深信服EMM技术白皮书-沙箱

1背景随着互联网技术的不断发展，网站系统成为了政务公开的门户和企事业单位互联网业务的窗口，在“政务公开”、“互联网+”等变革发展中承担重要角色，具备较高的资产价值。

但是另一方面，由于黑客攻击行为变得自动化和高级化，也导致了网站系统极易成为黑客攻击目标，造成篡改网页、业务瘫痪、网页钓鱼等一系列问题。

其安全问题受到了国家的高度关注。

近年来国家相关部门针对网站尤其是政府网站组织了多次安全检查，并推出了一系列政策文件。

据权威调研机构数据显示，近年来，中国网站遭受篡改攻击呈增长态势。

其中2018 年，我国境内被篡改的网站数量达到13.7万次，15.6万个网站曾遭到CC攻击。

2018年共有6116个境外IP地址承载了93136个针对我国境内网站的仿冒页面。

中国反钓鱼网站联盟共处理钓鱼网站51198个，平均每月处理钓鱼网站4266个。

同时，随着贸易战形势的不断严峻，境外机构针对我国政府网站的攻击力度也不断的加强，尤其是在重要活动期间，政府网站的安全防护成为了重中之重。

为了帮助企业级客户及政府机构保障网站的安全，解决网站被攻陷、网页被篡改、加强重要活动期间的网站安全防护能力，深信服云盾提供持续性的安全防护保障，同时由云端专家进行7*24小时的值守服务，帮助客户识别安全风险，提供高级攻防对抗的能力，有效应对各种攻击行为。

2产品体系架构深信服利用云计算技术融合评估、防护、监测和响应四个模块，打造由安全专家驱动，围绕业务生命周期，深入黑客攻击过程的自适应安全防护平台，帮助用户代管业务安全问题，交付全程可视的安全服务。

客户端无需硬件部署或软件安装，只需将DNS映射至云盾的CNAME别名地址即可。

全程专家参与和值守，为用户提供托管式安全防护。

安全防护设施部署在深信服安全云平台上，安全策略的配置和调优由深信服安全专家进行，用户仅需要将用户访问的流量牵引至深信服安全云。

所有的部署和运维工作全部由深信服安全专家在云上完成，更简单，更安全，更省心。

第1章SANGFOR SSL-VPN技术特点1.1更安全的SSL VPNSANGFOR SSL VPN身份认证安全、终端访问安全、数据传输安全、权限划分安全、应用访问审计安全五大安全体系，由头至尾保证整个SSL VPN接入访问的安全性。

1.1.1身份认证安全1.1.1.1多种方式混合认证许多部署在局域网内重要的应用都是采用最简单的用户名密码进行验证。

使用单一用户名密码进行验证存在帐号密码遭人盗用而导致越权访问的问题，尤其对于重要的应用系统如财务、客户信息等限定在特定部门、特定人员访问的核心系统，一旦遭遇用户名密码被盗窃，其后果所造成的威胁将是不可估量的。

SANGFOR SSL VPN支持多种认证方式的多因素组合认证，除了最基本的用户名密码认证之外，还支持LDAP/AD、Radius、CA等第三方认证，支持USB KEY、硬件特征码、短信认证（短信猫和短信网关）、动态令牌卡等加强认证方式。

单一的认证方式容易被暴力破解，为了进一步提高身份认证的安全性，深信服创新性提出混合认证，针对以上认证方式可以进行多因素的“与”、“或”组合认证。

“与”组合认证可实现多达5种以上认证方式的捆绑，必须同时满足才能够接入SSL VPN系统。

“或”组合认证可对于以上几种认证方式进行或组合，只要通过一种认证方式即可接入到SSL VPN 系统中。

通过多因素组合认证大大加强认证安全的强度，确保接入SSL VPN的用户的身份的确认性。

1.1.1.2USB KEY认证SANGFOR SSL VPN支持基于数字证书的USB KEY认证，将CA中心生成的数字证书颁发给USB KEY，并为该USB KEY设置PIN码。

