国内下一代防火墙第一品牌
深信服下一代防火墙(Next-Generation Application Firewall )NGAF 是面向应用层设计,能够精确识别用户、应用和内容,具备完整安全防护能力,能够全面替代传统防火墙,并具有强劲应用层处理能力的全新网络安全设备。NGAF 解决了传统安全设备在应用识别、访问控制、内容安全防护等方面的不足,同时开启所有功能后性能不会大幅下降。作为传统防火墙的升级替代产
品,深信服NGAF 不同于工作在L2-L4
层的传统防火墙,可以对全网流量进行
双向深入数据内容层面的全面透析。在
安全策略制定方面,区域别于传统防火
墙五元组安全策略,深信服NGAF 可对L2-L7层更多的元素(如,用户、应用类型、URL 、数据内容等)制定双向的安全访问策略,使安全策略更精细、更有效,且满足业务的合规性;在安全防护能力方面,提升了传统的抗攻击的能力,不仅能防护网络层的攻击,针对来源更广泛、攻击更容易、危害更大的应用层攻击也可以进行防护,实现L2-L7层的安全防护。同时,深信服NGAF 采用全新的软硬件架构,减小在多种复杂的安全策略和L2-L7层多功能防护功能全部开启时性能的消耗,实现应用层高性能。
功能列表 项目
具体功能 部署方式
支持路由,透明,旁路,虚拟网线,混合部署模式; 实时监控 实时提供CPU 、内存、磁盘占用率、会话数、在线用户数、网络接口的鞥设备资源信息;提供安全事件信息,包括最近安全事件、服务器安全事件、终端安全事件等,事件信息提供发
生事件、源IP 、目的IP 、攻击类型以及攻击的URL 等;提供实时智能模块间联动封锁的源IP
以便实现动态智能安全管理;
网络适应性 支持ARP 代理、静态ARP 绑定,配置DNS 及DNS 代理、支持DHCP 中继、DHCP 服务器、
DHCP 客户端;支持SNMP v1,v2,v3,支持SNMP Trap ;支持静态路由、RIP v1/2、OSPF 、
策略路由;支持链路探测,端口聚合,接口联动;
包过滤与状态检测 提供静态的包过滤和动态包过滤功能;支持的应用层报文过滤,包括:应用层协议:FTP 、
HTTP 、SMTP 、RTSP 、H.323(Q.931,H.245, RTP/RTCP )、SQLNET 、MMS 、PPTP 等;传
输层协议:TCP 、UDP ;
NAT 地址转换 支持多个内部地址映射到同一个公网地址、多个内部地址映射到多个公网地址、内部地址到
公网地址一一映射、源地址和目的地址同时转换、外部网络主机访问内部服务器、支持DNS
映射功能;可配置支持地址转换的有效时间;支持多种NAT ALG ,包括DNS 、FTP 、H.323、
SIP 等
抗攻击特性
支持防御Land 、Smurf 、Fraggle 、WinNuke 、Ping of Death 、Tear Drop 、IP Spoofing 、
SYN Flood 、ICMP Flood 、UDP Flood 、DNS Query Flood 、ARP 欺骗攻击防范、ARP 主
动反向查询、TCP 报文标志位不合法攻击防范、支持IP SYN 速度限制、超大ICMP 报文攻击
防范、地址/端口扫描的防范、DoS/DDoS 攻击防范、ICMP 重定向或不可达报文控制等功能,
此外还支持静态和动态黑名单功能、MAC 和IP 绑定功能;
IPSEC VPN 支持AES、DES、3DES、MD5、SHA1、DH、RC4等算法,并且支持扩展国密办SCB2等其他加密算法支持MD5及SHA-1验证算法;支持各种NAT网络环境下的VPN组网;支持第三方标准IPSec VPN进行对接;*总部与分支有多条线路,可在线路间一一进行IPSecVPN 隧道建立,并设置主隧道及备份隧道,对主隧道可进行带宽叠加、按包或会话进行流量平均分配,主隧道断开备份隧道自动启用,保证IPSecVPN连接不中断;可为每一分支单独设置不同的多线路策略;单臂部署下同样支持多线路策略;
应用访问控制策略支持对1000种以上应用、2500种以上应用动作,可以识别P2P、IM、OA办公应用、数据库应用、ERP应用、软件升级应用、木马外联、炒股软件、视频应用、代理软件、网银等协议;支持自定义规则; 提供基于应用识别类型、用户名、接口、安全域、IP地址、端口、时间进行应用访问控制列表的制定;
APT检测内置超过20万的病毒,木马,间谍软件等恶意软件特征库,并且在不断的持续更新特征内容;支持通过安全云实现虚拟沙盒动态检测技术。可检测未知威胁在沙盒中对注册表、文件系统等的修改,通过云端联动的方式快速更新到各节点设备中,可实现快速统一的防护未知攻击;
IPS入侵防护微软“MAPP”计划会员,漏洞特征库: 3500+并获得CVE“兼容性认证证书”,能够自动或者手动升级;防护类型包括蠕虫/木马/后门/DoS/DDoS攻击探测/扫描/间谍软件/利用漏洞
的攻击/缓冲区溢出攻击/协议异常/ IPS逃逸攻击等;防护对象分为保护服务器和保护客户端
两大类,便于策略部署;漏洞详细信息显示:漏洞ID、漏洞名称、漏洞描述、攻击对象、危
险等级、参考信息、地址等内容;支持自动拦截、记录日志、上传灰度威胁到“云端”
服务器防护支持web攻击特征数量2500+;支持Web网站隐藏,包括HTTP响应报文头出错页面的过滤,web响应报文头可自定义;支持FTP服务应用信息隐藏包括:服务器信息、软件版本信
息等;支持OWASP定义10大web安全威胁,保护服务器免受基于Web应用的攻击,如
SQL注入防护、XSS攻击防护、CSRF攻击防护、支持根据网站登录路径保护口令暴力破解;
支持web站点扫描、web站点结构扫描、漏洞扫描等扫描防护;可严格控制上传文件类型,
检查文件头的特征码防止有安全隐患的文件上传至服务器,并支持结合病毒防护、插件过滤
等功能检查文件安全性;支持指定URL的黑名单、加入排除URL目录,ftp弱口令防护、telnet
弱口令防护等功能;
敏感信息防泄漏内置常见敏感信息的特征,如身份证信息、MD5、手机号码、银行卡号、邮箱等,并可自定义具有特殊特征的敏感信息;支持正常访问http连接中非法敏感信息的外泄防护;支持数据库文件敏感信息检测,防止数据库文件被“拖库”、“暴库”;
风险评估支持服务器、客户端的漏洞风险评估功能,支持对目标IP进行端口、服务扫描;支持ftp、mysql、oracle、mssql、ssh、RDP、网上邻居NetBIOS、VNC等多种应用的弱口令评估与
扫描;支持SQL注入,SQL盲注,跨站脚本攻击(XSS),跨站请求伪造(CSRF),操作系统
命令,本地文件包含,远程文件包含,暴力破解,弱密码登录,XPATH注入,LDAP注入,
服务器端包含(SSI)等丰富的Web应用服务漏洞检测;风险评估可以实现与FW、IPS、服
务器防护模块的智能策略联动,自动生成策略;
实时漏洞分析支持对经过设备的流量被动进行分析,分析内容包括底层软件漏洞分析,Web应用风险分析,Web不安全配置检测以及服务器弱密码检测,并实时生成分析报告。具备单独的针对服务器
