首頁
產品技術

網絡安全產品

安全檢測產品

慧眼安全檢測平臺

高級威脅檢測平臺

安全防護產品

綜合安全網關

應用防火墻

智能安全網關

入侵防禦系統

Web 應用防火墻

異常流量清洗系統

物聯網應用安全控製系統

上網行為管理及流控

視頻圖像安全防護網關

安全隔離與信息交換系統

大數據分析平臺

網絡安全風險管控平臺

先知威脅感知大數據平臺

安全審計產品

運維審計

日誌審計

運維一體機

數據安全

數據安全管控平臺

數據分類分級與風險評估系統

API風險監測系統

數據安全檢查工具箱

數據庫審計

數據庫安全網關

數據防泄漏系統

數據靜態脫敏系統

數據動態脫敏系統

數據加密系統

數據水印

工控安全

工控防火墻

工控監測審計系統

工控漏洞檢測平臺

工控安全監管與分析平臺

工控主機安全衛士系統

工控安全隔離與信息交換系統

零信任安全

零信任安全代理系統

終端檢測與響應系統XDR

網絡產品

核心交換機

DPX29000系列

DPX27000-G系列

DPX19000系列

DPX8000系列

匯聚交換機

LSW6600系列

LSW5662系列

LSW5620系列

接入交換機

LSW3620系列

LSW3600系列

算力交換機

LSW6600系列

WLAN產品

AP3100系列

ACS6100系列

自安全網絡產品

LSW5662-SE系列

LSW3600-SE系列

路由器產品

XR60系列

XR20系列

工業交換機

LSW5000系列

LSW3000系列

LSW2300系列

LSW1000系列

網絡管理平臺

UMC統一管理中心

智能分流產品

DPX29000系列

NTAP6600系列

應用交付

通用應用交付平臺

信創應用交付平臺

安全服務

安全運營服務

識別能力提升服務

防護能力提升服務

監測能力提升服務

響應能力提升服務

安全賦能服務

重大活動保障服務

攻防演習保障服務

重大活動安全保障服務

行業專項服務

電力藍隊安全建設服務

公安視頻監控網安全檢查服務

運營商新技術新業務評估服務

運營商數據安全合規性評估服務

運營商網元風險評估服務

SaaS雲安全服務

威脅監測與響應服務

安全評估服務

雲安全

雲安全管理平臺CSSMP
解決方案
支持與服務

服務

服務體系

備件體系

保修期查詢

License註冊

產品生命周期公告

產品安全

下載中心

產品文檔

軟件版本

特征庫

培訓中心

授權機構

培訓認證

在線報名

證書查詢
安全研究
合作夥伴
迪普動態
關於我們

修改資料

修改密碼

安全退出

Video and Image Security Interaction Gateway

視頻圖像安全防護網關

Video and Image Security Interaction Gateway

視頻圖像安全防護網關

> 產品技術>網絡安全產品>視頻圖像安全防護網關 >相關資源 >技術白皮書 >DPtech FW1000-VG技術白皮書

TECHNICAL WHITE PAPER

技術白皮書

1 概述
2 FW1000-VG產品主要功能
2.1 邊界訪問控製
2.1.1 訪問控製
2.1.2 協議識別
2.2 終端安全準入
2.2.1 基於終端特征準入機製
2.2.2 基於GB28181標準的準入機製
2.2.3 基於GB35114標準的準入機製
2.3 入侵防禦檢測
2.3.1 基於指紋特征的檢測技術
2.3.2 蠕蟲攻擊防護
2.3.3 SQL註入防護
2.3.4 XSS攻擊防護
2.3.5 緩沖區溢出防護
2.3.6 系統漏洞攻擊防護
2.3.7 碎片攻擊防護
2.3.8 未知威脅檢測防護
2.3.9 異常流量檢測技術
2.4 防病毒管理
2.5 可視化的大屏展示
2.6 詳細的日誌信息和檢索功能
2.7 標準化的對外日誌接口
3 FW1000-VG產品應用價值
3.1 視頻協議深度識別，邊界業務精準放管控
3.2 入侵防禦加防病毒，惡意行為無處盾形
3.3 網絡資產精準識別，終端信息多維呈現
3.4 業務流量全面審計，不法行為無處盾形
3.5 監管平臺級聯部署，邊界交互清洗可見
4 FW1000-VG產品部署模式
4.1 横向邊界部署模式
4.2 縱向邊界部署模式
5 FW1000-VG產品的優勢
5.1 與傳統安全設備的對比優勢
5.2 設備的軟件和硬件優勢

