-
-
深信服下一代防火墻
- 產(chǎn)品價(jià)格
產(chǎn)品描述深信服下一代防火墻(Next-Generation Application Firewall)NGAF是面向應(yīng)用層設(shè)計(jì),能夠精確識(shí)別用戶、應(yīng)用和內(nèi)容,具備完整安全防護(hù)能力,能夠全面替代傳統(tǒng)防火墻,并具有強(qiáng)勁應(yīng)用層處理能力的全新網(wǎng)絡(luò)安全設(shè)備。NGAF解決了傳統(tǒng)安全設(shè)備在應(yīng)用識(shí)別、訪問(wèn)控制、內(nèi)容安全防護(hù)等方面的不足,同時(shí)開(kāi)啟所有功能后性能不會(huì)大幅下降。作為傳統(tǒng)防火墻的升級(jí)替代產(chǎn)品,深信服NGA
產(chǎn)品描述
深信服下一代防火墻(Next-Generation Application Firewall)NGAF是面向應(yīng)用層設(shè)計(jì),能夠精確識(shí)別用戶、應(yīng)用和內(nèi)容,具備完整安全防護(hù)能力,能夠全面替代傳統(tǒng)防火墻,并具有強(qiáng)勁應(yīng)用層處理能力的全新網(wǎng)絡(luò)安全設(shè)備。NGAF解決了傳統(tǒng)安全設(shè)備在應(yīng)用識(shí)別、訪問(wèn)控制、內(nèi)容安全防護(hù)等方面的不足,同時(shí)開(kāi)啟所有功能后性能不會(huì)大幅下降。作為傳統(tǒng)防火墻的升級(jí)替代產(chǎn)品,深信服NGAF不同于工作在L2-L4層的傳統(tǒng)防火墻,可以對(duì)全網(wǎng)流量進(jìn)行雙向深入數(shù)據(jù)內(nèi)容層面的全面透析。在安全策略制定方面,區(qū)域別于傳統(tǒng)防火墻五元組安全策略,第二代防火墻可對(duì)L2-L7層更多的元素(如,用戶、應(yīng)用類(lèi)型、URL、數(shù)據(jù)內(nèi)容等)制定雙向的安全訪問(wèn)策略,使安全策略更精細(xì)、更有效,且滿足業(yè)務(wù)的合規(guī)性;在安全防護(hù)能力方面,提升了傳統(tǒng)的抗攻擊的能力,不僅能防護(hù)網(wǎng)絡(luò)層的攻擊,針對(duì)來(lái)源更廣泛、攻擊更容易、危害更大的應(yīng)用層攻擊也可以進(jìn)行防護(hù),實(shí)現(xiàn)L2-L7層的安全防護(hù)。同時(shí),深信服下一代防火墻NGAF采用全新的軟硬件架構(gòu),減小在多種復(fù)雜的安全策略和L2-L7層多功能防護(hù)功能全部開(kāi)啟時(shí)對(duì)性能的消耗,實(shí)現(xiàn)應(yīng)用層高性能。
區(qū)別于傳統(tǒng)的網(wǎng)絡(luò)層防火墻,NGAF具備L2-L7層的協(xié)議的理解能力。不僅能夠?qū)崿F(xiàn)網(wǎng)絡(luò)層訪問(wèn)控制的功能,且能夠?qū)?yīng)用進(jìn)行識(shí)別、控制、防護(hù),解決了傳統(tǒng)防火墻應(yīng)用層控制和防護(hù)能力不足的問(wèn)題。
區(qū)別于傳統(tǒng)DPI技術(shù)的入侵防御系統(tǒng),深信服NGAF具備深入應(yīng)用內(nèi)容的威脅分析能力,具備雙向的內(nèi)容檢測(cè)能力為用戶提供完整的應(yīng)用層安全防護(hù)功能。
同樣都能防護(hù)web攻擊,與web應(yīng)用防火墻關(guān)注web應(yīng)用程序安全的設(shè)計(jì)理念不同,深信服下一代防火墻NGAF關(guān)注web系統(tǒng)在對(duì)外發(fā)布的過(guò)程中各個(gè)層面的安全問(wèn)題,為對(duì)外發(fā)布系統(tǒng)打造堅(jiān)實(shí)的防御體系。
二、下一代防火墻的標(biāo)準(zhǔn)
