深信服防火墙NGAF方案白皮书

深信服XX业务系统应用安全加固解决方案深信服科技有限公司20XX年XX月XX日目录深信服XX业务系统应用安全加固解决方案 (1)目录 (2)1应用背景 (4)2需求分析 (5)2.1一期建设拓扑图 (5)2.2业务系统安全现状 (5)2.3业务系统脆弱性分析 (6)2.4风险可能导致的问题 (8)2.5业务安全加固建设目标 (9)3方案设计 (10)3.1网络安全加固方案 (10)3.1.1DOS/DDOS防护子系统 (10)3.1.2防病毒子系统 (10)3.2系统安全加固方案 (11)3.2.1入侵防御子系统 (12)3.3应用安全加固方案 (13)3.3.1Web安全子系统 (14)3.4数据安全加固方案 (14)3.4.1信息泄漏防护子系统 (15)3.4.2防篡改子系统 (15)4产品部署示方案 (16)4.1方案一：一站式应用安全加固部署方案 (16)4.1.1拓扑图 (16)4.1.2产品部署方案 (16)4.1.3产品选型 (18)4.2方案二：节点纵深防御应用安全加固部署方案 (19)4.2.1拓扑图 (19)4.2.2产品部署方案 (19)4.2.3产品选型 (20)5关于深信服 (21)1应用背景网络的飞速发展促进了各行业的信息化建设，近几年来XX单位走过了不断发展、完善的信息化历程，现已拥有技术先进、种类繁多的网络设备和应用系统，构成了一个配置多样的综合性网络平台。

随着网络基础设施建设的不断完善，有针对性作用的业务系统也不断增加，XX单位已于2011年底完成建设XX业务系统，提供开放的综合业务平台为用户提供便捷的服务。

为了保证用户能够更安全，更便捷的使用业务系统，在XX业务系统建设时便设计并建设完成了第一期网络安全建设规划。

在第一期的网络安全建设规划方案中，防火墙被用作主要的网络安全设备保证业务系统的正常稳定运行。

使用防火墙将服务器区域分割成为应用服务区、数据库服务器区、边界接入区、运维管理区域等多个网络层相互逻辑隔离的区域，防止内、外部安全风险危害各个业务区域。

深信服NGAF解决方案深信服科技有限公司2011年7月4日第1章需求概述1.1背景介绍互联网及IT技术的应用在改变人类生活的同时，也滋生了各种各样的新问题，其中信息网络安全问题将成为其面对的最重要问题之一。

网络带宽的扩充、IT应用的丰富、互联网用户的膨胀式发展，使得网络和信息平台早已成为攻击爱好者和安全防护者最激烈斗争的舞台。

Web时代的安全问题已远远超于早期的单机安全问题，尽管防火墙、IDS、UTM等传统安全产品在不断的发展和自我完善，但是道高一尺魔高一丈，黑客们不仅专门针对安全设备开发各种工具来伪装攻击、逃避检测，在攻击和入侵的形式上也与应用相结合越来越紧密。

这些都使传统的安全设备在保护网络安全上越来越难。

目前更多的出现了以下的安全问题：投资成本攀升，运维效率下降许多企业为了应对复杂的安全威胁,购买了多个厂商的安全产品,安全建设犹如堆积木一般。

购买的安全防护产品愈来愈多，问题也随之出现：大量的安全防护产品部署，需要大量专业安全管理人员负责维护，复杂的安全架构使得管理同样变得复杂化，由于企业采用了多套安全解决方案，这就要求有很多技术人员精通不同厂商的解决方案。

购买产品很简单，日常运维很复杂，这对企业本来就有限的IT人员、安全管理人员来讲是非常痛苦和困难的事情。

而且不同厂商安全解决方案之间的协调性也有待商榷，当专业化的攻击和威胁来临时，这些安全产品之间能不能发挥协同作用抵御威胁这还是一个很大的问号。

对企业的管理者来说，如何降低管理成本、提高运维效率、提升企业安全水平，是目前最急待解决的问题。

“数据库泄密”、“网页遭篡改”等应用层安全事件频现2011年上半年，索尼超过1亿个客户帐户的详细资料和1200万个没有加密的信用卡号码失窃，索尼已花掉了1.71亿美元用于泄密事件之后的客户挽救、法律成本和技术改进这笔损失只会有增无减。

