深信服下一代防火墙NGAF产品彩页

深信服NGAF系列产品是一款以应用安全需求出发而设计的下一代应用防火墙。

弥补了传统防火墙基于端口/IP 无法防护应用层安全威胁的缺陷；改善了UTM类设备简单功能堆砌，性能瓶颈的弱点。

通过单次解析引擎真正做到将防火墙、VPN、入侵防御、服务器防护、病毒防护、内容过滤、流量控制等多种安全技术有机的融合到一起，提供多功能、高性能的电信级安全设备。

与传统安全设备相比它可以针对丰富的应用提供更完整的可视化内容安全防护。

NGAF继承了传统防火墙的优秀品质能够适应各种复杂的网络环境，同时通过单次解析、应用可视化、灰度威胁关联分析三大创新技术，提供强大的网络安全防护、可视化的应用管控、全面的应用安全防护，形成2-7层一体化安全防护解决方案。

型号三层性能七层性能并发连接VPN连接电口光口万兆光口Bypass电源功率安装空间AF-1020400M100M10万1004- - NA单电源60W1U项目具体功能要求部署方式支持网关、网桥和混杂模式；网关管理支持SSL加密WEB方式管理设备；管理员支持分级管理，能够将所有功能模块按需分配给不同管理员；实时监控提供设备实时设备资源信息；提供实时详细的流量状态信息如：用户流量排名、应用流量排名、所有线路应用流速趋势、流量管理状态、连接监控等；提供安全状态信息，实时显示当天的安全状况，最后发生安全事件的时间、类型、总次数、源对象，帮助管理员处理安全事件；网络协议支持静态路由、RIP v1/2、OSPF、策略路由；提供ARP、域名解析、IP UNNUMBERED、DHCP中继、DHCP服务器、DHCP客户端等IP服务；网络防护支持静态的包过滤和动态包过滤功能；支持应用层报文过滤，包括：应用层协议：FTP、HTTP、SMTP、RTSP、H.323（Q.931，H.245， RTP/RTCP）、SQLNET、MMS、PPTP、L2TP等；传输层协议：TCP、UDP；支持防御Land、Smurf、Fraggle、WinNuke、Ping of Death、Tear Drop、IP Spoofing、CC、SYN Flood、ICMP Flood、UDP Flood、DNS Query Flood、ARP欺骗攻击防范、ARP主动反向查询、TCP报文标志位不合法攻击防范、支持IP SYN速度限制、超大ICMP报文攻击防范、地址/端口扫描的防范、DoS/DDoS攻击防范、ICMP重定向或不可达报文控制等功能，此外还支持静态和动态黑名单功能、MAC和IP绑定功能。

SANGFOR_AF_产品简介Gartner定义下⼀代防⽕墙源引⾃：Gartner《Defining the Next-Generation Firewall》⼀、防⽕墙必须演进防⽕墙必须演进，才能够更主动地阻⽌新威胁(例如僵⼫⽹络和定位攻击)。

