深信服应用防火墙参数
深信服虚拟化 Web 应用防火墙云 WAF 用户手册说明书
深信服虚拟化Web应用防火墙云WAF 用户手册产品版本8.0.28文档版本 01发布日期2021-03-12深信服科技股份有限公司版权所有©深信服科技股份有限公司 2020。
保留一切权利。
除非深信服科技股份有限公司(以下简称“深信服公司”)另行声明或授权,否则本文件及本文件的相关内容所包含或涉及的文字、图像、图片、照片、音频、视频、图表、色彩、版面设计等的所有知识产权(包括但不限于版权、商标权、专利权、商业秘密等)及相关权利,均归深信服公司或其关联公司所有。
未经深信服公司书面许可,任何人不得擅自对本文件及其内容进行使用(包括但不限于复制、转载、摘编、修改、或以其他方式展示、传播等)。
注意您购买的产品、服务或特性等应受深信服科技股份有限公司商业合同和条款的约束,本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内。
除非合同另有约定,深信服科技股份有限公司对本文档内容不做任何明示或默示的声明或保证。
由于产品版本升级或其他原因,本文档内容会不定期进行更新。
除非另有约定,本文档仅作为使用指导,本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。
前言关于本文档本文档针对深信服虚拟化Web应用防火墙产品,介绍了云WAF的架构、特性、安装和运维管理。
产品版本本文档以下列产品版本为基准写作。
后续版本有配置内容变更时,本文档随之更新发布。
读者对象本手册建议适用于以下对象:⚫网络设计工程师⚫运维人员符号约定在本文中可能出现下列标志,它们所代表的含义如下。
在本文中会出现图形界面格式,它们所代表的含义如下。
修订记录修订记录累积了每次文档更新的说明。
最新版本的文档包含以前所有文档版本的更新内容。
资料获取您可以通过深信服官方网站获取产品的最新资讯:获取安装/配置资料、软件版本及升级包、常用工具地址如下:深信服科技深信服技术服务技术支持用户支持邮箱:*******************.cn技术支持热线电话:400-630-6430(手机、固话均可拨打)深信服科技服务商及服务有效期查询:https:///plugin.php?id=service:query意见反馈如果您在使用过程中发现任何产品资料的问题,可以通过以下方式联系我们。
★深信服AF应用防火墙NGAF产品培训资料
SAP ERP系统安全加固
国美应用效果:
1)针对SAP ERP系统的安全漏洞进行针对
FW FW
性防护
2)针对底层的Linux操作系统漏洞进行安
全防护 3)启用了IPS和WAF防扫描防探测功能
NGAF NGAF
4)启用了安全模块的智能联劢功能
内网
SAP服务器区
产品部署方式
路由模式
WEB交互系统 WEB门户网站
1、安全防护更全面,融 合了IPS以及WAF功能; 2、强化的web攻击防护, 可防御各类SQL注入变种 攻击 3、独特的敏感信息防泄 漏,与门为高端用户打造 4、网关融合网页防篡改, 对服务器稳定性和性能无 影响
解决方案卖点——网站一体化安全防护
网站一体化安全防护
人事考试网应用效果:
NGAF NGAF
功能卖点
竞争优势
1、集成SANGFOR 优秀 的IPSEC VPN功能 2、基于应用的流控 3、融合应用攻击防护 4、高效流式病毒过滤 5、集中管理
1、融合业界市场占有率 第一的IPSEC VPN,实现 最优的安全组网 2、L2-L7层流量清洗,业 界最完整的一体化安全防 护方案 3、一体化网关实现安全 组网不流量清洗,建设成 本更低