安全风险和潜在威胁的特征识别库;
业务风险报表提供基于用户/业务的综合风险报表,统计维度为用户和业务而非IP地址;根据网络风险状况提供优、良、中、差评级;攻击统计提供所有检测攻击数和有效攻击数两个维度;报表内
容呈现主动扫描的漏洞分布情况,匹配攻击日志输出已被攻击的漏洞数和发现的所有漏洞数
的统计报表;业务安全报表提供攻击分析、漏洞评估、业务系统漏洞详情等信息;用户安全
报表提供遭攻击最多的用户详情、异常连接用户详情等信息;安全风险类型汇总基于业务系
统遭受攻击类型、业务系统存在最多漏洞类型、用户遭受最多威胁类型进行统计;
网页篡改防护网关型网页防篡改,无需在服务器中安装任何插件;支持文件比对、特征码比对、网站元素、数字指纹比对多种比对方式,保证网站安全;全面保护网站的静态网页和动态网页,支持网
页的自动发布、篡改检测、应用保护、警告和自动恢复,保证传输、鉴别、地址访问、表单
提交、审计等各个环节的安全,完全实时杜绝篡改后的网页被访问的可能性及任何使用Web
方式对后台数据库的篡改;支持各级页面模糊框架匹配、精确匹配的方式适用不同的网页类
型;支持提供管理员业务操作界面与网管管理界面分离功能,方便业务人员更新网站内容;
支持通过替换、重定向等技术手段,防护篡改页面;网站维护管理员必须通过短信认证才可
进行网站更新业务操作(选配);支持短信报警、邮件报警、控制台报警等多种篡改报警方式;病毒防护支持基于流引擎查毒技术,可以针对HTTP、FTP、SMTP、POP3等协议进行查杀;能实时查杀大量文件型、网络型和混合型等各类病毒;并采用新一代虚拟脱壳和行为判断技术,准确
查杀各种变种病毒、未知病毒;内置10万条以上的病毒库,并且可以自动或者手动升级;
检测到病毒后支持记录日志、阻断连接;
Web过滤对用户web行为进行过滤,保护用户免受攻击;支持只过滤HTTP GET、HTTP POST、HTTPS 等应用行为;并进行阻断和记录日志;支持针对上传、下载等操作进行文件过滤;支持自定
义文件类型进行过滤;支持基于时间表的策略制定;支持的处理动作包括:阻断和记录日志流量管理支持将多条外网线路虚拟映射到设备上,实现对多线路的分别流控;支持基于应用类型、网站类型、文件类型的带宽划分与分配;支持时间和IP的带宽划分与分配;
用户管理支持基于用户名/密码、单点登陆以及基于IP地址、MAC地址、计算机名的识别等多种认证方式;支持AD域结合、Proxy、POP3、web表单等多种单点登陆方式,简化用户操作;*
可强制指定用户、指定IP段的用户必须使用单点登录;支持添加到指定本地组、临时账号和
不允许新用户认证等新用户认证策略;支持强制AD域认证,指定用户必须用AD域账户登
录操作系统,否则禁止上网;认证成功的用户支持页面跳转,包括最近请求页面、管理员制
定URL、注销页面等;支持CSV格式文件导入、扫描导入和从外部LDAP服务器上导入等账
户导入方式;用户分组支持树形结构,支持父组、子组、组内套组等组织结构;
关键页面双因素认证支持管理员页面、管理后台的短信强认证机制,要求至少提供URL、telnet、ssh三种方式的短信认证
高可用性支持A/A,A/S模式部署,支持会话同步,配置同步和用户信息同步;
网关管理网管管理员具备安全管理员,审计员和系统管理员三种权限,安全管理员默认只允许安全策略和安全日志的查看和编辑权限;审计员默认只开放数据中心日志的查看和编辑权限,不具
备设备的管理权限;系统管理员默认具备除安全功能外的其他系统管理权限,不具备设备的
日志查看权限;支持SSL加密WEB方式管理设备;支持邮件、短信(可扩展)等告警方式,
可提供管理员登录、病毒、IPS、web攻击以及日志存储空间不足等告警设置;提供图形化
排障工具,便于管理员排查策略错误等故障;提供路由、网桥、旁路等部署模式的配置引导,
提供保护服务器、保护内网用户上网安全、保证内网用户上网带宽、保证遭到攻击及时提醒
和保留证据等网关应用场景的配置引导,简化管理员配置;
日志管理与报表能够自定义时间段查询DOS攻击、web防护、IPS、病毒、web威胁、网站访问、应用控制、用户登录、系统操作等多种安全日志查询;提供可定义时间内安全趋势分析报表;支持自定义统计指定IP/用户组/用户/应用在指定时间段内的服务器安全风险、终端安全风险等内容,并形成报表;支持将统计/趋势等报表自动发送到指定邮箱;支持导出安全统计/趋势等报表,包括网页、PDF等格式;
深圳市深信服电子科技有限公司:(部分笔试题) 招聘职位:技术支持工程师 面试反馈一: 1.Linux下查询路由的命令有哪些? 2.在Windows下,如何使用命令行实现IP地址与MAC地址的绑定? 答:在代理服务器端 捆绑IP和MAC地址,解决局域网内盗用IP: ARP -s 192.168.10.59 00-50-ff-6c-08-75 解除网卡的IP与MAC地址的绑定: arp -d 网卡IP 3.主机要获得其他主机的MAC地址用到什么协议? 答:ARP协议 4.DNS请求服务使用什么协议? 答: DNS使用的是“不可靠”协议UDP,使用这个协议的还有nfs wins netbios-over-tcp/ip 5.描述一下TCP三次握手的过程 6.谈谈你对对动态域名服务(花生壳一类的)工作原理的理解 7.IP地址202.101.100.137,子网掩码255.255.255.224,其网络地址和广播地址是什么 8.谈谈你所熟悉的路由协议,各自的主要作用是什么? 9.在路由表项中,network destinatio n、netmask、gateway、interface、metric各代表什么 意思? 10.请说明以下端口各自代表什么服务:80、21、53、443、23、1433、25、110 80:HTTP 21:FTP 53:DNS 443:SSL协议 23:TELNET 1433: SQL端口25: SMTP(邮件客户端发送服务器)110:POP3收邮件端口 11.两台电脑互连用什么线?线序是什么?电脑和交换机相连用什么线?线序是什么? 12.一台主机通过代理上网,主机IP是192.168.1.2,代理服务器的内网IP是192.168.1.2, 外网IP是222.123.23.11,主机访问SINA网站的过程。 a)数据包经过网关后,源IP:源端口: 目的IP:目的端口: b)SINA网发往网关,源IP:源端口: 目的IP:目的端口: c)网关发往主机,源IP:源端口: 目的IP:目的端口: 13.公司原来的WEB服务器使用一个固定的公网IP地址,现在为了节约成本,公司使用ADSL 拨号,并且配置硬件防火墙来保证Internet出口安全,如果你是网管,你有什么方法使外网可以访问公司WEB服务器 14.PC1在没有拨号时,可以ping通PC2,但是在拨号后就不能ping通PC2,是什么你觉得 原因造成的?有什么解决方法可以同时拨号,又能ping通PC2?
