深信服下一代防火墻技術(shù)白皮書(shū)20231120

深信服下一代防火墻技術(shù)白皮書(shū)深信服科技股份有限公司2022年5月版權(quán)聲明深信服科技股份有限公司版權(quán)所有，并保留對(duì)本文檔及本聲明的最終解釋權(quán)和修改權(quán)。本文檔中出現(xiàn)的任何文字?jǐn)⑹觥⑽臋n格式、插圖、照片、方法、過(guò)程等內(nèi)容，除另有特別注明外，其著作權(quán)或其它相關(guān)權(quán)利均屬于深信服科技股份有限公司。未經(jīng)深信服科技股份有限公司書(shū)面同意，任何人不得以任何方式或形式對(duì)本文檔內(nèi)的任何部分進(jìn)行復(fù)制、摘錄、備份、修改、傳播、翻譯成其他語(yǔ)言、將其全部或部分用于商業(yè)用途。免責(zé)條款本文檔僅用于為最終用戶提供信息，其內(nèi)容如有更改，恕不另行通知。深信服科技股份有限公司在編寫(xiě)本文檔的時(shí)候已盡最大努力保證其內(nèi)容準(zhǔn)確可靠，但深信服科技股份有限公司不對(duì)本文檔中的遺漏、不準(zhǔn)確、或錯(cuò)誤導(dǎo)致的損失和損害承擔(dān)責(zé)任。信息反饋如果您有任何寶貴意見(jiàn)，請(qǐng)反饋至：地址：深圳市南山區(qū)學(xué)苑大道1001號(hào)南山智園A1棟郵編：518055電話真也可以訪問(wèn)深信服科技股份有限公司官方網(wǎng)站：獲得最新技術(shù)、產(chǎn)品和方案信息。目錄218161.產(chǎn)品概述 583042.產(chǎn)品設(shè)計(jì)概述 622402.1.分離平面設(shè)計(jì) 6283692.2.多核并行處理技術(shù) 6104442.3.單次解析架構(gòu)處理技術(shù) 768482.4.跳躍式掃描技術(shù) 7306942.5.SangforRegex正則引擎 8203223.深信服下一代防火墻功能介紹 993043.1.防火墻基礎(chǔ)功能 9232043.1.1.鏈路聚合 94843.1.2.路由功能 9124553.1.3.網(wǎng)絡(luò)地址轉(zhuǎn)換 9281623.1.4.IPv4/IPv6雙棧 10295583.1.5.VPN功能 1069733.1.6.攻擊防范 11269913.1.7.訪問(wèn)控制 1293303.1.8.入侵防御 13245923.1.9.失陷主機(jī)檢測(cè) 1338283.1.10.病毒防護(hù) 1497293.1.11.應(yīng)用層安全防護(hù) 15232673.1.12.黑鏈檢測(cè) 15242073.1.13.三權(quán)分立 16315523.1.14.一虛多 16168953.2.防火墻技術(shù)特點(diǎn) 1770343.2.1.深度內(nèi)容檢測(cè)技術(shù) 17146793.2.2.加密賬號(hào)爆破檢測(cè)技術(shù) 1816713.2.3.NTA異常流量行為分析技術(shù) 19311203.2.4.人工智能病毒文件檢測(cè)技術(shù) 21255583.2.5.實(shí)時(shí)漏洞分析技術(shù) 2285353.2.6.WISE智能語(yǔ)義分析技術(shù) 23247143.2.7.惡意加密流量檢測(cè)技術(shù) 24137573.2.8.欺騙防御 25204563.2.9.網(wǎng)端云聯(lián)動(dòng) 26321424.典型部署場(chǎng)景 28255664.1.網(wǎng)關(guān)模式 28307484.2.網(wǎng)橋模式 29263734.2.1.單網(wǎng)橋模式 29214534.2.2.多網(wǎng)橋模式 30275474.3.旁路模式 31106684.4.雙機(jī)模式 32161854.4.1.主主模式 32119674.4.2.主備模式 33126324.5.多分支集中管控 33產(chǎn)品概述近年來(lái)，隨著互聯(lián)網(wǎng)+、業(yè)務(wù)數(shù)字化轉(zhuǎn)型的深入推進(jìn)，各行各業(yè)都在加速往互聯(lián)網(wǎng)化、數(shù)字化轉(zhuǎn)型。業(yè)務(wù)越來(lái)越多的向公眾、合作伙伴、第三方機(jī)構(gòu)等開(kāi)放，在數(shù)字化業(yè)務(wù)帶給我們高效和便捷的同時(shí)，信息暴露面的增加，網(wǎng)絡(luò)邊界的模糊化以及黑客攻擊的產(chǎn)業(yè)化使得網(wǎng)絡(luò)安全事件相較以往成指數(shù)級(jí)的增加。傳統(tǒng)防火墻基于五元組的方式對(duì)進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)流量進(jìn)行訪問(wèn)控制，基于網(wǎng)絡(luò)層特征進(jìn)行攻擊檢測(cè)與識(shí)別。由于Web2.0的普及，通過(guò)少數(shù)端口和協(xié)議的數(shù)據(jù)流量越來(lái)越多，部分應(yīng)用甚至使用非標(biāo)準(zhǔn)端口，基于端口/協(xié)議類檢測(cè)方式的安全策略不再具有有效性，缺乏對(duì)基于應(yīng)用發(fā)起的網(wǎng)絡(luò)攻擊行為的防御。2009年國(guó)外著名咨詢機(jī)構(gòu)Gartner首次提出“下一代防火墻”的概念，為了應(yīng)對(duì)當(dāng)前和未來(lái)的網(wǎng)絡(luò)安全威脅，必須將防火墻升級(jí)為“下一代防火墻”。下一代防火墻不僅具備傳統(tǒng)防火墻的功能與特點(diǎn)，同時(shí)集成應(yīng)用層安全防御技術(shù)、可視化技術(shù)和智能化技術(shù)。深信服下一代防火墻以保障用戶核心資產(chǎn)為目標(biāo)，在傳統(tǒng)防火墻的基礎(chǔ)上集成豐富的應(yīng)用層安全功能，為用戶提供L2-L7層網(wǎng)絡(luò)的全面安全防護(hù)能力，是一款能夠有效應(yīng)對(duì)傳統(tǒng)網(wǎng)絡(luò)攻擊和未知威脅攻擊的創(chuàng)新網(wǎng)絡(luò)安全產(chǎn)品。為實(shí)現(xiàn)對(duì)各類安全風(fēng)險(xiǎn)的有效防御，深信服下一代防火墻集成云端訂閱服務(wù)、機(jī)器學(xué)習(xí)和大數(shù)據(jù)分析等業(yè)內(nèi)領(lǐng)先的創(chuàng)新安全技術(shù)，增強(qiáng)組織網(wǎng)絡(luò)邊界的安全檢測(cè)與防控能力，保障網(wǎng)絡(luò)的正常運(yùn)行，實(shí)現(xiàn)業(yè)務(wù)的穩(wěn)定運(yùn)營(yíng)。