傳統(tǒng)防火墻的訪問(wèn)控制或者流量管理粒度粗放,只能基于IP/端口號(hào)對(duì)數(shù)據(jù)流量進(jìn)行一刀切式的禁止或允許。深信服下一代防火墻基于龐大的應(yīng)用和用戶識(shí)別能力,對(duì)數(shù)據(jù)流量和訪問(wèn)來(lái)源進(jìn)行精細(xì)化辨識(shí)和分類,使得用戶可以輕易從同一個(gè)端口協(xié)議的數(shù)據(jù)流量中辨識(shí)出任意多種不同的應(yīng)用,或從無(wú)意無(wú)序的IP地址中辨識(shí)出有意義的用戶身份信息,從而針對(duì)識(shí)別出的應(yīng)用和用戶施加細(xì)粒度、有區(qū)別的訪問(wèn)控制策略、流量管理策略和安全掃描策略,保障了用戶**直接、準(zhǔn)確、精細(xì)的管理愿望和控制訴求。
例如:允許HTTP網(wǎng)頁(yè)訪問(wèn)順利進(jìn)行,并且保證高訪問(wèn)帶寬,但是不允許同樣基于HTTP協(xié)議的視頻流量通過(guò);允許通過(guò)QQ進(jìn)行即時(shí)通訊,但是不允許通過(guò)QQ傳輸文件;允許郵件傳輸,但需要進(jìn)行防攻擊和敏感信息過(guò)濾,如發(fā)現(xiàn)有攻擊入侵或泄密事件馬上阻斷,等等。 只有針對(duì)真實(shí)存在的業(yè)務(wù)漏洞進(jìn)行的攻擊才是有效攻擊.崇明區(qū)技術(shù)下一代防火墻需求
單次解析架構(gòu)
深信服下一代防火墻采用單次解析架構(gòu)實(shí)現(xiàn)報(bào)文的一次解析一次匹配,有效提升了應(yīng)用層效率。實(shí)現(xiàn)單次解析技術(shù)的一個(gè)關(guān)鍵要素就是軟件架構(gòu)設(shè)計(jì)實(shí)現(xiàn)網(wǎng)絡(luò)層、應(yīng)用層的平面分離,將數(shù)據(jù)通過(guò)“0”拷貝技術(shù)提取到應(yīng)用平面上實(shí)現(xiàn)威脅特征的統(tǒng)一解析和統(tǒng)一檢測(cè),減少冗余的數(shù)據(jù)包封裝,實(shí)現(xiàn)高性能的數(shù)據(jù)處理。
跳躍式掃描技術(shù)
深信服下一代防火墻利用多年積累的應(yīng)用識(shí)別技術(shù),在內(nèi)核驅(qū)動(dòng)層面通過(guò)私有協(xié)議將所有經(jīng)過(guò)下一代防火墻的數(shù)據(jù)包都打上應(yīng)用的標(biāo)簽。當(dāng)數(shù)據(jù)包被提取到內(nèi)容檢測(cè)平面進(jìn)行檢測(cè)時(shí),設(shè)備會(huì)找到對(duì)應(yīng)的應(yīng)用威脅特征,通過(guò)使用跳躍式掃描技術(shù)跳過(guò)無(wú)關(guān)的應(yīng)用威脅檢測(cè)特征,減少無(wú)效掃描,提升掃描效率。比如:流量被識(shí)別為HTTP流量,那么FTP server的相關(guān)漏洞攻擊特征便不會(huì)對(duì)系統(tǒng)造成威脅,便可以暫時(shí)跳過(guò)檢測(cè)進(jìn)行轉(zhuǎn)發(fā),提升轉(zhuǎn)發(fā)的效率。
徐匯區(qū)企業(yè)下一代防火墻服務(wù)保障融合安全包括從事前的資產(chǎn)風(fēng)險(xiǎn)發(fā)現(xiàn)。事前風(fēng)險(xiǎn)分析
1)明確防護(hù)主體:**資產(chǎn)有效識(shí)別
從風(fēng)險(xiǎn)管理的角度,我們首先需要明確防護(hù)的主體對(duì)象,通過(guò)應(yīng)用特征、交互協(xié)議、端口、IP等方式識(shí)別內(nèi)網(wǎng)的業(yè)務(wù)系統(tǒng);
2)識(shí)別資產(chǎn)風(fēng)險(xiǎn):實(shí)時(shí)漏洞監(jiān)測(cè)分析
基于識(shí)別的業(yè)務(wù)資產(chǎn),接下來(lái)我們會(huì)進(jìn)行業(yè)務(wù)資產(chǎn)風(fēng)險(xiǎn)分析,通過(guò)實(shí)時(shí)的流量檢測(cè),檢測(cè)業(yè)務(wù)系統(tǒng)存在的漏洞,比如是否存在惡意注入、代碼執(zhí)行、黑鏈植入等惡意動(dòng)作,檢測(cè)業(yè)務(wù)系統(tǒng)的漏洞;
3)保障安全能力:安全能力評(píng)估
比如業(yè)務(wù)系統(tǒng)是否有對(duì)應(yīng)的防御手段,是否現(xiàn)有的防御手段是生效的,是否規(guī)則庫(kù)沒(méi)有更新,是否缺少防御手段等,防止存在安全能力降級(jí)及失效的情況;
4)安全價(jià)值交付:比較好實(shí)踐策略部署
基于安全能力降級(jí)及失效的情況進(jìn)行一鍵防御,實(shí)行安全能力的一鍵提升;除此之外為了切實(shí)保障企業(yè)資產(chǎn)風(fēng)險(xiǎn)管理工作的落地,我們會(huì)為用戶提供安全價(jià)值交付,基于深信服技服團(tuán)隊(duì)的價(jià)值交付體系給出對(duì)應(yīng)建議,保障安全安全建設(shè)的切實(shí)落地。
Sangfor Regex正則引擎
正則表達(dá)式是一種識(shí)別特定模式數(shù)據(jù)的方法,它可以精確識(shí)別網(wǎng)絡(luò)中的攻擊。經(jīng)深信服安全**研究發(fā)現(xiàn),業(yè)界已有的正則表達(dá)式匹配方法的速度一般比較慢,制約了下一代防火墻的整機(jī)速度的提高。為此,深信服設(shè)計(jì)并實(shí)現(xiàn)了全新的Sangfor Regex正則引擎,將正則表達(dá)式的匹配速度提高到數(shù)十Gbps,比PCRE和Google的RE2等**引擎快數(shù)十倍,達(dá)到業(yè)界**水平。
深信服下一代防火墻的Sangfor Regex大幅降低了CPU占用率,有效提高了AF的整機(jī)吞吐,從而能夠更高速地處理客戶的業(yè)務(wù)數(shù)據(jù),該項(xiàng)技術(shù)尤其適用于對(duì)每秒吞吐量要求特別高的場(chǎng)景,如運(yùn)營(yíng)商、電商等。 不對(duì)服務(wù)器和終端向外主動(dòng)發(fā)起的業(yè)務(wù)流量進(jìn)行防護(hù).
