深信服：NGAF下一代防火墻產品白皮書（39頁）.pdf

《深信服：NGAF下一代防火墻產品白皮書（39頁）.pdf》由會員分享，可在線閱讀，更多相關《深信服：NGAF下一代防火墻產品白皮書（39頁）.pdf（39頁珍藏版）》請在三個皮匠報告上搜索。

1、深信服下一代防火墻技術白皮書文檔密級：公開1/41深信服科技NGAFNGAF 下一代防火墻下一代防火墻產品白皮書產品白皮書深信服科技有限公司深信服科技有限公司2012017 7 年年 6 6 月月深信服下一代防火墻技術白皮書文檔密級：公開3/411.概述.42.深信服下一代防火墻核心價值.52.1.全程保護.52.2.全程可視.73.主要功能介紹.83.1.系統架構設計.83.2.基礎防火墻特性.113.3.事前風險預知.133.4.事中安全防護.183.5.事后檢測及響應.314.部署模式.334.1.網關模式.334.2.網橋模式.344.3.旁路模式.364.4.雙機模式.375.市場表

2、現.395.1.高速增長，年復合增長超 70%.395.2.眾多權威機構一致認可.405.3.為客戶需求而持續創新.406.關于深信服.40深信服下一代防火墻技術白皮書文檔密級：公開4/411.1.概述概述近幾年來，隨著互聯網+、業務數字化轉型的深入推進，各行各業都在加速往互聯網化、數字化轉型。業務越來越多的向公眾、合作伙伴，第三方機構等開放，在數字化業務帶給我們高效和便捷的同時，信息暴露面的增加，網絡邊界的模糊化以及黑客攻擊的產業化使得網絡安全事件相較以往成指數級的增加，面對應對層出不窮的新型安全事件如網站被篡改，被掛黑鏈，0 day 漏洞利用，數據竊取，僵尸網絡，勒索病毒等等，傳統安全建設

3、模式已經捉襟見肘，面臨著巨大的挑戰。問題一：問題一：傳統信息安全建設，以事中防御為主。缺乏事前的風險預知，事后的持續檢傳統信息安全建設，以事中防御為主。缺乏事前的風險預知，事后的持續檢測及響應能力測及響應能力傳統意義上的安全建設無論采用的是多安全產品疊加方案還是采用 UTM/NGFW+WAF 的整合類產品解決方案，關注的重點都在于如何防護資產在被攻擊過程中不被黑客入侵成功，但是并不具備對于資產的事前風險預知和事后檢測響應的能力，從業務風險的生命周期來看，僅僅具備事中的防護是不完整的，如果能在事前做好預防措施以及在時候提高檢測和響應的能力，安全事件發生產生的不良影響會大幅度降低，所以未來，融合安

4、全將是安全建設發展的趨勢。問題二：問題二：傳統安全建設是拼湊的事中防御，缺乏有效的聯動分析和防御機制傳統安全建設是拼湊的事中防御，缺乏有效的聯動分析和防御機制傳統安全建設方案，搜集到的都是不同產品碎片化的攻擊日志信息，只能簡單的統計報表展示，并不能結合業務形成有效的資產安全狀態分析。另外在防護機制上只能依賴靜態的防御策略進行防護，無法及時應對業務發生的變化，不同安全設備之間也無法形成有效的聯動封鎖機制，不僅投資高，運維方面也難管理。深信服下一代防火墻安全理念深信服下一代防火墻安全理念深信服通過對以上問題的思考進行了下一代防火墻的產品設計，對下一代防火墻賦予了風險預知、深度安全防護、檢測響應的能

5、力，最終形成了全程保護、全程可視的融合安全體系。融合不是單純的功能疊加，而是依照業務開展過程中會遇到的各類風險，所提供的對應安全技術手段的融合，能夠為業務提供全流程的保護，融合安全包括從事前的資產風險發現，策略有效性檢測，到事中所應具備的各類安全防御手段以及事后的持續檢測和快速響應機深信服下一代防火墻技術白皮書文檔密級：公開5/41制，并將這一過程中所有的相關信息通過多種方式呈現給給用戶。2.2.深信服下一代防火墻核心價值深信服下一代防火墻核心價值2.1.2.1.全程保護全程保護2.1.1.2.1.1.事前預知：資產事前預知：資產/脆弱性脆弱性/策略有效性策略有效性深信服 NGAF 能夠在事前

6、對內部的服務器進行自動識別，并且還能自動識別服務器上開放端口和存在的漏洞，弱密碼等風險，同時還能判斷識別出的資產是否有對應的安全防護策略以及是否生效。2.1.2.2.1.2.事中防御：完整的防御體系事中防御：完整的防御體系+安全聯動安全聯動+威脅情報威脅情報深信服NGAF在事中防御層面融合了多種安全技術，提供了L2-7層完整的安全防御體系，確保安全防護不存在短板，同時還能通過安全聯動功能加強防御體系的時效性和有效性，包深信服下一代防火墻技術白皮書文檔密級：公開6/41括模塊間的聯動封鎖，同云端安全聯動，策略的智能聯動等。此外，深信服 NGAF 還廣泛的開展第三方安全機構合作，通過國家漏洞信息庫

7、，谷歌 Virustotal 惡意鏈接庫等多來源威脅情報的輸入，幫助用戶能夠在安全事件爆發之前就提前做好防御的準備。2.1.3.2.1.3.事后檢測事后檢測&響應：威脅行為的持續檢測響應：威脅行為的持續檢測&快速響應快速響應傳統安全建設主要集中在邊界安全防御，缺乏對繞過安全防御措施后的檢測及響應能力，如果能做好事后的檢測及響應措施，可以極大程度降低安全事件產生的影響。深信服NGAF 融合了事后檢測及快速響應技術，即使在黑客入侵之后，也能夠幫助用戶及時發現入侵后的惡意行為，如檢測僵尸主機發起的惡意行為，網頁篡改，網站黑鏈植入及網站Webshell 后門檢測等，并快速推送告警事件，協助用戶進行響應

