產品名稱: 深信服下一代防火墻NGAF

產品概要: 深信服AF是一款以應用安全需求出發而設計的下一代應用防火墻。彌補了傳統防火墻基于端口/IP無法防護應用層安全威脅的缺陷；改善了UTM類設備簡單功能堆砌，性能瓶頸的弱點。通過單次解析引擎真正做到將防火墻、VPN、入侵防御、服務器防護、病毒防護、內容過濾、流量控制等多種安全技術有機的融合到一起，提供多功能、高性能的電信級安全設備。與傳統安全設備相比它可以針對豐富的應用提供更完整的可視化內容安全防護。

一、更精細的應用層安全控制
      NGAF獨創的應用可視化技術，可以根據應用的行為和特征實現對應用的識別和控制，而不僅僅依賴于端口或協議，擺脫了過去只能通過IP地址來控制的尷尬，即使加密過的數據流也能應付自如。目前，NGAF的應用可視化引擎不但可以識別700多種的內外網應用及其1000多種應用動作，還可以與多種認證系統（AD、LDAP、Radius等）、應用系統（POP3、SMTP等）無縫對接，自動識別出網絡當中IP地址對應的用戶信息，并建立組織的用戶分組結構；既滿足了普通互聯網邊界行為管控的要求，同時還滿足了在內網數據中心和廣域網邊界的部署要求，可以識別和控制豐富的內網應用，如Lotus Notes、RTX、Citrix、Oracle EBS、金蝶EAS、SAP、LDAP等,針對用戶應用系統更新服務的訴求,NGAF還可以精細識別Microsoft、360、Symantec、Sogou、Kaspersky、McAfee、金山毒霸、江民殺毒等軟件更新,保障在安全管控嚴格的環境下,系統軟件更新服務暢通無阻。
      因此，通過應用可視化引擎制定的L3-L7一體化應用控制策略, 可以為用戶提供更加精細和直觀化控制界面，在一個界面下完成多套設備的運維工作，提升工作效率。
(一）可視化應用識別
      隨著網絡攻擊不斷向應用層轉移，傳統的網絡層防火墻已經不能有效實施防護。因此，作為企業網絡中最重要的屏障，如何幫助用戶實現針對所有應用的可視化變得十分重要。NGAF以精確的應用識別為基礎，可以幫助用戶恢復對網絡中各類流量的掌控，阻斷或控制不當操作，根據企業自身狀況合理分配帶寬資源等。NGAF的應用識別有以下幾種方式：
 1）基于協議和端口的檢測僅僅是第一步(傳統防火墻做法)。固定端口小于1024的協議，其端口通常是相對穩定,可以根據端口快速識別應用。
 2）基于應用特征碼的識別，深入讀取IP包載荷的內容中的OSI七層協議中的應用層信息，將解包后的應用信息與后臺特征庫進行比較來確定應用類型。
 3）基于流量特征的識別，不同的應用類型體現在會話連接或數據流上的狀態各有不同，例如，基于P2P下載應用的流量模型特點為平均包長都在450字節以上、下載時間長、連接速率高、首選傳輸層協議為TCP等；NGAF基于這一系列流量的行為特征，通過分析會話連接流的包長、連接速率、傳輸字節量、包與包之間的間隔等信息來鑒別應用類型。
（二）多種用戶識別方式
      網絡中的用戶并不一定需要平等對待，通常，許多企業策略僅僅是允許某些IP段訪問網絡及網絡資源。NGAF提供基于用戶與用戶組的訪問控制策略，它使管理員能夠基于各個用戶和用戶組（而不是僅僅基于 IP 地址）來查看和控制應用使用情況。在所有功能中均可獲得用戶信息，包括應用訪問控制策略的制定和安全防護策略創建、取證調查和報表分析。

 1、映射組織架構

       NGAF可以按照組織的行政結構建立樹形用戶分組，將用戶分配到指定的用戶組中，以實現網絡訪問權限的授予與繼承。用戶創建的過程簡單方便，除手工輸入帳戶方式外，NGAF能夠根據OU或Group讀取AD域控服務器上用戶組織結構，并保持與AD的自動同步，方便管理員管理。此外，NGAF支持賬戶自動創建功能，依據管理員分配好的IP段與用戶組的對應關系，基于新用戶的源IP地址段自動將其添加到指定用戶組、同時綁定IP/MAC，并繼承管理員指定的網絡權限。管理員亦可將用戶信息編輯成Excel、TXT文件，將賬戶導入，實現快捷的創建用戶和分組信息。

