深信服应用防火墙参数
深信服虚拟化 Web 应用防火墙云 WAF 用户手册说明书
深信服虚拟化Web应用防火墙云WAF 用户手册产品版本8.0.28文档版本 01发布日期2021-03-12深信服科技股份有限公司版权所有©深信服科技股份有限公司 2020。
保留一切权利。
除非深信服科技股份有限公司(以下简称“深信服公司”)另行声明或授权,否则本文件及本文件的相关内容所包含或涉及的文字、图像、图片、照片、音频、视频、图表、色彩、版面设计等的所有知识产权(包括但不限于版权、商标权、专利权、商业秘密等)及相关权利,均归深信服公司或其关联公司所有。
未经深信服公司书面许可,任何人不得擅自对本文件及其内容进行使用(包括但不限于复制、转载、摘编、修改、或以其他方式展示、传播等)。
注意您购买的产品、服务或特性等应受深信服科技股份有限公司商业合同和条款的约束,本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内。
除非合同另有约定,深信服科技股份有限公司对本文档内容不做任何明示或默示的声明或保证。
由于产品版本升级或其他原因,本文档内容会不定期进行更新。
除非另有约定,本文档仅作为使用指导,本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。
前言关于本文档本文档针对深信服虚拟化Web应用防火墙产品,介绍了云WAF的架构、特性、安装和运维管理。
产品版本本文档以下列产品版本为基准写作。
后续版本有配置内容变更时,本文档随之更新发布。
读者对象本手册建议适用于以下对象:⚫网络设计工程师⚫运维人员符号约定在本文中可能出现下列标志,它们所代表的含义如下。
在本文中会出现图形界面格式,它们所代表的含义如下。
修订记录修订记录累积了每次文档更新的说明。
最新版本的文档包含以前所有文档版本的更新内容。
资料获取您可以通过深信服官方网站获取产品的最新资讯:获取安装/配置资料、软件版本及升级包、常用工具地址如下:深信服科技深信服技术服务技术支持用户支持邮箱:*******************.cn技术支持热线电话:400-630-6430(手机、固话均可拨打)深信服科技服务商及服务有效期查询:https:///plugin.php?id=service:query意见反馈如果您在使用过程中发现任何产品资料的问题,可以通过以下方式联系我们。
★深信服AF应用防火墙NGAF产品培训资料
SAP ERP系统安全加固
国美应用效果:
1)针对SAP ERP系统的安全漏洞进行针对
FW FW
性防护
2)针对底层的Linux操作系统漏洞进行安
全防护 3)启用了IPS和WAF防扫描防探测功能
NGAF NGAF
4)启用了安全模块的智能联劢功能
内网
SAP服务器区
产品部署方式
路由模式
WEB交互系统 WEB门户网站
1、安全防护更全面,融 合了IPS以及WAF功能; 2、强化的web攻击防护, 可防御各类SQL注入变种 攻击 3、独特的敏感信息防泄 漏,与门为高端用户打造 4、网关融合网页防篡改, 对服务器稳定性和性能无 影响
解决方案卖点——网站一体化安全防护
网站一体化安全防护
人事考试网应用效果:
NGAF NGAF
功能卖点
竞争优势
1、集成SANGFOR 优秀 的IPSEC VPN功能 2、基于应用的流控 3、融合应用攻击防护 4、高效流式病毒过滤 5、集中管理
1、融合业界市场占有率 第一的IPSEC VPN,实现 最优的安全组网 2、L2-L7层流量清洗,业 界最完整的一体化安全防 护方案 3、一体化网关实现安全 组网不流量清洗,建设成 本更低
1、虚拟补丁解决系统漏 洞问题 2、web安全保障应用层 面安全 3、信息泄露防护防止拖 库暴库,加固数据层面安 全防护能力 4、网页篡改防护保证 web页面完整性,加固数 据层面安全防护能力
解决方案卖点——业务系统安全加固
一站式应用安全加固部署方案
解决方案卖点——业务系统安全加固
节点纵深防御应用安全加固部署方案
解决方案卖点——业务系统敏感信息防泄漏
网银区服务器数据防泄露
深信服NGA下F一代应用防火墙产品介绍-PPT
客户三:政府机构网络安全防护
总结词
政府机构需要严格遵守相关法律法规,保护国家安全和公民隐私,深信服下一代应用防火墙提供了可靠的安全解 决方案。
详细描述
深信服下一代应用防火墙符合国家相关法律法规的要求,为政府机构提供了全面的安全防护,包括对网络攻击的 检测和防御、对敏感信息的加密和保护等。该产品还具有高度的可定制性和可扩展性,能够满足政府机构不断变 化的安全需求。
日志与报表分析
提供详细的日志和报表分析功能,帮助管理员了解设备运行状态和 安全状况。
安全性强
多层次防御
采用多层次防御机制,有效防范各类网络威胁和攻击。
深度内容检测
具备深度内容检测功能,能够检测并阻止各类恶意文件和攻击行 为。
全面支持加密技术
全面支持各种加密技术,确保数据传输安全可靠。