8、處置。深信服下一代防火墻技術白皮書文檔密級：公開7/412.2.2.2.全程可視全程可視2.2.1.2.2.1.事前對安全風險的認知事前對安全風險的認知清晰了解資產脆弱性清晰了解資產脆弱性快速發現策略有效性快速發現策略有效性2.2.2.2.2.2.事中對保護過程的認知事中對保護過程的認知攻擊事件匹配不同攻擊階段攻擊事件匹配不同攻擊階段2.2.3.2.2.3.事后對保護結果的認知事后對保護結果的認知基于信息資產維度的安全現狀展示基于信息資產維度的安全現狀展示深信服下一代防火墻技術白皮書文檔密級：公開8/41綜合風險報表綜合風險報表3.3.主要功能介紹主要功能介紹3.1.3.1.系統架構設計系統架

9、構設計深信服下一代防火墻構筑在 64 位多核并發，高速硬件平臺之上，采用自主研發的并行操作系統（Sangfor OS），將轉發平面、安全平面并行運行在多核平臺上。多平面并發處理，緊密協作，極大的提升了網絡數據包的安全處理性能。深信服下一代防火墻技術白皮書文檔密級：公開9/41控制平面控制平面負責整個系統各平面、各模塊間的監控和協調工作，此平面包括配置存儲、配置下發、控制臺 UI、數據中心等功能。轉發平面轉發平面負責網絡數據包的高速轉發，此平面包括路由子系統、網橋子系統、鄰居系統、VPN、NAT、撥號等功能。安全平面安全平面負責安全功能的協調運行，采用一次解析引擎，一次掃描便可識別出各種威脅和攻

10、擊，此平面包括入侵防御、WEB 應用防護、實時漏洞分析、僵尸網絡、數據防泄密、內容過濾、防病毒等功能。3.1.1.3.1.1.分離平面設計分離平面設計深信服下一代防火墻通過軟件設計將網絡層和應用層的數據處理進行分離，在底層以應用識別模塊為基礎，對所有網卡接收到的數據進行識別，再通過抓包驅動把需要處理的應用數據報文抓取到應用層。若應用層發生數據處理失敗的情況，也不會影響到網絡層數據的轉發，從而實現高效、可靠的數據報文處理。深信服下一代防火墻技術白皮書文檔密級：公開10/413.1.2.3.1.2.多核并行處理多核并行處理深信服下一代防火墻的設計不僅采用了多核的硬件架構，在計算指令設計上還采用了先

11、進的無鎖并行處理技術，能夠實現多流水線同時處理，成倍提升系統吞吐量，在多核系統下性能表現十分優異，是真正的多核并行處理架構。3.1.3.3.1.3.單次解析架構單次解析架構深信服下一代防火墻采用單次解析架構實現報文的一次解析一次匹配，有效提升了應用層效率。實現單次解析技術的一個關鍵要素就是軟件架構設計實現網絡層、應用層的平面分離，將數據通過“0”拷貝技術提取到應用平面上實現威脅特征的統一解析和統一檢測，減少冗余的數據包封裝，實現高性能的數據處理。深信服下一代防火墻技術白皮書文檔密級：公開11/413.1.4.跳躍式掃描技術3.1.4.跳躍式掃描技術深信服下一代防火墻利用多年積累的應用識別技術，

12、在內核驅動層面通過私有協議將所有經過下一代防火墻的數據包都打上應用的標簽。當數據包被提取到內容檢測平面進行檢測時，設備會找到對應的應用威脅特征，通過使用跳躍式掃描技術跳過無關的應用威脅檢測特征，減少無效掃描，提升掃描效率。比如：流量被識別為 HTTP 流量，那么 FTP server 的相關漏洞攻擊特征便不會對系統造成威脅，便可以暫時跳過檢測進行轉發，提升轉發的效率。3.1.5.Sangfor Regex 正則引擎3.1.5.Sangfor Regex 正則引擎正則表達式是一種識別特定模式數據的方法，它可以準確識別網絡中的攻擊。經深信服安全專家研究發現，業界已有的正則表達式匹配方法的速度一般比

13、較慢，制約了下一代防火墻的整機速度的提高。為此，深信服設計并實現了全新的 Sangfor Regex 正則引擎，將正則表達式的匹配速度提高到數十 Gbps，比 PCRE 和 Google 的 RE2 等知名引擎快數十倍，達到業內較高水平。深信服下一代防火墻的 Sangfor Regex 大幅降低了 CPU 占用率，有效提高了 NGAF 的整機吞吐，從而能夠更高速地處理客戶的業務數據，該項技術尤其適用于對每秒吞吐量要求特別高的場景，如運營商、電商等。3.2.基礎防火墻特性3.2.基礎防火墻特性深信服 NGAF 兼容傳統防火墻的所有功能特性，包括交換/路由、訪問控制，A-A/A-S 雙機熱備、軟硬

14、件 Bypass、系統管理、日志報表、會話管理、抗 DDoS 攻擊、應用代理、DHCP/DNS等等。深信服下一代防火墻技術白皮書文檔密級：公開12/413.2.1.3.2.1.PPPoEPPPoE通過 ADSL 接入 Internet 已經成為越來越多中小企業的選擇，而 ADSL 需要撥號以后才能獲得 IP 地址。深信服 NGAF 支持 PPPoE 協議，作為 PPPoE Client 端完成與 PPPoE Server建立連接和地址獲取，通過設置用戶名和口令即可支持 ADSL 接入，獲得動態 IP 地址、網關及 DNS 地址，自動完成撥號過程，接入 Internet 網絡。解決中小企業上網問