基礎(chǔ)防火墻特性深信服AF兼容傳統(tǒng)防火墻的所有功能特性,包括交換/路由、訪問(wèn)控制,A-A/A-S雙機(jī)熱備、軟硬件Bypass、系統(tǒng)管理、日志報(bào)表、會(huì)話管理、抗DDoS攻擊、應(yīng)用代理、DHCP/DNS等等。PPPoE通過(guò)ADSL接e已經(jīng)成為越來(lái)越多中小企業(yè)的選擇,而ADSL需要撥號(hào)以后才能獲得IP地址。深信服AF支持PPPoE協(xié)議,作為PPPoEClient端完成與PPPoEServer建立連接和地址獲取,通過(guò)設(shè)置用戶名和口令即可支持ADSL接入,獲得動(dòng)態(tài)IP地址、網(wǎng)關(guān)及DNS地址,自動(dòng)完成撥號(hào)過(guò)程,接e網(wǎng)絡(luò)。解決中小企業(yè)上網(wǎng)問(wèn)題。 即使有大量的攻擊也不意味著對(duì)業(yè)務(wù)安全的威脅很大.崇明區(qū)技術(shù)下一代防火墻需求
企業(yè)是否具備實(shí)時(shí)應(yīng)對(duì)和響應(yīng)的能力,能夠把影響**小化.崇明區(qū)技術(shù)下一代防火墻需求
事中攻擊防御**準(zhǔn)確-下一代WAF引擎性能瓶頸:設(shè)備處理性能存在瓶頸問(wèn)題的本質(zhì)原因,安全設(shè)備對(duì)應(yīng)用層流量采用的檢測(cè)手段是全流量檢測(cè)模式,這樣做的問(wèn)題就是不管流量是好是壞,都需要設(shè)備對(duì)其進(jìn)行拆包、還原、特征比對(duì)等,設(shè)備性能損耗大,性能差,而現(xiàn)網(wǎng)中大部分的流量均是合法流量,我們稱之為白流量。
內(nèi)容還原:在發(fā)起應(yīng)用層攻擊時(shí),設(shè)備首先會(huì)對(duì)應(yīng)用流量進(jìn)行內(nèi)容還原,從流量中還原目標(biāo)業(yè)務(wù)組件,業(yè)界通用思路會(huì)構(gòu)建內(nèi)容還原引擎解析流量,進(jìn)而基于還原的目標(biāo)業(yè)務(wù)組件開(kāi)展后續(xù)的安全檢測(cè);所以能否有效多方位的識(shí)別應(yīng)用層威脅,前提是業(yè)務(wù)內(nèi)容還原能力是否夠強(qiáng);
其中比較大的難度就是面對(duì)客戶環(huán)境中眾多的異構(gòu)的、不同版本的、開(kāi)源的各種組件,安全廠商無(wú)法多方位覆蓋,存在攻擊被繞過(guò)的風(fēng)險(xiǎn);
攻擊檢測(cè):傳統(tǒng)的web防御基于靜態(tài)規(guī)則,太嚴(yán)格的規(guī)則容易誤殺正常業(yè)務(wù)流量,造成誤判。太松散的規(guī)則則容易被繞過(guò),造成漏判,同時(shí)對(duì)于已知web攻擊的各種變種、0day及未知應(yīng)用層威脅通過(guò)靜態(tài)特征無(wú)法有效的防御;
所以傳統(tǒng)的應(yīng)用層防御體系存在性能差、不安全等特征; 崇明區(qū)技術(shù)下一代防火墻需求
上海黑象信息科技有限公司致力于商務(wù)服務(wù),是一家其他型的公司。黑象致力于為客戶提供良好的技術(shù)開(kāi)發(fā),技術(shù)轉(zhuǎn)讓,技術(shù)咨詢,技術(shù)服務(wù),一切以用戶需求為中心,深受廣大客戶的歡迎。公司將不斷增強(qiáng)企業(yè)重點(diǎn)競(jìng)爭(zhēng)力,努力學(xué)習(xí)行業(yè)知識(shí),遵守行業(yè)規(guī)范,植根于商務(wù)服務(wù)行業(yè)的發(fā)展。在社會(huì)各界的鼎力支持下,持續(xù)創(chuàng)新,不斷鑄造***服務(wù)體驗(yàn),為客戶成功提供堅(jiān)實(shí)有力的支持。