下载文档原格式
深信服NGAF系列产品是一款以应用安全需求出发而设计的下一代应用防火墙。
弥补了传统防火墙基于端口/IP 无法防护应用层安全威胁的缺陷;改善了UTM类设备简单功能堆砌,性能瓶颈的弱点。
通过单次解析引擎真正做到将防火墙、VPN、入侵防御、服务器防护、病毒防护、内容过滤、流量控制等多种安全技术有机的融合到一起,提供多功能、高性能的电信级安全设备。
与传统安全设备相比它可以针对丰富的应用提供更完整的可视化内容安全防护。
NGAF继承了传统防火墙的优秀品质能够适应各种复杂的网络环境,同时通过单次解析、应用可视化、灰度威胁关联分析三大创新技术,提供强大的网络安全防护、可视化的应用管控、全面的应用安全防护,形成2-7层一体化安全防护解决方案。
型号三层性能七层性能并发连接VPN连接电口光口万兆光口Bypass电源功率安装空间AF-1020400M100M10万1004- - NA单电源60W1U项目具体功能要求部署方式支持网关、网桥和混杂模式;网关管理支持SSL加密WEB方式管理设备;管理员支持分级管理,能够将所有功能模块按需分配给不同管理员;实时监控提供设备实时设备资源信息;提供实时详细的流量状态信息如:用户流量排名、应用流量排名、所有线路应用流速趋势、流量管理状态、连接监控等;提供安全状态信息,实时显示当天的安全状况,最后发生安全事件的时间、类型、总次数、源对象,帮助管理员处理安全事件;网络协议支持静态路由、RIP v1/2、OSPF、策略路由;提供ARP、域名解析、IP UNNUMBERED、DHCP中继、DHCP服务器、DHCP客户端等IP服务;网络防护支持静态的包过滤和动态包过滤功能;支持应用层报文过滤,包括:应用层协议:FTP、HTTP、SMTP、RTSP、H.323(Q.931,H.245, RTP/RTCP)、SQLNET、MMS、PPTP、L2TP等;传输层协议:TCP、UDP;支持防御Land、Smurf、Fraggle、WinNuke、Ping of Death、Tear Drop、IP Spoofing、CC、SYN Flood、ICMP Flood、UDP Flood、DNS Query Flood、ARP欺骗攻击防范、ARP主动反向查询、TCP报文标志位不合法攻击防范、支持IP SYN速度限制、超大ICMP报文攻击防范、地址/端口扫描的防范、DoS/DDoS攻击防范、ICMP重定向或不可达报文控制等功能,此外还支持静态和动态黑名单功能、MAC和IP绑定功能。
SANGFOR_AF_产品简介Gartner定义下⼀代防⽕墙源引⾃:Gartner《Defining the Next-Generation Firewall》⼀、防⽕墙必须演进防⽕墙必须演进,才能够更主动地阻⽌新威胁(例如僵⼫⽹络和定位攻击)。
随着攻击变得越来越复杂,企业必须更新⽹络防⽕墙和⼊侵防御能⼒来保护业务系统。
不断变化的业务流程、企业部署的技术,以及威胁,正推动对⽹络安全性的新需求。
不断增长的带宽需求和新应⽤架构(如Web2.0),正在改变协议的使⽤⽅式和数据的传输⽅式。
安全威胁将焦点集中在诱使⽤户安装可逃避安全设备及软件检测的有针对性的恶意执⾏程序上。
在这种环境中,简单地强制要求在标准端⼝上使⽤合适的协议和阻⽌对未打补丁的服务器的探测,不再有⾜够的价值。
为了应对这些挑战,防⽕墙必须演进为被著名市场研究公司Gartner称之为“下⼀代防⽕墙(NextGenerationFirewall,简称NGFW)”的产品。
如果防⽕墙⼚商不进⾏这些改变的话,企业将要求通过降价来降低防⽕墙的成本并寻求其他安全解决⽅案来应对新的威胁环境。
