Deep Edge深度威胁安全网关平台技术白皮书

1、PAGE Deep Edge深度威胁安全网关平台技术白皮书 目 录 TOC o 1-3 h z u HYPERLINK l _Toc446431539 1.网络安全威胁现况概述 PAGEREF _Toc446431539 h 5 HYPERLINK l _Toc446431540 1.1.全球网络威胁概述 PAGEREF _Toc446431540 h 5 HYPERLINK l _Toc446431541 1.2.中国网络威胁概述 PAGEREF _Toc446431541 h 5 HYPERLINK l _Toc446431542 2.深度威胁安全网关需求 PAGEREF _Toc4464

2、31542 h 8 HYPERLINK l _Toc446431543 2.1.高级内容防护功能 PAGEREF _Toc446431543 h 8 HYPERLINK l _Toc446431544 2.1.1.APT侦测及防护 PAGEREF _Toc446431544 h 8 HYPERLINK l _Toc446431545 2.1.2.恶意软件防护 PAGEREF _Toc446431545 h 9 HYPERLINK l _Toc446431546 2.1.3.零日漏洞及虚拟补丁防护 PAGEREF _Toc446431546 h 10 HYPERLINK l _Toc446431

3、547 2.1.4.VPN 内容过滤 PAGEREF _Toc446431547 h 10 HYPERLINK l _Toc446431548 2.1.5.邮件病毒过滤 PAGEREF _Toc446431548 h 10 HYPERLINK l _Toc446431549 2.1.6.间谍软件/灰色软件 PAGEREF _Toc446431549 h 10 HYPERLINK l _Toc446431550 2.1.7.网络钓鱼 PAGEREF _Toc446431550 h 11 HYPERLINK l _Toc446431551 2.2.所有防护功能随时全开的性能 PAGEREF _To

4、c446431551 h 12 HYPERLINK l _Toc446431552 2.3.中国威胁与应用支持 PAGEREF _Toc446431552 h 12 HYPERLINK l _Toc446431553 2.4.高效率的终端与服务器防护 PAGEREF _Toc446431553 h 12 HYPERLINK l _Toc446431554 2.5.完全自主可控的安全技术 PAGEREF _Toc446431554 h 12 HYPERLINK l _Toc446431555 3.深度威胁安全网关防护方案 PAGEREF _Toc446431555 h 13 HYPERLINK

5、l _Toc446431556 3.1.深度威胁安全网关防护规划 PAGEREF _Toc446431556 h 13 HYPERLINK l _Toc446431557 3.2.Deep Edge产品介绍 PAGEREF _Toc446431557 h 15 HYPERLINK l _Toc446431558 3.3.Deep Edge 部署结构图与案例 PAGEREF _Toc446431558 h 17 HYPERLINK l _Toc446431559 3.3.1.网桥模式（透明模式） PAGEREF _Toc446431559 h 17 HYPERLINK l _Toc4464315

6、60 3.3.2.路由模式 PAGEREF _Toc446431560 h 17 HYPERLINK l _Toc446431561 3.3.3.监控模式 PAGEREF _Toc446431561 h 18 HYPERLINK l _Toc446431562 3.3.4.多ISP/WAN模式 PAGEREF _Toc446431562 h 20 HYPERLINK l _Toc446431563 3.3.5.多网桥模式 PAGEREF _Toc446431563 h 20 HYPERLINK l _Toc446431564 3.4.Deep Edge产品技术特征与优势 PAGEREF _To

7、c446431564 h 21 HYPERLINK l _Toc446431565 3.4.1.全新的系统架构，功能和性能的全面提升 PAGEREF _Toc446431565 h 21 HYPERLINK l _Toc446431566 3.4.2.全面集成业界领先SPN云端安全方案 PAGEREF _Toc446431566 h 21 HYPERLINK l _Toc446431567 3.4.3.更全面更深入的内容安全防护技术 PAGEREF _Toc446431567 h 22 HYPERLINK l _Toc446431568 3.4.4.确保所有防护功能随时全开的尖端性能 PAGE

8、REF _Toc446431568 h 22 HYPERLINK l _Toc446431569 3.4.5.跨物理架构、虚拟化架构及云架构的全方位部署能力 PAGEREF _Toc446431569 h 22 HYPERLINK l _Toc446431570 3.4.6.业界No.1的APT侦测及防护技术 PAGEREF _Toc446431570 h 22 HYPERLINK l _Toc446431571 3.4.7.业界首创并广泛使用的服务器与终端防护利器虚拟补丁技术 PAGEREF _Toc446431571 h 22 HYPERLINK l _Toc446431572 3.4.8

9、.全球IPS核心技术的提供商 PAGEREF _Toc446431572 h 23 HYPERLINK l _Toc446431573 4.1.1.高性能扫描引擎 PAGEREF _Toc446431573 h 23 HYPERLINK l _Toc446431574 4.1.2.更先进的基于内容的防火墙策略 PAGEREF _Toc446431574 h 23 HYPERLINK l _Toc446431575 4.1.3.业内领先技术提供双向的，深度的，全面的内容安全防护 PAGEREF _Toc446431575 h 24 HYPERLINK l _Toc446431576 4.1.4.