Gartner在2009年發(fā)布了一份名為《Defining the Next-GenerationFirewall》的文章,給出了真正能夠滿足用戶當(dāng)前安全需求的下一代防火墻(NGFW)定義。
結(jié)合安全發(fā)展趨勢(shì)和國(guó)內(nèi)用戶的安全建設(shè)現(xiàn)狀,深信服認(rèn)為下一代防火墻需要滿足以下幾個(gè)方面的特點(diǎn):
防應(yīng)用層攻擊
75%的安全威脅源自應(yīng)用層,下一代防火墻應(yīng)該具備應(yīng)用層協(xié)議的識(shí)別能力,并能針對(duì)應(yīng)用層安全威脅提供完整的解決方案。彌補(bǔ)傳統(tǒng)安全設(shè)備由于工作在網(wǎng)絡(luò),只解析網(wǎng)絡(luò)層數(shù)據(jù)包,無(wú)法理解應(yīng)用層協(xié)議并防護(hù)應(yīng)用層的安全威脅的問(wèn)題。
雙向內(nèi)容檢測(cè)
為了解決傳統(tǒng)安全設(shè)備只針對(duì)外部攻擊防護(hù)的問(wèn)題,下一代防火墻應(yīng)該具備雙向的內(nèi)容檢測(cè)能力。除了能夠防護(hù)外部攻擊以外,需要對(duì)服務(wù)器響應(yīng)的反饋內(nèi)容進(jìn)行嚴(yán)格的安全檢查。以提供防網(wǎng)頁(yè)篡改,防敏感信息泄露等功能
涵蓋傳統(tǒng)安全
應(yīng)用層的安全威脅日益盛行,但源自底層的網(wǎng)絡(luò)層安全威脅仍然存在,其危害性也不容忽視。下一代防火墻應(yīng)該涵蓋傳統(tǒng)防火墻、IPS、VPN等功能,以減少多設(shè)備串行部署單點(diǎn)故障、性能瓶頸以及風(fēng)險(xiǎn)無(wú)法統(tǒng)一定位的問(wèn)題。同時(shí)從用戶長(zhǎng)遠(yuǎn)利益考慮減少重復(fù)無(wú)效的投資,實(shí)現(xiàn)最優(yōu)的投資回報(bào)。
應(yīng)用層高性能
雖然多功能網(wǎng)關(guān)具備部分應(yīng)用安全防護(hù)能力,但其傳統(tǒng)安全設(shè)備的集成、串行部署的方式,使其在多種功能開(kāi)啟之后性能急劇下降,最終只能當(dāng)傳統(tǒng)防火墻使用。下一代防火墻應(yīng)該從軟件構(gòu)架、硬件構(gòu)架兩方面徹底改變多功能網(wǎng)關(guān)由于多功能堆疊、串行部署導(dǎo)致的性能瓶頸問(wèn)題,具備應(yīng)用層高性能實(shí)現(xiàn)萬(wàn)兆的吞吐。
三、深信服NGAF獨(dú)特的產(chǎn)品功能特點(diǎn)
1.精細(xì)的應(yīng)用安全訪問(wèn)控制
1.1可視化的應(yīng)用識(shí)別
傳統(tǒng)防火墻最主要的用途就是在非信任網(wǎng)絡(luò)與信任網(wǎng)絡(luò)通過(guò)訪問(wèn)控制實(shí)現(xiàn)安全管理。過(guò)去一個(gè)端口便代表了一個(gè)應(yīng)用,防火墻的問(wèn)題并沒(méi)有完全暴露出來(lái)。而隨著應(yīng)用程序的不斷發(fā)展,采用端口跳躍、端口逃逸、多端口、隨機(jī)端口的應(yīng)用越來(lái)越多,使得傳統(tǒng)防火墻五元組的訪問(wèn)控制策略可讀性、可視性,可控性受到巨大沖擊,傳統(tǒng)防火墻在web2.0時(shí)代已無(wú)法滿足精細(xì)化訪問(wèn)控制的需求。
NGAF具有卓越的應(yīng)用可視化功能,通過(guò)多種應(yīng)用識(shí)別技術(shù)形成國(guó)內(nèi)最大的應(yīng)用特征識(shí)別庫(kù),可精確識(shí)別內(nèi)外網(wǎng)的采用端口跳躍、端口逃逸、多端口、隨機(jī)端口的各類(lèi)應(yīng)用,為下一代防火墻實(shí)現(xiàn)用戶與應(yīng)用的精細(xì)化訪問(wèn)控制提供技術(shù)基礎(chǔ)。
