產品描述

深信服下(xia)一代(dai)防(fang)(fang)火(huo)墻(qiang)（Next-Generation Application Firewall）NGAF是(shi)面(mian)向應用(yong)層(ceng)(ceng)(ceng)設計，能(neng)夠精確(que)識別用(yong)戶、應用(yong)和(he)內(nei)(nei)容(rong)，具(ju)(ju)備(bei)完整安(an)(an)(an)(an)全(quan)(quan)防(fang)(fang)護(hu)能(neng)力(li)，能(neng)夠全(quan)(quan)面(mian)替代(dai)傳統(tong)防(fang)(fang)火(huo)墻(qiang)，并具(ju)(ju)有強勁應用(yong)層(ceng)(ceng)(ceng)處理能(neng)力(li)的(de)(de)(de)(de)全(quan)(quan)新網(wang)絡安(an)(an)(an)(an)全(quan)(quan)設備(bei)。NGAF解決了傳統(tong)安(an)(an)(an)(an)全(quan)(quan)設備(bei)在(zai)(zai)應用(yong)識別、訪問控(kong)制(zhi)、內(nei)(nei)容(rong)安(an)(an)(an)(an)全(quan)(quan)防(fang)(fang)護(hu)等(deng)方面(mian)的(de)(de)(de)(de)不(bu)足(zu)，同時(shi)開(kai)啟所有功能(neng)后性能(neng)不(bu)會(hui)大幅下(xia)降。作(zuo)為傳統(tong)防(fang)(fang)火(huo)墻(qiang)的(de)(de)(de)(de)升級(ji)替代(dai)產品，深信服NGAF不(bu)同于(yu)工(gong)作(zuo)在(zai)(zai)L2-L4層(ceng)(ceng)(ceng)的(de)(de)(de)(de)傳統(tong)防(fang)(fang)火(huo)墻(qiang)，可以對(dui)全(quan)(quan)網(wang)流量進行雙向深入數據內(nei)(nei)容(rong)層(ceng)(ceng)(ceng)面(mian)的(de)(de)(de)(de)全(quan)(quan)面(mian)透析。在(zai)(zai)安(an)(an)(an)(an)全(quan)(quan)策(ce)略制(zhi)定方面(mian)，區域別于(yu)傳統(tong)防(fang)(fang)火(huo)墻(qiang)五元組安(an)(an)(an)(an)全(quan)(quan)策(ce)略，第(di)二(er)代(dai)防(fang)(fang)火(huo)墻(qiang)可對(dui)L2-L7層(ceng)(ceng)(ceng)更(geng)(geng)多的(de)(de)(de)(de)元素（如，用(yong)戶、應用(yong)類型、URL、數據內(nei)(nei)容(rong)等(deng)）制(zhi)定雙向的(de)(de)(de)(de)安(an)(an)(an)(an)全(quan)(quan)訪問策(ce)略，使安(an)(an)(an)(an)全(quan)(quan)策(ce)略更(geng)(geng)精細、更(geng)(geng)有效，且滿足(zu)業務的(de)(de)(de)(de)合(he)規性；在(zai)(zai)安(an)(an)(an)(an)全(quan)(quan)防(fang)(fang)護(hu)能(neng)力(li)方面(mian)，提升了傳統(tong)的(de)(de)(de)(de)抗攻(gong)(gong)擊(ji)的(de)(de)(de)(de)能(neng)力(li)，不(bu)僅能(neng)防(fang)(fang)護(hu)網(wang)絡層(ceng)(ceng)(ceng)的(de)(de)(de)(de)攻(gong)(gong)擊(ji)，針對(dui)來源(yuan)更(geng)(geng)廣泛、攻(gong)(gong)擊(ji)更(geng)(geng)容(rong)易、危(wei)害更(geng)(geng)大的(de)(de)(de)(de)應用(yong)層(ceng)(ceng)(ceng)攻(gong)(gong)擊(ji)也(ye)可以進行防(fang)(fang)護(hu)，實現(xian)L2-L7層(ceng)(ceng)(ceng)的(de)(de)(de)(de)安(an)(an)(an)(an)全(quan)(quan)防(fang)(fang)護(hu)。同時(shi)，深信服下(xia)一代(dai)防(fang)(fang)火(huo)墻(qiang)NGAF采用(yong)全(quan)(quan)新的(de)(de)(de)(de)軟硬件架構，減(jian)小在(zai)(zai)多種復雜的(de)(de)(de)(de)安(an)(an)(an)(an)全(quan)(quan)策(ce)略和(he)L2-L7層(ceng)(ceng)(ceng)多功能(neng)防(fang)(fang)護(hu)功能(neng)全(quan)(quan)部開(kai)啟時(shi)對(dui)性能(neng)的(de)(de)(de)(de)消耗，實現(xian)應用(yong)層(ceng)(ceng)(ceng)高性能(neng)。