04 适用场景
业和高流量场景的需求。
低延迟
该产品具备低延迟特性,确保网络 传输速度快,不卡顿,为用户提供 流畅的网络体验。
多核并行处理
采用多核并行处理技术,实现高效 的数据处理能力,确保防火墙运行 稳定。
易于管理和维护
直观的GUI界面
提供直观的图形用户界面,方便管理员进行配置、监控和管理。
自动更新与漏洞修复
支持自动更新和漏洞修复功能,降低维护成本和时间。
产品目标
1
提供全面的应用层安全防护,有效抵御各类网络 威胁。
2
简化网络安全架构,降低企业安全运维成本。
3
提升企业业务连续性和数据安全性。
产品特点
深度检测与防护
采用深度包检测技术,对应用层流量进行全面检测与防护,有效防御 各类网络威胁。
智能识别与控制
支持多维度的流量识别与控制,包括IP地址、域名、URL、文件类型 等,实现精细化的安全策略管理。
深信服应用防火墙参数
支持10万条以上的病毒库,并且可以自动或者手动升级
流控
应用以上的应用动作(需提供截图证明)
应用流控
*支持基于应用类型划分与带宽分配
网站流控
*支持基于网站类型的划分与带宽分配
文件流控
支持基于文件类型划分与分配带宽
WEB安全防护
URL过滤
*对用户web行为进行过滤,保护用户免受攻击;支持只过滤HTTP GET、HTTP POST、HTTPS等应用行为;并进行阻断和记录日志
抗攻击特性
支持防御Land、Smurf、Fraggle、WinNuke、Ping of Death、Tear Drop、IP Spoofing、SYN Flood、ICMP Flood、UDP Flood、DNS Query Flood、ARP欺骗攻击防范、ARP主动反向查询、TCP报文标志位不合法攻击防范、支持IP SYN速度限制、超大ICMP报文攻击防范、地址/端口扫描的防范、DoS/DDoS攻击防范、ICMP重定向或不可达报文控制等功能,此外还支持静态和动态黑名单功能、MAC和IP绑定功能
一、性能及配置要求
AF-1320-L对应NS-SecPath U200-A
项目
指标
具体功能要求
接口
电口
具备至少6个10/100/1000 Base-T 千兆电口
Bypass
*支持故障时Bypass功能(1路)
技术
规范
安装空间
标准1U机架尺寸
储存温度
-20℃~70℃
相对湿度
5~95%(无凝结状态)
性能
智能策略联动
*风险评估可以实现与FW、IPS、服务器防护模块的智能策略联动,自动生成策略(需提供截图证明)
AF防火墙参数全系列型
国内下一代防火墙第一品牌
深信服下一代防火墙(Next-GenerationApplicationFirewall)NGAF是面向应用层设计,能够精确识别用户、应用和内容,具备完整安全防护能力,能够全面替代传统防火墙,并具有强劲应用层处理能力的全新网络安全设备。
NGAF解决了传统安全设备在应用识别、访问控制、内容安全防护等方面的不足,同时开启所有功能后性能不会大幅下降。
区别于传统的网络层防火墙,NGAF具备L2-L7层的协议的理解能力。
不仅能够实现网络层访问控制的功能,且能够对应用进行识别、控制、防护,解决了传统防火墙应用层控制和防护能力不足的问题。
区别于传统DPI技术的入侵防御系统,深信服NGAF具备深入应用内容的威胁分析能力,具备双向的内容检测能力为用户提供完整的应用层安全防护功能。
同样都能防护web攻击,与web应用防火墙关注web应用程序安全的设计理念不同,深信服下一代防火墙NGAF关注web系统在对外发布的过程中各个层面的安全问题,为对外发布系统打造坚实的防御体系。
性能参数
功能列表。
深信服下一代防火墙AF招标参数
支持对HTTP,FTP,SMTP,POP3协议进行病毒文件检测;
病毒库具备的内置病毒特征数量超过1000万;
支持对常见压缩文件格式的检测,如zip,rar,7z等;
支持杀毒文件类型自定义;
支持杀毒白名单功能,可以根据URL或者IP进行排除不检测病毒;
检测到病毒后的操作支持阻断,记录杀毒日志;
网页篡改防护
支持网关型网页防篡改,无需在服务器中安装任何插件;
动态网页/静态网页支持,全面保护网站的静态网页和动态网页,支持网页的自动发布、篡改检测、应用保护、警告和自动恢复,保证传输、鉴别、地址访问、表单提交、审计等各个环节的安全,完全实时杜绝篡改后的网页被访问的可能性及任何使用Web方式对后台数据库的篡改;
支持IPv4/v6 NAT地址转换,支持源目的地址转换,目的地址转换和双向地址转换,支持针对源IP或者目的IP进行连接数控制;
支持基于应用类型的策略路由应用引流;支持多线路链路负载;支持基于应用类型,网站类型,文件类型进行带宽分配和流控;
支持URL过滤和文件过滤功能,URL过滤支持GET,POST请求过滤和HTTPS网站过滤,文件过滤支持文件上传和下载过滤;