1.2智能用戶身份識(shí)別
NGAF用戶識(shí)別功能可以與8種認(rèn)證系統(tǒng)(AD、LDAP、Radius等)、應(yīng)用系統(tǒng)(POP3、SMTP等)無(wú)縫對(duì)接,通過(guò)單點(diǎn)登錄的方式自動(dòng)識(shí)別出網(wǎng)絡(luò)當(dāng)中IP地址對(duì)應(yīng)的用戶信息,并建立組織的用戶分組結(jié)構(gòu)。
1.3面向用戶與應(yīng)用的控制策略
區(qū)別于傳統(tǒng)防火墻的五元組訪問(wèn)控制策略,下一代防火墻可通過(guò)應(yīng)用可視化功能與用戶識(shí)別技術(shù)結(jié)合制定的L3-L7一體化應(yīng)用控制策略, 可以為用戶提供更加精細(xì)和直觀化控制界面,在一個(gè)界面下完成多套設(shè)備的運(yùn)維工作,提升工作效率。
1.4基于應(yīng)用的流量控制
區(qū)別于傳統(tǒng)防火墻的簡(jiǎn)單的基于數(shù)據(jù)包優(yōu)先級(jí)的轉(zhuǎn)發(fā)QOS流量管理策略。深信服NGAF可提供基于用戶和應(yīng)用的流量管理功能,能夠基于應(yīng)用做流量控制,實(shí)現(xiàn)阻斷非法流量、限制無(wú)關(guān)流量保證核心業(yè)務(wù)的可視化流量管理價(jià)值。
2.全面的應(yīng)用安全防護(hù)能力
2.1強(qiáng)化web攻擊防護(hù)
深信服下一代防火墻NGAF采用攻擊特征+主動(dòng)防御相結(jié)合的雙重防護(hù)模式,可有效保護(hù)web業(yè)務(wù)安全。攻擊特征的防護(hù)模式有效結(jié)合了web攻擊的靜態(tài)規(guī)則及基于黑客攻擊過(guò)程的動(dòng)態(tài)防御機(jī)制,提供OWASP定義的十大安全威脅的攻擊防護(hù)功能,有效防止常見(jiàn)的web安全威脅。如SQL注入、XSS跨站腳本、CSRF跨站請(qǐng)求偽造,敏感信息泄露等,主動(dòng)模式可提供參數(shù)類(lèi)型學(xué)習(xí)的主動(dòng)防御和自定義參數(shù)防護(hù)等個(gè)性化配置,保護(hù)web系統(tǒng)免受網(wǎng)站篡改、網(wǎng)頁(yè)掛馬、隱私侵犯、身份竊取、經(jīng)濟(jì)損失、名譽(yù)損失等問(wèn)題。深信服NGAF于2013年1月通過(guò)了OWASP Web安全項(xiàng)目的測(cè)試,設(shè)備的安全防護(hù)等級(jí)被評(píng)為4星(5星滿分。)
2.2基于應(yīng)用的深度入侵防御
NGAF基于應(yīng)用的深度入侵防御采用六大威脅檢測(cè)機(jī)制:攻擊特征檢測(cè)、特殊攻擊檢測(cè)、威脅關(guān)聯(lián)分析、異常流量檢測(cè)、協(xié)議異常檢測(cè)、深度內(nèi)容分析能夠有效的防止各類(lèi)已知未知攻擊,實(shí)時(shí)阻斷黑客攻擊。如,緩沖區(qū)溢出攻擊、利用漏洞的攻擊、協(xié)議異常、蠕蟲(chóng)、木馬、后門(mén)、DoS/DDoS攻擊探測(cè)、掃描、間諜軟件、以及各類(lèi)IPS逃逸攻擊等。
2.3高效精確的病毒檢測(cè)能力
NGAF提供先進(jìn)的病毒防護(hù)功能,可從源頭對(duì)HTTP、FTP、SMTP、POP3等協(xié)議流量中進(jìn)行病毒查殺,也可查殺壓縮包(zip,rar,gzip等)中的病毒。同時(shí)采用高效的流式掃描技術(shù),可大幅提升病毒檢測(cè)效率避免防病毒成為網(wǎng)絡(luò)安全的瓶頸。
2.4DOS/DDOS攻擊防護(hù)
