方案模版-深信服全網(wǎng)安全監(jiān)測(cè)解決方案

深信服全網(wǎng)安全監(jiān)測(cè)解決方案模板深信服科技股份有限公司20XX年XX月XX日.應(yīng)用背景在當(dāng)前互聯(lián)網(wǎng)的浪潮下，日益成熟的網(wǎng)絡(luò)基礎(chǔ)建設(shè)和互聯(lián)網(wǎng)豐富的資源大大提高了人類的生產(chǎn)力和生產(chǎn)效率，各組織業(yè)務(wù)得以持續(xù)、快速、高效的發(fā)展。然而無(wú)處不在的網(wǎng)絡(luò)帶給人類發(fā)展便利的同時(shí)，也隨之帶來(lái)了諸多的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。互聯(lián)網(wǎng)出口承載著內(nèi)部所有用戶的上網(wǎng)需求，首當(dāng)其沖承受著最直接的安全威脅，因此在該區(qū)域部署相匹配的安全防護(hù)手段必不可少。.需求分析基礎(chǔ)需求用戶訪問(wèn)無(wú)控制，安全不可控在廣域網(wǎng)環(huán)境下分支機(jī)構(gòu)的各類用戶對(duì)互聯(lián)網(wǎng)或數(shù)據(jù)數(shù)據(jù)中心經(jīng)常僅具有一部分的訪問(wèn)權(quán)限，而在實(shí)際網(wǎng)絡(luò)中因僅僅解決了基礎(chǔ)網(wǎng)絡(luò)的使用，導(dǎo)致很多用戶可以對(duì)互聯(lián)網(wǎng)或數(shù)據(jù)中心隨意進(jìn)行訪問(wèn)。最終使得各分支與總部沒(méi)有實(shí)現(xiàn)有效的邊界訪問(wèn)控制，無(wú)法對(duì)用戶的訪問(wèn)行為進(jìn)行有效的管理與審計(jì)。無(wú)用數(shù)據(jù)占用帶寬，影響業(yè)務(wù)運(yùn)行在用戶訪問(wèn)互聯(lián)網(wǎng)或數(shù)據(jù)中心時(shí)，經(jīng)常會(huì)產(chǎn)生大量的非關(guān)鍵業(yè)務(wù)流量或垃圾流量占用有限的寬帶資源。這樣的情況嚴(yán)重了影響關(guān)鍵業(yè)務(wù)的正常運(yùn)行，那么我們應(yīng)該如何保證數(shù)據(jù)流在廣域網(wǎng)中按業(yè)務(wù)的重要程度進(jìn)行不同優(yōu)先級(jí)的調(diào)度？安全需求網(wǎng)絡(luò)欺詐泛濫，員工遭受損失互聯(lián)網(wǎng)發(fā)展越來(lái)越快，人們對(duì)互聯(lián)網(wǎng)的依賴性越來(lái)越強(qiáng)，網(wǎng)上購(gòu)物、數(shù)據(jù)存儲(chǔ)、信息查詢等等業(yè)務(wù)應(yīng)用不斷向互聯(lián)網(wǎng)端遷移，這也使得了攻擊者可以通過(guò)互聯(lián)網(wǎng)獲取想要的一切。而隨著越累越多的黑客察覺(jué)到了其中的利益后，各種釣魚網(wǎng)站、網(wǎng)絡(luò)欺詐便開始變得層出不窮。網(wǎng)絡(luò)欺詐的泛濫直接導(dǎo)致了各類用戶的經(jīng)濟(jì)損失、數(shù)據(jù)泄露，而各分支機(jī)構(gòu)往往安全防護(hù)薄弱、員工安全意識(shí)低，最終致使網(wǎng)絡(luò)欺詐行為屢獲成功。僵木蠕隱蔽性強(qiáng)，終端大量失陷大量的網(wǎng)絡(luò)攻擊往往都是通過(guò)僵木蠕的傳播來(lái)實(shí)現(xiàn)的，而對(duì)于分支機(jī)構(gòu)的終端來(lái)說(shuō)從互聯(lián)網(wǎng)端下載的參考資料、辦公軟件等數(shù)據(jù)便是主要的威脅來(lái)源。