⼆、什么是NGFW?Gartner将⽹络防⽕墙定义为在不同信任级别的⽹络之间实时执⾏⽹络安全政策的联机控制。
Gartner使⽤“下⼀代防⽕墙”这个术语来说明防⽕墙在应对业务流程使⽤IT的⽅式和威胁试图⼊侵业务系统的⽅式发⽣变化时应采取的必要的演进。
NGFW⾄少具有以下属性:1.⽀持联机“bump-in-the-wire”配置,不中断⽹络运⾏。
2.发挥⽹络传输流检查和⽹络安全政策执⾏平台的作⽤,⾄少具有以下特性:(1)标准的第⼀代防⽕墙能⼒:包过滤、⽹络地址转换(NAT)、状态性协议检测、VPN等等。
(2)集成的⽽⾮仅仅共处⼀个位置的⽹络⼊侵检测:⽀持⾯向安全漏洞的特征码和⾯向威胁的特征码。
IPS与防⽕墙的互动效果应当⼤于这两部分效果的总和。
例如提供防⽕墙规则来阻⽌某个地址不断向IPS加载恶意传输流。
国内下一代防火墙第一品牌
深信服下一代防火墙(Next-Generation Application Firewall)NGAF是面向应用层设计,能够精确识别用户、应用和内容,具备完整安全防护能力,能够全面替代传统防火墙,并具有强劲应用层处理能力的全新网络安全设备。
NGAF 解决了传统安全设备在应用识别、访问控制、内容安全防护等方面的不足,同时开启所有功能后性能不会大幅下降。
区别于传统的网络层防火墙,NGAF具备L2-L7层的协议的理解能力。
不仅能够实现网络层访问控制的功能,且能够对应用进行识别、控制、防护,解决了传统防火墙应用层控制和防护能力不足的问题。
区别于传统DPI技术的入侵防御系统,深信服NGAF具备深入应用内容的威胁分析能力,具备双向的内容检测能力为用户提供完整的应用层安全防护功能。
同样都能防护web攻击,与web应用防火墙关注web应用程序安全的设计理念不同,深信服下一代防火墙NGAF 关注web系统在对外发布的过程中各个层面的安全问题,为对外发布系统打造坚实的防御体系。
深信服下一代防火墙中国第一品牌下一代防火墙已是大势所趋国际三大权威IT调研机构一致推荐优先使用下一代防火墙『我们预计到2014 年,35% 的企业将会安装下一代防火墙,而60%用户新购买的防火墙将是NGFW,并且它会拥有紧密集成的入侵防护、应用可视性和控制功能。
』——Gartner『随着市场对下一代安全网关的需求增加,预计到2018年,这一比例将达到80%,2013到2018年的5年复合增长率超过40%。
』——IDC『我们不再将整合式防火墙(Integrated Appliance)中入侵检测(IDS)/入侵防御(IPS)的市场份额取出,而是将下一代防火墙中的各个功能视为一个整体,称为”整合式网络安全设备”。
』——Frost&Sullivan90%的主流安全厂商已发布下一代防火墙目前国内主流的安全厂商已发布下一代防火墙,而作为国内下一代防火墙第一品牌,早在2011年,深信服就发布国内首款下一代防火墙NGAF,自发布后国内追随者不断,但销量一直稳居市场份额榜首,拥有最多用户数量。
截止2014年9月,深信服下一代防火墙在全国的用户累计超过8000家,在线稳定运行的设备超过15000台。
用户覆盖各行各业,其中包括60多家部委省厅级单位、80多家运营商金融单位、90多家知名教育单位、超过百家大型企业,国资委下属央企集团,用户数量遥遥领先。
68%的用户已优先选择下一代防火墙根据深信服往年的销售数据分析,在有安全建设需求的客户当中已有68%的客户购买了下一代防火墙。
国内第二代防火墙标准发布2015年2月4日由公安部网络安全保卫局、公安部科技信息化局和公安部第三研究所指导,深信服科技等国内主流安全厂商主办的第二代防火墙标准联合发布会在京召开,标志着国内下一代防火墙产品的技术选型有了权威的指导标准。
