虚拟防火墙技术

应用防火墙DPtechFW1000系列防火墙技术白皮书1、概述在应用需求的不断推动下,网络技术得到了飞速发展;而网络技术的进步则又反过来推动应用的发展,应用与网络之间是相辅相成、相互促进的.
随着万兆到核心/千兆到桌面、Web2.
0、虚拟化、物联网、网络音频/视频、P2P、云计算等各种新应用、新业务层出不穷,传统的基于端口进行应用识别和访问控制的防火墙,已远远无法满足各种新应用下安全防护的需求.
为解决此类难题,迪普科技推出了基于全新多核处理器架构的FW1000系列下一代应用防火墙.
DPtechFW1000开创了应用防火墙的先河.
基于迪普科技自主知识产权的APP-X硬件平台和ConPlatOS安全操作系统,并配备专业的入侵防御特征库、病毒库、应用协议库、URL库,是目前业界性能领先的应用防火墙.
无以伦比的高可用性、高性能和高可靠性,使得FW1000系列可以放心规模部署于数据中心、大型园区网等各种复杂场景;另外,功能丰富并可按需扩展的应用防火墙方案,也简化了网络的安全架构,并大大降低了企业网络总体拥有成本.
2、产品简介DPtechFW1000系列是迪普公司面向大中型企业、学校、数据中心以及运营商开发的新一代应用防火墙产品,是一种应用级的高性能防火墙,工作在网络边界层,根据安全策略对来自不同区域的数据进行安全控制,同时支持IPv4和IPv6环境,具备高性能,网络无瓶颈,拥有全面的安全防护,可确保网络稳定运行,产品VPN全内置,提供高性价比,灵活组网能力,可适应各种网络环境.
3、迪普科技防火墙特色技术3.
1DPtechFW1000防火墙数据转发流程防火墙的用途是通过允许、拒绝、重定向通过防火墙的数据量,提供对一个组织的不同网络之间服务访问的控制和审计,包括基于用户和协议的策略定义、URL过滤、协议识别等特性,DPtechFW1000防火墙设备同时支持包过滤和应用级防火墙要求.
防火墙根据网络中各点的安全规则策略,有选择的在不同网络间发送信息流,默认安全规则策略拒绝所有入站和出站的信息流,仅授权的管理员具有改变安全规则策略的权限.
典型的包过滤策略由源地址、目的地址、传输层协议、源端口、目的端口、应用协议决定,并以数据包达到或者离开接口为基准.
迪普防火墙采用安全域的控制方式在包过滤处进行整体调用,默认规则为:1、高安全域可以访问低安全域.
2、低安全域不可访问高安全域.
3、相同安全级别的不同安全域,相互间禁止访问.
4、同一个安全域下面的不同接口,接口间可相互访问.
防火墙内部数据转发简要流程图如下:图1防火墙内部转发流程图防火墙数据转发流程依据上述顺序进行,先查找会话表项,然后再目的NAT转换,路由查找,包过滤规则,攻击防火墙策略、应用层匹配规则,审计策略,最后查询源NAT从设备转发出去.
3.
2丰富的网络特性ConPlat软件平台支持丰富的网络特性,既包括STP、VLAN、ARP等二层特性、也包括BGP、OSPFv2/v3、MPLS等IPv4/IPv6的三层特性.
DPtechFW1000网络特性:支持透明组网模式、路由组网模式、混合组网模式支持IPv4/IPv6协议栈,具备完善丰富的IPv6协议栈过渡以及隧道技术Access、TrunkVLAN、端口聚合、端口镜像策略路由、静态路由、组播IPv4/6路由(IGMP、PIM、MSDP、组播VPN)IPv4路由(支持RIPv1/2、OSPF、IS-IS、BGP、Guard路由)IPv6路由(支持RIPng、OSPFv3、Guard路由)、IPv6隧道技术支持完善的MPLSVPN支持DNS、DHCP、ARP、BFD、STP、QOS支持WIFI模块、3G上网卡迪普防火墙丰富的网络特性为用户提供了灵活组网能力,可适应各种类型的网络环境,支持路由模式、透明模式、混合模式组网,可适应各种复杂应用组网环境.
