深信服NGAF_下一代防火墙品牌认可材料

下一代防火墙- APT攻击防护首选利器一认识APT攻击互联网攻击与防御技术一直以来都是此消彼长，交替前行，根据CNCERT/CC 2012中国互联网网络安全报告分析，一种攻击特征更隐蔽、持续性更长、影响范围更大、技术手段更加灵活的网络间谍攻击对企业和组织将带来越来越大的安全威胁，这就是大家热谈的APT攻击。

APT 全称Advanced Persistent Threat（高级持续性威胁），是以窃取核心资料为目的，针对客户所发动的网络攻击和侵袭行为，是一种蓄谋已久的“恶意商业间谍威胁”。

这种行为往往经过长期的经营与策划，并具备高度的隐蔽性。

APT的攻击手法，在于隐匿自己，针对特定对象，长期、有计划性和组织性地窃取数据，这种发生在数字空间的偷窃资料、搜集情报的行为，就是一种“网络间谍”的行为。

二APT攻击特征(1)、攻击者的诱骗手段往往采用恶意网站，用钓鱼的方式诱使目标上钩；(2)、攻击者也经常采用邮件方式攻击受害者，这些夹杂着病毒的邮件内容往往让疏于防范的受害者轻易中招；(3)、网站往往是一个企业或组织的对外门户，很多企业或组织对网站缺乏良好的安全防护，对攻击者而言，网站如同攻击过程中的桥头堡，是攻击者渗透进内网的重要捷径；(4)、一旦企业或组织的内网终端或者门户网站感染恶意程序，成为僵尸网络主机，将频繁进行内网隐私数据信息嗅探；(5)、通过已感染主机做反弹跳板，黑客可以对目标网络进行持续性的账户/口令猜解或者数据监听，从而获取攻击目标登陆权限；(6)、目前绝大多数安全防护设备【传统网络层防火墙、IPS等等】只能做到从外到内的单向危险流量检测和防护，从内到外主动发起的数据传输缺乏有效的检测和防范机制，给APT攻击者开通了一条灰色的数据运输通道。

攻击者通过控制攻击目标，源源不断地从受害企业和组织获取数据信息。

从上述APT攻击特征进行分析，不难发现APT攻击已经不再是传统认识观念中的单一网络攻击行为，针对APT攻击，采取多款安全产品串行堆叠的传统做法已经无法有效应对，市场迫切需要新一种新的防御方案。

深信服下一代防火墙NGAF技术白皮书深信服科技有限公司二零一三年四月目录一、概述 (4)二、为什么需要下一代防火墙 (4)2.1 网络发展的趋势使防火墙以及传统方案失效 (4)2.2 现有方案缺陷分析 (5)2.2.1 单一的应用层设备是否能满足？ (5)2.2.2 “串糖葫芦式的组合方案” (5)2.2.3 UTM统一威胁管理 (6)三、下一代防火墙标准 (6)3.1 Gartner定义下一代防火墙 (6)3.2 适合国内用户的下一代防火墙标准 (7)四、深信服下一代应用防火墙—NGAF (8)4.1 产品设计理念 (8)4.2 产品功能特色 (9)4.2.1 更精细的应用层安全控制 (9)4.2.2 全面的应用安全防护能力 (12)4.2.3 独特的双向内容检测技术 (17)4.2.4 涵盖传统安全功能 (19)4.2.5 智能的网络安全防御体系 (19)4.2.6 更高效的应用层处理能力 (20)4.3 产品优势技术 (21)4.3.1 深度内容解析 (21)4.3.2 双向内容检测 (21)4.3.3 分离平面设计 (21)4.3.4 单次解析架构 (22)4.3.5 多核并行处理 (23)4.3.6 智能联动技术 (24)五、解决方案与部属 (24)5.1 互联网出口-内网终端上网 (24)5.2 互联网出口-服务器对外发布 (25)5.3 广域网边界安全隔离 (25)5.4 数据中心 (26)六、关于深信服 (26)一、概述防火墙自诞生以来，在网络安全防御系统中就建立了不可替代的地位。

作为边界网络安全的第一道关卡防火墙经历了包过滤技术、代理技术和状态监视技术的技术革命，通过ACL 访问控制策略、NAT地址转换策略以及抗网络攻击策略有效的阻断了一切未被明确允许的包通过，保护了网络的安全。

防火墙就像机场的安检部门，对进出机场/防火墙的一切包裹/数据包进行检查，保证合法包裹/数据包能够进入机场/网络访问合法资源同时防止非法人员通过非法手段进入机场/网络或干扰机场/网络的正常运行。