為了更易感染終端，僵木蠕等惡意流量往往與參考資料、辦公軟件等進(jìn)行捆綁，誘導(dǎo)用戶下載執(zhí)行從而感染終端實(shí)現(xiàn)后續(xù)目的，而分支機(jī)構(gòu)邊界的薄弱也就促成了惡意流量在整個(gè)廣域網(wǎng)中肆意泛濫。缺乏持續(xù)檢測(cè)，失陷主機(jī)成為攻擊跳板當(dāng)終端感染僵木蠕之后，往往會(huì)被攻擊者控制成為僵尸主機(jī)或攻擊跳板，此類失陷主機(jī)也是進(jìn)行APT攻擊或更加深入攻擊的首要條件。失陷主機(jī)在網(wǎng)絡(luò)中往往隱藏很深，可能通過(guò)多種途徑實(shí)現(xiàn)傳播感染或?qū)ν馔ㄓ?，最終達(dá)到破壞竊取等目的。而現(xiàn)有的網(wǎng)絡(luò)中，哪怕存在了一定的邊界防護(hù)設(shè)備，也很難發(fā)現(xiàn)失陷主機(jī)。主要原因便是失陷主機(jī)行為利用了大多數(shù)防護(hù)設(shè)備的邏輯漏洞，最終導(dǎo)致失陷主機(jī)在網(wǎng)絡(luò)中成為萬(wàn)惡之源。管理需求安全狀況無(wú)法快速查看，缺乏全網(wǎng)了解在廣域網(wǎng)環(huán)境下，分支網(wǎng)絡(luò)的安全狀況往往無(wú)法讓運(yùn)維人員統(tǒng)一快速的查看，這也造成了很多問(wèn)題由于發(fā)現(xiàn)不及時(shí)造成處理延誤，也會(huì)帶來(lái)更大的損失。同時(shí)各分支機(jī)構(gòu)碎片化的數(shù)據(jù)，也導(dǎo)致了運(yùn)維人員無(wú)法有效的了解到全網(wǎng)的安全狀況，無(wú)法對(duì)廣域網(wǎng)整體進(jìn)行安全分析做不到全局的把控，這些問(wèn)題都是我們對(duì)安全狀況缺乏了解造成的。分支機(jī)構(gòu)安全不便管理，風(fēng)險(xiǎn)不可控缺乏統(tǒng)一管理大量的分支機(jī)構(gòu)往往會(huì)給運(yùn)維工作帶來(lái)繁重的工作量，每一個(gè)分支都需要進(jìn)行單獨(dú)的配置即影響工作效率，又十分耗費(fèi)人力。無(wú)法獨(dú)立運(yùn)營(yíng)分支機(jī)構(gòu)的運(yùn)維人員往往是其他崗位人員的兼職，或是同時(shí)兼顧網(wǎng)絡(luò)、安全、系統(tǒng)、應(yīng)用等多方面的工作，在安全能力方面缺乏專業(yè)知識(shí)，對(duì)于安全設(shè)備的運(yùn)維工作往往力不從心。.深信服解決方案在分支環(huán)境下，為了滿足以上大量的基礎(chǔ)需求、安全需求及管理需求往往需要幾類安全設(shè)備并結(jié)合統(tǒng)一管理的方式來(lái)實(shí)現(xiàn)，這樣的網(wǎng)絡(luò)架構(gòu)對(duì)于分支來(lái)說(shuō)同樣會(huì)增加管理難度和采購(gòu)費(fèi)用。深信服解決方案依靠下一代防火墻獨(dú)特的融合安全的能力為用戶在分支邊界提供簡(jiǎn)單有效的解決方案，在實(shí)現(xiàn)各項(xiàng)需求的同時(shí)降低管理難度及采購(gòu)成本?；诳蛻羟闆r添加拓?fù)涿枋鼋ㄔO(shè)后拓?fù)渫晟苹A(chǔ)網(wǎng)絡(luò)精細(xì)化訪問(wèn)控制，安全可管可控在各分支機(jī)構(gòu)的邊界，深信服下一代防火墻通過(guò)對(duì)各類用戶權(quán)限的區(qū)分，各分支機(jī)構(gòu)的不同訪問(wèn)需求，可以進(jìn)行精確的訪問(wèn)控制。