15、題。3.2.2.3.2.2.NATNAT 地址轉換地址轉換支持靜態網絡地址轉換（Static NAT）和動態網絡地址轉換（Dynamic NAT），實現內網地址轉換成公網地址后進行網絡通信。支持目的 NAT，將對外網地址的訪問映射為對內網地址訪問，支持將對一個公網地址的訪問映射為內網多個地址，實現內網服務器的負載均衡訪問，同時支持目的端口轉換。3.2.3.3.2.3.IPv6/IPv4IPv6/IPv4 雙協議棧雙協議棧支持 IPv6 安全控制策略設置，能針對 IPV6 的目的/源地址、目的/源服務端口、服務、等條件進行安全訪問規則的設置；支持 IPv6 靜態路由；支持雙棧、6to4 及 6i

16、n4 隧道實現IPv6 網絡與 IPv4 網絡訪問等。深信服 NGAF 產品已獲 IPv6-Ready 認證。3.2.4.3.2.4.VPNVPN深信服 NGAF 根據企業 VPN 常見使用場景，支持多種 VPN 隧道業務，包括 IPSec、GRE、SSL、L2TP VPN 等。用戶可通過 GRE、IPSec 或 SSL VPN 隧道實現分公司與總部之間的數據安全傳輸，通過 SSL 或 L2TP VPN 隧道實現 PC 以及移動客戶端與總部之間的數據安全傳輸；支持多種隧道模式，即可以讓用戶通過七層 Web 鏈接進行內網資源的快速訪問，又可以讓用戶通過三層隧道實現任意內網應用資源的便捷使用。3.

17、2.5.3.2.5.鏈路聚合鏈路聚合鏈路聚合（Link Aggregation），是指將多個物理接口捆綁在一起，成為一個邏輯接口，以實現出/入流量在各成員接口中的負荷分擔。SANGFOR NGAF 根據用戶配置的端口負荷分擔策略(主備、負載均衡-hash、負載均衡-RR)決定報文從哪一個成員接口發送到下一跳地址。當交換機檢測到其中一個成員接口鏈路發生故障時，就停止在此接口上發送報文，并根據負荷分擔策略在剩下接口鏈路中重新計算報文發送的接口。故障接口恢復后會再次重新計算報文發送接口。深信服下一代防火墻技術白皮書文檔密級：公開13/41鏈路聚合在增加鏈路帶寬（如果一個接口 1G 帶寬，另外一個接口

18、也是 1G 帶寬，如果把這兩個接口聚合成一個邏輯接口，理論上這個邏輯接口的帶寬就是 2G。）實現鏈路傳輸彈性和冗余等方面是一項很重要的技術。3.2.6.路由功能3.2.6.路由功能深信服 NGAF 可以實現靜態路由、默認路由、浮動靜態路由等基礎功能，同時能夠實現如 BGP、RIP、OSPF 等動態路由協議，并更好地支持策略路由、多播路由等功能。3.3.3.3.事前風險預知事前風險預知3.3.1.資產自動發現3.3.1.資產自動發現深信服 NGAF 為幫助保護用戶快速管理資產，避免安全防護策略的遺漏實現了基于流量檢測的資產自動發現功能，可以通過流經流量的 IP 地址檢測及端口檢測快速發現自身資產

19、，幫助用戶進行策略的有效配置。對于網絡中的流量，我們可以通過是否與知名 DNS 服務器連接、是否訪問知名網站、是否有被搜索引擎進行檢測等算法來判定哪些是內網主機。在通過端口的鏈接情況，記錄開放的端口情況，幫助用戶了解自身網路情況。3.3.2.Web 掃描3.3.2.Web 掃描深信服 NGAF 的 WEB 掃描器是深信服結合多年來在 web 應用安全上的研究成果，基于大量信息安全事件應急響應的豐富經驗下開發出的一款安全掃描器，該掃描器旨在幫助廣大用戶對 web 服務器網站進行深度的安全掃描，指紋識別，漏洞驗證，全面預知 web 應用系統的安全現狀，并提供專業的安全加固建議。深信服下一代防火墻技

20、術白皮書文檔密級：公開14/413.3.2.1.豐富的掃描插件支持 SQL 注入，XSS 跨站腳本攻擊，目錄遍歷，CSRF 跨站請求偽造，遠程文件包含，命令注入，敏感信息泄露，Struct 2 漏洞等眾多掃描插件，覆蓋所有 OWASP TOP10 高危漏洞，保證全面深入的 WEB 網站掃描效果。3.3.2.2.智能網站指紋識別支持對 web 網站服務器操作系統類型：Apache，IIS，Tomcat，Nginx，Weblogic 等服務器/中間件類型；php/jsp/asp/c#/.net/python 等網站語言類型進行自動識別，并和CVE/CNNVD 漏洞庫智能關聯分析。3.3.2.3.專

21、家級漏洞分析和修復建議為幫助廣大 web 管理人員輕易讀懂和掌握專業性較強的安全報告內容，告別晦澀難懂的漏洞掃描報告，深信服 WEB 掃描器檢測報告對漏洞進行了非常詳細和介紹和漏洞危害說明，并將安全檢查過程中發送的 payload 測試報文進行高亮顯示，web 管理人員通過高亮顯示部分的信息，即能輕易初步掌握漏洞原因。3.3.3.3.3.3.風險分析風險分析提供主動掃描功能，通過檢查防火墻配置，幫助管理員分析服務器開放的端口和存在的風險，并對掃描結果提供對應防護操作，如漏洞防護，端口屏蔽等來方便用戶進行安全防護。端口掃描端口掃描對用戶指定的服務器 IP，端口進行掃描，告知用戶該服務器開放了那些

