识和分类,使得用户可以轻易从同一个端口协议的数据流量中辨识出任意多种不同的应用,或从无意无序的IP地址中辨识出有意义的用户身份信息,从而针对识别出的应用和用户施加细粒度、有区别的访问控制策略、流量管理策略和安全扫描策略,保障了用户最直接、准确、精细的管理愿望和控制诉求。
例如,允许HTTP网页访问顺利进行,并且保证高访问带宽,但是不允许同样基于HTTP协议的视频流量通过;允许通过QQ进行即时通信,但是不允许通过QQ传输文件;允许邮件传输,但需要进行防病毒扫描或敏感信息过滤,如发现有病毒入侵或泄密事件马上阻断,等等。
? 卓越的应用层安全处理性能
CPUL2/L3解码核 #1数通路由/NATCPU核 #1入侵防御Web安全病毒防护内容安全引擎VPN/HA安全引擎用户识别CPUL2/L3解码核 #2数通路由/NATCPU核 #2应用识别入侵防御Web安全病毒防护内容安全高速数据包处理平台引擎VPN/HA安全引擎用户识别CPUL2/L3解码核 #3数通路由/NATCPU核 #3应用识别安全引擎入侵防御Web安全病毒防护内容安全引擎VPN/HA用户识别CPUL2/L3解码核 #n数通路由/NATCPU核 #n应用识别安全引擎入侵防御Web安全病毒防护内容安全引擎VPN/HA用户识别应用识别 图 3.3 双引擎多核并发
NF构筑在新一代64位多核并发,高速硬件平台之上,拥有业界独有的数通、安全双引擎设计模式。双引擎多核并发的高速运行在多个CPU核心之上,各司其职,不仅保证了基础网络数据包的高速转发,更加确保了应用层安全处理的高性能。
不仅于此,NF采用的高速数据包处理技术专门针对I/O密集型网络设计。它为上层安全服务和底层硬件平台提供了一个高速通信隧道,极大提升了平台安全处理性能和吞吐率,使下一代防火墙设备在安全处理性能上有了一个质的飞跃。
3.3.1.3 方案价值
内网和互联网区之间部署下一代防火墙可发挥如下作用:基于应用/用户识别的访问控制、流量控制、上网行为管理、SNAT转发、ISP链路负载均衡、安全威胁阻断等;在互联网与DMZ区之间可发挥如下作用:访问控制、DNAT、服务器负载均衡、基于应用/户识别的流量
控制、安全威胁阻断等。在内网区的用户与服务器群之间可发挥如下作用:访问控制、基于应用和用户识别的流量控制、访问行为记录审计等功能。部署在边界的下一代防火墙可根据用户稳定性需求,提供网络容灾备份方案,保证用户网络安全访问无中断。
下一代防火墙具有带宽管理及控制能力、连接完整性检测能力、重要网段保护能力。包含有内容过滤、访问控制等功能,满足信息安全等级保护保护技术要求。
3.3.2 边界入侵防护
3.3.2.1 边界抗拒绝服务
3.3.2.1.1 防护需求
日益猖獗的DDOS攻击、越来越简单的僵尸网络攻击工具、日渐成熟的灰色地下交易链条,给互联网信息系统带来了沉重的危害,常见的DDOS攻击影响有:
? ?
网络遭受DDOS攻击导致网络出口或内网互联通信链路的带宽达到饱和; 内网设备(如交换机、路由器、服务器、防火墙等)遭受DDoS攻击,攻击流量超
出目标设备承受能力,导致它们无法提供合法流量; ? 务。 ?
对网络中没有直接遭受攻击的部分造成间接破坏。
服务器或主机遭受应用层DDOS攻击,导致CPU处理能力饱和,无法对外提供服
根据对来自广域网边界的风险分析,主要存在以下几个方面的需求:
? 需对流入广域网网络的流量进行分析,识别其中的各类攻击流量;
? 对流量型DDoS攻击(如SYN Flood、UDP Flood、ICMP Flood、ACK Flood等)
进行有效过滤,保护通信链路带宽及内网设备不受攻击影响;
? 对应用层的DoS攻击(如Http Get Flood、连接耗尽、CC等)进行有效过滤,保证
服务器或主机性能不受攻击影响。
【相关规范要求】
《GB/T 22239-2008信息系统安全等级保护基本要求》 7.1.2.2访问控制(G3)
本项要求包括:
e)应限制网络最大流量数及网络连接数;
7.1.2.5 网络安全-入侵防范(G3)
本项要求包括:
a) 应在网络边界处监视以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等;
b) 当检测到攻击行为时,记录攻击源IP、攻击类型、攻击目的、攻击时间,在发生严重入侵事件时应提供报警。
7.1.3.5主机安全-入侵防范(G3)
本项要求包括:
应能够检测到对重要服务器进行入侵的行为,能够记录入侵的源IP、攻击的类型、攻击的目的、攻击的时间,并在发生严重入侵事件时提供报警;
3.3.2.1.2 解决方案
根据以上需求,设计在外网出口边界部署一台抗拒绝服务系统(ADS)来实现。针对目前流行的DDoS攻击以及未知的攻击形式,通过ADS及时发现背景流量中的攻击行为,迅速对攻击流量进行过滤,确保正常业务的可用性。详见“整体部署拓扑图”。
【技术实现】
本方案推荐选用绿盟科技抗拒绝服务系统(ADS)来部署实现。
绿盟抗拒绝服务产品基于嵌入式系统设计,在系统核心实现了防御拒绝服务攻击的算法,创造性地将算法实现在协议栈的最底层,避免了TCP/UDP/IP等高层系统网络堆栈的处理,使整个运算代价大大降低,并结合特有硬件加速运算,因此系统效率极高。该方案的核心技术架构如下图所示。
绿盟抗拒绝服务系统核心架构
绿盟抗拒绝服务系统具有以下功能亮点
? 反欺骗——绿盟Anti-DDoS技术将会对数据包源地址和端口的正确性进行验证,同
时还对流量在统计和分析的基础上提供针对性的反向探测。
?