硬件平台国产设备,2U机架式硬件平台,采用多核处理器; 安全系统采用专用安全操作系统; 电源48V直流供电;提供42m 直流电源线 性能吞吐量6Gbps,并发连接100万; 设备接口6个千兆电口4个千兆光口,两路电口Bypass(公司盖章支持) 网关管理1.支持网关、网桥、旁路、混杂模式部署;支持SSL加密WEB方式管理设备;支持攻击、病毒、服务器入侵、内容过滤事件、系统日志告警等;提供图形化排障工具,便于管理员排查策略错误等故障; 2.提供实时智能模块间联动封锁的源IP以便实现动态智能安全管理(需提供截图证明) 网络适应性1.ARP、域名解析、IP UNNUMBERED、DHCP中继、DHCP服务器、DHCP 客户端,支持静态路由、RIP v1/2、OSPF、策略路由; 2.必须支持基于应用制定策略路由的智能选路功能 防火墙功能1.可以提供静态的包过滤和动态包过滤功能; 2.支持的应用层报文过滤,包括:应用层协议:FTP、HTTP、SMTP、RTSP、 H.323(Q.931,H.245,RTP/RTCP)、SQLNET、MMS、PPTP等;传输层协议:TCP、UDP; 3.支持防御Land、Smurf、Fraggle、WinNuke、Ping of Death、Tear Drop、IP Spoofing、CC、SYN Flood、ICMP Flood、UDP Flood、DNS Query Flood、ARP欺骗攻击防范、ARP主动反向查询、TCP报文标志位不合法攻击防范、支持IP SYN速度限制、超大ICMP报文攻击防范、地址/端口扫描的防范、DoS/DDoS攻击防范、ICMP重定向或不可达报文控制等功能,此外还支持静态和动态黑名单功能、MAC和IP绑定功能; 4.风险评估可以实现与FW、IPS、服务器防护模块的智能策略联动,自动生成策略(需提供截图证明) IPS漏洞防护1.防护攻击类型:包括蠕虫/木马/后门/DoS/DDoS攻击探测/扫描/间谍软件/利用漏洞的攻击/缓冲区溢出攻击/协议异常/ IPS逃逸攻击等; 2.漏洞分为保护服务器和保护客户端两大类,便于策略部署(需提供截图证明); 3.漏洞详细信息显示:漏洞ID、漏洞名称、漏洞描述、攻击对象、危险等级、参考信息、地址等内容,便于维护;可根据源区域、目的区域、目的IP组,目的IP组支持多选进行IPS策略的配置;攻击特征库: 2200+,并且能够自动或者手动升级; 4.支持TCP协议的乱序重传、TCP分包; 5.支持自动拦截、记录日志、上传灰度威胁到“云端”(需提供截图证明); 6.必须是微软“MAPP”计划会员,特征库必须获得CVE“兼容性认证证书”(需提供截图证明)
国内下一代防火墙第一品牌 深信服下一代防火墙(Next-Generation Application Firewall )NGAF 是面向应用层设计,能够精确识别用户、应用和内容,具备完整安全防护能力,能够全面替代传统防火墙,并具有强劲应用层处理能力的全新网络安全设备。NGAF 解决了传统安全设备在应用识别、访问控制、内容安全防护等方面的不足,同时开启所有功能后性能不会大幅下降。作为传统防火墙的升级替代产 品,深信服NGAF 不同于工作在L2-L4 层的传统防火墙,可以对全网流量进行 双向深入数据内容层面的全面透析。在 安全策略制定方面,区域别于传统防火 墙五元组安全策略,深信服NGAF 可对L2-L7层更多的元素(如,用户、应用类型、URL 、数据内容等)制定双向的安全访问策略,使安全策略更精细、更有效,且满足业务的合规性;在安全防护能力方面,提升了传统的抗攻击的能力,不仅能防护网络层的攻击,针对来源更广泛、攻击更容易、危害更大的应用层攻击也可以进行防护,实现L2-L7层的安全防护。同时,深信服NGAF 采用全新的软硬件架构,减小在多种复杂的安全策略和L2-L7层多功能防护功能全部开启时性能的消耗,实现应用层高性能。 功能列表 项目 具体功能 部署方式 支持路由,透明,旁路,虚拟网线,混合部署模式; 实时监控 实时提供CPU 、内存、磁盘占用率、会话数、在线用户数、网络接口的鞥设备资源信息;提供安全事件信息,包括最近安全事件、服务器安全事件、终端安全事件等,事件信息提供发 生事件、源IP 、目的IP 、攻击类型以及攻击的URL 等;提供实时智能模块间联动封锁的源IP 以便实现动态智能安全管理; 网络适应性 支持ARP 代理、静态ARP 绑定,配置DNS 及DNS 代理、支持DHCP 中继、DHCP 服务器、 DHCP 客户端;支持SNMP v1,v2,v3,支持SNMP Trap ;支持静态路由、RIP v1/2、OSPF 、 策略路由;支持链路探测,端口聚合,接口联动; 包过滤与状态检测 提供静态的包过滤和动态包过滤功能;支持的应用层报文过滤,包括:应用层协议:FTP 、 HTTP 、SMTP 、RTSP 、H.323(Q.931,H.245, RTP/RTCP )、SQLNET 、MMS 、PPTP 等;传 输层协议:TCP 、UDP ; NAT 地址转换 支持多个内部地址映射到同一个公网地址、多个内部地址映射到多个公网地址、内部地址到 公网地址一一映射、源地址和目的地址同时转换、外部网络主机访问内部服务器、支持DNS 映射功能;可配置支持地址转换的有效时间;支持多种NAT ALG ,包括DNS 、FTP 、H.323、 SIP 等 抗攻击特性 支持防御Land 、Smurf 、Fraggle 、WinNuke 、Ping of Death 、Tear Drop 、IP Spoofing 、 SYN Flood 、ICMP Flood 、UDP Flood 、DNS Query Flood 、ARP 欺骗攻击防范、ARP 主 动反向查询、TCP 报文标志位不合法攻击防范、支持IP SYN 速度限制、超大ICMP 报文攻击 防范、地址/端口扫描的防范、DoS/DDoS 攻击防范、ICMP 重定向或不可达报文控制等功能, 此外还支持静态和动态黑名单功能、MAC 和IP 绑定功能;
