【正文】 規(guī)范。4. 應(yīng)用程序控制l 偵測(cè)通過(guò)非標(biāo)準(zhǔn)端口進(jìn)行通訊相關(guān)協(xié)議l 限制和設(shè)定哪些應(yīng)用程序能通過(guò)網(wǎng)絡(luò)被訪問(wèn)l 偵測(cè)和阻斷惡意軟件通過(guò)網(wǎng)絡(luò)進(jìn)行訪問(wèn)5. 防火墻6. 一致性檢查和監(jiān)控l 重要的操作系統(tǒng)和應(yīng)用程序文件控制（文件，目錄，注冊(cè)表以及鍵值等等）l 監(jiān)控制定的目錄l 靈活并且主動(dòng)實(shí)用的監(jiān)控l 審計(jì)日志和報(bào)表7. 日志檢查和審計(jì)l 搜集操作系統(tǒng)和應(yīng)用程序的日志，便于安全檢查和審計(jì)l 可疑行為偵測(cè)l 搜集安全行為相關(guān)的管理員設(shè)定 產(chǎn)品特點(diǎn)數(shù)據(jù)中心服務(wù)器安全架構(gòu)必須解決不斷變化的 IT 架構(gòu)問(wèn)題，包括虛擬化和整合、新服務(wù)交付模式以及云計(jì)算。對(duì)于所有這些數(shù)據(jù)中心模式，Deep Security 解決方案可幫助： 通過(guò)以下方式預(yù)防數(shù)據(jù)泄露和業(yè)務(wù)中斷n 在服務(wù)器自身位置提供一道防線 – 無(wú)論是物理服務(wù)器、虛擬服務(wù)器還是云服務(wù)器 n 針對(duì) Web 和企業(yè)應(yīng)用程序以及操作系統(tǒng)中的已知和未知漏洞進(jìn)行防護(hù)，并阻止對(duì)這些系統(tǒng)的攻擊 n 幫助您識(shí)別可疑活動(dòng)及行為，并采取主動(dòng)或預(yù)防性的措施 通過(guò)以下方式實(shí)現(xiàn)合規(guī)性n 滿足六大 PCI 合規(guī)性要求（包括 Web 應(yīng)用程序安全、文件完整性監(jiān)控和服務(wù)器日志收集）及其他各類合規(guī)性要求 n 提供記錄了所阻止的攻擊和策略合規(guī)性狀態(tài)的詳細(xì)可審計(jì)報(bào)告，縮短了支持審計(jì)所需的準(zhǔn)備時(shí)間 通過(guò)以下方式支持降低運(yùn)營(yíng)成本n 提供漏洞防護(hù)，以便能夠?qū)Π踩幋a措施排定優(yōu)先級(jí)，并且可以更具成本效益地實(shí)施未預(yù)定的補(bǔ)丁 n 為組織充分利用虛擬化或云計(jì)算并實(shí)現(xiàn)這些方法中固有的成本削減提供必要的安全性 n 以單個(gè)集中管理的軟件代理提供全面的防護(hù) – 消除了部署多個(gè)軟件客戶端的必要性及相關(guān)成本 產(chǎn)品模塊及功能 Deep Security 解決方案使您能夠部署一個(gè)或多個(gè)防護(hù)模塊，提供恰好適度的防護(hù)以滿足不斷變化的業(yè)務(wù)需求。您可以通過(guò)部署全面防護(hù)創(chuàng)建自我防御的服務(wù)器和虛擬機(jī)，也可以從完整性監(jiān)控模塊著手發(fā)現(xiàn)可疑行為。所有模塊功能都通過(guò)單個(gè) Deep Security 代理部署到服務(wù)器或虛擬機(jī)，該 Deep Security 代理由 Deep Security 管理器軟件集中管理，并在物理、虛擬和云計(jì)算環(huán)境之間保持一致。 病毒過(guò)濾 DeepSecurity解決方案能夠底層整合ESX以及VShield，提供給虛擬機(jī)Agentless的病毒查殺功能，包括，實(shí)時(shí)和計(jì)劃任務(wù)掃描，病毒，木馬蠕蟲等等惡意文件。 深度數(shù)據(jù)包檢查 (DPI) 引擎實(shí)現(xiàn)入侵檢測(cè)和防御、Web 應(yīng)用程序防護(hù)以及應(yīng)用程序控制 該解決方案的高性能深度數(shù)據(jù)包檢查引擎可檢查所有出入通信流（包括 SSL 通信流）中是否存在協(xié)議偏離、發(fā)出攻擊信號(hào)的內(nèi)容以及違反策略的情況。該引擎可在檢測(cè)或防御模式下運(yùn)行，以保護(hù)操作系統(tǒng)和企業(yè)應(yīng)用程序的漏洞。