首頁   |   關于藍快   |   聯系我們   |   招賢納士
 
深信服網絡安全及優化方案
信息中心上網行為管理解決方案

政府信息中心上網行為管理解決方案

政府機關的網絡一般包括政務內網和政務外網。按照規定政府機構的下屬單位上網均應該統一上聯到政府信息中心的互聯網出口,但也存在個別政府單位因為工作需要或其他原因擁有單獨的互聯網出口。

政務內網實現與互聯網的物理隔離,主要用于傳送電子公文、以及不適合通過外網傳輸的信息,比如政務信息、視頻會議等機密信息。

政務外網與互聯網通過網絡安全系統邏輯連接,是辦公人員與外面進行信息交流的通道,同時也是政務公開和為民辦事的窗口,各單位通過網站對外提供網上服務、受理申請等。


政務外網運行所遇到的挑戰 

目前在日常運營過程中,因為無法像政務內網一樣與互聯網實現完全的物理隔離,政務外網存在著一些管理上的困難:

1.P2P流控和帶寬分配
這幾乎是絕大部分政府單位都會遇到的問題。在缺乏管理手段的情況下,看似足夠的互聯網出口,很容易就被P2P下載行為所吞噬。因為工作需要,政府信息中心顯然不能對P2P行為進行完全封堵,選擇進行流控顯然更適合一些。另外內網的眾多部門(單位)共用同一出口,帶寬劃分和分配就顯得尤為重要。

區域衛生信息平臺安全建設方案

區域衛生信息平臺安全建設方案

一、建設背景

“十二五”期間衛生信息化建設總體框架和重點任務目標已初步確定,這個初步框架簡單地描述為“35212”工程。即建立國家級、省級和區域三級信息平臺,也就是國家綜合衛生管理信息平臺,省級衛生綜合管理信息平臺,和地市級區域衛生信息平臺;在三家平臺的基礎之上建立公共衛生,醫療服務,醫療監管,綜合管理,新農合五大業務應用系統;建立以電子健康檔案為基礎和以電子病歷為基礎的兩大數據庫;建立一個衛生專網網絡;逐步建設信息安全體系和信息標準體系兩個體系。

二、面臨的主要安全問題分析

1. 由于衛生信息平臺的建設中涉及到與橫向(醫療服務、疾病控制、衛生監督、婦幼保健、健康教育等機構)及縱向(市、縣、鄉、村醫療衛生機構)的眾多機構之間的互聯,在網絡的邊界根據國家信息安全等級保護制度(二級或三級)的要求,需要進行邊界的入侵防護和惡意代碼防護。需要部署應用層防火墻等相關安全防護設備。

2.在平臺的橫向與縱向聯網建設過程中,由于接入單位多,完全采用專線的方式費用較高,因此針對部分機構,比如醫院,鄉鎮衛生機構等采用IPSEC VPN的接入方式,針對村級衛生所采用SSL VPN的接入方式會更加符合實際的組網需求。需要部署IPSEC/SSL VPN等安全接入設備。

3.衛生信息平臺中承載著5大業務系統(公共衛生,醫療服務,醫療監管,綜合管理,新農合)和2大數據庫(電子健康檔案和電子病歷),其業務安全關系著千家萬戶老百姓的個人隱私信息安全,根據國家信息安全等級保護制度的要求,至少定級為3級,需要在衛生信息平臺的主機前面進行安全隔離,入侵防護,惡意代碼防護以及敏感個人信息的防泄密。需要部署應用層防火墻等相關安全防護設備。

4.通過衛生信息平臺的運作,大量市民的健康以及就醫的信息將會匯總在衛生數據中心中,為了更好的為廣大市民服務,各級衛生局也都陸續在其門戶網站上開通了個人健康信息服務系統,方便市民隨時隨地查詢跟蹤自己的健康情況。由于該網站直接發布在互聯網上,同時又需要與衛生專網中的信息平臺進行數據交互,因此需要對其安全做進一步的加固,通過新的應用層技術手段實現SQL注入、跨站腳本等WEB攻擊的防護,實現市民個人信息的防泄密以及整體門戶網站的防篡改。

三、深信服安全解決方案

根據上述的安全需求,建議衛生單位用戶在衛生專網的橫向及縱向邊界部署深信服下一代應用層防火墻實現網絡邊界的入侵防御與防病毒;在區縣衛生平臺與醫院、鄉鎮衛生機構以及村衛生所等單位的互聯方面采用IPSEC+SSL VPN的方式,通過部署深信服VPN設備實現衛生專網的互聯;在衛生信息平臺的前面部署下一代應用層防火墻,實現業務安全隔離、入侵防御、防病毒以及敏感個人信息的防泄密。最后,在衛生局對外發布業務的DMZ區前面部署深信服下一代應用層防火墻,全面解決衛生門戶網站的底層漏洞攻擊、WEB攻擊、網頁防篡改以及信息防泄密的問題。詳細的網絡拓撲圖如下所示:



四、方案價值及優勢

通過下一代防火墻的部署,實現了扁平化的網絡安全架構,在最少的IT投資前提下,實現高效的衛生專網組網效果、更全面的安全防護效果,實現了從網絡層到應用層的完整安全防護,構建了防攻擊、防病毒、防篡改以及防泄密的四大安全體系,全面滿足國家信息安全等級保護的安全需求。

下一代數據中心安全方案

需求背景

            數據大集中是數據管理集約化、精細化的必然要求,是企業優化業務流程、管理流程的有效手段。數據中心DC便是IT建設數據大集中的產物,作為業務集中化部署、發布、存儲的區域,數據中心承載著業務的核心數據以及機密信息。對于惡意攻擊者而言,數據中心永遠是最具吸引力的目標。所以數據中心特別是“云數據中心”的安全建設顯得格外重要。過去,數據中心的安全建設以各區域安全隔離為主,隔離來自internet、intranet、extrane等區域的安全風險,實現網絡級的訪問控制。但這是遠遠不夠的,任何一個稍懂安全的人員,都可以很輕易的從一個網站上下載到黑客工具,對保護不佳的數據中心造成極大的破壞。而隨著攻擊逐漸向應用層轉移,“云數據中心”的安全隱患隨之遷移到了應用層,數據中心面臨的應用層安全威脅是基于L3-L4層的傳統防火墻完全無法理解的?偟膩碚f,數據中心面臨的應用層安全威脅主要包括:

            1、利用業務開發時期沒有對代碼的安全進行評估,使得系統可輕易通過web攻擊實現對web服務器、數據庫的攻擊造成數據庫信息被竊取的問題

            2、利用服務器操作系統漏洞、應用軟件漏洞通過緩沖區溢出、惡意蠕蟲、病毒等應用層攻擊,獲取服務器權限、使服務器癱瘓導致服務器、存儲等資源被攻擊的問題

            3、來自其他安全域的病毒、木馬、蠕蟲的交叉感染,使得數據中心成為“養馬場“

            4、由于訪問控制權限不當、系統誤配置導致的敏感信息跨區域傳播的問題

            5、利用協議漏洞對服務器發起的拒絕服務攻擊使得服務器無法提供正常服務,導致業務中斷等問題

深信服下一代安全數據中心解決方案

            深信服致力于打造安全、高效、可靠的下一代安全數據中心解決方案,為數據中心打造L2-L7層的多層安全防護體系構架,幫助用戶將安全風險降到最低,打造“安全“、”可靠“、”高效“的數據中心。


            完整可靠的數據中心安全防護體系

         深信服下一代數據中心安全解決方案提供L2-L7層的完整的數據中心應用安全防護體系,幫助數據中心解決傳統防火墻由于工作在L3-L4層無法識別的應用層威脅。


  網絡安全:訪問控制、DOS攻擊防護、IPSEC VPN組網、NAT地址轉換

  應用安全:漏洞攻擊、非安全應用控制、惡意地址防護、病毒木馬蠕蟲過濾、應用訪問控制

  Web安全:SQL注入、跨站腳本、敏感信息防泄露

  設備自身安全:抗DOS/DOS屬性、管理員SSL加密登陸、業務與管理分離管理

            可精細控制的可視化數據中心

         深信服下一代安全數據中心可幫助管理員實現精細的區域劃分與可視化的權限訪問控制。區別于傳統防火墻的五元組訪問控制策略,下一代防火墻可通過應用可視化功能與用戶識別技術結合制定的L3-L7一體化應用控制策略可以為用戶提供更加精細和直觀化控制界面,在一個界面下完成多套設備的運維工作,提升工作效率。

            應用層高性能的數據中心

            由于數據大集中,數據中心往往會需要高訪問量、高吞吐量的網絡構架進行支撐,為了實現強勁的應用層處理能力,NGAF拋棄了傳統防火墻NP、ASIC等適合執行網絡層重復計算工作的硬件設計,采用了更加適合應用層靈活計算能力的多核并行處理技術,極大的提升應用層數據的分析能力。

            同時NGAF采用單次解析構架實現報文的一次解析一次匹配,避免了UTM由于多模塊疊加對報文進行多次拆包多次解析的問題,有效的提升了應用層效率。實現單次解析技術的一個關鍵要素就是軟件架構設計實現網絡、應用層平面分離,通過在將數據通過“0”拷貝技術提取到應用層平面上實現威脅特征的統一解析、統一檢測,減少冗余的數據包封裝,從而實現高性能的處理。

