SANGFOR-AC+AF+SD-上网安全解决方案-201205

互联网发展带来的安全挑战随着Internet接入的普及和带宽的增加，一方面我们的上网条件得到改善，组织运营效率也得到了大大提升，但另一方面却因为缺乏有效的安全防护机制，导致网络给我们带来更多的安全威胁，互联网资源被滥用的问题日益严峻。Internet就像一柄双刃剑，它不但能给我们带来丰富的信息，也充斥着各种不良内容，通过网络可以给我们带来便利，使用不当也会给我们带来很多麻烦，甚至是触犯法律。IT部门对企业高效运营和快速发展的贡献毋庸置疑，种种益处自不必多言，但是如果网络崩溃、应用瘫痪、机密被窃，损失将令人痛心，甚至无法弥补，IT部门也将承受极大的压力，所以保证网络和应用系统安全、可靠和高效的运行成为IT部门的关键任务。要完成这个目标，首先让我们来对内部网络系统及终端的安全风险做一个分析。来自互联网的由外而内的安全风险调查显示，今年上半年，我国遇到过病毒或木马攻击的网民达到2.17亿，目前以经济利益为目的的网络攻击，以各种热点话题为吸引点，以微博、论坛、邮件等方式进行大量传播，并通过盗取用户信息、企业信息谋取利益。互联网资源的丰富性与复杂性导致组织员工在访问互联网网页时，用户往往肉眼无法判断其访问的网页是否合法。一些挂马、含有恶意脚本的网站常常让用户防不慎防。一些插件未等用户反应看清插件名字时，已自动安装。这些网页中包含的链接和脚本程序被黑客植入木马，用户在点击网页后，在不知不觉中感染病毒。而网络使用者一旦上网感染木马病毒，直接泄露的就是个人隐私，各种照片门、工资门、网络钓鱼、密码窃取的事件屡见不鲜，带来的不仅是名誉损害，更多的是经济损失。而当前黑客技术的普遍性使越来越多的人以利益为驱动对企业或组织内网发动攻击，这些网络攻击往往具有一定的破坏性，且技术手段则倾向于应用化、内容化、混合化。所谓应用化，基于应用的漏洞利用、命令注入、恶意脚本/插件等威胁就成为了黑客争相研究的方向。而漏洞利用也从原来侧重OS底层漏洞转变为基于应用程序的漏洞，比如根据卡巴斯基2011年Q1漏洞排行榜，AdobeReader、FlashPlayer的包揽前三甲。所谓内容化，黑客在成功入侵后更加关注的是IT系统中的内容，比如客户账号、通讯方式、银行账户、企业机密、电子订单等。因此，通过木马、后门、键盘记录等方式可以不断获取这些关键内容，并进行非法利用而牟利。所谓混合化，在黑客一次攻击行为中使用了多种技术手段，而非原来单一的病毒蠕虫或者漏洞利用。比如，黑客要想入侵一台Web服务器上传木马的过程：端口/应用扫描、口令爆破、漏洞利用、OS命令注入、SQL注入、跨站脚本、木马上传等。因此，面对上述由外而内的安全风险，给我们的网络安全提出了新的问题：网关安全产品对病毒、木马的查杀：面对互联网中数亿病毒及木马，网关产品本身需要自带强大的可靠的杀毒引擎以应对这些安全威胁。当含有病毒、木马的数据流经过网关产品时，经过流量清洗，禁止病毒文件进入内部网络系统，保护内网与终端的安全。针对黑客的恶意攻击，能提供充分的保护：面对多种安全威胁的混合型攻击，我们需要一个完整的应用层安全防护方案。同时，针对黑客对内容的关注，需要基于应用的内容做安全检查，包括扫描所有应用内容，过滤有风险的内容，甚至让用户自定义哪些内容可以进出，哪些内容不能进出。对具有风险网站的过滤：网络出口设备需要包含恶意网站的URL匹配库，可以禁止用户对这些危险性较大的网站的访问申请；同时能够判断用户上网安装插件是否安全，禁止木马、恶意脚本程序的执行；来自用户由内而外的安全风险据统计，大多数网络安全事件均由于内部员工使用办公电脑随意访问互联网所致。用户无法直观判断所访问网站与下载内容的安全与否，导致自己的办公电脑中毒瘫痪，无法工作，同时甚至会危害到内部办公网络的其他电脑，严重影响企业和组织的正常工作。而每台电脑分别重装系统，又给IT部门带来极大工作量，使IT部门员工疲于奔命，工作效率低下。来自内部的安全问题同样不可小视，ARP协议是IP通信中的基本协议之一。但感染ARP病毒的用户会发送大量ARP欺骗数据包，从而导致整个子网用户无法访问外部网络资源，可能给企业和组织带来不可估量的严重后果。同样，安全问题也包含了内部机密信息的安全。