★支持对常见Web建站内容管理系统的防护,所支持的CMS类型数量不少20种,如dedecms,phpcms,phpwind,Empirecms,discuz,wordpress,joomla等;(需提供截图证明并加盖厂商公章)
★提供针对关键URL或者其他非Web关键服务的短信强认证机制;(要求提供三种以上服务的短信认证配置截图)
支持区分针对客户端和服务端的漏洞保护;
★支持针对服务器的漏洞风险评估功能,支持对ftp、mysql、oracle、mssql、ssh、RDP、NetBIOS、VNC等应用的弱密码扫描,扫描完成后生成安全风险评估报告;(为了保障与防火墙之间智能联动,要求漏洞风险评估非第三方软件产品)
AF防火墙参数:全系列型号
国内下一代防火墙第一品牌
深信服下一代防火墙(Next-Generation Application Firewall)NGAF是面向应用层设计,能够精确识别用户、应用和内容,具备完整安全防护能力,能够全面替代传统防火墙,并具有强劲应用层处理能力的全新网络安全设备。
NGAF 解决了传统安全设备在应用识别、访问控制、内容安全防护等方面的不足,同时开启所有功能后性能不会大幅下降。
区别于传统的网络层防火墙,NGAF具备L2-L7层的协议的理解能力。
不仅能够实现网络层访问控制的功能,且能够对应用进行识别、控制、防护,解决了传统防火墙应用层控制和防护能力不足的问题。
区别于传统DPI技术的入侵防御系统,深信服NGAF具备深入应用内容的威胁分析能力,具备双向的内容检测能力为用户提供完整的应用层安全防护功能。
同样都能防护web攻击,与web应用防火墙关注web应用程序安全的设计理念不同,深信服下一代防火墙NGAF 关注web系统在对外发布的过程中各个层面的安全问题,为对外发布系统打造坚实的防御体系。
深信服AF防火墙第二层透明模式下配置
深信服AF防火墙第二层透明模式下配置在配置深信服AF防火墙第二层透明模式之前,首先需要进行以下准备工作:1.网络拓扑规划:确定防火墙的放置位置和与其他网络设备的连接方式,以便合理规划网络流量的监控和策略的下发。
2.IP地址规划:为防火墙的透明模式接口和管理口分配合适的IP地址,并与网络中的其他设备进行地址配置的协调。
3.网络访问策略:根据实际需求和网络安全要求,定义合适的网络访问策略,包括访问控制列表(ACL)、安全策略、NAT等,以确保网络流量的安全性和合规性。
下面是深信服AF防火墙第二层透明模式的配置步骤及相关解释:1.登录防火墙:使用浏览器访问深信服AF防火墙的管理页面,并使用管理员账号进行登录。
2.配置接口:选择"网络"-"接口",点击“新增”,配置透明模式接口的相关参数,包括名称、物理接口、IP地址、子网掩码等。
3.绑定端口:选择"网络"-"端口",选择待绑定的物理接口,点击“绑定”,将透明模式接口与物理接口进行绑定。
4.配置VLAN:如果需要对网络流量进行VLAN隔离,选择"网络"-"VLAN",点击“新增”,配置VLAN的相关参数,包括名称、VLANID、IP 地址等。
5.配置物理链路:选择"网络"-"链路",点击“新增”,配置物理链路的相关参数,包括名称、绑定接口、链路类型等,以将不同的物理接口绑定为一组进行负载均衡和冗余备份。
6.配置网络ACL:选择"策略"-"网络ACL",点击“新增”,配置ACL规则,包括源IP、目的IP、协议、端口等,以定义允许或禁止的网络流量。
7.配置安全策略:选择"策略"-"安全策略",点击“新增”,配置安全策略规则,包括源地址、目的地址、应用、行为等,以定义网络流量的安全检查和处理方式。
深信服防火墙路由接口配置案例
深信服防火墙路由接口配置案例路由接口的典型应用环境是将SANGFOR NGAF 设备以路由模式部署在公网出口,代理内网上网,像一个路由器一样部署在网络中,如下图所示:配置案例:某用户网络是跨三层的环境,购买NGAF 设备打算部署在公网出口,代理内网用户上网,公网线路是光纤接入固定分配IP 的。
第一步:通过管理口(ETH0) 的默认IP 登录设备。
管理口的默认IP 是10.251.251.251/24 ,在计算机上配置一个相同网段的IP 地址,通过https://10.251.251.251 登录设备。
第二步:配置外网接口,通过『网络』→『接口/区域』,点击需要设置成外网接口的接口,如eth2,出现以下页面:接口[类型]选择路由。
[基本属性]可以设置是否为WAN 口和允许PING。
如果是WAN 口,是否与IPSEC VPN 出口线路匹配。
连接上行链路的接口需要勾选WAN 口。
[区域]选择接口eth2 所属的区域。
区域需要提前设置,本例将ETH2 划入WAN 区域,对于区域的设置请参考章节3.3.1.5 区域设置。
选择配置IPv4 地址:[连接类型]包括静态IP、DHCP、ADSL 拨号三种,根据该线路的特征进行配置,如果选择静态IP,需要填写好IP 地址/掩码以及下一跳网关;如果该接口是DHCP 自动获得地址,则设置DHCP;如果线路是ADSL 拨号,则配置好拨号所需的用户名、密码和其他拨号参数。
