数默科技 - 烽火台-防火墙安全自检系统（FWS）

防火墙长期处于“灯下黑”

在过去近10年的漏洞曝光中，无论是国外品牌还是国内品牌的防火墙都曾多次被曝光漏洞。2022年，国家计算机病毒应急处理中心发布了美国对外攻击窃密所使用的主战网络武器“NOPEN”的分析文章，该网络武器具备超强的边界突防能力，美方针对网络防火墙、路由器、交换机、VPN等网络设备0day漏洞储备丰富，能隐蔽打入控制边界和网络设备，进行流量转发达到数据窃密的目的，并将此作为持续攻击内网目标的中继站。例如在对中东最大SWIFT服务提供商EastNets攻击中，美方就先后入侵了外层的VPN防火墙和内层企业级防火墙，并在防火墙上安装了木马。由于“防火墙”设备脆弱性，黑客们都非常乐于对防火墙发起攻击，在拿下防火墙后再进一步对内网进行渗透和数据窃取。防火墙作为“网络边界”设备的脆弱性已经成为了我国重要关键信息基础设施的主要风险之一。要防止防火墙这个最基础的网络安全设备成为”内鬼“。

// product

烽火台

烽火台-防火墙安全自检系统以网络协议识别解码、高性能流量处理技术为基础，通过旁路部署在网络外侧，首先基于行为模型自动从海量流量中甄别”防火墙“设备自身产生的网络通讯行为，结合多种高级网络行为检测模型，能够帮助用户有效发现防火墙漏洞被利用等风险，发现针对防火墙等网络边界安全设备的网络攻击行为。

// Technical advantages

技术优势

精准的防火墙流量鉴别能力

基于流量被动识别技术，系统具备从海量数据报文中精准识别“防火墙”设备自身流量的能力，能够从繁杂的网络出口流量中发现细微的异常通讯。

高性能流量处理能力

烽火台具备万兆实时全流量的处理性能，能够对通讯过程中产生的日志，文件，SSL证书，原始报文进行完整还原，能够为数据建模提供丰富的数据源。

基于流量行为的威胁发现能力

烽火台对攻击的发现主要依赖流量行为模型检测，能够不依赖已知的攻击特征有效发现攻击行为，并能对防火墙遭受的所有攻击进行全流量溯源。

//Core functions

核心功能

防火墙流量识别

”烽火台“继承了数默公司的“全流量“基因，通过将系统部署在目标网络出口外侧进行数据包抓取。并得益于多年来积累的1000多种网络协议识别和数据解码能力，利用自主研发的网络协议识别引擎、全流量技术和网络边界设备数据提取技术，对流经防火墙的所有流量深度分析，实现对防火墙设备自身流量的精准识别。

防火墙流量存储

系统对数据充分筛选清洗，可以提取出干净的防火墙自身流量。由于防火墙设备自己产生的流量相对较小，因此，系统可以对“边界”进行长时间的全流量数据存储，90%以上的“边界”取证时间超过一年。在留存原始数据包的基础上，系统还可以充分还原流量中的文件、元数据等数据，为威胁研判提供完整的数据支持。

高级攻击行为识别

”烽火台“内置了几十种攻击者和受攻击边界设备的异常行为检测模型、相关模型准确的识别异常网络行为。实现对防火墙设备的漏洞利用，暴力破解，心跳连接，主动外连，异常加密流量、数据外传等高风险的网络行为。基于异常行为识别的告警准确性高，能够有效降低安全运营团队的工作压力。

攻击者动态监控

对于防火墙而言，在排除白名单IP以外所有尝试与之通信的IP都可视为攻击者，系统提供统一的视图展示每个攻击者的流量收、发趋势，历史触发威胁事件和研判结论。分析人员可以结合历史信息对攻击者进行综合研判，特别是针对大流量的已知高危攻击者需要重点关注，优先进行研判和阻断。

多维数据取证

基于对原始流量数据的深度解码和信息还原，“烽火台”提供了包括原始数据包在内多种数据类型，包括数十种元数据日志、几十种可执行文件、邮件、SSL加密证书等多种数据类型，分析人员可根据分析需要灵活设置对检索条件，将特定线索的原始数据全量下载，实现对攻击行为全流量的数据取证。

智能可视化监控

“烽火台”利用可视化的图形技术将与防火墙相关的异常IP进行图形化展示，能够帮助分析人员提高对边界安全的洞察力。分析人员可以通过可视化监控视图快速了解企业的各个网络边界是否存在异常IP通讯、利用边界设备的数据传输、历史告警等信息。快速了解在不同的历史周期中是否存在异常通讯行为。

//TOPOLOGY

系统部署

系统采用旁路方式部署，首先评估防火墙相关网络出口吞吐量，根据上下行流量汇总选择万兆或千兆设备。如果需要对多个网路边界进行检测，也需要综合评估多链路的总流量情况，并配置多个采集口实现多链路数据检测分析。

Gallery

Contacts

烽火台-防火墙安全自检系统（FWS）