深信服防火墙NGAF方案白皮书

1、 27/27深信服下一代防火墙NGAF方案白皮书目 录 TOC o 1-3 h z u HYPERLINK l _Toc38484808 一、企业级网络安全建设需要什么 PAGEREF _Toc38484808 h 4 HYPERLINK l _Toc38484809 1.传统割裂的各种安全产品？ PAGEREF _Toc38484809 h 4 HYPERLINK l _Toc38484810 2.“雇佣兵”式的安全服务？ PAGEREF _Toc38484810 h 5 HYPERLINK l _Toc38484811 3.企业级的网络安全到底需要什么？ PAGEREF _Toc38484

2、811 h 5 HYPERLINK l _Toc38484812 二、深信服下一代防火墙的定位 PAGEREF _Toc38484812 h 6 HYPERLINK l _Toc38484813 1.适用于国内环境的下一代防火墙 PAGEREF _Toc38484813 h 6 HYPERLINK l _Toc38484814 2.我们不仅交付产品，还为您持续输送安全能力 PAGEREF _Toc38484814 h 7 HYPERLINK l _Toc38484815 三、深信服下一代防火墙为企业安全赋能 PAGEREF _Toc38484815 h 7 HYPERLINK l _Toc38

3、484816 1.看懂安全现状和风险 PAGEREF _Toc38484816 h 7 HYPERLINK l _Toc38484817 1.1业务安全状况可视 PAGEREF _Toc38484817 h 7 HYPERLINK l _Toc38484818 1.2威胁危害效果可视 PAGEREF _Toc38484818 h 8 HYPERLINK l _Toc38484819 1.3安全事件实时通报 PAGEREF _Toc38484819 h 9 HYPERLINK l _Toc38484820 2.持续对抗新型威胁 PAGEREF _Toc38484820 h 10 HYPERLIN

4、K l _Toc38484821 2.1产品快速迭代应对已知威胁 PAGEREF _Toc38484821 h 10 HYPERLINK l _Toc38484822 2.2完整的APT攻击检测链 PAGEREF _Toc38484822 h 11 HYPERLINK l _Toc38484823 2.3云检测平台应对未知威胁 PAGEREF _Toc38484823 h 12 HYPERLINK l _Toc38484824 3.简化安全运营 PAGEREF _Toc38484824 h 13 HYPERLINK l _Toc38484825 3.1任务化的风险管理 PAGEREF _Toc

5、38484825 h 13 HYPERLINK l _Toc38484826 3.2全网安全统一管控 PAGEREF _Toc38484826 h 14 HYPERLINK l _Toc38484827 3.3威胁情报预警与处置 PAGEREF _Toc38484827 h 15 HYPERLINK l _Toc38484828 3.4风险评估与策略联动 PAGEREF _Toc38484828 h 15 HYPERLINK l _Toc38484829 3.5智能联动封锁机制 PAGEREF _Toc38484829 h 16 HYPERLINK l _Toc38484830 四、高效稳定的

6、底层架构设计 PAGEREF _Toc38484830 h 16 HYPERLINK l _Toc38484831 1.分离平面设计 PAGEREF _Toc38484831 h 16 HYPERLINK l _Toc38484832 2.多核并行处理 PAGEREF _Toc38484832 h 17 HYPERLINK l _Toc38484833 3.单次解析架构 PAGEREF _Toc38484833 h 17 HYPERLINK l _Toc38484834 4.跳跃式扫描技术 PAGEREF _Toc38484834 h 18 HYPERLINK l _Toc38484835 5

7、.Sangfor Regex正则引擎 PAGEREF _Toc38484835 h 18 HYPERLINK l _Toc38484836 6.产品性能评测报告 PAGEREF _Toc38484836 h 19 HYPERLINK l _Toc38484837 五、深信服下一代防火墙品牌优势 PAGEREF _Toc38484837 h 19 HYPERLINK l _Toc38484838 1.市场引领者 PAGEREF _Toc38484838 h 19 HYPERLINK l _Toc38484839 2.专业权威的认可 PAGEREF _Toc38484839 h 20 HYPERL