深信服下一代防火墙NGAF方案白皮书目录一、企业级网络安全建设需要什么 (4)1.传统割裂的各种安全产品？ (4)2.“雇佣兵”式的安全服务？ (5)3.企业级的网络安全到底需要什么？ (5)二、深信服下一代防火墙的定位 (6)1.适用于国内环境的下一代防火墙 (6)2.我们不仅交付产品，还为您持续输送安全能力 (7)三、深信服下一代防火墙为企业安全赋能 (7)1.看懂安全现状和风险 (7)1.1业务安全状况可视 (7)1.2威胁危害效果可视 (8)1.3安全事件实时通报 (9)2.持续对抗新型威胁 (10)2.1产品快速迭代应对已知威胁 (10)2.2完整的APT攻击检测链 (11)2.3云检测平台应对未知威胁 (12)3.简化安全运营 (13)3.1任务化的风险管理 (13)3.2全网安全统一管控 (14)3.3威胁情报预警与处置 (15)3.4风险评估与策略联动 (15)3.5智能联动封锁机制 (16)四、高效稳定的底层架构设计 (16)1.分离平面设计 (16)2.多核并行处理 (17)3.单次解析架构 (17)4.跳跃式扫描技术 (18)5.Sangfor Regex正则引擎 (18)6.产品性能评测报告 (19)五、深信服下一代防火墙品牌优势 (19)1.市场引领者 (19)2.专业权威的认可 (20)3.专业安全攻防团队 (21)4.产品可靠稳定 (21)六、典型场景和案例 (22)典型应用场景 (22)典型应用案例 (23)七、部分客户列表 (25)近年来，越来越多的网络安全事件告诉我们，安全风险比以往更加难以察觉。

随着网络安全形势逐渐恶化，网络攻击愈加频繁，用户对自己的网络安全建设是否合规、完善并没有把握。

该如何加强安全建设？安全建设的核心问题是什么？采用何种安全防护手段更为合适？安全建设该如何体现价值？这些问题已成为困扰用户安全建设的关键问题。

一、企业级网络安全建设需要什么传统组合方案问题多1.传统割裂的各种安全产品？传统产品组合方案缺陷一：不同的安全设备看到的是不同的攻击类型，信息是割裂的，难以对安全日志进行统一分析；安全设备在有攻击时才能发现问题，在没有攻击的情况下，就无法看到业务漏洞，但这并不代表业务漏洞不存在；即使发现了攻击，也无法判断业务系统是否真正存在安全漏洞，还是无法指导用户进行安全建设。

SANGFOR_AF_产品简介Gartner定义下⼀代防⽕墙源引⾃：Gartner《Defining the Next-Generation Firewall》⼀、防⽕墙必须演进防⽕墙必须演进，才能够更主动地阻⽌新威胁(例如僵⼫⽹络和定位攻击)。

