SANGFOR_AF产品介绍

深信服NGAF解决方案深信服科技有限公司2011年7月4日第1章需求概述1.1背景介绍互联网及IT技术的应用在改变人类生活的同时，也滋生了各种各样的新问题，其中信息网络安全问题将成为其面对的最重要问题之一。

网络带宽的扩充、IT应用的丰富、互联网用户的膨胀式发展，使得网络和信息平台早已成为攻击爱好者和安全防护者最激烈斗争的舞台。

Web时代的安全问题已远远超于早期的单机安全问题，尽管防火墙、IDS、UTM等传统安全产品在不断的发展和自我完善，但是道高一尺魔高一丈，黑客们不仅专门针对安全设备开发各种工具来伪装攻击、逃避检测，在攻击和入侵的形式上也与应用相结合越来越紧密。

这些都使传统的安全设备在保护网络安全上越来越难。

目前更多的出现了以下的安全问题：投资成本攀升，运维效率下降许多企业为了应对复杂的安全威胁,购买了多个厂商的安全产品,安全建设犹如堆积木一般。

购买的安全防护产品愈来愈多，问题也随之出现：大量的安全防护产品部署，需要大量专业安全管理人员负责维护，复杂的安全架构使得管理同样变得复杂化，由于企业采用了多套安全解决方案，这就要求有很多技术人员精通不同厂商的解决方案。

购买产品很简单，日常运维很复杂，这对企业本来就有限的IT人员、安全管理人员来讲是非常痛苦和困难的事情。

而且不同厂商安全解决方案之间的协调性也有待商榷，当专业化的攻击和威胁来临时，这些安全产品之间能不能发挥协同作用抵御威胁这还是一个很大的问号。

对企业的管理者来说，如何降低管理成本、提高运维效率、提升企业安全水平，是目前最急待解决的问题。

“数据库泄密”、“网页遭篡改”等应用层安全事件频现2011年上半年，索尼超过1亿个客户帐户的详细资料和1200万个没有加密的信用卡号码失窃，索尼已花掉了1.71亿美元用于泄密事件之后的客户挽救、法律成本和技术改进这笔损失只会有增无减。

2011年5月10日上午消息，一些兜售廉价软件的黑客攻击了多个知名网站，包括美国宇航局(以下简称“NASA”)和斯坦福大学的网站。

深信服下一代防火墙NGAF技术白皮书深信服科技有限公司二零一三年四月目录一、概述 (4)二、为什么需要下一代防火墙 (4)2.1 网络发展的趋势使防火墙以及传统方案失效 (4)2.2 现有方案缺陷分析 (5)2.2.1 单一的应用层设备是否能满足？ (5)2.2.2 “串糖葫芦式的组合方案” (5)2.2.3 UTM统一威胁管理 (6)三、下一代防火墙标准 (6)3.1 Gartner定义下一代防火墙 (6)3.2 适合国内用户的下一代防火墙标准 (7)四、深信服下一代应用防火墙—NGAF (8)4.1 产品设计理念 (8)4.2 产品功能特色 (9)4.2.1 更精细的应用层安全控制 (9)4.2.2 全面的应用安全防护能力 (12)4.2.3 独特的双向内容检测技术 (17)4.2.4 涵盖传统安全功能 (19)4.2.5 智能的网络安全防御体系 (19)4.2.6 更高效的应用层处理能力 (20)4.3 产品优势技术 (21)4.3.1 深度内容解析 (21)4.3.2 双向内容检测 (21)4.3.3 分离平面设计 (21)4.3.4 单次解析架构 (22)4.3.5 多核并行处理 (23)4.3.6 智能联动技术 (24)五、解决方案与部属 (24)5.1 互联网出口-内网终端上网 (24)5.2 互联网出口-服务器对外发布 (25)5.3 广域网边界安全隔离 (25)5.4 数据中心 (26)六、关于深信服 (26)一、概述防火墙自诞生以来，在网络安全防御系统中就建立了不可替代的地位。

作为边界网络安全的第一道关卡防火墙经历了包过滤技术、代理技术和状态监视技术的技术革命，通过ACL 访问控制策略、NAT地址转换策略以及抗网络攻击策略有效的阻断了一切未被明确允许的包通过，保护了网络的安全。

防火墙就像机场的安检部门，对进出机场/防火墙的一切包裹/数据包进行检查，保证合法包裹/数据包能够进入机场/网络访问合法资源同时防止非法人员通过非法手段进入机场/网络或干扰机场/网络的正常运行。