        ; 區別(bie)于傳統(tong)的網絡層防火墻，NGAF具備L2-L7層的協議的理解能(neng)(neng)力(li)。不僅能(neng)(neng)夠實(shi)現網絡層訪問控(kong)制(zhi)的功能(neng)(neng)，且能(neng)(neng)夠對應用進行識(shi)別(bie)、控(kong)制(zhi)、防護，解決了傳統(tong)防火墻應用層控(kong)制(zhi)和(he)防護能(neng)(neng)力(li)不足的問題。

         區別于傳(chuan)統DPI技術的(de)入(ru)侵防(fang)御系統，深信服NGAF具備深入(ru)應(ying)用(yong)內容(rong)的(de)威脅分析能力(li)，具備雙向的(de)內容(rong)檢測能力(li)為(wei)用(yong)戶(hu)提供完整(zheng)的(de)應(ying)用(yong)層安全防(fang)護功能。

         同樣都(dou)能防護web攻(gong)擊，與web應用(yong)防火墻關注(zhu)web應用(yong)程(cheng)(cheng)序安全的(de)設計(ji)理(li)念不(bu)同，深信(xin)服下(xia)一代(dai)防火墻NGAF關注(zhu)web系統(tong)在對(dui)外(wai)發布的(de)過程(cheng)(cheng)中(zhong)各個(ge)層面(mian)的(de)安全問題，為(wei)對(dui)外(wai)發布系統(tong)打造堅實的(de)防御(yu)體(ti)系。

二、下一代防火墻的標準

         Gartner在2009年發布(bu)了一份名(ming)為《Defining the Next-GenerationFirewall》的文章，給(gei)出(chu)了真正能夠滿足用(yong)戶當前安(an)全(quan)需求的下(xia)一代(dai)防火(huo)墻（NGFW）定義。

         結(jie)合安全發展趨勢和國內用戶的安全建設現狀，深信服認為下一代(dai)防火墻需要滿足(zu)以下幾個方面的特點：

         防應用層攻擊

         75%的安(an)全(quan)威脅(xie)源自應(ying)用層(ceng)，下一代防火墻應(ying)該具備應(ying)用層(ceng)協(xie)議的識別(bie)能力，并能針對應(ying)用層(ceng)安(an)全(quan)威脅(xie)提供完(wan)整(zheng)的解決方案。彌補傳統安(an)全(quan)設備由于工作在網絡，只解析網絡層(ceng)數據(ju)包，無法(fa)理解應(ying)用層(ceng)協(xie)議并防護應(ying)用層(ceng)的安(an)全(quan)威脅(xie)的問題。

         雙向內容檢測

         為(wei)了解決(jue)傳統安全設備只(zhi)針對(dui)外(wai)(wai)部(bu)(bu)攻擊(ji)防(fang)護(hu)(hu)的(de)(de)問題(ti)，下(xia)一代防(fang)火墻應該具備雙向的(de)(de)內容檢(jian)(jian)測能(neng)力。除了能(neng)夠(gou)防(fang)護(hu)(hu)外(wai)(wai)部(bu)(bu)攻擊(ji)以(yi)外(wai)(wai)，需(xu)要對(dui)服務器響應的(de)(de)反饋內容進(jin)行嚴格(ge)的(de)(de)安全檢(jian)(jian)查。以(yi)提供防(fang)網(wang)頁(ye)篡改，防(fang)敏感信息泄露等功(gong)能(neng)

         涵蓋傳統安全

         應用層(ceng)的安全(quan)威脅日益盛行，但源自底層(ceng)的網絡層(ceng)安全(quan)威脅仍然存(cun)在，其危(wei)害性(xing)也(ye)不容忽視。下一代防火墻應該涵蓋傳統(tong)防火墻、IPS、VPN等功能，以減(jian)少多設備串行部署(shu)單點故(gu)障(zhang)、性(xing)能瓶頸以及風險(xian)無(wu)法統(tong)一定位的問題。同(tong)時從用戶長遠利(li)益考慮減(jian)少重復無(wu)效的投(tou)資，實(shi)現最優的投(tou)資回(hui)報。

         應用層高性能

         雖然(ran)多(duo)功(gong)能(neng)(neng)網(wang)關(guan)具備部(bu)分應用安(an)全防護能(neng)(neng)力(li)，但其(qi)(qi)傳(chuan)統安(an)全設備的(de)集成、串行部(bu)署的(de)方式，使(shi)其(qi)(qi)在多(duo)種功(gong)能(neng)(neng)開啟之(zhi)后性(xing)(xing)能(neng)(neng)急劇下降，最終只能(neng)(neng)當(dang)傳(chuan)統防火(huo)墻使(shi)用。下一(yi)代防火(huo)墻應該從軟(ruan)件構(gou)架(jia)(jia)、硬件構(gou)架(jia)(jia)兩方面徹底改變多(duo)功(gong)能(neng)(neng)網(wang)關(guan)由于多(duo)功(gong)能(neng)(neng)堆(dui)疊、串行部(bu)署導致的(de)性(xing)(xing)能(neng)(neng)瓶頸問題，具備應用層高性(xing)(xing)能(neng)(neng)實現(xian)萬兆的(de)吞吐。

三、深信服NGAF獨特(te)的產品功能特(te)點

 1.精細的應用安(an)全訪問控制(zhi)

