深信服AF根據(jù)企業(yè)VPN常見(jiàn)使用場(chǎng)景,支持多種VPN隧道業(yè)務(wù),包括IPSec�、GRE����、 SSL VPN等�。用戶(hù)可通過(guò)GRE、IPSec或SSL VPN 隧道實(shí)現(xiàn)分公司與總部之間的數(shù)據(jù)安全傳輸�����,通過(guò)SSL VPN隧道實(shí)現(xiàn)PC以及移動(dòng)客戶(hù)端與總部之間的數(shù)據(jù)安全傳輸���;支持多種隧道模式��,即可以讓用戶(hù)通過(guò)七層Web鏈接進(jìn)行內(nèi)網(wǎng)資源的快速訪(fǎng)問(wèn)��,又可以讓用戶(hù)通過(guò)三層隧道實(shí)現(xiàn)任意內(nèi)網(wǎng)應(yīng)用資源的便捷使用����。
深信服AF可以實(shí)現(xiàn)靜態(tài)路由�、默認(rèn)路由、浮動(dòng)靜態(tài)路由等基礎(chǔ)功能����,同時(shí)能夠?qū)崿F(xiàn)如BGP、RIP��、OSPF等動(dòng)態(tài)路由協(xié)議���,并完美支持策略路由����、多播路由等功能。
NGAF提供強(qiáng)大的綜合安全風(fēng)險(xiǎn)報(bào)表功能�。青浦區(qū)企業(yè)下一代防火墻信息中心
分離平面設(shè)計(jì)
深信服下一代防火墻通過(guò)軟件設(shè)計(jì)將網(wǎng)絡(luò)層和應(yīng)用層的數(shù)據(jù)處理進(jìn)行分離,在底層以應(yīng)用識(shí)別模塊為基礎(chǔ)�����,對(duì)所有網(wǎng)卡接收到的數(shù)據(jù)進(jìn)行識(shí)別�,再通過(guò)抓包驅(qū)動(dòng)把需要處理的應(yīng)用數(shù)據(jù)報(bào)文抓取到應(yīng)用層。若應(yīng)用層發(fā)生數(shù)據(jù)處理失敗的情況�,也不會(huì)影響到網(wǎng)絡(luò)層數(shù)據(jù)的轉(zhuǎn)發(fā),從而實(shí)現(xiàn)高效率�����、可靠的數(shù)據(jù)報(bào)文處理�。
多核并行處理
深信服下一代防火墻的設(shè)計(jì)不僅采用了多核的硬件架構(gòu),在計(jì)算指令設(shè)計(jì)上還采用了先進(jìn)的無(wú)鎖并行處理技術(shù)�����,能夠?qū)崿F(xiàn)多流水線(xiàn)同時(shí)處理���,成倍提升系統(tǒng)吞吐量��,在多核系統(tǒng)下性能表現(xiàn)十分優(yōu)異���,是真正的多核并行處理架構(gòu)�����。
青浦區(qū)企業(yè)下一代防火墻信息中心不對(duì)服務(wù)器和終端向外主動(dòng)發(fā)起的業(yè)務(wù)流量進(jìn)行防護(hù).
傳統(tǒng)防火墻的訪(fǎng)問(wèn)控制或者流量管理粒度粗放,只能基于IP/端口號(hào)對(duì)數(shù)據(jù)流量進(jìn)行一刀切式的禁止或允許�����。深信服下一代防火墻基于龐大的應(yīng)用和用戶(hù)識(shí)別能力�,對(duì)數(shù)據(jù)流量和訪(fǎng)問(wèn)來(lái)源進(jìn)行精細(xì)化辨識(shí)和分類(lèi),使得用戶(hù)可以輕易從同一個(gè)端口協(xié)議的數(shù)據(jù)流量中辨識(shí)出任意多種不同的應(yīng)用��,或從無(wú)意無(wú)序的IP地址中辨識(shí)出有意義的用戶(hù)身份信息�����,從而針對(duì)識(shí)別出的應(yīng)用和用戶(hù)施加細(xì)粒度�����、有區(qū)別的訪(fǎng)問(wèn)控制策略����、流量管理策略和安全掃描策略��,保障了用戶(hù)**直接����、準(zhǔn)確�、精細(xì)的管理愿望和控制訴求。
例如:允許HTTP網(wǎng)頁(yè)訪(fǎng)問(wèn)順利進(jìn)行����,并且保證高訪(fǎng)問(wèn)帶寬,但是不允許同樣基于HTTP協(xié)議的視頻流量通過(guò)���;允許通過(guò)QQ進(jìn)行即時(shí)通訊��,但是不允許通過(guò)QQ傳輸文件��;允許郵件傳輸��,但需要進(jìn)行防攻擊和敏感信息過(guò)濾���,如發(fā)現(xiàn)有攻擊入侵或泄密事件馬上阻斷,等等���。