而深信服则是最早参与起草第二代防火墙标准的国内安全厂商,在标准的制定过程当中积极参与主导,提供了大量的技术咨询,建议和修订工作,历史两年最终完成该标准的出台和发布。
深信服下一代防火墙NGAF近年来,越来越多的网络安全事件告诉我们,安全风险比以往更加难以察觉。
随着网络安全形势逐渐恶化,网络攻击愈加频繁,用户对自己的网络安全建设是否合规、完善并没有把握。
该如何加强安全建设?安全建设的核心问题是什么?采用何种安全防护手段更为合适?安全建设该如何体现价值?这些问题已成为困扰用户安全建设的关键问题。
一、企业级网络安全建设需要什么1.传统割裂的各种安全产品?传统组合方案问题多传统产品组合方案缺陷一:不同的安全设备看到的是不同的攻击类型,信息是割裂的,难以对安全日志进行统一分析;安全设备在有攻击时才能发现问题,在没有攻击的情况下,就无法看到业务漏洞,但这并不代表业务漏洞不存在;即使发现了攻击,也无法判断业务系统是否真正存在安全漏洞,还是无法指导用户进行安全建设。
传统产品组合方案缺陷二:有几种设备就可以防护几种攻击,但大部分客户无法全部部署,所以安全存在短板;即使全部部署,这些设备也不对服务器和终端向外主动发起的业务流量进行防护,在面临新的未知攻击的情况下缺乏有效的防御措施,还是存在被绕过的风险。
2.“雇佣兵”式的安全服务?即使采购了安全设备,但是缺乏专业的安全人员来进行及时有效的安全运维也是企业在安全建设中遇到的难题。
以往只能通过安全服务商采购安全服务,我们称为”雇佣兵”式的安全服务。
虽然短期内可以快速提升安全防护效果,满足合规要求,但是安全咨询和安全服务的交付质量,严重依赖于安全服务人员的水平,一旦安全专家离开了,那安全服务的交付质量就无法得到保障。
虽然买回来一堆完备的安全设备,也会因为专业程度太高,缺乏专家水平的人员运维,让这些设备变成了摆设,用户通过自己的力量并不能够真正地掌控网络安全。
3.企业级的网络安全到底需要什么?诉求一:看不看得到安全风险?只有看到L2-L7层的攻击才能了解网络的整体安全状况,基于传统多产品的组合方案使大多数用户没有办法进行统一分析,也就无法快速定位安全问题,同时也加大了安全运维的工作量。
此外,没有攻击并不意味着业务不存在漏洞,一旦漏洞被利用就为时已晚。
好的解决方案应能及时发现业务漏洞,防患于未然。
最后,即使有大量的攻击也不意味着对业务安全的威胁很大,只有针对真实存在的业务漏洞进行的攻击才是有效攻击。
看不到有效攻击的来源,就无法让客户看到网络和业务的真实安全情况。
诉求二:能不能持续抵抗新威胁?首先,面对已知威胁,需要评估现有的安全防护体系在技术层面是否存在短板,存在短板必然容易被绕过,原有安全设备就形同虚设;其次,面对新型的威胁,企业是否具备实时应对和响应的能力,能够把影响最小化;最后,更多的安全威胁是未知的,如何能够搭建和利用大数据分析平台来帮助用户预测和发现未知威胁,是企业安全建设更高的一个层次的需求。
诉求三:安全运营是否能够简化?面对专业的安全设备,如果采用前述”雇佣兵”式的服务,并无法持续地帮助企业用户将安全达到一种可控的状态。
要想能够脱离”雇佣兵”式的安全服务,让安全设备发挥出最大的防护价值,就必须将专业、难懂的安全配置、安全日志进行简化,并能够引导和帮助用户具备用好、管好自己的设备的能力。
二、深信服下一代防火墙的定位1.适用于国内环境的下一代防火墙全球权威的IT研究与顾问咨询公司Gartner在2009年给出了下一代防火墙的定义:下一代防火墙是一种深度包检测防火墙,超越了基于端口、协议的检测和阻断,增加了应用层的检测和入侵防护。