应用防火墙技术参数: 品牌要求:网神、网御星云、山石网科 系统功能 设备参数接口数目 ★至少6个10/100/1000自适应电口+2SFP插槽,其中包 括1个带外管理口,1个HA口,4个业务接口, 1U设备性能参数 ★至少1200Mbps网络吞吐量,应用层吞吐量不小于 500Mbps,http新建速率大于5000/s,http最大并发为40 万,网络并发连接数150万 防护策略防护规则提供内置规则,同时支持用户自定义防护特征Web扫描 ★提供Web安全扫描功能(提供相应截图) 自定义Web安全扫描任务,定期进行Web安全扫描 安全特性HTTP RFC符合 性 支持对HTTP和HTTPS的协议合法性进行验证 网络层防护 支持访问控制功能,能够有效防御基于网络层的攻击 应能支持URL级别访问控制,支持IP级别黑、白名单WEB应用防护 可防御蠕虫、缓冲区溢出、目录遍历等攻击 可以识别和阻断应用层拒绝服务攻击,如CC攻击等 可以对网页请求/响应内容中的非法关键字进行检测、过 滤,非法上传阻断,包括Webshell攻击防护 应能识别和阻断敏感信息泄露、恶意代码攻击、错误配置 攻击、隐藏字段攻击、会话劫持攻击、参数篡改攻击、缓 冲区溢出攻击、弱口令攻击 ★支持HTTPS卸载和加壳:即客户端到服务器端可以任 意选择HTTPS和HTTP,强化应用层安全(需要提供截图) 可以识别和阻断SQL注入攻击,Cookie 注入攻击,命令注 入攻击 可以防御防盗链攻击、爬虫防护,应能控制网络扫描行为 可以进行HTTP报文请求的字段进行严格,中等和宽松的 限制 可以识别和阻断跨站脚本(XSS)注入式攻击 主动防御 ★能根据攻击状态进行学习,形成动态阻断列表(提供相 应截图,加盖原厂公章) ★能根据阻断状态,动态建模(提供相应截图,加盖原厂 公章) 网页篡改防护 ★系统支持网页防篡改模块,支持linux,windows,Aix, FreeBSD等主流操作系统(需要提供截图,加盖原厂公章) 采用基于文件过滤驱动保护技术、事件触发机制相结合方 式
深信服下一代防火墙高校数据中心差异优势 支持对不同部门的业务流量进行实时流量分析,发现存在的漏洞威胁,并对发现漏洞次数最多的服务器进行排名,分析攻击类型,详情以及建议方案。 背景:对于高校用户来说,目前事先发现自身业务漏洞的方式只能借助漏洞扫描设备,而漏扫设备存在两个不足,一是扫描时发出的攻击包可能影响正常业务开展;二是扫描都是阶段性、分批次的,无法实时监控所有业务系统的动态漏洞信息;一旦出现0day,响应还是不够及时;同时由于托管了很多二级学院及部门系统,需要分别分析分别处理,因此需要针对每个系统/部门生成单独的报表,包括系统存在哪些漏洞、外部如何攻击他的,哪些攻击真正有效等。 价值:深信服可以提供一种更加高效的解决方案,通过对业务流的全流量分析,能够提供被动式[不主动发包,不影响业务]的7*24小时业务漏洞检测手段,帮助用户更好的对可能存在对风险进行预警。
支持异常流量检测功能,能够区分正常业务流量和潜藏在其中的危险流量。能够有效识别RDP(3389)、SSH (22)、FTP(20,21)、DNS(53)、HTTP(80)、HTTS(443)、SMTP(25)、POP3(110)等常见应用,常用
端口中的未知应用,可疑流量,能区分出占用这些正常应用的合法端口的危险行为。 背景:目标对象被黑客控制后,会在后端被开放一些端口进行数据的通信,而为了绕过安全设备的检测,黑客往往会采用一些知名端口来进行数据通信,所以如何能够识别知名端口是否跑了未知应用,已知应用跑在非标准端口就成了事后防护的主要检测手段; 价值:可检测知名端口是否跑了未知流量,已知应用是否运行在非标准端口,提供异常流量检测预警。 支持ASP,JSP,PHP语言编写的Webshell文件上传检测,支持对已被上传Webshell服务器的检测(单独检测工具)。 背景:Webshell 是黑客进行Web入侵常用的脚本工具,通常情况下是一个ASP、PHP或者JSP程序页面,也叫作网站后门木马,在入侵一个网站后,常常将这些木马放置在服务器WEB目录中,与正常网页混在一起。通过Webshell长期操纵和控制受害者网站; 价值:深信服可针对Webshell文件上传提供事前和事后全面的解决方案,内置独立的语义解析引擎结合常见Webshell后门特征规则,使得深信服的Webshell后门识别率达到99%以上。针对疑似被植入Webshell后门的服务器,深信服也具备事后检测工具,一键解决安全隐患。
企业云解决方案介绍 一、全行业变革 移动互联网已经处于稳健的发展期,各个行业都在围绕业务发展进行创新和变革。在政府行业,政务信息公开化,大量的政务内网应用正在对互联网开放,提供丰富的便民化服务;在教育行业,为了提升教学质量以及提供更灵活的学习平台,移动校园网、智慧校园、三通两平台等建设也越来越普遍;制造业企业,持续关注工业4.0,希望通过智能制造等方式提升制造效率、降低制造成本;而零售企业则采用O2O的方式打开更广泛的销售通路,并且利用大数据分析,并实现精细化营销。 二、传统IT遇到的挑战 企业级IT业务发展分为3个主要趋势,即:移动化、互联网化和数据价值化,而企业/机构在做IT战略时都在考虑如何将其自身的业务和这3个趋势相结合,从而实现业务的转型、创新和增长,这些变化需要新的IT基础架构和建设模式,需要以信息化部门的革新作为支撑。但是很多行业客户的信息化建设,目前仍依托于传统IT建设模式,无法响应业务变革的需求,成为了业务转型的绊脚石。 在传统IT环境下,应用和资源是紧耦合的,使得底层架构缺乏弹性,业务转型带来业务数量增加、用户数量快速递增,IT资源无法快速灵活的随之增长; 业务部署缓慢,传统数据中心整体架构复杂、设备种类多,新业务从方案设计、集成部署到最终的运营上线,需要长则数月的时间;运维管理困难也是一直存在的挑战,数据中心设备繁杂、品牌不一,使得IT部门很难对基础设施执行统一监控和管理。 同时当前的资源利用率普遍较低,多数设备利用率不足20%,除部分数据中心应用了计算虚拟化,存储、网络、安全仍采用物理设备部署,导致业务建设的成本高昂; 最重要的是,IT部门将大部分精力投入到基础架构的维护中,而无法过多的关注信息化和业务结合的创新,失去了在业务转型过程中的核心价值。 三、深信服的企业级云方案 为实现企业的业务变革,企业IT需要进行全数据化转型,而IT云化是实现全数字化转型的一种非常便捷和高效的途径,通过计算、存储、网络的全资源池化,IT架构的简化以及基础架构的统一运维,达成业务转型的目标。 到底要建设什么样的云来促进业务目标的实现?这取决于企业级IT云化的真实需求,深信服为此做了深入的探索。一方面,在大量的用户云项目实践中积累了丰富的技术经验;另一方面,我们联合罗兰贝格做的一个咨询项目进行了大量市场调研和客户需求研究。通过
