亚信安全DE产品方案(Deep Edge)

Deep Edge产品方案
目录
1.网络安全威胁现况概述 (6)
1.1.客户背景（或方案概述） (6)
1.2.客户需求（根据客户需求摘写） (8)
1.2.1.高级威胁内容分析 (8)
1.2.2.全部防护功能开启下不影响企业运营 (12)
1.2.3.信息安全技术支持本土化 (13)
1.2.4.防护效率高效化 (13)
1.2.5.非OEM产品 (13)
2.方案需求分析 (15)
2.1.高级内容防护功能 (15)
2.1.1.APT侦测及防护 (15)
2.1.2.恶意软件防护 (15)
2.1.3.零日漏洞及虚拟补丁防护 (16)
2.1.4.VPN 内容过滤 (16)
2.1.5.邮件病毒过滤 (16)
2.1.6.间谍软件\灰色软件 (16)
2.1.7.网络钓鱼 (16)
2.2.所有防护功能随时全开的性能 (17)
2.3.中国威胁与应用支持 (17)
2.4.高效率的终端与服务器防护 (17)
2.5.非第三方集成的安全技术 (17)
3.方案介绍 (18)
3.1.方案思路（根据客户需求选择部署模式的拓扑） (18)
3.1.1.网桥模式（透明模式） (18)
3.2.深度安全网关防护规划 (19)
3.3.深度安全网关部署产品 (20)
3.4.D EEP E DGE 部署结构图与案例 (21)
3.4.1.网桥模式（透明模式） (21)
3.4.2.路由模式 (22)
3.4.3.监控模式 (24)
3.4.4.多ISP/WAN模式 (25)
3.4.5.多网桥模式 (26)
3.5.D EEP E DGE产品功能技术介绍与优势 (27)
3.5.1.全新的系统架构，功能和性能的全面提升 (27)
3.5.2.全面集成业界领先SPN云端安全方案 (27)
3.5.3.更全面更深入的内容安全防护技术 (28)
3.5.4.业界No.1的APT侦测及防护技术 (28)
3.5.5.跨物理网络和虚拟网络的全方位部署 (29)
3.5.6.高性能扫描引擎 (29)
3.5.7.有效的虚拟补丁技术和主动式主机入侵防御系统(IPS/IDS) (30)
3.5.8.更先进的基于内容的防火墙策略 (30)
3.5.9.领先的精细化应用识别及检测技术（上网行为管理） (31)
3.5.10.业内领先技术提供双向的，深度的，全面的内容安全防护 (32)
3.5.11.全球领先的防病毒技术 (33)
3.5.12.顶尖的终端和服务器防护技术 (33)
3.5.13.领先的web信誉防护技术 (34)
3.5.14.领先的URL过滤技术 (34)
3.5.15.综合的邮件信誉防护及邮件隔离解决方案 (35)
3.5.16.业界领先的防防僵尸网络技术 (36)
3.5.17.完整的简便的网络连接功能 (36)
3.5.18.全面支持VPN典型应用场景 (37)
3.5.19.高度灵活便捷的部署场景 (37)
3.5.20.简化的策略管理 (38)
3.5.21.可扩展的无线安全防护 (38)
3.5.22.强大的日志管理和报表功能 (38)
3.5.23.全面的安全可视化及关注点分析 (39)
3.5.24.高可靠性及冗余性设计 (39)
3.5.25.优化平台，实现轻松管理 (39)
3.5.26.不会过时的系统设计与技术 (40)
4.产品清单 (41)
5.部分用户案例 (41)
6.附录：标准产品服务 (43)
6.1.技术支持............................................................................................................................... 错误!未定义书签。

6.2.软件的内容安全升级 (43)
6.3.软件产品的版本更新升级 (43)
6.4.硬件产品的维护服务 (44)
6.5.附加服务部分....................................................................................................................... 错误!未定义书签。

1.网络安全威胁现况概述
1.1.客户背景（或方案概述）
受地下黑色产业链的影响，全球权威的恶意软件监测组织
（https:///en/statistics/malware/）的统计分析显示, 每年的全球病毒与恶意软件数量持续增长并有加速的趋势。