         高可靠保障數據中心

            數據大集中后數據中心成為數據、業務的核心承載區域,其業務可用性是數據中心建設至關重要的目標。為保證數據中心業務不中斷,實現高可靠,深信服下一代數據中心安全解決方案具備多重的高可靠保障:

            1、傳統關鍵部件冗余:包括電源、風扇1+1冗余,且支持熱插拔

            2、存儲介質冗余,確保系統穩定運行:硬盤+CF卡,實現存儲冗余,在硬盤故障時,CF無縫切換,系統穩定運行

            3、設備穩定性:可實現硬件故障bypass保證數據中心穩定性

            深信服下一代數據中心安全解決方案,可為數據中心打造L2-L7層的安全防護體系構架,實現數據中心完整的安全防護,同時在可用性、可靠性上采用了深信服特有的先進技術保證數據中心業務的正常穩定運行,真正幫助用戶打造一個“安全”、“可靠”、“高效”的數據中心。



電子政務網站安全一站式解決方案

1       應用背景

            為響應國務院第492號令—《中華人民共和國政府信息公開條例》,各地政府部門積極深入發展電子政務建設。旨在提高政府工作的透明度,促進依法行政,充分發揮政府信息對人民群眾生產、生活和經濟社會活動的服務作用。電子政務網站(gov.cn)是政府職能部門信息化建設的重要內容,主要實現政務信息公開、在線辦事、政民互動的三大功能定位。政府門戶網站是電子政務的窗口,也是政府的窗口,是政府部門履行職能、面向社會提供服務的官方網站,是提高政府電子政務服務質量、服務效率、公眾認知度和滿意度的關鍵環節,是國家重要信息系統。保障電子政務網站安全是各政府部門信息安全建設的核心要求。是各地電子政務建設的重要組成部分,作為當地政府面向社會的窗口,是公眾與政府互動的重要渠道。

十八大即將召開,網站安全建設格外重要

            中共十八次全國代表大會將于2012 年下半年在北京召開。作為中國政府的對外窗口——政府門戶網站,也將面臨嚴峻的考驗?梢灶A見的是,屆時各級政府門戶網站的訪問量將會承受來自世界各地的嚴峻考驗。如何做好黨的十八大期間網絡與信息安全保障是今年各級政府的一項重要工作,各地也紛紛出臺了各項制度和管理規范,就十八大期間的網站安全和保障工作進行了專項部署。為充分發揮政府網站在政府信息公開、提升政府公信力等方面的重要作用,各級政府網站提出了如下要求:

            一、充分發揮政府網站的信息公開、在線服務、互動交流作用

                  二、強化督導檢查,確保網站安全

                  三、加強溝通協作,合力辦好政府門戶網站

網站安全事件劇增,網站用戶信息泄漏引發關注

            近年來,網站安全事件數量不斷攀升,電子政務網站成為了主要目標,國家互聯網應急中心(CNCERT/CC)《2011年我國互聯網網絡安全態勢綜述》顯示“網站安全類事件占到61.7%;境內被篡改網站數量為36612個,較2010年增加5.1%;4-12月被植入網站后門的境內網站為12513個。CNVD接受的漏洞中,涉及網站相關的漏洞占22.7%,較2010年大幅上升,排名由第三位上升至第二位。

            而網站安全問題進一步引發網站用戶信息和數據的安全問題。2011年底,CSDN、天涯等網站發生用戶泄露事件引起社會廣泛關注,被公開的疑似泄露數據庫26個,涉及賬號、密碼信息2.78億條,嚴重威脅互聯網用戶的合法權益和互聯網安全!

境內政府網站遭受境外網絡攻擊增多

            在政府網站安全方面,境外黑客對境內1116個網站實施了網頁篡改;境外11851IP通過植入后門對境內10593個網站實施了遠程控制,其中美國有3328IP(占28.1%)控制著境內3437個網站,位居第一,源于韓國(占8.0%)和尼日利亞(占5.8%)的IP位居第二、三位。

傳統解決方案已無法滿足新形勢下的應用安全威脅

            根據 Gartner 的調查,信息安全攻擊有 75% 都是發生在 Web 應用層,2/3 Web 站點都相當脆弱,易受攻擊。而針對web的攻擊往往隱藏在大量的正常訪問業務行為中,導致傳統防火墻、入侵防御系統無法發現和阻止這些攻擊。    而部分多功能防火墻或者是UTM雖然具備了部分應用層安全防護的能力,但由于其實現方式、缺乏應用層協議的理解能力。在應用層攻擊防護上存在嚴重不足。