8、INK l _Toc38484840 3.专业安全攻防团队 PAGEREF _Toc38484840 h 21 HYPERLINK l _Toc38484841 4.产品可靠稳定 PAGEREF _Toc38484841 h 21 HYPERLINK l _Toc38484842 六、典型场景和案例 PAGEREF _Toc38484842 h 22 HYPERLINK l _Toc38484843 典型应用场景 PAGEREF _Toc38484843 h 22 HYPERLINK l _Toc38484844 典型应用案例 PAGEREF _Toc38484844 h 23 HYPERLI

9、NK l _Toc38484845 七、部分客户列表 PAGEREF _Toc38484845 h 25近年来，越来越多的网络安全事件告诉我们，安全风险比以往更加难以察觉。随着网络安全形势逐渐恶化，网络攻击愈加频繁，用户对自己的网络安全建设是否合规、完善并没有把握。该如何加强安全建设？安全建设的核心问题是什么？采用何种安全防护手段更为合适？安全建设该如何体现价值？这些问题已成为困扰用户安全建设的关键问题。企业级网络安全建设需要什么传统组合方案问题多传统割裂的各种安全产品？传统产品组合方案缺陷一：不同的安全设备看到的是不同的攻击类型，信息是割裂的，难以对安全日志进行统一分析；安全设备在有攻击时才

10、能发现问题，在没有攻击的情况下，就无法看到业务漏洞，但这并不代表业务漏洞不存在；即使发现了攻击，也无法判断业务系统是否真正存在安全漏洞，还是无法指导用户进行安全建设。传统产品组合方案缺陷二：有几种设备就可以防护几种攻击，但大部分客户无法全部部署，所以安全存在短板；即使全部部署，这些设备也不对服务器和终端向外主动发起的业务流量进行防护，在面临新的未知攻击的情况下缺乏有效的防御措施，还是存在被绕过的风险。“雇佣兵”式的安全服务？即使采购了安全设备，但是缺乏专业的安全人员来进行及时有效的安全运维也是企业在安全建设中遇到的难题。以往只能通过安全服务商采购安全服务，我们称为”雇佣兵”式的安全服务。虽然短

11、期内可以快速提升安全防护效果，满足合规要求，但是安全咨询和安全服务的交付质量，严重依赖于安全服务人员的水平，一旦安全专家离开了，那安全服务的交付质量就无法得到保障。虽然买回来一堆完备的安全设备，也会因为专业程度太高，缺乏专家水平的人员运维，让这些设备变成了摆设，用户通过自己的力量并不能够真正地掌控网络安全。企业级的网络安全到底需要什么？ 诉求一：看不看得到安全风险？只有看到L2-L7层的攻击才能了解网络的整体安全状况，基于传统多产品的组合方案使大多数用户没有办法进行统一分析，也就无法快速定位安全问题，同时也加大了安全运维的工作量。此外，没有攻击并不意味着业务不存在漏洞，一旦漏洞被利用就为时已晚

12、。好的解决方案应能及时发现业务漏洞，防患于未然。最后，即使有大量的攻击也不意味着对业务安全的威胁很大，只有针对真实存在的业务漏洞进行的攻击才是有效攻击。看不到有效攻击的来源，就无法让客户看到网络和业务的真实安全情况。诉求二：能不能持续抵抗新威胁？首先，面对已知威胁，需要评估现有的安全防护体系在技术层面是否存在短板，存在短板必然容易被绕过，原有安全设备就形同虚设；其次，面对新型的威胁，企业是否具备实时应对和响应的能力，能够把影响最小化；最后，更多的安全威胁是未知的，如何能够搭建和利用大数据分析平台来帮助用户预测和发现未知威胁，是企业安全建设更高的一个层次的需求。诉求三：安全运营是否能够简化？面对

13、专业的安全设备，如果采用前述”雇佣兵”式的服务，并无法持续地帮助企业用户将安全达到一种可控的状态。要想能够脱离”雇佣兵”式的安全服务，让安全设备发挥出最大的防护价值，就必须将专业、难懂的安全配置、安全日志进行简化，并能够引导和帮助用户具备用好、管好自己的设备的能力。深信服下一代防火墙的定位适用于国内环境的下一代防火墙全球权威的IT研究与顾问咨询公司Gartner在2009年给出了下一代防火墙的定义：下一代防火墙是一种深度包检测防火墙，超越了基于端口、协议的检测和阻断，增加了应用层的检测和入侵防护。结合目前国内的互联网安全环境来看，越来越多的安全事件是由Web层面的设计漏洞被黑客利用所引发的。据