1.1可視化的應用識別

         傳(chuan)(chuan)統防(fang)火墻(qiang)(qiang)最主要的(de)用(yong)途就是在非(fei)信任網(wang)絡與(yu)信任網(wang)絡通過(guo)訪(fang)問控制實現(xian)安全(quan)管(guan)理。過(guo)去(qu)一個端(duan)口便代表了一個應用(yong)，防(fang)火墻(qiang)(qiang)的(de)問題(ti)并沒有(you)完全(quan)暴露出來(lai)。而隨(sui)著應用(yong)程序(xu)的(de)不斷發展(zhan)，采用(yong)端(duan)口跳躍、端(duan)口逃逸、多端(duan)口、隨(sui)機端(duan)口的(de)應用(yong)越來(lai)越多，使(shi)得傳(chuan)(chuan)統防(fang)火墻(qiang)(qiang)五元組的(de)訪(fang)問控制策(ce)略可(ke)讀性、可(ke)視性，可(ke)控性受到(dao)巨大沖擊，傳(chuan)(chuan)統防(fang)火墻(qiang)(qiang)在web2.0時代已無(wu)法滿足精細化訪(fang)問控制的(de)需求。

         NGAF具有卓越的(de)(de)應(ying)用可(ke)視化功能，通過多種應(ying)用識(shi)(shi)(shi)別技術形成國內最大(da)的(de)(de)應(ying)用特征識(shi)(shi)(shi)別庫，可(ke)精確識(shi)(shi)(shi)別內外網的(de)(de)采用端口(kou)(kou)跳躍、端口(kou)(kou)逃逸、多端口(kou)(kou)、隨機端口(kou)(kou)的(de)(de)各類應(ying)用，為(wei)下(xia)一(yi)代防(fang)火墻實(shi)現(xian)用戶與應(ying)用的(de)(de)精細化訪問(wen)控制提供技術基礎。

1.2智能用戶身份識別

         NGAF用戶識(shi)別功能可以與(yu)8種認證系統(tong)（AD、LDAP、Radius等）、應(ying)用系統(tong)（POP3、SMTP等）無縫(feng)對接，通過單(dan)點登錄的方式(shi)自動識(shi)別出網絡當中IP地(di)址(zhi)對應(ying)的用戶信(xin)息，并建立(li)組織的用戶分組結構。

1.3面向用戶與應用的控制策略

         區別于(yu)傳統防(fang)火(huo)墻(qiang)(qiang)的(de)五(wu)元組(zu)訪問控制(zhi)(zhi)策略，下一代(dai)防(fang)火(huo)墻(qiang)(qiang)可通(tong)過應用(yong)可視化(hua)功能與用(yong)戶識(shi)別技術結合(he)制(zhi)(zhi)定的(de)L3-L7一體化(hua)應用(yong)控制(zhi)(zhi)策略, 可以為用(yong)戶提供更加精(jing)細和(he)直觀化(hua)控制(zhi)(zhi)界面(mian)，在一個界面(mian)下完成(cheng)多套設備的(de)運維工作(zuo)，提升(sheng)工作(zuo)效率。

1.4基于應用的流量控制

         區(qu)別于傳統防火墻的(de)(de)簡單(dan)的(de)(de)基(ji)于數(shu)據(ju)包優先級(ji)的(de)(de)轉發QOS流(liu)(liu)(liu)(liu)量(liang)管(guan)理策略。深(shen)信服NGAF可提供基(ji)于用戶和(he)應(ying)用的(de)(de)流(liu)(liu)(liu)(liu)量(liang)管(guan)理功能，能夠基(ji)于應(ying)用做(zuo)流(liu)(liu)(liu)(liu)量(liang)控制(zhi)，實現阻(zu)斷非(fei)法流(liu)(liu)(liu)(liu)量(liang)、限制(zhi)無關流(liu)(liu)(liu)(liu)量(liang)保證核心業務的(de)(de)可視化流(liu)(liu)(liu)(liu)量(liang)管(guan)理價值(zhi)。

2.全面的應用安全防護(hu)能力(li)

