随着网络技术的发展,网络已成为人们进行信息交换的主要工具,然而,在人们享受网络带来极大方便的同时,也面临着极为严重的网络安全问题。防火墙(Firewall)是解决网络安全的重要设备之一,防火墙放置在不同安全域之间。传统防火墙工作在网络的二、三层,保障“可信任的”网络安全并且维持“可信任的”网络与“不可信任”网络间通讯的方便。
但是随着互联网应用类型的不断增加以及应用形式的不断变化,层出不穷的安全威胁时刻发生在我们身边,而传统的安全防护手段则必须经过进化来应对各种新的安全威胁的不断挑战。不断变化的业务流程、企业部署的技术,以及威胁,正推动对网络安全性的新需求。不断增长的带宽需求和新应用架构(如Web2.0),正在改变协议的使用方式和数据的传输方式。安全威胁将焦点集中在诱使用户安装可逃避安全设备及软件检测的有针对性的恶意执行程序上。为了应对这些挑战,防火墙必须演进为被著名市场研究公司Gartner称之为“第二代防火墙(NextGenerationFirewall,简称NGFW)”的产品。
第二代防火墙在具有传统防火墙功能与特点的同时,还要具有“强大的web防护功能 ”、“强大的主机防护 ”、“负载均衡 ”、“应用管控与可视化”以及“智能化联动”相关特性。
铱迅第二代防火墙系统(英文:Yxlink Next Generation Firewall,简称:Yxlink NGFW)是一款可以全面应对应用层威胁的高性能防火墙。通过深入洞察网络流量中的用户、应用和内容,并借助全新的高性能单路径异构并行处理引擎,NGFW能够为用户提供有效的应用层一体化安全防护,帮助用户安全地开展业务并简化用户的网络安全架构。
且结合目前国内的互联网安全环境来看,更多的安全事件是通过Web层面的设计漏洞被黑客利用所引发。黑客利用网站操作系统的漏洞和Web程序的SQL注入漏洞等得到Web服务器的控制权限,轻则篡改网页内容,重则窃取重要内部数据,更为严重的则是在网页中植入恶意代码,使得网站访问者受到侵害。
当前网络上75%的攻击是针对Web应用的。这些攻击可能导致网站遭受声誉损失、经济损失甚至政治影响。在这种场景下,如果作为出口安全网关的防火墙不具备Web应用防护能力,那么在新出现的APT攻击的大环境下,现有的安全设备很容易被绕过,形同虚设,第二代防火墙做为一款融合型的安全产品,不能存针对基于Web的应用安全短板。做为国内第二代防火墙产品的领导者,和WAF防火墙的领导者,铱迅信息走在前沿,在产品推出伊始就把Web应用防护这个基因深深地植入到铱迅第二代防火墙当中,铱迅第二代防火墙(Next-Generation Application Firewall)NGAF面向应用层设计,能够精确识别用户、应用和内容,具备完整的L2-L7层的安全防护体系,强化了在Web层面的应用防护能力,不仅能够全面替代传统防火墙,并具在开启安全功能的情况下还保持有强劲应用层处理能力的全新网络安全设备。
1.强大的web应用防护
“铱迅第二代防火墙”可以给您的web服务器提供应用层的保护,功能包括:
- SQL 注入攻击(包括 URL、POST、Cookie 等方式的注入)
- XSS 攻击、CSRF 攻击
- Web 常规攻击(包括远程包含、数据截断、远程数据写入等)
- 命令执行(执行 Windows、Linux、Unix 关键系统命令)
- 危险存储过程执行
- 缓冲区溢出攻击
- 数据库信息窃取、泄露
- 扫描器探测
- 恶意代码
铱迅第二代防火墙提供智能的自主学习以及自动建模技术,通过匹配防护URL中的参数,学习参数的类型和一般长度,通过流量学习或者主动页面抓取分析,对的动态提交参数进行建模。如提交参数为数字型时,铱迅第二代防火墙自动建立安全策略,限定提交参数仅允许是数字,提交非数字数据即视为非法攻击,提升网站的安全防护水平。
2.主机防护
“铱迅第二代防火墙”提供主机以及软件漏洞防护,包括:
- 操作系统漏洞防护(包括Windows、Linux、Unix等)
- 数据库防护(包括SQL server、mysql、oracle、DB2等)
- 常用服务器防护(包括邮件服务、FTP服务、DNS服务、DHCP服务)
- 网络设备防护(包括Cisco、D-link、F5、趋势科技等)
- Web服务器防护(包括apache、IIS、Nginx)