结合目前国内的互联网安全环境来看,越来越多的安全事件是由Web 层面的设计漏洞被黑客利用所引发的。
据统计,国内用户上网流量与对外发布业务流量混合的比例超过50%。
作为出口安全网关的防火墙如果不具备Web应用防护能力,则存在明显的短板。
所以下一代防火墙作为一款融合型安全产品,不能缺失基于Web应用的安全防护。
作为国内下一代防火墙产品的先行者,公安部第二代防火墙标准制定的参与者,深信服一直走在前沿,在产品推出伊始就把Web应用防护这个基因深深地植入到深信服下一代防火墙当中。
深信服下一代防火墙NGAF面向应用层设计,能够精确识别用户、应用和内容,具备完整的L2-L7层安全防护体系,强化了在Web层面的应用防护能力,不仅能够全面替代传统防火墙,而且在开启安全功能的情况下还保持着强劲的应用层处理性能。
2.我们不仅交付产品,还为您持续输送安全能力安全已经成为继硬件、软件、网络之后的第四大IT基础设施。
深信服除了为用户提供创新的安全产品之外,还将致力于帮助企业掌握自身网络安全。
通过创新的安全产品+自动化的安全服务不断为用户输送安全能力,帮助用户具备看懂网络安全现状的能力,持续对抗新型威胁的能力和简化安全运营的能力。
三、深信服下一代防火墙为企业安全赋能1.看懂安全现状和风险1.1业务安全状况可视NGAF提供强大的综合安全风险报表功能,能够帮助用户直观地了解到网络中存在的风险,通过从业务安全、用户安全以及漏洞分布三个维度来全方位地帮助用户了解网络当中存在的威胁。
基于业务的风险分析报表(截选)NGAF的实时漏洞分析功能,可以主动分析经过设备的业务流量中存在的风险并实时展示出来,实时监控界面可以根据服务器真实存在的漏洞数量进行排名,同时给出各业务系统风险情况的评估,并给出建议和解决方案。
1.2威胁危害效果可视深信服NGAF突破传统安全产品的设计理念,在首页内容展示上进行了创新,将设备检测到的威胁风险通过图形化的界面进行统计和展示。
用户通过首页就能一眼掌握网络的安全状况。
通过各个版块简单的点击,就能继续深入了解到更详细的受害对象列表、安全日志、攻击来源等信息,能够直观地了解到哪些业务或者用户已经被黑客入侵或控制,哪些业务存在漏洞威胁,哪些Web服务器已经被植入了黑链等等。
NGAF首页风险展示1.3安全事件实时通报深信服NGAF搭建的微信安全服务平台,能够帮助用户7*24小时监控设备的安全状态,一旦发现设备检测到安全威胁,则通过深信服后台安全专家的验证确认后推送到用户端,帮助用户及时发现和处理安全风险,同时也通过漫画的形式帮助用户更好地了解所遭受攻击的危害,并定期生成安全风险报表,让运维管理人员更加了解自身的网络安全状态。
威胁实时通报安全报表推送威胁漫画展示2.持续对抗新型威胁2.1产品快速迭代应对已知威胁完整的应用层防护体系深信服NGAF具有完备的L2-L7层一体化的安全防御体系来应对已知威胁,在Web应用安全层面的防护能力尤为突出,如具备网站黑链检测、Webshell脚本检测、OWASP TOP10 Web 攻击防护等功能。
对于不断更新的威胁,深信服NGAF通过产品的快速迭代开发来响应需求。
深信服NGAF保持每两月更新一个软件版本的速度实现对产品改进需求的快速响应。
在攻击特征库方面也保持着每两周更新一次的频率进行维护。
高危的0day漏洞当天进行规则更新和发布。
2.2完整的APT攻击检测链面对复杂、隐蔽的APT攻击,深信服NGAF深入剖析了APT攻击的五个阶段,并在每个阶段都具备相应的安全措施,让用户可以看到不同阶段检测到的APT攻击行为。
