產品描述

深信服(fu)下(xia)(xia)一代防(fang)火(huo)墻（Next-Generation Application Firewall）NGAF是面(mian)向應(ying)(ying)用(yong)(yong)(yong)層(ceng)(ceng)(ceng)(ceng)(ceng)(ceng)設(she)計，能(neng)夠精(jing)確識別用(yong)(yong)(yong)戶、應(ying)(ying)用(yong)(yong)(yong)和內(nei)容，具(ju)(ju)備完整(zheng)安(an)(an)全(quan)(quan)(quan)(quan)(quan)(quan)(quan)(quan)防(fang)護(hu)(hu)能(neng)力(li)，能(neng)夠全(quan)(quan)(quan)(quan)(quan)(quan)(quan)(quan)面(mian)替代傳(chuan)統(tong)(tong)防(fang)火(huo)墻，并(bing)具(ju)(ju)有強(qiang)勁應(ying)(ying)用(yong)(yong)(yong)層(ceng)(ceng)(ceng)(ceng)(ceng)(ceng)處理能(neng)力(li)的(de)(de)全(quan)(quan)(quan)(quan)(quan)(quan)(quan)(quan)新網絡安(an)(an)全(quan)(quan)(quan)(quan)(quan)(quan)(quan)(quan)設(she)備。NGAF解決了傳(chuan)統(tong)(tong)安(an)(an)全(quan)(quan)(quan)(quan)(quan)(quan)(quan)(quan)設(she)備在(zai)應(ying)(ying)用(yong)(yong)(yong)識別、訪問控制、內(nei)容安(an)(an)全(quan)(quan)(quan)(quan)(quan)(quan)(quan)(quan)防(fang)護(hu)(hu)等(deng)方(fang)面(mian)的(de)(de)不足(zu)，同時開啟所有功能(neng)后性能(neng)不會大幅下(xia)(xia)降。作為傳(chuan)統(tong)(tong)防(fang)火(huo)墻的(de)(de)升(sheng)級替代產品，深信服(fu)NGAF不同于工作在(zai)L2-L4層(ceng)(ceng)(ceng)(ceng)(ceng)(ceng)的(de)(de)傳(chuan)統(tong)(tong)防(fang)火(huo)墻，可以對(dui)(dui)(dui)全(quan)(quan)(quan)(quan)(quan)(quan)(quan)(quan)網流(liu)量進行雙向深入(ru)數據內(nei)容層(ceng)(ceng)(ceng)(ceng)(ceng)(ceng)面(mian)的(de)(de)全(quan)(quan)(quan)(quan)(quan)(quan)(quan)(quan)面(mian)透析。在(zai)安(an)(an)全(quan)(quan)(quan)(quan)(quan)(quan)(quan)(quan)策略(lve)制定(ding)(ding)方(fang)面(mian)，區(qu)域別于傳(chuan)統(tong)(tong)防(fang)火(huo)墻五元(yuan)組安(an)(an)全(quan)(quan)(quan)(quan)(quan)(quan)(quan)(quan)策略(lve)，第(di)二(er)代防(fang)火(huo)墻可對(dui)(dui)(dui)L2-L7層(ceng)(ceng)(ceng)(ceng)(ceng)(ceng)更(geng)(geng)(geng)多的(de)(de)元(yuan)素（如，用(yong)(yong)(yong)戶、應(ying)(ying)用(yong)(yong)(yong)類(lei)型、URL、數據內(nei)容等(deng)）制定(ding)(ding)雙向的(de)(de)安(an)(an)全(quan)(quan)(quan)(quan)(quan)(quan)(quan)(quan)訪問策略(lve)，使安(an)(an)全(quan)(quan)(quan)(quan)(quan)(quan)(quan)(quan)策略(lve)更(geng)(geng)(geng)精(jing)細、更(geng)(geng)(geng)有效(xiao)，且(qie)滿足(zu)業務的(de)(de)合(he)規(gui)性；在(zai)安(an)(an)全(quan)(quan)(quan)(quan)(quan)(quan)(quan)(quan)防(fang)護(hu)(hu)能(neng)力(li)方(fang)面(mian)，提升(sheng)了傳(chuan)統(tong)(tong)的(de)(de)抗攻(gong)擊(ji)(ji)(ji)的(de)(de)能(neng)力(li)，不僅能(neng)防(fang)護(hu)(hu)網絡層(ceng)(ceng)(ceng)(ceng)(ceng)(ceng)的(de)(de)攻(gong)擊(ji)(ji)(ji)，針對(dui)(dui)(dui)來源(yuan)更(geng)(geng)(geng)廣泛、攻(gong)擊(ji)(ji)(ji)更(geng)(geng)(geng)容易、危(wei)害更(geng)(geng)(geng)大的(de)(de)應(ying)(ying)用(yong)(yong)(yong)層(ceng)(ceng)(ceng)(ceng)(ceng)(ceng)攻(gong)擊(ji)(ji)(ji)也可以進行防(fang)護(hu)(hu)，實(shi)現L2-L7層(ceng)(ceng)(ceng)(ceng)(ceng)(ceng)的(de)(de)安(an)(an)全(quan)(quan)(quan)(quan)(quan)(quan)(quan)(quan)防(fang)護(hu)(hu)。同時，深信服(fu)下(xia)(xia)一代防(fang)火(huo)墻NGAF采用(yong)(yong)(yong)全(quan)(quan)(quan)(quan)(quan)(quan)(quan)(quan)新的(de)(de)軟硬件架構，減小在(zai)多種復(fu)雜(za)的(de)(de)安(an)(an)全(quan)(quan)(quan)(quan)(quan)(quan)(quan)(quan)策略(lve)和L2-L7層(ceng)(ceng)(ceng)(ceng)(ceng)(ceng)多功能(neng)防(fang)護(hu)(hu)功能(neng)全(quan)(quan)(quan)(quan)(quan)(quan)(quan)(quan)部開啟時對(dui)(dui)(dui)性能(neng)的(de)(de)消耗，實(shi)現應(ying)(ying)用(yong)(yong)(yong)層(ceng)(ceng)(ceng)(ceng)(ceng)(ceng)高性能(neng)。

