亚洲综合成人aⅴ_a阿v天堂AV无码专区_久久婷婷五月综合色国产首页_欧美做受高潮白丝袜_尤物麻豆亚洲av无码精品_日韓精品人成在線播放_激情在线网站_國產高清一級夜夜爽_亚洲成人午夜综合_欧美一区二区在线色网视频

 
深信服下一代防火墻NGAF
一、 深信服下一代防火墻的定位
下一代防火墻的背景
全球最具權威的IT研究與顧問咨詢公司——Gartner在2009年發布了一篇名為《Defining the Next-Generation Firewall》的文章，給出了真正能夠滿足用戶當前安全需求的下一代防火墻定義：下一代防火墻是一種深度包檢測防火墻，超越了基于端口、協議的檢測和阻斷，增加了應用層的檢測和入侵防護,下一代防火墻不應該與獨立的網絡入侵檢測系統混為一談，后者只包含了日常的或是非企業級的防火墻，或者把防火墻和IPS簡單放到一個設備里，整合得并不緊密。
適用于國內環境的下一代防火墻
結合目前國內的互聯網安全環境來看，越來越多的安全事件是由于Web層面的設計漏洞被黑客利用所引發的。據統計，國內用戶上網流量與對外發布業務流量混合在一起的比例超過50%。以政府為例，60%以上的政府單位門戶網站和用戶上網是共用電子政務外網的線路。在這種場景下，如果作為出口安全網關的防火墻不具備Web應用防護能力，那么在新出現的APT攻擊的大環境下，現有的安全設備很容易被繞過，形同虛設。下一代防火墻作為一款融合型安全產品，不能存在針對基于Web應用的安全短板。
深信服下一代防火墻的功能定位
作為國內下一代防火墻產品的領導者，以及公安部第二代防火墻標準制定的參與者，深信服一直走在前沿，在產品推出伊始就把Web應用防護這個基因深深地植入到深信服下一代防火墻當中。深信服下一代防火墻（Next-Generation Application Firewall）NGAF面向應用層設計，能夠精確識別用戶、應用和內容，具備完整的L2-L7層安全防護體系，強化了在Web層面的應用防護能力，不僅能夠全面替代傳統防火墻，而且在開啟安全功能的情況下還保持著強勁的應用層處理性能。
 
二、 為什么需要深信服下一代防火墻
近年來，越來越多的網絡安全事件告訴我們，安全風險比以往更加難以察覺。隨著網絡安全形勢逐漸惡化，網絡攻擊愈加頻繁，客戶對自己的網絡安全建設變得越來越不自信。如何加強安全建設？安全建設的核心問題是什么？采用何種安全防護手段更為合適？這些問題已成為困擾客戶安全建設的關鍵問題。
問題一：看不看得到真正的風險？
一方面，只有看到L2-L7層的攻擊才能了解網絡的整體安全狀況，基于多產品的組合方案使大多數用戶沒有辦法進行統一分析，也就無法快速定位安全問題，同時也加大了安全運維的工作量。另一方面，沒有攻擊并不意味著業務不存在漏洞，一旦漏洞被利用就為時已晚。好的解決方案應能及時發現業務漏洞，防患于未然。最后，即使有大量的攻擊也不意味著業務安全威脅很大，只有針對真實存在的業務漏洞進行的攻擊才是有效攻擊。看不到有效攻擊的方案，就無法讓客戶看到網絡和業務的真實安全情況。
問題二：防不防得住潛藏的攻擊？
一方面，防護技術不能存在短板，存在短板必然會被繞過，原有設備就形同虛設；另一方面，單純防護外部黑客對內網終端和服務器的攻擊是不夠的，終端和服務器主動向外發起的流量中是否存在攻擊行為和泄密也需要檢測，進而才能找到黑客針對內網的控制通道，同時發現泄密的風險，最后通過針對性的安全防護技術加以防御。
綜上所述，真正能看到攻擊與業務漏洞，及時查漏補缺，并能及時防住攻擊才是最有效的解決方案。那么基于攻擊特征防護的傳統解決方案是否真的能夠達到要求呢？
傳統組合方案（FW+IPS+WAF）能否滿足？
組合方案不足點一：有幾款設備就可以看到幾種攻擊，但由于信息是割裂的難以對安全日志進行統一分析；有攻擊才能發現問題，在沒有攻擊的情況下，就無法看到業務漏洞，但這并不代表業務漏洞不存在；即使發現了攻擊，也無法判斷業務系統是否真正存在安全漏洞，還是無法指導用戶進行安全建設。
組合方案不足點二：有幾種設備就可以防護幾種攻擊，但大部分客戶無法全部部署，所以存在短板；即使全部部署，這些設備也不對服務器和終端向外主動發起的業務流進行防護，在面臨新的未知攻擊的情況下缺乏有效的防御措施，還是存在被繞過的風險。
傳統組合方案問題多
其他品牌的下一代防火墻能否解決問題？
目前，市場上的大部分下一代防火墻產品只能看到除Web攻擊以外的大多數攻擊，只有極少部分下一代防火墻能夠看到簡單的Web攻擊，但均無法看到業務的漏洞。攻擊和漏洞無法關聯就很難確定攻擊的真實性；另外，大部分下一代防火墻防不住Web攻擊，也不能對服務器/終端主動向外發起的業務流進行防護，比如信息泄露、僵尸網絡等，應對未知攻擊的方式比較單一，只通過簡單的聯動防護，仍有被繞過的風險。
 
