企業(yè)全網(wǎng)安全安全安全解決方案_第1頁
企業(yè)全網(wǎng)安全安全安全解決方案_第2頁
企業(yè)全網(wǎng)安全安全安全解決方案_第3頁
企業(yè)全網(wǎng)安全安全安全解決方案_第4頁
企業(yè)全網(wǎng)安全安全安全解決方案_第5頁
已閱讀5頁,還剩64頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

TOC\o"1-3"深信服科技企業(yè)全網(wǎng)安全解決方案目錄TOC\o"1-3"第1章企業(yè)網(wǎng)絡(luò)安全背景 1企業(yè)網(wǎng)絡(luò)發(fā)展?fàn)顩r 1企業(yè)網(wǎng)絡(luò)安全問題 1第2章企業(yè)網(wǎng)絡(luò)安全需求分析 2互聯(lián)網(wǎng)接入域安全需求分析 3防火墻訪問控制 3防止黑客掃描入侵 3防御DDoS攻擊 4防止病毒蠕蟲入侵 4防零時(shí)差攻擊 4防止間諜軟件 5應(yīng)用帶寬管控 5鏈路負(fù)載均衡 5廣域網(wǎng)接入域安全需求分析 6安全互聯(lián)組網(wǎng) 6數(shù)據(jù)安全性保障 6專網(wǎng)數(shù)據(jù)加固 7移動(dòng)辦公安全 7第三方安全接入 7廣域網(wǎng)鏈路質(zhì)量?jī)?yōu)化 8外聯(lián)服務(wù)域安全需求分析 8系統(tǒng)漏洞攻擊保護(hù) 8防止信息泄露和篡改 9WEB應(yīng)用安全 9防止黑客掃描入侵 9防止拒絕服務(wù) 10防范內(nèi)部威脅 10服務(wù)器負(fù)載均衡 10數(shù)據(jù)中心域安全需求分析 10防火墻隔離控制 11防止病毒蠕蟲入侵 11漏洞攻擊保護(hù) 11防APT攻擊 12防范內(nèi)部威脅 12防止拒絕服務(wù) 12WEB應(yīng)用安全 13虛擬云化風(fēng)險(xiǎn)保護(hù) 13內(nèi)網(wǎng)辦公域安全需求分析 13上網(wǎng)行為管理 14漏洞病毒防護(hù) 14Wlan安全需求 14開發(fā)環(huán)境安全 15防止僵尸網(wǎng)絡(luò) 15運(yùn)維管理域安全需求分析 15防火墻區(qū)域隔離 16防范病毒類入侵 16集中運(yùn)維管理 16 操作運(yùn)維審計(jì) 17第3章深信服企業(yè)全網(wǎng)安全解決方案 17方案總體設(shè)計(jì) 17互聯(lián)網(wǎng)接入域安全方案 18 方案說明 18 方案價(jià)值 20廣域網(wǎng)接入域安全方案 20 方案說明 20 方案價(jià)值 23外聯(lián)服務(wù)域安全方案 24 方案說明 24 方案價(jià)值 25數(shù)據(jù)中心域安全方案 26 方案說明 26 方案價(jià)值 28內(nèi)網(wǎng)辦公域安全方案 28 方案說明 28 方案價(jià)值 30運(yùn)維管理域安全方案 30 方案說明 30 方案價(jià)值 31第4章深信服解決方案產(chǎn)品介紹 32下一代防火墻NGAF介紹 32下一代防火墻NGAF簡(jiǎn)介 32產(chǎn)品功能列表 33安全網(wǎng)關(guān)SSLVPN介紹 36SSLVPN簡(jiǎn)介 36產(chǎn)品功能列表 37廣域網(wǎng)優(yōu)化WOC介紹 39廣域網(wǎng)優(yōu)化產(chǎn)品簡(jiǎn)介 39產(chǎn)品功能列表 40上網(wǎng)行為管理AC介紹 41上網(wǎng)行為管理AC簡(jiǎn)介 41產(chǎn)品功能列表 41應(yīng)用交付AD介紹 43應(yīng)用交付AD簡(jiǎn)介 43產(chǎn)品功能列表 44集中管理平臺(tái)SC介紹 46集中管理平臺(tái)簡(jiǎn)介 46產(chǎn)品功能列表 46WLAN產(chǎn)品介紹 47WLAN產(chǎn)品簡(jiǎn)介 47產(chǎn)品功能列表 51第1章企業(yè)網(wǎng)絡(luò)安全背景企業(yè)網(wǎng)絡(luò)發(fā)展?fàn)顩r互聯(lián)網(wǎng)是人類最偉大的發(fā)明?;ヂ?lián)網(wǎng)的快速發(fā)展促進(jìn)了企事業(yè)單位的信息化建設(shè),互聯(lián)網(wǎng)豐富的資源和日益成熟的網(wǎng)絡(luò)基礎(chǔ)建設(shè)大大提高了企業(yè)的生產(chǎn)力和工作效率,互聯(lián)網(wǎng)信息技術(shù)的持續(xù)使用,給企業(yè)的持續(xù)、快速、高效發(fā)展提供了助力,企業(yè)的管理成本和生產(chǎn)成本得到了持續(xù)降低。然而,伴隨著網(wǎng)絡(luò)技術(shù)的發(fā)展,各類黑客行為和攻擊技術(shù)給企業(yè)的持續(xù)、快速、健康、安全的發(fā)展帶來了困擾。IDC報(bào)告指出針對(duì)企業(yè)的黑客攻擊事件呈現(xiàn)逐年遞增的趨勢(shì)。近年來,大量的企業(yè)信息安全事件出現(xiàn)在我們的視野,如七天、如家等酒店的開房信息泄露,索尼影音官網(wǎng)被黑及用戶信息泄露,卡巴斯基總部被黑客侵入等,這些事件不僅對(duì)企業(yè)的商業(yè)活動(dòng)和企業(yè)信譽(yù)帶來損害,還對(duì)社會(huì)公民的正常生活造成干擾。普華永道針對(duì)中國(guó)企業(yè)的一份調(diào)研報(bào)告指出“已檢測(cè)到的信息安全事件對(duì)企業(yè)帶來的財(cái)務(wù)影響正在迅速增加,同時(shí)仍有許多攻擊沒被發(fā)現(xiàn)或者報(bào)告,僅在中國(guó)內(nèi)地與香港地區(qū),失竊的知識(shí)產(chǎn)權(quán)或者商業(yè)機(jī)密的實(shí)際價(jià)值已遠(yuǎn)超數(shù)十億美元”。事實(shí)充分說明:網(wǎng)絡(luò)安全是企業(yè)單位網(wǎng)絡(luò)建設(shè)的重點(diǎn)內(nèi)容,網(wǎng)絡(luò)安全建設(shè)和加固是一個(gè)持續(xù)的工程。企業(yè)網(wǎng)絡(luò)安全問題當(dāng)今企業(yè)都在廣泛使用網(wǎng)絡(luò)信息技術(shù),以不斷提高企業(yè)的核心競(jìng)爭(zhēng)力。由于計(jì)算機(jī)網(wǎng)絡(luò)的開放性,網(wǎng)絡(luò)信息化給企業(yè)帶來效益的同時(shí),也給企業(yè)增加了風(fēng)險(xiǎn)隱患,企業(yè)網(wǎng)絡(luò)安全問題日益嚴(yán)重。那么,企業(yè)網(wǎng)絡(luò)到底面臨哪些主要的安全問題呢外網(wǎng)安全問題:非法接入、網(wǎng)絡(luò)入侵、黑客攻擊、病毒傳播、蠕蟲攻擊、漏洞利用、僵尸木馬、信息泄露等已成為企業(yè)網(wǎng)絡(luò)安全最為廣泛的威脅;內(nèi)網(wǎng)安全問題:帶寬和應(yīng)用濫用、APT潛伏滲透、BYOD接入管控、WLAN使用控制、病毒蠕蟲擴(kuò)散、信息泄露等已成為企業(yè)內(nèi)部網(wǎng)絡(luò)最主要的安全問題;安全連接問題:內(nèi)部網(wǎng)絡(luò)之間、內(nèi)外網(wǎng)絡(luò)之間的連接安全,如企業(yè)總部、各地分支機(jī)構(gòu)、第三方合作伙伴、移動(dòng)辦公人員之間,既要保障信息及時(shí)共享,又要防止機(jī)密信息泄露。對(duì)于不同接入方,其所擁有的權(quán)限,既要能夠滿足正常業(yè)務(wù)的需求,又不能超越其職能權(quán)限,避免越權(quán)訪問和敏感信息泄露;運(yùn)維管理安全:共享帳號(hào)安全隱患,設(shè)備繁多控制策略復(fù)雜,操作無法監(jiān)管,內(nèi)部操作不透明,外部操作不可控,沒有統(tǒng)一的身份管理平臺(tái),頻繁切換應(yīng)用程序登錄,日志分散不可用,不能集中有效審計(jì)等問題困擾著企業(yè)網(wǎng)絡(luò)的安全運(yùn)維管理。第2章企業(yè)網(wǎng)絡(luò)安全需求分析對(duì)于大部分企業(yè)來說,其IT網(wǎng)絡(luò)的建設(shè)可以劃分六個(gè)區(qū)域,分別為:互聯(lián)網(wǎng)接入域、廣域網(wǎng)接入域、外聯(lián)服務(wù)域、數(shù)據(jù)中心域、內(nèi)網(wǎng)辦公域、運(yùn)維管理域。這六個(gè)區(qū)域因?yàn)槌休d的業(yè)務(wù)內(nèi)容和作用不同,所面臨的安全風(fēng)險(xiǎn)也有所不同,需要的安全防護(hù)措施亦有差別?;ヂ?lián)網(wǎng)接入域安全需求分析互聯(lián)網(wǎng)接入?yún)^(qū)域?qū)⑵髽I(yè)內(nèi)部網(wǎng)絡(luò)與互聯(lián)網(wǎng)邏輯隔離,作為企業(yè)內(nèi)部用戶訪問互聯(lián)網(wǎng)的出口,其中互聯(lián)網(wǎng)接入?yún)^(qū)域?qū)挝粌?nèi)部網(wǎng)絡(luò)與互聯(lián)網(wǎng)邏輯隔離,作為內(nèi)部用戶訪問互聯(lián)網(wǎng)的出口,同時(shí)承擔(dān)著兩方面的作用:一是內(nèi)部用戶訪問互聯(lián)網(wǎng)的統(tǒng)一出口;二是為社會(huì)公眾和合作伙伴提供企業(yè)信息服務(wù)的入口。互聯(lián)網(wǎng)接入域是連接企業(yè)內(nèi)部與外部的橋梁,因此面臨著來自兩個(gè)方向的安全威脅:1)外部威脅,如黑客掃描和入侵、拒絕服務(wù)攻擊、病毒或蠕蟲侵襲、僵尸木馬、信息泄露等。2)內(nèi)部威脅,如無意識(shí)的風(fēng)險(xiǎn)引入、網(wǎng)絡(luò)資源濫用導(dǎo)致的新風(fēng)險(xiǎn),以及內(nèi)部的故意破壞等。防火墻訪問控制通過防火墻在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間構(gòu)造一道保護(hù)屏障,從而保護(hù)內(nèi)部網(wǎng)絡(luò)免受非法用戶的侵入,通過防火墻將內(nèi)外部網(wǎng)絡(luò)隔離,實(shí)現(xiàn)有效的邊界訪問控制,并界定用戶的訪問請(qǐng)求是否符合安全規(guī)則,基于防火墻預(yù)設(shè)的訪問控制規(guī)則、端口和協(xié)議的檢測(cè)和控制機(jī)制等手段使可信雙方進(jìn)行通信,并阻斷不可信的訪問行為。防止黑客掃描入侵外部黑客出于好奇、報(bào)復(fù)或經(jīng)濟(jì)利益等目的會(huì)對(duì)內(nèi)網(wǎng)服務(wù)器和業(yè)務(wù)系統(tǒng)發(fā)起非法掃描,獲取內(nèi)部網(wǎng)絡(luò)的安全漏洞,發(fā)起基于存在漏洞的惡意攻擊行為,從而獲取到未授權(quán)的機(jī)密信息或內(nèi)部系統(tǒng)的控制權(quán)限。防御DDoS攻擊DDoS攻擊一般由黑客控制Internet上的“僵尸”系統(tǒng)完成,通過對(duì)互聯(lián)網(wǎng)上缺少防御的主機(jī)植入某些代碼,這些機(jī)器就會(huì)被DDoS攻擊者控制,當(dāng)黑客發(fā)動(dòng)DDoS攻擊時(shí),只需要同時(shí)向這些將僵尸機(jī)發(fā)送指令,攻擊就會(huì)由這些“僵尸”機(jī)器完成。DDoS攻擊主要有帶寬型攻擊、流量型攻擊和應(yīng)用型攻擊,其主要的表現(xiàn)為利用海量的數(shù)據(jù)包、請(qǐng)求或應(yīng)用消耗目標(biāo)網(wǎng)絡(luò)或設(shè)備資源,導(dǎo)致無法處理正常的業(yè)務(wù)或訪問請(qǐng)求,造成公司的服務(wù)質(zhì)量下降、生產(chǎn)效率降低、信譽(yù)受損等一系列問題。防止病毒蠕蟲入侵病毒蠕蟲等威脅內(nèi)容是黑客最常利用的網(wǎng)絡(luò)入侵工具。網(wǎng)絡(luò)蠕蟲病毒傳播速度快,一旦遭受了病毒和蠕蟲的侵襲,不僅會(huì)造成網(wǎng)絡(luò)和系統(tǒng)處理性能的下降,網(wǎng)絡(luò)擁塞,同時(shí)也會(huì)對(duì)核心敏感數(shù)據(jù)造成嚴(yán)重的威脅,導(dǎo)致業(yè)務(wù)和生產(chǎn)的中斷、敏感信息泄露等問題。