2       需求分析

2.1     網站安全現狀分析

            請根據用戶實際環境補充

2.2     網站安全風險分析

            電子政務網站包含Web服務器、存儲服務器、數據庫服務器等多種類型的業務服務器,向internet、intranet等多個區域提供服務,電子政務網站要面臨來自內外網多個區域的安全威脅。其安全保障意義重大。而傳統的安全隔離形式僅僅是通過vlan、ACL訪問控制對其進行安全隔離。應用層攻擊仍然能夠穿透這些安全隔離的手段,從外向內部進行滲透。同時帶有目的性的內網用戶的攻擊滲透行為也是造成眾多泄露事件的原因之一。目前電子政務網站可能面臨的攻擊結果有以下幾種:

            一、網頁篡改問題

            網頁篡改是指攻擊者利用Web應用程序漏洞將正常的網頁替換為攻擊者提供的網頁/文字/圖片等內容。一般來說網頁的篡改對計算機系統本身不會產生直接的影響,但對于電子政務網站,需要與用戶通過網站進行溝通的應用而言,就意味著電子政務服務將被迫停止服務,對政府形象及信譽會造成嚴重的損害。

            二、網頁掛馬問題

            網頁掛馬也是利用Web攻擊造成的一種網頁篡改的安全問題,相對而言這種問題會比較隱蔽,但本質上這種方式也破壞了網頁的完整性。網頁掛馬會導致Web業務的最終用戶成為受害者,成為攻擊者的幫兇或者造成自身的損失。這種問題出現在電子政務網站中也嚴重影響網站的正常運作并影響到政府單位的公信度。

            三、敏感信息泄漏問題

            這類安全問題主要web攻擊、系統漏洞攻擊等攻擊手段操作后臺數據庫,導致數據庫中儲存的用戶資料、身份證信息、賬戶信息、信用卡信息、聯系方式等敏感信息被攻擊者獲取。這對于電子政務網站而言是致命的打擊,可產生巨大的不良影響。

            四、無法響應正常服務的問題

            黑客通過DOS/DDOS拒絕服務攻擊使電子政務網站無法響應正常請求。這種攻擊行為使得Web服務器充斥大量要求回復的信息,嚴重消耗網絡系統資源,導致電子政務網站無法響應正常的服務請求。對于電子政務網站而言是巨大的威脅。

            ……

2.3     網站安全威脅分析

            為了保證電子政務網站業務正常運行,保證電子政務網站不受到上述安全問題的影響。電子政務網站應重點關注以下安全威脅:

1、可造成數據庫信息泄露、網站掛馬篡改、資源獲取的web攻擊

            SQL注入、XSS、CSRF等攻擊是常見的包含在http正常請求中的web攻擊,可以通過80端口滲透傳統防火墻與多功能網關,造成正對數據中心數據庫服務器、web服務器、存儲服務器的攻擊,可能導致信息泄露、數據中心服務器掛馬、數據中心B/S業務篡改、甚至是電子政務網站業務中斷。

            SQL注入等web攻擊逃逸攻擊,由于傳統的多功能網關或者IPS實現應用層攻擊僅僅通過DPI數據包的深度檢測進行攻擊特征分析,攻擊行為一旦采用了逃逸手段,傳統多功能網關類設備或者IPS設備便無法檢測出來。聰明黑客會通過多種手段對防止攻擊行為被檢測,一旦攻擊被利用重新編碼、分片、亂序等逃逸處理方式,傳統的多功能網關將無法檢測并防護。只有真正對數據流進行深度內容解析,理解協議本身,還原其真實的攻擊行為才能夠進行有效的阻斷。

            其他針對電子政務網站的web攻擊還包括:信息泄露攻擊、目錄遍歷、系統命令注入、webshell等多種傳統基于DPI技術的多功能網關無法防御的攻擊,如:

            信息泄露漏洞是由于web服務器配置或者本身存在安全漏洞,導致一些系統文件或者配置文件直接暴露在互聯網中,泄露web服務器的一些敏感信息,如用戶名、密碼、源代碼、服務器信息、配置信息等。