10、全球领先的防病毒技术 PAGEREF _Toc446431576 h 24 HYPERLINK l _Toc446431577 4.1.5.领先的web信誉防护技术 PAGEREF _Toc446431577 h 24 HYPERLINK l _Toc446431578 4.1.6.领先的URL过滤技术 PAGEREF _Toc446431578 h 25 HYPERLINK l _Toc446431579 4.1.7.综合的邮件信誉防护及邮件隔离解决方案 PAGEREF _Toc446431579 h 25 HYPERLINK l _Toc446431580 4.1.8.业界领先的僵尸网络防

11、护技术 PAGEREF _Toc446431580 h 25 HYPERLINK l _Toc446431581 4.1.9.完整的简便的网络连接功能 PAGEREF _Toc446431581 h 26 HYPERLINK l _Toc446431582 4.1.10.全面支持VPN典型应用场景 PAGEREF _Toc446431582 h 26 HYPERLINK l _Toc446431583 4.1.11.高度灵活便捷的部署场景 PAGEREF _Toc446431583 h 26 HYPERLINK l _Toc446431584 4.1.12.简化的策略管理 PAGEREF _T

12、oc446431584 h 26 HYPERLINK l _Toc446431585 4.1.13.可扩展的无线安全防护 PAGEREF _Toc446431585 h 27 HYPERLINK l _Toc446431586 4.1.14.强大的日志管理和报表功能 PAGEREF _Toc446431586 h 27 HYPERLINK l _Toc446431587 4.1.15.全面的安全可视化及关注点分析 PAGEREF _Toc446431587 h 27 HYPERLINK l _Toc446431588 4.1.16.高可靠性及冗余性设计 PAGEREF _Toc44643158

13、8 h 27 HYPERLINK l _Toc446431589 4.1.17.优化平台，实现轻松管理 PAGEREF _Toc446431589 h 27 HYPERLINK l _Toc446431590 4.1.18.不会过时的系统设计与技术 PAGEREF _Toc446431590 h 28 HYPERLINK l _Toc446431591 4.1.19.最大程度降低防护成本 PAGEREF _Toc446431591 h 28 HYPERLINK l _Toc446431592 4.1.20.全球唯一拥有所有核心技术的安全厂商，确保技术领先和自主可控 PAGEREF _Toc44

14、6431592 h 28网络安全威胁现况概述全球网络威胁概述全球恶意软件测试组织 AV- 的 2012年纪录显示, 每年的全球病毒与恶意软件数量持续增长并有加速的趋势。全球著名的企业保险分析组织Lloyds 在他们的 2013 年年度全球企业风险分析里把网络威胁列为企业第三大风险 (从 2012 年的排名第十二位的风险). 他们指出遭受网络攻击而被入侵的企业修复成本平均是 8.9 百万美元。 而绝大部分的攻击来自于恶意软件, DDOS, 与网络攻击. 但他们指出, 此类的攻击已经普遍化, 但大多数的企业并没有适当的准备来面对这些新一代的威胁。中国网络威胁概述根据 2012 年中国国家计算机病毒

15、应急处理中心的全国信息网络安全状况与计算机及移动终端病毒疫情调查分析报告显示：68.83%的被调查单位发生过信息网络安全事件, 感染计算机病毒的比例为 48.87%。病毒通过网络下载或浏览进行传播的比例为 82.69%。未修补网络（系统）安全漏洞” （57.26%）、“弱口令或缺少访问控制”（39.62%）仍然是导致发生网络安全事件的主要原因。同时, CNCERT 国家互连网应急中心 2012 年我国互连网网络安全态势总述报告显示：网站被植入后门等隐蔽性攻击事件呈增长态势, 网站用户信息成为黑客窃取重点, 2012 年, CNCERT 共监测发现我国境内 52324 个网站被植入后门 其中政府

16、网站 3016 个, 较 2012 年月份平均分别增长 213.7% 和 93.1%。网络钓鱼日渐猖獗, 严重影响在线金融服务和电子商务的发展, 危害公众利益。 CNCERT 共监测发现针对中国境内网站的钓鱼页面 22308 个, 接收到网络钓鱼事件举报 9463 起, 较 2011 年大幅增长 73.3%。根据 APWG 2012 年的研究报告显示, 攻击中国机构的网络钓鱼者注册了全球三分之二的恶意域名。这7,712域，5,117（66）的注册目的是攻击中国的目标。2012 年, CNVD (国家信息安全漏洞共享平台) 每月新增收集发布的漏洞数量平均超过 550 个。 同时, 多种原因导致漏

17、洞修复的周期较长, 进程缓慢。 日益增多的存量漏洞和每日新增漏洞是基础信息网络和重要信息系统的主要安全隐患。2012年，我国境内日均发生攻击流量超过1G的较大规模拒绝攻击 (DDOS) 事件1022起，约为2011年的3倍。2013 年4月CNCERT 国家互连网应急中心 安全威胁报告 提供了以下的数据:境内感染网络病毒的终端数为近 371 万个。其中，境内被木马或僵尸程序控制的主机 IP 为 155 万余个。CNCERT 监测到全球互联网近 2150 万个主机IP 地址感染飞客蠕虫，按国家或地区分布感染数量排名前三位的分别是中国大陆、巴西、印度。国家信息安全漏洞共享平台（CNVD）收集整理信

18、息系统安全漏洞 732 个。其中，高危漏洞 226 个，可被利用来实施远程攻击的漏洞有 624 个。受影响的软硬件系统厂商包括 Adobe、Apache、Cisco、Google、IBM、Linux、Microsoft、Oracle 等。深度威胁安全网关需求因为根据最新的CNCERT 与各大研究机构的内容安全分析报告中我们得出结论：中国企业正面临多管道的网络威胁。 无论是病毒, 漏洞利用, 僵尸网络, 钓鱼网站, 或 DDOS 攻击, 随著中国网络架构的快速发展, 各种网络威胁也都有倍速成长的趋势. 这些新一代的网络威胁通过各种传播途径入侵企业环境窃取高价值资讯或造成严重的经济破坏。 这些传播