產(chǎn)品底層設(shè)計(jì)防火墻通常部署在網(wǎng)絡(luò)邊界出口，是日常網(wǎng)絡(luò)安全建設(shè)最常見(jiàn)且重要的網(wǎng)絡(luò)產(chǎn)品。作為網(wǎng)絡(luò)出口的網(wǎng)關(guān)類安全產(chǎn)品，產(chǎn)品性能對(duì)于衡量業(yè)務(wù)連續(xù)性和安全性至關(guān)重要。深信服下一代防火墻采用自主研發(fā)硬件系統(tǒng)和專用防火墻軟件系統(tǒng)（深信服自主知識(shí)產(chǎn)權(quán)專用操作系統(tǒng)SangforOS），在保障高可用性的同時(shí)，提供優(yōu)異的應(yīng)用層安全防御能力，保證用戶業(yè)務(wù)的可靠性。分離平面設(shè)計(jì)深信服下一代防火墻采用專用軟件操作系統(tǒng)，將進(jìn)入網(wǎng)絡(luò)的網(wǎng)絡(luò)層和應(yīng)用層的數(shù)據(jù)處理進(jìn)行分離，在底層以應(yīng)用識(shí)別模塊為基礎(chǔ)，對(duì)所有網(wǎng)卡接收到的數(shù)據(jù)進(jìn)行有效識(shí)別，并通過(guò)抓包驅(qū)動(dòng)把待處理的應(yīng)用數(shù)據(jù)報(bào)文抓取到應(yīng)用層安全模塊。在分離平面設(shè)計(jì)架構(gòu)下，實(shí)現(xiàn)分層、獨(dú)立和并行的工作模式，保證高效可靠的數(shù)據(jù)報(bào)文處理。圖2-1軟件系統(tǒng)平面設(shè)計(jì)多核并行處理技術(shù)深信服下一代防火墻的硬件平臺(tái)采用英特爾X86多核架構(gòu)，在保障網(wǎng)絡(luò)層高轉(zhuǎn)發(fā)的同時(shí)，提供優(yōu)異的應(yīng)用層處理能力。在系統(tǒng)軟件設(shè)計(jì)層面，通過(guò)在計(jì)算指令設(shè)計(jì)上采用先進(jìn)的無(wú)鎖并行處理技術(shù)，實(shí)現(xiàn)異步并行處理，保證產(chǎn)品能夠?qū)崿F(xiàn)多流水線并行處理能力的同時(shí)，確保產(chǎn)品應(yīng)用層處理的高性能，滿足用戶日益增長(zhǎng)的業(yè)務(wù)安全性能需求。圖22多核并行處理技術(shù)單次解析架構(gòu)處理技術(shù)深信服下一代防火墻系統(tǒng)軟件采用單次解析架構(gòu)，實(shí)現(xiàn)數(shù)據(jù)報(bào)文一次解析一次匹配，有效提升應(yīng)用層處理效率。產(chǎn)品系統(tǒng)軟件架構(gòu)設(shè)計(jì)通過(guò)實(shí)現(xiàn)網(wǎng)絡(luò)層、應(yīng)用層的平面分離，將數(shù)據(jù)通過(guò)“0”拷貝技術(shù)提取到應(yīng)用平面上實(shí)現(xiàn)威脅特征的統(tǒng)一解析和統(tǒng)一檢測(cè)，減少冗余的數(shù)據(jù)包封裝，實(shí)現(xiàn)高性能的數(shù)據(jù)處理。圖23單次解析架構(gòu)跳躍式掃描技術(shù)深信服下一代防火墻利用多年積累的應(yīng)用識(shí)別技術(shù)，在系統(tǒng)軟件的內(nèi)核驅(qū)動(dòng)層面通過(guò)私有協(xié)議，將所有經(jīng)過(guò)下一代防火墻的數(shù)據(jù)包都打上應(yīng)用的標(biāo)簽。當(dāng)數(shù)據(jù)包被提取到內(nèi)容檢測(cè)平面進(jìn)行檢測(cè)時(shí)，產(chǎn)品找到對(duì)應(yīng)的應(yīng)用威脅特征標(biāo)簽，通過(guò)應(yīng)用跳躍式掃描技術(shù)跳過(guò)無(wú)關(guān)的應(yīng)用威脅檢測(cè)特征標(biāo)簽，減少無(wú)效掃描，比加快安全策略匹配速率。例如經(jīng)過(guò)防火墻的數(shù)據(jù)流量被識(shí)別為HTTP流量，那么FTPserver的相關(guān)漏洞攻擊特征便不會(huì)對(duì)系統(tǒng)造成威脅，便可以暫時(shí)跳過(guò)檢測(cè)進(jìn)行轉(zhuǎn)發(fā)，提升數(shù)據(jù)流量轉(zhuǎn)發(fā)的效率。SangforRegex正則引擎正則表達(dá)式是一種識(shí)別特定模式數(shù)據(jù)的傳統(tǒng)檢測(cè)方法，通過(guò)字符串匹配凡是檢測(cè)并判定數(shù)據(jù)流量中是否包含攻擊特征，但是業(yè)界常用的正則表達(dá)式匹配方法的速度較慢，制約防火墻產(chǎn)品的檢測(cè)與轉(zhuǎn)發(fā)速度。因此，深信服下一代防火墻產(chǎn)品采用自主研發(fā)的SangforRegex正則引擎，將正則表達(dá)式的匹配速度提高到數(shù)十倍，并達(dá)到業(yè)界領(lǐng)先水平。深信服下一代防火墻采用的SangforRegex正則引擎不僅降低CPU占用率，而且提高了深信服下一代防火墻的吞吐量，該項(xiàng)技術(shù)適用于對(duì)每秒吞吐量要求特別高的場(chǎng)景，如運(yùn)營(yíng)商、電商等。深信服下一代防火墻功能技術(shù)原理防火墻基礎(chǔ)功能深信服下一代防火墻兼容傳統(tǒng)防火墻的所有功能特性，包括交換/路由、訪問(wèn)控制，雙機(jī)熱備、抗DDoS攻擊、應(yīng)用代理、DHCP/DNS、VPN等功能。鏈路聚合鏈路聚合（LinkAggregation），是指將多個(gè)物理接口捆綁在一起，成為一個(gè)邏輯接口，以實(shí)現(xiàn)出/入流量在各成員接口中的負(fù)荷分擔(dān)。深信服下一代防火墻根據(jù)用戶配置的端口負(fù)荷分擔(dān)策略(主備、負(fù)載均衡-hash、負(fù)載均衡-RR)決定報(bào)文從哪一個(gè)成員接口發(fā)送到下一跳地址。當(dāng)交換機(jī)檢測(cè)到其中一個(gè)成員接口鏈路發(fā)生故障時(shí)，就停止在此接口上發(fā)送報(bào)文，并根據(jù)負(fù)荷分擔(dān)策略在剩下接口鏈路中重新計(jì)算報(bào)文發(fā)送的接口。故障接口恢復(fù)后會(huì)再次重新計(jì)算報(bào)文發(fā)送接口。鏈路聚合在增加鏈路帶寬（如果一個(gè)接口1G帶寬，另外一個(gè)接口也是1G帶寬，如果將這兩個(gè)接口聚合成一個(gè)邏輯接口，理論上這個(gè)邏輯接口的帶寬就是2G）實(shí)現(xiàn)鏈路傳輸彈性和冗余等方面是一項(xiàng)很高效的技術(shù)。路由功能由于用戶網(wǎng)絡(luò)復(fù)雜性，防火墻作為常用網(wǎng)絡(luò)產(chǎn)品應(yīng)該具備良好的組網(wǎng)適應(yīng)能力。