2011年5月10日上午消息，一些兜售廉价软件的黑客攻击了多个知名网站，包括美国宇航局(以下简称“NASA”)和斯坦福大学的网站。

Performance & Capacity NGAF M5500-F-I DimensionFirewall Throughput IPSec VPN Throughput Max IPSec VPN Tunnels Concurrent Connections (TCP)New Connections (TCP)Power Redundancy2U 25Gbps 2Gbps 3,0003,000,000220,000SupportedHardware Specifications RAMStorage HD Capacity 3Power [Watt] Max Operating T emperature Humidity System WeightSystem Dimensions (L * W * H, mm)NGAF M5500-F-I 8GB64GB SSD + 480G SSD 150W 0 - 45°C5% - 90%, non-condensing 12.95 Kg 600 x 440 x 90Network Interfaces Bypass (Copper)10/100/1000 Base-T SFP10G Fiber SFPOptional InterfaceSerial Port USB PortNGAF M5500-F-I 3 pairs 6421 x RJ452Compliance CertificationsNGAF M5500-F-I CE, FCCSANGFOR NGAFM5500-F-ISang for Next Generation Application Firewall is the world first fully integ rated NGFW + NGWAF with pre-event, during-event and post-event defense for all business assets. A truly integ rated firewall solution, providing holistic overview of the entire org anization security network, with ease of management for administration, operation and maintenance.NGAF M5500-F-I is the ideal Converged Security solution for medium enterprise and data center deployment.NGFW is measured with Firewall, Bandwidth Management , IPS, Application ControlThreat Prevention is measured with Firewall, Bandwidth Management IPS, Application Control, Anti Virus Other storage options; 64GB SSD + 960G SSD, 64GB SSD + 2TB SATA123IPS & WAF Throughput NGFW Throughput WAF Throughput Threat Protection Throughput 9.1Gbps 8.4Gbps 12.6Gbps 12.6Gbps 12All Pictures shown are for illustration purpose only. Actual Product may vary.Network Modules (T otal/Available)2/1End-to-End Protection - End-to-end protection from endpoint to business system- T otal visibility of the entire organization security status- Provides High Availability features with Multi-line HA and Load Balancing- Proactive early detection and prevention at thegateway to prevent attacks from reaching the networkDouble Security (2nd-Tier Firewall)- Double protection which complement existing firewall security policies to ensure full protection - Providing regulatory compliance- Simplified deployment, reducing downtime - Provides flexibility of security design and security policies for di erent business requirements DMZ Protection- Dedicated business system protection for advance protection, without impacting other networks - Providing regulatory compliance- Simplified deployment, reducing downtime- Minimize operation and maintenance works to monitor and troubleshoot security incidentsDeployment ModesInternet O ce NetworkSANGFOR NGAFServer ZoneInternet O ce NetworkServer ZoneInternet SANGFOR NGAF1st-Tier Firewall1st-Tier Firewall2nd-Tier FirewallO ce NetworkServer ZoneInternetSANGFOR NGAF DMZ NetworkPer network module can add one of the NICs below:①. 2 x GE RJ45②. 2 x GE SFP ③. 4 x GE RJ45④. 4 x GE SFP ⑤. 8 x GE RJ45⑥. 8 x GE SFP⑦. 2 x GE RJ45 & 2 x GE SFP⑧. 4 x GE RJ45 & 4 x GE SFP⑨. 2 x 10GE SFP+⑩. 4 x 10GE SFP+. 2 x 40GE QSFP+Hardware Description1. Management Console2. USB ports3. Default Interface4. Line Interface5. Power outlet6. Switch7. Fan Trays8. LED IndicatorsNGAF_DS_P_NGAF55-Datasheet_20210923For more information on Sangfor' full range of support & services, please contact your local representative.All Pictures shown are for illustration purpose only. Actual Product may vary.Software FeaturesNetworkingInterface: Physical Interface, Sub Interface, VLAN Interface, Aggregated InterfaceRouting: Static, Policy-based, RIP, OSPF, BGPNetwork Functions:ARP, DNS, DHCP, SNMP, NAT, High AvailabilityAccess ControlUser: Import / export from external server Authentication: SSO/LDAP/RADIUS Application: ACL and application rules URL Filter:SupportedVPNSANGFOR VPN, IPSEC VPN and SSL VPN supportedSDWAN auto path selectionManagementSNMP v1, v2c, v3SyslogReal-Time Vulnerability ScannerCentral managementKey FeaturesFully converged security solution from endpoint to business systems, without the needs of manual integration & consolidation of each feature, as well as additional hardware, which results in lower operational and maintenance costs.Lower TCO Converged Security SolutionsComprehensive business systems protection with built-in Web Application Firewall and Vulnerability Scanners, which is critical for internal systems as well as "internet-facing" systems. Business systems protection is easily enabled via advanced license, without any integration or additional appliance required.Comprehensive Business Systems ProtectionA single simplified operation & maintenance with interactive GUI, which provides ease of configuration, maintenance, troubleshooting and reporting for IT managers, administrators and operations team.User Friendly12Integrated L2–L7 Security features:DoS/DDoS: Inbound, Outbound, Attack Protection Content Security IPS Anti-virusEngine Zero: AI based anti-malware, anti-virus APT WAFData Leakage Prevention Bandwidth Management Real-Time Vulnerability Scanner Security ReporterNeural-X: Cloud threat intelligence and analyticsWeb Application Firewall (WAF) Semantic EngineSupport OWASP Top 10 WAFrequirementsRecommended by NSSSecurity FeaturesConverged SecurityComprehensive WAF1238NGAF M5500-F-I Ordering Guide* All bundles are o ered in 1, 2, 3 or 5 year increments。