深信服科技运营商行业案例集深信服科技有限公司2014年08月中国电信——上海公司 (3)安徽移动 (5)中国移动通信（湛江）分公司 (7)中国移动通信（邯郸）分公司 (11)中国电信——上海公司应用背景BOSS，业务运营支持系统（Business & Operation Support System），它融合了业务支撑系统（BSS)与运营支撑系统（OSS），是一个综合的业务运营和管理支撑平台，同时也是真正融合业务（不同的运营商有不同业务的融合，如传统网络接入业务、IP数据业务、内容提供业务与移动增值业务等）的综合管理平台。

该系统最早由电信部门的计费系统发展演变而来，基本功能包括客户资料管理、产品管理、用户订购管理、计费、出帐、结算等，负责登记客户资料、管理用户订购服务的提供、实时的根据不同产品、套餐的资费标准计算业务（手机、固定电话用户通话时、点播收视、宽带流量与时间等）的消费金额，准实时及定期计算用户帐单，实时或定期结算用户各种消费费用。

后来又增加了用户信用控制功能，负责实时计算预付费用户现金余额，对欠费用户实施即时停机。

随着电信企业的不断发展，BOSS也在逐渐完善并增强功能，逐渐包括了资源管理系统、客户服务系统、以及与银行等外界的接口，不断提高企业的服务质量。

随着上海电信公司对业务系统的增加。

整体系统的稳定性，安全性都是上海电信的正常业务交付需要的保障。

需求分析上海电信的BOSS系统承载了资源管理系统、客户服务系统，此次安全加固需要做到以下几点：防止漏洞扫描：之前由移动省公司利用扫描工具对地市的各个BOSS系统进行扫描发现了很多漏洞。

包括服务器、客户端、网络协议等安全漏洞，此次安全升级针对BOSS系统漏洞的进行防护泄露。

防止针对漏洞的攻击行为：能够防止针对于服务器或用户的系统的底层OS漏洞或是软件漏洞，以及中间件进行相应的防御并作出处理。

防止针对WEB服务器的攻击行为：能都对黑客针对于WEB服务器的攻击行为进行防御与处理。

深信服千兆隔离网闸AF一、深信服安全隔离网闸的定位全球最具权威的IT研究与顾问咨询公司——Gartner，在2009年发布了一份名为《Defining the Next-Generation Firewall》的文章，给出了真正能够满足用户当前安全需求的安全隔离网闸定义：安全隔离网闸是一种深度包检测网闸，超越了基于端口、协议的检测和阻断，增加了应用层的检测和入侵防护,安全隔离网闸不应该与独立的网络入侵检测系统混为一谈，后者只包含了日常的或是非企业级的网闸，或者把网闸和IPS简单放到一个设备里，整合的并不紧密。

结合目前国内的互联网安全环境来看，更多的安全事件是通过Web层面的设计漏洞被黑客利用所引发。

据统计，国内用户上网流量与对外发布业务流量混合在一起的比例超过50%。

以政府为例，60%以上的政府单位门户网站和用户上网是共用电子政务外网的线路。

在这种场景下，如果作为出口安全网关的网闸不具备Web应用防护能力，那么在新出现的APT攻击的大环境下，现有的安全设备很容易被绕过，形同虚设，安全隔离网闸做为一款融合型的安全产品，不能存针对基于Web的应用安全短板。

做为国内安全隔离网闸产品的领导者，和公安部第二代网闸标准制定的参与者，深信服走在前沿，在产品推出伊始就把Web 应用防护这个基因深深地植入到深信服安全隔离网闸当中，深信服安全隔离网闸（Next-Generation Application Firewall）AF面向应用层设计，能够精确识别用户、应用和内容，具备完整的L2-L7层的安全防护体系，强化了在Web层面的应用防护能力，不仅能够全面替代传统网闸，并具在开启安全功能的情况下还保持有强劲应用层处理能力的全新网络安全设备。

二、为什么需要深信服安全隔离网闸近几年来，越来越多的安全事故告诉我们，安全风险比以往更加难以察觉。

随着网络安全形势逐渐恶化，网络攻击愈加频繁，客户对自己的网络安全建设变得越来越不自信。

SANGFOR_AF_等保场景 配置指导手册2019年8月修订历史编号修订内容简述修订日期修订前版本号修订后版本号修订人1 编写20190808 V1.0 chenke■版权声明本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属深信服所有，受到有关产权及版权法保护。