防零時(shí)差攻擊零時(shí)差攻擊(Zero-hour/dayAttack)是指從系統(tǒng)漏洞、協(xié)議弱點(diǎn)被發(fā)現(xiàn)到黑客制造出針對(duì)該漏洞、弱點(diǎn)的惡意代碼并發(fā)起攻擊之間的時(shí)間差幾乎為零的攻擊。零時(shí)差攻擊對(duì)應(yīng)用系統(tǒng)和網(wǎng)絡(luò)的威脅和損害令人恐怖,這相當(dāng)于在用戶沒有任何防備的情況下,黑客發(fā)起了閃電戰(zhàn),可能在極短的時(shí)間內(nèi)摧毀關(guān)鍵的應(yīng)用系統(tǒng),造成網(wǎng)絡(luò)癱瘓等風(fēng)險(xiǎn)。防止間諜軟件間諜軟件能夠在用戶不知情的情況下偷偷進(jìn)行非法安裝,并且安裝后很難找到其蹤影,并悄悄把截獲的一些機(jī)密信息發(fā)送給第三者的軟件。間諜軟件在安裝時(shí)什么都不顯示,運(yùn)行時(shí)用戶也不知曉,刪除起來非常困難。由于間諜軟件隱藏在用戶計(jì)算機(jī)中、秘密監(jiān)視用戶活動(dòng),并建立了一個(gè)進(jìn)入個(gè)人電腦的通道,很容易對(duì)用戶電腦做后續(xù)的攻擊。間諜軟件能夠消耗計(jì)算能力,使計(jì)算機(jī)崩潰,并使用戶被淹沒在網(wǎng)絡(luò)廣告的汪洋大海中。它還能夠竊取密碼、信用卡號(hào)和其它機(jī)密數(shù)據(jù)。因此,間諜軟件對(duì)企業(yè)網(wǎng)絡(luò)的危害非常巨大,需要一種有效的手段防止間諜軟件向企業(yè)內(nèi)部網(wǎng)絡(luò)滲透。應(yīng)用帶寬管控內(nèi)網(wǎng)用戶在上班時(shí)間有意無意的進(jìn)行與工作無關(guān)的網(wǎng)絡(luò)行為,比如聊天、炒股、玩網(wǎng)游、看視頻、網(wǎng)購(gòu)、手機(jī)APP使用等,嚴(yán)重影響工作效率,并占用大量的帶寬,導(dǎo)致關(guān)鍵業(yè)務(wù)應(yīng)用或關(guān)鍵人員得不到足夠的帶寬資源,降低企業(yè)內(nèi)部的工作效率。鏈路負(fù)載均衡企業(yè)往往會(huì)部署多條鏈路,保證網(wǎng)絡(luò)服務(wù)的質(zhì)量,消除單點(diǎn)故障,減少停機(jī)時(shí)間。為提升外網(wǎng)用戶從外部訪問內(nèi)部網(wǎng)站和應(yīng)用系統(tǒng)的速度和性能,就需要對(duì)多條鏈路進(jìn)行負(fù)載優(yōu)化,實(shí)現(xiàn)在多條鏈路上動(dòng)態(tài)平衡分配,并在一條鏈路中斷的時(shí)候能夠智能地自動(dòng)切換到另外一條鏈路,保障業(yè)務(wù)應(yīng)用不中斷。廣域網(wǎng)接入域安全需求分析對(duì)于大部分企業(yè)來說,都可能存在企業(yè)集團(tuán)總部、子公司或各地分支辦事處,并且各個(gè)節(jié)點(diǎn)已形成自己的局域網(wǎng)結(jié)構(gòu),并通過廣域網(wǎng)互聯(lián)互通,實(shí)現(xiàn)集團(tuán)總部與子公司、辦事處之間多種資源信息的共享互通。因此,構(gòu)建一個(gè)高效、安全的廣域網(wǎng)絡(luò)系統(tǒng)勢(shì)必為企業(yè)的發(fā)展“添磚加瓦”。建立安全、可靠的高效廣域網(wǎng)系統(tǒng),需著重考慮和解決以下問題:安全互聯(lián)組網(wǎng)目前很多企業(yè)的大型分支已經(jīng)采用專線與總部進(jìn)行互聯(lián),但部分中小分支由于較為分散,仍采用公網(wǎng)線路直接與總部互聯(lián)訪問服務(wù)器。這種將服務(wù)器直接掛在公網(wǎng)上并對(duì)外開放端口的方式,直接造成整體服務(wù)器區(qū)安全防護(hù)水平較低,很容易遭受互聯(lián)網(wǎng)絡(luò)攻擊的問題。因此在總部和分支互聯(lián)建設(shè)中必須充分考慮安全互聯(lián)組網(wǎng)的需求,并防止外部人員的非法侵入。數(shù)據(jù)安全性保障在總部與小型分支或辦事處之間基于互聯(lián)網(wǎng)通信,組織信息平臺(tái)上的應(yīng)用系統(tǒng)如果不經(jīng)加密和認(rèn)證等安全處理,跑在互聯(lián)網(wǎng)這個(gè)不安全而又開放的網(wǎng)絡(luò)上,一旦重要數(shù)據(jù)如果遭到竊取,帶來的損失將無法估量。因此,有必要利用VPN等技術(shù)通過Internet建立安全可靠、經(jīng)濟(jì)便捷的虛擬專用網(wǎng)絡(luò)。專網(wǎng)數(shù)據(jù)加固在總部與大型分支之間采用專線組網(wǎng),保證內(nèi)網(wǎng)系統(tǒng)訪問數(shù)據(jù)與互聯(lián)網(wǎng)的安全隔離。但是在專網(wǎng)內(nèi)同樣存在信息安全級(jí)別不同的應(yīng)用系統(tǒng)數(shù)據(jù),高安全級(jí)別的數(shù)據(jù)信息如果直接在網(wǎng)絡(luò)中明文傳輸,存在被竊聽、篡改的風(fēng)險(xiǎn),從信息安全規(guī)劃及權(quán)限的安全方面進(jìn)行考慮,有必要在專網(wǎng)中對(duì)不同安全級(jí)別的應(yīng)用系統(tǒng)采取邏輯隔離、安全加密、權(quán)限劃分等加固手段。移動(dòng)辦公安全網(wǎng)上業(yè)務(wù)的發(fā)展使得信息交互越來越頻繁,重要的數(shù)據(jù)和信息在網(wǎng)絡(luò)中的傳輸也越來越多,安全性要求也越來越重要。為了實(shí)現(xiàn)人們的遠(yuǎn)程辦公,需要保證人員外出時(shí)可以安全訪問組織內(nèi)部網(wǎng)絡(luò)進(jìn)行日常操作,并同時(shí)確保數(shù)據(jù)的安全。因此在選擇方法時(shí),應(yīng)建立完整的安全準(zhǔn)入機(jī)制,實(shí)現(xiàn)對(duì)用戶的認(rèn)證鑒權(quán)。第三方安全接入隨著業(yè)務(wù)規(guī)模的擴(kuò)大,業(yè)務(wù)系統(tǒng)也在不斷延伸,除了建設(shè)內(nèi)部自己使用的業(yè)務(wù)系統(tǒng)外,還建立了第三人員使用的業(yè)務(wù)系統(tǒng),如供應(yīng)商接入系統(tǒng)、代理商接入系統(tǒng)等,這些業(yè)務(wù)系統(tǒng)提高了企業(yè)的業(yè)務(wù)運(yùn)作效率,但也帶來了眾多不可控風(fēng)險(xiǎn):如身份認(rèn)證單一、接入終端安全性無法控制、數(shù)據(jù)易被竊取、越權(quán)訪問、惡意訪問無法追蹤、訪問速度慢。廣域網(wǎng)鏈路質(zhì)量?jī)?yōu)化分公司員工日常的工作都需要依靠信息平臺(tái)來完成,因此員工接入總部訪問應(yīng)用的速度和其工作效率直接相關(guān)。如果全部使用專線進(jìn)行總部與分支互聯(lián),網(wǎng)絡(luò)成本太高,而且擴(kuò)展性較差。因此,廣域網(wǎng)接入域安全需求,就需要考慮廣域網(wǎng)鏈路質(zhì)量?jī)?yōu)化問題,保障關(guān)鍵應(yīng)用的服務(wù)質(zhì)量和交付性能。如何消減總部節(jié)點(diǎn)、分支節(jié)點(diǎn)的吞吐瓶頸,提升員工訪問速度;如何減少分支網(wǎng)絡(luò)丟包、延時(shí)現(xiàn)象問題;如何避免應(yīng)用本身交互過多,遭遇廣域網(wǎng)后響應(yīng)速度慢,影響業(yè)務(wù)效率問題。外聯(lián)服務(wù)域安全需求分析企業(yè)外聯(lián)服務(wù)域也叫DMZ。DMZ區(qū)域常存放對(duì)外門戶WEB、EMAIL、FTP、OA等服務(wù)器,主要用于提升企業(yè)網(wǎng)絡(luò)媒介宣傳、職員郵件辦公、文件上傳下載等需求。該區(qū)域是企業(yè)的展示窗口、對(duì)外業(yè)務(wù)的平臺(tái),該區(qū)域網(wǎng)絡(luò)質(zhì)量的好壞,直接影響著企業(yè)的形象和發(fā)展。該區(qū)域面臨來自內(nèi)外網(wǎng)多個(gè)區(qū)域的安全威脅,并且針對(duì)該區(qū)域的攻擊往往隱藏在正常訪問業(yè)務(wù)行為中,導(dǎo)致傳統(tǒng)安全設(shè)備很難發(fā)現(xiàn)和阻止這些威脅。該區(qū)域主要的安全需求有:系統(tǒng)漏洞攻擊保護(hù)DMZ區(qū)域內(nèi)部有大量業(yè)務(wù)服務(wù)器,其底層和業(yè)務(wù)應(yīng)用系統(tǒng)會(huì)不斷產(chǎn)生新的安全漏洞,給了入侵者可乘之機(jī)。黑客能夠利用這些漏洞發(fā)起對(duì)DMZ區(qū)的攻擊,比如mail漏洞、后門漏洞、操作系統(tǒng)漏洞、ftp漏洞、數(shù)據(jù)庫漏洞,實(shí)現(xiàn)對(duì)網(wǎng)站敏感信息監(jiān)控、竊取、篡改等目的。因此需要有效的工具來識(shí)別并防護(hù)針對(duì)系統(tǒng)漏洞的攻擊。防止信息泄露和篡改黑客通過漏洞利用、WEB攻擊、弱密碼等手段一旦侵入了DMZ系統(tǒng),將可能竊取DMZ系統(tǒng)數(shù)據(jù)庫中儲(chǔ)存的用戶資料、身份信息、賬戶信息等敏感數(shù)據(jù),損害企業(yè)的經(jīng)濟(jì)利益;黑客也可能直接篡改企業(yè)對(duì)外Web網(wǎng)頁內(nèi)容,使企業(yè)的形象和信譽(yù)受損;黑客甚至?xí)谄髽I(yè)對(duì)外提供服務(wù)的網(wǎng)站掛載木馬病毒,網(wǎng)站的訪問用戶也會(huì)被木馬病毒感染,這種情況下企業(yè)可能因此而承擔(dān)法律責(zé)任。WEB應(yīng)用安全針對(duì)Web應(yīng)用的攻擊往往隱藏在正常訪問業(yè)務(wù)行為中,導(dǎo)致傳統(tǒng)防火墻、入侵防御系統(tǒng)無法發(fā)現(xiàn)和阻止這些攻擊。針對(duì)web應(yīng)用的安全問題有:由于Web應(yīng)用程序的編寫過程中引入的安全漏洞問題,比如SQL注入、跨站腳本攻擊等;系統(tǒng)底層漏洞問題,如服務(wù)器底層的操作系統(tǒng)和Web業(yè)務(wù)常用的發(fā)布系統(tǒng)(如IIS、Apache),這些系統(tǒng)本身存在諸多的安全漏洞給了入侵者可乘之機(jī);黑客、病毒木馬等威脅還能利用弱口令、管理員界面等潛在缺陷對(duì)網(wǎng)站進(jìn)行攻擊。防止黑客掃描入侵外部黑客出于好奇、報(bào)復(fù)或經(jīng)濟(jì)利益等目的會(huì)對(duì)外聯(lián)區(qū)服務(wù)器和業(yè)務(wù)系統(tǒng)發(fā)起非法掃描,獲取內(nèi)部網(wǎng)絡(luò)的安全缺陷和漏洞,進(jìn)一步發(fā)起惡意攻擊行為,從而獲取到未授權(quán)的機(jī)密信息或內(nèi)部系統(tǒng)的控制權(quán)限。防止拒絕服務(wù)黑客通過DOS/DDOS拒絕服務(wù)攻擊使外聯(lián)服務(wù)平臺(tái)無法響應(yīng)正常請(qǐng)求。這種攻擊行為使得Web等系統(tǒng)充斥大量要求回復(fù)的信息,嚴(yán)重消耗網(wǎng)絡(luò)系統(tǒng)資源,導(dǎo)致外聯(lián)服務(wù)平臺(tái)無法對(duì)外正常提供服務(wù),影響企業(yè)正常的業(yè)務(wù)開展。防范內(nèi)部威脅企業(yè)內(nèi)部網(wǎng)絡(luò)安全狀況也影響著外聯(lián)區(qū)域的安全,比如網(wǎng)絡(luò)中存在的DoS攻擊,或者存在感染病毒木馬的終端,給黑客提供可利用的跳板等,內(nèi)部員工的非法掃描和滲透攻擊,及非授權(quán)違規(guī)操作行為,這些問題都會(huì)破壞外聯(lián)平臺(tái)的安全穩(wěn)定運(yùn)行。服務(wù)器負(fù)載均衡隨著訪問用戶數(shù)量的不斷增加,給后臺(tái)的服務(wù)器帶來越來越大的壓力。需要通過服務(wù)器負(fù)載均衡機(jī)制,保證用戶訪問流量能在各服務(wù)器上均衡分配,提高服務(wù)器資源的利用率,減輕服務(wù)器的壓力。從而保證訪問的速度和穩(wěn)定性。數(shù)據(jù)中心域安全需求分析數(shù)據(jù)中心是IT建設(shè)的心臟,作為業(yè)務(wù)集中化部署、發(fā)布、存儲(chǔ)的區(qū)域,數(shù)據(jù)中心承載著業(yè)務(wù)的核心數(shù)據(jù)以及機(jī)密信息。