铱迅第二代防火墙”内置的特征库主要用于检测各类已知攻击,对网络中传输的数据包进行高速匹配,确保能够准确、快速地检测到此类攻击。“铱迅第二代防火墙”装载权威的专家知识库,提供总数超过10000条的规则库进行支持与匹配,提供高品质的攻击特征介绍和分析,基于高速、智能模式匹配方法,能够精确识别各种已知攻击,包括病毒、特洛伊木马、P2P 应用、即时通讯等,并通过不断升级攻击特征,保证第一时间检测到攻击行为。
3.上网行为管理
支持对恶意网址、网络钓鱼、网络广告、僵尸网络进行过滤;另一方面产品内置XX大类XX个子类URL分类库,可以针对URL分类进行访问控制,防止对于不良网站和与业务无关网站的访问。并能综合带宽和流量管量综合运用了带宽通道划分技术、上、下行限制带宽和保证带宽技术、带宽通道优先级技术、带宽公平分配技术、空闲带宽共享分配技术等多种技术手段,支持按应用、IP地址、协议端口、用户、时间进行带宽控制和流量配额管理,帮助用户合理、有效的使用有限的带宽资源,保证关键业务的正常运营。
4.防病毒功能
铱迅第二代防火墙系统”具备高效、灵活的防病毒能力,实现针对 HTTP、UDP、TCP、 ICMP、SMTP、FTP 等多种协议的病毒流量监测和控制,第一时间完成对木马病毒、蠕虫 病毒、宏病毒,以及脚本病毒的查杀,控制或消除上述威胁对系统的危害。
5.负载均衡功能
“铱迅第二代防火墙系统”的支持链路负载均衡和服务器负载均衡,提供了一种廉价、有效、透明的方法扩展网络设备和服务器的带宽、增加吞吐量、加强网络数据处理能力,提高网络的灵活性和可用性。
链路负载均衡
当内网和外网之间存在多条链路时,通过“铱迅第二代防火墙系统”链路负载均衡功能可以实现在多条链路上分担内网用户访问外网服务器的流量。“铱迅第二代防火墙系统”链路负载均衡技术通过动态算法,能够在多条链路中进行负载均衡,算法配置简单,且具有自适应能力。同时,“铱迅第二代防火墙系统”提供了相应的策略设置以供用户自定义源/目的IP的链路选择。
服务器负载均衡
服务器负载均衡可以高效地使由多个独立计算机组成的松耦合的服务系统构成一个虚服务器;客户端应用程序与服务系统交互时,就像与一台高性能、高可用的服务器交互一样,客户端无须作任何修改。部分服务器的切入和切出不会中断服务,而用户觉察不到这些变化。
“铱迅第二代防火墙系统”通过调度算法,将客户端请求合理地均衡到后端各台服务器上,消除系统可能存在的瓶颈。同时,通过健康性检测功能,能实时监测应用服务器的状态,保证在部分硬件和软件发生故障的情况下,整个系统的服务仍然可用。
1.多核并行控制技术
铱迅第二代防火墙系统,通过对网络协议底层的深层次的优化,可以达到百万级别的并发连接。此技术得益于铱迅多年的多核并行控制技术。多核并行不是简单的CPU 叠加,需要从硬件到软件、从操作系统底层到上层应用进程去全方位支持多核CPU,为此铱迅信息专门开发了自己的多核并行控制器,用于处理核内、核间任务的分工与调度。来自网络层的数据包进入多核并行控制器后,多核并行控制器将数据包均衡的分配到各个不同的CPU,以便完成后续多颗CPU的并行事务处理。
2.庞大的内置特征库
特征库主要用于检测各类已知攻击,对网络中传输的数据包进行高速匹配,确保能够准确、快速地检测到此类攻击。Yxlink NGFW 装载权威的专家知识库,提供总数超过10000条的规则库进行支持与匹配,提供高品质的攻击特征介绍和分析,基于高速、智能模式匹配方法,能够精确识别各种已知攻击,包括病毒、特洛伊木马、P2P 应用、即时通讯等,并通过不断升级攻击特征,保证第一时间检测到攻击行为。
3.攻击碎片重组技术
通过铱迅独有的碎片包重组技术,可以有效的防止黑客通过发送碎片的数据包来绕过检测引擎的检测。而铱迅的第二代防火墙可以准确的模拟TCP/IP栈进行完整重组数据包。
4.多种编码还原与抗混淆技术
铱迅第二代防火墙系统可以有效防止黑客利用大小写变换、ASCII编码、UNICODE编码、注释、混淆等方式绕过检测引擎。铱迅内置的解码模块可以将复杂编码后的数据还原为最基本的数据格式进行匹配。
1.透明或路由模式
透明网桥模式指在两台运行的设备中间插入“铱迅第二代防火墙系统”(Yxlink NGFW),整个设备相当于一个网线,对流量并不产生影响。在透明网桥模式下,“铱迅第二代防火墙系统”可以阻断、过滤来自2-7层的攻击,而让其他正常的流量通过。透明网桥部署模式的最大特点是快速、简便,可做到即插即用,先部署后配置,不影响现有网络拓扑。
路由模式是修改网络相关路由配置,将“铱迅第二代防火墙系统”串接入网络中,实现其防护功能。
2.策略路由模式
通过配置策略路由,只将需要防护的服务器流量发送到“铱迅第二代防火墙系统” (Yxlink NGFW)。
