目录
Ⅰ 入侵防御、病毒防护简介
应用场景:
随着互联网的飞速发展,网络环境也变得越来越复杂,恶意攻击、木马、蠕虫病毒等混合威胁不断增大,企业需要对网络进行多层、深层的防护来有效保证其网络安全,入侵防御系 统 (IPS)功能正是为网络提供深层防护。如果内网的服务器存在这一些漏洞不及时修补,漏洞就有可能会被入侵者利用,造成不可避免的后果。此时可在出口防火墙上开启病毒、漏洞、 木马等事件过滤功能,NGFW设备开启应用层过滤功能(包括:入侵防护、病毒防护、应用控制、应用过滤)后,所有进入设备的数据包均要通过分析、检测、防护以及告警,保护服务器免受攻击。
DOS侧重于通过对主机特定漏洞的利用攻击导致网络栈失效、系统崩溃、主机死机而无法提供正常的网络服务功能,从而造成拒绝服务。常见的DOS攻击手段有syn flood、icmp flood、udp floodTearDrop、Land、Jolt、IGMP Nuker、Boink、Smurf、Bonk、OOB等;扫描也是网络攻击的一种,攻击者在发起网络攻击之前,通常会试图确定目标上开放的 TCP/UDP端口,而一个开放的端口 通常意味着某种应用。
DDOS的表现形式主要有两种,一种为流量攻击,主要是针对网络带宽的攻击,即大量攻击包导致网络带宽被阻塞,合法网络包被虚假的攻击包淹没而无法到达主机;另一种为资源耗尽攻击,主要是针对服务器主机的攻击,即通过大量攻击包导致主机的内存被耗尽或CPU被内核及应用程序占完而造成无法提供网络服务。
NGFW的防SYN Flood攻击采用了业界最新的syncookie技术,在很少占用系统资源的情况下,可以有效地抵御SYN Flood等DDOS攻击对受保护服务器的攻击。从而阻止外部的恶意攻击,保护设备和内网,当检测到此类扫描探测时,向用户进行报警提示。
功能原理:
反病毒一词指的是在防止不必要的和潜在的恶意文件进入网络的一组功能,这些功能一不同的方式进行工作,包括检查文件大小,名称或类型,或病毒或灰色软件特征的存在。
反病毒扫描文件是否含有病毒、蠕虫、木马和恶意软件。反病毒扫描引擎拥有用于识别感染类型的病毒特征库,如果扫描器发下文件具有病毒特征,即确定该文件被感染,并采取正确的措施。
最彻底的扫描要求全新NGFW具有整个文件的扫描程序。因此,反病毒代理,对到达的文件时,对文件进行缓存,传输完成后,病毒扫描器开始扫描文件,如果未被感染,则将其发送至目的地,如果被感染,则将替换信息发送至目的地。
全新NGFW还支持基于数据流的反病毒扫描,基于数据流模式的反病毒扫描使用全新NGFW ips引擎来检查病毒、蠕虫、木马和恶意软件的网络流量,无需缓存正在检查的文件。
基于数据流模式的扫描优点在于快速扫描和不限定文件的大小。基于数据流模式的扫描不需要对文件进行缓存,因此在文件通过全新NGFW设备时,对数据包逐包扫描。这就消除了最大文件大小的限制,客户端可以立即开始接受文件数据。此外,基于数据流模式的扫描不改变数据包,因为他只是经过设备,而基于代理的扫描会改变数据包的详细信息,例如序列号,基于代理的扫描引起的变化不影响大多数网络。
权衡这些优点,基于数据流模式的扫描检测感染的数目较少,文件,压缩文件和一些存档中的病毒不太可能被检测到,因为扫描器在任何时刻只能检查该文件的一小部分。
全新NGFW入侵防御系统可保护网络免受攻击,全新NGFW采用两种技术处理这些攻击,基于协议异常和基于特征的的防御措施。
基于协议异常的防御措施
但将网络流量本身用作武器时,使用基于协议异常的防御措施。HOST会被超出其处理能力多得多的流量充斥,从而是HOST无法访问。最长见的例子是聚聚服务攻击,其中,攻击方指引大量计算机尝试对目标系统进行正常访问。如果达到了足够的访问尝试量,目标系统胡ibei压垮,不能为真正的用户提供服务。攻击方不会进入目标系统,但他也不可以访问其他系统。全新NGFW Dos特性将阻断来自攻击方超过某个阀值的流量,并允许掐合法用户连接。可在防火墙手册中查找Dos策略配置信息。
