深信服_下一代防火墙NGAF_技术白皮书

深信服下一代防火墙技术白皮书文档密级：公开1/41深信服科技NGAF下一代防火墙产品白皮书深信服科技有限公司2017年6月深信服下一代防火墙技术白皮书文档密级：公开2/41版权声明本书版权归深信服科技股份有限公司所有，并保留对本文档及本声明的最终解释权和修改权。本文档中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明外，其著作权或其它相关权利均属于深信服科技股份有限公司。未经深信服科技股份有限公司书面同意，任何人不得以任何方式或形式对本文档内的任何部分进行复制、摘录、备份、修改、传播、翻译成其他语言、将其全部或部分用于商业用途。免责条款本文档仅用于为最终用户提供信息，其内容如有更改或撤回，恕不另行通知。深信服科技股份有限公司已尽最大努力确保本文档内容准确可靠，但不提供任何形式的担保，任何情况下，深信服科技股份有限公司均不对（包括但不限于）最终用户或任何第三方因使用本文档而造成的直接或间接的损失或损害负责。信息反馈如果您有任何宝贵意见，请反馈：地址：深圳市南山区学苑大道1001号南山智园A1栋邮编518055电话：0755-86627888传真：0755-86627999您也可以访问深信服科技网站获得最新技术和产品信息深信服下一代防火墙技术白皮书文档密级：公开3/411.概述......................................................................................................42.深信服下一代防火墙核心价值.........................................................52.1.全程保护...................................................................................52.2.全程可视...................................................................................73.主要功能介绍......................................................................................83.1.系统架构设计...........................................................................83.2.基础防火墙特性.....................................................................113.3.事前风险预知.........................................................................133.4.事中安全防护.........................................................................183.5.事后检测及响应.....................................................................314.部署模式............................................................................................334.1.网关模式.................................................................................334.2.网桥模式.................................................................................344.3.旁路模式.................................................................................364.4.双机模式.................................................................................375.市场表现............................................................................................395.1.高速增长，年复合增长超70%.............................................395.2.众多权威机构一致认可.........................................................405.3.为客户需求而持续创新.........................................................406.关于深信服........................................................................................40深信服下一代防火墙技术白皮书文档密级：公开4/411.概述近几年来，随着互联网+、业务数字化转型的深入推进，各行各业都在加速往互联网化、数字化转型。业务越来越多的向公众、合作伙伴，第三方机构等开放，在数字化业务带给我们高效和便捷的同时，信息暴露面的增加，网络边界的模糊化以及黑客攻击的产业化使得网络安全事件相较以往成指数级的增加，面对应对层出不穷的新型安全事件如网站被篡改，被挂黑链，0day漏洞利用，数据窃取，僵尸网络，勒索病毒等等，传统安全建设模式已经捉襟见肘，面临着巨大的挑战。