随着攻击变得越来越复杂，企业必须更新⽹络防⽕墙和⼊侵防御能⼒来保护业务系统。

不断变化的业务流程、企业部署的技术，以及威胁，正推动对⽹络安全性的新需求。

不断增长的带宽需求和新应⽤架构(如Web2.0)，正在改变协议的使⽤⽅式和数据的传输⽅式。

安全威胁将焦点集中在诱使⽤户安装可逃避安全设备及软件检测的有针对性的恶意执⾏程序上。

在这种环境中，简单地强制要求在标准端⼝上使⽤合适的协议和阻⽌对未打补丁的服务器的探测，不再有⾜够的价值。

为了应对这些挑战，防⽕墙必须演进为被著名市场研究公司Gartner称之为“下⼀代防⽕墙(NextGenerationFirewall，简称NGFW)”的产品。

如果防⽕墙⼚商不进⾏这些改变的话，企业将要求通过降价来降低防⽕墙的成本并寻求其他安全解决⽅案来应对新的威胁环境。

⼆、什么是NGFW?Gartner将⽹络防⽕墙定义为在不同信任级别的⽹络之间实时执⾏⽹络安全政策的联机控制。

Gartner使⽤“下⼀代防⽕墙”这个术语来说明防⽕墙在应对业务流程使⽤IT的⽅式和威胁试图⼊侵业务系统的⽅式发⽣变化时应采取的必要的演进。

NGFW⾄少具有以下属性：1．⽀持联机“bump-in-the-wire”配置，不中断⽹络运⾏。

2．发挥⽹络传输流检查和⽹络安全政策执⾏平台的作⽤，⾄少具有以下特性：（1）标准的第⼀代防⽕墙能⼒：包过滤、⽹络地址转换(NAT)、状态性协议检测、VPN等等。

（2）集成的⽽⾮仅仅共处⼀个位置的⽹络⼊侵检测：⽀持⾯向安全漏洞的特征码和⾯向威胁的特征码。

IPS与防⽕墙的互动效果应当⼤于这两部分效果的总和。

例如提供防⽕墙规则来阻⽌某个地址不断向IPS加载恶意传输流。

国内下一代防火墙第一品牌
深信服下一代防火墙（Next-GenerationApplicationFirewall）NGAF是面向应用层设计，能够精确识别用户、应用和内容，具备完整安全防护能力，能够全面替代传统防火墙，并具有强劲应用层处理能力的全新网络安全设备。

NGAF解决了传统安全设备在应用识别、访问控制、内容安全防护等方面的不足，同时开启所有功能后性能不会大幅下降。

区别于传统的网络层防火墙，NGAF具备L2-L7层的协议的理解能力。

不仅能够实现网络层访问控制的功能，且能够对应用进行识别、控制、防护，解决了传统防火墙应用层控制和防护能力不足的问题。

区别于传统DPI技术的入侵防御系统，深信服NGAF具备深入应用内容的威胁分析能力，具备双向的内容检测能力为用户提供完整的应用层安全防护功能。

同样都能防护web攻击，与web应用防火墙关注web应用程序安全的设计理念不同，深信服下一代防火墙NGAF关注web系统在对外发布的过程中各个层面的安全问题，为对外发布系统打造坚实的防御体系。

性能参数
功能列表。

国内下一代防火墙第一品牌
深信服下一代防火墙（Next-Generation Application Firewall）NGAF是面向应用层设计，能够精确识别用户、应用和内容，具备完整安全防护能力，能够全面替代传统防火墙，并具有强劲应用层处理能力的全新网络安全设备。

NGAF 解决了传统安全设备在应用识别、访问控制、内容安全防护等方面的不足，同时开启所有功能后性能不会大幅下降。

区别于传统的网络层防火墙，NGAF具备L2-L7层的协议的理解能力。

不仅能够实现网络层访问控制的功能，且能够对应用进行识别、控制、防护，解决了传统防火墙应用层控制和防护能力不足的问题。

区别于传统DPI技术的入侵防御系统，深信服NGAF具备深入应用内容的威胁分析能力，具备双向的内容检测能力为用户提供完整的应用层安全防护功能。

同样都能防护web攻击，与web应用防火墙关注web应用程序安全的设计理念不同，深信服下一代防火墙NGAF 关注web系统在对外发布的过程中各个层面的安全问题，为对外发布系统打造坚实的防御体系。

深信服科技NGAF 下一代防火墙方案白皮书1.概述 (4)2.深信服下一代防火墙核心价值 (5)2.1.全程保护 (5)2.2.全程可视 (7)3.主要功能介绍 (8)3.1.系统架构设计 (8)3.2.基础防火墙特性 (11)3.3.事前风险预知 (13)3.4.事中安全防护 (18)3.5.事后检测及响应 (31)4.部署模式 (33)4.1.网关模式 (33)4.2.网桥模式 (34)4.3.旁路模式 (36)4.4.双机模式 (37)5.市场表现 (39)5.1.高速增长，年复合增长超70% (39)5.2.众多权威机构一致认可 (40)5.3.为客户需求而持续创新 (40)6.关于深信服 (40)1.概述近几年来，随着互联网+、业务数字化转型的深入推进，各行各业都在加速往互联网化、数字化转型。

业务越来越多的向公众、合作伙伴，第三方机构等开放，在数字化业务带给我们高效和便捷的同时，信息暴露面的增加，网络边界的模糊化以及黑客攻击的产业化使得网络安全事件相较以往成指数级的增加，面对应对层出不穷的新型安全事件如网站被篡改，被挂黑链，0 day 漏洞利用，数据窃取，僵尸网络，勒索病毒等等，传统安全建设模式已经捉襟见肘，面临着巨大的挑战。