3.
3海量策略数下的高性能、低时延处理能力迪普防火墙包过滤、NAT匹配采用决策树算法把安全策略编译成快速匹配表项,报文经过设备时提取五元组一次性送入快速匹配表项进行策略匹配,可以一次性查找到相应的匹配,形成单数据流并行处理的体系结构,即便防火墙在有海量策略数的情况下,依旧可保持高性能、低时延的处理能力,满足管理员对设备超高处理性能与低传输延迟的需求,让安全防护设备从此不再成为网络传输的瓶颈.
3.
4攻击防范技术(IPv4/IPv6)攻击防范功能是DPtech防火墙的重要特性之一,是指通过分析报文的内容特征和行为特征判断报文是否具有攻击特性,并且对攻击行为采取措施以保护网络主机或者网络设备.
防火墙的攻击防范功能能够检测拒绝服务型(DenialofService,DoS)、扫描窥探型、畸形报文型等多种类型的攻击,并对攻击采取合理的防范措施.
攻击防范的具体功能包括黑名单过滤、报文攻击特征识别、流量异常检测和入侵检测统计.
除了对传统的IPv4安全防范技术,迪普防火墙对于IPv6的安全也拥有全面防护,支持IPv6的包过滤、业务长连接、huge-icmp-pak、icmp-flood、ip-sweep、ip-spoofing(l2/l3)、udp-flood、tear-drop、ip-fragment、ping-of-death、port-scan、syn-flood、syn-proxy、tcpabnormal、land-attack、NDPdefender等.
DDoS攻击在多种网络攻击类型中,DDoS攻击是最常见的一种,因为这种攻击方式对攻击技能要求不高,攻击者可以利用各种开放的攻击软件实施攻击行为,使用大量的数据包攻击目标系统,让目标系统无法接受正常用户的请求,或者使目标主机挂起不能正常工作.
DDoS攻击和其它类型的攻击不同之处在于,攻击者并不是去寻找进入目标网络的入口,而是通过扰乱目标网络的正常工作来阻止合法用户访问网络资源.
防火墙通过攻击防范技术可主动防御各种常见的网络攻击,保证网络在遭受越来越频繁的攻击的情况下能够正常运行,从而实现防火墙的整体安全防护.
对于采用服务器允许的合法协议发起的DDoS攻击,攻击防范采用基于行为模式的异常检测算法,能够精确识别攻击流量和正常流量,有效阻断攻击流量,同时保证正常流量通过,避免对正常流量产生拒绝服务.
攻击防范能够检测到的流量异常攻击类型包括SYNFlood、ICMPFlood、UDPFlood等.
DDoS攻击也可以存在于IPv6Internet上.
由感染木马的计算机组成的大型网络成为僵尸网络,他们的攻击可以聚焦到一个受害者.
IPv6的使用不会改变僵尸网络的生成和运行,不幸的是,僵尸网络将仍然存在于IPv6网络上.
IPv6将允许Internet包含比IPv4Internet更多的设备,如果这样多的设备都发起一次DDoS攻击的情形,相比如今在IPv4Internet上的攻击而言,结果将更具毁灭性.
迪普防火墙支持DDoS指纹识别技术,可针对网络中的IPv4/IPv6流量进行自动学习,形成用户流量指纹特征,如果网络有攻击出现异常攻击流量,DDoS将快速识别异常流量,阻断攻击流量或者对攻击流量进行限速处理,实现DDoS攻击防御的智能化、简洁化.
同时用户还可以手动配置指纹识别的特征,对特定的流量进行识别,如TCP可配置参数有报文长度、报文ID、TTL、源IP、目的IP、序列号、确认号、源端口、目的端口、flag标记以及自定义特征,可对于已知的攻击特征可进行有效手动识别与防护.
扫描窥探攻击扫描窥探攻击利用PING扫描(包括ICMP和TCP)标识网络上存在的活动主机,从而可以准确地定位潜在目标的位置;利用TCP和UDP端口扫描检测出目标操作系统和启用的服务类型.
攻击者通过扫描窥探就能大致了解目标系统提供的服务种类和潜在的安全漏洞,为进一步侵入目标系统做好准备.