随着攻击变得越来越复杂，企业必须更新⽹络防⽕墙和⼊侵防御能⼒来保护业务系统。

不断变化的业务流程、企业部署的技术，以及威胁，正推动对⽹络安全性的新需求。

不断增长的带宽需求和新应⽤架构(如Web2.0)，正在改变协议的使⽤⽅式和数据的传输⽅式。

安全威胁将焦点集中在诱使⽤户安装可逃避安全设备及软件检测的有针对性的恶意执⾏程序上。

在这种环境中，简单地强制要求在标准端⼝上使⽤合适的协议和阻⽌对未打补丁的服务器的探测，不再有⾜够的价值。

为了应对这些挑战，防⽕墙必须演进为被著名市场研究公司Gartner称之为“下⼀代防⽕墙(NextGenerationFirewall，简称NGFW)”的产品。

如果防⽕墙⼚商不进⾏这些改变的话，企业将要求通过降价来降低防⽕墙的成本并寻求其他安全解决⽅案来应对新的威胁环境。

⼆、什么是NGFW?Gartner将⽹络防⽕墙定义为在不同信任级别的⽹络之间实时执⾏⽹络安全政策的联机控制。

Gartner使⽤“下⼀代防⽕墙”这个术语来说明防⽕墙在应对业务流程使⽤IT的⽅式和威胁试图⼊侵业务系统的⽅式发⽣变化时应采取的必要的演进。

NGFW⾄少具有以下属性：1．⽀持联机“bump-in-the-wire”配置，不中断⽹络运⾏。

2．发挥⽹络传输流检查和⽹络安全政策执⾏平台的作⽤，⾄少具有以下特性：（1）标准的第⼀代防⽕墙能⼒：包过滤、⽹络地址转换(NAT)、状态性协议检测、VPN等等。

（2）集成的⽽⾮仅仅共处⼀个位置的⽹络⼊侵检测：⽀持⾯向安全漏洞的特征码和⾯向威胁的特征码。

IPS与防⽕墙的互动效果应当⼤于这两部分效果的总和。

例如提供防⽕墙规则来阻⽌某个地址不断向IPS加载恶意传输流。

国内下一代防火墙第一品牌
深信服下一代防火墙（Next-Generation Application Firewall）NGAF是面向应用层设计，能够精确识别用户、应用和内容，具备完整安全防护能力，能够全面替代传统防火墙，并具有强劲应用层处理能力的全新网络安全设备。

NGAF 解决了传统安全设备在应用识别、访问控制、内容安全防护等方面的不足，同时开启所有功能后性能不会大幅下降。

区别于传统的网络层防火墙，NGAF具备L2-L7层的协议的理解能力。

不仅能够实现网络层访问控制的功能，且能够对应用进行识别、控制、防护，解决了传统防火墙应用层控制和防护能力不足的问题。

区别于传统DPI技术的入侵防御系统，深信服NGAF具备深入应用内容的威胁分析能力，具备双向的内容检测能力为用户提供完整的应用层安全防护功能。

同样都能防护web攻击，与web应用防火墙关注web应用程序安全的设计理念不同，深信服下一代防火墙NGAF 关注web系统在对外发布的过程中各个层面的安全问题，为对外发布系统打造坚实的防御体系。

深信服下一代防火墙中国第一品牌下一代防火墙已是大势所趋国际三大权威IT调研机构一致推荐优先使用下一代防火墙『我们预计到2014 年，35% 的企业将会安装下一代防火墙，而60%用户新购买的防火墙将是NGFW，并且它会拥有紧密集成的入侵防护、应用可视性和控制功能。

』——Gartner『随着市场对下一代安全网关的需求增加，预计到2018年，这一比例将达到80%，2013到2018年的5年复合增长率超过40%。

』——IDC『我们不再将整合式防火墙(Integrated Appliance)中入侵检测(IDS)/入侵防御(IPS)的市场份额取出，而是将下一代防火墙中的各个功能视为一个整体，称为”整合式网络安全设备”。

』——Frost&Sullivan90%的主流安全厂商已发布下一代防火墙目前国内主流的安全厂商已发布下一代防火墙，而作为国内下一代防火墙第一品牌，早在2011年，深信服就发布国内首款下一代防火墙NGAF，自发布后国内追随者不断，但销量一直稳居市场份额榜首，拥有最多用户数量。

截止2014年9月，深信服下一代防火墙在全国的用户累计超过8000家，在线稳定运行的设备超过15000台。

用户覆盖各行各业，其中包括60多家部委省厅级单位、80多家运营商金融单位、90多家知名教育单位、超过百家大型企业，国资委下属央企集团，用户数量遥遥领先。

68%的用户已优先选择下一代防火墙根据深信服往年的销售数据分析，在有安全建设需求的客户当中已有68%的客户购买了下一代防火墙。

国内第二代防火墙标准发布2015年2月4日由公安部网络安全保卫局、公安部科技信息化局和公安部第三研究所指导，深信服科技等国内主流安全厂商主办的第二代防火墙标准联合发布会在京召开，标志着国内下一代防火墙产品的技术选型有了权威的指导标准。

而深信服则是最早参与起草第二代防火墙标准的国内安全厂商，在标准的制定过程当中积极参与主导，提供了大量的技术咨询，建议和修订工作，历史两年最终完成该标准的出台和发布。

Sangfor NGAF 销售一纸通一、什么是下一代应用防火墙NGAF？NGAF英文为Next-Generation Appplication Firewall下一代应用防火墙。