         區別于傳統的(de)(de)(de)網(wang)絡層(ceng)(ceng)防火(huo)墻，NGAF具備(bei)L2-L7層(ceng)(ceng)的(de)(de)(de)協議(yi)的(de)(de)(de)理解(jie)能(neng)力(li)。不(bu)僅能(neng)夠(gou)實現網(wang)絡層(ceng)(ceng)訪問控(kong)制(zhi)的(de)(de)(de)功能(neng)，且能(neng)夠(gou)對(dui)應用(yong)進行識(shi)別、控(kong)制(zhi)、防護(hu)，解(jie)決了傳統防火(huo)墻應用(yong)層(ceng)(ceng)控(kong)制(zhi)和防護(hu)能(neng)力(li)不(bu)足的(de)(de)(de)問題。

         區(qu)別(bie)于(yu)傳統DPI技術的(de)(de)入侵防御系(xi)統，深信(xin)服NGAF具備深入應用內(nei)容的(de)(de)威脅分析(xi)能(neng)力，具備雙(shuang)向的(de)(de)內(nei)容檢(jian)測能(neng)力為(wei)用戶(hu)提(ti)供完(wan)整(zheng)的(de)(de)應用層(ceng)安(an)全防護功能(neng)。

         同樣都能防護web攻(gong)擊，與web應用防火墻關注web應用程序(xu)安全的(de)設計理念不同，深信服下一代防火墻NGAF關注web系(xi)統在對(dui)外發布(bu)的(de)過程中各個(ge)層(ceng)面的(de)安全問題，為(wei)對(dui)外發布(bu)系(xi)統打造堅實的(de)防御體(ti)系(xi)。

二、下一(yi)代(dai)防火(huo)墻的標準

         Gartner在2009年發布(bu)了一份名(ming)為《Defining the Next-GenerationFirewall》的文(wen)章(zhang)，給出了真正能夠滿足用戶當前安全(quan)需求的下一代防火墻（NGFW）定義。

         結合安(an)(an)全發展趨勢和國(guo)內用戶的(de)安(an)(an)全建(jian)設現狀(zhuang)，深信服認為(wei)下一代防火墻(qiang)需要滿(man)足以(yi)下幾個方面(mian)的(de)特(te)點(dian)：

         防應用層攻擊

         75%的(de)安(an)(an)全威脅源自應(ying)用層(ceng)(ceng)，下一(yi)代防火墻應(ying)該具備應(ying)用層(ceng)(ceng)協議的(de)識別能力(li)，并能針對應(ying)用層(ceng)(ceng)安(an)(an)全威脅提供完整(zheng)的(de)解決方案。彌補(bu)傳統安(an)(an)全設備由于工作在網絡，只解析網絡層(ceng)(ceng)數據(ju)包，無法(fa)理解應(ying)用層(ceng)(ceng)協議并防護應(ying)用層(ceng)(ceng)的(de)安(an)(an)全威脅的(de)問題。

         雙向內容檢測

         為了(le)(le)解(jie)決傳(chuan)統(tong)安(an)全(quan)設備只針對(dui)(dui)外(wai)部攻擊(ji)防(fang)護的問題，下一代防(fang)火墻應(ying)該具(ju)備雙向(xiang)的內容檢測能(neng)力。除了(le)(le)能(neng)夠防(fang)護外(wai)部攻擊(ji)以外(wai)，需(xu)要對(dui)(dui)服務器響(xiang)應(ying)的反饋內容進(jin)行嚴格的安(an)全(quan)檢查。以提供防(fang)網頁篡改，防(fang)敏感信(xin)息泄露等功能(neng)

         涵蓋傳統安全

         應用(yong)層(ceng)的(de)安(an)全威脅日益盛(sheng)行，但源自底層(ceng)的(de)網(wang)絡層(ceng)安(an)全威脅仍然存在(zai)，其危害性也不容忽視。下一(yi)代防火墻(qiang)應該(gai)涵蓋傳統防火墻(qiang)、IPS、VPN等(deng)功能，以減(jian)少(shao)多設備串行部署單點故障、性能瓶(ping)頸以及風險(xian)無(wu)法統一(yi)定位的(de)問(wen)題。同(tong)時從用(yong)戶長(chang)遠利益考慮減(jian)少(shao)重(zhong)復無(wu)效的(de)投資，實(shi)現最優的(de)投資回(hui)報。