2.1強化web攻擊防護

     深(shen)信(xin)服下一代防(fang)(fang)(fang)(fang)火墻(qiang)NGAF采用攻(gong)擊特征+主動(dong)(dong)防(fang)(fang)(fang)(fang)御(yu)(yu)相結合(he)的(de)(de)雙重防(fang)(fang)(fang)(fang)護(hu)模式(shi)，可(ke)(ke)有效(xiao)保(bao)護(hu)web業務安(an)全(quan)(quan)。攻(gong)擊特征的(de)(de)防(fang)(fang)(fang)(fang)護(hu)模式(shi)有效(xiao)結合(he)了(le)web攻(gong)擊的(de)(de)靜態規則及基(ji)于黑(hei)客攻(gong)擊過程的(de)(de)動(dong)(dong)態防(fang)(fang)(fang)(fang)御(yu)(yu)機(ji)制，提供OWASP定義(yi)的(de)(de)十大安(an)全(quan)(quan)威脅的(de)(de)攻(gong)擊防(fang)(fang)(fang)(fang)護(hu)功能，有效(xiao)防(fang)(fang)(fang)(fang)止常(chang)見的(de)(de)web安(an)全(quan)(quan)威脅。如SQL注入、XSS跨站(zhan)(zhan)腳本(ben)、CSRF跨站(zhan)(zhan)請(qing)求偽(wei)造，敏感(gan)信(xin)息泄露等，主動(dong)(dong)模式(shi)可(ke)(ke)提供參(can)數類型學習的(de)(de)主動(dong)(dong)防(fang)(fang)(fang)(fang)御(yu)(yu)和自定義(yi)參(can)數防(fang)(fang)(fang)(fang)護(hu)等個性化配置，保(bao)護(hu)web系統免受網站(zhan)(zhan)篡(cuan)改、網頁掛馬、隱(yin)私侵犯、身份(fen)竊取(qu)、經濟(ji)損(sun)失、名譽損(sun)失等問題(ti)。深(shen)信(xin)服NGAF于2013年1月通過了(le)OWASP Web安(an)全(quan)(quan)項目的(de)(de)測(ce)試，設備的(de)(de)安(an)全(quan)(quan)防(fang)(fang)(fang)(fang)護(hu)等級被(bei)評為(wei)4星(xing)（5星(xing)滿分。）

                                         

2.2基于應用的深度入侵防御

         NGAF基于應(ying)用(yong)(yong)的深度入(ru)侵防御(yu)采用(yong)(yong)六大威脅(xie)(xie)檢(jian)測機制：攻(gong)(gong)擊特征(zheng)檢(jian)測、特殊(shu)攻(gong)(gong)擊檢(jian)測、威脅(xie)(xie)關聯分析、異(yi)常流(liu)量檢(jian)測、協(xie)議(yi)異(yi)常檢(jian)測、深度內容分析能(neng)夠有效的防止各(ge)類已知(zhi)未知(zhi)攻(gong)(gong)擊，實時阻斷黑客攻(gong)(gong)擊。如，緩沖區溢出(chu)攻(gong)(gong)擊、利用(yong)(yong)漏洞的攻(gong)(gong)擊、協(xie)議(yi)異(yi)常、蠕(ru)蟲、木馬、后門、DoS/DDoS攻(gong)(gong)擊探測、掃描(miao)、間諜軟件、以及(ji)各(ge)類IPS逃逸攻(gong)(gong)擊等。

2.3高效精確的病毒檢測能力

         NGAF提(ti)供先進的(de)病(bing)毒防護功能，可(ke)從(cong)源頭(tou)對HTTP、FTP、SMTP、POP3等協議流(liu)量(liang)中(zhong)進行病(bing)毒查殺，也可(ke)查殺壓縮包（zip，rar，gzip等）中(zhong)的(de)病(bing)毒。同時采用高效(xiao)的(de)流(liu)式掃描技術，可(ke)大幅提(ti)升(sheng)病(bing)毒檢測效(xiao)率避免防病(bing)毒成為網絡(luo)安全(quan)的(de)瓶(ping)頸。

2.4DOS/DDOS攻擊防護

         NGAF可(ke)防護(hu)基(ji)于(yu)數據包的(de)(de)DOS攻擊(ji)、IP協(xie)議報(bao)文的(de)(de)DOS攻擊(ji)、TCP協(xie)議報(bao)文的(de)(de)DOS攻擊(ji)、基(ji)于(yu)HTTP協(xie)議的(de)(de)DOS攻擊(ji)等，實現對網絡層(ceng)、應用(yong)層(ceng)的(de)(de)各類(lei)資源耗盡(jin)的(de)(de)拒絕服務攻擊(ji)的(de)(de)防護(hu)，實現L2-L7層(ceng)的(de)(de)異常流(liu)量清洗。

2.5專業攻防研究團隊確保持續更新

         NGAF的(de)(de)(de)統一威(wei)脅(xie)(xie)識別具(ju)備3000+條漏(lou)洞(dong)特征(zheng)庫、數(shu)十萬條病(bing)毒(du)、木馬(ma)等惡意內容(rong)(rong)特征(zheng)庫、2000+Web應用威(wei)脅(xie)(xie)特征(zheng)庫，可以(yi)全面識別各種(zhong)應用層和內容(rong)(rong)級別的(de)(de)(de)各種(zhong)安(an)全威(wei)脅(xie)(xie)。其漏(lou)洞(dong)特征(zheng)庫已通過國(guo)際最著名的(de)(de)(de)安(an)全漏(lou)洞(dong)庫CVE嚴格的(de)(de)(de)兼(jian)容(rong)(rong)性標準評審(shen)，獲得(de)CVE兼(jian)容(rong)(rong)性認證（CVE Compatible）。

   ;      深信服憑借在(zai)應用(yong)層領域6年(nian)以(yi)上的(de)技術積累(lei)組建了專業的(de)安(an)全攻防團隊，作(zuo)為微(wei)軟的(de)MAPP（Microsoft Active Protections Program）項目合作(zuo)伙伴，可以(yi)在(zai)微(wei)軟發(fa)布安(an)全更新前獲得漏洞信息，為客戶(hu)提供(gong)更及(ji)時(shi)有效的(de)保(bao)護，以(yi)確保(bao)防御的(de)及(ji)時(shi)性(xing)。

