深信服下一代防火墙NGAF产品彩页
深信服下一代防火墙互联网出口解决方案ppt课件
阻断、重定向、隔离等
正常数据流
关联分析
分片重组
流量分析
流恢复
报文正规化
关联检测引擎:提升检测精度例:Apache 2.2 漏洞: CVE-2011-3192 Denial Of Service Vulnerability应用识别分析: Web应用,保护对象为 Apache 2.2内容识别分析: 数据包匹配到CVE-2011-3192的漏洞特征关联分析结果: 命中,威胁级别严重,阻断!
敏感信息防泄漏
常见的敏感信息防泄漏用户信息邮箱账户信息MD5加密密码银行卡号身份证号码社保账号信用卡号手机号码内部保密文件根据文件类型防泄密根据特征自定义信息合规性
病毒/URL过滤
病毒查杀
常见病毒查杀httpftpPop3Smtp压缩文件……
网站分类过滤70个大类含非法及不良分类恶意网站过滤数千万个网站……
安全云
自动化威胁情报收集平台
IPS保护
虚拟主机补丁(4000+)操作系统漏洞,如Windows、Linux、Unix等应用程序漏洞,如Apache、IIS等中间件漏洞,如WebShpere、WebLogic等数据库漏洞,如SQL Server、Oracle等浏览器漏洞:IE、FrieFox、Google Chrome等……
自动学习建模
正常访问服务器
自动学习自动建模
未知攻击、非法请求
网站构架参数类型参数长度……
多维行为分析
1、多维行为分类2、分类威胁阈值3、阈值循环微调4、汇总基线比较
自动关联分析
数据流
会话状态跟踪
丢弃报文
应用识别分析并行处理支持近千种协议
内容特征分析 并行处理包括攻击特征、漏洞特征
丢弃报文、隔离
深信服NGAF防火墙产品分析
2100DP 2000DP-B 4000EP-A 4000EP-B 12600GP- 12600GP- 12600GPA A D 0 4 10 0 2 8 0 4 6 0 4 10 0 4 8 0 4 8 2 0 8
0 0 4
0 0 4
0 0 4
0 0 6
0 0 6
0 0 6
0 0 8
目
产品型号分析
8G 10G
*200万 *400万
3000 5000
160000 200000
80000 100000
8 8
4
2
*4路 *4路
冗余电源 冗余电源
500W 500W
2U 2U
产品型号对比-深信服
性能区间划分
40G以上 21G-40G 11-20G 6-10G 1-5G ≤1G 0 2 4 6
16600
•迁移便捷 • DMVPN部署无忧 • VPDN运营商必备 •隧道间路由 •亿级黑白名单,拒绝潜在威胁
私有云
多系统引导
•独创多系统,安全可靠
目
产品型号分析
功能分析
录
资质分析 竞争小结
资质
资质&公司 《计算机软件著作权登记证书》 涉密信息系统集成资质甲级 计算机信息系统集成资质企业(工信部) 信息系统安全集成服务资质-安全集成 中国通信企业协会通信网络安全服务能力评定证书--风险评 估 中国通信企业协会通信网络安全服务能力评定证书--安全设 计与集成乙级 信息安全应急处理服务资质认证 天融信 √ √ 2级 1级 丙级 乙级 一级 山石 √ X X X X X X 网神 √ X 3级 1级 网神 乙级 X 华为 √ X 1级 1级 X X 一级 迪普 √ X X X X X X 绿盟 √ X 3级 1级 乙级 乙级 一级 启明星辰 √ √ 1级 1级 乙级 乙级 一级 深信服 √ X X X X X X
★深信服AF应用防火墙NGAF产品培训资料
SAP ERP系统安全加固
国美应用效果:
1)针对SAP ERP系统的安全漏洞进行针对
FW FW
性防护
2)针对底层的Linux操作系统漏洞进行安
全防护 3)启用了IPS和WAF防扫描防探测功能
NGAF NGAF
4)启用了安全模块的智能联劢功能
内网
SAP服务器区
产品部署方式
路由模式
WEB交互系统 WEB门户网站
