深信服全網(wǎng)安全監(jiān)測

解決方案模板應用背景在當前互聯(lián)網(wǎng)的浪潮下，日益成熟的網(wǎng)絡基礎建設和互聯(lián)網(wǎng)豐富的資源大大提高了人類的生產(chǎn)力和生產(chǎn)效率，各組織業(yè)務得以持續(xù)、快速、高效的發(fā)展。然而無處不在的網(wǎng)絡帶給人類發(fā)展便利的同時，也隨之帶來了諸多的網(wǎng)絡安全風險互聯(lián)網(wǎng)出口承載著內部所有用戶的上網(wǎng)需求，首當其沖承受著最直接的安全威脅，因此在該區(qū)域部署相匹配的安全防護手段必不可少。需求分析基礎需求用戶訪問無控制，安全不可控在廣域網(wǎng)環(huán)境下分支機構的各類用戶對互聯(lián)網(wǎng)或數(shù)據(jù)數(shù)據(jù)中心經(jīng)常僅具有一部分的訪問權限，而在實際網(wǎng)絡中因僅僅解決了基礎網(wǎng)絡的使用，導致很多用戶可以對互聯(lián)網(wǎng)或數(shù)據(jù)中心隨意進行訪問。最終使得各分支與總部沒有實現(xiàn)有效的邊界訪問控制，無法對用戶的訪問行為進行有效的管理與審計。無用數(shù)據(jù)占用帶寬，影響業(yè)務運行在用戶訪問互聯(lián)網(wǎng)或數(shù)據(jù)中心時，經(jīng)常會產(chǎn)生大量的非關鍵業(yè)務流量或垃圾流量占用有限的寬帶資源。這樣的情況嚴重了影響關鍵業(yè)務的正常運行，那么我們應該如何保證數(shù)據(jù)流在廣域網(wǎng)中按業(yè)務的重要程度進行不同優(yōu)先級的調度？安全需求網(wǎng)絡欺詐泛濫，員工遭受損失互聯(lián)網(wǎng)發(fā)展越來越快，人們對互聯(lián)網(wǎng)的依賴性越來越強，網(wǎng)上購物、數(shù)據(jù)存儲、信息查詢等等業(yè)務應用不斷向互聯(lián)網(wǎng)端遷移，這也使得了攻擊者可以通過互聯(lián)網(wǎng)獲取想要的一切。而隨著越累越多的黑客察覺到了其中的利益后，各種釣魚網(wǎng)站、網(wǎng)絡欺詐便開始變得層出不窮。網(wǎng)絡欺詐的泛濫直接導致了各類用戶的經(jīng)濟損失、數(shù)據(jù)泄露，而各分支機構往往安全防護薄弱、員工安全意識低，最終致使網(wǎng)絡欺詐行為屢獲成功。僵木蠕隱蔽性強，終端大量失陷大量的網(wǎng)絡攻擊往往都是通過僵木蠕的傳播來實現(xiàn)的，而對于分支機構的終端來說從互聯(lián)網(wǎng)端下載的參考資料、辦公軟件等數(shù)據(jù)便是主要的威脅來源。為了更易感染終端，僵木蠕等惡意流量往往與參考資料、辦公軟件等進行捆綁，誘導用戶下載執(zhí)行從而感染終端實現(xiàn)后續(xù)目的，而分支機構邊界的薄弱也就促成了惡意流量在整個廣域網(wǎng)中肆意泛濫。缺乏持續(xù)檢測，失陷主機成為攻擊跳板當終端感染僵木蠕之后，往往會被攻擊者控制成為僵尸主機或攻擊跳板，此類失陷主機也是進行APT攻擊或更加深入攻擊的首要條件。失陷主機在網(wǎng)絡中往往隱藏很深，可能通過多種途徑實現(xiàn)傳播感染或對外通訊，最終達到破壞竊取等目的。而現(xiàn)有的網(wǎng)絡中，哪怕存在了一定的邊界防護設備，也很難發(fā)現(xiàn)失陷主機。主要原因便是失陷主機行為利用了大多數(shù)防護設備的邏輯漏洞，最終導致失陷主機在網(wǎng)絡中成為萬惡之源。