2.3云检测平台应对未知威胁NGAF与云平台联动应对未知威胁在应对未知威胁方面,深信服搭建了未知威胁云检测平台,通过6000多台部署在全球各地的深信服下一代防火墙,在获得用户授权的前提下,自动上传可疑的应用流量到未知威胁云检测平台,云平台将该部分流量放到虚拟沙盒中进行运行,通过分析异常网络行为,对流量进行判断。
若上传流量存在安全威胁,云平台将生成安全防护规则并实时下发到全球所有在线的NGAF,令其能够有效抵御各类互联网攻击。
深信服未知威胁云检测平台截止至2015年12月,深信服安全云平台累计收到接近1亿条可疑威胁流量,并分析定位出40多万条存在威胁的恶意网址,安全云平台同步生成并下发的安全防护规则累计拦截了330多万次的访问请求。
3.简化安全运营3.1任务化的风险管理深信服NGAF通过将检测到的安全风险统一汇总,为用户形成一个待处理问题清单,引导用户关注未处理的安全风险,并通过提供工具化的解决办法来帮助用户将安全风险处理掉形成运营闭环。
3.2全网安全统一管控深信服下一代防火墙还具备全网安全监测平台,可实现对分布式部署的下一代防火墙进行统一的管理和监控,建设完善,可控的安全网络。
深信服全网安全监测方案部署在各节点的NGAF为分支机构的网络提供L2-L7层完整的安全防护,有效避免分支机构因薄弱的安全建设成为入侵短板;总部核心业务区防护设备的部署,强有力地保障了各项业务高效、稳定地开展;安全管理区的全网安全监测平台通过收集各节点的流量、攻击情况,使总部运维人员可实时了解分支机构的安全风险;集中管理平台可实现全网各节点设备的统一管理和统一策略推送,真正做到管理集中化、运维自动化。
分支机构安全状况实时上报3.3威胁情报预警与处置深信服NGAF内置了威胁情报预警中心,通过深信服后台安全专家团队持续不断地搜集互联网上最新爆发流行的0day漏洞,及时地将高危漏洞的危害分析以及检测验证工具同步推送到NGAF上,运维人员不仅可以在第一时间了解到最新的0day漏洞,还能够自主扫描验证内部服务器是否存在漏洞,如果扫描出问题也可以通过一键防护功能进行应急处置,帮助用户快速地将风险降到最低。
3.4风险评估与策略联动深信服NGAF基于时间周期的安全防护设计,提供事前风险评估及策略联动功能。
风险评估功能分为系统漏洞扫描和Web弱点扫描两部分:系统漏洞扫描通过端口、服务、应用扫描帮助用户及时发现端口、服务及漏洞风险,并通过模块间的智能策略联动及时更新对应安全风险的安全防护策略。
Web弱点扫描通过内置的二十多类Web攻击特征,可以帮助用户快速定位出Web应用的漏洞,并提供相关漏洞的严重等级、漏洞详情以及建议的修复方案等,协助用户快速解决内网Web应用存在的风险。
3.5智能联动封锁机制深信服NGAF智能主动防御技术可在内部各个模块之间形成智能的联动策略,如一个IP/用户持续向内网服务器发起各类攻击则可通过防火墙策略暂时阻断该IP/用户。
智能防护体系的建立可有效地防止工具型、自动化的黑客攻击,提高攻击成本。
同时也使得管理员维护变得更为简单,可实现无网管的自动化安全管理。
四、高效稳定的底层架构设计1.分离平面设计深信服下一代防火墙通过软件设计将网络层和应用层的数据处理进行分离,在底层以应用识别模块为基础,对所有网卡接收到的数据进行识别,再通过抓包驱动把需要处理的应用数据报文抓取到应用层。
若应用层发生数据处理失败的情况,也不会影响到网络层数据的转发,从而实现高效、可靠的数据报文处理。
分离平面设计2.多核并行处理NGAF的设计不仅采用了多核的硬件架构,在计算指令设计上还采用了先进的无锁并行处理技术,能够实现多流水线同时处理,成倍提升系统吞吐量,在多核系统下性能表现十分优异,是真正的多核并行处理架构。
