智能下一代防火墙智能功能介绍-高级威胁检测-HillstoneNetworks.PDFVIP

智能下一代防火墙智能功能介绍-高 级威胁检测 Hillstone Networks Inc. 2015 年 8 月 21 日 内容提交人 审核人 更新内容 日期 韩继 李金涛 V1 2015-09-08 目录 1 方案背景3 2 需求分析3 3 解决方案4 4 实现方式6 4.1 网络拓扑6 4.2 部署方式6 4.2.1 智能下一代防火墙边界部署6 4.2.2 部署配置6 5 建设效果 11 1 方案背景 特征过多 ： 每天产生的新恶意软件样本数量多达16万 ；黑客通过大量的方法来瓦解特征策 略，如插入无用的字符串或改变恶意软件时间的顺序来改变特征 ；变形和多态攻击 可在单次攻击中多次对代码进行少量更改 ；黑客会通过常用防病毒和入侵防御的解 决方案来测试他们的软件，以确保不被检测到 感染途径广泛 ： 网络途径 ，85%的恶意软件感染都来源于网站，据统计每天有30,000个新站点受 到感染 ： 下载盗版电影，软件或音乐 ；微博上的缩写网址 ；安装来路不明的防病毒软件 ；手 机上使用定位网站和服务 ；将恶意软件暗中插入到微博、QQ等流行网络应用的网 站上 ；外部媒介途径：USB、随身WiFi等 2 需求分析 很多用户已经花费很多钱在安全防护上，能够起到一定的效果；但是，随着黑客技术的 提高，其利用大量先进的攻击策略，规避传统安全解决方案的检测，使内网用户遭受未知威 胁攻击，会导致窃取用户数据和隐私： （1 ）便携电脑在外部感染威胁后进入网络内部 （2 ）通过U 盘、随身 WIFI 等绕过防火墙进入内网 （3 ）通过移动终端植入 （4 ）像学校这类用户，无法强制内网用户安装杀毒软件保证内网的安全，或者即使安 装了杀毒软件，不及时更新也会感染恶意软件 （5 ）像税务、海关用户，内网服务器是IBM 小型机或是 HP unix 系统，无法安装杀毒 软件，更容易感染恶意软件 （6 ）像企业、政府用户，领导的PC 一般都不受控制，难免会遭受变种恶意软件 …… 传统方案缺陷 ： 终端防病毒 （杀毒软件） ： 1. 无法控制用户安装和更新杀毒软件 2. 特殊系统的服务器无法安装杀毒软件 3. 即便有杀毒软件，新型和变种的恶意软件也无法查杀 基于签名技术防病毒网关： 1. 多态和变形技术可以逃逸防病毒网关的检测 2、特征库的更新需要时间，造成响应延时 3、防病毒网关能够过滤的应用协议有限 沙箱： 1. 既定的操作系统上对有限的文件类型，进行非实时的检测 2、恶意软件开发人员对这项技术已经非常了解 3 解决方案 区别于传统的基于 signature 的检测引擎，高级威胁检测模块不再依赖于已知的特征 库，而从主机的网络行为入手，通过对网络行为进行多维度学习，于已知恶意软件的网络行 为进行模糊比对，得出相似程度。 通过高级威胁检测技术第一时间发现内网中未知威胁，追踪到恶意软件的具体主机，可 以有效阻止恶意软件发作的网络途径。 4 实现方式 4.1 网络拓扑 4.2 部署方式 4.2.1 智能下一代防火墙边界部署 此方案采用边界部署模式 （二层三层模式均支持 ），通过智能防火墙划分安全边界。部署简 单易用，应用于大部分用户网络中。 4.2.2 部署配置 基本配置。 此处省略了智能防火墙的基本配置 ，主要包括接口、路由、策略、NAT 方面的配置，与传统 的防火墙配置无差别。主要演示高级威胁检测方面的配置。 恶意软件