1、虚拟补丁解决系统漏 洞问题 2、web安全保障应用层 面安全 3、信息泄露防护防止拖 库暴库,加固数据层面安 全防护能力 4、网页篡改防护保证 web页面完整性,加固数 据层面安全防护能力
解决方案卖点——业务系统安全加固
一站式应用安全加固部署方案
解决方案卖点——业务系统安全加固
节点纵深防御应用安全加固部署方案
解决方案卖点——业务系统敏感信息防泄漏
网银区服务器数据防泄露
深信服NGA下F一代应用防火墙产品介绍-PPT
客户三:政府机构网络安全防护
总结词
政府机构需要严格遵守相关法律法规,保护国家安全和公民隐私,深信服下一代应用防火墙提供了可靠的安全解 决方案。
详细描述
深信服下一代应用防火墙符合国家相关法律法规的要求,为政府机构提供了全面的安全防护,包括对网络攻击的 检测和防御、对敏感信息的加密和保护等。该产品还具有高度的可定制性和可扩展性,能够满足政府机构不断变 化的安全需求。
日志与报表分析
提供详细的日志和报表分析功能,帮助管理员了解设备运行状态和 安全状况。
安全性强
多层次防御
采用多层次防御机制,有效防范各类网络威胁和攻击。
深度内容检测
具备深度内容检测功能,能够检测并阻止各类恶意文件和攻击行 为。
全面支持加密技术
全面支持各种加密技术,确保数据传输安全可靠。
04 适用场景
业和高流量场景的需求。
低延迟
该产品具备低延迟特性,确保网络 传输速度快,不卡顿,为用户提供 流畅的网络体验。
多核并行处理
采用多核并行处理技术,实现高效 的数据处理能力,确保防火墙运行 稳定。
易于管理和维护
直观的GUI界面
提供直观的图形用户界面,方便管理员进行配置、监控和管理。
自动更新与漏洞修复
支持自动更新和漏洞修复功能,降低维护成本和时间。
产品目标
1
提供全面的应用层安全防护,有效抵御各类网络 威胁。
2
简化网络安全架构,降低企业安全运维成本。
3
提升企业业务连续性和数据安全性。
产品特点
深度检测与防护
采用深度包检测技术,对应用层流量进行全面检测与防护,有效防御 各类网络威胁。
智能识别与控制
支持多维度的流量识别与控制,包括IP地址、域名、URL、文件类型 等,实现精细化的安全策略管理。
深信服应用防火墙参数
支持10万条以上的病毒库,并且可以自动或者手动升级
流控
应用以上的应用动作(需提供截图证明)
应用流控
*支持基于应用类型划分与带宽分配
网站流控
*支持基于网站类型的划分与带宽分配
文件流控
支持基于文件类型划分与分配带宽
WEB安全防护
URL过滤
*对用户web行为进行过滤,保护用户免受攻击;支持只过滤HTTP GET、HTTP POST、HTTPS等应用行为;并进行阻断和记录日志
抗攻击特性
支持防御Land、Smurf、Fraggle、WinNuke、Ping of Death、Tear Drop、IP Spoofing、SYN Flood、ICMP Flood、UDP Flood、DNS Query Flood、ARP欺骗攻击防范、ARP主动反向查询、TCP报文标志位不合法攻击防范、支持IP SYN速度限制、超大ICMP报文攻击防范、地址/端口扫描的防范、DoS/DDoS攻击防范、ICMP重定向或不可达报文控制等功能,此外还支持静态和动态黑名单功能、MAC和IP绑定功能
一、性能及配置要求
AF-1320-L对应NS-SecPath U200-A
项目
指标
具体功能要求
接口
电口
具备至少6个10/100/1000 Base-T 千兆电口
Bypass
*支持故障时Bypass功能(1路)
技术
规范
安装空间
标准1U机架尺寸
储存温度
-20℃~70℃
相对湿度
5~95%(无凝结状态)
性能
智能策略联动
*风险评估可以实现与FW、IPS、服务器防护模块的智能策略联动,自动生成策略(需提供截图证明)