NGAF是面向应用层设计，能识别用户、应用和内容，具备完整安全防护能力的高性能下一代防火墙。

NGAF的特点：用户和应用识别能力基于应用内容的安全检查在应用层实现高性能涵盖传统防火墙、IPS的主要功能，内部能够实现联动客户需求问题：应用为王的网络时代，应用无法识别、无法管控，无法制定有效、简便的安全策略深入内容的应用层攻击，看似正常访问，却泄露关键信息，比如针对Web服务器攻击用户增多、带宽扩容，想要管理集中、功能全面，并能满足日益增长的带宽要求传统设备无法满足：传统防火墙无法识别应用，无法防御应用层威胁传统IPS、AV应用安全设备无法深入内容，防御威胁种类单一，需要组合使用传统UTM仅仅将FW、IPS、AV简单整合多次拆包多次解析性能低下NGAF解决办法：识别用户、应用，有效管控应用，防御应用攻击，制定基于用户与应用的安全策略深入内容的安全防护，有效过滤风险内容，具备更完整的安全防护功能单次解析构架、多核并行处理有效提升应用层性能满足带宽要求四点价值：更精细的应用层安全：贴近国内应用、持续更新的应用识别规则库识别内外网超过650种应用、1000种动作（截止于2011年8月1日）支持包括AD域、Radius等8种用户身份识别方式面向用户与应用策略配置，减少错误配置的风险更全面的内容级安全防护：基于攻击过程的服务器保护，防御黑客扫描、入侵、破坏三步曲强化的WEB应用安全，支持多种注入防范、XSS攻击、权限控制等完整的终端内容防护，支持web过滤、漏洞/病毒防护等更高性能的应用层处理能力：单次解析架构实现报文一次拆解、匹配多核并行处理技术提升应用层计算能力实现真正应用层万兆处理能力更完整的安全防护方案涵盖传统防火墙/VPN、IPS所有功能，并能够实现内部联动二、NGAF应用场景主要应用场景：对外发布业务安全保护：部署在网银、网上报税、网上营业厅、电子商务等系统出口，防止黑客入侵，保护关键业务和客户隐私信息，避免损害单位形象，造成经济损失；内网数据中心安全保护：部署在单位内部的财务、ERP、OA等服务器前面，精细控制访问权限，防止非法访问，防止企业机密信息被窃取，保障核心业务获取必要的带宽资源。

国内下一代防火墙第一品牌深信服下一代防火墙（Next-Generation Application Firewall）NGAF是面向应用层设计，能够精确识别用户、应用和内容，具备完整安全防护能力，能够全面替代传统防火墙，并具有强劲应用层处理能力的全新网络安全设备。

NGAF解决了传统安全设备在应用识别、访问控制、内容安全防护等方面的不足，同时开启所有功能后性能不会大幅下降。

作为传统防火墙的升级替代产品，深信服NGAF不同于工作在L2-L4层的传统防火墙，可以对全网流量进行双向深入数据内容层面的全面透析。

在安全策略制定方面，区域别于传统防火墙五元组安全策略，深信服NGAF可对L2-L7层更多的元素（如，用户、应用类型、URL、数据内容等）制定双向的安全访问策略，使安全策略更精细、更有效，且满足业务的合规性；在安全防护能力方面，提升了传统的抗攻击的能力，不仅能防护网络层的攻击，针对来源更广泛、攻击更容易、危害更大的应用层攻击也可以进行防护，实现L2-L7层的安全防护。

