单次解析架构
深信服下一代防火墙采用单次解析架构实现报文的一次解析一次匹配,有效提升了应用层效率。实现单次解析技术的一个关键要素就是软件架构设计实现网络层、应用层的平面分离,将数据通过“0”拷贝技术提取到应用平面上实现威胁特征的统一解析和统一检测,减少冗余的数据包封装,实现高性能的数据处理。
跳跃式扫描技术
深信服下一代防火墙利用多年积累的应用识别技术,在内核驱动层面通过私有协议将所有经过下一代防火墙的数据包都打上应用的标签。当数据包被提取到内容检测平面进行检测时,设备会找到对应的应用威胁特征,通过使用跳跃式扫描技术跳过无关的应用威胁检测特征,减少无效扫描,提升扫描效率。比如:流量被识别为HTTP流量,那么FTP server的相关漏洞攻击特征便不会对系统造成威胁,便可以暂时跳过检测进行转发,提升转发的效率。
实时监控界面可以根据服务器真实存在的漏洞数量进行排名。金山区原则下一代防火墙信息中心深信服AF除了能实现等同于传统防火墙的访问控制功能之外还能实现基于应用及地域的访问控制,帮助用户更好的进行精细控制。
地域访问控制主要是通过对访问者的IP地址进行归属地判断,判断所属国家或地区是否能够对业务进行访问。SANGFOR AF内置了一个全球的IP地址库,并定期更新。地址库由三部分组成:黑名单、白名单和全球地址库,用户可以在WEBUI上对此地址库配置黑白名单和IP归属地纠错。
一、访问者的IP首先会根据IP黑名单进行匹配,如果此IP是黑名单的IP则直接拒绝访问;
二、根据IP白名单进行匹配,如果此IP是白名单的IP则直接允许访问;
三、如果不在黑白名单中,则通过IP地址库进行匹配,得出此IP的归属地(那个国家或地区),然后根据用户配置的此国家或是地区的访问策略进行拒绝或允许访问。
普陀区上门下一代防火墙欢迎选购在面临新的未知攻击的情况下缺乏有效的防御措施.
深信服AF为满足对新威胁防御的需求,让用户以**快的速度具备防御新威胁的能力,实现了安全云与在线设备的联动。通过云端收集上万台在线设备的未知威胁进行分析,并将分析结果发送给所有的深信服AF,使得用户具备防御近期威胁的能力。
以目前网络攻击的更新速度来看,单一厂商很难实现对近期威胁的实时更新。为了更好的服务客户,深信服通过与CNCERT、Google virus total等十余家**机构的合作来实现共享威胁情报,帮助用户接收到**多方位的信息,实现对新威胁的有效防御。
事中攻击防御**准确-下一代WAF引擎性能瓶颈:设备处理性能存在瓶颈问题的本质原因,安全设备对应用层流量采用的检测手段是全流量检测模式,这样做的问题就是不管流量是好是坏,都需要设备对其进行拆包、还原、特征比对等,设备性能损耗大,性能差,而现网中大部分的流量均是合法流量,我们称之为白流量。
内容还原:在发起应用层攻击时,设备首先会对应用流量进行内容还原,从流量中还原目标业务组件,业界通用思路会构建内容还原引擎解析流量,进而基于还原的目标业务组件开展后续的安全检测;所以能否有效多方位的识别应用层威胁,前提是业务内容还原能力是否够强;
其中比较大的难度就是面对客户环境中众多的异构的、不同版本的、开源的各种组件,安全厂商无法多方位覆盖,存在攻击被绕过的风险;
攻击检测:传统的web防御基于静态规则,太严格的规则容易误杀正常业务流量,造成误判。太松散的规则则容易被绕过,造成漏判,同时对于已知web攻击的各种变种、0day及未知应用层威胁通过静态特征无法有效的防御;
所以传统的应用层防御体系存在性能差、不安全等特征; 但大部分客户无法全部部署,所以安全存在短板.
深信服AF采用自主研发的DOS攻击算法,可防护基于数据包的DOS攻击、IP协议报文的DOS攻击、TCP协议报文的DOS攻击、基于HTTP协议的DOS攻击等,实现对网络层、应用层的各类资源耗尽的拒绝服务攻击的防护,实现L2-L7层的异常流量清洗。
深信服AF采用流模式和启发式文件扫描技术,并使用自研的AI杀毒引擎SAVE,可对HTTP、SMTP、POP3、FTP等多种协议类型的近百万种攻击进行查杀,包括木马、蠕虫、宏攻击、脚本攻击等,同时可对多线程并发、深层次压缩文件等进行有效控制和查杀。 只有看到L2-L7层的攻击才能了解网络的整体安全状况.浦东新区电话下一代防火墙欢迎选购
通过从业务安全、用户安全以及漏洞分布三个维度来多方位地帮助用户了解网络当中存在的威胁。金山区原则下一代防火墙信息中心
协议异常检测:通过对http协议字段和内容进行深度分析,识别对应协议是否存在异常特征。下一代WAF引擎:通过融合协议解析、解码、机器学*、正则引擎匹配、词法和语法分析等技术方案,形成深信服下一代WAF引擎。
1、标准协议解析,根据tcp/ip,http,ftp等协议标准,解析网络流量,还原流量内容。
2、标准解码:根据标准协议解析后,根据协议中定义的编码标准,对内容进行进一步的标准协议解析。
3、业务解码:结合业务的编码实现,对业务内容进行解码;如:业务采用8/16进展进行编码。通过协议解析、标准解码、业务解码等环节,**终形成对数据进行业务级别的还原,然后对内容进行检测,以此达到较好的安全防御能力。当前标准解码和业务解码支持base64,Unicode,十六进制/八进制,html,url等各种常见协议。
4、行为分析:利用机器学*算法,对用户的业务流量特征进行学*和分析,形成针对用户业务特征的威胁检测模型。
5、正则引擎:基于对攻击分析提取特征,形成snort规则。然后进行规则匹配。
6、词法分析:单词解析
7、语法分析:语法解析
8、云端联动:设备联动安全云脑,快速更新安全能力和威胁情报。
金山区原则下一代防火墙信息中心
上海黑象信息科技有限公司致力于商务服务,以科技创新实现***管理的追求。公司自创立以来,投身于技术开发,技术转让,技术咨询,技术服务,是商务服务的主力军。黑象不断开拓创新,追求出色,以技术为先导,以产品为平台,以应用为重点,以服务为保证,不断为客户创造更高价值,提供更优服务。黑象始终关注自身,在风云变化的时代,对自身的建设毫不懈怠,高度的专注与执着使黑象在行业的从容而自信。