成人国产99视频在线观看,91精品国产91久久久久久青草,久久国产91成人免费网站,久久窝窝国产精品午夜看片,国产成人精品久久综合,2021国产三级精品三级在专区,另类国产,国内9l视频自拍,精品亚洲77777www

邊界防護(hù)方案 您當(dāng)前的位置:首頁 » 解決方案 » 邊界防護(hù)方案
一、需求概述
1.1背景介紹
近幾年來,計(jì)算機(jī)和網(wǎng)絡(luò)攻擊的復(fù)雜性不斷上升,使用傳統(tǒng)的防火墻和入侵檢測(cè)系統(tǒng)(IDS)越來越難以檢測(cè)和阻擋。隨著每一次成功的攻擊,黑客會(huì)很快的學(xué)會(huì)哪種攻擊方向是最成功的。漏洞的發(fā)現(xiàn)和黑客利用漏洞之間的時(shí)間差也變得越來越短,使得IT和安全人員得不到充分的時(shí)間去測(cè)試漏洞和更新系統(tǒng)。隨著病毒、蠕蟲、木馬、后門和混合威脅的泛濫,內(nèi)容層和網(wǎng)絡(luò)層的安全威脅正變得司空見慣。復(fù)雜的蠕蟲和郵件病毒諸如Slammer、Blaster、Sasser、Sober、MyDoom等在過去幾年經(jīng)常成為頭條新聞,它們也向我們展示了這類攻擊會(huì)如何快速的傳播——通常在幾個(gè)小時(shí)之內(nèi)就能席卷全世界。IT和安全人員不僅需要擔(dān)心已知安全威脅,他們還不得不集中精力來防止各種被稱之為“零小時(shí)”(zero-hour)或“零日”(zero-day)的新的未知的威脅。
1.2需求分析
1.2.1下一代防火墻需求
·業(yè)務(wù)服務(wù)器自身存在的漏洞被黑客利用產(chǎn)生攻擊,操作系統(tǒng),應(yīng)用軟件或是應(yīng)用協(xié)議都可能存在漏洞,如windows遠(yuǎn)程桌面漏洞,apache struts2漏洞,OPEN SSL心臟出血漏洞,BASH破殼漏洞等;
·Web應(yīng)用層面的安全威脅,如SQL注入攻擊,XSS攻擊,Webshell上傳等;
·網(wǎng)站管理后臺(tái)或者個(gè)人賬戶登錄系統(tǒng)遭到口令暴力破解;
·業(yè)務(wù)服務(wù)器上存儲(chǔ)的的敏感信息被竊??;
·對(duì)外發(fā)布網(wǎng)站內(nèi)容被篡改;
·終端自身系統(tǒng)或者應(yīng)用軟件存在的漏洞防護(hù);
·已知遠(yuǎn)控木馬,蠕蟲病毒等惡意軟件被種植到終端,形成僵尸主機(jī)后的檢測(cè)識(shí)別;
·未知變種惡意軟件威脅的檢測(cè)與防護(hù);
 
1.2.2上網(wǎng)行為管理需求
·工作效率低下
網(wǎng)絡(luò)的普及改變了傳統(tǒng)的辦公方式,而內(nèi)網(wǎng)中總有部分用戶在上班時(shí)間有意無意的做與工作無關(guān)的網(wǎng)絡(luò)行為,比如聊天、炒股、玩網(wǎng)游、看視頻、網(wǎng)購等,而且越來越多的員工正在通過企業(yè)無線網(wǎng)絡(luò)來使用移動(dòng)APP版的淘寶、陌陌。這嚴(yán)重影響工作效率,從而導(dǎo)致企業(yè)競(jìng)爭力的下降。
所以,組織需要針對(duì)PC、移動(dòng)終端等各種應(yīng)用、APP進(jìn)行更有效的識(shí)別和管控。
·帶寬濫用和浪費(fèi)
互聯(lián)網(wǎng)中充斥著P2P下載、在線視頻、游戲、在線小說等耗費(fèi)帶寬的非關(guān)鍵業(yè)務(wù)應(yīng)用,用戶在使用這些應(yīng)用的過程中必然會(huì)占用大量的帶寬,而關(guān)鍵的業(yè)務(wù)應(yīng)用、關(guān)鍵人員角色則得不到足夠的資源。
此外,傳統(tǒng)的帶寬管理策略都是靜態(tài)的,當(dāng)帶寬空閑時(shí),依然會(huì)限制用戶的流量,帶寬價(jià)值被大大浪費(fèi)。
所以,IT部門需要針對(duì)各種應(yīng)用類型、用戶角色、帶寬占用情況等,提供更加靈活、細(xì)致、動(dòng)態(tài)的帶寬管理策略,提升用戶上網(wǎng)體驗(yàn)。
二、網(wǎng)絡(luò)拓?fù)?/span>

