SANGFOR_AF产品介绍

端口 / 服务 扫描
服务器 弱密码扫描
单次解析 策略联动
服务器 风险评估
服务器 / 终端 安全报表
安全分析与审计
流量 / 应用 / 网站 短信 / 邮件
统计报表
报警
NGAF L2-L7 层防御体系
完整的防火墙功能
NGAF 涵盖了完整的传统防火墙功能包括访问控制、NAT 支持、路由协议、VLAN 属性等功能，已便于用户替换传统防火墙后，将原 有的策略完全迁移至下一代防火墙中，实现简化组网、方便运维的效果。
涵盖传统安全
应用层高性能
应用层的安全威胁日益盛行，但源自底层的网络层安全威胁仍然 存在，其危害性也不容忽视。下一代防火墙应该涵盖传统防火墙、 IPS、VPN 等功能，以减少多设备串行部署单点故障、性能瓶颈 以及风险无法统一定位的问题。同时从用户长远利益考虑减少重 复无效的投资，实现最优的投资回报。
虽然多功能网关具备部分应用安全防护能力，但其传统安全设备 的集成、串行部署的方式，使其在多种功能开启之后性能急剧下 降，最终只能当传统防火墙使用。下一代防火墙应该从软件构架、 硬件构架两方面彻底改变多功能网关由于多功能堆叠、串行部署 导致的性能瓶颈问题，具备应用层高性能实现万兆的吞吐。
融合领先的 IPSecVPN
NGAF 融合了国内市场占有率第一的 IPSec VPN 模块，实现分支机构高安全防护、高投资回报的分支机构安全建设目标，体现一体 化安全组网与安全防护的效果。
统一集中管理平台
NGAF 提供统一集中管理平台实现对分支各设备的集中监管与远程配置，提高管理效率，简化运维成本。
深信服 NGAF 下一代防火墙
产品概述
深信服下一代防火墙（Next-Generation Application Firewall）NGAF 是面向应用层设计，能够精确识别用户、应用和内容， 具备完整安全防护能力，能够全面替代传统防火墙，并具有强劲应用层处理能力的全新网络安全设备。NGAF 解决了传 统安全设备在应用识别、访问控制、内容安全防护等方面的不足，同时开启所有功能后性能不会大幅下降。
应用协议内容隐藏
NGAF 可针对主要的服务器（WEB 服务器、FTP 服务器、邮件服务器等）反馈信息进行了有效的隐藏。防止黑客利用服务器返回信 息进行有针对性的攻击。如：HTTP 出错页面隐藏、响应报头隐藏、FTP 信息隐藏等。
智能的网络安全防御体系
下一代防火墙 NGAF L2-L7 层防御体系
接入安全
同样都能防护 web 攻击，与 web 应用防火墙关注 web 应用程序安全的设计理念不同，深信服下一代防火墙 NGAF 关注 web 系统在对外发布的过程中各个层面的安全问题，为对外发布系统打造坚实的防御体系。
下一代防火墙的标准
Gartner 在 2009 年发布了一份名为《Defining the Next-GenerationFirewall》的文章，给出了真正能够满足用户当前安全需求的下一 代防火墙（NGFW）定义。 结合安全发展趋势和国内用户的安全建设现状，深信服认为下一代防火墙需要满足以下几个方面的特点：
NGAF 采用自主研发的 DOS 攻击算法，可防护基于数据包的 DOS 攻击、IP 协议报文的 DOS 攻击、TCP 协议报文的 DOS 攻击、基于 HTTP 协议的 DOS 攻击等，实现对网络层、应用层的各类资源耗尽的拒绝服务攻击的防护，实现 L2-L7 层的异常流量清洗。
专业攻防研究团队确保持续更新
可定义的敏感信息防泄漏
NGAF 提供可定义的敏感信息防泄漏功能，根据储存的数据内容可根据其特征清晰定义，通过短信、邮件报警及连接请求阻断的方 式防止大量的敏感信息被窃取。深信服敏感信息防泄漏解决方案可以自定义多种敏感信息内容进行有效识别、报警并阻断，防止 大量敏感信息被非法泄露。（如：用户信息 / 邮箱账户信息 /MD5 加密密码 / 银行卡号 / 身份证号码 / 社保账号 / 信用卡号 / 手机 号码……）
智能的用户与应用的识别能力
智能用户身份识别