同时，深信服NGAF采用全新的软硬件架构，减小在多种复杂的安全策略和L2-L7层多功能防护功能全部开启时性能的消耗，实现应用层高性能。

关键指标指标NGAF-1000-D420网络层吞吐量3Gbps应用层吞吐量500Mbps并发连接数1,000,000新建连接数30,000CPSSSL VPN接入数1000IPSec VPN接入隧道数1000延时小于40 us平均无故障时间（MTBF）100,000小时网络接口4个千兆电口，2个千兆光口管理接口RJ-45*1，USB2.0*2电源规格单电源，最大功率60W外形尺寸1U机架式机箱（长430mm*宽300mm*高44.5mm）重量 5.85KG工作环境温度0℃～45℃工作环境湿度5～80%产品功能列表项目具体功能部署方式支持路由、透明、旁路、单臂、虚拟网线以及混合部署模式；实时监控提供基于业务安全、用户安全两个方面的风险威胁的全面展现描述，包括漏洞风险、安全攻击事件及特定威胁的详细信息；提供并发会话数、新建会话数、接口吞吐率、应用流量实时排行等统计信息；提供设备实时CPU使用率、内存使用率、磁盘使用率、网络接口状态、设备系统状态、设备版本信息、设备规则库状态等设备资源信息；网络适应性支持ARP代理、静态ARP绑定；支持配置DNS及DNS代理；支持DHCP中继、DHCP服务器；支持SNMP v1、v2、v3，支持SNMP Trap配置；支持TCP MSS配置；支持HOSTS配置；支持静态路由、RIP v1/2、OSPFv2/v3、BGP、策略路由、多播路由、ECMP等价路由等多种路由协议；支持链路探测，端口聚合，接口联动；NAT地址转换支持IPv4／v6 NAT地址转换，支持多个内部地址映射到同一个公网地址、多个内部地址映射到多个公网地址、内部地址到公网地址一一映射、源地址和目的地址同时转换、外部网络主机访问内部服务器、支持DNS映射功能；支持针对源IP、目的IP和双向IP连接数控制；支持多种NAT ALG，包括DNS、FTP、H.323、SIP等DoS/DDoS 防护支持Land、Smurf、Fraggle、WinNuke、Ping of Death、Tear Drop、IP Spoofing攻击防护，支持SYN Flood、IPv4/v6 ICMP Flood、UDP Flood、DNS Flood、ARP Flood攻击防护，支持IP 地址扫描，端口扫描防护，支持ARP欺骗防护功能、支持IP协议异常报文检测和TCP协议异常报文检测；支持内网访问控制，配置内网区域只允许指定的IP地址或IP范围对外进行访问，防止内部伪造源IP对外DoS攻击的情况；支持对信任区域主机外发的异常流量进行检测，如ICMP，UPD，SYN，DNS Flood等DDoS攻击行为；VPN 支持IPSec VPN，SSL VPN，GRE，GRE over OSPF，GRE over IPSec等VPN接入方式；应用识别与控制支持对1200种以上应用、3000种以上应用动作，可以识别P2P、IM、OA办公应用、数据库应用、ERP应用、软件升级应用、木马外联、炒股软件、视频应用、代理软件、网银等应用；支持自定义应用; 提供基于服务/应用识别类型、网络对象/用户、端口、安全域、IP地址、服务/应用、生效时间、告警动作等进行应用访问控制策略设置；僵尸网络检测具备独立的僵尸网络识别库，特征库总数在40万条以上，支持手动或自动更新；内置恶意URL链接库；支持对终端已被种植了远控木马或者病毒等恶意软件进行检测，并且能够对检测到的恶意软件行为进行深入的分析，展示和外部命令控制服务器的交互行为和其他可疑行为；支持对于未知威胁具备同云端安全分析引擎进行联动的能力，上报可疑行为并在云端进行沙盒检测，并下发威胁行为分析报告；支持通过云端的大数据分析平台，发现和展示整个僵尸网络的构成和分布，定位僵尸网络控制服务器的地址；漏洞防护漏洞防护规则特征数量在7000条以上，支持手动或自动更新；支持对常见应用服务（HTTP、FTP、SSH、SMTP、IMAP、POP3、RDP、Rlogin、SMB、Telne、Weblogic、VNC）和数据库软件（MySQL、Oracle、MSSQL）的口令暴力破解防护功能；支持防护常见网络协议（SSH、FTP、RDP、VNC、Netbios）和数据库（MySQL、Oracle、MSSQL）的弱密码扫描功能；支持同防火墙访问控制规则进行联动，可以针对检测到的攻击源IP进行联动封锁；可提供最新的威胁情报信息，能够对新爆发的流行高危漏洞进行预警和自动检测，发现问题后支持一键生成防护规则；Web攻击防护具备独立的WEB应用防护识别库，特征总数在3000条以上，支持手动或自动更新；支持SQL注入、XSS攻击、网页木马、网站扫描、WEBSHELL、跨站请求伪造、系统命令注入、文件包含攻击、目录遍历攻击、信息泄漏攻击、WEB整站系统漏洞等Web应用攻击防护；支持CC攻击、CSRF 攻击、COOKIE攻击等攻击防护；支持HTTP 1.0/1.1，HTTPS协议的安全威胁检测；支持服务器资产自动识别；支持Web漏洞扫描功能，可扫描检测网站是否存在SQL注入、XSS、跨站脚本、目录遍历、文件包含、命令执行等脚本漏洞；支持对网站黑链进行检测；支持Windows和Linux系统下网页防篡改功能；支持叠加云端安全服务实现对设备的托管，由云端安全专家对设备进行日志分析和策略配置调整，并按月输出运营月报。