深信服下一代防火墙NGAF技术白皮书深信服科技有限公司二零一一年八月目录1.概述 (3)2. 为什么需要下一代防火墙 (3)2.1网络发展的趋势使防火墙以及传统方案失效 (3)2.2替代性方案能否弥补 (4)2.2.1“打补丁式的方案” (4)2.2.2 UTM统一威胁管理 (4)3.下一代防火墙的诞生与价值 (4)3.1Gantner定义下一代防火墙 (4)3.2深信服下一代应用防火墙—NGAF (5)4.产品功能特点 (6)4.1更精细的应用层安全控制 (6)4.1.1可视化应用识别 (7)4.1.2多种用户识别方式 (7)4.1.3一体化应用访问控制策略 (8)4.1.4基于应用的流量管理 (9)4.2更全面的内容级安全防护 (10)4.2.1灰度威胁关联分析技术 (10)4.2.2基于攻击过程的服务器保护 (12)4.2.3强化的WEB安全防护 (13)4.2.4完整的终端安全保护 (14)4.3更高性能的应用层处理能力 (15)4.3.1单次解析架构 (15)4.3.2多核并行处理技术 (16)4.4更完整的安全防护方案 (16)5.关于深信服 (17)1.概述防火墙自诞生以来，在网络安全防御系统中就建立了不可替代的地位。

作为边界网络安全的第一道关卡防火墙经历了包过滤技术、代理技术和状态监视技术的技术革命，通过ACL 访问控制策略、NAT地址转换策略以及抗网络攻击策略有效的阻断了一切未被明确允许的包通过，保护了网络的安全。

防火墙就像故宫的城墙，对进出防火墙的一切数据包进行检查，保证合法数据包能够进入网络访问合法资源同时防止非法人员通过非法手段进入网络或干扰网络的正常运行。

防火墙技术在当时被堪称完美！随着时代的变迁，故宫的城墙已黯然失色，失去了它原有的防御能力。

同样防火墙在面对网络的高速发展，应用的不断增多的时代也失去了它不可替代的地位。

自2009年10月Gartner提出“Defining the Next-Generation Firewall”一文，重新定义下一代防火墙，下一代防火墙的概念在业内便得到了普遍的认可。