NGAF 用户识别功能可以与 8 种认证系统（AD、LDAP、Radius 等）、应用系统（POP3、SMTP 等）无缝对接，通过单点登录的方式 自动识别出网络当中 IP 地址对应的用户信息，并建立组织的用户分组结构。
面向用户与应用的控制策略
区别于传统防火墙的五元组访问控制策略，下一代防火墙可通过应用可视化功能与用户识别技术结合制定的 L3-L7 一体化应用控 制策略 , 可以为用户提供更加精细和直观化控制界面，在一个界面下完成多套设备的运维工作，提升工作效率。
L4：传输层 L3：网络层 L2：链路层 L2：物理层
业务内容
风险越高
Web 应用架构
越迫切需要 被保护
Web 服务架构
操作系统 TCP/IP 协议线
网络接口
网线
敏感信息窃取 网页篡改、挂马 漏洞利用攻击 SQL 注入、跨站脚本 应用扫描探测
弱密码攻击 应用层 DDOS 蠕虫、病毒、木马 非安全应用滥用
安全风险评估与策略联动
NGAF 基于时间周期的安全防护设计提供事前风险评估及策略联动的功能。通过端口、服务、应用扫描帮助用户及时发现端口、服 务及漏洞风险，并通过模块间的智能策略联动及时更新对应的安全风险的安全防护策略。帮助用户快速诊断电子商务平台中各个 节点的安全漏洞问题，并做出有针对性的防护策略。
基于应用的深度入侵防御
NGAF 基于应用的深度入侵防御采用六大威胁检测机制：攻击特征检测、特殊攻击检测、威胁关联分析、异常流量检测、协议异常检测、 深度内容分析能够有效的防止各类已知未知攻击，实时阻断黑客攻击。如，缓冲区溢出攻击、利用漏洞的攻击、协议异常、蠕虫、 木马、后门、DoS/DDoS 攻击探测、扫描、间谍软件、以及各类 IPS 逃逸攻击等。
双向内容检测
Web应用服务器
网关型网页防篡改
网页防篡改是 NGAF 服务器防护中的一个子模块，其设计目的在于提供的一种事后补偿防护手段，即使黑客绕过安全防御体系修改 了网站内容，其修改的内容也不会发布到最终用户处，从而避免因网站内容被篡改给组织单位造成的形象破坏、经济损失等问题。 NGAF 通过网关型的网页防篡改（对服务器“0”影响），第一时间拦截网页篡改的信息并通知管理员确认。同时对外提供篡改重 定向功能，提供正常界面、友好界面、web 备份服务器的重定向，保证用户仍可正常访问网站。NGAF 网站篡改防护功能使用网关 实现动静态网页防篡改功能。这种实现方式相对于主机部署类防篡改软件而言，客户无需在服务器上安装第三方软件，易于使用 和维护，在防篡改部分基于网络字节流的检测与恢复，对服务器性能没有影响。
NGAF 的统一威胁识别具备 2500+ 条漏洞特征库、数十万条病毒、木马等恶意内容特征库、1000+Web 应用威胁特征库，可以全面识 别各种应用层和内容级别的各种安全威胁。其漏洞特征库已通过国际最著名的安全漏洞库 CVE 严格的兼容性标准评审，获得 CVE 兼容性认证（CVE Compatible）。 深信服凭借在应用层领域 6 年以上的技术积累组建了专业的安全攻防团队，作为微软的 MAPP（Microsoft Active Protections Program）项目合作伙伴，可以在微软发布安全更新前获得漏洞信息，为客户提供更及时有效的保护，以确保防御的及时性。
防应用层攻击
双向内容检测
75% 的安全威胁源自应用层，下一代防火墙应该具备应用层协 议的识别能力，并能针对应用层安全威胁提供完整的解决方案。 弥补传统安全设备由于工作在网络，只解析网络层数据包，无法 理解应用层协议并防护应用层的安全威胁的问题。
为了解决传统安全设备只针对外部攻击防护的问题，下一代防火 墙应该具备双向的内容检测能力。除了能够防护外部攻击以外， 需要对服务器响应的反馈内容进行严格的安全检查。以提供防网 页篡改，防敏感信息泄露等功能。
区别于传统的网络层防火墙，NGAF 具备 L2-L7 层的协议的理解能力。不仅能够实现网络层访问控制的功能，且能够对应 用进行识别、控制、防护，解决了传统防火墙应用层控制和防护能力不足的问题。
区别于传统 DPI 技术的入侵防御系统，深信服 NGAF 具备深入应用内容的威胁分析能力，具备双向的内容检测能力为用 户提供完整的应用层安全防护功能。