近来年勒索病毒十分流行，亚信安全统计2016年勒索软件全球增长率达到782%。

新发现的勒索软件变种中，病毒伪装成为Doc、Js等多种文件类型的垃圾邮件附件，一旦用户运行此附件，勒索软件即会潜入到用户的电脑之中，用户计算机上的文档文件会被加密导致无法
打开，同时会加密网络中可访问的网络共享文件，并在桌面显示勒索信息。

如果用户不按照勒索软件作者的要求支付赎金，其文件很有可能被永久加密。

近期发现的勒索软件变种的加密文件类型比以往有所增多。

此恶意程序已导致大量的医院、企业、政府单位等用户受到影响。

根据国家计算机网络应急技术处理协调中心发布的2015 年威胁信息态势报告显示，2015 年，CNVD 共收录安全漏洞8080 个。

其中，高危漏洞收录数量高达2909 个，较2014 年增长21.5%；可诱发零日攻击的漏洞1207 个（即收录时厂商未提供补丁），占14.9%。

2015 年，CNCERT通报了涉及政府机构和重要信息系统部门的事件型漏洞近2.4万起，约是2014 年的2.6 倍，继续保持快速增长态势，且部分漏洞修复不及时。

2015 年抽样监测发现境外6.4 万余个木马和僵尸网络控制端，占全部控制端数量的61.2%，首次出现境外木马和僵尸网络控制端多于境内的现象。

据监测，2015 年我国境内有近5000 个IP 地址感染了窃密木马，存在失泄密和运行安全风险。

针对我国实施的APT攻击事件也在不断曝光，例如境外“海莲花”黑客组织多年以来针对我国海事机构实施APT 攻击；国内安全企业发现了一起名为APT-TOCS 的长期针对我国政府机构的攻击事件。

2015年7 月发生的Hacking Team 公司信息泄露事件，揭露
了部分国家相关机构雇佣专业公司对我国重要信息系统目标实施网络攻击的情况。

XX企业因应员工的工作效率提升，企业内部网络对外链接的不断增长，当务之急是需要提升对外链路的安全。

为了构建一个强壮、有效的防病毒体系，亚信安全在分析了XX企业内部网络架构及相关应用之后，针对潜在的病毒传播威胁，建议采用结合产品、防御策略、服务为一体的下一代深度安全网关亚信安全DeepEdge（以下简称DE）。

1.2.客户需求（根据客户需求摘写）
1.2.1.高级威胁内容分析
➢防APT攻击能力
在不断演化的网络安全领域，会出现比高级持续性威胁（Advanced Persistent Threat，APT）更具挑战性的对手，但现在所做的事情，就是要改变。

改变用户应对APT攻击时的无奈、改变业内分散片面的堆叠式组合方案、改变数据泄露“常态化”的现状。

往事历历在目，由于Google的一名员工点击了即时消息中的一条恶意链接，导致这个搜索引擎巨人的网络随后被渗透，在几个月后安全风险得到修补时，Google发现大量的系统数据已经被窃取。

这绝不是孤立事件，一系列APT事件随后浮出水面，这包括伊朗布什尔核电站遭到Stuxnet 蠕虫攻击、几大跨国能源公司遭到“有组织、手法隐蔽、有针对性”的攻击，以及RSA SecurID技术及客户资料被窃取后的连锁反应。

这让借助APT攻击方法的犯罪组织更加猖狂：美国Target 超市一亿笔客户资料被窃取贩卖、中国台湾地区20个与经济相关的机构受到APT攻击、美国Home Depot 16 家家饰建材连锁卖场的6000万笔客户资料失窃、eBay遭到神秘黑客的攻击、iCloud泄露出大量好莱坞影星私密照片、索尼影视在APT攻击中大量商业机密遭泄露、美国“最大”的健康保险公司之一Anthem成为医疗行业中“最大”的APT攻击受害者。

APT攻击像普通病毒攻击一
样普遍！
Ponemon研究所的调查显示，APT攻击是大多数受访企业的最大的安全威胁，特别是随着企业转移数据到云计算和混合云基础设施后，单次定向攻击对大型组织造成的平均损失高达590 万美元。