         應用層高性能

         雖然多功能(neng)(neng)網關具備(bei)部分應用安全(quan)防護能(neng)(neng)力，但其(qi)傳統安全(quan)設備(bei)的集成(cheng)、串行(xing)部署(shu)的方(fang)式，使(shi)(shi)其(qi)在多種功能(neng)(neng)開啟之后(hou)性(xing)能(neng)(neng)急劇下(xia)(xia)降，最終只(zhi)能(neng)(neng)當傳統防火(huo)墻使(shi)(shi)用。下(xia)(xia)一代防火(huo)墻應該從軟件構架、硬件構架兩(liang)方(fang)面徹底改變多功能(neng)(neng)網關由于(yu)多功能(neng)(neng)堆(dui)疊、串行(xing)部署(shu)導致的性(xing)能(neng)(neng)瓶頸問題，具備(bei)應用層高性(xing)能(neng)(neng)實(shi)現萬兆(zhao)的吞吐。

三(san)、深信服NGAF獨(du)特的產(chan)品功能特點

 1.精細的應用(yong)安全訪問控制(zhi)

1.1可視化的應用識別

         傳(chuan)統(tong)防(fang)(fang)火(huo)墻(qiang)(qiang)最(zui)主(zhu)要(yao)的(de)(de)用途就是在非信任網絡與信任網絡通(tong)過訪(fang)問控(kong)制實(shi)現安(an)全管理。過去一(yi)個端(duan)口(kou)便代表了(le)一(yi)個應用，防(fang)(fang)火(huo)墻(qiang)(qiang)的(de)(de)問題(ti)并沒有完全暴露出來。而(er)隨(sui)著應用程序的(de)(de)不斷發(fa)展，采用端(duan)口(kou)跳(tiao)躍、端(duan)口(kou)逃逸、多端(duan)口(kou)、隨(sui)機端(duan)口(kou)的(de)(de)應用越(yue)來越(yue)多，使得傳(chuan)統(tong)防(fang)(fang)火(huo)墻(qiang)(qiang)五(wu)元組的(de)(de)訪(fang)問控(kong)制策(ce)略(lve)可(ke)讀(du)性、可(ke)視性，可(ke)控(kong)性受到巨(ju)大沖擊，傳(chuan)統(tong)防(fang)(fang)火(huo)墻(qiang)(qiang)在web2.0時代已無法(fa)滿足精細化訪(fang)問控(kong)制的(de)(de)需求。

         NGAF具有卓越的(de)(de)應(ying)用(yong)可視化(hua)功能，通過(guo)多種應(ying)用(yong)識別(bie)技術形成國內最大(da)的(de)(de)應(ying)用(yong)特(te)征識別(bie)庫(ku)，可精確識別(bie)內外(wai)網的(de)(de)采(cai)用(yong)端(duan)口(kou)(kou)跳躍、端(duan)口(kou)(kou)逃(tao)逸、多端(duan)口(kou)(kou)、隨機端(duan)口(kou)(kou)的(de)(de)各類(lei)應(ying)用(yong)，為下一代防火墻實現用(yong)戶與應(ying)用(yong)的(de)(de)精細化(hua)訪問控制(zhi)提供(gong)技術基礎。

1.2智能用戶身份識別

         NGAF用戶(hu)識別功能可以與8種認證系(xi)統（AD、LDAP、Radius等）、應用系(xi)統（POP3、SMTP等）無縫對(dui)接，通過單(dan)點(dian)登錄的方式自動識別出網絡當中(zhong)IP地址(zhi)對(dui)應的用戶(hu)信息，并(bing)建(jian)立(li)組(zu)織(zhi)的用戶(hu)分(fen)組(zu)結構。

1.3面向用戶與應用的控制策略

         區(qu)別(bie)于(yu)傳(chuan)統防(fang)火(huo)墻(qiang)的五元組訪(fang)問控(kong)制策(ce)略，下一代防(fang)火(huo)墻(qiang)可通過(guo)應用(yong)可視化(hua)功能與(yu)用(yong)戶識別(bie)技術結(jie)合制定(ding)的L3-L7一體化(hua)應用(yong)控(kong)制策(ce)略, 可以為用(yong)戶提(ti)供更加精細和直(zhi)觀化(hua)控(kong)制界面(mian)，在一個(ge)界面(mian)下完成多(duo)套設(she)備的運維(wei)工作，提(ti)升工作效率。

1.4基于應用的流量控制

         區別于傳(chuan)統防(fang)火墻(qiang)的簡單(dan)的基(ji)(ji)(ji)于數據包優先級的轉(zhuan)發(fa)QOS流量(liang)(liang)管理(li)(li)策略。深信服NGAF可提供基(ji)(ji)(ji)于用(yong)(yong)戶和應(ying)用(yong)(yong)的流量(liang)(liang)管理(li)(li)功能，能夠基(ji)(ji)(ji)于應(ying)用(yong)(yong)做流量(liang)(liang)控(kong)制(zhi)，實現阻斷非法(fa)流量(liang)(liang)、限制(zhi)無關流量(liang)(liang)保證(zheng)核心業務的可視化流量(liang)(liang)管理(li)(li)價值。