 2、建立身份認證體系
? 本地認證：Web認證、用戶名/密碼認證、IP/MAC/IP-MAC綁定
? 第三方認證：AD、LDAP、Radius、POP3、PROXY等；
? 雙因素認證：USB-Key認證；
? 單點登錄：AD、POP3、Proxy、HTTP POST等；
? 強制認證：強制指定IP段的用戶必須使用單點登錄（如必須登錄AD域等）
     豐富的認證方式，幫助組織管理員有效區分用戶，建立組織身份認證體系，進而形成樹形用戶分組，映射組織行政結構，實現用戶與資源的一一對應。 NGAF支持為未認證通過的用戶分配受限的網絡訪問權限，將通過Web認證的用戶重定向至顯示指定網頁，方便組織管理員發布通知。
（三）一體化應用訪問控制策略
     當前的網絡環境，IP不等于用戶，端口不等于應用。而傳統防火墻的基于IP/端口的控制策略就會失效，用戶可以輕易繞過這些策略，不受控制的訪問互聯網資源及數據中心內容，帶來巨大的安全隱患。NGAF不僅具備了精確的用戶和應用的識別能力，還可以針對每個數據包找出相對應的用戶角色和應用的訪問權限。通過將用戶信息、應用識別有機結合，提供角色為應用和用戶的可視化界面，真正實現了由傳統的“以設備為中心”到“以用戶為中心”的應用管控模式轉變。幫助管理者實施針對何人、何時、何地、何種應用動作、何種威脅等多維度的控制，制定出2-7層一體化基于用戶應用的訪問控制策略，而不是僅僅看到IP地址和端口信息。在這樣的信息幫助下，管理員可以真正把握安全態勢，實現有效防御，恢復了對網絡資源的有效管控。

 
（四）基于應用的流量管理
      傳統防火墻的QOS流量管理策略僅僅是簡單的基于數據包優先級的轉發，當用戶帶寬流量過大、垃圾流量占據大量帶寬，而這些流量來源于同一合法端口的不同非法應用時，傳統防火墻的QOS便失去意義。NGAF提供基于用戶和應用的流量管理功能，能夠基于應用做流量控制，實現阻斷非法流量、限制無關流量保證核心業務的可視化流量管理價值。NGAF采用了隊列流量處理機制：
      首先，將數據流根據各種條件進行分類（如IP地址，URL，文件類型，應用類型等分類，像skype、emule屬于P2P類）然后，分類后的數據包被放置于各自的分隊列中，每個分類都被分配了一定帶寬值，相同的分類共享帶寬，當一個分類上的帶寬空閑時，可以分配給其他分類，其中帶寬限制是通過限制每個分隊列上數據包的發送速率來限制每個分類的帶寬，提高了帶寬限制的精確度。最后，在數據包的出口處，每個分類具備一個優先級別，優先級高的隊列先發送，當優先級高的隊列中的數據包全部發送完畢后，再發送優先級低的。也可以為分隊列設置其它排隊方法，防止優先級高的隊列長期占用網絡接口。

1）基于應用/網站/文件類型的智能流量管理

      NGAF可以基于不同用戶(組)、出口鏈路、應用類型、網站類型、文件類型、目標地址、時間段進行細致的帶寬劃分與分配，如保證領導視頻會議的帶寬而限制員工P2P的帶寬、保證市場部訪問行業網站的帶寬而限制研發部訪問新聞類網站的帶寬、保證設計部傳輸CAD文件的帶寬而限制營銷部傳輸RM文件的帶寬。精細智能的流量管理既防止帶寬濫用，又提升帶寬使用效率。

2）P2P的智能識別與靈活控制

      封IP、端口等管控“帶寬殺手”P2P應用的方式極不徹底。加密P2P、不常見P2P、新P2P工具等讓眾多P2P管理手段束手無策。NGAF不僅識別和管控常用P2P、加密P2P，對不常見和未來將出現的P2P亦能管控。而完全封堵P2P可能實施困難，NGAF的P2P流控技術能限制指定用戶的P2P所占用的帶寬，既允許指定用戶使用P2P，又不會濫用帶寬，充分滿足管理的靈活性。