22、端口和服務漏洞分析漏洞分析針對端口掃描結果對開放的端口和服務進行風險分析，告知用戶服務器存在的漏洞，并深信服下一代防火墻技術白皮書文檔密級：公開15/41根據防火墻配置告知用戶現存風險的防護狀態。弱密碼探測弱密碼探測提供內置和自定義弱密碼庫，對用戶指定的服務器進行弱密碼探測，分析服務器是否存在弱密碼風險。策略防護策略防護提供防護操作按鈕，通過新增防火墻配置，對服務器存在的風險進行防護。3.3.4.3.3.4.實時漏洞分析實時漏洞分析深信服 NGAF 實時漏洞分析系統實時旁路地檢測經過設備的應用流量，對流量進行對應的應用解析，對解析后的應用數據匹配實時漏洞分析識別庫，發現服務器存在漏洞。深信服下

23、一代防火墻技術白皮書文檔密級：公開16/413.3.4.1.旁路檢測實時漏洞分析采用的是旁路檢測技術，即將待檢測的數據包鏡像一份到待檢測隊列，檢測進程對檢測的數據包進行掃描檢測，對原有數據包的轉發不會造成任何性能影響。3.3.4.2.強大的漏洞特征庫實時漏洞分析所使用的漏洞特征庫由深信服北京研究中心安全專家針對目前流行的軟件、系統等漏洞提取特征，形成庫并快速的更新到 NGAF 設備，保證識別出網絡中出現的較新漏洞。3.3.5.威脅情報預警與處置3.3.5.威脅情報預警與處置在云端通過安全事件響應分析模塊自動對安全事件進行及時的響應和分析，產出安全事件的危害描述、漏洞特征、攻擊特征和防護策略，網

24、關設備通過更新機制把安全事件更新包更新到本地，并通過控制臺彈窗的方式告知用戶當前的安全事件和危害，本地掃描器針對漏洞特征對當前防護的業務系統進行全面掃描分析定位是否存在此安全事件漏洞。如果本地存在安全漏洞，則通過安全引擎對此漏洞的安全攻擊特征進行防護，并且通過自動化生成安全防護策略的方式幫助用戶達到全面有效防護此安全事件的目的。在對此安全事件完成安全防護后，本地掃描器還會再次掃描評估是否全面有效的防護了此安全事件。原理流程如下：深信服下一代防火墻技術白皮書文檔密級：公開17/413.3.6.3.3.6.策略有效性識別策略有效性識別深信服 NGAF 通過三個維度實現了策略有效性檢測：深信服下一代

25、防火墻技術白皮書文檔密級：公開18/41通過監測流量進行發現，判定是否對設備與業務系統之間進行了策略配置實現檢測、防御、響應；通過策略的對比檢查，發現是否存在無效策略、策略沖突、策略配置不當等問題；通過規則庫的版本檢測，高危 0day 預警是否開啟等方式判定設備是否具備新威脅的防御能力。3.4.3.4.事中安全防護事中安全防護3.4.1.智能控制3.4.1.智能控制深信服 NGAF 除了能實現等同于傳統防火墻的訪問控制功能之外還能實現基于應用及地域的訪問控制，幫助用戶更好的進行精準控制。3.4.1.1.應用控制傳統防火墻的訪問控制或者流量管理粒度粗放，只能基于 IP/端口號對數據流量進行一刀切

26、式的禁止或允許。深信服下一代防火墻基于更好的應用和用戶識別能力，對數據流量和訪問來源進行精細化辨識和分類，使得用戶可以輕易從同一個端口協議的數據流量中辨識出任意多種不同的應用，或從無意無序的 IP 地址中辨識出有意義的用戶身份信息，從而針對深信服下一代防火墻技術白皮書文檔密級：公開19/41識別出的應用和用戶施加細粒度、有區別的訪問控制策略、流量管理策略和安全掃描策略，保障了用戶更直接、準確、精細的管理愿望和控制訴求。例如：允許 HTTP 網頁訪問順利進行，并且保證高訪問帶寬，但是不允許同樣基于 HTTP協議的視頻流量通過；允許通過 QQ 進行即時通訊，但是不允許通過 QQ 傳輸文件；允許郵件

27、傳輸，但需要進行防病毒或明個信息過濾，如發現有病毒入侵或泄密事件馬上阻斷；等等。3.4.1.2.地域訪問控制地域訪問控制主要是通過對訪問者的 IP 地址進行歸屬地判斷，判斷所屬國家或地區是否能夠對業務進行訪問。SANGFOR NGAF 內置了一個全球的 IP 地址庫，并定期更新。地址庫由三部分組成：黑名單、白名單和全球地址庫，用戶可以在 WEBUI 上對此地址庫配置黑白名單和 IP 歸屬地糾錯。具體訪問控制流程如下：一、訪問者的 IP 首先會根據 IP 黑名單進行匹配，如果此 IP 是黑名單的 IP 則直接拒絕訪問；二、根據 IP 白名單進行匹配，如果此 IP 是白名單的 IP 則直接允許訪問

28、；三、如果不在黑白名單中，則通過 IP 地址庫進行匹配，得出此 IP 的歸屬地（那個國家或地區），然后根據用戶配置的此國家或是地區的訪問策略進行拒絕或允許訪問。3.4.2.基于漏洞的安全防護3.4.2.基于漏洞的安全防護深信服 NGAF 的威脅分析引擎具備 4000+條漏洞特征庫、3000+Web 應用威脅特征庫，可以全面識別各種應用層和內容級別的單一安全威脅；另外，深信服憑借在應用層領域 10 年深信服下一代防火墻技術白皮書文檔密級：公開20/41以上的技術積累，組建了專業的安全攻防團隊，可以為用戶定期提供較新的威脅特征庫更新，以確保防御的及時性。3.4.2.1.安全團隊定期更新深信服安全團

29、隊對于網絡中不斷發現的攻擊形式進行解析，通過后端的專家團隊對攻擊的不斷解析發現其中的攻擊特征，并將攻擊特征整理歸納填充到現有的特征庫中為用戶定期進行更新，當遇到重大安全威脅時深信服的安全團隊會同時發布威脅預警并進行實時更新，幫助用戶抵御較新的安全威脅。3.4.2.2.在線設備全網聯動深信服 NGAF 為滿足對新威脅防御的需求，讓用戶以最快的速度具備防御新威脅的能力，實現了安全云與在線設備的聯動。通過云端收集上萬臺在線設備的未知威脅進行分析，并將分析結果發送給所有的深信服 NGAF，使得用戶具備防御最新威脅的能力。深信服下一代防火墻技術白皮書文檔密級：公開21/413.4.2.3.多家機構共享特

