第一篇：深信服下一代防火墻AF_技術(shù)白皮書_V4.0

NGAF技術(shù)白皮書文檔密級(jí)：公開

深信服下一代防火墻NGAF 技術(shù)白皮書

深信服科技有限公司 www.tmdps.cn 二零一四年四月 / 28

NGAF技術(shù)白皮書文檔密級(jí)：公開

目錄

目錄..................................................................................................................................................2一、二、2.1 2.2 概述...................................................................................................................................4 為什么需要下一代防火墻...............................................................................................4 網(wǎng)絡(luò)發(fā)展的趨勢(shì)使防火墻以及傳統(tǒng)方案失效...........................................................4 現(xiàn)有方案缺陷分析.......................................................................................................5 2.2.1 2.2.2 2.2.3 2.2.4三、四、4.1 4.2 單一的應(yīng)用層設(shè)備是否能滿足？...................................................................5 “串糖葫蘆式的組合方案”...........................................................................5 UTM統(tǒng)一威脅管理..........................................................................................6 其他品牌下一代防火墻能否解決？...............................................................6

深信服下一代防火墻定位...............................................................................................6 深信服下一代防火墻—NGAF..........................................................................................7 產(chǎn)品設(shè)計(jì)理念...............................................................................................................7 產(chǎn)品功能特色...............................................................................................................7 4.2.1 4.2.2 4.2.3 4.2.4 4.2.5 4.2.6 可視的網(wǎng)絡(luò)安全情況.......................................................................................7 強(qiáng)化的應(yīng)用層攻擊防護(hù).................................................................................12 獨(dú)特的雙向內(nèi)容檢測(cè)技術(shù).............................................................................17 智能的網(wǎng)絡(luò)安全防御體系.............................................................................19 更高效的應(yīng)用層處理能力.............................................................................20 涵蓋傳統(tǒng)安全功能.........................................................................................21 4.3 產(chǎn)品優(yōu)勢(shì)技術(shù).............................................................................................................21 4.3.1 4.3.2 4.3.3 4.3.4 4.3.5 4.3.6 4.3.7 深度內(nèi)容解析.................................................................................................21 雙向內(nèi)容檢測(cè).................................................................................................22 分離平面設(shè)計(jì).................................................................................................22 單次解析架構(gòu).................................................................................................23 多核并行處理.................................................................................................24 智能聯(lián)動(dòng)技術(shù).................................................................................................24 Regex正則引擎..............................................................................................24

五、部屬方式.........................................................................................................................25

/ 28

NGAF技術(shù)白皮書文檔密級(jí)：公開

5.1 5.2 5.3 5.4

六、互聯(lián)網(wǎng)出口-內(nèi)網(wǎng)終端上網(wǎng)........................................................................................25 互聯(lián)網(wǎng)出口-服務(wù)器對(duì)外發(fā)布....................................................................................26 廣域網(wǎng)邊界安全隔離.................................................................................................26 數(shù)據(jù)中心.....................................................................................................................27 關(guān)于深信服.....................................................................................................................27

/ 28

NGAF技術(shù)白皮書文檔密級(jí)：公開

一、概述

防火墻自誕生以來，在網(wǎng)絡(luò)安全防御系統(tǒng)中就建立了不可替代的地位。作為邊界網(wǎng)絡(luò)安全的第一道關(guān)卡防火墻經(jīng)歷了包過濾技術(shù)、代理技術(shù)和狀態(tài)監(jiān)視技術(shù)的技術(shù)革命，通過ACL訪問控制策略、NAT地址轉(zhuǎn)換策略以及抗網(wǎng)絡(luò)攻擊策略有效的阻斷了一切未被明確允許的包通過，保護(hù)了網(wǎng)絡(luò)的安全。防火墻就像機(jī)場的安檢部門，對(duì)進(jìn)出機(jī)場/防火墻的一切包裹/數(shù)據(jù)包進(jìn)行檢查，保證合法包裹/數(shù)據(jù)包能夠進(jìn)入機(jī)場/網(wǎng)絡(luò)訪問合法資源同時(shí)防止非法人員通過非法手段進(jìn)入機(jī)場/網(wǎng)絡(luò)或干擾機(jī)場/網(wǎng)絡(luò)的正常運(yùn)行。傳統(tǒng)的防火墻正如機(jī)場安檢人員，通過有限的防御方式對(duì)風(fēng)險(xiǎn)進(jìn)行防護(hù)，成本高，效率低，安全防范手段有限。而下一代防火墻則形如機(jī)場的整體安檢系統(tǒng)，除了包括原有的安檢人員/傳統(tǒng)防火墻功能外，還引入了先進(jìn)的探測(cè)掃描儀/深度內(nèi)容安全檢測(cè)構(gòu)成一套完整的整體安全防護(hù)體系。自2009年10月Gartner提出“Defining the Next-Generation Firewall”一文，重新定義下一代防火墻，下一代防火墻的概念在業(yè)內(nèi)便得到了普遍的認(rèn)可。深信服也在經(jīng)過10年網(wǎng)絡(luò)安全技術(shù)6年的應(yīng)用安全技術(shù)沉淀之后，于2011年正式發(fā)布深信服“下一代防火墻”——NGAF。

二、為什么需要下一代防火墻

2.1 網(wǎng)絡(luò)發(fā)展的趨勢(shì)使防火墻以及傳統(tǒng)方案失效

近幾年來，越來越多的安全事故告訴我們，安全風(fēng)險(xiǎn)比以往更加難以察覺。隨著網(wǎng)絡(luò)安全形勢(shì)逐漸惡化，網(wǎng)絡(luò)攻擊愈加頻繁，客戶對(duì)自己的網(wǎng)絡(luò)安全建設(shè)變得越來越不自信。到底怎么加強(qiáng)安全建設(shè)？安全建設(shè)的核心問題是什么？采用什么安全防護(hù)手段更為合適？已成為困擾用戶安全建設(shè)的關(guān)鍵問題。

問題一：看不看得到真正的風(fēng)險(xiǎn)？

一方面，只有看到L2-7層的攻擊才能了解網(wǎng)絡(luò)的整體安全狀況，而基于多產(chǎn)品組合方案大多數(shù)用戶沒有辦法進(jìn)行統(tǒng)一分析，也就無法快速定位安全問題，同時(shí)也加大了安全運(yùn)維的工作量。另一方面，沒有攻擊并不意味著業(yè)務(wù)就不存在漏洞，一旦漏洞被利用就為時(shí)已晚。好的解決方案應(yīng)能及時(shí)發(fā)現(xiàn)業(yè)務(wù)漏洞，防患于未然。最后，即使有大量的攻擊也不意味著業(yè)務(wù)安全威脅很大，只有針對(duì)真實(shí)存在的業(yè)務(wù)漏洞進(jìn)行的攻擊才是有效攻擊。看不到有效攻擊的方案，就無法讓客戶看到網(wǎng)絡(luò)和業(yè)務(wù)的真實(shí)的安全情況。

問題二：防不防得住潛藏的攻擊？

一方面，防護(hù)技術(shù)不能存在短板，存在短板必然會(huì)被繞過，原有設(shè)備就形同虛設(shè)；另一

/ 28

NGAF技術(shù)白皮書文檔密級(jí)：公開

方面，單純防護(hù)外部黑客對(duì)內(nèi)網(wǎng)終端和服務(wù)器的攻擊是不夠的，終端和服務(wù)器主動(dòng)向外發(fā)起的流量中是否存在攻擊行為和泄密也需要檢測(cè)，進(jìn)而才能找到黑客針對(duì)內(nèi)網(wǎng)的控制通道，同時(shí)發(fā)現(xiàn)泄密的風(fēng)險(xiǎn)，最后通過針對(duì)性的安全防護(hù)技術(shù)加以防御。

綜上所述，真正能看到攻擊與業(yè)務(wù)漏洞，及時(shí)查漏補(bǔ)缺，并能及時(shí)防住攻擊才是最有效的解決方案。那么基于攻擊特征防護(hù)的傳統(tǒng)解決方案是否真的能夠達(dá)到要求呢？

2.2 現(xiàn)有方案缺陷分析

2.2.1

單一的應(yīng)用層設(shè)備是否能滿足？

1、入侵防御設(shè)備

應(yīng)用安全防護(hù)體系不完善，只能針對(duì)操作系統(tǒng)或者應(yīng)用軟件的底層漏洞進(jìn)行防護(hù)，缺乏針對(duì)Web攻擊威脅的防御能力，對(duì)Web攻擊防護(hù)效果不佳。缺乏攻擊事后防護(hù)機(jī)制，不具備數(shù)據(jù)的雙向內(nèi)容檢測(cè)能力，對(duì)未知攻擊產(chǎn)生的后果無能為力，如入侵防御設(shè)備無法應(yīng)對(duì)來自于web網(wǎng)頁上的SQL，XSS漏洞，無法防御來自內(nèi)網(wǎng)的敏感信息泄露或者敏感文件過濾等等。

2、Web應(yīng)用防火墻

傳統(tǒng)Web防火墻面對(duì)當(dāng)前復(fù)雜的業(yè)務(wù)流量類型處理性能有限，且只針對(duì)來自Web的攻擊防護(hù)，缺乏針對(duì)來自應(yīng)用系統(tǒng)底層漏洞的攻擊特征，缺乏基于敏感業(yè)務(wù)內(nèi)容的保護(hù)機(jī)制，只能提供簡單的關(guān)鍵字過濾功能，無法對(duì)Web業(yè)務(wù)提供L2-L7層的整體安全防護(hù)。

2.2.2 “串糖葫蘆式的組合方案”

由于防火墻功能上的缺失使得企業(yè)在網(wǎng)絡(luò)安全建設(shè)的時(shí)候針對(duì)現(xiàn)有多樣化的攻擊類型采取了打補(bǔ)丁式的設(shè)備疊加方案，形成了“串糖葫蘆”式部署。通常我們看到的網(wǎng)絡(luò)安全規(guī)劃方案的時(shí)候都會(huì)以防火墻+入侵防御系統(tǒng)+網(wǎng)關(guān)殺毒+??的形式。這種方式在一定程度上能彌補(bǔ)防火墻功能單一的缺陷，對(duì)網(wǎng)絡(luò)中存在的各類攻擊形成了似乎全面的防護(hù)。但在這種環(huán)境中，管理人員通常會(huì)遇到如下的困難：

一，有幾款設(shè)備就可以看到幾種攻擊，但是是割裂的難以對(duì)安全日志進(jìn)行統(tǒng)一分析；有攻擊才能發(fā)現(xiàn)問題，在沒有攻擊的情況下，就無法看到業(yè)務(wù)漏洞，但這并不代表業(yè)務(wù)漏洞不存在；即使發(fā)現(xiàn)了攻擊，也無法判斷業(yè)務(wù)系統(tǒng)是否真正存在安全漏洞，還是無法指導(dǎo)客戶進(jìn)行安全建設(shè)；

二，有幾種設(shè)備就可以防護(hù)幾種攻擊，但大部分客戶無法全部部署，所以存在短板；即使全部部署，這些設(shè)備也不對(duì)服務(wù)器和終端向外主動(dòng)發(fā)起的業(yè)務(wù)流進(jìn)行防護(hù)，在面臨新的未

/ 28

NGAF技術(shù)白皮書文檔密級(jí)：公開

知攻擊的情況下缺乏有效防御措施，還是存在被繞過的風(fēng)險(xiǎn)。

2.2.3

UTM統(tǒng)一威脅管理

2004年IDC推出統(tǒng)一威脅管理UTM的概念。這種設(shè)備的理念是將多個(gè)功能模塊集中如：FW、IPS、AV，聯(lián)合起來達(dá)到統(tǒng)一防護(hù)，集中管理的目的。這無疑給安全建設(shè)者們提供了更新的思路。事實(shí)證明國內(nèi)市場UTM產(chǎn)品確實(shí)得到用戶認(rèn)可，據(jù)IDC統(tǒng)計(jì)數(shù)據(jù)09年UTM市場增長迅速，但2010年UTM的增長率同比有明顯的下降趨勢(shì)。這是因?yàn)閁TM設(shè)備僅僅將FW、IPS、AV進(jìn)行簡單的整合，傳統(tǒng)防火墻安全與管理上的問題依然存在，比如缺乏對(duì)WEB服務(wù)器的有效防護(hù)等；另外，UTM開啟多個(gè)模塊時(shí)是串行處理機(jī)制，一個(gè)數(shù)據(jù)包先過一個(gè)模塊處理一遍，再重新過另一個(gè)模塊處理一遍，一個(gè)數(shù)據(jù)要經(jīng)過多次拆包，多次分析，性能和效率使得UTM難以令人信服。Gartner認(rèn)為“UTM安全設(shè)備只適合中小型企業(yè)使用，而NGFW才適合員工大于1000人以上規(guī)模的大型企業(yè)使用。”

2.2.4 其他品牌下一代防火墻能否解決？

大部分下一代防火墻只能看到除web攻擊外的大部分攻擊，極少部分下一代防火墻能夠看到簡單的WEB攻擊，但均無法看到業(yè)務(wù)的漏洞。攻擊和漏洞無法關(guān)聯(lián)就很難確定攻擊的真實(shí)性；另外，大部分下一代防火墻防不住web攻擊，也不對(duì)服務(wù)器/終端主動(dòng)向外發(fā)起的業(yè)務(wù)流進(jìn)行防護(hù)，比如信息泄露、僵尸網(wǎng)絡(luò)等，應(yīng)對(duì)未知攻擊的方式比較單一，只通過簡單的聯(lián)動(dòng)防護(hù)，仍有被繞過的風(fēng)險(xiǎn)。

三、深信服下一代防火墻定位

全球最具權(quán)威的IT研究與顧問咨詢公司——Gartner，在2009年發(fā)布了一份名為《Defining the Next-Generation Firewall》的文章，給出了真正能夠滿足用戶當(dāng)前安全需求的下一代防火墻定義：下一代防火墻是一種深度包檢測(cè)防火墻，超越了基于端口、協(xié)議的檢測(cè)和阻斷，增加了應(yīng)用層的檢測(cè)和入侵防護(hù),下一代防火墻不應(yīng)該與獨(dú)立的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)混為一談，后者只包含了日常的或是非企業(yè)級(jí)的防火墻，或者把防火墻和IPS簡單放到一個(gè)設(shè)備里，整合的并不緊密。