三、 深信服下一代防火墻介紹
結合安全發展趨勢和國內用戶的安全建設現狀，深信服認為適合中國用戶本土需求的下一代防火墻需要滿足以下幾個方面的特點：
1.安全可視
深信服下一代防火墻可以理解網絡中的應用、應用中的威脅和攻擊、威脅帶走的數據內容，并能簡單易懂地呈現，實現真正的L2-L7層統一的安全可視化；能通過主動或者被動流量檢測及時發現業務漏洞，即使沒有攻擊也能找到業務中潛在的風險。
通過攻擊與業務漏洞的關聯分析，可以幫助用戶準確地找到有效攻擊，使用戶看到網絡和業務的真實安全情況。
2.雙向防御
深信服下一代防火墻具備L2-L7層的攻擊防護技術，使防護技術不存在短板。NGAF不僅能夠防護外部攻擊，還能檢查服務器/終端外發流量是否有風險，彌補了傳統安全設備只防外不防內的不足之處。NGAF可檢測服務器外發數據是否存在泄密或篡改行為，也可檢測內網終端電腦是否被黑客控制。
3.智能聯動
正所謂道高一尺，魔高一丈，各種應用層攻擊、變種、逃逸攻擊行為層出不窮，能夠智能地針對攻擊行為或者防護對象進行學習，動態形成智能防護規則也是下一代防火墻必備的特征之一，讓安全檢測模塊與防護策略聯動生效，能夠提高黑客的攻擊成本，降低客戶的運維管理成本。
4.高效穩定
雖然多功能網關具備部分應用安全防護能力，但其傳統安全設備的集成、串行部署的方式，使其在多種功能開啟之后性能急劇下降，最終只能當傳統防火墻使用。深信服下一代防火墻從軟件構架、硬件構架兩方面徹底改變了多功能網關由于多功能堆疊、串行部署導致的性能瓶頸問題，具備高效的應用層處理能力，實現萬兆吞吐。
深信服下一代防火墻四大特性
四、 深信服下一代防火墻功能特性
1. 安全可視
1.1 業務安全狀況可視
NGAF提供的實時漏洞分析功能，可以根據經過設備的業務流量主動分析其中存在的風險并實時展示出來，實時監控界面可以根據服務器真實存在的漏洞數量進行排名，同時給出各業務系統風險情況的評估，并給出建議和解決方案。
 
業務系統遭受攻擊分布
NGAF還提供強大的綜合風險報表功能，從業務和用戶兩個維度對網絡中的安全狀況進行整體分析，按照攻擊類型、漏洞類型和威脅類型進行統計分析，并根據每項業務對應的服務器IP進行針對性的安全分析，提供相應的安全服務說明，使報表具備更高的可讀性，方便用戶從報告中分析出下一步的安全加固策略。
NGAF風險報表
1.2 應用服務內容可視
NGAF具有卓越的應用可視化功能，通過多種應用識別技術形成國內最大的應用特征識別庫和URL庫，涵蓋了超過3000種應用規則和3000萬URL條目，可精確識別內外網的采用端口跳躍、端口逃逸、多端口、隨機端口等各類應用，為下一代防火墻實現用戶與應用的精細化訪問控制提供技術基礎。
 