對(duì)于惡意攻擊者而言,數(shù)據(jù)中心永遠(yuǎn)是最具吸引力的目標(biāo)。所以數(shù)據(jù)中心的安全建設(shè)顯得格外重要。數(shù)據(jù)中心主要的安全需求包括:防火墻隔離控制通過防火墻在數(shù)據(jù)中心構(gòu)造一道網(wǎng)絡(luò)層保護(hù)屏障,通過防火墻的區(qū)域隔離和訪問控制規(guī)則,來界定用戶的訪問請(qǐng)求是否符合安全要求,并隔離來自internet、intranet、extrane等區(qū)域的安全風(fēng)險(xiǎn),實(shí)現(xiàn)數(shù)據(jù)中心網(wǎng)絡(luò)接入安全。防止病毒蠕蟲入侵服務(wù)器是數(shù)據(jù)中心中計(jì)算資源的核心來源,也用于連接網(wǎng)絡(luò)資源、存儲(chǔ)資源,是數(shù)據(jù)中心中業(yè)務(wù)交付的重要支撐,因此也是網(wǎng)絡(luò)入侵者最主要的目標(biāo)。病毒、蠕蟲、木馬等惡意代碼一旦感染數(shù)據(jù)中心服務(wù)器,就可能在數(shù)據(jù)中心網(wǎng)絡(luò)快速傳播,消耗數(shù)據(jù)中心網(wǎng)絡(luò)資源,劫持服務(wù)器應(yīng)用,竊取敏感信息,發(fā)送垃圾信息,甚至重定向用戶到惡意網(wǎng)頁。所以數(shù)據(jù)中心網(wǎng)絡(luò)安全建設(shè)需要包含檢測(cè)和清除病毒蠕蟲木馬等惡意內(nèi)容的機(jī)制。漏洞攻擊保護(hù)數(shù)據(jù)中心大量的服務(wù)器底層操作系統(tǒng)和業(yè)務(wù)應(yīng)用都可能存在安全漏洞,給了入侵者可乘之機(jī)。黑客能夠利用這些漏洞發(fā)起對(duì)數(shù)據(jù)中心業(yè)務(wù)服務(wù)器的攻擊,比如弱口令密碼攻擊、應(yīng)用程序弱點(diǎn)利用、服務(wù)弱點(diǎn)利用等,非法獲取更多的內(nèi)部操作管理權(quán)限,實(shí)現(xiàn)對(duì)內(nèi)部敏感信息監(jiān)控、竊取、篡改等目的。因此需要有效的工具來識(shí)別并防護(hù)針對(duì)數(shù)據(jù)中心服務(wù)器業(yè)務(wù)系統(tǒng)漏洞的攻擊。防APT攻擊黑客的攻擊手段越來越先進(jìn),并帶有很強(qiáng)的目的性。近幾年APT攻擊經(jīng)常見諸報(bào)端,這是一類攻擊手段很先進(jìn)、目的性和持續(xù)性很強(qiáng)的高級(jí)持續(xù)性威脅(APT)。通常這種攻擊方式都帶有明確的攻擊意圖和不達(dá)目的不休止的特點(diǎn),黑客往往應(yīng)用先進(jìn)的攻擊手段繞過防御體系,實(shí)現(xiàn)對(duì)企業(yè)高價(jià)值機(jī)密信息的破壞、竊取、篡改等目的,從而給業(yè)務(wù)系統(tǒng)造成不可挽回的損失。因此,數(shù)據(jù)中心安全建設(shè)需要考慮防范APT攻擊,避免重要信息資產(chǎn)失竊或破壞。防范內(nèi)部威脅企業(yè)內(nèi)部網(wǎng)絡(luò)安全狀況也影響著外聯(lián)區(qū)域數(shù)據(jù)中心的安全,比如內(nèi)部網(wǎng)絡(luò)中存在DoS攻擊,或者存在感染病毒木馬的終端,給黑客提供可利用的跳板等,內(nèi)部員工的非法掃描和滲透攻擊,及非授權(quán)違規(guī)操作行為,這些問題都會(huì)破壞數(shù)據(jù)中心的安全穩(wěn)定運(yùn)行。防止拒絕服務(wù)數(shù)據(jù)中心作為業(yè)務(wù)集中化部署、發(fā)布、存儲(chǔ)的區(qū)域,數(shù)據(jù)中心承載著業(yè)務(wù)的核心數(shù)據(jù)以及機(jī)密信息,其業(yè)務(wù)的可靠性非常關(guān)鍵。黑客利用協(xié)議漏洞或控制“肉雞”向數(shù)據(jù)中心服務(wù)器發(fā)起的拒絕服務(wù)攻擊使得服務(wù)器無法提供正常服務(wù),導(dǎo)致業(yè)務(wù)中斷等問題,對(duì)數(shù)據(jù)中心的可靠造成危害。WEB應(yīng)用安全數(shù)據(jù)中心有大量的WEB應(yīng)用,黑客針對(duì)Web應(yīng)用的攻擊往往隱藏在正常訪問業(yè)務(wù)行為中,導(dǎo)致傳統(tǒng)防火墻、入侵防御系統(tǒng)無法發(fā)現(xiàn)和阻止這些攻擊。針對(duì)web應(yīng)用的安全問題有:由于Web應(yīng)用程序的編寫過程中引入的安全漏洞問題,比如SQL注入、跨站腳本攻擊等;系統(tǒng)底層漏洞問題,如服務(wù)器底層的操作系統(tǒng)和Web業(yè)務(wù)常用的發(fā)布系統(tǒng)(如IIS、Apache),這些系統(tǒng)本身存在諸多的安全漏洞給了入侵者可乘之機(jī);黑客、病毒木馬等威脅還能利用弱口令、管理員界面等潛在缺陷對(duì)網(wǎng)站進(jìn)行攻擊。虛擬云化風(fēng)險(xiǎn)保護(hù)虛擬化云數(shù)據(jù)中心是數(shù)據(jù)中心的發(fā)展方向,通過虛擬化技術(shù)構(gòu)建基礎(chǔ)設(shè)施資源池,實(shí)現(xiàn)資源的按需分配,提高整體資源利用率。但云數(shù)據(jù)中心虛擬化也帶來了新的安全風(fēng)險(xiǎn),比如虛擬化導(dǎo)致了風(fēng)險(xiǎn)集中、流量復(fù)雜、邊界弱化、越權(quán)訪問等問題,因此需要一種適合虛擬化云數(shù)據(jù)中心的安全管控機(jī)制,提供虛擬化內(nèi)部的安全區(qū)域劃分、邊界管控、二到七層安全保護(hù)。內(nèi)網(wǎng)辦公域安全需求分析隨著全球信息化及網(wǎng)絡(luò)技術(shù)的不斷發(fā)展,網(wǎng)絡(luò)安全問題特別是內(nèi)部網(wǎng)絡(luò)安全問題正在日益突出?!氨咀钊菀讖膬?nèi)部攻破”,因此做好企業(yè)內(nèi)網(wǎng)辦公區(qū)域的網(wǎng)絡(luò)安全建設(shè),對(duì)于企業(yè)整體網(wǎng)絡(luò)的安全保護(hù)意義重大。無論是內(nèi)部終端的違規(guī)外聯(lián)、違規(guī)接入和違規(guī)操作,還是內(nèi)部系統(tǒng)數(shù)據(jù)保密性、可控性和可用性要求,都是企業(yè)內(nèi)網(wǎng)辦公區(qū)域安全建設(shè)需要思考的問題。那么,企業(yè)內(nèi)網(wǎng)辦公區(qū)主要有哪些安全需求呢上網(wǎng)行為管理內(nèi)網(wǎng)辦公員工在上班時(shí)間有意無意的做與工作無關(guān)的網(wǎng)絡(luò)行為,比如炒股、玩網(wǎng)游、看視頻;隨著智能終端的普及,沒有提供Wlan的企業(yè),其內(nèi)部員工為了便捷性,往往會(huì)通過360隨身WiFi等方式私自建立個(gè)人Wlan,讓自己的移動(dòng)終端可以隨意使用單位的上網(wǎng)資源。這些行為嚴(yán)重影響單位工作效率,所以企業(yè)需要對(duì)內(nèi)部上網(wǎng)的員工行為進(jìn)行有效的識(shí)別和管理。漏洞病毒防護(hù)內(nèi)網(wǎng)辦公區(qū)分布有大量的終端設(shè)備,如果這些終端不能及時(shí)更新系統(tǒng)漏洞補(bǔ)丁,將會(huì)給黑客可乘之機(jī),一旦某臺(tái)終端感染病毒,很容易向全網(wǎng)擴(kuò)散。因此,內(nèi)網(wǎng)安全建設(shè)需要包括:具備快速發(fā)現(xiàn)終端設(shè)備的系統(tǒng)漏洞并自動(dòng)分發(fā)補(bǔ)丁能力,具備快速有效的定位網(wǎng)絡(luò)中病毒、蠕蟲、黑客的引入點(diǎn)并及時(shí)、準(zhǔn)確的切斷安全事件發(fā)生點(diǎn)的能力。Wlan安全需求隨著無線技術(shù)的發(fā)展,BYOD、移動(dòng)辦公的普及,無線網(wǎng)絡(luò)覆蓋能使得在企業(yè)內(nèi)部,會(huì)議室、辦公區(qū)等任何區(qū)域接入辦公網(wǎng)絡(luò),簡(jiǎn)單方便。企業(yè)在構(gòu)建WLAN網(wǎng)絡(luò)過程中,不僅要考慮高速穩(wěn)定的網(wǎng)絡(luò)質(zhì)量,WLAN網(wǎng)絡(luò)安全問題同樣需要重視。杜絕盜用賬號(hào)、非法接入的安全威脅,并針對(duì)外部訪客、內(nèi)部人員(不同部門、不同職位)分配不同的應(yīng)用訪問權(quán)限,實(shí)現(xiàn)精細(xì)化網(wǎng)絡(luò)接入控制,并避免復(fù)雜的臨時(shí)賬號(hào)申請(qǐng)機(jī)制。開發(fā)環(huán)境安全開發(fā)部門由于其業(yè)務(wù)特殊性,對(duì)開發(fā)環(huán)境和文檔管理環(huán)境的安全性要求非常高。為了支撐業(yè)務(wù)的飛速拓展,在開發(fā)項(xiàng)目中往往還會(huì)牽涉到很多第三方公司和外包項(xiàng)目,甚至于開發(fā)人員需要在任意地點(diǎn)進(jìn)行辦公,這對(duì)開發(fā)系統(tǒng)的安全構(gòu)成了極大的挑戰(zhàn)。因此,需要有一套安全的開發(fā)環(huán)境,能夠讓開發(fā)項(xiàng)目的員工及外包員工在受控環(huán)境下,進(jìn)行相關(guān)應(yīng)用的開發(fā)和調(diào)試,同時(shí)能有效保護(hù)應(yīng)用代碼及企業(yè)數(shù)據(jù)的安全。防止僵尸網(wǎng)絡(luò)僵尸網(wǎng)絡(luò)是攻擊者出于惡意目的,采用多種傳播手段,通過互聯(lián)網(wǎng)使大量主機(jī)感染僵尸程序,從而控制這些被感染的主機(jī),從而在控制者和被感染主機(jī)之間形成一個(gè)一對(duì)多控制的網(wǎng)絡(luò),黑客利用這些僵尸主機(jī)作為進(jìn)一步入侵的跳板。攻擊者通過控制大量僵尸主機(jī)實(shí)現(xiàn)僵尸網(wǎng)絡(luò)本地?cái)U(kuò)散、敏感信息竊取、分布式拒絕服務(wù)攻擊和垃圾郵件發(fā)送等惡意目的。而企業(yè)內(nèi)部大量的終端設(shè)備往往是黑客種植僵尸網(wǎng)絡(luò)的目標(biāo),因此企業(yè)需要一種有效的措施來防止僵尸網(wǎng)絡(luò)的植入,并檢測(cè)和清除已存在的僵尸網(wǎng)絡(luò)。運(yùn)維管理域安全需求分析運(yùn)維管理區(qū)是保障企業(yè)網(wǎng)絡(luò)能夠安全高效運(yùn)行的重要區(qū)域,該區(qū)域的重點(diǎn)是安全和穩(wěn)定性,從而為企業(yè)整體網(wǎng)絡(luò)構(gòu)造一個(gè)可靠的支撐平臺(tái)。該區(qū)域主要的安全需求如下:防火墻區(qū)域隔離運(yùn)維管理區(qū)是保障企業(yè)網(wǎng)絡(luò)高效運(yùn)行的重要區(qū)域,企業(yè)內(nèi)部大部分IT設(shè)備和系統(tǒng)都在該區(qū)域維護(hù)管理,因此該區(qū)域一旦被黑客或不軌員工侵入,極可能造成全局網(wǎng)絡(luò)危害。利用防火墻可以給運(yùn)維管理區(qū)打造安全隔離區(qū),并基于嚴(yán)格的訪問控制策略和身份認(rèn)證信息進(jìn)行區(qū)域網(wǎng)絡(luò)接入;同時(shí)利用新型防火墻給運(yùn)維管理區(qū)打造一片安全的網(wǎng)絡(luò)環(huán)境。防范病毒類入侵運(yùn)維區(qū)是IT信息系統(tǒng)的神經(jīng)中樞,一旦被病毒木馬、僵尸蠕蟲等侵入,將可能導(dǎo)致重要系統(tǒng)的系統(tǒng)配置、管理賬號(hào)、后臺(tái)數(shù)據(jù)等丟失或被篡改,直接造成生成運(yùn)營(yíng)故障,對(duì)企業(yè)的危害非常巨大。因此,該區(qū)域的安全建設(shè)需要包含檢測(cè)和清除病毒、木馬、蠕蟲、僵尸等惡意內(nèi)容的機(jī)制。集中運(yùn)維管理企業(yè)內(nèi)部安全設(shè)備較多,因此需要有集中的統(tǒng)一管理和審計(jì)分析平臺(tái),實(shí)現(xiàn)對(duì)設(shè)備的集中管理、集中監(jiān)控、集中配置、集中運(yùn)維、統(tǒng)一審計(jì)核查等要求,達(dá)到安全事件的監(jiān)控-響應(yīng)-再監(jiān)控的閉環(huán)操作,提升網(wǎng)絡(luò)運(yùn)維管理便捷性。 