AF防火墙参数全系列型
国内下一代防火墙第一品牌
深信服下一代防火墙(Next-GenerationApplicationFirewall)NGAF是面向应用层设计,能够精确识别用户、应用和内容,具备完整安全防护能力,能够全面替代传统防火墙,并具有强劲应用层处理能力的全新网络安全设备。
NGAF解决了传统安全设备在应用识别、访问控制、内容安全防护等方面的不足,同时开启所有功能后性能不会大幅下降。
区别于传统的网络层防火墙,NGAF具备L2-L7层的协议的理解能力。
不仅能够实现网络层访问控制的功能,且能够对应用进行识别、控制、防护,解决了传统防火墙应用层控制和防护能力不足的问题。
区别于传统DPI技术的入侵防御系统,深信服NGAF具备深入应用内容的威胁分析能力,具备双向的内容检测能力为用户提供完整的应用层安全防护功能。
同样都能防护web攻击,与web应用防火墙关注web应用程序安全的设计理念不同,深信服下一代防火墙NGAF关注web系统在对外发布的过程中各个层面的安全问题,为对外发布系统打造坚实的防御体系。
性能参数
功能列表。
深信服下一代防火墙AF招标参数
支持对HTTP,FTP,SMTP,POP3协议进行病毒文件检测;
病毒库具备的内置病毒特征数量超过1000万;
支持对常见压缩文件格式的检测,如zip,rar,7z等;
支持杀毒文件类型自定义;
支持杀毒白名单功能,可以根据URL或者IP进行排除不检测病毒;
检测到病毒后的操作支持阻断,记录杀毒日志;
网页篡改防护
支持网关型网页防篡改,无需在服务器中安装任何插件;
动态网页/静态网页支持,全面保护网站的静态网页和动态网页,支持网页的自动发布、篡改检测、应用保护、警告和自动恢复,保证传输、鉴别、地址访问、表单提交、审计等各个环节的安全,完全实时杜绝篡改后的网页被访问的可能性及任何使用Web方式对后台数据库的篡改;
支持IPv4/v6 NAT地址转换,支持源目的地址转换,目的地址转换和双向地址转换,支持针对源IP或者目的IP进行连接数控制;
支持基于应用类型的策略路由应用引流;支持多线路链路负载;支持基于应用类型,网站类型,文件类型进行带宽分配和流控;
支持URL过滤和文件过滤功能,URL过滤支持GET,POST请求过滤和HTTPS网站过滤,文件过滤支持文件上传和下载过滤;
★支持对常见Web建站内容管理系统的防护,所支持的CMS类型数量不少20种,如dedecms,phpcms,phpwind,Empirecms,discuz,wordpress,joomla等;(需提供截图证明并加盖厂商公章)
★提供针对关键URL或者其他非Web关键服务的短信强认证机制;(要求提供三种以上服务的短信认证配置截图)
支持区分针对客户端和服务端的漏洞保护;
★支持针对服务器的漏洞风险评估功能,支持对ftp、mysql、oracle、mssql、ssh、RDP、NetBIOS、VNC等应用的弱密码扫描,扫描完成后生成安全风险评估报告;(为了保障与防火墙之间智能联动,要求漏洞风险评估非第三方软件产品)
AF防火墙参数:全系列型号
国内下一代防火墙第一品牌
深信服下一代防火墙(Next-Generation Application Firewall)NGAF是面向应用层设计,能够精确识别用户、应用和内容,具备完整安全防护能力,能够全面替代传统防火墙,并具有强劲应用层处理能力的全新网络安全设备。
NGAF 解决了传统安全设备在应用识别、访问控制、内容安全防护等方面的不足,同时开启所有功能后性能不会大幅下降。
区别于传统的网络层防火墙,NGAF具备L2-L7层的协议的理解能力。
不仅能够实现网络层访问控制的功能,且能够对应用进行识别、控制、防护,解决了传统防火墙应用层控制和防护能力不足的问题。
