深信服下一代防火墙 NGAF

作者: 点击次数:512 添加时间:2017-7-27 11:08:35
深信服下一代防火墙 NGAF 
一、 深信服下一代防火墙的定位 
下一代防火墙的背景 全球最具权威的 IT 研究与顾问咨询公司——Gartner 在 2009 年发布了一篇名为 《Defining the Next-Generation Firewall》的文章,给出了真正能够满足用户当前安全 需求的下一代防火墙定义:下一代防火墙是一种深度包检测防火墙,超越了基于端口、协议 的检测和阻断,增加了应用层的检测和入侵防护,下一代防火墙不应该与独立的网络入侵检 测系统混为一谈,后者只包含了日常的或是非企业级的防火墙,或者把防火墙和 IPS 简单放 到一个设备里,整合得并不紧密。 
 
适用于国内环境的下一代防火墙 结合目前国内的互联网安全环境来看,越来越多的安全事件是由于 Web 层面的设计漏洞 被黑客利用所引发的。据统计,国内用户上网流量与对外发布业务流量混合在一起的比例超 过 50%。以政府为例,60%以上的政府单位门户网站和用户上网是共用电子政务外网的线路。 在这种场景下,如果作为出口安全网关的防火墙不具备 Web 应用防护能力,那么在新出现的 APT 攻击的大环境下,现有的安全设备很容易被绕过,形同虚设。下一代防火墙作为一款融 合型安全产品,不能存在针对基于 Web 应用的安全短板。 
 
深信服下一代防火墙的功能定位 作为国内下一代防火墙产品的先行者,以及公安部第二代防火墙标准制定的参与者,深 信服一直走在前沿,在产品推出伊始就把 Web 应用防护这个基因深深地植入到深信服下一代 防火墙当中。深信服下一代防火墙(Next-Generation Application Firewall)NGAF 面向 应用层设计,能够精确识别用户、应用和内容,具备完整的 L2-L7 层安全防护体系,强化了 在 Web 层面的应用防护能力,不仅能够全面替代传统防火墙,而且在开启安全功能的情况下 还保持着强劲的应用层处理性能。 
 
L2 - L7 层完整的安全防护体系 
 2 / 19 
二、 为什么需要深信服下一代防火墙 
近年来,越来越多的网络安全事件告诉我们,安全风险比以往更加难以察觉。随着网络 安全形势逐渐恶化,网络攻击愈加频繁,客户对自己的网络安全建设变得越来越不自信。如 何加强安全建设?安全建设的核心问题是什么?采用何种安全防护手段更为合适?这些问 题已成为困扰客户安全建设的关键问题。 问题一:看不看得到真正的风险? 一方面,只有看到 L2-L7 层的攻击才能了解网络的整体安全状况,基于多产品的组合方 案使大多数用户没有办法进行统一分析,也就无法快速定位安全问题,同时也加大了安全运 维的工作量。另一方面,没有攻击并不意味着业务不存在漏洞,一旦漏洞被利用就为时已晚。 好的解决方案应能及时发现业务漏洞,防患于未然。最后,即使有大量的攻击也不意味着业 务安全威胁很大,只有针对真实存在的业务漏洞进行的攻击才是有效攻击。看不到有效攻击 的方案,就无法让客户看到网络和业务的真实安全情况。 问题二:防不防得住潜藏的攻击? 一方面,防护技术不能存在短板,存在短板必然会被绕过,原有设备就形同虚设;另一 方面,单纯防护外部黑客对内网终端和服务器的攻击是不够的,终端和服务器主动向外发起 的流量中是否存在攻击行为和泄密也需要检测,进而才能找到黑客针对内网的控制通道,同 时发现泄密的风险,最后通过针对性的安全防护技术加以防御。 综上所述,真正能看到攻击与业务漏洞,及时查漏补缺,并能及时防住攻击才是最有效 的解决方案。那么基于攻击特征防护的传统解决方案是否真的能够达到要求呢? 传统组合方案(FW+IPS+WAF)能否满足? 组合方案不足点一:有几款设备就可以看到几种攻击,但由于信息是割裂的难以对安全 日志进行统一分析;有攻击才能发现问题,在没有攻击的情况下,就无法看到业务漏洞,但 这并不代表业务漏洞不存在;即使发现了攻击,也无法判断业务系统是否真正存在安全漏洞, 还是无法指导用户进行安全建设。 组合方案不足点二:有几种设备就可以防护几种攻击,但大部分客户无法全部部署,所 以存在短板;即使全部部署,这些设备也不对服务器和终端向外主动发起的业务流进行防护, 在面临新的未知攻击的情况下缺乏有效的防御措施,还是存在被绕过的风险。 
传统组合方案问题多
 
