华为下一代USG系列统一安全网关技术建议书
黑名单技术是一种动态策略技术,属于响应体系。统一安全网关在动态运行的过程中,会发现一些攻击行为,通过黑名单动态响应系统,可以抑制这些非法用户的部分流量,起到保护整个系统的作用。
(4)攻击防范功能
? 优秀的Dos防御能力的必要条件
Internet上的DOS攻击已经成为很常见的攻击行为,Dos(Deny of service)是一类攻击方式的统称,其攻击的基本原理就是通过发送各种垃圾报文导致网络的阻塞、服务的瘫痪。Dos攻击方式其利用IP无连接的特点,可以制造各种不同的攻击手段,而且攻击方式非常简单,普通到一台PC、一个发包工具就可以制造Dos攻击,因此Dos攻击方式在Internet上非常流行,对企业网、甚至骨干网都造成了非常严重的影响,引发很大的网络事故,因此优秀的Dos攻击防范功能是统一安全网关的必备功能。
业界几乎所有的防火墙设备都宣传具有Dos攻击防御功能,但是那么为什么Dos攻击导致网络瘫痪的攻击事件为什么还是层出不穷呢?一个优秀的Dos攻击防御体系,应该具有如下最基本的特征:
? 防御手段的健全和丰富,因为Dos攻击手段种类比较多,因此必须具有丰富的防
御手段,才可以保证真正的抵御Dos攻击。
? 优秀的处理性能,因为Dos攻击伴随这一个重要特征就是网络流量突然增大,如
果防火墙本身不具有优秀的处理能力,则防火墙在处理Dos攻击的同时本身就成为了网络的瓶颈,根本就不可能抵御Dos攻击。因为Dos攻击的一个重要目的就是使得网络瘫痪,网络上的关键设备点发生了阻塞,则Dos攻击的目的就达到了。这里同时需要提醒大家注意的是,防火墙设备不但要考察转发性能,同时一定要考察对业务的处理能力。在进行Dos攻击防御的过程中,防火墙的每秒新建能力就成为保证网络通畅的一个重要指标,Dos攻击的过程中,攻击者都是在随机变化源地址因此所有的连接都是新建连接。
? 准确的识别攻击能力。很多防火墙在处理Dos攻击的时候,仅仅能保证防火墙后
端的流量趋于网络可以接受的范围,但是不能保证准确的识别攻击报文。这样处理虽然可以保证网络流量的正常,可以保证服务器不会瘫痪,但是这样处理还是会阻
2017-3-23
华为机密,未经许可不得扩散 第26页, 共45页
华为下一代USG系列统一安全网关技术建议书
挡正常用户上网、访问等的报文,因此虽然网络层面是正常的,但是真正的服务还是被拒绝了,因此还是不能达到真正的Dos攻击防御的目的。
华为统一安全网关产品,对上述各个方面都做了详尽的考虑,因此Dos防御的综合性能、功能等方面在同类防火墙产品中都具有很强的优势。 ? 丰富的Dos防御手段
华为统一安全网关产品根据数据报文的特征,以及Dos攻击的不同手段,可以针对ICMP Flood、SYN Flood、UDP Flood等各种Dos攻击手段进行Dos攻击的防御。
同时,华为统一安全网关可以主动识别出数十种常见的攻击种类,很多种攻击种类造成的后果就是Dos形式的攻击,华为统一安全网关可以主动发现并隔断这些非法攻击,消除了内部网络遭受攻击的可能。通过对各种攻击的防御手段,利用华为统一安全网关可以组建一个安全的防御体系,保证网络不遭受Dos攻击的侵害。
针对不同的攻击特点,华为统一安全网关采用了一些不同的防御技术,这样保证在抵御Dos攻击的时候更有针对性,使得设备的抵御特性更加完整。
华为统一安全网关不但在攻击手段上面进行了详细考虑,同时也在使用方式和网络适应性方面做了周全的考虑,攻击防范既可以针对一台特定的主机也可以针对一个安全区域的所有主机进行保护。
? 高级的TCP代理防御体系