DPtech FW1000-VG技術白皮書

白皮書下載

1 概述

隨着“平安城市”、“雪亮工程”等項目的大力推進，我國已經建成世界上最大規模的視頻監控網絡，初步覆盖了公共區域重點單位和關鍵點位。公共安全視頻監控已經成為提升平安中國建設、能力和水平的基礎性工程，在維護社會秩序、保障民生、服務發展等方面發揮了重要作用。“早期的視頻監控系統是模擬的，幾乎不存在安全問題，叫閉路電視系統(CCTV)，在一個很小的範圍內使用，不聯網。但進入數字高清時代，視頻監控實現了數字化、網絡化之後就出現了網絡安全問題。尤其是目前在大規模聯網、雲計算和人工智能等新技術普及應用的背景下，視頻監控系統所面臨的安全威脅和手段發生了巨大的變化。而多數視頻網絡系統對安全方面規劃卻沒有跟上，所以導致了目前安全態勢嚴峻，隨着技術的發展以及業務實際需要，視頻監控聯網已經成了平安中國建設的重要任務之一。在加強治安防控、優化交通出行、服務城市管理、創新社會治理等方面取得顯著成效。其中“全程可控”就是指公共安全視頻監控系統聯網應用的分層安全體系基本建成，實現重要視頻圖像信息不失控，敏感視頻圖像信息不泄露。在視頻監控聯網工作開展得如火如荼之際，網絡安全問題日益凸顯，迪普科技多年致力於視頻安全防護產品研發工作，針對終端準入、安全防護已有DAC等相關安全產品，面的視頻大聯網大環境下，邊界安全防護如何處理，研發出下專門針對視頻網横縱向防護的FW1000-VG產品。本產品功能由訪問控製、設備準入、威脅防護、惡意代碼防護、協議識別、內容過濾、流量管控、信令安全以及媒體安全組成。

2 FW1000-VG產品主要功能

2.1 邊界訪問控製

2.1.1 訪問控製

FW1000-VG產品支持對數據的源IP、目的IP、源端口、目的端口、協議、數據內容等字段內容做策略，進行訪問控製。設備配置如圖1，當數據流接入時，提取數據的源IP、目的IP、源端口、目的端口、協議、數據信息和訪問控製策略匹配，若匹配成功，放通該數據流、若匹配失敗，阻斷數據並告警處理。

圖1 訪問控製配置界面

2.1.2 協議識別

FW1000-VG產品可以針對視頻控製信令、視頻數據、GA/T 1400實現協議單向放通或雙向放通。當數據接入到視頻專網時，對視頻協議數據逐包進行特征解析，並與訪問控製策略匹配，如果和訪問控製策略匹配成功則將協議數據放行，如果匹配失敗則將數據實時阻斷並進行實時告警。當視頻協議數據流放通時，記錄協商的視頻數據流，作為視頻數據的訪問策略，若視頻數據流的訪問策略為單向放通時，放通單向的視頻數據，若為雙向放通時，放通雙向的視頻數據，否則阻斷視頻數據，如圖2。

圖2 邊界訪問控製原理

2.2 終端安全準入

通過身份認證功能區分合法終端，有效防禦私接對網絡造成危害， FW1000-VG產品主要以下集中準入機製。

2.2.1 基於終端特征準入機製

FW1000-VG產品采集前端設備的IP、MAC、系統信息、類型等信息生成唯一指紋，對視頻監控設備的接入進行指紋識別，如果終端指紋和設備指紋庫信息一致，前端終端允許接入視頻專網，對指紋信息錯誤的終端實時阻斷並告警,如圖3 。