操作運(yùn)維審計(jì)如果沒有有效的技術(shù)手段來保障運(yùn)維操作的正確執(zhí)行,那么將對(duì)運(yùn)維人員的違規(guī)操作無能為力。目前應(yīng)用程序都有相應(yīng)的審計(jì)日志,可以解決應(yīng)用系統(tǒng)層的審計(jì)問題,但是對(duì)于操作系統(tǒng)層和數(shù)據(jù)庫層的違規(guī)操作(非法修改系統(tǒng)和應(yīng)用等),無從審計(jì)。因此,必須借助有效的技術(shù)手段監(jiān)管運(yùn)維人員的操作行為,做到實(shí)時(shí)監(jiān)控,快速取證,減少內(nèi)部的誤操作和違規(guī)操作,降低運(yùn)維過程中的操作風(fēng)險(xiǎn)。第3章深信服企業(yè)全網(wǎng)安全解決方案方案總體設(shè)計(jì)為了解決企業(yè)網(wǎng)絡(luò)中遇到的各種安全問題,深信服推出了企業(yè)全網(wǎng)安全解決方案,本著安全、可靠、全面、高效、易于管理維護(hù)等原則,給出可資借鑒的建設(shè)方案。根據(jù)企業(yè)不同網(wǎng)絡(luò)區(qū)域定位不同,我們大致可以將企業(yè)網(wǎng)絡(luò)劃分為6個(gè)區(qū)域,分別為:互聯(lián)網(wǎng)接入域、外聯(lián)服務(wù)域、廣域網(wǎng)接入域、數(shù)據(jù)中心域、內(nèi)網(wǎng)辦公域、運(yùn)維管理域。針對(duì)各區(qū)域?qū)嶋H的安全需求,深信服給出了貼合的安全防護(hù)建議。整體安全防護(hù)方案拓?fù)鋱D如下所示:互聯(lián)網(wǎng)接入域安全方案 方案說明互聯(lián)網(wǎng)接入?yún)^(qū)域承擔(dān)著內(nèi)部用戶訪問互聯(lián)網(wǎng)的統(tǒng)一出口和為外部用戶提供企業(yè)信息服務(wù)的入口,其安全風(fēng)險(xiǎn)來源多且復(fù)雜。針對(duì)互聯(lián)網(wǎng)出口存在的安全問題,通過在互聯(lián)網(wǎng)出口部署深信服下一代防火墻NGAF、上網(wǎng)行為管理AC和應(yīng)用交付AD產(chǎn)品,可以很好的解決。深信服下一代防火墻(Next-GenerationApplicationFirewall)NGAF是面向應(yīng)用層設(shè)計(jì),能夠精確識(shí)別用戶、應(yīng)用和內(nèi)容,具備完整安全防護(hù)能力,能夠全面替代傳統(tǒng)防火墻,并具有全面的應(yīng)用層安全防護(hù)功能和強(qiáng)勁的處理能力。深信服下一代防火墻NGAF為企業(yè)在網(wǎng)絡(luò)出口構(gòu)建一套安全長(zhǎng)城,實(shí)現(xiàn)內(nèi)外部網(wǎng)絡(luò)隔離和訪問控制,保護(hù)內(nèi)部網(wǎng)絡(luò)和用戶免受非法侵入,保障可信雙方安全通信。NGAF提供2到7層的安全保護(hù),通過入侵檢測(cè)與防御、病毒防護(hù)、協(xié)議異常保護(hù)等功能,可以精確實(shí)時(shí)地識(shí)別并防御來自互聯(lián)網(wǎng)的蠕蟲、病毒、木馬、間諜軟件等網(wǎng)絡(luò)威脅,防止攻擊者對(duì)內(nèi)部網(wǎng)絡(luò)的滲透和破壞,保障敏感數(shù)據(jù)不被竊取以及業(yè)務(wù)的持續(xù)運(yùn)行;NGAF能實(shí)時(shí)感知來自互聯(lián)網(wǎng)上的大量異常請(qǐng)求,并第一時(shí)間予以清洗,防止DoS/DDoS攻擊的發(fā)生,保障正常合法的業(yè)務(wù)通訊不受影響;NGAF還提供了實(shí)時(shí)的漏洞檢測(cè)功能,該功能不會(huì)給網(wǎng)絡(luò)產(chǎn)生額外的流量,通過實(shí)時(shí)流量分析,可以發(fā)現(xiàn)網(wǎng)絡(luò)內(nèi)部業(yè)務(wù)系統(tǒng)的安全漏洞,快速識(shí)別針對(duì)存在漏洞的有效攻擊,即使沒有攻擊行為也能發(fā)現(xiàn)潛在的風(fēng)險(xiǎn)。對(duì)于最新爆發(fā)的0DAY漏洞,深信服云安全中心會(huì)第一時(shí)間收集漏洞信息并生成防護(hù)規(guī)則,并通過云中心快速的下發(fā)到NGAF設(shè)備上,避免黑客發(fā)起閃電戰(zhàn)。深信服上網(wǎng)行為管理AC設(shè)備能夠?qū)崿F(xiàn)對(duì)網(wǎng)絡(luò)數(shù)據(jù)流量進(jìn)行精細(xì)化控制管理。AC設(shè)備具備專業(yè)的身份認(rèn)證功能,能夠針對(duì)用戶和用戶組實(shí)施不同的應(yīng)用控制和流量分配策略,AC支持本地認(rèn)證、外部認(rèn)證、短信認(rèn)證等多種方式;AC具備國(guó)內(nèi)最專業(yè)的應(yīng)用識(shí)別控制功能,全面的應(yīng)用識(shí)別幫助管理員掌控網(wǎng)絡(luò)應(yīng)用現(xiàn)狀和用戶行為,從而有針對(duì)性的制定流控策略,保障核心業(yè)務(wù)應(yīng)用使用效果,AC能夠有效識(shí)控當(dāng)前網(wǎng)絡(luò)中各種主流應(yīng)用,包括1500多種應(yīng)用、3000多種規(guī)則,以及一些SSL加密應(yīng)用;AC提供了基于應(yīng)用、基于時(shí)間、多級(jí)父子通道、動(dòng)態(tài)流控、智能流控等多種流控手段,滿足企業(yè)制定周期性、靈活、合理、智能調(diào)整的帶寬使用方案,最大滿足業(yè)務(wù)對(duì)帶寬的需求,實(shí)現(xiàn)帶寬的最大價(jià)值。深信服AD產(chǎn)品作為專業(yè)的應(yīng)用交付設(shè)備,能夠?yàn)槠髽I(yè)互聯(lián)網(wǎng)接入域提供多鏈路負(fù)載均衡解決方案。企業(yè)往往部署了多條互聯(lián)網(wǎng)鏈路,由于使用設(shè)置等問題,往往有的鏈路一直處于繁忙狀態(tài),而另外條鏈路卻處于閑置狀態(tài),造成互聯(lián)網(wǎng)資源的浪費(fèi)和用戶的訪問速度得不到保障。深信服AD設(shè)備能夠進(jìn)行DNS請(qǐng)求轉(zhuǎn)發(fā),通過深信服AD尋找合適的DNS服務(wù)器返回給內(nèi)網(wǎng)電腦。利用鏈路繁忙控制、智能路由等技術(shù),通過事先設(shè)定好負(fù)載算法,就能按照事先設(shè)定的鏈路利用策略將流量分配到不同的鏈路之上,實(shí)現(xiàn)多條鏈路負(fù)載運(yùn)行,保障了網(wǎng)絡(luò)資源利用率的最優(yōu)、最大化。方案價(jià)值相比傳統(tǒng)方案,NGAF提供全面的L2-L7威脅防護(hù),實(shí)現(xiàn)了更加完整高效的網(wǎng)絡(luò)安全,并減少了故障節(jié)點(diǎn);單臺(tái)NGAF即可實(shí)現(xiàn)比過去多臺(tái)設(shè)備更好的防護(hù)效果,大大減少了設(shè)備購(gòu)買投資和運(yùn)維成本;AC產(chǎn)品實(shí)現(xiàn)了更加細(xì)致精準(zhǔn)的應(yīng)用和帶寬控制,保障了正常業(yè)務(wù)帶寬需求,實(shí)現(xiàn)了帶寬高效利用,提升帶寬價(jià)值;AD產(chǎn)品提供了精細(xì)智能的多鏈路負(fù)載均衡,滿足鏈路高效使用和自動(dòng)備份,實(shí)現(xiàn)了網(wǎng)絡(luò)資源利用率的最優(yōu)、最大化。廣域網(wǎng)接入域安全方案 方案說明企業(yè)總部與子公司、辦事處之間的廣域網(wǎng)通道建設(shè),能夠?qū)崿F(xiàn)多種資源信息的高效互通,而廣域網(wǎng)通道內(nèi)部傳輸?shù)臄?shù)據(jù)大多都是企業(yè)的重要信息資產(chǎn),對(duì)保密性和實(shí)效性要求較高。通過部署深信服下一代防火墻、SSLVPN安全網(wǎng)關(guān)、廣域網(wǎng)優(yōu)化等安全產(chǎn)品,可以幫助企業(yè)打造高效、安全的廣域網(wǎng)絡(luò)通信系統(tǒng)。企業(yè)采用專線或VPN方式建立廣域網(wǎng)通道,如圖所示,在企業(yè)總部和分支機(jī)構(gòu)部署NGAF、SSLVPN和WOC廣域網(wǎng)優(yōu)化等安全產(chǎn)品,可以實(shí)現(xiàn)分支和總部安全通信和網(wǎng)絡(luò)鏈路優(yōu)化,并滿足外出員工移動(dòng)辦公安全接入需求;廣域網(wǎng)各個(gè)節(jié)點(diǎn)的NGAF設(shè)備結(jié)合SC集中管理平臺(tái)和外置數(shù)據(jù)中心,能夠?qū)崿F(xiàn)廣域網(wǎng)全網(wǎng)各節(jié)點(diǎn)安全監(jiān)測(cè)和防護(hù),使整個(gè)企業(yè)集團(tuán)全網(wǎng)安全狀況盡在掌握。NGAF能夠識(shí)別和防御L2到L7的安全威脅,能檢測(cè)并防止病毒防、蠕蟲、木馬、漏洞、WEB應(yīng)用攻擊等安全威脅在廣域網(wǎng)內(nèi)部傳播,實(shí)現(xiàn)各分支機(jī)構(gòu)安全狀況實(shí)時(shí)上報(bào)監(jiān)控,及時(shí)了解全網(wǎng)安全動(dòng)態(tài),安全日志統(tǒng)一管理、集中分析,快速加固防護(hù)薄弱點(diǎn),優(yōu)化安全運(yùn)維,實(shí)現(xiàn)安全設(shè)備統(tǒng)一管理、集中特征更新與推送、安全策略快速同步,實(shí)現(xiàn)對(duì)廣域網(wǎng)各個(gè)節(jié)點(diǎn)一站式安全監(jiān)測(cè)和保護(hù)。采用SSLVPN安全網(wǎng)關(guān),可以對(duì)應(yīng)用進(jìn)行安全發(fā)布,避免需要將服務(wù)器直接掛在公網(wǎng)上造成的風(fēng)險(xiǎn)。用戶在外需要進(jìn)行內(nèi)網(wǎng)接入時(shí),可直接通過瀏覽器打開網(wǎng)頁完成SSLVPN登錄及安全隧道的建立,非常方便的實(shí)現(xiàn)網(wǎng)絡(luò)接入和數(shù)據(jù)安全保障。在系統(tǒng)安全加固方面,采用登錄SSLVPN身份驗(yàn)證、權(quán)限劃分、登錄應(yīng)用身份驗(yàn)證的主線進(jìn)行保障。SSLVPN接入認(rèn)證方式可采用用戶名密碼、USBKEY、短信認(rèn)證、動(dòng)態(tài)令牌、CA認(rèn)證、LDAP認(rèn)證、RADIUS認(rèn)證等兩種或多種認(rèn)證的組合,多重組合軟硬結(jié)合確保接入身份的確定性。在用戶接入SSLVPN后進(jìn)行應(yīng)用訪問權(quán)限的劃分對(duì)于享有訪問權(quán)限的應(yīng)用系統(tǒng)采用主從賬號(hào)綁定SSLVPN登錄賬號(hào)和應(yīng)用系統(tǒng)賬號(hào)。用戶只可采用指定的賬號(hào)訪問應(yīng)用系統(tǒng)。由于登錄SSLVPN的身份已通過多重認(rèn)證的確認(rèn),而后又進(jìn)行指定應(yīng)用賬號(hào)訪問,即可保障登錄應(yīng)用系統(tǒng)的人員的身份。對(duì)于已經(jīng)建立專線組網(wǎng)的分支,將應(yīng)用系統(tǒng)以SSLVPN資源的方式進(jìn)行,進(jìn)行專網(wǎng)內(nèi)權(quán)限劃分的同時(shí)實(shí)現(xiàn)統(tǒng)一應(yīng)用平臺(tái)的構(gòu)建。根據(jù)不同部門、不同應(yīng)用進(jìn)行對(duì)應(yīng)權(quán)限的開放/關(guān)閉,分支用戶登錄SSLVPN之后,在其資源列表界面將會(huì)顯示該用戶權(quán)限下可訪問的應(yīng)用系統(tǒng),用戶可直接點(diǎn)擊其上的鏈接進(jìn)行快速訪問。同時(shí),可針對(duì)這些應(yīng)用系統(tǒng)進(jìn)行單點(diǎn)登錄設(shè)置,點(diǎn)擊鏈接即可自動(dòng)通過應(yīng)用本身的認(rèn)證,可直接進(jìn)行操作。由于所有訪問總部服務(wù)器區(qū)的數(shù)據(jù)都將經(jīng)由SSLVPN進(jìn)行轉(zhuǎn)發(fā),對(duì)于用戶權(quán)限外的應(yīng)用,SSLVPN將自動(dòng)阻斷其連接,防止惡意盜鏈。