通过硬件存储数字证书+PIN码的方式保证提供用户高安全的认证方式。

同时，SANGFOR SSL VPN支持无驱USB KEY认证，客户端无需安装驱动即可使用USB KEY进行登录认证，大大提高了客户端使用的易用性。

USB DKEY可同时支持SSL VPN、IPSec VPN移动客户端两套系统，安全方便。

深信服VDS桌面云一体机技术白皮书目录第1章背景介绍 (1)第2章传统桌面云的选购困扰 (1)2.1采购成本高 (1)2.1.1独立存储价格昂贵 (1)2.1.2组合方案，成本叠加 (2)2.2部署周期长 (2)2.3售后服务责任不明确 (2)第3章深信服桌面云一体机VDS (2)3.1桌面云一体机概述 (2)3.2桌面云一体机预装组件介绍 (3)第4章产品技术亮点解析 (4)4.1分布式架构 (4)4.2SSD缓存优化 (5)4.3多副本机制 (5)4.4横向堆叠 (6)4.5数据自动均衡 (6)第5章深信服桌面云一体机方案优势 (6)第6章桌面云一体机规格说明 (8)第1章背景介绍自2006年，Google首席执行官埃里克·施密特在搜索引擎大会首次提出“云计算”(Cloud Computing)的概念，至今已经将近10年的时间，而桌面虚拟化也一直是IT界的热点。

随着技术的积淀，云计算逐渐从概念转换为应用。

早在多年前，就有国际厂商推出桌面虚拟化方案，但没没有得到广泛部署使用，根据IDC的报告，桌面虚拟化在企业的渗透率目前还不到10%。

Gartner分析报告指出，成本问题是制约桌面虚拟化在市场上大规模推广的主要因素之一。

桌面虚拟化整体项目包含软件、硬件和服务。

其中硬件部分又包括服务器、存储、瘦终端等设备。

硬件成本，尤其是存储部分，占据整个桌面虚拟化项目60%以上的资金投入。

为降低桌面虚拟化整体方案的总体成本，深信服继2013年推出一站式桌面云方案后，于2015年推出桌面云一体机VDS，通过虚拟存储技术，将多台服务器上的所有硬盘组成一个大的存储池，提供低成本、高性能的存储方案，保障云桌面的高可用性和数据安全性。

第2章传统桌面云的选购困扰2.1采购成本高2.1.1独立存储价格昂贵传统桌面云方案一般需要配置独立存储，用于存放桌面虚拟化所需的所有数据，并且保证在服务器宕机后，迁移到其他服务器，用户依然可以正常访问数据，桌面业务不中断。

深信服超融合架构技术白皮书深信服科技有限公司修订记录深信服超融合架构技术白皮书文档密级：内部第1章、前言 (8)1.1IT时代的变革 (8)1.2白皮书总览 (9)第2章、深信服超融合技术架构 (11)1.1超融合架构概述 (11)1.1.1超融合架构的定义 (11)1.2深信服超融合架构组成模块 (11)1.2.1.1系统总体架构 (11)1.2.1.2aSV计算虚拟化平台 (12)1.2.1.2.1概述 (12)1.2.1.2.2aSV技术原理 (13)1.2.1.2.2.1aSV的Hypervisor架构 (14)1.2.1.2.2.2Hypervisor虚拟化实现 (17)1.2.1.2.3aSV的技术特性 (25)1.2.1.2.3.1内存NUMA技术 (25)1.2.1.2.3.2SR-IOV (26)1.2.1.2.3.3Faik-raid (27)1.2.1.2.3.4虚拟机生命周期管理 (28)1.2.1.2.3.5虚拟交换机 (29)1.2.1.2.3.6动态资源调度 (30)1.2.1.2.4aSV的特色技术 (30)1.2.1.2.4.1快虚 (30)1.2.1.2.4.2虚拟机热迁移 (31)1.2.1.2.4.3虚拟磁盘加密 (32)1.2.1.2.4.4虚拟机的HA (33)1.2.1.2.4.5多USB映射 (33)1.2.1.3aSAN存储虚拟化 (35)1.2.1.3.1存储虚拟化概述 (35)1.2.1.3.1.1虚拟后对存储带来的挑战 (35)1.2.1.3.1.2分布式存储技术的发展 (35)1.2.1.3.1.3深信服aSAN概述 (36)1.2.1.3.2aSAN技术原理 (36)1.2.1.3.2.1主机管理 (36)1.2.1.3.2.2文件副本 (37)1.2.1.3.2.3磁盘管理 (38)1.2.1.3.2.4SSD读缓存原理 (39)1.2.1.3.2.5SSD写缓存原理 (45)1.2.1.3.2.6磁盘故障处理机制 (49)1.2.1.3.3深信服aSAN功能特性 (60)1.2.1.3.3.1存储精简配置 (60)1.2.1.3.3.2aSAN私网链路聚合 (61)1.2.1.3.3.3数据一致性检查 (61)1.2.1.4aNet网络虚拟化 (61)1.2.1.4.1网络虚拟化概述 (61)1.2.1.4.2aNET网络虚拟化技术原理 (62)1.2.1.4.2.1SDN (62)1.2.1.4.2.2NFV (63)1.2.1.4.2.3aNet底层的实现 (64)1.2.1.4.3功能特性 (68)1.2.1.4.3.1aSW分布式虚拟交换机 (68)1.2.1.4.3.2aRouter (68)1.2.1.4.3.3vAF (69)1.2.1.4.3.4vAD (69)1.2.1.4.4深信服aNet的特色技术 (69)1.2.1.4.4.1网络探测功能 (69)1.2.1.4.4.2全网流量可视 (70)1.2.1.4.4.3所画即所得业务逻辑拓扑 (70)1.2.2深信服超融合架构产品介绍 (71)1.2.2.1产品概述 (71)1.2.2.2产品定位 (71)第3章、深信服超融合架构带来的核心价值 (73)1.1可靠性： (73)1.2安全性 (73)1.3灵活弹性 (73)1.4易操作性 (73)第4章、超融合架构最佳实践 (74)第1章、前言1.1 IT时代的变革20 世纪90 年代，随着Windows 的广泛使用及Linux 服务器操作系统的出现奠定了x86服务器的行业标准地位，然而x86 服务器部署的增长带来了新的IT 基础架构和运作难题，包括：基础架构利用率低、物理基础架构成本日益攀升、IT 管理成本不断提高以及对关键应用故障和灾难保护不足等问题。

