SANGFOR_AF_解决方案201107

SANGFOR_AF_安全防护方案建议模板v10深信服科技有限公司201X-XX-XX目录1 网络与应用环境面临的安全挑战41.1 应用多样化，端口的单一化41.2 黑客攻击方式和目的的变化41.3 端到端的万兆处理能力 52 传统安全设备日趋“无力”62.1 防火墙成为了“摆设” 62.2 IPS+A V+W AF补丁式的方案72.3 简单堆砌的UTM 73 下一代防火墙的产生与价值83.1 Gantner定义下一代防火墙83.2 深信服NGAF的特点与用户价值94 XXX网络安全现状104.1 网络与应用系统现状114.2 面临的内容安全威逼114.2.1 漏洞利用114.2.2 拒绝服务攻击和分布式拒绝服务攻击12 4.2.3 零时差攻击 134.2.4 间谍软件144.2.5 协议专门和违规检测144.2.6 侦测和扫描 154.2.7 Web入侵154.2.8 病毒木马165 NGAF安全加固解决方案165.1 总体方案165.2 数据中心服务器爱护175.3 广域网边界安全隔离与防护185.4 互联网出口边界防护196 深信服NGAF产品介绍206.1 更精细的应用层安全操纵20 6.2 更全面的内容级安全防护21 6.3 更高性能的应用层处理能力22 6.4 更完整的安全防护方案 23网络与应用环境面临的安全挑战应用多样化，端口的单一化在传统的网络安全建设中，为网络设置一个“尽职尽责”的门卫操纵应用访咨询的合法性依旧能够做到的。

因为，那时端口=应用、IP=用户，只要在交换机、路由器、防火墙做些基于“端口+IP”的访咨询操纵策略，就能够轻松实现用户的访咨询权限。

然而随着网络、应用的持续的进展，为了便于应用的跨平台、灵活部署，现在有成千上万种应用趋向于更少数的端口运行，差不多上基于HTTP 或者HTTPS协议（80、443端口）。

例如“快乐网”网站上能够运行159种应用程序（还在持续丰富）——谈天、游戏、图片分享等；“谷歌”的企业级应用套件甚至能够提供类似于Office、协作办公、视频分享如此的企业应用程序。

深信服解决方案标题：深信服解决方案引言概述：深信服作为一家率先的网络安全解决方案提供商，致力于为企业提供全方位的网络安全保护和管理服务。

其解决方案涵盖网络安全、云安全、终端安全等多个领域，为企业用户提供了全面的安全保障。

本文将详细介绍深信服解决方案的特点和优势。

一、网络安全解决方案1.1 多层次的安全防护：深信服网络安全解决方案采用多层次的安全防护机制，包括防火墙、入侵检测系统、反病毒等，全面保护企业网络安全。

1.2 智能化的安全分析：深信服网络安全解决方案具备智能化的安全分析能力，能够实时监测网络流量，并对异常行为进行及时识别和响应。

1.3 可视化的安全管理：深信服网络安全解决方案提供可视化的安全管理界面，方便管理员对网络安全状况进行实时监控和管理。

二、云安全解决方案2.1 数据加密与隔离：深信服云安全解决方案采用先进的数据加密技术，确保云端数据的安全性和隐私性。

2.2 访问控制与身份认证：深信服云安全解决方案提供灵便的访问控制和身份认证机制，有效防止未授权用户访问云端资源。

2.3 安全合规与审计：深信服云安全解决方案支持安全合规性审计，匡助企业满足各种法规和标准的要求。

三、终端安全解决方案3.1 终端防护与漏洞修复：深信服终端安全解决方案提供全面的终端防护功能，包括漏洞修复、应用控制等，有效防止终端设备的安全漏洞。

3.2 行为监控与应用白名单：深信服终端安全解决方案支持对终端用户行为的监控和管理，同时可以设置应用白名单，确保终端设备安全。

3.3 挪移设备管理与远程锁定：深信服终端安全解决方案提供挪移设备管理功能，支持远程锁定和数据擦除，保护企业数据不被泄露。

四、数据安全解决方案4.1 数据加密与备份：深信服数据安全解决方案提供强大的数据加密和备份功能，确保企业数据的安全性和可靠性。

4.2 数据监控与审计：深信服数据安全解决方案支持对数据流量的监控和审计，匡助企业及时发现和应对数据泄露事件。

4.3 数据遗失与恢复：深信服数据安全解决方案提供数据遗失与恢复功能，支持快速恢复误删除的数据，保障企业数据的完整性。

深信服的方案深信服（Sangfor）是一家提供网络安全、云计算和网络优化解决方案的公司。

该公司致力于为全球企业和组织提供高效、安全和可信赖的网络环境。

在本文档中，我们将介绍深信服的一些解决方案和产品。

一、网络安全解决方案1.1 防火墙和安全网关深信服提供全面的防火墙和安全网关解决方案，用于保护企业网络免受网络威胁和攻击。

这些解决方案包括以下特性和功能：•混合威胁检测和阻断：通过综合利用传统的防火墙和先进的威胁情报技术，提供全方位的威胁检测和阻断能力，保护网络免受零日漏洞和未知威胁的侵害。