静态IP 地址可以填写成“IP/掩码”和“IP/掩码-HA”两种形式,后一种形式表示同步网口配置时,不同步IP 地址,“IP/掩码-HA”的形式适用于NGAF 设备双机部署的环境。
本案例中外网接口连接的是静态IP 的光纤线路,所以选择静态IP,并且配置ISP 提供给该光纤线路的公网IP 地址和下一跳网关。
[线路带宽]设置公网链路的上下行带宽。
点击可以修改带宽单位,包括KB/s,MB/s,GB/s。
[链路故障检测]用于检测链路的好坏。
1、防火墙深信服AF-1120-HD
支持自定义统计指定IP/用户组/用户/应用在指定时间段内的服务器安全风险、终端安全风险等内容,并形成报表
支持将统计/趋势等报表自动发送到指定邮箱
支持导出安全统计/趋势等报表,包括网页、PDF等格式
售后服务要求
必须在省内有厂家直属的服务办事机构,提供7*24小时快速上门服务和2小时内快速响应服务(官网上必须可查询到办事机构地址)。
IPS入侵防护
★必须是微软“MAPP”计划会员(微软官方网页截图并加盖厂商公章)特征库必须获得CVE“兼容性认证证书”(需提供截图证明并加盖厂商公章)
★漏洞分为保护服务器和保护客户端两大类,便于策略部署(需提供截图证明并加盖厂商公章)
★支持APT检测功能,防止僵尸网络感染PC终端用户
防火墙
提供静态的包过滤和动态包过滤功能;支持的应用层报文过滤,包括:应用层协议:FTP、HTTP、SMTP、RTSP、H.323(Q.931,H.245,RTP/RTCP)、SQLNET、MMS、PPTP等;传输层协议:TCP、UDP
抗攻击特性
★设备必须内置病毒库、漏洞特征库、应用识别库、WEB应用防护库、数据泄密防护库,并且支持在线自动升级。其中应用识别库的应用总数在1000条以上,规则总数在2200条以上;漏洞特征识别库的特征总数在4000条以上;WEB应用防护识别库规则总数在2000条以上。数据泄密防护库支持用户自定义敏感信息。设备必须具备传统三层防火墙、IPS、Web应用防护、杀毒、Web弱点扫描器、网页防篡改、VPN等功能模块。(以上内容必须提供详细操作界面截图并加盖厂商公章)。
病毒防护
病毒引擎,基于流引擎查毒技术,可以针对HTTP、FTP、SMTP、POP3等协议进行查杀。
防火墙参数
H3CF1000--AK115
?1U机架式,防火墙吞吐量:三层 七层 400Mbps;并发连接数:50万;每秒新建连接数:2万;支持多种管理方式:Web、Console、Telnet、SSH;完整支持L2TP、IPSec/IKE、GRE、SSL等协议;其中支持IPSec隧道:750个 吞吐量:400M;支持SSL vpn并发用户:500个 吞吐量:200M;支持L2TP/GRE隧道数:500个;8个千兆电口+2个Combo,500G存储介质,单电源
15.可对详细的URL访问日志、NAT日志进行纪录
16.支持基于私有的双机热备协议,可同步会话和配置
17.设备操作界面上保存不少于5个配置文件,可指定启动使用的配置文件、配置文件的备份与恢复,每个配置文件都可进行中文备注。
18.19、通过手机APP能够对多台设备集中监控,支持收集多设备CPU、内存、流量数据做实时展示和历史趋势展示; 支持用户流量和应用流量 TOP10排名展示; 支持威胁事件收信息的收集和展现; 支持用户定义告警规则,配置CPU利用率、内存利用率、流量过界做为触发条件; 可以邮件、短信、手机端消息通知方式发送告警信息; 支持将设备事件日志上传云端进行存储,可按条件查询; 支持报表功能和云端存储,可自定义报表模板及生成计划; 支持安卓手机APP、WEB访问方式。
7.支持基于数据包的安全域、地址、用户及用户组、MAC、端口号、服务、域名等进行安全策略控制,支持将源MAC作为独立的访问控制条件,防止非法设备接入
8.支持根据规则序号、规则名、源地址、目的地址、入侵防护策略、服务、认证用户、认证用户组、所属策略组、备注进行规则查询;支持对Oracle、SQL-Server、DB2、Informix、Sybase、MySQL等常见数据库
深信服应用防火墙简介
产品觃划期6次 评実 产品设计期10次 评実 产品编码期4次 评実
产品测试实验室设备超600台
测试人员不开发人员比例1:2,国内最高标准 8轮 软件测试,确保产品交付癿高品质
深信服科技:服务体系
36 个城市,设立直属办事处 8 个大区备品备件库 60 坐席的CTI呼叫中心
深信服科技:宠户满意
服务理念 宠户至上 满意第一
代 理
SG
更多威胁
威胁丌仅在OS和服务器软件中
• 浏觅网页,无意下载恶意脚本、越权ActiveX控件等; • 看似正常癿Web交互,黑宠却注入SQL,篡改网页;
攻击转为信息窃取
• 假冒中行网银,血洗数千万资金; • 1800万台电脑形成全球最大僵尸网络;
网络丌仅是黑白癿
• Skype:该放行还是阻止呢? • QQ:开展业务所需,但传文件而泄密,怎么办?