存心泄密者通常通过论坛发帖，或者用HTTP、FTP、Email附件外发篡改、删除扩展名，压缩、加密的机密文件，或由被黑客控制的肉鸡进行外发企业内部文件，会给企业和组织带来巨大的经济损失。而内网用户将移动PC带出组织网络后不小心中毒，再接入组织内网，极易引起局域网内病毒的传播，导致其他PC瘫痪。中毒PC通过外发邮件等信息散播蠕虫、木马等病毒，当其他用户接受这些看似正常的邮件时，无意间中招。如何发现中毒用户，并智能切断中毒用户散播病毒呢？因此，面对上述安全风险的变化，给我们的网络安全提出了新的问题：明确内部网络使用人员：普通局域网具有开放性，当不符合安全要求的用户私接入网络，进行网络活动，则极易导致感染病毒，从而威胁其他用户以及整个局域网的安全；严格管控用户访问网络行为：针对用户随意访问网络的行为，需要加以严格的管控。对于一些低俗的、色情的、容易被挂马的网址要坚决拒绝其访问申请，这样才能从源头把握住内部网络安全。监控内部局域网安全情况：要随时监控内部局域网络的安全情况，对于内部终端对网关或其他终端发起的攻击，能够及时发现并及时排除，保证终端用户的安全和网络的可用性。能够对内容外发监控并告警：能够对通过IM聊天外发、邮件附件外发、HTTP上传等手段外发的普通以及加密文件内容进行识别并根据策略进行允许或拒绝；能够对内网用户危险行为进行识别并阻断：针对内网用户感染病毒后的恶意散播病毒的行为进行监控并及时拦截，同时告警通知管理员，将被感染的终端断开内部网络。来自终端的安全风险据统计，网络安全事件引起的终端、局域网瘫痪很可能是由于局域网内终端安全防护不到位所致。组织对于终端的安全防护通常采用的是安装传统杀毒软件的方式，而这些杀毒软件往往采用病毒、木马特征库匹配来查杀病毒，但是对于千万级别数量的病毒及木马，寥寥数百万的病毒特征库往往爱莫能助。同时杀毒软件公司查明病毒特征并纳入特征库一般是在病毒爆发感染之后，这种滞后性是杀毒产品的先天缺陷。同样，这些传统的杀毒产品无法检测终端安全状态，终端安全级别往往无法保证：使用版本陈旧的操作系统、不及时更新补丁、长时间不更新防火墙和杀毒软件等，都成为局域网安全中的“短板”。因此，面对上述安全风险的变化，给我们的网络安全提出了新的问题：1、能够对病毒、木马进行的事先的、完善的防护：要对病毒以及木马在时间上占有领先优势，在尚未感染内网时就能防范于未然，亡羊补牢的防护模式效果甚微。而目前互联网上的病毒、木马数量过千万，如何能做到最大程度的保护内部网络与终端的安全是现阶段许多IT管理者思考的问题。2、检测内部网络电脑安全性：针对客户端本身安全级别问题，我们需要在终端通过内网访问网络时进行检测，检测其是否遵从管理者设定的安全策略，如操作系统版本和补丁安装情况、杀毒/防火墙软件及更新情况、系统进程、硬盘文件、注册表等。不能满预设要求的接入端点，禁止其访问互联网或仅提交报告。传统安全产品日渐不足面对上述网络、应用、安全风险等环境的变化，传统安全设备已经显得日趋“无力”，尤其是传统防火墙已经变成了聋子和瞎子，而简单功能堆砌的UTM面对应用相对较为复杂、网络性能较高的部署场景来说，往往爱莫能助。传统杀毒产品、防火墙的不足如上文所述，面对数亿万计的病毒及木马，传统的杀毒软件类安全产品采用的仅有数千万的特征库匹配来查杀往往无济于事，一两个“漏网之鱼”就会让组织内部产生极大的安全威胁。同时杀毒软件公司查明病毒特征并纳入特征库一般是在病毒爆发感染之后，这种滞后性是杀毒产品的先天缺陷。而随着网络环境的变化，防火墙也存在着应用层防护不到位，恶意攻击无法准确防护等问题。例如单一端口下的多种应用和动作，针对端口动态变化的应用来说，防火墙只能雾里看花，无法实现有效地、精细地访问权限控制，成为了聋子和瞎子；简单堆砌的UTMUTM的出现曾经很好的解决了传统防火墙对于应用层防护的问题，但是依然无法有效的与网络环境相匹配，无法提供完整的防护功能。这主要是由于UTM的理念和架构设计所造成的。UTM集成了部分IPS、AV的功能，但UTM的访问控制依然采用基于端口和IP的方式，缺乏针对应用的识别、管控、流量分析、流量优化。UTM设备对防范外部威胁的时候非常有效，但是在面对内部威胁的时候就无法发挥作用了。它对内网人员的行为以及内部已有中毒电脑的行为无法监测和管控，更无法像IT管理员告警，所以以网关型防御为主的UTM设备目前尚不是解决安全问题的万灵药。