深信服Web安全解决方案深信服科技有限公司20XX年XX月XX日目录第一章需求概述 (5)1.1 项目背景 (5)1.2 网络安全建设现状分析 (5)1.3 Web业务面临的安全风险 (6)第二章Web安全解决方案设计 (9)2.1 方案概述 (9)2.2 方案价值 (10)第三章深信服下一代防火墙NGAF解决方案 (10)3.1 深信服NGAF产品设计理念 (10)3.2 深信服NGAF解决方案 (13)3.2.1 四种部署模式支持 (13)3.2.2 多种拦截方式支持 (14)3.2.3 安全风险评估与策略联动 (15)3.2.4 典型的Web攻击防护 (15)3.2.5 网关型网页防篡改 (24)3.2.6 可定义的敏感信息防泄漏 (27)3.2.7 基于应用的深度入侵防御 (28)3.2.8 高效精确的病毒检测能力 (32)3.2.9 智能的DOS攻击防护 (33)3.2.10 智能的防护模块联动 (34)3.2.11 完整的防火墙功能 (34)3.2.12 其他安全功能 (35)3.2.13 产品容错能力 (39)第四章深信服优势说明 (40)4.1 深信服品牌认可 (40)4.2 深信服下一代应用防火墙NGAF技术积累 (42)4.3 NGAF与传统安全设备的区别 (43)4.4 部分客户案例 (45)第五章典型场景及部署 (46)第六章关于深信服 (46)6.1深信服科技介绍 (46)6.2深信服科技部分荣誉 (47)第一章需求概述1.1项目背景（请根据客户实际情况自行添加）1.2网络安全建设现状分析（请根据客户实际情况自行添加）XX拟建立Web业务对外发布系统，该对外发布系统由多台服务器组成，承载的有OA应用、集团内部门户网站、集团内门户网站群等多个WEB应用。

目前，XX web应用边界使用传统防火墙进行数据包过滤进行安全防护，现运行许多WEB应用系统。

Web业务对外发布数据中心是XX IT建设数据大集中的产物，作为Web业务集中化部署、发布、存储的区域，该对外发布数据中心承载着XX Web业务的核心数据以及机密信息。

深信服科技NGAF 下一代防火墙方案白皮书1.概述 (4)2.深信服下一代防火墙核心价值 (5)2.1.全程保护 (5)2.2.全程可视 (7)3.主要功能介绍 (8)3.1.系统架构设计 (8)3.2.基础防火墙特性 (11)3.3.事前风险预知 (13)3.4.事中安全防护 (18)3.5.事后检测及响应 (31)4.部署模式 (33)4.1.网关模式 (33)4.2.网桥模式 (34)4.3.旁路模式 (36)4.4.双机模式 (37)5.市场表现 (39)5.1.高速增长，年复合增长超70% (39)5.2.众多权威机构一致认可 (40)5.3.为客户需求而持续创新 (40)6.关于深信服 (40)1.概述近几年来，随着互联网+、业务数字化转型的深入推进，各行各业都在加速往互联网化、数字化转型。

业务越来越多的向公众、合作伙伴，第三方机构等开放，在数字化业务带给我们高效和便捷的同时，信息暴露面的增加，网络边界的模糊化以及黑客攻击的产业化使得网络安全事件相较以往成指数级的增加，面对应对层出不穷的新型安全事件如网站被篡改，被挂黑链，0 day 漏洞利用，数据窃取，僵尸网络，勒索病毒等等，传统安全建设模式已经捉襟见肘，面临着巨大的挑战。

问题一：传统信息安全建设，以事中防御为主。

缺乏事前的风险预知，事后的持续检测及响应能力传统意义上的安全建设无论采用的是多安全产品叠加方案还是采用 UTM/NGFW+WAF 的整合类产品解决方案，关注的重点都在于如何防护资产在被攻击过程中不被黑客入侵成功，但是并不具备对于资产的事前风险预知和事后检测响应的能力，从业务风险的生命周期来看，仅仅具备事中的防护是不完整的，如果能在事前做好预防措施以及在时候提高检测和响应的能力，安全事件发生产生的不良影响会大幅度降低，所以未来，融合安全将是安全建设发展的趋势。