30、征以目前網絡攻擊的更新速度來看，單一廠商很難實現對最新威脅的實時更新。為了更好的服務客戶，深信服通過與 CNCERT、Google virus total 等十余家權威機構的合作來實現共享威脅情報，幫助用戶接收到多方位的信息，實現對新威脅的有效防御。3.4.2.4.在線沙盒未知檢測在對已知威脅具備了防御能力之后，為了彌補固定特征庫防御方面會有遺漏的問題，深信服提供了云端在線的沙盒檢測功能。通過沙盒環境下未知流量的運行來監測系統環境的變化，提取相關參數變化形成分析結果，確定威脅類型并將結果下發的設備端。同時深信服內部每周也會通過云端在線沙盒收集流量來進行分析，用以填充設備特征庫。3.4.2.5.

31、精準分類的防護策略考慮到針對主機和終端的不同操作系統或者軟件攻擊時所要利用漏洞的不同，深信服NGAF 對此問題將防護策略分為了針對客戶端和服務器端兩種類型，使得使用可以根據自己的使用場景進行快速選擇，讓防護更局針對性。3.4.3.web 層防護3.4.3.web 層防護深信服 NGAF 能夠有效防護 OWASP 組織提出的 10 大 web 安全威脅的主要攻擊，并于 2013年 1 月獲得了 OWASP 組織頒發的產品安全功能測試 4 星評級證書（最高評級為 5 星，深信服NGAF 為國內同類產品評分最高）主要功能如：3.4.3.1.防 SQL 注入攻擊SQL 注入攻擊產生的原因是由于在開發

32、web 應用時，沒有對用戶輸入數據的合法性進行判斷，使應用程序存在安全隱患。用戶可以提交一段數據庫查詢代碼，根據程序返回的結果，獲得某些他想得知的數據，這就是所謂的 SQL Injection，即 SQL 注入。NGAF 可以通過高效的 URL 過濾技術，過濾 SQL 注入的關鍵信息，從而有效的避免網站服務器受到 SQL 注入攻擊。3.4.3.2.防 XSS 跨站腳本攻擊跨站攻擊產生的原理是攻擊者通過向 Web 頁面里插入惡意 html 代碼，從而達到特殊目的。NGAF 通過先進的數據包正則表達式匹配原理，可以準確地過濾數據包中含有的跨站攻擊的惡意代碼，從而保護用戶的 WEB 服務器安全。深信

33、服下一代防火墻技術白皮書文檔密級：公開22/413.4.3.3.防 CSRF 攻擊CSRF 即跨站請求偽造，從成因上與 XSS 漏洞完全相同，不同之處在于利用的層次上，CSRF 是對 XSS 漏洞更高級的利用，利用的核心在于通過 XSS 漏洞在用戶瀏覽器上執行功能相對復雜的 JavaScript 腳本代碼劫持用戶瀏覽器訪問存在 XSS 漏洞網站的會話，攻擊者可以與運行于用戶瀏覽器中的腳本代碼交互，使攻擊者以受攻擊瀏覽器用戶的權限執行惡意操作。NGAF 通過先進的數據包正則表達式匹配原理，可以確地過濾數據包中含有的 CSRF 的攻擊代碼，防止 WEB 系統遭受跨站請求偽造攻擊。3.4.3.4.主

34、動防御技術主動防御可以針對受保護主機接受的 URL 請求中帶的參數變量類型，以及變量長度按照設定的閾值進行自動學習，學習完成后可以抵御各種變形攻擊。另外還可以通過自定義參數規則來更準確的匹配合法 URL 參數，提高攻擊識別能力。3.4.3.5.應用信息隱藏NGAF 對主要的服務器（WEB 服務器、FTP 服務器、郵件服務器等）反饋信息進行了有效的隱藏。防止黑客利用服務器返回信息進行有針對性的攻擊。如：HTTP 出錯頁面隱藏：用于屏蔽 Web 服務器出錯的頁面，防止 web 服務器版本信息泄露、數據庫版本信息泄露、網站絕對路徑暴露，應使用自定義頁面返回。HTTP(S)響應報文頭隱藏：用于屏蔽 H

35、TTP(S)響應報文頭中特定的字段信息。FTP 信息隱藏：用于隱藏通過正常 FTP 命令反饋出的 FTP 服務器信息，防止黑客利用 FTP軟件版本信息采取有針對性的漏洞攻擊。3.4.3.6.URL 防護Web 應用系統中通常會包含有系統管理員管理界面以便于管理員遠程維護 web 應用系統，但是這種便利很可能會被黑客利用從而入侵應用系統。通過 NGAF 提供的受限 URL 防護功能，幫助用戶選擇特定 URL 的開放對象，防止由于過多的信息暴露于公網產生的威脅。3.4.3.7.弱口令防護弱口令被視為眾多認證類 web 應用程序的普遍風險問題，NGAF 通過對弱口令的檢查，制定弱口令檢查規則控制弱口

36、令廣泛存在于 web 應用程序中。同時通過時間鎖定的設置防止黑客對 web 系統口令的暴力破解。深信服下一代防火墻技術白皮書文檔密級：公開23/413.4.3.8.HTTP 異常檢測通過對 HTTP 協議內容的單次解析，分析其內容字段中的異常，用戶可以根據自身的 Web業務系統來量身定造允許的 HTTP 頭部請求方法，有效過濾其他非法請求信息。3.4.3.9.文件上傳過濾由于 web 應用系統在開發時并沒有完善的安全控制，對上傳至 web 服務器的信息進行檢查，從而導致 web 服務器被植入病毒、木馬成為黑客利用的工具。NGAF 通過嚴格控制上傳文件類型，檢查文件頭的特征碼防止有安全隱患的文件

