防火墙实施方案

镇北堡西部影城网络防火墙部署规则及参数国内下一代防火墙第一品牌

深信服下一代防火墙（Next-Generation Application Firewall）NGAF是面向应用层设计，能够精确识别用户、应用和内容，具备完整安全防护能力，能够全面替代传统防火墙，并具有强劲应用层处理能力的全新网络安全设备。NGAF解决了传统安全设备在应用识别、访问控制、内容安全防护等方面的不足，同时开启所有功能后性能不会大幅下降。

区别于传统的网络层防火墙，NGAF具备L2-L7层的协议的理解能力。不仅能够实现网络层访问控制的功能，且能够对应用进行识别、控制、防护，解决了传统防火墙应用层控制和防护能力不足的问题。

区别于传统DPI技术的入侵防御系统，深信服NGAF具备深入应用内容的威胁分析能力，具备双向的内容检测能力为用户提供完整的应用层安全防护功能。

同样都能防护web攻击，与web应用防火墙关注web应用程序安全的设计理念不同，深信服下一代防火墙NGAF关注web系统在对外发布的过程中各个层面的安全问题，为对外发布系统打造坚实的防御体系。

性能参数

功能列表

项目具体功能

部署方式支持路由，透明，旁路，虚拟网线，混合部署模式；

实时监控实时提供CPU、内存、磁盘占用率、会话数、在线用户数、网络接口的鞥设备资源信息；提供安全事件信息，包括最近安全事件、服务器安全事件、终端安全事件等，事件信息提供发生事件、源IP、目的IP、攻击类型以及攻击的URL等；提供实时智能模块间联动封锁的源IP以便实现动态智能安全管理；

网络适应性支持ARP代理、静态ARP绑定，配置DNS及DNS代理、支持DHCP中继、DHCP服务器、DHCP 客户端；支持SNMP v1，v2，v3，支持SNMP Trap；支持静态路由、RIP v1/2、OSPF、策略路由；支持链路探测，端口聚合，接口联动；

包过滤与状态检测提供静态的包过滤和动态包过滤功能；支持的应用层报文过滤，包括：应用层协议：FTP、HTTP、SMTP、RTSP、H.323（Q.931，H.245，RTP/RTCP）、SQLNET、MMS、PPTP等；传输层协议：TCP、UDP；

NAT地址转换支持多个内部地址映射到同一个公网地址、多个内部地址映射到多个公网地址、内部地址到公网地址一一映射、源地址和目的地址同时转换、外部网络主机访问内部服务器、支持DNS映射功能；可配置支持地址转换的有效时间；支持多种NAT ALG，包括DNS、FTP、H.323、SIP等

抗攻击特性支持防御Land、Smurf、Fraggle、WinNuke、Ping of Death、Tear Drop、IP Spoofing、SYN Flood、ICMP Flood、UDP Flood、DNS Query Flood、ARP欺骗攻击防范、ARP主动反向查询、TCP报文标志位不合法攻击防范、支持IP SYN速度限制、超大ICMP报文攻击防范、地址/端口扫描的防范、DoS/DDoS攻击防范、ICMP重定向或不可达报文控制等功能，此外还支持静态和动态黑名单功能、MAC和IP绑定功能；

IPSEC VPN 支持AES、DES、3DES、MD5、SHA1、DH、RC4等算法，并且支持扩展国密办SCB2等其他加密算法支持MD5及SHA-1验证算法；支持各种NAT网络环境下的VPN组网；支持第三方标准IPSec VPN进行对接；*总部与分支有多条线路，可在线路间一一进行IPSecVPN隧道建立，并设置主隧道及备份隧道，对主隧道可进行带宽叠加、按包或会话进行流量平均分配，主隧道断开备份隧道自动启用，保证IPSecVPN连接不中断；可为每一分支单独设置不同的多线路策略；单臂部署下同样支持多线路策略；

应用访问控制策略支持对1000种以上应用、2500种以上应用动作，可以识别P2P、IM、OA办公应用、数据库应用、ERP应用、软件升级应用、木马外联、炒股软件、视频应用、代理软件、网银等协议；支持自定义规则; 提供基于应用识别类型、用户名、接口、安全域、IP地址、端口、时间进行应用访问控制列表的制定；