            目錄遍歷漏洞攻擊就是通過瀏覽器向web服務器任意目錄附加“../”,或者是附加“../”的一些變形,編碼,訪問web服務器根目錄或者之外的目錄。

            系統命令注入是攻擊者提交的特殊字符或者操作系統命令,web程序沒有進行檢測或者繞過web應用程序過濾, 把用戶提交的請求作為指令進行解析,導致操作系統命令執行。

            ……

2、可獲得高級系統權限,造成系統癱瘓的漏洞利用攻擊

            利用web服務器、數據庫服務器、中間件服務器等網站服務器本身應用程序、操作系統、應用軟件的漏洞通過緩沖區溢出、惡意蠕蟲、病毒等應用層攻擊,可造成使黑客獲取更高的服務器權限、使服務器癱瘓導致服務器、存儲等資源被攻擊的問題。如:

            操作系統漏洞:構架網站的Web系統包括底層的操作系統(windows sever2003、2007、XP)和Web業務常用的發布系統(如IIS、Apache),這些系統本身存在諸多的安全漏洞;

            應用程序漏洞:構架網站Web系統包括Web業務常用的發布系統(如IIS、Apache),這些系統本身存在諸多的安全漏洞;

            ……

3、可造成網站癱瘓的網絡層+應用層拒絕服務攻擊

            常見的網絡層DDOS攻擊方法有SYN Flood、Established Connection FloodConnection Per Second Flood等;應用層DOS/DDOS攻擊包括:http get flood等攻擊。

            這些網絡層和應用層DOS/DDOS攻擊會耗盡用戶寶貴的網絡和系統資源,使依賴計算機網絡的正常網站業務無法進行,嚴重損害政府的聲譽并造成極大的損失,使IT部門承受極大的壓力。

4、繞過防御體系對業務系統的信息泄露攻擊

            網絡安全往往不是絕對的,黑客仍有機會滲透安全防御體系進行更有目的性、攻擊性的攻擊。黑客繞過防御體系對后臺數據庫進行攻擊,導致在數據中的儲存的用戶資料、身份證信息、賬戶信息、聯系方式等敏感信息被攻擊者獲取的信息泄漏攻擊對網站本身產生重大的威脅,同時也涉及到政府網站后臺的涉密敏感數據信息。

……

3       深信服一站式網站安全解決方案

3.1     深信服NGAF一站式網站安全方案概述

            深信服提供電子政務網站一站式完整安全解決方案。通過部署深信服下一代防火墻NGAF,可實現業務服務器的業務邏輯隔離,核心業務帶寬保障、防止網絡層、應用層安全威脅在數據中心內擴散。

            NGAF的部署可以從從攻擊源頭上防護導致電子政務網站的各類網絡/應用層安全威脅;同時深信服下一代防火墻NGAF提供的雙向內容檢測的技術幫助用戶解決攻擊被繞過后產生的網頁篡改、敏感信息泄露的問題,實現防攻擊、防篡改、防泄密的效果。

            1、NGAF通過訪問控制策略ACL可實現Web服務器區、數據庫服務器區、DMZ等區域的網絡安全域劃分,阻斷各個區域間的網絡通信,防止威脅擴散,防止訪問控制權限不當、系統誤配置導致的敏感信息跨區域傳播的問題;

            2、NGAF通過服務器防護功能模塊的開啟,可實現對各個區域(尤其是DMZ區)的Web服務器、數據庫服務器、FTP服務器等服務器的安全防護。防止黑客利用業務代碼開發安全保障不利,使得系統可輕易通過Web攻擊實現對Web服務器、數據庫的攻擊造成數據庫信息被竊取的問題;

            3、NGAF通過風險評估模塊對服務器進行安全體檢,通過一鍵策略部署的功能開啟IPS、WAF模塊的對應策略,可幫助管理員的實現針對性的策略配置;

            4、利用NGAF入侵防御模塊可實現對各類服務器操作系統漏洞(如:winserver2003、linux、unix等)、應用程序漏洞(IIS服務器、Apache服務器、中間件weblogic、數據庫oracle、MSSQL、MySQL等)的防護,防止黑客利用該類漏洞通過緩沖區溢出、惡意蠕蟲、病毒等應用層攻擊獲取服務器權限、使服務器癱瘓導致服務器、存儲等資源被攻擊的問題;

            5、NGAF防病毒檢測的模塊可實現各個安全域的流量清洗功能,清洗來自其他安全域的病毒、木馬、蠕蟲,防止各區域進行交叉感染;

            6、NGAF DDOS/DOS攻擊防護模塊可以防止利用協議漏洞對服務器發起的拒絕服務攻擊使得服務器無法提供正常服務,導致業務中斷等問題。

3.2     深信服NGAF方案設計理念

            深信服NGAF提供對電子政務網站安全三維立體防護解決方案,深入分析黑客攻擊的時機和動機。從事件周期、攻擊過程、防護對象三個維度出發,提供全面的安全防護手段,保護web業務系統不受來自各方的侵害。

