深信服防火墙差异优势说明.pdf

深信服下一代防火墙高校数据中心差异优势 深信服下一代防火墙高校数据中心差异优势  支持对不同部门的业务流量进行实时流量分析，发现存在的漏洞威胁，并对发现漏洞次数最多的服务器进行排 名，分析攻击类型，详情以及建议方案。 背景：对于高校用户来说，目前事先发现自身业务漏洞的方式只能借助漏洞扫描设备，而漏扫设备存在两个不 足，一是扫描时发出的攻击包可能影响正常业务开展；二是扫描都是阶段性、分批次的，无法实时监控所有业 务系统的动态漏洞信息；一旦出现0day ，响应还是不够及时；同时由于托管了很多二级学院及部门系统，需要 分别分析分别处理，因此需要针对每个系统/ 部门生成单独的报表，包括系统存在哪些漏洞、外部如何攻击他的， 哪些攻击真正有效等。 价值：深信服可以提供一种更加高效的解决方案，通过对业务流的全流量分析，能够提供被动式［不主动发包， 不影响业务］的7*24 小时业务漏洞检测手段，帮助用户更好的对可能存在对风险进行预警。 1 深信服下一代防火墙高校数据中心差异优势  支持异常流量检测功能，能够区分正常业务流量和潜藏在其中的危险流量。能够有效识别RDP （3389 ）、SSH （22 ）、 FTP （20 ，21 ）、 DNS （53 ）、 HTTP （80 ）、HTTS （443 ）、SMTP （25 ）、POP3 （110 ）等常见应用，常用 2 深信服下一代防火墙高校数据中心差异优势 端口中的未知应用，可疑流量，能区分出占用这些正常应用的合法端口的危险行为。 背景：目标对象被黑客控制后，会在后端被开放一些端口进行数据的通信，而为了绕过安全设备的检测，黑客 往往会采用一些知名端口来进行数据通信，所以如何能够识别知名端口是否跑了未知应用，已知应用跑在非标 准端口就成了事后防护的主要检测手段； 价值：可检测知名端口是否跑了未知流量，已知应用是否运行在非标准端口，提供异常流量检测预警。  支持ASP ，JSP ，PHP 语言编写的Webshell 文件上传检测，支持对已被上传Webshell 服务器的检测（单独检测工 具）。 背景：Webshell 是黑客进行Web 入侵常用的脚本工具，通常情况下是一个ASP 、PHP 或者JSP 程序页面，也叫 作网站后门木马，在入侵一个网站后，常常将这些木马放置在服务器WEB 目录中，与正常网页混在一起。通过 Webshell 长期操纵和控制受害者网站； 价值：深信服可针对 Webshell 文件上传提供事前和事后全面的解决方案，内置独立的语义解析引擎结合常见 Webshell 后门特征规则，使得深信服的Webshell 后门识别率达到99% 以上。针对疑似被植入Webshell 后门的服 务器，深信服也具备事后检测工具，一键解决安全隐患。 3 深信服下一代防火墙高校数据中心差异优势  支持僵尸网络检测，僵尸主机识别特征在25 万条以上。 背景：高校是僵尸网络高发区，僵尸网络将攻击源从一个转化为多个，乃至一个庞大的网络体系，通过网络来 控制受感染的系统，同时不断地造成网络危害，如更快地传播蠕虫、短时间内窃取大量敏感信息、抢占系统资 源进行非法目的牟利、发起大范围的DDoS 攻击等，受控网络的存在，给危害追踪和损失抑制带来巨大的麻烦； 价值：通过僵尸网络行为分析和特征识别相结合，可识别并阻断内网安全域中疑似中了病毒木马的僵尸主机， 内置云安全检测技术，针对未知可疑风险上报云端虚拟沙盒执行并下发分析结果报告，有效防止主机访问非法 恶意链接导致中招。