任何个人、机构未经深信服的书面授权许可，不得以任何方式复制或引用本文的任何片断。

目录第1章前言 (2)第2章典型案例 (2)第3章下一代防火墙的作用 (3)第4章下一代防火墙的配置内容 (4)4.1安全功能配置 (4)4.1.1划分区域 (4)4.1.2访问控制 (5)4.1.3高可用 (6)4.1.4 IPSec VPN功能 (7)4.1.5 IPS功能 (8)4.1.6网络杀毒功能 (11)4.1.7 WAF功能 (12)4.1.8网页防篡改 (14)4.1.9 DoS/DDoS防护 (15)4.1.10 APT攻击检测 (17)4.2安全计算环境 (17)4.2.1身份鉴别&访问控制 (17)4.2.2入侵防范 (20)4.2.3数据备份恢复 (22)4.3安全审计 (22)第1章 前言为了保障等保项目的顺利交付，协助用户满足GB/T-22239-2019等保三级的相关技术要求，特编写此配置指导文档。

第2章 典型案例第3章 下一代防火墙的作用安全域产品名称部署位置产品作用配置内容互联网出口域基础级防火墙互联网出口隔离互联网和内部网络防范网络入侵攻击网络层恶意代码过滤流量管理与控制区域划分访问控制IPS防病毒流量控制核心业务域（三级系统域）增强级防火墙核心业务服务区的外联口隔离核心业务服务器区和其他区域防范网络入侵攻击防范web应用层攻击访问控制IPSWAF对外服务器域增强级防火墙对外服务器区的外联口隔离对外服务器区和其他区域防范网络入侵攻击防范web应用层攻击网页防篡改访问控制IPSWAF网页防篡改运维管理域基础级防火墙运维管理域的外联口隔离运维区和其他区域访问控制第4章 下一代防火墙的配置内容4.1安全功能配置4.1.1划分区域GB/T 22239技术要求：1)应划分不同的网络区域，并按照方便管理和控制的原则为各网络区域分配地址；配置步骤：1、点击【网络】-【接口/区域】。

产品概述：深信服NGAF系列产品是一款以应用安全需求出发而设计的下一代应用防火墙。

弥补了传统防火墙基于端口/IP无法防护应用层安全威胁的缺陷；改善了UTM类设备简单功能堆砌，性能瓶颈的弱点。

通过单次解析引擎真正做到将防火墙、VPN、入侵防御、服务器防护、病毒防护、内容过滤、流量控制等多种安全技术有机的融合到一起，提供多功能、高性能的电信级安全设备。

与传统安全设备相比它可以针对丰富的应用提供更完整的可视化内容安全防护。

NGAF继承了传统防火墙的优秀品质能够适应各种复杂的网络环境，同时通过单次解析引擎、应用可视化引擎、灰度威胁关联分析引擎三大创新引擎技术，提供强大的网络安全防护、可视化的应用管控、全面的应用安全防护，形成2-7层一体化安全防护解决方案。

内网数据中心可视化安全内部数据中心建设往往会因为安全性的考虑，而串行部署多种安全设备，从而造成了增加单点故障、出现性能瓶颈、流量不清晰、设备管理复杂、风险无法及时定位等问题。

深信服NGAF通过一体化的应用管控、应用防护，以及智能风险报表等功能，可以为用户提供高性能、可视化、易管控的数据中心安全解决方案。

对外发布系统一体化安全防护近年来，金融的网银系统、政府的政务公开、网上业务受理、社保数据交换、运营商的网上营业厅等各种对外业务发布应用系统正在加快部署。

这些暴露在公众面前的业务系统，面临着多样的安全威胁，一旦被入侵或者篡改了数据就会损坏企业形象，造成经济损失、负面的政治影响等问题。

深信服NGAF可以针对发布系统可能存在的网站挂马、病毒上传、数据篡改、权限入侵、漏洞攻击等各种安全风险提供一体化、高性价比、跟智能的安全方案。

高效的广域网安全互联广域网建设的特点在于带宽资源有限、并发业务众多，而传统安全设备的部署并没有保证各种业务在广域网上安全、稳定的交付，病毒爆发快速蔓延整个网络、非法越权访问、关键业务带宽被挤占等问题依然频发。

深信服NGAF先通过应用防护功能模块过滤掉各种垃圾流量，再通过可视化应用引擎针对关键业务进行多级带宽保障，为用户打造流量纯净、网络稳定、终端安全的广域网安全互联解决方案。

Sangfor NGAF 销售一纸通一、什么是下一代应用防火墙NGAF？NGAF英文为Next-Generation Appplication Firewall下一代应用防火墙。