它可保護(hù) Web 應(yīng)用程序，使其免受應(yīng)用層攻擊，包括 SQL 注入攻擊和跨站點(diǎn)腳本攻擊。詳細(xì)事件提供了十分有價(jià)值的信息，包括攻擊者、攻擊時(shí)間及意圖利用的漏洞。發(fā)生事件時(shí)，可通過(guò)警報(bào)自動(dòng)通知管理員。DPI 用于入侵檢測(cè)和防御、Web 應(yīng)用程序防護(hù)以及應(yīng)用程序控制。 入侵檢測(cè)和防御 (IDS/IPS)在操作系統(tǒng)和企業(yè)應(yīng)用程序安裝補(bǔ)丁之前對(duì)其漏洞進(jìn)行防護(hù)，以提供及時(shí)保護(hù)，使其免受已知攻擊和零日攻擊 漏洞規(guī)則可保護(hù)已知漏洞（如 Microsoft 披露的漏洞），使其免受無(wú)數(shù)次的漏洞攻擊。Deep Security 解決方案對(duì)超過(guò) 100 種應(yīng)用程序（包括數(shù)據(jù)庫(kù)、Web、電子郵件和 FTP 服務(wù)器）提供開箱即用的漏洞防護(hù)。在數(shù)小時(shí)內(nèi)即可提供可對(duì)新發(fā)現(xiàn)的漏洞進(jìn)行防護(hù)的規(guī)則，無(wú)需重新啟動(dòng)系統(tǒng)即可在數(shù)分鐘內(nèi)將這些規(guī)則應(yīng)用到數(shù)以千計(jì)的服務(wù)器上：n 智能規(guī)則通過(guò)檢測(cè)包含惡意代碼的異常協(xié)議數(shù)據(jù)，針對(duì)攻擊未知漏洞的漏洞攻擊行為提供零日防護(hù)。n 漏洞攻擊規(guī)則可停止已知攻擊和惡意軟件，類似于傳統(tǒng)的防病毒軟件，都使用簽名來(lái)識(shí)別和阻止已知的單個(gè)漏洞攻擊。由于趨勢(shì)科技是 Microsoft 主動(dòng)保護(hù)計(jì)劃 (MAPP) 的現(xiàn)任成員，Deep Security 解決方案可在每月安全公告發(fā)布前提前從 Microsoft 收到漏洞信息。這種提前通知有助于預(yù)測(cè)新出現(xiàn)的威脅，并通過(guò)安全更新為雙方客戶快速有效地提供更及時(shí)的防護(hù)。 WEB 應(yīng)用程序安全 Deep Security 解決方案符合有關(guān)保護(hù) Web 應(yīng)用程序及其處理數(shù)據(jù)的 PCI 要求 。Web 應(yīng)用程序防護(hù)規(guī)則可防御 SQL 注入攻擊、跨站點(diǎn)腳本攻擊及其他 Web 應(yīng)用程序漏洞攻擊，在代碼修復(fù)完成之前對(duì)這些漏洞提供防護(hù)。該解決方案使用智能規(guī)則識(shí)別并阻止常見的 Web 應(yīng)用程序攻擊。根據(jù)客戶要求進(jìn)行的一項(xiàng)滲透測(cè)試，我們發(fā)現(xiàn)，部署 Deep Security 的 SaaS 數(shù)據(jù)中心可對(duì)其 Web 應(yīng)用程序和服務(wù)器中發(fā)現(xiàn)的 99% 的高危險(xiǎn)性漏洞提供防護(hù)。 應(yīng)用程序控制 應(yīng)用程序控制規(guī)則可針對(duì)訪問(wèn)網(wǎng)絡(luò)的應(yīng)用程序提供更進(jìn)一步的可見性控制能力。這些規(guī)則也可用于識(shí)別訪問(wèn)網(wǎng)絡(luò)的惡意軟件或減少服務(wù)器的漏洞。 防火墻 減小物理和虛擬服務(wù)器的受攻擊面 Deep Security 防火墻軟件模塊具有企業(yè)級(jí)、雙向性和狀態(tài)型特點(diǎn)。它可用于啟用正確的服務(wù)器運(yùn)行所必需的端口和協(xié)議上的通信，并阻止其他所有端口和協(xié)議，降低對(duì)服務(wù)器進(jìn)行未授權(quán)訪問(wèn)的風(fēng)險(xiǎn)。其功能如下： n 虛擬機(jī)隔離：使虛擬機(jī)能夠隔離在云計(jì)算或多租戶虛擬環(huán)境中，無(wú)需修改虛擬交換機(jī)配置即可提供虛擬分段。