防火墻功能特性

防火墻功能特性1.安全可視1.1業(yè)務(wù)安全狀況可視提供的實時漏洞分析功能，可以根據(jù)經(jīng)過設(shè)備的業(yè)務(wù)流量主動分析其中存在的風險并實時展示出來，實時監(jiān)控界面上可以根據(jù)服務(wù)器真實存在的漏洞多少進行排名，同時會給出各個業(yè)務(wù)系統(tǒng)風險情況的評估，并給出建議解決方案。還提供強大的綜合風險報表功能，從業(yè)務(wù)和用戶兩個維度對網(wǎng)絡(luò)中的安全狀況進行整體分析，按照受攻擊類型、漏洞類型和威脅類型進行統(tǒng)計分析，并根據(jù)每個業(yè)務(wù)對應(yīng)的服務(wù)器IP進行針對性的安全分析，提供相應(yīng)的服務(wù)安全說明，使得報表的可讀性更高，方便用戶從報告中分析出下一步的安全加固策略。1.2應(yīng)用服務(wù)內(nèi)容可視具有卓越的應(yīng)用可視化功能，通過多種應(yīng)用識別技術(shù)形成國內(nèi)最大的應(yīng)用特征識別庫和URL庫，涵蓋了超過3000種應(yīng)用規(guī)則和3000萬URL條目，可精確識別內(nèi)外網(wǎng)的采用端口跳躍、端口逃逸、多端口、隨機端口等各類應(yīng)用，為下一代防火墻實現(xiàn)用戶與應(yīng)用的精細化訪問控制提供技術(shù)基礎(chǔ)。1.3用戶控制策略可視可通過應(yīng)用可視化功能與用戶識別技術(shù)結(jié)合制定L3-L7一體化應(yīng)用控制策略,可以為用戶提供更加精細和直觀化控制界面，在一個界面下完成多套設(shè)備的運維工作，提升工作效率。1.4網(wǎng)絡(luò)流量狀態(tài)可視可提供基于用戶和應(yīng)用的流量管理功能，能夠基于應(yīng)用做流量控制，實現(xiàn)阻斷非法流量、限制無關(guān)流量保證核心業(yè)務(wù)的可視化流量管理價值，并可通過運行狀態(tài)頁面觀察到每條通道的流量狀態(tài)信息，應(yīng)用流量排行以及用戶流量排行等，同時也會對應(yīng)用流量進行匯總統(tǒng)計，可直觀的了解到網(wǎng)絡(luò)中的流量分布情況。2.雙向防御2.1強化的Web攻擊防護采用攻擊特征+主動防御相結(jié)合的雙重防護模式，可有效保護web業(yè)務(wù)安全。攻擊特征的防護模式有效結(jié)合了web攻擊的靜態(tài)規(guī)則及基于黑客攻擊過程的動態(tài)防御機制，提供OWASP定義的十大安全威脅的攻擊防護功能，有效防止常見的web安全威脅。如SQL注入、XSS跨站腳本、CSRF跨站請求偽造等，主動防御模式可提供參數(shù)類型學(xué)習和自定義參數(shù)等個性化配置，保護web系統(tǒng)免受網(wǎng)站篡改、網(wǎng)頁掛馬、業(yè)務(wù)數(shù)據(jù)泄露、用戶賬號被盜等問題。于2021年1月通過了OWASPWeb安全項目的測試，設(shè)備的安全防護等級被評為4星（5星滿分）為國內(nèi)同類廠商最高得分。2.2基于應(yīng)用的深度入侵防御基于應(yīng)用的深度入侵防御采用六大威脅檢測機制：攻擊特征檢測、特殊攻擊檢測、威脅關(guān)聯(lián)分析、異常流量檢測、協(xié)議異常檢測、深度內(nèi)容分析。