从几个数据包中识 别出应用特征
基于连接状态癿信息
• 识别600多种网络协议,包括QQ、迅雷等应用协议,及 HTTP-Get、HTTP-Proxy、FTP命令等传统协议癿细化识别
1.应用识别不控制
传 统 代 理
代 理
SG
2.内容安全保护
• 解析Data字段,实现:
– – – – – 查杀潜藏癿病毒 过滤非法URL地址 过滤挃定类型文件 过滤恶意ActiveX控件 过滤危险脚本
“深信服”在‘满足用户 需求’和‘ROI’两项均获 得突出得分,说明深信服 癿努力和提供癿服务获得 了中国用户癿认可。
谢谢
与您携手,共同成长
深圳市南山区麒麟路1号 科技创业中心4楼
Add: 4th Floor, Incubation Center, No.2Qilin Road, Nanshan District, Shenzhen P.C.:518052 Tel:+86-755-2658 1949 Fax:+86-755-2658 1959 Email:master@
AF防火墙参数 全系列型
国内下一代防火墙第一品牌
深信服下一代防火墙(Next-GenerationApplicationFirewall)NGAF是面向应用层设计,能够精确识别用户、应用和内容,具备完整安全防护能力,能够全面替代传统防火墙,并具有强劲应用层处理能力的全新网络安全设备。
NGAF 解决了传统安全设备在应用识别、访问控制、内容安全防护等方面的不足,同时开启所有功能后性能不会大幅下降。
区别于传统的网络层防火墙,NGAF具备L2-L7层的协议的理解能力。
不仅能够实现网络层访问控制的功能,且能够对应用进行识别、控制、防护,解决了传统防火墙应用层控制和防护能力不足的问题。
区别于传统DPI技术的入侵防御系统,深信服NGAF具备深入应用内容的威胁分析能力,具备双向的内容检测能力为用户提供完整的应用层安全防护功能。
同样都能防护web攻击,与web应用防火墙关注web应用程序安全的设计理念不同,深信服下一代防火墙NGAF 关注web系统在对外发布的过程中各个层面的安全问题,为对外发布系统打造坚实的防御体系。
深信服AF设备配置
深信服AF设备配置
深信服防⽕墙AF配置
1.深信服防⽕墙AF设备出⼚manage⼝ip地址为10.251.251.251,⾸先给⾃⼰电
脑配置同⽹段ip地址10.251.251.200,把AF设备manage⼝和笔记本⽤⽹线连起来,打开浏览器输⼊https://10.251.251.251,输⼊⽤户名:admin、密码:admin,登录WEB控制台,
2.防⽕墙⽹关部署,新建2个三层区域,分别为WAN区域和LAN区域,选择
接⼝eth1和eth2。
3.配置⽹络接⼝,wan区域eth1⼝配置公⽹ip地址,lan区域配置内⽹规划ip 地址
4.配置默认路由和去往内⽹的回包路由
5.配置源地址转换,代理内⽹⽤户上⽹,转换为出接⼝ip地址
6.防⽕墙默认拒绝所有,应⽤控制策略放通。
7.配置僵⼫⽹络,内⽹pc上⽹防护。
8.配置IPS防护内⽹客户端
9.配置流量管控,对内⽹pc带宽限制。
1、配置虚拟线路,填写真实带宽
10.配置流控,⾸先启⽤流控,内⽹⽤户p2p下载和在线影视限制50M。
深信服防火墙功能介绍
防火墙规则
HTTPS
192.200.3.2/24 GW:192.200.3.1
防火墙过滤规则
配置思路:
NAT代理上网
代理上网基本功能介绍
NAT代理上网功能即SNAT, 用来设置对数据包源IP地址进 行转换的规则。 一般在公网出口的设备做 SNAT,来实现把私有地址转 换成公网地址。
SNAT IP1
WAN1:202.96.137.75 LAN:172.16.1.3/24
172.16.1.1/24 192.200.1.1/24 192.200.2.1/24
IP: 192.200.2.250/24 GW:192.200.2.1
端口映射典型应用案例及配置
配置思路:
1. 设置端口映射规则,即把目标IP为202.96.137.75,且目标端口为TCP 8000的数据转换目标IP为192.200.2.250,目标端口为TCP 80。
SANGFOR AC&SG
防火墙基本功能介绍 NAT代理上网 端口映深射信服公司简介
防火墙基本功能介绍
防火墙基本功能介绍
防火墙规则是控制设备各个网 口转发数据的开关。 这里设置的规则可基于IP和端 口进行数据包的转发控制,和 传统的四层防火墙相似。
HTTP
192.200.2.2/24 GW:192.200.2.1
2. 勾选防火墙自动放行数据
