PDF《任子行 SURF-NGSA 下一代防火墙》

7 /

14 未知流量检测:Protocol-check 可对应用协议级别的所有流量进行分类,以便公开网络 中的任何未知流量,这些未知流量通常是恶意软件或其他威胁活动的征兆.例如,多次访问 恶意网站、使用动态 DNS 和IRC 以及其他潜在的可疑行为.结果将显示在列表中,其中包 括可能已感染的主机,可能会将这些主机作为僵尸网络的成员加以调查. ? 双栈道 IPv4 与IPv6 支持 随着IPv4地址空间的耗尽,许多公司正在迁移到IPv6,下一代互联网通信协议.IPv6彻底的 改变了IP地址的供应,从40亿IPv4地址到340万万万亿IPv6地址(2^128地址).IPv6同时也 保证了比IPv4基础之上的功能的增强包括更好的安全性、更好的地址查询、有效的路由与服 务质量.IPv6架构包括诸多功能与优势尤其有利全球化的端到端的通信. 当更多的内容与服务提供商开始转换到IPv6的地址时,公司与企业机构必须部署网络安全设 备能够提供与IPv4架构下的同等的IPv6架构的安全防御水平.有一些机制可以使只兼容IPv6 的设备与之兼容IPv4的设备与网络之间进行通信.两种最常用的是双栈道与通道机制.双栈 道更可取,因为它允许安全设备能够处理基于IPv4 与IPv6的数据包.通道机制,在另一方面, 将一个IPv6数据包包裹在IPv4数据包头中,允 许设备转发数据包但是不进行检测.这样的IPv6支持限制也意味着通道机制不能检测恶意代 码或不需要的内容,直接允许不需要的内容穿越网络. 任子行下一代防火墙加固安全平台支持双栈道架构,能够识别并分离IPv4与IPv6流量,对两 种互联网提供相同的核心网络安全技术.重要的网络与内容防御安全功能,包括路由功能, 都全部支持. ? 应用特征 任子行下一代防火墙的主要应用需求与驱动就是应用控制.为了防止数据丢失与防御新的威胁,有效控制旧有的应用以及新出现的基于互联网的应用是必需的.下一代应用控制功能必须能够检测、监控并控制应用,并在网关与终端之间管理与这些应用相关的网络流量,无论这些应用使用任何的端口与协议.另外,应用与终端用户之间需要建立关联以保证在访问应用之前能够执行安全策略.任子行研发的应用控制功能,可以基于应用分类、行为分析与终端用户关联来检测并限制网络与终端的应用.网络管理员可以对运行于下一代网络与终端的应用定义并执行相应的策略,实现对基于web2.0应用的细粒度的管理与控制?应用控制列表网络管理员可以通过防火墙策略中的应用控制列表管理各种应用程序.另外,管理员还可以创建多个应用控制列表,对每个列表配置一套允许、屏蔽或对列8/14 表中有关的流量进行控制的动作与策略.应用控制的白名单适合用于有着较高安全系数的网络,例如只允许在该应用列表中的流量通过网关.另一方面,应用控制的黑名单是指屏蔽列表中全部所列应?应用控制粒度应用控制功能也可以识别来自单个社交网站的多个应用.流量控制可以限制一些应用的网络带宽,优先其他应用.?应用流量控制应用流量控制功能允许管理员管理所有的应用或某一应用列表中的单个应用,从而限制或保证网络带宽.流量控制也可以配置应用使用的时效性,以限制用户访问或某时间段的可用带宽.?应用监控报告应用监控与报告功能是指收集应用流量信息并通过可视化的趋势图显示,管理员可以快速获得网络中应用的使用情况.也可以从几个不同类型的应用列表中选择几项,按地区显示使用信息.默认的可视图可用于快速分析.?应用控制数据包日志应用控制数据包日志功能将应用产生的网络数据包进行日志管理与额外的分析.?终端应用控制应用控制列表也可以同时应用到终端安全策略.另外,终端的应用使用也可以通过个人防火墙加以控制.?入侵防御系统(IPS) 大范围的更新与补丁需要升级与维护,下一代网络的管理与维护是复杂而耗时的事情.每一次漏洞补丁的发布,大型企业的网络得花费数周甚至一个月的时间去更新修复所有受影响的系统.任子行下一代防火墙设备中的IPS系统可以提供网络中已知漏洞防御或 零日漏洞 的更新服务,使未修复的系统免于攻击.........