APT检测内置超过20万的病毒，木马，间谍软件等恶意软件特征库，并且在不断的持续更新特征内容；支持通过安全云实现虚拟沙盒动态检测技术。可检测未知威胁在沙盒中对注册表、文件系统等的修改，通过云端联动的方式快速更新到各节点设备中，可实现快速统一的防护未知攻击；

IPS入侵防护微软“MAPP”计划会员，漏洞特征库: 3500+并获得CVE“兼容性认证证书”，能够自动或者手动升级；防护类型包括蠕虫/木马/后门/DoS/DDoS攻击探测/扫描/间谍软件/利用漏洞的攻击/缓

冲区溢出攻击/协议异常/ IPS逃逸攻击等；防护对象分为保护服务器和保护客户端两大类，便于

策略部署；漏洞详细信息显示：漏洞ID、漏洞名称、漏洞描述、攻击对象、危险等级、参考信息、

地址等内容；支持自动拦截、记录日志、上传灰度威胁到“云端”

服务器防护支持web攻击特征数量2500+；支持Web网站隐藏，包括HTTP响应报文头出错页面的过滤，web响应报文头可自定义；支持FTP服务应用信息隐藏包括：服务器信息、软件版本信息等；支

持OWASP定义10大web安全威胁，保护服务器免受基于Web应用的攻击，如SQL注入防护、

XSS攻击防护、CSRF攻击防护、支持根据网站登录路径保护口令暴力破解；支持web站点扫描、

web站点结构扫描、漏洞扫描等扫描防护；可严格控制上传文件类型，检查文件头的特征码防止

有安全隐患的文件上传至服务器，并支持结合病毒防护、插件过滤等功能检查文件安全性；支持

指定URL的黑名单、加入排除URL目录，ftp弱口令防护、telnet弱口令防护等功能；

敏感信息防泄漏内置常见敏感信息的特征，如身份证信息、MD5、手机号码、银行卡号、邮箱等，并可自定义具有特殊特征的敏感信息；支持正常访问http连接中非法敏感信息的外泄防护；支持数据库文件敏感信息检测，防止数据库文件被“拖库”、“暴库”；

风险评估支持服务器、客户端的漏洞风险评估功能，支持对目标IP进行端口、服务扫描；支持ftp、mysql、oracle、mssql、ssh、RDP、网上邻居NetBIOS、VNC等多种应用的弱口令评估与扫描；支持

SQL注入，SQL盲注，跨站脚本攻击（XSS），跨站请求伪造（CSRF），操作系统命令，本地文件

包含，远程文件包含，暴力破解，弱密码登录，XPATH注入，LDAP注入，服务器端包含（SSI）

等丰富的Web应用服务漏洞检测；风险评估可以实现与FW、IPS、服务器防护模块的智能策略

联动，自动生成策略；

实时漏洞分析支持对经过设备的流量被动进行分析，分析内容包括底层软件漏洞分析，Web应用风险分析，Web不安全配置检测以及服务器弱密码检测，并实时生成分析报告。具备单独的针对服务器安全

风险和潜在威胁的特征识别库；

业务风险报表提供基于用户/业务的综合风险报表，统计维度为用户和业务而非IP地址；根据网络风险状况提供优、良、中、差评级；攻击统计提供所有检测攻击数和有效攻击数两个维度；报表内容呈现主

动扫描的漏洞分布情况，匹配攻击日志输出已被攻击的漏洞数和发现的所有漏洞数的统计报表；

业务安全报表提供攻击分析、漏洞评估、业务系统漏洞详情等信息；用户安全报表提供遭攻击最

多的用户详情、异常连接用户详情等信息；安全风险类型汇总基于业务系统遭受攻击类型、业务

系统存在最多漏洞类型、用户遭受最多威胁类型进行统计；

网页篡改防护网关型网页防篡改，无需在服务器中安装任何插件；支持文件比对、特征码比对、网站元素、数