区别于传统DPI技术的入侵防御系统,深信服NGAF具备深入应用内容的威胁分析能力,具备双向的内容检测能力为用户提供完整的应用层安全防护功能。
同样都能防护web攻击,与web应用防火墙关注web应用程序安全的设计理念不同,深信服下一代防火墙NGAF 关注web系统在对外发布的过程中各个层面的安全问题,为对外发布系统打造坚实的防御体系。
深信服AF防火墙第二层透明模式下配置
深信服AF防火墙第二层透明模式下配置在配置深信服AF防火墙第二层透明模式之前,首先需要进行以下准备工作:1.网络拓扑规划:确定防火墙的放置位置和与其他网络设备的连接方式,以便合理规划网络流量的监控和策略的下发。
2.IP地址规划:为防火墙的透明模式接口和管理口分配合适的IP地址,并与网络中的其他设备进行地址配置的协调。
3.网络访问策略:根据实际需求和网络安全要求,定义合适的网络访问策略,包括访问控制列表(ACL)、安全策略、NAT等,以确保网络流量的安全性和合规性。
下面是深信服AF防火墙第二层透明模式的配置步骤及相关解释:1.登录防火墙:使用浏览器访问深信服AF防火墙的管理页面,并使用管理员账号进行登录。
2.配置接口:选择"网络"-"接口",点击“新增”,配置透明模式接口的相关参数,包括名称、物理接口、IP地址、子网掩码等。
3.绑定端口:选择"网络"-"端口",选择待绑定的物理接口,点击“绑定”,将透明模式接口与物理接口进行绑定。
4.配置VLAN:如果需要对网络流量进行VLAN隔离,选择"网络"-"VLAN",点击“新增”,配置VLAN的相关参数,包括名称、VLANID、IP 地址等。
5.配置物理链路:选择"网络"-"链路",点击“新增”,配置物理链路的相关参数,包括名称、绑定接口、链路类型等,以将不同的物理接口绑定为一组进行负载均衡和冗余备份。
6.配置网络ACL:选择"策略"-"网络ACL",点击“新增”,配置ACL规则,包括源IP、目的IP、协议、端口等,以定义允许或禁止的网络流量。
7.配置安全策略:选择"策略"-"安全策略",点击“新增”,配置安全策略规则,包括源地址、目的地址、应用、行为等,以定义网络流量的安全检查和处理方式。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
支持多个内部地址映射到同一个公网地址、多个内部地址映射到多个公网地址、内部地址到公网地址一一映射、源地址和目的地址同时转换、外部网络主机访问内部服务器、支持DNS映射功能
可配置支持地址转换的有效时间
支持多种NAT ALG,包括DNS、FTP、H.323、SIP等
IPSecVPN功能
支持AES、DES、3DES、MD5、SHA1、DH、RC4等算法,并且支持扩展国密办SCB2等其他加密算法支持MD5及SHA-1验证算法
病毒库数量
支持10万条以上的病毒库,并且可以自动或者手动升级
流控
应用特征识别库
*支持对1000种以上应用2000种以上的应用动作(需提供截图证明)
应用流控
*支持基于应用类型划分与带宽分配
网站流控
*支持基于网站类型的划分与带宽分配
文件流控
支持基于文件类型划分与分配带宽
WEB安全防护
URL过滤
*对用户web行为进行过滤,保护用户免受攻击;支持只过滤HTTP GET、HTTP POST、HTTPS等应用行为;并进行阻断和记录日志
文件类型过滤
*支持针对上传、下载等操作进行文件过滤;支持自定义文件类型进行过滤;支持基于时间表的策略制定;支持的处理动作包括:阻断和记录日志
ActiveX过滤
*支持基于签名证书的ActiveX过滤;支持添加白名单和合法网站列表;支持基于应用类型的ActiveX过滤,如视频、在线杀毒、娱乐等;
脚本过滤
抗攻击特性