迪普防火墙能够有效的防御IP地址扫描、端口扫描、漏洞扫描等扫描窥探攻击.
畸形报文攻击畸形报文攻击是通过向目标系统发送有缺陷的IP报文,如分片重叠的IP报文、TCP标志位非法的报文,使得目标系统在处理这样的IP报文时崩溃,给目标系统带来损失.
迪普防火墙通过特征识别技术,能够精确识别出数十种攻击特征报文,能够对LAND攻击、死亡之Ping、IP分片重叠攻击、UDPFraggle攻击、WinNuke攻击、TcpFlag攻击、ICMP不可达报文、ICMP重定向报文、ICMPSmurf攻击、源路由选项IP报文、路由记录选项IP报文、超大ICMP报文等畸形报文攻击进行防护.
3.
5病毒过滤技术通过集成专业病毒特征库向用户提供防病毒服务,能够检测HTTP、FTP、SMTP、POP3、IMAP、RAR、ZIP等传输的病毒.
防病毒模块可以以在线、旁路、桥接和混合等模式部署在网络中,通过采用实时分析的方式,自动检测、阻断或重定向携带病毒的报文与异常流量.
防病毒模块提供的功能包括:防病毒规则管理防病毒特征查询防病毒日志支持防御文件型、网络型和混合型等各类病毒,能够通过新一代虚拟脱壳和行为判断技术,准确查杀各种变种病毒、未知病毒.
设定三种级别流行性病毒检测,根据流行度,用户可以配置开启不同级别的病毒防护控制.
防病毒特征库定期更新以保证对新病毒的及时响应.
防病毒模块的基本功能和原理,如下图所示.
图7病毒检测与防护传统的检测病毒的方法,可以分为四种:特征代码法,校验和法,行为检测法,和软件模拟法.
在网络设备上实现防病毒功能,最好的方法就是特征代码法.
通过集成专业病毒库,精确扫描经过设备的网络数据流,如果与特征相符,就认定为病毒.
不同的病毒特征,划分病毒的流行度,可以有不同的防护动作,并生成日志.
迪普科技防病毒查杀具有:检测准确快速、可识别病毒的名称、误报警率低等优点.
迪普科技的防病毒日志有丰富的报表功能,能提供各种查询条件,如病毒源IP,目的IP,病毒种类,各个时间段等等.
日志支持远程发送,也支持日志备份等操作.
迪普科技IPS病毒库以定期(每周)和紧急(当重大安全病毒特征被发现)两种方式发布,并且能够自动分发到用户驻地的设备中.
3.
6防火墙高可靠性DPtechFW1000具备完善的双机热备技术,包括普通双机热备、高级双机热备、非对称双机热备、静默双机热备等.
普通双机热备提供配置同步的双机功能,实时相互备份防火墙的配置,包括IP地址对象/组、服务对象/组、包过滤策略、路由等.
高级双机热备在提供备份配置的基础上,实时同步两台防火墙的会话,一旦主备发生切换,有状态连接的应用访问可继续进行,无需重新连接.
非对称双机热备可配置备份与会话备份,同时支持业务流量非对称的双主部署模式.
对于ALG的会话实时同步,对多通道应用层业务提供支持.
普通、高级以及非对称双机热备主备切换可配合协议来实现,如VRRP协议、OSPF协议、STP协议等.
管理员通过规划VRRP、OSPF、STP等的优先级参数来控制业务流量走向,从而实现防火墙部署为主备模式或主主模式,如下图:图2双机热备(VRRP协议)图3双机热备(OSPF协议)静默双机热备主备防火墙所有配置完全一样(接口IP也一致),正常运行的情况下,逻辑上只能感知到主设备的存在,备设备处于静默的状态,在网络中不可见也不可感知.
主设备通过心跳线定时的发送自己的心跳报文用来通告自己的运行状态.
备设备只监听主设备的状态,不发包也不收包,处于静默的状态.
当主设备有异常,或备设备在一定时间段之内没有收到主设备的心跳报文,那么备设备就会WakeUp,变成主防火墙,通过连续发送免费ARP的机制,不断刷新交换机上的MAC地址表项,将业务流量牵引过来接替主设备进行转发.