 
其他品牌的下一代防火墙能否解决问题? 目前,市场上的大部分下一代防火墙产品只能看到除 Web 攻击以外的大多数攻击,只 有极少部分下一代防火墙能够看到简单的 Web 攻击,但均无法看到业务的漏洞。攻击和漏 洞无法关联就很难确定攻击的真实性;另外,大部分下一代防火墙防不住 Web 攻击,也不 能对服务器/终端主动向外发起的业务流进行防护,比如信息泄露、僵尸网络等,应对未知 攻击的方式比较单一,只通过简单的联动防护,仍有被绕过的风险。 
 3 / 19 
三、 深信服下一代防火墙介绍 
结合安全发展趋势和国内用户的安全建设现状,深信服认为适合中国用户本土需求的下 一代防火墙需要满足以下几个方面的特点: 
 
1.安全可视 深信服下一代防火墙可以理解网络中的应用、应用中的威胁和攻击、威胁带走的数据内 容,并能简单易懂地呈现,实现真正的 L2-L7 层统一的安全可视化;能通过主动或者被动流 量检测及时发现业务漏洞,即使没有攻击也能找到业务中潜在的风险。 通过攻击与业务漏洞的关联分析,可以帮助用户准确地找到有效攻击,使用户看到网络 和业务的真实安全情况。 
 
2.双向防御 深信服下一代防火墙具备 L2-L7 层的攻击防护技术,使防护技术不存在短板。NGAF 不 仅能够防护外部攻击,还能检查服务器/终端外发流量是否有风险,弥补了传统安全设备只 防外不防内的不足之处。NGAF 可检测服务器外发数据是否存在泄密或篡改行为,也可检测 内网终端电脑是否被黑客控制。 
 
 3.智能联动  正所谓道高一尺,魔高一丈,各种应用层攻击、变种、逃逸攻击行为层出不穷,能够智 能地针对攻击行为或者防护对象进行学习,动态形成智能防护规则也是下一代防火墙必备的 特征之一,让安全检测模块与防护策略联动生效,能够提高黑客的攻击成本,降低客户的运 维管理成本。 
 
 4.高效稳定  虽然多功能网关具备部分应用安全防护能力,但其传统安全设备的集成、串行部署的方 式,使其在多种功能开启之后性能急剧下降,最终只能当传统防火墙使用。深信服下一代防 火墙从软件构架、硬件构架两方面彻底改变了多功能网关由于多功能堆叠、串行部署导致的 性能瓶颈问题,具备高效的应用层处理能力,实现万兆吞吐。 
 
深信服下一代防火墙四大特性 
 
 
 
 
 
 4 / 19 
四、 深信服下一代防火墙功能特性 1. 安全可视 1.1 业务安全状况可视  NGAF 提供的实时漏洞分析功能,可以根据经过设备的业务流量主动分析其中存在的风 险并实时展示出来,实时监控界面可以根据服务器真实存在的漏洞数量进行排名,同时给出 各业务系统风险情况的评估,并给出建议和解决方案。 
 
 
业务系统遭受攻击分布
 NGAF 还提供强大的综合风险报表功能,从业务和用户两个维度对网络中的安全状况进 行整体分析,按照攻击类型、漏洞类型和威胁类型进行统计分析,并根据每项业务对应的服 务器 IP 进行针对性的安全分析,提供相应的安全服务说明,使报表具备更高的可读性,方 便用户从报告中分析出下一步的安全加固策略。 
 