问题一：传统信息安全建设，以事中防御为主。

缺乏事前的风险预知，事后的持续检测及响应能力传统意义上的安全建设无论采用的是多安全产品叠加方案还是采用 UTM/NGFW+WAF 的整合类产品解决方案，关注的重点都在于如何防护资产在被攻击过程中不被黑客入侵成功，但是并不具备对于资产的事前风险预知和事后检测响应的能力，从业务风险的生命周期来看，仅仅具备事中的防护是不完整的，如果能在事前做好预防措施以及在时候提高检测和响应的能力，安全事件发生产生的不良影响会大幅度降低，所以未来，融合安全将是安全建设发展的趋势。

问题二：传统安全建设是拼凑的事中防御，缺乏有效的联动分析和防御机制传统安全建设方案，搜集到的都是不同产品碎片化的攻击日志信息，只能简单的统计报表展示，并不能结合业务形成有效的资产安全状态分析。

深信服下一代防火墙中国第一品牌下一代防火墙已是大势所趋国际三大权威IT调研机构一致推荐优先使用下一代防火墙『我们预计到2014 年，35% 的企业将会安装下一代防火墙，而60%用户新购买的防火墙将是NGFW，并且它会拥有紧密集成的入侵防护、应用可视性和控制功能。

』——Gartner『随着市场对下一代安全网关的需求增加，预计到2018年，这一比例将达到80%，2013到2018年的5年复合增长率超过40%。

』——IDC『我们不再将整合式防火墙(Integrated Appliance)中入侵检测(IDS)/入侵防御(IPS)的市场份额取出，而是将下一代防火墙中的各个功能视为一个整体，称为”整合式网络安全设备”。

』——Frost&Sullivan90%的主流安全厂商已发布下一代防火墙目前国内主流的安全厂商已发布下一代防火墙，而作为国内下一代防火墙第一品牌，早在2011年，深信服就发布国内首款下一代防火墙NGAF，自发布后国内追随者不断，但销量一直稳居市场份额榜首，拥有最多用户数量。

截止2014年9月，深信服下一代防火墙在全国的用户累计超过8000家，在线稳定运行的设备超过15000台。

用户覆盖各行各业，其中包括60多家部委省厅级单位、80多家运营商金融单位、90多家知名教育单位、超过百家大型企业，国资委下属央企集团，用户数量遥遥领先。

68%的用户已优先选择下一代防火墙根据深信服往年的销售数据分析，在有安全建设需求的客户当中已有68%的客户购买了下一代防火墙。

国内第二代防火墙标准发布2015年2月4日由公安部网络安全保卫局、公安部科技信息化局和公安部第三研究所指导，深信服科技等国内主流安全厂商主办的第二代防火墙标准联合发布会在京召开，标志着国内下一代防火墙产品的技术选型有了权威的指导标准。

而深信服则是最早参与起草第二代防火墙标准的国内安全厂商，在标准的制定过程当中积极参与主导，提供了大量的技术咨询，建议和修订工作，历史两年最终完成该标准的出台和发布。

SANGFOR深信服下⼀代防⽕墙介绍（AF-1120AF-1210）国内下⼀代防⽕墙第⼀品牌深信服下⼀代防⽕墙（Next-Generation Application Firewall）NGAF是⾯向应⽤层设计，能够精确识别⽤户、应⽤和内容，具备完整安全防护能⼒，能够全⾯替代传统防⽕墙，并具有强劲应⽤层处理能⼒的全新⽹络安全设备。

NGAF解决了传统安全设备在应⽤识别、访问控制、内容安全防护等⽅⾯的不⾜，同时开启所有功能后性能不会⼤幅下降。

区别于传统的⽹络层防⽕墙，NGAF具备L2-L7层的协议的理解能⼒。

不仅能够实现⽹络层访问控制的功能，且能够对应⽤进⾏识别、控制、防护，解决了传统防⽕墙应⽤层控制和防护能⼒不⾜的问题。

区别于传统DPI技术的⼊侵防御系统，深信服NGAF具备深⼊应⽤内容的威胁分析能⼒，具备双向的内容检测能⼒为⽤户提供完整的应⽤层安全防护功能。

同样都能防护web攻击，与web应⽤防⽕墙关注web应⽤程序安全的设计理念不同，深信服下⼀代防⽕墙NGAF关注web系统在对外发布的过程中各个层⾯的安全问题，为对外发布系统打造坚实的防御体系。