結(jié)合目前國內(nèi)的互聯(lián)網(wǎng)安全環(huán)境來看，更多的安全事件是通過Web層面的設(shè)計(jì)漏洞被黑客利用所引發(fā)。據(jù)統(tǒng)計(jì)，國內(nèi)用戶上網(wǎng)流量與對(duì)外發(fā)布業(yè)務(wù)流量混合在一起的比例超過50%。以政府為例，60%以上的政府單位門戶網(wǎng)站和用戶上網(wǎng)是共用電子政務(wù)外網(wǎng)的線路。在這種場景下，如果作為出口安全網(wǎng)關(guān)的防火墻不具備Web應(yīng)用防護(hù)能力，那么在新出現(xiàn)的APT攻擊的大環(huán)

/ 28

NGAF技術(shù)白皮書文檔密級(jí)：公開

境下，現(xiàn)有的安全設(shè)備很容易被繞過，形同虛設(shè)，下一代防火墻做為一款融合型的安全產(chǎn)品，不能存針對(duì)基于Web的應(yīng)用安全短板。做為國內(nèi)下一代防火墻產(chǎn)品的領(lǐng)導(dǎo)者，和公安部第二代防火墻標(biāo)準(zhǔn)制定的參與者，深信服走在前沿，在產(chǎn)品推出伊始就把Web應(yīng)用防護(hù)這個(gè)基因深深地植入到深信服下一代防火墻當(dāng)中，深信服下一代防火墻（Next-Generation Application Firewall）NGAF面向應(yīng)用層設(shè)計(jì)，能夠精確識(shí)別用戶、應(yīng)用和內(nèi)容，具備完整的L2-L7層的安全防護(hù)體系，強(qiáng)化了在Web層面的應(yīng)用防護(hù)能力，不僅能夠全面替代傳統(tǒng)防火墻，并具在開啟安全功能的情況下還保持有強(qiáng)勁應(yīng)用層處理能力的全新網(wǎng)絡(luò)安全設(shè)備。

四、深信服下一代防火墻—NGAF

4.1 產(chǎn)品設(shè)計(jì)理念

更精細(xì)的應(yīng)用層安全控制：

貼近國內(nèi)應(yīng)用、持續(xù)更新的應(yīng)用識(shí)別規(guī)則庫

識(shí)別內(nèi)外網(wǎng)超過1500多種應(yīng)用、3000多種動(dòng)作（截止2014年2月14日）支持包括AD域、Radius等8種用戶身份識(shí)別方式 面向用戶與應(yīng)用策略配置，減少錯(cuò)誤配置的風(fēng)險(xiǎn)

更全面的內(nèi)容級(jí)安全防護(hù)：

基于攻擊過程的服務(wù)器保護(hù)，防御黑客掃描、入侵、破壞三步曲

強(qiáng)化的WEB應(yīng)用安全，支持多種SQL注入防范、XSS攻擊、CSRF、權(quán)限控制等 完整的終端安全保護(hù)，支持漏洞、病毒防護(hù)等

雙向內(nèi)容檢測(cè)，功能防御策略智能聯(lián)動(dòng) 更高性能的應(yīng)用層處理能力：

單次解析架構(gòu)實(shí)現(xiàn)報(bào)文一次拆解和匹配 多核并行處理技術(shù)提升應(yīng)用層分析速度 Regex正則表達(dá)引擎提升規(guī)則解析效率 全新技術(shù)架構(gòu)實(shí)現(xiàn)應(yīng)用層萬兆處理能力

更完整的安全防護(hù)方案 可替代傳統(tǒng)防火墻/VPN、IPS所有功能，實(shí)現(xiàn)內(nèi)核級(jí)聯(lián)動(dòng)

4.2 產(chǎn)品功能特色

4.2.1 可視的網(wǎng)絡(luò)安全情況

/ 28

NGAF技術(shù)白皮書文檔密級(jí)：公開

NGAF獨(dú)創(chuàng)的應(yīng)用可視化技術(shù)，可以根據(jù)應(yīng)用的行為和特征實(shí)現(xiàn)對(duì)應(yīng)用的識(shí)別和控制，而不僅僅依賴于端口或協(xié)議，擺脫了過去只能通過IP地址來控制的尷尬，即使加密過的數(shù)據(jù)流也能應(yīng)付自如。目前，NGAF的應(yīng)用可視化引擎不但可以識(shí)別1200多種的內(nèi)外網(wǎng)應(yīng)用及其2700多種應(yīng)用動(dòng)作，還可以與多種認(rèn)證系統(tǒng)（AD、LDAP、Radius等）、應(yīng)用系統(tǒng)（POP3、SMTP等）無縫對(duì)接，自動(dòng)識(shí)別出網(wǎng)絡(luò)當(dāng)中IP地址對(duì)應(yīng)的用戶信息，并建立組織的用戶分組結(jié)構(gòu)；既滿足了普通互聯(lián)網(wǎng)邊界行為管控的要求，同時(shí)還滿足了在內(nèi)網(wǎng)數(shù)據(jù)中心和廣域網(wǎng)邊界的部署要求，可以識(shí)別和控制豐富的內(nèi)網(wǎng)應(yīng)用，如Lotus Notes、RTX、Citrix、Oracle EBS、金蝶EAS、SAP、LDAP等,針對(duì)用戶應(yīng)用系統(tǒng)更新服務(wù)的訴求,NGAF還可以精細(xì)識(shí)別Microsoft、360、Symantec、Sogou、Kaspersky、McAfee、金山毒霸、江民殺毒等軟件更新,保障在安全管控嚴(yán)格的環(huán)境下,系統(tǒng)軟件更新服務(wù)暢通無阻。因此，通過應(yīng)用可視化引擎制定的L4-L7一體化應(yīng)用控制策略, 可以為用戶提供更加精細(xì)和直觀化控制界面，在一個(gè)界面下完成多套設(shè)備的運(yùn)維工作，提升工作效率。4.2.1.1 可視化的網(wǎng)絡(luò)應(yīng)用 隨著網(wǎng)絡(luò)攻擊不斷向應(yīng)用層業(yè)務(wù)系統(tǒng)轉(zhuǎn)移，傳統(tǒng)的網(wǎng)絡(luò)層防火墻已經(jīng)不能有效實(shí)施防護(hù)。因此，作為企業(yè)網(wǎng)絡(luò)中最重要的屏障，如何幫助用戶實(shí)現(xiàn)針對(duì)所有業(yè)務(wù)的安全可視化變得十分重要。NGAF以精確的應(yīng)用識(shí)別為基礎(chǔ)，可以幫助用戶恢復(fù)對(duì)網(wǎng)絡(luò)中各類流量的掌控，阻斷或控制不當(dāng)操作，根據(jù)企業(yè)自身狀況合理分配帶寬資源等。

NGAF的應(yīng)用識(shí)別有以下幾種方式：

第一，基于協(xié)議和端口的檢測(cè)僅僅是第一步(傳統(tǒng)防火墻做法)。固定端口小于1024的協(xié)議，其端口通常是相對(duì)穩(wěn)定,可以根據(jù)端口快速識(shí)別應(yīng)用。第二，基于應(yīng)用特征碼的識(shí)別，深入讀取IP包載荷的內(nèi)容中的OSI七層協(xié)議中的應(yīng)用層信息，將解包后的應(yīng)用信息與后臺(tái)特征庫進(jìn)行比較來確定應(yīng)用類型。第三，基于流量特征的識(shí)別，不同的應(yīng)用類型體現(xiàn)在會(huì)話連接或數(shù)據(jù)流上的狀態(tài)各有不同，例如，基于P2P下載應(yīng)用的流量模型特點(diǎn)為平均包長都在450字節(jié)以上、下載時(shí)間長、連接速率高、首選傳輸層協(xié)議為TCP等；NGAF基于這一系列流量的行為特征，通過分析會(huì)話連接流的包長、連接速率、傳輸字節(jié)量、包與包之間的間隔等信息來鑒別應(yīng)用類型。4.2.1.2 可視化的業(yè)務(wù)和終端安全

NGAF可對(duì)經(jīng)過設(shè)備的流量進(jìn)行實(shí)時(shí)流量分析，相比主動(dòng)漏洞掃描工具或者是市場的漏掃設(shè)備，被動(dòng)漏洞分析最大的優(yōu)勢(shì)就在于能實(shí)時(shí)發(fā)現(xiàn)客戶網(wǎng)絡(luò)環(huán)境的安全缺陷，且不會(huì)給網(wǎng)

/ 28

NGAF技術(shù)白皮書文檔密級(jí)：公開

絡(luò)產(chǎn)生額外的流量。此模塊設(shè)計(jì)的初衷就是希望能夠?qū)崟r(shí)發(fā)現(xiàn)和跟蹤網(wǎng)絡(luò)中存在的主機(jī)、服務(wù)和應(yīng)用，發(fā)現(xiàn)服務(wù)器軟件的漏洞，實(shí)時(shí)分析用戶網(wǎng)絡(luò)中存在的安全問題，為用戶展現(xiàn)AF的安全防護(hù)能力。實(shí)時(shí)漏洞分析功能主要可以幫助用戶從以下幾個(gè)方面來被動(dòng)的對(duì)經(jīng)過的流量進(jìn)行分析： ? 底層軟件漏洞分析

實(shí)時(shí)分析網(wǎng)絡(luò)流量，發(fā)現(xiàn)網(wǎng)絡(luò)中存在漏洞的應(yīng)用，把漏洞的危害和解決方法通過日志和報(bào)表進(jìn)行展示，支持的應(yīng)用包括：HTTP服務(wù)器(Apache、IIS)，F(xiàn)TP服務(wù)器(FileZilla)，Mail服務(wù)器(Exchange)，Realvnc，OpenSSH，Mysql，DB，SQL，Oracle等 ? Web應(yīng)用風(fēng)險(xiǎn)分析

針對(duì)用戶WEB應(yīng)用系統(tǒng)中存在的如下風(fēng)險(xiǎn)和安全問題進(jìn)行分析：

1.SQL注入、文件包含、命令執(zhí)行、文件上傳、XSS攻擊、目錄穿越、webshell； 2.發(fā)現(xiàn)網(wǎng)站/OA存在的設(shè)計(jì)問題，包括： a)在HTTP請(qǐng)求中直接傳SQL語句； b)在HTTP請(qǐng)求中直接傳javascript代碼；

c)URL包含敏感信息：如user、username、pass、password、session、jsessionid、sessionid等；

3.支持第三方插件的漏洞檢測(cè)，如：媒體庫插件jplayer，論壇插件 discuz，網(wǎng)頁編輯器 fckeditor，freetextbox，ewebeditor，webhtmleditor，kindeditor等 ? Web不安全配置檢測(cè)

各種應(yīng)用服務(wù)的默認(rèn)配置存在安全隱患，容易被黑客利用，例如，SQL Server 的默認(rèn)安裝，就具有用戶名為sa，密碼為空的管理員帳號(hào)。不安全的默認(rèn)配置，管理員通常難以發(fā)覺，并且，隨著服務(wù)的增多，發(fā)現(xiàn)這些不安全的配置就更耗人力。

NGAF支持常用Web服務(wù)器不安全配置檢測(cè)，如Apache的httpd.conf配置文件，IIS的metabase.xml配置文件，nginx的web.xml和 nginx.conf配置文件，Tomcat的server.xml配置文件，PHP的php.ini配置文件等等，同時(shí)也支持操作系統(tǒng)和數(shù)據(jù)庫配置文件的不安全配置檢測(cè)，如Windows的ini文件，Mysql的my.ini，Oracle的sqlnet.ora等等。? 弱口令檢測(cè)

支持FTP，POP3，SMTP，Telnet，Web，Mysql，LDAP，AD域等協(xié)議或應(yīng)用的弱口令檢查。

/ 28

NGAF技術(shù)白皮書文檔密級(jí)：公開

另外，NGAF還提供強(qiáng)大的綜合風(fēng)險(xiǎn)報(bào)表功能。能夠從業(yè)務(wù)和用戶兩個(gè)維度來對(duì)可網(wǎng)絡(luò)中的安全狀況進(jìn)行全面評(píng)估，區(qū)分檢測(cè)到的攻擊和其中真正有效的攻擊次數(shù)，并針對(duì)攻擊類型，漏洞類型和威脅類型進(jìn)行詳細(xì)的分析給提供相應(yīng)的解決建議，同時(shí)還能夠針對(duì)預(yù)先定義好的業(yè)務(wù)系統(tǒng)進(jìn)行威脅分析，還原給客戶一個(gè)網(wǎng)絡(luò)真實(shí)遭受到安全威脅的情況。4.2.1.3 智能用戶身份識(shí)別 網(wǎng)絡(luò)中的用戶并不一定需要平等對(duì)待，通常，許多企業(yè)策略僅僅是允許某些IP段訪問網(wǎng)絡(luò)及網(wǎng)絡(luò)資源。NGAF提供基于用戶與用戶組的訪問控制策略，它使管理員能夠基于各個(gè)用戶和用戶組（而不是僅僅基于 IP 地址）來查看和控制應(yīng)用使用情況。在所有功能中均可獲得用戶信息，包括應(yīng)用訪問控制策略的制定和安全防護(hù)策略創(chuàng)建、取證調(diào)查和報(bào)表分析。

1、映射組織架構(gòu)

NGAF可以按照組織的行政結(jié)構(gòu)建立樹形用戶分組，將用戶分配到指定的用戶組中，以實(shí)現(xiàn)網(wǎng)絡(luò)訪問權(quán)限的授予與繼承。用戶創(chuàng)建的過程簡單方便，除手工輸入帳戶方式外，NGAF能夠根據(jù)OU或Group讀取AD域控服務(wù)器上用戶組織結(jié)構(gòu)，并保持與AD的自動(dòng)同步，方便管理員管理。此外，NGAF支持賬戶自動(dòng)創(chuàng)建功能，依據(jù)管理員分配好的IP段與用戶組的對(duì)應(yīng)關(guān)系，基于新用戶的源IP地址段自動(dòng)將其添加到指定用戶組、同時(shí)綁定IP/MAC，并繼承管理員指定的網(wǎng)絡(luò)權(quán)限。管理員亦可將用戶信息編輯成Excel、TXT文件，將賬戶導(dǎo)入，實(shí)現(xiàn)快捷的創(chuàng)建用戶和分組信息。