并且SSLVPN設(shè)備對(duì)外只開放443端口,從而可屏蔽掉其他端口的攻擊。SSLVPN的數(shù)據(jù)流處理方式可隱藏內(nèi)網(wǎng)服務(wù)器區(qū)結(jié)構(gòu),并對(duì)服務(wù)器訪問的IP、域名進(jìn)行偽裝。SSLVPN在進(jìn)行用戶對(duì)服務(wù)器區(qū)發(fā)起的訪問時(shí),采用SSLVPN登錄認(rèn)證、細(xì)粒度應(yīng)用訪問授權(quán)、傳輸數(shù)據(jù)加密,從數(shù)據(jù)安全的角度提供隔離保護(hù)。SSLVPN的EasyConnect還能幫助企業(yè)內(nèi)網(wǎng)部署的終端服務(wù)器將應(yīng)用程序界面用圖形的方式呈現(xiàn)于智能終端之上,在部署過程中,無需對(duì)現(xiàn)網(wǎng)結(jié)構(gòu)和應(yīng)用程序做任何改變,輕松實(shí)現(xiàn)跨平臺(tái)訪問,解決企業(yè)用戶通過iPhone、Android等智能終端訪問的問題,實(shí)現(xiàn)業(yè)務(wù)數(shù)據(jù)快速遷移,同時(shí)保障業(yè)務(wù)系統(tǒng)數(shù)據(jù)不落地,存儲(chǔ)在終端服務(wù)器。深信服SSLVPN網(wǎng)關(guān)提供專業(yè)的IPSecVPN功能,滿足企業(yè)建設(shè)IPSecVPN專網(wǎng)的需求,實(shí)現(xiàn)各區(qū)域安全互聯(lián)和數(shù)據(jù)加固的需求。深信服廣域網(wǎng)優(yōu)化產(chǎn)品WOC提供了協(xié)議優(yōu)化、緩存、流壓縮、流量整形、鏈路質(zhì)量?jī)?yōu)化等多種技術(shù),能夠幫助用戶加快關(guān)鍵應(yīng)用的響應(yīng)速度,大幅提升專網(wǎng)的傳輸效率。專線內(nèi)存在大量的冗余數(shù)據(jù)傳輸,容易導(dǎo)致專網(wǎng)帶寬壓力過大。WOC產(chǎn)品采用動(dòng)態(tài)流壓縮、基于碼流特征數(shù)據(jù)優(yōu)化對(duì)專網(wǎng)中流量進(jìn)行大幅削減,降低帶寬負(fù)荷,實(shí)現(xiàn)帶寬增值。WOC還可以對(duì)ERP、郵件、FTP文件傳輸?shù)葢?yīng)用進(jìn)行優(yōu)化,減少數(shù)據(jù)交互,提升訪問速度,提高工作效率。WOC通過快速重傳、選擇性重傳、改善擁塞機(jī)制、增大滑動(dòng)窗口大小等幾種技術(shù)手段對(duì)傳統(tǒng)的TCP傳輸協(xié)議做改進(jìn),提高鏈路質(zhì)量和訪問速度。WOC還能夠?qū)崟r(shí)感知專網(wǎng)流量分布情況,從而實(shí)現(xiàn)業(yè)務(wù)流量整形和不斷調(diào)優(yōu)。 方案價(jià)值NGAF提供全面的L2-L7威脅防護(hù),避免了各個(gè)節(jié)點(diǎn)的安全風(fēng)險(xiǎn)在廣域網(wǎng)通道傳播;NGAF全網(wǎng)統(tǒng)一安全監(jiān)控和防護(hù),實(shí)現(xiàn)了安全設(shè)備集中管理、安全日志集中收集、安全策略集中下發(fā)、安全事件統(tǒng)一運(yùn)維,快速提高整個(gè)廣域網(wǎng)全網(wǎng)的安全水平;SSLVPN網(wǎng)關(guān)為企業(yè)提供了可靠的VPN組網(wǎng)、遠(yuǎn)程業(yè)務(wù)發(fā)布和員工遠(yuǎn)程接入需求,滿足了安全、快速、易用、可靠的廣域網(wǎng)互聯(lián)服務(wù);WOC產(chǎn)品通過流量削減和協(xié)議、應(yīng)用、鏈路質(zhì)量?jī)?yōu)化技術(shù),即使鏈路質(zhì)量不佳情況下,也能保障核心業(yè)務(wù)穩(wěn)定運(yùn)行,實(shí)現(xiàn)帶寬增值;外聯(lián)服務(wù)域安全方案 方案說明DMZ區(qū)域是企業(yè)的對(duì)外展示和對(duì)外業(yè)務(wù)的平臺(tái),該區(qū)域的網(wǎng)絡(luò)安全和穩(wěn)定可靠關(guān)系著企業(yè)形象和品牌發(fā)展。針對(duì)該區(qū)域存在的網(wǎng)絡(luò)安全問題,通過部署深信服下一代防火墻和應(yīng)用交付產(chǎn)品就可以完美解決。深信服NGAF產(chǎn)品具備全面的二到七層安全功能,能一站式智能化解決DMZ區(qū)域的網(wǎng)絡(luò)安全問題。通過啟用入侵防御、病毒防護(hù)、漏洞檢測(cè)保護(hù)等功能,可以實(shí)時(shí)發(fā)現(xiàn)DMZ區(qū)域業(yè)務(wù)系統(tǒng)存在的安全漏洞,實(shí)時(shí)防御來自互聯(lián)網(wǎng)的蠕蟲、病毒、木馬等網(wǎng)絡(luò)攻擊,防止攻擊者對(duì)外聯(lián)服務(wù)網(wǎng)絡(luò)的掃描、入侵和破壞,保障系統(tǒng)數(shù)據(jù)安全和業(yè)務(wù)的持續(xù)運(yùn)行。NGAF具備專業(yè)的WEB應(yīng)用安全防護(hù)功能,有效結(jié)合了web攻擊的靜態(tài)規(guī)則及基于黑客攻擊過程的動(dòng)態(tài)防御機(jī)制,實(shí)現(xiàn)雙向的內(nèi)容檢測(cè),提供OWASP定義的十大安全威脅的攻擊防護(hù)能力,有效防止常見的web攻擊,防止網(wǎng)站被黑客掃描攻擊,NGAF還支持隱藏的服務(wù)器響應(yīng)信息,如http出錯(cuò)頁面、響應(yīng)報(bào)頭、FTP信息等;NGAF還提供了網(wǎng)頁防篡改功能,能夠?qū)崟r(shí)檢測(cè)并攔截網(wǎng)頁篡改的信息并通知管理員確認(rèn),同時(shí)對(duì)外提供篡改重定向功能,提供正常界面或備份服務(wù)器的重定向,保證用戶仍可正常訪問網(wǎng)站;NGAF提供了敏感信息防泄漏功能,能夠?qū)崟r(shí)檢測(cè)并阻斷網(wǎng)站源代碼、用戶帳號(hào)信息、服務(wù)器重要配置文件等敏感信息被泄露,實(shí)時(shí)記錄泄漏行為,并通過郵件等方式報(bào)警;NGAF提供專業(yè)的DoS/DDoS攻擊防護(hù)功能,能快速識(shí)別并清洗異常訪問行為,保障正常合法的業(yè)務(wù)不受影響。NGAF還提供了待處理問題板塊,該板塊展示了NGAF監(jiān)測(cè)發(fā)現(xiàn)的安全問題,包括各類風(fēng)險(xiǎn)的分類匯總及問題的詳細(xì)描述,同時(shí)NGAF還提供了風(fēng)險(xiǎn)問題解決方案,即使不懂安全,也能自助化快速運(yùn)維,打破了傳統(tǒng)安全設(shè)備風(fēng)險(xiǎn)日志看不懂、運(yùn)維管理無目標(biāo)等問題。深信服AD產(chǎn)品作為專業(yè)的應(yīng)用交付設(shè)備,能夠?yàn)槠髽I(yè)外聯(lián)服務(wù)域提供多鏈路負(fù)載均衡、服務(wù)器負(fù)載均衡的全方位解決方案。AD產(chǎn)品的服務(wù)器負(fù)載均衡技術(shù)能夠?qū)⒑蠖硕嗯_(tái)真實(shí)服務(wù)器虛擬成一個(gè)服務(wù),再通過AD設(shè)備轉(zhuǎn)發(fā)到后端服務(wù)器;當(dāng)用戶請(qǐng)求到達(dá)服務(wù)器區(qū)域的AD產(chǎn)品時(shí),深信服AD通過全面的負(fù)載均衡算法以及目標(biāo)服務(wù)器之間性能和網(wǎng)絡(luò)健康情況,能夠選擇性能最佳的服務(wù)器來響應(yīng)用戶的請(qǐng)求,從而將用戶請(qǐng)求在多個(gè)服務(wù)器間動(dòng)態(tài)分配,充分利用所有的服務(wù)器資源,有效地避免“不平衡”現(xiàn)象的出現(xiàn)。 方案價(jià)值NGAF提供了事前策略自檢、事中攻擊防護(hù)、事后防止篡改的整體Web保護(hù),可以有效過濾掃描、入侵、破壞過程中的各種安全威脅;NGAF涵蓋了L2-L7全面的安全功能,可以全面替代FW、IPS、WAF等設(shè)備,提供基于黑客攻擊過程的L2-L7層完整安全防護(hù)。NGAF提供了比傳統(tǒng)更加全面的風(fēng)險(xiǎn)識(shí)別和可視化風(fēng)險(xiǎn)報(bào)表,并匯總需要處理的安全問題和建議的解決方案,幫助企業(yè)快速自助安全運(yùn)維。AD產(chǎn)品提供了高效專業(yè)的服務(wù)器和多鏈路負(fù)載均衡,滿足服務(wù)器響應(yīng)和網(wǎng)絡(luò)鏈路的高效使用,實(shí)現(xiàn)了對(duì)外服務(wù)和網(wǎng)絡(luò)資源利用率的最優(yōu)、最大化。數(shù)據(jù)中心域安全方案 方案說明數(shù)據(jù)中心承載著業(yè)務(wù)的核心數(shù)據(jù)以及機(jī)密信息,因此數(shù)據(jù)中心永遠(yuǎn)是最具吸引力的攻擊目標(biāo),所以數(shù)據(jù)中心的安全建設(shè)顯得格外重要。通過部署深信服下一代防火墻、應(yīng)用交付等安全產(chǎn)品,可以幫助企業(yè)打造安全、可靠的數(shù)據(jù)中心網(wǎng)絡(luò)。深信服NGAF給企業(yè)數(shù)據(jù)中心提供了一站式智能化的二到七層安全保護(hù)。通過啟用NGAF的防火墻、入侵防護(hù)、漏洞檢測(cè)、敏感信息防泄漏、DoS/DDoS攻擊防護(hù)、防病毒、防掃描、弱口令檢查、防僵尸網(wǎng)絡(luò)、web應(yīng)用攻擊保護(hù)、網(wǎng)站篡改保護(hù)等功能,可以實(shí)時(shí)發(fā)現(xiàn)數(shù)據(jù)中心業(yè)務(wù)系統(tǒng)區(qū)域隔離,避免因業(yè)務(wù)系統(tǒng)漏洞導(dǎo)致的入侵,防范病毒、蠕蟲、僵尸網(wǎng)絡(luò)等威脅內(nèi)容在數(shù)據(jù)中心傳播,防止口令密碼被暴力破解,避免數(shù)據(jù)中心敏感信息被泄露,清洗數(shù)據(jù)中心異常流量,保護(hù)數(shù)據(jù)中心web應(yīng)用安全,保障數(shù)據(jù)中心網(wǎng)絡(luò)和業(yè)務(wù)安全運(yùn)行。NGAF內(nèi)置了僵尸網(wǎng)絡(luò)識(shí)別庫,通過分析內(nèi)網(wǎng)終端的異常行為(如連接惡意主機(jī)或URL)等機(jī)制準(zhǔn)確識(shí)別被黑客控制的僵尸終端,進(jìn)一步切斷黑客的控制通道,并避免對(duì)外DoS攻擊的形成,防止利用僵尸終端作為跳板進(jìn)一步入侵。NGAF還內(nèi)置了灰度威脅樣本庫,通過多維歸并整理賦予每種威脅行為一個(gè)權(quán)值,NGAF計(jì)算用戶行為權(quán)值之和并對(duì)比威脅基線,從而能夠準(zhǔn)確判定威脅行為,對(duì)于無法確認(rèn)的可疑內(nèi)容,NGAF會(huì)實(shí)時(shí)上報(bào)到深信服云安全中心,由云中心執(zhí)行沙盒演練等方法進(jìn)行最終確認(rèn),基于這些技術(shù)手段,NGAF能夠準(zhǔn)確識(shí)別并防御未知威脅和APT攻擊。此外,對(duì)于大型企業(yè)來說,其數(shù)據(jù)中心內(nèi)部業(yè)務(wù)系統(tǒng)較多,安全防護(hù)需求各不相同,為了解決多樣化的安全防護(hù)需求,NGAF還提供了硬件一虛多技術(shù),實(shí)現(xiàn)將單臺(tái)NGAF劃分為邏輯上完全獨(dú)立的多臺(tái)設(shè)備,滿足不同業(yè)務(wù)系統(tǒng)獨(dú)立保護(hù)的安全需求,提升資源利用效率,降低了部署運(yùn)營(yíng)成本。深信服AD產(chǎn)品作為專業(yè)的應(yīng)用交付設(shè)備,能夠?yàn)槠髽I(yè)數(shù)據(jù)中心提供包括多數(shù)據(jù)中心負(fù)載均衡、服務(wù)器負(fù)載均衡的全方位解決方案。多數(shù)據(jù)中心負(fù)載均衡解決方案中,每個(gè)數(shù)據(jù)中心前端均部署AD設(shè)備,并以路由模式接入各個(gè)數(shù)據(jù)網(wǎng)絡(luò)之中,負(fù)責(zé)將用戶的DNS訪問請(qǐng)求引導(dǎo)到最快的鏈路進(jìn)行訪問站點(diǎn);同時(shí)負(fù)責(zé)兩條線路的健康狀態(tài)的檢查,一旦檢測(cè)到線路的中斷,則停止相應(yīng)線路的地址解析。