深信服下一代防火墙NGAF产品彩页

1、 / 15深信服下一代防火墙 NGAF近年来，越来越多的网络安全事件告诉我们，安全风险比以往更加难以察觉。随着网络安全形势逐渐恶化，网络攻击愈加频繁， 用户对自己的网络安全建设是否合规、完善并没有把握。该如何加强安全建设？安全建设的核心问题是什么？采用何种安全防护手段更为合适？ 安全建设该如何体现价值？这些问题已成为困扰用户安全建设的关键问题。企业级网络安全建设需要什么传统产品组合方案缺陷一：不同的安全设备看到的是不同的攻击类型，信息是割裂的， 难以对安全日志进行统一分析；安全设备在有攻击时才能发现问题，在没有攻击的情况下， 就无法看到业务漏洞， 但这并不代表业务漏洞不存在；即使发现了攻击，

2、也无法判断业务系统是否真正存在安全漏洞，还是无法指导用户进行安全建设。传统产品组合方案缺陷二：有几种设备就可以防护几种攻击，但大部分客户无法全部部署，所以安全存在短板；即使全部部署，这些设备也不对服务器和终端向外主动发起的业务 流量进行防护，在面临新的未知攻击的情况下缺乏有效的防御措施，还是存在被绕过的风险。.雇佣兵”式的安全服务？即使采购了安全设备，但是缺乏专业的安全人员来进行及时有效的安全运维也是企业在 安全建设中遇到的难题。以往只能通过安全服务商采购安全服务，我们称为“雇佣兵”式的安全服务。虽然短期内可以快速提升安全防护效果，满足合规要求，但是安全咨询和安全服务的交付质量，严重依赖于安全

3、服务人员的水平，一旦安全专家离开了， 那安全服务的交付质量就无法得到保障。虽然买回来一堆完备的安全设备，也会因为专业程度太高，缺乏专家水平的人员运维，让这些设备变成了摆设，用户通过自己的力量并不能够真正地掌控网络安全。.企业级的网络安全到底需要什么？看他安全现状风睑的能力持续对抗新型就购的能力简化安全运营的靛力诉求一：看不看得到安全风险？只有看到L2-L7层的攻击才能了解网络的整体安全状况，基于传统多产品的组合方案使大多数用户没有办法进行统一分析，也就无法快速定位安全问题，同时也加大了安全运维的工作量。此外，没有攻击并不意味着业务不存在漏洞，一旦漏洞被利用就为时已晚。好的解 决方案应能及时发现

4、业务漏洞，防患于未然。最后，即使有大量的攻击也不意味着对业务安全的威胁很大，只有针对真实存在的业务漏洞进行的攻击才是有效攻击。看不到有效攻击的来源，就无法让客户看到网络和业务的真实安全情况。诉求二：能不能持续抵抗新威胁？首先，面对已知威胁，需要评估现有的安全防护体系在技术层面是否存在短板，存在短板必然容易被绕过， 原有安全设备就形同虚设；其次，面对新型的威胁，企业是否具备实时 应对和响应的能力， 能够把影响最小化； 最后，更多的安全威胁是未知的，如何能够搭建和利用大数据分析平台来帮助用户预测和发现未知威胁，是企业安全建设更高的一个层次的需求。诉求三：安全运营是否能够简化？面对专业的安全设备，如

5、果采用前述“雇佣兵”式的服务，并无法持续地帮助企业用户将 安全达到一种可控的状态。要想能够脱离“雇佣兵”式的安全服务，让安全设备发挥出最大的 防护价值，就必须将专业、难懂的安全配置、 安全日志进行简化， 并能够引导和帮助用户具 备用好、管好自己的设备的能力。二、深信服下一代防火墙的定位.适用于国内环境的下一代防火墙全球权威的IT研究与顾问咨询公司 Gartner在2009年给出了下一代防火墙的定义：下一代防火墙是一种深度包检测防火墙，超越了基于端口、 协议的检测和阻断，增加了应用层的检测和入侵防护。结合目前国内的互联网安全环境来看，越来越多的安全事件是由Web层面的设计漏洞被黑客利用所引发的。