3.獨特的雙向內容檢測技術

3.1網關型網頁防篡改

         網(wang)頁防(fang)篡改是NGAF服務器防(fang)護中的(de)一個子(zi)模塊，其設計(ji)目的(de)在于提供的(de)一種(zhong)事(shi)后補償防(fang)護手段，即使黑客繞過安全防(fang)御體系修改了(le)網(wang)站內(nei)容(rong)，其修改的(de)內(nei)容(rong)也(ye)不會發布(bu)到最終用戶處，從而避免因網(wang)站內(nei)容(rong)被(bei)篡改給組(zu)織單位造成的(de)形象破壞(huai)、經濟(ji)損(sun)失等(deng)問題。

         NGAF通過網關(guan)型的網頁防篡(cuan)改(gai)（對服務(wu)器(qi)“0”影響），第一時(shi)間攔截網頁篡(cuan)改(gai)的信息并通知管(guan)理員確認。同時(shi)對外(wai)提(ti)供篡(cuan)改(gai)重定向功能(neng)，提(ti)供正(zheng)常界(jie)面、友好界(jie)面、web備份服務(wu)器(qi)的重定向，保證用(yong)(yong)戶(hu)仍可(ke)正(zheng)常訪問網站(zhan)。NGAF網站(zhan)篡(cuan)改(gai)防護(hu)功能(neng)使用(yong)(yong)網關(guan)實現動靜態網頁防篡(cuan)改(gai)功能(neng)。這種(zhong)實現方式相對于(yu)主機部署類防篡(cuan)改(gai)軟件而言，客(ke)戶(hu)無需在服務(wu)器(qi)上安裝第三(san)方軟件，易于(yu)使用(yong)(yong)和(he)維護(hu)，在防篡(cuan)改(gai)部分基于(yu)網絡字節(jie)流的檢測(ce)與恢(hui)復(fu)，對服務(wu)器(qi)性能(neng)沒有影響。

3.2可定義的敏感信息防泄漏

         NGAF提供可定義的敏感信(xin)(xin)(xin)(xin)息防(fang)(fang)泄(xie)漏(lou)功能，根(gen)據儲存(cun)的數據內容(rong)可根(gen)據其特征清晰定義，通過短信(xin)(xin)(xin)(xin)、郵件報(bao)(bao)警及連接(jie)請求(qiu)阻斷的方(fang)式防(fang)(fang)止大(da)量(liang)的敏感信(xin)(xin)(xin)(xin)息被竊取。深信(xin)(xin)(xin)(xin)服敏感信(xin)(xin)(xin)(xin)息防(fang)(fang)泄(xie)漏(lou)解決方(fang)案可以(yi)自定義多種敏感信(xin)(xin)(xin)(xin)息內容(rong)進行(xing)有效識(shi)別、報(bao)(bao)警并阻斷，防(fang)(fang)止大(da)量(liang)敏感信(xin)(xin)(xin)(xin)息被非法泄(xie)露。（如：用戶(hu)信(xin)(xin)(xin)(xin)息/郵箱賬(zhang)戶(hu)信(xin)(xin)(xin)(xin)息/MD5加密(mi)(mi)密(mi)(mi)碼/銀行(xing)卡號(hao)/身份證號(hao)碼/社保賬(zhang)號(hao)/信(xin)(xin)(xin)(xin)用卡號(hao)/手機號(hao)碼……）

3.3僵尸網絡檢測隔離

NGAF獨有的(de)僵尸網(wang)絡(luo)(luo)(luo)檢(jian)(jian)測(ce)隔離功能，應用NGAF對外發(fa)流量的(de)檢(jian)(jian)測(ce)能夠判斷服(fu)(fu)(fu)務器(qi)或(huo)終端(duan)由于中了(le)病(bing)毒木馬向外發(fa)起的(de)惡意(yi)流量。該功能融合了(le)僵尸網(wang)絡(luo)(luo)(luo)識(shi)別庫，利用業界領先(xian)的(de)僵尸網(wang)絡(luo)(luo)(luo)識(shi)別檢(jian)(jian)測(ce)技(ji)術(shu)對黑客(ke)的(de)攻擊行為(wei)進行有效(xiao)識(shi)別，針對以反彈式木馬為(wei)代表的(de)惡意(yi)軟件進行深度(du)防(fang)護，可識(shi)別僵尸網(wang)絡(luo)(luo)(luo)流量達15萬條，并由深信(xin)服(fu)(fu)(fu)攻防(fang)團隊實(shi)時(shi)更(geng)新(xin)。同時(shi)，深信(xin)服(fu)(fu)(fu)NGAF正在完善(shan)安(an)全云(yun)平(ping)臺，部署(shu)在全球各地的(de)深信(xin)服(fu)(fu)(fu)下一代防(fang)火墻(qiang)設(she)備可以自(zi)動(dong)或(huo)手動(dong)上傳(chuan)可疑的(de)應用流量到(dao)(dao)安(an)全云(yun)平(ping)臺，平(ping)臺會自(zi)動(dong)分析(xi)，形(xing)成新(xin)的(de)惡意(yi)軟件識(shi)別策略下發(fa)到(dao)(dao)全球所有設(she)備的(de)規則庫上。