37、上傳至服務器。同時還能夠結合病毒防護、插件過濾等功能檢查上傳文件的安全性，以達到保護 web 服務器安全的目的。3.4.3.10.用戶登錄權限防護針對某些特定的敏感頁面或者應用系統，如管理員登陸頁面等，為了防止黑客訪問并不斷的進行登錄密碼嘗試，NGAF 可以提供訪問 URL 登錄進行短信認證的方式，提高訪問的安全性。3.4.3.11.緩沖區溢出檢測緩沖區溢出攻擊是利用緩沖區溢出漏洞所進行的攻擊行動?？梢岳盟鼒绦蟹鞘跈嘀噶?，甚至可以取得系統特權，進而進行各種非法操作。NGAF 通過對 URL 長度，POST 實體長度和 HTTP 頭部內容長度檢測來防御此類型的攻擊。3.4.3.12.HTTPS

38、 解密由于 HTTPS 的數據是經過 SSL 加密處理的，如果不進行 HTTPS 解密，SANGFOR NGAF 無法分析加密數據包里面的內容，從而也無法達到各種攻擊檢測和防護的作用，而只能進行數據轉發。HTTPS 解密主要是在 SANGFOR NGAF 內部實現了 HTTPS 的代理功能。當 NGAF 識別到用戶在與 HTTPS 服務器建立連接時，根據用戶配置的策略，把這條連接的所有數據包抓到應用層，并用用戶配置的 SSL 證書進行 SSL 解密，然后把解密后的數據包進行各種安全檢測處理，如數據包無異常，則再使用用戶配置的 SSL 證書進行加密發送出去。深信服下一代防火墻技術白皮書文檔密級：

39、公開24/413.4.4.未知威脅檢測3.4.4.未知威脅檢測深信服 NGAF 在發現未知流量時，將會主動（配置允許的條件下）將未知流量上傳到云端沙盒進行未知威脅的檢測工作。深信服云端沙盒可以通過監測沙盒環境下的文件執行情況、異常網絡行為、注冊表改動等行為來進行未知威脅的判定工作，再通過特征庫更新的方式下發到所有在線的 NGAF 上。深信服目前已經有上網臺 NGAF 與云端聯動，每天運行大量的未知流量發現新威脅特征，用以充實特征庫，幫助用戶抵御較新的攻擊行為。深信服下一代防火墻技術白皮書文檔密級：公開25/413.4.5.3.4.5.防篡改防篡改深信服 NGAF 防篡改系統由兩部分組成：深信服

40、 NGAF 和深信服防篡改客戶端?？蛻舳撕拖乱淮阑饓o密結合，功能聯動，保證網站內容不被篡改。3.4.5.1.先進的 IRP 流攔截技術深信服防篡改客戶端采用系統底層文件過濾技術，在文件系統上加載防篡改客戶端驅動程序，攔截分析 IRP（I/O Request Pcaket）流，識別用戶對文件系統的所有操作，并根據防篡改策略對非法的操作進行攔截，以確保受保護的網站目錄文件不被篡改。1.客戶端軟件采用目前最流行的 IRF 文件驅動流，通過在客戶端軟件配置需要保護的文件目錄和允許修改該目錄的應用程序，識別修改被保護網站目錄的應用程序是否合法；2.文件驅動檢測并識別到非法應用程序修改目錄時，拒絕該應

41、用程序的修改動作，并記錄行為日志，上報到 NGAF；3.客戶端軟件只有連接了 NGAF 才能激活使用，不能獨立使用；使用客戶端軟件連接NGAF 時，NGAF 上面須配置一條策略使被保護服務器 IP 與客戶端軟件能夠進行匹配；深信服下一代防火墻技術白皮書文檔密級：公開26/413.4.5.2.網站管理強認證深信服 NGAF 對網站管理進行二次認證，防止網站管理員因密碼泄露而被篡改，并且對用戶網站服務器進行 web 防護，防止網站因 webshell、sql 注入等攻擊被篡改。管理員后臺管理賬號密碼泄露，黑客即使知道了管理員賬號密碼，因為無法通過 NGAF的二次驗證，因而無法篡改網站服務器的目的。

42、深信服下一代防火墻技術白皮書文檔密級：公開27/41黑客入侵到內網，控制了一臺肉雞，想通過肉雞篡改網站服務器，深信服防篡改客戶端發現管理員的源 IP 地址不合法，并且沒有通過授權，因而也無法達到篡改網站服務器的目的。3.4.5.3.支持多種網站維護方式深信服 NGAF 防篡改系統支持 FTP，CMS 等多種網站后臺管理方式，在對客戶網站服務器起到保護作用的同時，不會給管理員帶來額外的管理負擔，做到的真正的簡單實用。3.4.6.3.4.6.DDOSDDOS 防護防護深信服 NGAF 采用自主研發的 DOS 攻擊算法，可防護基于數據包的 DOS 攻擊、IP 協議報文的 DOS 攻擊、TCP 協議報

43、文的 DOS 攻擊、基于 HTTP 協議的 DOS 攻擊等，實現對網絡層、應用層的各類資源耗盡的拒絕服務攻擊的防護，實現 L2-L7 層的異常流量清洗。SANGFOR NGAF 通過兩個檢測階段進行 DDoS 的檢測和防護：深信服下一代防火墻技術白皮書文檔密級：公開28/41對于業務數據第一階段進行 TCP 異常包、IP 選項攻擊、未知 IP 協議攻擊、IP 分片攻擊、LAND 攻擊、WINNUKE 攻擊、SMURF 攻擊、TCP 選項攻擊、各種 FLOOD 攻擊（包括 SYN FLOOD,ICMP FLOOD,UDP FLOOD,DNS QUERY FLOOD）等 DDoS 檢測。當第一階段