通過(guò)對(duì)終端用戶、分支機(jī)構(gòu)不同的權(quán)限劃分保障網(wǎng)絡(luò)受控有序的運(yùn)行。在此可添加基于用戶情況的訪問(wèn)關(guān)系描述。通過(guò)對(duì)全網(wǎng)進(jìn)行訪問(wèn)控制、明確權(quán)限劃分可以避免越權(quán)訪問(wèn)、非法訪問(wèn)等情況發(fā)生，減少安全事件發(fā)生概率。智能流量管理，保障業(yè)務(wù)暢通為保障關(guān)鍵業(yè)務(wù)正常運(yùn)營(yíng)，同時(shí)讓分支用戶能夠有更好的上網(wǎng)體驗(yàn)，深信服下一代防火墻能幫助管理者透徹了解組織當(dāng)前、歷史帶寬資源使用情況，并據(jù)此制定帶寬管理策略，驗(yàn)證策略有效性。不但可以在工作時(shí)間保障核心用戶、核心業(yè)務(wù)所需帶寬，限制無(wú)關(guān)業(yè)務(wù)對(duì)資源的占用，亦可以在帶寬空閑時(shí)實(shí)現(xiàn)動(dòng)態(tài)分配，以實(shí)現(xiàn)資源的充分利用?；诓煌瑫r(shí)間段、不同對(duì)象、不同應(yīng)用的管道式流控，能有效保障用戶的上網(wǎng)體驗(yàn)，保障網(wǎng)絡(luò)的穩(wěn)定性?；谀康腎P基于子接口基于VLAN網(wǎng)絡(luò)訪問(wèn)全程保護(hù)對(duì)于現(xiàn)今的網(wǎng)絡(luò)安全防護(hù)，如果僅僅依靠單項(xiàng)單類別的防護(hù)方式很難實(shí)現(xiàn)完整的防御效果。為了更好的進(jìn)行整體安全防護(hù)，通過(guò)對(duì)用戶對(duì)互聯(lián)網(wǎng)的訪問(wèn)行為進(jìn)行分析，并結(jié)合現(xiàn)行的攻擊方式針對(duì)用戶與互聯(lián)網(wǎng)數(shù)據(jù)包的交互過(guò)程進(jìn)行了全程保護(hù)。Internet①封堵網(wǎng)箍訪問(wèn)②阻斷惡意流■量Internet①封堵網(wǎng)箍訪問(wèn)②阻斷惡意流■量③發(fā)現(xiàn)失陷主機(jī)封堵風(fēng)險(xiǎn)訪問(wèn)，避免損失風(fēng)險(xiǎn)訪問(wèn)往往是終端安全的第一道關(guān)卡，在互聯(lián)網(wǎng)訪問(wèn)的過(guò)程中訪問(wèn)一個(gè)有風(fēng)險(xiǎn)的網(wǎng)站可能帶來(lái)的風(fēng)險(xiǎn)不僅是單次的經(jīng)濟(jì)損失，也可能導(dǎo)致終端受控造成更大損失的根本原因，所以封堵終端的風(fēng)險(xiǎn)訪問(wèn)便可以有效的降低終端安全風(fēng)險(xiǎn)。深信服建立了業(yè)內(nèi)領(lǐng)先的大數(shù)據(jù)威脅情報(bào)分析平臺(tái)，該平臺(tái)匯集了國(guó)內(nèi)外多個(gè)安全機(jī)構(gòu)的的威脅情報(bào)數(shù)據(jù)，通過(guò)自主研發(fā)的數(shù)據(jù)清洗技術(shù)，形成高效準(zhǔn)確的