深信服下一代防火墻在提供多種安全功能的同時(shí)，集成了豐富的路由功能，不僅支持靜態(tài)路由、策略路由、多播路由，同時(shí)支持BGP、RIP、OSPF等動(dòng)態(tài)路由協(xié)議，進(jìn)一步提升產(chǎn)品組網(wǎng)的靈活性。網(wǎng)絡(luò)地址轉(zhuǎn)換網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）是將IP數(shù)據(jù)報(bào)文頭中的IP地址轉(zhuǎn)換為另一個(gè)IP地址的過(guò)程。在實(shí)際應(yīng)用中，網(wǎng)絡(luò)地址轉(zhuǎn)換主要應(yīng)用在連接兩個(gè)網(wǎng)絡(luò)的網(wǎng)關(guān)產(chǎn)品上，用于實(shí)現(xiàn)允許內(nèi)部網(wǎng)絡(luò)用戶訪問(wèn)外部公共網(wǎng)絡(luò)，以及允許外部公共網(wǎng)絡(luò)訪問(wèn)部分內(nèi)部網(wǎng)絡(luò)資源（例如內(nèi)部服務(wù)器）的目的。深信服下一代防火墻支持豐富的網(wǎng)絡(luò)地址轉(zhuǎn)功能，包括支持靜態(tài)網(wǎng)絡(luò)地址轉(zhuǎn)換（StaticNAT）和動(dòng)態(tài)網(wǎng)絡(luò)地址轉(zhuǎn)換（DynamicNAT），同時(shí)產(chǎn)品支持目的地址轉(zhuǎn)換和雙向地址轉(zhuǎn)換。NATALG技術(shù)對(duì)多通道協(xié)議進(jìn)行應(yīng)用層報(bào)文信息的解析和地址轉(zhuǎn)換，將載荷中需要進(jìn)行地址轉(zhuǎn)換的IP地址和端口或者需特殊處理的字段進(jìn)行相應(yīng)的轉(zhuǎn)換和處理，為內(nèi)外部網(wǎng)絡(luò)的通信提供了基于應(yīng)用的訪問(wèn)控制。深信服下一代防火墻支持多種應(yīng)用層協(xié)議NATALG功能，包括支持FTP、、RTSP、SQLNET、PPTP、TFTP、H.323、SIP應(yīng)用協(xié)議的NAT穿越，從而保證應(yīng)用層通信的正確性。IPv4/IPv6雙棧深信服下一代防火墻支持完整的IPv4/IPv6雙棧協(xié)議，支持IPv6協(xié)議下多種網(wǎng)絡(luò)功能和安全功能，滿足日常IPv6改造要求。產(chǎn)品支持豐富的路由協(xié)議，包括靜態(tài)路由、動(dòng)態(tài)路由，滿足IPv4網(wǎng)絡(luò)與IPv6網(wǎng)絡(luò)正常訪問(wèn)通訊。同時(shí)，產(chǎn)品支持在IPv6協(xié)議下設(shè)置安全訪問(wèn)控制策略，可針對(duì)IPv6協(xié)議下的目的/源地址、目的/源服務(wù)端口、對(duì)象、服務(wù)等條件安全策略，對(duì)進(jìn)出網(wǎng)絡(luò)的IPv6深度檢測(cè)與安全控制，確保內(nèi)部網(wǎng)絡(luò)的安全性。VPN功能深信服下一代防火墻作為網(wǎng)絡(luò)邊界安全產(chǎn)品，可以支持多種VPN隧道業(yè)務(wù)，包括GRE、IPSecVPN和SSLVPN等多種類型，通過(guò)防火墻產(chǎn)品為企業(yè)單位之間建立安全可靠的VPN連接服務(wù)。GRE（GenericRoutingEncapsulation，通用路由封裝）:屬于第三層隧道協(xié)議，用來(lái)對(duì)某種協(xié)議（如IP、以太網(wǎng)）的數(shù)據(jù)報(bào)文進(jìn)行封裝，使這些被封裝的數(shù)據(jù)報(bào)文能夠在另一個(gè)網(wǎng)絡(luò)（如IP）中傳輸。封裝后的數(shù)據(jù)報(bào)文在GRE隧道中傳輸，網(wǎng)絡(luò)兩端的產(chǎn)品分別對(duì)數(shù)據(jù)報(bào)文進(jìn)行封裝及解封裝。IPsec（IPSecurity，IP安全）：是一種三層隧道加密協(xié)議，為互聯(lián)網(wǎng)上傳輸?shù)臄?shù)據(jù)提供加密傳輸服務(wù)，深信服下一代防火墻應(yīng)用IPSecVPN實(shí)現(xiàn)分支機(jī)構(gòu)與總部的建立VPN隧道，并對(duì)傳輸?shù)臄?shù)據(jù)進(jìn)行加密，結(jié)合訪問(wèn)控制列表對(duì)不同數(shù)據(jù)流建立不同安全策略，以確保數(shù)據(jù)傳輸過(guò)程的安全可靠性。SSLVPN（SecureSocketsLayer，安全套接字層）：以SSL/TSL協(xié)議為基礎(chǔ)，為用戶提供遠(yuǎn)程的安全連接服務(wù)。用戶使用內(nèi)嵌SSL協(xié)議的瀏覽器與遠(yuǎn)端的Web服務(wù)器建立安全的連接，防火墻產(chǎn)品接收到請(qǐng)求后轉(zhuǎn)發(fā)給內(nèi)網(wǎng)服務(wù)器，并將服務(wù)器的響應(yīng)內(nèi)容以網(wǎng)頁(yè)形式回傳給用戶。內(nèi)網(wǎng)請(qǐng)求信息在互聯(lián)網(wǎng)傳輸過(guò)程中經(jīng)過(guò)SSL加密隧道，為移動(dòng)用戶或者外部用戶提供安全可靠的內(nèi)網(wǎng)資源服務(wù)。SangforVPN-SDWAN選路：用戶的線路資源越來(lái)越多，既有專線線路，又有互聯(lián)網(wǎng)線路，因此針對(duì)不同WAN線路質(zhì)量部署不同類型的應(yīng)用是當(dāng)前用戶的一個(gè)核心訴求。深信服下一代防火墻SDWAN選路功能可以根據(jù)配置的選路模式和線路質(zhì)量，自動(dòng)的為應(yīng)用選擇最合適的線路。目前SDWAN選路提供四種選路模式：AutoGO智能負(fù)載選路、按指定順序選路、優(yōu)先使用質(zhì)量最優(yōu)的線路和按剩余帶寬比例負(fù)載。攻擊防范深信服下一代防火墻采用自主研發(fā)的DOS攻擊算法，可針對(duì)數(shù)據(jù)包、IP協(xié)議報(bào)文、TCP協(xié)議報(bào)文、基于HTTP協(xié)議的DoS/DDoS攻擊等各種泛洪類攻擊進(jìn)行防范，并對(duì)各種畸形報(bào)文攻擊進(jìn)行檢測(cè)，抵御各種IP地址和端口掃描等窺探攻擊。深信服下一代防火墻通過(guò)兩個(gè)檢測(cè)階段進(jìn)行DDoS的檢測(cè)和防護(hù)：圖31DoS檢測(cè)與防護(hù)1、對(duì)于業(yè)務(wù)數(shù)據(jù)第一階段進(jìn)行TCP異常包、IP選項(xiàng)攻擊、未知IP協(xié)議攻擊、IP分片攻擊、LAND攻擊、WINNUKE攻擊、SMURF攻擊、TCP選項(xiàng)攻擊、各種FLOOD攻擊（包括SYNFLOOD,ICMPFLOOD,UDPFLOOD,DNSQUERYFLOOD）等DDoS檢測(cè)。