卓越的用戶與應用識別能力
1.3 用戶控制策略可視
NGAF可通過應用可視化功能與用戶識別技術結合制定L2-L7一體化應用控制策略, 可以為用戶提供更加精細和直觀化的控制界面，在一個界面下完成多套設備的運維工作，提升工作效率。
基于用戶和應用的訪問控制策略
1.4 網絡流量狀態可視
NGAF可提供基于用戶和應用的流量管理功能，能夠基于應用做流量控制，實現阻斷非法流量、限制無關流量、保證核心業務的可視化流量管理價值，并可通過運行狀態頁面觀察到每條通道的流量狀態信息，應用流量排行以及用戶流量排行等，同時也會對應用流量進行匯總統計，可直觀了解到網絡中的流量分布情況。
2. 雙向防御
 
雙向內容檢測
2.1 強化的Web攻擊防護
NGAF采用攻擊特征+主動防御相結合的雙重防護模式，可有效保護Web業務的安全。攻擊特征的防護模式有效結合了Web攻擊的靜態規則以及基于黑客攻擊過程的動態防御機制，提供OWASP定義的十大安全威脅的攻擊防護功能，有效防止常見的Web安全威脅。如SQL注入、XSS跨站腳本、CSRF跨站請求偽造、Webshell文件上傳等等，主動防御模式可提供參數類型學習和自定義參數等個性化配置，保護Web系統免受網站篡改、網頁掛馬、業務數據泄露及用戶賬號被盜等。NGAF于2013年1月通過了OWASP Web安全項目的測試，設備的安全防護等級被評為4星（5星滿分），為國內同類廠商的最高得分；2014年9月，NGAF通過了全球頂級評測機構NSS Labs的Web應用防護功能評測，并獲得最高評價“Recommended”推薦。
 
深信服下一代防火墻獲NSS Labs最高評價“推薦”認證
2.2 基于應用的深度入侵防御
NGAF基于應用的深度入侵防御采用六大威脅檢測機制：攻擊特征檢測、特殊攻擊檢測、威脅關聯分析、異常流量檢測、協議異常檢測、深度內容分析。能夠有效地防止各類已知/未知攻擊，實時阻斷黑客攻擊。如緩沖區溢出攻擊、利用漏洞的攻擊、協議異常、蠕蟲、木馬、后門、DoS/DDoS攻擊探測、掃描、間諜軟件、以及各類IPS逃逸攻擊等。
2.3 僵尸網絡檢測隔離
NGAF獨有的僵尸網絡檢測隔離功能，能夠實時對外發流量進行檢測，協助用戶定位內網被黑客控制的服務器或終端。該功能融合了僵尸網絡識別庫，利用業界領先的僵尸網絡識別檢測技術對黑客的攻擊行為進行有效識別，針對以反彈式木馬為代表的惡意軟件進行深度防護。僵尸網絡識別庫數量超過30多萬條，并由深信服攻防團隊實時更新。
僵尸網絡檢測隔離
同時，深信服建設了完善的安全云平臺，將近5000臺部署在全球各地的深信服下一代防火墻NGAF可以自動（在獲得用戶授權的前提下）上傳可疑的應用流量到安全云平臺，云平臺將該部分流量放到虛擬沙盒中進行運行，通過分析異常網絡行為，對流量進行判斷。若上傳流量存在安全威脅，云平臺將生成安全防護規則并實時下發到全球所有在線的NGAF，令其能夠有效抵御各類互聯網攻擊。
截止至2015年1月，深信服安全云平臺累計收到7000多萬條可疑威脅流量，并分析出20多萬條存在威脅的流量，安全云平臺同步生成并下發的安全防護規則累計攔截了450多萬次的訪問請求。
 