支持防御Land、Smurf、Fraggle、WinNuke、Ping of Death、Tear Drop、IP Spoofing、SYN Flood、ICMP Flood、UDP Flood、DNS Query Flood、ARP欺骗攻击防范、ARP主动反向查询、TCP报文标志位不合法攻击防范、支持IP SYN速度限制、超大ICMP报文攻击防范、地址/端口扫描的防范、DoS/DDoS攻击防范、ICMP重定向或不可达报文控制等功能,此外还支持静态和动态黑名单功能、MAC和IP绑定功能
技术
规范
安装空间
标准2U机架尺寸
储存温度
-20℃~70℃
相对湿度
5~95%(无凝结状态)
电源
冗余电源
性能
参数
吞吐量
吞吐量≥5G
VPN连接数
不小于1500
并发连接数
不小于80万
新建连接数
*≥60000
延时
<10 us
平均无故障时间(MTBF)
≥100,000小时
二、详细功能要求
项目
指标
具体功能要求
实时监控
敏感信息防泄漏*
可定义的敏感信息
内置常见敏感信息的特征,且可自定义敏感信息特征,如用户名、密码、邮箱、身份证信息、MD5密码等
http敏感信息检测
支持正常访问http连接中非法敏感信息的外泄操作
漏洞风险评估
*支持服务器、客户端的漏洞风险评估功能
弱口令扫描
*支持ftp、mysql、oracle、mssql、ssh、RDP、网上邻居NetBIOS、VNC等多种应用的弱口令评估与扫描
设备资源信息
提供设备实时CPU、内存、磁盘占用率、会话数、在线用户数、网络接口等信息
联动封锁源IP
*提供实时智能模块间联动封锁的源IP以便实现动态智能安全管理(需提供截图证明)
流量状态
实时提供IP流量、应用流量排名、流量管理状态、DHCP状态、在线用户管理
防火墙/VPN功能
包过滤与状态检测
提供静态的包过滤和动态包过滤功能;支持的应用层报文过滤,包括:应用层协议:FTP、HTTP、SMTP、RTSP、H.323(Q.931,H.245, RTP/RTCP)、SQLNET、MMS、PPTP等;传输层协议:TCP、UDP
防护对象
*漏洞分为保护服务器和保护客户端两大类,便于策略部署(需提供截图证明)
处理动作“云联动“
*支持自动拦截、记录日志、上传灰度威胁到“云端”(需提供截图证明)
服务器防护*
Web应用防护识别库
*支持web攻击特征数量1000+(需提供截图证明)
Web服务隐藏
*支持Web网站隐藏,包括HTTP响应报文头出错页面的过滤,web响应报文头可自定义(需提供截图证明)
病毒信息统计
*必须支持将内网可能中毒的用户进行统计排行和报表输出,支持按照行为次数和用户数的排行统计各新增病毒名称,支持根据病毒、恶意脚本、恶意插件信息统计新增恶意URL排行
报表订阅
*支持将统计/趋势/查询等报表自动发送到指定邮箱
报表导出
*支持导出统计/趋势/查询等报表,包括Excel、PDF等格式
ISCCC中国国家信息安全产品认证证书
风险评估报表
*提供端口、服务、漏洞、弱密码等安全风险评估报表(需提供截图证明)
安全日志
必须支持将应用的受攻击对象进行统计排行和报表输出,支持按照行为次数和应用的排行统计各攻击类型名称;支持各种攻击类型的报表输出和统计;
安全趋势报表
*提供可定义时间内安全趋势分析报表
安全统计报表
*支持自定义统计指定IP/用户组/用户/应用在指定时间段内的服务器安全风险、终端安全风险、上网行为、网络流量等内容,并形成报表
吞吐量
吞吐量≥1G
VPN连接数
不小于400
并发连接数
不小于40万
新建连接数
*≥15000
延时
<10 us
平均无故障时间(MTBF)
≥100,000小时
AF-1820-D对应天清汉马USG-2000C
项目
