深信服下一代防火墙NGAF
近年来,越来越多的网络安全事件告诉我们,安全风险比以往更加难以察觉。随着网络安全形势逐渐恶化,网络攻击愈加频繁,用户对自己的网络安全建设是否合规、完善并没有把握。该如何加强安全建设?安全建设的核心问题是什么?采用何种安全防护手段更为合适?安全建设该如何体现价值?这些问题已成为困扰用户安全建设的关键问题。
一、企业级网络安全建设需要什么
1.传统割裂的各种安全产品?
传统组合方案问题多
传统产品组合方案缺陷一:不同的安全设备看到的是不同的攻击类型,信息是割裂的,难以对安全日志进行统一分析;安全设备在有攻击时才能发现问题,在没有攻击的情况下,就无法看到业务漏洞,但这并不代表业务漏洞不存在;即使发现了攻击,也无法判断业务系统是否真正存在安全漏洞,还是无法指导用户进行安全建设。
传统产品组合方案缺陷二:有几种设备就可以防护几种攻击,但大部分客户无法全部部署,所以安全存在短板;即使全部部署,这些设备也不对服务器和终端向外主动发起的业务流量进行防护,在面临新的未知攻击的情况下缺乏有效的防御措施,还是存在被绕过的风险。
传统产品组织方案缺陷三:无论安全建设采用的是传统的安全产品叠加方案还是采用UTM/NGFW+WAF的整合类产品解决方案,都是聚焦于如何保护资产在事中攻击过程中不被入侵成功,但是并不具备对于资产的事前风险预知和事后检测响应的能力,从业务风险的生命周期来看,仅仅具备事中的防护是不完整的。
2.企业级的网络安全需要什么?
诉求一:看不看得到安全风险?
只有看到L2-L7层的攻击才能了解网络的整体安全状况,基于传统多产品的组合方案使大多数用户没有办法进行统一分析,也就无法快速定位安全问题,同时也加大了安全运维的工作量。此外,没有攻击并不意味着业务不存在漏洞,一旦漏洞被利用就为时已晚。好的解决方案应能及时发现业务漏洞,防患于未然。最后,即使有大量的攻击也不意味着对业务安全的威胁很大,只有针对真实存在的业务漏洞进行的攻击才是有效攻击。看不到有效攻击的来源,就无法让客户看到网络和业务的真实安全情况。
诉求二:能不能持续抵抗新威胁?
首先,面对已知威胁,需要评估现有的安全防护体系在技术层面是否存在短板,存在短板必然容易被绕过,原有安全设备就形同虚设;其次,面对新型的威胁,企业是否具备实时应对和响应的能力,能够把影响最小化;最后,更多的安全威胁是未知的,如何能够搭建和利用大数据分析平台来帮助用户预测和发现未知威胁,是企业安全建设更高的一个层次的需求。
诉求三:安全运营是否能够简化?
面对专业的安全设备,如果采用前述r”雇佣兵”式的服务,并无法持续地帮助企业用户将安全达到一种可控的状态。要想能够脱离”雇佣兵”式的安全服务,让安全设备发挥出最大的防护价值,就必须将专业、难懂的安全配置、安全日志进行简化,并能够引导和帮助用户具备用好、管好自己的设备的能力。
二、深信服下一代防火墙的价值主张
融合安全,简单有效
融合不是单纯的功能叠加,而是依照业务开展过程中会遇到的各类风险,所提供的对应安全技术手段的融合,能够为业务提供全流程的保护,融合安全包括从事前的资产风险发现,策略有效性检测,到事中所应具备的各类安全防御手段以及事后的持续检测和快速响应机制。
三、深信服下一代防火墙为企业安全赋能
1.看懂安全现状和风险
1.1业务安全状况可视
NGAF提供强大的综合安全风险报表功能,能够帮助用户直观地了解到网络中存在的风险,通过从业务安全、用户安全以及漏洞分布三个维度来全方位地帮助用户了解网络当中存在的威胁。
基于业务的风险分析报表(截选)
NGAF的实时漏洞分析功能,可以主动分析经过设备的业务流量中存在的风险并实时展示出来,实时监控界面可以根据服务器真实存在的漏洞数量进行排名,同时给出各业务系统风险情况的评估,并给出建议和解决方案。
1.2威胁危害效果可视
深信服NGAF突破传统安全产品的设计理念,在首页内容展示上进行了创新,将设备检测到的威胁风险通过图形化的界面进行统计和展示。用户通过首页就能一眼掌握网络的安全状况。通过各个版块简单的点击,就能继续深入了解到更详细的受害对象列表、安全日志、攻击来源等信息,能够直观地了解到哪些业务或者用户已经被黑客入侵或控制,哪些业务存在漏洞威胁,哪些Web服务器已经被植入了黑链等等。