管理需求安全狀況無法快速查看，缺乏全網(wǎng)了解在廣域網(wǎng)環(huán)境下，分支網(wǎng)絡的安全狀況往往無法讓運維人員統(tǒng)一快速的查看這也造成了很多問題由于發(fā)現(xiàn)不及時造成處理延誤，也會帶來更大的損失。同時各分支機構碎片化的數(shù)據(jù)，也導致了運維人員無法有效的了解到全網(wǎng)的安全狀況，無法對廣域網(wǎng)整體進行安全分析做不到全局的把控，這些問題都是我們對安全狀況缺乏了解造成的。分支機構安全不便管理，風險不可控缺乏統(tǒng)一管理大量的分支機構往往會給運維工作帶來繁重的工作量，每一個分支都需要進行單獨的配置即影響工作效率，又十分耗費人力。無法獨立運營分支機構的運維人員往往是其他崗位人員的兼職，或是同時兼顧網(wǎng)絡、安全、系統(tǒng)、應用等多方面的工作，在安全能力方面缺乏專業(yè)知識，對于安全設備的運維工作往往力不從心。深信服解決方案在分支環(huán)境下，為了滿足以上大量的基礎需求、安全需求及管理需求往往需要幾類安全設備并結合統(tǒng)一管理的方式來實現(xiàn)，這樣的網(wǎng)絡架構對于分支來說同樣會增加管理難度和采購費用。深信服解決方案依靠下一代防火墻獨特的融合安全的能力為用戶在分支邊界提供簡單有效的解決方案，在實現(xiàn)各項需求的同時降低管理難度及采購成本?；诳蛻羟闆r添加拓撲描述建設后拓撲完善基礎網(wǎng)絡精細化訪問控制，安全可管可控在各分支機構的邊界，深信服下一代防火墻通過對各類用戶權限的區(qū)分，各分支機構的不同訪問需求，可以進行精確的訪問控制。通過對終端用戶、分支機構不同的權限劃分保障網(wǎng)絡受控有序的運行。在此可添加基于用戶情況的訪問關系描述。通過對全網(wǎng)進行訪問控制、明確權限劃分可以避免越權訪問、非法訪問等情況發(fā)生，減少安全事件發(fā)生概率。智能流量管理，保障業(yè)務暢通為保障關鍵業(yè)務正常運營，同時讓分支用戶能夠有更好的上網(wǎng)體驗，深信服下一代防火墻能幫助管理者透徹了解組織當前、歷史帶寬資源使用情況，并據(jù)此制定帶寬管理策略，驗證策略有效性。不但可以在工作時間保障核心用戶、核心業(yè)務所需帶寬，限制無關業(yè)務對資源的占用，亦可以在帶寬空閑時實現(xiàn)動態(tài)分配，以實現(xiàn)資源的充分利用?；诓煌瑫r間段、不同對象、不同應用的管道式流控，能有效保障用戶的上網(wǎng)體驗，保障網(wǎng)絡的穩(wěn)定性。流量保障通道用戶限制通道流量保障通道基于目的IP流控策基于VLAN?O00?00C基于應用基于目的IP流控策基于VLAN?O00?00C基于應用基于源ip網(wǎng)絡訪問全程保護對于現(xiàn)今的網(wǎng)絡安全防護，如果僅僅依靠單項單類別的防護方式很難實現(xiàn)完整的防御效果。為了更好的進行整體安全防護，通過對用戶對互聯(lián)網(wǎng)的訪問行為進行分析，并結合現(xiàn)行的攻擊方式針對用戶與互聯(lián)網(wǎng)數(shù)據(jù)包的交互過程進行了全程保護。Internet③發(fā)現(xiàn)失陷主機封堵風險訪問迴斷惡意流屋Internet③發(fā)現(xiàn)失陷主機封堵風險訪問迴斷惡意流屋封堵風險訪問，避免損失風險訪問往往是終端安全的第一道關卡，在互聯(lián)網(wǎng)訪問的過程中訪問一個有風險的網(wǎng)站可能帶來的風險不僅是單次的經(jīng)濟損失，也可能導致終端受控造成更大損失的根本原因，所以封堵終端的風險訪問便可以有效的降低終端安全風險。深信服建立了業(yè)內領先的大數(shù)據(jù)威脅情報分析平臺，該平臺匯集了國內外多個安全機構的的威脅情報數(shù)據(jù)，通過自主研發(fā)的數(shù)據(jù)清洗技術，形成高效準確的

