深信服防火墙af安全防护方案new

深信服防火墙af安全防护方案new内容摘要：

处理能力的全新网络安全设备。 NGAF 解决了传统安全设备在应用管控 、应用可视化 、应用 内容 防护 等 方面的巨大不足，同时开启所有功能后性能不会大幅下降。 NGAF 不但可以提供基础网络安全功能，如状态检测、 VPN、抗DDoS、 NAT 等；还实现了统一的应用安全防护，可以针对一个入侵行为中的各种技术手段进行统一的检测和防护，如应用扫描、漏洞利用、 Web 入侵、非法访问、蠕虫病毒、带宽滥用、恶意代码等。 NGAF可以为 不同规模的 行业用户的数据中心、广域网边界、互联网边界等场景提供更 加精细、更加全面、更高性能的应用内容 防护方案。 其具体特点如下： 更精细的应用层安全控制：  贴近国内应用、持续更新的应用识别规则库  识别内外网超过 724 种应用、 1253 种动作（截止 2020 年 8 月10 日）  支持包括 AD 域、 Radius 等 8 种用户身份识别方式  面向用户与应用策略配置，减少错误配置的风险 更全面的内容级安全防护： xx 项目 NGAF安全加固解决方案建议 第 14 页 共 37 页  基于攻击过程的服务器保护，防御黑客扫描、入侵、破坏三步曲  强化的 WEB 应用安全，支持多种注入防范、 XSS 攻击、权限控制等  完整的终端安全保护，支持插件 /脚本过滤、漏洞 /病毒防护等 更高性能的应用层处理能力：  单次解析架构实现报文一次拆解和匹配  多核并行处理技术提升应用层分析速度  全新技术架构实现应用层万兆处理能力 更完整的安全防护方案  可替代传统防火墙 /VPN、 IPS 所有功能，实现内核级联动 5 一电科技 网络安全现状 网络与应用系统现状 公司目前没有防火墙设备 ,考虑日后安全问题 , 面临的内容安全威胁 当前业务系统“曾经出现过”和“潜在出现”的各种内容安全威胁主要包括如下： 漏洞利用 无可厚非，软件开发 人员在开发一个系统的时候，将实现相应的功能作为首要的任务，而且他们在编写和调试程序时通常仅考虑用户正xx 项目 NGAF安全加固解决方案建议 第 15 页 共 37 页 常使用的情况，而对误用和恶意使用这些例外和异常情况处理考虑不周之处，也就形成了系统漏洞，或称系统的弱点。 系统已不再是孤立的系统，而是通过网络互联的系统，即组成了计算机网络，计算机网络的使用者中有专业水平很高但思想并不纯洁的群体，他们利用这些漏洞对系统展开入侵和攻击，导致对网络和应用系统极大威胁，使网络和系统的使用和拥有者遭受严重的损失。 自计算机紧急事件相应组（ CERT）与 1995 年开始对系统漏洞进行跟踪以来， 到 2020 年已有超过 12， 000 个漏洞被报告，而且自 1999 年以来，每年的数量都翻翻，增长如此迅猛。 在 2020 年 ，漏洞数量又创出了新的记录，根据赛门铁克发布的 2020 年度网络安全报告显示， 2020 年全年共计发现了 6253个 新的安全漏洞。 19952020年 网络安全漏洞发现情况统计（CERT/CC）050010001500202025003000350040004500报告数 171 345 311 262 417 1090 2437 4129 3784 26831995 1996 1997 1998 1999 2020 2020 2020 20202020(Q1Q3)xx 项目 NGAF安全加固解决方案建议 第 16 页 共 37 页 图 19952020 安全漏洞报告情况统计 如此多的漏洞，对 IT 部门意味着什么。 安全小组必须采取行动获得补丁程序、测试、最后将其部署在服务器上，为什么不直接给服务器打补丁呢。 因为不能保证补丁对应用系统没有影响，为了以防万一，必须对补丁程序进行测试和验证，然后才允许将其投 入生产系统。 从补丁程序获得、测试和验证，再到最终的部署，完成这一系列任务需要多长时间。 答案是，可能需要几个小时到几天，而在此期间攻击可能已经发生，损失已无法挽回。 拒绝服务攻击和分布式拒绝服务攻击 除了由于操作系统和网络协议存在漏洞和缺陷，而可能遭受攻击外，现在 IT 部门还会拒绝服务攻击（ DoS）和分布式拒绝服务攻击（ DDoS）的挑战。 DOS 和 DDOS 攻击可以被分为两类：一种是利用网络协议的固有缺陷或实现上的弱点来进行攻击，与漏洞攻击相似。 这类供给典型的例子如 Teardrop、 Land、 KoD 和 Winnuke；对第一种DOS 攻击可以通过打补丁的方法来防御，但对付第二种攻击就没那么简单了，另一类 DOS 和 DDOS 利用看似合理的海量服务请求来耗尽网络和系统的资源，从而使合法用户无法得到服务的响应。 早期的 DOS攻击由单机发起，在攻击目标的 CPU 速度不高、内存有限、网络带宽窄的情况下效果是明显的。 随着网络和系统性能的大幅提高， CPU 的主频已达数 G，服务器的内存通常在 2G 以上，此外网络的吞吐能力已达万兆，单机发起的 DoS攻击好比孤狼斗猛虎，没有什么威胁。 狼的习性是群居，一只固然势单力薄，但如果群起而攻之，恐怕猛虎也难抵挡 ，这就是分布式拒绝xx 项目 NGAF安全加固解决方案建议 第 17 页 共 37 页 服务攻击的原理。 