14、统计，国内用户上网流量与对外发布业务流量混合的比例超过50%。作为出口安全网关的防火墙如果不具备Web应用防护能力，则存在明显的短板。所以下一代防火墙作为一款融合型安全产品，不能缺失基于Web应用的安全防护。作为国内下一代防火墙产品的先行者，公安部第二代防火墙标准制定的参与者，深信服一直走在前沿，在产品推出伊始就把Web应用防护这个基因深深地植入到深信服下一代防火墙当中。深信服下一代防火墙NGAF面向应用层设计，能够精确识别用户、应用和内容，具备完整的L2-L7层安全防护体系，强化了在Web层面的应用防护能力，不仅能够全面替代传统防火墙，而且在开启安全功能的情况下还保持着强劲的应用层处理性能。

15、我们不仅交付产品，还为您持续输送安全能力安全已经成为继硬件、软件、网络之后的第四大IT基础设施。深信服除了为用户提供创新的安全产品之外，还将致力于帮助企业掌握自身网络安全。通过创新的安全产品+自动化的安全服务不断为用户输送安全能力，帮助用户具备看懂网络安全现状的能力，持续对抗新型威胁的能力和简化安全运营的能力。深信服下一代防火墙为企业安全赋能看懂安全现状和风险业务安全状况可视NGAF提供强大的综合安全风险报表功能，能够帮助用户直观地了解到网络中存在的风险，通过从业务安全、用户安全以及漏洞分布三个维度来全方位地帮助用户了解网络当中存在的威胁。基于业务的风险分析报表（截选）NGAF的实时漏洞分析功

16、能，可以主动分析经过设备的业务流量中存在的风险并实时展示出来，实时监控界面可以根据服务器真实存在的漏洞数量进行排名，同时给出各业务系统风险情况的评估，并给出建议和解决方案。威胁危害效果可视深信服NGAF突破传统安全产品的设计理念，在首页内容展示上进行了创新，将设备检测到的威胁风险通过图形化的界面进行统计和展示。用户通过首页就能一眼掌握网络的安全状况。通过各个版块简单的点击，就能继续深入了解到更详细的受害对象列表、安全日志、攻击来源等信息，能够直观地了解到哪些业务或者用户已经被黑客入侵或控制，哪些业务存在漏洞威胁，哪些Web服务器已经被植入了黑链等等。NGAF首页风险展示安全事件实时通报深信服N

17、GAF搭建的微信安全服务平台，能够帮助用户7*24小时监控设备的安全状态，一旦发现设备检测到安全威胁，则通过深信服后台安全专家的验证确认后推送到用户端，帮助用户及时发现和处理安全风险，同时也通过漫画的形式帮助用户更好地了解所遭受攻击的危害，并定期生成安全风险报表，让运维管理人员更加了解自身的网络安全状态。 威胁实时通报 安全报表推送 威胁漫画展示持续对抗新型威胁产品快速迭代应对已知威胁完整的应用层防护体系深信服NGAF具有完备的L2-L7层一体化的安全防御体系来应对已知威胁，在Web应用安全层面的防护能力尤为突出，如具备网站黑链检测、Webshell脚本检测、OWASP TOP10 Web攻击

18、防护等功能。对于不断更新的威胁，深信服NGAF通过产品的快速迭代开发来响应需求。深信服NGAF保持每两月更新一个软件版本的速度实现对产品改进需求的快速响应。在攻击特征库方面也保持着每两周更新一次的频率进行维护。高危的0day漏洞当天进行规则更新和发布。完整的APT攻击检测链面对复杂、隐蔽的APT攻击，深信服NGAF深入剖析了APT攻击的五个阶段，并在每个阶段都具备相应的安全措施，让用户可以看到不同阶段检测到的APT攻击行为。云检测平台应对未知威胁NGAF与云平台联动应对未知威胁在应对未知威胁方面，深信服搭建了未知威胁云检测平台，通过6000多台部署在全球各地的深信服下一代防火墙，在获得用户授权