2.全面的(de)應(ying)用安(an)全防護能力

2.1強化web攻擊防護

     深信服(fu)下一代防(fang)(fang)(fang)火墻NGAF采用(yong)攻(gong)擊(ji)特征(zheng)+主動防(fang)(fang)(fang)御(yu)相結(jie)合(he)的(de)(de)(de)雙重防(fang)(fang)(fang)護(hu)(hu)模(mo)式(shi)，可有效(xiao)保護(hu)(hu)web業(ye)務(wu)安全(quan)(quan)(quan)(quan)。攻(gong)擊(ji)特征(zheng)的(de)(de)(de)防(fang)(fang)(fang)護(hu)(hu)模(mo)式(shi)有效(xiao)結(jie)合(he)了web攻(gong)擊(ji)的(de)(de)(de)靜態規(gui)則及基(ji)于黑客攻(gong)擊(ji)過程的(de)(de)(de)動態防(fang)(fang)(fang)御(yu)機(ji)制，提供OWASP定義的(de)(de)(de)十大安全(quan)(quan)(quan)(quan)威(wei)脅(xie)的(de)(de)(de)攻(gong)擊(ji)防(fang)(fang)(fang)護(hu)(hu)功能，有效(xiao)防(fang)(fang)(fang)止(zhi)常見(jian)的(de)(de)(de)web安全(quan)(quan)(quan)(quan)威(wei)脅(xie)。如SQL注入、XSS跨站(zhan)腳本、CSRF跨站(zhan)請求偽造，敏(min)感信息泄露等，主動模(mo)式(shi)可提供參數(shu)類型(xing)學(xue)習(xi)的(de)(de)(de)主動防(fang)(fang)(fang)御(yu)和自定義參數(shu)防(fang)(fang)(fang)護(hu)(hu)等個性(xing)化配置，保護(hu)(hu)web系統免受(shou)網(wang)站(zhan)篡改(gai)、網(wang)頁掛(gua)馬、隱私侵(qin)犯、身(shen)份竊(qie)取、經濟損失、名(ming)譽損失等問題。深信服(fu)NGAF于2013年1月通過了OWASP Web安全(quan)(quan)(quan)(quan)項目(mu)的(de)(de)(de)測試，設備(bei)的(de)(de)(de)安全(quan)(quan)(quan)(quan)防(fang)(fang)(fang)護(hu)(hu)等級被評(ping)為4星（5星滿(man)分。）

      ;                                   

2.2基于應用的深度入侵防御

         NGAF基于應用(yong)的(de)深(shen)度(du)入(ru)侵防御采(cai)用(yong)六大威脅(xie)(xie)檢(jian)測機制：攻擊(ji)(ji)(ji)(ji)(ji)特(te)征檢(jian)測、特(te)殊攻擊(ji)(ji)(ji)(ji)(ji)檢(jian)測、威脅(xie)(xie)關(guan)聯(lian)分(fen)析、異(yi)常流量(liang)檢(jian)測、協(xie)議(yi)異(yi)常檢(jian)測、深(shen)度(du)內容分(fen)析能夠(gou)有(you)效的(de)防止各(ge)類已(yi)知(zhi)未知(zhi)攻擊(ji)(ji)(ji)(ji)(ji)，實時阻斷黑(hei)客(ke)攻擊(ji)(ji)(ji)(ji)(ji)。如，緩沖區溢出攻擊(ji)(ji)(ji)(ji)(ji)、利用(yong)漏(lou)洞的(de)攻擊(ji)(ji)(ji)(ji)(ji)、協(xie)議(yi)異(yi)常、蠕(ru)蟲、木馬(ma)、后門(men)、DoS/DDoS攻擊(ji)(ji)(ji)(ji)(ji)探測、掃描、間諜(die)軟件、以及(ji)各(ge)類IPS逃逸攻擊(ji)(ji)(ji)(ji)(ji)等。

2.3高效精確的病毒檢測能力

         NGAF提供先進的病毒(du)防(fang)護(hu)功能，可從源頭(tou)對HTTP、FTP、SMTP、POP3等協議(yi)流(liu)(liu)量中進行(xing)病毒(du)查殺，也可查殺壓縮包(bao)（zip，rar，gzip等）中的病毒(du)。同時采用高效(xiao)的流(liu)(liu)式(shi)掃描技術(shu)，可大幅提升病毒(du)檢測(ce)效(xiao)率(lv)避免(mian)防(fang)病毒(du)成(cheng)為網絡(luo)安全的瓶(ping)頸(jing)。

2.4DOS/DDOS攻擊防護

         NGAF可防(fang)護基(ji)于數據(ju)包的(de)(de)DOS攻(gong)擊、IP協(xie)議(yi)報(bao)文的(de)(de)DOS攻(gong)擊、TCP協(xie)議(yi)報(bao)文的(de)(de)DOS攻(gong)擊、基(ji)于HTTP協(xie)議(yi)的(de)(de)DOS攻(gong)擊等，實現對網絡層、應(ying)用層的(de)(de)各(ge)類資(zi)源耗(hao)盡的(de)(de)拒絕服務攻(gong)擊的(de)(de)防(fang)護，實現L2-L7層的(de)(de)異常流量(liang)清洗。

2.5專業攻防研究團隊確保持續更新

         NGAF的(de)(de)統一威脅(xie)(xie)識別具備3000+條(tiao)漏洞特征(zheng)庫、數十萬條(tiao)病(bing)毒、木馬等惡意(yi)內容(rong)特征(zheng)庫、2000+Web應用威脅(xie)(xie)特征(zheng)庫，可以全(quan)面識別各種應用層和(he)內容(rong)級別的(de)(de)各種安(an)(an)全(quan)威脅(xie)(xie)。其漏洞特征(zheng)庫已通過國際最著名的(de)(de)安(an)(an)全(quan)漏洞庫CVE嚴(yan)格(ge)的(de)(de)兼容(rong)性(xing)(xing)標準評審(shen)，獲得CVE兼容(rong)性(xing)(xing)認證（CVE Compatible）。