支持靜態(tài)網(wǎng)絡(luò)地址轉(zhuǎn)換(Static NAT)和動(dòng)態(tài)網(wǎng)絡(luò)地址轉(zhuǎn)換(Dynamic NAT)��,實(shí)現(xiàn)內(nèi)網(wǎng)地址轉(zhuǎn)換成公網(wǎng)地址后進(jìn)行網(wǎng)絡(luò)通信�����。支持目的NAT�,將對(duì)外網(wǎng)地址的訪(fǎng)問(wèn)映射為對(duì)內(nèi)網(wǎng)地址訪(fǎng)問(wèn),支持將對(duì)一個(gè)公網(wǎng)地址的訪(fǎng)問(wèn)映射為內(nèi)網(wǎng)多個(gè)地址�����,實(shí)現(xiàn)內(nèi)網(wǎng)服務(wù)器的負(fù)載均衡訪(fǎng)問(wèn)��,同時(shí)支持目的端口轉(zhuǎn)換���。
支持IPv6安全控制策略設(shè)置,能針對(duì)IPV6的目的/源地址���、目的/源服務(wù)端口��、服務(wù)�、等條件進(jìn)行安全訪(fǎng)問(wèn)規(guī)則的設(shè)置�;支持IPv6靜態(tài)路由;支持雙棧、6to4及6in4隧道實(shí)現(xiàn) IPv6網(wǎng)絡(luò)與IPv4網(wǎng)絡(luò)訪(fǎng)問(wèn)等��。深信服AF產(chǎn)品已獲IPv6-Ready 認(rèn)證��。
安全運(yùn)營(yíng)是否能夠簡(jiǎn)化����?
主動(dòng)防御可以針對(duì)受保護(hù)主機(jī)接受的URL請(qǐng)求中帶的參數(shù)變量類(lèi)型,以及變量長(zhǎng)度按照設(shè)定的閾值進(jìn)行自動(dòng)學(xué)��,學(xué)完成后可以抵御各種變形攻擊��。另外還可以通過(guò)自定義參數(shù)規(guī)則來(lái)更精確的匹配合法URL參數(shù)�,提高攻擊識(shí)別能力。
Web應(yīng)用系統(tǒng)中通常會(huì)包含有系統(tǒng)管理員管理界面以便于管理員遠(yuǎn)程維護(hù)web應(yīng)用系統(tǒng)��,但是這種便利很可能會(huì)被攻擊者利用從而入侵應(yīng)用系統(tǒng)�����。通過(guò)AF提供的受限URL防護(hù)功能�,幫助用戶(hù)選擇特定URL的開(kāi)放對(duì)象,防止由于過(guò)多的信息暴露于公網(wǎng)產(chǎn)生的威脅�����。
只有看到L2-L7層的攻擊才能了解網(wǎng)絡(luò)的整體安全狀況.青浦區(qū)企業(yè)下一代防火墻信息中心
深信服VPN融合安全,簡(jiǎn)單有效�����。青浦區(qū)企業(yè)下一代防火墻信息中心
事中攻擊防御**準(zhǔn)確-下一代WAF引擎
性能瓶頸:設(shè)備處理性能存在瓶頸問(wèn)題的本質(zhì)原因��,安全設(shè)備對(duì)應(yīng)用層流量采用的檢測(cè)手段是全流量檢測(cè)模式���,這樣做的問(wèn)題就是不管流量是好是壞��,都需要設(shè)備對(duì)其進(jìn)行拆包�����、還原、特征比對(duì)等����,設(shè)備性能損耗大,性能差��,而現(xiàn)網(wǎng)中大部分的流量均是合法流量���,我們稱(chēng)之為白流量�����。
內(nèi)容還原:在發(fā)起應(yīng)用層攻擊時(shí)��,設(shè)備首先會(huì)對(duì)應(yīng)用流量進(jìn)行內(nèi)容還原�����,從流量中還原目標(biāo)業(yè)務(wù)組件��,業(yè)界通用思路會(huì)構(gòu)建內(nèi)容還原引擎解析流量����,進(jìn)而基于還原的目標(biāo)業(yè)務(wù)組件開(kāi)展后續(xù)的安全檢測(cè);所以能否有效多方位的識(shí)別應(yīng)用層威脅���,前提是業(yè)務(wù)內(nèi)容還原能力是否夠強(qiáng)����;
其中比較大的難度就是面對(duì)客戶(hù)環(huán)境中眾多的異構(gòu)的����、不同版本的、開(kāi)源的各種組件��,安全廠(chǎng)商無(wú)法多方位覆蓋,存在攻擊被繞過(guò)的風(fēng)險(xiǎn)���;
