深信服下一代防火墙NGAF_风险报表

下一代防火墙- APT攻击防护首选利器一认识APT攻击互联网攻击与防御技术一直以来都是此消彼长，交替前行，根据CNCERT/CC 2012中国互联网网络安全报告分析，一种攻击特征更隐蔽、持续性更长、影响范围更大、技术手段更加灵活的网络间谍攻击对企业和组织将带来越来越大的安全威胁，这就是大家热谈的APT攻击。

APT 全称Advanced Persistent Threat（高级持续性威胁），是以窃取核心资料为目的，针对客户所发动的网络攻击和侵袭行为，是一种蓄谋已久的“恶意商业间谍威胁”。

这种行为往往经过长期的经营与策划，并具备高度的隐蔽性。

APT的攻击手法，在于隐匿自己，针对特定对象，长期、有计划性和组织性地窃取数据，这种发生在数字空间的偷窃资料、搜集情报的行为，就是一种“网络间谍”的行为。

二APT攻击特征(1)、攻击者的诱骗手段往往采用恶意网站，用钓鱼的方式诱使目标上钩；(2)、攻击者也经常采用邮件方式攻击受害者，这些夹杂着病毒的邮件内容往往让疏于防范的受害者轻易中招；(3)、网站往往是一个企业或组织的对外门户，很多企业或组织对网站缺乏良好的安全防护，对攻击者而言，网站如同攻击过程中的桥头堡，是攻击者渗透进内网的重要捷径；(4)、一旦企业或组织的内网终端或者门户网站感染恶意程序，成为僵尸网络主机，将频繁进行内网隐私数据信息嗅探；(5)、通过已感染主机做反弹跳板，黑客可以对目标网络进行持续性的账户/口令猜解或者数据监听，从而获取攻击目标登陆权限；(6)、目前绝大多数安全防护设备【传统网络层防火墙、IPS等等】只能做到从外到内的单向危险流量检测和防护，从内到外主动发起的数据传输缺乏有效的检测和防范机制，给APT攻击者开通了一条灰色的数据运输通道。

攻击者通过控制攻击目标，源源不断地从受害企业和组织获取数据信息。

从上述APT攻击特征进行分析，不难发现APT攻击已经不再是传统认识观念中的单一网络攻击行为，针对APT攻击，采取多款安全产品串行堆叠的传统做法已经无法有效应对，市场迫切需要新一种新的防御方案。

深信服下一代防火墙NGAF近年来，越来越多的网络安全事件告诉我们，安全风险比以往更加难以察觉。

随着网络安全形势逐渐恶化，网络攻击愈加频繁，用户对自己的网络安全建设是否合规、完善并没有把握。

该如何加强安全建设？安全建设的核心问题是什么？采用何种安全防护手段更为合适？安全建设该如何体现价值？这些问题已成为困扰用户安全建设的关键问题。

一、企业级网络安全建设需要什么1.传统割裂的各种安全产品？传统组合方案问题多传统产品组合方案缺陷一：不同的安全设备看到的是不同的攻击类型，信息是割裂的，难以对安全日志进行统一分析；安全设备在有攻击时才能发现问题，在没有攻击的情况下，就无法看到业务漏洞，但这并不代表业务漏洞不存在；即使发现了攻击，也无法判断业务系统是否真正存在安全漏洞，还是无法指导用户进行安全建设。

传统产品组合方案缺陷二：有几种设备就可以防护几种攻击，但大部分客户无法全部部署，所以安全存在短板；即使全部部署，这些设备也不对服务器和终端向外主动发起的业务流量进行防护，在面临新的未知攻击的情况下缺乏有效的防御措施，还是存在被绕过的风险。

2.“雇佣兵”式的安全服务？即使采购了安全设备，但是缺乏专业的安全人员来进行及时有效的安全运维也是企业在安全建设中遇到的难题。

以往只能通过安全服务商采购安全服务，我们称为”雇佣兵”式的安全服务。

虽然短期内可以快速提升安全防护效果，满足合规要求，但是安全咨询和安全服务的交付质量，严重依赖于安全服务人员的水平，一旦安全专家离开了，那安全服务的交付质量就无法得到保障。

虽然买回来一堆完备的安全设备，也会因为专业程度太高，缺乏专家水平的人员运维，让这些设备变成了摆设，用户通过自己的力量并不能够真正地掌控网络安全。

3.企业级的网络安全到底需要什么？诉求一：看不看得到安全风险？只有看到L2-L7层的攻击才能了解网络的整体安全状况，基于传统多产品的组合方案使大多数用户没有办法进行统一分析，也就无法快速定位安全问题，同时也加大了安全运维的工作量。