SSL VPN V4.1 技术白皮书目录第1章序言 (1)第2章SANGFOR SSL VPN网关简介 (3)第3章SANGFOR SSL VPN网关技术 (5)3.1更快的SSL VPN (5)3.1.1多线路智能选路解决您的网络延迟问题 (5)3.1.2多线路带宽叠加技术，扩大出口带宽 (6)3.1.3HTP技术，提高无线和恶劣环境下的访问速度 (7)3.1.4动态压缩技术，全面提高传输速度 (8)3.1.5基于Web的压缩技术，进一步提高传输效率 (8)3.1.6强大的硬件加速卡，更快的SSL处理速度 (8)3.2更安全的SSL VPN (8)3.2.1集成多种认证方式 (8)3.2.2混合认证 (8)3.2.3动态身份认证提供多重保证 (9)3.2.4内置的CA中心提供完整认证体系 (11)3.2.5与LDAP（AD）结合 (11)3.2.6与Radius结合 (12)3.2.7与第三CA结合 (12)3.2.8开放数据接口提供二次开发 (12)3.2.9与其他第三方认证系统结合，保护前期投资 (13)3.2.10图形码验证功能 (13)3.2.11软键盘功能 (13)3.2.12会话超时控制功能 (13)3.2.13全面的密码安全保障 (14)3.2.14客户端安全检查从端点开始保障您的网络安全 (14)3.2.15强化的网络防护－VPN虚拟专线功能 (14)3.2.16零痕迹访问功能避免安全漏洞 (15)3.2.17真正的SSL 协议加密传输 (15)3.2.18访问权限控制功能提供最细致的权限管理 (16)3.2.19完善的日志系统 (16)3.2.20丰富的日志信息 (17)3.2.21强大的实时监控能力 (17)3.2.22集成企业级状态防火墙 (17)3.3更好用的SSL VPN (18)3.3.1能支持您的所有网络应用 (18)3.3.2B/S正则替换，全面适应各种平台 (19)3.3.3提供IPSec/SSL一体化选择 (19)3.3.4配置向导简化管理员的操作过程 (20)3.3.5隐藏服务模式 (20)3.3.6支持动态IP (20)3.3.7管理员分级分权限管理 (21)3.3.8定制登录界面功能 (21)3.3.9单点登录功能（SSO） (21)3.3.10移动终端设备的完美支持 (22)3.3.11内网DNS支持 (22)3.3.12多虚拟IP池支持 (22)3.3.13User权限下正常访问 (22)3.3.14默认服务页面 (23)3.3.15系统托盘 (23)3.3.16全网资源 (23)3.4更稳定的SSL VPN (23)3.4.1支持动态IP (23)3.4.2多线路技术实现线路备份，保证VPN线路稳定 (24)3.4.3双机热备，保证VPN网络稳定性 (24)3.4.4自动恢复，提高网络适应能力 (25)3.4.5集群功能，满足大并发接入 (25)第4章SANGFOR SSL VPN网关网络和系统结构 (25)4.1路由模式部署 (25)4.2单臂模式部署 (26)4.3双机热备原理 (26)4.4客户端登录和使用界面 (27)4.4.1缺省登录界面 (27)4.4.2可用资源界面 (27)第5章SANGFOR SSL VPN网关技术优势 (28)5.1更方便易用的SSL VPN (28)5.1.1单点登录 (28)5.1.2默认服务页面 (28)5.1.3分级分权限管理 (28)5.1.4集群 (28)5.1.5完全页面定制 (28)5.2更安全的SSL VPN (29)5.2.1混合认证 (29)5.3更快的SSL VPN (29)5.3.1多线路技术 (29)5.3.2HTP技术 (29)5.3.3压缩技术 (30)5.3.4更多广域网加速技术 (30)5.4更好管理和易用的SSL VPN (30)5.4.1动态IP快速建立隧道 (30)第6章深信服公司简介 (1)第7章附录 (2)7.1VPN技术背景知识 (2)7.1.1VPN简介 (2)7.1.2SSL 协议介绍 (5)7.1.3SSL VPN技术 (6)第1章序言随着移动数据技术的进步和商务模式的发展，选择远程办公的人越来越多。

