至让黑客程序借此漏洞发动网络攻击,而若干脆禁止

80 端口则会殃及 Web 应用,导致正常的网页访问无法进行,等等. 同样,流量控制和管理也到了细分应用种类的地步,传统的基于端口的粗放型流量管理不 仅可能会 误伤 应该保证的良性应用,更可能会 助长 不良应用. ? 基于 IP 地址的访问控制已不可靠 传统防火墙通过 IP 地址对各安全区域进行访问控制,同时对威胁和应用来源进行跟踪审 计.然而,除了固定的 IP 接入方案,随着无线通信和移动计算设备的飞速发展,越来越多的 企业给员工配置移动办公设备,甚至允许员工自带私有设备工作.在这种多网多终端接入环 境下, IP 地址分配具有极强的随机性和不唯一性,IP 地址本身对用户身份信息的传递已经越 来越不具有代表性,进而,传统的通过 IP 地址来进行用户访问控制已不再完全有效.而对网 络访问者真正身份的全面有效、深度广泛的鉴定识别,才是适应社会和网络发展的最有效手 段. ? UTM 架构安全处理性能不足 UTM 设备虽比单一防火墙提供了更全面的安全防护能力,但其安全性能却始终饱受诟病. 在架构上, UTM 设备只是将各个安全模块 糖葫芦 似的串在一起, 各模块间实则彼此分离, 并重复对数据包解码,这种低效的架构缺陷致使安全性能随着模块的逐个开启而逐级大幅递 减. ? 现有 下一代防火墙 ,对内网安全的把控鲜有建树 近几年涌现的林林总总的 下一代防火墙 产品们更多强调对边界流量的深入识别以及对 外部入侵行为的检测和防护,而忽略了加固内部安全, 防患于未然 ,从而并未形成一套 绿盟下一代防火墙产品白皮书 ?

2014 绿盟科技 密级:完全公开 -

3 - 由外到内,再由内到外的全方位

360 度安全加固的解决方案,特别是随着 0day 及APT 攻击 的快速多变化,其单方面基于事中防范的被动检测方案也必将出现瓶颈而力不从心. ? 现有方案,未能简化运维 攻击的多元、多样、复杂化对用户来说意味着安全设备采购、人力运维成本的持续增加, 即便如此,复杂精深的安全专业对用户运维人员要求极高,很难不令防护效果大打折扣,如 何提供一种有效的服务模式,将运维简化、高效、可视化,让用户无论何时何地都能简便、 易用的对网络安全攻防进行高效运维,而这点无论是传统还是 下一代 防火墙产品也均无 有效建树. 在上述威胁新趋势和现有边界安全产品防护能力、性能、解决方案不足、服务模式局限 的现状下,用户迫切需要一种能够代表新一代网络和安全发展诉求的全新一代防火墙产品来 解决关键痛点. 基于此种预见,结合 Gartner 于2009 年提出的下一代防火墙定义,作为资深的网络安 全厂商,绿盟科技结合多年业界领先的网络攻防经验和安全技术沉淀,推出了完全适应下一 代网络攻防发展趋势和客户需求,并极具自身优势特色的新一代防火墙产品:绿盟下一代防 火墙(NSFOCUS NF). 三. 绿盟下一代防火墙产品 3.1 客户价值 3.1.1 洞察网络应用,识别安全风险 传统防火墙无法有效分辨和检测出当今网络中出现的各种复杂应用,其中包括低风险应 用(如WebEx, ERP, Oracle 等),也包括高风险应用(如Bit,QQ、电驴下载等),因而更 无法准确的识别和拦截各类应用中的安全风险. NSFOCUS NF 能精确分类与辨识出包括低风险、高风险在内的 1000+种应用,根据应用 不同风险等级分别进行不同级别的安全扫描,从而及时准确的识别和拦截各种威胁攻击,保 障用户网络应用的安全性. 同时,NSFOCUS NF 将当前网络中发生的一切安全威胁状况都及时清晰、可视直观的展 现给用户,如当前网络中的应用流量分布,用户访问分布,以及在应用的安全防护中发现或 拦截了哪些安全威胁等. 绿盟下一代防火墙产品白皮书 ?

2014 绿盟科技 密级:完全公开 -

4 - 这些威胁按照风险等级,以统计告警、报表、日志的形式可视化的呈现给用户,使用户 可以对网络的近日、近期、长期的安全状况都能有非常直观的了解和把握,从而可以及时有 效的采取防御措施. 3.1.2 融合安全功能,保障应用安全 随着下一代网络 Web2.0 应用技术的高速发展, 随之而来的基于应用的威胁攻击无论从数 量上、形式上还是技术手段上都呈现出井喷式的增长和变化,如借助应用漏洞的威胁入侵, 机要窃取,或由员工非法网页访问引起的挂马植入,或由邮件和文件下载引起的病毒传播, 或以应用为载体的不良、敏感信息的传播等均呈现出多样化、复杂化和融合化. 怎样提供一种手段能够全面准确且管理简便的将所有安全威胁一网打尽.NSFOCUS NF 结合公司多年来业界领先的攻防优势,推出具有自主知识产权的集入侵防护、防病毒、URL 过滤、内容过滤为一体的一体化安全引擎,一体化安全引擎可对应用流量进行 2-7 层一体化、 全方位、多层面的安全过滤,一次解码即可发现并拦截全部威胁攻击和安全风险,保障用户 网络环境的应用安全. 3.1.3 高效安全引擎,实现部署无忧 NSFOCUS NF 使用专用的数通引擎、一体化安全引擎双引擎模式,并将其构筑于最新一 代高速多核并行硬件平台之上. 数通引擎与一体化安全引擎多核、 并发的进行着高吞吐交互, 从技术上保障了:在高网络层转发性能的基础上,开启安全模块性能不出现明显下降,从而 保证用户可以放心的使用安全功能.同时提供的接入方案从百兆、到千兆再到万兆级,充分 满足用户在各种网络环境下对安全接入的高性能吞吐需求. 3.1.4 内网风险预警,安全防患未然 全面掌........