指标
具体功能要求
接口
接口
10个千兆电口
4个千兆光口
Bypass
*支持故障时Bypass功能(3路)
一、性能及配置要求
AF-1320-L对应NS-SecPathU200-A
项目
指标
具体功能要求
接口
电口
具备至少6个10/100/1000持故障时Bypass功能(1路)
技术
规范
安装空间
标准1U机架尺寸
储存温度
-20℃~70℃
相对湿度
5~95%(无凝结状态)
性能
参数
智能策略联动
*风险评估可以实现与FW、IPS、服务器防护模块的智能策略联动,自动生成策略(需提供截图证明)
网页篡改防护*
网关型网页防篡改
*支持网关型网页防篡改,无需在服务器中安装任何插件
篡改实时检查
支持文件比对、特征码比对、网站元素、数字指纹比对多种比对方式,保证网站安全
动态网页/静态网页支持
*全面保护网站的静态网页和动态网页,支持网页的自动发布、篡改检测、应用保护、警告和自动恢复,保证传输、鉴别、地址访问、表单提交、审计等各个环节的安全,完全实时杜绝篡改后的网页被访问的可能性及任何使用Web方式对后台数据库的篡改
策略制定
配置选项:可设置源、目的区域、目的IP和端口号,端口号支持设置Web应用、FTP、mysql、telnet、ssh服务的端口号
文件上传过滤
*严格控制上传文件类型,检查文件头的特征码防止有安全隐患的文件上传至服务器,并支持结合病毒防护、插件过滤等功能检查文件安全性
其他应用防护
* ftp弱口令防护、telnet弱口令防护
三、其他要求
服务
服务机构
要求
*必须在用户所在地或用户所在的省会城市有厂家直属的售后服务机构
厂商资质
厂商资质要求
*设备生产厂商注册资本大于5000万
*售后服务体系通过ISO9001认证
*国家级高新技术企业证书
*具有CVE兼容性认证证书
产品资质
产品资质要求
计算机软件著作权登记证书
计算机信息系统安全专用产品销售许可证
FTP服务隐藏
*支持FTP服务应用信息隐藏包括:服务器信息、软件版本信息等
Web攻击防护
*支持OWASP定义10大web安全威胁,保护服务器免受基于Web应用的攻击,如SQL注入防护、XSS攻击防护、CSRF攻击防护、支持根据网站登录路径保护口令暴力破解(需提供截图证明)
网站扫描防护
支持web站点扫描、web站点结构扫描、漏洞扫描等扫描防护
*支持基于操作类型的脚本过滤,如注册表读写、文件读写、变形脚本、威胁对象调用、恶意图片等
理网关管
管理界面
支持SSL加密WEB方式管理设备
告警管理
支持攻击、病毒、服务器入侵、访问行为记录、内容过滤事件、系统日志告警等
排障工具
*提供图形化排障工具,便于管理员排查策略错误等故障
理日志管
数据中心
*设备必须支持内/外置数据中心
支持各种NAT网络环境下的VPN组网
支持第三方标准IPSecVPN进行对接
*总部与分支有多条线路,可在线路间一一进行IPSecVPN隧道建立,并设置主隧道及备份隧道,对主隧道可进行带宽叠加、按包或会话进行流量平均分配,主隧道断开备份隧道自动启用,保证IPSecVPN连接不中断;可为每一分支单独设置不同的多线路策略;单臂部署下同样支持多线路策略(提供自主知识产权证明)
业务管理与安全管理分离
*支持提供管理员业务操作界面与网管管理界面分离功能,方便业务人员更新网站内容
篡改防护效果
*支持通过替换、重定向等技术手段,防护篡改页面
病毒防护
病毒引擎
基于流引擎查毒技术,可以针对HTTP、FTP、SMTP、POP3等协议进行查杀
防护类型
*能实时查杀大量文件型、网络型和混合型等各类病毒;并采用新一代虚拟脱壳和行为判断技术,准确查杀各种变种病毒、未知病毒
IPS入侵防护
特征库数量
漏洞特征库: 2500+,并且能够自动或者手动升级