NGAF典型应用场景及案例

深信服科技NGAF 下一代防火墙方案白皮书1.概述 (4)2.深信服下一代防火墙核心价值 (5)2.1.全程保护 (5)2.2.全程可视 (7)3.主要功能介绍 (8)3.1.系统架构设计 (8)3.2.基础防火墙特性 (11)3.3.事前风险预知 (13)3.4.事中安全防护 (18)3.5.事后检测及响应 (31)4.部署模式 (33)4.1.网关模式 (33)4.2.网桥模式 (34)4.3.旁路模式 (36)4.4.双机模式 (37)5.市场表现 (39)5.1.高速增长，年复合增长超70% (39)5.2.众多权威机构一致认可 (40)5.3.为客户需求而持续创新 (40)6.关于深信服 (40)1.概述近几年来，随着互联网+、业务数字化转型的深入推进，各行各业都在加速往互联网化、数字化转型。

业务越来越多的向公众、合作伙伴，第三方机构等开放，在数字化业务带给我们高效和便捷的同时，信息暴露面的增加，网络边界的模糊化以及黑客攻击的产业化使得网络安全事件相较以往成指数级的增加，面对应对层出不穷的新型安全事件如网站被篡改，被挂黑链，0 day 漏洞利用，数据窃取，僵尸网络，勒索病毒等等，传统安全建设模式已经捉襟见肘，面临着巨大的挑战。

问题一：传统信息安全建设，以事中防御为主。

缺乏事前的风险预知，事后的持续检测及响应能力传统意义上的安全建设无论采用的是多安全产品叠加方案还是采用 UTM/NGFW+WAF 的整合类产品解决方案，关注的重点都在于如何防护资产在被攻击过程中不被黑客入侵成功，但是并不具备对于资产的事前风险预知和事后检测响应的能力，从业务风险的生命周期来看，仅仅具备事中的防护是不完整的，如果能在事前做好预防措施以及在时候提高检测和响应的能力，安全事件发生产生的不良影响会大幅度降低，所以未来，融合安全将是安全建设发展的趋势。

问题二：传统安全建设是拼凑的事中防御，缺乏有效的联动分析和防御机制传统安全建设方案，搜集到的都是不同产品碎片化的攻击日志信息，只能简单的统计报表展示，并不能结合业务形成有效的资产安全状态分析。

深信服N G A F典型部署案例与上架问题参考手册公司标准化编码 [QQX96QT-XQQB89Q8-NQQJ6Q8-MQM9N]NGAF典型案例与上架问题快速参考手册目录案例部分一、路由模式部署单线路简单部署by谢辉【网络现状】Internet——NGAF——内网（PC和服务器）现有1条外网出口线路，20M出口带宽.内网lan口接核心交换机，服务器区也在lan区域.【客户需求】AF代理内网上网对外发布服务双向地址映射流量控制【设备配置】（1）配置lan口，设置为路由口，由于是内网口，固不勾选 wan口（2）配置WAN口，设置为路由口，选择wan口。

（3）设置区域，一个接口属于一个区域，如图：（4）配置系统路由(添加回包路由和缺省路由，缺省路由必须要添加。

)（5）配置源地址转换，即代理上网功能。

源区域选择lan，目标区域选择wan。

源地址转换选择出接口地址，如果有多个公网IP可以选择IP范围。

（6）设置目的地址转换（即对外发布服务）。

源区域选择wan，目的区域为灰色，不可选，IP组应当设置wan口映射IP，可以通过IP组来发布需要映射的公网IP，客户需要将公网的8080端口映射到内部服务器的80端口，固需要将8080端口转换成80端口，以实现客户需求。

（7）客户需要在内网访问公网地址来访问内部服务器，需要我们做双向映射来实现，源区域和目的区域都选择lan区，应用服务器是通过来访问的,固目标端口设置7890，该端口不需要转换所以目标端口转换选择-不转换，如果是域名，则用dnsmapping即可。

所有映射条目如下图：（8）映射设置完毕后，需要放通相应的应用控制策略。

注意：做双向映射后，应当放通lan-lan的规则。

（9）配置流控模块1. 先配置虚拟线路，如图所示：2. 配置正确的线路带宽，将WAN区域的接口设置为外出接口，本例中eth2为WAN口，如下图：3. 设置流控策略，设置流控策略基本和AC一致。