产品描述

深信服下一代防火墙（Next-Generation Application Firewall）NGAF是面向应用层设计，能够精确识别用户、应用和内容，具备完整安全防护能力，能够全面替代传统防火墙，并具有强劲应用层处理能力的全新网络安全设备。NGAF解决了传统安全设备在应用识别、访问控制、内容安全防护等方面的不足，同时开启所有功能后性能不会大幅下降。作为传统防火墙的升级替代产品，深信服NGAF不同于工作在L2-L4层的传统防火墙，可以对全网流量进行双向深入数据内容层面的全面透析。在安全策略制定方面，区域别于传统防火墙五元组安全策略，第二代防火墙可对L2-L7层更多的元素（如，用户、应用类型、URL、数据内容等）制定双向的安全访问策略，使安全策略更精细、更有效，且满足业务的合规性；在安全防护能力方面，提升了传统的抗攻击的能力，不仅能防护网络层的攻击，针对来源更广泛、攻击更容易、危害更大的应用层攻击也可以进行防护，实现L2-L7层的安全防护。同时，深信服下一代防火墙NGAF采用全新的软硬件架构，减小在多种复杂的安全策略和L2-L7层多功能防护功能全部开启时对性能的消耗，实现应用层高性能。

         区别于传统的网络层防火墙，NGAF具备L2-L7层的协议的理解能力。不仅能够实现网络层访问控制的功能，且能够对应用进行识别、控制、防护，解决了传统防火墙应用层控制和防护能力不足的问题。

         区别于传统DPI技术的入侵防御系统，深信服NGAF具备深入应用内容的威胁分析能力，具备双向的内容检测能力为用户提供完整的应用层安全防护功能。

         同样都能防护web攻击，与web应用防火墙关注web应用程序安全的设计理念不同，深信服下一代防火墙NGAF关注web系统在对外发布的过程中各个层面的安全问题，为对外发布系统打造坚实的防御体系。

二、下一代防火墙的标准

         Gartner在2009年发布了一份名为《Defining the Next-GenerationFirewall》的文章，给出了真正能够满足用户当前安全需求的下一代防火墙（NGFW）定义。

         结合安全发展趋势和国内用户的安全建设现状，深信服认为下一代防火墙需要满足以下几个方面的特点：

         防应用层攻击

         75%的安全威胁源自应用层，下一代防火墙应该具备应用层协议的识别能力，并能针对应用层安全威胁提供完整的解决方案。弥补传统安全设备由于工作在网络，只解析网络层数据包，无法理解应用层协议并防护应用层的安全威胁的问题。

         双向内容检测

         为了解决传统安全设备只针对外部攻击防护的问题，下一代防火墙应该具备双向的内容检测能力。除了能够防护外部攻击以外，需要对服务器响应的反馈内容进行严格的安全检查。以提供防网页篡改，防敏感信息泄露等功能

         涵盖传统安全

         应用层的安全威胁日益盛行，但源自底层的网络层安全威胁仍然存在，其危害性也不容忽视。下一代防火墙应该涵盖传统防火墙、IPS、VPN等功能，以减少多设备串行部署单点故障、性能瓶颈以及风险无法统一定位的问题。同时从用户长远利益考虑减少重复无效的投资，实现最优的投资回报。

         应用层高性能

         虽然多功能网关具备部分应用安全防护能力，但其传统安全设备的集成、串行部署的方式，使其在多种功能开启之后性能急剧下降，最终只能当传统防火墙使用。下一代防火墙应该从软件构架、硬件构架两方面彻底改变多功能网关由于多功能堆叠、串行部署导致的性能瓶颈问题，具备应用层高性能实现万兆的吞吐。

三、深信服NGAF独特的产品功能特点

 1.精细的应用安全访问控制

1.1可视化的应用识别

         传统防火墙最主要的用途就是在非信任网络与信任网络通过访问控制实现安全管理。过去一个端口便代表了一个应用，防火墙的问题并没有完全暴露出来。而随着应用程序的不断发展，采用端口跳跃、端口逃逸、多端口、随机端口的应用越来越多，使得传统防火墙五元组的访问控制策略可读性、可视性，可控性受到巨大冲击，传统防火墙在web2.0时代已无法满足精细化访问控制的需求。