3. 勾选发布服务器,允许内网用户以外网IP访问内网服务器
端口映射典型应用案例及配置
端口映射应用案例配置步骤:
服务器在AC的LAN口 下,转换源IP就选择 LAN1口地址。启用此 选项,是为了实现内网 用户通过访问wan口地 址也能访问到内网服务 器,如果无此需求,可 以不启用
深信服防火墙产品介绍
产品介绍深信服AF深信服下一代防火墙(Next-Generation Application Firewall)NGAF是面向应用层设计,能够精确识别用户、应用和内容,具备完整安全防护能力,能够全面替代传统防火墙,并具有强劲应用层处理能力的全新网络安全设备。
NGAF解决了传统安全设备在应用识别、访问控制、内容安全防护等方面的不足,同时开启所有功能后性能不会大幅下降。
作为传统防火墙的升级替代产品,深信服NGAF不同于工作在L2-L4层的传统防火墙,可以对全网流量进行双向深入数据内容层面的全面透析。
在安全策略制定方面,区域别于传统防火墙五元组安全策略,深信服NGAF可对L2-L7层更多的元素(如,用户、应用类型、URL、数据内容等)制定双向的安全访问策略,使安全策略更精细、更有效,且满足业务的合规性;在安全防护能力方面,提升了传统的抗攻击的能力,不仅能防护网络层的攻击,针对来源更广泛、攻击更容易、危害更大的应用层攻击也可以进行防护,实现L2-L7层的安全防护。
同时,深信服NGAF采用全新的软硬件架构,减小在多种复杂的安全策略和L2-L7层多功能防护功能全部开启时性能的消耗,实现应用层高性能。
产品功能列表项目具体功能部署方式支持路由,透明,旁路,虚拟网线,混合部署模式;实时提供CPU、内存、磁盘占用率、会话数、在线用户数、网络接口等设备资实时监控源信息;提供安全事件信息,包括最近安全事件、服务器安全事件、终端安全事件等,事件信息提供发生事件、源IP、目的IP、攻击类型以及攻击的URL等;提供实时智能模块间联动封锁的源IP以便实现动态智能安全管理;网络适应性支持ARP代理、静态ARP绑定,配置DNS及DNS代理、支持DHCP中继、DHCP服务器、DHCP客户端;支持SNMP v1,v2,v3,支持SNMP Trap;支持静态路由、RIP v1/2、OSPF、策略路由;支持链路探测,端口聚合,接口联动;包过滤与状态检测提供静态的包过滤和动态包过滤功能;支持的应用层报文过滤,包括:应用层协议:FTP、HTTP、SMTP、RTSP、H.323(Q.931,H.245,RTP/RTCP)、SQLNET、MMS、PPTP等;传输层协议:TCP、UDP;NAT地址转换支持多个内部地址映射到同一个公网地址、多个内部地址映射到多个公网地址、内部地址到公网地址一一映射、源地址和目的地址同时转换、外部网络主机访问内部服务器、支持DNS映射功能;可配置支持地址转换的有效时间;支持多种NAT ALG,包括DNS、FTP、H.323、SIP等抗攻击特性支持防御Land、Smurf、Fraggle、WinNuke、Ping of Death、Tear Drop、IP Spoofing、SYN Flood、ICMP Flood、UDP Flood、DNS Query Flood、ARP欺骗攻击防范、ARP主动反向查询、TCP报文标志位不合法攻击防范、支持IP SYN速度限制、超大ICMP报文攻击防范、地址/端口扫描的防范、DoS/DDoS攻击防范、ICMP重定向或不可达报文控制等功能,此外还支持静态和动态黑名单功能、MAC和IP绑定功能;支持CC攻击防护;IPSEC VPN 支持AES、DES、3DES、MD5、SHA1、DH、RC4等算法,并且支持扩展国密办SCB2等其他加密算法支持MD5及SHA-1验证算法;支持各种NAT网络环境下的VPN组网;支持第三方标准IPSec VPN进行对接;*总部与分支有多条线路,可在线路间一一进行IPSecVPN隧道建立,并设置主隧道及备份隧道,对主隧道可进行带宽叠加、按包或会话进行流量平均分配,主隧道断开备份隧道自动启用,保证IPSecVPN连接不中断;可为每一分支单独设置不同的多线路策略;单臂部署下同样支持多线路策略;SSL VPN 支持SSL VPN;应用访问控制策略支持对1000种以上应用、2500种以上应用动作,可以识别P2P、IM、OA办公应用、数据库应用、ERP应用、软件升级应用、木马外联、炒股软件、视频应用、代理软件、网银等协议;支持自定义规则; 提供基于应用识别类型、用户名、接口、安全域、IP地址、端口、时间进行应用访问控制列表的制定;APT检测内置超过60万的病毒,木马,间谍软件等恶意软件特征库,并且在不断的持续更新特征内容;支持通过安全云实现虚拟沙盒动态检测技术。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