深信服 aBos 一体机技术白皮书缩写和约定英文缩写英文全称中文解释Hypervisor Hypervisor虚拟机管理器（和 VMM 同义）VMM VMM Virtual Machine Manager虚拟机监视器HA HighAvailability高可用性vMotion vMotion实时迁移DRS Distributed Resource Scheduler分布式资源调度RAID Redundant Arrays ofIndependent Disks磁盘阵列IOPS Input/Output Operations PerSecond每秒读写（I/O）操作的次数VM Virtual Machine虚拟机SDN Software Defined Network软件定义网络NFV Network FunctionVirtualization网络功能虚拟化目录1 前言 (2)1.1 边缘IT 时代变革 (2)1.2 白皮书总览 (2)2 深信服aBos 一体机架构技术 (4)2.1 aBos 超融合架构概述 (4)2.1.1 aBos 超融合架构的定义 (4)2.2 深信服aBos 超融合架构组成模块 (4)2.2.1 系统总体架构 (4)2.3 aSV 计算虚拟化 (4)2.3.1 计算虚拟化概述 (4)2.3.2 aSV 技术原理 (5)2.3.3 深信服aSV 的技术特性 (14)2.3.4 aSV 的特色技术 (17)2.4 aNet 网络设备虚拟化 (18)2.4.1 网络设备虚拟化概述 (18)2.4.2 aNET 网络虚拟化技术原理 (19)2.4.3 aNet 功能特性 (22)2.4.4 深信服aNet 的特色技术 (28)2.5 aSAN 存储虚拟化 (29)2.5.1 存储虚拟化概述 (29)2.5.2 aSAN 技术原理 (29)2.5.3 aSAN 存储数据可靠性保障 (38)2.5.4 深信服aSAN 功能特性 (38)3 深信服aBos 一体机核心价值 (40)3.1 高稳定性 (40)3.2 简化分支机构IT (40)3.3 简化运维、集中管理 (40)3.4 灵活部署、扩展性好 (40)4 超融合架构最佳实践 (41)1 前言1.1 边缘 IT 时代变革随着在物联网的构建过程中传感器的大量使用，企业客户及员工使用的移动设备和云服务的大量增加,企业边缘的概念也正在被重新定义。

深信服EMM--让移动办公更更安全、更更⾼高效、更更易易⽤用1999年年⿊黑莓第⼀一款⽀支持Push Mail的⼿手机发布之后，⼿手机移动办公开始吸引着⼈人们的眼球；2007年年苹果发布第⼀一部iPhone后，智能⼿手机迅猛普及，衍⽣生了了各种移动办公模式，例例如BYOD(⾃自⼰己设备，⼀一机双⽤用)，COPE(公司设备，⼀一机双⽤用)，COBO(公司设备，专机专⽤用)等等，在不不经意间，移动办公已经完成了了从出乎茅庐到不不可或缺的华丽转变。

国际著名咨询机构Gartner将移动办公的成熟度分为5级，分别是不不受控阶段，可管理理阶段、可定义阶段、优化阶段和创新阶段，逐层演进。

未来企业在建设移动办公时，会重点关注移动办公的优化，建设以移动办公为基础的数字⼯工作空间，向创新阶段演进。

有些企业通过建设MDM、EMM系统，得以从不不受控阶段进⼊入了了可管理理阶段，但其移动化的信息仅限于基础的信息资产，例例如邮件、通信录、⽇日历⽇日程等，即移动协同办公。

⽽而基于未来的发展趋势，企业更更需要规划以移动办公为基础的数字⼯工作空间，即将企业核⼼心业务移动化，真正的将移动办公能⼒力力化，具备良好的兼容性，⽀支持多样的移动办公模式、优异的⽤用户体验，最终⽀支撑企业利利⽤用移动办公进⾏行行业务优化甚⾄至创新。