圖3 終端準入控製原理

2.2.2 基於GB28181標準的準入機製

GB28181作為公共安全視頻監控聯網系統信息傳輸、交換、控製技術要求，公安視頻傳輸網的設備應該遵循此標準進行信息傳輸、交換，視頻邊界安全要求必須符合GB28181的接入要求， FW1000-VG產品支持識別系統是否采用GB28181標準接入，對不符合國標的終端可進行告警和阻斷。

2.2.3 基於GB35114標準的準入機製

GB35114作為視頻監控聯網視頻信息以及控製信息安全保障的要求，在安全要求高的情況下強製要求按照GB35114-2017標準建設的視頻專網中， FW1000-VG產品通過對註冊報文，控製報文以及視頻流報文進行深度識別, 對不符合GB35114標準的終端進行實時阻斷並告警。

2.3 入侵防禦檢測

2.3.1 基於指紋特征的檢測技術

基於指紋特征的檢測技術主要用於漏洞的檢測和防禦，通過迪普漏洞研究團隊發布的漏洞以及自身挖掘的安全風險進行深度分析，提取出相應特征，配合高效匹配算法對報文進行高速精確匹配，阻斷此類攻擊。同時通過不斷自動或手動升級特征庫保證及時識別攻擊行為。攻擊檢測防禦模塊的基本功能和原理，如圖4。

圖4 IPS攻擊檢測及防禦原理圖

針對各種發生的攻擊行為，提供豐富的日誌和報表統計功能，包括攻擊源、目的IP和端口，攻擊發生時間，攻擊詳細描述信息以及相應CVE漏洞編號等。支持多維度報表信息，能夠按照攻擊級別、頻率、地址進行輸出和查看。便於管理員及時掌握網絡中存在的風險。

2.3.2 蠕蟲攻擊防護

蠕蟲攻擊在網絡中比較常見，蠕蟲病毒是通過網絡自我擴散，一般通過1434端口漏洞傳播；常見蠕蟲病毒有尼姆亞、飛客蠕蟲、熊貓燒香等。

FW1000-VG產品針對蠕蟲病毒，有非常全面的特征，通過識別特征，可以檢測網絡中是否存在蠕蟲掃描主機的行為，並阻斷其行為，從而進行有效的防護。

FW1000-VG產品時刻關註各種新型漏洞，並分析出特征添加到特征庫中，IPS可以通過在線自動升級特征庫，及時阻止未知蠕蟲的擴散。

2.3.3 SQL註入防護

SQL註入是利用程序中的漏洞，構造特殊的語句並提交以獲取敏感信息，如：

■ 獲取系統權限
■ 未經授權狀況下操作數據庫的數據
■ 惡意篡改網頁內容
■ 私自添加系統帳號或數據庫使用者帳號

FW1000-VG產品通過分析SQL語法和語義，在GET消息的URL部分和POST消息的負載部分檢測，進行精確識別，並對知名SQL註入攻擊進行特征提取，有效阻止SQL註入攻擊。

2.3.4 XSS攻擊防護

由於網站對輸入過濾不嚴格，攻擊者往Web頁面的HTML代碼中插入惡意的數據，用戶認為該頁面是可信賴的，當用戶浏覽該頁之時，嵌入Web頁裏的惡意代碼/腳本會被執行，導致浏覽該網頁的用戶被攻擊。

FW1000-VG產品通過分析XSS的語義，在GET消息的URL部分和POST消息的負載部分檢測，進行精確識別，有效阻止XSS攻擊。

2.3.5 緩沖區溢出防護

通過往程序的緩沖區寫超出其長度的內容，造成緩沖區的溢出，從而破壞程序的堆栈，造成程序崩潰或使程序轉而執行其它指令，以達到攻擊的目的。

FW1000-VG產品通過識別協議，匹配特征和合規化處理，有效阻止緩沖區溢出攻擊。

2.3.6 系統漏洞攻擊防護

漏洞攻擊是指不法者通過操作系統軟件或應用軟件本身的缺陷，植入木馬、病毒等方式來攻擊或控製電腦，從而竊取電腦中的重要信息，甚至破壞系統。

FW1000-VG產品通過專業的漏洞分析團隊分析各種安全漏洞，同時收集軟件提供商發布的漏洞及網絡上已知漏洞的特征，加入IPS特征庫，並實時關註新出現的漏洞，有效阻止漏洞攻擊。