关键指标（产品参数可能有改动，以深信服公司公告为准）功能参数项⽬具体功能部署⽅式⽀持⽹关、⽹桥、旁路和混杂模式；实时监控实时提供CPU、内存、磁盘占⽤率、会话数、在线⽤户数、⽹络接⼝的鞥设备资源信息；提供安全事件信息，包括最近安全事件、服务器安全事件、终端安全事件等，事件信息提供发⽣事件、源IP、⽬的IP、攻击类型以及攻击的URL等；提供实时智能模块间联动封锁的源IP 以便实现动态智能安全管理；⽹络适应性⽀持静态路由、RIP v1/2、OSPF、策略路由；⽀持ARP、域名解析、DHCP中继、DHCP 服务器、DHCP客户端等IP服务；包过滤与状态检测提供静态的包过滤和动态包过滤功能；⽀持的应⽤层报⽂过滤，包括：应⽤层协议：FTP、HTTP、SMTP、RTSP、H.323（Q.931，H.245，RTP/RTCP）、SQLNET、MMS、PPTP等；传输层协议：TCP、UDP；NAT地址转换⽀持多个内部地址映射到同⼀个公⽹地址、多个内部地址映射到多个公⽹地址、内部地址到公⽹地址⼀⼀映射、源地址和⽬的地址同时转换、外部⽹络主机访问内部服务器、⽀持DNS 映射功能；可配置⽀持地址转换的有效时间；⽀持多种NAT ALG，包括DNS、FTP、H.323、SIP等抗攻击特性可防御Land、Smurf、Fraggle、WinNuke、Ping of Death、Tear Drop、IP Spoofing、SYN Flood、ICMP Flood、UDP Flood、DNS Query Flood等多种DOS/DDOS攻击IPSEC VPN ⽀持AES、DES、3DES、MD5、SHA1、DH、RC4等算法，并且⽀持扩展国密办SCB2等其他加密算法⽀持MD5及SHA-1验证算法；⽀持各种NAT⽹络环境下的VPN组⽹；⽀持第三⽅标准IPSec VPN进⾏对接；*总部与分⽀有多条线路，可在线路间⼀⼀进⾏IPSecVPN 隧道建⽴，并设置主隧道及备份隧道，对主隧道可进⾏带宽叠加、按包或会话进⾏流量平均分配，主隧道断开备份隧道⾃动启⽤，保证IPSecVPN 连接不中断；可为每⼀分⽀单独设置不同的多线路策略；单臂部署下同样⽀持多线路策略；应⽤访问控制策略⽀持应⽤2000种以上的应⽤动作的应⽤识别；⽀持应⽤更新版本后的主动识别和控制的应⽤智能识别；提供基于应⽤识别类型、⽤户名、接⼝、安全域、IP地址、端⼝、时间进⾏应⽤访问控制列表的制定；⼆层协议⽀持802.3、AX25、802.2等多种⼆层协议过滤威胁检测⽀持基于特征匹配、协议异常检测、智能应⽤识别等⽅式针对已知威胁进⾏检测；⽀持基于威胁关联分析的检测机制，针对未知威胁进⾏分析检测；IPS⼊侵防护（选配）微软“MAPP”计划会员，漏洞特征库: 2800+并获得CVE“兼容性认证证书”，能够⾃动或者⼿动升级；防护类型包括蠕⾍/⽊马/后门/DoS/DDoS攻击探测/扫描/间谍软件/利⽤漏洞的攻击/缓冲区溢出攻击/协议异常/ IPS逃逸攻击等；防护对象分为保护服务器和保护客户端两⼤类，便于策略部署；漏洞详细信息显⽰：漏洞ID、漏洞名称、漏洞描述、攻击对象、危险等级、参考信息、地址等内容；⽀持⾃动拦截、记录⽇志、上传灰度威胁到“云端”服务器防护（选配）⽀持web攻击特征数量1000+；⽀持Web⽹站隐藏，包括HTTP响应报⽂头出错页⾯的过滤，web响应报⽂头可⾃定义；⽀持FTP服务应⽤信息隐藏包括：服务器信息、软件版本信息等；⽀持OWASP定义10⼤web安全威胁，保护服务器免受基于Web应⽤的攻击，如SQL注⼊防护、XSS攻击防护、CSRF攻击防护、⽀持根据⽹站登录路径保护⼝令暴⼒破解；⽀持web站点扫描、web站点结构扫描、漏洞扫描等扫描防护；可严格控制上传⽂件类型，检查⽂件头的特征码防⽌有安全隐患的⽂件上传⾄服务器，并⽀持结合病毒防护、插件过滤等功能检查⽂件安全性；⽀持指定URL的⿊名单、加⼊排除URL⽬录，ftp弱⼝令防护、telnet 