多产品互联网出口安全解决方案总体方案为了能够更好的针对当前网络安全现状，控制好可能发生的各种安全风险，建议采用深信服AC+AF+SD系列产品针对业务系统进行全面的安全加固。我们建议将整个业务系统划分为如下三个网络安全域：安全防护域：由于内部终端、中心服务器都需要与互联网相连，访问互联网资源或者对外提供业务。此区域需要对内网终端和中心业务服务器进行完善的安全防护；内网办公安全域：包括总部内网的办公终端和各种应用系统和服务器，是内部办公网的核心部分，需要提供高速、稳定的网络接入；根据这些网络安全域之间的访问关系、安全级别，我们建议在安全防护区域部署AC+AF产品，对流量出入进行一体化的L2-L7安全防护与控制；同时，在内网办公安全区域开启“上网安全桌面”功能，保护内网终端的安全。整体方案如下图所示：位于互联网边界出口处的安全防护域实现了对外业务发布系统和内网终端的互联网接入的安全保护，可以从以下数据流出入两个方向上看到AC+AF产品是如何在用户上网过程中进行防护的。同时，在终端开启使用的“上网安全桌面”，帮助用户在终端的默认系统上设立一个与默认桌面相互隔离的虚拟安全桌面。用户通过默认桌面访问内网，通过“上网安全桌面”访问互联网，使得互联网病毒只存在于虚拟的安全桌面环境中，无法对本机默认系统造成危害。从而在不改变用户使用习惯、不增加操作复杂度的前提下，让PC和内网“永不中毒”，并且实现互联网风险与内网业务的隔离，保护了本机文件和内网系统的安全。由外至内的数据流安全防护通过在互联网出口的安全防护域部署深信服AC+AF安全防护产品，在防护由外而内的互联网风险时，可以帮助我们实现如下五个安全目标：面向用户、应用的安全访问：将访问控制权限精确到用户与业务系统，有效解决了传统防火墙IP/端口的策略无法精确管理的问题。让业务开放对象更为明了、管理更方便、策略更易懂。7层的内容安全检测：7层一体化安全防护（包括漏洞防护、病毒防护等）以及智能的内容安全过滤功能，防止各种应用威胁干扰内部系统的稳定运行，确保内网终端和内部业务系统的安全。全面防护，标本兼治：内置国内最全的恶意网址库，由研发人员定期进行更新，通过恶意网站过滤功能，防止终端访问威胁网站和应用；通过漏洞防护、病毒防护、恶意控件/脚本过滤功能，切断威胁感染终端的各种技术手段；核心业务有保障：基于应用的流量管理，保障办公业务最低带宽，限制工作时间下载等相关应用的最高带宽，保证核心业务带宽充足。万兆的应用层性能，有效满足大型客户的需求。可视化安全风险评估：提供终端风险报告以及应用流量报表，使全网的安全风险一目了然，帮助管理员分析安全状况管理数据中心。由内至外的数据流安全防护通过在安全防护域部署深信服AC+AF安全产品，在管控内部用户上网行为，避免安全威胁时，可以实现由内而外的安全防护：从基础出发，确认用户身份：支持丰富的身份认证方式，如本地认证、web认证、第三方认证、双因素认证及单点登录、强制认证等，采用多种方式帮助组织管理员有效区分用户，拒绝不明身份者接入内网的行为。合理管控用户行为：规范用户的上网行为，通过设备内置千万级URL库以及应用程序库对用户在内网中访问互联网的行为进行管控，对于危险应用、危险网站拒绝其访问申请，放通可靠网站的访问权限，从源头上把握住内部信息安全。实时监控内部用户行为：通过危险行为识别技术结合防ARP欺骗技术，在保证终端用户安全和保障网络可用性的同时，对内网用户恶意传播病毒、发送ARP攻击其他终端等危险行为进行识别、阻断与报警。信息安全防泄密：通过HTTP、FTP、Email附件外发的文件，无论泄密者如何篡改、删除扩展名，压缩、加密再外发，都能识别并且报警；通过这样的方式进行外发文件的细致完全监控，从根本上保护客户内部机密安全，彻底的防止机密的泄漏。防止黑客窃取内部资料：随U盘等潜入组织内网的木马、间谍软件等为了隐藏自己，通常会通过常用的TCP80、443、25、110等端口泄漏内网机密数据及接受黑客控制。异常流量感知技术能够识别常用端口中的如上异常流量，并能够实时报警，帮助IT管理员掌控内部网络，防范风险。可视化的用户安全行为评估：提供用户上网、外发文件行为和终端安全事件报告等报表，使全网的安全风险一目了然，帮助管理员分析安全状况管理数据中心。终端