1、安全防护更全面,融 合了IPS以及WAF功能; 2、强化的web攻击防护, 可防御各类SQL注入变种 攻击 3、独特的敏感信息防泄 漏,与门为高端用户打造 4、网关融合网页防篡改, 对服务器稳定性和性能无 影响
解决方案卖点——网站一体化安全防护
网站一体化安全防护
人事考试网应用效果:
NGAF NGAF
功能卖点
竞争优势
1、集成SANGFOR 优秀 的IPSEC VPN功能 2、基于应用的流控 3、融合应用攻击防护 4、高效流式病毒过滤 5、集中管理
1、融合业界市场占有率 第一的IPSEC VPN,实现 最优的安全组网 2、L2-L7层流量清洗,业 界最完整的一体化安全防 护方案 3、一体化网关实现安全 组网不流量清洗,建设成 本更低
1、虚拟补丁解决系统漏 洞问题 2、web安全保障应用层 面安全 3、信息泄露防护防止拖 库暴库,加固数据层面安 全防护能力 4、网页篡改防护保证 web页面完整性,加固数 据层面安全防护能力
解决方案卖点——业务系统安全加固
一站式应用安全加固部署方案
解决方案卖点——业务系统安全加固
节点纵深防御应用安全加固部署方案
解决方案卖点——业务系统敏感信息防泄漏
网银区服务器数据防泄露
SANGFOR_AF1020_彩页
深信服NGAF系列产品是一款以应用安全需求出发而设计的下一代应用防火墙。
弥补了传统防火墙基于端口/IP 无法防护应用层安全威胁的缺陷;改善了UTM类设备简单功能堆砌,性能瓶颈的弱点。
通过单次解析引擎真正做到将防火墙、VPN、入侵防御、服务器防护、病毒防护、内容过滤、流量控制等多种安全技术有机的融合到一起,提供多功能、高性能的电信级安全设备。
与传统安全设备相比它可以针对丰富的应用提供更完整的可视化内容安全防护。
NGAF继承了传统防火墙的优秀品质能够适应各种复杂的网络环境,同时通过单次解析、应用可视化、灰度威胁关联分析三大创新技术,提供强大的网络安全防护、可视化的应用管控、全面的应用安全防护,形成2-7层一体化安全防护解决方案。
型号三层性能七层性能并发连接VPN连接电口光口万兆光口Bypass电源功率安装空间AF-1020400M100M10万1004- - NA单电源60W1U项目具体功能要求部署方式支持网关、网桥和混杂模式;网关管理支持SSL加密WEB方式管理设备;管理员支持分级管理,能够将所有功能模块按需分配给不同管理员;实时监控提供设备实时设备资源信息;提供实时详细的流量状态信息如:用户流量排名、应用流量排名、所有线路应用流速趋势、流量管理状态、连接监控等;提供安全状态信息,实时显示当天的安全状况,最后发生安全事件的时间、类型、总次数、源对象,帮助管理员处理安全事件;网络协议支持静态路由、RIP v1/2、OSPF、策略路由;提供ARP、域名解析、IP UNNUMBERED、DHCP中继、DHCP服务器、DHCP客户端等IP服务;网络防护支持静态的包过滤和动态包过滤功能;支持应用层报文过滤,包括:应用层协议:FTP、HTTP、SMTP、RTSP、H.323(Q.931,H.245, RTP/RTCP)、SQLNET、MMS、PPTP、L2TP等;传输层协议:TCP、UDP;支持防御Land、Smurf、Fraggle、WinNuke、Ping of Death、Tear Drop、IP Spoofing、CC、SYN Flood、ICMP Flood、UDP Flood、DNS Query Flood、ARP欺骗攻击防范、ARP主动反向查询、TCP报文标志位不合法攻击防范、支持IP SYN速度限制、超大ICMP报文攻击防范、地址/端口扫描的防范、DoS/DDoS攻击防范、ICMP重定向或不可达报文控制等功能,此外还支持静态和动态黑名单功能、MAC和IP绑定功能。
NGAF下一代应用防火墙系列产品
数量 1 1 1 1 一年 1 一年 一年 1 1 1 1 一年 1 一年 一年 1 1 1 1 一年 1 一年 一年 1 1 1 1 一年 1 一年 一年 1 1 1 1 一年 1 一年 一年 1 1 1 1 一年 1 一年 一年 1 1
比例
价格(元) 39800.00
-