问题一：传统信息安全建设，以事中防御为主。缺乏事前的风险预知，事后的持续检测及响应能力传统意义上的安全建设无论采用的是多安全产品叠加方案还是采用UTM/NGFW+WAF的整合类产品解决方案，关注的重点都在于如何防护资产在被攻击过程中不被黑客入侵成功，但是并不具备对于资产的事前风险预知和事后检测响应的能力，从业务风险的生命周期来看，仅仅具备事中的防护是不完整的，如果能在事前做好预防措施以及在时候提高检测和响应的能力，安全事件发生产生的不良影响会大幅度降低，所以未来，融合安全将是安全建设发展的趋势。问题二：传统安全建设是拼凑的事中防御，缺乏有效的联动分析和防御机制传统安全建设方案，搜集到的都是不同产品碎片化的攻击日志信息，只能简单的统计报表展示，并不能结合业务形成有效的资产安全状态分析。另外在防护机制上只能依赖静态的防御策略进行防护，无法及时应对业务发生的变化，不同安全设备之间也无法形成有效的联动封锁机制，不仅投资高，运维方面也难管理。深信服下一代防火墙安全理念深信服通过对以上问题的思考进行了下一代防火墙的产品设计，对下一代防火墙赋予了风险预知、深度安全防护、检测响应的能力，最终形成了全程保护、全程可视的融合安全体系。融合不是单纯的功能叠加，而是依照业务开展过程中会遇到的各类风险，所提供的对应安全技术手段的融合，能够为业务提供全流程的保护，融合安全包括从事前的资产风险发现，策略有效性检测，到事中所应具备的各类安全防御手段以及事后的持续检测和快速响应机深信服下一代防火墙技术白皮书文档密级：公开5/41制，并将这一过程中所有的相关信息通过多种方式呈现给给用户。2.深信服下一代防火墙核心价值2.1.全程保护2.1.1.事前预知：资产/脆弱性/策略有效性深信服NGAF能够在事前对内部的服务器进行自动识别，并且还能自动识别服务器上开放端口和存在的漏洞，弱密码等风险，同时还能判断识别出的资产是否有对应的安全防护策略以及是否生效。2.1.2.事中防御：完整的防御体系+安全联动+威胁情报深信服NGAF在事中防御层面融合了多种安全技术，提供了L2-7层完整的安全防御体系，确保安全防护不存在短板，同时还能通过安全联动功能加强防御体系的时效性和有效性，包深信服下一代防火墙技术白皮书文档密级：公开6/41括模块间的联动封锁，同云端安全联动，策略的智能联动等。此外，深信服NGAF还广泛的开展第三方安全机构合作，通过国家漏洞信息库，谷歌Virustotal恶意链接库等多来源威胁情报的输入，帮助用户能够在安全事件爆发之前就提前做好防御的准备。2.1.3.事后检测&响应：威胁行为的持续检测&快速响应传统安全建设主要集中在边界安全防御，缺乏对绕过安全防御措施后的检测及响应能力，如果能做好事后的检测及响应措施，可以极大程度降低安全事件产生的影响。深信服NGAF融合了事后检测及快速响应技术，即使在黑客入侵之后，也能够帮助用户及时发现入侵后的恶意行为，如检测僵尸主机发起的恶意行为，网页篡改，网站黑链植入及网站Webshell后门检测等，并快速推送告警事件，协助用户进行响应处置。深信服下一代防火墙技术白皮书文档密级：公开7/412.2.全程可视2.2.1.事前对安全风险的认知清晰了解资产脆弱性快速发现策略有效性2.2.2.事中对保护过程的认知攻击事件匹配不同攻击阶段2.2.3.事后对保护结果的认知基于信息资产维度的安全现状展示深信服下一代防火墙技术白皮书文档密级：公开8/41综合风险报表3.主要功能介绍3.1.系统架构设计深信服下一代防火墙构筑在64位多核并发，高速硬件平台之上，采用自主研发的并行操作系统（SangforOS），将转发平面、安全平面并行运行在多核平台上。多平面并发处理，紧密协作，极大的提升了网络数据包的安全处理性能。深信服下一代防火墙技术白皮书文档密级：公开9/41控制平面负责整个系统各平面、各模块间的监控和协调工作，此平面包括配置存储、配置下发、控制台UI、数据中心等功能。转发平面负责网络数据包的高速转发，此平面包括路由子系统、网桥子系统、邻居系统、VPN、NAT、拨号等功能。安全平面负责安全功能的协调运行，采用一次解析引擎，一次扫描便可识别出各种威胁和攻击，此平面包括入侵防御、WEB应用防护、实时漏洞分析、僵尸网络、数据防泄密、内容过滤、防病毒等功能。3.1.1.分离平面设计深信服下一代防火墙通过软件设计将网络层和应用层的数据处理进行分离，在底层以应用识别模块为基础，对所有网卡接收到的数据进行识别，再通过抓包驱动把需要处理的应用数据报文抓取到应用层。若应用层发生数据处理失败的情况，也不会影响到网络层数据的转发，从而实现高效、可靠的数据报文处理。深信服下一代防火墙技术白皮书文档密级：公开10/413.1.2.多核并行处理深信服下一代防火墙的设计不仅采用了多核的硬件架构，在计算指令设计上还采用了先进的无锁并行处理技术，能够实现多流水线同时处理，成倍提升系统吞吐量，在多核系统下性能表现十分优异，是真正的多核并行处理架构。3.1.3.单次解析架构深信服下一代防火墙采用单次解析架构实现报文的一次解析一次匹配，有效提升了应用层效率。实现单次解析技术的一个关键要素就是软件架构设计实现网络层、应用层的平面分离，将数据通过“0”拷贝技术提取到应用平面上实现威胁特征的统一解析和统一检测，减少冗余的数据包封装，实现高性能的数据处理。深信服下一代防火墙技术白皮书文档密级：公开11/413.1.4.跳跃式扫描技术深信服下一代防火墙利用多年积累的应用识别技术，在内核驱动层面通过私有协议将所有经过下一代防火墙的数据包都打上应用的标签。当数据包被提取到内容检测平面进行检测时，设备会找到对应的应用威胁特征，通过使用跳跃式扫描技术跳过无关的应用威胁检测特征，减少无效扫描，提升扫描效率。比如：流量被识别为HTTP流量，那么FT