19、途径包括邮件, 网站访问, VPN 通道, 与终端和服务器漏洞造成的网络接口。同时, 企业为了提升员工的工作效率, 大幅的提升对外的介面, 比如说 VPN 與各種網絡即时通讯工具。但这些对外介面都代表了可能被利用攻击企业的入口.下面就对通过网络, 邮件与应用传播的网络威胁进行分析，深刻了解其特性及当今最先进的防护技术和解决方案，以便企业在选择这类安全产品和服务时做出重要参考。高级内容防护功能APT侦测及防护在不断演化的网络安全领域，会出现比高级持续性威胁（Advanced Persistent Threat，APT）更具挑战性的对手，但现在所做的事情，就是要改变。改变用户应对APT攻击时的无奈

20、、改变业内分散片面的堆叠式组合方案、改变数据泄露“常态化”的现状。往事历历在目，由于Google的一名员工点击了即时消息中的一条恶意链接，导致这个搜索引擎巨人的网络随后被渗透，在几个月后安全风险得到修补时，Google发现大量的系统数据已经被窃取。这绝不是孤立事件，一系列APT事件随后浮出水面，这包括伊朗布什尔核电站遭到 Stuxnet 蠕虫攻击、几大跨国能源公司遭到“有组织、手法隐蔽、有针对性”的攻击，以及RSA SecurID技术及客户资料被窃取后的连锁反应。这让借助APT攻击方法的犯罪组织更加猖狂：美国 Target 超市一亿笔客户资料被窃取贩卖、中国台湾地区20个与经济相关的机构受到A

21、PT攻击、美国 Home Depot 16 家家饰建材连锁卖场的6000万笔客户资料失窃、eBay遭到神秘黑客的攻击、iCloud泄露出大量好莱坞影星私密照片、索尼影视在APT攻击中大量商业机密遭泄露、美国“最大”的健康保险公司之一Anthem成为医疗行业中“最大”的APT攻击受害者。亚信安全2015年及未来安全预测中提到：APT攻击将会像普通病毒攻击一样普遍！2014年Ponemon研究所的调查显示，APT攻击是大多数受访企业的最大的安全威胁，特别是随着企业转移数据到云计算和混合云基础设施后，单次定向攻击对大型组织造成的平均损失高达 590 万美元。意想不到的成本还包括攻击所造成的诉讼、罚款

22、、治理及调查成本。APT采用定制化的手段、利用社会工程学，有计划、有组织的持续窥探目标网络弱点，长期潜伏并窃取核心机密数据，这让越来越多的企业处于危险境地。更可怕的是，APT攻击会演化成为普遍的网络犯罪，让更多的企业处于安全风险之中。所以，预知APT威胁将会来自哪里，察觉威胁具备怎样的特征，进而采取与之对应的防御战略，将具有重大意义。恶意软件防护随着新型病毒的不断出现，在网络节点上的病毒防护要求变得越来越高，一方面要求网络版防毒系统对病毒、木马、蠕虫、间谍软件、灰色软件等恶意程序具备综合的防护能力，另一方面要兼具网络层扫描、防火墙、IDS等精细化策略控制。原有网络版防毒系统由于不能很好满足当前

23、的防护要求，在网络节点防范方面存在着潜在的安全隐患。据国际权威的第三方监测组织AV-Test统计数据看，当前互联网上已有超过1600万种恶意程序，并且还在不断激增，每小时有1883多种新病毒产生。只有专注投资在拥有全球恶意软件防护的领导品牌才有足够的资源提供实时的防护技术.零日漏洞及虚拟补丁防护服务器与台式机一直承载着最为重要的数据，因此，很容易引起外来入侵者的窥探，遭入侵、中病毒、抢权限，各种威胁都会抓住一切机会造访服务器系统。随着新的漏洞不断出现，许多公司在为系统打补丁上疲于应付，等待安装重要安全补丁的维护时段可能是一段艰难的时期。另外，操作系统及应用厂商针对一些版本不提供漏洞的补丁，或者

24、发布补丁的时间严重滞后，还有最重要的是，如果IT人员的配备不足，时间又不充裕，那么系统在审查、测试和安装官方补丁更新期间很容易陷入风险。VPN 内容过滤各种移动设备的使用让VPN 成为让企业员工能灵活在办公室外工作的必要技术。 尤其是 SSL VPN, 让笔记本电脑经过简易的网络介面就能连回公司使用企业内部的计算机与内部应用资源。但 VPN 带来了一个信息安全的隐忧, 那就是 VPN 的应用也让恶意软件能经由公共的网络传输感染企业内部的电脑。很多时候因为VPN 设备 (包括 VPN, UTM, NGFW)不具有内容过滤的功能, 导致员工连回公司环境后也传输进原先隐藏在公共网络的病毒. 邮件病毒

25、过滤越来越多的病毒作者采用了这种攻击方式，理由非常简单，因为电子邮件成为目前企业使用最多、最重要的信息交流工具，通过邮件为载体，恶意程序转播的速度就最快。前几年，“网络天空”邮件病毒肆略全球，造成了高达数亿美元的损失。现在很多恶意程序利用热门话题，比如亚运会、迈克逊之死等，发送大量的邮件给到用户，好奇的没有戒备的用户一旦点击邮件，就会中招感染恶意程序。现在, 更严重的攻击事件, 所谓的 APT (高级持续性威胁) 攻击事件也利用邮件来锁定目标. 据亚信安全 2012 年的研究显示 高于 90% 的高级持续性威胁经过邮件入侵企业。高效的邮件过滤也因网络威胁的演进又变成不可缺的防护功能。间谍软件/