能夠有效的防止各類已知未知攻擊，實時阻斷黑客攻擊。如，緩沖區(qū)溢出攻擊、利用漏洞的攻擊、協(xié)議異常、蠕蟲、木馬、后門、DoS/DDoS攻擊探測、掃描、間諜軟件、以及各類IPS逃逸攻擊等。2.3僵尸網(wǎng)絡(luò)檢測隔離獨有的僵尸網(wǎng)絡(luò)檢測隔離功能，能夠?qū)崟r對外發(fā)流量進行檢測，協(xié)助用戶定位內(nèi)網(wǎng)被黑客控制的服務(wù)器或終端。該功能融合了僵尸網(wǎng)絡(luò)識別庫，利用業(yè)界領(lǐng)先的僵尸網(wǎng)絡(luò)識別檢測技術(shù)對黑客的攻擊行為進行有效識別，針對以反彈式木馬為代表的惡意軟件進行深度防護。僵尸網(wǎng)絡(luò)識別庫數(shù)量超過15萬條，并由攻防團隊實時更新。同時，正在完善安全云平臺，部署在全球各地的防火墻設(shè)備可以自動【在獲得用戶授權(quán)的前提下】或手動上傳可疑的應(yīng)用流量到安全云平臺，平臺會自動分析，形成新的惡意軟件識別策略下發(fā)到全球所有設(shè)備的規(guī)則庫上。2.4應(yīng)用協(xié)議內(nèi)容隱藏可針對主要的服務(wù)器（WEB服務(wù)器、FTP服務(wù)器、郵件服務(wù)器等）反饋信息進行有效隱藏。防止黑客利用服務(wù)器返回信息進行有針對性的攻擊。如：HTTP出錯頁面隱藏、響應(yīng)報頭隱藏、FTP信息隱藏等2.5用戶登錄權(quán)限防護可以針對特定的服務(wù)或者web頁面提供登陸保護，通過發(fā)送短信驗證碼的方式提供強認證保護。用戶訪問到該頁面或應(yīng)用的時候需要先經(jīng)過短信的認證才能進入到正常的登錄界面，增強了敏感頁面或應(yīng)用的安全系數(shù)；該功能能夠帶來的價值：第一，對重要的頁面（如管理員頁面）進行防護，防止通過社會工程、暴力破解拿到正常管理員的賬號密碼；第二，可實現(xiàn)敏感頁面的雙因子強認證提高安全性，防止敏感頁面開放于公網(wǎng)或辦公網(wǎng)；2.6精確的病毒檢測能力提供先進的病毒防護功能，可從源頭對HTTP、FTP、SMTP、POP3等協(xié)議流量中進行病毒查殺，也可查殺壓縮包（zip，rar，gzip等）中的病毒。同時采用高效的流式掃描技術(shù)，可大幅提升病毒檢測效率避免防病毒成為網(wǎng)絡(luò)安全的瓶頸。2.7網(wǎng)關(guān)型網(wǎng)頁防篡改提供網(wǎng)關(guān)型的網(wǎng)頁防篡改（對服務(wù)器“0”影響）功能，能夠第一時間攔截網(wǎng)頁篡改的信息并通知管理員確認。同時對外提供篡改重定向功能，提供正常界面、友好界面、web備份服務(wù)器的重定向，保證用戶仍可正常訪問網(wǎng)站。網(wǎng)站篡改防護功能使用網(wǎng)關(guān)實現(xiàn)動靜態(tài)網(wǎng)頁防篡改功能。這種實現(xiàn)方式相對于主機部署類防篡改軟件而言，客戶無需在服務(wù)器上安裝第三方軟件，易于使用和維護，在防篡改技術(shù)方面采用了網(wǎng)絡(luò)字節(jié)流的檢測與恢復(fù)，對服務(wù)器性能沒有影響。2.8可定義的敏感信息防泄漏提供內(nèi)置敏感信息庫以及可定義的敏感信息防泄漏功能，根據(jù)不同用戶的防護需求可靈活自定義敏感信息（如：用戶信息/郵箱賬戶信息/MD5加密密碼/銀行卡號/身份證號碼/社保賬號/信用卡號/手機號碼……），通過短信、郵件報警及連接請求阻斷的方式防止大量的敏感信息被竊取。