华为下一代USG系列统一安全网关技术建议书
入侵防御功能主要可以防护应用层的攻击或入侵,例如缓冲区溢出攻击、木马、后门攻击、蠕虫等。华为下一代USG系列防火墙的入侵防御功能可以通过监控或者分析系统事件,检测应用层攻击和入侵,并通过一定的响应方式,实时地中止入侵行为。
? 支持多种部署方式,支持针对不同流量配置不同的防护措施
华为下一代USG系列防火墙支持直路部署和旁路部署两种部署模式。在直路部署时可以作为IPS设备工作,实时检测威胁事件的发生并及时中止其流量传输,保护内部网络;在旁路部署时可以作为IDS设备工作,检测并记录网络中发生的可疑事件,及时通知网络管理员采取行动,或者帮助管理员进行事后检查,同时又不影响流量的正常传输。通过安全策略,网络管理员可以针对不同流量制定细粒度的防护策略,对不同的网络环境采取不同级别的保护。
? 支持对应用层报文进行深度解析
通过强大的报文深度识别功能,以及不断更新的应用特征库,华为下一代USG系列防火墙可以对数千种常见的应用程序进行报文深度解析,并检测出其中携带的攻击和入侵流量。根据基于应用的安全策略,可以对不同的应用程序作出不同的响应工作,方便管理员灵活部署入侵防御功能。
? 支持进行报文分片重组和TCP流重组之后再进行威胁检测
支持网络攻击利用IP报文分片和TCP流乱序重组等技术躲避威胁检测的行为,华为下一代USG系列防火墙支持将IP分片报文重组还原为原始报文后再进行检测,还支持对TCP流进行重组,按照流序号还原为正序流后再进行检测。
? 支持海量的签名库,支持自定义签名
IPS设备通常使用签名来识别攻击流量的特征,签名库的容量就代表了设备识别应用层威胁的能力。然而新型的攻击层出不穷,威胁日新月异,所以华为通过专业的签名开发团队密切跟踪全球知名安全组织和软件厂商发布的安全公告,对这些威胁进行分析和验证,生成保护各种软件系统(操作系统、应用程序、数据库)漏洞的签名库。此外,通过遍布全球的蜜网(通过诱使黑客进行攻击捕捉攻击行为特征的站点),实时捕获最新的攻击、蠕虫病毒、木马,提取威胁的特征,发现威胁的趋势。在此基础上,当新的漏洞被发现时,华为能够在最短时间内发布最新的签名,及时升级检测引擎和签名库,来防御针对该漏洞的已知的和未知的攻击,真正实现零日防御。华为下一代USG系列防火墙自带的签名库可以识别出数千种
2017-3-23
华为机密,未经许可不得扩散
第31页, 共45页
华为下一代USG系列统一安全网关技术建议书
应用层攻击行为。通过签名库的不断升级,还可以持续获取最新的识别和防护能力。网络管理员还可以根据自己掌握的流量信息自行定义签名,使得华为下一代USG系列防火墙的入侵防御功能更加完善。
? 超低的签名误报率
误报率是衡量签名库质量的重要标准,代表着签名的准确率。出现误报有可能会影响网络正常业务,同时会产生大量的攻击事件,管理员需要在海量日志数据中寻找真正有价值的攻击内容。误报的原因一般是签名不够精确,或者检测机制不够完善。华为拥有众多安全研究人员,具有丰富数据来源,从而可以分析更多的样本,签名编写完成后经过了完备的误报测试,所以发布的签名几乎是零误报率。得益于签名的超低误报,华为下一代USG系列防火墙默认开启阻截的签名的比率非常高,在不影响用户正常业务的情况下,可以最大程度地化解威胁。这样,管理员就无需对照冗长的日志来查看是否有误报,以及是否需要关闭一些签名。
(4)数据泄露防护
数据泄密防护(Date Leakage Prevention,DLP)是通过一定的技术手段,防止企业的指定数据或信息资产以违反安全策略规定的形式流出企业的一种策略。数据泄露防护的主要目的是保护企业或个人的重要数据。由于窃取数据的手段众多,所以实现数据泄露防护需要一组技术来实现。华为下一代USG系列防火墙提供的数据泄露防护技术主要防止的是数据在网络传输过程中发生泄露,例如:
? 通过网络通信工具将机密数据从企业内部网络传输到外部网络。大部分的数据泄露
都是由企业内部员工有意或无意造成的。
? 外部网络的黑客通过入侵技术进入企业内网主机,获取控制权限并获取机密数据,
甚至长期监控内网主机运行的情况。
? 由于内网主机无意中感染木马或其他间谍病毒,机密数据被病毒自动搜寻并发送至
外部网络。
? 在内网主机与外网主机进行必要通信的过程中,由于黑客进行了监听或截取导致机
密数据泄露。
为了解决以上问题,根据数据泄露的途径,华为下一代USG系列防火墙分别提供了不同的技术应对:
2017-3-23
华为机密,未经许可不得扩散
第32页, 共45页
华为下一代USG系列统一安全网关技术建议书
表1 数据泄露防护技术 泄露途径 技术 说明 通过HTTP、FTP等文应用识别、文件过滤、基于强大的应用识别能力,华为下一代USG件传输协议,或者即数据过滤 系列防火墙可以对具有网络通信功能的应用时通信软件等应用程程序以及传输协议进行报文的深度解析,识序以文本或文件的方别其中包含的文件和信息。数据过滤根据文式泄露 本或文件中出现的关键词,文件过滤根据文件的类型等信息分别对流量进行过滤。 通过电子邮件程序以文本或附件的方式泄露 邮件过滤、文件过滤、邮件过滤根据邮件的收发件人地址、附件大数据过滤 小、附件个数等信息对邮件进行过滤。文件过滤根据邮件附件的文件类型信息对邮件进行过滤。数据过滤根据邮件的收发件人地址、主题、正文、附件文件名中出现的关键字对邮件进行过滤。 对网络攻击、应用层攻击以及入侵行为的监控,及时阻断外网队内网的渗透和数据窃取。 对木马及其他间谍病毒的扫描与识别,避免内网感染具有类似功能的病毒,防止危害在内网泛滥。 针对内网主机与外网主机的通信,或者两个被Internet隔离的内网之间的通信,采用VPN加密技术对通信过程进行保护,防止数据被窃听、篡改、伪造和重放。 外网中的黑客通过入入侵防御 侵内网方式窃取数据 内网主机因为感染病毒无意中泄露 反病毒 在内网与外网的正常通信过程中,数据被黑客窃取 VPN
除了以上主动防御措施外,华为下一代USG系列防火墙还可以通过对网络中出现的应用行为进行审计,记录相应的源、目的、时间、传输的文件、进行的操作等等信息,从而实现对数据泄露行为的监管、追溯与事后取证。通过华为下一代USG系列防火墙提供的这一系列技术,结合企业内部已有的对存储介质的存放管理、文档数据的加密管理、用户认证与网络资源的授权等等技术,可以对企业数据进行端到端的安全保护,实现完整的数据泄露防护方案。
(5)WEB安全防护
随着云技术的发展,越来越多的应用开始往Web上进行迁移。Web已经从单纯的提供网页浏览演变成为集金融、社交、音乐、视频、游戏等领域为一身的综合平台。Web业务的丰
2017-3-23
华为机密,未经许可不得扩散
第33页, 共45页
华为下一代USG系列统一安全网关技术建议书
富和发展同时也带来了多种多样的安全风险,通过综合多种技术可以实现对Web站点和访问行为的安全防护。
Web安全问题中最为显著的就是非法网站和恶意网站。非法网站是指暴力、色情等不被当地法律法规或者企业管理制度所允许访问的网络资源。非法网站带来的危害包括影响社会稳定、降低员工工作效率、占用企业带宽、浪费企业网络资源等;恶意网站是指挂马网站、钓鱼网站等试图在用户浏览过程中向用户主机植入木马、进行SQL注入和跨站脚本攻击、利用浏览器/系统漏洞获取主机权限或数据、骗取用户钱财等存在恶意行为的网站。恶意网站有可能带来用户或企业的大量经济损失。恶意网站的显著特征就是在没有安全机制保护的情况下,用户对其恶意行为完全不知情,往往在无意中就造成了损失;