當(dāng)?shù)谝浑A段中檢測(cè)到SYN包頻率過(guò)高時(shí)，將在第二階段對(duì)TCP連接做SYNCOOKIE代理，第二階段還進(jìn)行ICMP大包攻擊(即pingofdeath)等檢測(cè)。2、對(duì)于本機(jī)（訪問(wèn)深信服下一代防火墻本身）數(shù)據(jù)，DDoS檢測(cè)模塊會(huì)在第一階段做端口掃描的檢測(cè)（SYN掃描和CONNECT掃描），包括所有的nmap掃描：FIN掃描，NULL掃描，xmastree掃描，UDP掃描，ACK掃描，MAIMON掃描，WINDOWS掃描，TCPIdle掃描。而第二階段根據(jù)第一階段的檢測(cè)結(jié)果決定是否做本機(jī)的syn代理。訪問(wèn)控制訪問(wèn)控制是防火墻產(chǎn)品最基礎(chǔ)的安全功能，通過(guò)報(bào)文的特征定義一系列的ACL策略，通過(guò)這些ACL策略可以控制通過(guò)防火墻報(bào)文。深信服下一代防火墻基于狀態(tài)檢測(cè)技術(shù)，通過(guò)安全域、IP地址、端口、協(xié)議、用戶、應(yīng)用、時(shí)間等維度對(duì)數(shù)據(jù)報(bào)文進(jìn)行深度檢測(cè)，阻斷違規(guī)數(shù)據(jù)訪問(wèn)。為簡(jiǎn)化產(chǎn)品日常運(yùn)維，產(chǎn)品應(yīng)用策略智能分析技術(shù)，對(duì)下一代防火墻產(chǎn)品已啟用的安全策略進(jìn)行深層次對(duì)比分析，判定哪些安全策略失效，在產(chǎn)品管理界面提示用戶根據(jù)建議及時(shí)調(diào)優(yōu)，避免出現(xiàn)安全策略冗余難管理的狀況，保障安全策略的有效性。入侵防御IPS（IntrusionPreventionSystem）是一種安全機(jī)制，通過(guò)分析網(wǎng)絡(luò)流量檢測(cè)僵尸、木馬、蠕蟲(chóng)等惡意威脅入侵，并通過(guò)一定的響應(yīng)方式，實(shí)時(shí)地中止入侵行為，保護(hù)企業(yè)信息系統(tǒng)和網(wǎng)絡(luò)架構(gòu)免受侵害。入侵防御實(shí)現(xiàn)機(jī)制如下：重組應(yīng)用數(shù)據(jù)數(shù)據(jù)流量進(jìn)入IPS模塊前，會(huì)先對(duì)IP分片報(bào)文重組和TCP流重組，確保應(yīng)用層數(shù)據(jù)的連續(xù)性，有效檢測(cè)逃避入侵檢測(cè)的攻擊行為。協(xié)議識(shí)別和協(xié)議解析根據(jù)內(nèi)容識(shí)別出多種應(yīng)用層協(xié)議，并根據(jù)具體協(xié)議進(jìn)行精細(xì)的解碼并深入提取報(bào)文特征進(jìn)行入侵檢測(cè)。特征匹配將解析后的報(bào)文特征和簽名進(jìn)行匹配，如果命中了簽名則進(jìn)行響應(yīng)處理。深信服下一代防火墻基于深度應(yīng)用識(shí)別技術(shù)，能夠?qū)α鹘?jīng)防火墻的數(shù)據(jù)報(bào)文進(jìn)行深度應(yīng)用層分析和檢測(cè)，通過(guò)對(duì)數(shù)據(jù)報(bào)文進(jìn)行協(xié)議分析和重組，并根據(jù)檢測(cè)結(jié)果對(duì)數(shù)據(jù)報(bào)文做出響應(yīng)動(dòng)作。深信服下一代防火墻產(chǎn)品內(nèi)置8000+主流IPS特庫(kù)，正常每?jī)芍芾懈拢卮笫录?4小時(shí)更新響應(yīng)。由于IPS攻擊檢測(cè)主要依賴攻擊特征匹配，IPS模塊檢測(cè)的精準(zhǔn)度依靠規(guī)則庫(kù)的數(shù)量和規(guī)則庫(kù)更新的及時(shí)性，這種檢測(cè)方式的劣勢(shì)是無(wú)法針對(duì)復(fù)雜漏洞、未知漏洞進(jìn)行防御。深信服自研的IPS反逃逸漏洞防御引擎在漏洞特征庫(kù)的基礎(chǔ)上，增加了行為分析檢測(cè)技術(shù)，基于攻擊泛化的漏洞覆蓋技術(shù)，從漏洞共性攻擊與利用方式，泛化出通用漏洞特征，利用最少規(guī)則檢測(cè)更多的安全漏洞的能力。同時(shí)，深信服通過(guò)與CNCERT、Googlevirustotal等十余家權(quán)威機(jī)構(gòu)的合作來(lái)實(shí)現(xiàn)共享威脅情報(bào)并接收到最全面的信息，實(shí)現(xiàn)對(duì)新型漏洞威脅的有效防御。失陷主機(jī)檢測(cè)失陷主機(jī)通常是指網(wǎng)絡(luò)攻擊者以某種方式獲得控制權(quán)的主機(jī)，在獲得控制權(quán)后，攻擊者通過(guò)建立C&C隱蔽通道并對(duì)失陷主機(jī)發(fā)送惡意指令，甚至以該主機(jī)為跳板繼續(xù)攻擊內(nèi)網(wǎng)的其他主機(jī)。另外，失陷主機(jī)往往具有無(wú)規(guī)律性、高隱蔽性的特點(diǎn)，很多入侵動(dòng)作本身難以識(shí)別或無(wú)法確認(rèn)攻擊是否成功。針對(duì)辦公網(wǎng)或者生產(chǎn)網(wǎng)場(chǎng)景中存在的失陷主機(jī)安全隱患，深信服下一代防火墻采用本地特征庫(kù)+云端NTA檢測(cè)技術(shù)準(zhǔn)確定位各種失陷主機(jī)的高危行為。深信服防火墻本地具備130萬(wàn)的僵尸網(wǎng)絡(luò)特征庫(kù)，里面包含主流惡意URL、C&CIP地址等，通過(guò)對(duì)比風(fēng)險(xiǎn)主機(jī)的非法外聯(lián)行為，確認(rèn)并定位失陷主機(jī)。由于攻擊者經(jīng)常使用惡意軟件隱秘通信檢測(cè)，包括使用DGA通信、DNS隱蔽通道通信、字典拼接通信、硬編碼通信等，增加了非法外聯(lián)行為的檢測(cè)難度。深信服下一代防火墻采用NTA異常流量行為分析引擎，基于AI+規(guī)則的閉環(huán)迭代發(fā)現(xiàn)異常流量，定位未知威脅。病毒防護(hù)深信服下一代防火墻采用流模式和啟發(fā)式文件掃描技術(shù)，并使用自研的AI殺毒引擎SAVE，可對(duì)HTTP、SMTP、POP3、IMAP、FTP、SMB等多種協(xié)議類型的近百萬(wàn)種病毒進(jìn)行查殺，包括木馬、蠕蟲(chóng)、宏病毒、腳本病毒等，同時(shí)可對(duì)多線程并發(fā)、深層次壓縮文件等進(jìn)行有效控制和查殺。應(yīng)用層安全防護(hù)隨著互聯(lián)網(wǎng)和移動(dòng)互聯(lián)網(wǎng)技術(shù)的快速發(fā)展，各類網(wǎng)站和Web應(yīng)用近年呈現(xiàn)爆發(fā)式的增長(zhǎng)，Web應(yīng)用平臺(tái)已經(jīng)在電子政務(wù)、電子商務(wù)等領(lǐng)域得到廣泛的應(yīng)用，以實(shí)現(xiàn)協(xié)同辦公和社會(huì)性網(wǎng)絡(luò)服務(wù)等目的。