NGAF首页风险展示
1.3安全事件实时通报
深信服NGAF搭建的微信安全服务平台,能够帮助用户7*24小时监控设备的安全状态,一旦发现设备检测到安全威胁,则通过深信服后台安全专家的验证确认后推送到用户端,帮助用户及时发现和处理安全风险,同时也通过漫画的形式帮助用户更好地了解所遭受攻击的危害,并定期生成安全风险报表,让运维管理人员更加了解自身的网络安全状态。
威胁实时通报安全报表推送威胁漫画展示
2.持续对抗新型威胁
2.1产品快速迭代应对已知威胁
完整的应用层防护体系
深信服NGAF具有完备的L2-L7层一体化的安全防御体系来应对已知威胁,在Web应用安全层面的防护能力尤为突出,如具备网站黑链检测、Webshell脚本检测、OWASP TOP10 Web攻击防护等功能。对于不断更新的威胁,深信服NGAF通过产品的快速迭代开发来响应需求。深信服NGAF保持每两月更新一个软件版本的速度实现对产品改进需求的快速响应。在攻击特征库方面也保持着每两周更新一次的频率进行维护。高危的0day漏洞当天进行规
则更新和发布。
2.2完整的APT攻击检测链
面对复杂、隐蔽的APT攻击,深信服NGAF深入剖析了APT攻击的五个阶段,并在每个阶段都具备相应的安全措施,让用户可以看到不同阶段检测到的APT攻击行为,并可对威胁进行攻击举证;
2.3Web风险全面防御
越来越多的web风险持续威胁着企业的关键业务,深信服基于此构建了下一代WAF防御体系,通过采用人工智能技术对合法流量进行精准识别,快速通行,有效提升设备的处理性能;
通过深度分析业务系统,将业务系统的解析能力全面移植到现有的WAF设备中,实现业务智能适配,有效抵御web风险,通过基于漏洞原理的深度防御,对现存的web风险精准识别;
2.4 业务失陷风险持续检测
面对企业重要资产的失陷风险,从而影响企业内部的核心业务,深信服专家团队全面分析了失陷主机的失陷全过程,从各个维度对失陷主机进行安全的防护,基于人工智能技术,有效识别恶意行为,生成恶意行为检测模型,对非法的行为实现快速响应;
2.5 安全云脑持续应对未知威胁
在应对未知威胁方面,深信服在云端搭建了智能大脑,安全云脑通过构建全球样本采集点并通过厂商安全情报的交换,丰富的数据来源,扩充自身的数据生态;基于领先的技术架构,对海量的数据进行汇聚、分析、挖掘,通过人工智能构建众多引擎,如僵尸网络引擎、恶意链接引擎,恶意文件检测引擎等,不断的对高危、热点威胁进行深度检测与分析,并通过攻防、安全专家不断的优化云端架构和算法引擎;
通过安全云脑不断突破防火墙的防护边界,同时可以对全球热点事件进行极速响应;
NGAF与云端大脑联动应对未知威胁
深信服未知威胁云检测平台
截止至2017年12月,深信服安全云平台累计收到接近2亿条可疑威胁流量,并分析定位出100多万条存在威胁的恶意网址,安全云平台同步生成并下发的安全防护规则累计拦截了600多万次的访问请求。
2.6 业界领先的风险防御体系
深信服下一代安全防护体系通过业界领先的架构,构建云端、边界协同联动,全面风险管控的能力,以防火墙为建设主体,通过云端不断增强防火墙的安全能力,同时可以联动终端,持续防御未知威胁、高级威胁;
3.简化安全运营
3.1任务化的风险管理
深信服NGAF通过将检测到的安全风险统一汇总,为用户形成一个待处理问题清单,引导用户关注未处理的安全风险,并通过提供工具化的解决办法来帮助用户将安全风险处理掉形成运营闭环。
3.2威胁情报预警与处置
深信服NGAF内置了威胁情报预警中心,通过深信服后台安全专家团队持续不断地搜集互联网上最新爆发流行的0day漏洞,及时地将高危漏洞的危害分析以及检测验证工具同步推送到NGAF上,运维人员不仅可以在第一时间了解到最新的0day漏洞,还能够自主扫描验证内部服务器是否存在漏洞,如果扫描出问题也可以通过一键防护功能进行应急处置,帮助用户快速地将风险降到最低。
3.3风险评估与策略联动
深信服NGAF基于时间周期的安全防护设计,提供事前风险评估及策略联动功能。风险
评估功能分为系统漏洞扫描和Web弱点扫描两部分:
系统漏洞扫描通过端口、服务、应用扫描帮助用户及时发现端口、服务及漏洞风险,并通过模块间的智能策略联动及时更新对应安全风险的安全防护策略。
Web弱点扫描通过内置的二十多类Web攻击特征,可以帮助用户快速定位出Web应用的漏洞,并提供相关漏洞的严重等级、漏洞详情以及建议的修复方案等,协助用户快速解决内网Web应用存在的风险。
3.4智能联动封锁机制
深信服NGAF智能主动防御技术可在内部各个模块之间形成智能的联动策略,如一个IP/用户持续向内网服务器发起各类攻击则可通过防火墙策略暂时阻断该IP/用户。智能防护体系的建立可有效地防止工具型、自动化的黑客攻击,提高攻击成本。同时也使得管理员维护变得更为简单,可实现无网管的自动化安全管理。
四、高效稳定的底层架构设计
1.分离平面设计
深信服下一代防火墙通过软件设计将网络层和应用层的数据处理进行分离,在底层以应用识别模块为基础,对所有网卡接收到的数据进行识别,再通过抓包驱动把需要处理的应用数据报文抓取到应用层。若应用层发生数据处理失败的情况,也不会影响到网络层数据的转发,从而实现高效、可靠的数据报文处理。
分离平面设计
2.多核并行处理
NGAF的设计不仅采用了多核的硬件架构,在计算指令设计上还采用了先进的无锁并行处理技术,能够实现多流水线同时处理,成倍提升系统吞吐量,在多核系统下性能表现十分优异,是真正的多核并行处理架构。
多核并行处理技术
3.单次解析架构
NGAF采用单次解析构架实现报文的一次解析一次匹配,有效提升了应用层效率。实现单次解析技术的一个关键要素就是软件架构设计实现网络层、应用层的平面分离,将数据通过“0”拷贝技术提取到应用层平面上实现威胁特征的统一解析和统一检测,减少冗余的数据包封装,实现高性能的数据处理。
单次解析架构
4.跳跃式扫描技术
NGAF利用多年积累的应用识别技术,在内核驱动层面通过私有协议将所有经过NGAF 的数据包都打上应用的标签。当数据包被提取到内容检测平面进行检测时,设备会找到对应的应用威胁特征,通过使用跳跃式扫描技术跳过无关的应用威胁检测特征,减少无效扫描,提升扫描效率。比如:流量被识别为HTTP流量,那么FTP sever-u的相关漏洞攻击特征便不会对系统造成威胁,便可以暂时跳过检测进行转发,提升转发的效率。
5.Sangfor Regex正则引擎
正则表达式是一种识别特定模式数据的方法,它可以精确识别网络中的攻击。经深信服安全专家研究发现,业界已有的正则表达式匹配方法的速度一般比较慢,制约了下一代防火墙整机速度的提高。为此,深信服设计并实现了全新的Sangfor Regex正则引擎,将正则表达式的匹配速度提高到数十Gbps,比PCRE和Google的RE2等知名引擎快数十倍,达到业界领先水平。
NGAF的Sangfor Regex大幅降低了CPU占用率,有效提高了NGAF的整机吞吐,从而能够更高速地处理客户的业务数据,该项技术尤其适用于对每秒吞吐量要求特别高的场景,如运营商、电商等。
五、深信服下一代防火墙品牌优势
1.市场引领者
2011年7月,深信服率先推出国内第一台下一代防火墙NGAF,自产品发布后,国内追随者不断,且赢得了众多用户的信任,年销量平均增长率超过50%。
截止至2015年末,NGAF在全国的用户累计超过20000家,在线稳定运行的设备超过
40000台,用户覆盖各行各业,其中包括120多家部委省厅级单位、100多家运营商和金融单位、120多家知名教育单位、250多家大型企业和国资委下属央企集团,用户数量遥遥领先。
据咨询机构IDC的分析报告显示,2014年深信服下一代防火墙NGAF在中国集成防火墙市场排名第3,占有10.9%的市场份额,是唯一凭借下一代防火墙一款产品参与排名的厂商。咨询机构Frost&Sullivan评价到:深信服凭借优质的下一代防火墙产品,奠定了其在中国防火墙市场的领导地位。
2.专业权威的认可
国内最先获得NSS Labs“推荐”评价
早在2013年,深信服就将NGAF送往位于美国的全球最知名的独立安全研究和评测机构NSS Labs进行Web安全防护功能评测,在业界专业的WAF测试规范下,成功通过所有的攻击逃逸测试、产品稳定性和可靠性测试,其中,送测设备的每秒新建连接数达到76,616CPS,为送测的6家厂商中的最高数值。深信服下一代防火墙NGAF最终获得NSS Labs “Recommended”推荐评价。