深信服EMM移动办公解决⽅方案具备完善的功能特性，不不仅⽀支持企业移动化协同办公，还⽀支持企业核⼼心业务的移动化办公。

深信服认为，在相同时间，不不同的企业有不不同的移动化需求；相同的企业，在不不同的时间阶段也有不不同的移动化需求。

因此，深信服提供了了三个移动办公⼦子⽅方案：EMM-EasyApp，EMM-EasyWork，EMM-EasyWork+，以满⾜足客户的不不同的移动办公需求。

深信服EMM三⼤大⼦子⽅方案基于⾼高扩展性的架构，包含移动客户端、统⼀一认证与安全接⼊入⽹网关、移动数据安全管理理系统与移动设备管控系统。

网络安全等级保护：深信服安全感知平台白皮书_V3.0深信服安全感知平台白皮书文档密级：公开深信服科技安全感知平台（Security Intelligence Platform）产品白皮书网络安全等级保护目录1. 引言 (4)1.1背景 (4)1.2新的威胁 (5)1.3应对措施 (5)2. 设计理念 (5)2.1产品理念 (5)2.2产品定位 (6)2.3方案设计 (7)2.4整体价值 (7)3. 产品架构 (9)3.1分层设计 (9)3.2大数据架构 (11)3.3产品组件 (13)4. 关键技术应用 (15)4.1 UEBA行为画像 (15)4.2追踪溯源可视化 (16)4.2.1流量可视 (16)4.2.2威胁追捕 (17)4.2.3统一检索 (17)4.3机器学习技术使用 (17)4.3.1精准的已知威胁检测 (18)4.3.2发现内鬼和未知威胁 (18)4.4威胁深度分析 (19)4.4.1攻击事件深度挖掘 (19)4.4.2成功的攻击事件检测 (20)4.5威胁情报结合 (20)4.5.1热点事件 (21)4.5.2情报来源 (21)5. 功能价值呈现 (22)5.1有效数据提取 (22)5.2全面的实时监测体系 (24)5.3.1脆弱性感知 (24)5.3.2外部威胁感知 (25)5.3.3内部异常感知 (26)5.3多维度的安全可视预警 (28)5.3.1宏观决策视角 (28)5.3.2微观运维视角 (31)5.4易运营的运维处置 (32)5.4.1应急处置 (32)5.4.2影响面分析 (34)5.4.3主动溯源 (35)5.4.4会话分析 (36)5.5可感知的威胁告警 (37)5.6实用工具箱 (38)5.6.1等保管理 (38)5.6.2情报与数据共享 (39)5.6.3绿色查杀工具 (40)6. 产品部署 (40)6.1流量监测（高级威胁监测） (41)6.2安全运营中心 (42)6.3作为第三方SOC/SIEM的流量检测组件 (43)1.引言1.1背景互联网技术的飞速发展使得互联网承载的价值越来越多、网络的规模和复杂度越来越大，因此，黑客有了越来越多的动机和手段来窃取企业的机密信息和资源，甚至是对企业资产造成破坏。