协议栈行为模式分析——根据协议包类型判断其是否符合RFC规定,若发现异常,
则立即启动统计分析机制;随后针对不同的协议,采用绿盟专有的协议栈行为模式分析算法决定是否对数据包进行过滤、限制或放行。
?
特定应用防护——ADS产品还会根据某些特殊协议类型,诸如DNS、HTTP、VOIP
SIP等,启用分析模式算法机制,进一步对不同协议类型的DDoS攻击进行防护。
?
用户行为模式分析——网络上的真实业务流量往往含有大量的背景噪声,这体现了
网络流量的随机性;而攻击者或攻击程序,为了提高攻击的效率,往往采用较为固定的负载进行攻击。ADS产品对用户的行为模式进行统计、跟踪和分析,分辨出真实业务浏览,并对攻击流量进行带宽限制和信誉惩罚。
?
动态指纹识别——作为一种通用算法,指纹识别和协议无关,绿盟Anti-DDoS技术
采用滑动窗口对数据包负载的特定字节范围进行统计,采用模式识别算法计算攻击包的特征。对匹配指纹特征的攻击包进行带宽限制和信誉惩罚。
? ?
带宽控制——对经过系统净化的流量进行整形输出,减轻对下游网络系统的压力。 地理位置过滤——攻击者虽然可以利用全球的肉鸡发起DDoS攻击,但是企业和防
护的客户对可以根据自身业务的情况明确业务流量来源,从而根据源IP地理位置过滤攻击,实现快速有效的保护。
?
云信誉——绿盟云信誉平台通过集合全系列安全产品的发现与验证,从获取的全球
流量中进行信誉等级的评定。ADS产品通过与云信誉平台联动可以及时掌握肉鸡数据并进行拦截防护。
【选型优势】 1. ?
产品技术最好,防护效果好
最早研究DDoS攻击&防护(2000年)的企业,2001年推出首款“黑洞”产品,
至今积累时间最长,防护水平代表全球最高水平。
? 护。
?
支持抓包取证,通过抓包分析进行深度防范,为电子取证提供依据,对DDoS攻击防护技术算法最丰富。如针对CC攻击提供7种防护算法,满足各种攻击特点的防
产生威慑。
?
根据DDoS防护需求不同的特点,能够提供防护群组功能,对用户加以区分,并对
不同的用户组提供细粒度的防护策略。
2.
产品应用最广泛,成熟度高:
在中国国内市场占有率第一,唯一覆盖全行业应用。产品在国家骨干网、国干互联互通口、城域网、各类IDC、金融、政府、科研网、互联网服务器前等都有大量设备部署应用,产品稳定性好,业内口碑好。
3. ?
最专业的服务,产品支撑好:
专业安全公司,具有独立攻防研究团队和安全支持人员,安全持续投入有保障。
? 全国各地的本地化安全支持:响应快,服务态度好。
3.3.2.1.3 方案价值
通过在广域网边界部署流量清洗系统,能够发现流入单位网络流量中各种类型的DDOS攻击,迅速对攻击流量进行过滤或旁路,保证正常流量的通过,提高用户网络的安全性和业务的稳定性。该方案解决的问题包括:
? 通过流量清洗系统的异常流量分析功能,实现对流入单位内部网络的流量分析,能
够识别其中的各类攻击流量;
? 通过流量清洗系统的攻击防护功能,实现对流量型DDoS攻击(如SYN Flood、UDP
Flood、ICMP Flood、ACK Flood等)的有效过滤,保护通信链路带宽及内网设备不受攻击影响;
? 通过流量清洗系统的攻击防护功能,实现对应用层的DoS攻击(如Http Get Flood、
连接耗尽、CC等)的有效过滤,保证服务器或主机性能不受攻击影响。
3.3.2.2 边界黑客入侵防护
3.3.2.2.1 防护需求
随着越来越多的系统本身漏洞以及应用系统的漏洞被发现,以及攻击者的入侵方式更加隐蔽,新的攻击方式层出不穷,所以单纯的依靠防火墙已经无法完全防御不断变化的入侵攻击的发生。
传统的防火墙主要有以下的不足:
? 防火墙作为访问控制设备,无法检测或拦截嵌入到普通流量中的恶意攻击代码,比
如针对具体应用或系统的攻击等。 ? 防火墙无法发现内部网络中的攻击行为。