NGAF可防護(hù)基于數(shù)據(jù)包的DOS攻擊、IP協(xié)議報(bào)文的DOS攻擊、TCP協(xié)議報(bào)文的DOS攻擊、基于HTTP協(xié)議的DOS攻擊等,實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)層、應(yīng)用層的各類(lèi)資源耗盡的拒絕服務(wù)攻擊的防護(hù),實(shí)現(xiàn)L2-L7層的異常流量清洗。
2.5專(zhuān)業(yè)攻防研究團(tuán)隊(duì)確保持續(xù)更新
NGAF的統(tǒng)一威脅識(shí)別具備3000+條漏洞特征庫(kù)、數(shù)十萬(wàn)條病毒、木馬等惡意內(nèi)容特征庫(kù)、2000+Web應(yīng)用威脅特征庫(kù),可以全面識(shí)別各種應(yīng)用層和內(nèi)容級(jí)別的各種安全威脅。其漏洞特征庫(kù)已通過(guò)國(guó)際最著名的安全漏洞庫(kù)CVE嚴(yán)格的兼容性標(biāo)準(zhǔn)評(píng)審,獲得CVE兼容性認(rèn)證(CVE Compatible)。
深信服憑借在應(yīng)用層領(lǐng)域6年以上的技術(shù)積累組建了專(zhuān)業(yè)的安全攻防團(tuán)隊(duì),作為微軟的MAPP(Microsoft Active Protections Program)項(xiàng)目合作伙伴,可以在微軟發(fā)布安全更新前獲得漏洞信息,為客戶提供更及時(shí)有效的保護(hù),以確保防御的及時(shí)性。
3.獨(dú)特的雙向內(nèi)容檢測(cè)技術(shù)
3.1網(wǎng)關(guān)型網(wǎng)頁(yè)防篡改
網(wǎng)頁(yè)防篡改是NGAF服務(wù)器防護(hù)中的一個(gè)子模塊,其設(shè)計(jì)目的在于提供的一種事后補(bǔ)償防護(hù)手段,即使黑客繞過(guò)安全防御體系修改了網(wǎng)站內(nèi)容,其修改的內(nèi)容也不會(huì)發(fā)布到最終用戶處,從而避免因網(wǎng)站內(nèi)容被篡改給組織單位造成的形象破壞、經(jīng)濟(jì)損失等問(wèn)題。
NGAF通過(guò)網(wǎng)關(guān)型的網(wǎng)頁(yè)防篡改(對(duì)服務(wù)器“0”影響),第一時(shí)間攔截網(wǎng)頁(yè)篡改的信息并通知管理員確認(rèn)。同時(shí)對(duì)外提供篡改重定向功能,提供正常界面、友好界面、web備份服務(wù)器的重定向,保證用戶仍可正常訪問(wèn)網(wǎng)站。NGAF網(wǎng)站篡改防護(hù)功能使用網(wǎng)關(guān)實(shí)現(xiàn)動(dòng)靜態(tài)網(wǎng)頁(yè)防篡改功能。這種實(shí)現(xiàn)方式相對(duì)于主機(jī)部署類(lèi)防篡改軟件而言,客戶無(wú)需在服務(wù)器上安裝第三方軟件,易于使用和維護(hù),在防篡改部分基于網(wǎng)絡(luò)字節(jié)流的檢測(cè)與恢復(fù),對(duì)服務(wù)器性能沒(méi)有影響。
3.2可定義的敏感信息防泄漏
NGAF提供可定義的敏感信息防泄漏功能,根據(jù)儲(chǔ)存的數(shù)據(jù)內(nèi)容可根據(jù)其特征清晰定義,通過(guò)短信、郵件報(bào)警及連接請(qǐng)求阻斷的方式防止大量的敏感信息被竊取。深信服敏感信息防泄漏解決方案可以自定義多種敏感信息內(nèi)容進(jìn)行有效識(shí)別、報(bào)警并阻斷,防止大量敏感信息被非法泄露。(如:用戶信息/郵箱賬戶信息/MD5加密密碼/銀行卡號(hào)/身份證號(hào)碼/社保賬號(hào)/信用卡號(hào)/手機(jī)號(hào)碼……)
3.3僵尸網(wǎng)絡(luò)檢測(cè)隔離