2、建立身份認(rèn)證體系

? 本地認(rèn)證：Web認(rèn)證、用戶名/密碼認(rèn)證、IP/MAC/IP-MAC綁定 ? 第三方認(rèn)證：AD、LDAP、Radius、POP3、PROXY等； ? 單點(diǎn)登錄：AD、POP3、Proxy、HTTP POST等；

? 強(qiáng)制認(rèn)證：強(qiáng)制指定IP段的用戶必須使用單點(diǎn)登錄（如必須登錄AD域等）豐富的認(rèn)證方式，幫助組織管理員有效區(qū)分用戶，建立組織身份認(rèn)證體系，進(jìn)而形成樹形用戶分組，映射組織行政結(jié)構(gòu)，實(shí)現(xiàn)用戶與資源的一一對(duì)應(yīng)。NGAF支持為未認(rèn)證通過的用戶分配受限的網(wǎng)絡(luò)訪問權(quán)限，將通過Web認(rèn)證的用戶重定向至顯示指定網(wǎng)頁，方便組織管理員發(fā)布通知。4.2.1.4 面向用戶與應(yīng)用的訪問控制策略 當(dāng)前的網(wǎng)絡(luò)環(huán)境，IP不等于用戶，端口不等于應(yīng)用。而傳統(tǒng)防火墻的基于IP/端口的控

/ 28

NGAF技術(shù)白皮書文檔密級(jí)：公開

制策略就會(huì)失效，用戶可以輕易繞過這些策略，不受控制的訪問互聯(lián)網(wǎng)資源及數(shù)據(jù)中心內(nèi)容，帶來巨大的安全隱患。NGAF不僅具備了精確的用戶和應(yīng)用的識(shí)別能力，還可以針對(duì)每個(gè)數(shù)據(jù)包找出相對(duì)應(yīng)的用戶角色和應(yīng)用的訪問權(quán)限。通過將用戶信息、應(yīng)用識(shí)別有機(jī)結(jié)合，提供角色為應(yīng)用和用戶的可視化界面，真正實(shí)現(xiàn)了由傳統(tǒng)的“以設(shè)備為中心”到“以用戶為中心”的應(yīng)用管控模式轉(zhuǎn)變。幫助管理者實(shí)施針對(duì)何人、何時(shí)、何地、何種應(yīng)用動(dòng)作、何種威脅等多維度的控制，制定出L4-L7層一體化基于用戶應(yīng)用的訪問控制策略，而不是僅僅看到IP地址和端口信息。在這樣的信息幫助下，管理員可以真正把握安全態(tài)勢(shì)，實(shí)現(xiàn)有效防御，恢復(fù)了對(duì)網(wǎng)絡(luò)資源的有效管控。

4.2.1.5 基于應(yīng)用的流量管理 傳統(tǒng)防火墻的QOS流量管理策略僅僅是簡單的基于數(shù)據(jù)包優(yōu)先級(jí)的轉(zhuǎn)發(fā)，當(dāng)用戶帶寬流量過大、垃圾流量占據(jù)大量帶寬，而這些流量來源于同一合法端口的不同非法應(yīng)用時(shí)，傳統(tǒng)防火墻的QOS便失去意義。NGAF提供基于用戶和應(yīng)用的流量管理功能，能夠基于應(yīng)用做流量控制，實(shí)現(xiàn)阻斷非法流量、限制無關(guān)流量保證核心業(yè)務(wù)的可視化流量管理價(jià)值。

NGAF采用了隊(duì)列流量處理機(jī)制：

首先，將數(shù)據(jù)流根據(jù)各種條件進(jìn)行分類（如IP地址，URL，文件類型，應(yīng)用類型等分類，11 / 28

NGAF技術(shù)白皮書文檔密級(jí)：公開

像skype、emule屬于P2P類）然后，分類后的數(shù)據(jù)包被放置于各自的分隊(duì)列中，每個(gè)分類都被分配了一定帶寬值，相同的分類共享帶寬，當(dāng)一個(gè)分類上的帶寬空閑時(shí)，可以分配給其他分類，其中帶寬限制是通過限制每個(gè)分隊(duì)列上數(shù)據(jù)包的發(fā)送速率來限制每個(gè)分類的帶寬，提高了帶寬限制的精確度。最后，在數(shù)據(jù)包的出口處，每個(gè)分類具備一個(gè)優(yōu)先級(jí)別，優(yōu)先級(jí)高的隊(duì)列先發(fā)送，當(dāng)優(yōu)先級(jí)高的隊(duì)列中的數(shù)據(jù)包全部發(fā)送完畢后，再發(fā)送優(yōu)先級(jí)低的。也可以為分隊(duì)列設(shè)置其它排隊(duì)方法，防止優(yōu)先級(jí)高的隊(duì)列長期占用網(wǎng)絡(luò)接口。? 基于應(yīng)用/網(wǎng)站/文件類型的智能流量管理 NGAF可以基于不同用戶(組)、出口鏈路、應(yīng)用類型、網(wǎng)站類型、文件類型、目標(biāo)地址、時(shí)間段進(jìn)行細(xì)致的帶寬劃分與分配，如保證領(lǐng)導(dǎo)視頻會(huì)議的帶寬而限制員工P2P的帶寬、保證市場部訪問行業(yè)網(wǎng)站的帶寬而限制研發(fā)部訪問新聞?lì)惥W(wǎng)站的帶寬、保證設(shè)計(jì)部傳輸CAD文件的帶寬而限制營銷部傳輸RM文件的帶寬。精細(xì)智能的流量管理既防止帶寬濫用，又提升帶寬使用效率。

? P2P的智能識(shí)別與靈活控制 封IP、端口等管控“帶寬殺手”P2P應(yīng)用的方式極不徹底。加密P2P、不常見P2P、新P2P工具等讓眾多P2P管理手段束手無策。NGAF不僅識(shí)別和管控常用P2P、加密P2P，對(duì)不常見和未來將出現(xiàn)的P2P亦能管控。而完全封堵P2P可能實(shí)施困難，NGAF的P2P流控技術(shù)能限制指定用戶的P2P所占用的帶寬，既允許指定用戶使用P2P，又不會(huì)濫用帶寬，充分滿足管理的靈活性。

4.2.2 強(qiáng)化的應(yīng)用層攻擊防護(hù)

4.2.2.1 基于應(yīng)用的深度入侵防御 NGAF的灰度威脅關(guān)聯(lián)分析引擎具備4000+條漏洞特征庫、3000+Web應(yīng)用威脅特征庫，可以全面識(shí)別各種應(yīng)用層和內(nèi)容級(jí)別的單一安全威脅；另外，深信服憑借在應(yīng)用層領(lǐng)域10年以上的技術(shù)積累，組建了專業(yè)的安全攻防團(tuán)隊(duì)，可以為用戶定期提供最新的威脅特征庫更新，以確保防御的及時(shí)性。下圖為灰度威脅關(guān)聯(lián)分析引擎的工作原理：

/ 28

NGAF技術(shù)白皮書文檔密級(jí)：公開

第一,威脅行為建模,在灰度威脅樣本庫中，形成木馬行為庫、SQL攻擊行為庫、P2P行為庫、病毒蠕蟲行為庫等數(shù)十個(gè)大類行為樣本，根據(jù)他們的風(fēng)險(xiǎn)性我們初始化一個(gè)行為權(quán)重，如異常流量0.32、病毒蠕蟲0.36等等，同時(shí)擬定一個(gè)威脅閥值，如閥值=1。

第二，用戶行為經(jīng)過單次解析引擎后，發(fā)現(xiàn)攻擊行為，立即將相關(guān)信息，如IP、用戶、攻擊行為等反饋給灰度威脅樣本庫。第三，在灰度威脅樣本庫中，針對(duì)單次解析引擎的反饋結(jié)果，如攻擊行為、IP、用戶等信息，不斷歸并和整理，形成了基于IP、用戶的攻擊行為的表單。第四，基于已有威脅樣本庫，將特定用戶的此次行為及樣本庫中的行為組合，進(jìn)行權(quán)值計(jì)算和閥值比較，例如某用戶的行為組權(quán)重之和為1.24，超過了預(yù)設(shè)的閥值1，我們會(huì)認(rèn)定此類事件為威脅事件。由此可見，威脅關(guān)聯(lián)分析引擎對(duì)豐富的灰度威脅樣本庫和權(quán)重的準(zhǔn)確性提出了更高的 13 / 28

NGAF技術(shù)白皮書文檔密級(jí)：公開

要求，NGAF在兩方面得以增強(qiáng)： 第一，通過NGAF抓包，客戶可以記錄未知流量并提交給深信服的威脅探針云，在云中心，深信服專家會(huì)對(duì)威脅反復(fù)測(cè)試，加快灰度威脅的更新速度，不斷豐富灰度威脅樣本庫。第二，深信服不斷的循環(huán)驗(yàn)證和權(quán)重微調(diào)，形成了準(zhǔn)確的權(quán)重知識(shí)庫，為檢測(cè)未知威脅奠定了基礎(chǔ)。

4.2.2.2 強(qiáng)化的WEB攻擊防護(hù) NGAF能夠有效防護(hù)OWASP組織提出的10大web安全威脅的主要攻擊，并于2013年1月獲得了OWASP組織頒發(fā)的產(chǎn)品安全功能測(cè)試4星評(píng)級(jí)證書（最高評(píng)級(jí)為5星，深信服NGAF為國內(nèi)同類產(chǎn)品評(píng)分最高）主要功能如： 防SQL注入攻擊 SQL注入攻擊產(chǎn)生的原因是由于在開發(fā)web應(yīng)用時(shí)，沒有對(duì)用戶輸入數(shù)據(jù)的合法性進(jìn)行判斷，使應(yīng)用程序存在安全隱患。用戶可以提交一段數(shù)據(jù)庫查詢代碼，根據(jù)程序返回的結(jié)果，獲得某些他想得知的數(shù)據(jù)，這就是所謂的SQL Injection，即SQL注入。NGAF可以通過高效的URL過濾技術(shù)，過濾SQL注入的關(guān)鍵信息，從而有效的避免網(wǎng)站服務(wù)器受到SQL注入攻擊。

防XSS跨站腳本攻擊 跨站攻擊產(chǎn)生的原理是攻擊者通過向Web頁面里插入惡意html代碼，從而達(dá)到特殊目的。NGAF通過先進(jìn)的數(shù)據(jù)包正則表達(dá)式匹配原理，可以準(zhǔn)確地過濾數(shù)據(jù)包中含有的跨站攻擊的惡意代碼，從而保護(hù)用戶的WEB服務(wù)器安全。防CSRF攻擊 CSRF即跨站請(qǐng)求偽造，從成因上與XSS漏洞完全相同，不同之處在于利用的層次上，CSRF是對(duì)XSS漏洞更高級(jí)的利用，利用的核心在于通過XSS漏洞在用戶瀏覽器上執(zhí)行功能相對(duì)復(fù)雜的JavaScript腳本代碼劫持用戶瀏覽器訪問存在XSS漏洞網(wǎng)站的會(huì)話，攻擊者可以與運(yùn)行于用戶瀏覽器中的腳本代碼交互，使攻擊者以受攻擊瀏覽器用戶的權(quán)限執(zhí)行惡意操作。NGAF通過先進(jìn)的數(shù)據(jù)包正則表達(dá)式匹配原理，可以準(zhǔn)確地過濾數(shù)據(jù)包中含有的CSRF的攻擊代碼，防止WEB系統(tǒng)遭受跨站請(qǐng)求偽造攻擊。主動(dòng)防御技術(shù) 主動(dòng)防御可以針對(duì)受保護(hù)主機(jī)接受的URL請(qǐng)求中帶的參數(shù)變量類型，以及變量長度按照設(shè)定的閾值進(jìn)行自動(dòng)學(xué)習(xí)，學(xué)習(xí)完成后可以抵御各種變形攻擊。另外還可以通過自定義參

/ 28

NGAF技術(shù)白皮書文檔密級(jí)：公開

數(shù)規(guī)則來更精確的匹配合法URL參數(shù)，提高攻擊識(shí)別能力。應(yīng)用信息隱藏 NGAF對(duì)主要的服務(wù)器（WEB服務(wù)器、FTP服務(wù)器、郵件服務(wù)器等）反饋信息進(jìn)行了有效的隱藏。防止黑客利用服務(wù)器返回信息進(jìn)行有針對(duì)性的攻擊。如： HTTP出錯(cuò)頁面隱藏：用于屏蔽Web服務(wù)器出錯(cuò)的頁面，防止web服務(wù)器版本信息泄露、數(shù)據(jù)庫版本信息泄露、網(wǎng)站絕對(duì)路徑暴露，應(yīng)使用自定義頁面返回。