威脅情報庫。其情報來源如下：國內外數(shù)十個知名的安全機構，如： CNVD、CNNVD、Virustotal、Threatcloud、Malware、Abuse等；深信服在線的近萬臺安全設備上報的安全威脅情報；深信服安全云檢測平臺、安全服務團隊監(jiān)測獲得的海量威脅情報；其中，僅從Virustotal一家安全機構，每天可以獲取20G以上的威脅情報。通過海量的威脅情報，能夠更加精準的發(fā)現(xiàn)威脅，更好的保護終端上網(wǎng)安全。說明：?失陷主機惡懇域各惡意通過海量的威脅情報，能夠更加精準的發(fā)現(xiàn)威脅，更好的保護終端上網(wǎng)安全。說明：?失陷主機惡懇域各惡意URL匸敢服務器I卩3.2.2.僵木蠕一次清理，保障終端安全對于現(xiàn)行網(wǎng)絡中的惡意流量，深信服下一代防火墻也可以實現(xiàn)有效阻斷，通過阻斷惡意流量的下載避免終端受控，減少分支機構中僵木蠕泛濫、主機失陷的風險。已知威脅深信服下一代防火墻采用流模式和啟發(fā)式文件掃描技術，可對HTTP、SMTP、POP3、FTP等多種協(xié)議類型的近百萬種病毒進行查殺，包括木馬、蠕蟲、宏病毒、腳本病毒等，同時可對多線程并發(fā)、深層次壓縮文件等進行有效控制和查殺。

HTTP上恃HTTP下盤協(xié)議褪折引箏蕃毒引爭FTP上伶酣坤附辟上待任務分堂進程HTTPt&Ur&r引粘郵種協(xié)徴解析引業(yè)(SMTP/POP3)FTPHTTP上恃HTTP下盤協(xié)議褪折引箏蕃毒引爭FTP上伶酣坤附辟上待任務分堂進程HTTPt&Ur&r引粘郵種協(xié)徴解析引業(yè)(SMTP/POP3)FTP悔儀解析引荃庫病竜直錄辛過軽】釆產(chǎn)赴屆2殺電就程。未知威脅深信服下一代防火墻可以與云端沙盒進行聯(lián)動，在發(fā)現(xiàn)未知威脅時可將流量實時上報到云端，通過云端沙盒進行虛擬運營檢測沙盒的環(huán)境變化來實現(xiàn)未知威脅的識別。在沙箱環(huán)境下，通過預定義的環(huán)境對未知流量進行虛擬運行，沙盒會監(jiān)控CPU/內存變化、注冊表變化、網(wǎng)絡連接行為、程序異常改動等情況來進行整體分析并提供分析結果進行最終結果的確認，然后再將策略下發(fā)到下一代防火墻進行更新實現(xiàn)阻斷。同時每一臺在線設備收集的未知威脅的特征結果也會同步到其他在線設備上，實現(xiàn)所有設備的威脅情報共享。扯砸詡B- WlH32jRamnlt.AI IE如毀 A仔為極- 妊SAHGR□口云変全料析.謨文件療在痛毒！這足一個木馬SS毒.如盂屈弟用戶電!酯■卮 會侗悄在右臺運斤.注柱關用戶熄越眩盜.厳號密碼丟失.舌融廣告奪周亂1防賓覽鬥杼幵啟昭網(wǎng)絡鮭朗羽舞r升轉要超呆護的加到361&俁IP范困S.gp^PC安裝正阪笊魔軟件幷幵目35時更紙知黒己經(jīng)中招,謂及時殺昂進程瞬f?揃瞄述： 便屣逬程瞄加儈卓- 5=-PrograniFileB-%lJntemetExptoreNEX尸LORE.EXE^DFio^rafnFlleB%?!nterrwIExplDr*rBijeKplDre.escemC.Vsanrralefi^ampleSrvexec'^iw^^annpleSrv.esce^PrQgraffliFile^JJliCrfli&nSIfeSklOpLay&r.eie^Progr&fflFies^'AlifirdSdrfriDesfcidpLaytt&xfip疔為滯述- 寫遠嗣程桶附加信8J %Prt)graffiFile3.