6、据统计，国内用户上网流量与对外发布业务流量混合的比例超过50%作为出口安全网关的防火墙如果不具备Web应用防护能力，则存在明显的短板。所以下一代防火墙作为一款融合型安全产品，不能缺失基于Web应用的安全防护。HJi .g中华人民共和国公共安全行业标准信息安全技术第二代防火墙安全技术要求tif film Ji h. oil w raritySraurtty bHEhzitiuF mmiMJiiLi f ilifar lecond fgesErKLkH hymll prcdMla作为国内下一代防火墙产品的先行者，公安部第二代防火墙标准制定的参与者，深信服一直走在前沿，在产品推出彳R始就把 Web应

7、用防护这个基因深深地植入到深信服下一代防火 墙当中。深信服下一代防火墙NGAFW向应用层设计，能够精确识别用户、应用和内容，具备完整的L2-L7层安全防护体系，强化了在 Web层面的应用防护能力， 不仅能够全面替代传 统防火墙，而且在开启安全功能的情况下还保持着强劲的应用层处理性能。.我们不仅交付产品，还为您持续输送安全能力安全已经成为继硬件、软件、网络之后的第四大IT基础设施。深信服除了为用户提供创新的安全产品之外，还将致力于帮助企业掌握自身网络安全。通过创新的安全产品 +自动 化的安全服务不断为用户输送安全能力， 帮助用户具备看懂网络安全现状的能力， 持续对抗 新型威胁的能力和简化安全运营

8、的能力。三、深信服下一代防火墙为企业安全赋能.看懂安全现状和风险业务安全状况可视NGAF提供强大的综合安全风险报表功能，能够帮助用户直观地了解到网络中存在的风 险，通过从业务安全、用户安全以及漏洞分布三个维度来全方位地帮助用户了解网络当中存 在的威胁。专注事件院洞造基于业务的风险分析报表（截选）NGAF的实时漏洞分析功能，可以主动分析经过设备的业务流量中存在的风险并实时展 示出来，实时监控界面可以根据服务器真实存在的漏洞数量进行排名，同时给出各业务系统风险情况的评估，并给出建议和解决方案。威胁危害效果可视深信服NGAF突破传统安全产品的设计理念，在首页内容展示上进行了创新，将设备检测到的威胁风

9、险通过图形化的界面进行统计和展示。用户通过首页就能一眼掌握网络的安全状况。通过各个版块简单的点击，就能继续深入了解到更详细的受害对象列表、安全日志、 攻击来源等信息，能够直观地了解到哪些业务或者用户已经被黑客入侵或控制，哪些业务存在漏洞威胁s哪些 Web服务器已经被植入了黑链等等。再智理同y MtniiAiiiug -nv 芭丁 在同 *MIH *算FT甯Jtlt iTOft)J八NGAF首页风险展示安全事件实时通报深信服NGAF搭建的微信安全服务平台，能够帮助用户7*24小时监控设备的安全状态，一旦发现设备检测到安全威胁，则通过深信服后台安全专家的验证确认后推送到用户端，帮助用户及时发现和处

10、理安全风险，同时也通过漫画的形式帮助用户更好地了解所遭受攻击的危害，并定期生成安全风险报表，让运维管理人员更加了解自身的网络安全状态。 安金事件X安全事件报我王妣明却；囱再12 口 V量质檀香 * 圣* 士山 y KiKAa鲫 1 瓦4M & K 事】15T15 1fia IIWI 1TJ1* g 鼻4网臼注磔柝口 H51III国1 寿SwM聘T回达盘逑 y3.rbB.11助* 1 -HHft ti黑咕氮1钝m.iiHL 11*111“ 11111XM，鹿：m idB il* Ui切词X七亶叠SHTLIEiRNMIWF1 如*HI威胁实时通报安全报表推送威胁漫画展示2.持续对抗新型威胁产品快速