 

 

三、解決方案:
3.1對(duì)外Web應(yīng)用安全防護(hù)
下一代防火墻具備專業(yè)的Web應(yīng)用防護(hù)能力,針對(duì)互聯(lián)網(wǎng)出口對(duì)外發(fā)布業(yè)務(wù)可以提供安全防護(hù)功能主要有:
1. SQL注入,XSS攻擊,Webshell文件上傳,網(wǎng)站掃描,CSRF,文件包含攻擊,目錄遍歷攻擊,系統(tǒng)命令注入等OWASP TOP 10 Web安全威脅;
2. 針對(duì)常見網(wǎng)站內(nèi)容管理系統(tǒng)CMS的安全防護(hù);
3. 基于HTTP協(xié)議異常檢測(cè),緩沖區(qū)溢出檢測(cè)等;
4. 服務(wù)器版本信息隱藏;
5. Web弱口令檢測(cè)以及口令暴力破解防護(hù);
6. 提供網(wǎng)站管理后臺(tái)登錄二次認(rèn)證;
3.2終端安全防護(hù)
3.2.1終端僵尸網(wǎng)絡(luò)檢測(cè)
下一代防火墻獨(dú)有的僵尸網(wǎng)絡(luò)檢測(cè)隔離功能,能夠?qū)崟r(shí)對(duì)終端主動(dòng)發(fā)起的外發(fā)流量進(jìn)行檢測(cè),協(xié)助用戶定位內(nèi)網(wǎng)被黑客控制的服務(wù)器或終端。該功能利用業(yè)界領(lǐng)先的僵尸網(wǎng)絡(luò)識(shí)別檢測(cè)技術(shù)對(duì)黑客的攻擊行為進(jìn)行有效識(shí)別,針對(duì)以反彈式木馬為代表的惡意軟件進(jìn)行深度防護(hù)。僵尸網(wǎng)絡(luò)識(shí)別庫數(shù)量超過50萬條,并由攻防團(tuán)隊(duì)實(shí)時(shí)更新。
3.2.2終端未知威脅檢測(cè)
除了建立惡意軟件樣本庫外,為了能夠應(yīng)對(duì)惡意軟件的新型變種以及其他未知威脅,下一代防火墻搭建了云安全平臺(tái),通過云平臺(tái)的沙箱檢測(cè)技術(shù)來識(shí)別未知的安全威脅。下一代防火墻能夠?qū)z測(cè)到的異常流量放到沙箱虛擬化環(huán)境中運(yùn)行,通過監(jiān)控注冊(cè)表修改、進(jìn)程創(chuàng)建、文件系統(tǒng)修改來發(fā)現(xiàn)未知威脅。同時(shí)針對(duì)新發(fā)現(xiàn)的威脅樣本生成特征規(guī)則庫,并通過云安全平臺(tái)推送到所有接入互聯(lián)網(wǎng)的下一代防火墻設(shè)備上。
3.3實(shí)時(shí)漏洞分析,定位有效攻擊
下一代防火墻提供的實(shí)時(shí)漏洞分析功能,可以根據(jù)經(jīng)過設(shè)備的業(yè)務(wù)流量分析其中是否存在漏洞。
通過結(jié)合針對(duì)已知漏洞發(fā)起的攻擊日志來定位對(duì)業(yè)務(wù)服務(wù)器能夠真正產(chǎn)生威脅的有效攻擊。
基于業(yè)務(wù)/用戶的安全運(yùn)維
面對(duì)數(shù)據(jù)大集中,多業(yè)務(wù)運(yùn)維場(chǎng)景,下一代防火墻還提供強(qiáng)大的綜合風(fēng)險(xiǎn)報(bào)表功能,首先能夠幫助用戶從當(dāng)前發(fā)現(xiàn)的漏洞數(shù)量和檢測(cè)到的攻擊為網(wǎng)絡(luò)整體安全情況進(jìn)行一個(gè)風(fēng)險(xiǎn)評(píng)估,并給出當(dāng)前網(wǎng)絡(luò)安全環(huán)境的評(píng)級(jí)。