支持多个内部地址映射到同一个公网地址、多个内部地址映射到多个公网地址、内部地址到公网地址一一映射、源地址和目的地址同时转换、外部网络主机访问内部服务器、支持DNS映射功能
可配置支持地址转换的有效时间
支持多种NAT ALG,包括DNS、FTP、H.323、SIP等
IPSecVPN功能
支持AES、DES、3DES、MD5、SHA1、DH、RC4等算法,并且支持扩展国密办SCB2等其他加密算法支持MD5及SHA-1验证算法
病毒库数量
支持10万条以上的病毒库,并且可以自动或者手动升级
流控
应用特征识别库
*支持对1000种以上应用2000种以上的应用动作(需提供截图证明)
应用流控
*支持基于应用类型划分与带宽分配
网站流控
*支持基于网站类型的划分与带宽分配
文件流控
支持基于文件类型划分与分配带宽
WEB安全防护
URL过滤
*对用户web行为进行过滤,保护用户免受攻击;支持只过滤HTTP GET、HTTP POST、HTTPS等应用行为;并进行阻断和记录日志
文件类型过滤
*支持针对上传、下载等操作进行文件过滤;支持自定义文件类型进行过滤;支持基于时间表的策略制定;支持的处理动作包括:阻断和记录日志
ActiveX过滤
*支持基于签名证书的ActiveX过滤;支持添加白名单和合法网站列表;支持基于应用类型的ActiveX过滤,如视频、在线杀毒、娱乐等;
脚本过滤
抗攻击特性
支持防御Land、Smurf、Fraggle、WinNuke、Ping of Death、Tear Drop、IP Spoofing、SYN Flood、ICMP Flood、UDP Flood、DNS Query Flood、ARP欺骗攻击防范、ARP主动反向查询、TCP报文标志位不合法攻击防范、支持IP SYN速度限制、超大ICMP报文攻击防范、地址/端口扫描的防范、DoS/DDoS攻击防范、ICMP重定向或不可达报文控制等功能,此外还支持静态和动态黑名单功能、MAC和IP绑定功能
技术
规范
安装空间
标准2U机架尺寸
储存温度
-20℃~70℃
相对湿度
5~95%(无凝结状态)
电源
冗余电源
性能
参数
吞吐量
吞吐量≥5G
VPN连接数
不小于1500
并发连接数
不小于80万
新建连接数
*≥60000
延时
<10 us
平均无故障时间(MTBF)
≥100,000小时
二、详细功能要求
项目
指标
具体功能要求
实时监控
敏感信息防泄漏*
可定义的敏感信息
内置常见敏感信息的特征,且可自定义敏感信息特征,如用户名、密码、邮箱、身份证信息、MD5密码等
http敏感信息检测
支持正常访问http连接中非法敏感信息的外泄操作
漏洞风险评估
*支持服务器、客户端的漏洞风险评估功能
弱口令扫描
*支持ftp、mysql、oracle、mssql、ssh、RDP、网上邻居NetBIOS、VNC等多种应用的弱口令评估与扫描
设备资源信息
提供设备实时CPU、内存、磁盘占用率、会话数、在线用户数、网络接口等信息
联动封锁源IP
*提供实时智能模块间联动封锁的源IP以便实现动态智能安全管理(需提供截图证明)
流量状态
实时提供IP流量、应用流量排名、流量管理状态、DHCP状态、在线用户管理
防火墙/VPN功能
包过滤与状态检测
提供静态的包过滤和动态包过滤功能;支持的应用层报文过滤,包括:应用层协议:FTP、HTTP、SMTP、RTSP、H.323(Q.931,H.245, RTP/RTCP)、SQLNET、MMS、PPTP等;传输层协议:TCP、UDP
防护对象
*漏洞分为保护服务器和保护客户端两大类,便于策略部署(需提供截图证明)
处理动作“云联动“
*支持自动拦截、记录日志、上传灰度威胁到“云端”(需提供截图证明)
服务器防护*
Web应用防护识别库
*支持web攻击特征数量1000+(需提供截图证明)
Web服务隐藏
*支持Web网站隐藏,包括HTTP响应报文头出错页面的过滤,web响应报文头可自定义(需提供截图证明)
病毒信息统计
*必须支持将内网可能中毒的用户进行统计排行和报表输出,支持按照行为次数和用户数的排行统计各新增病毒名称,支持根据病毒、恶意脚本、恶意插件信息统计新增恶意URL排行
报表订阅
*支持将统计/趋势/查询等报表自动发送到指定邮箱
报表导出
*支持导出统计/趋势/查询等报表,包括Excel、PDF等格式