HTTP(S)響應(yīng)報(bào)文頭隱藏：用于屏蔽HTTP(S)響應(yīng)報(bào)文頭中特定的字段信息。

FTP信息隱藏：用于隱藏通過正常FTP命令反饋出的FTP服務(wù)器信息，防止黑客利用FTP軟件版本信息采取有針對(duì)性的漏洞攻擊。URL防護(hù) Web應(yīng)用系統(tǒng)中通常會(huì)包含有系統(tǒng)管理員管理界面以便于管理員遠(yuǎn)程維護(hù)web應(yīng)用系統(tǒng)，但是這種便利很可能會(huì)被黑客利用從而入侵應(yīng)用系統(tǒng)。通過NGAF提供的受限URL防護(hù)功能，幫助用戶選擇特定URL的開放對(duì)象，防止由于過多的信息暴露于公網(wǎng)產(chǎn)生的威脅。弱口令防護(hù) 弱口令被視為眾多認(rèn)證類web應(yīng)用程序的普遍風(fēng)險(xiǎn)問題，NGAF通過對(duì)弱口令的檢查，制定弱口令檢查規(guī)則控制弱口令廣泛存在于web應(yīng)用程序中。同時(shí)通過時(shí)間鎖定的設(shè)置防止黑客對(duì)web系統(tǒng)口令的暴力破解。HTTP異常檢測(cè) 通過對(duì)HTTP協(xié)議內(nèi)容的單次解析，分析其內(nèi)容字段中的異常，用戶可以根據(jù)自身的Web業(yè)務(wù)系統(tǒng)來量身定造允許的HTTP頭部請(qǐng)求方法，有效過濾其他非法請(qǐng)求信息。文件上傳過濾 由于web應(yīng)用系統(tǒng)在開發(fā)時(shí)并沒有完善的安全控制，對(duì)上傳至web服務(wù)器的信息進(jìn)行檢查，從而導(dǎo)致web服務(wù)器被植入病毒、木馬成為黑客利用的工具。NGAF通過嚴(yán)格控制上傳文件類型，檢查文件頭的特征碼防止有安全隱患的文件上傳至服務(wù)器。同時(shí)還能夠結(jié)合病毒防護(hù)、插件過濾等功能檢查上傳文件的安全性，以達(dá)到保護(hù)web服務(wù)器安全的目的。用戶登錄權(quán)限防護(hù) 針對(duì)某些特定的敏感頁面或者應(yīng)用系統(tǒng)，如管理員登陸頁面等，為了防止黑客訪問并不斷的進(jìn)行登錄密碼嘗試，NGAF可以提供訪問URL登錄進(jìn)行短信認(rèn)證的方式，提高訪問的安全性。

/ 28

NGAF技術(shù)白皮書文檔密級(jí)：公開

緩沖區(qū)溢出檢測(cè) 緩沖區(qū)溢出攻擊是利用緩沖區(qū)溢出漏洞所進(jìn)行的攻擊行動(dòng)。可以利用它執(zhí)行非授權(quán)指令，甚至可以取得系統(tǒng)特權(quán)，進(jìn)而進(jìn)行各種非法操作。NGAF通過對(duì)URL長度，POST實(shí)體長度和HTTP頭部內(nèi)容長度檢測(cè)來防御此類型的攻擊。4.2.2.3 全面的終端安全保護(hù)

傳統(tǒng)網(wǎng)絡(luò)安全設(shè)備對(duì)于終端的安全保護(hù)僅限于病毒防護(hù)。事實(shí)上終端的安全不僅僅是病毒，很多用戶在部署過防病毒軟件之后，終端的安全事件依然頻發(fā)，如何完整的保護(hù)終端成為眾多用戶關(guān)注的焦點(diǎn)。尤其是最近幾年，互聯(lián)網(wǎng)不斷披露的一些安全事件都涉及到了一種新型，復(fù)雜，存在長期影響的攻擊行為——APT。

APT 全稱Advanced Persistent Threat（高級(jí)持續(xù)性威脅），是以竊取核心資料為目的，針對(duì)客戶所發(fā)動(dòng)的網(wǎng)絡(luò)攻擊和侵襲行為，是一種蓄謀已久的“惡意商業(yè)間諜威脅”。這種行為往往經(jīng)過長期的經(jīng)營與策劃，并具備高度的隱蔽性。APT的攻擊手法，在于隱匿自己，針對(duì)特定對(duì)象，長期、有計(jì)劃性和組織性地竊取數(shù)據(jù)，這種發(fā)生在數(shù)字空間的偷竊資料、搜集情報(bào)的行為，就是一種“網(wǎng)絡(luò)間諜”的行為。

傳統(tǒng)防毒墻和殺毒軟件查殺病毒木馬的效果有限，在APT場景下，因?yàn)闊o法解讀數(shù)據(jù)的應(yīng)用層內(nèi)容以及木馬的偽裝技術(shù)逃逸殺毒軟件的檢測(cè)，傳統(tǒng)防毒墻和殺毒軟件更是形同虛設(shè)，因此需要一種全面的檢測(cè)防護(hù)機(jī)制，用于發(fā)現(xiàn)和定位內(nèi)部網(wǎng)絡(luò)受病毒木馬感染的機(jī)器。

APT檢測(cè)

NGAF的APT檢測(cè)功能主要解決的問題：針對(duì)內(nèi)網(wǎng)PC感染了病毒、木馬的機(jī)器，其病毒、木馬試圖與外部網(wǎng)絡(luò)通信時(shí)，AF識(shí)別出該流量，并根據(jù)用戶策略進(jìn)行阻斷和記錄日志。幫助客戶能夠定位出那臺(tái)PC中毒，并能阻斷其網(wǎng)絡(luò)流量，避免一些非法惡意數(shù)據(jù)進(jìn)入客戶端，起到更好的防護(hù)效果。

NGAF的APT檢測(cè)功能主要由兩部分檢測(cè)內(nèi)容來實(shí)現(xiàn)： 1.遠(yuǎn)控木馬檢測(cè)

在應(yīng)用特征識(shí)別庫當(dāng)中存在一類木馬控制的應(yīng)用分類。這部分木馬具有較明顯的網(wǎng)絡(luò)惡意行為特征，且行為過程不經(jīng)由HTTP協(xié)議交互，故通過專門制作分析的應(yīng)用特征來進(jìn)行識(shí)別。如灰鴿子，熾天使，冰河木馬，網(wǎng)絡(luò)守望者等等。此種類型的木馬也隨深信服應(yīng)用識(shí)別規(guī)則庫的更新而更新。

2.僵尸網(wǎng)絡(luò)檢測(cè)

/ 28

NGAF技術(shù)白皮書文檔密級(jí)：公開

僵尸網(wǎng)絡(luò)檢測(cè)主要是通過匹配內(nèi)置的僵尸網(wǎng)絡(luò)識(shí)別庫來實(shí)現(xiàn)。該特征庫包含木馬，廣告軟件，惡意軟件，間諜軟件，后門，蠕蟲，漏洞，黑客工具，病毒9大分類。特征庫的數(shù)量目前已達(dá)數(shù)十萬，并且依然以每兩周升級(jí)一次的速度進(jìn)行更新。

除了APT攻擊檢測(cè)功能，深信服在終端安全防護(hù)方面還提供了基于漏洞和病毒特征的增強(qiáng)防護(hù)，確保終端的全面安全

終端漏洞防護(hù) 內(nèi)網(wǎng)終端仍然存在漏洞被利用的問題，多數(shù)傳統(tǒng)安全設(shè)備僅僅提供基于服務(wù)器的漏洞防護(hù)，對(duì)于終端漏洞的利用視而不見。NGAF同時(shí)提供基于終端的漏洞保護(hù)能防護(hù)如：后門程序預(yù)防、協(xié)議脆弱性保護(hù)、exploit保護(hù)、網(wǎng)絡(luò)共享服務(wù)保護(hù)、shellcode預(yù)防、間諜程序預(yù)防等基于終端的漏洞防護(hù)，有效防止了終端漏洞被利用而成為黑客攻擊的跳板。

終端病毒防護(hù) NGAF提供基于終端的病毒防護(hù)功能，從源頭對(duì)HTTP、FTP、SMTP、POP3等協(xié)議流量中進(jìn)行病毒查殺，亦可查殺壓縮包（zip，rar，7z等）中的病毒，內(nèi)置百萬級(jí)別病毒樣本，確保查殺效果。

4.2.2.4 專業(yè)攻防研究團(tuán)隊(duì)確保持續(xù)更新 NGAF的統(tǒng)一威脅識(shí)別具備4000+條漏洞特征庫、數(shù)十萬條病毒、木馬等惡意內(nèi)容特征庫、3000+Web應(yīng)用威脅特征庫，可以全面識(shí)別各種應(yīng)用層和內(nèi)容級(jí)別的各種安全威脅。其漏洞特征庫已通過國際最著名的安全漏洞庫CVE嚴(yán)格的兼容性標(biāo)準(zhǔn)評(píng)審，獲得CVE兼容性認(rèn)證（CVE Compatible）。深信服憑借在應(yīng)用層領(lǐng)域7年以上的技術(shù)積累組建了專業(yè)的安全攻防團(tuán)隊(duì)，作為微軟的MAPP（Microsoft Active Protections Program）項(xiàng)目合作伙伴，可以在微軟發(fā)布安全更新前獲得漏洞信息，為客戶提供更及時(shí)有效的保護(hù)，以確保防御的及時(shí)性。

4.2.3 獨(dú)特的雙向內(nèi)容檢測(cè)技術(shù)

只提供基于應(yīng)用層安全防護(hù)功能的方案，并不是一個(gè)完整的安全方案，對(duì)于服務(wù)器的保護(hù)傳統(tǒng)解決方案通常是通過防火墻、IPS、AV、WAF等設(shè)備的疊加來達(dá)到多個(gè)方面的安全防護(hù)效果。這種方式功能模塊的分散，雖然能防護(hù)主流的攻擊手段，但并不是真正意義上的統(tǒng)一防護(hù)。這既增加了成本，也增加了組網(wǎng)復(fù)雜度、提升了運(yùn)維難度。從技術(shù)角度來說，一個(gè)黑客完整的攻擊入侵過程包括了網(wǎng)絡(luò)層和應(yīng)用層、內(nèi)容級(jí)別等多個(gè)層次方式方法，如果將這些威脅割裂開處理進(jìn)行防護(hù)，各種防護(hù)設(shè)備之間缺乏智能的聯(lián)動(dòng)，很容易出現(xiàn)“三不管”的 17 / 28

NGAF技術(shù)白皮書文檔密級(jí)：公開

灰色地帶，出現(xiàn)防護(hù)真空。比如當(dāng)年盛極一時(shí)的蠕蟲“SQL Slammer”，在發(fā)送應(yīng)用層攻擊報(bào)文之前會(huì)發(fā)送大量的“正常報(bào)文”進(jìn)行探測(cè)，即使IPS有效阻斷了攻擊報(bào)文，但是這些大量的“正常報(bào)文”造成了網(wǎng)絡(luò)擁塞，反而意外的形成了DOS攻擊，防火墻無法有效防護(hù)。

因此，“具備完整的L2-L7完整的安全防護(hù)功能”就是Gartner定義的“額外的防火墻智能”實(shí)現(xiàn)前提，才能做到真正的內(nèi)核級(jí)聯(lián)動(dòng)，為用戶的業(yè)務(wù)系統(tǒng)提供一個(gè)真正的“銅墻鐵壁”。

4.2.3.1 網(wǎng)關(guān)型網(wǎng)頁防篡改 網(wǎng)頁防篡改是NGAF服務(wù)器防護(hù)中的一個(gè)子模塊，其設(shè)計(jì)目的在于提供的一種事后補(bǔ)償防護(hù)手段，即使黑客繞過安全防御體系修改了網(wǎng)站內(nèi)容，其修改的內(nèi)容也不會(huì)發(fā)布到最終用戶處，從而避免因網(wǎng)站內(nèi)容被篡改給組織單位造成的形象破壞、經(jīng)濟(jì)損失等問題。

/ 28

NGAF技術(shù)白皮書文檔密級(jí)：公開

NGAF通過網(wǎng)關(guān)型的網(wǎng)頁防篡改（對(duì)服務(wù)器“0”影響），第一時(shí)間攔截網(wǎng)頁篡改的信息并通知管理員確認(rèn)。同時(shí)對(duì)外提供篡改重定向功能，提供正常界面、友好界面、web備份服務(wù)器的重定向，保證用戶仍可正常訪問網(wǎng)站。NGAF網(wǎng)站篡改防護(hù)功能使用網(wǎng)關(guān)實(shí)現(xiàn)動(dòng)靜態(tài)網(wǎng)頁防篡改功能。這種實(shí)現(xiàn)方式相對(duì)于主機(jī)部署類防篡改軟件而言，客戶無需在服務(wù)器上安裝第三方軟件，易于使用和維護(hù)，在防篡改部分基于網(wǎng)絡(luò)字節(jié)流的檢測(cè)與恢復(fù)，對(duì)服務(wù)器性能沒有影響。

4.2.3.2 可定義的敏感信息防泄漏 NGAF提供可定義的敏感信息防泄漏功能，根據(jù)儲(chǔ)存的數(shù)據(jù)內(nèi)容可根據(jù)其特征清晰定義，通過短信、郵件報(bào)警及連接請(qǐng)求阻斷的方式防止大量的敏感信息被竊取。深信服敏感信息防泄漏解決方案可以自定義多種敏感信息內(nèi)容進(jìn)行有效識(shí)別、報(bào)警并阻斷，防止大量敏感信息被非法泄露。（如：用戶信息/郵箱賬戶信息/MD5加密密碼/銀行卡號(hào)/身份證號(hào)碼/社保賬號(hào)/信用卡號(hào)/手機(jī)號(hào)碼??）4.2.3.3 應(yīng)用協(xié)議內(nèi)容隱藏 NGAF可針對(duì)主要的服務(wù)器（WEB服務(wù)器、FTP服務(wù)器、郵件服務(wù)器等）反饋信息進(jìn)行了有效的隱藏。防止黑客利用服務(wù)器返回信息進(jìn)行有針對(duì)性的攻擊。如：HTTP出錯(cuò)頁面隱藏、響應(yīng)報(bào)頭隱藏、FTP信息隱藏等。

