深信服AF除了能實現(xiàn)等同于傳統(tǒng)防火墻的訪問控制功能之外還能實現(xiàn)基于應(yīng)用及地域的訪問控制，幫助用戶更好的進行精細(xì)控制。

地域訪問控制主要是通過對訪問者的IP地址進行歸屬地判斷，判斷所屬國家或地區(qū)是否能夠?qū)I(yè)務(wù)進行訪問。SANGFOR AF內(nèi)置了一個全球的IP地址庫，并定期更新。地址庫由三部分組成：黑名單、白名單和全球地址庫，用戶可以在WEBUI上對此地址庫配置黑白名單和IP歸屬地糾錯。

一、訪問者的IP首先會根據(jù)IP黑名單進行匹配，如果此IP是黑名單的IP則直接拒絕訪問；

二、根據(jù)IP白名單進行匹配，如果此IP是白名單的IP則直接允許訪問；

三、如果不在黑白名單中，則通過IP地址庫進行匹配，得出此IP的歸屬地（那個國家或地區(qū)），然后根據(jù)用戶配置的此國家或是地區(qū)的訪問策略進行拒絕或允許訪問。

聚焦于如何保護資產(chǎn)在事中攻擊過程中不被入侵成功.黃浦區(qū)常規(guī)下一代防火墻管理系統(tǒng)

深信服下一代防火墻構(gòu)筑在64位多核并發(fā)，高速硬件平臺之上，采用自主研發(fā)的并行操作系統(tǒng)（Sangfor OS），將轉(zhuǎn)發(fā)平面、安全平面并行運行在多核平臺上。多平面并發(fā)處理，緊密協(xié)作，極大的提升了網(wǎng)絡(luò)數(shù)據(jù)包的安全處理性能。

  控制平面

負(fù)責(zé)整個系統(tǒng)各平面、各模塊間的監(jiān)控和協(xié)調(diào)工作，此平面包括配置存儲、配置下發(fā)、控制臺UI、數(shù)據(jù)中心等功能。

 轉(zhuǎn)發(fā)平面

負(fù)責(zé)網(wǎng)絡(luò)數(shù)據(jù)包的高速轉(zhuǎn)發(fā)，此平面包括路由子系統(tǒng)、網(wǎng)橋子系統(tǒng)、鄰居系統(tǒng)、VPN、NAT、撥號等功能。

事中攻擊防御**準(zhǔn)確-SAVE安全智能檢測引擎

在惡意攻擊防治層面，深信服**性的推出了自己的安全檢測引擎，基于人工智能的無特征技術(shù)，傳統(tǒng)的殺毒軟件依賴于非常厚重的攻擊庫，只有完全匹配攻擊特征后才能將其查殺，但是這種手段的泛化能力為0，也就是說對于未知及新型的惡意勒索攻擊無法有效應(yīng)對；深信服通過多方位應(yīng)用AI技術(shù)，通過攻擊特征的聚類分析，基于已知的離散特征，基于數(shù)據(jù)泛化技術(shù)，可以準(zhǔn)確檢測未知/新型勒索攻擊；

其中Bad Rabbit就是我們通過原有的攻擊查殺模型發(fā)現(xiàn)的新型勒索攻擊，并且將其有效查殺；

右側(cè)是我們和其他廠商或者開源的殺毒引擎做的對比，我們的攻擊檢出率是比較高的，誤報率在同級別檢出率的情況下是比較低的；

實時漏洞分析采用的是旁路檢測技術(shù)，即將待檢測的數(shù)據(jù)包鏡像一份到待檢測隊列，檢測進程對檢測的數(shù)據(jù)包進行掃描檢測，對原有數(shù)據(jù)包的轉(zhuǎn)發(fā)不會造成任何性能影響。

實時漏洞分析所使用的漏洞特征庫由深信服北京研究中心安全**針對目前較新的軟件、系統(tǒng)等漏洞提取特征，形成庫并快速的更新到AF設(shè)備，保證識別出網(wǎng)絡(luò)中出現(xiàn)的較新漏洞。

