深度应用识别

深度应用识别

随着网络的发展,网络应用不断丰富,大量应用建立在HTTP等基础协议基之上,或者端口号随机产生,或者采用诸如SSL的加密方式来隐藏内容。此时IP地址不等于用户,协议端口号不等于应用,数据包不等于行为。传统包过滤、状态监测防火墙无法彻底识别网络应用,纽盾深度识别防火墙可以进行深度使用识别防护,解决上述问题。 

防火墙一方面可以阻止来自因特网的、对受保护网络的未授权访问,另一方面允许内部网络用户对因特网进行访问。回顾发展历程, 目前防火墙经历了包过滤防火墙和状态检测防火墙两个发展阶段。包过滤防火墙实现了对IP数据包的过滤。由于防火墙只是工作在网络层和传输层,因此对数据所携带的内容没有任何检查,无法检测来自应用层的攻击行为,无法避免伪造数据包的恶意攻击。随后出现的状态检测防火墙实现了对数据包连接状态的监控。状态监测对每一个包的检查不仅根据规则表,更考虑了数据包是否符合会话所处的状态。状态检测防火墙通过检查报文的协议类型和端口号等信息,来监控基于连接的应用 层协议。因此只能识别粗粒度的来自应用层的攻击行为,另外也无法针对数据内容做检查。 

综上所述,原有防火墙可实现包过滤,状态检测和粗粒度的应用防护。然而随着网络的发展,网络应用不断丰富。大量应用会建立在HTTP等基础协议之上,或者端口号随机产生,或者采用诸如SSL的加密方式来隐藏内容。此时IP地址不等于用户,协议端口号不等于应用,数据包不等于行为。防火墙应有足够的性能和扩展性来应对这种变化,纽盾深度识别防火墙集先进的软硬件技术于一身,完全能够应对我们当前所面临的问题。 

深度应用安全 

可对P2P、IM(即时通讯)、游戏、办公软件以及基于SIP、H.323、HTTP等协议的应用进行控制。识别的应用多达几百种,而且跟随着应用的发展每天都在增加。应用特征库可独立升级,不影响系统的稳定性。 

采用交叉检测(Cross Inspection)技术不仅对协议进行深度的分析,交叉检测技术通过综合分析用户(User)状态,应用(Application)状态和行为(Behavior)状态,来确认协议的真正含义,实现更精准和更快速的定位。 

可对敏感文件类型、关键字、URL链接地址、JAVA和Active X插件进行限制。 


安全可视化 

基于身份和角色的管理(RBNS)让网络配置更加直观和精细化。不同的用户甚至同一用户在不同的地点或时间都可以有不同的管理策略。用户访问的内容也可以记录在本机存储模块或专用服务器中,通过用户的名称审阅相关记录使查找更简单。 

基于角色的管理模式主要包含基于“人”的访问控制、基于“人”的网络资源(服务)的分配、基于”人“的日志审计三大方面。基于角色的管理模式可以通过对访问者身份审核和确认,确定访问者的访问权限,分配相应的网络资源。在技术上可避免IP盗用或者PC终端被盗用引发的数据泄露等问题。 

SOA(Service-Oriented Architecture,面向服务架构)是一个面向服务的架构模型,它将应用程序的不同功能单元——服务(service),通过服务间定义良好的接口和契约(contract)联系起来。接口采用中立的方式定义,独立于具体实现服务的硬件平台、操作系统和编程语言,使得构建在这样的系统中的服务可以使用统一和标准的方式进行通信。SOA与大多数通用的客户端/服务器模型的不同之处,在于它着重强调软件组件的松散耦合,并使用独立的标准接口。

 


分享到: 

暂无评论

    链路负载均衡

    链路负载均衡

    由于跨不同运营商链路访问时,存在很多的问题,如延时大、丢包率高而导致客户体验不好。因此越来越多的企业,通过链路负载均衡技术来改善用户的访问体验,提高网络带宽资源利用率。

    负载均衡技术主要分为出站负载均衡和入站负载均衡技术。 


    1. 纽盾链路负载均衡技术 

    1.1 传统出站链路负载均衡技术 
    ● 等价多径路由:内网访问外网情况下,当路由表中存在多条到达同一目的IP或网段的路由,且路由管理距离相同时,系统可基于五元组、源IP地址或源IP地址+目的IP地址进行选路。 
    ● ISP路由:系统预置ISP网段地址信息,内网访问外网时,系统跟据目的地址的 ISP 归属确定下一跳。 

    使用传统的链路负载均衡技术需要静态配置选路原则以及提前预置ISP路由表,且ISP路由表需要定期更新,增加了管理难度;同时传统链路负载均衡技术虽能达到负载分担的效果,但用户体验差,网络利用率提升效果不明显。针对该问题,纽盾推出智能链路负载均衡技术(出站动态探测、入站SmartDNS),在弥补传统链路负载均衡技术不足的同时,进一步提高了链路的利用率,提升了用户的访问体验。 