11、迭代应对已知威胁L2-7层双向防御体系安全日志后问忖I网络层安全有效安全事件基于业务的基于用户的 安全日志主动 风验过枯有效 坡击日忑安全运维管理完整的应用层防护体系深信服NGAF具有完备的L2-L7层一体化的安全防御体系来应对已知威胁，在Web应用安全层面的防护能力尤为突出，如具备网站黑链检测、Webshell脚本检测、OWASP TOP10 Web攻击防护等功能。对于不断更新的威胁，深信服NGAF通过产品的快速迭代开发来响应需求。 深信服NGAF保持每两月更新一个软件版本的速度实现对产品改进需求的快速响应。在攻击特征库方面也保持着每两周更新一次的频率进行维护。高危的0day漏洞当天进行规则

12、更新和发布。2.2完整的APT攻击检测链面对复杂、隐蔽的APT攻击，深信服NGAF深入剖析了 APT攻击的五个阶段，并在每个 阶段都具备相应的安全措施，让用户可以看到不同阶段检测到的APT攻击行为。I*攻上断周由mBK噫/久惠nt毋iht小鼻加a拄花军，*，了虺制量也三三总同玮电看货机济,耳遑三料?骂作事上式二修单tRP端付口商口（曲Ml:M. LKW w情0 收的加，现m南与？*父尸酉0.36班ENGAF与云平台联动应对未知威胁在应对未知威胁方面，深信服搭建了未知威胁云检测平台，通过 6000多台部署在全球 各地的深信服下一代防火墙，在获得用户授权的前提下，自动上传可疑的应用流量到未知威 胁

13、云检测平台，云平台将该部分流量放到虚拟沙盒中进行运行，通过分析异常网络行为，对流量进行判断。若上传流量存在安全威胁，云平台将生成安全防护规则并实时下发到全球所 有在线的NGAF,令其能够有效抵御各类互联网攻击。2.3云检测平台应对未知威胁人与人的攻防对杭云端的专家闭队住以小时实时监控关健本件实时推送自动化的应急响应可疑流量锲时上报快速策略下发深信服未知威胁云检测平台截止至2015年12月，深信服安全云平台累计收到接近1亿条可疑威胁流量，并分析定位出40多万条存在威胁的恶意网址，安全云平台同步生成并下发的安全防护规则累计拦截了 330多万次的访问请求。I安全云虚拟沙盒技术可疑行为分析专家人士分析

14、6,48198,312,343.43%5孙3/64,067*d 深信蓿末匐戚眇三吟洌平白 rrun3.简化安全运营任务化的风险管理深信服NGAF通过将检测到的安全风险统一汇总，为用户形成一个待处理问题清单，引导用户关注未处理的安全风险，并通过提供工具化的解决办法来帮助用户将安全风险处理掉形成运营闭环。I|入福只哈 僵尸主机|枷1讯脑，理置网a 扑口巧攻击检测到您的网络环境存在门个重要风险J建议立即处理!二次徽郡佰:“：麻。1二r 1Q柳#1L92 168 L00.l&2.192 15S190.00 LOOJ. 11.ILU213默I风腌（口 主执由I可1匚第4，机构橙粗的6酒情：，RL主机访词

15、了津富分析曲国审序机构提的立身是忍急转件塔椎或控小向的LUI主现访问了 g方行或机肉提供的本身是理竟软件钺枪直挂马网面的皿;出的可彳：匕等叩.青存伊印二MC且情：出全网安全统一管控深信服下一代防火墙还具备全网安全监测平台，可实现对分布式部署的下一代防火墙进行统一的管理和监控，建设完善，可控的安全网络。办公局城网二浦广域网深信服全网安全监测方案部署在各节点的 NGAF为分支机构的网络提供 L2-L7层完整的安全防护，有效避免分支 机构因薄弱的安全建设成为入侵短板；总部核心业务区防护设备的部署，强有力地保障了各项业务高效、稳定地开展；安全管理区的全网安全监测平台通过收集各节点的流量、攻击情况，使总

