事前风险分析

1）明确防护主体：**资产有效识别

从风险管理的角度，我们首先需要明确防护的主体对象，通过应用特征、交互协议、端口、IP等方式识别内网的业务系统；

2）识别资产风险：实时漏洞监测分析

基于识别的业务资产，接下来我们会进行业务资产风险分析，通过实时的流量检测，检测业务系统存在的漏洞，比如是否存在恶意注入、代码执行、黑链植入等恶意动作，检测业务系统的漏洞；

3）保障安全能力：安全能力评估

比如业务系统是否有对应的防御手段，是否现有的防御手段是生效的，是否规则库没有更新，是否缺少防御手段等，防止存在安全能力降级及失效的情况；

4）安全价值交付：比较好实践策略部署

基于安全能力降级及失效的情况进行一键防御，实行安全能力的一键提升；除此之外为了切实保障企业资产风险管理工作的落地，我们会为用户提供安全价值交付，基于深信服技服团队的价值交付体系给出对应建议，保障安全安全建设的切实落地。

没有攻击并不意味着业务不存在漏洞.闵行区运营下一代防火墙信息中心

在云端通过安全事件响应分析模块自动对安全事件进行及时的响应和分析，产出安全事件的危害描述、漏洞特征、攻击特征和防护策略，网关设备通过更新机制把安全事件更新包更新到本地，并通过控制台弹窗的方式告知用户当前的安全事件和危害，本地扫描器针对漏洞特征对当前防护的业务系统进行多方位扫描分析定位是否存在此安全事件漏洞。如果本地存在安全漏洞，则通过安全引擎对此漏洞的安全攻击特征进行防护，并且通过自动化生成安全防护策略的方式帮助用户达到多方位有效防护此安全事件的目的。在对此安全事件完成安全防护后，本地扫描器还会再次扫描评估是否多方位有效的防护了此安全事件。崇明区口碑好的下一代防火墙好处让运维管理人员更加了解自身的网络安全状态。

AF对主要的服务器（WEB服务器、FTP服务器、邮件服务器等）反馈信息进行了有效的隐藏。防止攻击者利用服务器返回信息进行有针对性的攻击。如：

HTTP出错页面隐藏：用于屏蔽Web服务器出错的页面，防止web服务器版本信息泄露、数据库版本信息泄露、网站路径暴露，应使用自定义页面返回。

HTTP(S)响应报文头隐藏：用于屏蔽HTTP(S)响应报文头中特定的字段信息。

FTP信息隐藏：用于隐藏通过正常FTP命令反馈出的FTP服务器信息，防止攻击者利用FTP软件版本信息采取有针对性的漏洞攻击。

由于web应用系统在开发时并没有完善的安全控制，对上传至web服务器的信息进行检查，从而导致web服务器被植入攻击、木马成为攻击者利用的工具。AF通过严格控制上传文件类型，检查文件头的特征码防止有安全问题的文件上传至服务器。同时还能够结合攻击防护、插件过滤等功能检查上传文件的安全性，以达到保护web服务器安全的目的。

缓冲区溢出攻击是利用缓冲区溢出漏洞所进行的攻击行动。可以利用它执行非授权指令，甚至可以取得系统特权，进而进行各种非法操作。AF通过对URL长度，POST实体长度和HTTP头部内容长度检测来防御此类型的攻击。 聚焦于如何保护资产在事中攻击过程中不被入侵成功.

深信服下一代防火墙构筑在64位多核并发，高速硬件平台之上，采用自主研发的并行操作系统（Sangfor OS），将转发平面、安全平面并行运行在多核平台上。多平面并发处理，紧密协作，极大的提升了网络数据包的安全处理性能。

  控制平面

负责整个系统各平面、各模块间的监控和协调工作，此平面包括配置存储、配置下发、控制台UI、数据中心等功能。

 转发平面

负责网络数据包的高速转发，此平面包括路由子系统、网桥子系统、邻居系统、VPN、NAT、拨号等功能。

加大了安全运维的工作量.闵行区运营下一代防火墙信息中心

    基础防火墙特性深信服AF兼容传统防火墙的所有功能特性，包括交换/路由、访问控制，A-A/A-S双机热备、软硬件Bypass、系统管理、日志报表、会话管理、抗DDoS攻击、应用代理、DHCP/DNS等等。PPPoE通过ADSL接e已经成为越来越多中小企业的选择，而ADSL需要拨号以后才能获得IP地址。深信服AF支持PPPoE协议，作为PPPoEClient端完成与PPPoEServer建立连接和地址获取，通过设置用户名和口令即可支持ADSL接入，获得动态IP地址、网关及DNS地址，自动完成拨号过程，接e网络。解决中小企业上网问题。 闵行区运营下一代防火墙信息中心

上海黑象信息科技有限公司致力于商务服务，是一家其他型公司。公司业务分为技术开发，技术转让，技术咨询，技术服务等，目前不断进行创新和服务改进，为客户提供良好的产品和服务。公司秉持诚信为本的经营理念，在商务服务深耕多年，以技术为先导，以自主产品为重点，发挥人才优势，打造商务服务良好品牌。黑象凭借创新的产品、专业的服务、众多的成功案例积累起来的声誉和口碑，让企业发展再上新高。