深信服安全云平臺
2.4 異常流量檢測
數據竊取或者是遠控木馬往往利用常用端口或者協議進行偽裝，NGAF可以根據端口和協議是否匹配來檢測流量是否存在異常，比如常見的如80、443、21、25等端口的傳輸協議是否為對應的HTTP、HTTPS、FTP和SMTP協議。RDP、SSH協議是否運行在默認的3389、22端口等，讓惡意流量無法輕易地通過端口或者協議偽裝，繞過安全設備的檢測。
2.5 口令暴力破解防護
口令暴力破解也是黑客經常使用的一種攻擊手段，NGAF不僅支持HTTP協議的口令暴力破解防護，還支持FTP、RDP、SSH、Mysql、MS_sqlserver、Oracle、IMAP、POP3、SMTP、Telnet、SMB等多種協議的口令暴力破解防護，全面提升防護對象的密碼安全。
2.6 應用協議內容隱藏
NGAF可針對主要的服務器（Web服務器、FTP服務器、郵件服務器等）反饋信息進行有效隱藏。防止黑客利用服務器返回的信息進行有針對性地攻擊。如：HTTP出錯頁面隱藏、響應報頭隱藏、FTP信息隱藏等。
2.7 用戶登錄權限防護
NGAF可以針對特定的服務或者Web頁面提供登錄保護，通過發送短信驗證碼的方式提供強認證保護。用戶訪問到該頁面或應用的時候需要先經過短信的認證才能進入到正常的登錄界面，增強了敏感頁面或應用的安全系數。該功能帶來的價值：
第一，對重要的頁面（如管理員頁面）進行防護，防止通過社會工程、暴力破解拿到正常管理員的賬號密碼。
第二，可實現敏感頁面的雙因子強認證提高安全性，防止敏感頁面開放于公網或辦公網。
2.8 精確的病毒檢測能力
NGAF提供先進的病毒防護功能，可從源頭對HTTP、FTP、SMTP、POP3等協議流量進行病毒查殺，也可查殺壓縮包（zip、rar、gzip等）中的病毒。同時NGAF采用高效的流式掃描技術，可大幅提升病毒檢測效率，避免防病毒成為網絡安全的瓶頸。
2.9 網關型網頁防篡改
NGAF提供網關型的網頁防篡改（對服務器“0”影響）功能，能夠第一時間攔截網頁被篡改的信息并通知管理員確認，同時對外提供篡改重定向功能，提供正常界面、友好界面、Web備份服務器的重定向，保證用戶仍可正常訪問網站。NGAF網站篡改防護功能使用網關實現動靜態網頁防篡改功能，這種實現方式相對于主機部署類防篡改軟件而言，客戶無需在服務器上安裝第三方軟件，易于使用和維護，在防篡改技術方面采用了網絡字節流的檢測與恢復，對服務器性能沒有影響。
2.10 可定義的敏感信息防泄漏
NGAF提供內置敏感信息庫以及可定義的敏感信息防泄漏功能，根據不同用戶的防護需求可靈活自定義敏感信息（如：用戶信息/郵箱賬戶信息/MD5加密密碼/銀行卡號/身份證號碼/社保賬號/信用卡號/手機號碼……），通過短信、郵件報警及連接請求阻斷的方式防止大量的敏感信息被竊取。
2.11 覆蓋傳統防火墻功能
NGAF涵蓋了完整的傳統防火墻功能，包括融合了技術國內領先、市場占有率第一的IPSec VPN和SSL VPN模塊，支持應用訪問控制、NAT支持、路由協議、VLAN屬性、鏈路聚合等功能，便于用戶替換傳統防火墻后，將原有的策略完全遷移至下一代防火墻中，實現簡化組網、方便運維的效果。同時NGAF可防護基于數據包的DOS攻擊、IP協議報文的DOS攻擊、TCP協議報文的DOS攻擊、基于HTTP協議的DOS攻擊等，實現對網絡層、應用層的各類資源耗盡的拒絕服務攻擊的防護，支持對加密隧道數據進行安全攻擊檢測，全面提升廣
 