26、灰色软件宽带网络的普及，为使用者带来多采多姿的网络生活，同时却也开启了间谍软件/灰色软件长驱直入的方便大门，当使用者发现计算机的处理速度竟然不知不觉地愈来愈慢时，就得多加留意了，因为使用者的计算机很有可能已经感染间谍软件/灰色软件。最可怕的是，使用者对间谍软件/灰色软件的入侵多半毫无知觉，所以一旦系统出现执行效率不佳的状况，最可能发生的状况是，使用者不但已被间谍软件入侵，而且可能还不只1、2个。如今间谍软件/灰色软件的入侵管道相当多样且泛滥，无论是电子邮件或实时通讯附文件、弹出式窗口、恶意或钓鱼网页，以及P2P下载的音乐、电影或非法软件之中，都可能潜藏间谍软件，一旦遭到入侵，最严重的结果，就是

27、计算机内部的重要数据，甚至使用者在键盘上按下按键的动作或密码信息，都会在不知不觉当中外传出去；除此之外，过多的间谍软件也会造成计算机系统效能下降。这些恶意程序透过社交网络、行动计算机以及查询等方式在网络上从事各类型的网络犯罪活动。间谍软件只是众多网络安全威胁之一，而且被全球地下化经济犯罪活动广泛的运用，让制造间谍软件的不法人士透过盗用个人身分信息和敲诈勒索等方式来谋取金钱。除此之外，并有网络钓鱼攻击、以当地语言为目标的攻击和以疆尸计算机网络进行 Denial-of-service的攻击，还有透过网络下载以及网络病毒方式来进行攻击。 网络钓鱼网络钓鱼Phishing是另一个近年来主流的网络安全威

28、胁。网络钓鱼Phishing与 Fishing发音相同，是常见的网络诈欺活动，利用电子邮件引诱用户到伪装网站，以套取用户的个人数据如信用卡号码。网络钓鱼诈骗因为横跨网页和电子邮件，所以防护上须涵盖SMTP、POP3与HTTP。以电子邮件而言，有别于前几年的恶意程序无不尽其所能攻击更多的计算机使用者，试图在全球各地引发大范围的疫情爆发，如今电子邮件信息安全威胁愈来愈集中于特定区域与特定对象。区域性与目标式攻击会大量运用社交工程技巧，像是赠送免费的运动赛事门票、伪造企业发出的电子邮件，以及提供看似正常 (其实为恶意性质) 的网站连结等等。假造的电子邮件与网站通常会使用攻击目标当地的语言。虽然区域性

29、与目标式攻击影响所及的使用者人数比以往更少，但是要将它们彻底根除的难度也比以往更高，因为它们具有特定企图，且通常都能自动更新。受金钱利益驱使，最新型态恶意程序通常会锁定特定企业，或是彼此具有共通之处的特定使用者族群，这就是所谓目标攻击 ( target attack)。进行间谍程序网络钓鱼攻击时，作者会利用电子邮件中夹带一个间谍木马程序，或是一个可下载木马程序的连结。使用者不慎下载并执行恶意程序之后，无论是透过手动攻击或利用安全弱点，恶意程序会监视网络传输的信息，侦测使用者是否透过网络存取特定网页。一旦侦测到这种情况，它就会将所有登入信息或机密数据传回给黑客。网络钓鱼有多严重，以下是全球各地的

30、损失数据：美国-根据 Consumer Reports USA 的报告，2005 年美国公民因网络钓鱼攻击而导致的损失高达 $6 亿 3 千万美元。德国-幕尼黑警方估计，光是幕尼黑一地，在线诈骗活动造成的损失 (2006 年 1 月至 7 月期间) 就已超过一百万欧元。全球- 据 Asia.Internet 表示，Gartner Group 的报告显示 2006 年网络钓鱼攻击造成的损失总金额高达 $28 亿美元。 据 Anti-Phishing Working Group 统计，2005 年 9 月钓鱼网站数量为 5242 个，到 2006 年 9 月已激增至 24,565 个。在中国 20

31、12 年的报告显示, 网络钓鱼日渐猖獗, 中国网络钓鱼用来攻击的域名已站全球三分之二的恶意网域注册。所有防护功能随时全开的性能现代的网络威胁与攻击需要所有防护的功能, 包括防火墙, 应用防火墙, 防病毒, 入侵检测等功能全部同时开启。 许多安全网关 (包括多功能的 UTM 或 NGFW 下一代防火墙) 当功能全开的瞬间, 性能剧降, 严重的影响中小企业的运作。因为性能的限制, 很多网关厂商会引导客户先购买基础的防火墙功能, 但我们从最新的网络威胁事件里看到, “下一代”的威胁需要层次性的高级内容防护同时运作才能达到防御的效果。 因此, 所有的网关性能数据里, 最重要最需要关注的是防御功能全开的

32、性能。Deep Edge采用全新系统架构，在防护功能全部开启的同时，又提供了高效的性能支撑，不仅让您放心地使用网络数据,还让您体验到流畅网络所带来的各种便利。中国威胁与应用支持许多信息安全国际大厂在中国提供产品销售与服务, 但极少数厂商在中国投资研发与研究资源。这样的商业模式导致多数国外厂商的产品缺乏中国应用与中国病毒的支持。缺乏中国订制的应用与病毒研究导致这些厂商的产品无法侦测攻击中国企业的网络威胁。只有及少数厂商像亚信安全在中国提供中国病毒特徵码与开发对中国网络应用的支持。高效率的终端与服务器防护从最新的威胁报告我们看到, 有将近一半的企业有病毒感染终端设备包括台式机与服务器. 防护海量病