n 細(xì)粒度過(guò)濾：通過(guò)實(shí)施有關(guān) IP 地址、Mac 地址、端口及其他內(nèi)容的防火墻規(guī)則過(guò)濾通信流?？蔀槊總€(gè)網(wǎng)絡(luò)接口配置不同的策略。n 覆蓋所有基于 IP 的協(xié)議：通過(guò)支持全數(shù)據(jù)包捕獲簡(jiǎn)化了故障排除，并且可提供寶貴的分析見解，有助于了解增加的防火墻事件 – TCP、UDP、ICMP 等。n 偵察檢測(cè)：檢測(cè)端口掃描等活動(dòng)。還可限制非 IP 通信流，如 ARP 通信流。n 靈活的控制：狀態(tài)型防火墻較為靈活，可在適當(dāng)時(shí)以一種受控制的方式完全繞過(guò)檢查。它可解決任何網(wǎng)絡(luò)上都會(huì)遇到的通信流特征不明確的問(wèn)題，此問(wèn)題可能出于正常情況，也可能是攻擊的一部分。n 預(yù)定義的防火墻配置文件：對(duì)常見企業(yè)服務(wù)器類型（包括 Web、LDAP、DHCP、FTP 和數(shù)據(jù)庫(kù)）進(jìn)行分組，確保即使在大型復(fù)雜的網(wǎng)絡(luò)中也可快速、輕松、一致地部署防火墻策略。n 可操作的報(bào)告：通過(guò)詳細(xì)的日志記錄、警報(bào)、儀表板和靈活的報(bào)告，Deep Security 防火墻軟件模塊可捕獲和跟蹤配置更改（如策略更改內(nèi)容及更改者），從而提供詳細(xì)的審計(jì)記錄。 完整性監(jiān)控 監(jiān)控未授權(quán)的、意外的或可疑的更改 Deep Security 完整性監(jiān)控軟件模塊可監(jiān)控關(guān)鍵的操作系統(tǒng)和應(yīng)用程序文件（如目錄、注冊(cè)表項(xiàng)和值），以檢測(cè)可疑行為。其功能如下：n 按需或預(yù)定檢測(cè)：可預(yù)定或按需執(zhí)行完整性掃描。n 廣泛的文件屬性檢查：使用開箱即用的完整性規(guī)則可對(duì)文件和目錄針對(duì)多方面的更改進(jìn)行監(jiān)控，包括：內(nèi)容、屬性（如所有者、權(quán)限和大小）以及日期與時(shí)間戳。還可監(jiān)控對(duì) Windows 注冊(cè)表鍵值、訪問(wèn)控制列表以及日志文件進(jìn)行的添加、修改或刪除操作，并提供警報(bào)。此功能適用于 PCI DSS 要求。n 可審計(jì)的報(bào)告：完整性監(jiān)控模塊可顯示 Deep Security 管理器儀表板中的完整性事件、生成警報(bào)并提供可審計(jì)的報(bào)告。該模塊還可通過(guò) Syslog 將事件轉(zhuǎn)發(fā)到安全信息和事件管理 (SIEM) 系統(tǒng)。n 安全配置文件分組：可為各組或單個(gè)服務(wù)器配置完整性監(jiān)控規(guī)則，以簡(jiǎn)化監(jiān)控規(guī)則集的部署和管理。n 基準(zhǔn)設(shè)置：可創(chuàng)建基準(zhǔn)安全配置文件用于比較更改，以便發(fā)出警報(bào)并確定相應(yīng)的操作。n 靈活實(shí)用的監(jiān)控：完整性監(jiān)控模塊提供了靈活性和控制性，可針對(duì)您的獨(dú)特環(huán)境優(yōu)化監(jiān)控活動(dòng)。這包括在掃描參數(shù)中包含/排除文件或通配符文件名以及包含/排除子目錄的功能。此外，還可根據(jù)獨(dú)特的要求靈活創(chuàng)建自定義規(guī)則。 日志審計(jì) 查找日志文件中隱藏的重要安全事件并了解相關(guān)信息 使用 Deep Security 日志審計(jì)軟件模塊可收集并分析操作系統(tǒng)和應(yīng)用程序日志，以查找安全事件。日志審計(jì)規(guī)則優(yōu)化了對(duì)多個(gè)日志條目中隱藏的重要安全事件進(jìn)行識(shí)別的能力。這些事件隨后會(huì)轉(zhuǎn)發(fā)到一個(gè) SIEM 系統(tǒng)或集中式的日志記錄服務(wù)器，以便進(jìn)行關(guān)聯(lián)、報(bào)告和存檔。Deep Security 代理還會(huì)將事件信息轉(zhuǎn)發(fā)到 Deep Security 管理器。