从而实现流量双机热备.
这种方式不需要借助其他的协议实现,而是通过设备自身检测机制来实现双机热备,相对简单可靠.
图4静默双机热备3.
7防火墙全面VPN支持DPtechFW1000面对用户分支互联、移动办公的需求,支持丰富的VPN种类,包括IPSec、SSL、GRE、L2TP、PPTP等多种VPN接入方式,并提供包括DES、3DES等多种加密算法,并支持证书认证.
防火墙内置IPSecVPN、SSLVPN高速硬件加密功能,在简化网络结构的基础上,还大大提升了用户网络安全建设的性价比.
√SitetoSite固定接入类型IPSECVPNGREVPN图5SitetoSiteVPN接入√移动接入类型IPSECVPNPPTPVPNL2TPVPNSSLVPN图6移动办公VPN3.
8防火墙虚拟化技术3.
8.
1虚拟防火墙技术DPtechConPlat平台支持操作系统级或应用级的虚拟化特性.
所谓操作系统级虚拟化是服务器虚拟化中的一个概念,指的是在主操作系统上运行一个虚拟层软件,可以安装多种客户操作系统,任何一个客户系统的故障不影响其他用户的操作系统.
通过安装于主操作系统(HostOS)之上的虚拟化软件将GuestOS的内核和文件系统抽象化为一个个容器,并负责计算存储源分配及容器安全隔离.
ConPlat操作系统级虚拟化如下图所示:图7操作系统级虚拟化所谓应用级虚拟化,指的是在单一操作系统上使用,在操作系统和应用之间运行虚拟层,任何一个应用包的故障不影响其他软件包.
应用级虚拟化可以将ConPlat的核心功能打包成为一个虚拟防火墙,每个虚拟设备都有独立的计算资源、转发表项、控制平面、业务平面及转发平面进程,以及独立的管理员与管理界面.
ConPlat应用级虚拟化如下图所示:图8应用级虚拟化操作系统级虚拟化与应用级虚拟化的区别在于完整程度.
进行操作系统级虚拟化后,每个虚拟化实例依然是一个完整的ConPlat软件平台,在其上依然可以进行应用级虚拟化,如进一步划分虚拟防火墙.
而应用级虚拟化只是将ConPlat的核心功能虚拟化成为一个虚拟设备,每个虚拟化实例并不是一个完整的ConPlat软件平台,并不能将这些虚拟设备进一步的虚拟化.
传统防火墙是一个物理的实体,而虚拟防火墙是在这个物理实体里面划分出来的多个虚拟的防火墙.
虚拟防火墙的功能是原防火墙的一个子集.
虚拟防火墙多部署在运营商或者IDC机房的网络中,由运营商购买并维护物理防火墙实体,用户可以租用一个或多个虚拟防火墙,并管理属于自己的那部分资源.
虚拟防火墙之间完全隔离,每个虚拟防火墙有自己独立的用户管理系统,可以管理属于自己的硬件接口等硬件资源,也可以管理分配给自己的安全域、VLAN等逻辑资源.
管理员的虚拟化图9防火墙管理员虚拟化每个虚拟系统都有自己独立的管理员.
公共系统为全局系统,可以管理设备上所有的管理员.
虚拟系统的管理员只能看到并管理属于这个虚拟系统的管理员.
物理硬件资源的虚拟化图10防火墙物理资源虚拟化每个虚拟系统都分配了属于自己的接口,每个虚拟系统的管理员可以为自己的接口划分VLAN、设置IP等.
逻辑资源的虚拟化图11Vlan-if虚拟化对于VLAN这种全局统一的逻辑资源,由公共系统的管理员统一创建,然后分配给不同的虚拟系统.
各虚拟系统的管理员可以为自己的VLAN配置IP、把接口划分到自己的VLAN.
图12安全域虚拟化对于安全域这种纯软件的逻辑资源,由各虚拟系统的管理员自己维护.
路由虚拟化路由虚拟化分为两个层次,一个是转发层面的虚拟化,一个是路由管理的虚拟化.
从内核态转发层次看,每个虚拟防火墙包含多个硬件接口.
这些硬件接口由自己的虚拟转发平面管理,不同的虚拟防火墙之间完全隔离.