NGAF
风险报表
 
 5 / 19 
1.2 应用服务内容可视  NGAF 具有卓越的应用可视化功能,通过多种应用识别技术形成的应用特征识别库和 URL 库,涵盖了超过 3000 种应用规则和 3000 万 URL 条目,可精确识别内外网的采用端口跳 跃、端口逃逸、多端口、随机端口等各类应用,为下一代防火墙实现用户与应用的精细化访 问控制提供技术基础。 
 
 
 
 
卓越的用户与应用 识别能力
 
  1.3 用户控制策略可视  NGAF 可通过应用可视化功能与用户识别技术结合制定 L2-L7 一体化应用控制策略, 可 以为用户提供更加精细和直观化的控制界面,在一个界面下完成多套设备的运维工作,提升 工作效率。 
 
基于用户和应用的访问控制策略
 
1.4 网络流量状态可视  NGAF 可提供基于用户和应用的流量管理功能,能够基于应用做流量控制,实现阻断非 法流量、限制无关流量、保证核心业务的可视化流量管理价值,并可通过运行状态页面观察 到每条通道的流量状态信息,应用流量排行以及用户流量排行等,同时也会对应用流量进行 汇总统计,可直观了解到网络中的流量分布情况。 
 6 / 19 
2. 双向防御 
双向内容检测
 
2.1 强化的 Web 攻击防护 NGAF 采用攻击特征+主动防御相结合的双重防护模式,可有效保护 Web 业务的安全。 攻击特征的防护模式有效结合了 Web 攻击的静态规则以及基于黑客攻击过程的动态防御机 制,提供 OWASP 定义的十大安全威胁的攻击防护功能,有效防止常见的 Web 安全威胁。如 SQL 注入、XSS 跨站脚本、CSRF 跨站请求伪造、Webshell 文件上传等等,主动防御模式可提 供参数类型学习和自定义参数等个性化配置,保护 Web 系统免受网站篡改、网页挂马、业 务数据泄露及用户账号被盗等。NGAF 于 2013 年 1 月通过了 OWASP Web 安全项目的测试, 设备的安全防护等级被评为 4 星(5 星满分,国内最高为 4 星); 2014 年 9 月,NGAF 通过 了全球顶级评测机构 NSS Labs 的 Web 应用防护功能评测,并获得最高评价“Recommended” 推荐。 
 7 / 19 
 
深信服下一代防火墙获 NSS Labs
最高评价“推荐”认证
 
2.2 基于应用的深度入侵防御  NGAF 基于应用的深度入侵防御采用六大威胁检测机制:攻击特征检测、特殊攻击检测、 威胁关联分析、异常流量检测、协议异常检测、深度内容分析。能够有效地防止各类已知/ 未知攻击,实时阻断黑客攻击。如缓冲区溢出攻击、利用漏洞的攻击、协议异常、蠕虫、木 马、后门、DoS/DDoS 攻击探测、扫描、间谍软件、以及各类 IPS 逃逸攻击等。 2.3 僵尸网络检测隔离 NGAF 独有的僵尸网络检测隔离功能,能够实时对外发流量进行检测,协助用户定位内 网被黑客控制的服务器或终端。该功能融合了僵尸网络识别库,利用业界领先的僵尸网络识 别检测技术对黑客的攻击行为进行有效识别,针对以反弹式木马为代表的恶意软件进行深度 防护。僵尸网络识别库数量超过 30 多万条,并由深信服攻防团队实时更新。 
 
僵尸网络检测隔离 同时,深信服建设了完善的安全云平台,将近 5000 台部署在全球各地的深信服下一代 防火墙 NGAF 可以自动(在获得用户授权的前提下)上传可疑的应用流量到安全云平台,云 平台将该部分流量放到虚拟沙盒中进行运行,通过分析异常网络行为,对流量进行判断。若 上传流量存在安全威胁,云平台将生成安全防护规则并实时下发到全球所有在线的 NGAF, 令其能够有效抵御各类互联网攻击。 截止至 2015 年 1 月,深信服安全云平台累计收到 7000 多万条可疑威胁流量,并 分析出
 8 / 19 
20 多万条存在威胁的流量,安全云平台同步生成并下发的安全防护规则累计拦截了 450 多 万次的访问请求。
 