         深信服憑借在(zai)(zai)應用層領域6年(nian)以(yi)上的(de)技術積累組建了專業的(de)安全攻(gong)防團隊，作(zuo)(zuo)為微(wei)軟的(de)MAPP（Microsoft Active Protections Program）項目合作(zuo)(zuo)伙(huo)伴(ban)，可以(yi)在(zai)(zai)微(wei)軟發布安全更(geng)新前獲(huo)得漏(lou)洞(dong)信息，為客戶(hu)提供更(geng)及時有效的(de)保護，以(yi)確(que)保防御(yu)的(de)及時性。

3.獨特(te)的雙(shuang)向(xiang)內容檢測技術

3.1網關型網頁防篡改

         網(wang)(wang)頁防(fang)篡(cuan)改是(shi)NGAF服務器(qi)防(fang)護中的一個子模(mo)塊，其(qi)(qi)設計目的在于(yu)提供的一種事后(hou)補償防(fang)護手段，即(ji)使黑客繞過安全防(fang)御體系修改了網(wang)(wang)站內(nei)容(rong)，其(qi)(qi)修改的內(nei)容(rong)也不會發布到(dao)最終(zhong)用戶處，從(cong)而避免因網(wang)(wang)站內(nei)容(rong)被篡(cuan)改給組織單位造成的形象(xiang)破壞、經(jing)濟損失等問題。

         NGAF通過網(wang)(wang)關型(xing)的(de)(de)網(wang)(wang)頁防篡(cuan)(cuan)改(gai)（對(dui)服務(wu)器“0”影(ying)響），第(di)一(yi)時(shi)間攔截網(wang)(wang)頁篡(cuan)(cuan)改(gai)的(de)(de)信息(xi)并通知管(guan)理員確(que)認。同時(shi)對(dui)外(wai)提供篡(cuan)(cuan)改(gai)重(zhong)定向功(gong)能，提供正(zheng)常(chang)界面、友好界面、web備份服務(wu)器的(de)(de)重(zhong)定向，保證用戶(hu)仍可正(zheng)常(chang)訪問網(wang)(wang)站。NGAF網(wang)(wang)站篡(cuan)(cuan)改(gai)防護(hu)功(gong)能使用網(wang)(wang)關實現(xian)動靜(jing)態(tai)網(wang)(wang)頁防篡(cuan)(cuan)改(gai)功(gong)能。這(zhe)種實現(xian)方式相對(dui)于(yu)(yu)主(zhu)機部署(shu)類防篡(cuan)(cuan)改(gai)軟件而言，客(ke)戶(hu)無需在(zai)(zai)服務(wu)器上(shang)安裝第(di)三方軟件，易(yi)于(yu)(yu)使用和維護(hu)，在(zai)(zai)防篡(cuan)(cuan)改(gai)部分基于(yu)(yu)網(wang)(wang)絡字節流的(de)(de)檢(jian)測(ce)與(yu)恢復，對(dui)服務(wu)器性(xing)能沒有影(ying)響。

3.2可定義的敏感信息防泄漏

         NGAF提供可定義的敏感信(xin)(xin)息(xi)(xi)防(fang)泄漏功能，根據儲(chu)存的數據內容可根據其特征清晰定義，通過短信(xin)(xin)、郵件報警及連接(jie)請(qing)求阻(zu)(zu)斷的方式防(fang)止(zhi)大量(liang)的敏感信(xin)(xin)息(xi)(xi)被竊(qie)取。深(shen)信(xin)(xin)服敏感信(xin)(xin)息(xi)(xi)防(fang)泄漏解決方案(an)可以自定義多種敏感信(xin)(xin)息(xi)(xi)內容進行有效識(shi)別、報警并(bing)阻(zu)(zu)斷，防(fang)止(zhi)大量(liang)敏感信(xin)(xin)息(xi)(xi)被非法(fa)泄露。（如(ru)：用戶信(xin)(xin)息(xi)(xi)/郵箱賬(zhang)戶信(xin)(xin)息(xi)(xi)/MD5加密(mi)密(mi)碼(ma)(ma)/銀行卡(ka)號(hao)/身(shen)份(fen)證號(hao)碼(ma)(ma)/社保賬(zhang)號(hao)/信(xin)(xin)用卡(ka)號(hao)/手(shou)機號(hao)碼(ma)(ma)……）