国内最早获得NSS Labs“推荐”评价的下一代防火墙产品
国内OWASP测试综合平分最高
深信服下一代防火墙NGAF在OWASP授权机构的25项测评项中获得19项“五星”满分评分,综合四星(国内最高为4星)。
受邀参与公安部第二代防火墙标准制定
2013年3月,深信服凭借多年的安全技术实力积累和对安全防护的独到见解,受到公安部第三研究所(信息安全行业规范编制单位)的邀请,参与国内第二代防火墙标准(GA/T1177-2014《信息安全技术第二代防火墙安全技术要求》)的制定,并成为主要起草单位。目前该标准已于2014年7月24日正式发布,9月1日已开始实施。
此外,深信服还是微软MAPP计划合作会员、中国反网络病毒联盟成员,安全技术实力得到了广大权威机构的认可。
深信服NGAF获得多方权威机构认可
3.专业安全团队
深信服在应用层领域有着10年以上的技术积累,背后离不开一个不断成长壮大的安全团队来支撑。深信服目前具备一个约500人规模的专业安全团队,从事安全产品研发、安全服务工具开发、威胁样本分析、应急响应、安全咨询服务等工作;并且还设立了深信服安全攻防实验室,专门负责国内外安全前瞻性技术研究和安全漏洞挖掘。2015全年挖掘近30个原创高危漏洞;多次发布针对重大网络安全事件预警与分析,如IIS漏洞、juniper漏洞等;每月发布安全月报并提交至安全主管部门,如CNCERT、网络安全保卫局、CNVD等。全年共发现安全漏洞95个,涉及客户网站13348个,发现钓鱼网站3305余个,发现篡改网站2571余个。2015年总共提交了近20篇专利,其中一篇美国专利已经授权通过。
深信服专家团队还参与了多项国家级网络安全保障支撑工作:如国家“九三大阅兵”活动,参与完成威胁预警、安全监控值守、安全演练等工作;国家“互联网网络安全威胁治理行动”活动,支撑威胁通报17期,治理钓鱼网站1500余个,通报被篡改网站100余个。“首都网络安全日”活动,为网络安全重点保障单位等。
4.产品可靠稳定
为保证设备具有良好的稳定性,NGAF出厂前都会经过7轮软硬件高吞吐、低温高温等恶劣环境的严格测试,并通过第三方机构的专业产品检测。目前,深信服下一代防火墙产品已无故障工作超过8万小时,具备高可靠的稳定性。
NGAF稳定性的第三方评测报告
六、典型场景和案例
典型应用场景
典型应用场景
对外发布场景
部署在网银、网上报税、网上营业厅、电子商务等系统出口,防止黑客入侵,保护关键业务和客户隐私信息,避免损害单位形象,造成经济损失。
数据中心场景
部署在单位内部的财务、ERP、OA等服务器前面,精细控制访问权限,防止非法访问,防止企业机密信息被窃取,保障核心业务获取必要的带宽资源。
广域网边界场景
部署在专网边界,过滤应用层威胁流量,防止病毒、木马等威胁在分支机构间横向传播,影响业务开展;广域网VPN组网,形成全网安全监测解决方案;
互联网出口场景
部署在互联网出口,针对各种终端提供漏洞防护,病毒/木马等恶意软件过滤,僵尸网络检测,对外DoS攻击检测,高性能应用管控与流量优化,提供一体化的安全防护。
典型应用案例
最高人民法院
最高人民法院根据其实际网络环境和需求,选择了将深信服下一代防火墙NGAF部署于其服务器区的核心交换机前,启用了服务器防护、漏洞防护与敏感信息防泄漏功能对进出服务器的双向流量进行安全与合规性检查。设备对来自内部用户区与互联网的数据流量进行
L2-L7层的攻击检测与防护;对服务器区外发的数据流实现合规性验证。并通过文件类型与自定义敏感信息防泄漏规则两种方式防止数据交互过程中,敏感信息被非法人员窃取。
国土资源部
随着业务类别的不断丰富,为全面提升办公网的安全防护能力,国土资源部在数据中心服务器区和内网办公区前端分别部署了深信服下一代防火墙NGAF。替换掉原有的UTM、防病毒网关、IPS、IDS等传统网络安全设备,极大地简化了组网拓扑,便于用户维护网络的稳定性。设备的部署加强了应用层网络的防护能力,并能实时检测办公内网是否存在安全风险,为国土资源部的网络提供强有力的安全保障。
海关总署