黑客也將注意力從以往對(duì)網(wǎng)絡(luò)服務(wù)器的攻擊逐步轉(zhuǎn)移到了對(duì)Web應(yīng)用的攻擊上。根據(jù)Gartner的調(diào)查報(bào)告顯示，信息安全攻擊有70%都是發(fā)生在Web應(yīng)用層而非網(wǎng)絡(luò)層面上，同時(shí)數(shù)據(jù)也顯示2/3的Web站點(diǎn)都相當(dāng)脆弱，易受攻擊。絕大多數(shù)企業(yè)將大量的投資花費(fèi)在網(wǎng)絡(luò)和服務(wù)器的安全上，通常在網(wǎng)絡(luò)中會(huì)部署防火墻、IPS、防病毒等安全產(chǎn)品，但是這類產(chǎn)品對(duì)于Http和Https的Web應(yīng)用層攻擊往往無(wú)法檢測(cè)，沒(méi)有從真正意義上保證Web業(yè)務(wù)本身的安全。 深信服下一代防火墻采用“規(guī)則匹配+WISE語(yǔ)義引擎”雙重檢測(cè)機(jī)制，針對(duì)攻擊者發(fā)起的應(yīng)用層攻擊行為進(jìn)行深度檢測(cè)與阻斷。產(chǎn)品內(nèi)置5000+主流應(yīng)用特征庫(kù)，每?jī)芍芾懈?，重大時(shí)期二十四小時(shí)更新，有效識(shí)別攻擊者發(fā)起的各類主流Web應(yīng)用攻擊行為。黑鏈檢測(cè)黑鏈?zhǔn)荢EO手法中相當(dāng)普遍的一種手段，是指用非正常的手段獲取的其它網(wǎng)站的反向鏈接，最常見(jiàn)的黑鏈就是通過(guò)各種網(wǎng)站程序漏洞獲取搜索引擎權(quán)重或者PR較高的網(wǎng)站的webshell，進(jìn)而在被黑網(wǎng)站上鏈接自己的網(wǎng)站。黒鏈檢測(cè)最常用的方式是使用第三方掃描工具，需要不定期來(lái)檢測(cè)網(wǎng)頁(yè)是否存在黒鏈，實(shí)時(shí)性較差。深信服下一代防火墻黑應(yīng)用動(dòng)態(tài)常態(tài)檢測(cè)技術(shù)，只要被掛黑鏈頁(yè)面出現(xiàn)訪問(wèn)行為，就可以檢測(cè)到黑鏈位置以及對(duì)應(yīng)類型。深信服下一代防火墻的黑鏈檢測(cè)功能由兩部分檢測(cè)內(nèi)容來(lái)實(shí)現(xiàn)：外鏈類型檢測(cè)對(duì)通過(guò)防火墻http流量進(jìn)行處理并提取外鏈，在產(chǎn)品內(nèi)置的URL分類庫(kù)中查詢其類型并給一定權(quán)值評(píng)分，當(dāng)總打分達(dá)到一定程度時(shí)，就認(rèn)為是掛黑鏈。關(guān)鍵詞檢測(cè)對(duì)通過(guò)防火墻http流量進(jìn)行處理，提取外鏈內(nèi)容，使用關(guān)鍵詞庫(kù)去匹配，針對(duì)不同關(guān)鍵詞給不同權(quán)值，當(dāng)總打分達(dá)到一定程度時(shí)，就認(rèn)為是掛黑鏈。當(dāng)檢測(cè)到黑鏈后，記錄黑鏈類型以及對(duì)應(yīng)的位置，高亮顯示黑鏈位置。三權(quán)分立深信服下一代防火墻針對(duì)產(chǎn)品管理員角色建立分權(quán)分立的管理員帳號(hào)機(jī)制，根據(jù)產(chǎn)品操作用戶的日常需求，分別定義了安全管理員、審計(jì)員和系統(tǒng)管理員。在實(shí)現(xiàn)安全管理、審計(jì)管理和配置管理功能分離的同時(shí),也保證了管理員權(quán)限的分離。不僅防止因?yàn)楣芾韱T權(quán)限過(guò)大所引起的安全風(fēng)險(xiǎn)，也保證已經(jīng)配置完成的訪問(wèn)控制策略不會(huì)出現(xiàn)未授權(quán)的修改，出現(xiàn)操作失誤可以保留相關(guān)審計(jì)信息。硬件一虛多深信服下一代防火墻一虛多是指在一臺(tái)物理設(shè)備上劃分出的多臺(tái)相互獨(dú)立的邏輯設(shè)備，可以從邏輯上將一臺(tái)深信服防火墻設(shè)備劃分為多個(gè)虛擬系統(tǒng)。每個(gè)虛擬系統(tǒng)相當(dāng)于一臺(tái)真實(shí)的設(shè)備，有自己的接口、地址、用戶/組、路由表項(xiàng)以及策略，在不增加成本的情況下實(shí)現(xiàn)不同業(yè)務(wù)區(qū)域流量、管理工作的隔離。主要應(yīng)用場(chǎng)景有大中型企業(yè)的網(wǎng)絡(luò)隔離、多分支接入場(chǎng)景、云計(jì)算中心安全網(wǎng)關(guān)。防火墻優(yōu)勢(shì)技術(shù)原理深度內(nèi)容檢測(cè)技術(shù)傳統(tǒng)基于ACL策略的IP包過(guò)濾技術(shù)相對(duì)簡(jiǎn)單，準(zhǔn)確率較低，在復(fù)雜應(yīng)用的場(chǎng)合數(shù)據(jù)包的過(guò)濾是無(wú)法真正檢測(cè)到威脅流量。在實(shí)際應(yīng)用中，大部分應(yīng)用協(xié)議都不采用標(biāo)準(zhǔn)的協(xié)議和端口通訊，有些采用了可協(xié)商的TCP/UDP端口來(lái)建立，因此傳統(tǒng)的L2-L7包分類機(jī)制無(wú)法實(shí)現(xiàn)基于應(yīng)用內(nèi)容的有效識(shí)別。相比傳統(tǒng)的L2-L7層應(yīng)用處理技術(shù)，深信服深度內(nèi)容檢測(cè)技術(shù)在基于流識(shí)別與應(yīng)用識(shí)別的基礎(chǔ)上，對(duì)數(shù)據(jù)包頭和包內(nèi)容進(jìn)行深度的解析。深信服結(jié)合多年對(duì)應(yīng)用的研究，將深度內(nèi)容檢測(cè)技術(shù)融合到防火墻產(chǎn)品中，通過(guò)該技術(shù)的應(yīng)用，深信服下一代防火墻具備深度內(nèi)容識(shí)別能力，能夠檢測(cè)出通過(guò)文件、數(shù)據(jù)流、標(biāo)準(zhǔn)協(xié)議等相關(guān)應(yīng)用內(nèi)容。圖32深度內(nèi)容檢測(cè)加密賬號(hào)爆破檢測(cè)技術(shù)暴力破解作為網(wǎng)絡(luò)入侵、橫向傳播階段中常見(jiàn)的攻擊手段，是指對(duì)應(yīng)用系統(tǒng)通過(guò)使用大量的認(rèn)證信息在目標(biāo)認(rèn)證接口進(jìn)行反復(fù)嘗試登錄的攻擊行為。業(yè)內(nèi)常用檢測(cè)方式主要采用基于登錄頻率的規(guī)則來(lái)識(shí)別并阻斷暴力破解攻擊，上述方式無(wú)法解決加密協(xié)議和低頻慢速暴破場(chǎng)景下的安全問(wèn)題，如RDP遠(yuǎn)程桌面登陸協(xié)議、SSH協(xié)議訪問(wèn)等。