NGAF是面向应用层设计，能识别用户、应用和内容，具备完整安全防护能力的高性能下一代防火墙。

NGAF的特点：用户和应用识别能力基于应用内容的安全检查在应用层实现高性能涵盖传统防火墙、IPS的主要功能，内部能够实现联动客户需求问题：应用为王的网络时代，应用无法识别、无法管控，无法制定有效、简便的安全策略深入内容的应用层攻击，看似正常访问，却泄露关键信息，比如针对Web服务器攻击用户增多、带宽扩容，想要管理集中、功能全面，并能满足日益增长的带宽要求传统设备无法满足：传统防火墙无法识别应用，无法防御应用层威胁传统IPS、AV应用安全设备无法深入内容，防御威胁种类单一，需要组合使用传统UTM仅仅将FW、IPS、AV简单整合多次拆包多次解析性能低下NGAF解决办法：识别用户、应用，有效管控应用，防御应用攻击，制定基于用户与应用的安全策略深入内容的安全防护，有效过滤风险内容，具备更完整的安全防护功能单次解析构架、多核并行处理有效提升应用层性能满足带宽要求四点价值：更精细的应用层安全：贴近国内应用、持续更新的应用识别规则库识别内外网超过650种应用、1000种动作（截止于2011年8月1日）支持包括AD域、Radius等8种用户身份识别方式面向用户与应用策略配置，减少错误配置的风险更全面的内容级安全防护：基于攻击过程的服务器保护，防御黑客扫描、入侵、破坏三步曲强化的WEB应用安全，支持多种注入防范、XSS攻击、权限控制等完整的终端内容防护，支持web过滤、漏洞/病毒防护等更高性能的应用层处理能力：单次解析架构实现报文一次拆解、匹配多核并行处理技术提升应用层计算能力实现真正应用层万兆处理能力更完整的安全防护方案涵盖传统防火墙/VPN、IPS所有功能，并能够实现内部联动二、NGAF应用场景主要应用场景：对外发布业务安全保护：部署在网银、网上报税、网上营业厅、电子商务等系统出口，防止黑客入侵，保护关键业务和客户隐私信息，避免损害单位形象，造成经济损失；内网数据中心安全保护：部署在单位内部的财务、ERP、OA等服务器前面，精细控制访问权限，防止非法访问，防止企业机密信息被窃取，保障核心业务获取必要的带宽资源。

公安监控网络安全防护需求推广指导需求背景目前，各地市正在大力推进平安城市建设，平安城市的使用主体是公安部门，一般分为三个级别，自下而上分别为派出所、区县、市。

通过部署高清摄像头，对城市的重点单位、社区、公共场所、道路等区域进行实时的视频监控，预防违法犯罪事件发生，同时为事后取证提供保证。

这种监控网络通过专线控制下面数量众多的视频探头，探头采集视频数据并实时生成IP数据，同步传输到公安系统统一的存储区域，方便公安机构进行分析调用。

由于这些探头分属于很多不同的区域，并且由所在区域进行管理，当大量分散的IP探头接入网络中，极易造成IP地址冲突的问题。

同时，这些分散的监控体系也引入了很多风险节点，诸如IP视频探头、监控中心、网络传输节点、三方调用平台、公安体系终端等等都可能成为攻击的入口。

需求分析IP地址冲突：在城市的重要、热点区域部署大量IP摄像头，不仅能够有效预防违法犯罪事件发生，同时为事后取证提供保证，为平安城市建设提供了有效保障。

由于这些探头数量多，分布广，并且各个单位或社区都自主管理区域内的视频探头，因此造成了设备管理的分散和不统一，相同的IP地址可能被多个分支区域的设备使用，因而在接入公安系统统一平台后，就造成IP地址冲突的问题，导致传输数据中断，网络通信异常，甚至对应用系统造成威胁。

安全形势严峻：由于监控平台和管理终端的安全防护比较薄弱，很容易被黑客入侵、控制，进而影响整个公安内网的安全，导致公安系统网络出现病毒、木马、僵尸、DoS攻击、敏感信息泄露等安全问题。

同时，这些分散的监控体系也引入了诸多风险节点，如IP视频探头、监控中心、数据中心、网络传输节点、三方调用等等，都可能成为黑客入侵的入口。

近年不断爆出的国内视频监控设备存在漏洞，甚至被境外IP控制的事件，就充分的说明了监控体系严峻的网络安全形势，这些不仅对单位形象有损害，还可能泄漏核心机密数据，造成不可估量的经济、政治损失。

传统方案冗杂低效、防护不力：为了解决IP地址冲突，并实现网络边界隔离和公安系统内网保护，传统的做法是在每个接入公安局的网络前端部署传统防火墙设备，但接入的分支较多，导致要部署管理多台独立防火墙，不仅拥有成本高昂，还对部署管理和维护带来不便。

Gartner定义下一代防火墙源引自：Gartner《Defining the Next-Generation Firewall》一、防火墙必须演进防火墙必须演进，才能够更主动地阻止新威胁(例如僵尸网络和定位攻击)。