海关总署通过将深信服下一代防火墙NGAF部署在其与国务院新闻办之间的专线入口处,有效地对海关总署和国务院新闻办的网络进行了逻辑隔离,并对专线中所有流经防火墙的数据包按照严格的安全规则进行过滤,清洗恶意流量,杜绝越权访问,防止各类非法攻击行为,保障了海关总署内部业务系统的安全稳定。
招商银行
为了给用户提供更安全、更优质的网上银行服务,招商银行在其网银服务器区部署了深信服下一代防火墙NGAF,可实现信息的精确识别定义、制定信息泄露安全策略,并能对数据访问和数据查询进行审计,有效保障了网银敏感信息的安全。
复旦大学
为进一步加强校园信息化安全建设,防御各种互联网攻击,复旦大学选择了深信服下一代防火墙NGAF为校园网络保驾护航。NGAF的入侵防御功能,可有效抵御外来攻击;此外,NGAF可对网络中已被感染的终端进行检测和定位,并实现网络流量实时安全分析。全方位的安全防御为复旦的师生提供了安全稳定的上网环境。
招商局集团
创立于1872年晚清洋务运动时期的招商局,在2012年建设了一个具备专业性、先进性和模块化设计架构的IDC中心,为全面保障内网安全,招商局在数据中心DMZ区、业务数据区等多个区域部署了多台深信服万兆下一代防火墙NGAF。设备为各业务系统、各终端提供了L2—L7完整的安全防护,IPS和WAF等模块有效防止漏洞攻击、注入类攻击等多种安全威胁,单次解析架构、多核并行处理技术很好地解决了多功能模块开启导致的性能下降问题,实现了万兆级别的应用层处理性能。
华润电力
专注于电力、煤矿和新能源的华润电力在全国分布着众多各项目公司,这些公司常常需要访问总部共性系统进行业务联系。深信服广域网安全建设解决方案为华润电力提供了安全、可靠的广域网环境,确保其业务高效稳定地运行。NGAF内置IPSec VPN实现了广域网一体化安全组网,并对广域网网络层到应用层进行流量清洗,有效解决了广域网病毒木马快速扩散及对总部应用层进行攻击的问题;集中管理、统一监管则解决了各项目公司专业安全维护困难的问题,帮助客户真正实现管理集中化、运维自动化。
七、部分客户列表
国家部委/省厅应用场景运营商用户应用场景
国家信息中心数据中心中国电信集团DMZ区
国土资源部数据中心中国移动四川省分公司互联网出口
公安部数据中心中国联通福建省分公司互联网出口
交通运输部互联网出口中国移动广东省分公司互联网出口
外交部互联网出口中国联通黑龙江省分公司互联网出口
海关总署DMZ区中国电信河北省分公司互联网出口+DMZ区工信部数据中心中国电信吉林省分公司互联网出口
卫生部数据中心中国移动安徽省分公司DMZ区
环保部数据中心中国联通江苏省分公司互联网出口+DMZ区农业部DMZ区中国联通青海省分公司互联网出口
国资委数据中心中国联通湖北省分公司互联网出口+DMZ区国家统计局DMZ区中国移动陕西省分公司互联网出口+DMZ区最高人民法院数据中心中国电信云南省分公司互联网出口+DMZ区企业用户应用场景金融用户应用场景
水利水电第十六工程局互联网出口招商银行股份有限公司数据中心
波司登集团广域网分支申银万国证券股份有限公司数据中心
国美电器集团数据中心兴业银行河北省分行数据中心
东风汽车集团互联网出口中国保险监督管理委员会数据中心
中国南车集团互联网业务区中国邮政储蓄银行浙江省分行数据中心
中国建筑第二工程局互联网出口中国邮政储蓄银行安徽省分行数据中心
中国航空国际技术有限公司专线出口华润深国投信托有限公司互联网业务区
中国黄金集团互联网业务区华泰证券有限责任公司互联网出口
中铁六局集团有限公司互联网出口光大证券股份有限公司互联网出口招商局集团有限公司互联网业务区西部证券股份有限公司数据中心教育用户应用场景教育用户应用场景北京海淀教育信息中心互联网业务区顺义教育信息中心数据中心
广东教育厅互联网业务区福建闽侯教育局互联网出口上海虹口教育信息中心互联网业务区上海教育考试院互联网业务区复旦大学互联网业务区杭州电子科技大学互联网出口上海政法大学互联网出口华中农业大学互联网出口湖南农业大学互联网出口哈尔滨理工大学互联网业务区
用手机扫描上述二维码即可观看相关视频