3.3僵尸網絡檢測隔離

NGAF獨有的(de)(de)(de)僵尸(shi)網(wang)絡(luo)(luo)檢(jian)(jian)(jian)測隔離(li)功能，應(ying)用NGAF對(dui)外發(fa)(fa)流量(liang)(liang)(liang)的(de)(de)(de)檢(jian)(jian)(jian)測能夠(gou)判斷服務器或終端由(you)于中了(le)病毒(du)木馬向(xiang)外發(fa)(fa)起的(de)(de)(de)惡意(yi)(yi)流量(liang)(liang)(liang)。該功能融合了(le)僵尸(shi)網(wang)絡(luo)(luo)識別(bie)庫，利(li)用業界領先的(de)(de)(de)僵尸(shi)網(wang)絡(luo)(luo)識別(bie)檢(jian)(jian)(jian)測技術對(dui)黑客(ke)的(de)(de)(de)攻(gong)擊行(xing)為進行(xing)有效(xiao)識別(bie)，針對(dui)以(yi)反(fan)彈式木馬為代表的(de)(de)(de)惡意(yi)(yi)軟(ruan)件進行(xing)深(shen)(shen)度防(fang)(fang)護，可(ke)識別(bie)僵尸(shi)網(wang)絡(luo)(luo)流量(liang)(liang)(liang)達15萬(wan)條(tiao)，并由(you)深(shen)(shen)信服攻(gong)防(fang)(fang)團隊實時更新。同時，深(shen)(shen)信服NGAF正在(zai)(zai)完(wan)善安全云平臺(tai)，部署在(zai)(zai)全球各地(di)的(de)(de)(de)深(shen)(shen)信服下一代防(fang)(fang)火墻設(she)(she)備可(ke)以(yi)自(zi)動或手動上傳可(ke)疑的(de)(de)(de)應(ying)用流量(liang)(liang)(liang)到安全云平臺(tai)，平臺(tai)會自(zi)動分析，形成新的(de)(de)(de)惡意(yi)(yi)軟(ruan)件識別(bie)策略下發(fa)(fa)到全球所有設(she)(she)備的(de)(de)(de)規則庫上。

3.4應用協議內容隱藏

         NGAF可針對(dui)主(zhu)要的(de)(de)服(fu)(fu)務(wu)(wu)器(qi)（WEB服(fu)(fu)務(wu)(wu)器(qi)、FTP服(fu)(fu)務(wu)(wu)器(qi)、郵件(jian)服(fu)(fu)務(wu)(wu)器(qi)等）反(fan)饋信息進(jin)(jin)行了有效的(de)(de)隱(yin)藏(zang)(zang)。防止黑客(ke)利用服(fu)(fu)務(wu)(wu)器(qi)返回信息進(jin)(jin)行有針對(dui)性的(de)(de)攻(gong)擊。如：HTTP出(chu)錯頁面(mian)隱(yin)藏(zang)(zang)、響(xiang)應報頭隱(yin)藏(zang)(zang)、FTP信息隱(yin)藏(zang)(zang)等

3.5用戶登錄權限防護

         NGAF可以針對特定的(de)服務或者(zhe)web頁(ye)面提(ti)供(gong)登陸保護，通過發(fa)送短(duan)信(xin)(xin)驗證(zheng)碼的(de)方式(shi)針對敏感(gan)信(xin)(xin)息和應(ying)(ying)用提(ti)供(gong)強認證(zheng)保護。用戶訪問到該(gai)(gai)頁(ye)面或應(ying)(ying)用的(de)時候需要經過短(duan)信(xin)(xin)的(de)二次認證(zheng)，增強敏感(gan)頁(ye)面或應(ying)(ying)用的(de)安全(quan)系數；該(gai)(gai)功能能夠帶(dai)來的(de)價值：

1、對重要的頁(ye)面(mian)(mian)（如(ru)管理員(yuan)頁(ye)面(mian)(mian)）進(jin)行防護(hu)，防止通過(guo)社(she)會工程、暴力破解拿到(dao)正常管理員(yuan)的賬號密(mi)碼；

2、可實現敏感頁面(mian)的雙因子強認證提高安全(quan)性，防止敏感頁面(mian)開放(fang)于公網(wang)或辦公網(wang)；

4.智能的(de)網絡安全(quan)防御體系

4.1完整的防火墻功能

         NGAF涵蓋了完整(zheng)的傳統防(fang)火墻(qiang)(qiang)功能包(bao)括(kuo)訪問控(kong)制、NAT支持、路(lu)由協議、VLAN屬(shu)性等(deng)功能，已(yi)便(bian)于用戶替換傳統防(fang)火墻(qiang)(qiang)后，將原有的策略完全(quan)遷移至下一代防(fang)火墻(qiang)(qiang)中，實現簡化組網、方便(bian)運維(wei)的效果(guo)。

4.2靈活的應用部署方式

         NGAF支(zhi)持多種部署模式，包括路(lu)(lu)由(you)，透明，虛擬(ni)網線，旁路(lu)(lu)，混合部署等，并支(zhi)持多鏈路(lu)(lu)聚合，非對(dui)稱路(lu)(lu)由(you)等復雜網絡環境。

4.3融合領先的 IPSecVPN實現廣域網隔離與流量清洗

         NGAF融合了國內市場占(zhan)有率第(di)一的(de)(de)IPSec VPN模(mo)塊，實現(xian)高(gao)安(an)全防護、高(gao)投(tou)資回報的(de)(de)分(fen)支機(ji)構安(an)全建設目標，并支持對加密隧(sui)道數據進行安(an)全攻擊檢測，全面提升廣(guang)域網隔離的(de)(de)安(an)全性。

4.4統一集中管理平臺

         NGAF提(ti)供(gong)統一集中(zhong)管理平(ping)臺實現對分支各設備的集中(zhong)監管，集中(zhong)配(pei)置(zhi)下發與遠程(cheng)獨(du)立配(pei)置(zhi)，提(ti)高管理效率，簡化(hua)運維成本。