33、毒需要高效的技术与经验。深度威胁安全网关需要能够让计算机免受病毒，特洛伊，蠕虫和现在的间谍软件的攻击，同时具备防火墙和入侵检测的能力；快速的特徵码更新可减少针对新出现的威胁提供防护所需的总体时间。完全自主可控的安全技术之前提到的高级内容安全技术与高性能网关的重要性。而这些功能与性能都与技术集成有密切的关系。目前大多 UTM 或下一代防火墙厂商选择不投资研发资源在高级内容安全技术上而选择了集成第三方的技术。这种集成方式有三大问题:第三方的技术需要额外购买, 导致这些厂商无法降低成本或把高级内容防护功能包括在基本功能模块里网关厂商通常不了解第三方技术, 后果是从技术或客户支持上无法提供最好的服务第

34、三方技术不允许公开程序代码无法让网关厂商做到最好的性能优化, 这也是大多 UTM 高级内容防护功能开起后性能大幅下降的原因之一选择拥有所有防护技术的厂商才能保障下一代网关的防御功能, 性能, 与整体价格 (所有功能模块) 。深度威胁安全网关防护方案深度威胁安全网关防护规划为了构建一个强壮、有效的防病毒体系，在分析了公司网络架构及相关应用之后，针对潜在的病毒传播威胁，建议采用结合产品、防御策略、服务为一体的深度威胁安全网关。基于xxxx的网关处所面临的威胁分析，构建的xxxx深度网关安全防护系统要实现如下目标：下一代防火墙/精细化内容安全策略入侵检测IPS及虚拟补丁DOS/DDOS攻击防御防AP

35、T/定向威胁防零日攻击/漏洞防C&C违规外联、僵尸网络防病毒、木马、蠕虫、后门等防间谍软件、灰色软件等防未知高级恶意程序防网络钓鱼恶意网站过滤网页分类过滤垃圾邮件过滤恶意邮件过滤Site-to-site VPNSSL VPNPPTP VPN移动设备 VPNVPN数据过滤高性能 可在高级内容安全防护全开的同时保持高性能APT防护 集成深度威胁发现平台（Deep Discovery， DD），提供APT整体解决方案服务器防护 完整的黑客攻击防御体系；防护包括从定点攻击、服务器夺权到恶意软件下载终端设备防护 终端应用识别、管理与防护功能用户管理 可以与 LDAP 或 AD 域集成的用户管理让网络资源

36、应用一目了然终端认证 可实现本地用户及域用户认证和识别，提供网页认证及透明认证方式完整安全连通性 包括 site-to-site VPN,SSL VPN, PPTP VPN, 与移动设备 VPN简单易用 可定制化的仪表盘界面与简易优化的策略管理大大的减轻管理者的工作负担无忧快速部署 帮助用户实现零基础部署及管理，桥接或旁路模式部署而不影响客户网络环境智能防护 防护更新威胁情报来自亚信安全的全球云安全智能防护网络高信誉防护 专注于信息安全领域的领导者 ，拥有多年的经验与信誉Deep Edge产品介绍如果把进入用户网络的数据看作一片蓝海，那么，传统防火墙基于IP 和 Port 提供粗粒度的网络访问

37、规则，应用防火墙基于Web应用提供更细粒度的网络访问控制，即使这样，经过合法的防火墙规则进入用户网络的数据就一定是安全的么？事实上，大量的网络威胁仍然夹杂在数据内容之中，经过合法的防火墙规则，堂而皇之地进入用户网络，导致用户网络遭受攻击，业务中断，数据泄露或受损。亚信安全TM 深度威胁安全网关 Deep Edge 隶属亚信安全深度威胁发现产品系列（Deep Discovery，DD），是一款基于内容检测的统一智能安全网关。它不仅提供了完整的应用防火墙功能，更重要地是针对100多种常用网络协议提供了入侵防护、虚拟补丁、APT防护、零日漏洞检测、防恶意程序、恶意网站过滤、网站分类访问、VPN数据过

38、滤、垃圾邮件及恶意邮件过滤等多项高级内容安全检测及防护功能。亚信安全TM 深度威胁安全网关 Deep Edge 集多年积累的全球顶级内容识别技术，结合业界领先的云安全智能防护网络（Smart Protection Network，SPN），采用全新一代的高级威胁侦测及分析引擎，无缝对接深度威胁发现平台DD，颠覆传统架构，构建出基于深度内容安全的统一智能安全网关，在全面整合传统安全网关的同时，又提供了完整、深入、高效的内容安全防护，实现了功能和性能的全面提升，保护您的服务器与终端使用安全，确保您的核心数据资产免遭窃取或破坏，保障您的业务可持续运行。Deep Edge 部署结构图与案例在配置下一代

39、应用安全网关设备前，该设备如何集成到到现有的网络需要进行规划。配置规划取决于目标运行模式：接入模式（路由器模式或网桥模式）或监控模式。网桥模式（透明模式）在网桥模式下，Deep Edge 设备对于网络是不可见的。它的所有接口都位于相同的子网中。只需配置管理 IP 地址便可进行配置更改。通常现有防火墙或路由器在私有网络中使用网桥模式。Deep Edge 放在第二层交换机和第三层交换机之间可以扫描进入和离开该部分网络的所有数据包。适合的用户场景较为完善的网络部署环境，Deep Edge仅作为网络安全设备使用网络环境中有数据中心，对外发布服务器，邮件服务器，桌面终端及其他网络设备对数据中心或各类服务