其次綜合風(fēng)險(xiǎn)報(bào)表從業(yè)務(wù)和用戶兩個(gè)維度對(duì)進(jìn)行詳細(xì)分析,按照受攻擊類型、漏洞類型和威脅類型進(jìn)行統(tǒng)計(jì)分析,并根據(jù)每個(gè)業(yè)務(wù)對(duì)應(yīng)的服務(wù)器IP進(jìn)行針對(duì)性的安全分析,提供相應(yīng)的服務(wù)安全說明,使得報(bào)表的可讀性更高,方便用戶從報(bào)告中分析出下一步的安全加固策略。
3.4提升工作效率
3.4.1網(wǎng)頁過濾策略
上班時(shí)間從事私人活動(dòng),管理者卻難以阻止,如上班時(shí)間瀏覽購物網(wǎng)站、上微博、論壇發(fā)帖等。AC能針對(duì)不同用戶(組)提供基于角色的管理方法,讓管理者實(shí)現(xiàn)指定用戶和部門在工作時(shí)間只能訪問特定的網(wǎng)站,例如行業(yè)信息網(wǎng)站、公司門戶網(wǎng)站等,而其他未經(jīng)允許的網(wǎng)頁瀏覽都將被拒絕。
3.4.2IM(即時(shí)通訊)聊天軟件的管理
上班時(shí)間使用QQ、MSN等私人聊天,不僅影響工作效率,還可能因IM傳文件而引入病毒和向外泄密。面對(duì)的眾多IM軟件, AC通過檢測(cè)應(yīng)用數(shù)據(jù)包的特征字段,實(shí)現(xiàn)對(duì)IM聊天軟件的管控,提升工作效率。
3.4.3全面的行為管理
網(wǎng)頁過濾、IM聊天等管控只是內(nèi)網(wǎng)行為管理的一部分。面對(duì)用戶上班即掛機(jī)下載,搜索最新網(wǎng)絡(luò)新聞、圖片,上班時(shí)間更新博客、上傳圖片、看在線視頻、網(wǎng)絡(luò)游戲等問題,AC支持應(yīng)用識(shí)別規(guī)則庫,包含1500多種應(yīng)用,對(duì)員工上網(wǎng)行為進(jìn)行全面管理。
3.4.4上網(wǎng)時(shí)間管理
AC通過為不同部門、不同用戶,基于時(shí)間段進(jìn)行權(quán)限分配,也可以限制用戶一天內(nèi)總的上網(wǎng)時(shí)間,實(shí)現(xiàn)人性化管理。支持設(shè)定一定的上網(wǎng)時(shí)間值,當(dāng)用戶超過這個(gè)閥值時(shí),將自動(dòng)彈出提醒頁面,提醒員工上班時(shí)間注意提高工作效率,不要從事與工作無關(guān)的網(wǎng)絡(luò)活動(dòng)。
3.5提高帶寬利用率
3.5.1多線路策略
AC支持多線路復(fù)用、帶寬疊加技術(shù)(專利號(hào):200310112006X),企業(yè)通過AC同時(shí)連接多條公網(wǎng)線路,提升整體帶寬水平。同時(shí)結(jié)合多線路智能選路技術(shù)(專利號(hào):ZL03113974.4),做到流量的智能選路和負(fù)載均衡。
3.5.2 P2P軟件的控制