ISCCC中国国家信息安全产品认证证书
风险评估报表
*提供端口、服务、漏洞、弱密码等安全风险评估报表(需提供截图证明)
安全日志
必须支持将应用的受攻击对象进行统计排行和报表输出,支持按照行为次数和应用的排行统计各攻击类型名称;支持各种攻击类型的报表输出和统计;
安全趋势报表
*提供可定义时间内安全趋势分析报表
安全统计报表
*支持自定义统计指定IP/用户组/用户/应用在指定时间段内的服务器安全风险、终端安全风险、上网行为、网络流量等内容,并形成报表
吞吐量
吞吐量≥1G
VPN连接数
不小于400
并发连接数
不小于40万
新建连接数
*≥15000
延时
<10 us
平均无故障时间(MTBF)
≥100,000小时
AF-1820-D对应天清汉马USG-2000C
项目
指标
具体功能要求
接口
接口
10个千兆电口
4个千兆光口
Bypass
*支持故障时Bypass功能(3路)
一、性能及配置要求
AF-1320-L对应NS-SecPathU200-A
项目
指标
具体功能要求
接口
电口
具备至少6个10/100/1000持故障时Bypass功能(1路)
技术
规范
安装空间
标准1U机架尺寸
储存温度
-20℃~70℃
相对湿度
5~95%(无凝结状态)
性能
参数
智能策略联动
*风险评估可以实现与FW、IPS、服务器防护模块的智能策略联动,自动生成策略(需提供截图证明)
网页篡改防护*
网关型网页防篡改
*支持网关型网页防篡改,无需在服务器中安装任何插件
篡改实时检查
支持文件比对、特征码比对、网站元素、数字指纹比对多种比对方式,保证网站安全
动态网页/静态网页支持
*全面保护网站的静态网页和动态网页,支持网页的自动发布、篡改检测、应用保护、警告和自动恢复,保证传输、鉴别、地址访问、表单提交、审计等各个环节的安全,完全实时杜绝篡改后的网页被访问的可能性及任何使用Web方式对后台数据库的篡改
策略制定
配置选项:可设置源、目的区域、目的IP和端口号,端口号支持设置Web应用、FTP、mysql、telnet、ssh服务的端口号
文件上传过滤
*严格控制上传文件类型,检查文件头的特征码防止有安全隐患的文件上传至服务器,并支持结合病毒防护、插件过滤等功能检查文件安全性
其他应用防护
* ftp弱口令防护、telnet弱口令防护
三、其他要求
服务
服务机构
要求
*必须在用户所在地或用户所在的省会城市有厂家直属的售后服务机构
厂商资质
厂商资质要求
*设备生产厂商注册资本大于5000万
*售后服务体系通过ISO9001认证
*国家级高新技术企业证书
*具有CVE兼容性认证证书
产品资质
产品资质要求
计算机软件著作权登记证书
计算机信息系统安全专用产品销售许可证
FTP服务隐藏
*支持FTP服务应用信息隐藏包括:服务器信息、软件版本信息等
Web攻击防护
*支持OWASP定义10大web安全威胁,保护服务器免受基于Web应用的攻击,如SQL注入防护、XSS攻击防护、CSRF攻击防护、支持根据网站登录路径保护口令暴力破解(需提供截图证明)
网站扫描防护
支持web站点扫描、web站点结构扫描、漏洞扫描等扫描防护
*支持基于操作类型的脚本过滤,如注册表读写、文件读写、变形脚本、威胁对象调用、恶意图片等
理网关管
管理界面
支持SSL加密WEB方式管理设备
告警管理
支持攻击、病毒、服务器入侵、访问行为记录、内容过滤事件、系统日志告警等
排障工具
*提供图形化排障工具,便于管理员排查策略错误等故障
理日志管
数据中心
*设备必须支持内/外置数据中心
支持各种NAT网络环境下的VPN组网
支持第三方标准IPSecVPN进行对接
*总部与分支有多条线路,可在线路间一一进行IPSecVPN隧道建立,并设置主隧道及备份隧道,对主隧道可进行带宽叠加、按包或会话进行流量平均分配,主隧道断开备份隧道自动启用,保证IPSecVPN连接不中断;可为每一分支单独设置不同的多线路策略;单臂部署下同样支持多线路策略(提供自主知识产权证明)
业务管理与安全管理分离
*支持提供管理员业务操作界面与网管管理界面分离功能,方便业务人员更新网站内容
篡改防护效果
*支持通过替换、重定向等技术手段,防护篡改页面
病毒防护
病毒引擎
基于流引擎查毒技术,可以针对HTTP、FTP、SMTP、POP3等协议进行查杀
防护类型
*能实时查杀大量文件型、网络型和混合型等各类病毒;并采用新一代虚拟脱壳和行为判断技术,准确查杀各种变种病毒、未知病毒
IPS入侵防护
特征库数量
漏洞特征库: 2500+,并且能够自动或者手动升级