    1.2 智能链路负载均衡技术 — 出站动态探测 
    内网和外网之间存在多条链路时,通过纽盾安全网关的出站动态探测功能,内网访问的流量可以在多条链路上实现智能分担。 

    当内网用户向外网目标地址首次发起访问时,系统对只匹配到缺省路由的流量在符合条件的各条链路上进行探测,对响应相对快速的接口生成静态路由,后续报文将直接按照路由转发不再探测;如果生成的静态路由在一定时间内不被命中,则自动老化。 

    1.3 智能链路负载均衡技术 — 入站SmartDNS    
    内网和外网之间存在多条链路时,通过纽盾安全网关的入站SmartDNS功能,外网访问的流量可以在多条链路上实现智能分担。 


    2. 典型应用   

    2.1 企业内网Web服务区应用(入站SmartDNS)   
    国内ISP数量众多且互相访问时速度差异很大,企业为提高访问效率,通常会租用多条ISP链路。然而,当远程办公人员通过多条链路访问企业内网资源时,由于访问地点的差异性,尽管有多条链路提供服务,依然存在流量负载分担不均、链路资源利用率低下的问题。将纽盾安全网关部署在企业网络出口,可通过入站负载均衡技术将流量合理分配到各条链路,从而极大提升链路利用效率和外网用户访问企业内网Web应用服务的体验。

     


    分享到: 

    暂无评论

      IPv6过渡技术

      IPv6过渡技术

      随着互联网的迅速发展,IP地址的需求爆发式增长, IPv4面临着的地址匮乏的问题。应对IPv4地址短缺,IPv6是解决问题的根本手段。但如何在IPv4地址枯竭前完成从IPv4向IPv6的平滑演进, 是很多企业和运营商十分关心的问题。Hillstone的IPv6解决方案以IPv4/IPv6双栈、NAT转换技术、隧道技术为主,为用户提供了一整套同时承载IPv4、IPv6业务,并逐渐从IPv4到IPv6演进的解决方案。 

      IPv4/IPv6双栈 

      IPv4向IPv6过渡过程中,企业或运营商内部可能遇到IPv4网络和IPv6网络互访的场景。Hillstone支持NAT64/NAT46技术,提供相邻的两个IPv4和IPv6网络流量相互访问的解决方案。 

      NAT64/DNS64 

      IPv4向IPv6过渡过程中,企业或运营商用户可能遇到纯IPv6客户端访问互联网纯IPv4服务的场景。Hillstone支持NAT64/DNS64技术,提供IPv6客户端访问IPv4服务的解决方案。 

      IPv6 in IPv4隧道 

      IPv4向IPv6过渡过程中,企业或运营商可能会遇到纯IPv6分支局域网通过IPv4广域网互联的问题。Hillstone支持IPv6 in IPv4隧道技术,将IPv6流量封装在IPv4隧道内,提供各纯IPv6分支局域网之间通过IPv4广域网互联的解决方案。 

      IPv4 in IPv6隧道(DS-Lite) 

      IPv4向IPv6过渡过程中,企业或运营商可能会遇到纯IPv4分支局域网通过IPv6广域网互联的问题。Hillstone支持IPv4 in IPv6隧道技术(DS-Lite),将IPv4流量封装在IPv6隧道内,提供各纯IPv4分支局域网之间通过IPv6广域网互联的解决方案。

       


      分享到: 

      暂无评论

        高可靠组网

        高可靠组网

        为了解决单台设备部署时的单点故障,纽盾推出了系列高可靠性组网解决方案,主要包括AP模式和AA模式。 设备AP模式工作时,一台设备工作在主,一台设备工作在备,其可以适应任何网络拓扑。 设备AA模式部署时,两台设备均处于Active状态。一般来说,AA方案对客户周边网络的依赖性比较高。 
         

        单机部署存在单点故障风险    

        单台设备部署时,无论其可靠性多高,系统都必然要承受因单点故障而导致网络业务中断的风险。而且防火墙部署在互联网出口一般主要使用网络地址转换(NAT)功能,因此无法使用Bypass来解决单点故障问题。 

         

        高可靠组网工作模式    

        AP模式    
        两台设备(工作在透明模式或者路由模式)配置成一个"HA组",一台作为主设备,另一台作为备份设备。主设备处于活动状态,转发报文,同时将其所有网络和配置信息以及当前会话信息传递给备份设备。当主设备出现设备或链路故障时,备份设备接替主设备工作,转发报文。这种主备模式具有较强冗余性,而且其网络结构简单,便于维护管理。 