19、的前提下，自动上传可疑的应用流量到未知威胁云检测平台，云平台将该部分流量放到虚拟沙盒中进行运行，通过分析异常网络行为，对流量进行判断。若上传流量存在安全威胁，云平台将生成安全防护规则并实时下发到全球所有在线的NGAF，令其能够有效抵御各类互联网攻击。深信服未知威胁云检测平台截止至2015年12月，深信服安全云平台累计收到接近1亿条可疑威胁流量，并分析定位出40多万条存在威胁的恶意网址，安全云平台同步生成并下发的安全防护规则累计拦截了330多万次的访问请求。简化安全运营任务化的风险管理深信服NGAF通过将检测到的安全风险统一汇总，为用户形成一个待处理问题清单，引导用户关注未处理的安全风险，并通过

20、提供工具化的解决办法来帮助用户将安全风险处理掉形成运营闭环。全网安全统一管控深信服下一代防火墙还具备全网安全监测平台，可实现对分布式部署的下一代防火墙进行统一的管理和监控，建设完善，可控的安全网络。深信服全网安全监测方案部署在各节点的NGAF为分支机构的网络提供L2-L7层完整的安全防护，有效避免分支机构因薄弱的安全建设成为入侵短板；总部核心业务区防护设备的部署，强有力地保障了各项业务高效、稳定地开展；安全管理区的全网安全监测平台通过收集各节点的流量、攻击情况，使总部运维人员可实时了解分支机构的安全风险；集中管理平台可实现全网各节点设备的统一管理和统一策略推送，真正做到管理集中化、运维自动化。

21、分支机构安全状况实时上报威胁情报预警与处置深信服NGAF内置了威胁情报预警中心，通过深信服后台安全专家团队持续不断地搜集互联网上最新爆发流行的0day漏洞，及时地将高危漏洞的危害分析以及检测验证工具同步推送到NGAF上，运维人员不仅可以在第一时间了解到最新的0day漏洞，还能够自主扫描验证内部服务器是否存在漏洞，如果扫描出问题也可以通过一键防护功能进行应急处置，帮助用户快速地将风险降到最低。风险评估与策略联动深信服NGAF基于时间周期的安全防护设计，提供事前风险评估及策略联动功能。风险评估功能分为系统漏洞扫描和Web弱点扫描两部分：系统漏洞扫描通过端口、服务、应用扫描帮助用户及时发现端口、服务

22、及漏洞风险，并通过模块间的智能策略联动及时更新对应安全风险的安全防护策略。 Web弱点扫描通过内置的二十多类Web攻击特征，可以帮助用户快速定位出Web应用的漏洞，并提供相关漏洞的严重等级、漏洞详情以及建议的修复方案等，协助用户快速解决内网Web应用存在的风险。智能联动封锁机制深信服NGAF智能主动防御技术可在内部各个模块之间形成智能的联动策略，如一个IP/用户持续向内网服务器发起各类攻击则可通过防火墙策略暂时阻断该IP/用户。智能防护体系的建立可有效地防止工具型、自动化的黑客攻击，提高攻击成本。同时也使得管理员维护变得更为简单，可实现无网管的自动化安全管理。高效稳定的底层架构设计分离平面设计

23、深信服下一代防火墙通过软件设计将网络层和应用层的数据处理进行分离，在底层以应用识别模块为基础，对所有网卡接收到的数据进行识别，再通过抓包驱动把需要处理的应用数据报文抓取到应用层。若应用层发生数据处理失败的情况，也不会影响到网络层数据的转发，从而实现高效、可靠的数据报文处理。分离平面设计多核并行处理NGAF的设计不仅采用了多核的硬件架构，在计算指令设计上还采用了先进的无锁并行处理技术，能够实现多流水线同时处理，成倍提升系统吞吐量，在多核系统下性能表现十分优异，是真正的多核并行处理架构。多核并行处理技术单次解析架构NGAF采用单次解析构架实现报文的一次解析一次匹配，有效提升了应用层效率。实现单次解