10% 5% 20% 10% 10%
3980.00 1990.00 7960.00 3980.00 3980.00 79800.00
IPS漏洞防护+服务器防护功能模块更新费用 购买模块起一年后每年升级费
-
10% 5% 20% 1Байду номын сангаас% 10%
7980.00 3990.00 15960.00 7980.00 7980.00 119800.00
14980.00 7490.00 29960.00 14980.00 14980.00 189000.00
IPS漏洞防护+服务器防护功能模块更新费用 购买模块起一年后每年升级费
-
10% 5% 20% 10% 10%
18900.00 9450.00 37800.00 18900.00 18900.00 239800.00
每增加一条Internet线路(设备自带一条Internet线路授权) 每增加一个IPSEC VPN用户 每增加一个含DKEY的IPSEC VPN用户 每接入一个第三方IPSEC VPN网关
1 1 1 1
9360.00 422.00 702.00 1872.00
1 1 一年 1 一年 一年 1 1 1 1 一年 1 一年 一年 1 1 1 1 一年 1 一年 一年 1 1 1 1 一年 1 一年 一年 1 1 1 1 一年 1 一年 一年 10% 5% 20% 10% 10% 108980.00 54490.00 217960.00 108980.00 108980.00 10% 5% 20% 10% 10% 74980.00 37490.00 149960.00 74980.00 74980.00 1089800.00 10% 5% 20% 10% 10% 56980.00 28490.00 113960.00 56980.00 56980.00 749800.00 10% 5% 20% 10% 10% 46980.00 23490.00 93960.00 46980.00 46980.00 569800.00 10% 5% 20% 10% 10% 36980.00 18490.00 73960.00 36980.00 36980.00 469800.00
SANGFOR下一代防火墙
0
技术支持说明
为了让您在安装,调试、配置、维护和学习 SANGFOR 设备时,能及时、快速、有效 的获得技帮助你快速的完成部署、安装 SANGFOR 设备。如果快 速安装手册不能满足您的需要, 您可以到 SANGFOR 技术论坛或官网获得电子版的完整版 用户手册或者其他技术资料,以便你获得更详尽的信息。
4.
致电 SANGFOR 客服中心,确认最适合您的服务方式和服务提供方,客服中心会在您的 技术问题得到解决后,帮助您获得有效的服务信息和服务途径,以便您在后续的产品使 用和维护中最有效的享受技术支持服务,及时、有效的解决产品使用中的问题。
SANGFOR 技术论坛:/forum
公司网址:
技术支持服务热线:800830643(固话)、 4008306430(手机、固话均可拨打)
邮箱:support@
1
目录
技术支持说明................................................................................................................................... 1 声明 .................................................................................................................................................. 3 前言 ..............................................................................................