深信服和您一起解析防火墙的前世今生 [内容摘要]:面对现在网络复杂的应用情况,传统防火墙已经显得力不从心,下一代火墙应运而生。作为国内规模最大、创新能力最强的前沿网络设备供应商——深信服科技推出下一代应用防火墙(NGAF)产品,也是中国首家推出下一代防火墙的本土厂商。 关键词:深信服下一代防火墙上网行为管理 前世 防火墙自诞生以来,在网络安全防御系统中就建立了不可替代的地位。防火墙就像城墙,对进出防火墙的一切数据包进行检查,保证合法数据包能够进入网络访问合法资源同时防止非法人员通过非法手段进入网络或干扰网络的正常运行。随着时代的变迁,曾经如城墙般稳固的传统防火墙已黯然失色,失去了它原有的防御能力。面对网络的高速发展、应用不断增多的时代,逐渐被新的继任者重新定义了“防火墙”。 我们不禁要问:曾经在IP/端口的网络时代发挥了巨大作用的“传统防火墙”为什么会被历史所淘汰?最主要的原因还在于“对网络应用快速发展的3大不适应症状” 1.安全不适症 传统防火墙基于IP/端口无法对应用层进行识别与控制,无法确定哪些应用经过了防火墙。面对应用层的攻击,无法检测或拦截嵌入到普通流量中的恶意攻击代码,比如病毒、蠕虫、木马等。 2.管理不适症 传统防火墙的网络访问控制需要配置大量的策略,并且这些基于IP/端口策略可读性非常之差,经常会造成错配、漏配的情况,留下的这些隐患,往往给黑客们以可乘之机。 3.维护不适症 由于防火墙功能上的缺失使得企业在网络安全建设的时候针对现有多样化的攻击类型采取了打补丁式的设备叠加方案,在一定程度上能弥补防火墙功能单一的缺陷。但在这种环境中,同一数据包经过串联的各类设备,被重复拆包,重复解析,使整个网络的效率变得低下,运行速度缓慢。而独立设备、管理复杂,需要培养熟悉各类设备、各厂商设备的高级管理人员。无法进行统一的安全风险分析,以及无法提供足够的空间和环境支持,大大提高了维护成本。 今生 2009年10月Gartner提出“Defining the Next-Generation Firewall(NGFW)”一文,重新定义下一代防火墙,下一代防火墙的概念在业内便得到了普遍的认可。目前仅有不到1%的Internet连接采用NGFW来保护。Gartner认为,到2014年底,这个比例将增加到占安装量的35%,60%新购买的防火墙将是下一代防火墙(NGFW)。 在这个全新领域,国内规模最大的前沿网络设备厂商,同时也是全球网络设备领域发展最快
AC-4300-RY上网行为管理产品功能性能参数 项目指标具体功能要求 性能吞吐量2.5Gbps,标配6个千兆电口,4个千兆光口,标准2U设备,配备冗余电源 部署方式网关模式支持网关模式,支持NAT、路由转发、DHCP等功能;网桥模式支持网桥模式,以透明方式串接在网络中; 旁路模式支持旁路模式,无需更改网络配置,实现上网行为审计; 网关管理管理界面支持SSL加密WEB方式、SSH命令行方式管理设备; 分级管理不同用户组的管理权限支持分配给不同管理员; 集中管理多台设备支持通过统一平台集中管理、集中配置等; 被控设备加入统一平台支持以硬件证书验证身份; 告警管理支持攻击、泄密告警,危险行为告警、邮件延迟审计告警等; 加密连接具有IPSec VPN远程加密访问和连接的模块,并能提供IPSec VPN客户端授权远程接入访问; 排障工具提供图形化排障工具,便于管理员排查策略错误等故障; 上网故障排除系统支持开启直通后,流量控制模块依然生效,避免全部数据直通导致线路流量过大; 实时监控设备资源信息提供设备实时CPU、内存、磁盘占有率、会话数、在线用户数、系统时间、网络接口等信息; 流量状态实时提供用户流量排名、应用流量排名、所有线路应用流速趋势、流量管理状态、连接监控信息; 安全状态实时显示当天的安全状况,最后发生安全事件的时间、类型、总次数、源对象,帮助管理员管理内网安全; 上网行为监控实时显示设置过滤条件的用户上网行为监控,支持手动设置刷新时间; 用户管理本地认证支持触发式WEB认证,静态用户名密码认证等; 第三方认证支持LDAP、Radius、POP3、Proxy等第三方认证; 支持ISA\ lotus ldap\novel ldap\oracle、sql server、db2、mysql等数 据库等第三方认证; 双因素认证支持以USB-Key方式实现双因素身份认证; IP、MAC认证支持绑定IP认证、绑定MAC认证,及IP/MAC绑定认证等; 支持通过SNMP服务器跨三层获取MAC地址; 支持当用户MAC地址变动时,需要重新认证; 短信认证支持短信认证方式,用户输入手机号作为用户名,通过短信猫或短信平台发送验证码; 短信认证能够根据不同用户推送不同认证页面,该认证页面可自定义,编辑 内容包括文字、颜色风格、图片,且图片支持轮询播放 公用账户支持多人使用同一帐号登录,且支持重复登陆检测机制; 账户有效期指定账户支持有效期限制,并支持自动过期; 单点登录支持AD、POP3、Proxy、PPPOE、H3C IMC/CAMS、锐捷SAM、城市热点等系统进行认证单点登录,简化用户操作; 可强制指定用户、指定IP段的用户使用单点登录;
1.3.2汇聚防火墙(4台) 硬件平台国产设备,2U机架式硬件平台,采用多核处理器; 安全系统采用专用安全操作系统; 电源48V直流供电;提供42m 直流电源线 性能吞吐量6Gbps,并发连接100万; 设备接口6个千兆电口4个千兆光口,两路电口Bypass(公司盖章支持) 网关管理1.支持网关、网桥、旁路、混杂模式部署;支持SSL加密WEB方式管理设备;支持攻击、病毒、服务器入侵、内容过滤事件、系统日志告警等;提供图形化排障工具,便于管理员排查策略错误等故障; 2.提供实时智能模块间联动封锁的源IP以便实现动态智能安全管理(需提供截图证明) 网络适应性1.ARP、域名解析、IP UNNUMBERED、DHCP中继、DHCP服务器、DHCP客户端,支持静态路由、RIP v1/2、OSPF、策略路由; 2.必须支持基于应用制定策略路由的智能选路功能 防火墙功能1.可以提供静态的包过滤和动态包过滤功能; 2.支持的应用层报文过滤,包括:应用层协议:FTP、HTTP、SMTP、RTSP、H.323(Q.931,H.245,RTP/RTCP)、SQLNET、MMS、PPTP 等;传输层协议:TCP、UDP; 3.支持防御Land、Smurf、Fraggle、WinNuke、Ping of Death、Tear Drop、IP Spoofing、CC、SYN Flood、ICMP Flood、UDP Flood、DNS Query Flood、ARP欺骗攻击防范、ARP主动反向查询、TCP报文标志位不合法攻击防范、支持IP SYN速度限制、超大ICMP报文攻击防范、地址/端口扫描的防范、DoS/DDoS攻击防范、ICMP重定向或不可达报文控制等功能,此外还支持静态和动态黑名单功能、MAC和IP绑定功能; 4.风险评估可以实现与FW、IPS、服务器防护模块的智能策略联动,自动生成策略(需提供截图证明) IPS漏洞防护1.防护攻击类型:包括蠕虫/木马/后门/DoS/DDoS攻击探测/扫描/间谍软件/利用漏洞的攻击/缓冲区溢出攻击/协议异常/ IPS逃逸攻击等;2.漏洞分为保护服务器和保护客户端两大类,便于策略部署(需提供截图证明); 3.漏洞详细信息显示:漏洞ID、漏洞名称、漏洞描述、攻击对象、危险等级、参考信息、地址等内容,便于维护;可根据源区域、目的区域、目的IP组,目的IP组支持多选进行IPS策略的配置;攻击特征库: 2200+,并且能够自动或者手动升级; 4.支持TCP协议的乱序重传、TCP分包; 5.支持自动拦截、记录日志、上传灰度威胁到“云端”(需提供截图证明); 6.必须是微软“MAPP”计划会员,特征库必须获得CVE“兼容性认证证书”(需提供截图证明)
