防火墙功能特性
1.安全可视
1.1业务安全状况可视
    提供的实时漏洞分析功能,可以根据经过设备的业务流量主动分析其中存在的风险并实时展示出来,实时监控界面上可以根据服务器真实存在的漏洞多少进行排名,同时会给出各个业务系统风险情况的评估,并给出建议解决方案。
还提供强大的综合风险报表功能,从业务和用户两个维度对网络中的安全状况进行整体分析,按照受攻击类型、漏洞类型和威胁类型进行统计分析,并根据每个业务对应的服务器IP进行针对性的安全分析,提供相应的服务安全说明,使得报表的可读性更高,方便用户从报告中分析出下一步的安全加固策略。
1.2应用服务内容可视
    具有卓越的应用可视化功能,通过多种应用识别技术形成国内最大的应用特征识别库和URL
库,涵盖了超过3000种应用规则和3000万URL条目,可精确识别内外网的采用端口跳跃、端口逃逸、多端口、随机端口等各类应用,为下一代防火墙实现用户与应用的精细化访问控制提供技术基础。
   
1.3用户控制策略可视
    可通过应用可视化功能与用户识别技术结合制定L3-L7一体化应用控制策略, 可以为用户提供更加精细和直观化控制界面,在一个界面下完成多套设备的运维工作,提升工作效率。
1.4网络流量状态可视
    可提供基于用户和应用的流量管理功能,能够基于应用做流量控制,实现阻断非法流量、限制无关流量保证核心业务的可视化流量管理价值,并可通过运行状态页面观察到每条通道的流量状态信息,应用流量排行以及用户流量排行等,同时也会对应用流量进行汇总统计,可直观的了解到网络中的流量分布情况。
2.双向防御
2.1强化的Web攻击防护
采用攻击特征+主动防御相结合的双重防护模式,可有效保护web业务安全。攻击特征的防护模式有效结合了web攻击的静态规则及基于黑客攻击过程的动态防御机制,提供OWASP定义的十大安全威胁的攻击防护功能,有效防止常见的web安全威胁。如SQL注入、XSS跨站脚本、CSRF跨站请求伪造等,主动防御模式可提供参数类型学习和自定义参数等个性化配置,保护web系统免受网站篡改、网页挂马、业务数据泄露、用户账号被盗等问题。于2021年1月通过了OWASP Web安全项目的测试,设备的安全防护等级被评为4星(5星满分)为国内同类厂商最高得分。
2.2基于应用的深度入侵防御
    基于应用的深度入侵防御采用六大威胁检测机制:攻击特征检测、特殊攻击检测、威胁关联分析、异常流量检测、协议异常检测、深度内容分析。能够有效的防止各类已知未知攻击,实时阻断黑客攻击。如,缓冲区溢出攻击、利用漏洞的攻击、协议异常、蠕虫、木马、后门、DoS/DDoS攻击探测、扫描、间谍软件、以及各类IPS逃逸攻击等。
2.3僵尸网络检测隔离
独有的僵尸网络检测隔离功能,能够实时对外发流量进行检测,协助用户定位内网被黑客控制的服务器或终端。该功能融合了僵尸网络识别库,利用业界领先的僵尸网络识别检测技术对黑客的攻击行为进行有效识别,针对以反弹式木马为代表的恶意软件进行深度防护。僵尸网络识别库数量超过15万条,并由攻防团队实时更新。同时,正在完善安全云平台,部署在全球各地的防火墙设备可以自动【在获得用户授权的前提下】或手动上传可疑的应用流量到安全云平台,平台会自动分析,形成新的恶意软件识别策略下发到全球所有设备的规则库上。
2.4应用协议内容隐藏
    可针对主要的服务器(WEB服务器、FTP服务器、邮件服务器等)反馈信息进行有效隐藏。防止黑客利用服务器返回信息进行有针对性的攻击。如:HTTP出错页面隐藏、响应报头隐藏、FTP信息隐藏等
2.5用户登录权限防护
    可以针对特定的服务或者web页面提供登陆保护,通过验证码的方式提供强认证
保护。用户访问到该页面或应用的时候需要先经过短信的认证才能进入到正常的登录界面,增强了敏感页面或应用的安全系数;该功能能够带来的价值:
第一,对重要的页面(如管理员页面)进行防护,防止通过社会工程、暴力破解拿到正常管理员的账号密码;
第二,可实现敏感页面的双因子强认证提高安全性,防止敏感页面开放于公网或办公网;
2.6精确的病毒检测能力
    提供先进的病毒防护功能,可从源头对HTTP、FTP、SMTP、POP3等协议流量中进行病毒查杀,也可查杀压缩包(zip,rar,gzip等)中的病毒。同时采用高效的流式扫描技术,可大幅提升病毒检测效率避免防病毒成为网络安全的瓶颈。
2.7网关型网页防篡改
    提供网关型的网页防篡改(对服务器“0”影响)功能,能够第一时间拦截网页篡改的信息并通知管理员确认。同时对外提供篡改重定向功能,提供正常界面、友好界面、web备份服务
器的重定向,保证用户仍可正常访问网站。网站篡改防护功能使用网关实现动静态网页防篡改功能。这种实现方式相对于主机部署类防篡改软件而言,客户无需在服务器上安装第三方软件,易于使用和维护,在防篡改技术方面采用了网络字节流的检测与恢复,对服务器性能没有影响。
2.8可定义的敏感信息防泄漏
    提供内置敏感信息库以及可定义的敏感信息防泄漏功能,根据不同用户的防护需求可灵活自定义敏感信息(如:用户信息/邮箱账户信息/MD5加密密码/银行卡号/身份证号码/社保账号/信用卡号/手机号码……),通过短信、邮件报警及连接请求阻断的方式防止大量的敏感信息被窃取。
2.9覆盖传统防火墙功能
