AF---下一代防火墙

一、防火墙的概述

1、防火墙的定义

防火墙是网络安全设备，用于控制两个网络之间的安全通信。它通过监测、限制、更改跨越防火墙的数据流，尽可能的对外屏蔽网络内部的信息，结构和运行状况，以此来实现对网络的安全保护

2、防火墙的功能

①访问控制

②地址转换

③网络环境支持

④带宽管理功能

⑤入侵检测和攻击防御

⑥用户认证

⑦高可用性

3、防火墙的应用场景

①互联网出口安全防护场景

②对外业务发布安全防护场景

③分支机构安全防护场景

④数据中心安全防护场景

二、防火墙的发展历程

1、包过滤防火墙-----一个严格的规则表

①判断信息：数据包五元组（源ip、目的ip、源端口、目的端口、协议类型）

②工作范围：网络层、传输层（3-4层）

③技术应用：包过滤技术

④优势：对于小型站点容易实现，处理速度快，价格便宜

⑤劣势：规则表很快会变得庞大复杂难运维，只能基于五元组

2、应用代理防火墙-----每个应用添加代理

①判断信息：所有应用层的信息包

②工作范围：应用层（7层）

③和包过滤防火墙的区别：

包过滤防火墙工作基于3-4层，通过检验报头进行规则表匹配；

应用代理防火墙工作7层，检查所有的应用层信息包，每个应用需要添加对应的代理服务

④技术应用：应用代理技术

⑤优势：检查了应用层的数据、

⑥劣势：检测效率低，配置运维难度极高，可伸缩性差

3、状态检测防火墙-----首次检查建立会话表

①判断信息：IP地址、端口号、TCP标记

②工作范围：数据链路层、网络层、传输层（2-4层）

③和包过滤防火墙的区别：

包过滤防火墙工作基于3-4层，通过检验报头进行规则表匹配；

是包过滤防火墙的升级版，一次检查建立会话表，后期直接按会话表放行

④技术应用：状态检测技术

⑤优势：主要检查3-4层能够保证效率，对TCP防御较好

⑥劣势：应用层控制较弱，不检查数据区

4、入侵检测系统（IDS）-----网络摄像头

①部署方式：旁路部署，可多点部署

②工作范围：2层

③工作特点：根据部署位置监控到的流量进行攻击事件监控，属于一个事后呈现的系统，相当于网络上的监控摄像头

5、入侵防御系统（IPS）-----抵御2-7层已知威胁

①部署方式：串联部署

②工作范围：2-7层

③工作特点：根据已知的安全威胁生成对应的过滤器（规则），对于识别为流量的阻断，对于未识别的放通

6、防病毒网关（AV）-----基于网络侧识别病毒文件

①判断信息：数据包

②工作范围：2-7层

③目的：防止病毒文件通过外网进入到内网环境

7、web应用防火墙（WAF）-----专门用来保护web应用

①判断信息：http协议数据的request和response

②工作范围：应用层（7层）

③目的：防止基于应用层的攻击影响web应用系统

④主要技术原理：

代理服务、特征识别、算法识别

8、统一威胁管理（UTM）-----多合一安全网关

①包含功能：FW、IDS、IPS、AV

②工作范围：2-7层(但不具备web应用防护能力）

③目的：将多种安全问题通过一台设备解决

④优点：功能多合一有效降低了硬件成本、人力成本、时间成本

⑤缺点：模块串联效率低，性能消耗大

9、下一代防火墙（NGFW）-----升级版的UTM

①包含功能：FW、IDS、IPS、AV、WAF

②工作范围：2-7层

③和UTM的区别：

与UTM相比增加的web应用防护功能；

UTM是串行处理机制，NGFW是并行处理机制；

NGFW的性能更强，管理更高效

三、防火墙的性能指标

1、吞吐量

①吞吐量：防火墙能同时处理的最大数据量

②吞吐量越大，性能越高

2、时延

①时延：数据包的第一个比特进入防火墙到最后一个比特输出防火墙的时间间隔指标

②时延越小，性能越高

3、丢包率

①丢包率：在连续负载的情况下，防火墙由于资源不足，应转发但是未转发的百分比

②丢包率越小，性能越高

4、背靠背

①背靠背：防火墙缓冲容量的大小

②背靠背越大，性能越高

5、并发连接数

①并发连接数：由于防火墙是针对连接进行处理的，并发连接数目是指防火墙可以同时容纳的最大的连接数目，一个连接就是一个TCP/UDP的访问

②并发连接数越大，抗攻击能力越强

四、深信服下一代防火墙解决方案

1、全面业务保护-----事前风险预知

资产识别、威胁识别、脆弱性识别

2、全面业务保护-----事中风险全面防御

提供L2-L7的全面防御能力，提供专业的应用层防御能力内部融合众多安全模块，如漏洞攻击防护、web应用防护、病毒防护、URL过滤等，精确封锁恶意威胁

3、全面业务保护-----事后持续检测与响应

五、下一代防火墙组网方案

1、下一代防火墙支持路由模式、透明模式、虚拟网线模式、混合模式、旁路模式

2、路由模式

①配置思路

⑴配置接口地址，并定义接口对应的区域

⑵配置路由

⑶配置代理上网

⑷配置端口映射

⑸配置应用控制策略，放通内网用户上网权限

⑹配置安全防护策略

②在此组网方式时，防火墙位于内部网络和外部网络之间，负责在内部网络、外部网络中进行路由寻址，相当于路由器。其与内部网络、外部网络相连的上下行业务接口均工作在三层，需要分别配置不同网段的IP地址