国内下一代防火墙第一品牌深信服下一代防火墙（Next-Generation Application Firewall）NGAF是面向应用层设计，能够精确识别用户、应用和内容，具备完整安全防护能力，能够全面替代传统防火墙，并具有强劲应用层处理能力的全新网络安全设备。

NGAF解决了传统安全设备在应用识别、访问控制、内容安全防护等方面的不足，同时开启所有功能后性能不会大幅下降。

作为传统防火墙的升级替代产品，深信服NGAF不同于工作在L2-L4层的传统防火墙，可以对全网流量进行双向深入数据内容层面的全面透析。

在安全策略制定方面，区域别于传统防火墙五元组安全策略，深信服NGAF可对L2-L7层更多的元素（如，用户、应用类型、URL、数据内容等）制定双向的安全访问策略，使安全策略更精细、更有效，且满足业务的合规性；在安全防护能力方面，提升了传统的抗攻击的能力，不仅能防护网络层的攻击，针对来源更广泛、攻击更容易、危害更大的应用层攻击也可以进行防护，实现L2-L7层的安全防护。

同时，深信服NGAF采用全新的软硬件架构，减小在多种复杂的安全策略和L2-L7层多功能防护功能全部开启时性能的消耗，实现应用层高性能。

功能列表项目具体功能部署方式支持路由，透明，旁路，虚拟网线，混合部署模式；实时监控实时提供CPU、内存、磁盘占用率、会话数、在线用户数、网络接口的鞥设备资源信息；提供安全事件信息，包括最近安全事件、服务器安全事件、终端安全事件等，事件信息提供发生事件、源IP、目的IP、攻击类型以及攻击的URL等；提供实时智能模块间联动封锁的源IP 以便实现动态智能安全管理；网络适应性支持ARP代理、静态ARP绑定，配置DNS及DNS代理、支持DHCP中继、DHCP服务器、DHCP客户端；支持SNMP v1，v2，v3，支持SNMP Trap；支持静态路由、RIP v1/2、OSPF、策略路由；支持链路探测，端口聚合，接口联动；包过滤与状态检测提供静态的包过滤和动态包过滤功能；支持的应用层报文过滤，包括：应用层协议：FTP、HTTP、SMTP、RTSP、H.323（Q.931，H.245，RTP/RTCP）、SQLNET、MMS、PPTP等；传输层协议：TCP、UDP；NAT地址转换支持多个内部地址映射到同一个公网地址、多个内部地址映射到多个公网地址、内部地址到公网地址一一映射、源地址和目的地址同时转换、外部网络主机访问内部服务器、支持DNS 映射功能；可配置支持地址转换的有效时间；支持多种NAT ALG，包括DNS、FTP、H.323、SIP等抗攻击特性支持防御Land、Smurf、Fraggle、WinNuke、Ping of Death、Tear Drop、IP Spoofing、SYN Flood、ICMP Flood、UDP Flood、DNS Query Flood、ARP欺骗攻击防范、ARP主动反向查询、TCP报文标志位不合法攻击防范、支持IP SYN速度限制、超大ICMP报文攻击防范、地址/端口扫描的防范、DoS/DDoS攻击防范、ICMP重定向或不可达报文控制等功能，此外还支持静态和动态黑名单功能、MAC和IP绑定功能；IPSEC VPN 支持AES、DES、3DES、MD5、SHA1、DH、RC4等算法，并且支持扩展国密办SCB2等其他加密算法支持MD5及SHA-1验证算法；支持各种NAT网络环境下的VPN组网；支持第三方标准IPSec VPN进行对接；*总部与分支有多条线路，可在线路间一一进行IPSecVPN 隧道建立，并设置主隧道及备份隧道，对主隧道可进行带宽叠加、按包或会话进行流量平均分配，主隧道断开备份隧道自动启用，保证IPSecVPN连接不中断；可为每一分支单独设置不同的多线路策略；单臂部署下同样支持多线路策略；应用访问控制策略支持对1000种以上应用、2500种以上应用动作，可以识别P2P、IM、OA办公应用、数据库应用、ERP应用、软件升级应用、木马外联、炒股软件、视频应用、代理软件、网银等协议；支持自定义规则; 提供基于应用识别类型、用户名、接口、安全域、IP地址、端口、时间进行应用访问控制列表的制定；APT检测内置超过20万的病毒，木马，间谍软件等恶意软件特征库，并且在不断的持续更新特征内容；支持通过安全云实现虚拟沙盒动态检测技术。