傳統(tǒng)防火墻的訪問控制或者流量管理粒度粗放,，只能基于IP/端口號對數(shù)據(jù)流量進行一刀切式的禁止或允許,。深信服下一代防火墻基于龐大的應(yīng)用和用戶識別能力，對數(shù)據(jù)流量和訪問來源進行精細化辨識和分類,，使得用戶可以輕易從同一個端口協(xié)議的數(shù)據(jù)流量中辨識出任意多種不同的應(yīng)用,，或從無意無序的IP地址中辨識出有意義的用戶身份信息,，從而針對識別出的應(yīng)用和用戶施加細粒度、有區(qū)別的訪問控制策略,、流量管理策略和安全掃描策略,，保障了用戶**直接、準(zhǔn)確,、精細的管理愿望和控制訴求,。

例如：允許HTTP網(wǎng)頁訪問順利進行，并且保證高訪問帶寬,，但是不允許同樣基于HTTP協(xié)議的視頻流量通過；允許通過QQ進行即時通訊,，但是不允許通過QQ傳輸文件,；允許郵件傳輸，但需要進行防攻擊和敏感信息過濾,，如發(fā)現(xiàn)有攻擊入侵或泄密事件馬上阻斷,，等等。 只有針對真實存在的業(yè)務(wù)漏洞進行的攻擊才是有效攻擊.崇明區(qū)技術(shù)下一代防火墻需求

單次解析架構(gòu)

深信服下一代防火墻采用單次解析架構(gòu)實現(xiàn)報文的一次解析一次匹配,，有效提升了應(yīng)用層效率,。實現(xiàn)單次解析技術(shù)的一個關(guān)鍵要素就是軟件架構(gòu)設(shè)計實現(xiàn)網(wǎng)絡(luò)層、應(yīng)用層的平面分離,，將數(shù)據(jù)通過“0”拷貝技術(shù)提取到應(yīng)用平面上實現(xiàn)威脅特征的統(tǒng)一解析和統(tǒng)一檢測,，減少冗余的數(shù)據(jù)包封裝，實現(xiàn)高性能的數(shù)據(jù)處理,。

 跳躍式掃描技術(shù)

深信服下一代防火墻利用多年積累的應(yīng)用識別技術(shù),，在內(nèi)核驅(qū)動層面通過私有協(xié)議將所有經(jīng)過下一代防火墻的數(shù)據(jù)包都打上應(yīng)用的標(biāo)簽。當(dāng)數(shù)據(jù)包被提取到內(nèi)容檢測平面進行檢測時,，設(shè)備會找到對應(yīng)的應(yīng)用威脅特征,，通過使用跳躍式掃描技術(shù)跳過無關(guān)的應(yīng)用威脅檢測特征，減少無效掃描,，提升掃描效率,。比如：流量被識別為HTTP流量，那么FTP server的相關(guān)漏洞攻擊特征便不會對系統(tǒng)造成威脅,，便可以暫時跳過檢測進行轉(zhuǎn)發(fā),，提升轉(zhuǎn)發(fā)的效率。

事前風(fēng)險分析

1）明確防護主體：**資產(chǎn)有效識別

從風(fēng)險管理的角度,，我們首先需要明確防護的主體對象，通過應(yīng)用特征,、交互協(xié)議,、端口,、IP等方式識別內(nèi)網(wǎng)的業(yè)務(wù)系統(tǒng)；

2）識別資產(chǎn)風(fēng)險：實時漏洞監(jiān)測分析

基于識別的業(yè)務(wù)資產(chǎn),，接下來我們會進行業(yè)務(wù)資產(chǎn)風(fēng)險分析,，通過實時的流量檢測，檢測業(yè)務(wù)系統(tǒng)存在的漏洞,，比如是否存在惡意注入,、代碼執(zhí)行、黑鏈植入等惡意動作,，檢測業(yè)務(wù)系統(tǒng)的漏洞,；

3）保障安全能力：安全能力評估

比如業(yè)務(wù)系統(tǒng)是否有對應(yīng)的防御手段，是否現(xiàn)有的防御手段是生效的,，是否規(guī)則庫沒有更新,，是否缺少防御手段等，防止存在安全能力降級及失效的情況,；

4）安全價值交付：比較好實踐策略部署

基于安全能力降級及失效的情況進行一鍵防御,，實行安全能力的一鍵提升；除此之外為了切實保障企業(yè)資產(chǎn)風(fēng)險管理工作的落地,，我們會為用戶提供安全價值交付,，基于深信服技服團隊的價值交付體系給出對應(yīng)建議，保障安全安全建設(shè)的切實落地,。

Sangfor Regex正則引擎

正則表達式是一種識別特定模式數(shù)據(jù)的方法,，它可以精確識別網(wǎng)絡(luò)中的攻擊。經(jīng)深信服安全**研究發(fā)現(xiàn),，業(yè)界已有的正則表達式匹配方法的速度一般比較慢,，制約了下一代防火墻的整機速度的提高。為此,，深信服設(shè)計并實現(xiàn)了全新的Sangfor Regex正則引擎,，將正則表達式的匹配速度提高到數(shù)十Gbps，比PCRE和Google的RE2等**引擎快數(shù)十倍,，達到業(yè)界**水平,。

深信服下一代防火墻的Sangfor Regex大幅降低了CPU占用率，有效提高了AF的整機吞吐,，從而能夠更高速地處理客戶的業(yè)務(wù)數(shù)據(jù),，該項技術(shù)尤其適用于對每秒吞吐量要求特別高的場景，如運營商,、電商等,。 不對服務(wù)器和終端向外主動發(fā)起的業(yè)務(wù)流量進行防護.

    基礎(chǔ)防火墻特性深信服AF兼容傳統(tǒng)防火墻的所有功能特性，包括交換/路由,、訪問控制,，A-A/A-S雙機熱備,、軟硬件Bypass、系統(tǒng)管理,、日志報表,、會話管理、抗DDoS攻擊,、應(yīng)用代理,、DHCP/DNS等等。PPPoE通過ADSL接e已經(jīng)成為越來越多中小企業(yè)的選擇,，而ADSL需要撥號以后才能獲得IP地址,。深信服AF支持PPPoE協(xié)議，作為PPPoEClient端完成與PPPoEServer建立連接和地址獲取,，通過設(shè)置用戶名和口令即可支持ADSL接入,，獲得動態(tài)IP地址、網(wǎng)關(guān)及DNS地址,，自動完成撥號過程，接e網(wǎng)絡(luò),。解決中小企業(yè)上網(wǎng)問題,。 即使有大量的攻擊也不意味著對業(yè)務(wù)安全的威脅很大.崇明區(qū)技術(shù)下一代防火墻需求

企業(yè)是否具備實時應(yīng)對和響應(yīng)的能力，能夠把影響**小化.崇明區(qū)技術(shù)下一代防火墻需求

上海黑象信息科技有限公司致力于商務(wù)服務(wù),，是一家其他型的公司,。黑象致力于為客戶提供良好的技術(shù)開發(fā)，技術(shù)轉(zhuǎn)讓,，技術(shù)咨詢,，技術(shù)服務(wù)，一切以用戶需求為中心,，深受廣大客戶的歡迎,。公司將不斷增強企業(yè)重點競爭力，努力學(xué)習(xí)行業(yè)知識,，遵守行業(yè)規(guī)范,，植根于商務(wù)服務(wù)行業(yè)的發(fā)展。在社會各界的鼎力支持下,，持續(xù)創(chuàng)新,，不斷鑄造***服務(wù)體驗，為客戶成功提供堅實有力的支持,。