域網隔離的安全性。
3. 智能聯動
深信服下一代防火墻L2-L7層智能防御體系
3.1 自主學習主動防御
NGAF內置主動防御功能，可智能分析提交HTTP請求中的變量和參數類型，根據設定的閾值進行學習，學習結果最終形成防護白名單，阻斷不符合學習內容的請求，白名單根據學習結果動態更新，保證參數內容學習的正確性。
3.2 智能APT攻擊防護
深信服NGAF是國內唯一同時融合FW、IPS、WAF和AV功能并能進行智能聯動的安全產品，通過各模塊間的聯動，為APT攻擊防護提供從主機層(惡意代碼防護、僵尸網絡隔離)、網絡層(訪問控制、邊界隔離、入侵防護、漏洞掃描、內網嗅探)、到應用層(惡意網址識別、OWASP TOP10、管理認證登錄、DLP)的L2-L7層一體化安全防護。通過關聯分析準確定位出APT攻擊的行為，阻斷黑客在實施APT攻擊各個步驟、各種手段的有效性。
NGAF智能的主動防御技術可實現內部各個模塊之間形成智能的策略聯動，如一個IP/用戶持續向內網服務器發起各類攻擊則可通過防火墻策略暫時阻斷IP/用戶。智能防護體系的建立可有效地防止工具型、自動化的黑客攻擊，提高攻擊成本，可抑制APT攻擊的發生。同時也使得管理員維護變得更為簡單，可實現無網管的自動化安全管理。
3.3 安全風險評估與策略聯動
NGAF基于時間周期的安全防護設計提供事前風險評估及策略聯動的功能。風險評估功能分為Web弱點掃描與系統漏洞掃描兩部分：
系統漏洞掃描通過端口、服務、應用掃描幫助用戶及時發現端口、服務及漏洞風險，并通過模塊間的智能策略聯動及時更新對應安全風險的安全防護策略，幫助用戶快速診斷電子商務平臺中各個節點的安全漏洞問題，并做出有針對性的防護策略。
Web弱點掃描通過內置的二十多類Web攻擊特征，如SQL注入、盲注、操作系統命令、遠程文件包含、XPATH注入、LDAP注入、服務器端包含（SSI）、iframe釣魚、不安全的PHP配置檢查等，可以幫助用戶快速定位出Web應用的漏洞，并提供相關漏洞的嚴重等級和描述信息以及建議的修復方案等，協助用戶快速解決內網Web應用存在的風險。
 
3.4 智能聯動封鎖攻擊
NGAF在配置安全策略后，可根據策略的匹配情況動態生成啟發式阻斷規則，當檢測到某個IP有攻擊行為后，聯動封鎖一段時間，以此達到提高黑客攻擊成本的目的。當設定的時間內沒有再發生攻擊行為，則把該IP從啟發式阻斷規則中刪除。
3.5 全網安全監測平臺
深信服推出基于廣域網安全監控要求的全網安全監測平臺，可實現對分支機構安全狀況進行監控，并建設完善的全網安全網絡。
深信服全網安全監測平臺
部署在各節點的NGAF為分支機構的網絡提供L2-L7層完整的安全防護，有效避免分支機構因薄弱的安全建設成為入侵短板；總部核心業務區防護設備的部署，強有力地保障了各項業務高效、穩定地開展；安全管理區的全網安全監測平臺通過收集各節點的流量、攻擊情況，使總部運維人員可實時了解分支機構的安全風險；集中管理平臺可實現全網各節點設備的統一管理和統一策略推送，真正做到管理集中化、運維自動化。
 
分支機構安全狀況實時上報
4. 高效穩定
4.1 分離平面設計
深信服下一代防火墻通過軟件設計將網絡層和應用層的數據處理進行分離，在底層以應用識別模塊為基礎，對所有網卡接收到的數據進行識別，再通過抓包驅動把需要處理的應用數據報文抓取到應用層。若應用層發生數據處理失敗的情況，也不會影響到網絡層數據的轉發，從而實現高效、可靠的數據報文處理。
分離平面設計
4.2 多核并行處理
NGAF的設計不僅采用了多核的硬件架構，在計算指令設計上還采用了先進的無鎖并行處理技術，能夠實現多流水線同時處理，成倍提升系統吞吐量，在多核系統下性能表現十分優異，是真正的多核并行處理架構。
 