问题二：传统安全建设是拼凑的事中防御，缺乏有效的联动分析和防御机制传统安全建设方案，搜集到的都是不同产品碎片化的攻击日志信息，只能简单的统计报表展示，并不能结合业务形成有效的资产安全状态分析。

深信服终端安全检测响应平台-EDR新时代下企业级终端安全面临严峻挑战相较于个人终端而言，企业终端、数据等资产价值更高，由终端、服务器等不同软硬件所组成办公局域网，带来更为复杂的病毒来源、感染、传播途径，正因此企业用户面临更为严峻的终端安全挑战，对防护、管理、应用等多方面提出更高要求。

人工运维加剧威胁防御成本传统终端安全产品以策略、特征为基础，辅以组织规定以及人员操作制度驱动威胁防御，高级威胁一旦产生，将会不可控的传播，势必带来人工成本的几何增长，且对企业运维人员专业性要求极高，有效应对威胁难度大。

基于特征匹配杀毒无法有效抵御新型病毒基于病毒特征库方式进行杀毒，在高级威胁持续产生的大环境下，呈现被动、后知后觉等检测特点，无法及时有效防御新型病毒，如WannaCry勒索病毒。

另外，本地特征库数量受限，现有特征库文件规模无法满足已知病毒的查杀需求。

病毒特征库数量增长加重主机运算资源本地病毒特征库数量日益增多，加重终端存储、运算资源成本，防御威胁过程已严重影响用户日常办公，无法适应如云化等新的特定场景。

杀毒处置方式落后无法适应病毒新的传播方式与环境采取基于文件隔离的处置方式相对落后，如文件隔离失败情况产生，单点威胁将快速辐射到面，因此传统防毒产品已经无法适应新的病毒传播方式及环境。

深信服终端安全检测响应平台围绕终端资产安全生命周期，通过预防、防御、检测、响应赋予终端更为细致的隔离策略，更为精准的查杀能力、更为持续的检测能力、更为快速的处置能力。

在应对高级威胁的同时，通过云网端联动协同、威胁情报共享、多层级响应机制，帮助用户快速处置终端安全问题，构建轻量级、智能化、响应快的下一代终端安全系统-深信服终端检测响应平台EDR终端安全检测响应平台架构应用场景防病毒场景风险场景：组织内部终端呈现覆盖面广、点数众多、网络化办公等特点，新型未知病毒、勒索病毒出现，严重影响用户日常办公，无法保障内部核心数据安全。