国内下一代防火墙第一品牌 深信服下一代防火墙(Next-Generation Application Firewall )NGAF 是面向应用层设计,能够精确识别用户、应用和内容,具备完整安全防护能力,能够全面替代传统防火墙,并具有强劲应用层处理能力的全新网络安全设备。NGAF 解决了传统安全设备在应用识别、访问控制、内容安全防护等方面的不足,同时开启所有功能后性能不会大幅下降。作为传统防火墙的升级替代产 品,深信服NGAF 不同于工作在L2-L4 层的传统防火墙,可以对全网流量进行 双向深入数据内容层面的全面透析。在 安全策略制定方面,区域别于传统防火 墙五元组安全策略,深信服NGAF 可对L2-L7层更多的元素(如,用户、应用类型、URL 、数据内容等)制定双向的安全访问策略,使安全策略更精细、更有效,且满足业务的合规性;在安全防护能力方面,提升了传统的抗攻击的能力,不仅能防护网络层的攻击,针对来源更广泛、攻击更容易、危害更大的应用层攻击也可以进行防护,实现L2-L7层的安全防护。同时,深信服NGAF 采用全新的软硬件架构,减小在多种复杂的安全策略和L2-L7层多功能防护功能全部开启时性能的消耗,实现应用层高性能。 功能列表 项目 具体功能 部署方式 支持路由,透明,旁路,虚拟网线,混合部署模式; 实时监控 实时提供CPU 、内存、磁盘占用率、会话数、在线用户数、网络接口的鞥设备资源信息;提供安全事件信息,包括最近安全事件、服务器安全事件、终端安全事件等,事件信息提供发 生事件、源IP 、目的IP 、攻击类型以及攻击的URL 等;提供实时智能模块间联动封锁的源IP 以便实现动态智能安全管理; 网络适应性 支持ARP 代理、静态ARP 绑定,配置DNS 及DNS 代理、支持DHCP 中继、DHCP 服务器、 DHCP 客户端;支持SNMP v1,v2,v3,支持SNMP Trap ;支持静态路由、RIP v1/2、OSPF 、 策略路由;支持链路探测,端口聚合,接口联动; 包过滤与状态检测 提供静态的包过滤和动态包过滤功能;支持的应用层报文过滤,包括:应用层协议:FTP 、 HTTP 、SMTP 、RTSP 、H.323(Q.931,H.245, RTP/RTCP )、SQLNET 、MMS 、PPTP 等;传 输层协议:TCP 、UDP ; NAT 地址转换 支持多个内部地址映射到同一个公网地址、多个内部地址映射到多个公网地址、内部地址到 公网地址一一映射、源地址和目的地址同时转换、外部网络主机访问内部服务器、支持DNS 映射功能;可配置支持地址转换的有效时间;支持多种NAT ALG ,包括DNS 、FTP 、H.323、 SIP 等 抗攻击特性 支持防御Land 、Smurf 、Fraggle 、WinNuke 、Ping of Death 、Tear Drop 、IP Spoofing 、 SYN Flood 、ICMP Flood 、UDP Flood 、DNS Query Flood 、ARP 欺骗攻击防范、ARP 主 动反向查询、TCP 报文标志位不合法攻击防范、支持IP SYN 速度限制、超大ICMP 报文攻击 防范、地址/端口扫描的防范、DoS/DDoS 攻击防范、ICMP 重定向或不可达报文控制等功能, 此外还支持静态和动态黑名单功能、MAC 和IP 绑定功能;
深信服下一代防火墙高校数据中心差异优势 支持对不同部门的业务流量进行实时流量分析,发现存在的漏洞威胁,并对发现漏洞次数最多的服务器进行排名,分析攻击类型,详情以及建议方案。 背景:对于高校用户来说,目前事先发现自身业务漏洞的方式只能借助漏洞扫描设备,而漏扫设备存在两个不足,一是扫描时发出的攻击包可能影响正常业务开展;二是扫描都是阶段性、分批次的,无法实时监控所有业务系统的动态漏洞信息;一旦出现0day,响应还是不够及时;同时由于托管了很多二级学院及部门系统,需要分别分析分别处理,因此需要针对每个系统/部门生成单独的报表,包括系统存在哪些漏洞、外部如何攻击他的,哪些攻击真正有效等。 价值:深信服可以提供一种更加高效的解决方案,通过对业务流的全流量分析,能够提供被动式[不主动发包,不影响业务]的7*24小时业务漏洞检测手段,帮助用户更好的对可能存在对风险进行预警。