意想不到的成本还包括攻击所造成的诉讼、罚款、治理及调查成本。

APT采用定制化的手段、利用社会工程学，有计划、有组织的持续窥探目标网络弱点，长期潜伏并窃取核心机密数据，这让越来越多的企业处于危险境地。

更可怕的是，APT攻击会演化成为普遍的网络犯罪，让更多的企业处于安全风险之中。

➢防恶意软件功能
随着新型病毒的不断出现，在网络节点上的病毒防护要求变得越来越高，一方面要求网络版防毒系统对病毒、木马、蠕虫、间谍软件、灰色软件等恶意程序具备综合的防护能力，另一方面要兼具网络层扫描、防火墙、IDS等精细化策略控制。

原有网络版防毒系统由于不能很好满足当前的防护要求，在网络节点防范方面存在着潜在的安全隐患。

据国际权威的第三方监测组织AV-Test统计数据看，当前互联网上已有超过1600万种恶意程序，并且还在不断激增，每小时有1883多种新病毒产生。

.
➢漏洞攻击防护及新型漏洞防护
服务器与台式机一直承载着最为重要的数据，因此，很容易引起外来入侵者的窥探，遭入侵、中病毒、抢权限，各种威胁都会抓住一切机会造访服务器系统。

随着新的漏洞不断出现，许多公司在为系统打补丁上疲于应付，等待安装重要安全补丁的维护时段可能是一段艰难的时期。

另外，操作系统及应用厂商针对一些版本不提供漏洞的补丁，或者发布补丁的时间严重滞后，还有最重要的是，如果IT人员的配备不足，时间又不充裕，那么系统在审查、测试和安装官方补丁更新期间很容易陷入风险。

➢VPN专属通讯通道
各种移动设备的使用让VPN 成为让企业员工能灵活在办公室外工作的必要技术。

尤其是SSL VPN, 让笔记本电脑经过简易的网络介面就能连回公司使用企业内部的计算机与内部应用资源。

但VPN 带来了一个信息安全的隐忧, 那就是VPN 的应用也让恶意软件能经由公共的网络传输感染企业内部的电脑。

很多时候因为VPN 设备(包括VPN, UTM, NGFW)不具有内容过滤的功能, 导致员工连回公司环境后也传输进原先隐藏在公共网络的病毒。

➢邮件网关功能
越来越多的病毒作者采用了这种攻击方式，理由非常简单，因为电子邮件成为目前企业使用最多、最重要的信息交流工具，通过邮件为载体，恶意程序转播的速度就最快。

前几年，“网络天空”邮件病毒肆略全球，造成了高达数亿美元的损失。

现在很多恶意程序利用热门话题，比如亚运会、迈克逊之死等，发送大量的邮件给到用户，好奇的没有戒备的用户一旦点击邮件，就会中招感染恶意程序。

现在, 更严重的攻击事件, 所谓的APT (高级持续性威胁) 攻击事件也利用邮件来锁定目标。

据亚信安全2012 年的研究显示¸高于92% 的高级持续性威胁经过邮件入侵企业。

高效的邮件过滤也因网络威胁的演进又变成不可缺的防护功能。

➢灰色软件间谍软件扫描
宽带网络的普及，为使用者带来多采多姿的网络生活，同时却也开启了间谍软件/灰色软件长驱直入的方便大门，当使用者发现计算机的处理速度竟然不知不觉地愈来愈慢时，就得多加留意了，因为使用者的计算机很有可能已经感染间谍软件/灰色软件。

最可怕的是，使用者对间谍软件/灰色软件的入侵多半毫无知觉，所以一旦系统出现执行效率不佳的状况，最可能发生的状况是，使用者不但已被间谍软件入侵，而且可能还不只1、2个。

如今间谍软件/灰色软件的入侵管道相当多样且泛滥，无论是电子邮件或实时通讯附文件、弹出式窗口、恶意或钓鱼网页，以及P2P下载的音乐、电影或非法软件之中，都可能潜藏间谍软件，一旦遭到入侵，最严重的结果，就是计算机内部的重要数据，甚至使用者在键盘上按下按键的动作或密码信息，都会在不知不觉当中外传出去；除此之外，过多的间谍软件也会造成计算机系统效能下降。