AD產(chǎn)品的服務(wù)器負(fù)載均衡技術(shù)能夠?qū)⒑蠖硕嗯_(tái)真實(shí)服務(wù)器虛擬成一個(gè)服務(wù),并通過AD設(shè)備轉(zhuǎn)發(fā)到后端服務(wù)器;當(dāng)用戶請(qǐng)求到達(dá)服務(wù)器區(qū)域的AD產(chǎn)品時(shí),深信服AD通過全面的負(fù)載均衡算法以及目標(biāo)服務(wù)器之間性能和網(wǎng)絡(luò)健康情況,能夠選擇性能最佳的服務(wù)器來響應(yīng)用戶的請(qǐng)求,從而將用戶請(qǐng)求在多個(gè)服務(wù)器間動(dòng)態(tài)分配,充分利用所有的服務(wù)器資源,有效地避免“不平衡”現(xiàn)象的出現(xiàn)。此外,為了滿足虛擬化云環(huán)境下數(shù)據(jù)中心的安全需求,深信服還專門研發(fā)了虛擬化軟件下一代防火墻和應(yīng)用交付產(chǎn)品,能夠以虛機(jī)方式無縫集成到虛擬化平臺(tái)內(nèi)部,滿足虛擬化云計(jì)算場(chǎng)景全面、靈活、多維度的安全和可靠性需求。虛擬化軟件安全產(chǎn)品能夠快速部署于Vmware等Hypervisor之上,提供虛擬化云平臺(tái)內(nèi)部靈活的安全區(qū)域劃分、2到7層安全保護(hù)和智能快速的應(yīng)用交付解決方案 方案價(jià)值NGAF涵蓋了L2-L7全面的安全功能,提供比FW、IPS、WAF更多的安全防護(hù)層級(jí),全面滿足數(shù)據(jù)中心多維的網(wǎng)絡(luò)數(shù)據(jù)安全保護(hù);NGAF通過多重的已知威脅識(shí)別、灰度威脅樣本庫、云端可疑威脅檢測(cè)等技術(shù)手段,有效識(shí)別和防范APT等高危威脅行為,確保數(shù)據(jù)中心的安全;AD產(chǎn)品通過高效專業(yè)的服務(wù)器和多鏈路負(fù)載均衡,滿足服務(wù)器響應(yīng)和網(wǎng)絡(luò)鏈路的高效使用,實(shí)現(xiàn)了對(duì)外服務(wù)和網(wǎng)絡(luò)資源利用率的最優(yōu)、最大化。對(duì)于有備份數(shù)據(jù)中心的企業(yè)來說,AD還能提供了全局負(fù)載均衡功能,實(shí)現(xiàn)將用戶訪問請(qǐng)求引導(dǎo)到最快最優(yōu)的數(shù)據(jù)中心進(jìn)行響應(yīng),并實(shí)現(xiàn)鏈路故障的快速切換。內(nèi)網(wǎng)辦公域安全方案 方案說明“堡壘最容易從內(nèi)部攻破”,因此做好企業(yè)內(nèi)網(wǎng)辦公區(qū)域的網(wǎng)絡(luò)安全建設(shè),對(duì)于企業(yè)整體網(wǎng)絡(luò)的安全保護(hù)意義重大。通過深信服NGAF、AC和企業(yè)級(jí)無線,以及第三方終端防病毒軟件,可以較為完善的解決內(nèi)網(wǎng)辦公區(qū)域的安全問題。深信服上網(wǎng)行為管理AC產(chǎn)品能夠?qū)?nèi)網(wǎng)用戶的上網(wǎng)行為進(jìn)行精細(xì)化識(shí)別和管控,深信服NGAF從網(wǎng)絡(luò)層面保障了辦公網(wǎng)絡(luò)的安全,終端防病毒軟件部署到辦公終端設(shè)備上,提供更加深度的安全保護(hù),也是網(wǎng)關(guān)安全設(shè)備的有效補(bǔ)充,而深信服企業(yè)無線產(chǎn)品能夠?yàn)槠髽I(yè)客戶提供安全、快速、可靠的無線網(wǎng)絡(luò),滿足企業(yè)無線辦公需求。NGAF給企業(yè)辦公網(wǎng)絡(luò)構(gòu)建了立體的防護(hù)體系,防止內(nèi)部終端遭受各個(gè)層次的安全威脅。通過啟用入侵防御和防病毒等功能,NGAF提供了全面的虛擬補(bǔ)丁功能,有效防御各種攻擊和網(wǎng)絡(luò)蠕蟲病毒,保證辦公網(wǎng)絡(luò)的安全穩(wěn)定運(yùn)行。NGAF內(nèi)置了僵尸網(wǎng)絡(luò)識(shí)別庫,通過分析內(nèi)網(wǎng)終端的異常行為(如連接惡意主機(jī)或URL)等機(jī)制準(zhǔn)確識(shí)別被黑客控制的僵尸終端,進(jìn)一步切斷黑客的控制通道,并避免對(duì)外DoS攻擊的形成,防止利用僵尸終端作為跳板進(jìn)一步入侵,鏟除APT攻擊的土壤。AC設(shè)備具備專業(yè)的身份認(rèn)證功能,能夠針對(duì)用戶和用戶組實(shí)施不同的應(yīng)用控制和流量分配策略;AC內(nèi)置了國(guó)內(nèi)最全面的應(yīng)用識(shí)別庫,能精準(zhǔn)識(shí)別和控制內(nèi)部員工的上網(wǎng)行為,保障關(guān)鍵應(yīng)用,限制無關(guān)應(yīng)用,阻止非法應(yīng)用,避免員工在工作時(shí)間使用無關(guān)應(yīng)用影響工作、占用帶寬,提高企業(yè)帶寬的使用價(jià)值。終端防病毒產(chǎn)品包括防病毒軟件和管理中心兩部分。通過在終端部署防病毒軟件,可以更加精準(zhǔn)的檢測(cè)終端設(shè)備潛藏的安全威脅,徹底清除病毒、蠕蟲、特洛伊木馬、間諜軟件、僵尸、零日攻擊等安全威脅。部署防病毒軟件管理中心,可以集中管理眾多防病毒軟件,實(shí)現(xiàn)軟件集中管理、集中更新、統(tǒng)一運(yùn)維。深信服企業(yè)無線產(chǎn)品(包括無線AP和無線控制器NAC)能夠幫助企業(yè)客戶打造安全、快速、可運(yùn)營(yíng)的無線網(wǎng)絡(luò)。深信服企業(yè)無線提供了端到端的網(wǎng)絡(luò)協(xié)議棧加速、網(wǎng)絡(luò)優(yōu)化、終端和應(yīng)用識(shí)別及流控技術(shù),能夠?yàn)槠髽I(yè)打造更快速、更穩(wěn)定的企業(yè)無線服務(wù);深信服企業(yè)無線提供了便捷的安全管理和全面的安全防護(hù),支持二維碼認(rèn)證、自動(dòng)配置、精細(xì)化角色授權(quán)管理等技術(shù),為企業(yè)打造更安全、更便捷的無線網(wǎng)絡(luò);深信服企業(yè)無線還內(nèi)置了信息推送中心,預(yù)留了企業(yè)微信公眾平臺(tái)對(duì)接模塊,全面滿足企業(yè)可運(yùn)營(yíng)化無線網(wǎng)絡(luò)。 方案價(jià)值NGAF為企業(yè)辦公區(qū)域打造安全可靠的隔離區(qū)域,并提供二到七層的全面防護(hù),保護(hù)內(nèi)部用戶免受非法侵入。防病毒軟件能夠從終端層面更加全面精準(zhǔn)的檢測(cè)內(nèi)部終端的安全威脅,并徹底清除這些威脅,營(yíng)造干凈的辦公網(wǎng)絡(luò)。AC設(shè)備提供了精準(zhǔn)智能的應(yīng)用和流量控制策略,保障關(guān)鍵業(yè)務(wù)應(yīng)用體驗(yàn),避免無關(guān)應(yīng)用對(duì)帶寬的消耗,保障工作高效執(zhí)行。深信服企業(yè)無線產(chǎn)品通過多種領(lǐng)先的技術(shù)手段幫助企業(yè)客戶打造安全、快速、穩(wěn)定、可運(yùn)營(yíng)的無線網(wǎng)絡(luò)。運(yùn)維管理域安全方案 方案說明針對(duì)運(yùn)維區(qū)域存在的安全問題,深信服推薦部署NGAF、集中管理設(shè)備SC和運(yùn)維審計(jì)產(chǎn)品,從而打造安全、可控、易運(yùn)維的運(yùn)維管理區(qū)域。NGAF可以給運(yùn)維管理區(qū)打造安全隔離區(qū),并基于嚴(yán)格的訪問控制策略和身份認(rèn)證信息進(jìn)行區(qū)域網(wǎng)絡(luò)接入,同時(shí)NGAF還能夠防范病毒、僵尸、蠕蟲等威脅對(duì)運(yùn)維區(qū)的入侵和破壞,給運(yùn)維管理區(qū)打造一片安全的網(wǎng)絡(luò)環(huán)境。運(yùn)維審計(jì)產(chǎn)品可以為IT人員對(duì)各種設(shè)備、系統(tǒng)的運(yùn)維操作提供統(tǒng)一的接入門戶,實(shí)現(xiàn)資源的統(tǒng)一接入、資源自動(dòng)登錄、運(yùn)維會(huì)話記錄、實(shí)時(shí)告警提示、實(shí)時(shí)設(shè)備監(jiān)控;運(yùn)維審計(jì)產(chǎn)品提供了強(qiáng)大的身份管理、靈活細(xì)粒度的授權(quán)、多維度的日志采集和詳細(xì)的審計(jì)分析能力,實(shí)現(xiàn)操作的有效監(jiān)管和審計(jì)。深信服SC集中管理平臺(tái)能夠?qū)ι钚欧O(shè)備進(jìn)行集中管理。SC集中平臺(tái)可以統(tǒng)一查看各個(gè)設(shè)備的實(shí)時(shí)信息,包括最近事件,cpu、內(nèi)存、磁盤使用信息,設(shè)備版本信息等,并能進(jìn)行安全策略統(tǒng)一管理下發(fā)和軟件規(guī)則庫自動(dòng)升級(jí)管理。配合SC平臺(tái)的外置虛擬數(shù)據(jù)中心軟件,可以對(duì)這些設(shè)備的狀態(tài)信息、日志信息進(jìn)行集中收集和管理,并支持進(jìn)一步的分析查詢和詳細(xì)信息提取。 方案價(jià)值基于二到七層的深度內(nèi)容可視和嚴(yán)格的訪問控制、安全保護(hù)策略,NGAF為企業(yè)運(yùn)維區(qū)提供了最安全的隔離保護(hù)。通過SC集中監(jiān)管平臺(tái)和外置數(shù)據(jù)中心,可以對(duì)全網(wǎng)安全設(shè)備進(jìn)行集中運(yùn)維和審計(jì)分析,提升運(yùn)維效率。運(yùn)維審計(jì)產(chǎn)品實(shí)現(xiàn)了IT源的統(tǒng)一接入、集中監(jiān)控、統(tǒng)一運(yùn)維、集中審計(jì),實(shí)現(xiàn)資源高效運(yùn)維和快速監(jiān)管。第4章深信服解決方案產(chǎn)品介紹下一代防火墻NGAF介紹下一代防火墻NGAF簡(jiǎn)介深信服下一代防火墻(Next-GenerationApplicationFirewall)NGAF是面向應(yīng)用層設(shè)計(jì),能夠精確識(shí)別用戶、應(yīng)用和內(nèi)容,具備完整安全防護(hù)能力,能夠全面替代傳統(tǒng)防火墻,并具有強(qiáng)勁應(yīng)用層處理能力的全新網(wǎng)絡(luò)安全設(shè)備。NGAF解決了傳統(tǒng)安全設(shè)備在應(yīng)用識(shí)別、訪問控制、內(nèi)容安全防護(hù)等方面的不足,同時(shí)開啟所有功能后性能不會(huì)大幅下降。作為傳統(tǒng)防火墻的升級(jí)替代產(chǎn)品,深信服NGAF不同于工作在L2-L4層的傳統(tǒng)防火墻,可以對(duì)全網(wǎng)流量進(jìn)行雙向深入數(shù)據(jù)內(nèi)容層面的全面透析。在安全策略制定方面,區(qū)域別于傳統(tǒng)防火墻五元組安全策略,深信服NGAF可對(duì)L2-L7層更多的元素(如,用戶、應(yīng)用類型、URL、數(shù)據(jù)內(nèi)容等)制定雙向的安全訪問策略,使安全策略更精細(xì)、更有效,且滿足業(yè)務(wù)的合規(guī)性;在安全防護(hù)能力方面,提升了傳統(tǒng)的抗攻擊的能力,不僅能防護(hù)網(wǎng)絡(luò)層的攻擊,針對(duì)來源更廣泛、攻擊更容易、危害更大的應(yīng)用層攻擊也可以進(jìn)行防護(hù),實(shí)現(xiàn)L2-L7層的安全防護(hù)。同時(shí),深信服NGAF采用全新的軟硬件架構(gòu),減小在多種復(fù)雜的安全策略和L2-L7層多功能防護(hù)功能全部開啟時(shí)性能的消耗,實(shí)現(xiàn)應(yīng)用層高性能。