威脅情報(bào)庫(kù)。其情報(bào)來(lái)源如下:國(guó)內(nèi)外數(shù)十個(gè)知名的安全機(jī)構(gòu)，如： CNVD、CNNVD、Virustotal>Threatcloud、Malware、Abuse等；深信服在線的近萬(wàn)臺(tái)安全設(shè)備上報(bào)的安全威脅情報(bào)；深信服安全云檢測(cè)平臺(tái)、安全服務(wù)團(tuán)隊(duì)監(jiān)測(cè)獲得的海量威脅情報(bào)；其中，僅從Virustotal一家安全機(jī)構(gòu)，每天可以獲取20G以上的威脅情報(bào)。通過(guò)海量的威脅情報(bào)，能夠更加精準(zhǔn)的發(fā)現(xiàn)威脅，更好的保護(hù)終端上網(wǎng)安全。說(shuō)明：?失陷主機(jī)惡意域名通過(guò)海量的威脅情報(bào)，能夠更加精準(zhǔn)的發(fā)現(xiàn)威脅，更好的保護(hù)終端上網(wǎng)安全。說(shuō)明：?失陷主機(jī)惡意域名惡意URL￡反。服務(wù)■器IP3.2.2.僵木蠕一次清理,保障終端安全對(duì)于現(xiàn)行網(wǎng)絡(luò)中的惡意流量，深信服下一代防火墻也可以實(shí)現(xiàn)有效阻斷，通過(guò)阻斷惡意流量的下載避免終端受控，減少分支機(jī)構(gòu)中僵木蠕泛濫、主機(jī)失陷的風(fēng)險(xiǎn)。已知威脅深信服下一代防火墻采用流模式和啟發(fā)式文件掃描技術(shù)，可對(duì)HTTP、SMTP、POP3、FTP等多種協(xié)議類型的近百萬(wàn)種病毒進(jìn)行查殺，包括木馬、蠕蟲、宏病毒、腳本病毒等，同時(shí)可對(duì)多線程并發(fā)、深層次壓縮文件等進(jìn)行有效控制和查殺。

HTTP上速HTTPT栽每■議解新引箏殺毒引拿FTP上傳戰(zhàn)冷附件下就郵埠時(shí)件上傳任務(wù)分?jǐn)肋M(jìn)程HTTP由狀解折引擎航件協(xié)議解析引堂(SMTP/POP3)FTP協(xié)波解析引總鳥笛學(xué)習(xí)病者岸HTTP上速HTTPT栽每■議解新引箏殺毒引拿FTP上傳戰(zhàn)冷附件下就郵埠時(shí)件上傳任務(wù)分?jǐn)肋M(jìn)程HTTP由狀解折引擎航件協(xié)議解析引堂(SMTP/POP3)FTP協(xié)波解析引總鳥笛學(xué)習(xí)病者岸病尋聲親毒進(jìn)程K舉毒進(jìn)程】殺毒懸程3殺毒進(jìn)程2殺牽進(jìn)程口未知威脅深信服下一代防火墻可以與云端沙盒進(jìn)行聯(lián)動(dòng)，在發(fā)現(xiàn)未知威脅時(shí)可將流量實(shí)時(shí)上報(bào)到云端，通過(guò)云端沙盒進(jìn)行虛擬運(yùn)營(yíng)檢測(cè)沙盒的環(huán)境變化來(lái)實(shí)現(xiàn)未知威脅的識(shí)別。在沙箱環(huán)境下，通過(guò)預(yù)定義的環(huán)境對(duì)未知流量進(jìn)行虛擬運(yùn)行，沙盒會(huì)監(jiān)控CPU/內(nèi)存變化、注冊(cè)表變化、網(wǎng)絡(luò)連接行為、程序異常改動(dòng)等情況來(lái)進(jìn)行整體分析并提供分析結(jié)果進(jìn)行最終結(jié)果的確認(rèn)，然后再將策略下發(fā)到下一代防火墻進(jìn)行更新實(shí)現(xiàn)阻斷。同時(shí)每一臺(tái)在線設(shè)備收集的未知威脅的特征結(jié)果也會(huì)同步到其他在線設(shè)備上，實(shí)現(xiàn)所有設(shè)備的威脅情報(bào)共享。K現(xiàn)朝I- WlH32jRBmnlt.AI 威物等扭直行知轆-鯉□日云安全分所.曲史曾存在寢毒！