基于特征的防御措施。
基于特征的防御措施用于防止已知的攻击或对漏洞的利用。这通常会涉及到某个试图进入网络的攻击方。攻击方在视图进入过程中必须与主机通讯,此通讯将包括特殊指令和变量的顺序。ips特征包括这些指令顺序,允许全新NGFW设备检测并阻止攻击。ips特征库是基于特征入侵防护的基础。每次攻击可被检测归类为一连串指令或一些列指令和变量,ips签名包含了这些信息,因此,全新NGFW知道如何查找网络流量中的非法攻击行为。特征也包括他们描述的攻击特性,这些特性包括攻击涉及的协议,易受攻击的操作系统,和易受攻击的的而应用。
Ⅱ 防ARP攻击简介
应用场景:
IP+MAC绑定:
客户网络为二层环境,即内网电脑的网关都在NGFW上,客户希望内网电脑只能使用固定的IP地址上网,方便管理,或网络中经常出现ARP欺骗,甚至是ARP攻击,从而引起内网经
常有 部分电脑无法上网,或上网断断续续,此时可在NGFW上开启通过IP+MAC绑定,即将电脑正确的IP地址和MAC地址静态绑定在NGFW里,从而实现内网电脑需要配置正确的IP地
址才能上网,若随意修改IP,则无法上网,若发出arp欺骗报文,也不会影响NGFW的ARP表项,避免了由于内网欺骗NGFW导致的断网。
关闭ARP学习功能:
客户网络同样为二层环境,想实现内网电脑只能使用固定的IP地址上网,修改IP后不能上网,同时外来的电脑不允许上网,让网络更安全,管理更方便,此时可通过先开启IP+MAC
绑定,再开启关闭ARP学习功能实现,务必注意一定要先把合法电脑的IP+MAC绑定完再开启此功能。
主动保护:
有时候由于客户业务需要,运营商经常会分配多个可用地址给外网映射服务器用但是这些地址可能没有在外网接口配置,当运营商那边没有更新对应这个地址的arp信息,将导致对端
过来的流量无法到达设备上,就算映射配置正确但是外网还是无法访问内部服务器,解决办法是:
NGFW触发接口发免费arp的设置
1、主动保护列表中,开启对应需要发免费arp的接口,一般是外网口
2、在防ARP攻击力的配置页面,启用主动保护,设置时间间隔
启用主动保护发包功能,每隔一定时间间隔发送一次主动保护列表上的免费ARP报文。 主动发包时间间隔为发送主动保护列表上的ARP的时间间隔,缺省配置为1秒。
配置主动保护列表,在开启配置中的主动保护后,将自动广播列表中的免费ARP报文。
备注:只有选择启用ARP防欺骗攻击后才能配臵主动保护和ARP学习功能; 只有选择启用主动保护才能配置主动发包时间间隔;
功能原理:
在局域网中,通信前必须通过ARP协议将IP地址转换为MAC地址。ARP协议对网络安全具有重要的意义,但是当初ARP方式的设计没有考虑到过多的安全问题,留下很多隐患,
使得ARP攻击成为当前网络环境中遇到的一个非常典型的安全威胁。
通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量,使网络阻塞,攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存,造成网
中断或中间人攻击。 受到ARP攻击后会出现无法正常上网、ARP包爆增、不正常或错误的MAC地址、一个MAC地址对应多个IP、IP冲突等情况。ARP攻击因为技术门槛低,易于实现,
在现今的网络中频频出现,有效防范ARP攻击已成为确保网络畅通的必要条件。
Ⅲ WEB过滤功能简介
应用场景:
NGFW通过配置URL屏蔽功能,禁止或允许内网用户访问某些非网站。