產(chǎn)品功能列表項(xiàng)目具體描述部署方式支持路由,透明,旁路,虛擬網(wǎng)線,混合部署模式;設(shè)備形態(tài)硬件物理網(wǎng)關(guān),硬件一虛多網(wǎng)關(guān),軟件虛擬化網(wǎng)關(guān);實(shí)時(shí)監(jiān)控實(shí)時(shí)提供CPU、內(nèi)存、磁盤占用率、會(huì)話數(shù)、在線用戶數(shù)、網(wǎng)絡(luò)接口等設(shè)備資源信息;提供安全事件信息,包括最近安全事件、服務(wù)器安全事件、終端安全事件等,事件信息提供發(fā)生事件、源IP、目的IP、攻擊類型以及攻擊的URL等;提供實(shí)時(shí)智能模塊間聯(lián)動(dòng)封鎖的源IP以便實(shí)現(xiàn)動(dòng)態(tài)智能安全管理;網(wǎng)絡(luò)適應(yīng)性支持ARP代理、靜態(tài)ARP綁定,配置DNS及DNS代理、支持DHCP中繼、DHCP服務(wù)器、DHCP客戶端;支持SNMPv1,v2,v3,支持SNMPTrap;支持靜態(tài)路由、RIPv1/2、OSPF、策略路由;支持鏈路探測(cè),端口聚合,接口聯(lián)動(dòng);包過濾與狀態(tài)檢測(cè)提供靜態(tài)的包過濾和動(dòng)態(tài)包過濾功能;支持的應(yīng)用層報(bào)文過濾,包括:應(yīng)用層協(xié)議:FTP、HTTP、SMTP、RTSP、(,,RTP/RTCP)、SQLNET、MMS、PPTP等;傳輸層協(xié)議:TCP、UDP;NAT地址轉(zhuǎn)換支持多個(gè)內(nèi)部地址映射到同一個(gè)公網(wǎng)地址、多個(gè)內(nèi)部地址映射到多個(gè)公網(wǎng)地址、內(nèi)部地址到公網(wǎng)地址一一映射、源地址和目的地址同時(shí)轉(zhuǎn)換、外部網(wǎng)絡(luò)主機(jī)訪問內(nèi)部服務(wù)器、支持DNS映射功能;可配置支持地址轉(zhuǎn)換的有效時(shí)間;支持多種NATALG,包括DNS、FTP、、SIP等抗攻擊特性支持防御Land、Smurf、Fraggle、WinNuke、PingofDeath、TearDrop、IPSpoofing、SYNFlood、ICMPFlood、UDPFlood、DNSQueryFlood、ARP欺騙攻擊防范、ARP主動(dòng)反向查詢、TCP報(bào)文標(biāo)志位不合法攻擊防范、支持IPSYN速度限制、超大ICMP報(bào)文攻擊防范、地址/端口掃描的防范、DoS/DDoS攻擊防范、ICMP重定向或不可達(dá)報(bào)文控制等功能,此外還支持靜態(tài)和動(dòng)態(tài)黑名單功能、MAC和IP綁定功能;支持CC攻擊防護(hù);IPSECVPN支持AES、DES、3DES、MD5、SHA1、DH、RC4等算法,并且支持?jǐn)U展國(guó)密辦SCB2等其他加密算法支持MD5及SHA-1驗(yàn)證算法;支持各種NAT網(wǎng)絡(luò)環(huán)境下的VPN組網(wǎng);支持第三方標(biāo)準(zhǔn)IPSecVPN進(jìn)行對(duì)接;*總部與分支有多條線路,可在線路間一一進(jìn)行IPSecVPN隧道建立,并設(shè)置主隧道及備份隧道,對(duì)主隧道可進(jìn)行帶寬疊加、按包或會(huì)話進(jìn)行流量平均分配,主隧道斷開備份隧道自動(dòng)啟用,保證IPSecVPN連接不中斷;可為每一分支單獨(dú)設(shè)置不同的多線路策略;單臂部署下同樣支持多線路策略;SSLVPN支持SSLVPN;應(yīng)用訪問控制策略支持對(duì)1000種以上應(yīng)用、2500種以上應(yīng)用動(dòng)作,可以識(shí)別P2P、IM、OA辦公應(yīng)用、數(shù)據(jù)庫應(yīng)用、ERP應(yīng)用、軟件升級(jí)應(yīng)用、木馬外聯(lián)、炒股軟件、視頻應(yīng)用、代理軟件、網(wǎng)銀等協(xié)議;支持自定義規(guī)則;提供基于應(yīng)用識(shí)別類型、用戶名、接口、安全域、IP地址、端口、時(shí)間進(jìn)行應(yīng)用訪問控制列表的制定;APT檢測(cè)內(nèi)置超過60萬的病毒,木馬,間諜軟件等惡意軟件特征庫,并且在不斷的持續(xù)更新特征內(nèi)容;支持通過安全云實(shí)現(xiàn)虛擬沙盒動(dòng)態(tài)檢測(cè)技術(shù)??蓹z測(cè)未知威脅在沙盒中對(duì)注冊(cè)表、文件系統(tǒng)等的修改,通過云端聯(lián)動(dòng)的方式快速更新到各節(jié)點(diǎn)設(shè)備中,可實(shí)現(xiàn)快速統(tǒng)一的防護(hù)未知攻擊;支持異常流量檢測(cè)功能,能夠區(qū)分正常業(yè)務(wù)流量和潛藏在其中的危險(xiǎn)流量。能夠有效區(qū)分RDP、SSH、IMAP、SMTP、POP3、FTP、DNS、HTTP等WEB服務(wù)器上常見應(yīng)用流量中的危險(xiǎn)流量,也能對(duì)常規(guī)應(yīng)用運(yùn)行在非標(biāo)準(zhǔn)端口的為進(jìn)行預(yù)警;IPS入侵防護(hù)微軟“MAPP”計(jì)劃會(huì)員,漏洞特征庫:3900+并獲得CVE“兼容性認(rèn)證證書”,能夠自動(dòng)或者手動(dòng)升級(jí);防護(hù)類型包括蠕蟲/木馬/后門/DoS/DDoS攻擊探測(cè)/掃描/間諜軟件/利用漏洞的攻擊/緩沖區(qū)溢出攻擊/協(xié)議異常/IPS逃逸攻擊等;防護(hù)對(duì)象分為保護(hù)服務(wù)器和保護(hù)客戶端兩大類,便于策略部署;漏洞詳細(xì)信息顯示:漏洞ID、漏洞名稱、漏洞描述、攻擊對(duì)象、危險(xiǎn)等級(jí)、參考信息、地址等內(nèi)容;支持自動(dòng)攔截、記錄日志、上傳灰度威脅到“云端”;Web攻擊防護(hù)支持Web攻擊特征數(shù)3000+;支持Web網(wǎng)站隱藏,包括HTTP響應(yīng)報(bào)文頭出錯(cuò)頁面的過濾,Web響應(yīng)報(bào)文頭可自定義;支持FTP服務(wù)應(yīng)用信息隱藏包括:服務(wù)器信息、軟件版本信息等;支持OWASP定義10大web安全威脅,保護(hù)服務(wù)器免受基于Web應(yīng)用的攻擊,如SQL注入防護(hù)、XSS攻擊防護(hù)、CSRF攻擊防護(hù);支持Web站點(diǎn)防掃描;可嚴(yán)格控制上傳文件類型,支持識(shí)別PHP,JSP,ASP腳本編寫的Webshell腳本文件上傳;支持對(duì)常見Web內(nèi)容管理系統(tǒng)的防護(hù),如dedecms,phpcms,phpwind,discuz,wordpress,joomla等;口令暴力破解防護(hù)支持對(duì)常見應(yīng)用服務(wù)器和數(shù)據(jù)庫軟件,如HTTP,F(xiàn)TP,SSH,SMTP,IMAP,MySQL,Oracle,MSSQL等的口令暴力破解防護(hù)功能;敏感信息防泄漏內(nèi)置常見敏感信息的特征,如身份證信息、MD5、手機(jī)號(hào)碼、銀行卡號(hào)、郵箱等,并可自定義具有特殊特征的敏感信息;支持正常訪問http連接中非法敏感信息的外泄防護(hù);支持?jǐn)?shù)據(jù)庫文件敏感信息檢測(cè),防止數(shù)據(jù)庫文件被“拖庫”、“暴庫”;風(fēng)險(xiǎn)評(píng)估支持服務(wù)器、客戶端的漏洞風(fēng)險(xiǎn)評(píng)估功能,支持對(duì)目標(biāo)IP進(jìn)行端口、服務(wù)掃描;支持ftp、mysql、oracle、mssql、ssh、RDP、網(wǎng)上鄰居NetBIOS、VNC等多種應(yīng)用的弱口令評(píng)估與掃描;支持SQL注入,SQL盲注,跨站腳本攻擊(XSS),跨站請(qǐng)求偽造(CSRF),操作系統(tǒng)命令,本地文件包含,遠(yuǎn)程文件包含,暴力破解,弱密碼登錄,XPATH注入,LDAP注入,服務(wù)器端包含(SSI)等豐富的Web應(yīng)用服務(wù)漏洞檢測(cè);風(fēng)險(xiǎn)評(píng)估可以實(shí)現(xiàn)與FW、IPS、服務(wù)器防護(hù)模塊的智能策略聯(lián)動(dòng),自動(dòng)生成策略;實(shí)時(shí)漏洞分析支持對(duì)經(jīng)過設(shè)備的流量被動(dòng)進(jìn)行分析,分析內(nèi)容包括底層軟件漏洞分析,Web應(yīng)用風(fēng)險(xiǎn)分析,Web不安全配置檢測(cè)以及服務(wù)器弱密碼檢測(cè),并實(shí)時(shí)生成分析報(bào)告。具備單獨(dú)的針對(duì)服務(wù)器安全風(fēng)險(xiǎn)和潛在威脅的特征識(shí)別庫;業(yè)務(wù)風(fēng)險(xiǎn)報(bào)表提供基于用戶/業(yè)務(wù)的綜合風(fēng)險(xiǎn)報(bào)表,統(tǒng)計(jì)維度為用戶和業(yè)務(wù)而非IP地址;根據(jù)網(wǎng)絡(luò)風(fēng)險(xiǎn)狀況提供優(yōu)、良、中、差評(píng)級(jí);攻擊統(tǒng)計(jì)提供所有檢測(cè)攻擊數(shù)和有效攻擊數(shù)兩個(gè)維度;報(bào)表內(nèi)容呈現(xiàn)主動(dòng)掃描的漏洞分布情況,匹配攻擊日志輸出已被攻擊的漏洞數(shù)和發(fā)現(xiàn)的所有漏洞數(shù)的統(tǒng)計(jì)報(bào)表;業(yè)務(wù)安全報(bào)表提供攻擊分析、漏洞評(píng)估、業(yè)務(wù)系統(tǒng)漏洞詳情等信息;用戶安全報(bào)表提供遭攻擊最多的用戶詳情、異常連接用戶詳情等信息;安全風(fēng)險(xiǎn)類型匯總基于業(yè)務(wù)系統(tǒng)遭受攻擊類型、業(yè)務(wù)系統(tǒng)存在最多漏洞類型、用戶遭受最多威脅類型進(jìn)行統(tǒng)計(jì);網(wǎng)頁篡改防護(hù)網(wǎng)關(guān)型網(wǎng)頁防篡改,無需在服務(wù)器中安裝任何插件;支持文件比對(duì)、特征碼比對(duì)、網(wǎng)站元素、數(shù)字指紋比對(duì)多種比對(duì)方式,保證網(wǎng)站安全;全面保護(hù)網(wǎng)站的靜態(tài)網(wǎng)頁和動(dòng)態(tài)網(wǎng)頁,支持網(wǎng)頁的自動(dòng)發(fā)布、篡改檢測(cè)、應(yīng)用保護(hù)、警告和自動(dòng)恢復(fù),保證傳輸、鑒別、地址訪問、表單提交、審計(jì)等各個(gè)環(huán)節(jié)的安全,完全實(shí)時(shí)杜絕篡改后的網(wǎng)頁被訪問的可能性及任何使用Web方式對(duì)后臺(tái)數(shù)據(jù)庫的篡改;支持各級(jí)頁面模糊框架匹配、精確匹配的方式適用不同的網(wǎng)頁類型;支持提供管理員業(yè)務(wù)操作界面與網(wǎng)管管理界面分離功能,方便業(yè)務(wù)人員更新網(wǎng)站內(nèi)容;支持通過替換、重定向等技術(shù)手段,防護(hù)篡改頁面;網(wǎng)站維護(hù)管理員必須通過短信認(rèn)證才可進(jìn)行網(wǎng)站更新業(yè)務(wù)操作(選配);支持短信報(bào)警、郵件報(bào)警、控制臺(tái)報(bào)警等多種篡改報(bào)警方式;病毒防護(hù)支持基于流引擎查毒技術(shù),可以針對(duì)HTTP、FTP、SMTP、POP3等協(xié)議進(jìn)行查殺;能實(shí)時(shí)查殺大量文件型、網(wǎng)絡(luò)型和混合型等各類病毒;并采用新一代虛擬脫殼和行為判斷技術(shù),準(zhǔn)確查殺各種變種病毒、未知病毒;內(nèi)置10萬條以上的病毒庫,并且可以自動(dòng)或者手動(dòng)升級(jí);檢測(cè)到病毒后支持記錄日志、阻斷連接;Web過濾對(duì)用戶web行為進(jìn)行過濾,保護(hù)用戶免受攻擊;支持只過濾HTTPGET、HTTPPOST、HTTPS等應(yīng)用行為;并進(jìn)行阻斷和記錄日志;支持針對(duì)上傳、下載等操作進(jìn)行文件過濾;支持自定義文件類型進(jìn)行過濾;支持基于時(shí)間表的策略制定;支持的處理動(dòng)作包括:阻斷和記錄日志流量管理支持將多條外網(wǎng)線路虛擬映射到設(shè)備上,實(shí)現(xiàn)對(duì)多線路的分別流控;支持基于應(yīng)用類型、網(wǎng)站類型、文件類型的帶寬劃分與分配;支持時(shí)間和IP的帶寬劃分與分配;用戶管理支持基于用戶名/密碼、單點(diǎn)登陸以及基于IP地址、MAC地址、計(jì)算機(jī)名的識(shí)別等多種認(rèn)證方式;支持AD域結(jié)合、Proxy、POP3、web表單等多種單點(diǎn)登陸方式,簡(jiǎn)化用戶操作;*可強(qiáng)制指定用戶、指定