弱⼝令防护等功能；敏感信息防泄漏内置常见敏感信息的特征，且可⾃定义敏感信息特征，如⽤户名、密码、邮箱、⾝份证信息、MD5密码等，可⾃定义具有特殊特征的敏感信息；⽀持正常访问http连接中⾮法敏感信息的外泄操作；⽀持数据库⽂件敏感信息检测，防⽌数据库⽂件被“拖库”、“暴库”；风险评估⽀持服务器、客户端的漏洞风险评估功能，⽀持对⽬标IP进⾏端⼝、服务扫描；⽀持ftp、mysql、oracle、mssql、ssh、RDP、⽹上邻居NetBIOS、VNC等多种应⽤的弱⼝令评估与扫描；风险评估可以实现与FW、IPS、服务器防护模块的智能策略联动，⾃动⽣成策略；⽹页篡改防护⽹关型⽹页防篡改，⽆需在服务器中安装任何插件；⽀持⽂件⽐对、特征码⽐对、⽹站元素、数字指纹⽐对多种⽐对⽅式，保证⽹站安全；全⾯保护⽹站的静态⽹页和动态⽹页，⽀持⽹页的⾃动发布、篡改检测、应⽤保护、警告和⾃动恢复，保证传输、鉴别、地址访问、表单提交、审计等各个环节的安全，完全实时杜绝篡改后的⽹页被访问的可能性及任何使⽤Web⽅式对后台数据库的篡改；⽀持各级页⾯模糊框架匹配、精确匹配的⽅式适⽤不同的⽹页类型；⽀持提供管理员业务操作界⾯与⽹管管理界⾯分离功能，⽅便业务⼈员更新⽹站内容；⽀持通过替换、重定向等技术⼿段，防护篡改页⾯；⽹站维护管理员必须通过短信认证才可进⾏⽹站更新业务操作（选配）；⽀持短信报警、邮件报警、控制台报警等多种篡改报警⽅式；病毒防护（选配）⽀持基于流引擎查毒技术，可以针对HTTP、FTP、SMTP、POP3等协议进⾏查杀；能实时查杀⼤量⽂件型、⽹络型和混合型等各类病毒；并采⽤新⼀代虚拟脱壳和⾏为判断技术，准确查杀各种变种病毒、未知病毒；内置10万条以上的病毒库，并且可以⾃动或者⼿动升级；检测到病毒后⽀持记录⽇志、阻断连接；Web安全防护对⽤户web⾏为进⾏过滤，保护⽤户免受攻击；⽀持只过滤HTTP GET、HTTP POST、HTTPS 等应⽤⾏为；并进⾏阻断和记录⽇志；⽀持针对上传、下载等操作进⾏⽂件过滤；⽀持⾃定义⽂件类型进⾏过滤；⽀持基于时间表的策略制定；⽀持的处理动作包括：阻断和记录⽇志；⽀持基于签名证书的ActiveX过滤；⽀持添加⽩名单和合法⽹站列表；⽀持基于应⽤类型的ActiveX过滤，如视频、在线杀毒、娱乐等；⽀持基于操作类型的脚本过滤，如注册表读写、⽂件读写、变形脚本、威胁对象调⽤、恶意图⽚等；流量管理⽀持同时连接多条外⽹线路，且⽀持多线路复⽤和智能选路技术；⽀持将多条外⽹线路虚拟映射到设备上，实现对多线路的分别流控；⽀持基于应⽤类型、⽹站类型、⽂件类型的带宽划分与分配；⽀持时间和IP的带宽划分与分配；⽤户管理⽀持基于⽤户名/密码、单点登陆以及基于IP地址、MAC地址、计算机名的识别等多种认证⽅式；⽀持AD域结合、Proxy、POP3、web 表单等多种单点登陆⽅式，简化⽤户操作；*可强制指定⽤户、指定IP段的⽤户必须使⽤单点登录；⽀持添加到指定本地组、临时账号和不允许新⽤户认证等新⽤户认证策略；⽀持强制AD域认证，指定⽤户必须⽤AD域账户登录操作系统，否则禁⽌上⽹；认证成功的⽤户⽀持页⾯跳转，包括最近请求页⾯、管理员制定URL、注销页⾯等；⽀持CSV格式⽂件导⼊、扫描导⼊和从外部LDAP服务器上导⼊等账户导⼊⽅式；⽤户分组⽀持树形结构，⽀持⽗组、⼦组、组内套组等组织结构；⽹关管理⽀持SSL加密WEB⽅式管理设备；⽀持邮件、短信（可扩展）等告警⽅式，可提供管理员登陆、病毒、IPS、web攻击以及⽇志存储空间不⾜等告警设置；提供图形化排障⼯具，便于管理员排查策略错误等故障；提供路由、⽹桥、旁路等部署模式的配置引导，提供保护服务器、保护内⽹⽤户上⽹安全、保证内⽹⽤户上⽹带宽、保证遭到攻击及时提醒和保留证据等⽹关应⽤场景的配置引导，简化管理员配置；⽇志管理与报表提供端⼝、服务、漏洞、弱密码等安全风险评估报表；提供DOS攻击、web防护、IPS、病毒、web威胁、⽹站访问、应⽤控制、⽤户登录、系统操作等多种安全⽇志查询；提供可定义时间内安全趋势分析报表；⽀持⾃定义统计指定IP/⽤户组/⽤户/应⽤在指定时间段内的服务器安全风险、终端安全风险等内容，并形成报表；⽀持将统计/趋势等报表⾃动发送到指定邮箱；⽀持导出安全统计/趋势等报表，包括⽹页、PDF等格式；。