        AA模式    
        两台设备(工作在透明模式或者路由模式)配置成两个"HA组",一台在HA组0中作为主设备,在HA组1中作为备份设备;另一台在HA组0中作为备份设备,在HA组1中作为主设备。两台设备同时运行各自的工作,且相互监测对方的情况。当其中一台设备发生设备或链路故障时,另外一台设备运行其自身的工作并且接管故障设备的工作,以保证工作不间断。这种双主模式具有高性能以及负载均衡的优点。 

        典型应用场景    

        企业互联网出口    
        防火墙通常作为网关部署在企业的互联网出口,网络地址转换(NAT)是必须的功能。一般来说企业网络内网用户和服务数量不多,为便于维护,内网用户和服务都希望配置相同的网关地址,因此建议选择两台防火墙AP模式部署。 

        运营商IDC网络出口    
        防火墙通常不作为网关部署在运营商IDC的网络出口,也不需要做网络地址转换。由于运营商IDC具有业务多、数据流量大的特点,一般网关交换机都选择负载分担模式,同时也选择两台防火墙AA模式部署。内网服务是否需要划分多部分,分别配置不同的网关地址,由交换机网关的负载分担机制来决定。跟企业数据中心不同的是,运营商IDC组网中还需考虑内部业务间互访控制的问题,因此纽盾给出如下两台防火墙旁挂在IDC核心交换机上的解决方案。

         


        分享到: 

        暂无评论

          攻击防护技术

          攻击防护技术

          1. 概述 

          1.1 背景介绍 
          随着Internet的迅速扩张和电子商务的兴起,越来越多的企业以及政府部门依靠网络传递信息,然而网络的开放性和共享性使得各种网络攻击防不胜防,尤其是拒绝服务攻击直接破坏网络服务的可用性导致网络服务异常甚至中断。因此,作为网络安全设备的安全网关必须具备攻击防护功能,用以检测各种类型的网络攻击,并采取相应的措施来保护内部网络免受恶意攻击,保证内部网络及系统正常运行。 

          1.2 技术特色 
          纽盾安全网关的攻击防护功能采用最优化的攻击识别算法,在最大化降低攻击防护功能对安全网关性能影响的同时提高了攻击识别的准确性。纽盾安全网关的攻击防护功能具有高可扩展性,能够快速应对各种新攻击。在用户交互层面,系统把抽象的攻击防护技术通过直观易懂的语言呈现在页面上,方便用户理解与使用。 

          纽盾安全网关能够检测的攻击类型主要包括各种Flood攻击、扫描欺骗攻击、协议异常攻击以及其他拒绝服务攻击。 


          2. 攻击防护实现的技术特点 

          2.1 攻击防护功能覆盖范围广泛 
          纽盾 安全网关包含针对当前常见主流网络攻击行为的防护功能: 
          ● 各种Flood攻击:SYN Flood攻击、ICMP Flood、UDP Flood、DNS Query Flood 
          ● 各种扫描或欺骗攻击:IP地址欺骗、ARP欺骗、IP地址扫描、端口扫描等 
          ● 畸形报文攻击:Ping of Death、Teardrop、IP分片、IP选项、TCP选项、Land、ICMP大包、攻击 
          ● 反射式攻击:Smurf、Fraggle 


          2.2 基于域的攻击防护 
          纽盾安全网关的攻击防护攻击是基于域实现的,即在设备在每个安全域上提供所有攻击防护功能,用户可根据组网在不同安全域上有针对性的开启攻击防护功能,配置简单、灵活、有效。 

          2.3 可视化的攻击监控 
          ● 提供TOP10攻击的实时监控趋势图和统计信息 
          ● 提供TOP10攻击的指定时间段的监控趋势图和统计信息 
          ● 提供基于攻击名、攻击源以及攻击目的的详细攻击统计信息 


          2.4 丰富统一的审计日志 
          纽盾安全网关提供丰富详细的攻击防护日志信息,用户可通过设备管理界面、邮件、日志服务器以及短信等多种方式查看相关日志信息。

           


          分享到: 

          暂无评论
            技术解决方案,上海纽盾科技股份有限公司-用纽盾,过等保,纽盾成立于2009年3月,总部位于上海市杨浦区国权北路湾谷国家科技园1688号。纽盾科技是一家以“安全”为标识,以“科技源自生活,纽盾服务社会”为核心经营理念,以网络安全产品的研发、生产、销售、售后服务为主营业务的专业公司,为用户提供安全产品、安全服务以及智慧城市整体解决方案。

            技术解决方案-上海纽盾科技股份有限公司-用纽盾,过等保

            技术解决方案,上海纽盾科技股份有限公司-用纽盾,过等保