基于事件周期的設計

            攻擊的防護不可能實現百分百的安全。電子政務網站的安全建設必須貫穿到整個Web安全事件周期中,設立事前、事中、事后三道安全防線分階段進行防護。

            NGAF提供事前策略自檢、事中攻擊防護、事后防止篡改的整體安全防護。

Ø  事前策略自檢:在配置完安全策略后,NGAF可以自動進行掃描和探測,查看系統還存在哪些安全策略漏洞和隱患;

Ø  事中攻擊防護: 2-7層完整的安全防護,包括:Web攻擊防護、漏洞防護、病毒防護等;

Ø  事后網頁篡改響應:可以針對被篡改的靜態網頁進行告警、替換、還原等功能。

基于攻擊過程的安全防護

            傳統的web安全防護采用的是防火墻+IPS+WAF割裂式的安全防護體系,針對各類的攻擊總是被動的增補相應功能的安全設備。而對于Web安全防護不是單一攻擊手段的防護,而需要對黑客攻擊動機與時機進行分析,基于黑客的攻擊過程的每一個環節進行統一防護。

            NGAF的設計是基于黑客攻擊過程的完整Web系統安全防護,針對黑客入侵三步曲即掃描、入侵、破壞進行統一的安全防護:

Ø  掃描過程:提供防端口/服務掃描、防弱口令暴力破解、關鍵URL防護、應用信息隱藏等

Ø  攻擊過程:提供強化的Web攻擊防護(防SQL注入、OS命令注入、XSS攻擊、CSRF攻擊)、多對象漏洞利用防護等

Ø  破壞過程:提供抗應用層DOS攻擊、可執行程序上傳過濾、上行病毒木馬清洗等

多維對象的全面防護

            安全的漏洞就像木桶的短板,任何可以被黑客利用的機會都可能導致所有的防護措施形同虛設。對眾多用戶網絡安全現狀分析后,發現安全問題是多角度、多方面的,在Web安全規劃中,一味強調Web服務器的防護是遠遠不夠的。面對防護全面的Web應用服務器,黑客往往以退為進采用“跳板式攻擊”,先突破漏洞較多的內網終端,通過內網終端竊取密碼后堂而皇之的入侵Web服務器。

            NGAF不僅提供強化的服務器安全防護,針對網內存在巨大安全風險,很有可能成為“肉雞”被黑客利用的終端也采取了嚴格的防護措施。

Ø  基于終端漏洞防護

Ø  終端的病毒防護

Ø  惡意插件、腳本過濾

      NGAF充分考慮安全事件周期性,基于黑客攻擊行為的過程,提供多維對象防護的完整Web安全解決方案。

      除此之外,NGAF涵蓋了L2-L7全面的安全功能,可以替代FW、IPS、WAF,節省投資。同時,簡化了組網,統一了管理,極大地提升運維工作效率。

3.3     深信服NGAF方案特點

3.3.1  雙向內容檢測技術

            NGAF可實現對HTTP/HTTPS協議的深入解析,精確識別出協議中的各種要素,如cookie、Get參數、Post表單等,并對這些數據進行快速的解析,以還原其原始通信的信息,根據這些解析后的原始信息,可以精確的檢測其是否包含威脅內容。而傳統的IPS基于DPI深度數據包解析技術,只能實現在網絡層數據包層面進行重組還原及特征匹配,無法解析基于HTTP協議的內容分析,很難有效檢測針對web應用的攻擊。而具備簡單web攻擊防護的IPS,僅僅是基于簡單的特征檢測技術,存在大量的漏報誤報的信息。

            NGAF作為web客戶端與服務器請求與響應的中間人,能夠有效的避免web服務器直接暴露在互聯網之上,NGAF雙向內容檢測技術可檢測過濾HTTP雙向交互的數據流包括response報文,對惡意流量,以及服務器外發的有風險信息進行實時的清洗與過濾。

3.3.2  典型的Web攻擊防護,防止Owasp十大web安全威脅

            深信服下一代防火墻NGAF有效結合了web攻擊的靜態規則及基于黑客攻擊過程的動態防御機制,實現雙向的內容檢測,提供OWASP定義的十大安全威脅的攻擊防護能力,有效防止常見的web攻擊。(如,SQL注入、XSS跨站腳本、CSRF跨站請求偽造)從而保護電子政務網站免受網站篡改、網頁掛馬、隱私侵犯、身份竊取、經濟損失、名譽損失等問題。