4.2.4 智能的網(wǎng)絡(luò)安全防御體系

/ 28

NGAF技術(shù)白皮書文檔密級(jí)：公開

4.2.5.1 風(fēng)險(xiǎn)評(píng)估與策略聯(lián)動(dòng) NGAF基于時(shí)間周期的安全防護(hù)設(shè)計(jì)提供事前風(fēng)險(xiǎn)評(píng)估及策略聯(lián)動(dòng)的功能。通過端口、服務(wù)、應(yīng)用掃描幫助用戶及時(shí)發(fā)現(xiàn)端口、服務(wù)及漏洞風(fēng)險(xiǎn)，并通過模塊間的智能策略聯(lián)動(dòng)及時(shí)更新對(duì)應(yīng)的安全風(fēng)險(xiǎn)的安全防護(hù)策略。幫助用戶快速診斷電子商務(wù)平臺(tái)中各個(gè)節(jié)點(diǎn)的安全漏洞問題，并做出有針對(duì)性的防護(hù)策略。4.2.5.2 智能的防護(hù)模塊聯(lián)動(dòng) 智能的主動(dòng)防御技術(shù)可實(shí)現(xiàn)NGAF內(nèi)部各個(gè)模塊之間形成智能的策略聯(lián)動(dòng)，如一個(gè)IP/用戶持續(xù)向內(nèi)網(wǎng)服務(wù)器發(fā)起各類攻擊則可通過防火墻策略暫時(shí)阻斷IP/用戶。智能防護(hù)體系的建立可有效的防止工具型、自動(dòng)化的黑客攻擊，提高攻擊成本，可抑制APT攻擊的發(fā)生。同時(shí)也使得管理員維護(hù)變得更為簡單，可實(shí)現(xiàn)無網(wǎng)管的自動(dòng)化安全管理。4.2.5.3 智能建模及主動(dòng)防御

NGAF提供智能的自主學(xué)習(xí)以及自動(dòng)建模技術(shù)，通過匹配防護(hù)URL中的參數(shù)，學(xué)習(xí)參數(shù)的類型和一般長度，當(dāng)學(xué)習(xí)次數(shù)累積達(dá)到預(yù)設(shè)定的閾值時(shí)，則會(huì)加入到白名單列表，后續(xù)過來的請(qǐng)求只要符合改白名單規(guī)則則放行，不符合則阻斷。可實(shí)現(xiàn)網(wǎng)絡(luò)的智能管理，簡化運(yùn)維。

4.2.5

更高效的應(yīng)用層處理能力

為了實(shí)現(xiàn)強(qiáng)勁的應(yīng)用層處理能力，NGAF拋棄了傳統(tǒng)防火墻NP、ASIC等適合執(zhí)行網(wǎng)絡(luò)層

/ 28

NGAF技術(shù)白皮書文檔密級(jí)：公開

重復(fù)計(jì)算工作的硬件設(shè)計(jì)，采用了更加適合應(yīng)用層靈活計(jì)算能力的多核并行處理技術(shù)；在系統(tǒng)架構(gòu)上，NGAF也放棄了UTM多引擎，多次解析的架構(gòu)，而采用了更為先進(jìn)的一體化單次解析引擎，將漏洞、病毒、Web攻擊、惡意代碼/腳本、URL庫等眾多應(yīng)用層威脅統(tǒng)一進(jìn)行檢測(cè)匹配，從而提升了工作效率，實(shí)現(xiàn)了萬兆級(jí)的應(yīng)用安全防護(hù)能力。

4.2.6 涵蓋傳統(tǒng)安全功能

NGAF除了關(guān)注來自應(yīng)用層的威脅以外，也涵蓋了傳統(tǒng)防火墻的所有基礎(chǔ)功能，使得客戶在使用原有傳統(tǒng)防火墻的基礎(chǔ)上可以實(shí)現(xiàn)無縫切換到下一代防火墻。4.2.4.1 智能DOS/DDOS攻擊防護(hù)

NGAF采用自主研發(fā)的DOS攻擊算法，可防護(hù)基于數(shù)據(jù)包的DOS攻擊、IP協(xié)議報(bào)文的DOS攻擊、TCP協(xié)議報(bào)文的DOS攻擊、基于HTTP協(xié)議的DOS攻擊等，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)層、應(yīng)用層的各類資源耗盡的拒絕服務(wù)攻擊的防護(hù)，實(shí)現(xiàn)L2-L7層的異常流量清洗。4.2.4.2 融合領(lǐng)先的IPSecVPN

NGAF融合了國內(nèi)市場占有率第一的IPSec VPN模塊，實(shí)現(xiàn)高安全防護(hù)、高投資回報(bào)的分支機(jī)構(gòu)安全建設(shè)目標(biāo)，并支持對(duì)加密隧道數(shù)據(jù)進(jìn)行安全攻擊檢測(cè)，對(duì)通道內(nèi)存在的IPS攻擊威脅進(jìn)行流量清洗，全面提升廣域網(wǎng)隔離的安全性。4.2.4.3 統(tǒng)一集中管理平臺(tái)

NGAF提供統(tǒng)一集中管理平臺(tái)實(shí)現(xiàn)對(duì)分支各設(shè)備的集中監(jiān)管，可實(shí)現(xiàn)各分支設(shè)備的硬件資源情況實(shí)時(shí)上報(bào)以及安全日志匯總，集中管理配置下發(fā)與遠(yuǎn)程獨(dú)立配置，提高管理效率，簡化運(yùn)維成本。

4.2.4.4 靈活的應(yīng)用部署方式

NGAF支持多種部署模式，包括可以在互聯(lián)網(wǎng)出口做代理網(wǎng)關(guān)，或在不改變客戶原有拓?fù)涞那闆r下可做透明橋接或數(shù)據(jù)轉(zhuǎn)發(fā)更高效的虛擬網(wǎng)線模式，同時(shí)也支持在交換機(jī)上做鏡像把數(shù)據(jù)映射一份到設(shè)備做旁路部署以及支持二、三層接口混合使用的混合部署等，另外還提供了端口鏈路聚合功能，提高鏈路帶寬和可靠性。對(duì)于數(shù)據(jù)請(qǐng)求和回復(fù)包走不同路由或者數(shù)據(jù)包兩次通過不同接口穿過設(shè)備的的非對(duì)稱路由部署環(huán)境，NGAF也能靈活支持。

4.3 產(chǎn)品優(yōu)勢(shì)技術(shù)

4.3.1 深度內(nèi)容解析

NGAF的灰度威脅識(shí)別技術(shù)不但可以將數(shù)據(jù)包還原的內(nèi)容級(jí)別進(jìn)行全面的威脅檢測(cè)，而且還可以針對(duì)黑客入侵過程中使用的不同攻擊方法進(jìn)行關(guān)聯(lián)分析，從而精確定位出一個(gè)黑客

/ 28

NGAF技術(shù)白皮書文檔密級(jí)：公開 的攻擊行為，有效阻斷威脅風(fēng)險(xiǎn)的發(fā)生。灰度威脅識(shí)別技術(shù)改變了傳統(tǒng)IPS等設(shè)備防御威脅種類單一，威脅檢測(cè)經(jīng)常出現(xiàn)漏報(bào)、誤報(bào)的問題，可以幫助用戶最大程度減少風(fēng)險(xiǎn)短板的出現(xiàn)，保證業(yè)務(wù)系統(tǒng)穩(wěn)定運(yùn)行。4.3.2 雙向內(nèi)容檢測(cè)

深信服的雙向內(nèi)容檢測(cè)技術(shù)，主要是針對(duì)攻擊事件發(fā)生前的預(yù)防以及攻擊事件發(fā)生后的檢測(cè)補(bǔ)救措施，通過對(duì)服務(wù)器發(fā)起的請(qǐng)求以及服務(wù)器的回復(fù)包進(jìn)行雙向內(nèi)容檢測(cè)，使得敏感數(shù)據(jù)信息不被外發(fā)，黑客達(dá)不到攻擊的最終目的。4.3.3 分離平面設(shè)計(jì)

/ 28

NGAF技術(shù)白皮書文檔密級(jí)：公開

NGAF通過軟件設(shè)計(jì)將網(wǎng)絡(luò)層和應(yīng)用層的數(shù)據(jù)處理分離，在底層通過應(yīng)用識(shí)別模塊為基礎(chǔ)，對(duì)所有網(wǎng)卡接收到的數(shù)據(jù)進(jìn)行識(shí)別，再通過抓包驅(qū)動(dòng)把需要處理的應(yīng)用數(shù)據(jù)報(bào)文抓取到應(yīng)用層，如若應(yīng)用層發(fā)生數(shù)據(jù)處理失敗的情況，也不會(huì)影響到網(wǎng)絡(luò)層數(shù)據(jù)的轉(zhuǎn)發(fā)。實(shí)現(xiàn)數(shù)據(jù)報(bào)文的高效，可靠處理。4.3.4 單次解析架構(gòu)

要進(jìn)行應(yīng)用層威脅過濾，就必須將數(shù)據(jù)報(bào)文重組才能檢測(cè)，而報(bào)文重組、特征檢測(cè)都會(huì)極大地消耗內(nèi)存和CPU，因而UTM的多引擎，多次解析架構(gòu)工作效率低下。因此，NGAF所采用的單次解析引擎通過統(tǒng)一威脅特征、統(tǒng)一匹配引擎，針對(duì)每個(gè)數(shù)據(jù)包做到了只有一次報(bào)文重組和特征匹配，消除了重復(fù)性工作對(duì)內(nèi)存和資源的占用，從而系統(tǒng)的工作效率提高了70%-80%。但這種技術(shù)的一個(gè)關(guān)鍵要素就是統(tǒng)一特征庫，這項(xiàng)技術(shù)的難度在于需要找到一種全新的“特征語言”將病毒、漏洞、Web入侵、惡意代碼等威脅進(jìn)行統(tǒng)一描述，這就好比是八個(gè)不同國家語言的人要想彼此無障礙交流，最笨的辦法是學(xué)會(huì)7種語言，但明顯不可行；

/ 28

NGAF技術(shù)白皮書文檔密級(jí)：公開

因此，需要一種全新的國際語言來完成，從而提高可行性，又降低了工程的復(fù)雜度。4.3.5 多核并行處理

現(xiàn)在CPU核越來越多，從雙核到4核，再從4核到8核，16核，現(xiàn)在還有128核的CPU了。這樣來看，如果1個(gè)核能夠做到1個(gè)G，那么16個(gè)核不就能夠超過10個(gè)G了嗎? 但是通常設(shè)備性能并不能夠根據(jù)核的增加而迅速增加。因?yàn)殡m然各個(gè)核物理上是獨(dú)立的，但是有很多資源是共享的，包括CPU的Cache，內(nèi)存，這些核在訪問共享資源的時(shí)候是要等其他核釋放資源的，因此很多工作只能串行完成。同時(shí)NGAF的多核并行處理技術(shù)進(jìn)行了大量的優(yōu)化工作----減少臨界資源的訪問，除了在軟件處理流程的設(shè)計(jì)上盡量減少臨界資源以及臨界資源的訪問周期，還需要充分利用讀寫鎖、原子操作、內(nèi)存鏡像等機(jī)制來提高臨界資源的訪問效率。4.3.6 智能聯(lián)動(dòng)技術(shù)

4.3.7 Regex正則引擎

/ 28

NGAF技術(shù)白皮書文檔密級(jí)：公開

NGAF使用正則表達(dá)式對(duì)流量的內(nèi)容進(jìn)行匹配，正則表達(dá)式是一種識(shí)別特定模式數(shù)據(jù)的方法，可以精確識(shí)別網(wǎng)絡(luò)中的攻擊。但經(jīng)我們研究分析，業(yè)界已有的正則表達(dá)式匹配方法，其速度一般比較慢，制約了AF設(shè)備整機(jī)速度的提高，為此，深信服設(shè)計(jì)并實(shí)現(xiàn)全新的Sangfor Regex正則引擎，把正則表達(dá)式的匹配速度提高到數(shù)十Gbps，比PCRE和Google的RE2等知名引擎快數(shù)十倍，達(dá)到業(yè)界領(lǐng)先水平。

整體而言，Sangfor Regex大幅降低了CPU占用率，提高AF的整機(jī)吞吐，從而更高速地處理客戶業(yè)務(wù)數(shù)據(jù)，這項(xiàng)技術(shù)尤其適合對(duì)每秒吞吐量要求非常高的場合，如運(yùn)營商，電商等。

五、部屬方式

5.1 互聯(lián)網(wǎng)出口-內(nèi)網(wǎng)終端上網(wǎng)

安全需求：

單向訪問，內(nèi)網(wǎng)地址隱藏

帶寬有限，實(shí)現(xiàn)靈活流控

多線路跨運(yùn)營商，如何選擇最優(yōu)路徑

防御來自互聯(lián)網(wǎng)的威脅，如DOS/DDOS等

保護(hù)終端上網(wǎng)安全，防止遭受病毒、木馬、蠕蟲的攻擊

/ 28

NGAF技術(shù)白皮書文檔密級(jí)：公開

5.2 互聯(lián)網(wǎng)出口-服務(wù)器對(duì)外發(fā)布

安全需求：

業(yè)務(wù)面向互聯(lián)網(wǎng)，存在大量Web攻擊

服務(wù)器安全風(fēng)險(xiǎn)，操作系統(tǒng)、應(yīng)用程序漏洞

穩(wěn)定性要求高，防止拒絕服務(wù)攻擊

網(wǎng)站形象保護(hù)，防止網(wǎng)頁篡改

數(shù)據(jù)內(nèi)容保護(hù)，防止敏感信息外傳

5.3 廣域網(wǎng)邊界安全隔離

安全需求：

接入環(huán)境復(fù)雜，用戶存在安全組網(wǎng)要求

流量復(fù)雜，病毒木馬易泛濫 / 28

NGAF技術(shù)白皮書文檔密級(jí)：公開

人員復(fù)雜，需要精確訪問控制

設(shè)備數(shù)量繁多，需要集中管理

數(shù)據(jù)內(nèi)容保護(hù)，防止敏感信息越界傳播

5.4 數(shù)據(jù)中心

安全需求：

數(shù)據(jù)、應(yīng)用大集中，安全域需隔離

可用性要求高，萬兆環(huán)境

訪問權(quán)限要求高，控制非法訪問

業(yè)務(wù)類型多樣，數(shù)據(jù)庫系統(tǒng)多

數(shù)據(jù)內(nèi)容敏感，泄密風(fēng)險(xiǎn)需防范

六、關(guān)于深信服

深信服公司成立于2000年，是中國最大的應(yīng)用層網(wǎng)絡(luò)設(shè)備供應(yīng)商，致力于提供基于網(wǎng)絡(luò)應(yīng)用層的產(chǎn)品及解決方案。目前，全球有超過21,000家用戶正在使用深信服的產(chǎn)品。在中國入選世界500強(qiáng)的企業(yè)中，有85%以上的企業(yè)都是深信服的用戶。截止2013年3月，深信服在全球共設(shè)有49個(gè)直屬分支機(jī)構(gòu)，分布在全球8個(gè)國家和地區(qū)，并擁有超過1400名員工。作為中國應(yīng)用層網(wǎng)絡(luò)市場的領(lǐng)導(dǎo)者，深信服每年保持著50%以上的增長率，持續(xù)每年將總營收的15%投入到研發(fā)，并在深圳和北京設(shè)有研發(fā)中心。截至2013年3月，深信服共申