国内下一代防火墙第一品牌深信服下一代防火墙（Next-Generation Application Firewall）NGAF是面向应用层设计，能够精确识别用户、应用和内容，具备完整安全防护能力，能够全面替代传统防火墙，并具有强劲应用层处理能力的全新网络安全设备。

NGAF解决了传统安全设备在应用识别、访问控制、内容安全防护等方面的不足，同时开启所有功能后性能不会大幅下降。

作为传统防火墙的升级替代产品，深信服NGAF不同于工作在L2-L4层的传统防火墙，可以对全网流量进行双向深入数据内容层面的全面透析。

在安全策略制定方面，区域别于传统防火墙五元组安全策略，深信服NGAF可对L2-L7层更多的元素（如，用户、应用类型、URL、数据内容等）制定双向的安全访问策略，使安全策略更精细、更有效，且满足业务的合规性；在安全防护能力方面，提升了传统的抗攻击的能力，不仅能防护网络层的攻击，针对来源更广泛、攻击更容易、危害更大的应用层攻击也可以进行防护，实现L2-L7层的安全防护。

同时，深信服NGAF采用全新的软硬件架构，减小在多种复杂的安全策略和L2-L7层多功能防护功能全部开启时性能的消耗，实现应用层高性能。

关键指标指标NGAF-1000-D420网络层吞吐量3Gbps应用层吞吐量500Mbps并发连接数1,000,000新建连接数30,000CPSSSL VPN接入数1000IPSec VPN接入隧道数1000延时小于40 us平均无故障时间（MTBF）100,000小时网络接口4个千兆电口，2个千兆光口管理接口RJ-45*1，USB2.0*2电源规格单电源，最大功率60W外形尺寸1U机架式机箱（长430mm*宽300mm*高44.5mm）重量 5.85KG工作环境温度0℃～45℃工作环境湿度5～80%产品功能列表项目具体功能部署方式支持路由、透明、旁路、单臂、虚拟网线以及混合部署模式；实时监控提供基于业务安全、用户安全两个方面的风险威胁的全面展现描述，包括漏洞风险、安全攻击事件及特定威胁的详细信息；提供并发会话数、新建会话数、接口吞吐率、应用流量实时排行等统计信息；提供设备实时CPU使用率、内存使用率、磁盘使用率、网络接口状态、设备系统状态、设备版本信息、设备规则库状态等设备资源信息；网络适应性支持ARP代理、静态ARP绑定；支持配置DNS及DNS代理；支持DHCP中继、DHCP服务器；支持SNMP v1、v2、v3，支持SNMP Trap配置；支持TCP MSS配置；支持HOSTS配置；支持静态路由、RIP v1/2、OSPFv2/v3、BGP、策略路由、多播路由、ECMP等价路由等多种路由协议；支持链路探测，端口聚合，接口联动；NAT地址转换支持IPv4／v6 NAT地址转换，支持多个内部地址映射到同一个公网地址、多个内部地址映射到多个公网地址、内部地址到公网地址一一映射、源地址和目的地址同时转换、外部网络主机访问内部服务器、支持DNS映射功能；支持针对源IP、目的IP和双向IP连接数控制；支持多种NAT ALG，包括DNS、FTP、H.323、SIP等DoS/DDoS 防护支持Land、Smurf、Fraggle、WinNuke、Ping of Death、Tear Drop、IP Spoofing攻击防护，支持SYN Flood、IPv4/v6 ICMP Flood、UDP Flood、DNS Flood、ARP Flood攻击防护，支持IP 地址扫描，端口扫描防护，支持ARP欺骗防护功能、支持IP协议异常报文检测和TCP协议异常报文检测；支持内网访问控制，配置内网区域只允许指定的IP地址或IP范围对外进行访问，防止内部伪造源IP对外DoS攻击的情况；支持对信任区域主机外发的异常流量进行检测，如ICMP，UPD，SYN，DNS