摘要：深信服下一代防火墙，面向应用层设计，能精确识别用户、应用和内容、具备完整的安全防护能力，国内知名同时融合FW、IPS、WAF、AV功能并能智能联动的安全产品，为APT防护提供从主机层(恶意代码防护、僵尸网络隔离)、网络层(访问控制、边界隔离、入侵防护、漏洞扫描、内网嗅探)、应用层(恶意网址识别、OWASP TOP应用协议攻击、管理认证登陆、DLP)的 L2-L7层一体化安全防护。

　　认识APT攻击

　　互联网攻击与防御技术一直以来都是此消彼长，交替前行，根据CNCERT/CC 2012中国互联网网络安全报告分析，一种攻击特征更隐蔽、持续性更长、影响范围更大、技术手段更加灵活的网络间谍攻击对企业和组织将带来越来越大的安全威胁，这就是大家热谈的APT攻击。

　　APT 全称Advanced Persistent Threat(高级持续性威胁)，是以窃取核心资料为目的，针对用户网络系统所发动的网络攻击和侵袭行为，是一种蓄谋已久的“恶意商业间谍威胁”。这种行为往往经过长期的经营与策划，并具备高度的隐蔽性。

　　APT攻击特征

　　(1)攻击者的诱骗手段往往采用恶意网站，用钓鱼的方式诱使目标上钩;

　　(2)攻击者也经常采用邮件方式攻击受害者，这些夹杂着病毒的邮件内容往往让疏于防范的受害者轻易中招;

　　(3)网站往往是一个企业或组织的对外门户，很多企业或组织对网站缺乏良好的安全防护，是攻击者渗透进内网的重要捷径;

　　(4)一旦企业或组织的内网终端或者门户网站感染恶意程序，成为僵尸网络主机，将频繁进行内网隐私数据信息嗅探;

　　(5)通过已感染主机做反弹跳板，黑客可以对目标网络进行持续性的账户/口令猜解或者数据监听，从而获取攻击目标登陆权限;

　　(6)目前绝大多数安全防护设备：传统网络层防火墙、IPS等等，只能做到从外到内的单向危险流量检测和防护，从内到外主动发起的数据传输缺乏有效的检测和防范机制。攻击者通过控制攻击目标，源源不断地从受害企业和组织获取数据信息。

　　从上述APT攻击特征进行分析，不难发现APT攻击已经不再是传统认知观念中的单一网络攻击行为，针对APT攻击，采取多款安全产品串行堆叠的传统做法仍无法有效应对，市场迫切需要新一种新的防御方案。

　　APT攻击防护的利器

　　深信服下一代防火墙(NGAF)，是面向应用层设计，能精确识别用户、应用和内容、具备完整的安全防护能力，是国内知名同时融合FW、IPS、WAF、AV功能并能智能联动的安全产品，为APT防护提供从主机层(恶意代码防护、僵尸网络隔离)、网络层(访问控制、边界隔离、入侵防护、漏洞扫描、内网嗅探)到应用层(恶意网址识别、OWASP TOP应用协议攻击、管理认证登陆、DLP)的 L2-L7层一体化安全防护。

　　1、恶意网址过滤，防范APT钓鱼诱骗

　　深信服下一代防火墙内置了庞大的恶意网址库(NGAF同步Google每日可发现9500个新的恶意网址)，并且实时更新，当内网用户访问恶意网站，将被提前告知，并实时预警拦截，让“好奇害死猫”流血信息安全事件不再重演。

　　2、病毒检测防范，清除病毒传播感染

　　深信服下一代防火墙防病毒采用先进流引擎查毒技术，针对HTTP、FTP、SMTP、POP3等协议进行查杀;能实时查杀大量文件型、网络型和混合型等各类病毒;并采用新一代虚拟脱壳和行为判断技术，准确查杀各种变种病毒、未知病毒;内置10万条以上的病毒库，并且可以自动或者手动升级。

　　3、僵尸网络隔离

　　深信服下一代防火墙融合了僵尸网络识别库，利用业界领先的僵尸网络识别检测技术对黑客的攻击行为进行有效识别，针对以反弹式木马为代表的恶意软件进行深度防护，目前有150000条规则，并实时予以更新。同时，深信服正在完善安全云平台，部署在全球各地的深信服下一代防火墙设备可以自动或手动上传可疑的应用流量到安全云平台，平台会自动分析，形成新的恶意软件识别策略下发到全球所有设备的规则库上。

　　4、DLP数据防泄漏

　　深信服下一代防火墙内置常见敏感信息的特征库，如身份证、MD5、手机号码、银行卡号、邮箱等，且可以灵活根据敏感信息特征自定义策略规则;支持http响应报文中非法敏感信息的外泄检测;支持数据库文件敏感信息检测，防止数据库文件被“拖库”、“暴库”。

　　5、风险评估与策略智能联动

　　深信服下一代防火墙支持风险评估模块，可以主动探测目标IP，进行端口、服务扫描，及时发现业务风险;例如， ftp、mysql、oracle、mssql、ssh、RDP、网上邻居NetBIOS、VNC等多种应用的弱口令及溢出漏洞;sql注入、XSS跨站脚本、目录遍历、敏感信息泄露、命令执行等应用层安全漏洞。风险评估结果可实现与IPS、服务器防护模块的智能联动，自动生成策略，让APT防护更加高效全面。

　　6、用户登陆防护，杜绝非授权访问

　　在APT攻击渗透过程中，利用肉鸡对攻击目标进行账户/口令暴力猜解或者数据监听，获取合法账户/口令后可以绕过一切安全防护设备进行合法登陆，这些都是APT攻击过程中的惯用思路，深信服下一代防火墙提供用户登录防护功能，对Web登陆方式、非Web登陆方式(telnet、irc、ldap、mysql、pop3、RDP等)进行强化保护，提供登陆前短信动态口令认证功能，黑客即使成功获取管理员账户口令，因无法获取动态验证口令，也无法完成对目标系统的访问，从而杜绝账户盗用、非授权访问等风险。