NGAF獨(dú)有的僵尸網(wǎng)絡(luò)檢測(cè)隔離功能,應(yīng)用NGAF對(duì)外發(fā)流量的檢測(cè)能夠判斷服務(wù)器或終端由于中了病毒木馬向外發(fā)起的惡意流量。該功能融合了僵尸網(wǎng)絡(luò)識(shí)別庫(kù),利用業(yè)界領(lǐng)先的僵尸網(wǎng)絡(luò)識(shí)別檢測(cè)技術(shù)對(duì)黑客的攻擊行為進(jìn)行有效識(shí)別,針對(duì)以反彈式木馬為代表的惡意軟件進(jìn)行深度防護(hù),可識(shí)別僵尸網(wǎng)絡(luò)流量達(dá)15萬(wàn)條,并由深信服攻防團(tuán)隊(duì)實(shí)時(shí)更新。同時(shí),深信服NGAF正在完善安全云平臺(tái),部署在全球各地的深信服下一代防火墻設(shè)備可以自動(dòng)或手動(dòng)上傳可疑的應(yīng)用流量到安全云平臺(tái),平臺(tái)會(huì)自動(dòng)分析,形成新的惡意軟件識(shí)別策略下發(fā)到全球所有設(shè)備的規(guī)則庫(kù)上。
3.4應(yīng)用協(xié)議內(nèi)容隱藏
NGAF可針對(duì)主要的服務(wù)器(WEB服務(wù)器、FTP服務(wù)器、郵件服務(wù)器等)反饋信息進(jìn)行了有效的隱藏。防止黑客利用服務(wù)器返回信息進(jìn)行有針對(duì)性的攻擊。如:HTTP出錯(cuò)頁(yè)面隱藏、響應(yīng)報(bào)頭隱藏、FTP信息隱藏等
3.5用戶登錄權(quán)限防護(hù)
NGAF可以針對(duì)特定的服務(wù)或者web頁(yè)面提供登陸保護(hù),通過(guò)發(fā)送短信驗(yàn)證碼的方式針對(duì)敏感信息和應(yīng)用提供強(qiáng)認(rèn)證保護(hù)。用戶訪問(wèn)到該頁(yè)面或應(yīng)用的時(shí)候需要經(jīng)過(guò)短信的二次認(rèn)證,增強(qiáng)敏感頁(yè)面或應(yīng)用的安全系數(shù);該功能能夠帶來(lái)的價(jià)值:
1、對(duì)重要的頁(yè)面(如管理員頁(yè)面)進(jìn)行防護(hù),防止通過(guò)社會(huì)工程、暴力破解拿到正常管理員的賬號(hào)密碼;
2、可實(shí)現(xiàn)敏感頁(yè)面的雙因子強(qiáng)認(rèn)證提高安全性,防止敏感頁(yè)面開(kāi)放于公網(wǎng)或辦公網(wǎng);
4.智能的網(wǎng)絡(luò)安全防御體系
4.1完整的防火墻功能
NGAF涵蓋了完整的傳統(tǒng)防火墻功能包括訪問(wèn)控制、NAT支持、路由協(xié)議、VLAN屬性等功能,已便于用戶替換傳統(tǒng)防火墻后,將原有的策略完全遷移至下一代防火墻中,實(shí)現(xiàn)簡(jiǎn)化組網(wǎng)、方便運(yùn)維的效果。
4.2靈活的應(yīng)用部署方式
NGAF支持多種部署模式,包括路由,透明,虛擬網(wǎng)線,旁路,混合部署等,并支持多鏈路聚合,非對(duì)稱(chēng)路由等復(fù)雜網(wǎng)絡(luò)環(huán)境。
4.3融合領(lǐng)先的 IPSecVPN實(shí)現(xiàn)廣域網(wǎng)隔離與流量清洗
NGAF融合了國(guó)內(nèi)市場(chǎng)占有率第一的IPSec VPN模塊,實(shí)現(xiàn)高安全防護(hù)、高投資回報(bào)的分支機(jī)構(gòu)安全建設(shè)目標(biāo),并支持對(duì)加密隧道數(shù)據(jù)進(jìn)行安全攻擊檢測(cè),全面提升廣域網(wǎng)隔離的安全性。
4.4統(tǒng)一集中管理平臺(tái)
NGAF提供統(tǒng)一集中管理平臺(tái)實(shí)現(xiàn)對(duì)分支各設(shè)備的集中監(jiān)管,集中配置下發(fā)與遠(yuǎn)程獨(dú)立配置,提高管理效率,簡(jiǎn)化運(yùn)維成本。
4.5安全風(fēng)險(xiǎn)評(píng)估與策略聯(lián)動(dòng)