深信服下一代防火墙NGAF方案白皮书
目录 一、企业级网络安全建设需要什么 (4) 1.传统割裂的各种安全产品? (4) 2.“雇佣兵”式的安全服务? (5) 3.企业级的网络安全到底需要什么? (5) 二、深信服下一代防火墙的定位 (6) 1.适用于国内环境的下一代防火墙 (6) 2.我们不仅交付产品,还为您持续输送安全能力 (7) 三、深信服下一代防火墙为企业安全赋能 (7) 1.看懂安全现状和风险 (7) 1.1业务安全状况可视 (7) 1.2威胁危害效果可视 (8) 1.3安全事件实时通报 (9) 2.持续对抗新型威胁 (10) 2.1产品快速迭代应对已知威胁 (10) 2.2完整的APT攻击检测链 (11) 2.3云检测平台应对未知威胁 (12) 3.简化安全运营 (13) 3.1任务化的风险管理 (13) 3.2全网安全统一管控 (14) 3.3威胁情报预警与处置 (15) 3.4风险评估与策略联动 (15)
3.5智能联动封锁机制 (16) 四、高效稳定的底层架构设计 (16) 1.分离平面设计 (16) 2.多核并行处理 (17) 3.单次解析架构 (17) 4.跳跃式扫描技术 (18) 5.Sangfor Regex正则引擎 (18) 6.产品性能评测报告 (19) 五、深信服下一代防火墙品牌优势 (19) 1.市场引领者 (19) 2.专业权威的认可 (20) 3.专业安全攻防团队 (21) 4.产品可靠稳定 (21) 六、典型场景和案例 (22) 典型应用场景 (22) 典型应用案例 (23) 七、部分客户列表 (25)
sg的设备eth0(即lan口)是面板上看到的manager口,默认ip跟ac的一样是10.251.251.251。 保留IP:10.111.222.33/255.255.255.252 AC:128.127.125.252/255.255.255.248(LAN口)128.128.125.252/255.255.255.248(DMZ) AD设备,管理口(MANAGE)默认IP为:10.252.252.252 MIG设备lan口出厂IP地址:10.254.254.253/255.255.255.0; dmz口出厂IP地址:10.253.253.253/255.255.255.0 APM 管理口(MANAGE)默认IP为:12.254.254.254 登录方法:首先为PC机配置一个12.254.254.X网段的IP(如配置12.254.254.100),掩码配置为255.255.255.0,然后在IE浏览器中输入设备的默认登录IP及端口,输入https://12.254.254.254 以上内容来自:https://www.doczj.com/doc/1312588418.html,/forum/read.php?tid=39 内部测试地址:
北京已经准备了设备的演示平台,大家方便的时候可以登录进行查看 使用如下地址登录:https://www.doczj.com/doc/1312588418.html,/ssl/bjbsypt.php vpn的用户名和密码分别是 用户名:渠道演示平台 密码:qdyspt 进去之后选择渠道演示资源组,就可以看到设备的连接,有问题请随时与我联系,谢谢!暂时发布上去的是SG、AD、SSL三个设备,请大家不要修改部署模式,谢谢! 此文档请不要外发,各位人员留好,并请大家一起完善 但前文档版本号1.01,大家可以共同修改、添加完善文档,版本号+0.01后上传到群共享一楼:乔硕 1.01
深信服,解决方案 篇一:深信服移动安全业务解决方案 深信服移动业务解决方案 应用背景 移动互联网的的繁荣推动了办公的移动化发展,3A办公模式已成为一种新的趋势。移动办公意味着办公人员可以在任何时间(Anytime)、任何地点(Anywhere)处理与业务相关的任何事情(Anything)。这种全新的办公模式,可以摆脱时间和空间对办公人员的束缚,从而提高工作效率及远程协作能力,尤其是可轻松处理常规办公模式下难以解决的紧急事务。 OA系统在IOS/Android终端上的出色表现,吊足了大家的胃口,人们已经无法满足于简单的移动办公,更多重要业务系统延伸至智能终端的诉求愈演愈烈。以企业的销售自动化系统为例,成功部署于智能终端后,可以为销售人员提供客户管理功能,包括信用额度、应收帐款等信息,并能够方便的查询库存信息、客户的定单状态、发货情况、退货记录等信息;可以将销售人员从烦琐、重复的查询劳作中解脱出来,不仅提高了工作效率,同时销售人员还可以有更多的时间和精力用于市场开拓。 移动业务面临的挑战
移动业务已成为未来网络发展的重要趋势,众多IT厂商纷纷推出移动业务解决方案。用户的需求已经迫在眉睫,但IT厂商推动时面临的问题和困难也不容忽视: 1、无法快速迁移:当前传统信息化应用由于各种技术限制,无法直接迁移到智能终端上,无论是B/S还是C/S模式的应用,由于平台化的不同,在传统PC和智能终端上的使用都会存在较大差异。 2、部署代价高:一旦部署移动业务,要针对原有应用系统进行重新开发,需要较长的开发周期;同时,后台的数据结构还需要进行重新调整。这些都将会极大地增加项目的复杂度和风险,需要部署的应用系统越多,部署成本便越高。 3、安全风险:一旦敞开了大门,通过移动终端接入企业内网后,核心业务系统的数据存在各种泄密风险,也给企业带了更大的经济损失的风险。 面对移动业务未来的广阔市场以及实现移动办公存在的种种问题、挑战,我们该如何选择?是否存在更加安全、高效、低成本、贴合用户需求的方案,帮助用户快速实现跨平台的业务访问 深信服解决方案 总述:针对不同的业务场景,企事业单位未开发业务系统的APP客户端及已有APP客户端的不同情况,深信服提供相应的移动业务解决方案:
深信服的面试经历 礼拜二下午接到深信服罗小姐的电话,让我第二天上午10点去面试。已经和德仓的陈经理讲好礼拜三去面试的,就把深信服推到了今天。 昨天下午呆在公司浏览了一下深信服的主页。看的我是一头雾水,什么SSL VPN,IPsec VPN。。。我一点概念都没有。早上早早起床去跑步,洗完澡就去深信服。去的还挺早,几个哥们已经在那里了,一阵海聊,把潜在的竞争对手了解个大概。 一个哥们,本来就是做相关产品,特意从南京赶过来面试(强劲的竞争对手);一个是南昌大学的研究生;一个做震旦办公家具的;一个海归。 面试开始。 分三个部分:1。轮流做自我介绍,限时1分钟 2。给一个话题,大家一起讨论,25分钟,最后五分钟会提示时间。 3。经过讨论,达成共识,挑选一个人出来总结发言,但是不能投票选出谁来总结发言。 我排第三个,前面两个都是简单介绍了自己的工作经历。我想工作经历,简历中都有,重复简历没有什么意义,介绍要突出自己的个性,让别人对自己有个深刻的印象。大概回想了下,当时好象是这样说的, 大家好,我是。。。07年。。。大学毕业。 在大学里就想,将来我要追随商道,做一名商界精英。因此,刚刚毕业,我就加入了。。。做电子元器件代理分销。在这将近2年的时间里,有收获,有成功,也有失败,有兴奋,也有郁闷,我想了一下,大概有以下几点,想跟大家分享以下: 1:做人要有企图心,也就是要有狼性。激情会很快褪去,企图心才是长久的动力。