40、器提供安全防护，防止各种外部攻击对防止垃圾邮件以及病毒邮件进出内部网络对终端设备提供病毒防护以及安全的上网行为管理部署结构图及实例路由模式在路由器模式下，Deep Edge 设备对所连接的网络都是可见的。它的所有接口都位于不同的子网中。连接到网络的每个接口都必须配置有对该网络有效的 IP 地址。通常，如果将 Deep Edge 设备部署为私有网络和公共网络之间的网关，则会使用路由器模式。适合的用户场景拥有不太完善的网络部署环境，Deep Edge不仅作为网络安全设备使用，而且还要作为网络连接设备来使用网络环境中有对外发布服务器，桌面终端及其他网络设备对外发服务器创建DMZ为DMZ配置独立的安全

41、策略，防止对外发布服务器遭受各种外部攻击为终端设备提供病毒防护以及安全的上网行为管理部署结构图及实例监控模式在监控模式下，Deep Edge 对于网络是不可见的。对交换机建立设置，并将网络通信镜像到与 Deep Edge 连接的端口。Deep Edge 会监控网络通信，并且仅记录与违例相关的信息。在此模式下，即使存在策略，网络通信也不会被阻止。在监控模式下，网络通信不会直接通过 Deep Edge 设备。 网络通信会在 Deep Edge 外部进行传输，Deep Edge 会在逻辑上借助于网络的交换机在网络外部独立运行，这些交换机会将指定的网络通信镜像到 Deep Edge 所侦听的接口。De

42、ep Edge 可监控网络通信的状态，并将该信息发送给 Deep Edge 管理员。亚信安全建议将 Deep Edge 部署在核心 Internet 交换机处，以便能够查看离开和进入企业网络的所有 Internet 网络通信的副本。适合的用户场景拥有完善的网络部署环境，Deep Edge 仅作为网络安全设备使用通过Deep Edge设备发现网络中的潜在威胁，并通过各项报表功能了解威胁的种类及其分布情况部署结构图及实例多ISP/WAN模式多网桥模式Deep Edge产品技术特征与优势全新的系统架构，功能和性能的全面提升传统多功能网关大多采用功能叠加方式，系统耦合性弱，可扩展性差，功能单一，缺少对

43、威胁信息的联动分析，在内容安全方面无太多技术积累，从而导致传统多功能网关全功能后性能急剧下降，且内容安全防护效果不甚理想。Deep Edge 集多年积累的全球顶级内容识别技术，结合业界领先的云安全智能防护网络SPN，采用全新一代的高级威胁侦测及分析引擎，颠覆传统架构，构建出基于深度内容安全的统一智能安全网关，在全面整合传统安全网关的同时，又提供了完整、深入、高效的内容安全防护，实现了功能和性能的全面提升。全面集成业界领先SPN云端安全方案全球5大云安全数据中心，100,000台服务器，1,600位专职安全专家，每天处理 50 多亿次 URL、电子邮件和文件查询。SPN通过关联分析，并持续评估网

44、站、电子邮件资源和文件的威胁和信誉情报，进而提供实时防护，在威胁入侵网络之前对其予以拦截，并免遭新型威胁的危害。反馈循环可提供所有亚信安全产品的实时信息，以更新基于云的 SPN 组件和 URL 过滤数据库。在客户内部部署的设备上检测到的恶意软件可以实时反馈到云体系结构，并用于对信息进行微调，这样就加快了主动保护亚信安全全球客户群的速度，并且误报率低。威胁发现更全面，定位更准确，误判率更低，阻止威胁入侵更及时。Cache本地存储，让性能更高一筹。更全面更深入的内容安全防护技术Deep Edge 不仅提供了完整的下一代防火墙相关功能，更进一步融合了广泛应用于网络、服务器与终端设备的虚拟补丁，零日漏

45、洞检测，APT防护，C&C违规外联及僵尸网络检测，病毒、木马、蠕虫等恶意程序防护，恶意网站过滤、网站分类访问，VPN数据过滤，垃圾邮件及恶意邮件过滤等拥有全部知识产权的全球顶尖内容安全防护技术，提供您更全面更深入的内容安全防护功能。确保所有防护功能随时全开的尖端性能面对新型网络威胁与攻击，既需要全面且深入的防护功能, 还需要高效的处理性能。许多安全网关在功能全开的瞬间, 性能急剧下降, 经常造成网络瘫痪，严重影响企业的运作，甚至连最基本的防病毒功能都无法使用。Deep Edge 采用全新系统架构，在防护功能全部开启的同时，又提供了高效的性能支撑，不仅让您放心地使用网络数据，还让您体验到流畅网络

46、所带来的各种便利。跨物理架构、虚拟化架构及云架构的全方位部署能力Deep Edge 既支持以桥接、路由、混杂、多 WAN/ISP 及旁路模式部署在传统物理网络环境中，保护您的网络出口、内网、数据中心以及分支机构的数据安全。同时支持以虚拟设备（Virtual Appliance, VA）的方式部署在 VMWare、FusionSphere、KVM、Hyper-V 、Xen等主流虚拟化及云平台中，以及 AWS、Azure、Ali等公有云平台中，保护您虚拟化数据中心及公有云的业务安全。业界No.1的APT侦测及防护技术通过获取云安全智能防护网络SPN提供的全球C&C黑名单，以及深度威胁发现设备TDA