    涵盖了完整的传统防火墙功能,包括融合了技术国内领先,市场占有率第一的 VPN模块,支持应用访问控制、NAT支持、路由协议、VLAN属性、链路聚合等功能,便于用户替换传统防火墙后,将原有的策略完全迁移至下一代防火墙中,实现简化组网、方便运维的效
果。同时可防护基于数据包的DOS攻击、IP协议报文的DOS攻击、TCP协议报文的DOS攻击、基于HTTP协议的DOS攻击等,实现对网络层、应用层的各类资源耗尽的拒绝服务攻击的防护,支持对加密隧道数据进行安全攻击检测,全面提升广域网隔离的安全性。
3.智能联动
3.1自学习主动防御
    内置主动防御功能,可智能分析提交http请求中的变量和参数类型,根据设定的阈值进行学习,学习结果最终形成防护白名单,阻断不符合学习内容的请求,白名单根据学习结果动态更新,保证参数内容学习的正确性。
3.2智能APT攻击防护
    是国内唯一同时融合FW、IPS、WAF、AV功能并能智能联动的安全产品,通过各个模块间的联动,为APT攻击防护提供从主机层(恶意代码防护、僵尸网络隔离)、网络层(访问控制、边界隔离、入侵防护、漏洞扫描、内网嗅探)、应用层(恶意网址识别、OWASP TOP应用协议攻击、管理认证登陆、DLP)的 L2-L7层一体化安全防护。通过关联分析准确定位出A
PT攻击的行为,阻断黑客在实施APT攻击各个步骤、各种手段的有效性。
    智能的主动防御技术可实现内部各个模块之间形成智能的策略联动,如一个IP/用户持续向内网服务器发起各类攻击则可通过防火墙策略暂时阻断IP/用户。智能防护体系的建立可有效的防止工具型、自动化的黑客攻击,提高攻击成本,可抑制APT攻击的发生。同时也使得管理员维护变得更为简单,可实现无网管的自动化安全管理。
3.3安全风险评估与策略联动
    基于时间周期的安全防护设计提供事前风险评估及策略联动的功能。风险评估功能分为Web弱点扫描与系统漏洞扫描两部分:
    系统漏洞扫描通过端口、服务、应用扫描帮助用户及时发现端口、服务及漏洞风险,并通过模块间的智能策略联动及时更新对应的安全风险的安全防护策略。帮助用户快速诊断电子商务平台中各个节点的安全漏洞问题,并做出有针对性的防护策略。
    Web弱点扫描通过内置的二十多类Web攻击特征,如SQL注入,盲注,操作系统命令,远程文件包含,XPATH注入,LDAP注入,服务器端包含(SSI),iframe钓鱼,不安全的PHP
配置检查等,可以帮助用户快速定位出Web应用的漏洞,并提供相关漏洞的严重等级和描述信息以及建议的修复方案等,协助用户快速解决内网Web应用存在的风险。
3.4智能联动封锁攻击
    在配置安全策略后,可根据策略的匹配情况动态生成启发式阻断规则,当检测到某个IP有攻击行为后,联动封锁一段时间,以此达到提高黑客攻击成本的目的。当设定的时间内没有再发生攻击行为,则把该IP从启发式阻断规则中删除。
xpath注入解决方案3.5统一集中管理平台
    提供统一集中管理平台实现对分支各设备的集中监管,集中配置下发与远程独立配置,提供多个管理员权限模版实现管理员的分级管理,提高管理效率,简化运维成本。
4.高效稳定
4.1多核并行处理技术
    的设计不仅仅采用了多核的硬件架构,在计算指令设计上采用了先进的无锁并行处理技术,
能够实现多流水线同时处理,成倍提升系统吞吐量,在多核系统下性能表现十分优异,是真正的多核并行处理的架构。
4.2单次解析架构
    采用单次解析构架实现报文的一次解析一次匹配,有效提升了应用层效率。实现单次解析技术的一个关键要素就是软件架构设计实现网络、应用层平面分离,将数据通过“0”拷贝技术提取到应用层平面上实现威胁特征的统一解析、统一检测,减少冗余的数据包封装,从而实现高性能的处理。
4.3跳跃式扫描技术
    利用多年积累的应用识别技术,在内核驱动层面通过私有协议将所有经过的数据包都打上应用的标签。在数据包提取到内容检测平面进行检测的时候,会到对应的应用威胁特征,使用跳跃式扫描技术跳过无关的应用威胁检测特征,从而减少无效扫描,提升扫描效率。比如:流量被识别为HTTP流量,那么FTP sever-u的相关漏洞攻击特征便不会对系统造成威胁,便可以暂时跳过检测进行转发,提升转发的效率。
4.4 Sangfor Regex正则引擎
防火墙使用正则表达式对流量的内容进行匹配,正则表达式是一种识别特定模式数据的方法,可以精确识别网络中的攻击。但经我们研究分析,业界已有的正则表达式匹配方法,其速度一般比较慢,制约了AF设备整机速度的提高,为此,设计并实现全新的Sangfor Regex正则引擎,把正则表达式的匹配速度提高到数十Gbps,比PCRE和Google的RE2等知名引擎快数十倍,达到业界领先水平。
整体而言,大幅降低了CPU占用率,提高AF的整机吞吐,从而更高速地处理客户业务数据,这项技术尤其适合对每秒吞吐量要求非常高的场合,如运营商,电商等。
4.4产品性能评测报告
    国内知名IT行业媒体《网络世界》在2021年针对进行了一次客观的产品评测。在各项功能开启时,应用层处理性能优秀,在不同大小文件下,应用流量处理能力均达到万兆级别,可以满足正常网络应用中万兆宽带的应用流量处理需求。

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。