Flood等DDoS攻击行为；VPN 支持IPSec VPN，SSL VPN，GRE，GRE over OSPF，GRE over IPSec等VPN接入方式；应用识别与控制支持对1200种以上应用、3000种以上应用动作，可以识别P2P、IM、OA办公应用、数据库应用、ERP应用、软件升级应用、木马外联、炒股软件、视频应用、代理软件、网银等应用；支持自定义应用; 提供基于服务/应用识别类型、网络对象/用户、端口、安全域、IP地址、服务/应用、生效时间、告警动作等进行应用访问控制策略设置；僵尸网络检测具备独立的僵尸网络识别库，特征库总数在40万条以上，支持手动或自动更新；内置恶意URL链接库；支持对终端已被种植了远控木马或者病毒等恶意软件进行检测，并且能够对检测到的恶意软件行为进行深入的分析，展示和外部命令控制服务器的交互行为和其他可疑行为；支持对于未知威胁具备同云端安全分析引擎进行联动的能力，上报可疑行为并在云端进行沙盒检测，并下发威胁行为分析报告；支持通过云端的大数据分析平台，发现和展示整个僵尸网络的构成和分布，定位僵尸网络控制服务器的地址；漏洞防护漏洞防护规则特征数量在7000条以上，支持手动或自动更新；支持对常见应用服务（HTTP、FTP、SSH、SMTP、IMAP、POP3、RDP、Rlogin、SMB、Telne、Weblogic、VNC）和数据库软件（MySQL、Oracle、MSSQL）的口令暴力破解防护功能；支持防护常见网络协议（SSH、FTP、RDP、VNC、Netbios）和数据库（MySQL、Oracle、MSSQL）的弱密码扫描功能；支持同防火墙访问控制规则进行联动，可以针对检测到的攻击源IP进行联动封锁；可提供最新的威胁情报信息，能够对新爆发的流行高危漏洞进行预警和自动检测，发现问题后支持一键生成防护规则；Web攻击防护具备独立的WEB应用防护识别库，特征总数在3000条以上，支持手动或自动更新；支持SQL注入、XSS攻击、网页木马、网站扫描、WEBSHELL、跨站请求伪造、系统命令注入、文件包含攻击、目录遍历攻击、信息泄漏攻击、WEB整站系统漏洞等Web应用攻击防护；支持CC攻击、CSRF 攻击、COOKIE攻击等攻击防护；支持HTTP 1.0/1.1，HTTPS协议的安全威胁检测；支持服务器资产自动识别；支持Web漏洞扫描功能，可扫描检测网站是否存在SQL注入、XSS、跨站脚本、目录遍历、文件包含、命令执行等脚本漏洞；支持对网站黑链进行检测；支持Windows和Linux系统下网页防篡改功能；支持叠加云端安全服务实现对设备的托管，由云端安全专家对设备进行日志分析和策略配置调整，并按月输出运营月报。

国内下一代防火墙第一品牌
深信服下一代防火墙（Next-GenerationApplicationFirewall）NGAF是面向应用层设计，能够精确识别用户、应用和内容，具备完整安全防护能力，能够全面替代传统防火墙，并具有强劲应用层处理能力的全新网络安全设备。

NGAF 解决了传统安全设备在应用识别、访问控制、内容安全防护等方面的不足，同时开启所有功能后性能不会大幅下降。

区别于传统的网络层防火墙，NGAF具备L2-L7层的协议的理解能力。

不仅能够实现网络层访问控制的功能，且能够对应用进行识别、控制、防护，解决了传统防火墙应用层控制和防护能力不足的问题。

区别于传统DPI技术的入侵防御系统，深信服NGAF具备深入应用内容的威胁分析能力，具备双向的内容检测能力为用户提供完整的应用层安全防护功能。

同样都能防护web攻击，与web应用防火墙关注web应用程序安全的设计理念不同，深信服下一代防火墙NGAF 关注web系统在对外发布的过程中各个层面的安全问题，为对外发布系统打造坚实的防御体系。