众元教育2020-0603班-下一代防火墙技术分享

引入：为什么有了AF还需要下一代防火墙？

• IT业务逐渐变得复杂，安全边界慢慢消失；

• 攻击更加复杂，更加隐蔽，更加高明；

• 静态的防御渐渐失效。
  

• 传统安全产品部署方式是将防火墙、IPS、WAF、AV等串在一起，这样成本高，管理困难，效率低。

UTM（统一威胁管理）

• 只是物理上将设备集合在一起，降低了单点故障概率，消除了设备间的兼容性问题、节省空间成本、简化部署。
• 但实际工作却还是独立的，存在重复解析，多次拆包多次检测，应用层性能低。
  → 成本高 ： 环境 、 空间 、 重复采购；
  → 管理难 ： 多 设 备 ， 多厂商 、 安全风险无 法分析；
  → 效率低 ： 重复解析 、单点故障；

---

新一代防火墙

• 新一代的防火墙，具有完整的安全架构，强悍的Web安全防护能力；
  

• 智能的攻击行为分析，有效检测APT攻击和僵尸网络；

• 基于应用的安全监测，直观呈现业务安全风险；

• 先进的云安全技术，快速发现并阻断新型威胁等。

---

部署模式

路由模式：

• 路由功能加防火墙功能，对原拓扑改变最大。

透明模式：

• 交换机功能加防火墙功能，不支持路由功能，对原拓扑改变较小。

虚拟网线模式：

• 网线加防火墙功能，特殊透明模式，只适合防火墙只有一个出口和一个入口的场景。

混合模式：

• 给内网用户提供路由模式同时给服务器区提供透明模式。

旁路模式：

• 仅支持安全审计功能，仅针对tcp的威胁具备终端能力。

---

应对方法

• 对威胁的应对方法主要分两个方面：安全可视，持续检测。

安全可视

• 安全可视主要有产品对业务可视，可以深度化的识别数据；客户对攻击可视，将配置过程图形化、防御动态图形化、日志图形化。

实现的方法：

• 用户可视，通过对用户的身份、终端类型、接入方式、情景位置来实现；
• 行为可视，通过数据包、流量日志、应用、内容来实现；
• 业务可视，通过情景位置、软件系统、漏洞、数据来实现。

持续检测

• 安全保护应用从被动应对转变为主动保护，那么持续检测就是最有效的手段。

---

终端安全检测和防御技术

• 终端存在的风险：敏感信息被窃取；被黑客当跳板攻击内网未发布的服务；被抓成肉鸡组成僵尸网络，造成公司网络堵塞、业务受影响；形成僵尸网络等。

控制策略

• 应用控制可以对应用/服务的访问做双向控制，NGAF存在一条默认拒绝所有服务/应用的控制策略。

• 基于应用的控制：查看一段报文后，判断数据流属于什么应用，该应用是否合法，然后进行拦截动作的判断。
  优点：识别更加精确。

• 基于服务的控制：通过匹配数据包的五元组来判断该服务是否为合法服务，对于任何包可以立即进行拦截动作判断。
  优点：检测效率比较高、资源消耗较小。

• 基于Web的控制：针对符合设定条件的访问网页数据进行过滤，包括URL过滤、文件过滤，根据HTTP的不同动作进行区分，也可以针对HTTPS
  URL进行过滤。

---

网关杀毒

• 杀毒方式主要针对特征库进行匹配，有两种方式：
• 代理扫描方式，将数据流缓存下来进行特征识别；
  病毒识别能力强，但速度慢，延迟高；
• 流扫描方式，直接对数据流进行特征识别；
  速度快，延迟低，但无法识别加压加壳的病毒。

---

服务器安全检测和防护

服务器存在的风险：

• 不必要的访问；外网发起IP或端口扫描、DDOS攻击等；
• 根据软件版本的已知漏洞进行，口令暴力破解，SQL注入，XSS跨站脚本攻击等；
• 扫描网站开放的端口以及弱密码；
• 网站被攻击者篡改等。

---

DoS攻击和防御技术

• DoS，拒绝服务攻击，常用来是服务器或网络瘫痪；
• DDoS，分布式拒绝服务攻击，源ip来自不同用户的Dos攻击。

目的是为了消耗带宽，消耗服务器资源，引发服务器宕机。

有多种类型：如ICMP，UDP，DNS洪水攻击，发送大量所属协议的数据包到达占据服务端带宽；

• SYN洪水攻击，利用TCP三次握手，大量发起请求包占用服务端资源，使服务器资源耗尽或TCP请求分配资源耗尽；
• 畸形数据包攻击，发送畸形的攻击数据引发系统错误的分配大量系统资源，使主机处于挂机状态或宕机。
• CC攻击，控制主机发大量数据包给服务器造成服务器资源耗尽，主要用来攻击页面。
• 慢速攻击，CC的变种，对开放了HTTP访问的HTTP服务器建立连接后，发起速度非常低的包，维持连接不断开，占满可用连接，导致拒绝服务。

防护方式：

• 通过代理来实现拒绝数据包的通过。

---

IPS入侵检测和防御检测

IPS：入侵防御系统

• 对网络、系统的运行状况进行监视并可发现组织各种攻击企图、攻击行为，通过特征识别，丢弃实时的攻击数据。

常见入侵手段：

• worm蠕虫，网络设备、服务器漏洞，后门、木马、间谍软件等。

IPS防护原理：

• 通过对数据包应用层里的数据内容进行威胁特征检查，并与IPS规则库进行比对，如果匹配则拒绝该数据包，从而实现应用层IPS的防护。

IPS防护方式：

• 保护服务端和客户端（一般为病毒、密码），保护服务器软件（应用服务器提供的应用），保护客户端软件（OS、IE等）。

---

WEB攻击检测和防御技术

• Web应用防火墙，主要对http请求和响应报文中的数据进行检查和过滤，用于保护Web服务器不受攻击，而导致软件服务中断或被远程控制。
• 常见攻击手段：SQL注入，XSS攻击，网页木马，网站扫描等；

---

网页防篡改技术

背景：

• Web系统越来越重要，存在安全隐患遭到各种攻击，对网站内网进行篡改可能导致经济、名誉、政治上的损失。

解决方案：

• 文件保护系统+下一代防火墙紧密结合，文件监控+二次认证功能紧密联动。
• 文件保护系统采用最先进的文件过滤驱动技术。
• 文件监控系统会发现并阻止非管理员对web内容的修改，并留下日志记录。

二次认证：

• 管理员登陆时，要求管理员的账户口令还会要求管理员邮箱，通过发送验证码给邮箱，管理员使用验证码进行二次认证来跳转到后台页面。
• 黑客无法正常登录网站后台，除非它获取了管理员的邮箱地址，并且破解管理员邮箱后才可破解登录后台。

---

今天关于下一代防火墙技术分享到此未完待续，欢迎大家在评论区留言讨论。爱好学习网络知识的小伙伴们，一键三连，关注 虫博士ovo 学习网络就此不再迷路，谢谢大家。