•应用程序和内容过滤：通过智能应用程序识别和内容过滤，实现对网络流量的精确控制，防止恶意软件传播和敏感信息泄露。

•VPN（虚拟专用网络）加密通信：提供安全的远程办公和分支机构连接，保护敏感数据在互联网上的传输安全。

1.2 入侵检测与防御系统深信服的入侵检测与防御系统（IDS/IPS）能够实时监测网络流量，识别和阻止潜在的攻击行为。

该系统具有以下特点：•远程指纹库更新：基于云端智能指纹库更新技术，能够及时获取最新的威胁情报，确保及时识别新型攻击。

•自适应安全策略：根据网络环境和实际需求，自动调整安全策略，减少误报率和漏报率。

•多层次防护机制：融合传统的入侵检测技术和先进的行为分析技术，提供多层次的防护机制，有效防御各种安全威胁。

二、云计算解决方案2.1 虚拟化平台深信服的虚拟化平台可以帮助企业实现IT资源的集中管理和优化利用，降低运维成本，提高业务灵活性。

以下是该平台的主要特性：•统一管理界面：提供统一的管理界面，可一键管理和监控所有虚拟机和物理服务器，简化运维工作。

•高可用性和容灾保护：通过自动负载均衡和容灾复原技术，提供高可用性和业务连续性保障。

•企业级安全性：内置安全策略和防护机制，保护虚拟化环境免受恶意软件和未授权访问的威胁。

2.2 云存储解决方案深信服的云存储解决方案提供可靠的数据存储和备份服务，确保企业数据的安全性和可靠性。

SANGFOR_AF_产品简介Gartner定义下⼀代防⽕墙源引⾃：Gartner《Defining the Next-Generation Firewall》⼀、防⽕墙必须演进防⽕墙必须演进，才能够更主动地阻⽌新威胁(例如僵⼫⽹络和定位攻击)。

随着攻击变得越来越复杂，企业必须更新⽹络防⽕墙和⼊侵防御能⼒来保护业务系统。

不断变化的业务流程、企业部署的技术，以及威胁，正推动对⽹络安全性的新需求。

不断增长的带宽需求和新应⽤架构(如Web2.0)，正在改变协议的使⽤⽅式和数据的传输⽅式。

安全威胁将焦点集中在诱使⽤户安装可逃避安全设备及软件检测的有针对性的恶意执⾏程序上。

在这种环境中，简单地强制要求在标准端⼝上使⽤合适的协议和阻⽌对未打补丁的服务器的探测，不再有⾜够的价值。

为了应对这些挑战，防⽕墙必须演进为被著名市场研究公司Gartner称之为“下⼀代防⽕墙(NextGenerationFirewall，简称NGFW)”的产品。

如果防⽕墙⼚商不进⾏这些改变的话，企业将要求通过降价来降低防⽕墙的成本并寻求其他安全解决⽅案来应对新的威胁环境。

⼆、什么是NGFW?Gartner将⽹络防⽕墙定义为在不同信任级别的⽹络之间实时执⾏⽹络安全政策的联机控制。

Gartner使⽤“下⼀代防⽕墙”这个术语来说明防⽕墙在应对业务流程使⽤IT的⽅式和威胁试图⼊侵业务系统的⽅式发⽣变化时应采取的必要的演进。

NGFW⾄少具有以下属性：1．⽀持联机“bump-in-the-wire”配置，不中断⽹络运⾏。

2．发挥⽹络传输流检查和⽹络安全政策执⾏平台的作⽤，⾄少具有以下特性：（1）标准的第⼀代防⽕墙能⼒：包过滤、⽹络地址转换(NAT)、状态性协议检测、VPN等等。

（2）集成的⽽⾮仅仅共处⼀个位置的⽹络⼊侵检测：⽀持⾯向安全漏洞的特征码和⾯向威胁的特征码。

IPS与防⽕墙的互动效果应当⼤于这两部分效果的总和。

例如提供防⽕墙规则来阻⽌某个地址不断向IPS加载恶意传输流。

1、登陆设备控制台
2、进入菜单“系统”-“系统配置”-“序列号”页面，在“升级序列号”项下面点击“修改序列号”，输入已购买的对应序列号项，点击“提交”。

如图：
3、重启设备，使序列号生效。

4、进入“系统维护”-“系统更新”-“库升级”页面，勾选对应购买的库模块，点击后面的“立即更新”，将库更新至最新版本。

如遇，点击“立即更新”后无法更新至最新版本，可以按照如下方式操作：
点击此页面“升级服务器配置”，重新选择其他的服务器（需要先测试选择的服务器可用性）。

选择其他服务器后再次进行“立即更新”
如果”重新选择其他服务器更新后还是不能更新到最新版本，考虑先“回滚”，再进行“立即更新”。

若还是存在问题，请联系工程师协助。

SANGFOR_AF_等保场景 配置指导手册2019年8月修订历史编号修订内容简述修订日期修订前版本号修订后版本号修订人1 编写20190808 V1.0 chenke■版权声明本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属深信服所有，受到有关产权及版权法保护。