NGAF 下一代防火墙方案白皮书目录1.概述 (4)2.深信服下一代防火墙核心价值 (5)2.1.全程保护 (5)2.2.全程可视 (7)3.主要功能介绍 (8)3.1.系统架构设计 (8)3.2.基础防火墙特性 (11)3.3.事前风险预知 (13)3.4.事中安全防护 (18)3.5.事后检测及响应 (31)4.部署模式 (33)4.1.网关模式 (33)4.2.网桥模式 (34)4.3.旁路模式 (36)4.4.双机模式 (37)5.市场表现 (39)5.1.高速增长，年复合增长超70% (39)5.2.众多权威机构一致认可 (40)5.3.为客户需求而持续创新 (40)6.关于深信服 (40)1.概述近几年来，随着互联网+、业务数字化转型的深入推进，各行各业都在加速往互联网化、数字化转型。

业务越来越多的向公众、合作伙伴，第三方机构等开放，在数字化业务带给我们高效和便捷的同时，信息暴露面的增加，网络边界的模糊化以及黑客攻击的产业化使得网络安全事件相较以往成指数级的增加，面对应对层出不穷的新型安全事件如网站被篡改，被挂黑链，0 day 漏洞利用，数据窃取，僵尸网络，勒索病毒等等，传统安全建设模式已经捉襟见肘，面临着巨大的挑战。

问题一：传统信息安全建设，以事中防御为主。

缺乏事前的风险预知，事后的持续检测及响应能力传统意义上的安全建设无论采用的是多安全产品叠加方案还是采用 UTM/NGFW+WAF 的整合类产品解决方案，关注的重点都在于如何防护资产在被攻击过程中不被黑客入侵成功，但是并不具备对于资产的事前风险预知和事后检测响应的能力，从业务风险的生命周期来看，仅仅具备事中的防护是不完整的，如果能在事前做好预防措施以及在时候提高检测和响应的能力，安全事件发生产生的不良影响会大幅度降低，所以未来，融合安全将是安全建设发展的趋势。

问题二：传统安全建设是拼凑的事中防御，缺乏有效的联动分析和防御机制传统安全建设方案，搜集到的都是不同产品碎片化的攻击日志信息，只能简单的统计报表展示，并不能结合业务形成有效的资产安全状态分析。

国内下一代防火墙第一品牌深信服下一代防火墙（Next-Generation Application Firewall）NGAF面向应用层设计，能够精确识别用户、应用和内容，具备完整安全防护能力，能够全面替代传统防火墙，并具有强劲应用层处理能力的全新网络安全设备。

NGAF解决了传统安全设备在应用识别、访问控制、内容安全防护等方面的不足，同时开启所有功能后性能不会大幅下降。

作为传统防火墙的升级替代产品，深信服NGAF不同于工作在L2-L4层的传统防火墙，可以对全网流量进行双向深入数据内容层面的全面透析。

在安全策略制定方面，区域别于传统防火墙五元组安全策略，深信服NGAF可对L2-L7层更多的元素（如，用户、应用类型、URL、数据内容等）制定双向的安全访问策略，使安全策略更精细、更有效，且满足业务的合规性；在安全防护能力方面，提升了传统的抗攻击的能力，不仅能防护网络层的攻击，针对来源更广泛、攻击更容易、危害更大的应用层攻击也可以进行防护，实现L2-L7层的安全防护。