         NGAF具有卓越的应用可视化功能，通过多种应用识别技术形成国内最大的应用特征识别库，可精确识别内外网的采用端口跳跃、端口逃逸、多端口、随机端口的各类应用，为下一代防火墙实现用户与应用的精细化访问控制提供技术基础。

1.2智能用户身份识别

         NGAF用户识别功能可以与8种认证系统（AD、LDAP、Radius等）、应用系统（POP3、SMTP等）无缝对接，通过单点登录的方式自动识别出网络当中IP地址对应的用户信息，并建立组织的用户分组结构。

1.3面向用户与应用的控制策略

         区别于传统防火墙的五元组访问控制策略，下一代防火墙可通过应用可视化功能与用户识别技术结合制定的L3-L7一体化应用控制策略, 可以为用户提供更加精细和直观化控制界面，在一个界面下完成多套设备的运维工作，提升工作效率。

1.4基于应用的流量控制

         区别于传统防火墙的简单的基于数据包优先级的转发QOS流量管理策略。深信服NGAF可提供基于用户和应用的流量管理功能，能够基于应用做流量控制，实现阻断非法流量、限制无关流量保证核心业务的可视化流量管理价值。

2.全面的应用安全防护能力

2.1强化web攻击防护

     深信服下一代防火墙NGAF采用攻击特征+主动防御相结合的双重防护模式，可有效保护web业务安全。攻击特征的防护模式有效结合了web攻击的静态规则及基于黑客攻击过程的动态防御机制，提供OWASP定义的十大安全威胁的攻击防护功能，有效防止常见的web安全威胁。如SQL注入、XSS跨站脚本、CSRF跨站请求伪造，敏感信息泄露等，主动模式可提供参数类型学习的主动防御和自定义参数防护等个性化配置，保护web系统免受网站篡改、网页挂马、隐私侵犯、身份窃取、经济损失、名誉损失等问题。深信服NGAF于2013年1月通过了OWASP Web安全项目的测试，设备的安全防护等级被评为4星（5星满分。）

2.2基于应用的深度入侵防御

         NGAF基于应用的深度入侵防御采用六大威胁检测机制：攻击特征检测、特殊攻击检测、威胁关联分析、异常流量检测、协议异常检测、深度内容分析能够有效的防止各类已知未知攻击，实时阻断黑客攻击。如，缓冲区溢出攻击、利用漏洞的攻击、协议异常、蠕虫、木马、后门、DoS/DDoS攻击探测、扫描、间谍软件、以及各类IPS逃逸攻击等。

2.3高效精确的病毒检测能力

         NGAF提供先进的病毒防护功能，可从源头对HTTP、FTP、SMTP、POP3等协议流量中进行病毒查杀，也可查杀压缩包（zip，rar，gzip等）中的病毒。同时采用高效的流式扫描技术，可大幅提升病毒检测效率避免防病毒成为网络安全的瓶颈。

2.4DOS/DDOS攻击防护

         NGAF可防护基于数据包的DOS攻击、IP协议报文的DOS攻击、TCP协议报文的DOS攻击、基于HTTP协议的DOS攻击等，实现对网络层、应用层的各类资源耗尽的拒绝服务攻击的防护，实现L2-L7层的异常流量清洗。

2.5专业攻防研究团队确保持续更新

         NGAF的统一威胁识别具备3000+条漏洞特征库、数十万条病毒、木马等恶意内容特征库、2000+Web应用威胁特征库，可以全面识别各种应用层和内容级别的各种安全威胁。其漏洞特征库已通过国际最著名的安全漏洞库CVE严格的兼容性标准评审，获得CVE兼容性认证（CVE Compatible）。

         深信服凭借在应用层领域6年以上的技术积累组建了专业的安全攻防团队，作为微软的MAPP（Microsoft Active Protections Program）项目合作伙伴，可以在微软发布安全更新前获得漏洞信息，为客户提供更及时有效的保护，以确保防御的及时性。

3.独特的双向内容检测技术

3.1网关型网页防篡改

         网页防篡改是NGAF服务器防护中的一个子模块，其设计目的在于提供的一种事后补偿防护手段，即使黑客绕过安全防御体系修改了网站内容，其修改的内容也不会发布到最终用户处，从而避免因网站内容被篡改给组织单位造成的形象破坏、经济损失等问题。

