华为Firehunter6300沙箱技术白皮书

1HUAWEIFirehunter技术白皮书文档版本V1.0发布日期2015-07-25华为技术有限公司HUAWEIFirehunter技术白皮书版权所有©华为技术有限公司2014。保留一切权利。非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传播。商标声明和其他华为商标均为华为技术有限公司的商标。本文档提及的其他所有商标或注册商标，由各自的所有人拥有。注意您购买的产品、服务或特性等应受华为公司商业合同和条款的约束，本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内。除非合同另有约定，华为公司对本文档内容不做任何明示或暗示的声明或保证。由于产品版本升级或其他原因，本文档内容会不定期进行更新。除非另有约定，本文档仅作为使用指导，本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。华为技术有限公司地址：深圳市龙岗区坂田华为总部办公楼邮编：518129网址：客户服务邮箱：ask_FW_MKT@huawei.com客户服务电话：4008302118HUAWEIFirehunter技术白皮书目录1概述........................................................................................................................................41.1APT下一代威胁背景介绍..................................................................................................................41.2APT下一代威胁发展趋势..................................................................................................................51.3用户现网现状分析.............................................................................................................................72安全防护解决方案.................................................................................................................72.1技术原理............................................................................................................................................92.2典型应用场景...................................................................................................................................102.2.1与NGFW联合部署.....................................................................................................................102.2.2旁路独立部署...........................................................................................................................113产品特性...............................................................................................................................113.1全面的流量检测................................................................................................................................113.2支持主流应用和文档........................................................................................................................113.3模拟主流的操作系统和应用软件.....................................................................................................113.4分层的防御体系................................................................................................................................123.5业内一流的性能................................................................................................................................123.6超高的准确性与极低的误报率.........................................................................................................123.7提供准实时的处理能力....................................................................................................................123.8提供一流的针对APT威胁的反躲避能力..........................................................................................124产品规格...............................................................................................................................135硬件配置...............................................................................................................................13HUAWEIFirehunter技术白皮书2015-10-8华为保密信息,未经授权禁止扩散第4页,共14页1概述2010年Google遭受Aurora下一代威胁攻击，导致大规模的Gmail邮件泄漏，对Google品牌造成严重影响；2010年伊朗核设施遭受Stuxnet攻击，导致核设施核心部件-离心机受损严重，此次攻击造成后果不亚于一次定点轰炸；2011年RSA遭受针对SecureID的下一代威胁攻击，导致大规模的SecureID数据泄漏，严重影响使用SecureID的客户安全，对公司的安全性质疑严重影响公司的公众形象；2013年3月韩国银行业遭受一次定向型APT攻击，导致大面积的银行主机系统宕机，严重影响银行在客户心中的形象；随着以APT为代表的下一代威胁登场，传统安全防护手段面临挑战，一次APT攻击，轻则造成公司核心商业机密泄漏，给公司造成不可估计得损失，重则导致金融行业、能源行业、交通行业等涉及国计民生的行业陷入瘫痪，其效果不亚于一场战争，未来如何应对以APT为代表的下一代威胁，事关国家安全，这已经不是单纯依靠安全公司就能应对的问题，需要从国家安全的角度来应对未来的以APT为代表的下一代威胁，应对未来可能的网络战。1.1APT下一代威胁背景介绍自2010年Google承认遭受严重黑客攻击之后，APT高级持续性威胁便成为信息安全圈子人尽皆知的“时髦名词”，当然对于像Google、RSA、Comodo等深受其害的公司而言APT无疑是一场噩梦，噩梦的结果便是对现有安全防御体系的深入思考。APT(AdvancedPersistentThreat)高级持续性威胁顾名思义，这种攻击行为首先具有极强的隐蔽能力，通常是利用企业或机构网络中受信的应用程序漏洞来形成攻击者所需C&C网络;其次APT攻击具有很HUAWEIFirehunter技术白皮书2015-10-8华为保密信息,未经授权禁止扩散第5页,共14页强的针对性，攻击触发之前通常需要收集大量关于用户业务流程和目标系统使用情况的精确信息，情报收集的过程更是社会工程艺术的完美展现;当然针对被攻击环境的各类0day收集更是必不可少的环节。对于APT攻击我们需要高度重视，正如看似固若金汤的马奇诺防线，德军只是改变的作战策略，法国人的整条防线便沦落成摆设，至于APT攻击，任何疏忽大意都可能为信息系统带来灾难性的破坏。相信您迫切想了解传统的网络犯罪集团与APT攻击行为到底有哪些异同，下面的表格或许能让您找到答案。图1.1传统威胁和APT威胁的区别不难看出APT攻击更像一支配备了精良武器的特种部队，这些尖端武器会让用户网络环境中传统的IPS/IDS、防火墙、防病毒软件等安全防御体系失去应有的防御能力。无论是0day或者精心构造的恶意程序，传统的基于特征库的被动防御体系都无法抵御定向攻击的入侵。1.2APT下一代威胁发展趋势典型的APT攻击，通常会通过如下途径入侵到您的网络当中：通过SQL注入等攻击手段突破面向外网的WebServer、邮件服务器等服务器，然后以被入侵的服务器做跳板，对内网的其他服务器或桌面终端进行扫描，并为进一步入侵做准备;HUAWEIFirehunter技术白皮书2015-10-8华为保密信息,未经授权禁止扩散第6页,共14页通过给高层主管邮件，发送带有恶意程序的附件，诱骗员工点击并入侵内网终端。通过熟人给企业内部的员工发送具有针对性的恶意链接，诱骗用户访问这个链接之后并入侵内网终端。通过连接到Internet主机将恶意软件通过U盘摆渡到隔离网络，从而入侵到隔离网络实现攻击。一旦用户被植入恶意软件，如木马、后门、Downloader等，恶意软件持续回收集敏感文件(WORD、PPT、PDF、CAD文件等)，并回传到攻击者手中。图1.2典型APT威胁攻击流程以APT为代表的下一代威胁，综合利用AET、0-DAY漏洞、社交工程等多种高级技术手段，主要的攻击目标为高价值行业及涉及国家国计民生的基础设施（能源、金融、电信、交通等），存在攻击手段复杂、潜伏时间较长、检测难度较高等特点，一旦爆发，轻则造成公司商业机密泄漏威胁公司生存、重则造成公司或者整个行业瘫痪，甚至可以说以APT为代表的下一代威胁已经初具网络战雏形，兵者，国之大事，死生之地，存亡之道，不可不察。HUAWEIFirehunter技术白皮书2015-10-8华为保密信息,未经授权