16、部运维人员可实时了解分支机构的安全风险；集中管理平台可实现全网各节点设备的统一管理和统一策略推送，真正做到管理集中化、运维自动化。分支机构安全状况实时上报威胁情报预警与处置深信服NGAF内置了威胁情报预警中心，通过深信服后台安全专家团队持续不断地搜集互联网上最新爆发流行的0day漏洞，及时地将高危漏洞的危害分析以及检测验证工具同步推送到NGAF上，运维人员不仅可以在第一时间了解到最新的0day漏洞，还能够自主扫描验证内部服务器是否存在漏洞，如果扫描出问题也可以通过一键防护功能进行应急处置，帮助用户快速地将风险降到最低。风险评估与策略联动深信服NGAF基于时间周期的安全防护设计，提供事前风险评估

17、及策略联动功能。风险评估功能分为系统漏洞扫描和Web弱点扫描两部分：系统漏洞扫描通过端口、 服务、应用扫描帮助用户及时发现端口、服务及漏洞风险，并通过模块间的智能策略联动及时更新对应安全风险的安全防护策略。Web弱点扫描通过内置的二十多类 Web攻击特征，可以帮助用户快速定位出Web应用的漏洞，并提供相关漏洞的严重等级、漏洞详情以及建议的修复方案等，协助用户快速解决内网Web应用存在的风险。智能联动封锁机制深信服NGAF智能主动防御技术可在内部各个模块之间形成智能的联动策略，如一个IP/用户持续向内网服务器发起各类攻击则可通过防火墙策略暂时阻断该IP/用户。智能防护体系的建立可有效地防止工具型

18、、自动化的黑客攻击，提高攻击成本。同时也使得管理员维护变得更为简单，可实现无网管的自动化安全管理。四、高效稳定的底层架构设计.分离平面设计在底层以应深信服下一代防火墙通过软件设计将网络层和应用层的数据处理进行分离,用识别模块为基础，对所有网卡接收到的数据进行识别， 再通过抓包驱动把需要处理的应用 数据报文抓取到应用层。若应用层发生数据处理失败的情况， 也不会影响到网络层数据的转 发，从而实现高效、可靠的数据报文处理。分离平面设计.多核并行处理NGAF的设计不仅采用了多核的硬件架构，在计算指令设计上还采用了先进的无锁并行 处理技术，能够实现多流水线同时处理，成倍提升系统吞吐量， 在多核系统下性能

19、表现十分优异，是真正的多核并行处理架构。多核并行处理技术.单次解析架构NGAF采用单次解析构架实现报文的一次解析一次匹配，有效提升了应用层效率。实现 单次解析技术的一个关键要素就是软件架构设计实现网络层、应用层的平面分离，将数据通 过“0”拷贝技术提取到应用层平面上实现威胁特征的统一解析和统一检测，减少冗余的数据包封装，实现高性能的数据处理。请法解析 正则表达式 关帝字M谑单次解析架构. 跳跃式扫描技术NGAF 利用多年积累的应用识别技术，在内核驱动层面通过私有协议将所有经过 NGAF 的数据包都打上应用的标签。 当数据包被提取到内容检测平面进行检测时， 设备会找到对应 的应用威胁特征，通过使

20、用跳跃式扫描技术跳过无关的应用威胁检测特征，减少无效扫描， 提升扫描效率。比如：流量被识别为HTTP流量，那么FTP seve-u的相关漏洞攻击特征便不会对系统造成威胁，便可以暂时跳过检测进行转发，提升转发的效率。 5. Sangfor Regex 正则引擎 正则表达式是一种识别特定模式数据的方法， 它可以精确识别网络中的攻击。 经深信服 安全专家研究发现， 业界已有的正则表达式匹配方法的速度一般比较慢， 制约了下一代防火 墙整机速度的提高。为此，深信服设计并实现了全新的 Sangfor Regex 正则引擎，将正则表 达式的匹配速度提高到数十Gbps,比PCR讶口 Google的RE2等知名