华为统一安全网关支持使用TCP代理方式来防止SYN Flood类的Dos攻击,这种攻击可以很快的消耗服务器资源,导致服务器崩溃。在一般的Dos防范技术中,在攻击发生的时候不能准确的识别哪些是合法用户,哪些是攻击报文。华为统一安全网关采用了TCP透明代理的方式实现了对这种攻击的防范,统一安全网关通过精确的验证可以准确的发现攻击报文,对正常报文依然可以通过,允许这些报文访问统一安全网关资源,而攻击报文则被丢弃。
有些攻击是建立一个完整的TCP连接用来消耗服务器的资源。华为统一安全网关可以实现增强代理的功能,在客户端与统一安全网关建立连接以后察看客户是否有数据报文发送,如果有数据报文发送,再与服务器端建立连接否则丢弃客户端的报文。这样可以保证即使采用完成TCP三次握手的方式消耗服务器资源,也可以被统一安全网关发现。 ? 扫描攻击防范
2017-3-23
华为机密,未经许可不得扩散
第27页, 共45页
华为下一代USG系列统一安全网关技术建议书
扫描窥探攻击是利用ping扫描(包括ICMP和TCP)来标识网络上存活着的系统,从而准确的定位潜在的目标;利用TCP和UDP端口扫描,就能检测出操作系统监听的潜在服务。攻击者通过扫描窥探能大致了解目标系统提供的服务种类和潜在的安全漏洞,为进一步侵入系统做好准备。
华为统一安全网关通过比较分析,可以灵活高效地检测出这类扫描窥探报文,从而预先避免后续的攻击行为。这些扫描窥探包括:地址扫描、端口扫描、IP源站选路选项、IP路由记录选项、利用tracert工具窥探网络结构等。 ? 畸形报文防范
华为统一安全网关可以提供针对各种畸形报文的防范,主要包括 Land攻击、Smurf攻击、Fraggle攻击、WinNuke攻击、ICMP重定向或不可达报文、TCP报文标志位(如ACK、SYN、FIN等)不合法、Ping of Death攻击、Tear Drop攻击等,可以自动的检测出这些攻击报文。
(5)ASPF深度检测功能
华为统一安全网关提供了ASPF技术,ASPF是一种高级通信过滤技术,它检查应用层协议信息并且监控基于连接的应用层协议状态。华为统一安全网关依靠这种基于报文内容的访问控制,能够对应用层的一部分攻击加以检测和防范,包括对于FTP命令字、SMTP命令的检测、HTTP的Java、ActiveX控件等的检测。
ASPF技术是在基于会话管理的技术基础上提供深层检测技术的,ASPF技术利用会话管理维护的信息来维护会话的访问规则,通过ASPF技术在会话管理中保存着不能由静态访问列表规则保存的会话状态信息。会话状态信息可以用于智能的允许/禁止报文。当一个会话终止时,会话管理会将该会话的相关信息删除,统一安全网关中的会话也将被关闭。
针对TCP连接,ASPF可以智能的检测“TCP的三次握手的信息”和“拆除连接的握手信息”,通过检测握手、拆连接的状态检测,保证一个正常的TCP访问可以正常进行,而对于非完整的TCP握手连接的报文会直接拒绝。
在普通的场合,一般使用的是基于ACL的IP包过滤技术,这种技术比较简单,但缺乏一定的灵活性,在很多复杂应用的场合普通包过滤是无法完成对网络的安全保护的。例如对于类似于应用FTP协议进行通信的多通道协议来说,配置统一安全网关则是非常困难的。FTP包含一个预知端口的TCP控制通道和一个动态协商的TCP数据通道,对于一般的包过
2017-3-23
华为机密,未经许可不得扩散
第28页, 共45页
华为下一代USG系列统一安全网关技术建议书
滤防火墙来说,配置安全策略时无法预知数据通道的端口号,因此无法确定数据通道的入口。这样就无法配置准确的安全策略。ASPF技术则解决了这一问题,它检测IP层之上的应用层报文信息,并动态地根据报文的内容创建和删除临时的规则,以允许相关的报文通过。