内网安全管理系统产品白皮书Leadsec-ISM V1.1全面的终端运维管理终端主机可进行全面的安全保护、监控、审计和管理，功能不分模块销售。

实名制的管理与审计管理策略根据人员身份制定，做到策略到人，控制到人，审计到人，解决一机多人、一人多机的难题。

三级联防的准入控制体系系统采用端点控制、局域接入控制、边界网关控制三级接入控制体系，可最大程度上适应用户网络环境，提供方便的准入管理。

数据防泄漏数据信息及信息交换做到可加密、可控制、可审计。

文件保密设置简单，移动存储加密保护，可保证私人专用要求。

全面协同防护协同防火墙产品可实现终端的准入控制协同IDS/IPS产品可实现入侵行为的阻断协同SAG产品可实现远程用户的准入控制和身份的策略管理地址：北京海淀区中关村南大街6号中电信息大厦8层（100086） 公司电话：010-********服务热线：400-810-7766(7X24小时) 2目录一、内网安全管理系统背景 (5)1.1内网安全概述 (6)1.2内网安全管理的重要性 (8)1.2.1内网威胁 (8)1.2.2如何加强内网安全 (10)二、内网安全管理系统概述 (12)三、内网安全管理系统架构 (13)四、内网安全管理系统功能 (17)4.1产品九大功能 (17)4.1.1准入控制管理 (17)4.1.2数据防泄漏 (18)4.1.3实名制管理 (21)4.1.4终端维护管理 (22)4.1.5补丁分发管理 (25)4.1.6终端资产管理 (26)4.1.7上网行为管理 (27)4.1.8报警控制台 (28)4.1.9产品协同防护 (29)五、内网安全管理系统功效 (30)5.1整体功效 (30)5.2文件监控与审计 (30)5.2.1杜绝文件操作不留痕迹现象 (30)5.2.2杜绝信息拷贝的无管理状态 (31)5.3网络行政监管 (31)5.3.1屏幕监控 (31)地址：北京海淀区中关村南大街6号中电信息大厦8层（100086） 公司电话：010-********服务热线：400-810-7766(7X24小时) 35.3.2应用程序报告及应用程序日志 (31)5.3.3浏览网站报告及浏览网站日志 (32)5.3.4应用程序禁用 (32)5.4网络辅助管理 (32)5.4.1远程桌面管理 (32)5.4.2远程控制 (32)5.4.3远端计算机事件日志管理 (32)5.4.4远程计算机管理 (33)5.4.5信息化资产管理 (33)5.5网络客户机安全维护 (33)5.5.1补丁分发管理 (33)5.5.2网络漏洞扫描 (34)5.6安全接入管理 (34)5.6.1非法主机网络阻断 (34)5.6.2网络白名单策略管理 (35)5.6.3IP和MAC绑定管理 (35)5.7策略管理 (35)5.7.1基于策略优先级的用户行为管理功能 (35)5.7.2基于网络场景的管理策略 (35)5.7.3基于用户帐户的策略管理 (36)5.7.4基于在线、离线状态的策略管理 (36)5.7.5基于分组的策略管理 (37)六、内网安全管理系统特色 (38)6.1全网产品协同防护 (38)6.2定向访问控制 (38)6.3实名制管理 (38)6.4报警控制台 (39)6.5流量管理 (39)地址：北京海淀区中关村南大街6号中电信息大厦8层（100086） 公司电话：010-********服务热线：400-810-7766(7X24小时) 46.6ARP病毒免疫 (39)6.7可扩展的高端应用接口 (40)6.8补丁统一分发 (40)6.9管理策略强制执行 (40)6.10多元化的管理模式 (40)6.11虚拟安全域管理 (41)6.12策略的优先级管理 (41)七、实施部署 (42)7.1产品部署示意图 (42)7.1.1典型部署 (42)7.1.2多级部署 (43)7.2部署位置 (43)7.3部署方式 (44)地址：北京海淀区中关村南大街6号中电信息大厦8层（100086） 公司电话：010-********服务热线：400-810-7766(7X24小时) 5一、内网安全管理系统背景信息技术发展到今天，人们的工作和生活已经越来越依赖于计算机和网络；然而，自网络诞生的那一天起，它就存在着一个重大隐患——安全问题，人们在享受着网络所带来的便捷同时，不得不承受着网络安全问题带来的隐痛。

目录1.背景介绍-------------------------------------------- 11.1.安全背景与挑战------------------------------------------ 12.总体架构-------------------------------------------- 52.1.架构设计------------------------------------------------ 53.核心技术-------------------------------------------- 7 3.1.基于多维度的智能检测技术-------------------------------- 73.1.1 文件信誉检测引擎 --------------------------------------------------------------------------- 73.1.2 基因特征检测引擎 --------------------------------------------------------------------------- 73.1.3 AI技术SAVE引擎 ---------------------------------------------------------------------------- 83.1.4 行为引擎 --------------------------------------------------------------------------------------123.1.5 云查引擎 --------------------------------------------------------------------------------------13 3.2.基于W EB后门的综合检测技术------------------------------- 13 3.3.基于主机防火墙的创新微隔离技术 ------------------------- 133.3.1 微隔离的技术原理 --------------------------------------------------------------------------133.3.2 访问关系控制 --------------------------------------------------------------------------------143.3.3 访问关系可视化 -----------------------------------------------------------------------------14 3.4.基于网“端”云的设备联动响应技术 ----------------------- 153.5.基于规则匹配的补丁检测更新技术 ------------------------- 154.价值效果------------------------------------------- 17 4.1.终端资产的全面管理------------------------------------- 17 4.2.终端安全的合规检查------------------------------------- 17 4.3.勒索病毒的实时防御------------------------------------- 17 4.4.入侵攻击的主动检测------------------------------------- 17 4.5.热点事件的快速响应------------------------------------- 174.6.访问关系的策略控制------------------------------------- 175.未来展望------------------------------------------- 181.背景介绍1.1.安全背景与挑战近年来，传统的病毒木马攻击方式还未落幕，层出不穷的高级攻击事件不断上演，勒索病毒、挖矿木马等安全事件频发，如WannaCry爆发造成全球有150多个国家，涉及30多万用户受到影响，经济损失达80亿美元，而Globelmpster传播，国内医疗，金融与教育等行业深受其害等，严峻的安全形势给企业造成了严重的经济损坏和社会影响。