支持异常流量检测功能,能够区分正常业务流量和潜藏在其中的危险流量。能够有效识别RDP(3389)、SSH (22)、FTP(20,21)、DNS(53)、HTTP(80)、HTTS(443)、SMTP(25)、POP3(110)等常见应用,常用
端口中的未知应用,可疑流量,能区分出占用这些正常应用的合法端口的危险行为。 背景:目标对象被黑客控制后,会在后端被开放一些端口进行数据的通信,而为了绕过安全设备的检测,黑客往往会采用一些知名端口来进行数据通信,所以如何能够识别知名端口是否跑了未知应用,已知应用跑在非标准端口就成了事后防护的主要检测手段; 价值:可检测知名端口是否跑了未知流量,已知应用是否运行在非标准端口,提供异常流量检测预警。 支持ASP,JSP,PHP语言编写的Webshell文件上传检测,支持对已被上传Webshell服务器的检测(单独检测工具)。 背景:Webshell 是黑客进行Web入侵常用的脚本工具,通常情况下是一个ASP、PHP或者JSP程序页面,也叫作网站后门木马,在入侵一个网站后,常常将这些木马放置在服务器WEB目录中,与正常网页混在一起。通过Webshell长期操纵和控制受害者网站; 价值:深信服可针对Webshell文件上传提供事前和事后全面的解决方案,内置独立的语义解析引擎结合常见Webshell后门特征规则,使得深信服的Webshell后门识别率达到99%以上。针对疑似被植入Webshell后门的服务器,深信服也具备事后检测工具,一键解决安全隐患。
深信服和您一起解析防火墙的前世今生 [内容摘要]:面对现在网络复杂的应用情况,传统防火墙已经显得力不从心,下一代火墙应运而生。作为国内规模最大、创新能力最强的前沿网络设备供应商——深信服科技推出下一代应用防火墙(NGAF)产品,也是中国首家推出下一代防火墙的本土厂商。 关键词:深信服下一代防火墙上网行为管理 前世 防火墙自诞生以来,在网络安全防御系统中就建立了不可替代的地位。防火墙就像城墙,对进出防火墙的一切数据包进行检查,保证合法数据包能够进入网络访问合法资源同时防止非法人员通过非法手段进入网络或干扰网络的正常运行。随着时代的变迁,曾经如城墙般稳固的传统防火墙已黯然失色,失去了它原有的防御能力。面对网络的高速发展、应用不断增多的时代,逐渐被新的继任者重新定义了“防火墙”。 我们不禁要问:曾经在IP/端口的网络时代发挥了巨大作用的“传统防火墙”为什么会被历史所淘汰?最主要的原因还在于“对网络应用快速发展的3大不适应症状” 1.安全不适症 传统防火墙基于IP/端口无法对应用层进行识别与控制,无法确定哪些应用经过了防火墙。面对应用层的攻击,无法检测或拦截嵌入到普通流量中的恶意攻击代码,比如病毒、蠕虫、木马等。 2.管理不适症 传统防火墙的网络访问控制需要配置大量的策略,并且这些基于IP/端口策略可读性非常之差,经常会造成错配、漏配的情况,留下的这些隐患,往往给黑客们以可乘之机。 3.维护不适症 由于防火墙功能上的缺失使得企业在网络安全建设的时候针对现有多样化的攻击类型采取了打补丁式的设备叠加方案,在一定程度上能弥补防火墙功能单一的缺陷。但在这种环境中,同一数据包经过串联的各类设备,被重复拆包,重复解析,使整个网络的效率变得低下,运行速度缓慢。而独立设备、管理复杂,需要培养熟悉各类设备、各厂商设备的高级管理人员。无法进行统一的安全风险分析,以及无法提供足够的空间和环境支持,大大提高了维护成本。 今生 2009年10月Gartner提出“Defining the Next-Generation Firewall(NGFW)”一文,重新定义下一代防火墙,下一代防火墙的概念在业内便得到了普遍的认可。目前仅有不到1%的Internet连接采用NGFW来保护。Gartner认为,到2014年底,这个比例将增加到占安装量的35%,60%新购买的防火墙将是下一代防火墙(NGFW)。 在这个全新领域,国内规模最大的前沿网络设备厂商,同时也是全球网络设备领域发展最快
深信服下一代防火墙NGAF方案白皮书