日志審計(jì)模塊的部分優(yōu)勢(shì)如下：n 可疑行為檢測(cè)：該模塊可檢測(cè)服務(wù)器上可能發(fā)生的可疑行為。n 收集您的整個(gè)環(huán)境中的事件：Deep Security 日志審計(jì)模塊能夠收集許多事件并將其關(guān)聯(lián)起來(lái)，這些事件包括：Microsoft Windows、Linux 和 Solaris 平臺(tái)間的事件；來(lái)自 Web 服務(wù)器、郵件服務(wù)器、SSHD、Samba、Microsoft FTP 等的應(yīng)用程序事件；自定義應(yīng)用程序日志事件。n 關(guān)聯(lián)不同事件：收集各種警告、錯(cuò)誤和信息事件并將其關(guān)聯(lián)起來(lái)，包括系統(tǒng)消息（如磁盤已滿、通信錯(cuò)誤、服務(wù)事件、關(guān)機(jī)和系統(tǒng)更新）、應(yīng)用程序事件（如帳戶登錄/注銷/故障/鎖定、應(yīng)用程序錯(cuò)誤和通信錯(cuò)誤）、管理員操作（如管理員登錄/注銷/故障/鎖定、策略更改和帳戶更改）。n 有關(guān)合規(guī)性的可審計(jì)報(bào)告：可生成安全事件的完整審計(jì)記錄，以幫助滿足合規(guī)性要求，如 PCI 。 產(chǎn)品原理及架構(gòu)Deep Security 解決方案架構(gòu)包含三個(gè)組件：n Deep Security 代理，部署在受保護(hù)的服務(wù)器或虛擬機(jī)上。n Deep Security 管理器，提供集中式策略管理、發(fā)布安全更新并通過(guò)警報(bào)和報(bào)告進(jìn)行監(jiān)控。 安全中心安全中心是 Deep Security 解決方案中不可或缺的一部分。它包含一支由安全專家組成的動(dòng)態(tài)團(tuán)隊(duì)，這些專家在發(fā)現(xiàn)各種新的漏洞和威脅時(shí)便提供及時(shí)快速的響應(yīng)，從而幫助客戶對(duì)最新威脅做到防患于未然；同時(shí)，安全中心還包含一個(gè)用于訪問(wèn)安全更新和信息的客戶門戶。安全中心專家采用一套由復(fù)雜的自動(dòng)化工具所支持的嚴(yán)格的六步快速響應(yīng)流程：n 監(jiān)控：對(duì)超過(guò) 100 個(gè)公共、私有和政府?dāng)?shù)據(jù)源進(jìn)行系統(tǒng)化的持續(xù)監(jiān)控，以識(shí)別新的相關(guān)威脅和漏洞，并將其關(guān)聯(lián)起來(lái)。安全中心研究人員利用與不同組織的關(guān)系，獲取有關(guān)漏洞的早期（有時(shí)是預(yù)發(fā)布）信息，從而向客戶提供及時(shí)、準(zhǔn)確的防護(hù)。這些來(lái)源包括 Microsoft、Oracle 及其他供應(yīng)商顧問(wèn)、SANS、CERT、Bugtraq、VulnWatch、PacketStorm 以及 Securiteam。n 確定優(yōu)先級(jí)：然后根據(jù)客戶風(fēng)險(xiǎn)評(píng)估及服務(wù)等級(jí)協(xié)議確定漏洞的優(yōu)先級(jí)，以作進(jìn)一步分析。n 分析：對(duì)漏洞執(zhí)行深入分析，確定需要采取的必要防護(hù)措施。n 開發(fā)和測(cè)試：然后開發(fā)出可對(duì)漏洞實(shí)行防護(hù)的軟件過(guò)濾器以及可推薦過(guò)濾器的規(guī)則，并進(jìn)行廣泛的測(cè)試，以便最大限度地降低誤測(cè)率，并確?？蛻裟軌蚩焖?、順利地部署這些過(guò)濾器和規(guī)則。n 交付：將新過(guò)濾器作為安全更新交付給客戶。當(dāng)新的安全更新發(fā)布時(shí)，客戶將通過(guò) Deep Security 管理器中的警報(bào)立即收到通知。然后就可以將這些過(guò)濾器自動(dòng)或手動(dòng)應(yīng)用于相應(yīng)的服務(wù)器。n 通信：通過(guò)可提供有關(guān)新發(fā)現(xiàn)安全漏洞的詳細(xì)描述的安全顧問(wèn)，可實(shí)現(xiàn)與客戶之間的持續(xù)通信。