由于交互細(xì)節(jié)被加密，通過(guò)規(guī)則匹配僅能識(shí)別出采用的協(xié)議類型，無(wú)法審計(jì)是否登錄成功。攻擊者為逃避安全檢測(cè)，往往采用更加隱蔽的分布式、低頻暴破攻擊而不是傳統(tǒng)的高頻暴破攻擊，此時(shí)單IP在單位時(shí)間內(nèi)的暴破次數(shù)很可能低于預(yù)定設(shè)置的閾值，導(dǎo)致無(wú)法準(zhǔn)確定位攻擊者。深信服下一代防火墻應(yīng)用專項(xiàng)賬號(hào)暴破檢測(cè)引擎，該引擎采用創(chuàng)新的登錄狀態(tài)分析和暴破檢測(cè)算法，能夠檢測(cè)加密協(xié)議、慢速暴破以及異常登錄，及時(shí)發(fā)現(xiàn)攻擊者違規(guī)越權(quán)的網(wǎng)絡(luò)訪問(wèn)行為。其工作流程如下所示：進(jìn)行協(xié)議識(shí)別，對(duì)于加密協(xié)議，進(jìn)行加密登錄認(rèn)證狀態(tài)判定，然后進(jìn)入慢速暴破判定引擎處理，對(duì)于非加密協(xié)議，直接進(jìn)入慢速暴破判定引擎。對(duì)于加密協(xié)議采用基于多特征模型的登錄認(rèn)證狀態(tài)判定，根據(jù)會(huì)話時(shí)長(zhǎng)、協(xié)議交互、流量和工具等多維度特征，綜合判斷本次登錄是否成功。采用基于指紋的異常登錄檢測(cè)，識(shí)別非標(biāo)準(zhǔn)程序登錄、暴破攻擊登錄和漏洞攻擊登錄等異常登錄行為。識(shí)別登錄狀態(tài)后，進(jìn)入基于多尺度時(shí)間窗口序列化的慢速暴破檢測(cè)引擎，識(shí)別隱蔽的慢速暴破行為。NTA異常流量行為分析技術(shù)NTA（NetworkTrafficAnalysis）中文稱為網(wǎng)絡(luò)流量行為分析，是一個(gè)記錄，審查和分析網(wǎng)絡(luò)流量的過(guò)程，用于性能，安全性，網(wǎng)絡(luò)等的操作和管理技術(shù)。在2019年2月底，Gartner發(fā)布了針對(duì)NTA的研究報(bào)告《MarketGuideforNetworkTraffcAnalysis》，其中建議采用行為分析作為規(guī)則匹配的補(bǔ)充，同時(shí)也建議防火墻等安全產(chǎn)品融合NTA-as-a-feature作為解決方案，提升異常流量檢測(cè)的能力。在實(shí)際使用過(guò)程中，深信服將NTA作為失陷主機(jī)檢測(cè)的主要技術(shù)手段。深信服下一代防火墻本地具備130萬(wàn)主流失陷主機(jī)特征，通過(guò)特征規(guī)則匹配的方式檢測(cè)并定位已知非法外聯(lián)的失陷主機(jī)。由于攻擊者為防止非法外聯(lián)行為被發(fā)現(xiàn)，通常對(duì)C&C通信進(jìn)行加密操作，例如使用DGA隨機(jī)域名生成算法。此時(shí)，深信服防火墻通過(guò)云端威脅檢測(cè)中心中的NTA異常流程檢測(cè)引擎識(shí)別并發(fā)現(xiàn)內(nèi)網(wǎng)失陷主機(jī)的非法外聯(lián)行為。NTA異常流量行為分析引擎基于AI+規(guī)則的閉環(huán)迭代發(fā)現(xiàn)異常流量，定位未知威脅。AI算法被越來(lái)越廣泛的應(yīng)用到安全檢測(cè)中，其主要優(yōu)勢(shì)在于：（1）當(dāng)一個(gè)安全問(wèn)題需要很多條特征才能準(zhǔn)確描述時(shí)，AI算法能夠通過(guò)統(tǒng)計(jì)分析為每條規(guī)則分配合適的權(quán)重；（2）AI算法能夠提取更高層次的特征，具備很強(qiáng)的泛化能力，能夠挖掘出易被人工分析忽略的異常點(diǎn)。AI算法應(yīng)用到安全檢測(cè)領(lǐng)域最大的問(wèn)題是可解釋性比較差（特別是深度神經(jīng)網(wǎng)絡(luò)），而如何將檢出結(jié)果清晰、準(zhǔn)確的呈現(xiàn)給客戶又是安全檢測(cè)非常重要的一環(huán)。因此，單純依賴AI算法并不能很好的解決安全檢測(cè)問(wèn)題。規(guī)則加閾值的方式具有很強(qiáng)的可解釋性，卻不具備AI算法處理復(fù)雜問(wèn)題場(chǎng)景的能力以及發(fā)現(xiàn)未知異常的（泛化）能力。因此，有機(jī)的將AI與規(guī)則結(jié)合到一起，能夠?qū)⒍咝纬苫パa(bǔ)，提升檢測(cè)未知威脅的能力。下圖展示了如何有機(jī)的將AI算法與啟發(fā)式規(guī)則進(jìn)行結(jié)合，發(fā)揮安全專家與數(shù)據(jù)專家的能力，持續(xù)的發(fā)現(xiàn)未知的威脅。數(shù)據(jù)專家利用AI算法的泛化能力將潛在的威脅發(fā)掘出來(lái)，然后安全專家通過(guò)對(duì)安全問(wèn)題與場(chǎng)景的分析與理解，制定可解釋強(qiáng)的規(guī)則對(duì)威脅進(jìn)行定位。對(duì)于那些當(dāng)前規(guī)則能夠準(zhǔn)確定位的威脅，報(bào)出安全事件，對(duì)客戶進(jìn)行告警。對(duì)于那些當(dāng)前規(guī)則不能準(zhǔn)確定位的異常，則會(huì)通過(guò)運(yùn)營(yíng)反饋到安全專家那里，如果是AI算法新發(fā)現(xiàn)的異常，安全專家對(duì)規(guī)則進(jìn)行更新，從而能夠準(zhǔn)確定位出更多類型的異常行為.如果發(fā)現(xiàn)未能定位的異常是誤報(bào)（包括不能準(zhǔn)確向客戶解釋的場(chǎng)景），則會(huì)反饋給數(shù)據(jù)專家，對(duì)AI模型進(jìn)行更新，從而提升AI算法的準(zhǔn)確性。人工智能病毒文件檢測(cè)技術(shù)傳統(tǒng)的靜態(tài)病毒檢測(cè)方法主要有MD5、病毒特征碼和規(guī)則匹配這三大類。這些傳統(tǒng)技術(shù)本質(zhì)上都是對(duì)文件的字節(jié)信息進(jìn)行匹配，這導(dǎo)致他們通常無(wú)法檢測(cè)新變種、新家族等未知威脅。正是由于傳統(tǒng)病毒檢測(cè)方法存在無(wú)法調(diào)和的缺陷，深信服下一代防火墻應(yīng)用機(jī)器學(xué)習(xí)技術(shù)檢測(cè)未知病毒或新變種，提升病毒文件檢測(cè)的準(zhǔn)確率。