这些恶意程序透过社交网络、行动计算机以及查询等方式在网络上从事各类型的网络犯罪活动。

间谍软件只是众多网络安全威胁之一，而且被全球地下化经济犯罪活动广泛的运用，让制造间谍软件的不法人士透过盗用个人身分信息和敲诈勒索等方式来谋取金钱。

除此之外，并有网络钓鱼攻击、以当地语言为目标的攻击和以疆尸计算机网络进行Denial-of-service的攻击，还有透过网络下载以及网络病毒方式来进行攻击。

➢网络型钓鱼病毒、钓鱼网站扫描能力
网络钓鱼「Phishing」是另一个近年来主流的网络安全威胁。

网络钓鱼「Phishing」与「Fishing」发音相同，是常见的网络诈欺活动，利用电子邮件引诱用户到伪装网站，以套取用户的个人数据如信用卡号码。

网络钓鱼诈骗因为横跨网页和电子邮件，所以防护上须涵盖SMTP、POP3与HTTP。

以电子邮件而言，有别于前几年的恶意程序无不尽其所能攻击更多的计算机使用者，试图在全球
各地引发大范围的疫情爆发，如今电子邮件信息安全威胁愈来愈集中于特定区域与特定对象。

区域性与目标式攻击会大量运用社交工程技巧，像是赠送免费的运动赛事门票、伪造企业发出的电子邮件，以及提供看似正常(其实为恶意性质) 的网站连结等等。

假造的电子邮件与网站通常会使用攻击目标当地的语言。

虽然区域性与目标式攻击影响所及的使用者人数比以往更少，但是要将它们彻底根除的难度也比以往更高，因为它们具有特定企图，且通常都能自动更新。

受金钱利益驱使，最新型态恶意程序通常会锁定特定企业，或是彼此具有共通之处的特定使用者族群，这就是所谓「目标攻击( target attack)」。

进行间谍程序网络钓鱼攻击时，作者会利用电子邮件中夹带一个间谍木马程序，或是一个可下载木马程序的连结。

使用者不慎下载并执行恶意程序之后，无论是透过手动攻击或利用安全弱点，恶意程序会监视网络传输的信息，侦测使用者是否透过网络存取特定网页。

一旦侦测到这种情况，它就会将所有登入信息或机密数据传回给黑客。

网络钓鱼有多严重，以下是全球各地的损失数据：
●美国-根据Consumer Reports USA 的报告，2005 年美国公民因网络钓鱼攻击而导致的损失高达
$6 亿3 千万美元。

德国-幕尼黑警方估计，光是幕尼黑一地，在线诈骗活动造成的损失(2006 年1 月至7 月期间) 就已超过一百万欧元。

全球- 据Asia.Internet 表示，Gartner Group 的报告显示2006 年网络钓鱼攻击造成的损失总金额高达$28 亿美元。

●据Anti-Phishing Working Group 统计，2005 年9 月钓鱼网站数量为5242 个，到2006 年9
月已激增至24,565 个。

●在中国¸ 2012 年的报告显示, 网络钓鱼日渐猖獗, 中国网络钓鱼用来攻击的域名已站全球三分之二的
恶意网域注册。

1.2.2.全部防护功能开启下不影响企业运营
现代的网络威胁与攻击需要所有防护的功能, 包括防火墙, 应用防火墙, 防病毒, 入侵检测等功能全部同时开启。

许多安全网关(包括多功能的UTM 或NGFW 下一代防火墙) 当功能全开的瞬间, 性能剧降, 严重的影响中小企业的运作。

因为性能的限制, 很多网关厂商会
引导客户先购买基础的防火墙功能, 但我们从最新的网络威胁事件里看到, “下一代”的威胁需要层次性的高级内容防护同时运作才能达到防御的效果。

