NSF-POD-SG-V5.6-产品白皮书.docVIP

绿盟安全网关产品白皮书 ? 2009 绿盟科技  ■ 版权声明 本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属绿盟科技所有，受到有关产权及版权法保护。任何个人、机构未经绿盟科技的书面授权许可，不得以任何方式复制或引用本文的任何片断。 目录 一. 前言 4 二. 什么是安全网关 4 三. 来自应用的威胁 4 四. 下一代安全网关NGSG 6 五. 绿盟安全网关特点 14 前言 据统计，截至2008年，我国的网民数量已超过美国，居世界首位，而对于国内的各企业单位来说，网络建设更是方兴未艾，网络和网民数量的持续增多、网络的带宽快速增大，为网络应用创造了良好的环境，继传统HTTP、Email之后，网络视频会议、VPN企业私网、P2P视频、即时聊天、WEB 2.0、电子商务各种应用也随之兴起，网络已经成为人们工作、生活不可或缺的一部分，可以说，我们已经从“网络连通时代”进入到了“网络应用时代”。 伴随网络规模的扩张，伴随着我们对网络依赖性的增强，伴随网络应用的增多，网络威胁也日益增大，各种蠕虫、病毒、网络入侵、DDoS、泄密事件层出不穷，不断有造成百万、千万以致亿计的损失。 在这些威胁中，与网络“连通时代”最大的不同就在于，以应用为目标或载体的威胁日益增多。据 CNCERT CC统计，在TCP各种应用统计中，流量排名前四位的是WEB浏览、P2P下载、电子邮件和即时聊天工具。在防火墙等传统安全网关已经普及的情况下，TCP/IP的4层攻击已经受到越来越多的限制，因此，未来的攻击目标和层面正在逐渐转移到7层的应用层上，这给网络安全提出了一个新的严重的挑战：如何在4层的防护的基础上，完成对新型的应用攻击防护，从而能够保障“网络应用时代”的网络用户免受威胁之苦。 什么是安全网关 安全网关，它是指设置在不同网络或网络安全域之间的一系列部件的组合的统称。它可通过监测、限制、更改跨越安全网关的数据流，尽可能地对外部屏蔽网络内部的信息、结构和运行状况，并通过检测阻断威胁，以及网络数据加密等手段来实现网络和信息的安全。 安全网关按照功能和用途划分，可以分为通用型的网络防火墙、UTM(Unified Threat Management)、安全路由器，或者专用型的VPN网关、防病毒网关、防垃圾邮件网关、抗DDoS网关等各种类型。在这里面，最早出现，也是现在最主要的类型是网络防火墙。 来自应用的威胁 面对“网络应用时代”的威胁，先看下面一组数据： 国家工业和信息化部公布，截至2008年2月，我国网民数达2.21亿人，超过美国居全球首位。 CNCERT CC抽样计算，2007年我国大陆地区被植入木马的主机IP数995154,是2006年的22倍； 2007年全世界感染僵尸程序的主机数达623万，其中我国大陆有362万，占一半以上； 2007年，现中国大陆被篡改网站的数量达到61228个，比2006年增长1.5倍； 2007年，浏览器插件漏洞237个，而2006年度为74个 在防火墙等传统安全网关大量普及的今天，网络安全问题还在日益扩大，这一方面是因为我国网络总量本身就在快速增大，另一方面，也说明传统安全网关不能有效制止这些新的安全问题，特别是无法有效解决应用层安全问题。 在当前企业或者政府机关中的网络应用，基本可以分为两种类型，一种是业务相关的应用，如电子邮件、视频会议、数据库、WEB网站、VPN网络、电子商务、专项业务应用等，另一种则是非业务相关的应用，一般包括如非工作WEB浏览、P2P下载和视频等、游戏、炒股软件、IM等。而其中的应用安全问题主要集中在以下几个方面： 非工作应用自身的危害。例如P2P视频或者下载占据大量带宽，从而影响正常业务带宽，而游戏和访问非法网站虽然不会造成流量问题，但也会造成员工工作效率的降低。 应用成为威胁的通道。一般4层安全网关采用封闭端口的方式限制非法应用，通常会打开80（Http）、110（pop3）等端口，确保WEB和邮件等应用通行，很多蠕虫和攻击则正好借助这些端口，以应用的形式进入内部网络，从而形成攻击；另一方面，员工利用IM、EMAIL等方式对外发送机密文件和数据，也使得应用成为对外泄密的通道。 应用成为攻击的目标。一些应用服务，例如WEB网站、邮件服务器、数据库是企业单位业务的重要载体，但是很多攻击，例如DDoS的CC、蠕虫病毒等，则完全针对上述应用进行攻击，一旦造成拒绝服务或者信息泄露，都将成为企业单位的一场安全灾难。 在网络中，传统安全网关的主要是基于三层包过滤和四层状态监测等防护技术，无法对应用进行有效的监控、管理和防护，因此，各种各样的应