二、更全面的內容級安全防護
      深信服NGAF的灰度威脅識別技術不但可以將數據包還原的內容級別進行全面的威脅檢測，而且還可以針對黑客入侵過程中使用的不同攻擊方法進行關聯分析，從而精確定位出一個黑客的攻擊行為，有效阻斷威脅風險的發生?；叶韧{識別技術改變了傳統IPS等設備防御威脅種類單一，威脅檢測經常出現漏報、誤報的問題，可以幫助用戶最大程度減少風險短板的出現，保證業務系統穩定運行。
（一）灰度威脅關聯分析技術
      NGAF的灰度威脅關聯分析引擎具備2000+條漏洞特征庫、數十萬條病毒、木馬等惡意內容特征庫、1000+Web應用威脅特征庫，可以全面識別各種應用層和內容級別的單一安全威脅；而且灰度威脅識別技術還提供了多種典型的黑客入侵行為的模板，可以有效關聯各種威脅進行分析，最大成的提高了威脅檢測精度。另外，深信服憑借在應用層領域6年以上的技術積累，組建了專業的安全攻防團隊，可以為用戶定期提供最新的威脅特征庫更新，以確保防御的及時性。

 深信服NGAF通過灰度威脅關聯分析技術可以為業務系統提供端到端的安全防護。主要的防護手段如下：
1、應用信息隱藏： NGAF對主要的服務器（WEB服務器、FTP服務器、郵件服務器等）反饋信息進行了有效的隱藏。防止黑客利用服務器返回信息進行有針對性的攻擊。
2、漏洞防護：各種通過操作系統、應用系統、協議異常等漏洞，進行傳播的蠕蟲、木馬、后門、間諜軟件，進行攻擊和入侵的DoS/DDoS攻擊、緩沖區溢出攻擊、協議異常攻擊、藍屏攻擊、權限提取等；
3、Web應用類威脅防護：專門針對Web應用面臨的各種最新的威脅提供額外的安全防護，包括SQL注入、XSS攻擊、OS命令注入、CSRF攻擊、口令爆破、弱口令探測、應用信息探測、非法上傳威脅文件等，從根源上解決了Web系統被入侵、數據被篡改的可能性；
4、病毒類威脅防護：支持HTTP、SMTP、POP3、FTP等常見的協議的病毒查殺。當這幾種協議的數據通過NGAF時，NGAF截獲其中的數據，根據用戶定義的策略實現查毒、殺毒、隔離、統計、報警等功能。除了傳統的HTTP、FTP、SMTP、POP3等協議，還可以針對商務應用（文件共享等）傳輸的文件進行精確的木馬、病毒、蠕蟲查殺。 
（三）強化的WEB安全防護
1、web攻擊防護  
NGAF能夠有效防護owasp提出的10大web安全威脅的主要攻擊，主要功能如：
防SQL注入攻擊：SQL注入攻擊產生的原因是由于在開發web應用時，沒有對用戶輸入數據的合法性進行判斷，使應用程序存在安全隱患。用戶可以提交一段數據庫查詢代碼，根據程序返回的結果，獲得某些他想得知的數據，這就是所謂的SQL Injection，即SQL注入。NGAF可以通過高效的URL過濾技術，過濾SQL注入的關鍵信息，從而有效的避免網站服務器受到SQL注入攻擊。
防XSS跨站腳本攻擊：跨站攻擊產生的原理是攻擊者通過向Web頁面里插入惡意html代碼，從而達到特殊目的。NGAF通過先進的數據包正則表達式匹配原理，可以準確地過濾數據包中含有的跨站攻擊的惡意代碼，從而保護用戶的WEB服務器安全。
防CSRF攻擊 ：CSRF即跨站請求偽造，從成因上與XSS漏洞完全相同，不同之處在于利用的層次上，CSRF是對XSS漏洞更高級的利用，利用的核心在于通過XSS漏洞在用戶瀏覽器上執行功能相對復雜的JavaScript腳本代碼劫持用戶瀏覽器訪問存在XSS漏洞網站的會話，攻擊者可以與運行于用戶瀏覽器中的腳本代碼交互，使攻擊者以受攻擊瀏覽器用戶的權限執行惡意操作。NGAF通過先進的數據包正則表達式匹配原理，可以準確地過濾數據包中含有的CSRF的攻擊代碼，防止WEB系統遭受跨站請求偽造攻擊。