用一台攻击机来攻击不再起作用的话，攻击者使用10 台攻击机、 100 台呢共同发起攻击呢。 DDoS 就是利用大量的傀儡机来发起攻击，积少成多超过网络和系统的能力的极限，最终击溃高性能的网络和系统。 常见的 DDOS 攻击方法有 SYN Flood、 Established Connection Flood和 Connection Per Second Flood。 已发现的 DOS 攻击程序有 ICMP Smurf、 UDP 反弹，而典型的 DDOS 攻击程序有 Zombie、 TFN2K、Trinoo 和 Stacheldraht。 DOS 和 DDOS 攻击会耗尽用户宝贵的网络和系统资源，使依赖计算机网络的正常业务无法进行，严重损害企业的声誉并造成极大的经济损失，使 IT 部门承受极大的压力。 零时差攻击 零时差攻击（ Zeroday Attack）是指从系统漏洞、协议弱点被发现到黑客制造出针对该漏洞、弱点的恶意代码并发起攻击之间的时间差几乎为零的攻击。 显而易见，零时差攻击对应用系统和网络的威胁和损害令人恐怖，这相当于在用户没有任何防备的情况下，黑客发起了闪电战，可能在极短的时间内摧毁关键的应用系统及令网络瘫痪。 回顾历史，可以发现从系统漏洞、协议弱点被发现到用户遭受攻击的时间正快速缩短，即零时差攻击的可能性越来越大。 xx 项目 NGAF安全加固解决方案建议 第 18 页 共 37 页 2020 年 1 月中旬，针对微软的 “Aurora”（极光）的零日漏洞 开始大规模被利用。 “极光” IE漏洞挂马攻击在国内最早出现在 1 月 17 日晚间，初期规模并不大， 18 日全天也仅有 220 家网站，但随着部分黑客论坛公开提供“极光木马生成器”下载，针对该漏洞的挂马网站数量在 20 日全天就超过了 1 万家，挂马网页更是超过 14 万个。 而微软在一个星期后， 1 月 22 日才发布了针对极光的安全公告，提供了解决办法，但为时已晚。 间谍软件 间谍软件（英文名称为 “spyware”）是一种来自互联网的，能够在用户不知情的情况下偷偷进行非法安装（安装后很难找到其踪影），并悄悄把截获的一些机密信息发送给第三者的软件。 间谍软件在安装时什么都不显示，运行时用户也不知晓，删除起来非常困难。 由于间谍软件隐藏在用户计算机中、秘密监视用户活动，并已经建立了一个进入个人电脑的通道，很容易对用户电脑做后续的攻击。 间谍软件能够xx 项目 NGAF安全加固解决方案建议 第 19 页 共 37 页 消耗计算能力，使计算机崩溃，并使用户被淹没在网络广告的汪洋大海中。 它还能够窃取密码、信用卡号和其它机密数据。 作为互联网用户，应该对此 保持警惕了。 最新统计显示，在过去的 12 个月中，全球感染间谍软件的企业数量增长了近 50%。 在 100 人以上的企业中，有17%的企业网络中藏有间谍软件，如键盘跟踪程序等。 间谍软件可分为两类，一类是 “广告型间谍软件 ”。 与其他软件一同安装，或通过 ActiveX 控件安装，用户并不知道它的存在。 记录用户的姓名、性别、年龄、密码、域、电话号码、邮件地址、 VPN、 Web 浏览记录、网上购物活动、硬件或软件设置等信息。 这类间谍软件还会改变目标系统的行为，诸如霸占 IE首页与改变搜寻网页的设定，让系统联机到用户根本不会去的广告网 站，以致计算机屏幕不停弹跳出各式广告。 而且软件设置简单，只要填写自己的邮件地址和设置一下运行即可。 另一类被称为 “监视型间谍软件 ”，它具有记录键盘操作的键盘记录器功能和屏幕捕获功能，可以用来在后台记录下所有用户的系统活动，比如网站访问、程序运行、网络聊天记录、键盘输入包括用户名和密码、桌面截屏快照等。 主要被企业、私人侦探、司法机构、间谍机构等使用。 间谍软件的恶行不仅让机密信息曝光，对产能亦造成负面冲击，同时也拖累系统资源，诸如瓜分其它应用软件的频宽与内存，导致系统没来由减速。 间谍软件在未来将 会变得更具威胁性，不仅可以窃取口令、信用卡号，而且还可以偷走各种类型的身份信息，用于一些更加险恶的目的，如捕捉和传送 Word 和 Excel 文档，窃取企业秘密等。 如果间谍软xx 项目 NGAF安全加固解决方案建议 第 20 页 共 37 页 件打开通向用户桌面系统的通道，那么用户面临的危险将是不可想象的。 协议异常和违规检测 在一切正常的情况下，两个系统间该如何进行某种数据交换，协议都对其进行了定义。 由于某些服务器不能有效处理异常流量，许多攻击会通过违反应用层协议，使黑客得以进行拒绝服务（ DoS）攻击，或者获得对服务器的根本访问权限。 通过执行协议 RFC 或标准，我们可以阻止这种攻 击。 除处理违反协议的情况外，这种机制还可截获命令中的非法参数，阻止许多缓冲溢出攻击的发生。 比如根据 RFC 2821，在一个正常的 SMTP 连接过程中，只有在客户端至少发送过一个“RCPT TO”请求命令之后，客户端发送 “DATA”请求命令才是合法的。 侦测和扫描 刺探是利用各种手段尝式取得目标系统的敏感信息的行为，这些敏感信息包括系统安全状况、系。