/ 28

NGAF技術(shù)白皮書文檔密級(jí)：公開

請(qǐng)超過100項(xiàng)發(fā)明專利。同時(shí)，深信服還是IPSec VPN和SSL VPN兩項(xiàng)國家標(biāo)準(zhǔn)的主要承建單位。深信服公司被評(píng)定為“國家規(guī)劃布局內(nèi)重點(diǎn)軟件企業(yè)”，連續(xù)八年入選德勤“亞太地區(qū)高科技高成長500強(qiáng)”，連續(xù)兩屆榮獲《財(cái)富》“卓越雇主——中國最適宜工作的公司”。

/ 28

第二篇：網(wǎng)神SecWAF 3600應(yīng)用防火墻系統(tǒng)技術(shù)白皮書(防篡改)V2.2

應(yīng)用防火墻系統(tǒng)

技術(shù)白皮書

Legendsec SecWAF 3600 Web Application Firewall

Technology Whitepaper

(LS-SP-T-WAF 1.0)

網(wǎng)御神州科技（北京）有限公司

網(wǎng)神 SecWAF 3600

網(wǎng)神 SecWAF 3600 應(yīng)用防火墻系統(tǒng)技術(shù)白皮書

版權(quán)說明

本文的內(nèi)容是網(wǎng)神 SecWAF 3600 應(yīng)用防火墻系統(tǒng)技術(shù)白皮書。文中的資料、說明等相關(guān)內(nèi)容的版權(quán)歸網(wǎng)御神州科技（北京）有限公司所有和保留。本文中的任何部分未經(jīng)網(wǎng)御神州科技（北京）有限公司（以下簡稱“網(wǎng)御神州”）許可，不得轉(zhuǎn)印、影印或復(fù)印、發(fā)行。

2006-2010? 版權(quán)所有

網(wǎng)御神州科技（北京）有限公司

商標(biāo)聲明

本手冊(cè)中所談及的網(wǎng)御神州產(chǎn)品的名稱是網(wǎng)御神州的商標(biāo)。手冊(cè)中涉及的其他公司的注冊(cè)商標(biāo)屬各商標(biāo)注冊(cè)人所有，恕不逐一列明。

聯(lián)系信息

北京海淀區(qū)上地開拓路 7 號(hào)先鋒大廈二段 1 層

2Section 1F , Xianfeng Building , No.7 Kaituo Road , Shangdi Information Industray Base, Haidian District , Beijing 客服熱線（Customer Service Hotline）：400-610-8220

010-87002000 傳真（Fax）：010-62972896 郵編（Post Code）：100085

網(wǎng)御神州科技（北京）有限公司/ 22 網(wǎng)神 SecWAF 3600 應(yīng)用防火墻系統(tǒng)技術(shù)白皮書

目錄 前言........................................................................................................5 2 系統(tǒng)簡介....................................................................................................5 3 系統(tǒng)組成及特點(diǎn).........................................................................................6

3.1 3.2 3.3 系統(tǒng)組成...........................................................................................6 系統(tǒng)功能特點(diǎn)....................................................................................7 主要技術(shù)功能....................................................................................8

第三代內(nèi)核驅(qū)動(dòng)防篡改技術(shù).....................................................8 Web站點(diǎn)安全運(yùn)行保障...........................................................9 部署結(jié)構(gòu)靈活..........................................................................9 安全可靠增量發(fā)布...................................................................9 日志事件報(bào)警........................................................................10 操作管理安全、方便..............................................................10 網(wǎng)站動(dòng)態(tài)自適應(yīng)攻擊防護(hù)......................................................10 3.3.1 3.3.2 3.3.3 3.3.4 3.3.5 3.3.6 3.3.7 4 主要技術(shù)實(shí)現(xiàn)...........................................................................................11 4.1 4.2 實(shí)現(xiàn)原理.........................................................................................11 核心優(yōu)勢(shì)描述..................................................................................13 基于內(nèi)核驅(qū)動(dòng)保護(hù)技術(shù)..........................................................13 動(dòng)態(tài)網(wǎng)頁腳本保護(hù).................................................................14 連續(xù)篡改攻擊保護(hù).................................................................14 全方位兼容的安全自動(dòng)增量發(fā)布............................................14 服務(wù)器安全運(yùn)行可靠性管理...................................................15 4.2.1 4.2.2 4.2.3 4.2.4 4.2.5 網(wǎng)御神州科技（北京）有限公司/ 22 網(wǎng)神 SecWAF 3600 應(yīng)用防火墻系統(tǒng)技術(shù)白皮書

4.2.6 4.2.7 4.2.8 4.2.9 部署實(shí)施操作簡單.................................................................15 不影響原有網(wǎng)絡(luò)結(jié)構(gòu)..............................................................15 安全傳輸...............................................................................16 支持多虛擬目錄.....................................................................16 4.2.10 支持多終端............................................................................16 4.2.11 支持日志導(dǎo)出查詢.................................................................16 4.2.12 動(dòng)態(tài)防護(hù)模塊的實(shí)現(xiàn)..............................................................16 5 部署結(jié)構(gòu)..................................................................................................18

網(wǎng)御神州科技（北京）有限公司/ 22 網(wǎng)神 SecWAF 3600 應(yīng)用防火墻系統(tǒng)技術(shù)白皮書

聲明

1.文中所提到的產(chǎn)品規(guī)格及資訊僅供參考，有關(guān)內(nèi)容可能會(huì)隨時(shí)更新，網(wǎng)神恕不另行通知。2.網(wǎng)神保留在沒有任何通知或提示的情況下對(duì)資料內(nèi)容進(jìn)行修改的權(quán)利。

網(wǎng)御神州科技（北京）有限公司/ 22 網(wǎng)神 SecWAF 3600 應(yīng)用防火墻系統(tǒng)技術(shù)白皮書 前言

網(wǎng)神SecWAF 3600應(yīng)用防火墻系統(tǒng)（以下簡稱SecWAF）是北京網(wǎng)御神州科技有限公司（以下簡稱：網(wǎng)御神州）精心研發(fā)專門針對(duì)網(wǎng)站篡改攻擊的一款防護(hù)產(chǎn)品，SecWAF的主要功能是通過微軟文件底層驅(qū)動(dòng)技術(shù)對(duì)Web 站點(diǎn)目錄提供全方位的保護(hù)以及通過URL攻擊過濾進(jìn)行動(dòng)態(tài)防護(hù)，防止黑客、病毒等對(duì)目錄中的網(wǎng)頁、電子文檔、圖片、數(shù)據(jù)庫等任何類型的文件進(jìn)行非法篡改和破壞。SecWAF保護(hù)網(wǎng)站安全運(yùn)行，維護(hù)政府和企業(yè)形象，保障互聯(lián)網(wǎng)業(yè)務(wù)的正常運(yùn)營，徹底解決了網(wǎng)站的非法修改的問題，是高效、安全、易用的新一代的網(wǎng)頁防篡改系統(tǒng)。

本手冊(cè)適合的對(duì)象：《網(wǎng)神SecWAF 3600應(yīng)用防火墻系統(tǒng)技術(shù)白皮書》適用于希望了解本產(chǎn)品技術(shù)特性和使用的相關(guān)人員。本手冊(cè)共五章，第一章 前言，第二章 系統(tǒng)簡介，第三章 系統(tǒng)組成及特點(diǎn)，第四章 主要技術(shù)實(shí)現(xiàn)，第五章 部署結(jié)構(gòu)。系統(tǒng)簡介

近幾年我國信息化發(fā)展迅猛，各行各業(yè)根據(jù)自身需要大都進(jìn)行了網(wǎng)站建設(shè)，用于信息發(fā)布、網(wǎng)上電子商務(wù)、網(wǎng)上辦公、信息查詢等等，網(wǎng)站在實(shí)際應(yīng)用中發(fā)揮著重要作用。尤其是我國電子政務(wù)、電子商務(wù)的大力開展，網(wǎng)站建設(shè)得到了空前發(fā)展，與此同時(shí)隨著網(wǎng)民數(shù)量的快速增長，通過網(wǎng)站來了解新聞、在線處理業(yè)務(wù)、查詢關(guān)鍵信息等對(duì)網(wǎng)站的發(fā)展也起到了關(guān)鍵性的促進(jìn)作用，網(wǎng)站的社會(huì)輿論效益逐步顯現(xiàn)，已經(jīng)引起了社會(huì)的廣泛關(guān)注。然而不幸的是，黑客強(qiáng)烈的表現(xiàn)欲望，國內(nèi)外各種非法組織的不法企圖，商業(yè)競爭對(duì)手的惡意攻擊，不滿情緒離職員工的泄憤等等各種原因都將導(dǎo)致網(wǎng)頁被“變臉”。網(wǎng)頁篡改攻擊事件具有以下特點(diǎn)：篡改網(wǎng)站頁面?zhèn)鞑ニ俣瓤臁㈤喿x人群多，復(fù)制容易，事后消除影響難，預(yù)先檢查和實(shí)時(shí)防范較難，網(wǎng)絡(luò)環(huán)境復(fù)雜難以追查責(zé)任。另外，攻擊工具泛濫且向智能自動(dòng)化趨勢(shì)發(fā)展，據(jù)不完全統(tǒng)計(jì)，我國98%以上的站點(diǎn)都受到過不同程度的黑客攻擊，攻擊形式繁多，網(wǎng)站的安全防范日益成為大家關(guān)注的焦點(diǎn)，尤其是政府、金融類網(wǎng)站最易成為攻擊目標(biāo)。

網(wǎng)御神州科技（北京）有限公司/ 22 網(wǎng)神 SecWAF 3600 應(yīng)用防火墻系統(tǒng)技術(shù)白皮書

網(wǎng)神SecWAF 3600應(yīng)用防火墻系統(tǒng)由北京網(wǎng)御神州科技有限公司根據(jù)長期對(duì)Web站點(diǎn)進(jìn)行安全研究成果自主研發(fā)的高可靠性、高安全性以及高易用性的軟件系統(tǒng)。主要用于保護(hù)站點(diǎn)內(nèi)容安全，防止黑客非法篡改網(wǎng)頁，保護(hù)公眾形象。該系統(tǒng)也是國內(nèi)唯一通過國家嚴(yán)格檢測(cè)的第三代網(wǎng)頁防篡改技術(shù)，網(wǎng)頁防篡改技術(shù)在近幾年當(dāng)中根據(jù)黑客攻擊技術(shù)的發(fā)展也得到了較快的發(fā)展，第三代網(wǎng)頁防篡改技術(shù)較之以前的技術(shù)有幾個(gè)特點(diǎn)，響應(yīng)速度快、判斷準(zhǔn)確、部署靈活等特點(diǎn)，集成度較高，不依賴于原有web系統(tǒng)架構(gòu)、部署也不影響網(wǎng)站整體結(jié)構(gòu)。經(jīng)過廣大用戶實(shí)踐表明，SecWAF 已經(jīng)成為信息化建設(shè)中網(wǎng)站安全建設(shè)最佳解決方案。SecWAF 適用領(lǐng)域：政府門戶、電子商務(wù)、金融證券、企業(yè)門戶、教育高校等各行各業(yè)網(wǎng)站；

網(wǎng)頁防篡改技術(shù)的發(fā)展經(jīng)過幾年的發(fā)展已經(jīng)進(jìn)入了第三代技術(shù)，多因子檢測(cè)時(shí)代，較前兩代技術(shù)，第三代技術(shù)在安全性以及效率方面更為可靠。

圖2-1技術(shù)發(fā)展路線圖 系統(tǒng)組成及特點(diǎn)

3.1 系統(tǒng)組成

SecWAF系統(tǒng)包含三個(gè)部分：監(jiān)控客戶端、管理中心服務(wù)器和管理客戶端，各部分功能如下：

網(wǎng)御神州科技（北京）有限公司/ 22 網(wǎng)神 SecWAF 3600 應(yīng)用防火墻系統(tǒng)技術(shù)白皮書

1.監(jiān)控客戶端（Monitor Client）安裝在Web站點(diǎn)服務(wù)器上，安裝完后即后臺(tái)自動(dòng)運(yùn)行，無界面，主要用于監(jiān)控站點(diǎn)攻擊狀態(tài)，執(zhí)行管理中心所配置的策略，有效阻止各類篡改攻擊；

2.管理中心服務(wù)器（Center Server）建議部署在獨(dú)立PC服務(wù)器上，若所管理的web服務(wù)器數(shù)量較少，也可以同時(shí)部署在管理客戶端；主要用于用戶管理，策略下發(fā)，日志監(jiān)控，以及發(fā)布各監(jiān)控客戶端安全策略；此程序以后臺(tái)服務(wù)模式運(yùn)行，無程序界面。3.管理控制臺(tái)(Console)部署在網(wǎng)管員任意一臺(tái)計(jì)算機(jī)，主要用于登錄管理中心服務(wù)器，進(jìn)行管理；

圖3-1 系統(tǒng)結(jié)構(gòu)示意圖

各組件之間通信采取完全加密傳輸，包括數(shù)據(jù)傳輸，用戶認(rèn)證等，確保通信的保密性；

說明：備份可信端程序用于網(wǎng)站內(nèi)容發(fā)布及更新，程序與監(jiān)控客戶端（Monitor Client）一樣，根據(jù)策略進(jìn)行角色定義。3.2 系統(tǒng)功能特點(diǎn)