深信服NGA下F一代应用防火墙产品介绍-PPT
客户三:政府机构网络安全防护
总结词
政府机构需要严格遵守相关法律法规,保护国家安全和公民隐私,深信服下一代应用防火墙提供了可靠的安全解 决方案。
详细描述
深信服下一代应用防火墙符合国家相关法律法规的要求,为政府机构提供了全面的安全防护,包括对网络攻击的 检测和防御、对敏感信息的加密和保护等。该产品还具有高度的可定制性和可扩展性,能够满足政府机构不断变 化的安全需求。
日志与报表分析
提供详细的日志和报表分析功能,帮助管理员了解设备运行状态和 安全状况。
安全性强
多层次防御
采用多层次防御机制,有效防范各类网络威胁和攻击。
深度内容检测
具备深度内容检测功能,能够检测并阻止各类恶意文件和攻击行 为。
全面支持加密技术
全面支持各种加密技术,确保数据传输安全可靠。
04 适用场景
业和高流量场景的需求。
低延迟
该产品具备低延迟特性,确保网络 传输速度快,不卡顿,为用户提供 流畅的网络体验。
多核并行处理
采用多核并行处理技术,实现高效 的数据处理能力,确保防火墙运行 稳定。
易于管理和维护
直观的GUI界面
提供直观的图形用户界面,方便管理员进行配置、监控和管理。
自动更新与漏洞修复
支持自动更新和漏洞修复功能,降低维护成本和时间。
产品目标
1
提供全面的应用层安全防护,有效抵御各类网络 威胁。
2
简化网络安全架构,降低企业安全运维成本。
3
提升企业业务连续性和数据安全性。
产品特点
深度检测与防护
采用深度包检测技术,对应用层流量进行全面检测与防护,有效防御 各类网络威胁。
智能识别与控制
支持多维度的流量识别与控制,包括IP地址、域名、URL、文件类型 等,实现精细化的安全策略管理。
SANGFOR_AF_产品简介
SANGFOR_AF_产品简介Gartner定义下⼀代防⽕墙源引⾃:Gartner《Defining the Next-Generation Firewall》⼀、防⽕墙必须演进防⽕墙必须演进,才能够更主动地阻⽌新威胁(例如僵⼫⽹络和定位攻击)。
随着攻击变得越来越复杂,企业必须更新⽹络防⽕墙和⼊侵防御能⼒来保护业务系统。
不断变化的业务流程、企业部署的技术,以及威胁,正推动对⽹络安全性的新需求。
不断增长的带宽需求和新应⽤架构(如Web2.0),正在改变协议的使⽤⽅式和数据的传输⽅式。
安全威胁将焦点集中在诱使⽤户安装可逃避安全设备及软件检测的有针对性的恶意执⾏程序上。
在这种环境中,简单地强制要求在标准端⼝上使⽤合适的协议和阻⽌对未打补丁的服务器的探测,不再有⾜够的价值。
为了应对这些挑战,防⽕墙必须演进为被著名市场研究公司Gartner称之为“下⼀代防⽕墙(NextGenerationFirewall,简称NGFW)”的产品。
如果防⽕墙⼚商不进⾏这些改变的话,企业将要求通过降价来降低防⽕墙的成本并寻求其他安全解决⽅案来应对新的威胁环境。
⼆、什么是NGFW?Gartner将⽹络防⽕墙定义为在不同信任级别的⽹络之间实时执⾏⽹络安全政策的联机控制。
Gartner使⽤“下⼀代防⽕墙”这个术语来说明防⽕墙在应对业务流程使⽤IT的⽅式和威胁试图⼊侵业务系统的⽅式发⽣变化时应采取的必要的演进。
NGFW⾄少具有以下属性:1.⽀持联机“bump-in-the-wire”配置,不中断⽹络运⾏。
2.发挥⽹络传输流检查和⽹络安全政策执⾏平台的作⽤,⾄少具有以下特性:(1)标准的第⼀代防⽕墙能⼒:包过滤、⽹络地址转换(NAT)、状态性协议检测、VPN等等。
(2)集成的⽽⾮仅仅共处⼀个位置的⽹络⼊侵检测:⽀持⾯向安全漏洞的特征码和⾯向威胁的特征码。