24、析技术的一个关键要素就是软件架构设计实现网络层、应用层的平面分离，将数据通过“0”拷贝技术提取到应用层平面上实现威胁特征的统一解析和统一检测，减少冗余的数据包封装，实现高性能的数据处理。单次解析架构跳跃式扫描技术NGAF利用多年积累的应用识别技术，在内核驱动层面通过私有协议将所有经过NGAF的数据包都打上应用的标签。当数据包被提取到内容检测平面进行检测时，设备会找到对应的应用威胁特征，通过使用跳跃式扫描技术跳过无关的应用威胁检测特征，减少无效扫描，提升扫描效率。比如：流量被识别为HTTP流量，那么FTP sever-u的相关漏洞攻击特征便不会对系统造成威胁，便可以暂时跳过检测进行转发，提升转发

25、的效率。Sangfor Regex正则引擎正则表达式是一种识别特定模式数据的方法，它可以精确识别网络中的攻击。经深信服安全专家研究发现，业界已有的正则表达式匹配方法的速度一般比较慢，制约了下一代防火墙整机速度的提高。为此，深信服设计并实现了全新的Sangfor Regex正则引擎，将正则表达式的匹配速度提高到数十Gbps，比PCRE和Google的RE2等知名引擎快数十倍，达到业界领先水平。NGAF的Sangfor Regex大幅降低了CPU占用率，有效提高了NGAF的整机吞吐，从而能够更高速地处理客户的业务数据，该项技术尤其适用于对每秒吞吐量要求特别高的场景，如运营商、电商等。产品性能评测报

26、告根据GA/T 1177-2014 信息安全技术第二代防火墙安全技术要求中的定义，应用层防火墙产品的性能应考察的是在多种应用、不同数据包大小的情况下防火墙实际能够处理的流量大小，并且在开启入侵防御和恶意代码防御及应用识别的基础上，要求性能下降不超过30%。深信服下一代防火墙凭借优异的指标率先通过了第二代防火墙标准增强级的测试要求。在国际知名独立测评实验室NSS Labs的测评当中，深信服下一代防火墙在同国外一线厂商的同比测试中，也表现出了优异的新建和并发处理能力，最终获得推荐级评价。深信服下一代防火墙品牌优势市场引领者2011年7月，深信服率先推出国内第一台下一代防火墙NGAF，自产品发布后，

27、国内追随者不断，且赢得了众多用户的信任，年销量平均增长率超过50%。截止至2015年末，NGAF在全国的用户累计超过20000家，在线稳定运行的设备超过40000台，用户覆盖各行各业，其中包括120多家部委省厅级单位、100多家运营商和金融单位、120多家知名教育单位、250多家大型企业和国资委下属央企集团，用户数量遥遥领先。据咨询机构IDC的分析报告显示，2014年深信服下一代防火墙NGAF在中国集成防火墙市场排名第3，占有10.9%的市场份额，是唯一凭借下一代防火墙一款产品参与排名的厂商。咨询机构Frost&Sullivan评价到：深信服凭借优质的下一代防火墙产品，奠定了其在中国防火墙市场

28、的领导地位。专业权威的认可国内最先获得NSS Labs“推荐”评价早在2013年，深信服就将NGAF送往位于美国的全球最知名的独立安全研究和评测机构NSS Labs进行Web安全防护功能评测，在业界专业的WAF测试规范下，成功通过所有的攻击逃逸测试、产品稳定性和可靠性测试，其中，送测设备的每秒新建连接数达到76，616CPS，为送测的6家厂商中的最高数值。深信服下一代防火墙NGAF最终获得NSS Labs “Recommended”推荐评价。国内最早获得NSS Labs“推荐”评价的下一代防火墙产品国内OWASP测试综合平分最高深信服下一代防火墙NGAF在OWASP授权机构的25项测评项中获得

29、19项“五星”满分评分，综合四星（国内最高为4星）。受邀参与公安部第二代防火墙标准制定2013年3月，深信服凭借多年的安全技术实力积累和对安全防护的独到见解，受到公安部第三研究所（信息安全行业规范编制单位）的邀请，参与国内第二代防火墙标准（GA/T1177-2014信息安全技术 第二代防火墙安全技术要求）的制定，并成为主要起草单位。目前该标准已于2014年7月24日正式发布，9月1日已开始实施。此外，深信服还是微软MAPP计划合作会员、中国反网络病毒联盟成员，安全技术实力得到了广大权威机构的认可。深信服NGAF获得多方权威机构认可专业安全攻防团队深信服凭借在应用层领域10年以上的技术积累组建了