 
深信服安全云平台
 
2.4 异常流量检测 数据窃取或者是远控木马往往利用常用端口或者协议进行伪装,NGAF 可以根据端口和 协议是否匹配来检测流量是否存在异常,比如常见的如 80、443、21、25 等端口的传输协 议是否为对应的 HTTP、HTTPS、FTP 和 SMTP 协议。RDP、SSH 协议是否运行在默认的 3389、 22 端口等,让恶意流量无法轻易地通过端口或者协议伪装,绕过安全设备的检测。 2.5 口令暴力破解防护 口令暴力破解也是黑客经常使用的一种攻击手段,NGAF 不仅支持 HTTP 协议的口令暴 力破解防护,还支持 FTP、RDP、SSH、Mysql、MS_sqlserver、Oracle、IMAP、POP3、SMTP、 Telnet、SMB 等多种协议的口令暴力破解防护,全面提升防护对象的密码安全。 2.6 应用协议内容隐藏  NGAF 可针对主要的服务器(Web 服务器、FTP 服务器、邮件服务器等)反馈信息进行 有效隐藏。防止黑客利用服务器返回的信息进行有针对性地攻击。如:HTTP 出错页面隐藏、 响应报头隐藏、FTP 信息隐藏等。 2.7 用户登录权限防护  NGAF 可以针对特定的服务或者 Web 页面提供登录保护,通过发送短信验证码的方式提 供强认证保护。用户访问到该页面或应用的时候需要先经过短信的认证才能进入到正常的登 录界面,增强了敏感页面或应用的安全系数。该功能带来的价值: 第一,对重要的页面(如管理员页面)进行防护,防止通过社会工程、暴力破解拿到正 常管理员的账号密码。 第二,可实现敏感页面的双因子强认证提高安全性,防止敏感页面开放于公网或办公网。
 2.8 精确的病毒检测能力  NGAF 提供先进的病毒防护功能,可从源头对 HTTP、FTP、SMTP、POP3 等协议流量进 行病毒查杀,也可查杀压缩包(zip、rar、gzip 等)中的病毒。同时 NGAF 采用高效的流式扫 描技术,可大幅提升病毒检测效率,避免防病毒成为网络安全的瓶颈。 2.9 网关型网页防篡改  NGAF 提供网关型的网页防篡改(对服务器“0”影响)功能,能够第一时间拦截网页 被篡改的信息并通知管理员确认,同时对外提供篡改重定向功能,提供正常界面、友好界面、
 9 / 19 
Web 备份服务器的重定向,保证用户仍可正常访问网站。NGAF 网站篡改防护功能使用网关 实现动静态网页防篡改功能,这种实现方式相对于主机部署类防篡改软件而言,客户无需在 服务器上安装第三方软件,易于使用和维护,在防篡改技术方面采用了网络字节流的检测与 恢复,对服务器性能没有影响。 2.10 可定义的敏感信息防泄漏  NGAF 提供内置敏感信息库以及可定义的敏感信息防泄漏功能,根据不同用户的防护需 求可灵活自定义敏感信息(如:用户信息/邮箱账户信息/MD5 加密密码/银行卡号/身份证号 码/社保账号/信用卡号/手机号码„„),通过短信、邮件报警及连接请求阻断的方式防止大 量的敏感信息被窃取。 2.11 覆盖传统防火墙功能  NGAF 涵盖了完整的传统防火墙功能,包括融合了技术国内领先、市场占有率第一的 IPSec VPN 和 SSL VPN 模块,支持应用访问控制、NAT 支持、路由协议、VLAN 属性、链路聚 合等功能,便于用户替换传统防火墙后,将原有的策略完全迁移至下一代防火墙中,实现简 化组网、方便运维的效果。同时 NGAF 可防护基于数据包的 DOS 攻击、IP 协议报文的 DOS 攻击、TCP 协议报文的 DOS 攻击、基于 HTTP 协议的 DOS 攻击等,实现对网络层、应用层的 各类资源耗尽的拒绝服务攻击的防护,支持对加密隧道数据进行安全攻击检测,全面提升广 域网隔离的安全性。 3. 智能联动 
 