因此,不同的虚拟防火墙配置相同的IP地址是允许的.
图13路由虚拟化从用户态路由管理层次看,每个虚拟系统有自己的路由管理软件,不同的虚拟系统有自己独立的管理域,拥有独立于其他虚拟系统的管理进程,使OSPF、BGP等路由程序可以独立运行、独立管理.
因为虚拟系统的管理域是独立的,因此虚拟系统之间可以更合理的分配CPU资源,而且一个虚拟系统的崩溃不会影响其他的虚拟系统.
3.
8.
2VSM虚拟化技术从提出虚拟化理念开始,虚拟化技术在不断发展、变化中,不同厂商的技术实现也不尽相同.
迪普科技推出了业界首创的网络及应用一体化的虚拟化技术-VSM(VirtualSwitchingMatrix虚拟交换矩阵).
图14VSM多框级联多个VSM成员设备之间使用多个10G口聚合,VSM系统和上、下层设备之间的连接也使用聚合相接,这样通过多链路备份提高了VSM系统的可靠性同时保障了网络逻辑链路的简洁性.
VSM系统由多台成员设备组成,Master设备负责VSM的运行、管理和维护,Slave设备在作为备份的同时也可以处理业务,一旦Master设备故障,系统会迅速自动选举新的Master,以保证通过VSM的业务不中断,从而实现了设备级的1:N备份.
VSM可以支持扩展的SW、FW、IPS、UAG、ADX、SSLVPN等功能板卡,轻松扩展网络接口、功能及性能,很好的保护用户的投资.
图15VSM虚拟化配置√VSM具有以下主要特点:简化管理.
开启VSM模式后,用户通过任意成员设备的任意端口均可以主(Master)设备页面对VSM内所有成员设备进行统一管理,而不用物理连接到每台成员设备上分别对它们进行配置和管理.
简化网络结构.
VSM形成的虚拟设备中运行的各种控制协议也是作为单一设备统一运行的,可大大简化网络结构.
高可靠性.
VSM的高可靠性体现在多个方面,例如:成员设备之间VSM物理端口支持聚合功能,VSM系统和上、下层设备之间的物理连接也支持聚合功能,这样通过多链路备份提高了VSM系统的可靠性;VSM系统由多台成员设备组成,Master设备负责VSM系统的运行、管理和维护,Slave设备在作为备份的同时也可以处理业务,一旦Master设备故障,系统会迅速自动选举新的Master,以保证通过VSM系统的业务不中断,从而实现了设备的双机备份.
高性能.
由于VSM系统是由两个或多个支持VSM特性的单机设备虚拟化而成的,VSM系统的处理能力和端口数量就是VSM内部所有单机设备交换容量和端口数量的总和.
因此,VSM技术能够通过两个或多个单机设备的虚拟化,轻易的将设备的核心交换能力、用户端口的密度扩大数倍,从而大幅度提高了设备的性能.
多种级联方式.
在框式设备中,VSM支持多种单板作为级联板,满足客户不同的需求,目前支持4*10GE、8*10GE等单板级联.
丰富的功能.
所有单台设备所支持的功能都能很好的在VSM下得到支持.
3.
8.
3N:M虚拟化技术迪普科技创新的推出了N:M虚拟化技术,首先运用VSM虚拟化技术将多台设备虚拟成一台(N-->1),继而将这一台设备运用虚拟防火墙技术将一台VSM系统虚拟成多台虚拟防火墙(1-->M),从而实现N:M的虚拟化技术.
将N台框式设备级联,VSM虚拟成一台设备将级联后的设备虚拟成M台逻辑子设备分配给相应管理员独立管理和使用按需扩展处理性能、端口密度、虚拟防火墙数量图16N:M虚拟化技术N:M虚拟化实现安全云计算:高性能单板处理能力大容量背板交换能力,支持多框级联,通过插板和插框拓展整机处理能力集网络安全、应用交付、业务交换于一体,全方位保障云计算的安全操作系统级虚拟化,从管理、协议、转发、资源等方面全方位虚拟化,将一台设备虚拟成多台设备独立使用,使得安全成为云计算的一种服务