4.5安全風險評估與策略聯動

         NGAF基于時間周期的安(an)全(quan)防護設計提(ti)供事前風險評估(gu)及(ji)策略聯(lian)動(dong)的功(gong)能。風險評估(gu)功(gong)能分(fen)為(wei)Web弱點掃描(miao)與漏洞掃描(miao)兩(liang)部分(fen)：

         系統漏(lou)洞(dong)掃描通(tong)過端口、服務、應用掃描幫助(zhu)用戶及時(shi)發現端口、服務及漏(lou)洞(dong)風險(xian)，并通(tong)過模(mo)塊(kuai)間的(de)智能策略聯動及時(shi)更新對應的(de)安全(quan)風險(xian)的(de)安全(quan)防護(hu)(hu)策略。幫助(zhu)用戶快速診斷電子商務平臺中(zhong)各個節點的(de)安全(quan)漏(lou)洞(dong)問題(ti)，并做出有(you)針對性的(de)防護(hu)(hu)策略。

         web弱點掃(sao)描通過內(nei)置的(de)二十多類Web攻(gong)擊特征(zheng)，如SQL注(zhu)入，盲注(zhu)，操作系(xi)統(tong)命令，遠程(cheng)文件包(bao)含，XPATH注(zhu)入，LDAP注(zhu)入，服務(wu)器端包(bao)含（SSI），iframe釣魚，不安(an)全的(de)PHP配置檢查等，可以(yi)幫助(zhu)對用(yong)戶(hu)的(de)Web服務(wu)系(xi)統(tong)快速(su)(su)的(de)定(ding)位(wei)出漏洞威脅，并提(ti)供相關(guan)漏洞的(de)嚴重(zhong)等級和描述信息以(yi)及建(jian)議(yi)的(de)修(xiu)復(fu)方案等，使得用(yong)戶(hu)能夠快速(su)(su)定(ding)位(wei)并解決內(nei)網Web服務(wu)存在的(de)風險。同時該功(gong)能模塊可以(yi)依(yi)據掃(sao)描結(jie)果，給用(yong)戶(hu)推薦防護策略(lve)(lve)，通過“一鍵部署”的(de)方式(shi)自動生成有效的(de)策略(lve)(lve)，為絕大多數管理員提(ti)供策略(lve)(lve)建(jian)議(yi)的(de)專業(ye)參考。

4.6 智能APT攻擊防護

         深信服(fu)NGAF融合L2-7層(ceng)完整的(de)安(an)全防(fang)(fang)護(hu)(hu)功能(neng)(neng)，是國(guo)內(nei)唯一同(tong)時(shi)融合FW、IPS、WAF、AV功能(neng)(neng)并能(neng)(neng)智(zhi)能(neng)(neng)聯動的(de)安(an)全產(chan)品，通過各(ge)個(ge)模塊間的(de)聯動，為APT攻(gong)(gong)擊(ji)防(fang)(fang)護(hu)(hu)提供從主機層(ceng)(惡(e)意(yi)代(dai)碼防(fang)(fang)護(hu)(hu)、僵尸網絡隔離(li))、網絡層(ceng)(訪(fang)問控制、邊界隔離(li)、入侵防(fang)(fang)護(hu)(hu)、漏(lou)洞掃描(miao)、內(nei)網嗅(xiu)探(tan))、應用層(ceng)(惡(e)意(yi)網址識別、OWASP TOP應用協(xie)議攻(gong)(gong)擊(ji)、管理認證登陸(lu)、DLP)的(de) L2-L7層(ceng)一體化安(an)全防(fang)(fang)護(hu)(hu)。通過關(guan)聯分析準確定位出APT攻(gong)(gong)擊(ji)的(de)行為，阻斷黑客在實施APT攻(gong)(gong)擊(ji)各(ge)個(ge)步驟、各(ge)種手段(duan)的(de)有效性。

         NGAF智能的(de)主動(dong)防御技術可實(shi)現內部各個(ge)模塊(kuai)之間形(xing)成智能的(de)策略聯動(dong)，如一個(ge)IP/用戶持續(xu)向內網(wang)服務器發起(qi)各類攻(gong)擊則可通過防火墻策略暫時(shi)阻(zu)斷IP/用戶。智能防護(hu)體系的(de)建立(li)可有效的(de)防止工具型、自動(dong)化的(de)黑客(ke)攻(gong)擊，提高攻(gong)擊成本，可抑制APT攻(gong)擊的(de)發生(sheng)。同時(shi)也(ye)使得管理員(yuan)維護(hu)變(bian)得更為簡(jian)單(dan)，可實(shi)現無(wu)網(wang)管的(de)自動(dong)化安全管理。

4.7專業可視的安全分析報表

         NGAF提供了(le)豐富、可視的(de)日志報(bao)表(biao)和統(tong)計(ji)分(fen)析功能(neng)，可針對服務器(qi)(qi)、終端、流量(liang)、應(ying)用(yong)、訪(fang)問網站等多(duo)個維度進行統(tong)計(ji)，并提供服務器(qi)(qi)安(an)(an)全(quan)(quan)報(bao)表(biao)和網絡安(an)(an)全(quan)(quan)匯(hui)總報(bao)表(biao)來(lai)(lai)直觀的(de)反映(ying)用(yong)戶網絡中(zhong)的(de)安(an)(an)全(quan)(quan)風(feng)險以及應(ying)用(yong)流量(liang)信息。服務器(qi)(qi)安(an)(an)全(quan)(quan)報(bao)表(biao)按照受(shou)攻(gong)擊(ji)次數，攻(gong)擊(ji)類型(xing)，攻(gong)擊(ji)來(lai)(lai)源進行統(tong)計(ji)分(fen)析，并針對每(mei)個服務器(qi)(qi)IP都有針對性的(de)安(an)(an)全(quan)(quan)分(fen)析，并提供相應(ying)的(de)服務安(an)(an)全(quan)(quan)說明，使得報(bao)表(biao)的(de)可讀性更高，方便用(yong)戶從報(bao)告中(zhong)分(fen)析出下(xia)一步的(de)安(an)(an)全(quan)(quan)加固策略(lve)。

