防火墙功能特性.docx

《防火墙功能特性.docx》由会员分享，可在线阅读，更多相关《防火墙功能特性.docx（4页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、防火墙功能特性L安全可视业务安全状况可视提供的实时漏洞分析功能，可以根据经过设备的业务流量主动分析其中存在的风险并实 时展示出来，实时监控界面上可以根据服务器真实存在的漏洞多少进行排名，同时会给出各 个业务系统风险情况的评估，并给出建议解决方案。还提供强大的综合风险报表功能，从业务和用户两个维度对网络中的安全状况进行整体 分析，按照受攻击类型、漏洞类型和威胁类型进行统计分析，并根据每个业务对应的服务器 IP进行针对性的安全分析，提供相应的服务安全说明，使得报表的可读性更高，方便用户从 报告中分析出下一步的安全加固策略。1.1 应用服务内容可视具有卓越的应用可视化功能，通过多种应用识别技术形成国

2、内最大的应用特征识别库和 URL库，涵盖了超过3000种应用规那么和3000万URL条目，可精确识别内外网的采用端口跳 跃、端口逃逸、多端口、随机端口等各类应用，为下一代防火墙实现用户与应用的精细化访 问控制提供技术基础。1.2 用户控制策略可视可通过应用可视化功能与用户识别技术结合制定L3-L7 一体化应用控制策略，可以为用 户提供更加精细和直观化控制界面，在一个界面下完成多套设备的运维工作，提升工作效率。1.3 网络流量状态可视可提供基于用户和应用的流量管理功能,能够基于应用做流晟控制，实现阻断非法流量、 限制无关流量保证核心业务的可视化流量管理价值，并可通过运行状态页面观察到每条通道 的

3、流量状态信息，应用流量排行以及用户流量排行等，同时也会对应用流量进行汇总统计, 可直观的了解到网络中的流量分布情况。2 .双向防御强化的Web攻击防护采用攻击特征+主动防御相结合的双重防护模式，可有效保护web业务安全。攻击特征 的防护模式有效结合了 web攻击的静态规那么及基于黑客攻击过程的动态防御机制，提供 OWASP定义的十大安全威胁的攻击防护功能，有效防止常见的web安全威胁。如SQL注入、 XSS跨站脚本、CSRF跨站请求伪造等，主动防御模式可提供参数类型学习和自定义参数等个 性化配置，保护web系统免受网站篡改、网页挂马、业务数据泄露、用户账号被盗等问题。 于2021年1月通过了

4、OWASP Web安全工程的测试，设备的安全防护等级被评为4星（5 星总分值）为国内同类厂商最高得分。2.1 基于应用的深度入侵防御基于应用的深度入侵防御采用六大威胁检测机制：攻击特征检测、特殊攻击检测、威胁 关联分析、异常流量检测、协议异常检测、深度内容分析。能够有效的防止各类未知攻 击，实时阻断黑客攻击。如，缓冲区溢出攻击、利用漏洞的攻击、协议异常、蠕虫、木马、 后门、DoS/DDoS攻击探测、扫描、间谍软件、以及各类IPS逃逸攻击等。2.2 僵尸网络检测隔离独有的僵尸网络检测隔离功能，能够实时对外发流量进行检测，协助用户定位内网被黑 客控制的服务器或终端。该功能融合了僵尸网络识别库，利用

5、业界领先的僵尸网络识别检测 技术对黑客的攻击行为进行有效识别，针对以反弹式木马为代表的恶意软件进行深度防护。 僵尸网络识别库数最超过15万条，并由攻防团队实时更新。同时，正在完善安全云平台， 部署在全球各地的防火墙设备可以自动【在获得用户授权的前提下】或手动上传可疑的应用 流量到安全云平台，平台会自动分析，形成新的恶意软件识别策略卜发到全球所有设备的规 那么库上。2.3 应用协议内容隐藏可针对主要的服务器（WEB服务器、FTP服务器、邮件服务器等）反响信息进行有效隐 藏。防止黑客利用服务器返回信息进行有针对性的攻击。如： 出错页面隐藏、响应报 头隐藏、FTP信息隐藏等 2.5用户登录权限防护可