21、引擎快数十倍，达到业界领先水平。NGAF的Sangfor Regex大幅降低了 CPU占用率，有效提高了NGAF的整机吞吐，从而能够更高速地处理客户的业务数据， 该项技术尤其适用于对每秒吞吐量要求特别高的场景， 如 运营商、电商等。 6. 产品性能评测报告根据 GA/T 1177-2014 信息安全技术第二代防火墙安全技术要求中的定义，应用层防火墙产品的性能应考察的是在多种应用、 不同数据包大小的情况下防火墙实际能够处理的 流量大小， 并且在开启入侵防御和恶意代码防御及应用识别的基础上， 要求性能下降不超过 30%。 深信服下一代防火墙凭借优异的指标率先通过了第二代防火墙标准增强级的测试要求。

22、在国际知名独立测评实验室 NSS Labs 的测评当中，深信服下一代防火墙在同国外一线 厂商的同比测试中，也表现出了优异的新建和并发处理能力，最终获得推荐级评价。五、 深信服下一代防火墙品牌优势. 市场引领者2011年7月，深信服率先推出国内第一台下一代防火墙NGAF,自产品发布后，国内追随者不断，且赢得了众多用户的信任，年销量平均增长率超过50%。截止至 2015 年末， NGAF 在全国的用户累计超过 20000 家，在线稳定运行的设备超过40000 台，用户覆盖各行各业，其中包括 120 多家部委省厅级单位、 100 多家运营商和金融 单位、 120 多家知名教育单位、 250 多家大型

23、企业和国资委下属央企集团，用户数量遥遥领 先。据咨询机构IDC的分析报告显示，2014年深信服下一代防火墙NGAF在中国集成防火墙市场排名第3 ， 占有10.9%的市场份额，是唯一凭借下一代防火墙一款产品参与排名的厂商。咨询机构 Frost&Sullivan 评价到：深信服凭借优质的下一代防火墙产品，奠定了其在中国防 火墙市场的领导地位。. 专业权威的认可国内最先获得NSS Labs “推荐”评价早在2013年，深信服就将 NGAF送往位于美国的全球最知名的独立安全研究和评测机 构NSS Labs彳t Web安全防护功能评测，在业界专业的 WAF测试规范下，成功通过所有的攻击逃逸测试、 产品稳

24、定性和可靠性测试， 其中， 送测设备的每秒新建连接数达到 76 ， 616CPS， 为送测的 6 家厂商中的最高数值。深信服下一代防火墙NGAF 最终获得NSS Labs“ Recommended ”推荐评价。深信服下一代防火墙NGAF国内最早获得NSS Labs“推荐”评价的下一代防火墙产品国内OWASP测试综合平分最高深信服下一代防火墙 NGAF在OWASP授权机构的25项测评项中获得19项“五星”满分评分，综合四星（国内最高为 4星）。受邀参与公安部第二代防火墙标准制定2013年3月，深信服凭借多年的安全技术实力积累和对安全防护的独到见解，受到公安部第三研究所（信息安全行业规范编制单位）

25、的邀请，参与国内第二代防火墙标准（GA/T1177-2014信息安全技术 第二代防火墙安全技术要求）的制定，并成为主要起草单位。目前该标准已于 2014年7月24日正式发布，9月1日已开始实施。此外，深信服还是微软 MAPP计划合作会员、中国反网络病毒联盟成员， 安全技术实力 得到了广大权威机构的认可。深信服NGAF获得多方权威机构认可.专业安全攻防团队深信服凭借在应用层领域10年以上的技术积累组建了南北安全攻防团队，确保安全规则的实时更新以及安全体检服务的开展，深信服NGAF具备4000+条漏洞特征库、超百万条病毒特征库、数十万僵尸网络特征库、3500+ Web应用威胁特征库，可以全面识别各

26、种应用层和内容级别的安全威胁。.产品可靠稳定为保证设备具有良好的稳定性，NGAF出厂前都会经过7轮软硬件高吞吐、低温高温等恶劣环境的严格测试，并通过第三方机构的专业产品检测。目前，深信服下一代防火墙产品已无故障工作超过 8万小时，具备高可靠的稳定性。MTTR小小也针*WFTHF 火#difigM GW- 4千 B1CKK1 小口NGAF稳定性的第三方评测报告六、典型场景和案例电信联通互 W4HV 入安置 安全域内网办公安全域典型应用场景典型应用场景对外发布场景部署在网银、网上报税、网上营业厅、电子商务等系统出口，防止黑客入侵，保护关键 业务和客户隐私信息，避免损害单位形象，造成经济损失。数据中