深信服下一代防火墙 L2-L7
层智能防御体系
 
3.1 自主学习主动防御  NGAF 内置主动防御功能,可智能分析提交 HTTP 请求中的变量和参数类型,根据设定 的阈值进行学习,学习结果最终形成防护白名单,阻断不符合学习内容的请求,白名单根据 学习结果动态更新,保证参数内容学习的正确性。 3.2 智能 APT 攻击防护  深信服 NGAF 同时融合 FW、IPS、WAF 和 AV 功能并能进行智能联动的安全产品,通过 各模块间的联动,为 APT 攻击防护提供从主机层(恶意代码防护、僵尸网络隔离)、网络层(访 问控制、边界隔离、入侵防护、漏洞扫描、内网嗅探)、到应用层(恶意网址识别、OWASP TOP 10、管理认证登录、DLP)的 L2-L7 层一体化安全防护。通过关联分析准确定位出 APT 攻击的
 10 / 19 
行为,阻断黑客在实施 APT 攻击各个步骤、各种手段的有效性。  NGAF 智能的主动防御技术可实现内部各个模块之间形成智能的策略联动,如一个 IP/ 用户持续向内网服务器发起各类攻击则可通过防火墙策略暂时阻断 IP/用户。智能防护体系 的建立可有效地防止工具型、自动化的黑客攻击,提高攻击成本,可抑制 APT 攻击的发生。 同时也使得管理员维护变得更为简单,可实现无网管的自动化安全管理。 3.3 安全风险评估与策略联动  NGAF 基于时间周期的安全防护设计提供事前风险评估及策略联动的功能。风险评估功 能分为 Web 弱点扫描与系统漏洞扫描两部分:  系统漏洞扫描通过端口、服务、应用扫描帮助用户及时发现端口、服务及漏洞风险,并 通过模块间的智能策略联动及时更新对应安全风险的安全防护策略,帮助用户快速诊断电子 商务平台中各个节点的安全漏洞问题,并做出有针对性的防护策略。  Web 弱点扫描通过内置的二十多类 Web 攻击特征,如 SQL 注入、盲注、操作系统命令、 远程文件包含、XPATH 注入、LDAP 注入、服务器端包含(SSI)、 iframe 钓鱼、不安全的 PHP 配置检查等,可以帮助用户快速定位出 Web 应用的漏洞,并提供相关漏洞的严重等级和描 述信息以及建议的修复方案等,协助用户快速解决内网 Web 应用存在的风险。 3.4 智能联动封锁攻击  NGAF 在配置安全策略后,可根据策略的匹配情况动态生成启发式阻断规则,当检测到 某个 IP 有攻击行为后,联动封锁一段时间,以此达到提高黑客攻击成本的目的。当设定的 时间内没有再发生攻击行为,则把该 IP 从启发式阻断规则中删除。 3.5 全网安全监测平台  深信服推出基于广域网安全监控要求的全网安全监测平台,可实现对分支机构安全状况 进行监控,并建设完善的全网安全网络。 
 
深信服全网安全监测平台
  部署在各节点的 NGAF 为分支机构的网络提供 L2-L7 层完整的安全防护,有效避免分支 机构因薄弱的安全建设成为入侵短板;总部核心业务区防护设备的部署,强有力地保障了各 项业务高效、稳定地开展;安全管理区的全网安全监测平台通过收集各节点的流量、攻击情 况,使总部运维人员可实时了解分支机构的安全风险;集中管理平台可实现全网各节点设备
 11 / 19 
的统一管理和统一策略推送,真正做到管理集中化、运维自动化。 
 