多核并行處理技術
4.3 單次解析架構
NGAF采用單次解析構架實現報文的一次解析一次匹配，有效提升了應用層效率。實現單次解析技術的一個關鍵要素就是軟件架構設計實現網絡層、應用層的平面分離，將數據通過“0”拷貝技術提取到應用層平面上實現威脅特征的統一解析和統一檢測，減少冗余的數據包封裝，實現高性能的數據處理。
單次解析架構
4.4 跳躍式掃描技術
NGAF利用多年積累的應用識別技術，在內核驅動層面通過私有協議將所有經過NGAF的數據包都打上應用的標簽。當數據包被提取到內容檢測平面進行檢測時，設備會找到對應的應用威脅特征，通過使用跳躍式掃描技術跳過無關的應用威脅檢測特征，減少無效掃描，提升掃描效率。比如：流量被識別為HTTP流量，那么FTPsever-u的相關漏洞攻擊特征便不會對系統造成威脅，便可以暫時跳過檢測進行轉發，提升轉發的效率。
4.5 Sangfor Regex正則引擎
正則表達式是一種識別特定模式數據的方法，它可以精確識別網絡中的攻擊。經深信服安全專家研究發現，業界已有的正則表達式匹配方法的速度一般比較慢，制約了下一代防火墻整機速度的提高。為此，深信服設計并實現了全新的Sangfor Regex正則引擎，將正則表達式的匹配速度提高到數十Gbps，比PCRE和Google的RE2等知名引擎快數十倍，達到業界領先水平。
NGAF的Sangfor Regex大幅降低了CPU占用率，有效提高了NGAF的整機吞吐，從而能夠更高速地處理客戶的業務數據，該項技術尤其適用于對每秒吞吐量要求特別高的場景，如運營商、電商等。
4.6 產品性能評測報告
國內知名IT行業媒體《網絡世界》在2013年針對NGAF進行了一次客觀的產品評測。NGAF在各項功能開啟的情況下，應用層處理性能表現優秀。在不同大小文件下，應用流量處理能力均達到萬兆級別，很好地滿足了正常網絡應用中萬兆寬帶的應用流量處理需求。
 
五、 深信服下一代防火墻的品牌優勢
1. 市場引領者
2011年7月，深信服率先推出國內第一臺下一代防火墻NGAF，自產品發布后，國內追隨者不斷。深信服NGAF的銷量一直穩居下一代防火墻市場的榜首，在國內擁有最多的用戶數量。
截止至2014年12月，NGAF在全國的用戶數累計超過10000家，在線穩定運行的設備數超過20000臺，用戶覆蓋各行各業，其中包括100多家部委省廳級單位、80多家運營商和金融單位、90多家知名教育單位、200多家大型企業和國資委下屬央企集團，用戶數量遙遙領先。
據全球著名的咨詢機構Frost&Sullivan的分析報告顯示，2013年深信服下一代防火墻NGAF在中國集成防火墻市場排名第4，占有10.1%的市場份額，是唯一憑借下一代防火墻一款產品參與排名的廠商。Frost&Sullivan評價到：深信服憑借優質的下一代防火墻產品，奠定了其在中國防火墻市場的領導地位。
2. 產品安全穩定
憑借專業的安全防護能力和卓越的產品品質，NGAF獲得了高標準行業的共同認可，連續三年入圍中央政府采購名單，2013年、2014年連續兩年在中國電信集團Web應用防護系統集采項目中獲得最大份額，2014年在中國移動集團首次啟動Web應用防火墻產品集采中即獲得最高性能檔的最大份額。此外，NGAF還在金融行業核心系統中得到了應用。
NGAF獲得NSS Labs最高級別“推薦”認證

2013年，深信服將NGAF送往位于美國的全球最知名的獨立安全研究和評測機構NSS Labs進行Web安全防護功能評測，在業界專業的WAF測試規范下，成功通過所有的攻擊逃逸測試、產品穩定性和可靠性測試，其中，送測設備的每秒新建連接數達到76，616CPS，為送測的6家廠商中的最高數值。深信服下一代防火墻NGAF最終獲得NSS Labs最高級別——“Recommended”推薦認證。Product	NSS-Tested Capacity
Sangfor M5900-F-I vAF 4.6.101	76,616 CPS
Evasions	Stability & Reliability
PASS	PASS