IPS与防⽕墙的互动效果应当⼤于这两部分效果的总和。
例如提供防⽕墙规则来阻⽌某个地址不断向IPS加载恶意传输流。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
深信服下一代防火墙NGAF近年来,越来越多的网络安全事件告诉我们,安全风险比以往更加难以察觉。
随着网络安全形势逐渐恶化,网络攻击愈加频繁,用户对自己的网络安全建设是否合规、完善并没有把握。
该如何加强安全建设?安全建设的核心问题是什么?采用何种安全防护手段更为合适?安全建设该如何体现价值?这些问题已成为困扰用户安全建设的关键问题。
一、企业级网络安全建设需要什么1.传统割裂的各种安全产品?传统组合方案问题多传统产品组合方案缺陷一:不同的安全设备看到的是不同的攻击类型,信息是割裂的,难以对安全日志进行统一分析;安全设备在有攻击时才能发现问题,在没有攻击的情况下,就无法看到业务漏洞,但这并不代表业务漏洞不存在;即使发现了攻击,也无法判断业务系统是否真正存在安全漏洞,还是无法指导用户进行安全建设。
传统产品组合方案缺陷二:有几种设备就可以防护几种攻击,但大部分客户无法全部部署,所以安全存在短板;即使全部部署,这些设备也不对服务器和终端向外主动发起的业务流量进行防护,在面临新的未知攻击的情况下缺乏有效的防御措施,还是存在被绕过的风险。
2.“雇佣兵”式的安全服务?即使采购了安全设备,但是缺乏专业的安全人员来进行及时有效的安全运维也是企业在安全建设中遇到的难题。
以往只能通过安全服务商采购安全服务,我们称为”雇佣兵”式的安全服务。
虽然短期内可以快速提升安全防护效果,满足合规要求,但是安全咨询和安全服务的交付质量,严重依赖于安全服务人员的水平,一旦安全专家离开了,那安全服务的交付质量就无法得到保障。
虽然买回来一堆完备的安全设备,也会因为专业程度太高,缺乏专家水平的人员运维,让这些设备变成了摆设,用户通过自己的力量并不能够真正地掌控网络安全。
3.企业级的网络安全到底需要什么?诉求一:看不看得到安全风险?只有看到L2-L7层的攻击才能了解网络的整体安全状况,基于传统多产品的组合方案使大多数用户没有办法进行统一分析,也就无法快速定位安全问题,同时也加大了安全运维的工作量。
此外,没有攻击并不意味着业务不存在漏洞,一旦漏洞被利用就为时已晚。
好的解决方案应能及时发现业务漏洞,防患于未然。
最后,即使有大量的攻击也不意味着对业务安全的威胁很大,只有针对真实存在的业务漏洞进行的攻击才是有效攻击。
看不到有效攻击的来源,就无法让客户看到网络和业务的真实安全情况。
诉求二:能不能持续抵抗新威胁?首先,面对已知威胁,需要评估现有的安全防护体系在技术层面是否存在短板,存在短板必然容易被绕过,原有安全设备就形同虚设;其次,面对新型的威胁,企业是否具备实时应对和响应的能力,能够把影响最小化;最后,更多的安全威胁是未知的,如何能够搭建和利用大数据分析平台来帮助用户预测和发现未知威胁,是企业安全建设更高的一个层次的需求。
诉求三:安全运营是否能够简化?面对专业的安全设备,如果采用前述”雇佣兵”式的服务,并无法持续地帮助企业用户将安全达到一种可控的状态。
要想能够脱离”雇佣兵”式的安全服务,让安全设备发挥出最大的防护价值,就必须将专业、难懂的安全配置、安全日志进行简化,并能够引导和帮助用户具备用好、管好自己的设备的能力。
二、深信服下一代防火墙的定位1.适用于国内环境的下一代防火墙全球权威的IT研究与顾问咨询公司Gartner在2009年给出了下一代防火墙的定义:下一代防火墙是一种深度包检测防火墙,超越了基于端口、协议的检测和阻断,增加了应用层的检测和入侵防护。