分支机构安全状况实时上报
 
4. 高效稳定 4.1 分离平面设计 深信服下一代防火墙通过软件设计将网络层和应用层的数据处理进行分离,在底层以应 用识别模块为基础,对所有网卡接收到的数据进行识别,再通过抓包驱动把需要处理的应用 数据报文抓取到应用层。若应用层发生数据处理失败的情况,也不会影响到网络层数据的转 发,从而实现高效、可靠的数据报文处理。 
 
分离平面设计
 
4.2 多核并行处理  NGAF 的设计不仅采用了多核的硬件架构,在计算指令设计上还采用了先进的无锁并行 处理技术,能够实现多流水线同时处理,成倍提升系统吞吐量,在多核系统下性能表现十分
 12 / 19 
优异,是真正的多核并行处理架构。 
 
多核并行处理技术 
4.3 单次解析架构  NGAF 采用单次解析构架实现报文的一次解析一次匹配,有效提升了应用层效率。实现 单次解析技术的一个关键要素就是软件架构设计实现网络层、应用层的平面分离,将数据通 过“0”拷贝技术提取到应用层平面上实现威胁特征的统一解析和统一检测,减少冗余的数 据包封装,实现高性能的数据处理。 
 
单次解析架构
 
4.4 跳跃式扫描技术  NGAF 利用多年积累的应用识别技术,在内核驱动层面通过私有协议将所有经过 NGAF 的数据包都打上应用的标签。当数据包被提取到内容检测平面进行检测时,设备会找到对应 的应用威胁特征,通过使用跳跃式扫描技术跳过无关的应用威胁检测特征,减少无效扫描, 提升扫描效率。比如:流量被识别为 HTTP 流量,那么 FTP sever-u 的相关漏洞攻击特征便不 会对系统造成威胁,便可以暂时跳过检测进行转发,提升转发的效率。 4.5 Sangfor Regex 正则引擎 正则表达式是一种识别特定模式数据的方法,它可以精确识别网络中的攻击。经深信服 安全专家研究发现,业界已有的正则表达式匹配方法的速度一般比较慢,制约了下一代防火 墙整机速度的提高。为此,深信服设计并实现了全新的 Sangfor Regex 正则引擎,将正则表 达式的匹配速度提高到数十 Gbps,比 PCRE 和 Google 的 RE2 等知名引擎快数十倍,达到业 界领先水平。 NGAF 的 Sangfor Regex 大幅降低了 CPU 占用率,有效提高了 NGAF 的整机吞吐,从而能 够更高速地处理客户的业务数据,该项技术尤其适用于对每秒吞吐量要求特别高的场景,如 运营商、电商等。 4.6 产品性能评测报告  国内知名 IT 行业媒体《网络世界》在 2013 年针对 NGAF 进行了一次客观的产品评测。 NGAF 在各项功能开启的情况下,应用层处理性能表现优秀。在不同大小文件下,应用流量 处理能力均达到万兆级别,很好地满足了正常网络应用中万兆宽带的应用流量处理需求。 
 13 / 19 
五、 深信服下一代防火墙的品牌优势 1. 市场引领者 2011 年 7 月,深信服率先推出国内第一台下一代防火墙 NGAF,自产品发布后,国内追 随者不断,且赢得了众多用户的信任,年销量平均增长率超过 100%。 截止至 2015 年 06 月,NGAF 在全国的用户数累计超过 13000 家,在线稳定运行的设备 数超过 25000 台,用户覆盖各行各业,其中包括 120 多家部委省厅级单位、100 多家运营商 和金融单位、120 多家知名教育单位、250 多家大型企业和国资委下属央企集团,用户数量 遥遥领先。 据全球著名的咨询机构 Frost&Sullivan 的分析报告显示,2013 年深信服下一代防火墙 NGAF 在中国集成防火墙市场排名第 4,占有 10.1%的市场份额,是唯一凭借下一代防火墙 一款产品参与排名的厂商。Frost&Sullivan 评价到:深信服凭借优质的下一代防火墙产品, 奠定了其在中国防火墙市场的领导地位。 2. 产品安全稳定 凭借专业的安全防护能力和卓越的产品品质,NGAF 获得了高标准行业的共同认可,连 续三年入围中央政府采购名单,2013 年、2014 年连续两年在中国电信集团 Web 应用防护系 统集采项目中获得最大份额,2014 年在中国移动集团首次启动 Web 应用防火墙产品集采中 即获得最高性能档的最大份额。此外,NGAF 还在金融行业核心系统中得到了应用。 
 