任何个人、机构未经深信服的书面授权许可，不得以任何方式复制或引用本文的任何片断。

目录第1章前言 (2)第2章典型案例 (2)第3章下一代防火墙的作用 (3)第4章下一代防火墙的配置内容 (4)4.1安全功能配置 (4)4.1.1划分区域 (4)4.1.2访问控制 (5)4.1.3高可用 (6)4.1.4 IPSec VPN功能 (7)4.1.5 IPS功能 (8)4.1.6网络杀毒功能 (11)4.1.7 WAF功能 (12)4.1.8网页防篡改 (14)4.1.9 DoS/DDoS防护 (15)4.1.10 APT攻击检测 (17)4.2安全计算环境 (17)4.2.1身份鉴别&访问控制 (17)4.2.2入侵防范 (20)4.2.3数据备份恢复 (22)4.3安全审计 (22)第1章 前言为了保障等保项目的顺利交付，协助用户满足GB/T-22239-2019等保三级的相关技术要求，特编写此配置指导文档。

第2章 典型案例第3章 下一代防火墙的作用安全域产品名称部署位置产品作用配置内容互联网出口域基础级防火墙互联网出口隔离互联网和内部网络防范网络入侵攻击网络层恶意代码过滤流量管理与控制区域划分访问控制IPS防病毒流量控制核心业务域（三级系统域）增强级防火墙核心业务服务区的外联口隔离核心业务服务器区和其他区域防范网络入侵攻击防范web应用层攻击访问控制IPSWAF对外服务器域增强级防火墙对外服务器区的外联口隔离对外服务器区和其他区域防范网络入侵攻击防范web应用层攻击网页防篡改访问控制IPSWAF网页防篡改运维管理域基础级防火墙运维管理域的外联口隔离运维区和其他区域访问控制第4章 下一代防火墙的配置内容4.1安全功能配置4.1.1划分区域GB/T 22239技术要求：1)应划分不同的网络区域，并按照方便管理和控制的原则为各网络区域分配地址；配置步骤：1、点击【网络】-【接口/区域】。

深信服解决方案标题：深信服解决方案引言概述：深信服是一家专注于网络安全和通信解决方案的领先企业。

他们提供了一系列创新的解决方案，帮助客户保护网络安全、提高网络性能和实现数字化转型。

本文将详细介绍深信服的解决方案，包括网络安全、云计算、网络优化、数据中心和智能终端等五个方面。

一、网络安全解决方案：1.1 威胁防护：深信服提供全面的威胁防护解决方案，包括入侵检测和防御系统（IDS/IPS）、下一代防火墙（NGFW）和安全信息与事件管理（SIEM）等。

这些解决方案能够实时监测和分析网络流量，识别和阻止潜在的威胁，确保网络安全。

1.2 访问控制：深信服的访问控制解决方案可以帮助企业实现精细化的访问控制，确保只有授权人员可以访问敏感数据和系统。

这些解决方案包括网络接入控制（NAC）、虚拟专用网络（VPN）和身份认证等技术，有效防止未经授权的访问。

1.3 数据保护：深信服的数据保护解决方案可以帮助企业保护重要数据的机密性和完整性。

他们提供了加密技术、数据备份和恢复方案，以及数据泄露防护等功能，帮助企业应对数据泄露和勒索软件等安全威胁。

二、云计算解决方案：2.1 云安全：深信服的云安全解决方案可以帮助企业在云环境中保护数据和应用程序的安全。

他们提供了云安全网关（CSG）和云安全访问代理（CSA）等技术，实现对云平台的安全访问和数据保护。

2.2 云网络：深信服的云网络解决方案可以帮助企业构建高性能、可靠的云网络。

他们提供了虚拟化网络和软件定义网络（SDN）等技术，实现对云网络的灵活管理和优化。

2.3 云管理：深信服的云管理解决方案可以帮助企业实现对云资源的集中管理和监控。

他们提供了云平台管理系统（CMP）和云资源管理平台（CMP）等工具，简化云资源的管理和部署流程。

三、网络优化解决方案：3.1 宽带加速：深信服的宽带加速解决方案可以帮助企业提高网络性能和用户体验。

他们提供了带宽管理和优化技术，实现对网络流量的智能控制和加速。