目录 一、企业级网络安全建设需要什么 (4) 1.传统割裂的各种安全产品? (4) 2.“雇佣兵”式的安全服务? (5) 3.企业级的网络安全到底需要什么? (5) 二、深信服下一代防火墙的定位 (6) 1.适用于国内环境的下一代防火墙 (6) 2.我们不仅交付产品,还为您持续输送安全能力 (7) 三、深信服下一代防火墙为企业安全赋能 (7) 1.看懂安全现状和风险 (7) 1.1业务安全状况可视 (7) 1.2威胁危害效果可视 (8) 1.3安全事件实时通报 (9) 2.持续对抗新型威胁 (10) 2.1产品快速迭代应对已知威胁 (10) 2.2完整的APT攻击检测链 (11) 2.3云检测平台应对未知威胁 (12) 3.简化安全运营 (13) 3.1任务化的风险管理 (13) 3.2全网安全统一管控 (14) 3.3威胁情报预警与处置 (15) 3.4风险评估与策略联动 (15)
3.5智能联动封锁机制 (16) 四、高效稳定的底层架构设计 (16) 1.分离平面设计 (16) 2.多核并行处理 (17) 3.单次解析架构 (17) 4.跳跃式扫描技术 (18) 5.Sangfor Regex正则引擎 (18) 6.产品性能评测报告 (19) 五、深信服下一代防火墙品牌优势 (19) 1.市场引领者 (19) 2.专业权威的认可 (20) 3.专业安全攻防团队 (21) 4.产品可靠稳定 (21) 六、典型场景和案例 (22) 典型应用场景 (22) 典型应用案例 (23) 七、部分客户列表 (25)
敢为天下先——深信服NGAF下一代应用防火墙评析 随着互联网的普及,IT管理人员面临着更为复杂和频繁的网络安全问题,病毒、恶意攻击日渐增多,80端口上不再只有web服务,QQ 也不再只是一个聊天工具,并且以经济利益为目的的网络攻击日益成为主流,而传统基于L3、L4的网络设备无法有效应对这些新的网络风险。另一方面,越来越多的业务依托互联网和广域网展开,关键业务面临系统稳定性差、网络速度慢等多种问题,IT管理者急需更为精细化和灵活的业务管理及优化策略。 部分供应商已逐渐意识到这种趋势,但受限于传统技术观点,大多数厂商只能提供部分解决方案,无法帮助IT管理者有效应对挑战。 为了帮助IT管理者解决目前网络所面临的问题,深信服科技于近期发布了NGAF系列下一代应用防火墙产品,成为首家推出NGFW产品的国内厂商。 前不久,计算机世界实验室韩勖发表了一篇《敢为天下先——5大厂商市售NGFW产品评析》文章,上面对深信服公司发布的下一代应用防火墙(NGAF)产品做出了比较全面、客观的介绍。 引文如下: “作为近年来崛起势头最为迅猛的本土信息安全解决方案提供商,深信服科技长期坚持专攻应用与内容安全领域的发展策略,在市场上有着广泛的认同度。就在NGFW大潮在国内方兴未艾之际,该公司于近期发布了NGAF系列下一代防火墙,成为首家推出NGFW产品的国内
厂商。 深信服NGAF系列下一代防火墙产品提供了以传统基础网络安全、应用识别与控制、应用威胁防护为核心的多种安全功能,覆盖了NGFW 定义中要求必备的所有特性。 有国内市场上最成功的上网行为管理产品为基础,深信服科技的NGAF产品在应用识别与控制能力方面有着一定的先天优势。该公司还将WAF产品的主要功能集成到NGAF产品中,结合应用识别与控制功能,为数据中心用户提供了新的安全防护接入思路。 对于我们采访中问到的‘之前没有防火墙/UTM 产品,在状态检测技术和入侵防御技术方面是否有足够积累’的问题,深信服科技市场行销部技术总监殷浩也没有回避。据介绍,该公司在保持应用与内容安全领域技术领先的同时,也一直都在跟踪其他各类安全技术的发展。例如成为微软MAPP计划合作伙伴,可以第一时间获得漏洞资料,提高IPS的防护效果和响应速度。NGAF产品的应用威胁防护功能将反恶意软件、漏洞利用、Web入侵等威胁视为一个整体进行统一防护,正是技术积累的一次集中体现。 产品规格方面,深信服科技的NGAF产品线中包含了多达11款产品,覆盖了几乎所有用户群体。其最低端AF-1100系列产品标称提供 200Mbps的防火墙处理能力(按照深信服对产品的定义,应用识别与控制功能都默认开启,后同),最高端的AF-8000系列则将该指标推向10Gbps。” “从深信服公司提供的下一代应用防火墙(NGAF)产品测试的最