44、中檢測到 SYN 包頻率過高時，將在第二階段對 TCP 連接做 SYN COOKIE 代理，第二階段還進行 ICMP 大包攻擊(即ping of death)等檢測。對于本機（訪問 SANGFOR NGAF 自身）數據，DDoS 檢測模塊會在第一階段做端口掃描的檢測（SYN 掃描和 CONNECT 掃描），包括所有的 nmap 掃描：FIN 掃描，NULL 掃描，xmastree 掃描，UDP 掃描，ACK 掃描，MAIMON 掃描，WINDOWS 掃描，TCP Idle 掃描。而第二階段根據第一階段的檢測結果決定是否做本機的 syn 代理。3.4.7.3.4.7.病毒防護病毒防護深信服 NG

45、AF 采用流模式和啟發式文件掃描技術，可對 HTTP、SMTP、POP3、FTP 等多種協議類型的近百萬種病毒進行查殺，包括木馬、蠕蟲、宏病毒、腳本病毒等，同時可對多線程并發、深層次壓縮文件等進行有效控制和查殺。深信服下一代防火墻技術白皮書文檔密級：公開29/413.4.7.1.多協議并行解析為了充分利用深信服 NGAF 的多核硬件的架構優勢，NGAF 中的協議解析引擎采用了并行解析架構，可以對包括 HTTP、SMTP、POP3、FTP 等不同的協議并發進行解析，極大的提高解析效率。3.4.7.2.內存共享殺毒協議解析引擎和殺毒引擎之間直接通過共享內存傳遞病毒樣本和殺毒結果，進程之間數據交互零

46、拷貝，不會因為不同引擎間的數據拷貝導致殺毒效率降低。3.4.7.3.多進程并行查殺殺毒引擎采用深信服 NGAF 自研發的多進程任務分發架構，利用多核硬件架構，可以極大的提高殺毒引擎同時查殺的病毒樣本數目。3.4.7.4.智能學習病毒殺毒引擎對于已經查殺過病毒樣本，將智能的提取樣本特征寫入緩存，當協議解析引擎深信服下一代防火墻技術白皮書文檔密級：公開30/41再次發起相同的病毒樣本查殺任務時，可以快速的返回查殺結果，從而極大的提高病毒查殺效率。3.4.8.3.4.8.數據防泄密數據防泄密深信服 NGAF 提供可定義的敏感信息防泄漏功能，根據儲存的數據內容可根據其特征清晰定義，通過短信、郵件報警及

47、連接請求阻斷的方式防止大量的敏感信息被竊取。深信服敏感信息防泄漏解決方案可以自定義多種敏感信息內容進行有效識別、報警并阻斷，防止大量敏感信息被非法泄露。（如：用戶信息/郵箱賬戶信息/MD5 加密密碼/銀行卡號/身份證號碼/社保賬號/信用卡號/手機號碼）深信服 NGAF 數據防泄密特征庫由深信服北京研究中心的安全專家實時跟蹤業界的安全動態，收集軟件的敏感信息特征，提取成特征庫并實時更新到 NGAF。保證 NGAF 能夠及時的阻斷黑客對敏感信息的訪問，保護客戶的隱私信息。深信服下一代防火墻技術白皮書文檔密級：公開31/413.5.3.5.事后檢測及響應事后檢測及響應3.5.1.3.5.1.持續檢測

48、持續檢測3.5.1.1.失陷主機深信服 NGAF 獨有的失陷主機檢測功能，能夠實時對外發流量進行檢測，協助用戶定位內網被黑客控制的服務器或終端。該功能融合了僵尸網絡識別庫，全球在線的僵尸網絡榮譽庫，業界領先的失陷主機行為識別技術對黑客的攻擊行為進行有效識別，針對以反彈式木馬為代表的惡意軟件進行深度防護。同時結合多種失陷主機的行為特征為主機失陷的概率進行評分，幫助用戶對問題進行精確定位，減少誤判帶來的運維浪費。3.5.1.2.黑鏈檢測黑客通過非法手段在 web 服務器中的的頁面插入非法鏈接，或者在 web 服務器中放置存在非法鏈接的頁面。這些非法鏈就是黑鏈。深信服下一代防火墻技術白皮書文檔密級：

49、公開32/41黑鏈對客戶造成許多的不良影響：損害網站形象、降低搜索排名、同時也說明客戶網站存在嚴重安全隱患。黑鏈檢測功能實現識別客戶的 web 服務器是否被植入黑鏈。其技術實現原理為：先通過對經過放火墻的流量進行 http 抓包，還原 html 頁面、js 文檔、以及 css 文檔；然后從黑鏈特征、黑鏈 url、以及黑鏈關鍵詞、js 跳轉等幾個方面對黑鏈進行檢測。黑鏈檢測通過在線更新機制，維護黑鏈 url 庫和黑鏈關鍵詞庫，保證檢測的有效性和正確性。黑鏈特征檢測黑鏈特征檢測檢測頁面中存在標簽的塊屬性標簽或者等標簽是否存在隱藏自我的樣式。黑鏈黑鏈 urlurl 檢測檢測檢測外鏈標簽的跳轉目標是否

50、為已知的非法站點。黑鏈關鍵詞檢測黑鏈關鍵詞檢測檢測外鏈標簽和關鍵詞敏感的標簽的內容中是否存在常用的黑鏈關鍵詞。jsjs 跳轉檢測跳轉檢測檢測 js 語法，發現異常的站點跳轉。3.5.2.3.5.2.安全響應安全響應為了幫助客戶在發現問題后進行快速響應，避免因延時處理帶來更大的危害，深信服NGAF 通過三個層面幫助客戶解決網絡安全問題。深信服下一代防火墻技術白皮書文檔密級：公開33/413.5.2.1.策略自動生成日常運維中大多數用戶每天都會看到上千條的安全日志，在對于這些安全問題的處理上如果依靠人工分析那么往往無法快速有效的策略配置。在對設備的配置方面還需要原廠工程師協助處理，這個日常工作帶來