访问控制问题
协议异常
网络层 DDOS
ARP 欺骗、广播风暴
传输线路物理损坏
全面的应用安全防护能力
强化 web 攻击防护
深信服下一代防火墙 NGAF 有效结合了 web 攻击的静态规则及基于黑客攻击过程的动态防御机制，提供 OWASP 定义的十大安全威胁 的攻击防护能力，有效防止常见的 web 攻击。如，SQL 注入、XSS 跨站脚本、CSRF 跨站请求伪造等，保护 web 系统免受网站篡改、 网页挂马、隐私侵犯、身份窃取、经济损失、名誉损失等问题。
网络安全
应用安全
业务安全
基于应用路由 IPSec VPN OSPF、RIP 用户认证 AD 域结合认证
网络 ACL NAT 双向地址转换 流量清洗 DOS/DDOS 基于应用流控
应用访问控制 基于应用 IPS 漏洞防护 CC 攻击防护 病毒木马查杀 应用层 DOS/DDOS URL 过滤
强化的 Web 安全 变种的 SQL 防护 * 网关型网页防篡改 * 敏感信息防泄漏 * 防口令暴力破解 Websell 上传 恶意插件过滤
CVE 兼容性认证
独特的双向内容检测技术
防止端口 / 服务器扫描 防止应用漏洞扫描 弱口令保护防暴力破解 关键 URL 保护 防网站结构扫描 防止网络爬虫攻击
扫描过程
强化的 web 防护 防 SQL 注入攻击 防 OS 命令注入 XSS 攻击、CSRF 攻击
基于应用的入侵防御 服务器漏洞攻击防护 终端漏洞攻击防护
特点
NGAF
涵 盖 传 统 安 全
测 检 容 内 向 双
下一代防火墙标准
URL
敏
恶应 感
意用网信 特
信页息 息防防
点
拦隐篡泄
截藏改漏
深信服 NGAF 产品功能特点
精细的应用安全访问控制
可视化的应用识别
传统防火墙最主要的用途就是在非信任网络与信任网络通过访问控制实现安全管理。过去一个端口便代表了一个应用，防火墙的 问题并没有完全暴露出来。而随着应用程序的不断发展，采用端口跳跃、端口逃逸、多端口、随机端口的应用越来越多，使得传 统防火墙五元组的访问控制策略可读性、可视性，可控性受到巨大冲击，传统防火墙在 web2.0 时代已无法适应精细化访问控制的 需求。 NGAF 具有卓越的应用可视化功能，通过多种应用识别技术形成国内最大的应用特征识别库，可精确识别内外网的采用端口跳跃、 端口逃逸、多端口、随机端口的各类应用，为下一代防火墙实现用户与应用的精细化访问控制提供技术基础。
高效精确的病毒检测能力
NGAF 提供先进的病毒防护功能，可从源头对 HTTP、FTP、SMTP、POP3 等协议流量中进行病毒查杀，也可查杀压缩包（zip，rar，gzip 等） 中的病毒。同时采用高效的流式扫描技术，可大幅提升病毒检测效率避免防病毒成为网络安全的瓶颈。
智能 DOS/DDOS 攻击防护
基于用户和应用的访问控制策略
基于应用的流量控制
区别于传统防火墙的简单的基于数据包优先级的转发 QOS 流量管理策略。深信服 NGAF 可提供基于用户和应用的流量管理功能，能 够基于应用做流量控制，实现阻断非法流量、限制无关流量保证核心业务的可视化流量管理价值。
全面的应用安全防护能力
网络层次越高 资产价值越大 L5-L7：应用层
多高多报
特 点
功达核文 能万并单 开兆行次
启吞处解
时吐理析
性量
能wenku.baidu.com
稳
定
防应用层攻击
特点
强化 web 安全 变种 SQL 防护 基于应用的 IPS 漏洞防御
CC 攻击防护 病毒木马恶意插件过滤
近千种应用识别
应 用 层高 性 能
状态检测 访问控制 集成 IPSEC 路由及 NAT 支持 抗 DoS / DDoS 攻击
攻击过程
DOS 攻击 应用层 DOS 攻击 CC 攻击 * 权限控制 可执行程序上传过滤 上行病毒木马清洗 切断 webshell 流量
破坏过程
用户/黑客
窃取内容
服务器外发内容过滤 网页防篡改：静态、动态 敏感信息防泄露：身份证号、 信用卡号、财务数据等 应用信息隐藏：HTTP 出错页面、 响应报文头隐藏、FTP 信息隐藏