同时，深信服NGAF采用全新的软硬件架构，减小在多种复杂的安全策略和L2-L7层多功能防护功能全部开启时性能的消耗，实现应用层高性能。

产品系列型号产品型号AF-1000-L4170 AF-1000-L4175 AF-1000-L4178 AF-1000-L4270 AF-1000-L4370 三层吞吐 1.5Gbps 2Gbps 2.5Gbps 2.5Gbps 3Gbps七层吞吐200Mbps 250Mbps 250Mbps 350Mbps 450Mbps并发连接数800,000 800,000 800,000 800,000 1,200,000网络接口3GE 4GE 6GE 4GE 6GE安装空间桌面式1U 1U 1U 1U电源单电源单电源单电源单电源单电源产品型号AF-1000-L4470AF-1000-L4473 AF-1000-L4475 AF-1000-L4478AF-1000-L4478P AF-1000-L4570三层吞吐 3.5Gbps4Gbps 4Gbps 5.5Gbps 5.5Gbps7Gbps七层吞吐550Mbps600Mbps 650Mbps 800Mbps800Mbps1Gbps并发连接数1,800,0001,800,000 1,800,000 2,000,0002,000,0002,000,000网络接口4GE+2SFP10GE 4GE+4SFP 6GE6GE4GE+2SFP 安装空间1U1U 1U 1U1U1U 电源单电源单电源单电源单电源单电源单电源产品型号AF-1000-L4670AF-1000-F440AF-1000-FA40AF-1000-G640AF-1000-G680AF-2000-H642三层吞吐8Gbps8Gbps10Gbps10Gbps14Gbps16 Gbps七层吞吐 1.6Gbps2Gbps2Gbps3Gbps4Gbps 4 Gbps并发连接数2,000,0002,000,0002,200,0002,200,0002,500,0002,500,0006GE+4SFP 网络接口8GE4GE+4SFP 10GE+4SFP 6GE+4SFP 6GE+8SFP+2*10G SFP+ 安装空间1U2U2U2U2U2U 电源单电源单电源冗余电源冗余电源冗余电源冗余电源产品型号AF-2000-H644 AF-2000-I482 AF-2000-I484AF-2000-J444AF-2000-J448三层吞吐18Gbps 20 Gbps 25 Gbps40Gbps80Gbps七层吞吐8 Gbps 12 Gbps 15 Gbps20Gbps40Gbps并发连接数4,000,000 8,000,000 8,000,00012,000,00016,000,000网络接口6GE+4SFP+4*10G SFP+4GE+8SFP+2*10G SFP+4GE+8SFP+4*10G SFP+4GE+4SFP+4*10G SFP+4GE+4SFP+8*10G SFP+安装空间2U 2U 2U2U2U 电源冗余电源冗余电源冗余电源冗余电源冗余电源产品功能列表项目具体功能部署方式支持路由、透明、旁路、单臂、虚拟网线以及混合部署模式；实时监控提供基于业务安全、用户安全两个方面的风险威胁的全面展现描述，包括漏洞风险、安全攻击事件及特定威胁的详细信息；提供并发会话数、新建会话数、接口吞吐率、应用流量实时排行等统计信息；提供设备实时CPU使用率、内存使用率、磁盘使用率、网络接口状态、设备系统状态、设备版本信息、设备规则库状态等设备资源信息；网络适应性支持ARP代理、静态ARP绑定；支持配置DNS及DNS代理；支持DHCP中继、DHCP服务器；支持SNMP v1、v2、v3，支持SNMP Trap配置；支持TCP MSS配置；支持HOSTS配置；支持静态路由、RIP v1/2、OSPFv2/v3、BGP、策略路由、多播路由、ECMP等价路由等多种路由协议；支持链路探测，端口聚合，接口联动；NAT地址转换支持IPv4／v6 NAT地址转换，支持多个内部地址映射到同一个公网地址、多个内部地址映射到多个公网地址、内部地址到公网地址一一映射、源地址和目的地址同时转换、外部网络主机访问内部服务器、支持DNS映射功能；支持针对源IP、目的IP和双向IP连接数控制；支持多种NAT ALG，包括DNS、FTP、H.323、SIP等DoS/DDoS 