应用效果：基于 AI 技术的查杀引擎，利用深度学习的技术，通过对海量样本数据的学习，提炼出来的高维特征，具备有很强的泛化能力，从而可以应对更多的未知威胁。

网络安全等级保护：深信服安全感知平台白皮书_V3.0深信服安全感知平台白皮书文档密级：公开深信服科技安全感知平台（Security Intelligence Platform）产品白皮书网络安全等级保护目录1. 引言 (4)1.1背景 (4)1.2新的威胁 (5)1.3应对措施 (5)2. 设计理念 (5)2.1产品理念 (5)2.2产品定位 (6)2.3方案设计 (7)2.4整体价值 (7)3. 产品架构 (9)3.1分层设计 (9)3.2大数据架构 (11)3.3产品组件 (13)4. 关键技术应用 (15)4.1 UEBA行为画像 (15)4.2追踪溯源可视化 (16)4.2.1流量可视 (16)4.2.2威胁追捕 (17)4.2.3统一检索 (17)4.3机器学习技术使用 (17)4.3.1精准的已知威胁检测 (18)4.3.2发现内鬼和未知威胁 (18)4.4威胁深度分析 (19)4.4.1攻击事件深度挖掘 (19)4.4.2成功的攻击事件检测 (20)4.5威胁情报结合 (20)4.5.1热点事件 (21)4.5.2情报来源 (21)5. 功能价值呈现 (22)5.1有效数据提取 (22)5.2全面的实时监测体系 (24)5.3.1脆弱性感知 (24)5.3.2外部威胁感知 (25)5.3.3内部异常感知 (26)5.3多维度的安全可视预警 (28)5.3.1宏观决策视角 (28)5.3.2微观运维视角 (31)5.4易运营的运维处置 (32)5.4.1应急处置 (32)5.4.2影响面分析 (34)5.4.3主动溯源 (35)5.4.4会话分析 (36)5.5可感知的威胁告警 (37)5.6实用工具箱 (38)5.6.1等保管理 (38)5.6.2情报与数据共享 (39)5.6.3绿色查杀工具 (40)6. 产品部署 (40)6.1流量监测（高级威胁监测） (41)6.2安全运营中心 (42)6.3作为第三方SOC/SIEM的流量检测组件 (43)1.引言1.1背景互联网技术的飞速发展使得互联网承载的价值越来越多、网络的规模和复杂度越来越大，因此，黑客有了越来越多的动机和手段来窃取企业的机密信息和资源，甚至是对企业资产造成破坏。

产品概述：深信服NGAF系列产品是一款以应用安全需求出发而设计的下一代应用防火墙。

弥补了传统防火墙基于端口/IP无法防护应用层安全威胁的缺陷；改善了UTM类设备简单功能堆砌，性能瓶颈的弱点。

通过单次解析引擎真正做到将防火墙、VPN、入侵防御、服务器防护、病毒防护、内容过滤、流量控制等多种安全技术有机的融合到一起，提供多功能、高性能的电信级安全设备。

与传统安全设备相比它可以针对丰富的应用提供更完整的可视化内容安全防护。

NGAF继承了传统防火墙的优秀品质能够适应各种复杂的网络环境，同时通过单次解析引擎、应用可视化引擎、灰度威胁关联分析引擎三大创新引擎技术，提供强大的网络安全防护、可视化的应用管控、全面的应用安全防护，形成2-7层一体化安全防护解决方案。

内网数据中心可视化安全内部数据中心建设往往会因为安全性的考虑，而串行部署多种安全设备，从而造成了增加单点故障、出现性能瓶颈、流量不清晰、设备管理复杂、风险无法及时定位等问题。

深信服NGAF通过一体化的应用管控、应用防护，以及智能风险报表等功能，可以为用户提供高性能、可视化、易管控的数据中心安全解决方案。

对外发布系统一体化安全防护近年来，金融的网银系统、政府的政务公开、网上业务受理、社保数据交换、运营商的网上营业厅等各种对外业务发布应用系统正在加快部署。

这些暴露在公众面前的业务系统，面临着多样的安全威胁，一旦被入侵或者篡改了数据就会损坏企业形象，造成经济损失、负面的政治影响等问题。

深信服NGAF可以针对发布系统可能存在的网站挂马、病毒上传、数据篡改、权限入侵、漏洞攻击等各种安全风险提供一体化、高性价比、跟智能的安全方案。

高效的广域网安全互联广域网建设的特点在于带宽资源有限、并发业务众多，而传统安全设备的部署并没有保证各种业务在广域网上安全、稳定的交付，病毒爆发快速蔓延整个网络、非法越权访问、关键业务带宽被挤占等问题依然频发。

深信服NGAF先通过应用防护功能模块过滤掉各种垃圾流量，再通过可视化应用引擎针对关键业务进行多级带宽保障，为用户打造流量纯净、网络稳定、终端安全的广域网安全互联解决方案。