NGAF 获得 NSS Labs 最高级别“推荐”认证 2013 年,深信服将 NGAF 送往位于美国的全球最知名的独立安全研究和评测机构 NSS Labs 进行 Web 安全防护功能评测,在业界专业的 WAF 测试规范下,成功通过所有的攻击逃 逸测试、产品稳定性和可靠性测试,其中,送测设备的每秒新建连接数达到 76,616CPS, 为送测的6家厂商中的最高数值。深信服下一代防火墙NGAF最终获得NSS Labs最高级别 — —“Recommended”推荐认证。 Product NSS-Tested Capacity Sangfor M5900-F-I vAF 4.6.101 76,616 CPS Evasions Stability & Reliability PASS PASS NGAF NSS Labs 测试结果
 NGAF 具备良好的稳定性 为保证设备具有良好的稳定性,NGAF 出厂前都会经过 7 轮软硬件高吞吐、低温高温等 恶劣环境的严格测试,并通过第三方机构的专业产品检测。目前,深信服下一代防火墙产品 已无故障工作超过 8 万小时,具备高可靠的稳定性。 
 
NGAF
稳定性 的第三方 评测报告
 
 14 / 19 
3. 专业安全攻防团队  深信服凭借在应用层领域 10 年以上的技术积累组建了南北安全攻防团队,确保安全规 则的实时更新以及安全体检服务的开展,深信服 NGAF 具备 4000+条漏洞特征库、超百万条 病毒特征库、数十万僵尸网络特征库、3500+Web 应用威胁特征库,可以全面识别各种应用 层和内容级别的安全威胁。 4. 专业权威的认可 NGAF 的 Web 应用防护功能获得权威认可 深信服下一代防火墙 NGAF 在 OWASP 授权机构的 25 项测评项中获得 19 项“五星”满 分评分,综合四星(国内最高为 4 星)。同时,NGAF 还获得了全球著名的独立安全研究和 评测机构 NSS Labs 的 Web 应用防护最高级别“Recommended”推荐认证,是国内唯一获得 该项认证的下一代防火墙产品。 
 
深信服受邀参与第二代防火墙标准制定 2013 年 3 月,深信服凭借多年的安全技术实力积累和对安全防护的独到见解,受到公 安部第三研究所(信息安全行业规范编制单位)的邀请,参与国内第二代防火墙标准 (GA/T1177-2014《信息安全技术 第二代防火墙安全技术要求》)的制定,并成为主要起草 单位。目前该标准已于 2014 年 7 月 24 日正式发布,9 月 1 日已开始实施。 此外,深信服还是微软 MAPP 计划合作会员、中国反网络病毒联盟成员,安全技术实力 得到了广大权威机构的认可。 
 15 / 19 
 
 
深信服获得多方权威机构的认可
 
 
 
 
 
 
 
 
 
 
 16 / 19 
六、 典型场景和案例 
 
典型应用场景 
典型应用场景 对外发布场景  部署在网银、网上报税、网上营业厅、电子商务等系统出口,防止黑客入侵,保护关键 业务和客户隐私信息,避免损害单位形象,造成经济损失。 
 
数据中心场景  部署在单位内部的财务、ERP、OA 等服务器前面,精细控制访问权限,防止非法访问, 防止企业机密信息被窃取,保障核心业务获取必要的带宽资源。 
 
广域网边界场景  部署在专网路由器后面,过滤应用层垃圾流量,防止病毒、木马等威胁在分支机构间横 向传播,影响业务开展;优化广域网带宽,保障关键业务稳定运行。 
 
互联网出口场景  部署在互联网出口,针对各种终端提供漏洞防护,病毒/木马过滤,高性能应用管控与 流量优化,提供一体化的安全防护。 
 
部署方式 网关模式  支持网关模式,支持 NAT、路由转发、应用层防护等全部功能。 网桥模式  支持网桥模式,以透明方式串接在网络中,支持除 VPN 以外的所有功能。 
 17 / 19 
混杂模式  支持同时开启支持网关和网桥模式。  旁路模式  支持旁路模式部署,不改变原有网络架构。该模式下只支持入侵防御、Web 防护和敏 感信息防泄漏功能。 
 