47、共享的本地C&C黑名单，Deep Edge可以侦测并拦截本地服务器与终端的C&C违规外联活动，阻断其与APT攻击者之间的恶意通讯；借助高级未知威胁扫描引擎，Deep Edge可以侦测APT攻击所使用的高度定制化恶意程序、URL、IP及域等可疑威胁对象，并结合本地定制化沙箱模块深度威胁分析设备DDAN，分析并确认威胁的本质，从而实现针对可疑APT对象，尤其是未批露漏洞或零日漏洞的侦测、分析、识别以及拦截该技术在2014和2015连续两年NSS Labs 入侵外泄侦测系统评比中荣获最高安全“推荐”评价。业界首创并广泛使用的服务器与终端防护利器虚拟补丁技术攻击者多以公司数据为攻击目标，以获得经济、商

48、业或政治利益。各种漏洞不计其数，攻击技术多种多样（包括 SQL 注入、跨站点脚本、缓冲区溢出、拒绝服务），其中 Web 漏洞即是最常见的三种漏洞之一，但是，当主机遭受恶意软件攻击时，传统的IDS/IPS设备可能检测不到异常情况。Deep Edge 内建业界首创的，广泛应用于数据中心安全防护的，全球市场占有率第一的服务器与终端防护技术-虚拟补丁，通过深度数据包检测针对服务器与终端的漏洞攻击，在服务器与终端安装补丁前屏蔽漏洞，阻止已知漏洞被无限制利用，大大减少了服务器与终端面临漏洞攻击的风险，保护了易受攻击的的应用程序和操作系统，有效防范已知攻击和零日攻击的入侵。Deep Edge采用虚拟补丁技术

49、通过扫描在服务器上运行的应用程序和操作系统，监测通用漏洞披露，生成安全报告，并推荐使用安全策略，在安装补丁前屏蔽漏洞，大大减少了服务器面临安全的风险，保护了易受攻击的的应用程序和操作系统，有效防范已知攻击和零日攻击的入侵。全球IPS核心技术的提供商Deep Edge的主动式主机入侵防御系统，使用基于深度数据包检测技术的高性能流扫描引擎，监视进出网络的数据包和有效载荷数据以检测恶意代码和其他异常情况，双向防护，既可以阻止恶意攻击，又能够防止敏感信息泄漏。Deep Edge的主动式入侵防御系统提供了6,000+条漏洞探测及防护规则，防止恶意软件感染、漏洞利用和SQL注入, 命令注入, Webshe

50、ll 攻击, XSS 攻击, CSRF 攻击。DDOS 防护, 阻止应用层攻击和非法获取权限。用户可根据不同操作系统，不同服务类别，漏洞发布时间以及严重性，按需选择IPS规则，配置更灵活，且性能更好，双向防护，既可以阻止恶意攻击，又能够防止敏感信息泄漏。同时，作为全球IPS核心技术的提供商，我们为市面上多家知名IPS厂商提供IPS技术。高性能扫描引擎Deep Edge采用基于深度包检测的高性能流扫描引擎，一次性扫描，全方位分析，解决了传统网关内容扫描所造成的性能瓶颈问题，从而在保证安全扫描的前提下，大大提高了用户访问Web的速度。在数据流扫描的过程中，并发流扫描引擎无需将应用会话中所有数据包在

51、内部进行重组缓存并对其内容进行扫描完成后再传送到客户端，而是将接收数据包重组缓存和数据包传输到终端并行处理，只是在扫描完成前留下几个特定字节，在确认未存在内容安全隐患后再发送到客户端，使得网关的内容安全处理能力得到大大的提升。目前支持超過100种协议的识别和分析,如HTTP/HTTPS/FTP/SMTP/POP3/TFTP/TCP/UDP/NFS/SNMP/ICMP/RTMP/DNS/IRC，其中不仅包括对HTTP、FTP、SMTP、POP3等常规协议的识别和分析，还包括对HTTPS及VPN等加密协议的识别和分析。优点：减少由于数据包重组及维持会话连接带来的额外系统资源开销和网络延迟，提高系统

52、资源使用效率和网络访问速度，减少网络会话连接错误。提高系统并发连接数，以及新建并发连接数，提高系统吞吐率。更先进的基于内容的防火墙策略Deep Edge不仅提供基于IP/Port，及网络服务的传统防火墙规则。还提供基于网络应用和网站分类的应用防火墙规则。更重要的是对于满足上述防火墙规则进出的网络数据流量提供深度内容安全检测，包括已知恶意程序防护，如防病毒，间谍软件，木马，蠕虫等，检测并阻止APT及定向目标攻击，检测并阻止C&C违规外联通讯及僵尸网络，检测并阻止零日漏洞攻击及未知高级恶意程序，网页信誉检测，网页分类过滤，防止基于Web的攻击，如网站挂马攻击、跨站脚本攻击和网络钓鱼等，以及垃圾邮件

53、及恶意邮件过滤等多项高级内容安全防护业内领先技术提供双向的，深度的，全面的内容安全防护传统防火墙规则基于IP/Port，提供粗粒度的网络访问规则，应用防火墙规则基于Web Application，提供更细粒度的网络访问控制，即使这样，经过合法的防火墙规则进入用户网络的数据就一定是安全的么？事实上，大量的网络威胁仍然夹杂在数据内容之中，经过合法的防火墙规则，堂而皇之地进入用户网络，导致用户网络遭受攻击，业务中断，数据泄露或受损。数据内容安全是网络安全的核心问题，也是传统防火墙厂商始终在回避一个重要问题，亚信安全认为，内容安全才是真正的安全。Deep Edge支持从网络层至应用层(从二层到七层)的