防护支持Land、Smurf、Fraggle、WinNuke、Ping of Death、Tear Drop、IP Spoofing攻击防护，支持SYN Flood、IPv4/v6 ICMP Flood、UDP Flood、DNS Flood、ARP Flood攻击防护，支持IP 地址扫描，端口扫描防护，支持ARP欺骗防护功能、支持IP协议异常报文检测和TCP协议异常报文检测；支持内网访问控制，配置内网区域只允许指定的IP地址或IP范围对外进行访问，防止内部伪造源IP对外DoS攻击的情况；支持对信任区域主机外发的异常流量进行检测，如ICMP，UPD，SYN，DNS Flood等DDoS攻击行为；VPN支持IPSec VPN，SSL VPN，GRE，GRE over OSPF，GRE over IPSec等VPN接入方式；应用识别与控制支持对1200种以上应用、3000种以上应用动作，可以识别P2P、IM、OA办公应用、数据库应用、ERP应用、软件升级应用、木马外联、炒股软件、视频应用、代理软件、网银等应用；支持自定义应用; 提供基于服务/应用识别类型、网络对象/用户、端口、安全域、IP地址、服务/应用、生效时间、告警动作等进行应用访问控制策略设置；僵尸网络检测具备独立的僵尸网络识别库，特征库总数在40万条以上，支持手动或自动更新；内置恶意URL链接库；支持对终端已被种植了远控木马或者病毒等恶意软件进行检测，并且能够对检测到的恶意软件行为进行深入的分析，展示和外部命令控制服务器的交互行为和其他可疑行为；支持对于未知威胁具备同云端安全分析引擎进行联动的能力，上报可疑行为并在云端进行沙盒检测，并下发威胁行为分析报告；支持通过云端的大数据分析平台，发现和展示整个僵尸网络的构成和分布，定位僵尸网络控制服务器的地址；漏洞防护漏洞防护规则特征数量在7000条以上，支持手动或自动更新；支持对常见应用服务（HTTP、FTP、SSH、SMTP、IMAP、POP3、RDP、Rlogin、SMB、Telne、Weblogic、VNC）和数据库软件（MySQL、Oracle、MSSQL）的口令暴力破解防护功能；支持防护常见网络协议（SSH、FTP、RDP、VNC、Netbios）和数据库（MySQL、Oracle、MSSQL）的弱密码扫描功能；支持同防火墙访问控制规则进行联动，可以针对检测到的攻击源IP进行联动封锁；可提供最新的威胁情报信息，能够对新爆发的流行高危漏洞进行预警和自动检测，发现问题后支持一键生成防护规则；Web攻击防护具备独立的WEB应用防护识别库，特征总数在3000条以上，支持手动或自动更新；支持SQL注入、XSS攻击、网页木马、网站扫描、WEBSHELL、跨站请求伪造、系统命令注入、文件包含攻击、目录遍历攻击、信息泄漏攻击、WEB整站系统漏洞等Web应用攻击防护；支持CC攻击、CSRF 攻击、COOKIE攻击等攻击防护；支持HTTP 1.0/1.1，HTTPS协议的安全威胁检测；支持服务器资产自动识别；支持Web漏洞扫描功能，可扫描检测网站是否存在SQL注入、XSS、跨站脚本、目录遍历、文件包含、命令执行等脚本漏洞；支持对网站黑链进行检测；支持Windows和Linux系统下网页防篡改功能；支持叠加云端安全服务实现对设备的托管，由云端安全专家对设备进行日志分析和策略配置调整，并按月输出运营月报。

国内下一代防火墙第一品牌
深信服下一代防火墙（Next-GenerationApplicationFirewall）NGAF是面向应用层设计，能够精确识别用户、应用和内容，具备完整安全防护能力，能够全面替代传统防火墙，并具有强劲应用层处理能力的全新网络安全设备。

NGAF 解决了传统安全设备在应用识别、访问控制、内容安全防护等方面的不足，同时开启所有功能后性能不会大幅下降。

区别于传统的网络层防火墙，NGAF具备L2-L7层的协议的理解能力。

不仅能够实现网络层访问控制的功能，且能够对应用进行识别、控制、防护，解决了传统防火墙应用层控制和防护能力不足的问题。

区别于传统DPI技术的入侵防御系统，深信服NGAF具备深入应用内容的威胁分析能力，具备双向的内容检测能力为用户提供完整的应用层安全防护功能。

同样都能防护web攻击，与web应用防火墙关注web应用程序安全的设计理念不同，深信服下一代防火墙NGAF 关注web系统在对外发布的过程中各个层面的安全问题，为对外发布系统打造坚实的防御体系。