2.9覆蓋傳統(tǒng)防火墻功能涵蓋了完整的傳統(tǒng)防火墻功能，包括融合了技術(shù)國內(nèi)領(lǐng)先，市場占有率第一的VPN模塊，支持應(yīng)用訪問控制、NAT支持、路由協(xié)議、VLAN屬性、鏈路聚合等功能，便于用戶替換傳統(tǒng)防火墻后，將原有的策略完全遷移至下一代防火墻中，實現(xiàn)簡化組網(wǎng)、方便運維的效果。同時可防護基于數(shù)據(jù)包的DOS攻擊、IP協(xié)議報文的DOS攻擊、TCP協(xié)議報文的DOS攻擊、基于HTTP協(xié)議的DOS攻擊等，實現(xiàn)對網(wǎng)絡(luò)層、應(yīng)用層的各類資源耗盡的拒絕服務(wù)攻擊的防護，支持對加密隧道數(shù)據(jù)進行安全攻擊檢測，全面提升廣域網(wǎng)隔離的安全性。3.智能聯(lián)動3.1自學(xué)習主動防御內(nèi)置主動防御功能，可智能分析提交http請求中的變量和參數(shù)類型，根據(jù)設(shè)定的閾值進行學(xué)習，學(xué)習結(jié)果最終形成防護白名單，阻斷不符合學(xué)習內(nèi)容的請求，白名單根據(jù)學(xué)習結(jié)果動態(tài)更新，保證參數(shù)內(nèi)容學(xué)習的正確性。3.2智能APT攻擊防護是國內(nèi)唯一同時融合FW、IPS、WAF、AV功能并能智能聯(lián)動的安全產(chǎn)品，通過各個模塊間的聯(lián)動，為APT攻擊防護提供從主機層(惡意代碼防護、僵尸網(wǎng)絡(luò)隔離)、網(wǎng)絡(luò)層(訪問控制、邊界隔離、入侵防護、漏洞掃描、內(nèi)網(wǎng)嗅探)、應(yīng)用層(惡意網(wǎng)址識別、OWASPTOP應(yīng)用協(xié)議攻擊、管理認證登陸、DLP)的L2-L7層一體化安全防護。通過關(guān)聯(lián)分析準確定位出APT攻擊的行為，阻斷黑客在實施APT攻擊各個步驟、各種手段的有效性。智能的主動防御技術(shù)可實現(xiàn)內(nèi)部各個模塊之間形成智能的策略聯(lián)動，如一個IP/用戶持續(xù)向內(nèi)網(wǎng)服務(wù)器發(fā)起各類攻擊則可通過防火墻策略暫時阻斷IP/用戶。智能防護體系的建立可有效的防止工具型、自動化的黑客攻擊，提高攻擊成本，可抑制APT攻擊的發(fā)生。同時也使得管理員維護變得更為簡單，可實現(xiàn)無網(wǎng)管的自動化安全管理。3.3安全風險評估與策略聯(lián)動基于時間周期的安全防護設(shè)計提供事前風險評估及策略聯(lián)動的功能。風險評估功能分為Web弱點掃描與系統(tǒng)漏洞掃描兩部分：系統(tǒng)漏洞掃描通過端口、服務(wù)、應(yīng)用掃描幫助用戶及時發(fā)現(xiàn)端口、服務(wù)及漏洞風險，并通過模塊間的智能策略聯(lián)動及時更新對應(yīng)的安全風險的安全防護策略。幫助用戶快速診斷電子商務(wù)平臺中各個節(jié)點的安全漏洞問題，并做出有針對性的防護策略。