URL过滤根据用户访问的URL地址对URL访问行为进行控制。管理员可以根据华为下一代USG系列防火墙提供的海量URL分类数据库,以及自己定义的URL地址及分类,对不同的URL地址设置不同的处理措施。同时,华为下一代USG系列防火墙提供的URL分类数据包含了大量已知的挂马网站、钓鱼网站等恶意网站的网址。用户在访问URL时,设备可以自动查询这个URL是否属于恶意网站,并作出相应的处理措施。
由于URL地址的数量极其庞大,而且每天都增加,作用也可能发生改变。华为提供的海量URL分类数据库可以及时跟踪Internet上的URL地址变化,实时更新URL分类信息,保证了URL过滤功能的不断增强。同时,管理员也可以在本地网络搭建URL分类查询服务器。由本地URL分类查询服务器从华为的查询服务器上学习完整的URL分类信息,本地网络中的多台USG系列防火墙再向该服务器进行查询。这种部署方式节约了网络带宽,提高了查询速度,还可以在内网中的USG系列防火墙无法直接连接Internet时,仍能实现实时查询。
(6)应用行为控制
应用行为控制可以对企业网络中的特定网络行为进行控制,以避免安全风险,提高管理效率,在现代企业中,网络是不可或缺的工作平台和工具,但是同时因为员工滥用网络的行为,会带来一系列的问题:
? 由于员工在工作时间内浏览与工作无关的网站网页、下载音乐视频等行为导致工作
效率的下降和企业网络资源的浪费。
? 由于员工通过网络向外传输文本或文件,泄露企业的机密信息。
2017-3-23
华为机密,未经许可不得扩散 第34页, 共45页
华为下一代USG系列统一安全网关技术建议书
? 由于员工在网络上发表不符合当地法律法规或者企业管理制度的言论,对企业形象
或利益造成损失。
华为下一代USG系列防火墙提供的应用行为控制功能,可以有效地监控和控制以上网络行为,避免企业利益的损失,提升企业效率:
? HTTP行为控制:
? ? ? ?
支持对论坛发帖、表单提交、用户登录等HTTP POST行为进行阻断。 支持对网页浏览行为进行阻断。 支持对HTTP代理上网行为进行阻断。
支持根据HTTP上传/下载的文件大小进行告警或阻断。
? FTP行为控制:
? ?
支持根据FTP上传/下载的文件大小进行告警或阻断。 支持对FTP删除文件行为进行阻断。
(7)垃圾邮件过滤
垃圾邮件过滤功能可以根据邮件发送服务器的IP地址以及邮件内容对垃圾邮件进行拦截。通常来说,凡是未经用户许可就强行发送到用户的邮箱中的任何电子邮件都可以称之为垃圾邮件。垃圾邮件最初只是宣传广告的传播途径,但是演变至今已经对网络的正常运转产生了非常恶劣的影响:
? 占用网络带宽,造成邮件服务器拥塞,进而降低整个网络的运行效率。 ? 侵犯收件人的隐私权,占用收件人信箱空间,耗费收件人的时间、精力和金钱。有
的垃圾邮件还盗用他人的电子邮件地址做发信地址,严重损害了他人的信誉。
? 包含木马和病毒,被黑客利用,成为网络攻击的工具。
? 严重影响ISP的形象。在国际上,频繁转发垃圾邮件的主机会被上级国际因特网服
务提供商列入国际垃圾邮件数据库,从而导致该主机不能访问国外许多网络。而且收到垃圾邮件的用户会因为ISP没有建立完善的垃圾邮件过滤机制,而转向其它ISP。
? 传播虚假、反动、色情等内容,对现实社会造成危害。
华为下一代USG系列防火墙提供的垃圾邮件过滤技术包括: ? 本地定义黑白名单,对允许通过的邮件服务器进行控制。
2017-3-23
华为机密,未经许可不得扩散
第35页, 共45页
