傳統(tǒng)防火墻的訪問控制或者流量管理粒度粗放，只能基于IP/端口號對數(shù)據(jù)流量進行一刀切式的禁止或允許。深信服下一代防火墻基于龐大的應(yīng)用和用戶識別能力，對數(shù)據(jù)流量和訪問來源進行精細化辨識和分類，使得用戶可以輕易從同一個端口協(xié)議的數(shù)據(jù)流量中辨識出任意多種不同的應(yīng)用，或從無意無序的IP地址中辨識出有意義的用戶身份信息，從而針對識別出的應(yīng)用和用戶施加細粒度、有區(qū)別的訪問控制策略、流量管理策略和安全掃描策略，保障了用戶**直接、準確、精細的管理愿望和控制訴求。

例如：允許HTTP網(wǎng)頁訪問順利進行，并且保證高訪問帶寬，但是不允許同樣基于HTTP協(xié)議的視頻流量通過；允許通過QQ進行即時通訊，但是不允許通過QQ傳輸文件；允許郵件傳輸，但需要進行防攻擊和敏感信息過濾，如發(fā)現(xiàn)有攻擊入侵或泄密事件馬上阻斷，等等。 只有針對真實存在的業(yè)務(wù)漏洞進行的攻擊才是有效攻擊.崇明區(qū)技術(shù)下一代防火墻需求

單次解析架構(gòu)

深信服下一代防火墻采用單次解析架構(gòu)實現(xiàn)報文的一次解析一次匹配，有效提升了應(yīng)用層效率。實現(xiàn)單次解析技術(shù)的一個關(guān)鍵要素就是軟件架構(gòu)設(shè)計實現(xiàn)網(wǎng)絡(luò)層、應(yīng)用層的平面分離，將數(shù)據(jù)通過“0”拷貝技術(shù)提取到應(yīng)用平面上實現(xiàn)威脅特征的統(tǒng)一解析和統(tǒng)一檢測，減少冗余的數(shù)據(jù)包封裝，實現(xiàn)高性能的數(shù)據(jù)處理。

 跳躍式掃描技術(shù)

深信服下一代防火墻利用多年積累的應(yīng)用識別技術(shù)，在內(nèi)核驅(qū)動層面通過私有協(xié)議將所有經(jīng)過下一代防火墻的數(shù)據(jù)包都打上應(yīng)用的標簽。當數(shù)據(jù)包被提取到內(nèi)容檢測平面進行檢測時，設(shè)備會找到對應(yīng)的應(yīng)用威脅特征，通過使用跳躍式掃描技術(shù)跳過無關(guān)的應(yīng)用威脅檢測特征，減少無效掃描，提升掃描效率。比如：流量被識別為HTTP流量，那么FTP server的相關(guān)漏洞攻擊特征便不會對系統(tǒng)造成威脅，便可以暫時跳過檢測進行轉(zhuǎn)發(fā)，提升轉(zhuǎn)發(fā)的效率。

事前風險分析

1）明確防護主體：**資產(chǎn)有效識別

從風險管理的角度，我們首先需要明確防護的主體對象，通過應(yīng)用特征、交互協(xié)議、端口、IP等方式識別內(nèi)網(wǎng)的業(yè)務(wù)系統(tǒng)；

2）識別資產(chǎn)風險：實時漏洞監(jiān)測分析

基于識別的業(yè)務(wù)資產(chǎn)，接下來我們會進行業(yè)務(wù)資產(chǎn)風險分析，通過實時的流量檢測，檢測業(yè)務(wù)系統(tǒng)存在的漏洞，比如是否存在惡意注入、代碼執(zhí)行、黑鏈植入等惡意動作，檢測業(yè)務(wù)系統(tǒng)的漏洞；

3）保障安全能力：安全能力評估

比如業(yè)務(wù)系統(tǒng)是否有對應(yīng)的防御手段，是否現(xiàn)有的防御手段是生效的，是否規(guī)則庫沒有更新，是否缺少防御手段等，防止存在安全能力降級及失效的情況；

4）安全價值交付：比較好實踐策略部署

基于安全能力降級及失效的情況進行一鍵防御，實行安全能力的一鍵提升；除此之外為了切實保障企業(yè)資產(chǎn)風險管理工作的落地，我們會為用戶提供安全價值交付，基于深信服技服團隊的價值交付體系給出對應(yīng)建議，保障安全安全建設(shè)的切實落地。

Sangfor Regex正則引擎

正則表達式是一種識別特定模式數(shù)據(jù)的方法，它可以精確識別網(wǎng)絡(luò)中的攻擊。經(jīng)深信服安全**研究發(fā)現(xiàn)，業(yè)界已有的正則表達式匹配方法的速度一般比較慢，制約了下一代防火墻的整機速度的提高。為此，深信服設(shè)計并實現(xiàn)了全新的Sangfor Regex正則引擎，將正則表達式的匹配速度提高到數(shù)十Gbps，比PCRE和Google的RE2等**引擎快數(shù)十倍，達到業(yè)界**水平。

深信服下一代防火墻的Sangfor Regex大幅降低了CPU占用率，有效提高了AF的整機吞吐，從而能夠更高速地處理客戶的業(yè)務(wù)數(shù)據(jù)，該項技術(shù)尤其適用于對每秒吞吐量要求特別高的場景，如運營商、電商等。 不對服務(wù)器和終端向外主動發(fā)起的業(yè)務(wù)流量進行防護.

    基礎(chǔ)防火墻特性深信服AF兼容傳統(tǒng)防火墻的所有功能特性，包括交換/路由、訪問控制，A-A/A-S雙機熱備、軟硬件Bypass、系統(tǒng)管理、日志報表、會話管理、抗DDoS攻擊、應(yīng)用代理、DHCP/DNS等等。PPPoE通過ADSL接e已經(jīng)成為越來越多中小企業(yè)的選擇，而ADSL需要撥號以后才能獲得IP地址。深信服AF支持PPPoE協(xié)議，作為PPPoEClient端完成與PPPoEServer建立連接和地址獲取，通過設(shè)置用戶名和口令即可支持ADSL接入，獲得動態(tài)IP地址、網(wǎng)關(guān)及DNS地址，自動完成撥號過程，接e網(wǎng)絡(luò)。解決中小企業(yè)上網(wǎng)問題。 即使有大量的攻擊也不意味著對業(yè)務(wù)安全的威脅很大.崇明區(qū)技術(shù)下一代防火墻需求

企業(yè)是否具備實時應(yīng)對和響應(yīng)的能力，能夠把影響**小化.崇明區(qū)技術(shù)下一代防火墻需求

上海黑象信息科技有限公司致力于商務(wù)服務(wù)，是一家其他型的公司。黑象致力于為客戶提供良好的技術(shù)開發(fā)，技術(shù)轉(zhuǎn)讓，技術(shù)咨詢，技術(shù)服務(wù)，一切以用戶需求為中心，深受廣大客戶的歡迎。公司將不斷增強企業(yè)重點競爭力，努力學(xué)習(xí)行業(yè)知識，遵守行業(yè)規(guī)范，植根于商務(wù)服務(wù)行業(yè)的發(fā)展。在社會各界的鼎力支持下，持續(xù)創(chuàng)新，不斷鑄造***服務(wù)體驗，為客戶成功提供堅實有力的支持。