1.企业移动化趋势与挑战1.1.企业移动化趋势1999年黑莓推出了Push Mail移动邮件办公，受到了企业的极大欢迎，因为邮件的移动化，能够有效的提升企业的效率。

2007年之后智能手机的普及，移动化更进一步，移动化从邮件延伸到了OA、营销、统一通信等基础协作类应用。

随着移动互联网和智能手机的发展进步，移动办公进入了优化阶段，从最开始的基础办公协作、基础业务协作，到核心业务创新。

图 1 企业移动化阶段与趋势据咨询机构IDC统计，企业在2017-2018年的规划向核心业务的移动化延伸，例如CRM、ERP、自动销售系统、BI系统等；另外，部分企业还处在基础业务协作阶段，投资建设IM、会议、协同、企业社交等应用。

在此同时，移动安全的建设投入最大，可见企业认为安全问题是企业移动化的前提。

图 2 企业移动化建设规划统计1.2.企业移动化安全与实施挑战企业业务移动化时，要考虑诸多泄密风险，如设备丢失，USB 拷贝，微信 QQ分享，明文传输被监听，中间人攻击，入侵窃取服务器机密文件等等，防不胜防。

可以说，数据泄密问题是移动办公建设的拦路虎。

移动化之后，企业核心数据存储在员工手机上，难管控。

据调查，60% 的员工会在离职时有意识的收集并带走公司资料；另外，手机容易丢失，也会导致设备上的敏感信息泄露。

保护移动数据，挑战巨大。

企业的移动业务数据在不安全的 Internet 上传输，如果网络数据没有进行高安全级别的加密保护，那么数据很容易被黑客监听，甚至是被篡改，最终会导致无法估计的损失。

移动 App 的应用服务器部署在公网，应用服务器的 IP 信息暴露，将使得恶意黑客通过扫描手段探测服务器，发现可用的操作系统、中间件、数据库、应用服务的脆弱点，进而采用攻击和入侵手段，窃取敏感数据。

移动办公设备型号多，版本高低不齐，实施安全管控时，兼容性问题突显，导致部署和运营效率低下；另外，安全管控会降低移动应用体验，致使员工使用率低。

深信服EMM技术白皮书-沙箱1.1.EMM客户端aWork的使用员工通过个人域中的EMM客户端aWork访问工作域，是一种轻量级的沙箱机制，不需要Android系统、iOS系统的高权限。

EMM客户端aWork的使用流程如下：1.2.EMM沙箱客户端技术概述非安全应用通过自动方式集成封装组件，成为安全应用。

安全区应用间共享同一个安全剪切板，共享同一个虚拟外置存储，安全应用间可以正在的互相访问；但是个人区的的非安全应用禁止访问安全区应用的数据。

封装安全组件包括以下几个功能模块，安全剪切板、安全分享模块、安全文件系统等，通过应用封装隔离组件后，封装的应用数据会与个人应用分离，安全应用间会共享安全数据，同时个人应用禁止访问安全应用。

1.3.沙箱文件系统文件系统隔离将个人区与安全区的应用数据进行隔离存储，对企业的数据进行安全加密重定向处理，达到安全区应用与非安全区应用无法互相访问的安全效果，具体包括对企业应用数据进路径重定向、存储路径加密、存储数据加密；通过封装隔离组件后，封装应用间会共享同一个虚拟的文件系统,与外部应用隔离同时安全应用间可以互相共享。

文件系统隔离主要包括两大功能：文件隔离和文件内容加密。

通过隔离功能将文件路径重定向到安全沙箱目录，方便对安全数据进行管理；通过加密功能对文件数据进行加密，保证数据是加密存储，即使文件泄露也不会导致数据泄露。

文件隔离的工作流程如下所示：1.拦截到OS系统的文件操作，判断访问的文件是否为重定向安全区数据；2.如果不是访问安全工作区数据，直接返回系统调用，否则修改访问路径重定向到安全数据区；3.对访问到的数据进行加解密操作，完成后调用原系统调用。