P2P行為對(duì)帶寬具有強(qiáng)烈的吞噬能力,而傳統(tǒng)的流控功能在P2P應(yīng)用上不起作用。AC提供P2P智能識(shí)別專利技術(shù)(專利號(hào): 200610156977.8),不僅能識(shí)別和管控常用P2P軟件及版本,對(duì)不常見的和未來將出現(xiàn)的P2P亦能管控。而AC提供的P2P流控技術(shù),將限制指定用戶開啟P2P后占用的帶寬。既允許用戶使用P2P,又不會(huì)濫用帶寬。
3.5.3 動(dòng)態(tài)調(diào)節(jié)
AC支持動(dòng)態(tài)流控功能,通過設(shè)定閾值,實(shí)現(xiàn)當(dāng)整體帶寬利用率過低時(shí)自動(dòng)調(diào)整釋放更多的帶寬資源,讓帶寬得到有效利用,避免浪費(fèi),比傳統(tǒng)單一、死板的流控方法更有效的提升帶寬利用率。
3.5.4 帶寬統(tǒng)計(jì)和管理
AC數(shù)據(jù)中心對(duì)內(nèi)網(wǎng)用戶的各種網(wǎng)絡(luò)行為進(jìn)行統(tǒng)計(jì)及趨勢(shì)、報(bào)表等。借助圖形化報(bào)表、曲線和統(tǒng)計(jì)結(jié)果,可以幫助IT管理者輕松掌控網(wǎng)絡(luò)行為分布和帶寬資源使用等情況。
同時(shí),AC基于用戶(組)、應(yīng)用類型、網(wǎng)站類型、文件類型、目標(biāo)IP等的智能流控,細(xì)致劃分與分配帶寬資源,如保障領(lǐng)導(dǎo)的視頻會(huì)議、市場(chǎng)部訪問行業(yè)網(wǎng)站、設(shè)計(jì)部傳輸CAD文件等行為得到帶寬保障,提升整個(gè)機(jī)構(gòu)的帶寬使用效率。
3.6終端上網(wǎng)安全
3.6.1防病毒、木馬
內(nèi)網(wǎng)用戶在訪問internet時(shí),常常會(huì)無意中下載到一些包含惡意病毒的文件,這些病毒程序通常是極具破壞力的,嚴(yán)重時(shí)會(huì)造成計(jì)算機(jī)系統(tǒng)的崩潰,使員工無法正常工作。而如果在上網(wǎng)過程中使用上網(wǎng)安全桌面,則可以有效的防止這些病毒程序?qū)Ρ緳C(jī)造成破壞。
當(dāng)內(nèi)網(wǎng)用戶使用安全桌面上網(wǎng),文件、注冊(cè)表重定向技術(shù)使本機(jī)內(nèi)真實(shí)文件與注冊(cè)表得到了保護(hù),而訪問目錄權(quán)限功能使病毒無法訪問繼而感染本機(jī)內(nèi)部文件,有效地防止了病毒對(duì)本機(jī)系統(tǒng)的破壞,彌補(bǔ)殺毒軟件對(duì)安全事件事前防護(hù)的不足。上網(wǎng)安全桌面采用國際領(lǐng)先的沙盒技術(shù)保證了它能給用戶帶來一個(gè)干凈、安全的網(wǎng)絡(luò)應(yīng)用環(huán)境,讓用戶使用起來再也不受病毒、木馬泛濫的困擾。
同時(shí),AC具有網(wǎng)關(guān)殺毒功能,對(duì)內(nèi)網(wǎng)用戶接收的郵件、訪問的網(wǎng)頁、下載的文件進(jìn)行病毒過濾,降低內(nèi)網(wǎng)用戶感染病毒的風(fēng)險(xiǎn)。
3.6.2攔截不良網(wǎng)頁