深信服AF通過三個維度實現(xiàn)了策略有效性檢測：

?   通過監(jiān)測流量進行發(fā)現(xiàn)，判定是否對設(shè)備與業(yè)務(wù)系統(tǒng)之間進行了策略配置實現(xiàn)檢測、防御、響應(yīng)；

?   通過策略的對比檢查，發(fā)現(xiàn)是否存在無效策略、策略重復(fù)、策略配置不當(dāng)?shù)葐栴}；

?   通過規(guī)則庫的版本檢測，高危0day預(yù)警是否開啟等方式判定設(shè)備是否具備新威脅的防御能力。

基于傳統(tǒng)多產(chǎn)品的組合方案使大多數(shù)用戶沒有辦法進行統(tǒng)一分析.

全程保護，讓安全更有效

融合安全是一個全過程的保護，通過分析業(yè)務(wù)整個生命周期各個階段可能遇到的安全風(fēng)險，將防御這些安全風(fēng)險的防護技術(shù)手段融合在一起：從業(yè)務(wù)上線開始，幫助用戶自動識別業(yè)務(wù)中新增資產(chǎn)，并評估現(xiàn)有資產(chǎn)是否存在安全風(fēng)險，現(xiàn)有資產(chǎn)是否都部署了有效的安全策略；用戶根據(jù)已經(jīng)掌握的業(yè)務(wù)風(fēng)險情況，對現(xiàn)有安全策略進行持續(xù)加固和優(yōu)化，保障策略的有效性；對繞過安全防線的攻擊和新型威脅進行持續(xù)檢測和分析,并快速處置響應(yīng)，這樣就形成一個安全動態(tài)閉環(huán)，為業(yè)務(wù)提供一個全過程的保護體系，讓我們的安全更有效。 可以主動分析經(jīng)過設(shè)備的業(yè)務(wù)流量中存在的風(fēng)險并實時展示出來。黃浦區(qū)常規(guī)下一代防火墻管理系統(tǒng)

有幾種設(shè)備就可以防護幾種攻擊.黃浦區(qū)常規(guī)下一代防火墻管理系統(tǒng)

傳統(tǒng)防火墻的訪問控制或者流量管理粒度粗放，只能基于IP/端口號對數(shù)據(jù)流量進行一刀切式的禁止或允許。深信服下一代防火墻基于龐大的應(yīng)用和用戶識別能力，對數(shù)據(jù)流量和訪問來源進行精細(xì)化辨識和分類，使得用戶可以輕易從同一個端口協(xié)議的數(shù)據(jù)流量中辨識出任意多種不同的應(yīng)用，或從無意無序的IP地址中辨識出有意義的用戶身份信息，從而針對識別出的應(yīng)用和用戶施加細(xì)粒度、有區(qū)別的訪問控制策略、流量管理策略和安全掃描策略，保障了用戶**直接、準(zhǔn)確、精細(xì)的管理愿望和控制訴求。

例如：允許HTTP網(wǎng)頁訪問順利進行，并且保證高訪問帶寬，但是不允許同樣基于HTTP協(xié)議的視頻流量通過；允許通過QQ進行即時通訊，但是不允許通過QQ傳輸文件；允許郵件傳輸，但需要進行防攻擊和敏感信息過濾，如發(fā)現(xiàn)有攻擊入侵或泄密事件馬上阻斷，等等。 黃浦區(qū)常規(guī)下一代防火墻管理系統(tǒng)

上海黑象信息科技有限公司屬于商務(wù)服務(wù)的高新企業(yè)，技術(shù)力量雄厚。公司致力于為客戶提供安全、質(zhì)量有保證的良好產(chǎn)品及服務(wù)，是一家有限責(zé)任公司（自然）企業(yè)。以滿足顧客要求為己任；以顧客永遠(yuǎn)滿意為標(biāo)準(zhǔn)；以保持行業(yè)優(yōu)先為目標(biāo)，提供***的技術(shù)開發(fā)，技術(shù)轉(zhuǎn)讓，技術(shù)咨詢，技術(shù)服務(wù)。黑象將以真誠的服務(wù)、創(chuàng)新的理念、***的產(chǎn)品，為彼此贏得全新的未來！