深信服下一代防火墻采用自研殺毒引擎SAVE（人工智能惡意文件檢測(cè)引擎），該引擎利用深度學(xué)習(xí)技術(shù)對(duì)數(shù)億維的原始特征進(jìn)行分析和綜合，結(jié)合安全專家的領(lǐng)域知識(shí)，最終挑選了數(shù)千維最有效的高維特征進(jìn)行惡意文件的鑒定，相比基于病毒特征庫(kù)的傳統(tǒng)檢測(cè)引擎，SAVE的主要優(yōu)勢(shì)有：1）具備強(qiáng)大的泛化能力，甚至能夠做到在不更新模型的情況下識(shí)別新出現(xiàn)的未知病毒；2）這對(duì)威脅最高的勒索病毒檢測(cè)達(dá)到業(yè)界領(lǐng)先的檢出率，包括影響廣泛的WannaCry、BadRabbit等病毒；3）云+端聯(lián)動(dòng)，依托于深信服安全云腦基于海量大數(shù)據(jù)的運(yùn)營(yíng)分析，SAVE能夠持續(xù)進(jìn)化，不斷更新模型并提升檢測(cè)能力，從而形成本地傳統(tǒng)引擎、人工智能檢測(cè)引擎和云端查殺引擎的完美結(jié)合。SAVE的檢測(cè)過(guò)程分為本地查殺和云端查殺兩個(gè)階段。本地查殺階段會(huì)調(diào)用規(guī)則引擎，AI引擎，變形對(duì)抗引擎，數(shù)字簽名引擎。SAVE通過(guò)規(guī)則引擎快速處理已知常見(jiàn)病毒，通過(guò)AI引擎應(yīng)對(duì)新型未知攻擊，變形對(duì)抗引擎能有效處理惡意文件的免殺手段，數(shù)簽引擎可以有效處理可信白文件。云端查殺主要處理本地引擎判為可疑的文件。在用戶允許的前提下，SAVE會(huì)上傳文件的檢測(cè)特征到云端進(jìn)行更細(xì)粒度的檢測(cè)。云端部署了檢測(cè)能力更強(qiáng)同時(shí)需要更多計(jì)算資源的檢測(cè)引擎，可以對(duì)文件進(jìn)行更深入的分析，做出準(zhǔn)確判斷。SAVE引擎的檢測(cè)模型在云端（安全云腦—深信服云端安全中心）會(huì)自動(dòng)持續(xù)演進(jìn)，包括機(jī)器學(xué)習(xí)特征集更新、AI檢測(cè)模型演進(jìn)等。通過(guò)升級(jí)服務(wù)下發(fā)最新檢測(cè)模型到終端或者防火墻產(chǎn)品上，不斷提升本地防火墻的病毒檢測(cè)能力。實(shí)時(shí)漏洞分析技術(shù)深信服下一代防火墻實(shí)時(shí)漏洞分析系統(tǒng)實(shí)時(shí)旁路地檢測(cè)經(jīng)過(guò)產(chǎn)品的應(yīng)用流量，對(duì)流量進(jìn)行應(yīng)用解析，對(duì)解析后的應(yīng)用數(shù)據(jù)匹配實(shí)時(shí)漏洞分析識(shí)別庫(kù)，發(fā)現(xiàn)服務(wù)器存在漏洞。相比主動(dòng)漏洞掃描工具或者是市場(chǎng)的漏掃設(shè)備，實(shí)時(shí)漏洞分析技術(shù)的優(yōu)勢(shì)就在于能實(shí)時(shí)發(fā)現(xiàn)和跟蹤網(wǎng)絡(luò)中主機(jī)、服務(wù)和應(yīng)用存在的安全漏洞，實(shí)時(shí)分析用戶網(wǎng)絡(luò)中存在的安全問(wèn)題，且不會(huì)給網(wǎng)絡(luò)產(chǎn)生額外的流量。圖36漏洞識(shí)別WISE智能語(yǔ)義分析技術(shù) 為應(yīng)對(duì)各種高級(jí)和新型Web應(yīng)用攻擊入侵，深信服下一代防火墻采用深信服自研的WISE智能語(yǔ)義分析引擎，對(duì)訪問(wèn)流量腳本文件進(jìn)行語(yǔ)法分析，并提取相應(yīng)的語(yǔ)義特征，例如危險(xiǎn)函數(shù)調(diào)用、類聲明等信息，通過(guò)運(yùn)用語(yǔ)法樹(shù)提高特征提取的精確度，使特征提取不受注釋的干擾，輕松對(duì)抗各種變形、繞過(guò)攻擊能力強(qiáng)，相比傳統(tǒng)規(guī)則匹配，能有效降低誤報(bào)漏報(bào)，并具備未知漏洞利用攻擊的防御能力。該引擎在現(xiàn)有語(yǔ)義分析的基礎(chǔ)上，具備更強(qiáng)大、更智能的檢測(cè)能力，工作流程如下：1、通過(guò)深入分析漏洞原理，WISE智能語(yǔ)義引擎使用了高效的字符串匹配算法，過(guò)濾掉大量正常流量；2、WISE智能語(yǔ)義引擎利用內(nèi)置的多種Web語(yǔ)言的輕量級(jí)編譯器，對(duì)進(jìn)入的流量進(jìn)行詞法分析及語(yǔ)法分析，如果不符合設(shè)定語(yǔ)言的詞法或者語(yǔ)法描述，則無(wú)需再進(jìn)行下一步處理。3、利用語(yǔ)義分析技術(shù)，提取可疑的攻擊特征。若存在可疑特征，則繼續(xù)進(jìn)行虛擬執(zhí)行；4、自底向上遍歷語(yǔ)法樹(shù)，執(zhí)行可疑的操作，還原攻擊者刻意構(gòu)造隱藏的惡意代碼。惡意加密流量檢測(cè)技術(shù)加密技術(shù)為使用互聯(lián)網(wǎng)進(jìn)行在線通信和事務(wù)處理的企業(yè)提供更大的隱私和安全性，例如移動(dòng)、云和Web應(yīng)用程序依靠使用密鑰和證書(shū)來(lái)確保安全性和信任的良好實(shí)施的加密機(jī)制。然而，企業(yè)并不是唯一受益于加密的一方，攻擊者也開(kāi)始利用加密流量來(lái)逃避檢測(cè)并隱藏其惡意活動(dòng)，據(jù)估計(jì)有超過(guò)70%的惡意軟件的通信流量都采用了加密技術(shù)。當(dāng)前惡意流量檢測(cè)主流方案都是基于通信過(guò)程中的明文payload進(jìn)行關(guān)鍵字匹配、分析的手段來(lái)實(shí)現(xiàn)，出于性能和硬件資源的限制，該技術(shù)無(wú)法應(yīng)用在網(wǎng)絡(luò)安全產(chǎn)品中，并且解密流量并檢測(cè)的行為實(shí)際上違背了加密流量的初衷。 深信服下一代防火墻創(chuàng)新采用免解密技術(shù)，，在不影響流量吞吐速率的情況下對(duì)加密后的威脅流量進(jìn)行檢測(cè)與防護(hù)。產(chǎn)品內(nèi)置惡意加密流量檢測(cè)引擎，該檢測(cè)引擎主要包括AI引擎、規(guī)則引擎和異常檢測(cè)引擎等幾個(gè)子引擎，其主要工作原理如下：在AI引擎中，首先采用基于多特征模型的方法將加密流量向量化，多特征模型包括時(shí)空特征、握手特征、證書(shū)特征和域名特征等，得到高維特征后，輸入AI算法進(jìn)行訓(xùn)練，得到分類模型，幫助對(duì)加密流量進(jìn)行惡意性判定；規(guī)則引擎包括兩部分，一是基于TLS指紋的模型（JA3/JA3S/JOY/JARM等），還有一種是基于情報(bào)的規(guī)則，借助深信服威脅情報(bào)沙箱提取出的與惡意軟件加密流量相關(guān)的證書(shū)、域名和IP的情報(bào)信息，通過(guò)構(gòu)建黑白名單，對(duì)于惡意加密流量進(jìn)行準(zhǔn)確識(shí)別和分類；異常檢測(cè)引擎針對(duì)加密流量的異常特征，通過(guò)建立設(shè)備加密網(wǎng)絡(luò)行為基線，挑選出異常的、可疑的行為，如異常的網(wǎng)絡(luò)設(shè)備JA3、異常的訪問(wèn)時(shí)間和訪問(wèn)頻率、異常的上下行數(shù)據(jù)包比率、異常的證書(shū)簽發(fā)機(jī)構(gòu)等等，結(jié)合安全專家分析，無(wú)需使用規(guī)則即可檢測(cè)到正在出現(xiàn)的威脅（包括以前未知的威脅）的最早跡象。