所有的Web網(wǎng)站都需要進(jìn)行頁面內(nèi)容的保護(hù)，防止非授權(quán)人員隨意篡改內(nèi)容，對(duì)于一些更新快、容量大、權(quán)威性的網(wǎng)站就更需如此。外部網(wǎng)站因需要被公眾訪問而暴露于因特網(wǎng)上，因此最容易成為黑客的攻擊目標(biāo)。雖然目網(wǎng)御神州科技（北京）有限公司/ 22 網(wǎng)神 SecWAF 3600 應(yīng)用防火墻系統(tǒng)技術(shù)白皮書

前已有防火墻、入侵檢測(cè)等安全防范手段，但現(xiàn)代操作系統(tǒng)和業(yè)務(wù)應(yīng)用系統(tǒng)的復(fù)雜性和多樣性導(dǎo)致系統(tǒng)漏洞層出不窮、防不勝防，黑客入侵和篡改頁面的事件時(shí)有發(fā)生。SecWAF 通過服務(wù)器文件訪問底層驅(qū)動(dòng)技術(shù)，對(duì)保護(hù)的對(duì)象（靜態(tài)網(wǎng)頁、動(dòng)態(tài)執(zhí)行腳本、文件夾）實(shí)時(shí)監(jiān)測(cè)其屬性，一旦發(fā)現(xiàn)更改立刻阻斷非法篡改操作，阻止網(wǎng)頁文件被修改，并實(shí)時(shí)通知管理客戶端。此外，在系統(tǒng)遭受極限攻擊發(fā)生文件篡改現(xiàn)象，系統(tǒng)也會(huì)自動(dòng)從可信端進(jìn)行有效文件恢復(fù)，徹底地保證了網(wǎng)頁內(nèi)容不被篡改。

該系統(tǒng)對(duì)于各類網(wǎng)站的安全，特別保證我國電子政務(wù)網(wǎng)站和企業(yè)門戶網(wǎng)站內(nèi)容的完整性及對(duì)外形象，有著重要意義。尤其是我國即將迎來60周年國慶、世博會(huì)等全球矚目期間，各行各業(yè)的網(wǎng)站遭受不法份子的破壞以及國外黑客攻擊的幾率大大增加；各類金融銀行、證券機(jī)構(gòu)積極開展網(wǎng)上金融業(yè)務(wù)，如遭受篡改，不僅僅是形象受損信譽(yù)度降低，還會(huì)帶來巨大的經(jīng)濟(jì)損失；尤其是在國家發(fā)生一些重大熱點(diǎn)社會(huì)事件的時(shí)候，常常伴有大量相關(guān)網(wǎng)站遭受篡改并且發(fā)布虛假消息，帶來嚴(yán)重的社會(huì)影響，而消除這些影響的經(jīng)濟(jì)和時(shí)間代價(jià)將巨大。因此，網(wǎng)頁防篡改系統(tǒng)已經(jīng)成為各行各業(yè)門戶必備的一項(xiàng)有效安全措施。SecWAF系統(tǒng)具備多項(xiàng)核心技術(shù)，簡單歸納如下： ? ? ? ? ? ? ? ? ? 技術(shù)先進(jìn)，采用第三代防篡改技術(shù)，安全、穩(wěn)定、可靠； 采取先進(jìn)的多重防護(hù)技術(shù)，杜絕篡改；

完全基于內(nèi)核級(jí)事件觸發(fā)機(jī)制，對(duì)服務(wù)器資源占用極少，效率遠(yuǎn)高于同類產(chǎn)品； 汲取廣大網(wǎng)管員建議，操作及其簡便，大大提高工作人員效率； 對(duì)服務(wù)器安全性能實(shí)時(shí)監(jiān)控，確保服務(wù)器安全穩(wěn)定運(yùn)行；

對(duì)Web服務(wù)運(yùn)行狀態(tài)進(jìn)行安全監(jiān)控，保證Web服務(wù)不受異常事件干擾； 不限制網(wǎng)站發(fā)布服務(wù)器類型，實(shí)現(xiàn)高可用性和高擴(kuò)展性；

支持所有主流操作系統(tǒng)，與Web發(fā)布服務(wù)類型無關(guān)，與CMS系統(tǒng)無縫結(jié)合； 支持保護(hù)Web服務(wù)器配置文件，杜絕網(wǎng)站指向遭到修改；

3.3 主要技術(shù)功能

3.3.1 第三代內(nèi)核驅(qū)動(dòng)防篡改技術(shù)

? 基于內(nèi)核驅(qū)動(dòng)級(jí)文件保護(hù)技術(shù)，支持各類網(wǎng)頁格式，包含各類動(dòng)態(tài)頁面腳本；

網(wǎng)御神州科技（北京）有限公司/ 22 網(wǎng)神 SecWAF 3600 應(yīng)用防火墻系統(tǒng)技術(shù)白皮書

? ? ? ? ? 內(nèi)核級(jí)事件觸發(fā)技術(shù)，大大減少系統(tǒng)額外開支； 完全防護(hù)技術(shù)，支持大規(guī)模連續(xù)篡改攻擊防護(hù)；

系統(tǒng)后臺(tái)自動(dòng)運(yùn)行，支持?jǐn)嗑€狀態(tài)下阻止篡改；

內(nèi)核出站校驗(yàn)技術(shù)完全杜絕被篡改內(nèi)容被外界瀏覽；

支持單獨(dú)文件、文件夾及多級(jí)文件夾目錄內(nèi)容篡改保護(hù)；

3.3.2 Web站點(diǎn)安全運(yùn)行保障

? ? ? ? ? 保護(hù)Web服務(wù)器的相關(guān)重要配置文件不被篡改； 服務(wù)器性能監(jiān)控閥值報(bào)警，預(yù)知攻擊發(fā)生；

服務(wù)器系統(tǒng)服務(wù)運(yùn)行狀態(tài)監(jiān)控，可提供服務(wù)異常響應(yīng)，終止、重啟等聯(lián)動(dòng)操作； 服務(wù)器進(jìn)程黑白名單許可控制，防止掛馬攻擊或后門程序運(yùn)行；

支持服務(wù)器多種遠(yuǎn)程管理功能，緊急情況下便于管理，如遠(yuǎn)程接管、遠(yuǎn)程喚醒、遠(yuǎn)程關(guān)機(jī)、遠(yuǎn)程用戶注銷等；

? 支持監(jiān)測(cè)服務(wù)器當(dāng)前系統(tǒng)防火墻，防病毒的使用情況和版本，提高監(jiān)測(cè)服務(wù)器的綜合防護(hù)能力；

3.3.3 部署結(jié)構(gòu)靈活

? ? ? 支持多站點(diǎn)、跨平臺(tái)分布式部署，統(tǒng)一集中管理功能； 支持大規(guī)模虛擬機(jī)、雙機(jī)熱備網(wǎng)站系統(tǒng)部署架構(gòu)；

支持服務(wù)器冗余及負(fù)載均衡分布部署，支持web服務(wù)端、發(fā)布端一對(duì)多，多對(duì)多等各類靈活網(wǎng)站架構(gòu)；

3.3.4 安全可靠增量發(fā)布

? ? ? 支持網(wǎng)頁文件自動(dòng)上傳功能和增量發(fā)布，無需人工干涉；

支持異地文件快速同步功能和斷點(diǎn)續(xù)傳功能，極大的增加網(wǎng)站可維護(hù)性；

支持網(wǎng)頁自動(dòng)同步新增、修改、刪除、下載等功能；

網(wǎng)御神州科技（北京）有限公司/ 22 網(wǎng)神 SecWAF 3600 應(yīng)用防火墻系統(tǒng)技術(shù)白皮書

3.3.5 日志事件報(bào)警

? ? ? ? 自動(dòng)檢測(cè)文件攻擊記錄，并實(shí)時(shí)記入日志，支持導(dǎo)出excel報(bào)表；

支持服務(wù)運(yùn)行狀態(tài)記錄，并實(shí)時(shí)記入日志，支持導(dǎo)出excel報(bào)表；

支持多種告警方式，日志告警、郵件告警或定制其他告警方式； 自身操作審計(jì)日志記錄，詳細(xì)記錄操作管理員的操作管理行為；

3.3.6 操作管理安全、方便

? ? ? ? ? ? 支持多用戶分權(quán)管理功能，方便操作；

系統(tǒng)C/S結(jié)構(gòu)，確保高可靠性；

支持多個(gè)策略管理，策略設(shè)置支持即時(shí)生效，無需重啟；

數(shù)據(jù)傳輸采用加密傳輸，安全可靠；

支持網(wǎng)頁格式類型分類，便于分類管理；

系統(tǒng)全中文界面，操作、配置方便，網(wǎng)絡(luò)管理人員僅需十分鐘即可熟練完成系統(tǒng)初始配置，大大提高工作效率；

3.3.7 網(wǎng)站動(dòng)態(tài)自適應(yīng)攻擊防護(hù)

? ? ? ? ? ? ? ? 支持SQL注入攻擊防護(hù)；

支持跨站腳本攻擊防護(hù)；

支持對(duì)系統(tǒng)文件的訪問防護(hù)；

支持特殊字符構(gòu)成的URL利用防護(hù)；

支持對(duì)危險(xiǎn)系統(tǒng)路徑的訪問防護(hù)；

支持構(gòu)造危險(xiǎn)的Cookie攻擊防護(hù)；

各類攻擊的變種防護(hù)；

支持自定義檢測(cè)庫；

網(wǎng)御神州科技（北京）有限公司/ 22 網(wǎng)神 SecWAF 3600 應(yīng)用防火墻系統(tǒng)技術(shù)白皮書 主要技術(shù)實(shí)現(xiàn)

4.1 實(shí)現(xiàn)原理

我們將篡改監(jiān)測(cè)的核心程序通過內(nèi)核文件底層驅(qū)動(dòng)內(nèi)嵌到操作系統(tǒng)中，通過事件觸發(fā)方式進(jìn)行自動(dòng)監(jiān)測(cè)，對(duì)文件夾的所有文件內(nèi)容（包含html、asp、jsp、php、jpeg、gif、bmp、psd、png、flash 等各類文件類型）對(duì)照其多個(gè)屬性，經(jīng)過內(nèi)置散列快速算法，實(shí)時(shí)進(jìn)行監(jiān)測(cè)，若發(fā)現(xiàn)變更，實(shí)時(shí)阻斷篡改行為。通過非協(xié)議方式，純內(nèi)核安全出站校驗(yàn)方式檢查出站內(nèi)容的完整性可靠性，使得公眾無法看到被篡改頁面，其運(yùn)行性能和檢測(cè)實(shí)時(shí)性都達(dá)到最高水準(zhǔn)。

圖4-２內(nèi)核文件防護(hù)技術(shù)原理圖

在整個(gè)系統(tǒng)功能設(shè)計(jì)在不同的層面實(shí)現(xiàn)各種功能，確保系統(tǒng)的有效運(yùn)行。

網(wǎng)御神州科技（北京）有限公司/ 22 網(wǎng)神 SecWAF 3600 應(yīng)用防火墻系統(tǒng)技術(shù)白皮書

圖4-3 功能設(shè)計(jì)分層示意圖

快速同步通道處理，主要用于網(wǎng)站內(nèi)容更新及修復(fù)網(wǎng)頁文件用途，在多服務(wù)器負(fù)載均衡應(yīng)用時(shí)快速同步通道技術(shù)將顯得尤為重要，確保網(wǎng)站的內(nèi)容最迅速的更新至外網(wǎng)web服務(wù)器上。同步過程當(dāng)中主要應(yīng)用到文件加密傳輸技術(shù)、完整性交驗(yàn)、文件檢索、快速傳輸技術(shù)等多項(xiàng)重要技術(shù)。

圖4-4發(fā)布同步原理圖

為了保證網(wǎng)站遭受各類攻擊均不影響網(wǎng)站的正常運(yùn)行和內(nèi)容發(fā)布，SecWAF 在內(nèi)部實(shí)現(xiàn)了一套完整的內(nèi)容恢復(fù)機(jī)制，將參照以下示意圖步驟進(jìn)行同步和恢復(fù)。該功能將大大增強(qiáng)網(wǎng)站文件的真實(shí)可靠性。

網(wǎng)御神州科技（北京）有限公司/ 22 網(wǎng)神 SecWAF 3600 應(yīng)用防火墻系統(tǒng)技術(shù)白皮書

圖4-5 校驗(yàn)實(shí)現(xiàn)原理圖

當(dāng)發(fā)生網(wǎng)頁遭受到意外惡意破壞時(shí)，系統(tǒng)將自動(dòng)啟用文件安全性校驗(yàn)?zāi)K，主要對(duì)比網(wǎng)頁文件指紋ID，將包含文件內(nèi)容、大小、創(chuàng)建修改時(shí)間、作者、關(guān)鍵詞、所屬權(quán)限等等。如校驗(yàn)發(fā)現(xiàn)文件屬性發(fā)生變化，則從可信備份端進(jìn)行實(shí)時(shí)恢復(fù)，確保文件的真實(shí)可靠性。

4.2 核心優(yōu)勢(shì)描述

4.2.1 基于內(nèi)核驅(qū)動(dòng)保護(hù)技術(shù)

內(nèi)核事件觸發(fā)保護(hù)機(jī)制，確保系統(tǒng)資源不被浪費(fèi)，不同于其他防篡改軟件的Web事件觸發(fā)機(jī)制，SecWAF的頁面防篡改模塊采用的是與操作系統(tǒng)底層文件驅(qū)動(dòng)級(jí)保護(hù)技術(shù)，與操作系統(tǒng)緊密結(jié)合的。即使服務(wù)器遭受黑客攻擊取得操作管理員權(quán)限也無法對(duì)被保護(hù)內(nèi)容實(shí)施保護(hù)，這樣做完全杜絕了普通Web內(nèi)嵌防篡改軟件可能發(fā)生的計(jì)算校驗(yàn)占用系統(tǒng)資源過多，斷線篡改后無法恢復(fù)等一系列風(fēng)險(xiǎn)。