随着攻击变得越来越复杂，企业必须更新网络防火墙和入侵防御能力来保护业务系统。

不断变化的业务流程、企业部署的技术，以及威胁，正推动对网络安全性的新需求。

不断增长的带宽需求和新应用架构(如Web2.0)，正在改变协议的使用方式和数据的传输方式。

安全威胁将焦点集中在诱使用户安装可逃避安全设备及软件检测的有针对性的恶意执行程序上。

在这种环境中，简单地强制要求在标准端口上使用合适的协议和阻止对未打补丁的服务器的探测，不再有足够的价值。

为了应对这些挑战，防火墙必须演进为被著名市场研究公司Gartner称之为“下一代防火墙(NextGenerationFirewall，简称NGFW)”的产品。

如果防火墙厂商不进行这些改变的话，企业将要求通过降价来降低防火墙的成本并寻求其他安全解决方案来应对新的威胁环境。

二、什么是NGFW?Gartner将网络防火墙定义为在不同信任级别的网络之间实时执行网络安全政策的联机控制。

Gartner使用“下一代防火墙”这个术语来说明防火墙在应对业务流程使用IT的方式和威胁试图入侵业务系统的方式发生变化时应采取的必要的演进。

NGFW至少具有以下属性：1．支持联机“bump-in-the-wire”配置，不中断网络运行。

2．发挥网络传输流检查和网络安全政策执行平台的作用，至少具有以下特性：（1）标准的第一代防火墙能力：包过滤、网络地址转换(NAT)、状态性协议检测、VPN等等。

（2）集成的而非仅仅共处一个位置的网络入侵检测：支持面向安全漏洞的特征码和面向威胁的特征码。

IPS与防火墙的互动效果应当大于这两部分效果的总和。

例如提供防火墙规则来阻止某个地址不断向IPS加载恶意传输流。

SANGFOR_AF_ALL 端口映射配置与排错
深信服科技有限公司
2016年8月
AF端口映射配置配置与排错
配置端口映射的条件：首先需先确认服务器回应公网的数据包会经过AF，若不能确认，需先加一条SNAT，当公网访问服务器的数据从AF出去时，将公网源IP转换成AF出接口IP。

其次需保证服务器和设备之间能正常通讯。

一、名词解释
端口映射：AF端口映射包括目的地址转换和双向地址转换。

目的地址转换：也称为反向地址转换或地址映射。

目的地址转换是一种单向的针对目标地址的地址转换，主要用于内部服务器以公网地址向外部用户提供服务的情况。

双向地址转换：是指在一条地址转换规则中，同时包含源地址和目标地址的转换，匹配规则的数据流将被同时转换源IP地址和目标IP地址，主要用于内网用户通过公网地址访问内网服务器。

二、目的地址转换案例及配置
1、用户需求
某用户网络拓扑图如下，AF访火墙部署在网络出口，ETH2接外网线路，EHT1接内网线路，内网有一台WEB服务器，客户需要实现所有外网用户均能通过公网地址http://10.1.131.2访问内网的WEB服务器.
2、配置步骤：
三、双向地址转换案例及配置
1、用户需求：
某用户网络环境如图，AF防火墙部署在网络出口，内网有WEB服务器。

客户需要内网所有用户都可以通过10.1.129.2访问WEB服务器。

总结：。

Sangfor AF 路由模式设置1接口/区域设置：
1）设置 WAN口和LAN口属性
WAN口：勾选“WAN口”
静态IP地址：服务器外网地址/24
下一跳网关：服务器网关地址
LAN口：静态IP地址：服务器内网网关地址/24
下一跳IP地址 --空--
2）三层区域
将WAN口和LAN口添加到第三层区域
2添加路由
新增单个静态路由
目的地址：0.0.0.0
网络掩码：0.0.0.0
下一跳IP地址：服务器网关地址
接口:WAN口
度量值：0
3地址转换
1）代理上网：
新增源地址转换
源：区域：三层LAN区
IP组: 全部
目的：区域：三层WAN区
IP组/接口： IP组：全部
--其他默认--
2）开启5566端口映射-----远程控制使用端口新增目的地址转换
源：区域：三层WAN区
IP组：全部
目的：区域：—默认—
IP组：全部
协议：协议类型：TCP
源端口：所有端口
目的端口：5566
目的地址转换：指定IP：服务器内网网关地址
目的端口转换：不转换
3）开启9099端口映射-----健康档案使用端口同上5566
4防火墙
Dos/DDos防护
源区域：WAN/LAN （WAN）
其他全开。