54、全协议网络流量分析，对超过100种协议进行识别和分析，使用业内领先的云计算安全技术，对所有满足防火墙规则进出的网络数据流量进行双向的，深度的，全面的内容安全扫描，既有效防止外部攻击，又满足防泄密和防篡改等安全要求。内容安全防护包括：防已知恶意软件，如病毒，间谍软件，木马，蠕虫等检测并阻止网络入侵以及针对主机的漏洞攻击检测并阻止APT及定向目标攻击检测并阻止C&C违规外联通讯及僵尸网络检测并阻止零日漏洞攻击及未知高级恶意程序网页信誉检测，网页分类过滤，防止基于Web的攻击，如网站挂马攻击、跨站脚本攻击和网络钓鱼等垃圾邮件及恶意邮件过滤全球领先的防病毒技术采用亚信安全云计算智能安全网络，结合文件信

55、誉服务，在全球病毒实验室及本地病毒实验室的支持下，提供3,000,000+种病毒识别码，每年约新增750,000+，既包含全球共用的病毒特征码，还针对不同地区提供本地病毒特征码（保持25%-35%中国区域专属特征码），病毒特征码实时更新，全球24小时同步。Deep Edge防病毒功能用于检测并阻止恶意程序，如病毒，蠕虫，僵尸网络，间谍软件，网页木马，邮件病毒等；可拦截间谍软件的回拨企图，阻止间谍软件下载；阻止恶意程序通过即时通信程序进行扩散；防止访问与间谍软件或网络钓鱼有关的网站；阻止恶意程序通过邮件进行扩散。采用亚信安全Intelli-trap技术，对已知和未知病毒进行防范。降低服务器及桌面

56、端恶意软件清除成本，保证业务连续性。连续且长期在国际公认的第三方机构（如AV Test、AV Comparative等）测评中名列前茅领先的web信誉防护技术Deep Edge利用全球最大的信誉数据库之一的Web信誉数据库跟踪网站的可信度并保护用户防止其访问受感染的站点。Web 信誉数据库驻留在远程服务器中，在用户尝试访问某一URL时，Deep Edge会从 Web 信誉数据库中检索有关该 URL 的信息，并将其存储在本地缓存中，降低系统的开销并提高性能。Web信誉数据库会使用有关 Web 页面的最新安全信息进行更新。Deep Edge继承了亚信安全云计算安全技术的web信誉技术（WRT），对

57、被访问的URL的安全等级实时进行评估，阻止对高风险URL地址的访问，在Web威胁到达之前予以拦截，有效防止网络钓鱼和域名欺诈。优点：提供零日防护无需本地更新连接层阻止，节省带宽领先的URL过滤技术Deep Edge采用Web信誉技术（WRT）对网页进行实时分类，凭借灵活的策略和完整的恶意软件数据库实施URL过滤，还通过分析和验证ActiveX & Java Applet中含有的威胁来阻止插件安装式攻击，实现安全访问控制。URL 过滤及 Web 信誉，都是Deep Edge提供的多层次、多威胁防护解决方案的一部分。用户可以根据 URL 的类别（例如，“成人”、“赌博”和“金融服务”）来设置策略。

58、当用户请求某一URL 时，Deep Edge将首先查找该 URL 的类别，然后根据设置的策略来允许或拒绝对该 URL 的访问。用户可对指定IP或URL自定义分类或分类组，可针对不同用户使用不同URL分类，灵活设置不同的网络访问策略优点：提高带宽使用率，保证业务正常运行控制员工internet访问的时间、范围和访问量改善员工生产力，避免工作时间访问无关网站控制员工对不适当网站的访问，减少法律责任综合的邮件信誉防护及邮件隔离解决方案Deep Edge采用多层次的技术：邮件信誉技术（ERT）、IP连接控制、邮件智能分析引擎，结合世界上最大最值得信赖的信誉数据库之一，对SMTP/POP3流量进行检测，

59、识别垃圾邮件和网络钓鱼邮件，阻止恶意程序通过邮件进行扩散，并在此类邮件到达网关之前对其进行拦截，并及时封堵僵尸网络发出的此类邮件，阻止其对正常业务的干扰。对进出的邮件体和附件进行双向深度内容过滤，内容过滤支持过滤正文、标题、发件人、附件类型和附件内容等全部信息。对于存在安全隐患的邮件，可选择阻止，隔离，记录等处理措施，对于被隔离的邮件，可选择手工删除或重新发送等后继操作。业界领先的僵尸网络防护技术高级持续性攻击（Advanced Persistent Threat, APT）广泛出现，增加了数据遭破坏或泄漏的可能性，Deep Edge的APT安全防护功能，可以有效阻断与外部恶意服务器或终端的C

60、&C回连，保护用户免受ATP及其他定向攻击。僵尸网络危及大量计算机的安全，僵尸主控机或黑客利用这些计算机进行分布式拒绝服务 (DDoS) 攻击、发送垃圾邮件、进行按键记录、点击欺诈和传播恶意软件。Deep Edge利用特征码，高级行为检测和关联算法，帮助用户尽快检测到威胁行为的发源地和受到感染的特定主机，并实施定点清除。之前未识别出的新僵尸病毒的相关信息会反馈给亚信安全全球威胁智能网络，并可用于开发清除特征码，这可使其他亚信安全用户受益。完整的简便的网络连接功能Deep Edge提供了非常全面的安全防护机制，可以让用户对各项安全功能做到随开随用，随关随停；全新的系统架构既方便了各项安全功能的整