2、應用信息隱藏：NGAF對主要的服務器（WEB服務器、FTP服務器、郵件服務器等）反饋信息進行了有效的隱藏。防止黑客利用服務器返回信息進行有針對性的攻擊。如：HTTP出錯頁面隱藏：用于屏蔽Web服務器出錯的頁面，防止web服務器版本信息泄露、數據庫版本信息泄露、網站絕對路徑暴露，應使用自定義頁面返回。HTTP(S)響應報文頭隱藏：用于屏蔽HTTP(S)響應報文頭中特定的字段信息。FTP信息隱藏：用于隱藏通過正常FTP命令反饋出的FTP服務器信息，防止黑客利用FTP軟件版本信息采取有針對性的漏洞攻擊。
3、URL防護： Web應用系統中通常會包含有系統管理員管理界面以便于管理員遠程維護web應用系統，但是這種便利很可能會被黑客利用從而入侵應用系統。通過NGAF提供的URL防護功能，幫助用戶選擇特定URL的開放對象，防止由于過多的信息暴露于公網產生的威脅。
4、弱口令暴力破解防護：弱口令被視為眾多認證類web應用程序的普遍風險問題，NGAF通過對弱口令的檢查，制定弱口令檢查規則控制弱口令廣泛存在于web應用程序中。同時通過時間鎖定的設置防止黑客對web系統口令的暴力破解。
5、文件上傳過濾：由于web應用系統在開發時并沒有完善的安全控制，對上傳至web服務器的信息進行檢查，從而導致web服務器被植入病毒、木馬成為黑客利用的工具。NGAF通過嚴格控制上傳文件類型，檢查文件頭的特征碼防止有安全隱患的文件上傳至服務器。同時還能夠結合病毒防護、插件過濾等功能檢查上傳文件的安全性，以達到保護web服務器安全的目的。
（四）完整的終端安全保護
     傳統網絡安全設備對于終端的安全保護僅限于病毒防護。事實上終端的安全不僅僅是病毒，很多用戶在部署過防病毒軟件之后，終端的安全事件依然頻發，如何完整的保護終端成為眾多用戶關注的焦點。NGAF提供完整的終端安全保護，全方位的保護終端不受威脅困擾。
1、病毒防護：NGAF提供基于終端的病毒防護功能，從源頭對HTTP、FTP、SMTP、POP3等協議流量中進行病毒查殺，亦可查殺壓縮包（zip，rar，gzip等）中的病毒。
2、基于終端的漏洞防護：內網終端仍然存在漏洞被利用的問題，多數傳統安全設備僅僅提供基于服務器的漏洞防護，對于終端漏洞的利用視而不見。NGAF同時提供基于終端的漏洞保護能防護如：后門程序預防、協議脆弱性保護、exploit保護、網絡共享服務保護、shellcode預防、間諜程序預防等基于終端的漏洞防護，有效防止了終端漏洞被利用而成為黑客攻擊的跳板。
3、危險插件過濾：能識別那些下載文件是會自動安裝的插件，包括所有通過瀏覽器自動下載的文件。能根據插件白名單對插件進行過濾，內置常用安全插件列表供用戶選擇，還可以自定義白名單（支持插件名稱、證書名稱和域名）。能根據插件證書的合法性進行過濾，包括：檢查插件簽名是否過期，對插件簽名進行證書鏈控制。能記錄控件過濾日志，包括被過濾控件名稱及被拒絕的原因，并能在數據中心查出來。能夠實現二次提示，第一次出現時做攔截，第二次實現時給出提示）。
4、惡意腳本過濾：過濾注冊表的寫操作；過濾文件的寫操作；危險對象和危險調用；能夠實現二次提示，第一次出現時做攔截，第二次實現時給出提示）。
三、更高性能的應用層處理能力