3、透明模式

①配置思路

⑴配置接口地址，并定义接口对应的区域

⑵配置管理接口

⑶配置路由

⑷配置应用控制策略，对不同区域间的访问权限进行控制

⑸配置安全防护策略

②不用配置地址转换

4、虚拟网线

虚拟网线是透明部署的一种特殊情况，虚拟网线必须成对存在，转发数据时，无需检查MAC表，直接从虚拟网线配对的接口转发。且虚拟网线接口的转发性能高于透明接口，单进单出网桥的环境下，推荐使用虚拟网线接口部署

5、旁路模式

①配置思路

⑴配置镜像接口，定义接口对应的区域，并配置流量监听网络对象

⑵配置管理接口

⑶配置路由

⑷启用旁路reset功能

⑸配置安全防护策略

②设备旁挂在现有的网络设备上，不影响现有的网络结构，通过端口镜像技术把流量镜像到下一代防火墙，实现对数据的分析和处理、

6、AF路由的优先级默认是VPN路由>静态路由/动态路由>策略路由>默认路由

六、终端安全检测和防御技术

1、终端上网安全可视可控技术

①基于应用的控制策略

②基于服务的控制策略

2、网关杀毒技术

①计算机病毒的工作步骤

潜伏阶段--->传染阶段--->触发阶段--->发作阶段

②网关杀毒实现方式

⑴代理扫描方式

⑵流扫描方式

3、SAVE引擎优势

⑴基于AI技术提取稳定可靠的高层次特征，能够识别未知病毒或者已知病毒的新变种

⑵对勒索病毒检测效果达到业内领先

⑶轻量级，资源占用少

⑷云+边界设备+端联动

4、僵尸网络检测和防御技术

异常流量检测

5、勒索病毒的感染过程

⑴首先，黑客通过SMB、RDP等口令暴力破解、勒索常用端口利用、以及服务器漏洞等的利用想方设法让勒索病毒感染用户主机

⑵当主机感染了勒索病毒文件之后，会在主机上运行勒索程序，同时黑客也会尝试利用SMB、RDP手动进行横向传播，感染更多的主机

⑶接着，当勒索程序在一台或多台主机上被运行后，勒索病毒会遍历本地所有磁盘，对指定类型的文件进行加密，加密后的文件无法再被读取

⑷生成勒索信息文件，告知受害者这台机器已经中了勒索病毒了，并要求受害者在规定时间内支付一定价值的比特币才能恢复数据，否则赎金会加倍或者不再提供解密

⑸加密后数据正常无法自己解密，因为勒索采用的是高强度非对称加密方式，受害者在没有私钥情况下无法恢复文件

6、勒索病毒的防护方式

⑴事前加固：勒索病毒风险评估，精准评估勒索病毒进入点风险，配置勒索病毒专项策略，全面防护勒索风险

⑵事中积极防御：通过配置的勒索病毒专项策略，全面防护勒索风险

⑶事后快速响应与处置：隔离识别已失陷的主机，专项工具进行杀毒

七、服务器安全检测和防御技术

1、DOS攻击检测和防御技术

①DOS目的

⑴消耗带宽

⑵消耗服务器性能

⑶引发服务器宕机

②防御方式

开启外网防DOS功能

2、漏洞攻击防护入侵检测和防御技术

①漏洞攻击入侵手段

⑴网络设备、服务器漏洞

⑵后门、木马、间谍软件等

⑶口令暴力破解

②漏洞攻击防护原理

漏洞攻击防护通过对数据包应用层里的数据内容进行威胁特征检查，并与漏洞攻击防护规则库进行比对，如果匹配则拒绝该数据包，从而实现应用层漏洞攻击防护的防护

③漏洞攻击防护方式

配置漏洞攻击防护策略

3、web攻击检测和防御技术

①SQL注入

利用一些专业的SQL注入工具进行攻击，这些工具的攻击都是具有固定数据流特征的

②信息泄露攻击

③CSRF攻击

④web攻击防御方式

配置web应用防护策略

4、联动封锁技术

①联动封锁类型

⑴高危行为联动封锁：仅封锁具有高危行为特征的IP，优先保证用户流畅上网、业务稳定的提供服务

⑵任意攻击行为联动封锁：对任意具有攻击特征的IP执行访问封锁，最大化业务和用户的安全防御能力

②策略联动配置

入侵防护功能和web应用防护功能在安全防护策略中启动；

DOS防护、CC攻击及暴力破解功能单独配置联动封锁功能

5、网页防篡改技术

①防篡改主流技术

⑴定时循环扫描技术（外挂轮询）

⑵事件触发技术

⑶核心内嵌（数字水印）技术

②深信服网页防篡改

深信服网页防篡改解决方案采用文件保护系统+下一代防火墙紧密结合，文件监控二次认证功能紧密联动

八、安全评估与动态检测技术

1、风险分析技术

①风险分析两大功能

⑴对目标IP进行端口扫描，让管理员及时关闭不必要的端口和服务

⑵对目标网站进行弱密码扫描，解决数据库弱口令访问不安全的问题

②配置思路

⑴配置不可信来访区域、访问的目标IP范围和端口

⑵启动弱密码扫描

⑶查看防护风险报告

2、web扫描技术

该扫描器旨在帮助广大用户对web服务器网站进行深度的安全扫描、指纹识别、漏洞检测，全面预知web应用系统的安全现状，并提供专业的安全加固建议

3、实时漏洞分析技术

深信服AF实时漏洞分析系统实时检测经过设备的应用流量，对流量进行对应的应用解析并匹配实时漏洞分析识别库，从而来发现服务器可能存在的风险和漏洞

4、热点事件预警与处理

热点事件搜集--->信息推送--->自动扫描--->一键防护

5、安全处理中心

业务风险可视