這是一個(gè)木馬病盂,謝底赤感單用戶電J垢?危 骨雕在后臺(tái)運(yùn)行i往往辟1用戶1ft和遺盜.賺號(hào)密碼妻失.亂彈廣告好危哈步安例說(shuō) 1防黃地西黃開啟叩網(wǎng)弟抬刮羽能『升牌圖呆廬的PBOO到^怖』圖2客尸有PC安裝正版曲由軟件并開目實(shí)時(shí)更斯.如果已殳中指,請(qǐng)及時(shí)最愚進(jìn)程攥作行為思述: 曳睚進(jìn)程制口信息二 ^FrograniFileB.%'Jnt&fnetExptofeNEXPLORE.EX.E^DFio3rafnFlleB%^nternfftExplor*rB'jeKplDre.es(e,,C.Vsarr(alf!S',1sampleSrvexec 白M皆自mplEKrv.esce乜ProgrKmFi店S■a\Mitr口芽｝心口*SkTOpL弭Er.巴直￡'￥PrCigemFi曰笈VM詢旭SdrfPQESfciQpLa*!Sxfip行為暗述, 與遠(yuǎn)程進(jìn)程內(nèi)存附加信息 %Progr8ffiFile3.%^es3en解燈浙鄧;ae'JPrug陌EFilBE%WMwmnaWMv?arg丁口口后如舊皿meney51bjuRg磔號(hào)丁田xpk?Bf黃5評(píng)1削《1=1(＞破淪。￥3日mflN^niaeM^^yalejnR^^^syiTemaztonlmeene%S*ifrmFk心優(yōu)運(yùn)yate哂口心n而3.Rke3.2.3.異常行為持續(xù)檢測(cè)，根除安全隱患分支機(jī)構(gòu)的環(huán)境下往往缺乏管理制度，所以威脅可能來(lái)自多個(gè)層面，僅僅依靠邊界防御有時(shí)并不能防御所有的風(fēng)險(xiǎn)，仍然可能由于移動(dòng)介質(zhì)、電腦私用等問(wèn)題為局域網(wǎng)帶來(lái)安全風(fēng)險(xiǎn)。為了避免此類問(wèn)題的發(fā)生、避免更大的損失，盡早發(fā)現(xiàn)此類失陷主機(jī)的異常行為，盡早排除隱患就成為了第一要?jiǎng)?wù)。深信服下一代防火墻在分支機(jī)構(gòu)出口的部署，可以快速有效的發(fā)現(xiàn)局域網(wǎng)環(huán)境下失陷主機(jī)的異常行為，通過(guò)多個(gè)維度的分析精準(zhǔn)定位問(wèn)題。同時(shí)依照行為的異常級(jí)別對(duì)失陷主機(jī)進(jìn)行分級(jí)分類，幫助運(yùn)維人員快速了解原因便可基于自身情況進(jìn)行問(wèn)題處理。

豆鼻冷主機(jī)號(hào)卻（劇識(shí)昭主機(jī)下所■■F網(wǎng)辛tfl湖加flfjg知踴第哥此即生機(jī)產(chǎn)寰度m定義E破屋眼主明國(guó)現(xiàn)出了盜果鼻JS軟件由副喧行為?OOHfi與己切EH仕件關(guān)口洶風(fēng).地名.】哦U_與重先遢性，同時(shí)小無(wú)題也景偏也己?6幫胸抵口的主機(jī)月汴與己如￡意歆件關(guān)q葩UHL地名.1哦U_藥這先遢值，井口生UJE在占道面同出主機(jī)內(nèi)密￡感文件Hfl與口制&J5就件為室制也.超昌.」口1上語(yǔ)素行曲:統(tǒng)祖史陰可靛減法量破性陰柞遍風(fēng)而犢韓門￡市展出用揖1陽(yáng)由上也■嘛可提性：離中面用由出丁國(guó)嗯套母膿件的鬲可"r吁訴:?月右對(duì)撲發(fā)起口口05或市行為的王機(jī)，嗓青鳳曷再出衽魚飛翡。丑K黛名片為史］主仁糧晚潮出壽在己斯二ftKfi-5期的il￡歌身4精任的主M.前端贊而泅出存在*IfEtE時(shí)呼rk的王忙只在5.