2.3.7 碎片攻擊防護

IP數據包最長具有65535個字節，如果有意發送總長度超過65535 的IP碎片，一些老的系統內核在處理的時候就會出現問題，導致崩潰或者拒絕服務。另外，如果分片之間偏移量經過精心構造，一些系統就無法處理，導致死機。

當發現分片報文時，通過網絡數據包的IP協議層的id，使用DMA硬件拷貝技術，快速拷貝報文內容，不影響網絡數據的快速傳輸。通過綜合分析有關分片報文的信息，如分片報文的產生速度，分片報文的源IP和目的IP，相關協議的限製等等，根據用戶製定的規則，實現碎片攻擊可靠防護。

2.3.8 未知威脅檢測防護

FW1000-VG產品使用內置的協議防護策略，和系統內部集成的協議正規化規則，對不符合協議規則的網絡數據，進行防禦保護。

未知威脅檢測，主要針對應用層協議的正規化，如HTTP協議，SMTP協議，POP3協議，FTP協議等主流成熟的應用層協議。例如，當網絡數據流的使用HTTP協議，但HTTP的請求不符合RFC標準文檔的規範，系統利用內部集成了協議的正規化規則，會對數據流進行防護操作，以保證在網絡數據流中去除異常流量，或者控製異常流量的類別和數量。

2.3.9 異常流量檢測技術

主要通過動態規則過濾、異常流量限速和先進的“智能流量檢測”技術，實現多層次安全防護，精確檢測並阻斷各種網絡層和應用層的DoS/DDoS攻擊和未知惡意流量，包括SYN Flood、UDP Flood、ICMP Flood、DNS Query Flood、HTTP Get Flood、CC攻擊等各種攻擊。

豐富的異常流量日誌信息，包括攻擊前流量信息、清洗後流量信息、攻擊流量大小、時間及排序等信息以及攻擊趨勢分析等各種詳細的報表信息，便於了解網絡流量狀況。

2.4 防病毒管理

FW1000-VG產品通過集成專業病毒特征庫向用戶提供防病毒服務，能夠檢測HTTP、FTP、SMTP、POP3、IMAP、RAR、ZIP等傳輸的病毒。防病毒模塊可以以在線、旁路、橋接和混合等模式部署在網絡中，通過采用實時分析的方式，自動檢測、阻斷或重定向攜帶病毒的報文與異常流量。防病毒模塊提供的功能包括：

■ 防病毒規則管理
■ 防病毒特征查詢
■ 防病毒日誌

支持防禦文件型、網絡型和混合型等各類病毒，能夠通過新一代虛擬脫殼和行為判斷技術，準確查殺各種變種病毒、未知病毒。設定三種級別流行性病毒檢測，根據流行度，用戶可以配置開啟不同級別的病毒防護控製。防病毒特征庫定期更新以保證對新病毒的及時響應。防病毒模塊的基本功能和原理，如圖5。

圖5 IPS病毒檢測與防護原理圖

傳統的檢測病毒的方法，可以分為四種：特征代碼法，校驗和法，行為檢測法，和軟件模擬法。在網絡設備上實現防病毒功能，較好的方法就是特征代碼法。迪普科技FW1000-VG產品入侵防禦系統通過集成專業病毒庫，精確掃描經過設備的網絡數據流，如果與特征相符，就認定為病毒。不同的病毒特征，劃分病毒的流行度，可以有不同的防護動作，並生成日誌。迪普科技防病毒查殺具有：檢測準確快速、可識別病毒的名稱、誤報警率低等優點。

迪普科技的防病毒日誌有豐富的報表功能，能提供各種查詢條件，如病毒源IP，目的IP，病毒種類，各個時間段等等。日誌支持遠程發送，也支持日誌備份等操作。迪普科技IPS病毒庫以定期（每周）和緊急（當重大安全病毒特征被發現）兩種方式發布，並且能夠自動分發到用戶駐地的IPS中。