关键字过滤是一套功能强大且容易使用的内容监控系统。一直以来,由于一些不法分子利用网络来传播一些色情、反动等非法信息,这些大量非法信息,会给人们的精神生活带来不利的影响。NGFW的关键字过滤主要是针对网页内容文字的过滤。控制用户对非法内容的访问,管理员能够通过页面配置被禁止的文字。例如,禁止用户打开任何带有“法轮功”的见面。
随着Internet的迅猛发展,网页的内容日益丰富,各种网页控件越来越被广泛的应用,不仅仅占用网络及系统资源,而且给互联网以及使用者带来了很大的安全隐患。NGFW设备能够对Java Applet、Cookie、Script、Object这四种控件进行过滤,保证上网者放心使用网络。
功能原理:
随着互联网的飞速发展,网络环境也变得越来越复杂,恶意攻击、木马、蠕虫病毒等混合威胁不断增大,企业需要对网络进行多层、深层的防护来有效保证其网络安全,入侵防御系统(IPS)功能正是为网络提供深层防护。
NGFW设备开启应用层过滤功能(包括:入侵防护、病毒防护、应用控制、应用过滤)后,所有进入设备的数据包均要通过IPS子系统进行分析、检测、防护以及告警。
数据包首先协议分析模块,进行协议识别,包括TCP、UDP、ICMP,常见应用协议可识别:HTTP、FTP、SMTP、POP3、IMAP以及其他,部分协议分析事件此时就可以识别完成,上报告警信息。
如果配置了其他应用功能,则数据包会根据配置进入各个应用防护流程:
入侵防护:数据包根据已分析出来的协议特性与系统已有的入侵防护特征库进行模式匹配,匹配到相应特征后,根据规则设置进行放行、阻断和日志上报;
病毒防护:系统调用第三方的动态库对数据包进行病毒检测;
应用控制:数据包根据已分析出来的协议特性与系统已有的应用控制特征库进行模式匹配,匹配到相应特征后,根据规则设置进行放行、阻断和日志上报;
Web过滤:对于符合条件的HTTP协议数据进行过滤和替换;
邮件过滤:对于符合条件的SMTP、POP3、IMAP协议数据进行过滤。
WEB过滤模块功能针对HTTP协议为用户提供应用级的安全防护和访问限制。 WEB过滤大致分为两个方面,一方面是对HTTP请求的过滤,主要是对URL的过滤,另一方面是对HTTP响应的过滤,主要是对HTTP内容过滤。
NGFW设备中URL过滤的基本过程是:首先在URL列表中添加模式字符串,然后在安全防护表模板中启用web过滤功能并选择URL列表类型,最后在策略中引用该安全防护表模板并启用策略。
系统中有屏蔽和免屏蔽两个URL列表,每个列表中可以添加多个模式字符串。屏蔽列表的过滤行为是deny,即匹配上该列表中的模式字符串的流要被过滤掉,否则放行;免屏蔽列表的过滤行为是accept,即匹配上该列表中的模式字符串的流可以通过,否则被过滤。
对于用户的URL请求,首先查找URL中是否包含列表中的模式字符串,从而执行列表的过滤规则。
Ⅳ 授权许可说明
1、目前授权仅一种,品名为RG-WALL1600-XXXXX(产品型号)-LIS-1Y,以信封的方式发送,一个授权服务期为1年;该授权为复合型,包含:病毒特征库升级服务、IPS特征库升级服务、URL特征库升级服务、应用特征库升级服务和垃圾邮件特征库升级服务。
2、license许可服务注册是针对客户购买的UTM相关功能(防病毒、ips、应用检测、email过滤、网页过滤、数据防泄漏)服务许可的一个在线注册,使其能够在购买的许可期间内可以升级规则库以及在线检测等功能。license许可服务注册不提供用户自己注册,只有400才能注册,所以如果客户需要注册的话,都得把相关信息给到400,然后由400后台在线注册,客户设备只要能上网,就可以看到设备license注册成功,并能正常使用功能。