3.4應用協議內容隱藏

         NGAF可針對(dui)主要(yao)的(de)服(fu)務(wu)(wu)器（WEB服(fu)務(wu)(wu)器、FTP服(fu)務(wu)(wu)器、郵件服(fu)務(wu)(wu)器等）反饋信(xin)息(xi)進行了有(you)效的(de)隱藏。防止黑(hei)客利(li)用服(fu)務(wu)(wu)器返回信(xin)息(xi)進行有(you)針對(dui)性的(de)攻擊。如(ru)：HTTP出錯頁面隱藏、響應報頭隱藏、FTP信(xin)息(xi)隱藏等

3.5用戶登錄權限防護

         NGAF可以針對(dui)特定的服務或(huo)者web頁面(mian)提(ti)(ti)供登陸保護，通(tong)過(guo)發送短信(xin)(xin)驗證碼的方式針對(dui)敏感信(xin)(xin)息和(he)應(ying)(ying)用(yong)(yong)提(ti)(ti)供強(qiang)認證保護。用(yong)(yong)戶訪(fang)問(wen)到該頁面(mian)或(huo)應(ying)(ying)用(yong)(yong)的時(shi)候需要(yao)經過(guo)短信(xin)(xin)的二次(ci)認證，增(zeng)強(qiang)敏感頁面(mian)或(huo)應(ying)(ying)用(yong)(yong)的安全(quan)系數(shu)；該功能能夠帶來的價值：

1、對重要的(de)頁面（如管理(li)員頁面）進行防護，防止通過社(she)會工(gong)程、暴力破解拿(na)到正(zheng)常管理(li)員的(de)賬(zhang)號(hao)密碼；

2、可實現敏感頁(ye)面的雙(shuang)因(yin)子強認(ren)證提高(gao)安(an)全性，防止敏感頁(ye)面開放(fang)于公網或辦公網；

4.智能的(de)網絡安全防御體系

4.1完整的防火墻功能

         NGAF涵蓋了完(wan)整的(de)(de)傳統防(fang)火(huo)墻(qiang)功(gong)能(neng)包括訪問(wen)控制(zhi)、NAT支持、路由協(xie)議、VLAN屬性等功(gong)能(neng)，已便(bian)于用戶替換傳統防(fang)火(huo)墻(qiang)后，將原有的(de)(de)策(ce)略完(wan)全(quan)遷(qian)移至(zhi)下一代防(fang)火(huo)墻(qiang)中，實(shi)現簡化組網、方便(bian)運維的(de)(de)效(xiao)果。

4.2靈活的應用部署方式

         NGAF支持多種部(bu)署模式，包括路(lu)由(you)，透(tou)明，虛擬網線，旁路(lu)，混合部(bu)署等(deng)，并(bing)支持多鏈路(lu)聚合，非對稱路(lu)由(you)等(deng)復雜網絡環境。

4.3融合領先的 IPSecVPN實現廣域網隔離與流量清洗

         NGAF融合(he)了國內市場占有率第一的IPSec VPN模塊，實現高(gao)安(an)全(quan)(quan)防(fang)護、高(gao)投資回(hui)報的分(fen)支(zhi)機構安(an)全(quan)(quan)建設目標，并支(zhi)持(chi)對(dui)加(jia)密隧(sui)道數據進(jin)行安(an)全(quan)(quan)攻(gong)擊檢測，全(quan)(quan)面提升廣域網隔離的安(an)全(quan)(quan)性(xing)。

4.4統一集中管理平臺

         NGAF提(ti)供統一集中管理平(ping)臺實現對分支各設備的(de)集中監(jian)管，集中配置下發與遠程獨立配置，提(ti)高管理效率(lv)，簡化運維成本。

4.5安全風險評估與策略聯動

         NGAF基于時間周期的安(an)全防護(hu)設(she)計提供事前風險評(ping)估及(ji)策略聯動(dong)的功能。風險評(ping)估功能分為(wei)Web弱點掃描與漏洞(dong)掃描兩部分：

         系統漏(lou)(lou)洞(dong)掃(sao)描通過端(duan)口、服(fu)務(wu)、應用掃(sao)描幫(bang)助(zhu)用戶(hu)(hu)及(ji)(ji)時發現端(duan)口、服(fu)務(wu)及(ji)(ji)漏(lou)(lou)洞(dong)風險，并通過模塊間的(de)智能策(ce)略聯動及(ji)(ji)時更新(xin)對應的(de)安全風險的(de)安全防(fang)護策(ce)略。幫(bang)助(zhu)用戶(hu)(hu)快速診斷電子商務(wu)平臺中各個節點(dian)的(de)安全漏(lou)(lou)洞(dong)問題，并做出有針對性(xing)的(de)防(fang)護策(ce)略。