因此, 所有的网关性能数据里, 最重要最需要关注的是防御功能全开的性能。

1.2.3.信息安全技术支持本土化
XX企业在信息安全架构上需要因应国内的网络安全态势建立的本土化安全解决方案。

许多信息安全国际大厂在中国提供产品销售与服务, 但极少数厂商在中国投资研发与研究资源。

这样的商业模式导致多数国外厂商的产品缺乏中国应用与中国病毒的支持。

缺乏中国订制的应用与病毒研究导致这些厂商的产品无法侦测攻击中国企业的网络威胁。

1.2.4.防护效率高效化
XX企业在安全防护时效性需要提高，做到更快更有效的威胁拦截。

从最新的威胁报告我们看到, 有将近一半的企业有病毒感染终端设备包括台式机与服务器. 防护海量病毒需要高效的技术与经验。

深度安全网关需要能够让计算机免受病毒，特洛伊，蠕虫和现在的间谍软件的攻击，同时具备防火墙和入侵检测的能力；快速的特徵码更新可减少针对新出现的威胁提供防护所需的总体时间。

1.2.5.非OEM产品
XX企业在采用信息安全解决方案产品非第三方集成产品。

之前提到的高级内容安全技术与高性能网关的重要性。

而这些功能与性能都与技术集成有密切的关系。

目前大多UTM或下一代防火墙厂商选择不投资研发资源在高级内容安全技术上而选择了集成第三方的技术。

这种集成方式有三大问题：
1.第三方的技术需要额外购买, 导致这些厂商无法降低成本或把高级内容防护功能包括在基本功能模块
里
2.网关厂商通常不了解第三方技术，后果是从技术或客户支持上无法提供最好的服务
3.第三方技术不允许公开程序代码无法让网关厂商做到最好的性能优化，这也是大多UTM 高级内容防
护功能开起后性能大幅下降的原因之一
4.选择拥有所有防护技术的厂商才能保障下一代网关的防御功能，性能，与整体价格（所有功能模块）
2.解决方案设计思路
因为根据最新的CNCERT 与各大研究机构的内容安全分析报告中我们得出结论：中国企业正面临多管道的网络威胁。

无论是病毒，漏洞利用，僵尸网络，钓鱼网站，或DDoS 攻击, 随著中国网络架构的快速发展，各种网络威胁也都有倍速成长的趋势。

这些新一代的网络威胁通过各种传播途径入侵企业环境窃取高价值资讯或造成严重的经济破坏，这些传播途径包括邮件，网站访问，VPN 通道，与终端和服务器漏洞造成的网络接口。

对于XX企业内部通过网络，邮件与应用传播的网络威胁进行分析，深刻了解其特性及当今最先进的防护技术和解决方案，XX企业在选择这类安全产品和服务需要包含以下功能。

2.1.高级内容防护功能
2.1.1.APT侦测及防护
需要能够预知APT威胁将会来自哪里，察觉威胁具备怎样的特征，进而采取与之对应的防御战略。

方案中必须包含APT防护功能，C&C服务器通讯拦截功能，且为业界前列的品牌，以确保方案的病毒特征码和防病毒引擎是最全最新的。

2.1.2.恶意软件防护
首先需要有国际权威性的验证，拥有超过20年的恶意软件防护经验，恶意软件防护技术需要在Garter的领导者位置上。

只有多年专注投资在拥有全球恶意软件防护的领导品牌才有足够的资源提供实时的防护技术。

2.1.
3.零日漏洞及虚拟补丁防护
能够解决基于终端系统已经不支持补丁修复，新型漏洞导致官方未能及时发布系统补丁，企业内部未能及时安装上系统补丁导致的漏洞攻击风险。

需要有基于漏洞攻击的形式建立的相关入侵防御规则功能，导绝漏洞攻击的通道。

2.1.4.VPN 内容过滤
下一代深度安全网关必须包含VPN功能，在企业应用VPN功能的时候，同事能检测VPN 加密通讯渠道中的威胁行为并实施有效拦截。

2.1.5.邮件病毒过滤
下一代深度安全网关必须包含邮件网关功能，有效过滤威胁邮件，最大限度低降低通过邮件传输到内网的高级威胁恶意行为。

2.1.6.间谍软件\灰色软件
下一代深度安全网关需要包含对于间谍软件和灰色软件的分析检测，有效防止间谍软件通过后门漏洞盗取用户的信息，挟持客户端电脑。

2.1.7.网络钓鱼
下一代深度安全网关需要具备防网络钓鱼功能模块，对基于网络应用的网络钓鱼行为进行有效的检查和拦截。

2.2.所有防护功能随时全开的性能
下一代深度安全网关采用全新系统架构，在防护功能全部开启的同时，又提供了高效的性能支撑，不仅让您放心地使用网络数据，还让您体验到流畅网络所带来的各种便利。