       為了實現強勁的應用層處理能力，NGAF拋棄了傳統防火墻NP、ASIC等適合執行網絡層重復計算工作的硬件設計，采用了更加適合應用層靈活計算能力的多核并行處理技術；在系統架構上，NGAF也放棄了UTM多引擎，多次解析的架構，而采用了更為先進的一體化單次解析引擎，將漏洞、病毒、Web攻擊、惡意代碼/腳本、URL庫等眾多應用層威脅統一進行檢測匹配，從而提升了工作效率，實現了萬兆級的應用安全防護能力。
（一）單次解析架構
       要進行應用層威脅過濾，就必須將數據報文重組才能檢測，而報文重組、特征檢測都會極大地消耗內存和CPU，因而UTM的多引擎，多次解析架構工作效率低下。因此，NGAF所采用的單次解析引擎通過統一威脅特征、統一匹配引擎，針對每個數據包做到了只有一次報文重組和特征匹配，消除了重復性工作對內存和資源的占用，從而系統的工作效率提高了70%-80%。但這種技術的一個關鍵要素就是統一特征庫，這項技術的難度在于需要找到一種
全新的“特征語言”將病毒、漏洞、Web入侵、惡意代碼等威脅進行統一描述，這就好比是八個不同國家語言的人要想彼此無障礙交流，最笨的辦法是學會7種語言，但明顯不可行；因此，需要一種全新的國際語言來完成，從既提高可行性，有降低了工程的復雜度。
 （二）多核并行處理技術
        現在CPU核越來越多，從雙核到4核，再從4核到8核，16核，現在還有128核的CPU了。這樣來看，如果1個核能夠做到1個G，那么16個核不就能夠超過10個G了嗎? 但是通常設備性能并不能夠根據核的增加而迅速增加。因為雖然各個核物理上是獨立的，但是有很多資源是共享的，包括CPU的Cache，內存，這些核在訪問共享資源的時候是要等其他核釋放資源的，因此很多工作只能串行完成。同時NGAF的多核并行處理技術進行了大量的優化工作----減少臨界資源的訪問，除了在軟件處理流程的設計上盡量減少臨界資源以及臨界資源的訪問周期，還需要充分利用讀寫鎖、原子操作、內存鏡像等機制來提高臨界資源的訪問效率。
四、更完整的安全防護方案
       只提供基于應用層安全防護功能的方案，并不是一個完整的安全方案。對于用戶來說，還需要采購基礎網絡層的安全設備（FW、VPN），這既增加了成本，也增加了組網復雜度、提升了運維難度。從技術角度來說，一個黑客完整的攻擊入侵過程包括了網絡層和應用層、內容級別等多個層次方式方法，如果將這些威脅割裂開處理進行防護，各種防護設備之間缺乏智能的聯動，很容易出現“三不管”的灰色地帶，出現防護真空。比如當年盛極一時的蠕蟲“SQL Slammer”，在發送應用層攻擊報文之前會發送大量的“正常報文”進行探測，即使IPS有效阻斷了攻擊報文，但是這些大量的“正常報文”造成了網絡擁塞，反而意外的形成了DOS攻擊，防火墻無法有效防護。NGAF涵蓋傳統防火墻、IPS的主要功能，內部能夠實現聯動，如下表：

技術功能	功能價值
包過濾與狀態檢測	提供靜態的包過濾和動態包過濾功能
抗攻擊	能夠防御DOS/DDOS、land,smurf,synflood,icmpflood等網絡層攻擊
NAT	提供一對一、多對一、多對多等地址轉換方式；支持多種NAT ALG，包括DNS、FTP、H.323、SIP
VPN模塊	內置VPN模塊能實現VPN互聯
IP協議/路由	支持靜態路由、RIP v1/2、OSPF、策略路由等多種路由協議

因此，“具備完整的L2-L7完整的安全防護功能”就是Gartner定義的“額外的防火墻智能”實現前提，才能做到真正的內核級聯動，為用戶的業務系統提供一個真正的“銅墻鐵壁”。

Copyright©2012-2013 TNET 塔內網絡

• 粵ICP備12057293號-4 |
• 了解塔內|
• 聯系我們|
• 塔內微博|

廣州塔內網絡科技有限公司