         web弱點掃(sao)描通過(guo)內置的(de)(de)(de)二十多(duo)(duo)類(lei)Web攻擊(ji)特征，如SQL注(zhu)入，盲注(zhu)，操作(zuo)系統(tong)命令，遠程文(wen)件包含，XPATH注(zhu)入，LDAP注(zhu)入，服務(wu)器端包含（SSI），iframe釣魚，不安全的(de)(de)(de)PHP配置檢查(cha)等，可以幫助對(dui)用戶的(de)(de)(de)Web服務(wu)系統(tong)快速(su)的(de)(de)(de)定位出(chu)漏洞威脅，并(bing)提供相關漏洞的(de)(de)(de)嚴重等級和描述信息(xi)以及建議的(de)(de)(de)修復方案等，使得(de)用戶能夠快速(su)定位并(bing)解決內網Web服務(wu)存在的(de)(de)(de)風(feng)險。同時該(gai)功能模塊可以依據掃(sao)描結(jie)果，給用戶推薦(jian)防(fang)護策(ce)略(lve)(lve)，通過(guo)“一鍵部署”的(de)(de)(de)方式自動生成(cheng)有效(xiao)的(de)(de)(de)策(ce)略(lve)(lve)，為絕大多(duo)(duo)數管理員提供策(ce)略(lve)(lve)建議的(de)(de)(de)專業(ye)參(can)考。

4.6 智能APT攻擊防護

         深(shen)信服NGAF融合(he)L2-7層(ceng)完整的(de)安(an)全防(fang)護(hu)功(gong)能(neng)，是國內(nei)唯一同(tong)時融合(he)FW、IPS、WAF、AV功(gong)能(neng)并能(neng)智能(neng)聯(lian)動(dong)的(de)安(an)全產品(pin)，通過各(ge)個模塊間的(de)聯(lian)動(dong)，為APT攻擊防(fang)護(hu)提供從主機層(ceng)(惡(e)意代碼(ma)防(fang)護(hu)、僵尸網絡隔離)、網絡層(ceng)(訪問控制(zhi)、邊界隔離、入侵(qin)防(fang)護(hu)、漏洞掃描、內(nei)網嗅(xiu)探)、應(ying)用(yong)層(ceng)(惡(e)意網址識別、OWASP TOP應(ying)用(yong)協議攻擊、管理認證登陸、DLP)的(de) L2-L7層(ceng)一體化安(an)全防(fang)護(hu)。通過關聯(lian)分析準確(que)定(ding)位出APT攻擊的(de)行為，阻斷(duan)黑客在實(shi)施APT攻擊各(ge)個步驟(zou)、各(ge)種手段(duan)的(de)有(you)效(xiao)性。

         NGAF智(zhi)能的(de)(de)主動防御技術可(ke)實現(xian)內(nei)部各個(ge)模(mo)塊(kuai)之間形(xing)成(cheng)智(zhi)能的(de)(de)策(ce)略(lve)聯(lian)動，如一個(ge)IP/用戶持續向內(nei)網服務器發起各類攻(gong)(gong)擊則可(ke)通(tong)過防火墻策(ce)略(lve)暫(zan)時阻斷IP/用戶。智(zhi)能防護體系(xi)的(de)(de)建立可(ke)有效(xiao)的(de)(de)防止工具型、自(zi)動化的(de)(de)黑客攻(gong)(gong)擊，提(ti)高攻(gong)(gong)擊成(cheng)本(ben)，可(ke)抑(yi)制APT攻(gong)(gong)擊的(de)(de)發生(sheng)。同(tong)時也使得(de)管理(li)員(yuan)維護變得(de)更為(wei)簡(jian)單，可(ke)實現(xian)無網管的(de)(de)自(zi)動化安(an)全管理(li)。

4.7專業可視的安全分析報表

         NGAF提供了豐(feng)富(fu)、可視的(de)日志報(bao)表(biao)(biao)和統(tong)計(ji)(ji)分(fen)析(xi)(xi)功(gong)能，可針對服(fu)務(wu)器、終(zhong)端、流(liu)量、應用(yong)(yong)、訪問(wen)網(wang)站等多(duo)個維度進行統(tong)計(ji)(ji)，并提供服(fu)務(wu)器安(an)(an)(an)全(quan)(quan)(quan)報(bao)表(biao)(biao)和網(wang)絡(luo)安(an)(an)(an)全(quan)(quan)(quan)匯總報(bao)表(biao)(biao)來直(zhi)觀的(de)反映用(yong)(yong)戶網(wang)絡(luo)中的(de)安(an)(an)(an)全(quan)(quan)(quan)風(feng)險以及應用(yong)(yong)流(liu)量信息。服(fu)務(wu)器安(an)(an)(an)全(quan)(quan)(quan)報(bao)表(biao)(biao)按照受(shou)攻(gong)(gong)擊(ji)(ji)次(ci)數，攻(gong)(gong)擊(ji)(ji)類型，攻(gong)(gong)擊(ji)(ji)來源(yuan)進行統(tong)計(ji)(ji)分(fen)析(xi)(xi)，并針對每個服(fu)務(wu)器IP都有針對性的(de)安(an)(an)(an)全(quan)(quan)(quan)分(fen)析(xi)(xi)，并提供相應的(de)服(fu)務(wu)安(an)(an)(an)全(quan)(quan)(quan)說(shuo)明，使得報(bao)表(biao)(biao)的(de)可讀性更高，方便用(yong)(yong)戶從報(bao)告中分(fen)析(xi)(xi)出下一步的(de)安(an)(an)(an)全(quan)(quan)(quan)加固(gu)策略。