Web弱點掃描通過內(nèi)置的二十多類Web攻擊特征，如SQL注入，盲注，操作系統(tǒng)命令，遠程文件包含，XPATH注入，LDAP注入，服務(wù)器端包含（SSI），iframe釣魚，不安全的PHP配置檢查等，可以幫助用戶快速定位出Web應(yīng)用的漏洞，并提供相關(guān)漏洞的嚴重等級和描述信息以及建議的修復(fù)方案等，協(xié)助用戶快速解決內(nèi)網(wǎng)Web應(yīng)用存在的風險。3.4智能聯(lián)動封鎖攻擊在配置安全策略后，可根據(jù)策略的匹配情況動態(tài)生成啟發(fā)式阻斷規(guī)則，當檢測到某個IP有攻擊行為后，聯(lián)動封鎖一段時間，以此達到提高黑客攻擊成本的目的。當設(shè)定的時間內(nèi)沒有再發(fā)生攻擊行為，則把該IP從啟發(fā)式阻斷規(guī)則中刪除。3.5統(tǒng)一集中管理平臺提供統(tǒng)一集中管理平臺實現(xiàn)對分支各設(shè)備的集中監(jiān)管，集中配置下發(fā)與遠程獨立配置，提供多個管理員權(quán)限模版實現(xiàn)管理員的分級管理，提高管理效率，簡化運維成本。4.高效穩(wěn)定4.1多核并行處理技術(shù)的設(shè)計不僅僅采用了多核的硬件架構(gòu)，在計算指令設(shè)計上采用了先進的無鎖并行處理技術(shù)，能夠?qū)崿F(xiàn)多流水線同時處理，成倍提升系統(tǒng)吞吐量，在多核系統(tǒng)下性能表現(xiàn)十分優(yōu)異，是真正的多核并行處理的架構(gòu)。4.2單次解析架構(gòu)采用單次解析構(gòu)架實現(xiàn)報文的一次解析一次匹配，有效提升了應(yīng)用層效率。實現(xiàn)單次解析技術(shù)的一個關(guān)鍵要素就是軟件架構(gòu)設(shè)計實現(xiàn)網(wǎng)絡(luò)、應(yīng)用層平面分離，將數(shù)據(jù)通過“0”拷貝技術(shù)提取到應(yīng)用層平面上實現(xiàn)威脅特征的統(tǒng)一解析、統(tǒng)一檢測，減少冗余的數(shù)據(jù)包封裝，從而實現(xiàn)高性能的處理。4.3跳躍式掃描技術(shù)利用多年積累的應(yīng)用識別技術(shù)，在內(nèi)核驅(qū)動層面通過私有協(xié)議將所有經(jīng)過的數(shù)據(jù)包都打上應(yīng)用的標簽。在數(shù)據(jù)包提取到內(nèi)容檢測平面進行檢測的時候，會找到對應(yīng)的應(yīng)用威脅特征，使用跳躍式掃描技術(shù)跳過無關(guān)的應(yīng)用威脅檢測特征，從而減少無效掃描，提升掃描效率。比如：流量被識別為HTTP流量，那么FTPsever-u的相關(guān)漏洞攻擊特征便不會對系統(tǒng)造成威脅，便可以暫時跳過檢測進行轉(zhuǎn)發(fā)，提升轉(zhuǎn)發(fā)的效率。4.4SangforRegex正則引擎防火墻使用正則表達式對流量的內(nèi)容進行匹配，正則表達式是一種識別特定模式數(shù)據(jù)的方法，可以精確識別網(wǎng)絡(luò)中的攻擊。但經(jīng)我們研究分析，業(yè)界已有的正則表達式匹配方法，其速度一般比較慢，制約了AF設(shè)備整機速度的提高，為此，設(shè)計并實現(xiàn)全新的SangforRegex正則引擎，把正則表達式的匹配速度提高到數(shù)十Gbps，比PCRE和Google