2.5 可視化的大屏展示

安全監管平臺支持大屏顯示，通過可視化方式展示資產數量、資產運行狀態、資產廠家統計、資產類型統計、資產在線率、網路鏈路質量以及入侵告警信息等信息，頁面，如圖6。

圖6 邊界大屏展示

2.6 詳細的日誌信息和檢索功能

安全監管平臺支持多種日誌信息，包括非法私接、非法仿冒、終端接入、終端行為、資產掃描、非法外聯、一機一檔、DdoS防護多種日誌信息，各種日誌信息支持全因素查詢檢索，如圖7，資產掃描日誌，支持基於設備IP、終端IP、廠商、類型、組織關系、變更原因以及時間的多維度查詢，方便用戶快速檢索有價值的信息。

圖7 日誌顯示頁面

2.7 標準化的對外日誌接口

FW1000-VG產品和UMC監管平臺支持標準Syslog日誌接口，和第三方平臺對接分兩種模式，模式一為FW1000-VG產品和第三方平臺對接，FW1000-VG直接發送流格式和Syslog兩種日誌類型；模式二為FW1000-VG設備把日誌發送給UMC監管平臺，監管平臺將上下線日誌、私接日誌、仿冒等日誌通過Syslog形式發送給第三方平臺。

3 FW1000-VG產品應用價值

3.1 視頻協議深度識別，邊界業務精準放管控

FW1000-VG產品默認集成視頻信令、視頻圖像、GA1400規定協議的訪問控製功能，支持單向和雙向放通，可用於視頻邊界和數據邊界的安全防護，協議支持基於源IP地址、目的IP地址、協議、源端口、目的端口以及應用數據的特征自定義，支持1500深度的特征自定義，業務策略支持告警和阻斷兩種功能，可以滿足視頻邊界安全防護的需要，符合國家標準和行業標準的安全建設需求。

3.2 入侵防禦加防病毒，惡意行為無處盾形

FW1000-VG產品集成IPS和防病毒功能，入侵防禦系統具有全面的特征庫、先進的雙病毒引擎及專業的四大檢測引擎可對層出不窮的漏洞威脅及攻擊手段提供全面的防護和加固。和安全監管平臺配合，全方位展示用戶網絡安全態勢情況，幫助用戶直觀了解現網安全狀況，及時消除安全隱患。

3.3 網絡資產精準識別，終端信息多維呈現

FW1000-VG產品通過手動設置和被動提取兩種方式，提取終端行為特征，實現對終端精準識別，平臺集成5000多種協議的，建立統一的資產庫，解決多安防廠家並存的情況下接入資產難以統一監管的問題，可以滿足不同邊界的安全準入控製。

3.4 業務流量全面審計，不法行為無處盾形

FW1000-VG產品對非法業務流量和合法業務流量進行審計，通過安全監管平臺實時展示和記錄非法訪問行為和正常業務，通過非法流量告警日誌實現前端風險實時精準定位，通過大屏快速呈現在什麽地點、什麽時間發生了什麽行為，讓網絡風險降到最低。通過合法業務的記錄，可以回溯三個月內正常訪問業務系統的所有行為。

3.5 監管平臺級聯部署，邊界交互清洗可見

FW1000-VG監管平臺支持三級級聯部署，下級平臺實時向上級平臺匯總日誌信息，支持邊界安全設備的運行狀態監管、視頻業務統計、流出和流入流量統計、日誌告警信息暫時、IP統計、告警統計、日誌類型等多維度統計，通過可視化頁面直觀展示邊界安全的防護情況。

4 FW1000-VG產品部署模式

4.1 横向邊界部署模式

横向安全交互平臺分為路由接入區，邊界防護區、應用服務區、安全隔離去，FW1000-VG產品部署於邊界防護區，一臺設備可以滿足所有邊界防護的能力，且支持多種NAT模式，滿足網絡隔離需求。

圖8 横向FW1000-VG產品部署

4.2 縱向邊界部署模式

縱向接入安全防護系統是在視頻資源接入時以及上下級的視頻圖像信息系統之間建立的安全防護系統，用於視頻資源接入和上下級之間的縱向連接。縱向接入安全防護系統不隔離路由，上下級系統之間應用路由可達。縱向連接應采用符合GB/T 28181及GB 35114—2017視頻聯網協議、GA/T 1400視圖庫協議和其他必要的遠程訪問、運維和安全服務的交互。

圖9 縱向FW1000-VG產品部署