结合目前国内的互联网安全环境来看,越来越多的安全事件是由Web 层面的设计漏洞被黑客利用所引发的。
据统计,国内用户上网流量与对外发布业务流量混合的比例超过50%。
作为出口安全网关的防火墙如果不具备Web应用防护能力,则存在明显的短板。
所以下一代防火墙作为一款融合型安全产品,不能缺失基于Web应用的安全防护。
作为国内下一代防火墙产品的先行者,公安部第二代防火墙标准制定的参与者,深信服一直走在前沿,在产品推出伊始就把Web应用防护这个基因深深地植入到深信服下一代防火墙当中。
深信服下一代防火墙NGAF面向应用层设计,能够精确识别用户、应用和内容,具备完整的L2-L7层安全防护体系,强化了在Web层面的应用防护能力,不仅能够全面替代传统防火墙,而且在开启安全功能的情况下还保持着强劲的应用层处理性能。
2.我们不仅交付产品,还为您持续输送安全能力安全已经成为继硬件、软件、网络之后的第四大IT基础设施。
深信服除了为用户提供创新的安全产品之外,还将致力于帮助企业掌握自身网络安全。
通过创新的安全产品+自动化的安全服务不断为用户输送安全能力,帮助用户具备看懂网络安全现状的能力,持续对抗新型威胁的能力和简化安全运营的能力。
三、深信服下一代防火墙为企业安全赋能1.看懂安全现状和风险1.1业务安全状况可视NGAF提供强大的综合安全风险报表功能,能够帮助用户直观地了解到网络中存在的风险,通过从业务安全、用户安全以及漏洞分布三个维度来全方位地帮助用户了解网络当中存在的威胁。
基于业务的风险分析报表(截选)NGAF的实时漏洞分析功能,可以主动分析经过设备的业务流量中存在的风险并实时展示出来,实时监控界面可以根据服务器真实存在的漏洞数量进行排名,同时给出各业务系统风险情况的评估,并给出建议和解决方案。
1.2威胁危害效果可视深信服NGAF突破传统安全产品的设计理念,在首页内容展示上进行了创新,将设备检测到的威胁风险通过图形化的界面进行统计和展示。
用户通过首页就能一眼掌握网络的安全状况。
通过各个版块简单的点击,就能继续深入了解到更详细的受害对象列表、安全日志、攻击来源等信息,能够直观地了解到哪些业务或者用户已经被黑客入侵或控制,哪些业务存在漏洞威胁,哪些Web服务器已经被植入了黑链等等。
NGAF首页风险展示1.3安全事件实时通报深信服NGAF搭建的微信安全服务平台,能够帮助用户7*24小时监控设备的安全状态,一旦发现设备检测到安全威胁,则通过深信服后台安全专家的验证确认后推送到用户端,帮助用户及时发现和处理安全风险,同时也通过漫画的形式帮助用户更好地了解所遭受攻击的危害,并定期生成安全风险报表,让运维管理人员更加了解自身的网络安全状态。
威胁实时通报安全报表推送威胁漫画展示2.持续对抗新型威胁2.1产品快速迭代应对已知威胁完整的应用层防护体系深信服NGAF具有完备的L2-L7层一体化的安全防御体系来应对已知威胁,在Web应用安全层面的防护能力尤为突出,如具备网站黑链检测、Webshell脚本检测、OWASP TOP10 Web 攻击防护等功能。
对于不断更新的威胁,深信服NGAF通过产品的快速迭代开发来响应需求。
深信服NGAF保持每两月更新一个软件版本的速度实现对产品改进需求的快速响应。
在攻击特征库方面也保持着每两周更新一次的频率进行维护。
高危的0day漏洞当天进行规则更新和发布。
2.2完整的APT攻击检测链面对复杂、隐蔽的APT攻击,深信服NGAF深入剖析了APT攻击的五个阶段,并在每个阶段都具备相应的安全措施,让用户可以看到不同阶段检测到的APT攻击行为。