IP段的用戶必須使用單點(diǎn)登錄;支持添加到指定本地組、臨時(shí)賬號(hào)和不允許新用戶認(rèn)證等新用戶認(rèn)證策略;支持強(qiáng)制AD域認(rèn)證,指定用戶必須用AD域賬戶登錄操作系統(tǒng),否則禁止上網(wǎng);認(rèn)證成功的用戶支持頁面跳轉(zhuǎn),包括最近請(qǐng)求頁面、管理員制定URL、注銷頁面等;支持CSV格式文件導(dǎo)入、掃描導(dǎo)入和從外部LDAP服務(wù)器上導(dǎo)入等賬戶導(dǎo)入方式;用戶分組支持樹形結(jié)構(gòu),支持父組、子組、組內(nèi)套組等組織結(jié)構(gòu);關(guān)鍵頁面雙因素認(rèn)證支持管理員頁面、管理后臺(tái)的短信強(qiáng)認(rèn)證機(jī)制,要求至少提供URL、telnet、ssh三種方式的短信認(rèn)證高可用性支持A/A,A/S模式部署,支持會(huì)話同步,配置同步和用戶信息同步;網(wǎng)關(guān)管理網(wǎng)管管理員具備安全管理員,審計(jì)員和系統(tǒng)管理員三種權(quán)限,安全管理員默認(rèn)只允許安全策略和安全日志的查看和編輯權(quán)限;審計(jì)員默認(rèn)只開放數(shù)據(jù)中心日志的查看和編輯權(quán)限,不具備設(shè)備的管理權(quán)限;系統(tǒng)管理員默認(rèn)具備除安全功能外的其他系統(tǒng)管理權(quán)限,不具備設(shè)備的日志查看權(quán)限;支持SSL加密WEB方式管理設(shè)備;支持郵件、短信(可擴(kuò)展)等告警方式,可提供管理員登錄、病毒、IPS、web攻擊以及日志存儲(chǔ)空間不足等告警設(shè)置;提供圖形化排障工具,便于管理員排查策略錯(cuò)誤等故障;提供路由、網(wǎng)橋、旁路等部署模式的配置引導(dǎo),提供保護(hù)服務(wù)器、保護(hù)內(nèi)網(wǎng)用戶上網(wǎng)安全、保證內(nèi)網(wǎng)用戶上網(wǎng)帶寬、保證遭到攻擊及時(shí)提醒和保留證據(jù)等網(wǎng)關(guān)應(yīng)用場(chǎng)景的配置引導(dǎo),簡(jiǎn)化管理員配置;日志管理與報(bào)表能夠自定義時(shí)間段查詢DOS攻擊、web防護(hù)、IPS、病毒、web威脅、網(wǎng)站訪問、應(yīng)用控制、用戶登錄、系統(tǒng)操作等多種安全日志查詢;提供可定義時(shí)間內(nèi)安全趨勢(shì)分析報(bào)表;支持自定義統(tǒng)計(jì)指定IP/用戶組/用戶/應(yīng)用在指定時(shí)間段內(nèi)的服務(wù)器安全風(fēng)險(xiǎn)、終端安全風(fēng)險(xiǎn)等內(nèi)容,并形成報(bào)表;支持將統(tǒng)計(jì)/趨勢(shì)等報(bào)表自動(dòng)發(fā)送到指定郵箱;支持導(dǎo)出安全統(tǒng)計(jì)/趨勢(shì)等報(bào)表,包括網(wǎng)頁、PDF等格式;全網(wǎng)安全監(jiān)控平臺(tái)支持全網(wǎng)集中管控,提供獨(dú)立外置數(shù)據(jù)中心軟件,實(shí)時(shí)匯總收集分支設(shè)備的安全日志,并在外置數(shù)據(jù)中心集中展現(xiàn)全網(wǎng)所有安全設(shè)備的安全狀態(tài),包括安全等級(jí),攻擊趨勢(shì),最近有效事件,用戶安全,服務(wù)器安全情況以及攻擊來源,實(shí)現(xiàn)數(shù)據(jù)的實(shí)時(shí)匯總,統(tǒng)一分析和統(tǒng)一展現(xiàn);安全網(wǎng)關(guān)SSLVPN介紹SSLVPN簡(jiǎn)介作為國(guó)家SSLVPN標(biāo)準(zhǔn)的核心制定者之一,深信服SSLVPN產(chǎn)品擁有業(yè)界最多的專利技術(shù),是國(guó)內(nèi)業(yè)界應(yīng)用最廣泛、最完善的SSL安全訪問解決方案。據(jù)國(guó)際權(quán)威調(diào)查機(jī)構(gòu)FROST&SULLIVAN2012年和2013年調(diào)查報(bào)告顯示,深信服SSLVPN分別以%和%的市場(chǎng)占有率獨(dú)占鰲頭。深信服SSLVPN大量大規(guī)模、高并發(fā)客戶案例為同行業(yè)之最,已連續(xù)六年保持國(guó)內(nèi)市場(chǎng)占有率第一。產(chǎn)品功能列表功能列表功能分類詳細(xì)指標(biāo)部署模式網(wǎng)關(guān)模式、單臂(旁路)模式、多機(jī)熱備模式、集群模式、分布式集群模式支持性完整支持Window2000/XP/2003/Vista/Win7/Win8、Linux、MacOS等主流操作系統(tǒng)完整支持IE、Firefox、Safari、GoogleChrome、Opera等主流瀏覽器快速性支持路由和單臂模式下的基于Web的多線路智能選路(選配),客戶端無需安裝插件支持Web服務(wù)壓縮、C/S服務(wù)壓縮(LZO、GZIP)、動(dòng)態(tài)壓縮算法、Web優(yōu)化技術(shù)、WebCache技術(shù)、IPTunnel加速技術(shù),全面提升B/S應(yīng)用和C/S應(yīng)用的訪問速度支持單邊加速功能,支持web服務(wù),TCP服務(wù),L3VPN服務(wù),遠(yuǎn)程應(yīng)用發(fā)布的單邊加速支持HTP高速傳輸協(xié)議,保證高丟包高延時(shí)環(huán)境下的快速訪問支持資源負(fù)載均衡,根據(jù)不同的權(quán)值實(shí)現(xiàn)負(fù)載接入,提高接入效率安全性支持AES、DES、3DES、DH、RSA、RC4、MD5、SHA1等加密算法,支持加載擴(kuò)展安全算法模塊支持本地認(rèn)證、基于短信貓、短信網(wǎng)關(guān)的短信認(rèn)證(支持重發(fā)功能)(選配)、動(dòng)態(tài)令牌(選配)、硬件特征碼(自動(dòng)收集獲取、支持與身份多對(duì)多、支持批量導(dǎo)入導(dǎo)出和自動(dòng)審批、可分級(jí)管理)、有驅(qū)及無驅(qū)USBKey(選配)、第三方與自建CA、LDAP(讀取分組權(quán)限、手機(jī)號(hào)碼、虛擬IP)、RADIUS(讀取手機(jī)號(hào)碼、虛擬IP)等多種認(rèn)證方式的組合認(rèn)證,可支持5因素捆綁認(rèn)證;支持終端的基于IP和用戶名的防暴破登錄和多種密碼安全策略(數(shù)字字母組合的圖形驗(yàn)證碼、動(dòng)態(tài)變換的軟鍵盤、定時(shí)修改密碼、密碼強(qiáng)度、首次登陸修改密碼);獨(dú)有的專利技術(shù)主從綁定實(shí)現(xiàn)SSLVPN賬號(hào)與應(yīng)用系統(tǒng)賬號(hào)的唯一綁定支持安全桌面功能:利用安全桌面,強(qiáng)制受保護(hù)的指定資源僅可在安全桌面下使用;安全桌面下默認(rèn)僅可與SSLVPN通信,斷開互聯(lián)網(wǎng)鏈接;在安全桌面內(nèi)默認(rèn)禁止外網(wǎng)和本地局域網(wǎng)通訊,禁止和本機(jī)默認(rèn)桌面的通信,防止使用包括USB口設(shè)備、打印機(jī)等外設(shè)的信息外泄。退出安全桌面后清除安全桌面內(nèi)一切操作和遺留的痕跡,保證重要應(yīng)用使用的安全性。安全桌面根據(jù)用戶需要自行配置按用戶組、單獨(dú)用戶啟用;可配置安全桌面下可訪問的指定網(wǎng)段;可配置允許使用COM端口、允許使用打印機(jī)、允許與切換到默認(rèn)桌面、允許本地通信;支持更換安全桌面壁紙、文件明文導(dǎo)出及審計(jì)、數(shù)據(jù)加密保存、離線訪問等功能(選配)支持客戶端安全配置權(quán)限控制,允許或禁止私用用戶自行配置密碼、手機(jī)號(hào)碼及用戶描述;支持客戶端注銷后自動(dòng)清除所有緩存、瀏覽器歷史記錄、保存的表單信息等,實(shí)現(xiàn)零痕跡訪問;可配置含Vista/Win7下的VPN專線功能支持進(jìn)行操作系統(tǒng)、文件、進(jìn)程、注冊(cè)表、用戶接入IP、登錄IP、登錄時(shí)間、接入終端等規(guī)則的“與或”組合進(jìn)行登錄前和登錄后的客戶端安全檢測(cè),可配置準(zhǔn)入和授權(quán)策略;支持客戶端安全策略庫,并支持自動(dòng)升級(jí)可配置匿名登錄用戶,只提供SSL加密隧道傳輸支持服務(wù)資源隱藏、URL地址偽裝實(shí)現(xiàn)針對(duì)資源的IP地址、端口、服務(wù)、URL級(jí)別等實(shí)現(xiàn)基于角色的細(xì)粒度權(quán)限分配功能支持基于狀態(tài)監(jiān)測(cè)的防火墻功能,支持防DoS攻擊;支持防火墻過濾規(guī)則在線虛擬測(cè)試支持開放數(shù)據(jù)庫給第三方;支持與第三方數(shù)據(jù)庫結(jié)合認(rèn)證易用性支持B/S、C/S應(yīng)用的單點(diǎn)登錄,可允許用戶自行修改SSO登錄帳號(hào),支持NTLM、BASIC單點(diǎn)登錄支持無插件的Web文件共享功能,僅通過Web頁面即可實(shí)現(xiàn)文件服務(wù)器的文件上傳、下載、復(fù)制、剪切、粘貼、重命名、新建文件夾等常用文件操作支持虛擬門戶功能,為不同的用戶配置獨(dú)立擁有IP、域名、認(rèn)證方式、訪問資源等元素,實(shí)現(xiàn)更高隔離的安全性。支持遠(yuǎn)程應(yīng)用發(fā)布:只傳輸鼠標(biāo)、鍵盤操作和顯示數(shù)據(jù),無需安裝客戶端即可支持C/S模式軟件系統(tǒng)的遠(yuǎn)程使用。支持客戶端、服務(wù)端權(quán)限細(xì)化控制、遠(yuǎn)程存儲(chǔ),支持虛擬打印機(jī)、本地輸入法映射;支持遠(yuǎn)程應(yīng)用單點(diǎn)登錄(選配)支持EMM企業(yè)移動(dòng)管理功能,包括設(shè)備注冊(cè)、數(shù)據(jù)擦除、企業(yè)應(yīng)用商店、APP安全加固等功能,保障客戶移動(dòng)業(yè)務(wù)安全支持系統(tǒng)托盤及懸浮窗口;支持SSLVPN開機(jī)自動(dòng)登錄、桌面快捷方式啟動(dòng)、C/S客戶端方式啟動(dòng);可配置用戶登錄后默認(rèn)服務(wù)頁面;支持自定義資源組、資源圖標(biāo)化顯示;管理員可在線對(duì)登錄用戶發(fā)布即時(shí)廣播消息支持User權(quán)限登錄正常使用SSLVPN;支持域控下發(fā)控件;支持ISA代理環(huán)境下無縫接入;支持內(nèi)網(wǎng)DNS支持用戶、用戶組、各種資源的查詢和排行功能;支持資源導(dǎo)入導(dǎo)出,支持csv格式導(dǎo)出支持4套頁面模板和頁面完全定制,支持界面顏色、頁面標(biāo)題、LOGO、用戶公告信息自定義支持智能遞推功能,防止資源漏訪支持用戶/用戶組的流量管理、會(huì)話控制、超時(shí)時(shí)間設(shè)置、閑置時(shí)間設(shè)置;會(huì)話管理可全局配置支持LDAP、RADIUS分配虛擬IP,支持基于用戶、用戶組分配不同的虛擬IP支持16級(jí)用戶分級(jí),支持下級(jí)組對(duì)上級(jí)組的角色、組屬性及認(rèn)證方式繼承穩(wěn)定性、可擴(kuò)展性支持VPN隧道的斷線自動(dòng)重連;多線路部署下,客戶端可實(shí)時(shí)監(jiān)控隧道健康狀態(tài)并進(jìn)行隧道的線路間切換,切換過程中保持SSLVPN連接不中斷支持高達(dá)253個(gè)站點(diǎn)集群功能,支持不同型號(hào)、低端型號(hào)設(shè)備集群(選配),支持集群設(shè)備間的Session同步,承載設(shè)備切換后用戶無需重新登錄SSLVPN;可擴(kuò)展異地分布式集群功能(選配)可管理功能支持管理員16級(jí)分級(jí)分權(quán)限管理,支持配置模塊、用戶/資源/角色的查看、配置權(quán)限授予不同管理員;支持用戶組流量、會(huì)話配置的強(qiáng)制繼承,支持用戶組屬性的強(qiáng)制繼承和可選繼承;支持管理員登錄IP限制支持系統(tǒng)實(shí)時(shí)監(jiān)控,實(shí)時(shí)顯示CPU、內(nèi)存、硬盤、線路運(yùn)行狀態(tài),查看實(shí)時(shí)接入用戶會(huì)話數(shù)、

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論