         NGAF通过网关型的网页防篡改（对服务器“0”影响），第一时间拦截网页篡改的信息并通知管理员确认。同时对外提供篡改重定向功能，提供正常界面、友好界面、web备份服务器的重定向，保证用户仍可正常访问网站。NGAF网站篡改防护功能使用网关实现动静态网页防篡改功能。这种实现方式相对于主机部署类防篡改软件而言，客户无需在服务器上安装第三方软件，易于使用和维护，在防篡改部分基于网络字节流的检测与恢复，对服务器性能没有影响。

3.2可定义的敏感信息防泄漏

         NGAF提供可定义的敏感信息防泄漏功能，根据储存的数据内容可根据其特征清晰定义，通过短信、邮件报警及连接请求阻断的方式防止大量的敏感信息被窃取。深信服敏感信息防泄漏解决方案可以自定义多种敏感信息内容进行有效识别、报警并阻断，防止大量敏感信息被非法泄露。（如：用户信息/邮箱账户信息/MD5加密密码/银行卡号/身份证号码/社保账号/信用卡号/手机号码……）

3.3僵尸网络检测隔离

NGAF独有的僵尸网络检测隔离功能，应用NGAF对外发流量的检测能够判断服务器或终端由于中了病毒木马向外发起的恶意流量。该功能融合了僵尸网络识别库，利用业界领先的僵尸网络识别检测技术对黑客的攻击行为进行有效识别，针对以反弹式木马为代表的恶意软件进行深度防护，可识别僵尸网络流量达15万条，并由深信服攻防团队实时更新。同时，深信服NGAF正在完善安全云平台，部署在全球各地的深信服下一代防火墙设备可以自动或手动上传可疑的应用流量到安全云平台，平台会自动分析，形成新的恶意软件识别策略下发到全球所有设备的规则库上。

3.4应用协议内容隐藏

         NGAF可针对主要的服务器（WEB服务器、FTP服务器、邮件服务器等）反馈信息进行了有效的隐藏。防止黑客利用服务器返回信息进行有针对性的攻击。如：HTTP出错页面隐藏、响应报头隐藏、FTP信息隐藏等

3.5用户登录权限防护

         NGAF可以针对特定的服务或者web页面提供登陆保护，通过发送短信验证码的方式针对敏感信息和应用提供强认证保护。用户访问到该页面或应用的时候需要经过短信的二次认证，增强敏感页面或应用的安全系数；该功能能够带来的价值：

1、对重要的页面（如管理员页面）进行防护，防止通过社会工程、暴力破解拿到正常管理员的账号密码；

2、可实现敏感页面的双因子强认证提高安全性，防止敏感页面开放于公网或办公网；

4.智能的网络安全防御体系

4.1完整的防火墙功能

         NGAF涵盖了完整的传统防火墙功能包括访问控制、NAT支持、路由协议、VLAN属性等功能，已便于用户替换传统防火墙后，将原有的策略完全迁移至下一代防火墙中，实现简化组网、方便运维的效果。

4.2灵活的应用部署方式

         NGAF支持多种部署模式，包括路由，透明，虚拟网线，旁路，混合部署等，并支持多链路聚合，非对称路由等复杂网络环境。

4.3融合领先的 IPSecVPN实现广域网隔离与流量清洗

         NGAF融合了国内市场占有率第一的IPSec VPN模块，实现高安全防护、高投资回报的分支机构安全建设目标，并支持对加密隧道数据进行安全攻击检测，全面提升广域网隔离的安全性。

4.4统一集中管理平台

         NGAF提供统一集中管理平台实现对分支各设备的集中监管，集中配置下发与远程独立配置，提高管理效率，简化运维成本。

4.5安全风险评估与策略联动

         NGAF基于时间周期的安全防护设计提供事前风险评估及策略联动的功能。风险评估功能分为Web弱点扫描与漏洞扫描两部分：

         系统漏洞扫描通过端口、服务、应用扫描帮助用户及时发现端口、服务及漏洞风险，并通过模块间的智能策略联动及时更新对应的安全风险的安全防护策略。帮助用户快速诊断电子商务平台中各个节点的安全漏洞问题，并做出有针对性的防护策略。

         web弱点扫描通过内置的二十多类Web攻击特征，如SQL注入，盲注，操作系统命令，远程文件包含，XPATH注入，LDAP注入，服务器端包含（SSI），iframe钓鱼，不安全的PHP配置检查等，可以帮助对用户的Web服务系统快速的定位出漏洞威胁，并提供相关漏洞的严重等级和描述信息以及建议的修复方案等，使得用户能够快速定位并解决内网Web服务存在的风险。同时该功能模块可以依据扫描结果，给用户推荐防护策略，通过“一键部署”的方式自动生成有效的策略，为绝大多数管理员提供策略建议的专业参考。