碉國(guó)DG陽(yáng)破生:皮筆電專力加生4L或皆月行就上出行反精立母汗力明主機(jī)卷;染可能性：中主勒鼠司口田理由3件人設(shè)但債卡員不比初喊柴曲桿為■月由下M總苴卻也行文坤?足總P。「或并馬理其善行方的主機(jī).但蛀無(wú)艮戶感嚷的疊世盤右下版跣尊客徐克即行雌￥內(nèi)［如文性.后朝|比文件聚K的.舊是無(wú)用戶質(zhì),濾疊感,句性性：睡工明題蛻出丁顯就￡號(hào)也仲四但可1E在嚀*.主Mil在隹網(wǎng)可乾利:我總收件用性溺口曲簟的門霜期去軸次U，期值￡踽蜜，生帆方同：Sl咻達(dá)總3件也￡怏ft■的埠都尸樓湖之丁?？诩登渲灯淦渖蠙C(jī)或香羯勺店間的X.畸號(hào)罟后者網(wǎng)站成卻件行用的上S雙勢(shì)慢曲在干標(biāo)盤由443爆n3.3.全網(wǎng)可視，簡(jiǎn)化管理數(shù)據(jù)集中分析，大屏清晰展示為了避免廣域網(wǎng)環(huán)境下運(yùn)維人員無(wú)法快速了解整體安全狀況帶來(lái)更大的安全風(fēng)險(xiǎn)，深信服提供了全網(wǎng)安全態(tài)勢(shì)感知的解決方案，通過(guò)對(duì)各分支機(jī)構(gòu)的數(shù)據(jù)進(jìn)行收集分析，在總部進(jìn)行全面的數(shù)據(jù)展示。運(yùn)維人員可以通過(guò)風(fēng)險(xiǎn)排名、地圖定位快速發(fā)現(xiàn)存在安全隱患的區(qū)域，并且可以通過(guò)全網(wǎng)安全事件的趨勢(shì)變化進(jìn)行相應(yīng)的處理工作，避免問(wèn)題發(fā)現(xiàn)滯后導(dǎo)致的損失。全網(wǎng)統(tǒng)一管理，分支獨(dú)立運(yùn)營(yíng)在廣域網(wǎng)環(huán)境下，整體策略的統(tǒng)一配置更新、各分支的精細(xì)化處理一直是最需要解決的問(wèn)題，也是最基礎(chǔ)的問(wèn)題。深信服通過(guò)sc可以實(shí)現(xiàn)所有分支邊界的下一代防火墻的統(tǒng)一管控，對(duì)于策略的更新部署可以在總部快速有效的進(jìn)行。而對(duì)于分支機(jī)構(gòu)運(yùn)維人員對(duì)安全設(shè)備可能存在的不精通、不了解等問(wèn)題也有相應(yīng)的解決方案。我們通過(guò)每臺(tái)下一代防火墻的運(yùn)營(yíng)中心，可以有效的幫助分支機(jī)構(gòu)的運(yùn)維人員處理自身的安全事件，同時(shí)根據(jù)自身情況基于自動(dòng)化的策略生成溜t'°B-J-進(jìn)行策略的更新。量.二1?.'u-16中箴翻料1255??凌■78城川7溜t'°B-J-進(jìn)行策略的更新。量.二1?.'u-16中箴翻料1255??凌■78城川7"■.dt"■aXflBUkfi-E-:快。11夸2)姓央盼F珊！! 寧卜cr-t捅我擊啦靜??；根心it旁E?■防在粕曲北唱L『I慶5：.隊(duì)ulwM獨(dú)擊 文件包含旗充32/3L L/1 6 L/3 UR? .交主事忤4.核心價(jià)值全程保護(hù)對(duì)于過(guò)往的安全防護(hù)體系來(lái)說(shuō)，如果需要實(shí)現(xiàn)對(duì)攻擊行為的全面防護(hù)需要大量的設(shè)備疊加，同時(shí)需要輔以人工的參與來(lái)進(jìn)行實(shí)現(xiàn)。而這樣的方式由于分支機(jī)構(gòu)的運(yùn)維人員缺乏，顯然很難在廣域網(wǎng)環(huán)境下實(shí)