27、心场景部署在单位内部的财务、ERR OA等服务器前面，精细控制访问权限，防止非法访问,防止企业机密信息被窃取，保障核心业务获取必要的带宽资源。广域网边界场景部署在专网边界， 过滤应用层威胁流量， 防止病毒、 木马等威胁在分支机构间横向传播，影响业务开展；广域网 VPN 组网，形成全网安全监测解决方案；互联网出口场景部署在互联网出口，针对各种终端提供漏洞防护，病毒/ 木马等恶意软件过滤，僵尸网络检测，对外DoS攻击检测，高性能应用管控与流量优化，提供一体化的安全防护。典型应用案例最高人民法院最高人民法院根据其实际网络环境和需求，选择了将深信服下一代防火墙NGAF部署于其服务器区的核心交换机前，

28、启用了服务器防护、 漏洞防护与敏感信息防泄漏功能对进出服务器的双向流量进行安全与合规性检查。设备对来自内部用户区与互联网的数据流量进行L2-L7 层的攻击检测与防护；对服务器区外发的数据流实现合规性验证。并通过文件类型与自定义敏感信息防泄漏规则两种方式防止数据交互过程中，敏感信息被非法人员窃取。国土资源部随着业务类别的不断丰富， 为全面提升办公网的安全防护能力， 国土资源部在数据中心服务器区和内网办公区前端分别部署了深信服下一代防火墙NGAF。 替换掉原有的 UTM 、 防病毒网关、IPS IDS等传统网络安全设备，极大地简化了组网拓扑，便于用户维护网络的稳 定性。 设备的部署加强了应用层网络

29、的防护能力， 并能实时检测办公内网是否存在安全风险， 为国土资源部的网络提供强有力的安全保障。海关总署海关总署通过将深信服下一代防火墙NGAF 部署在其与国务院新闻办之间的专线入口处， 有效地对海关总署和国务院新闻办的网络进行了逻辑隔离， 并对专线中所有流经防火墙的数据包按照严格的安全规则进行过滤， 清洗恶意流量， 杜绝越权访问， 防止各类非法攻击行为，保障了海关总署内部业务系统的安全稳定。招商银行为了给用户提供更安全、 更优质的网上银行服务， 招商银行在其网银服务器区部署了深信服下一代防火墙NGAF,可实现信息的精确识别定义、制定信息泄露安全策略，并能对数据访问和数据查询进行审计，有效保障了

30、网银敏感信息的安全。复旦大学为进一步加强校园信息化安全建设， 防御各种互联网攻击， 复旦大学选择了深信服下一代防火墙NGAF为校园网络保驾护航。NGAF的入侵防御功能，可有效抵御外来攻击；此外， NGAF可对网络中已被感染的终端进行检测和定位，并实现网络流量实时安全分析。全方位 的安全防御为复旦的师生提供了安全稳定的上网环境。招商局集团创立于 1872 年晚清洋务运动时期的招商局，在 2012 年建设了一个具备专业性、先进性和模块化设计架构的 IDC 中心，为全面保障内网安全，招商局在数据中心DMZ 区、业务数据区等多个区域部署了多台深信服万兆下一代防火墙NGAF。设备为各业务系统、各终端提供了 L2L7完整的安全防护，IPS和WAF等模块有效防止漏洞攻击、注入类攻击等多种安全威胁，单次解析架构、多核并行处理技术很好地解决了多功能模块开启导致的性能下降 问题，实现了万兆级别的应用层处理性能。华润电力专注于电力、煤矿和新能源的华润电力在全国分布着众多各项目公司，这些公司常常需要访问总部共性系统进行业务联系。深信服广域网安全建设解决方案为华润电力提供了安