NGAF基于時(shí)間周期的安全防護(hù)設(shè)計(jì)提供事前風(fēng)險(xiǎn)評(píng)估及策略聯(lián)動(dòng)的功能。風(fēng)險(xiǎn)評(píng)估功能分為Web弱點(diǎn)掃描與漏洞掃描兩部分:
系統(tǒng)漏洞掃描通過(guò)端口、服務(wù)、應(yīng)用掃描幫助用戶及時(shí)發(fā)現(xiàn)端口、服務(wù)及漏洞風(fēng)險(xiǎn),并通過(guò)模塊間的智能策略聯(lián)動(dòng)及時(shí)更新對(duì)應(yīng)的安全風(fēng)險(xiǎn)的安全防護(hù)策略。幫助用戶快速診斷電子商務(wù)平臺(tái)中各個(gè)節(jié)點(diǎn)的安全漏洞問(wèn)題,并做出有針對(duì)性的防護(hù)策略。
web弱點(diǎn)掃描通過(guò)內(nèi)置的二十多類(lèi)Web攻擊特征,如SQL注入,盲注,操作系統(tǒng)命令,遠(yuǎn)程文件包含,XPATH注入,LDAP注入,服務(wù)器端包含(SSI),iframe釣魚(yú),不安全的PHP配置檢查等,可以幫助對(duì)用戶的Web服務(wù)系統(tǒng)快速的定位出漏洞威脅,并提供相關(guān)漏洞的嚴(yán)重等級(jí)和描述信息以及建議的修復(fù)方案等,使得用戶能夠快速定位并解決內(nèi)網(wǎng)Web服務(wù)存在的風(fēng)險(xiǎn)。同時(shí)該功能模塊可以依據(jù)掃描結(jié)果,給用戶推薦防護(hù)策略,通過(guò)“一鍵部署”的方式自動(dòng)生成有效的策略,為絕大多數(shù)管理員提供策略建議的專(zhuān)業(yè)參考。
4.6 智能APT攻擊防護(hù)
深信服NGAF融合L2-7層完整的安全防護(hù)功能,是國(guó)內(nèi)唯一同時(shí)融合FW、IPS、WAF、AV功能并能智能聯(lián)動(dòng)的安全產(chǎn)品,通過(guò)各個(gè)模塊間的聯(lián)動(dòng),為APT攻擊防護(hù)提供從主機(jī)層(惡意代碼防護(hù)、僵尸網(wǎng)絡(luò)隔離)、網(wǎng)絡(luò)層(訪問(wèn)控制、邊界隔離、入侵防護(hù)、漏洞掃描、內(nèi)網(wǎng)嗅探)、應(yīng)用層(惡意網(wǎng)址識(shí)別、OWASP TOP應(yīng)用協(xié)議攻擊、管理認(rèn)證登陸、DLP)的 L2-L7層一體化安全防護(hù)。通過(guò)關(guān)聯(lián)分析準(zhǔn)確定位出APT攻擊的行為,阻斷黑客在實(shí)施APT攻擊各個(gè)步驟、各種手段的有效性。
NGAF智能的主動(dòng)防御技術(shù)可實(shí)現(xiàn)內(nèi)部各個(gè)模塊之間形成智能的策略聯(lián)動(dòng),如一個(gè)IP/用戶持續(xù)向內(nèi)網(wǎng)服務(wù)器發(fā)起各類(lèi)攻擊則可通過(guò)防火墻策略暫時(shí)阻斷IP/用戶。智能防護(hù)體系的建立可有效的防止工具型、自動(dòng)化的黑客攻擊,提高攻擊成本,可抑制APT攻擊的發(fā)生。同時(shí)也使得管理員維護(hù)變得更為簡(jiǎn)單,可實(shí)現(xiàn)無(wú)網(wǎng)管的自動(dòng)化安全管理。
4.7專(zhuān)業(yè)可視的安全分析報(bào)表
NGAF提供了豐富、可視的日志報(bào)表和統(tǒng)計(jì)分析功能,可針對(duì)服務(wù)器、終端、流量、應(yīng)用、訪問(wèn)網(wǎng)站等多個(gè)維度進(jìn)行統(tǒng)計(jì),并提供服務(wù)器安全報(bào)表和網(wǎng)絡(luò)安全匯總報(bào)表來(lái)直觀的反映用戶網(wǎng)絡(luò)中的安全風(fēng)險(xiǎn)以及應(yīng)用流量信息。服務(wù)器安全報(bào)表按照受攻擊次數(shù),攻擊類(lèi)型,攻擊來(lái)源進(jìn)行統(tǒng)計(jì)分析,并針對(duì)每個(gè)服務(wù)器IP都有針對(duì)性的安全分析,并提供相應(yīng)的服務(wù)安全說(shuō)明,使得報(bào)表的可讀性更高,方便用戶從報(bào)告中分析出下一步的安全加固策略。