5.更高效的應用層處理能力

5.1多核并行處理技術

         為了(le)(le)實(shi)現強勁的應用(yong)層處理(li)能(neng)力，NGAF拋棄(qi)了(le)(le)傳統防火(huo)墻(qiang)NP、ASIC等適合(he)執行網絡層重復計(ji)算工(gong)作的硬(ying)件(jian)設計(ji)，采用(yong)了(le)(le)更加適合(he)應用(yong)層靈活(huo)計(ji)算能(neng)力的多核(he)并行處理(li)技術，極(ji)大的提升應用(yong)層數據的分析能(neng)力。

         NGAF的(de)設計不僅僅采用了多核(he)(he)(he)的(de)硬件架(jia)(jia)構，在計算(suan)指令設計上采用了先進(jin)的(de)無鎖并行處(chu)理(li)技術，能夠實現多流水線同時處(chu)理(li)，成倍提升系(xi)統(tong)吞吐量，在多核(he)(he)(he)系(xi)統(tong)下性能表現十分優異，是(shi)真正的(de)多核(he)(he)(he)并行處(chu)理(li)的(de)架(jia)(jia)構。

5.2單次解析架構

         區別于UTM的(de)構架，NGAF采用單次(ci)解(jie)析構架實(shi)現(xian)報(bao)文(wen)的(de)一(yi)次(ci)解(jie)析一(yi)次(ci)匹配，避免(mian)了(le)UTM由于多模塊疊加對報(bao)文(wen)進行多次(ci)拆(chai)包多次(ci)解(jie)析的(de)問題，有效的(de)提升了(le)應(ying)(ying)用層效率。實(shi)現(xian)單次(ci)解(jie)析技(ji)術的(de)一(yi)個關鍵要素就是軟件架構設計實(shi)現(xian)網絡、應(ying)(ying)用層平面分(fen)離，通過(guo)在將數(shu)據(ju)通過(guo)“0”拷貝技(ji)術提取到應(ying)(ying)用層平面上(shang)實(shi)現(xian)威(wei)脅特征的(de)統一(yi)解(jie)析、統一(yi)檢(jian)測，減少(shao)冗余的(de)數(shu)據(ju)包封裝，從而實(shi)現(xian)高性能(neng)的(de)處理。

5.3跳躍式掃描技術

         深信服下一代(dai)防(fang)火墻利用(yong)(yong)其多年(nian)積累的(de)應(ying)用(yong)(yong)識(shi)別(bie)技(ji)術，在(zai)內(nei)核驅動層面通過私有協議將所(suo)有經過NGAF的(de)數(shu)據包(bao)都打(da)上應(ying)用(yong)(yong)的(de)標簽。在(zai)數(shu)據包(bao)提(ti)(ti)取到內(nei)容檢(jian)測(ce)平面進行檢(jian)測(ce)的(de)時(shi)候，會找(zhao)到對應(ying)的(de)應(ying)用(yong)(yong)威脅(xie)特(te)征，使用(yong)(yong)跳(tiao)躍式(shi)掃描技(ji)術跳(tiao)過無關的(de)應(ying)用(yong)(yong)威脅(xie)檢(jian)測(ce)特(te)征，從而減(jian)少無效(xiao)掃描，提(ti)(ti)升掃描效(xiao)率。比如：流量被識(shi)別(bie)為(wei)HTTP流量，那(nei)么FTP sever-u的(de)相(xiang)關漏洞(dong)攻擊特(te)征便(bian)不會對系統(tong)造成(cheng)威脅(xie)，便(bian)可以暫(zan)時(shi)跳(tiao)過檢(jian)測(ce)進行轉發，提(ti)(ti)升轉發的(de)效(xiao)率。

5.4產品性能評測報告

         為(wei)驗(yan)證應(ying)用(yong)(yong)層性(xing)能，國內知名(ming)IT行業媒體《網(wang)絡世界》針對下(xia)一(yi)代防火(huo)墻產品進行了一(yi)次(ci)客觀的產品評測。深信服NGAF在(zai)(zai)各項(xiang)功能開啟時，應(ying)用(yong)(yong)層處(chu)(chu)理(li)(li)性(xing)能優秀。表現出了出色的處(chu)(chu)理(li)(li)能力。在(zai)(zai)不(bu)同(tong)大小文件下(xia)，應(ying)用(yong)(yong)流(liu)量處(chu)(chu)理(li)(li)能力均(jun)達到萬兆級別(bie)，可以滿足正常網(wang)絡應(ying)用(yong)(yong)中萬兆寬(kuan)帶的應(ying)用(yong)(yong)流(liu)量處(chu)(chu)理(li)(li)需求