2:做事要以目标为导向。销售,归根结底,以成败论英雄。销售过程中有很多负面事情影响自己的情绪,要把注 意力放在结果上面,让行动约束情绪。 3:要有不断学习的决心和能力。当今社会,日新月异,持续学习才能跟的上时代步伐。 平时我喜欢挑战,前一段我参加了一个活动----百里徒步。晚上7点从海上世界出发,一路走到西冲,将近20个小时的行程。能够走完,不仅需要勇气,更需要韧性,更需要团队协作,大家都是三四个人一个团队,相互鼓励支持,才坚持到最后。勇气,韧性,团队,这些都是我们做销售所必需的东西。 (呵呵,这个活动我想参加,可是今年错过了,在这里杜撰了下。) 我之前做电子元器件贸易,没有做项目销售的经验,不过我相信如果我加入深信服,通过团队协作,个人努力,我会在深信服找到属于自己的位置的。 谢谢大家。 (心里还是有一点紧张,心跳明显加快,做完自我介绍,我看到罗小姐脸上有了笑容。呵呵,有门了。其实罗小姐长的一般,不过笑起来感觉还是蛮好看的。)进入第二个环节。 “令狐冲说过,有些事情我们控制不了,只好控制自己。”,听了这句话,你有什么感想? 我日,我能有什么感想,就不吭声,听听别人有什么说法先,还真有哥们着急发言。大概都是赞同这句话,就这句话来谈这句话,没有结合销售工作来谈,我看罗小姐眉头有点邹,那个南京过来的哥们也不吭声,真狡猾。我接过话头: 刚刚前面几位说的都挺有道理,大家想一下,我们是否可以这样来理解这句话:令狐冲是一个什么样的人?他是一个大侠,他所追求的是什么?是洒脱,随遇而安,他说出这句话很正常,鬼谷子说过,‘口乃心之门户也’。令狐冲心里这样想,当然口里会这样说。性格决定命运。
信息安全行业品牌企业深信服调研分析报告
一、公司概况:信息安全行业领先厂商,云计算行业新锐 (5) 二、信息安全产业高速发展,未来市场空间巨大 (7) 2.1、事件+技术+政策,刺激下游需求不断释放 (7) 2.2、信息安全内涵日益丰富,行业竞争格局相对分散 (11) 三、云计算产业规模持续增长,超融合市场前景向好 (13) 3.1、我国云计算私有云占比较高,混合云将成为未来趋势 (13) 3.2、超融合架构是建设私有云及混合云的最佳选项 (16) 四、安全+云计算为战略重点,产品表现亮眼 (20) 4.1、安全业务:品类丰富,多个细分市场市占率领先 (20) 4.2、云计算业务:基于超融合架构,提供全栈云解决方案 (22) 4.3、企业级无线业务:产品优势明显,市场份额领先 (25) 五、渠道化战略+高研发投入,确保公司竞争优势 (26) 5.1、实施全面渠道化战略,提升全市场覆盖能力 (26) 5.2、保持高研发投入,持续推进新产品落地 (29) 盈利预测与投资建议 (30) 盈利预测 (30) 投资建议 (32) 风险提示 (33)
图1:公司三大主要业务 (5) 图2:2014-2018年公司主营产品收入构成(亿元) (6) 图3:2014-2018年公司归母净利润及同比增速(亿元,%) (6) 图4:公司股权结构(2019Q1) (7) 图5:全球企业/组织IT安全投入变化(2017) (9) 图6:全球网络信息安全市场规模及同比增速(亿美元,%) (11) 图7:我国网络信息安全市场规模及同比增速(亿元,%) (11) 图8:网络安全细分市场划分 (11) 图9:中国网络信息安全市场结构(2017) (12) 图10:欧美网络信息安全市场结构(2017) (12) 图11:国内网络安全100强企业(2019)) (13) 图12:我国公有云市场规模及增速(亿元,%) (15) 图13:我国私有云市场规模及增速(亿元,%) (15) 图14:企业选择使用私有云的考虑因素 (16) 图15:中国企业混合云应用比例(2018) (16) 图16:企业数据中心架构变迁 (17) 图17:传统架构与超融合使用成本对比举例 (17) 图18:我国企业私有云建设方式选择 (18) 图19:我国企业对开源私有云管理平台的认可情况 (18) 图20:企业云化路径 (19) 图21:我国超融合市场规模及增速(亿美元,%) (19) 图22:我国超融合市场份额分布(2018) (19) 图23:公司安全业务图谱 (20) 图24:公司安全业务收入及增速(亿元,%) (22) 图25:公司营收结构(2018) (22) 图26:同行业安全产品毛利率比较 (22) 图27:公司基于超融合架构的企业级aCloud云 (23) 图28:公司超融合软硬件整体市场市占率情况 (23) 图29:公司在超融合软件市场的占有率(2018) (23) 图30:公司云计算整体架构 (24) 图31:公司云计算业务收入及增速(亿元,%) (25) 图32:公司云计算业务毛利贡献及毛利率(亿元,%) (25) 图33:公司企业级无线产品 (25) 图34:公司企业级无线业务收入及增速(亿元,%) (26) 图35:信锐网科在企业级无线市场的市占率排名(2018Q1) (26) 图36:同行业销售费用率比较 (28)
品牌:深信服科技 型号(版本号): ADN-550 保修期限(单位:年): 3 端口:4*1000M BASE-T(RJ45);2*1000M BASE-X(SFP); CPU主频:2核2.8G 内存实配(单位M):4096 内存最大可扩展(单位M):4096 存储介质(单位M):512000 最大并发会话数:1500000 交换背板(单位Gb/s ):14 HTTP压缩(单位M/s ):1024 VLAN个数:1024.0 IP路由表项:无限制 四层处理能力(/秒):70000 七层处理能力(/秒):1450000 支持的虚拟服务器数量VIP:无限制 Real Server:无限制 SSL支持/对称加密流量:1024 SSL支持/在线会话数:450000 API接口:提供基于XML/SOAP的API 高可用:支持双机热备 支持的网络协议:支持所有基于TCP/IP的协议 VLAN与VLAN TAG:支持802.1q标准封装协议 链路聚合故障切换:支持 光纤千兆端口: 2 10/100/1000M端口: 4 IP Version:IPV4 防止Dos攻击:支持 安全的管理:HTTPS,SSH RS-232C 控制口:支持 外观尺寸(长*宽*高/cm):56*44*8.8 重量(kg):20 工作环境(温度、湿度):-10~ 50 ℃;5~95%,非冷凝 电源(W):220 认证标准(安全标准、电磁辐射认证):FCC Class A 最大功耗(W):350 一、结款: 先收取货物、发票、电子验收单及合同,设备经验收合格,登记我单位固定资产后3个月内以支票或电汇方式支付全额货款。 二、售后服务: 免费提供原厂三年技术支持。提供由供货商提供上门服务。保修期满免人工费,仅支付零配件费。1年免费原厂保修服务。接报修电话后当天响应并提出解决方案。保修期内,如发生