AC內(nèi)置自動(dòng)更新的海量URL庫,包括色情、反動(dòng)等分類,潛藏在此類網(wǎng)站中的威脅將被AC過濾;AC允許用戶手工添加新URL分類;再過濾用戶通過搜索引擎搜索的關(guān)鍵字、過濾URL地址關(guān)鍵字和網(wǎng)頁正文關(guān)鍵字,實(shí)現(xiàn)對(duì)各類網(wǎng)頁的全面過濾,降低內(nèi)網(wǎng)用戶訪問不良網(wǎng)頁和危險(xiǎn)網(wǎng)頁的可能。
假冒網(wǎng)上銀行的釣魚網(wǎng)站、加密的反動(dòng)網(wǎng)站等,顯示“加密化”已經(jīng)成為趨勢(shì),而業(yè)界多數(shù)設(shè)備無法對(duì)SSL加密網(wǎng)頁進(jìn)行管控。AC通過證書驗(yàn)證鏈接黑白名單技術(shù),過濾含有不可信任數(shù)字證書的SSL網(wǎng)站,實(shí)現(xiàn)對(duì)SSL加密過的色情、邪教、釣魚網(wǎng)站等的過濾。
3.6.3文件傳輸控制
針對(duì)QQ、MSN等IM軟件的病毒,通過引誘用戶下載指定文件或打開指定URL鏈接而傳播;AC的“攔截不良網(wǎng)頁”措施將避免用戶訪問含病毒URL地址;AC還可限制使用QQ、MSN等傳遞文件。
通過HTTP、FTP從互聯(lián)網(wǎng)下載的文件,往往打開或運(yùn)行后導(dǎo)致用戶電腦感染病毒、木馬,甚至癱瘓。該風(fēng)險(xiǎn)“感染點(diǎn)”還會(huì)伺機(jī)爆發(fā),感染更多用戶,使整個(gè)網(wǎng)絡(luò)癱瘓。而此類行為和流量經(jīng)過AC時(shí),AC首先限制用戶通過HTTP、FTP上傳下載指定類型的文件,對(duì)于允許傳輸?shù)奈募?,AC的網(wǎng)關(guān)殺毒功能將查殺該文件中潛藏的病毒、木馬。
3.7避免泄密和法律風(fēng)險(xiǎn)
在部署上網(wǎng)行為管理系統(tǒng)后,通過定義關(guān)鍵字的方式,實(shí)現(xiàn)對(duì)發(fā)送郵件、網(wǎng)上搜索、網(wǎng)上發(fā)布、文件外發(fā)等行為進(jìn)行過濾,從而避免敏感信息泄露問題給企業(yè)帶來經(jīng)濟(jì)損失。同時(shí),有效防止不良信息外發(fā)行為,避免引來法律糾紛。即使發(fā)生了不良信息外發(fā)行為,也能夠通過對(duì)內(nèi)網(wǎng)用戶上網(wǎng)行為實(shí)施記錄審計(jì),能夠在發(fā)生網(wǎng)絡(luò)違法事件的時(shí)候通過審計(jì)日志追查相關(guān)責(zé)任人,避免由企業(yè)承擔(dān)相應(yīng)法律責(zé)任。
同時(shí),上網(wǎng)安全桌面根據(jù)規(guī)則對(duì)本機(jī)文件數(shù)據(jù)進(jìn)行了隔離,安全桌面內(nèi)的任何程序試圖獲取本機(jī)被隔離文件數(shù)據(jù)的行為都將被禁止,防止終端被木馬入侵后文件信息遭竊取,從而幫助用戶有效保護(hù)了敏感數(shù)據(jù)的安全性。

解決方案

© 2000-2024 蘇州華蘇科技有限公司   |   蘇ICP備16051456號(hào)-1

              技術(shù)支持:匯成傳媒

蘇公網(wǎng)安備 32050602010082號(hào)

華蘇服務(wù)