欺騙防御（云蜜罐）Gartner對(duì)欺騙偽裝技術(shù)定義為：“使用騙局或假動(dòng)作來(lái)阻撓或推翻攻擊者的認(rèn)知過(guò)程，擾亂攻擊者的自動(dòng)化工具，延遲或阻斷攻擊者的活動(dòng)，通過(guò)使用虛假的響應(yīng)、有意混淆，以假動(dòng)作、誤導(dǎo)等偽造信息達(dá)到‘欺騙’的目的?！睘閺浹a(bǔ)傳統(tǒng)防御方式的不足，快速感知未知威脅并延緩非法攻擊，深信服下一代防火墻應(yīng)用欺騙防御技術(shù)模擬真實(shí)Web服務(wù),包括常見(jiàn)的OA系統(tǒng)、文件服務(wù)、運(yùn)維服務(wù)、郵件服務(wù)等共22種具體應(yīng)用服務(wù)，在攻擊者滲透到內(nèi)網(wǎng)時(shí)混淆攻擊者視線。一旦攻擊者訪問(wèn)由防火墻自定義偽裝的業(yè)務(wù)和端口，防火墻立即將攻擊者訪問(wèn)流量引流至云端蜜罐的虛擬環(huán)境中，使攻擊者誤認(rèn)為嗅探到真實(shí)的業(yè)務(wù)系統(tǒng)，并對(duì)仿真服務(wù)和主機(jī)嘗試進(jìn)行提權(quán)等非法操作，從而延緩攻擊者的進(jìn)程。云端蜜罐對(duì)攻擊者流量進(jìn)行深度行為分析，獲取攻擊方的指紋信息、工具、手法、攻擊軌跡等，匯總形成攻擊者畫(huà)像，并準(zhǔn)確定位攻擊者真實(shí)身份，實(shí)現(xiàn)全面取證與精準(zhǔn)朔源。另一方面，云蜜罐結(jié)合防火墻聯(lián)動(dòng)實(shí)時(shí)封堵攻擊源，縮短應(yīng)急響應(yīng)時(shí)間，并將捕獲的未知威脅等數(shù)據(jù)應(yīng)用于防火墻產(chǎn)品上，提高本地防火墻的攻擊檢測(cè)能力，不斷賦能安全防御體現(xiàn)，保護(hù)現(xiàn)網(wǎng)真實(shí)資產(chǎn)安全。網(wǎng)端云聯(lián)動(dòng)近年來(lái)網(wǎng)絡(luò)安全形勢(shì)愈發(fā)嚴(yán)峻，在智能化和自動(dòng)化技術(shù)的加持下，新型網(wǎng)絡(luò)攻擊手段層出不窮，呈現(xiàn)出多樣化和雜化趨勢(shì)的演變，過(guò)去僅在網(wǎng)絡(luò)邊界部署防火墻產(chǎn)品逐漸顯得捉襟見(jiàn)肘。為打破傳統(tǒng)防火墻的靜態(tài)防御、單兵作戰(zhàn)的防御模式，全面提升邊界防御能力，深信服推出網(wǎng)端云架構(gòu)，該架構(gòu)以大數(shù)據(jù)驅(qū)動(dòng)和工智能算法為基礎(chǔ)，構(gòu)建基于網(wǎng)絡(luò)邊界、端點(diǎn)、云端的系統(tǒng)化智能協(xié)同聯(lián)動(dòng)防護(hù)體系，有效保障企業(yè)的安全成為新型安全能力建設(shè)的核心工作。深信服下一代防火墻通過(guò)融合端點(diǎn)組件EDR，聯(lián)動(dòng)EDR進(jìn)行主機(jī)終端風(fēng)險(xiǎn)分析與處置，并將防火墻產(chǎn)品識(shí)別到的惡意網(wǎng)絡(luò)行為，在終端進(jìn)程級(jí)定位與之相關(guān)的進(jìn)程文件特征，并借助云端威脅情報(bào)協(xié)助判定，針對(duì)同類型的威脅進(jìn)行智能免疫，快速簡(jiǎn)單有效的進(jìn)行響應(yīng)。在云端構(gòu)建基于SaaS模式交付的輕量級(jí)安全運(yùn)營(yíng)中心云圖，通過(guò)簡(jiǎn)單運(yùn)營(yíng)界面快速處置安全問(wèn)題，包括全局風(fēng)險(xiǎn)展示、安全設(shè)備統(tǒng)一管理，并通過(guò)微信預(yù)警機(jī)制基于移動(dòng)端將風(fēng)險(xiǎn)一鍵處置閉環(huán)。云威脅情報(bào)網(wǎng)關(guān)深信服下一代防火墻云威脅情報(bào)網(wǎng)關(guān)訂閱，利用領(lǐng)先的云端情報(bào)系統(tǒng)+大量POP點(diǎn)+云端AI智能引擎，防火墻支持未知流量實(shí)時(shí)上云檢測(cè)，100ms內(nèi)返回結(jié)果，實(shí)現(xiàn)失陷終端外聯(lián)實(shí)時(shí)檢測(cè)與攔截，有效應(yīng)對(duì)挖礦、惡意軟件、APT等新型威脅，同時(shí)針對(duì)監(jiān)管合規(guī)需求做好及時(shí)響應(yīng)，及時(shí)發(fā)現(xiàn)問(wèn)題、阻斷攻擊、溯源閉環(huán)。①100ms實(shí)時(shí)攔截的關(guān)鍵技術(shù)：（1）依托全國(guó)各地的pop云端節(jié)點(diǎn)縮短查詢鏈路和實(shí)時(shí)性，將五元組信息上報(bào)云端，通過(guò)云端pop節(jié)點(diǎn)的海量威脅情報(bào)實(shí)時(shí)查詢，實(shí)現(xiàn)實(shí)時(shí)攔截，整個(gè)過(guò)程只需要100ms，保障在不影響業(yè)務(wù)的前提下，每個(gè)流量都經(jīng)過(guò)檢測(cè)（比如友商如果一樣的遠(yuǎn)離可能他要發(fā)到總部節(jié)點(diǎn)去查詢，光是距離就很難突破100ms的瓶頸）；（2）性能損耗小，客戶性價(jià)比高：每天會(huì)和云查進(jìn)行通信的流量可能會(huì)很大，為了解決本地防火墻流量發(fā)送的性能損耗，和POP點(diǎn)流量計(jì)費(fèi)很貴的問(wèn)題，因此投入了很大精力在流量的壓縮上面解決以上困難，基于云端大數(shù)據(jù)+情報(bào)上下文+AI技術(shù)，基于訪問(wèn)時(shí)域、頻域、地域、網(wǎng)絡(luò)類型等上下文信息構(gòu)建專屬訪問(wèn)模型，生產(chǎn)過(guò)濾規(guī)則，可過(guò)濾97%+本地流量，保障防火墻性能不受損耗，降低客戶成本，性價(jià)比高。②未知威脅5min全網(wǎng)同步關(guān)鍵技術(shù)：（1）威脅情報(bào)聯(lián)動(dòng)能力，通過(guò)云端主動(dòng)探測(cè)+挖礦、黑客工具等協(xié)議特征庫(kù)，實(shí)現(xiàn)第一次未知通信即可檢測(cè)出未知威脅的失陷主機(jī)，并攔截