深信服下一代防火墙NGAF 技术白皮书 深信服科技有限公司 https://www.doczj.com/doc/1312588418.html, 二零一三年四月
目录 一、概述 (4) 二、为什么需要下一代防火墙 (4) 2.1 网络发展的趋势使防火墙以及传统方案失效 (4) 2.2 现有方案缺陷分析 (5) 2.2.1 单一的应用层设备是否能满足? (5) 2.2.2 “串糖葫芦式的组合方案” (5) 2.2.3 UTM统一威胁管理 (6) 三、下一代防火墙标准 (6) 3.1 Gartner定义下一代防火墙 (6) 3.2 适合国内用户的下一代防火墙标准 (7) 四、深信服下一代应用防火墙—NGAF (8) 4.1 产品设计理念 (8) 4.2 产品功能特色 (9) 4.2.1 更精细的应用层安全控制 (9) 4.2.2 全面的应用安全防护能力 (12) 4.2.3 独特的双向内容检测技术 (17) 4.2.4 涵盖传统安全功能 (19) 4.2.5 智能的网络安全防御体系 (19) 4.2.6 更高效的应用层处理能力 (20) 4.3 产品优势技术 (21) 4.3.1 深度内容解析 (21) 4.3.2 双向内容检测 (21) 4.3.3 分离平面设计 (21) 4.3.4 单次解析架构 (22) 4.3.5 多核并行处理 (23) 4.3.6 智能联动技术 (24) 五、解决方案与部属 (24) 5.1 互联网出口-内网终端上网 (24)
5.2 互联网出口-服务器对外发布 (25) 5.3 广域网边界安全隔离 (25) 5.4 数据中心 (26) 六、关于深信服 (26)
一、概述 防火墙自诞生以来,在网络安全防御系统中就建立了不可替代的地位。作为边界网络安全的第一道关卡防火墙经历了包过滤技术、代理技术和状态监视技术的技术革命,通过ACL 访问控制策略、NAT地址转换策略以及抗网络攻击策略有效的阻断了一切未被明确允许的包通过,保护了网络的安全。防火墙就像机场的安检部门,对进出机场/防火墙的一切包裹/数据包进行检查,保证合法包裹/数据包能够进入机场/网络访问合法资源同时防止非法人员通过非法手段进入机场/网络或干扰机场/网络的正常运行。传统的防火墙正如机场安检人员,通过有限的防御方式对风险进行防护,成本高,效率低,安全防范手段有限。而下一代防火墙则形如机场的整体安检系统,除了包括原有的安检人员/传统防火墙功能外,还引入了先进的探测扫描仪/深度内容安全检测构成一套完整的整体安全防护体系。自2009年10月Gartner提出“Defining the Next-Generation Firewall”一文,重新定义下一代防火墙,下一代防火墙的概念在业内便得到了普遍的认可。深信服也在经过10年网络安全技术6年的应用安全技术沉淀之后,于2011年正式发布深信服“下一代应用防火墙”——NGAF。 二、为什么需要下一代防火墙 2.1网络发展的趋势使防火墙以及传统方案失效 防火墙作为一款历史悠久的经典产品,在IP/端口的网络时代,发挥了巨大的作用:合理的分隔了安全域,有效的阻止了外部的网络攻击。防火墙在设计时的针对性,在当时显然是网络安全的最佳选择。但在网络应用高速发展,网络规划复杂化的今天防火墙的不适应性就越发明显,从用户对网络安全建设的需求来看,传统防火墙存在以下问题: 1、应用安全防护的问题: 传统防火墙基于IP/端口,无法对应用层进行识别与控制,无法确定哪些应用经过了防火墙,自然就谈不上对各类威胁进行有效防御了。面对应用层的攻击,防火墙显得力不从心,无法检测或拦截嵌入到普通流量中的恶意攻击代码,比如病毒、蠕虫、木马等。 2、安全管理的问题: 传统防火墙的访问控制策略对于大型网络来说简直就是噩梦。严格控制网络需要配置大量的策略,并且这些基于IP/端口策略可读性非常之差,经常会造成错配、漏配的情况,留下的这些隐患,往往给黑客们以可乘之机。
敢为天下先——深信服NGAF下一代应用防火墙评析 随着互联网的普及,IT管理人员面临着更为复杂和频繁的网络安全问题,病毒、恶意攻击日渐增多,80端口上不再只有web服务,QQ 也不再只是一个聊天工具,并且以经济利益为目的的网络攻击日益成为主流,而传统基于L3、L4的网络设备无法有效应对这些新的网络风险。另一方面,越来越多的业务依托互联网和广域网展开,关键业务面临系统稳定性差、网络速度慢等多种问题,IT管理者急需更为精细化和灵活的业务管理及优化策略。 部分供应商已逐渐意识到这种趋势,但受限于传统技术观点,大多数厂商只能提供部分解决方案,无法帮助IT管理者有效应对挑战。 为了帮助IT管理者解决目前网络所面临的问题,深信服科技于近期发布了NGAF系列下一代应用防火墙产品,成为首家推出NGFW产品的国内厂商。 前不久,计算机世界实验室韩勖发表了一篇《敢为天下先——5大厂商市售NGFW产品评析》文章,上面对深信服公司发布的下一代应用防火墙(NGAF)产品做出了比较全面、客观的介绍。 引文如下: “作为近年来崛起势头最为迅猛的本土信息安全解决方案提供商,深信服科技长期坚持专攻应用与内容安全领域的发展策略,在市场上有着广泛的认同度。就在NGFW大潮在国内方兴未艾之际,该公司于近期发布了NGAF系列下一代防火墙,成为首家推出NGFW产品的国内
厂商。 深信服NGAF系列下一代防火墙产品提供了以传统基础网络安全、应用识别与控制、应用威胁防护为核心的多种安全功能,覆盖了NGFW 定义中要求必备的所有特性。 有国内市场上最成功的上网行为管理产品为基础,深信服科技的NGAF产品在应用识别与控制能力方面有着一定的先天优势。该公司还将WAF产品的主要功能集成到NGAF产品中,结合应用识别与控制功能,为数据中心用户提供了新的安全防护接入思路。 对于我们采访中问到的‘之前没有防火墙/UTM 产品,在状态检测技术和入侵防御技术方面是否有足够积累’的问题,深信服科技市场行销部技术总监殷浩也没有回避。据介绍,该公司在保持应用与内容安全领域技术领先的同时,也一直都在跟踪其他各类安全技术的发展。例如成为微软MAPP计划合作伙伴,可以第一时间获得漏洞资料,提高IPS的防护效果和响应速度。NGAF产品的应用威胁防护功能将反恶意软件、漏洞利用、Web入侵等威胁视为一个整体进行统一防护,正是技术积累的一次集中体现。 产品规格方面,深信服科技的NGAF产品线中包含了多达11款产品,覆盖了几乎所有用户群体。其最低端AF-1100系列产品标称提供 200Mbps的防火墙处理能力(按照深信服对产品的定义,应用识别与控制功能都默认开启,后同),最高端的AF-8000系列则将该指标推向10Gbps。” “从深信服公司提供的下一代应用防火墙(NGAF)产品测试的最