6、以针对特定的服务或者web页面提供登陆保护，通过发送短信验证码的方式提供强 认证保护。用户访问到该页面或应用的时候需要先经过短信的认证才能进入到正常的登录界 面，增强了敏感页面或应用的安全系数；该功能能够带来的价值：第一，对重要的页面（如管理员页面）进行防护，防止通过社会工程、暴力破解拿到正 常管理员的账号密码；第二，可实现敏感页面的双因子强认证提高安全性,防止敏感页面开放于公网或办公网； 2.6精确的病毒检测能力提供先进的病毒防护功能，可从源头对 、FTP、SMTP、POP3等协议流最中进行病 毒查杀，也可查杀压缩包（zip, rar, gzip等）中的病毒。同时采用高效的流式扫描技术， 可

7、大幅提升病毒检测效率防止防病毒成为网络安全的瓶颈。2.7 网关型网页防篡改提供网关型的网页防篡改（对服务器“0”影响）功能，能够第一时间拦截网页篡改的 信息并通知管理员确认。同时对外提供篡改重定向功能，提供正常界面、友好界面、web 备份服务器的重定向，保证用户仍可正常访问网站。网站篡改防护功能使用网关实现动静态 网页防篡改功能。这种实现方式相对于主机部署类防篡改软件而言，客户无需在服务器上安 装第三方软件，易于使用和维护，在防篡改技术方面采用了网络字节流的检测与恢复，对服 务器性能没有影响。2.8 可定义的敏感信息防泄漏提供内置敏感信息库以及可定义的敏感信息防泄漏功能，根据不同用户的防护需求

8、可灵 活自定义敏感信息（如：用户信息/邮箱账户信息/MD5加密密码/银行卡号/身份证号码/社 保账号/信用卡号/手机号码），通过短信、邮件报警及连接请求阻断的方式防止大量的 敏感信息被窃取。2.9 覆盖传统防火墙功能涵盖了完整的传统防火墙功能，包括融合了技术国内领先，市场占有率第的VPN模 块，支持应用访问控制、NAT支持、路由协议、VLAN属性、链路聚合等功能，便于用户替 换传统防火墙后，将原有的策略完全迁移至下一代防火墙中，实现简化组网、方便运维的效 果。同时可防护基于数据包的DOS攻击、IP协议报文的DOS攻击、TCP协议报文的DOS攻 击、基于 协议的DOS攻击等，实现对网络层、应用层

9、的各类资源耗尽的拒绝服务攻击 的防护，支持对加密隧道数据进行安全攻击检测，全面提升广域网隔离的安全性。3 .智能联动自学习主动防御内置主动防御功能，可智能分析提交 请求中的变量和参数类型，根据设定的阈值 进行学习，学习结果最终形成防护白名单，阻断不符合学习内容的请求，白名单根据学习结 果动态更新，保证参数内容学习的正确性。3.1 智能APT攻击防护是国内唯一同时融合FW、IPS、WAF、AV功能并能智能联动的安全产品，通过各个模 块间的联动，为APT攻击防护提供从主机层（恶意代码防护、僵尸网络隔离）、网络层（访问控 制、边界隔离、入侵防护、漏洞扫描、内网嗅探）、应用层（恶意网址识别、OWASP

10、TOP应用 协议攻击、管理认证登陆、DLP）的L2-L7层一体化安全防护。通过关联分析准确定位出APT 攻击的行为，阻断黑客在实施APT攻击各个步骤、各种手段的有效性。智能的主动防御技术可实现内部各个模块之间形成智能的策略联动，如一个IP/用户持 续向内网服务器发起各类攻击那么可通过防火墙策略暂时阻断IP/用户。智能防护体系的建立 可有效的防止工具型、自动化的黑客攻击，提高攻击本钱，可抑制APT攻击的发生。同时 也使得管理员维护变得更为简单，可实现无网管的自动化安全管理。3.2 安全风险评估与策略联动基于时间周期的安全防护设计提供事前风险评估及策略联动的功能。风险评估功能分为 Web弱点扫描与