%^e§sen啣用5忙零￡曲電九PrugF^EFilBE■嫁￥制噸咄甘畑日陽ToolaVumiixilEd舊kb二詣聲1BJnRjg<%'田陽紀fur.那日%5丫刖的iFlg存L/y?怕mfl2*￡nidje船^^aleinHfiW^^sysTemaEtQnlme刖色啊旳s<em30j2Hitig.曲皀3?2?3?異常行為持續(xù)檢測，根除安全隱患分支機構的環(huán)境下往往缺乏管理制度，所以威脅可能來自多個層面，僅僅依靠邊界防御有時并不能防御所有的風險，仍然可能由于移動介質、電腦私用等問題為局域網(wǎng)帶來安全風險。為了避免此類問題的發(fā)生、避免更大的損失，盡早發(fā)現(xiàn)此類失陷主機的異常行為，盡早排除隱患就成為了第一要務。深信服下一代防火墻在分支機構出口的部署，可以快速有效的發(fā)現(xiàn)局域網(wǎng)環(huán)境下失陷主機的異常行為，通過多個維度的分析精準定位問題。同時依照行為的異常級別對失陷主機進行分級分類，幫助運維人員快速了解原因便可基于自身情況進行問題處理。

壟機嚴盧性定宜城容-】唏U_卻泄杵曲，同對8崔8ft理韭JB吐己?6帚鞍松年施主機主?叨拄珈出了誦樂見JS數(shù)杵旳漏2R岳沖O城&1P堆U_野竊5曲，并口主UJE在忙酬良且旳主機陣審圮處丈怦OH,與門知冠啓抵1牛握尿報吐?壇邑?」腳.上毎進宓:或枷陽耳紇肚雖現(xiàn)蚊怦利作迥冋巾尬拚門砂說(HFB殛制上但O月冇卜蛙JKDD05政擊行為的：￡川，亟咅鳳巧話?趕33~1黑!1丑￡匪客打為和主旺虜柬可老性：?中引禺固出中申隹艮號號件旳?？蒊t1*^*1O毎1*満出麗在已卻乂ftKfi-5"的J1益氏垃U特征的SM.蔽諸鶴檢11出年孔憐If呂尊加號聞喲対區(qū)￡亍G尺耽氐陽誦DG歸亞主EE適屯與注曲生4L弱審耳打出血獰反誦止曲育卻主tfl總:染可逼性：中■片打下姬尊珂衣廳宜潛.鼻倉PDFJSbEt迴貫箒斤寵的圭機.舊咼無尺戶幅處的建竄￡^lS!6JGf2SSKP!=Att但曲未鳳冠出求兩聲兇桿為■具百下刪減靈g玄痔斤昭卡琦匚HJ立供.E刪盹宴杵駅茗松.但迪足廂戶販曾曲蠱a主期jl在fit?尺耳嵯就憶啓為牛用芥龍慣也說的門祐或點卻協(xié)施，剤迪￡業(yè)?止，3=<1汰何郵鼻“崢迴1：怔ft■的*6、P氐唆岡龍性：低工聞汪別出丁則惡：1越件円IE巧1E世獰糊?冷和再丁中區(qū)城肪5?率爐良這丄VL歐需貝勺擊何的血.商坯労g舌兩姑氐旬曲走的:Lh."SSL書書3卞斥牡戔443甥口全網(wǎng)可視，簡化管理數(shù)據(jù)集中分析，大屏清晰展示為了避免廣域網(wǎng)環(huán)境下運維人員無法快速了解整體安全狀況帶來更大的安全風險，深信服提供了全網(wǎng)安全態(tài)勢感知的解決方案，通過對各分支機構的數(shù)據(jù)進行收集分析，在總部進行全面的數(shù)據(jù)展示。運維人員可以通過風險排名、地圖定位快速發(fā)現(xiàn)存在安全隱患的區(qū)域，并且可以通過全網(wǎng)安全事件的趨勢變化進行相應的處理工作，避免問題發(fā)現(xiàn)滯后導致的損失。全網(wǎng)統(tǒng)一管理，分支獨立運營在廣域網(wǎng)環(huán)境下，整體策略的統(tǒng)一配置更新、各分支的精細化處理一直是最需要解決的問題，也是最基礎的問題。深信服通過SC可以實現(xiàn)所有分支邊界的下一代防火墻的統(tǒng)一管控，對于策略的更新部署可以在總部快速有效的進行。而對于分支機構運維人員對安全設備可能存在的不精通、不了解等問題也有相應的解決方案。我們通過每臺下一代防火墻的運營中心，可以有效的幫助分支機構的