2.3云检测平台应对未知威胁NGAF与云平台联动应对未知威胁在应对未知威胁方面,深信服搭建了未知威胁云检测平台,通过6000多台部署在全球各地的深信服下一代防火墙,在获得用户授权的前提下,自动上传可疑的应用流量到未知威胁云检测平台,云平台将该部分流量放到虚拟沙盒中进行运行,通过分析异常网络行为,对流量进行判断。
若上传流量存在安全威胁,云平台将生成安全防护规则并实时下发到全球所有在线的NGAF,令其能够有效抵御各类互联网攻击。
深信服未知威胁云检测平台截止至2015年12月,深信服安全云平台累计收到接近1亿条可疑威胁流量,并分析定位出40多万条存在威胁的恶意网址,安全云平台同步生成并下发的安全防护规则累计拦截了330多万次的访问请求。
3.简化安全运营3.1任务化的风险管理深信服NGAF通过将检测到的安全风险统一汇总,为用户形成一个待处理问题清单,引导用户关注未处理的安全风险,并通过提供工具化的解决办法来帮助用户将安全风险处理掉形成运营闭环。
3.2全网安全统一管控深信服下一代防火墙还具备全网安全监测平台,可实现对分布式部署的下一代防火墙进行统一的管理和监控,建设完善,可控的安全网络。
深信服全网安全监测方案部署在各节点的NGAF为分支机构的网络提供L2-L7层完整的安全防护,有效避免分支机构因薄弱的安全建设成为入侵短板;总部核心业务区防护设备的部署,强有力地保障了各项业务高效、稳定地开展;安全管理区的全网安全监测平台通过收集各节点的流量、攻击情况,使总部运维人员可实时了解分支机构的安全风险;集中管理平台可实现全网各节点设备的统一管理和统一策略推送,真正做到管理集中化、运维自动化。
分支机构安全状况实时上报3.3威胁情报预警与处置深信服NGAF内置了威胁情报预警中心,通过深信服后台安全专家团队持续不断地搜集互联网上最新爆发流行的0day漏洞,及时地将高危漏洞的危害分析以及检测验证工具同步推送到NGAF上,运维人员不仅可以在第一时间了解到最新的0day漏洞,还能够自主扫描验证内部服务器是否存在漏洞,如果扫描出问题也可以通过一键防护功能进行应急处置,帮助用户快速地将风险降到最低。
3.4风险评估与策略联动深信服NGAF基于时间周期的安全防护设计,提供事前风险评估及策略联动功能。
风险评估功能分为系统漏洞扫描和Web弱点扫描两部分:系统漏洞扫描通过端口、服务、应用扫描帮助用户及时发现端口、服务及漏洞风险,并通过模块间的智能策略联动及时更新对应安全风险的安全防护策略。
Web弱点扫描通过内置的二十多类Web攻击特征,可以帮助用户快速定位出Web应用的漏洞,并提供相关漏洞的严重等级、漏洞详情以及建议的修复方案等,协助用户快速解决内网Web应用存在的风险。
3.5智能联动封锁机制深信服NGAF智能主动防御技术可在内部各个模块之间形成智能的联动策略,如一个IP/用户持续向内网服务器发起各类攻击则可通过防火墙策略暂时阻断该IP/用户。
智能防护体系的建立可有效地防止工具型、自动化的黑客攻击,提高攻击成本。
同时也使得管理员维护变得更为简单,可实现无网管的自动化安全管理。
四、高效稳定的底层架构设计1.分离平面设计深信服下一代防火墙通过软件设计将网络层和应用层的数据处理进行分离,在底层以应用识别模块为基础,对所有网卡接收到的数据进行识别,再通过抓包驱动把需要处理的应用数据报文抓取到应用层。
若应用层发生数据处理失败的情况,也不会影响到网络层数据的转发,从而实现高效、可靠的数据报文处理。
分离平面设计2.多核并行处理NGAF的设计不仅采用了多核的硬件架构,在计算指令设计上还采用了先进的无锁并行处理技术,能够实现多流水线同时处理,成倍提升系统吞吐量,在多核系统下性能表现十分优异,是真正的多核并行处理架构。