5.更高效的應(yīng)用層處理能力
5.1多核并行處理技術(shù)
為了實(shí)現(xiàn)強(qiáng)勁的應(yīng)用層處理能力,NGAF拋棄了傳統(tǒng)防火墻NP、ASIC等適合執(zhí)行網(wǎng)絡(luò)層重復(fù)計(jì)算工作的硬件設(shè)計(jì),采用了更加適合應(yīng)用層靈活計(jì)算能力的多核并行處理技術(shù),極大的提升應(yīng)用層數(shù)據(jù)的分析能力。
NGAF的設(shè)計(jì)不僅僅采用了多核的硬件架構(gòu),在計(jì)算指令設(shè)計(jì)上采用了先進(jìn)的無(wú)鎖并行處理技術(shù),能夠?qū)崿F(xiàn)多流水線同時(shí)處理,成倍提升系統(tǒng)吞吐量,在多核系統(tǒng)下性能表現(xiàn)十分優(yōu)異,是真正的多核并行處理的架構(gòu)。
5.2單次解析架構(gòu)
區(qū)別于UTM的構(gòu)架,NGAF采用單次解析構(gòu)架實(shí)現(xiàn)報(bào)文的一次解析一次匹配,避免了UTM由于多模塊疊加對(duì)報(bào)文進(jìn)行多次拆包多次解析的問(wèn)題,有效的提升了應(yīng)用層效率。實(shí)現(xiàn)單次解析技術(shù)的一個(gè)關(guān)鍵要素就是軟件架構(gòu)設(shè)計(jì)實(shí)現(xiàn)網(wǎng)絡(luò)、應(yīng)用層平面分離,通過(guò)在將數(shù)據(jù)通過(guò)“0”拷貝技術(shù)提取到應(yīng)用層平面上實(shí)現(xiàn)威脅特征的統(tǒng)一解析、統(tǒng)一檢測(cè),減少冗余的數(shù)據(jù)包封裝,從而實(shí)現(xiàn)高性能的處理。
5.3跳躍式掃描技術(shù)
深信服下一代防火墻利用其多年積累的應(yīng)用識(shí)別技術(shù),在內(nèi)核驅(qū)動(dòng)層面通過(guò)私有協(xié)議將所有經(jīng)過(guò)NGAF的數(shù)據(jù)包都打上應(yīng)用的標(biāo)簽。在數(shù)據(jù)包提取到內(nèi)容檢測(cè)平面進(jìn)行檢測(cè)的時(shí)候,會(huì)找到對(duì)應(yīng)的應(yīng)用威脅特征,使用跳躍式掃描技術(shù)跳過(guò)無(wú)關(guān)的應(yīng)用威脅檢測(cè)特征,從而減少無(wú)效掃描,提升掃描效率。比如:流量被識(shí)別為HTTP流量,那么FTP sever-u的相關(guān)漏洞攻擊特征便不會(huì)對(duì)系統(tǒng)造成威脅,便可以暫時(shí)跳過(guò)檢測(cè)進(jìn)行轉(zhuǎn)發(fā),提升轉(zhuǎn)發(fā)的效率。
5.4產(chǎn)品性能評(píng)測(cè)報(bào)告
為驗(yàn)證應(yīng)用層性能,國(guó)內(nèi)知名IT行業(yè)媒體《網(wǎng)絡(luò)世界》針對(duì)下一代防火墻產(chǎn)品進(jìn)行了一次客觀的產(chǎn)品評(píng)測(cè)。深信服NGAF在各項(xiàng)功能開(kāi)啟時(shí),應(yīng)用層處理性能優(yōu)秀。表現(xiàn)出了出色的處理能力。在不同大小文件下,應(yīng)用流量處理能力均達(dá)到萬(wàn)兆級(jí)別,可以滿足正常網(wǎng)絡(luò)應(yīng)用中萬(wàn)兆寬帶的應(yīng)用流量處理需求