1.4.分享和打开隔离应用进行分享隔离主要包括如下场景：1.安全应用向个人应用主动分享;2.个人应用向安全应用进行分享;3.安全应用向安全应用进行分享。

分享和打开隔离主要限制安全应用主动分享给非安全应用、非安全应用主动拉起安全应用分享。

1HUAWEI Firehunter 技术白皮书文档版本 V1.0 发布日期2015-07-25华为技术有限公司版权所有© 华为技术有限公司 2014。

保留一切权利。

非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传播。

商标声明和其他华为商标均为华为技术有限公司的商标。

本文档提及的其他所有商标或注册商标，由各自的所有人拥有。

注意您购买的产品、服务或特性等应受华为公司商业合同和条款的约束，本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内。

除非合同另有约定，华为公司对本文档内容不做任何明示或暗示的声明或保证。

由于产品版本升级或其他原因，本文档内容会不定期进行更新。

除非另有约定，本文档仅作为使用指导，本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。

华为技术有限公司地址：深圳市龙岗区坂田华为总部办公楼邮编：518129网址：客户服务邮箱：ask_FW_MKT@客户服务电话：4008302118目录1概述 (4)1.1APT下一代威胁背景介绍 (4)1.2APT下一代威胁发展趋势 (5)1.3用户现网现状分析 (7)2安全防护解决方案 (7)2.1技术原理 (9)2.2典型应用场景 (10)2.2.1与NGFW联合部署 (10)2.2.2旁路独立部署 (11)3产品特性 (11)3.1全面的流量检测 (11)3.2支持主流应用和文档 (11)3.3模拟主流的操作系统和应用软件 (11)3.4分层的防御体系 (12)3.5业内一流的性能 (12)3.6超高的准确性与极低的误报率 (12)3.7提供准实时的处理能力 (12)3.8提供一流的针对APT威胁的反躲避能力 (12)4产品规格 (13)5硬件配置 (13)1概述2010年Google遭受Aurora下一代威胁攻击，导致大规模的Gmail邮件泄漏，对Google品牌造成严重影响；2010年伊朗核设施遭受Stuxnet攻击，导致核设施核心部件-离心机受损严重，此次攻击造成后果不亚于一次定点轰炸；2011年RSA遭受针对SecureID的下一代威胁攻击，导致大规模的SecureID数据泄漏，严重影响使用SecureID的客户安全，对公司的安全性质疑严重影响公司的公众形象；2013年3月韩国银行业遭受一次定向型APT攻击，导致大面积的银行主机系统宕机，严重影响银行在客户心中的形象；随着以APT为代表的下一代威胁登场，传统安全防护手段面临挑战，一次APT攻击，轻则造成公司核心商业机密泄漏，给公司造成不可估计得损失，重则导致金融行业、能源行业、交通行业等涉及国计民生的行业陷入瘫痪，其效果不亚于一场战争，未来如何应对以APT为代表的下一代威胁，事关国家安全，这已经不是单纯依靠安全公司就能应对的问题，需要从国家安全的角度来应对未来的以APT为代表的下一代威胁，应对未来可能的网络战。

深信服服务器虚拟化产品技术白皮书深信服科技有限公司版权声明深圳市深信服电子科技有限公司版权所有，并保留对本文档及本声明的最终解释权和修改权。

本文档中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明外，其著作权或其它相关权利均属于深圳市深信服电子科技有限公司。

未经深圳市深信服电子科技有限公司书面同意，任何人不得以任何方式或形式对本文档内的任何部分进行复制、摘录、备份、修改、传播、翻译成其他语言、将其全部或部分用于商业用途。

免责条款本文档仅用于为最终用户提供信息，其内容如有更改，恕不另行通知。

深圳市深信服电子科技有限公司在编写本文档的时候已尽最大努力保证其内容准确可靠，但深圳市深信服电子科技有限公司不对本文档中的遗漏、不准确、或错误导致的损失和损害承担责任。

信息反馈如果您有任何宝贵意见，请反馈：信箱：广东省深圳市学苑大道1001号南山智园A1栋邮编：518055电话：9传真：9您也可以访问深信服科技网站：获得最新技术和产品信息缩写和约定英文缩写英文全称中文解释Hypervisor Hypervisor虚拟机管理器（和VMM同义）VMM VMM Virtual Machine Manager虚拟机监视器HA HighAvailability高可用性vMotion vMotion实时迁移DRS Distributed Resource Scheduler分布式资源调度程序FC Fibre Channel光纤通道HBA Host Bus Adapter主机总线适配器RAID Redundant Arrays of IndependentDisks磁盘阵列IOPS Input/Output Operations Per Second每秒读写（I/O）操作的次数VM Virtual Machine虚拟机LUN Logical Unit Number逻辑单元号目录第1章服务器虚拟化介绍........................... 错误!未定义书签。