4.6 智能APT攻击防护

         深信服NGAF融合L2-7层完整的安全防护功能，是国内唯一同时融合FW、IPS、WAF、AV功能并能智能联动的安全产品，通过各个模块间的联动，为APT攻击防护提供从主机层(恶意代码防护、僵尸网络隔离)、网络层(访问控制、边界隔离、入侵防护、漏洞扫描、内网嗅探)、应用层(恶意网址识别、OWASP TOP应用协议攻击、管理认证登陆、DLP)的 L2-L7层一体化安全防护。通过关联分析准确定位出APT攻击的行为，阻断黑客在实施APT攻击各个步骤、各种手段的有效性。

         NGAF智能的主动防御技术可实现内部各个模块之间形成智能的策略联动，如一个IP/用户持续向内网服务器发起各类攻击则可通过防火墙策略暂时阻断IP/用户。智能防护体系的建立可有效的防止工具型、自动化的黑客攻击，提高攻击成本，可抑制APT攻击的发生。同时也使得管理员维护变得更为简单，可实现无网管的自动化安全管理。

4.7专业可视的安全分析报表

         NGAF提供了丰富、可视的日志报表和统计分析功能，可针对服务器、终端、流量、应用、访问网站等多个维度进行统计，并提供服务器安全报表和网络安全汇总报表来直观的反映用户网络中的安全风险以及应用流量信息。服务器安全报表按照受攻击次数，攻击类型，攻击来源进行统计分析，并针对每个服务器IP都有针对性的安全分析，并提供相应的服务安全说明，使得报表的可读性更高，方便用户从报告中分析出下一步的安全加固策略。

5.更高效的应用层处理能力

5.1多核并行处理技术

         为了实现强劲的应用层处理能力，NGAF抛弃了传统防火墙NP、ASIC等适合执行网络层重复计算工作的硬件设计，采用了更加适合应用层灵活计算能力的多核并行处理技术，极大的提升应用层数据的分析能力。

         NGAF的设计不仅仅采用了多核的硬件架构，在计算指令设计上采用了先进的无锁并行处理技术，能够实现多流水线同时处理，成倍提升系统吞吐量，在多核系统下性能表现十分优异，是真正的多核并行处理的架构。

5.2单次解析架构

         区别于UTM的构架，NGAF采用单次解析构架实现报文的一次解析一次匹配，避免了UTM由于多模块叠加对报文进行多次拆包多次解析的问题，有效的提升了应用层效率。实现单次解析技术的一个关键要素就是软件架构设计实现网络、应用层平面分离，通过在将数据通过“0”拷贝技术提取到应用层平面上实现威胁特征的统一解析、统一检测，减少冗余的数据包封装，从而实现高性能的处理。

5.3跳跃式扫描技术

         深信服下一代防火墙利用其多年积累的应用识别技术，在内核驱动层面通过私有协议将所有经过NGAF的数据包都打上应用的标签。在数据包提取到内容检测平面进行检测的时候，会找到对应的应用威胁特征，使用跳跃式扫描技术跳过无关的应用威胁检测特征，从而减少无效扫描，提升扫描效率。比如：流量被识别为HTTP流量，那么FTP sever-u的相关漏洞攻击特征便不会对系统造成威胁，便可以暂时跳过检测进行转发，提升转发的效率。

5.4产品性能评测报告

         为验证应用层性能，国内知名IT行业媒体《网络世界》针对下一代防火墙产品进行了一次客观的产品评测。深信服NGAF在各项功能开启时，应用层处理性能优秀。表现出了出色的处理能力。在不同大小文件下，应用流量处理能力均达到万兆级别，可以满足正常网络应用中万兆宽带的应用流量处理需求