典型应用案例 最高人民法院 最高人民法院根据其实际网络环境和需求,选择了将深信服下一代防火墙 NGAF 部署于 其服务器区的核心交换机前,启用了服务器防护、漏洞防护与敏感信息防泄漏功能对进出服 务器的双向流量进行安全与合规性检查。设备对来自内部用户区与互联网的数据流量进行 L2-L7 层的攻击检测与防护;对服务器区外发的数据流实现合规性验证。并通过文件类型与 自定义敏感信息防泄漏规则两种方式防止数据交互过程中,敏感信息被非法人员窃取。 
 
国土资源部  随着业务类别的不断丰富,为全面提升办公网的安全防护能力,国土资源部在数据中心 服务器区和内网办公区前端分别部署了深信服下一代防火墙 NGAF。替换掉原有的 UTM、防 病毒网关、IPS、IDS 等传统网络安全设备,极大地简化了组网拓扑,便于用户维护网络的稳 定性。设备的部署加强了应用层网络的防护能力,并能实时检测办公内网是否存在安全风险, 为国土资源部的网络提供强有力的安全保障。 
 
海关总署 海关总署通过将深信服下一代防火墙 NGAF 部署在其与国务院新闻办之间的专线入口 处,有效地对海关总署和国务院新闻办的网络进行了逻辑隔离,并对专线中所有流经防火墙 的数据包按照严格的安全规则进行过滤,清洗恶意流量,杜绝越权访问,防止各类非法攻击 行为,保障了海关总署内部业务系统的安全稳定。 
 
招商银行  为了给用户提供更安全、更优质的网上银行服务,招商银行在其网银服务器区部署了深 信服下一代防火墙 NGAF,可实现信息的精确识别定义、制定信息泄露安全策略,并能对数 据访问和数据查询进行审计,有效保障了网银敏感信息的安全。 
 
复旦大学  为进一步加强校园信息化安全建设,防御各种互联网攻击,复旦大学选择了深信服下一 代防火墙 NGAF 为校园网络保驾护航。NGAF 的入侵防御功能,可有效抵御外来攻击;此外, NGAF 可对网络中已被感染的终端进行检测和定位,并实现网络流量实时安全分析。全方位 的安全防御为复旦的师生提供了安全稳定的上网环境。 
 
招商局集团  创立于 1872 年晚清洋务运动时期的招商局,在 2012 年建设了一个具备专业性、先进性 和模块化设计架构的 IDC 中心,为全面保障内网安全,招商局在数据中心 DMZ 区、业务数 据区等多个区域部署了多台深信服万兆下一代防火墙 NGAF。设备为各业务系统、各终端提 供了 L2—L7 完整的安全防护,IPS 和 WAF 等模块有效防止漏洞攻击、注入类攻击等多种安 全威胁,单次解析架构、多核并行处理技术很好地解决了多功能模块开启导致的性能下降问
 18 / 19 
题,实现了万兆级别的应用层处理性能。 
 
华润电力  专注于电力、煤矿和新能源的华润电力在全国分布着众多各项目公司,这些公司常常需 要访问总部共性系统进行业务联系。深信服广域网安全建设解决方案为华润电力提供了安 全、可靠的广域网环境,确保其业务高效稳定地运行。NGAF 内置 IPSec VPN 实现了广域网 一体化安全组网,并对广域网网络层到应用层进行流量清洗,有效解决了广域网病毒木马快 速扩散及对总部应用层进行攻击的问题;集中管理、统一监管则解决了各项目公司专业安全 维护困难的问题,帮助客户真正实现管理集中化、运维自动化。