3.3.3  基于應用的深度入侵防御,有效防止服務器漏洞利用攻擊

            NGAF基于應用的深度入侵防御采用六大威脅檢測機制:攻擊特征檢測、特殊攻擊檢測、威脅關聯分析、異常流量檢測、協議異常檢測、深度內容分析能夠有效的防止各類已知未知攻擊,實時阻斷黑客攻擊。如,緩沖區溢出攻擊、利用漏洞的攻擊、協議異常、蠕蟲、木馬、后門、DoS/DDoS攻擊探測、掃描、間諜軟件、以及各類IPS逃逸攻擊等。

            通過NGAF的部署可有效防止利用web服務器、數據庫服務器、中間件服務器等網站服務器本身應用程序、操作系統、應用軟件的漏洞通過緩沖區溢出、惡意蠕蟲、病毒等應用層攻擊,使黑客獲取更高的服務器權限、使服務器癱瘓導致服務器、存儲等資源被攻擊的問題。

3.3.4  網關型網頁防篡改,防止篡改網頁被用戶訪問

            網頁防篡改功能是深信服下一代防火墻NGAF-服務器防護中的一個子模塊,其設計目的在于提供的一種事后補償防護手段,即使黑客繞過安全防御體系修改了網站內容,其修改的內容也不會發布到最終用戶處,從而避免因網站內容被篡改給組織單位造成的形象破壞、經濟損失等問題。

            當網頁被數據篡改后,用戶看到的頁面變成了非法頁面或者損害政府形象的網頁,這種事故往往會給政府造成很嚴重的影響。深信服下一代防火墻NGAF網站篡改防護功能可有效降低此類風險,當內部網站數據被篡改之后,設備可以重定向到備用網站服務器或者指定的其他頁面,并且及時地通過短信或者郵件方式通知管理員。

3.3.5  可定義的敏感信息防泄漏,有效防止“拖庫”、”暴庫

            NGAF提供可定義的敏感信息防泄漏功能,根據儲存的數據內容可根據其特征清晰定義,通過短信、郵件報警及連接請求阻斷的方式防止大量的敏感信息被竊取。深信服敏感信息防泄漏解決方案可以自定義多種敏感信息內容進行有效識別、報警并阻斷,防止大量敏感信息被非法泄露。

Ø  郵箱賬戶信息

Ø  MD5加密密碼

Ø  銀行卡號

Ø  身份證號碼

Ø  社保賬號

Ø  信用卡號

Ø  手機號碼

……

            通過深信服深度內容檢測技術的應用,深信服下一代防火墻具備深度內容檢測的能力。能夠檢測出通過文件、數據流、標準協議等通過網關的內容。因此具備針對敏感信息,如186、139等有特征的11位的手機號碼、18位身份證號,有標準特征的@郵箱等有特征數據進行識別。并通過分離平面設計的軟件構架,實現控制平面與內容平面檢測聯動,通過控制平面向底層數據轉發平面發送操作指令來阻斷敏感信息的泄漏。有防護了各單位、政府、金融機構的敏感泄漏的風險。

3.3.6  應用信息隱藏,使網站對黑客全面隱身

            NGAF可提供外部訪問網站進行隱身,可以隱藏真實的Web服務器類型、應用服務器類型、操作系統、版本號、版本更新程度、已知安全漏洞、真實IP地址、內部工作站信息,讓黑客看不見,摸不著,探測不到,自然也無從猜測分析和攻擊。亦可針對主要的服務器(WEB服務器、FTP服務器、郵件服務器等)反饋信息進行了有效的隱藏。防止黑客利用服務器返回信息進行有針對性的攻擊。如:HTTP出錯頁面隱藏、響應報頭隱藏、FTP信息隱藏等。

            當客戶端訪問WEB網站的時候,服務器會通過HTTP報文頭部返回客戶端很多字段信息,例如Server、Via等,Via可能會泄露代理服務器的版本信息,攻擊者可以利用服務器版本漏洞進行攻擊。因此可以通過隱藏這些字段來防止攻擊。

            網站掃描也是黑客獲取網站信息關鍵的步驟,通常會對WEB站點進行掃描,對WEB站點的結構、漏洞進行進行掃描。NGAF設備可以檢測到如爬蟲、掃描軟件,如appscan、等多種掃描攻擊行為并進行阻斷。

3.3.7  智能的DOS攻擊防護,保證網站訪問可用性

            NGAF采用自主研發的DOS攻擊算法,可防護基于數據包的DOS攻擊、IP協議報文的DOS攻擊、TCP協議報文的DOS攻擊、基于HTTP協議的DOS攻擊等,實現對網絡層、應用層的各類資源耗盡的拒絕服務攻擊的防護,實現L2-L7層的異常流量清洗。