2.3.中国威胁与应用支持
下一代深度安全网关厂商需要有中国投资研发与研究的资源，相关厂商的产品需要有充分的中国应用与中国病毒的支持。

需要拥有中国订制的应用与病毒研究，拥有针对中国的国情，侦测攻击中国企业的网络威胁。

在中国提供中国病毒特徵码与开发对中国网络应用的支持。

2.4.高效率的终端与服务器防护
下一代深度安全网关厂商需要能够让计算机免受病毒，特洛伊，蠕虫和现在的间谍软件的攻击，同时具备防火墙和入侵检测的能力；快速的特徵码更新可减少针对新出现的威胁提供防护所需的总体时间。

2.5.非第三方集成的安全技术
下一代深度安全网关厂商必须拥有自己的安全模块研发能力，功能模块不能选择集成第三方的技术。

不论在技术层面还是技术支持客户服务上，都必须做到性能最优化，技术支持服务最核心，整体价格最优惠。

3.方案介绍
3.1.方案思路（根据客户需求选择部署模式的拓扑）
根据XX企业的网络状况，亚信安全下一代深度安全网关将会作为网络边界安全网闸保护企业外链流量的安全，检测并拦截外网进出流量的恶意行为，威胁攻击。

（或作为核心流量分析监控网关，分析并预警核心交换机主要进出流量的恶意行为，威胁攻击。

）(在配置下一代深度安全网关设备前，该设备如何集成到到现有的网络需要进行规划。

配置规划取决于目标运行模式：接入模式（路由器模式或网桥模式）或监控模式。

)
3.1.1.网桥模式（透明模式）
在网桥模式下，Deep Edge 设备对于网络是不可见的。

它的所有接口都位于相同的子网中。

只需配置管理IP 地址便可进行配置更改。

通常现有防火墙或路由器在私有网络中使用网桥模式。

Deep Edge 放在第二层交换机和第三层交换机之间可以扫描进入和离开该部分网络的所有数据包。

⏹适合的用户场景
➢较为完善的网络部署环境，Deep Edge仅作为网络安全设备使用
➢网络环境中有数据中心，对外发布服务器，邮件服务器，桌面终端及其他网络设备
➢对数据中心或各类服务器提供安全防护，防止各种外部攻击
➢对防止垃圾邮件以及病毒邮件进出内部网络
➢对终端设备提供病毒防护以及安全的上网行为管理
⏹部署结构图物理拓扑及实例
3.2.深度安全网关防护规划
为了构建一个强壮、有效的边界防御体系，在分析了网络架构及相关应用之后，针对潜在的威胁传播方式及威胁类型，建议采用结合产品、防御策略、服务为一体的深度安全网关。

构建的xxxx深度网关安全防护系统要实现如下目标：
➢提供精细化内容安全策略（下一代防火墙防护）功能
➢提供APT及定向威胁防护
➢C&C违规外联防护
➢零日攻击及漏洞防护
➢提供服务器与终端设备入侵检测与虚拟补丁防护
➢对基于网络应用的病毒传播进行高级防护
➢对基于网络应用的间谍软件进行高级防护
➢对基于网络应用的网络钓鱼行为进行阻断
➢对基于网络应用的访问流量进行控制
➢提供站到站VPN 与流量过滤
➢提供SSL VPN与流量过滤
➢提供PPTP 与移动设备VPN与流量过滤
➢提供DDoS 防护
➢对基于网络应用的恶意URL地址进行阻挡
➢对基于网络应用的非工作相关站点的访问进行控制
➢对垃圾邮件进行有效的处理和防护
➢对恶意邮件进行有效的处理和防护
➢对应用程序进行精细化控制
3.3.深度安全网关部署产品
硬件规格Deep Edge 300 Deep Edge 900 应用防火墙吞吐量 1 Gbps 2 Gbps 安全功能同时全开吞吐量
(防火墙+ IPS 入侵检测+ 防病
毒(与多种恶意软件) + 应用防火
墙+ Web 信誉+ 邮件信誉)
500 Mbps 1 Gbps 并发会话数500000 750000。