11、系统漏洞扫描两局部：系统漏洞扫描通过端口、服务、应用扫描帮助用户及时发现端口、服务及漏洞风险，并 通过模块间的智能策略联动及时更新对应的安全风险的安全防护策略。帮助用户快速诊断电 子商务平台中各个节点的安全漏洞问题，并做出有针对性的防护策略。Web弱点扫描通过内置的二十多类Web攻击特征，如SQL注入，盲注，操作系统命令， 远程文件包含，XPATH注入，LDAP注入，服务器端包含（SSI）, iframe钓他，不安全的PHP 配置检查等，可以帮助用户快速定位出Web应用的漏洞，并提供相关漏洞的严重等级和描 述信息以及建议的修复方案等，协助用户快速解决内网Web应用存在的风险。3.3 智能联动封

12、锁攻击在配置安全策略后，可根据策略的匹配情况动态生成启发式阻断规那么，当检测到某个IP 有攻击行为后，联动封锁一段时间，以此到达提高黑客攻击本钱的目的。当设定的时间内没 有再发生攻击行为，那么把该IP从启发式阻断规那么中删除。3.4 统一集中管理平台提供统集中管理平台实现对分支各设备的集中监管，集中配置下发与远程独立配置， 提供多个管理员权限模版实现管理员的分级管理，提高管理效率，简化运维本钱.4 .高效稳定多核并行处理技术的设计不仅仅采用了多核的硬件架构，在计算指令设计上采用了先进的无锁并行处理技 术，能够实现多流水线同时处理，成倍提升系统吞吐量，在多核系统下性能表现十分优异， 是真正的多核

13、并行处理的架构。4.1 单次解析架构采用单次解析构架实现报文的一次解析次匹配，有效提升了应用层效率。实现单次解 析技术的一个关键要索就是软件架构设计实现网络、应用层平面别离，将数据通过“0”拷 贝技术提取到应用层平面上实现威胁特征的统一解析、统一检测，减少冗余的数据包封装， 从而实现高性能的处理。4.2 跳跃式扫描技术利用多年积累的应用识别技术，在内核驱动层面通过私有协议将所有经过的数据包都打 上应用的标签。在数据包提取到内容检测平面进行检测的时候，会找到对应的应用威胁特征, 使用跳跃式扫描技术跳过无关的应用威胁检测特征，从而减少无效扫描，提升扫描效率。比 如：流量被识别为 流量，那么FTP

14、sever-u的相关漏洞攻击特征便不会对系统造成威胁， 便可以暂时跳过检测进行转发，提升转发的效率。4.3 Sangfor Regex 正那么弓| 擎防火墙使用正那么表达式对流量的内容进行匹配，正那么表达式是一种识别特定模式数据的 方法，可以精确识别网络中的攻击。但经我们研究分析，业界已有的正那么表达式匹配方法, 其速度一般比较慢，制约了 AF设备整机速度的提高，为此，设计并实现全新的Sangfor Regex 正那么引擎，把正那么表达式的匹配速度提高到数十Gbps,比PCRE和Google的RE2等知名引 擎快数十倍，到达业界领先水平。整体而言，大幅降低了 CPU占用率，提高AF的整机吞吐，从而更高速地处理客户业务 数据，这项技术尤其适合对每秒吞吐量要求非常高的场合，如运营商，电商等。4.4 产品性能评测报告国内知名IT行业媒体网络世界在2021年针对进行了一次客观的产品评测。在各项 功能开启时，应用层处理性能优秀，在不同大小文件下，应用流量处理能力均到达万兆级别， 可以满足正常网络应用中万兆宽带的应用流量处理需求。