5.更高效的應用層(ceng)處理能力

5.1多核并行處理技術

         為了實現強勁的(de)應(ying)(ying)用(yong)層(ceng)處(chu)理能(neng)力(li)，NGAF拋棄了傳統(tong)防火墻NP、ASIC等適合執行網絡層(ceng)重復計(ji)算工作的(de)硬(ying)件設計(ji)，采用(yong)了更加適合應(ying)(ying)用(yong)層(ceng)靈活計(ji)算能(neng)力(li)的(de)多(duo)核并行處(chu)理技(ji)術，極大的(de)提升(sheng)應(ying)(ying)用(yong)層(ceng)數據的(de)分(fen)析能(neng)力(li)。

         NGAF的(de)(de)(de)設計不僅(jin)僅(jin)采(cai)用(yong)(yong)了(le)多(duo)(duo)核(he)的(de)(de)(de)硬件(jian)架(jia)構，在計算指令設計上采(cai)用(yong)(yong)了(le)先進的(de)(de)(de)無鎖(suo)并行處理技(ji)術，能(neng)夠(gou)實(shi)現(xian)多(duo)(duo)流水(shui)線同時處理，成倍提升(sheng)系統(tong)吞吐量，在多(duo)(duo)核(he)系統(tong)下性能(neng)表(biao)現(xian)十分優異，是(shi)真正的(de)(de)(de)多(duo)(duo)核(he)并行處理的(de)(de)(de)架(jia)構。

5.2單次解析架構

         區別于(yu)UTM的構架，NGAF采(cai)用單次(ci)解析(xi)(xi)構架實現(xian)報(bao)文的一次(ci)解析(xi)(xi)一次(ci)匹配，避免了UTM由于(yu)多(duo)模塊疊(die)加對報(bao)文進(jin)行多(duo)次(ci)拆包多(duo)次(ci)解析(xi)(xi)的問題(ti)，有效的提升了應用層(ceng)效率。實現(xian)單次(ci)解析(xi)(xi)技術的一個關鍵要素就(jiu)是軟(ruan)件架構設計實現(xian)網絡(luo)、應用層(ceng)平面分離，通過(guo)在將數據通過(guo)“0”拷貝技術提取到應用層(ceng)平面上(shang)實現(xian)威脅(xie)特征的統(tong)一解析(xi)(xi)、統(tong)一檢測，減少冗余(yu)的數據包封裝，從而實現(xian)高性(xing)能的處理(li)。

5.3跳躍式掃描技術

         深信(xin)服下一代防火墻利用(yong)其多年(nian)積累(lei)的(de)(de)應(ying)用(yong)識(shi)別(bie)技術，在內核(he)驅(qu)動層面(mian)通(tong)過私有協議將所有經(jing)過NGAF的(de)(de)數據包都(dou)打上應(ying)用(yong)的(de)(de)標簽。在數據包提(ti)(ti)取到內容檢(jian)(jian)測(ce)(ce)平面(mian)進(jin)行檢(jian)(jian)測(ce)(ce)的(de)(de)時候，會找到對(dui)應(ying)的(de)(de)應(ying)用(yong)威脅特(te)征，使用(yong)跳(tiao)躍式掃描技術跳(tiao)過無(wu)(wu)關(guan)的(de)(de)應(ying)用(yong)威脅檢(jian)(jian)測(ce)(ce)特(te)征，從而減少無(wu)(wu)效掃描，提(ti)(ti)升(sheng)掃描效率。比如：流量被識(shi)別(bie)為HTTP流量，那(nei)么FTP sever-u的(de)(de)相(xiang)關(guan)漏洞攻擊特(te)征便(bian)不(bu)會對(dui)系統(tong)造成威脅，便(bian)可以暫時跳(tiao)過檢(jian)(jian)測(ce)(ce)進(jin)行轉發，提(ti)(ti)升(sheng)轉發的(de)(de)效率。

5.4產品性能評測報告

         為驗證應(ying)(ying)用(yong)層性能，國(guo)內知名IT行業媒體(ti)《網(wang)絡世界》針對(dui)下一代防火墻產品(pin)進(jin)行了一次客(ke)觀(guan)的產品(pin)評測(ce)。深信服NGAF在(zai)(zai)各項(xiang)功能開啟時，應(ying)(ying)用(yong)層處理(li)性能優秀。表現出(chu)了出(chu)色的處理(li)能力。在(zai)(zai)不同(tong)大(da)小文(wen)件下，應(ying)(ying)用(yong)流(liu)(liu)量(liang)處理(li)能力均達到萬(wan)兆級別，可以滿足正常網(wang)絡應(ying)(ying)用(yong)中萬(wan)兆寬帶的應(ying)(ying)用(yong)流(liu)(liu)量(liang)處理(li)需(xu)求