網(wǎng)御神州科技（北京）有限公司/ 22 網(wǎng)神 SecWAF 3600 應(yīng)用防火墻系統(tǒng)技術(shù)白皮書

4.2.2 動(dòng)態(tài)網(wǎng)頁腳本保護(hù)

目前的網(wǎng)站越來越多地使用動(dòng)態(tài)技術(shù)（例如：ASP、JSP、PHP）來輸出網(wǎng)頁。動(dòng)態(tài)網(wǎng)頁由網(wǎng)頁腳本和內(nèi)容組成：網(wǎng)頁腳本以文件形式存在于Web 服務(wù)器上；網(wǎng)頁內(nèi)容則取自于數(shù)據(jù)庫。一般來說，數(shù)據(jù)庫處在內(nèi)部網(wǎng)中，沒有外部地址，而且可以只接受來自內(nèi)部指定地址的訪問，因此一般不會(huì)受到攻擊。而存在于Web 服務(wù)器上的動(dòng)態(tài)網(wǎng)頁腳本則與靜態(tài)網(wǎng)頁一樣，容易受到攻擊。

采用文件驅(qū)動(dòng)級(jí)技術(shù)的系統(tǒng)，可以直接從Web 服務(wù)器上得到動(dòng)態(tài)網(wǎng)頁腳本，不受變化的內(nèi)容影響，因而能夠像靜態(tài)網(wǎng)頁一樣保護(hù)動(dòng)態(tài)網(wǎng)頁腳本。

4.2.3 連續(xù)篡改攻擊保護(hù)

對(duì)于大規(guī)模連續(xù)的篡改，SecWAF防篡改系統(tǒng)檢測(cè)到首個(gè)非法操作后就會(huì)實(shí)時(shí)阻斷其后續(xù)其他的篡改操作。系統(tǒng)針對(duì)來源和操作行為，提前終止其后續(xù)篡改操作請(qǐng)求。系統(tǒng)在底層完成這些防護(hù)措施并不會(huì)將這些大規(guī)模連續(xù)篡改請(qǐng)求發(fā)送到上層應(yīng)用，極大的降低了應(yīng)用程序的處理負(fù)擔(dān)，有效的提高了應(yīng)有工作效率。而普通的Web內(nèi)嵌事件觸發(fā)型防篡改軟件在發(fā)生大規(guī)模連續(xù)篡改時(shí)，需要每次通過應(yīng)用層插件計(jì)算校驗(yàn)匹配，由于不能阻止篡改發(fā)生，這些軟件需要不停的重復(fù)恢復(fù)原始網(wǎng)頁內(nèi)容，極大的占用系統(tǒng)資源和網(wǎng)絡(luò)資源，并可能造成顯示錯(cuò)誤頁給訪問用戶。

4.2.4 全方位兼容的安全自動(dòng)增量發(fā)布

SecWAF集成了頁面自動(dòng)發(fā)布功能。該服務(wù)器采用先進(jìn)的算法將可信備份路徑下的網(wǎng)頁內(nèi)容快速發(fā)布到相應(yīng)文件夾，減少人工干預(yù)，并且支持傳統(tǒng)的FTP、網(wǎng)絡(luò)共享等，本系統(tǒng)支持高速上傳功能，同樣也支持網(wǎng)頁備份到指定文件夾的功能，方便維護(hù)人員對(duì)網(wǎng)站進(jìn)行日常維護(hù)。SecWAF可以無縫的和所有內(nèi)容管理系統(tǒng)相結(jié)合并且不需要做任何修改，大大方便與用戶管理和部署。

網(wǎng)御神州科技（北京）有限公司/ 22 網(wǎng)神 SecWAF 3600 應(yīng)用防火墻系統(tǒng)技術(shù)白皮書

4.2.5 服務(wù)器安全運(yùn)行可靠性管理

SecWAF系統(tǒng)可以監(jiān)控服務(wù)器當(dāng)前的運(yùn)行狀態(tài)，監(jiān)視其cpu、內(nèi)存、網(wǎng)絡(luò)流量等性能。通過設(shè)置的閥值及時(shí)向用戶提供報(bào)警信息，使用戶能夠及時(shí)響應(yīng)意外事件，并通過設(shè)置進(jìn)程的黑白名單來保障服務(wù)器被植入后門木馬等程序。提供管理人員遠(yuǎn)程維護(hù)管理等功能。包括： 1)保護(hù)web服務(wù)器自身配置； 2)服務(wù)器cpu使用閥值報(bào)警； 3)服務(wù)器內(nèi)存使用閥值報(bào)警；

4)監(jiān)控服務(wù)運(yùn)行狀態(tài)，并提供應(yīng)用服務(wù)發(fā)生異常后的停止，重啟等聯(lián)動(dòng)操作； 5)服務(wù)器進(jìn)程黑白名單設(shè)置，實(shí)現(xiàn)防止后門木馬程序的運(yùn)行；

6)支持服務(wù)器多種遠(yuǎn)程管理功能，遠(yuǎn)程接管、遠(yuǎn)程喚醒、遠(yuǎn)程關(guān)機(jī)、遠(yuǎn)程用戶注銷等； 7)可以實(shí)時(shí)監(jiān)測(cè)服務(wù)器當(dāng)前服務(wù)、進(jìn)程、系統(tǒng)日志； 8)可以服務(wù)器當(dāng)前系統(tǒng)防火墻，防病毒的使用情況和版本。

4.2.6 部署實(shí)施操作簡單

具備基本windows操作系統(tǒng)使用人員，僅需要10分鐘時(shí)間，即可按照使用說明書部署完整套網(wǎng)神Web應(yīng)用防火墻系統(tǒng)，部署完畢后，進(jìn)行簡單配置即可運(yùn)行；若在系統(tǒng)組建之間有防火墻或其他訪問控制設(shè)備，建議與網(wǎng)管人員配合在防火墻上配置相應(yīng)規(guī)則，實(shí)現(xiàn)安全通信，可以自由設(shè)定相應(yīng)的端口，避免在Web服務(wù)器上開啟其他端口。

4.2.7 不影響原有網(wǎng)絡(luò)結(jié)構(gòu)

該系統(tǒng)的架構(gòu)采用C/S 方式，安全可靠，Center Server端和Console端可以安裝在任意指定的系統(tǒng)上，管理告警客戶端本地?zé)o存儲(chǔ)數(shù)據(jù)，日志只在需要時(shí)進(jìn)行導(dǎo)出excel 進(jìn)行查詢，可大大降低了用戶投資；

網(wǎng)御神州科技（北京）有限公司/ 22 網(wǎng)神 SecWAF 3600 應(yīng)用防火墻系統(tǒng)技術(shù)白皮書

4.2.8 安全傳輸

合法網(wǎng)頁的安全傳輸是系統(tǒng)安全的一個(gè)重要環(huán)節(jié)，SecWAF使用了高安全強(qiáng)度的工業(yè)標(biāo)準(zhǔn)的128位加密技術(shù)，保證了信息傳輸過程中完整性和私密性，且用戶登錄認(rèn)證且采用加密傳輸，防止傳輸過程中用戶信息泄露。

4.2.9 支持多虛擬目錄

SecWAF能夠自動(dòng)、實(shí)時(shí)監(jiān)控多個(gè)子文件夾內(nèi)容，各子文件夾包含多個(gè)網(wǎng)站可同時(shí)進(jìn)行監(jiān)測(cè)，網(wǎng)頁文件支持?jǐn)?shù)以萬計(jì)，且對(duì)系統(tǒng)性能沒有任何影響。

4.2.10 支持多終端

SecWAF支持同服務(wù)器端程序?qū)Χ鄠€(gè)web被監(jiān)控服務(wù)器端網(wǎng)站進(jìn)行維護(hù)，用戶可以在任意時(shí)刻任意進(jìn)行擴(kuò)展，只需要購買相應(yīng)的Monitor端License即可。

4.2.11 支持日志導(dǎo)出查詢

系統(tǒng)支持對(duì)網(wǎng)站維護(hù)工作的查詢與審計(jì)功能。為了便于用戶及時(shí)了解管理員及操作員所做的日常維護(hù)工作。SecWAF除了對(duì)篡改記錄進(jìn)行記錄外，還記錄了操作日志，方便用戶導(dǎo)出查詢和統(tǒng)計(jì)。包括：

1.對(duì)受保護(hù)網(wǎng)頁文件和目錄進(jìn)行添加、刪除、修改的日志； 2.監(jiān)控策略的開啟和關(guān)閉的日志； 3.管理員的登錄日志；

4.對(duì)監(jiān)控策略進(jìn)行更改的日志；

5.對(duì)管理員進(jìn)行增加，刪除和屬性修改的操作日志； 6.對(duì)功能配置參數(shù)的修改日志。

4.2.12 動(dòng)態(tài)防護(hù)模塊的實(shí)現(xiàn)

動(dòng)態(tài)防護(hù)模塊通過嵌入web發(fā)布服務(wù)軟件，對(duì)各類URL請(qǐng)求進(jìn)行攻擊代碼過濾，可以抵擋網(wǎng)御神州科技（北京）有限公司/ 22 網(wǎng)神 SecWAF 3600 應(yīng)用防火墻系統(tǒng)技術(shù)白皮書

各類SQL注入、跨站、構(gòu)造類代碼攻擊，防止對(duì)后臺(tái)數(shù)據(jù)庫進(jìn)行猜解、破壞、掛馬等攻擊。

網(wǎng)御神州科技（北京）有限公司

/ 22

網(wǎng)神 SecWAF 3600 應(yīng)用防火墻系統(tǒng)技術(shù)白皮書 部署結(jié)構(gòu)

SecWAF 部署方式較為靈活，監(jiān)控代理客戶端（Monitor Client），管理中心服務(wù)器（Center Server）和管理客戶端(Console)三部分，可以部署在三個(gè)不同的系統(tǒng)上，也可以部署在同一臺(tái)系統(tǒng)上，用戶根據(jù)需要靈活進(jìn)行設(shè)計(jì)，以下介紹三種典型部署結(jié)構(gòu)：

第一種部署方式見圖“網(wǎng)神Web應(yīng)用防火墻系統(tǒng)典型部署示意圖-1”：這種部署為常見部署方式，常見于政府網(wǎng)站和大型企事業(yè)單位，WEB服務(wù)器位于內(nèi)部網(wǎng)中，在防火墻DMZ區(qū)（非軍事化區(qū)），第一步：在DMZ區(qū)任意一臺(tái)服務(wù)器（可以是防病毒服務(wù)器或者防火墻管理服務(wù)器）安裝管理中心服務(wù)器（Center Server，IP地址為：172.16.1.100）部分，并設(shè)定外部管理連接端口（默認(rèn)為5366）；第二步：將監(jiān)控端（Monitor Client）安裝于多個(gè)WEB服務(wù)器（172.16.1.X）上，并制定管理中心服務(wù)器地址（如172.16.1.100），并設(shè)定管理端口（默認(rèn)為5367）；第三步，在內(nèi)部管理區(qū)域，任意pc安裝管理客戶端(Console)部分； 若要保證通信，還需要在防火墻上配置管理中心服務(wù)器（Center Server，IP地址為：172.16.1.100）端口（默認(rèn)為5366），需將端口鏡像到WEB外部。

第二種部署方式見圖“網(wǎng)神Web應(yīng)用防火墻系統(tǒng)典型部署示意圖-2”，這類部署主要突出網(wǎng)御神州科技（北京）有限公司/ 22 網(wǎng)神 SecWAF 3600 應(yīng)用防火墻系統(tǒng)技術(shù)白皮書

了該系統(tǒng)部署的靈活性，將Center Server部分也同時(shí)部署在WEB站點(diǎn)上，在沒有額外可用服務(wù)器的情況下，節(jié)省了服務(wù)器資源，保護(hù)了用戶投資。但我們建議此時(shí)需要及時(shí)修改初始維護(hù)密碼，并保持器一定的復(fù)雜度。

網(wǎng)御神州科技（北京）有限公司/ 22

網(wǎng)神 SecWAF 3600 應(yīng)用防火墻系統(tǒng)技術(shù)白皮書

第三種部署方式見圖“網(wǎng)神Web應(yīng)用防火墻系統(tǒng)典型部署示意圖-3”也常見于政府網(wǎng)站和大型企事業(yè)單位，WEB服務(wù)器位于IDC托管中心的防火墻DMZ區(qū)（非軍事化區(qū)），第一步：在DMZ區(qū)數(shù)據(jù)庫服務(wù)器（也可以是防病毒服務(wù)器或者防火墻管理服務(wù)器）安裝管理中心服務(wù)器（Center Server，IP地址為：172.16.1.100）部分，并設(shè)定外部管理連接端口（默認(rèn)為5366）；第二步：將監(jiān)控端（Monitor Client）安裝于多個(gè)WEB服務(wù)器（172.16.1.X）上，并制定管理中心服務(wù)器地址（如172.16.1.100），并設(shè)定管理端口（默認(rèn)為5367）；第三步，在內(nèi)網(wǎng)管理區(qū)域，任意pc安裝管理客戶端(Console)部分； 若要保證通信，還需要在防火墻上配置管理中心服務(wù)器（Center Server，IP地址為：172.16.1.100）端口（默認(rèn)為5366）鏡像到外部，便于Console登陸管理。（因WEB站點(diǎn)為了外部Internet訪問，已經(jīng)做IP地址轉(zhuǎn)換，無需做額外配置）。

網(wǎng)御神州科技（北京）有限公司/ 22 網(wǎng)神 SecWAF 3600 應(yīng)用防火墻系統(tǒng)技術(shù)白皮書

注：若將Center Server部分安裝在內(nèi)網(wǎng)時(shí)，則需要首先將管理中心Center Server端口（默認(rèn)為5366）也需要鏡像到外網(wǎng)部分，IP地址也需要做相應(yīng)地址轉(zhuǎn)換（NAT）；然后在 IDC托管中心的防火墻上將監(jiān)控端（Monitor Client）的端口5367及IP地址鏡像到外部，并指定遠(yuǎn)程管理的外部NAT轉(zhuǎn)換后的地址。該部署比較復(fù)雜，需要網(wǎng)管員積極配合。

網(wǎng)御神州科技（北京）有限公司/ 22