ASPF使得统一安全网关能够支持一个控制通道上存在多个数据连接的协议,同时还可以在应用非常复杂的情况下方便的制订各种安全的策略。许多应用协议,如Telnet 、SMTP使用标准的或已约定的端口地址来进行通信,但大部分多媒体应用协议(如H.323、SIP)及FTP、net meeting等协议使用约定的端口来初始化一个控制连接,再动态的选择端口用于数据传输。端口的选择是不可预测的,其中的某些应用甚至可能要同时用到多个端口。ASPF监听每一个应用的每一个连接所使用的端口,打开合适的通道让会话中的数据能够出入统一安全网关,在会话结束时关闭该通道,从而能够对使用动态端口的应用实施有效的访问控制。
当报文通过统一安全网关时,ASPF将对报文与指定的访问规则进行比较,如果规则允许,报文将接受检查,否则报文直接被丢弃。如果该报文是用于打开一个新的控制或数据连接,ASPF将动态的修改规则,对于回来的报文只有属于一个已经存在对应的有效规则,才会被允许通过。在处理回来的报文时,状态表也会随时更新。当一个连接被关闭或超时后,该连接对应的状态表将被删除,确保未经授权的报文不能随便通过。
6.2.2 强大的内容安全防护 (1)一体化检测机制
USG一体化检测机制不仅提供了强大的内容安全功能,还使得即使在内容安全功能全开的情况下,也可以保持较高性能功能。一体化检测机制是指设备仅对报文进行一次检测,就可以获取到后续所有内容安全功能所需的数据,从而大幅提升设备处理。
应用类型一体化检测入侵行为病毒文本/URL??威胁防护处理反病毒处理邮件过滤处理URL过滤处理??流量
2017-3-23
华为机密,未经许可不得扩散
第29页, 共45页
华为下一代USG系列统一安全网关技术建议书
(2)反病毒功能
反病毒功能可以对网络中传输的文件进行扫描,识别出其中携带的病毒,并且予以记录或清除。病毒是指编制或者在计算机程序中插入的破坏计算机功能或者数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。病毒通常被携带在文件中,通过网页、邮件、文件传输协议进行传播。内网主机一旦感染病毒,就可能导致系统瘫痪、服务中止、数据泄露,令企业蒙受巨大损失。下一代USG防火墙提供的反病毒功能对最容易传播病毒的文件传输与共享协议以及邮件协议进行检测和扫描,可以防范多种躲避病毒检测的机制,实现针对病毒的强大防护能力。
? 支持丰富的应用层协议和应用程序
支持对HTTP、FTP、SMTP、POP3、IMAP、NFS、SMB传输的文件进行病毒检测。支持对部分常见的基于HTTP协议的应用程序设置例外动作。
? 支持对压缩文件进行病毒扫描
支持对zip、gzip压缩文件进行解压,然后再进行病毒扫描。 ? 支持海量的病毒特征库
下一代USG系列防火墙自带的病毒特征库支持检测3000多个主流的病毒家族,可以覆盖100万种常见的流行病毒,海量的病毒特征库使得下一代USG系列防火墙拥有强大的病毒检测能力。同时华为通过专业的病毒分析团队,实时跟踪最新出现的病毒类型,并对其进行分析,在第一时间更新病毒特征库供网络管理员下载使用,使得下一代USG系列防火墙始终拥有最新最强大的病毒识别能力。
? 支持针对不同流量配置不同的防护措施,支持添加应用例外和病毒例外定制病毒防
护策略
通过安全策略,网络管理员可以针对不同流量制定细粒度的防护策略,对不同的网络环境采取不同级别的保护。同时,通过对部分常见的基于HTTP协议的应用程序设置额外的防护动作,或者根据日志将部分误报的病毒类型添加到病毒例外中,可以对反病毒策略进行灵活的调整,以保证业务的正常传输。
(3)入侵防御功能
2017-3-23
华为机密,未经许可不得扩散 第30页, 共45页