51、了很大的延誤。深信服 NGAF 通過基于問題的發現，可自動生成響應的防護策略，幫助客戶快速簡單的實現策略更新，更快地實現安全防護。3.5.2.2.工具提供對于失陷主機的發現往往可以快速幫助客戶定位問題根源，但問題發現后往往帶來的便是如何清除的問題。深信服 NGAF 自帶僵尸主機清除工具，幫助客戶簡易處理失陷主機，快速清除隱患。3.5.2.3.云端支持深信服 NGAF 通過云端在線的安全專家，可以 7*24 小時的快速協助用戶處理安全問題，針對發現的安全風險進行安全加固，對于未知的問題進行威脅鑒定，通過人工服務彌補機器的智能缺陷。4.部署模式4.部署模式4.1.網關模式4.1.網關模式網關模式是

52、指設備工作在三層交換模式，NGAF 以網關模式部署在網絡中，所有流量都經過 NGAF 處理，實現對用戶或者服務器的流量管理、行為控制、安全防護等功能。作為的出口網關，NGAF 的安全功能可保障網絡安全，支持多線路技術擴展出口帶寬，NAT 功能代理內網用戶上網、服務器發布，實現路由功能等。深信服下一代防火墻技術白皮書文檔密級：公開34/41部署方式：部署方式：NGAF 的 WAN 口與廣域網接入線路相連，支持光纖、ADSL 線路或者是路由器；NGAF 的 LAN 口（DMZ 口）同局域網的交換機相連；內網 PC 將網關指向 NGAF 的局域網接口，通過 NGAF 代理上網。4.2.4.2.網橋模

53、式網橋模式4.2.1.4.2.1.單網橋模式單網橋模式網橋模式是指設備工作在二層交換模式，NGAF 以網橋模式部署在網絡中，如同連接在出口網關和內網交換機之間的“智能網線”，實現對用戶或者服務器的流量管理、行為控制、安全防護等功能。網橋模式適用于不希望更改網絡結構、路由配置、IP 配置的環境。深信服下一代防火墻技術白皮書文檔密級：公開35/41部署方式：部署方式：NGAF 的 WAN 口同出口網關 LAN 口相連，為 NGAF 分配一個網橋 IP，該 IP 和出口網關 LAN口在同一網段；LAN 口（DMZ 口）同核心交換機連接；局域網內的任何網絡設備和 PC 都不需要更改 IP 地址。4.2

54、.2.4.2.2.多網橋模式多網橋模式考慮到網絡的穩定性、可靠性，往往采用雙機、雙線路構建基礎網絡。NGAF 支持多路橋接模式，適應多機網絡環境要求。在不影響原有雙機、雙線路前提下，對流經 NGAF 的所有數據流進行控制、攔截、流量管理、安全檢測等操作。深信服下一代防火墻技術白皮書文檔密級：公開36/41部署方式：部署方式：通過 NGAF 配置界面，定義兩對橋接口（WAN1-LAN1，WAN2-LAN2）；為每對網橋分配 IP 地址。4.3.4.3.旁路模式旁路模式NGAF 以旁路模式部署在網絡中，與交換機鏡像端口相連，實施簡單，完全不影響原有的網絡結構，降低了網絡單點故障的發生率。此時 NG

55、AF 獲得的是鏈路中數據的“拷貝”，主要用于監聽、檢測局域網中的數據流及用戶或服務器的網絡行為，以及實現對用戶或服務器的 TCP 行為的管控。深信服下一代防火墻技術白皮書文檔密級：公開37/41部署方式：部署方式：配置出口交換機的鏡像端口，與 AC 的廣域網口相連，實現對內網數據包的監聽。4.4.4.4.雙機模式雙機模式4.4.1.4.4.1.主主模式主主模式為了同時部署兩臺設備，NGAF 支持兩臺以上設備同時以主機模式運行，起到設備冗余與負載均衡的作用。在這種環境中，NGAF 以單網橋模式、多網橋模式或者網關模式部署在網絡中。深信服下一代防火墻技術白皮書文檔密級：公開38/41部署方式：部署

56、方式：NGAF 以網橋模式或者路由模式部署在網絡中，為每臺 NGAF 配置網橋 IP；每臺設備上指定的通信網口在同一個局域網內，NGAF 之間即可實現同步。4.4.2.4.4.2.主備模式主備模式為了網絡穩定可靠，同時部署兩臺設備，NGAF 支持兩臺設備以雙機模式運行。兩臺設備通過心跳口相連，一主一備，當主設備發生故障時自動切換到備用設備，提高網絡的穩定可靠性。在這種環境中，NGAF 以單網橋模式、多網橋模式或者網關模式部署在網絡中。深信服下一代防火墻技術白皮書文檔密級：公開39/415.市場表現5.市場表現5.1.高速增長，年復合增長超 70%5.1.高速增長，年復合增長超 70%深信服下一

57、代防火墻技術白皮書文檔密級：公開40/415.2.眾多權威機構一致認可5.2.眾多權威機構一致認可5.3.為客戶需求而持續創新5.3.為客戶需求而持續創新6.關于深信服6.關于深信服深圳市深信服科技股份有限公司成立于 2000 年，是專注于網絡安全與云計算領域，致力于為用戶提供更簡單、更安全、更有價值的創新 IT 解決方案服務商。目前，深信服在全球共設有 55 個直屬分支機構，其中包括香港、新加坡、馬來西亞、印尼、泰國、英國和美國等七個國際直屬辦事處和分公司，員工規模將近 3000 名。隨著企業規模的擴大發展，深信服也獲得了多方認可。先后獲得了“CMMI5 國際認證”、“第一批國家高新技術企業”、“國家規劃布局內重點軟件企業”“亞太地區德勤高科技高