FORTINET－下一代网络安全防御下一代网络安全防御1FORTINET－下一代网络安全防御目录概览 ............................................................................................................................................................................... 3 简介 ............................................................................................................................................................................... 4 企业与服务提供商面临的安全挑战.............................................................................................................................. 5 旧有的威胁从未远离 ............................................................................................................................................. 5 加速演变的新威胁................................................................................................................................................. 5 基于 web 的攻击增加数据泄漏的损失 ................................................................................................................ 5 Web2.0 应用 ........................................................................................................................................................ 6 传统防火墙不再有效 ..................................................................................................................................... 6 迁移到下一代网络 ......................................................................................................................................... 7 安全演进的下一步：新一代安全平台 .......................................................................................................................... 7 下一代安全技术 .................................................................................................................................................... 7 应用控制 ........................................................................................................................................................ 8 入侵检测系统（IPS） .................................................................................................................................. 11 数据丢失防御（DLP） ................................................................................................................................. 13 网页内容过滤............................................................................................................................................... 15 双栈道 IPv4 与 IPv6 支持.............................................................................................................................. 16 集成无线控制器 ........................................................................................................................................... 16 集中管理 ...................................................................................................................................................... 17 核心安全技术 ...................................................................................................................................................... 18 防火墙 － 状态流量检测与数据包过滤 ..................................................................................................... 18 虚拟专用网 (VPN)........................................................................................................................................ 18 URL 过滤 ....................................................................................................................................................... 19 反病毒/反间谍软件 ..................................................................................................................................... 20 反垃圾邮件 .................................................................................................................................................. 22 结论 ............................................................................................................................................................................. 23 关于 Fortinet ................................................................................................................................................................ 24 关于 FortiOS................................................................................................................................................................. 242FORTINET－下一代网络安全防御概览自从几年以前Gartner提出“下一代防火墙”的概念以来，许多网络安全厂商争先恐后将下一代防火墙作 为所生产防火墙产品的一个种类，但这却造成了不同的结果。

SANGFOR NAC 网络准入控制白皮书深信服科技有限公司2010年06月21日目录第1章背景综述 (1)第2章SANGFOR NAC的组件 (2)2.1NAC安全硬件网关 (2)2.2NAC客户端组件 (2)第3章SANGFOR NAC的功能 (3)3.1网络准入控制 (3)3.2防病毒软件检测 (4)3.3Windows补丁检测 (5)3.4非法外联线路检测 (6)3.5USB防拷贝 (7)3.6终端应用程序统计 (8)第4章SANGFOR NAC的优势 (9)4.1丰富的身份认证方式 (9)4.2虚拟化的多隔离区 (9)4.3详细的日志和统计报表 (9)4.4易用性：系统托盘 (10)4.5可扩展性：上网行为管理 (10)第1章背景综述近年来，在企业网中，新的安全威胁层出不穷，给组织带来各种风险：虽然大多数组织都制定了身份认证与授权制度，并采用技术手段实现基于用户身份与职权的访问权限分配。

但是，对于用户终端设备的安全状况却缺乏“评估”与“管理”，尤其当来自外部网络的终端设备可以随意接入内网时，内网的其他用户由于未得到适当的保护而暴露在巨大的安全隐患面前；病毒、蠕虫、间谍软件等各种形式的恶意软件成为企业网中大量安全事故的根源，他们引起系统崩溃、网络瘫痪，造成系统中断、数据泄密、收入损失、数据损坏，给机构业务带来巨大影响；在企业网中，任何一台安全状态不佳的终端都可能成为整个网络的安全短板，即使是最值得信赖的用户也有可能无意间通过已被感染的终端，或者在业务访问、娱乐访问中不慎引入风险；已感染的终端除了在内网中不断寻找下一个受害者，并使其感染之外，甚至可能将终端上存储的资料不断外发，落入不法分子之手；即便组织投入大量资金购买防病毒软件、防病毒网关等安全防护设备，安全意识不足的用户却不理会管理员的一再强调，任由系统漏洞存在、不安装防病毒软件或不及时升级病毒库；而管理员靠人工查找、隔离、修复这些不符合安全策略的终端不但费时、费力、低效，且治标不治本；风险除了来自网络应用，用户私自使用3G、无线、路由器等在组织规定的上网线路之外的非法外联线路，将办公用电脑带离办公地点，通过USB口随意读取移动存储设备、拷贝组织机密文件，不受限制地通过网络外发文件等等行为，埋下数据泄密事件的隐患。