3.3.8  安全風險評估與策略聯動,降低安全維護成本

            NGAF基于時間周期的安全防護設計提供事前風險評估及策略聯動的功能。通過端口、服務、應用掃描幫助用戶及時發現端口、服務及漏洞風險,并通過模塊間的智能策略聯動及時更新對應的安全風險的安全防護策略。幫助用戶快速診斷電子商務平臺中各個節點的安全漏洞問題,并做出有針對性的防護策略。

3.3.9  智能的防護模塊聯動,防止有目的網站APT攻擊

            智能的主動防御技術可實現NGAF內部各個模塊之間形成智能的策略聯動,如一個IP/用戶持續向內網服務器發起各類攻擊則可通過防火墻策略暫時阻斷IP/用戶。智能防護體系的建立可有效的防止工具型、自動化的黑客攻擊,提高攻擊成本,可抑制APT攻擊的發生。同時也使得管理員維護變得更為簡單,可實現無網管的自動化安全管理。

3.3.10                  完善產品容錯能力,保證網站訪問的穩定性

硬件bypass

            NGAF可實現硬件故障bypass保證數據中心穩定性。借助于掉電保護模塊,可保證NGAF透明模式在斷電、硬件故障等異常情況下能夠確保網絡的通暢性,并實現微秒級切換。

關鍵部件冗余

            NGAF支持關鍵部件冗余的容錯機制,保證設備在高溫等惡劣環境下出現故障時的快速切換。

    支持雙電源,避免由于單電源故障造成的系統不能訪問

    風扇1+1冗余,避免單風扇在高溫情況下不能工作的問題

    支持熱插拔

存儲介質冗余

            為保證存儲日志的冗余,防止硬盤出現故障時無法記錄日志的問題,能夠避免由于單磁盤故障造成設備不能使用的情況。

分離平面設計

            深信服NGAF采用OS分離平面設計,數據流平面上分為控制平面、網絡數據轉發平面與內容檢測平面。網絡層數據轉發平面主要作用在于使數據包快速緩存并轉發;內容檢測平面主要用戶數據流應用識別與安全分析,結合應用識別、漏洞特征識別、web攻擊流量識別等模塊完成應用層安全分析與防護。

            使用數據轉發平面與內容檢測平面相分離的技術設計,能夠優化處理流程,有效保障網絡數據的可用性。正常情況下,數據流由數據轉發平面復制到內容檢測平面進行深度內容檢測,當有威脅內容時,通過控制平面阻斷數據轉發平面有威脅數據的外發,保證內容的安全性。當內容檢測模塊出現故障時,通過控制平面數據轉發層面會將數據正常轉發,保證網絡暢通保障業務正常運行。

3.4     方案價值

            深信服電子政務網站安全“一站式“解決方案是針對面向互聯網、第三方網絡發布過程中潛在的各類安全問題專門開發的一套安全防護解決方案。該方案有效的彌補了傳統安全解決方案在Web業務安全防護能力的不足:

            事前,快速的進行風險掃描,幫助用戶快速定位安全風險并智能更新防護策略;

            事中,有效防止了引起網頁篡改問題、網頁掛馬問題、敏感信息泄漏問題、無法響應正常服務問題及“拖庫”、“暴庫”問題的web攻擊、漏洞攻擊、系統掃描等攻擊;

            事后,對服務器外發內容進行安全檢測,防止攻擊繞過安全防護體系,對Web業務產生的網站篡改、數據泄漏問題。

            同時該方案從簡化組網、方便運維、最優投資的用戶角度出發,可為電子政務網站打造L2-L7層的安全防護體系構架,實現完整的安全防護,同時在可用性、可靠性上采用了深信服特有的先進技術電子政務網站的正常穩定運行,打造一個“安全”、“可靠”、“高效”的“一站式“電子政務網站安全解決方案。



@ 2016  深圳藍色快線信息技術服務有限公司版權所有! 
公司總部地址:廣州市天河區棠下二社涌邊路69號天輝大夏二層2G02室  
廣州分部:廣州市天河區天河路598號百腦匯科技大廈B棟704 

深圳分部:深圳市龍華區民康路283號東明大夏1521-1522室
聯系電話:15073824221 座機:0755-82078112

免費熱線:400-8839-693(廣州),400-6428-266(深圳)


關注深圳藍色快線微博:
官方微信帳號:藍色快線 備案號:粵ICP備12083784號-3
  





0


粵公網安備 44030702001927號

pk10牛牛51计划 私募股权基金配资 吉林11选5中奖规则 上市公司基金配资 北京快乐8官网下载app 北京pk10怎么研究走势 河北排列7开奖时间 广西快三高手计划 淘宝天天红包赛能拿多少红包 国电电力股票行情 12098排列3预测