30、南北安全攻防团队，确保安全规则的实时更新以及安全体检服务的开展，深信服NGAF具备4000+条漏洞特征库、超百万条病毒特征库、数十万僵尸网络特征库、3500+ Web应用威胁特征库，可以全面识别各种应用层和内容级别的安全威胁。产品可靠稳定 为保证设备具有良好的稳定性，NGAF出厂前都会经过7轮软硬件高吞吐、低温高温等恶劣环境的严格测试，并通过第三方机构的专业产品检测。目前，深信服下一代防火墙产品已无故障工作超过8万小时，具备高可靠的稳定性。NGAF稳定性的第三方评测报告典型场景和案例典型应用场景典型应用场景对外发布场景部署在网银、网上报税、网上营业厅、电子商务等系统出口，防止黑客入侵，保护关键

31、业务和客户隐私信息，避免损害单位形象，造成经济损失。数据中心场景部署在单位内部的财务、ERP、OA等服务器前面，精细控制访问权限，防止非法访问，防止企业机密信息被窃取，保障核心业务获取必要的带宽资源。广域网边界场景部署在专网边界，过滤应用层威胁流量，防止病毒、木马等威胁在分支机构间横向传播，影响业务开展；广域网VPN组网，形成全网安全监测解决方案；互联网出口场景部署在互联网出口，针对各种终端提供漏洞防护，病毒/木马等恶意软件过滤，僵尸网络检测，对外DoS攻击检测，高性能应用管控与流量优化，提供一体化的安全防护。典型应用案例最高人民法院最高人民法院根据其实际网络环境和需求，选择了将深信服下一代防

32、火墙NGAF部署于其服务器区的核心交换机前，启用了服务器防护、漏洞防护与敏感信息防泄漏功能对进出服务器的双向流量进行安全与合规性检查。设备对来自内部用户区与互联网的数据流量进行L2-L7层的攻击检测与防护；对服务器区外发的数据流实现合规性验证。并通过文件类型与自定义敏感信息防泄漏规则两种方式防止数据交互过程中，敏感信息被非法人员窃取。国土资源部随着业务类别的不断丰富，为全面提升办公网的安全防护能力，国土资源部在数据中心服务器区和内网办公区前端分别部署了深信服下一代防火墙NGAF。替换掉原有的UTM、防病毒网关、IPS、IDS等传统网络安全设备，极大地简化了组网拓扑，便于用户维护网络的稳定性。设

33、备的部署加强了应用层网络的防护能力，并能实时检测办公内网是否存在安全风险，为国土资源部的网络提供强有力的安全保障。海关总署海关总署通过将深信服下一代防火墙NGAF部署在其与国务院新闻办之间的专线入口处，有效地对海关总署和国务院新闻办的网络进行了逻辑隔离，并对专线中所有流经防火墙的数据包按照严格的安全规则进行过滤，清洗恶意流量，杜绝越权访问，防止各类非法攻击行为，保障了海关总署内部业务系统的安全稳定。招商银行为了给用户提供更安全、更优质的网上银行服务，招商银行在其网银服务器区部署了深信服下一代防火墙NGAF，可实现信息的精确识别定义、制定信息泄露安全策略，并能对数据访问和数据查询进行审计，有效保

34、障了网银敏感信息的安全。复旦大学为进一步加强校园信息化安全建设，防御各种互联网攻击，复旦大学选择了深信服下一代防火墙NGAF为校园网络保驾护航。NGAF的入侵防御功能，可有效抵御外来攻击；此外，NGAF可对网络中已被感染的终端进行检测和定位，并实现网络流量实时安全分析。全方位的安全防御为复旦的师生提供了安全稳定的上网环境。招商局集团创立于1872年晚清洋务运动时期的招商局，在2012年建设了一个具备专业性、先进性和模块化设计架构的IDC中心，为全面保障内网安全，招商局在数据中心DMZ区、业务数据区等多个区域部署了多台深信服万兆下一代防火墙NGAF。设备为各业务系统、各终端提供了L2L7完整的安全防护