攻擊檢測(cè):傳統(tǒng)的web防御基于靜態(tài)規(guī)則���,太嚴(yán)格的規(guī)則容易誤殺正常業(yè)務(wù)流量,造成誤判����。太松散的規(guī)則則容易被繞過(guò),造成漏判���,同時(shí)對(duì)于已知web攻擊的各種變種����、0day及未知應(yīng)用層威脅通過(guò)靜態(tài)特征無(wú)法有效的防御����;
所以傳統(tǒng)的應(yīng)用層防御體系存在性能差�、不安全等特征;
青浦區(qū)企業(yè)下一代防火墻信息中心
上海黑象信息科技有限公司坐落在橫沙鄉(xiāng)富民支路58號(hào)A3-2486室(上海橫泰經(jīng)濟(jì)開(kāi)發(fā)區(qū))�����,是一家專(zhuān)業(yè)的信息、計(jì)算機(jī)���、電子�、網(wǎng)絡(luò)科技領(lǐng)域內(nèi)的技術(shù)開(kāi)發(fā)����、技術(shù)轉(zhuǎn)讓、技術(shù)咨詢(xún)和技術(shù)服務(wù)���,企業(yè)管理咨詢(xún)���,商務(wù)信息咨詢(xún),市場(chǎng)營(yíng)銷(xiāo)策劃�,設(shè)計(jì)、制作各類(lèi)廣告��,計(jì)算機(jī)軟件及輔助設(shè)備�����、電子產(chǎn)品����、工藝禮品(象牙及其制品除外)的銷(xiāo)售����。信息�����、計(jì)算機(jī)���、電子���、網(wǎng)絡(luò)科技領(lǐng)域內(nèi)的技術(shù)開(kāi)發(fā)、技術(shù)轉(zhuǎn)讓����、技術(shù)咨詢(xún)和技術(shù)服務(wù),企業(yè)管理咨詢(xún)��,商務(wù)信息咨詢(xún)�,市場(chǎng)營(yíng)銷(xiāo)策劃,設(shè)計(jì)�、制作各類(lèi)廣告,計(jì)算機(jī)軟件及輔助設(shè)備�、電子產(chǎn)品���、工藝禮品(象牙及其制品除外)的銷(xiāo)售�����。信息����、計(jì)算機(jī)、電子��、網(wǎng)絡(luò)科技領(lǐng)域內(nèi)的技術(shù)開(kāi)發(fā)����、技術(shù)轉(zhuǎn)讓、技術(shù)咨詢(xún)和技術(shù)服務(wù)����,企業(yè)管理咨詢(xún),商務(wù)信息咨詢(xún)��,市場(chǎng)營(yíng)銷(xiāo)策劃����,設(shè)計(jì)、制作各類(lèi)廣告�,計(jì)算機(jī)軟件及輔助設(shè)備���、電子產(chǎn)品、工藝禮品(象牙及其制品除外)的銷(xiāo)售�。信息、計(jì)算機(jī)����、電子、網(wǎng)絡(luò)科技領(lǐng)域內(nèi)的技術(shù)開(kāi)發(fā)����、技術(shù)轉(zhuǎn)讓、技術(shù)咨詢(xún)和技術(shù)服務(wù)��,企業(yè)管理咨詢(xún)��,商務(wù)信息咨詢(xún)�����,市場(chǎng)營(yíng)銷(xiāo)策劃����,設(shè)計(jì)、制作各類(lèi)廣告,計(jì)算機(jī)軟件及輔助設(shè)備����、電子產(chǎn)品�、工藝禮品(象牙及其制品除外)的銷(xiāo)售。公司��。公司目前擁有專(zhuān)業(yè)的技術(shù)員工��,為員工提供廣闊的發(fā)展平臺(tái)與成長(zhǎng)空間����,為客戶(hù)提供高質(zhì)的產(chǎn)品服務(wù),深受員工與客戶(hù)好評(píng)�。公司以誠(chéng)信為本,業(yè)務(wù)領(lǐng)域涵蓋技術(shù)開(kāi)發(fā)����,技術(shù)轉(zhuǎn)讓?zhuān)夹g(shù)咨詢(xún),技術(shù)服務(wù)����,我們本著對(duì)客戶(hù)負(fù)責(zé),對(duì)員工負(fù)責(zé)�����,更是對(duì)公司發(fā)展負(fù)責(zé)的態(tài)度,爭(zhēng)取做到讓每位客戶(hù)滿(mǎn)意����。公司憑著雄厚的技術(shù)力量、飽滿(mǎn)的工作態(tài)度��、扎實(shí)的工作作風(fēng)����、良好的職業(yè)道德,樹(shù)立了良好的技術(shù)開(kāi)發(fā)����,技術(shù)轉(zhuǎn)讓?zhuān)夹g(shù)咨詢(xún),技術(shù)服務(wù)形象���,贏(yíng)得了社會(huì)各界的信任和認(rèn)可��。